개요
카테고리 : 교육 및 훈련
통제항목번호 : A-16
위험도 : 상
통제항목 : 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시
판단(평가기준)
만족
• 관리기관 내 교육훈련 계획을 수립하고 있지 않으며, 상급기관의 교육계획에 따라 참여하는 경우
• 정보보호 계획이 수립되고 적용 됨
• 정보보호 교육 결과 확인서(가칭)를 통해 교육 이력 확인
• 임직원, 정보보호 기술, 정보보호 업무 담당 등에 대한 직무별 교육실시
부분만족
• 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음
N/A
• 해당 사항 없음
관련 법령 및 규칙
관련 법령 및 규칙
○ 국가 정보보안 기본지침
- 제9조(정보보안교육)
○ 보안업무규정 시행규칙
- 제69조(보안교육)
○ 행정안전부 보안업무규정 시행세칙
- 제13조(서약 및 교육)
- 제49조(보안교육)
○ 행정안전부 소관 주요정보통신기반시설 보호지침
- 제12조(정보보호 교육·모의훈련의 실시)
증빙문서 및 참고사항
증빙 문서
• 교육 및 훈련 관련 규정
• 교육 결과 보고서 등 이력관리 증빙자료
• 교육 계획 및 교육 보고 결과 공문(기안)서
참고 사항
○ [‘행정안전부 소관 주요정보통신기반시설 보호지침’ 기준] 용역사업에 대해 반기 1회 이상(상주업체 분기 1회 이상) 교육을 실시하며, 교육 내용에는 법적 또
는 관리기관의 규정에 따른 비밀유지 의무 준수, 전산망 보안관리, 위반 시 처벌내용, 누출금지 대상정보 및 정보 유출 시 부정당업자 제재조치 등을 포함하며, 누출금지 대상정보는 다음과 같음
- 기관 소유 정보(제어)시스템 내·외부 IP 주소 현황
- 정보(제어)시스템 세부 구성현황 및 정보통신(제어)망 구성도
- 계정(아이디·비밀번호) 등 정보(제어)시스템 접근권한 정보
- 취약점 분석·평가 결과물
- 용역사업 결과물 및 프로그램 소스코드
- 침입차단시스템, 침입방지시스템 등 정보보호시스템 및 라우터, 스위치 등 네트워크 장비 설정정보 등
Comment
정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시하는 것은 다음과 같은 이유로 중요합니다:
개인정보 유출 위험 감소: 디지털 시대에 해킹, 피싱, 랜섬웨어 등 다양한 사이버 위협이 증가하고 있습니다. 정기적인 교육을 통해 직원들이 이러한 위험을 인지하고 예방할 수 있어, 개인과 기업의 정보 보호에 크게 기여합니다.
법적 요구사항 준수: 개인정보보호는 법적 의무사항이며, 이를 위반할 경우 기업은 막대한 벌금이나 소송에 직면할 수 있습니다. 정기적인 교육을 통해 직원들이 관련 법규를 이해하고 준수하도록 함으로써 기업의 법적 리스크를 줄일 수 있습니다.
조직 전체의 보안 문화 조성: 지속적이고 체계적인 교육은 단순히 지식 전달을 넘어 조직 전체에 정보보호 문화를 형성합니다. 이는 개인의 행동 변화를 유도하고, 궁극적으로 조직의 전반적인 보안 수준을 향상시키는 데 기여합니다.