ISMS(정보보호관리체계) 인증 기준 2.2.4 인식제고 및 교육훈련

보안담당자로 살아가기/ISMS(정보보호관리체계)

ISMS(정보보호관리체계) 인증 기준 2.2.4 인식제고 및 교육훈련

부소대장 2023. 8. 30. 13:37

2. 보호대책 요구사항 > 2.2 인적 보안 > 2.2.4 인식제고 및 교육훈련

항목		상세내용
2.2.4	인식제고 및 교육훈련	임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립ㆍ운영하고 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
주요 확인사항		ㆍ정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가? ㆍ관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가? ㆍ임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가? ㆍIT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가? ㆍ교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
관련 법규

● 중요사안

- 임직원에 대한 정보보호 인식 및 정보보호 전문 기술 향상을 위해 정보보호 교육 관련 지침을 수립하고, 지침에 따라 정기ㆍ수시적으로 교육을 수행해야 한다.

- 정보보호 교육계획은 연간 정보보호 계획서 내에 계획을 수립하고 전년도말 혹은 당해 1/4분기 이내에 하는 것을 권고한다.

- 정보보호 교육훈련 지침이 현행화되지 않을 경우 실제 이행 결과가 누락되거나 지침과 상이한 신청기관이 있다. 따라서 정보보호 교육훈련 지침을 수립 시에는 업무특성 및 임직원의 교육 참여도를 높일 수 있는 실효성 있는 방안을 마련한다.

- 금융회사 또는 전자금융업자는 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행)에 따라 매년 교육계획을 수립하고, 최소 교육 이수시간을 준수해야 한다. 또한 교육을 실시한 후 임직원에 대한 평가를 실시하여야 한다.

- 개인정보처리자는 개인정보보호법 제28조(개인정보취급자에 대한 감독)에 따라 개인정보취급자에게 정기적으로 교육을 실시하여야 한다.

- 정보통신서비스 제공자등은 정보통신망법 시행령 제15조(개인정보의 보호조치)에 따라 안전한 개인정보 취급을 위하여 내부관리계획 수립 시 개인정보취급자에 대한 교육 사항을 포함하여 수립ㆍ실시하여야 한다.

- 정보보호 교육훈련 지침 및 정보보호 교육계획서에 임직원, 정보보호담당자, 정보기술담당자 뿐만 아니라 외부자까지 교육 대상에 포함한다.

- 정보자산이 위치한 전산실, 공조실, 관제센터 등 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식 교육을 수행하여야 한다.

- 정보보호 교육 계획에 훈련 대상자의 직위 및 담당하는 업무의 특성에 따라 적절히 분류하여 대상별로 교육을 수행한다.

- 정보보호관리체계 대상 인원에 대한 정보보호 교육에는 내부 정보보호 규정, 관련 법률 등이 포함된 정보보호 교육을 실시하여야 한다.

> 정보보호 교육은 오프라인교육, 온라인 교육 등 상황에 따라 교육방법을 다양하게 실시할 수 있으며 직무에 따라 교육 내용 및 방법을 선정하여 실시하여야 한다.

- 정보보호 교육계획서에 따라 교육을 실시하였으나 참석자 명단과 교육 결과에 대한 평가 증적자료가 없는 경우가 있어, 참석자 명단 확인서 등의 준비가 필요하다.

● 운영현황

- 매년 정보보호 및 개인정보보호 교육계획을 수립하여 책임자의 승인을 득하고 있음.

- 연간 교육계획은 다음의 사항을 포함하고 있음.

> 교육대상, 일시, 주체, 방법, 내용, 평가 등

- 전 임직원 대상으로 정보보호 및 개인정보보호 교육을 수행하고 교육 결과에 대한 평가(설문조사)를 수행하고 그 내용을 차년도 교육계획에 반영하고 있음.

- 교육 참석자 및 수료여부 등 교육 결과를 기록하고 그 내용을 책임자에게 보고하고 있음.

- 외부자 교육을 별도 수행하고 그 이력을 관리하고 있음.

● 기록(증적자료)

- 정보보호 및 개인정보보호 교육계획서

- 정보보호 교육훈련 지침

- 교육자료

- 교육평가 결과 보고서

- 교육참가자 명단

- 교육 수료증

'보안담당자로 살아가기 > ISMS(정보보호관리체계)' 카테고리의 다른 글

ISMS(정보보호관리체계) 인증 기준 2.2.6 보안 위반 시 조치 (0)	2023.08.31
ISMS(정보보호관리체계) 인증 기준 2.2.5 퇴직 및 직무변경 관리 (0)	2023.08.31
ISMS(정보보호관리체계) 인증 기준 2.2.3 보안 서약 (0)	2023.08.25
ISMS(정보보호관리체계) 인증 기준 2.2.2 직무 분리 (0)	2023.08.22
ISMS(정보보호관리체계) 인증 기준 2.2.1 주요 직무자 지정 및 관리 (0)	2023.08.22

현재글ISMS(정보보호관리체계) 인증 기준 2.2.4 인식제고 및 교육훈련

보안쟁이 '부소대장'의 스토리에 오신걸 환영합니다.

ISMS-P, 대칭키, 보안 취약점 진단, 개인정보 처리요구, 전자금융기반시설, 정보보호관리체계, isms, 서버 취약점 진단, 서버 취약점 점검, 서버 취약점 평가, 1.1 관리체계 기반 마련, 개인정보관리사, 개인정보보호법, 정보통신망법, 개인정보 이용내역 통지, 정보보호 관리체계, 보안 취약점 점검, 보안 취약점 평가, 1. 관리체계 수립 및 운영, 전자금융기반시설 취약점 평가,

Today :
Yesterday :

하루에 하나씩