情報セキュリティ管理策:雇用条件及び教育訓練に関するガイドライン
令和7年8月29日|p.125
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
6a-6.2雇用条件
管理策:雇用契約書には、情報セキュリティに関する要員及び組織の責任を記載する。
目的:要員が、予定する役割における自らの情報セキュリティの責任を理解することを確実
にするため。
詳細管理策
Ra-6.2.1要員の契約上の義務は、組織の情報セキュリティ方針及びその他の
関連するトピック固有の方針を考慮に入れる。
a-6.2.2場合に応じて、次の事項について明確にし、言及する。
a)秘密情報へのアクセスが与えられる全ての要員が情報及びそ
の他の関連資産へのアクセスが与えられる前に署名すること
( 961 第 (1
が望ましい秘密保持契約書又は守秘義務契約書
b)法的な責任及び権利
c)要員によって扱われる、情報の分類、組織の情報及びその他
の関連資産の管理、並びに情報処理施設及び情報サービスの
管理に関する責任
d) 利害関係者から受け取った情報の扱いに関する責任
e) 要員が組織の情報セキュリティ要求事項に従わない場合にと
る処置
Su-6.2.3情報セキュリティに関する役割及び責任は、雇用前のプロセスにお
いて候補者に伝達する。
6a-6.2.4
組織は、 要員が情報セキュリティに関する雇用条件に同意すること
報
を確実にする。
6a-6.2.5情報セキュリティに関する雇用条件は,情報システム及びサービス
發酵官
に関連する組織の資産に対する要員によるアクセスの特性及び範囲
に応じて、適切なものとする。
官
6a-6.2.6 法令、 情報セキュリティ方針又はトピック固有の方針が変更
・された場合は、情報セキュリティに関する雇用条件をレビューする。
6a-6.2.7 適切であれば、雇用条件
に含まれている責任を継続させる。
6a-6.3 教育及び訓練
日計
管理策:組織の要員及び関連する利害関係者は、職務に関連する組織の情報セキュリティ方針、
トピック固有の方針及び手順についての、適切な、情報セキュリティに関する意識向
上プログラム、教育及び訓練を受け、また、定常的な更新を受ける、
目的:要員及び関連する利害関係者が自らの情報セキュリティの責任を意識し、それを果た
すことを確実にするため。
詳細管理策
【情報セキュリティの意識向上、教育及び訓練全般】
6a-6.3.1 情報セキュリティの意識向上、 保護す
日曜
べき組織の情報及び情報を保護するために実施されている情報セ
キュリティ管理策を考慮に入れて、 組織の情報セキュリティ方針、
トピック固有の方針及び情報セキュリティの関連する手順に沿って
確立する。
60-6.3.2情報セキュリティの意識向上、教育及び訓練は、定期的に実施する。
60-6.3.3 可能な場合、 及
び情報セキュリティに関する要求事項が大幅に異なる新たな職位又
29
は役割に異動した者にも適用する。
6a-6.3.4
知識が伝わったこと、並びに意識向上、教育及び訓練プログラムの
有効性を確認するため、意識向上、教育及び訓練の活動終了時に、
要員の理解の評価を行う。
【意識向上】
6a-6.3.5
-6.3.5情報セキュリティの意識向上プログラムは、要員に対し、情報セキュ
リティに関する各自の責任及びその責任を果たす方法について、認
識させることを狙いとする。
意識向上プログラムは、内部及び外部の要員を含む、組織における
要員の役割を考慮に入れて、計画する。
6a-6.3.7
意識向上プログラムの活動は、長期にわたり、できれば定期的に実
施する。
(6a-6.3.7参考)
これによって、活動が繰り返され、新しい要員も対象となる。
6a-6.3.8
意識向上プログラムの活動では、情報セキュリティインシデントか
ら学んだ教訓を生かす。
6a-6.3.9
意識向上プログラムには、キャンペーン、パンフレット、ポスター、
会報、ウェブサイト、説明会、ブリーフィング、eラーニングモジュー
ル、電子メールなど、適切な物理的又は仮想的な手段を通じた多く
の意識向上活動を含める。
6a-6.3.10
情報セキュリティの意識向上には、例えば、次のような一般的な側
面を含める。
a)組織全体にわたる情報セキュリティに対する経営陣のコミッ
トメント
b)情報セキュリティ方針及びトピック固有の方針、基準、法令、
規制、契約及び合意を考慮に入れた、適用される情報セキュ
リティの規則及び義務に関する精通度及び順守のニーズ
c)自身が行動したこと及び行動しなかったことに対する個人の
アカウンタビリティ、並びに組織及び利害関係者に属する情
報のセキュリティを保ち、これを保護することに対する一般
的な責任
d)情報セキュリティに関する基本的な手順
e)情報セキュリティに関連する事項についての追加の情報及び
助言(情報セキュリティの意識向上に関する追加の資料も含
む。)を得るための連絡先及び情報源
【教育及び訓練】
Sa-6.3.11組織は、特定の技能及び専門知識を必要とする役割をもつ技術チー
ムに対して、適切な訓練計画を特定し、準備し、実施する。
6a-6.3.12
技術チームは、装置・機器、システム、アプリケーション及びサー
ビスに必要なセキュリティレベルを構成し、維持する技能をもつ。
6a-6.3.13
技術チームに不足している技能がある場合、組織は処置をとり、そ
れを取得させる。
a-6.3.14教育及び訓練プログラムは、様々な形式を検討する。
(6a-6.3.14参考)教室、遠隔教育、ウェブ利用、自習式、及びその他異なる提供手段
が利用可能である。
技術要員は、会報及び雑誌を購読する、又は技術的及び専門的な向
上を目的とした会議及びイベントに参加することによって、自らの
知識を最新の状態に保つ。