というわけで、考課制度の大前提にはやはりセキュリティ評価が必要だよなあ。しかも点数にしたい。英語検定系列みたく900点満点とかね。
評価のベースは何になるんだろう？よくあるのがBS7799みたいなものをチェックリストとして使うやり方だけど、国際標準をまんま援用するとか言うとなかなかやりづらいかも知れないなあ。
リスク分析よろしく、ある脅威に対しての耐性を点数評価していって、それの積み上げというロジックはどうかなあ？例えば、

• ワームへの耐性
  • ワームが発生しにくくなっているか（高中低）
  • ワームが発生したとして、2分以内に検知できるか
  • ワームが発生したとして、5分以内に隔離できるか
  • 部署全体を3分以内に隔離できるか
  • ワーム駆除〜現業復帰へのプロセスは2時間以下か
  • 駆除できないワームかどうか判別できるか
  • 駆除できないワームが発生した場合、再インストール＆データ戻しを1日で行えるか

○が多いほど点数がアップ。全部○の場合にはボーナス点。セキュリティを実現するための仕組みは問わない。
評価や点数の妥当性とかって話はあるけれど、そもそもポジティブに目標を持ってもらうこと、できればオカネに結びつけるために定量化することが重要なわけで。さらに言えば、やり方を問わないことで自前で勉強もするだろうしね。学習効果もアリってことで。
いや、こういうやり方こそが、よさげな「リテラシー教育」なんじゃないですかねえ。座学で抽象的、というかあまり差し迫っているように思えない脅威についておどし含めて説いていっても、なかなか実感してもらえないからねえ。
・・・という教育講座を企画してます。点数評価のところは一つポイントなのだけど、できるといいなあヽ(´ー｀)ノ