移行審査に向けた ISMS教育の実施

ISO/IEC 27001:2022 では、7.2 力量 において、教育，訓練などに基づいた力量を備えていることを確実にする必要があり、文書化した情報の保持が求められています。

サイボウズでは、毎年 ISMSを適用している業務に従事している方に、ISMSに関連する教育を実施し、確認テストと記録を残しています。

今年から日本語を母国語としない方が ISMS適用業務を実施する体制となりました。従来の ISMS教育に関するコンテンツは毎年追加を重ねている関係で、資料が膨大になり、とても短時間で英語化し、教育用の動画まで作成するのは困難と考えました。

また、今年から ISO/IEC 27001:2022 に適用する規格を変更するため、新規格に関するコンテンツの追加も必要となり、今までの資料は大幅に削減、詳細な説明は省略し、規格の根幹に関わる重要な部分のみに変更しました。

教育計画

必要な力量を決定し、どのように確認を実施するかなど、事前に教育計画を立てる必要があります。今回は規格の移行があるため、新規格の理解をメインに、適用している規格や社内規則の知識を必要なものと定義しました。

2024年のISMS教育コンテンツ

2024年のサイボウズの ISMS教育コンテンツは、以下のようなコンテンツとしました。

• ISMS 概要

  • ISMS の目的

  • ISMS の文書構成

  • ISMS の要求事項と管理策

  • サイボウズにおける ISMSの取り組み

• 新規格 ISO/IEC 27001:2022 で追加された管理策

• ISO/IEC 27017:2015 ISMSクラウドセキュリティ認証

  • 用語説明

  • サイボウズにおける 27017 の取り組み

• サイボウズ社内のルールについて

ISMS 教育の受講形式

サイボウズでは、受講者の都合に配慮して、３つの受講方法から選択できるようにしています。

• オンラインによる集合研修後、確認テストの実施

• 動画を任意の時間に確認し、確認テストの実施

• 資料を任意の時間に読み、確認テストの実施

確認テストの実施

確認テストは、kintone アプリで出題、回答も kintone アプリにレコードを作成する形で実施をしています。確認テストは全部で 10問とし、合格ラインに到達するまで何度も実施をいただく形式です。実際の問題の例です。

問題例

ISMSの目的や活動として、正しいものをすべて選択しなさい。
①情報資産を守るため、脅威インテリジェンスの活用は不要である
②経営層のリーダーシップの元、セキュリティ対策を推進するものである③PDCAサイクルを回し、セキュリティを維持・改善していく活動である

集合研修への参加率

毎年、集合研修に参加いただく方が多いです。半数近くの方が、わざわざ時間を割いて研修に参加いただいていることに、セキュリティ意識の高さを感じ、主催している側もとてもありがたく感じています。「実況スレ」という kintone スペースのスレッドを立ち上げ、そこでリアルタイムに質問や感想などを書き込みできるようにし、質問には返答できるようにしています。

[PR]
今回の ISMS研修では多言語対応が必要になりましたが、kintoneは、アプリを多言語化するための機能を備えています。タイトル、ボタン名、フィールド名などユーザーが設定した言語ごとに切り替えることが可能です。

kintoneは多言語対応していますか？ | kintone ヘルプ

まとめ

• 必要な力量を決定するため、教育計画を立てる

• 適用する規格、業務遂行に必要な知識を教育する

• 確認テストで、知識が身についたことを確実にする