従業員にセキュリティポリシーについて説明する必要がある基本的な事項と、雇用のどの時点で

ポリシーは棚に留まるように書かれていません。すべてのポリシーのすべての行は、組織が制御する必要のあるリスクに関連付けられる必要があります。そのため、各ポリシーは、ポリシーに従う必要のある人々に伝達される必要があります。

伝えられるべきものは？その従業員に関連するものは何でも。

いつ通信する必要がありますか？従業員がポリシーに従って処理することが期待されるシステムと情報にアクセスして処理を開始する前。

それ以外の点は何ですか？ 「飛行機の飛行について知っておくべき重要事項について、この便利なガイドを作成しました。少しだけ乗客が飛行機に乗るまで、読むのを心配しないでください。」

質問では、ポリシーに他のコアよりも優先度の高いコアコアのセット（この場合は4のセット）があると想定しています。これらの内容は組織ごとに異なる可能性があります組織が制御する必要のあるリスクは組織ごとに異なるためです。 =

要するに、質問は非常に具体的であり、回答者がポリシーで最も重要なものが何であるかを理解することを望んでいます。政策を理解せずにそれを知ることはできません。

もちろん、会社はそれぞれ異なります。セキュリティを真剣に考えている一部の企業は、以下の一部またはすべてを行います。

• Info-Secポリシーでall従業員が年に一度のセキュリティ意識向上トレーニングを受ける必要があることを指定します
• 現在の脅威とインテリジェンスに基づいて、年に1回の復習トレーニングを準備します（恐らく、フィッシングまたはソーシャルエンジニアリングに関する5〜10分のコースで、簡単なクイズを行います。クイズでは、従業員が合格点を取るか、またはトレーニング/テストを受験するまで再受験する必要があります。パス。）
• トレーニングには、セキュリティポリシーの認識とアクセス方法（ポリシーへのリンクを含む）を含める必要があります。彼らがそれを読んだことを認める（または少なくとも公式の要約を読む）。それに従うことへの彼らの合意;およびインシデントを報告する方法
• オンボーディングプロセス中にその年の基本トレーニングを受講するために、新規採用者に要求する
• トレーニングを追跡して、全員が遵守していることを確認します
• 脅威環境を監視および測定して、人々に何を教えるべきかを知る
• 開発者、調査員、マネージャー、リーダーなど、職務に一定の責任がある人には追加のトレーニングが必要
• ドアのポスターなど、セキュリティに責任があることを全員に思い出させる定期的な啓発キャンペーンを実施します。これらは、電話での情報提供が多すぎる、または安全な領域に「追随できない」など、最近の脅威に基づいています。
• サードパーティに定期的なフィッシングキャンペーンを実行させ、従業員にメール内のリンクに騙されないよう注意を促す
• 経営陣の支援とリーダーシップは、会社がセキュリティを真剣に考えていることを示す必要があります。役員の免除はありません。