さて、今回のテーマはセキュリティ意識向上プログラムですが、いきなり
なんのこっちゃ?という感じだと思いますので、そのあたりから説明して
行きたいと思います。

セキュリティ意識向上プログラムとは?

前回、リスク対策として実施する内容については、従業員の合意を予め
とっておかなければならないとのお話をしました。
しかし、情報セキュリティにおいて真に重要な事は、対策を実践することです。
実践無くしては、絵に描いた餅でしかありません。

このセキュリティ意識向上プログラムは、組織に所属する従業員に対して、情報セキュリティの重要性や、侵害された場合の被害について「理解を深めて」もらう事が目的としたプログラム、活動の事です。

CISSPの立場とプログラムの関係

CISSPの立場をもう一度おさらいしておきましょう。
組織内でのCISSP資格保持者の想定立ち位置は、経営者をフォローしつつ、エンドユーザーを啓蒙すること(セキュリティ的に)にあります。

このセキュリティ意識向上プログラムは啓蒙を目的として、エンドユーザーに対して情報を「発信」する意味合いがあります。

そして、大抵の組織の場合、情報セキュリティ的に最も弱い部分は従業員となるので、そこを狙って行われる「ソーシャルエンジニアリング」対策
を取り入れる必要があります。
(ソーシャルエンジニアリングについては次回説明予定です)

実施すべき内容

a0008_001841

具体的に、どんなプログラムをすればいいかといえば、

  • 定期的な教育
  • ポスターの掲示
  • グッズの展開(セキュリティに気をつける旨を書いたペンを配るなど)
  • キャッチフレーズの作成・展開

のような、従業員の身近な所で、セキュリティの意識をもってもらうための継続的プログラムをCISSPの指導の下実施します。

終わりのない活動

意識向上プログラムには終わりは無いため、「繰り返し」アピールしていくことがとても重要になります。

目次
次回の記事へ
前回の記事へ