箇条7では,ISMSの活動におけるPDCAサイクルのすべての局面に関する要求事項が定められており,「7.1 資源」,「7.2 力量」,「7.3 認識」,「7.4 コミュニケーション」,「7.5 文書化した情報」の5項目で構成されています。
この記事では,「7.2 力量」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「7.2 力量」では,「7.1 資源」で特定される人的資源に対して,役割と責任に応じた力量を定め,教育や訓練を通じてそれらの力量を備えることが要求されています。
規格要求事項
7.2 力量
組織は,次の事項を行わなければならない。
a) 組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。
b) 適切な教育,訓練又は経験に基づいて,それらの人々が力量を備えていることを確実にする。
c) 該当する場合には,必ず,必要な力量を身につけるための処置をとり,とった処置の有効性を評価する。
d) 力量の証拠として,適切な文書化した情報を保持する。注記 適用される処置には,例えば,現在雇用している人々に対する,教育訓練の提供,指導の実施,配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結などもある。
ISO/IEC 27000:2013(JIS Q 27001:2014)
「5.3 組織の役割、責任及び権限」で割り当てた役割・責任と力量の関係を教えてください。
ISMSの要員には,「5.3 組織の役割、責任及び権限」で役割,責任及び権限を割り当てられることになるんだが,それを遂行する能力,すなわち力量(知識や技能など)が,それらの要員に備わっていることが求められているんだよ。つまり,役割・責任が果たせる遂行能力が必要だということなんだ。
求められる力量の明確化
ISMSの適用範囲の要員に必要とされる力量(知識や技能など)を明確にし,力量が不足しているのであれば,教育・訓練を実施して,役割と責任を果たすための力量を備えておく必要があります。また,教育・訓練の結果,力量が取得・維持できてきているのかを評価し,それらの記録を保持することも求められています。
力量の決定【7.2 a)】
ISMSの構築・運用において,各要員に割り当てた役割と責任を果たすための力量を構成する要件を定めることが求められています。
教育・訓練の実施【7.2 b)】
7.2 a) で定められた力量を保有するための教育・訓練や経験によって必要な力量を備えることが求められています。
有効性の評価【7.2 c)】
7.2 b) で実施した教育・訓練によって力量が身についたか,テストやアンケートを実施して,有効性を評価することが求められています。
記録の保持【7.2 d)】
定められた力量のほか,教育・訓練の実施結果および有効性の評価結果について,文書化して保持することが求められています。
力量を身につけるための処置
7.2 c) の規定における「必要な力量を身につけるための処置」には,注記にもあるように,教育・訓練の実施のほか,既存要員の配置転換や力量を備えた人を雇用することや外部へ委託するといった処置も含まれています。
構築・運用のポイント
「7.2 力量」では,ISMS適用範囲内の要員に求められる知識や技能は何かを明確にし,その知識や技能を用いて役割と責任を果たすことが求められていると解釈できます。つまり,割り当てられた役割と責任の意味を知っているだけではなく,役割と責任を果たすための知識や技能を,それぞれの能力として発揮できるようにするために,教育・訓練を実施し,経験を積ませ,その理解度や習熟度を評価して,その結果を記録して残すことが求められているのです。
力量の明確化
ISMSの確立,実施,運用,維持および改善に必要となる知識や技能に関する力量を定義します。また,その力量を有しているかの判断基準を定め,達成度を確認することが求められます。
力量を判断する基準のひとつとして,情報セキュリティに関する資格を利用しても良いでしょう。
教育・訓練の実施
ISMSの適用範囲の要員に必要となる力量を身につけるための教育・訓練には,ISMS構築段階で実施する教育・訓練をはじめ,運用開始後,定期的に実施する教育・訓練,役割に応じた教育・訓練などがあります。あらかじめ,いつ,誰を対象に,どのような教育・訓練を実施するのかを決めて文書化しておくとよいでしょう。
教育・訓練の方法
教育・訓練の方法には,対面での集合研修のほか,eラーニングシステムを利用したオンライン研修の実施や外部研修機関での受講などがありますが,それぞれメリット・デメリットがあるので,教育・訓練の目的や内容に応じて選択しましょう。
集合研修
集合研修のメリットは,講師と受講者の双方向でのコミュニケーションが可能となるため,受講者の知識レベルに応じた柔軟な講義進行ができるほか,質疑応答によって疑問点がその場で解消できるため,教育内容が定着しやすく理解度が高くなることです。特に,知識以外の手順や操作方法といった実践を伴うスキルを習得させるような教育・訓練は,集合研修による実施が教育効果を高めます。
一方デメリットは,スケジュール調整が必要なため研修実施までに時間がかかるほか,会場の手配や設営,講師の手配や運営スタッフの配置,受講者の出欠確認,理解度テストの集計など手間とコストがかかることです。
受講者の受講態度や理解度の把握が必要となる新入社員教育や管理職教育,内部監査員教育は,集合研修が適しています。
オンライン研修(eラーニング)
オンライン研修のメリットは,会場の手配やスケジュール調整などが不要なためコストを抑えることができるほか,受講者自身のペースで学習を進められることです。
一方デメリットは,実践を伴うスキル習得には不向きであるとともに,受講者の受講態度が把握できず,疑問が生じてもその場で解消することができないため,モチベーションの維持が難しいことです。
教育・訓練の目的や内容によって,オンライン研修と集合研修を組み合わせたり,使い分けたりするとよいでしょう。
教育・訓練の計画と実施
教育・訓練を実施する際は,教育の目的やテーマのほか受講対象者,教育内容,効果測定の方法,実施期間や費用を明確にした計画書を事前に作成します。
計画書を作成したら組織内に教育・訓練の実施について周知することになりますが,計画書は,トップマネジメントの承認を得るという手続きを踏むことをお勧めします。これは,受講対象者に対して教育・訓練の受講の重要性を認識させ,積極的な受講を促すことにつながります。
教育・訓練の有効性評価
教育・訓練を実施したら有効性を評価しましょう。評価の方法は,理解度テストのほか,アンケート,業務での実践状況を確認するなど,教育・訓練の目的や内容に応じた評価方法を採用しましょう。
教育・訓練の記録
教育・訓練の実施が完了したら,結果報告書を作成します。結果報告書には,目的の達成度や未受講者の有無,理解度テストや効果測定の結果を記載し,トップマネジメントの承認を得たうえで,教育・訓練の実施を記録した文書として保管します。