 |
|
 |
|
 |
|
 |
|
| 運用のための規程・手順書が整備されたら、いよいよ教育に入ります。運用に関連するスタッフに必要な技術や能力などのことを力量と呼びます。教育計画に先立って、あらかじめスタッフに必要な力量を明確にしておきます。スタッフの現状の能力と必要とされる力量のギャップを客観的に把握して教育プログラムを計画する必要があります。 |
|
|
 |
|
 |
|
 |
|
教育実施後は教育の有効性を評価する必要があります。具体的には教育後にテストを実施し、教育の効果を測定します。
また教育の実施記録を取るとともに、教育に参加できなかった社員に対するフォローも必要です。
実際には、社員教育は、認証取得後も毎年継続していくことが求められます。
教育対象者全員に対して効率的な教育の実施を可能にするe-learningツールをご紹介しております。 |
|
|
 |
|
| 教育が完了したら運用を開始します。初回のPDCAにおける運用(D)は、「試行」運用と位置付けられます。運用にあたっては定められた規則や手続きに従って各人が役割を果たさなければなりません。導入及び運用に関するISO27001の要求事項では、リスク対応計画の立案・実施、管理策の選択と有効性の評価、ISMSの経営資源の管理、セキュリティインシデントへの対応など、全8項目について定めています。 |
|
|
 |
|
| 運用のフェーズにおいて、組織はセキュリティ対応計画の立案及び計画に従った管理策の実施が求められます。リスク対応計画とは受容できないリスクを低減するためにとるべき活動と、選択した管理策の実装に関する実施計画を指します。 |
|
|
 |
|
万一、事件・事故が発生した際の対応手順を策定し、それを定期的に検証することが重要です。特に事件・事故発生時の初期段階における対応責任者の設置や関係者間の連絡・報告体制確立などの一連の手順を策定しておくことが大切です。最近の事件・事故事例を注視しリスクの傾向を把握しておくことも必要です。
本サイトの情報セキュリティ事件・事故のページを参考にしてください。 |
|
|
