ISO27002における人的資源のセキュリティとは
ISO27001 の具体的な管理策が示されたISO27002には、人的資源セキュリティという項目があります。この人的資源セキュリティとは、具体的にはどのようなものなのでしょうか? また、どのようなセキュリティ管理策を行うべきなのでしょうか?
人的資源セキュリティとは
人的資源のセキュリティとは、ISO27002の中で企業が雇用契約を結ぶ資源——つまり、従業員をどのように管理するのかということを示した管理策のことです。ISO27002では、企業は組織のセキュリティレベルを維持するために、適切な人材を確保し、また雇用後も継続的にその人材を訓練していく必要があると記載されています。
——なお、ISO27002で示される管理策はISO27001にある要求事項とは異なり、必ず実施しなければならないものではなく、「行うことが望ましい」とされるものであるため、人的資源のセキュリティ管理策を実行する必要がない場合もあります。
具体的な人的資源のセキュリティ
——では、具体的にはどのような管理策を行うことが望ましいとされているのでしょうか? 下記では一部ではありますが例を挙げながら解説していきたいと思います。
雇用前に行う管理策
ISO27002においては、従業員は雇用前段階から管理する対象であるとされています。それほどまでに人的要因による情報セキュリティリスクは大きいのです。
雇用前には、例えば以下のようにしてセキュリティリスクを管理することができるでしょう。
情報リテラシーに関して選考段階で精査する
近年の日本はIT人材不足などと言われたりしていますが、最低限の情報リテラシーを持った人材を確保するように選考段階で基準を設けるということも重要です。もちろん、重要な情報にアクセスするポジションの人間であればあるほど、その選考は厳密に行ったほうが良いでしょう。
また、雇用条件や就業規則などにセキュリティに関する項目を追加しておくことも一つの管理策です。雇用前には就業規則は絶対に提示する必要がありますから、ここでセキュリティに関する項目を義務として認識させておくことが重要になります。
雇用中に行う訓練
情報セキュリティリスクというのは常に流動的です。新しい技術を取り入れれば新たな脆弱性が生まれますし、かといって保守的な経営をしていると企業間の競争から取り残されることになってしまいます。
また、2019年大流行したEmotetのようなマルウェアが急速に拡大し、再び脅威 となることも考えられるでしょう。このため、常にリスクアセスメントを行い、適切な従業員訓練を行う必要があるのです。
企業のセキュリティレベルを高めるためには、従業員各々の情報リテラシーの向上が非常に重要ではありますが、それを従業員個々の努力に頼ることは、危険です。マネジメント不足だと言えるでしょう。
具体的には
- 従業員の意識向上プログラムを立てる
- 情報セキュリティ関連情報の社内共有ルールの制定
- 従業員の自己学習の奨励
このような管理策を行うことが望ましいでしょう。
懲戒手続き
従業員を適切にマネジメントするためには、違反を犯した従業員に対して処分を行うことも重要です。組織全体のリスクというのは、個人単位で考えるとどうしても自分ごと化しにくいため、具体的な処分内容を事前に決めておくと良いでしょう。
正式な懲戒手続きは、以下のような要素を考慮した上で決定するようにしましょう。
- 違反の内容及び重大さ並びにその業務上の影響
- 最初の違反か又は繰り返されたものか
- 違反者は,適切に教育・訓練されていたかどうか
- 関連する法令
- 取引契約
人的資源のセキュリティに関するリスクの中には、従業員によって意図的に行われるものもあるでしょう。こういった人的資源による意図的なリスクは、緊急的な処置を行うことも心がけておくと良いでしょう。
まとめ
今回は、人的資源のセキュリティに関する具体的な管理策についてご紹介してきました。マネジメントシステムや企業の形態によって最適な管理策は異なりますが、上記で解説したようなことを参考にして管理策を組み立ててみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい