こんにちは。千本木です。
弊社では情報セキュリティマネジメントシステム ISMS(ISO27001)を取得しており、お客様へ様々なご提案をしている中で情報セキュリティに関するコンサルティングを行うことがあります。
例えば、社内ネットワークのセキュリティの担保や媒体の管理方法、盗難や破損の防止や潜在リスクの防止等々、様々な観点からお話をさせていただいております。
そういった情報セキュリティコンサルティングの中で、企業の従業員様に向けて情報セキュリティ講習を行うことがあります。
今回はこの「情報セキュリティ講習」のお話です。
目次
従業員教育で情報セキュリティ講習が大切な理由
『企業の情報セキュリティ被害』の重要性
情報セキュリティ被害は大きく「個人」と「企業(組織)」に分けられます。
もちろん個人情報といった個人に関する情報セキュリティ被害も非常に重要ではあるのですが、『企業の情報セキュリティ被害』は個人の場合と比べて被害があまりにも大きく、企業の存続に直結する問題となります。
- 個人の情報セキュリティ被害:金銭的被害・精神的被害
- 企業の情報セキュリティ被害:損害賠償や対応費用などの金銭的支出・信用の失墜・法的制裁・企業存続問題
基本的な情報セキュリティの考え方として、
組織の情報セキュリティレベルは組織内に所属する人間の中で最も低いレベルの人間のレベルになる
と言われています。
従業員ひとりひとりが情報セキュリティに関する意識や能力を高めていき、情報セキュリティレベルの底上げをすることが企業の情報セキュリティレベルを向上させることに直結します。
従業員の情報セキュリティレベルを上げることが企業にとって有効
では、従業員の情報セキュリティレベルを上げるためにはどうすれば良いでしょうか。
情報セキュリティマネジメントシステム ISMS(ISO27001)では「ISMSに関わる人に必要な能力を定め、適切な教育や訓練、経験を通じてその能力を確実に身に着けること」が求められています。
「適切な教育」があれば従業員に対して「適切な知識や能力」を身につけさせることができるということです。
つまり情報セキュリティの教育である「情報セキュリティ講習」を従業員に行うことが重要であると言えます。
情報セキュリティ講習は定期的に実施することが重要
では、情報セキュリティ講習をとりあえず1回やれば問題解決かというと、そうではありません。
残念ながら人間は知識を得た瞬間から徐々に覚えたことを忘れていってしまいます。「ためになる話だな」と思っても1年後にはほとんど覚えていないでしょう。
また1回限りの講習では、入社するタイミングによっては情報セキュリティ講習を受けられない従業員も発生してしまいます。
情報セキュリティ講習は、年に1度でも良いので継続的に続けていくことが重要であると言えます。
ネディアが行う情報セキュリティ講習
弊社が行う情報セキュリティ講習では、事前に打合せを行い、ご要望事項や参加する従業員の意識レベルによってお話しする内容を変更しています。
例えば「ランサムウェアの被害を最近多く聞くのでランサムウェアに関する時間を多く割いてもらいたい」といった内容や、「参加する従業員があまりパソコンに詳しくないので、話す内容の敷居を下げてほしい」といったご要望もございました。
実際の被害の状況を詳細に語ったり、敷居を下げるためにパソコンだけでなくスマートフォンに関するお話を取り入れたりしています。
とあるお客様で行った情報セキュリティ講習の目次を紹介させていただきます。
- 情報セキュリティって何だろう?
- 個人の情報セキュリティ
- 正しい個人情報の定義
- 匿名加工情報
- フィッシング詐欺の手口
- 個人情報が集約されたスマートフォン
- 企業の情報セキュリティ
- 7 Payから学ぶ情報セキュリティ被害
- IPA 情報セキュリティ10大脅威から情報セキュリティのトレンドを見ていこう
- 標的型攻撃の手口
- ランサムウェア被害
- 群馬でもあったビジネスメール被害
- セキュリティ事故の統計
- 最低限やっておきたい情報セキュリティ対策
所要時間:2時間程度
御社でも従業員教育の一環として、情報セキュリティ講習を定期的に取り入れてみてはいかがでしょうか?
興味を持った方は弊社まで是非ご相談ください!