“개인정보보호 교육을 몇번 받아야 하는지 잘 모르겠어요"
기업을 대표하는 정보보호 담당자들 조차 자사 임직원을 대상으로 정보보호교육을 몇 회 시행해야 하는지 정확히 알지 못하는 경우가 많습니다.
이번 포스팅에서는 각 조직의 특성에 따라 1) 정보보호교육을 몇 회 시행해야 하는지, 2) 어떻게 시행해야하는지 3) 누가 교육을 받아야하는지에 대하여 자세히 알아보도록 하겠습니다.
일반적으로 교육에 대해 규정한 법령 및 제도는 아래와 같습니다
1. 개인정보보호법
2. 정보통신망법
3. 정보보호 관리체계 (ISMS)
4. ISO27001
하나씩 자세히 알아보도록 하겠습니다.
1. 개인정보보호법
개인정보보호법에서는 아래와 같이 규정하고 있습니다.
개인정보보호법 - 제28조(개인정보취급자에 대한 감독)
개인정보보호법에서는 개인정보취급자에게 정기적으로 '필요한 교육' 을 실시해야 한다고 명시되어 있습니다. 그러나 교육 횟수 및 내용 등을 명확히 규정하고 있지 않습니다.
2. 정보통신망법
정보통신망법 - "개인정보의 기술적 관리적 보호조치 기준" 고시
정보통신망법에서는 아래와 같이 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다고 명시되어 있습니다.
교육 내용에는 해당 업무를 수행하기 위한 분야별 전문기술 교육뿐만 아니라 개인정보보호 관련 법률 및 제도, 사내 규정 등 필히 알고 있어야 하는 기본적인 내용을 포함하여 교육을 실시하도록 하고 있습니다.
* 자주 묻는 질문
Q : 개인정보관리자 및 취급자를 대상으로 매년 2회 이상 교육실시는 개인정보를 다루는 모든 사람에게 개별적으로 적용되는 것인가요?
> 조직 내에 개인정보를 다루는 개인정보관리자 및 취급자는 모두 회사에서 수립한 교육 계획에 따라 최소2회 이상의 교육을 받아야 합니다. 만약 회사에서 연 2회 이상의 교육 기회를 제공하였으나 개인정보관리자 및 취급자가 개별적인 사정으로 교육을 실시하지 않았다면 별도로 교육을 받을 수 있는 기회를 제공해야 합니다.
Q : 정보보호 교육의 일부분으로 개인정보보호 교육이 포함되었다면 교육으로 인정되는 것인가요?
> 정보보호 교육이라 하더라도 회사 내부의 개인정보보호 교육 계획에 의해 실시되었다면 개인정보보호 교육으로 인정될 수 있습니다. 다만, 이때에는 개인정보보호 교육 목적과 대상, 일정 및 방법이 개인정보보호 교육 계획과 부합되어야 하며 교육 실시에 대한 자료는 문서화하여 보관할 수 있습니다.
3. 정보보호 관리체계 (ISMS)
ISMS 에서는 다음과 같은 항목을 통해 교육 횟수를 규정하고 있습니다. 교육 계획 수립, 추가 교육, 효과성 측정 관련한 내용은 생략하도록 하겠습니다.
2-1. 통제항목 : 5.2.1 교육 시행 및 평가
2-1. 통제항목 : 5.2.1 교육 시행 및 평가
2-2. 통제목적 : 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 조직 내/외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행하여야 한다. 또한 교육 시행에 대한 기록을 남기고 평가하여야 한다.
2-3. 점검항목 : 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 기본 정보보호 교육을 수행하고 있는가?
- 경영진(최고경영진)의 승인을 받은 정보보호 교육 계획에 따라 정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호 교육을 시행하여야 한다.
- IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 한다.
- 개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수하여야 한다. (기본 정보보호 교육에 개인정보보호 내용을 포함할 수 있다.)
- ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제3조(내부관리계획의 수립 ∙ 시행) 2항
* 자주 묻는 질문
Q. 인턴도 교육을 받아야 하나요?
> 물론입니다. ISMS 규정에서는 아래와 같이 명시하고 있습니다.
- 정보보호 교육 대상에는 정보보호 관리체계 범위 내 정보자산에 직/간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함 한다.
- 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.
- 교육 대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.
Q. 장기 휴가자도 교육을 받아야 하나요?
> 물론입니다. ISMS 규정에서는 아래와 같이 규정하고 있습니다.
- 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다
Q. 인턴도 교육을 받아야 하나요?
> 물론입니다. ISMS 규정에서는 아래와 같이 명시하고 있습니다.
- 정보보호 교육 대상에는 정보보호 관리체계 범위 내 정보자산에 직/간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함 한다.
- 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.
- 교육 대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.
Q. 장기 휴가자도 교육을 받아야 하나요?
> 물론입니다. ISMS 규정에서는 아래와 같이 규정하고 있습니다.
- 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다
4. ISO 27001
ISO 27001 에서는 아래와 같이 교육에 대해 규정하고 있습니다
3-1. 통제항목 : A.7.2 고용 중 - A.7.2.2 정보보안 인식, 교육 및 훈련
3-2. 통제사항 : 조직의 모든 임직원, 관련 하청업자에 대해서, 해당 직무 기능과 관련된 조직 내 정책과 절차를 적절하게 인식할 수 있도록 관련 교육과 훈련 및 정규 업데이트를 실시한다.
<A.7.2.2 Information security awareness education and training>
5. 요약
지금까지 4개 법령 및 제도에서 교육에 대해 규정항목을 살펴보았습니다.
위의 내용을 종합적으로 정리하면 아래의 4가지 분류에 따라 교육방법이 분류 될 수 있습니다.
본인이 속한 기업이
- 개인정보보호법 적용 기업인 경우 :
- 정보통신서비스 제공자인 경우 (ISMS 인증 의무 대상 아님) :
- 정보통신서비스 제공자이자 ISMS 인증 의무대상 기업인 경우 :
- 개인정보보호법 적용 대상인 경우 :
하나씩 살펴 보도록 하겠습니다.
1) 개인정보보호법 적용 기업인 경우
교육 횟수, 내용 등에 대한 정확한 규정이 없으므로, 개인정보취급자를 대상으로 필요한 교육을 1회 이상 수행하면 됩니다.
2) 정보통신서비스 제공자인 경우 (ISMS 인증 의무 대상 아님)
단순 정보통신서비스 제공자인 경우, 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 합니다.
3) 정보통신서비스 제공자이자 ISMS 인증 의무대상 기업인 경우
정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호교육을 시행하여야 합니다.
개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수 하여야 합니다.
(단, 기본 정보보호 교육에 개인정보보호 내용을 포함하여 1회를 갈음할 수 있습니다.)
또한 IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 합니다.
4) ISO27001 적용 대상인 경우
이 역시 교육 횟수, 및 교육 내용등에 대한 정확하게 명시하고 있지 않습니다.
따라서 임직원 및 외부직원을 대상으로한 개인정보보호교육 및 직무 교육에 대한 규정을 정책/지침에 명시하고 정기적으로 교육훈련을 시행하면 됩니다.
0 개의 댓글:
댓글 쓰기