개요
카테고리 : 교육 및 훈련
통제항목번호 : A-15
위험도 : 상
통제항목 : 교육 훈련 대상은 관련된 모든 내외 임직원 및 외부 인력을 포함하고 있으며 정보자산에 간접적으로 접근하는 일반 외부용역 직원에 대해서도 정보보호교육훈련 수행
판단(평가기준)
만족
• 관리기관 내 교육훈련 계획을 수립하고 있지 않으며, 상급기관의 교육계획에 따라 참여하는 경우
• 정보보호 계획이 수립되고 적용 됨
• 정보보호 교육 결과 확인서(가칭)를 통해 교육 이력 확인
• 임직원, 정보보호 기술, 정보보호 업무 담당 등에 대한 직무별 교육실시
부분만족
• 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음
• 일부 교육 대상자 누락
N/A
• 해당 사항 없음
관련 법령 및 규칙
관련 법령 및 규칙
○ 국가 정보보안 기본지침
- 제9조(정보보안교육)
- 제26조(용역업체 보안)
○ 보안업무규정 시행규칙
- 제69조(보안교육)
○ 행정안전부 보안업무규정 시행세칙
- 제13조(서약 및 교육)
- 제49조(보안교육)
○ 행정안전부 소관 주요정보통신기반시설 보호지침
- 제12조(정보보호 교육·모의훈련의 실시)
증빙문서 및 참고사항
증빙 문서
• 교육 및 훈련 관련 규정
• 교육 결과 보고서 등 이력관리 증빙자료
• 교육 계획 및 교육 보고 결과 공문(기안)서
참고 사항
○ 정보보호 교육 대상은 기관내 정보자산에 직·간접적으로 접근하는 직원, 계약직, 외주용역업체 직원 증 모든 인력이 포함되어 있는지 확인
○ [‘행정안전부 소관 주요정보통신기반시설 보호지침’ 기준] 용역사업에 대해 반기 1회 이상(상주업체 분기 1회 이상) 교육을 실시하며, 교육 내용에는 법적 또는 관리기관의 규정에 따른 비밀유지 의무 준수, 전산망 보안관리, 위반 시 처벌내용, 누출금지 대상정보 및 정보 유출 시 부정당업자 제재조치 등을 포함하며, 누출금지 대상정보는 다음과 같음
- 기관 소유 정보(제어)시스템 내·외부 IP 주소 현황
- 정보(제어)시스템 세부 구성현황 및 정보통신(제어)망 구성도
- 계정(아이디·비밀번호) 등 정보(제어)시스템 접근권한 정보
- 취약점 분석·평가 결과물
- 용역사업 결과물 및 프로그램 소스코드
- 침입차단시스템, 침입방지시스템 등 정보보호시스템 및 라우터, 스위치 등네트워크 장비 설정정보 등
Comment
정보자산에 간접적으로 접근하는 일반 외부용역 직원에게도 정보보호교육훈련을 수행하는 것이 중요한 이유는 다음과 같습니다:
보안 위험 최소화: 외부용역 직원도 조직의 정보자산에 간접적으로 접근할 수 있기 때문에, 이들에게 기본적인 정보보호 인식교육을 제공함으로써 잠재적인 보안 위험을 줄일 수 있습니다.
전반적인 보안 수준 향상: 청소원, 경비원 등 정보자산이 위치한 장소에 접근할 수 있는 모든 인력에게 교육을 실시함으로써, 조직 전체의 정보보호 수준을 높일 수 있습니다.
법적 요구사항 준수: 정보보호 관리체계 범위 내의 모든 인력에 대한 교육은 법적 요구사항일 수 있으며, 이를 통해 조직은 관련 법규를 준수하고 잠재적인 법적 책임을 방지할 수 있습니다.
'주요정보통신기반시설 > 관리적 분야' 카테고리의 다른 글
| A-17 담당업무(조직)에 따라 접근통제의 방법과 범위 등을 정의하고 문서화 (0) | 2025.02.21 |
|---|---|
| A-16 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시 (0) | 2025.02.21 |
| A-14 정보나 매체가 용도 폐기되기 위한 폐기 방법이 수립되고 적절하게 이행 (0) | 2025.02.21 |
| A-13 미디어 장치(노트북, 태블릿, 이동식저장매체 등)의 사용 및 반출입에 대한 관리절차나 문서보유 (0) | 2025.02.21 |
| A-12 정보자산별로 책임자가 지정되어 있으며 소유자, 관리자, 사용자들을 명시 (0) | 2025.02.21 |