ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련: 두 판 사이의 차이
IT위키
편집 요약 없음 |
편집 요약 없음 |
||
| (사용자 3명의 중간 판 8개는 보이지 않습니다) | |||
| 9번째 줄: | 9번째 줄: | ||
!2.2.4.인식제고 및 교육훈련 | !2.2.4.인식제고 및 교육훈련 | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center; width:12%" |'''인증기준''' | ||
|임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. | |임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | | style="text-align:center; width:12%" |'''주요 확인사항''' | ||
| | | | ||
*정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가? | *정보보호 및 개인정보보호 교육의 '''시기, 기간, 대상, 내용, 방법''' 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가? | ||
*관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 | **(가상자산사업자) 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?(다음 교육 시간을 준수) | ||
*임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 | ***임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상) | ||
***일반직원: 6시간 이상 | |||
***정보기술부문 업무담당: 9시간 이상 | |||
***정보보호업무 담당직원: 12시간 이상 | |||
*관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 '''연1회''' 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 '''추가교육'''을 수행하고 있는가? | |||
*임직원 채용 및 외부자 신규 계약 시, '''업무 시작 전에 정보보호 및 개인정보보호 교육을 시행'''하고 있는가? | |||
*IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가? | *IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가? | ||
*교육시행에 대한 기록을 남기고 교육 효과와 적정성을 | **(가상자산사업자) IT 및 정보보호·개인정보보호·월렛 조직 내 임직원은 직무별 정보보호전문성 제고를 위해 별도의 교육을 수행하고 있는가? | ||
*교육시행에 대한 기록을 남기고 '''교육 효과와 적정성을 평가'''하여 '''다음 교육 계획에 반영'''하고 있는가? | |||
|- | |||
| style="text-align:center; width:12%" |'''관련법규''' | |||
| | |||
*개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한), 제28조(개인정보 취급자에 대한 감독), 제29조(안전조치의무) | |||
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검) | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
==== 구체적인 교육 계획 마련 ==== | |||
* | 연간 정보보호 및 개인정보보호 교육 계획은 다음과 같이 교육의 시기, 기간, 대상, 내용, 방법 등의 내용을 구체적으로 포함하여 교육 계획을 수립하고 '''경영진의 승인'''을 받아야 한다. | ||
* | *'''교육 유형''': 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육 등 | ||
* | *'''교육 계획:''' 교육 목적, 교육 대상, 교육 내용, 교육방법, 교육 일정, 교육 시간 등(사업규모, 개인정보 보유수, 업무성격, 교육대상, 교육유형 등에 따라 차등화) | ||
*'''교육 승인''': 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원 등 | |||
*정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률 | ====연 1회 정기 교육 및 수시 추가 교육 실시==== | ||
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하여야 한다. | |||
*정보자산에 직·간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함 | |||
*수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리·감독 | |||
*최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보보호 교육 필요) | |||
* 교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함 | |||
<blockquote>'''※ 정보보호 및 개인정보보호 관련 교육에 포함될 내용(예시)''' | |||
* 정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률 | |||
*정보보호 및 개인정보보호 관련 내부규정, 관리적·기술적·물리적 조치사항 | *정보보호 및 개인정보보호 관련 내부규정, 관리적·기술적·물리적 조치사항 | ||
*중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등</ | *중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등 | ||
</blockquote> | |||
*출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인교육 등) | |||
*내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체) | |||
====업무 시작 전 교육 시행 ==== | |||
임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다. | |||
*신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지 | |||
====주요 업무자 별도 전문성 제고 교육==== | |||
IT 및 정보보호, 개인정보보호 조직 내 임직원이 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받을 수 있도록 하여야 한다. | |||
*'''관련 직무자''': IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등 | |||
* | *'''교육과정''': 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가, 교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등 | ||
* | |||
====교육 기록 관리==== | |||
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하여야 한다. | |||
*교육시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가 | |||
*교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영 | |||
==증거 자료== | ==증거 자료== | ||
*정보보호 및 개인정보보호 교육 계획서 | *정보보호 및 개인정보보호 교육 계획서 | ||
*교육 결과보고서 | * 교육 결과보고서 | ||
*공통, 직무별 교육자료 | *공통, 직무별 교육자료 | ||
*교육참석자 목록 | *교육참석자 목록 | ||
| 58번째 줄: | 76번째 줄: | ||
==결함 사례== | ==결함 사례== | ||
*전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우 | * 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우 | ||
*연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우 | *연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우 | ||
*연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 | *연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우 | ||
*정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 | *정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우 | ||
*당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록 ( | *당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육 자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우 | ||
*정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우 | *정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우 | ||
==관련 인증 기준== | |||
'''[[ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리|2.2.1.주요 직무자 지정 및 관리]]''' | |||
*개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.2.직무 분리|2.2.2.직무 분리]]''' | |||
*권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]''' | |||
*정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]''' | |||
*퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]''' | |||
*임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. | |||
==같이 보기== | ==같이 보기== | ||
| 73번째 줄: | 111번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) | ||
2024년 3월 21일 (목) 00:31 기준 최신판
- 영역: 2.보호대책 요구사항
- 분류: 2.2.인적 보안
개요[편집 | 원본 편집]
| 항목 | 2.2.4.인식제고 및 교육훈련 |
|---|---|
| 인증기준 | 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. |
| 주요 확인사항 |
|
| 관련법규 |
|
세부 설명[편집 | 원본 편집]
구체적인 교육 계획 마련[편집 | 원본 편집]
연간 정보보호 및 개인정보보호 교육 계획은 다음과 같이 교육의 시기, 기간, 대상, 내용, 방법 등의 내용을 구체적으로 포함하여 교육 계획을 수립하고 경영진의 승인을 받아야 한다.
- 교육 유형: 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육 등
- 교육 계획: 교육 목적, 교육 대상, 교육 내용, 교육방법, 교육 일정, 교육 시간 등(사업규모, 개인정보 보유수, 업무성격, 교육대상, 교육유형 등에 따라 차등화)
- 교육 승인: 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원 등
연 1회 정기 교육 및 수시 추가 교육 실시[편집 | 원본 편집]
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하여야 한다.
- 정보자산에 직·간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함
- 수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리·감독
- 최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보보호 교육 필요)
- 교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함
※ 정보보호 및 개인정보보호 관련 교육에 포함될 내용(예시)
- 정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률
- 정보보호 및 개인정보보호 관련 내부규정, 관리적·기술적·물리적 조치사항
- 중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등
- 출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인교육 등)
- 내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체)
업무 시작 전 교육 시행[편집 | 원본 편집]
임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다.
- 신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지
주요 업무자 별도 전문성 제고 교육[편집 | 원본 편집]
IT 및 정보보호, 개인정보보호 조직 내 임직원이 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받을 수 있도록 하여야 한다.
- 관련 직무자: IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등
- 교육과정: 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가, 교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등
교육 기록 관리[편집 | 원본 편집]
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하여야 한다.
- 교육시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가
- 교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영
증거 자료[편집 | 원본 편집]
- 정보보호 및 개인정보보호 교육 계획서
- 교육 결과보고서
- 공통, 직무별 교육자료
- 교육참석자 목록
결함 사례[편집 | 원본 편집]
- 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우
- 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
- 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육 자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
- 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우
관련 인증 기준[편집 | 원본 편집]
- 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
- 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
- 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
- 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
- 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
