ISMS-P 인증 준비, 인식제고 및 교육훈련

ISMS-P 인증 

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 직무 분리

2.2.3 보안 서약

2.2.4 인식제고 및 교육훈련

2.2.5 퇴직 및 직무변경 관리

2.2.6 보안 위반 시 조치

 

ISMS-P 간편인증(7의3)

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 보안 서약

2.2.3 인식제고 및 교육훈련

2.2.4 퇴직 및 직무 변경 관리

 

ISMS-P 간편인증(7의2) 

2.1 인적보안

2.1.1 보안 서약

2.1.2 인식제고 및 교육훈련

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업 (7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

개요

인증기준

임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립ㆍ운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

 

주요확인사항

정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?

관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?

임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?

IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?

교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?

세부 설명

1. 구체적인 교육 계획 마련
연간 정보보호 및 개인정보보호 교육 계획은 다음과 같이 교육의 시기, 기간, 대상, 내용, 방법 등의 내용을 구체적으로 포함하여 교육 계획을 수립하고 경영진의 승인을 받아야 한다.

* 교육 유형: 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육 등
* 교육 계획: 교육 목적, 교육 대상, 교육 내용, 교육방법, 교육 일정, 교육 시간 등(사업규모, 개인정보 보유수, 업무성격, 교육대상, 교육유형 등에 따라 차등화)
* 교육 승인: 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원 등

2. 연 1회 정기 교육 및 수시 추가 교육 실시
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하여야 한다.

* 정보자산에 직·간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함
* 수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리·감독
* 최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보보호 교육 필요)
* 교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함
* 출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인교육 등)
* 내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체)

※ 정보보호 및 개인정보보호 관련 교육에 포함될 내용(예시)
* 정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률
* 정보보호 및 개인정보보호 관련 내부규정, 관리적·기술적·물리적 조치사항
* 중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등

 

3. 업무 시작 전 교육 시행
임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다.

신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지

4. 주요 업무자 별도 전문성 제고 교육
IT 및  정보보호, 개인정보보호 조직 내 임직원이 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받을 수 있도록 하여야 한다.

* 관련 직무자: IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등
* 교육과정: 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가,  교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등

 

5. 교육 기록 관리
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하여야 한다.

* 교육시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가
* 교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영

 

증거 자료

정보보호 및 개인정보보호 교육 계획서 교육 결과보고서 공통, 직무별 교육자료 교육참석자 목록

결함 사례

전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육 자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB