従業員教育でとても大切な情報セキュリティ講習

こんにちは。千本木です。

弊社では情報セキュリティマネジメントシステム ISMS(ISO27001)を取得しており、お客様へ様々なご提案をしている中で情報セキュリティに関するコンサルティングを行うことがあります。
例えば、社内ネットワークのセキュリティの担保や媒体の管理方法、盗難や破損の防止や潜在リスクの防止等々、様々な観点からお話をさせていただいております。

そういった情報セキュリティコンサルティングの中で、企業の従業員様に向けて情報セキュリティ講習を行うことがあります。

今回はこの「情報セキュリティ講習」のお話です。

従業員教育で情報セキュリティ講習が大切な理由

『企業の情報セキュリティ被害』の重要性

情報セキュリティ被害は大きく「個人」と「企業（組織）」に分けられます。

もちろん個人情報といった個人に関する情報セキュリティ被害も非常に重要ではあるのですが、『企業の情報セキュリティ被害』は個人の場合と比べて被害があまりにも大きく、企業の存続に直結する問題となります。

基本的な情報セキュリティの考え方として、
組織の情報セキュリティレベルは組織内に所属する人間の中で最も低いレベルの人間のレベルになる
と言われています。

従業員ひとりひとりが情報セキュリティに関する意識や能力を高めていき、情報セキュリティレベルの底上げをすることが企業の情報セキュリティレベルを向上させることに直結します。

従業員の情報セキュリティレベルを上げることが企業にとって有効

では、従業員の情報セキュリティレベルを上げるためにはどうすれば良いでしょうか。

情報セキュリティマネジメントシステム ISMS(ISO27001)では「ISMSに関わる人に必要な能力を定め、適切な教育や訓練、経験を通じてその能力を確実に身に着けること」が求められています。

「適切な教育」があれば従業員に対して「適切な知識や能力」を身につけさせることができるということです。

つまり情報セキュリティの教育である「情報セキュリティ講習」を従業員に行うことが重要であると言えます。

情報セキュリティ講習は定期的に実施することが重要

では、情報セキュリティ講習をとりあえず1回やれば問題解決かというと、そうではありません。

残念ながら人間は知識を得た瞬間から徐々に覚えたことを忘れていってしまいます。「ためになる話だな」と思っても1年後にはほとんど覚えていないでしょう。
また1回限りの講習では、入社するタイミングによっては情報セキュリティ講習を受けられない従業員も発生してしまいます。

情報セキュリティ講習は、年に1度でも良いので継続的に続けていくことが重要であると言えます。

ネディアが行う情報セキュリティ講習

弊社が行う情報セキュリティ講習では、事前に打合せを行い、ご要望事項や参加する従業員の意識レベルによってお話しする内容を変更しています。

例えば「ランサムウェアの被害を最近多く聞くのでランサムウェアに関する時間を多く割いてもらいたい」といった内容や、「参加する従業員があまりパソコンに詳しくないので、話す内容の敷居を下げてほしい」といったご要望もございました。

実際の被害の状況を詳細に語ったり、敷居を下げるためにパソコンだけでなくスマートフォンに関するお話を取り入れたりしています。

とあるお客様で行った情報セキュリティ講習の目次を紹介させていただきます。

御社でも従業員教育の一環として、情報セキュリティ講習を定期的に取り入れてみてはいかがでしょうか？
興味を持った方は弊社まで是非ご相談ください！

この記事を読んだ方はこちらも読まれています

「サイバー犯罪に対する共同対処協定」締結のお知らせ 中小企業の味方！法人ITサポートサービス WideNet！ ワイドネットクラウドバックアップの導入検討にあたりよくあるご質問 情報セキュリティにおける３つの脅威