항목 : 2.2.4 인식제고 및 교육훈련
■ 인증기준 : 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
■ 주요 확인사항
- 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
- 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?
- 임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?
- IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
- 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
■ 관련 법규
- 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한), 제28조(개인정보 취급자에 대한 감독), 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
- 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행
금융분야 추가확인사항
- 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행) 제1항
- 신용정보업감독규정 제23조의3(본인신용정보관리회사의 행위규칙 등) 제2항제6호
- 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행) 제1항
- 신용정보업 제17조(처리의 위탁) 제5항
- 신용정보업 시행령 제14조(수집된 신용정보 처리의 위탁) 제5항
- 신용정보업감독규정 제23조의3(본인신용정보관리회사의 행위규칙 등) 제2항제6호
- 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행) 제2항
■ 세부 설명
① 연간 정보보호 및 개인정보보호 교육 계획은 다음과 같이 교육의 시기, 기간, 대상, 내용, 방법 등의 내용을 구체적으로 포함하여 교육 계획을 수립하고 경영진의 승인을 받아야 한다.
- 교육 유형 : 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육 등
- 교육 방법 : 교육 목적, 교육 대상, 교육 일정, 교육 시간, 교육 내용, 온라인 및 집합교육 등
- 교육 승인 : 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원 등
금융분야 추가확인사항
② 정보보호 최고책임자와 신용정보관리・보호인은 임직원 등에 대해 정보보호 및 신용정보보호 교육 계획을 수립・이행하여야 한다.
- 교육 시간 : (금융회사 또는 전자금융업자의 경우) 임직원 교육 이수 시간 준수
- 임원 : 3시간(단, 정보보호 최고책임자는 6시간 이상)
- 일반직원 : 6시간 이상
- 정보기술부문업무 담당직원 : 9시간 이상
- 정보보호업무 담당 직원 : 12시간 이상
③ 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하여야 한다.
- 정보자산에 직・간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함
- 수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리・감독
- 최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보보호 교육 필요)
- 교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함
- 출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인교육 등)
- 내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체)
④ 임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다.
- 신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지
⑤ IT 및 정보보호, 개인정보보호 조직 내 임직원이 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받을 수 있도록 하여야 한다.
- 관련 직무자 : IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등
- 교육과정 : 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가, 교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등
⑥ 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하여야 한다.
- 교육시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가
- 교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영
■ 증적예시
- 정보보호 및 개인정보보호 교육 계획서
- 교육 결과보고서
- 공통, 직무별 교육자료
- 교육참석자 목록
■ 결함사례
- 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보취급자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우
- 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
- 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
- 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립・이행하고 있지 않은 경우
금융회사 추가확인사항
7. 금융회사등이 전자금융감독규정에서 명시한 정보보호 최소 교육 시간을 연간 교육 계획에 반영하지 않았거나, 각 대상별 최소 교육시간(3~12시간)보다 부족한 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.6 보안 위반 시 조치) (0) | 2023.02.13 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.5 퇴직 및 직무변경 관리) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.3 보안 서약) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.2 직무 분리) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.1 주요 직무자 지정 및 관리) (0) | 2023.02.10 |