5.2.2 訓練、意識及び能力
▼訓練、能力
会社は、ISMSで何かの責任を持つ事に決められた全ての社員が、その責任を果たす能力を確実に持つようにさせて下さい。やり方は下の通りです。
a)どんな仕事をする社員に、どんな能力が必要なのかハッキリさせる。
b)必要な能力を持つように、社員を訓練する。又は、代わりに何かする。(例えば、能力を
持っている人を雇い入れるなど)
c)行った訓練やその代わりの事が効果があったかどうか確かめる。
d)教育(学校教育を含む)、訓練、技能、経験、資格などについて、記録をつけてとっておく。
▼意識
会社は、全ての社員(ISMSに関係のない社員を除く)が確実に、情報セキュリティ活動を何故やるのか、やるとどう良い事があって、やらないとどんな大変な事が起こる可能性があるのかという事を、肝に銘じる(意識する)様になる様にしなければなりません。また、ISMS目標の達成のために、一人々々が何を出来るのかという事を、全社員が確実に理解している様にしなければなりません。
【解説】情報は口頭からでも漏れていきますから、”意識”という事は、他のマネジメントシステム
でも大切ですが、情報セキュリティでは特に大切です。
【用語の解説】JIS版では、この項での用語の使い方が特に大きな問題があり、さらに
ISO9001/14001のJIS訳とも一部ズレています。
まず『訓練』、
原文に”Training”とあります。机に座って講義を受けるようなものよりは、OJT(On
the Job
Traing)のイメージに近いでしょう。もちろん、講義であっていけないわけではありません。但し
欧米文化では、講義を伴う訓練であっても演習が主体になる事が大半ですから、ISO27001
を作成した人たちの意図は『トレーニング』という事でしょう。JIS版では”Training”を勝手に
「教育・訓練」と訳しています。その為、講師がテキストを作成して・・等という誤解がある様
です。
原文にはあくまでも、「教育」なんて書かれていません。(dの、教育(原文で”education”の
部分は別。)ISO9001/14001のJIS訳でも同様の事が起こっています。
次に『能力』、
JIS版では「力量」とされています。しかし、”力量”というのはあまりに日常使わない言葉
なので、「日常語ISO27001」では”能力”とします。尚、原文では”competence”です。
ISO9001/14001のJIS訳でも「力量」になっています。
余談ですが、9001の訳で”力量”という訳になっているのは、competenceの定義にskillと
いう言葉が使われていて、そちらを「能力」と訳してしまったために、competenceを仕方なく
「力量」と訳したものです。ところが、ISO27001のJIS版では、skillは「技能」と訳されていま
す。(本項d))
ついでに『意識』、
原文では”awareness”です。ISO27001のJIS訳/JIPDEC規格では「認識」。ISO9001/
14001のJIS訳では「自覚」と訳されています。問題があるほど大きな違いではないのです
が、ISO27001前身のBS7799が制定されるよりもさらにずっと前から「情報セキュリティで
『意識(awareness)』は、とっても大切だ」と言われ続けていたので、それに合わせて
「意識」としました。
出版物などの参考資料との対比のため対訳表を掲載します。
| 原文 |
日常語ISO27001 |
JIS版 |
ISO9001/14001のJIS訳 |
| training |
訓練 |
教育・訓練 |
教育・訓練 |
| education |
教育 |
教育 |
教育 |
| competence |
能力 |
力量 |
力量 |
| skill |
技能 |
技能 |
能力 |
| awareness |
意識 |
意識向上/認識 |
自覚 |
目次へ 全体のトップへ 表示色の原則
