セキュリティリスクの変化に強い企業文化:セキュリティの教育効果を高めるポイントを探る (1/2) - ITmedia エンタープライズ(情報元のブックマーク数)

セキュリティ教育をする前に、自組織のレベルを自己診断。

自組織へのセキュリティ教育を考えるときに把握すべきポイントが、セキュリティ意識レベルの自己診断をするというものです。現状として、自組織の従業員がセキュリティに対してどのような意識を持っているかを大まかにでも確認することで、どんなレベルから教育を実施していけば良いか方針を明確にできます。この段階は重要ですが、方針を決められれば良いので、細部まで診断する必要はありません。
図1のように、組織全体の傾向として「セキュリティへの取り組み姿勢が“積極的か”“消極的か”」「セキュリティに関する判断基準が“明確に認識・浸透しているか”“まだあいまいな状態か”」という2つの側面で分類できるだけでも、まず何を教育しなければいけないかが見えてきます。診断のためにアンケートなどで材料を得る必要がありますが、「セキュリティへの取り組み姿勢として、部門内でセキュリティについて話し合っているか」「自組織のセキュリティポリシーに限らず日常業務の中でセキュリティ上注意している点があるか」などが積極性を確認するポイントになるでしょう。また、セキュリティに関する判断基準として、自組織の情報セキュリティポリシーに対する理解度や分かりやすさを確認するための設問が幾つかあれば十分だと思われます。

セキュリティの教育効果を高めるポイントを探る (1/2) - ITmedia エンタープライズ

ここまできっちりしているところも少ないと思うが、適切な場所への適切な教育か・・・

セキュリティ意識レベルの診断には何らかの基準によって適切なグループ分けをし、その上でグループごとに診断すべきだということになります。そのグループ分けはどのようにすべきでしょうか。情報セキュリティが保護すべきもの――まさに情報資産――を考えれば、各部門や各従業員が取り扱っている情報資産が危険になることで、自組織のビジネスにどれだけの被害を発生するかという視点が最も重要になり、適切に考えなくてはなりません。情報セキュリティ教育についても、技術的なセキュリティ対策やプロセス面での整備と同様に、ビジネスリスクの大きさに応じてリソースを費やしていくことが効率的なのです。

セキュリティの教育効果を高めるポイントを探る (2/2) - ITmedia エンタープライズ

screenshot