【ISMS担当者必見！】ISMS(ISO27001)の教育とは？

１．ISMS（ISO27001）教育の目的とは

ISMS（ISO27001）教育の目的は以下の2点です。

• 必要な力量を備えるため
• セキュリティ意識向上のため

業務やセキュリティに必要な力量を備えるための教育と、業務に関係する方針や手順などの意識向上のための教育を実施しましょう。

「仕事がわかる・できる」状態にすることと、「仕事を何のためにするか」を理解させる教育を行うことが重要です。

２．ISMS（ISO27001）教育で必ず求められていること

ISMSの規格では、「ISMSに関わる人に必要な能力を定め、適切な教育や訓練、経験を通じてその能力を確実に身に着けること」が求められています。

【ISMS 適用範囲の従業員に求められる知識・能力】

ISMSの適用範囲に含まれる従業員には、情報セキュリティに関する基本的な知識が求められます。
例えば、基本的な情報セキュリティ対策や業務中に起こり得る情報セキュリティに関する事故の把握、社内ルールの理解などが挙げられます。

【情報セキュリティ担当者に求められる知識・能力】

情報セキュリティ担当者や担当部署には、自組織のISMSを運用するための知識が求められます。
具体的には、ISMSの知識、情報資産の管理、情報セキュリティ対策、情報セキュリティインシデントに関する情報の把握、および情報セキュリティに関する法令の理解が必要です。

【情報セキュリティ責任者・技術担当者に求められる知識・能力】

情報セキュリティの責任者や技術担当者には、適切なISMSを構築する能力や最新のサイバー攻撃の情報把握と対策に関する知識が求められます。

【内部監査員に求められる知識・能力】

ISMS認証を取得する際には、内部監査を適切に行う必要があります。内部監査員には、内部監査を実施するために必要な知識や能力が求められます。
具体的には、内部監査の手順や自社のセキュリティポリシーの内容の理解、監査対象となるISMSの状況の把握、情報セキュリティ担当者と監査対象部門の担当者との連携などが挙げられます。

【トップマネジメントに求められる知識・能力】

企業の経営陣やトップマネジメントには、情報セキュリティ全般に関する知識が求められます。

例えば、提供しているサービスのセキュリティ面の仕様の理解や社内での情報セキュリティ対策の状況の把握、各部署やセキュリティ担当者が取り組むべきことの理解などが含まれます。

３．ISMSの教育の手順は？対象者は？

ISMSの教育を行う流れは以下の通りです。

（１）教育の対象者を確定させる

ISMSの教育の対象者を確定させるために、組織内で情報セキュリティに関わる役職や部署を特定し、その人々に対して教育を行う必要があります。
情報セキュリティに関わる全ての従業員や関係者を対象にすることが重要です。

（２）教材を選定する

教育の対象者が確定したら、適切な教材を選定する必要があります。
教材は、情報セキュリティに関する基本的な知識や組織のISMSに関する方針、手順、規則などを包括的にカバーするものであるべきです。教材は、オンラインコース、ワークショップ、eラーニングモジュールなど、適切な形式を選択しましょう。

（３）教育を実施する・実施方法

選定した教材を使用して、教育を実施します。
実施方法は、オンラインでの学習、対面でのワークショップ、定期的な情報セキュリティトレーニングなど、組織のニーズや対象者の特性に合わせて適切な方法を選択する必要があります。
また、教育の実施後には、理解度を確認するための評価やテストを行うことも重要です。

４．ISMS教育の実施時期・頻度とは？

教育を実施する際には、最低でも1年に1回の頻度で行う必要があります。
これは、PDCAサイクルを回すたびに、少なくとも1回の教育が求められるためです。

さらに、以下のタイミングで教育を実施することで、組織内のセキュリティレベルを向上させることができるでしょう。

• 入社時
• 異動時
• ルール変更時
• 社内でヒヤリハットやインシデントが発生した場合
• 業界内で関連するインシデントが発生した場合

入社時や異動時には新しい環境やルールに適応する必要があります。そのため、教育を行うことで、知識や認識の不一致によるミスや事故を防ぐことができます。

また、身近な業界や場所でインシデントが発生した場合には、その内容を共有したり、ディスカッションを行うことが有効です。

定期的な教育を1年に1回と、限定する必要はありません。
2ヶ月に1回、3ヶ月に1回、教育を実施するなどのルールを設けるのも効果的です。

５．審査の時に審査員から確認されるポイント

ISMSの教育を実施した後、その効果を評価する必要があります。
教育を行っても情報セキュリティに関する事故が発生している場合、教育方法に問題がある可能性があるため、見直しが必要です。

評価の際には必ず記録を取り、後で振り返ることができるようにしておきましょう。記録・保管方法には特に決まりがないため、自組織の教育方法に適した最適な方法を選びましょう。

従業員の知識・技能を評価する方法についても特に決まりはありませんが、理解度を可視化しやすい点数形式のテストを実施する組織が多いです。
他の評価方法としては、社内で発生したインシデントの数や、従業員に標的型攻撃メールを送信して開封率で評価する方法などがあります。

審査の時には、必要だと判断した力量、教育の計画、教育の実施結果が確認されます。
また、教育を実施した結果、力量が担保されたのかという評価結果も見られます。そのための記録類も準備するようにしておきましょう。

６．毎年同じ教育を行っても良いの？

毎年同じ教育を行っても構いませんが、教育は理想と現状のギャップを埋めるために実施されるものです。
そのため、毎年同じ教育を実施することが適切かどうかは、きちんと確認しておく必要があります。

常に同じ人物が同じ内容を理解し、正しい答えを述べられる状態にある場合、同じ教育を実施する必要はありません。
そのような場合には、別の教育を実施することを検討する必要があります。

７．プライバシーマーク（Pマーク）教育との違い

プライバシーマーク（Pマーク）と情報セキュリティマネジメントシステム（ISMS）の教育にはいくつかの違いがあります。

まず、プライバシーマークの教育は主に個人情報の保護に焦点を当てています。
具体的には、個人情報の収集、利用、保管、提供、廃棄に関する適切な取り扱い方法や、個人情報保護法に基づく法的要件について学びます。
これにより、従業員が個人情報を適切に管理し、漏洩や不正利用を防ぐための知識とスキルを身につけることが目的です。

一方、ISMSの教育は情報セキュリティ全般に関する内容をカバーしています。
ここでは、情報資産の保護、リスク管理、セキュリティポリシーの策定と実施、インシデント対応など、広範な情報セキュリティの概念と実践について学びます。
ISMSの教育は、組織全体の情報セキュリティを強化し、機密性、完全性、可用性を確保するための包括的なアプローチを提供します。

このように、プライバシーマークの教育は個人情報保護に特化しているのに対し、ISMSの教育は情報セキュリティ全般にわたる広範な内容を扱う点で異なります。

８．まとめ

ISMS（ISO27001）の教育は、業務やセキュリティに必要な力量を備えるため、また、業務に関係する方針や手順などの意識向上のために実施しましょう。
まずは現状の力量や理解の程度を認識して、適切な内容の教育を実施するように心がけてください。