ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련 편집하기 (부분)

==세부 설명==

==== 구체적인 교육 계획 마련 ====
연간 정보보호 및 개인정보보호 교육 계획은 다음과 같이 교육의 시기, 기간, 대상, 내용, 방법 등의 내용을 구체적으로 포함하여 교육 계획을 수립하고 '''경영진의 승인'''을 받아야 한다.
*'''교육 유형''': 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육 등
*'''교육 방법''': 교육 목적, 교육 대상, 교육 일정, 교육 시간, 교육 내용, 온라인 및 집합교육 등
*'''교육 승인''': 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원 등

==== 연 1회 정기 교육 및 수시 추가 교육 실시 ====
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하여야 한다.
*정보자산에 직·간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함
*수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리·감독
*최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보 보호 교육 필요)
*교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함.
*출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인교육 등)
*내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체)
<blockquote>'''※ 정보보호 및 개인정보보호 관련 교육에 포함될 내용(예시)'''
*정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률
*정보보호 및 개인정보보호 관련 내부규정, 관리적·기술적·물리적 조치사항
*중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등
</blockquote>

==== 업무 시작 전 교육 시행 ====
임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다.
*신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지

==== 주요 업무자 별도 전문성 제고 교육 ====
IT 및 정보보호, 개인정보보호 조직 내 임직원이 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받을 수 있도록 하여야 한다.
*'''관련 직무자''': IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등
*'''교육과정''': 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가, 교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등

==== 교육 기록 관리 ====
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하여야 한다.
*교육시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가
*교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영