JIS Q 27001:2014の管理策について-6
今回は「7.2 雇用期間中」です。
【今回の要点】
・経営側は、情報セキュリティ方針等を単に紙で掲示するだけでなく、随時・定期の教育・訓練、自己啓発できる環境を整備する
・従業員側は、経営者側によって定められた随時・定期の教育・訓練を受け、用意された自己啓発のための環境を利用するよう努める
・懲戒手続きは、単に、罰則を定めるだけでなく、どのような手続きが行われるのかを定め、周知する
7.2 雇用期間中
目的:従業員及び契約相手が、情報セキュリティの責任を認識し、かつ、その責任を遂行することを確実にするため。
人的資源として雇用・契約した従業員・契約相手が、情報セキュリティの責任の認識・遂行を確実にすることが目的です。
今回も前回の「7.1 雇用前」と同様に、ご家庭の場合は該当せず、個人事業主として人を雇う場合が対象となります。
7.2.1 経営陣は、組織の確立された方針及び手順に従った情報セキュリティの適用を、全ての従業員及び契約相手に要求する。
経営者側は情報セキュリティの方針、適切な仕事の手順等をすべての従業員に確実に伝え、理解、実行させます。
単に方針を紙で掲示しておくだけでなく、随時・定期の教育・訓練、自己啓発できる環境を整備する必要があります。
7.2.2 組織の全ての従業員、及び関係する場合には契約相手は、職務に関連する組織の方針及び手順についての、適切な、意識向上のための教育及び訓練を受け、また、定めに従ってその更新を受ける。
従業員側は、経営者側によって定められた随時・定期の教育・訓練を受け、用意された自己啓発のための環境を利用するよう努めます。
7.2.3 情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備える。
情報セキュリティ違反を犯した場合の懲戒手続きを定め、従業員に周知します。
単に、罰則を定めるだけでなく、どのような手続きが行われるのかを定め、周知する必要があります。
【今回のまとめ】
・経営側は、情報セキュリティ方針等を単に紙で掲示するだけでなく、随時・定期の教育・訓練、自己啓発できる環境を整備する
・従業員側は、経営者側によって定められた随時・定期の教育・訓練を受け、用意された自己啓発のための環境を利用するよう努める
・懲戒手続きは、単に、罰則を定めるだけでなく、どのような手続きが行われるのかを定め、周知する
次回は「7.3 雇用の終了及び変更」の予定です。