情報セキュリティ研修マニュアル
はじめに
本マニュアルは、〔会社名〕における情報セキュリティ研修の企画・実施・記録の標準手順をまとめたものです。研修の運営担当(情報システム部門・人事部門)が参照してください。
研修は、情報セキュリティ規程(v-002)及び個人情報保護方針に基づき、ISMS / Pマーク認証要件を満たすことを目的に実施します。
研修の全体像
| 種類 | 対象 | 頻度 | 形式 |
|---|---|---|---|
| 全社員必須研修 | 全従業員・役員 | 年 1 回 | e-learning |
| 入社時オンボーディング研修 | 新入社員・中途入社 | 入社時 | 講義 + テスト |
| 標的型メール訓練 | 全従業員 | 年 2 回 | 模擬メール送信 |
| 役職者向け追加研修 | 管理職以上 | 年 1 回 | 講義 |
| 委託先・派遣社員向け | 該当者 | 契約時・年 1 回 | e-learning |
全社員必須研修(年 1 回)
研修コンテンツ
最低限以下のトピックを含めます。
- パスワードの管理(強度・使い回し禁止・パスワードマネージャの利用)
- 多要素認証(MFA)の重要性
- フィッシング・標的型攻撃メールの見分け方
- マルウェア感染の予防と兆候
- SNS リスク(業務情報の投稿禁止、なりすましの注意)
- 在宅勤務時のセキュリティ
- 物理セキュリティ(離席時の画面ロック、書類管理、入退館)
- 個人情報・機密情報の取扱い
- インシデント発生時の通報フロー
実施方法
- 教材(動画 + テキスト)を学習管理システム(LMS)に登録
- 全従業員にメールで案内(実施月の月初)
- 実施期限: 案内後 4 週間
- 修了テスト: 80% 以上で合格、不合格者は再受講
インシデント発生時の通報フロー
研修内で必ず以下を周知します。
| いつ | 何を | 誰に |
|---|---|---|
| 発見 / 疑いあり時点で即座 | 事象の概要 | 情報システムヘルプデスク |
| 発見後 1 時間以内 | 詳細(時刻・経路・影響範囲) | 情報システム責任者 |
| 重大事案の場合 | 経営層へエスカレーション | 危機管理委員会 |
「自分のミスかも」と思う場合でも、隠さず即時に通報することが最重要です。
標的型メール訓練
実施方法
- 訓練メール配信ベンダー又は内製ツールを利用
- 業務メールに似せた模擬フィッシングメールを全従業員に送信
- 開封率・クリック率・添付開封率・通報率を計測
- クリックした従業員には学習ページを表示
- 結果を部門別に集計し、次回研修の改善に活用
実施頻度
年 2 回(半期に 1 回)。手口・難易度を変えて実施します。
入社時オンボーディング研修との連携
新入社員は、入社時オンボーディングマニュアル(manual-001)の研修を修了することで、当年度の全社員必須研修受講の代替とみなします。ただし、内容に大きな改訂があった年は別途受講を求めます。
研修記録
ISMS / Pマーク監査の証跡として、以下を最低 5 年保管します。
- 研修教材(バージョンごと)
- 受講者名簿(受講日、修了テスト結果)
- 標的型メール訓練の結果データ
- 未受講者対応の記録
- 研修実施の責任者承認記録
記録は人事システム及び ISMS 文書管理フォルダに保管します。
未受講者へのフォロー
- 期限 1 週間前: リマインドメール(本人)
- 期限超過時: 上長 CC でリマインド
- 期限超過 2 週間: 部門責任者へ報告
- 期限超過 1 ヶ月: 経営層へ報告、業務システムへのアクセス制限の検討
関連規程・文書
- 情報セキュリティ規程(v-002): 研修義務の根拠規程
- 個人情報取扱規程: 個人情報を扱う者の追加研修
- 入社時オンボーディングマニュアル(manual-001): 新入社員研修との連携
- 危機管理規程(ix-002): インシデント時の経営層エスカレーション
困ったときは
| 内容 | 連絡先 |
|---|---|
| 研修受講方法 | 人事担当 |
| 教材・LMS の不具合 | 情報システム担当 |
| インシデント通報 | 情報システムヘルプデスク |
| 監査対応・記録 | 情報システム責任者 |