[K-ISMS 인증기준] 정보보호대책 5. 정보보호교육

K-ISMS 인증기준 - 5. 정보보호교육

---

5.1 교육 프로그램 수립

5.1.1 교육 계획

교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하여야 한다.

5.1.1.1 정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하고 있는가?

ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다.  - 교육 시기 (예 : 분기별, 반기별 등) - 시기별 교육 기간  - 교육 대상 - 교육 내용 - 교육 방법 (예 : 온라인, 집합교육 등)

5.1.1.2 정보보호교육 시행을 책임질 수 있는 경영진(최고경영자 등)이 정보보호 교육 계획을 검토하여 승인하고 있는가?

ㅇ 예산 배정 및 집행 권한을 보유하고 있는 경영진(최고경영자)은 연간 정보보호 교육 계획을 검토하고 승인하여 정보보호 교육이 계획에 따라 이행될 수 있도록 적극 지원하여야 한다.

5.1.2 교육 대상

교육 대상에는 정보보호 관리체계 범위 내 임직원 및 외부자를 모두 포함하여야 한다.

5.1.2.1 정보보호 교육대상에 정보보호 관리체계 범위 내 정보자산에 직 ∙ 간접적으로 접근하는 임직원 및 외부자를 모두 포함하고 있는가?

ㅇ 정보보호 교육대상에는 정보보호 관리체계 범위 내 정보자산에 직 ∙ 간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함하여야 한다.  ㅇ 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다. ㅇ 교육대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.

5.1.3 교육 내용 및 방법

교육에는 정보보호 및 정보보호 관리체계 개요, 보안사고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.

5.1.3.1 임직원 대상 기본 정보보호교육에 다음의 내용을 포함하고 있는가?

-정보보호 및 정보보호 관리체계 개요

-정보보호 정책, 지침, 절차 등 정보보호 관련 내부규정

-정보보호 관련 법률 

-침해사고 사례 및 대응방안 

-정보보호 규정 위반 시 법적 책임 등

ㅇ 기본 정보보호교육에는 다음과 같은 내용을 포함하여야 한다. - 정보보호의 기본 개요 - 정보보호 관리체계 구축 절차 및 방법 - 정보보호 관련 법률의 이해 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법, 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률, 전자상거래 등에서의 소비자보호에 관한 법률 등 - 침해사고 대응 절차 등 임직원이 준수하여야 할 정보보호 관련 내부규정 - 최근 침해사고 사례 및 정보보호 관련 국내외 동향 - 정보보호 규정 위반 시 상벌규정, 법적 책임 등 ㅇ 교육을 효과적으로 시행하기 위하여 집합교육, 온라인교육, 전달교육 등 다양한 교육방법을 정할 수 있다.  ㅇ 교육의 대상, 내용, 기간 등에 따라 효과적으로 교육을 수행할 수 있는 방법 (예 : 집합교육, 온라인 교육, 전달 교육 등)을 선택하여야 한다. ㅇ 정보보호 인식제고 위하여 보안의 날 지정, 포스터 또는 뉴스레터를 제작할 수도 있다.

5.1.3.2 IT 및 정보보호 조직 내 임직원은 정보보호와 관련하여 직무별 전문성 제고를 위하여 필요한 별도의 교육을 받고 있는가?

ㅇ IT 직무자(운영, 개발), 정보보호 직무자는 일반 직원과 별도로 직무별 업무 수행에 필요한 정보보호교육을 받아야 한다. 직무별 교육은 다음과 같은 교육과정을 활용할 수 있다.  - 정보보호 관련 컨퍼런스, 세미나, 워크샵 참가 - 정보보호 관련 교육 전문기관 내 교육 수료 - 외부 전문가 초빙을 통한 내부 교육 및 세미나

---

5.2 교육 시행 및 평가

5.2.1 교육 시행 및 평가

정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 조직 내 ∙ 외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행하여야 한다. 또한 교육 시행에 대한 기록을 남기고 평가하여야 한다.

5.2.1.1 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 기본 정보보호 교육을 수행하고 있는가?

ㅇ 경영진(최고경영진)의 승인을 받은 정보보호 교육 계획에 따라 정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호 교육을 시행하여야 한다. ㅇ IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 한다. ㅇ 개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수하여야 한다. (기본 정보보호 교육에 개인정보보호 내용을 포함할 수 있다.) ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제3조(내부관리계획의 수립 ∙ 시행) 2항

5.2.1.2 정보보호 정책 및 절차의 중대한 변경, 조직 내 ∙ 외부 보안사고 발생, 정보보호 관련 법률 변경 등 발생 시 이에 대한 추가 교육을 수행하고 있는가?

ㅇ 기본 정보보호 교육 이외에 다음과 같은 상황이 발생할 경우 추가적인 정보보호 교육을 수행하여야 한다.  - 정보보호(개인정보 포함) 관련 법률 변경 - 조직 내 정보보호 관련 정책 및 절차 변경 - 조직 내 ∙ 외부 보안사고 발생 - 업무 환경의 중대한 변화 발생 (예 : 정보보호 관리체계 범위 변경)

5.2.1.3 출장, 휴가 등의 사정으로 정기 정보보호 교육을 받지 못한 인력에 대한 교육 방법을 마련하고 시행하고 있는가?

ㅇ 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다.

5.2.1.4 임직원 및 외부자 신규 채용 계약 시, 업무 시작 전에 정보보호 교육을 시행하고 있는가?

ㅇ 채용으로 인해 신규 인력 발생 시, 업무 투입 전에 정보보호 교육을 실시하여 조직 내 정보보호 관련 사전 지식이 없는 데 따른 보안규정 위반, 보안사고 발생의 위험수준을 낮추도록 하여야 한다.

5.2.1.5 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?

ㅇ 교육 시행 후, 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통해 교육 내용의 적절성과 효과성을 평가하여야 한다. ㅇ 교육평가 결과 내용에서 도출된 문제점에 대해 개선 대책을 마련하고 차기 교육 계획 수립 시 반영하여야 한다.