Home » ISMS 인증기준 – 정보보호대책 (정보보호교육)

ISMS 인증기준 – 정보보호대책 (정보보호교육)

5.1 교육 프로그램 수립

5.1.1 교육 계획

교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하여야 한다.

  • 정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하고 있는가?
ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다.

– 교육 시기 (예 : 분기별, 반기별 등)
– 시기별 교육 기간
– 교육 대상
– 교육 내용
– 교육 방법 (예 : 온라인, 집합교육 등)

  • 정보보호교육 시행을 책임질 수 있는 경영진(최고경영자 등)이 정보보호 교육 계획을 검토하여 승인하고 있는가?
ㅇ 예산 배정 및 집행 권한을 보유하고 있는 경영진(최고경영자)은 연간 정보보호 교육 계획을 검토하고 승인하여 정보보호 교육이 계획에 따라 이행될 수 있도록 적극 지원하여야 한다.

5.1.2 교육 대상

교육 대상에는 정보보호 관리체계 범위 내 임직원 및 외부자를 모두 포함하여야 한다.

  • 정보보호 교육대상에 정보보호 관리체계 범위 내 정보자산에 직 ∙ 간접적으로 접근하는 임직원 및 외부자를 모두 포함하고 있는가?
ㅇ 정보보호 교육대상에는 정보보호 관리체계 범위 내 정보자산에 직 ∙ 간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함하여야 한다.

ㅇ 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.

ㅇ 교육대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.

5.1.3 교육 내용 및 방법

교육에는 정보보호 및 정보보호 관리체계 개요, 보안사고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.

  • 임직원 대상 기본 정보보호교육에 다음의 내용을 포함하고 있는가?
    -정보보호 및 정보보호 관리체계 개요
    -정보보호 정책, 지침, 절차 등 정보보호 관련 내부규정
    -정보보호 관련 법률
    -침해사고 사례 및 대응방안
    -정보보호 규정 위반 시 법적 책임 등
ㅇ 기본 정보보호교육에는 다음과 같은 내용을 포함하여야 한다.

– 정보보호의 기본 개요
– 정보보호 관리체계 구축 절차 및 방법
– 정보보호 관련 법률의 이해 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법, 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률, 전자상거래 등에서의 소비자보호에 관한 법률 등
– 침해사고 대응 절차 등 임직원이 준수하여야 할 정보보호 관련 내부규정
– 최근 침해사고 사례 및 정보보호 관련 국내외 동향
– 정보보호 규정 위반 시 상벌규정, 법적 책임 등

ㅇ 교육을 효과적으로 시행하기 위하여 집합교육, 온라인교육, 전달교육 등 다양한 교육방법을 정할 수 있다.

ㅇ 교육의 대상, 내용, 기간 등에 따라 효과적으로 교육을 수행할 수 있는 방법 (예 : 집합교육, 온라인 교육, 전달 교육 등)을 선택하여야 한다.

ㅇ 정보보호 인식제고 위하여 보안의 날 지정, 포스터 또는 뉴스레터를 제작할 수도 있다.

  • IT 및 정보보호 조직 내 임직원은 정보보호와 관련하여 직무별 전문성 제고를 위하여 필요한 별도의 교육을 받고 있는가?
ㅇ IT 직무자(운영, 개발), 정보보호 직무자는 일반 직원과 별도로 직무별 업무 수행에 필요한 정보보호교육을 받아야 한다. 직무별 교육은 다음과 같은 교육과정을 활용할 수 있다.

– 정보보호 관련 컨퍼런스, 세미나, 워크샵 참가
– 정보보호 관련 교육 전문기관 내 교육 수료
– 외부 전문가 초빙을 통한 내부 교육 및 세미나

5.2 교육 시행 및 평가

5.2.1 교육 시행 및 평가

정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 조직 내 ∙ 외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행하여야 한다. 또한 교육 시행에 대한 기록을 남기고 평가하여야 한다.

  • 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 기본 정보보호 교육을 수행하고 있는가?
ㅇ 경영진(최고경영진)의 승인을 받은 정보보호 교육 계획에 따라 정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호 교육을 시행하여야 한다.

ㅇ IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 한다.

ㅇ 개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수하여야 한다. (기본 정보보호 교육에 개인정보보호 내용을 포함할 수 있다.)

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ 제3조(내부관리계획의 수립 ∙ 시행) 2항

  • 정보보호 정책 및 절차의 중대한 변경, 조직 내 ∙ 외부 보안사고 발생, 정보보호 관련 법률 변경 등 발생 시 이에 대한 추가 교육을 수행하고 있는가?
ㅇ 기본 정보보호 교육 이외에 다음과 같은 상황이 발생할 경우 추가적인 정보보호 교육을 수행하여야 한다.

– 정보보호(개인정보 포함) 관련 법률 변경
– 조직 내 정보보호 관련 정책 및 절차 변경
– 조직 내 ∙ 외부 보안사고 발생
– 업무 환경의 중대한 변화 발생 (예 : 정보보호 관리체계 범위 변경)

  • 출장, 휴가 등의 사정으로 정기 정보보호 교육을 받지 못한 인력에 대한 교육 방법을 마련하고 시행하고 있는가?
ㅇ 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다.

  • 임직원 및 외부자 신규 채용 계약 시, 업무 시작 전에 정보보호 교육을 시행하고 있는가?
ㅇ 채용으로 인해 신규 인력 발생 시, 업무 투입 전에 정보보호 교육을 실시하여 조직 내 정보보호 관련 사전 지식이 없는 데 따른 보안규정 위반, 보안사고 발생의 위험수준을 낮추도록 하여야 한다.
  • 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
ㅇ 교육 시행 후, 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통해 교육 내용의 적절성과 효과성을 평가하여야 한다.

ㅇ 교육평가 결과 내용에서 도출된 문제점에 대해 개선 대책을 마련하고 차기 교육 계획 수립 시 반영하여야 한다.