どれだけ緻密にルールやポリシーを作り上げ明文化しても、それを運用する人のセキュリティ意識が低ければ意味がありません。それだけに、社内における日頃の啓発、教育、訓練等が重要となってきます。

情報セキュリティに関する社内教育は、部署別は階層別に行うのが基本ですが、年に数回は全社員あるいは全部門長を対象とした勉強会等も必要です。教育に当たっては、情報セキュリティ教育の責任者や教育担当者（教育の実施者）を定め、教育内容を検討し、教育計画を策定し、全従業員に漏れなく教育を受講させる体制を整えます。また、教育実施の記録を作成し、経営層に報告します。

情報セキュリティ教育の目的のひとつは、情報セキュリティポリシーや情報セキュリティ関連規定の周知徹底です。情報セキュリティ対策を適切に実践するためには、情報セキュリティポリシーに書かれている内容を理解する必要があります。また、何のために情報セキュリティ対策が必要かという理解がないと、セキュリティ対策に対するモチベーションが高まりません。そこで、情報セキュリティ対策における脅威と対策についても合わせて教育します。

情報セキュリティ教育は、全従業員が受講対象となります。役員、管理職、正社員だけでなく、派遣社員、アルバイトも対象となります。また業務委託先の委託業務担当者に対しても、情報セキュリティ教育が行われるように留意します。

社員の意識を高めるために重要となるのが教育のタイミングです。入社時はもちろんのこと、昇進や配属変更時等、情報セキュリティに対する役割や責任、取り扱う情報資産に変化が生じるタイミングでの教育が重要となります。また、年初や期首・期末などの区切りの時期に全社的教育の機会を設けることも考慮すべきです。

入社時	・新卒採用、中途採用ともに行う必要がある ・入社時には適度の緊張感があり、基本ルールを習得させるには最適である ・細かいことは配属後でもよいが、「やらなければならないこと」と「やってはいけないこと」を明確に指導する
昇進時	・今までと立場が変わるので、情報セキュリティに対する役割、責任も変化する ・役割や責任と権限、困った場合の相談方法などについて十分指導し、安心感を持って取り組めるようにする
部署異動時	・部署が変わることで取り扱う情報資産も変わることが多い ・情報資産ごとにその価値と取り扱いルールを徹底する必要がある ・外部と直接接点を持つ部署の場合、応対の仕方や問い合わせへの受け答え方などを実践的に指導する
年初・期首・期末	・区切りの時期は会社としての基本姿勢を再認識させるのに最適である ・年初や期首であれば、スローガンや年間テーマなどを元にキックオフセミナーを、期末であれば振り返りを行うとよい ・振り返りの場合には、必ず今後の具体的行動指針も決定すること
定例・定期	・日常の反復が最も人の意識を左右する ・定例会や定期勉強会で繰り返し意識付けを行う

情報セキュリティ教育の責任者は、教育すべき内容を検討し、教育のための資料を整備します。考えられる内容として、以下のようなものがあります。

• 役割と責務の確認と徹底
• 情報の機密性のランクとランクに応じた取り扱いの徹底
• 機密情報や個人情報取り扱い時の注意事項の徹底
• 情報やパソコンの持ち出しに関する規定の周知徹底
• ソフトウェアのインストールに関する規定の周知徹底
• 遵守事項、禁止事項、推奨事項の周知徹底
• 守らなかった場合の結果の例示（罰則や組織への被害等）

• インターネット上の脅威や被害（ウイルス、ボット、スパイウェア等）
• ぜい弱性やウイルス等への基本的な対策
• メール使用やWeb 閲覧時の基本的な心構え

• セキュリティ事故の発見時や外部から指摘を受けた時の対応
• 緊急時の対応体制や、外部からの問合せへの対応