반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.2 인적 보안 | 2.2.1 주요 직무자 지정 및 관리 |
| 2.2.2 직무 분리 | |
| 2.2.3 보안 서약 | |
| 2.2.4 인식제고 및 교육훈련 | |
| 2.2.5 퇴직 및 직무변경 관리 | |
| 2.2.6 보안 위반 시 조치 |
시기대내방
구체적 연간 교육 계획 수립 · 경영진 승인,
연 1회 이상 수행 · 기록 보관, 적정성 평가, 직무별 전문 교육 별도 운영
핵심 키워드 & 내용
- 인식제고, 정보보호 및 개인정보보호 교육 계획, 연 1회 이상 정기적 교육,
- 직무별 전문성 제고 위한 별도 교육, 교육 효과와 적성성 평가, 다음 교육 계획에 반영
- 연간 (개인)정보보호 교육계획 수립 후 경영진 승인
- 모든 임직원, 외부자를 연 1회 이상 정기적 교육
- 채용, 계약 시 업무 시작 전 교육 시행
- 주요 직무자에 직무별 전문성 제고를 위한 별도 교육 시행
- 교육 시행 기록 보존 및 교육 효과와 적정성 평가하여 다음 교육 계획에 반영
연관 두음
▶ 교육 계획에 포함될 내용
[두음] 시기대내방
교육 시기, 기간, 대상, 내용, 방법
인증기준
임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록
연간 인식제고 활동 및 교육훈련 계획을 수립 · 운영하고,
그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
주요 확인사항
▶ 교육 계획에 포함될 내용
[두음] 시기대내방
교육 시기, 기간, 대상, 내용, 방법
* 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된
연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?
* 관리체계 범위 내 모든 임직원과 외부자를 대상으로
연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고,
관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?
* 임직원 채용 및 외부자 신규 계약 시 업무 시작 전에
정보보호 및 개인정보보호 교육을 시행하고 있는가?
* IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여
직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
* 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
세부 설명
□ 연간 정보보호 및 개인정보보호 교육 계획은 다음과 같이 교육의 시기, 기간, 대상, 내용, 방법 등의
내용을 구체적으로 포함하여 교육 계획을 수립하고 경영진의 승인을 받아야 한다.
□ 관리체계 범위 내 모든 임직원과 외부자를 대상으로
연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고,
관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하여야 한다.
□ 임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다.
□ IT 및 정보보호, 개인정보보호 조직 내 임직원이 정보보호 및 개인정보보호와 관련하여
직무별 전문성 제고를 위한 별도의 교육을 받을 수 있도록 하여야 한다.
□ 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하여야 한다.
결함사례
사례 1 :
전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나,
당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
사례 2 :
연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나,
시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
사례 3 :
연간 정보보호 및 개인정보보호 교육 계획에
전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나,
개인정보 보호책임자 및 개인정보담당자 등
직무별로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
사례 4 :
정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과,
인증범위 내의 정보 자산 및 설비에 접근하는
외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
사례 5 :
당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나,
교육시행 및 평가에 관한 기록 (교육자료, 출석부, 평가 설문지, 결과보고서 등)
일부를 남기지 않고 있는 경우
사례 6 :
정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한
추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우
가상자산 사업자 대상 주요 확인사항
정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된
연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?
(다음 교육시간 준수)
- 임원 : 3시간 이상 (단, 정보보호 최고책임자는 6시간 이상)
- 일반직원 : 6시간 이상
- 정보기술부문업무 담당 직원 : 9시간 이상
- 정보보호업무 담당 직원 : 12시간 이상
IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은
직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.2.6 보안 위반 시 조치 (0) | 2023.01.07 |
|---|---|
| 2.2.5 퇴직 및 직무변경 관리 (0) | 2023.01.07 |
| 2.2.3 보안 서약 (0) | 2023.01.07 |
| 2.2.2 직무 분리 (0) | 2023.01.07 |
| 2.2.1 주요 직무자 지정 및 관리 (0) | 2023.01.07 |
댓글