ISMSで求められる「力量」とは?
ISMSでは、適用範囲内にある業務従事者に必要な「力量」について定義し、その力量を備えているかどうかを確認することが求められています。加えて、力量が不足している場合には、教育・訓練の実施も規格書に定められています。このページではISMSで求められる力量に関する情報をまとめました。
ISMSにおける「力量」の概念
ISMSにおける「力量」とは、単に業務に必要なスキルだけではなく、組織全体のセキュリティを強化し、持続可能なセキュリティを確立できる包括的な能力を指します。業務に必要な知識と技能を使って、実際に業務を遂行する能力を備えていることはもちろん、ISMSで定義された責任を全うするための能力です。
さらには、組織が『このような「力量」を持つ人材がISMSの業務に従事している』と明言できる状態にしなければなりません。そのため組織に対しては、適切な教育・訓練を通じて、業務従事者に必要な能力を身に着けることが定められています。組織の中には、すでにその力量を持つ人材を雇用する組織もあるようです。
力量の明確化
ISMSの重要性を理解し、自分に何ができるのか、適用範囲内にある業務従事者のそれぞれが意識を高く持つことが大切です。それに加えて、期待される役割の遂行に必要なスキルや技術を明確にしておくことも重要です。力量を必要とする各部署の業務内容を整理し、管理者が必要なことを把握できるようにしておきましょう。
また、ISMSの基本として、適用範囲内のどんな人がみてもその内容がわかるようにしておく必要があります。これはISMS審査の際に、証拠として審査員の目に明らかであることも求められるため、重要な要素のためマニュアルを作る際に明文しておきましょう。
力量を得るための教育・訓練の実施
必要な力量を身につけるための教育・訓練には、ISMS構築段階で実施する教育・訓練をはじめ、運用開始後や定期的に実施する教育・訓練などがあります。教育・訓練を実施する際は、実施時期や対象者、教育・訓練の内容や目的なども決めて文書化した計画書を作成しておくとよいでしょう。
計画書を作成したら、組織内のISMS適用範囲にある業務従事者に教育・訓練の実施について周知します。教育・訓練を実施後は、有効性を評価し結果報告書を作成。教育・訓練の実施を記録した文書として保管します。
教育・訓練の方法
組織では、ISMSの適用範囲内にある業務に必要な力量をもつ人を配置し、配属された人の力量を上げていくことで、業務全体の質を上げていく必要があります。しかし、業務従事者の力量が不足している場合には、必要な力量を得るための処置をとらなければなりません。実施される教育・訓練方法には、集合研修やオンライン研修などがありますが、それぞれメリット・デメリットがあります。
集合研修
集合研修のメリットは、講師と受講者の双方向でコミュニケーションができること。疑問点がその場で解消できることに加え、自分以外との受講者の質問やグループワークなどを通して、さまざまな考えに触れることもできるので、理解が深まります。
デメリットとしては、スケジュール調整のため研修実施までに時間がかかるほか、講師や会場の手配、受講者の出欠確認など手間とコストがかかることなどが挙げられます。その場合、Web会議ツールを利用するのもおすすめです。
オンライン研修(eラーニング)
オンライン研修(eラーニング)のメリットは、会場の手配などが不要なためコストを抑えられることです。また、時間や場所を選ばないので受講者自身のペースで学習を進められます。一方デメリットとして、実践を伴う業務のスキル習得には不向きであるほか、モチベーションの維持が難しいことや疑問点が生じてもその場で解消できない点です。インターネット環境によっては、研修がうまくいかない可能性やツールの導入コストが発生する可能性もあります。
資格取得
資格取得のメリットは、スキルや能力を可視化できる点です。さらに、特定のスキルを持った人材の新規採用に対しても、力量の判断基準にすることができます。ただし、試験日が限られていることや試験費用の負担といった点がデメリットです。
力量に対する評価
力量の評価は、最新の状態を正確に把握することが重要であり、定期的に行う必要があります。また、規格要求事項では、業務従事者の力量の証拠としての記録・管理が要求されており、スキルマップあるいは力量表と呼ばれているものが一般的です。
しかし、力量管理の運用を始めたとしても、管理を完璧に実行できている組織はあまり多くないようです。なぜなら力量管理は、最新の状態を正確に把握が重要ですが、管理するためのシステムがなく、記録や保存の作業などに課題を抱えているケースが多いためです。そうならないためには、誰でも簡単に作業ができるようなツールやシステムを導入するとよいでしょう。
力量に関する記録・管理
ISMSの規格要求事項では、業務従事者の力量に関する記録・管理も要求されています。一般的には、スキルマップあるいは力量表と呼ばれるツールを用いて記録・管理を行います。力量項目を一目で確認できるようになっているため、教育・訓練を計画するための便利なツールになるものです。
スキルマップを作成するにあたり、目的を明確にすることはもちろん、業務スキルの難易度別に階層分けをする・スキルの評価基準と評価段階を決める、といった点がポイントになります。また、運用後も定期的にヒアリングを行い、スキルマップを修正、更新していくなど、継続して取り組んでいくことが大切です。
力量管理の活用の可能性
力量管理の活用には、スキルの可視化や能力向上により組織全体の生産性を向上させ、サービスや商品の価値を高めるといった可能性があります。ここでは、力量管理を効果的に行うためのポイントをお伝えします。
従業員一人ひとりの理解に繋がる
組織内で適切な力量管理を行うことで、業務従事者のそれぞれの能力やスキルを可視化が可能です。働く個人にとっても自己理解を深める貴重なものとなり、マネジメント側も組織内の現状把握をするだけでなく、従業員一人ひとりへの理解にも繋がります。
教育のきっかけ作りになる
力量管理により、業務従事者自身が習得しているスキルや保有する資格などを明確に把握できるようになります。マネジメント側もスキルアップの目標設定や具体的なアドバイスがしやすくなり、教育のきっかけにも繋がるでしょう。加えて、個人のスキルアップや自己実現につながるため、業務従事者のエンゲージメント向上にも繋げられます。
人材育成だけでなく人員配置の参考になる
力量管理の活用によって、現状は何がどのくらい不足しているのか、その不足を埋めるためにはどんな施策が必要なのかといった現状を正確に把握することが可能になります。組織として目指す成長を実現するための人材育成が明確になるとともに、全社的な人員配置の参考にすることもできるでしょう。
まとめ
ISMSの適切な運用には、力量の管理が不可欠です。しかし、求められるスキルの明確化や担当者との合意形成、教育・訓練の実施、人材の雇用など、多くのプロセスが必要です。
これらを組織内で一から対応するのは困難で、多くの企業が難しさを感じています。そんなときは、この分野に特化したコンサルタントに相談することをお勧めします。プロの支援を受けることで、より効率的かつ効果的にISMSを運用に繋がるはずです。このサイトでは、ISMSコンサルのさまざまな活用法を紹介していますので、ぜひ参考にしてみてください。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。