適用範囲内において、情報セキュリティに影響を与える業務を行っている人には情報セキュリティに関する「力量」を保有することが規格で求められています。
ここでは、教材や問題を登録しそれを受講してもらうことで、人々の力量を確認する方法を説明します。
(Pマーク用のマニュアルはこちらをご覧ください)
力量とはなにか
力量(英語では competence
)とは、その名の通り、持っている力の量(つまり知識や経験など)のことを意味します。規格では、まず各役割に対して必要な力量を決定し、それらの役割に属する人が決定された力量を備えていることを確認することが求められています。
SecureNaviでは、この規格の意図を踏まえ、一般的な教材配信型のEラーニングシステムとは異なる考え方で設計されています。
一般的な教材配信Eラーニングシステムは、作成した教材を各個人に直接配布します。しかし、この方法では、例えば「ISMS責任者に任命されているAさんは、ISMS責任者として必要な力量を備えているのか」を確認する事ができません。
SecureNaviの力量機能では、各個人に対して直接的に教材を配信することはできません。まずは教材を役割と関連付けることで、その役割に所属している人が、当該教材を受講することができるようになります。この方法では、前述した「ISMS責任者に任命されているAさんは、ISMS責任者として必要な力量を備えているのか」を容易に確認することができ、規格の意図とも整合します。
教育コンテンツをもとに力量を確認する
前述の通り、力量の取り組みを行うには、教材を個人に配布するのではなく、各役割に対して教材を紐付ける必要があります。教材の作成方法や、教材を紐付ける方法については、以下の記事を確認してください。
なお、自分自身が受講できる教材は、SecureNaviのトップページから確認することができます。
定期的な力量の確認
力量の確認は、定期的に行う必要があります。つまり、定期的に新しい教育コンテンツを作成し、それらを配信することが必要です。配信方法は、以下の記事を確認してください。
情報セキュリティの世界で必要な知識は、時代とともに目まぐるしく変わるために、一般的には「すべての人」に対する教育は、年に1回必ず実施したほうが良いでしょう。一方で、ISMS責任者や担当者、内部監査員などに求められる力量(規格についての知識や、監査手法に関する知識)は、頻繁に変わることはありませんので、毎年行う必要はありません。