포인트: 2.11.4 사고 대응 교육 및 개선
■ 인증기준 : 관리자, 임직원 및 이해관계자가 침입사고 및 개인정보 유출에 대한 대응절차를 숙지할 수 있도록 시나리오에 따라 연 1회 이상 모의훈련을 실시하고, 이를 반영하여 대응체계를 개선한다.
훈련 결과.
■ 중요한 제어 포인트
- 침해사고 및 개인정보 유출사고 대응을 위한 모의훈련 일정을 수립하고 연 1회 이상 정기적으로 교육을 실시하였습니까?
- 침해 및 개인정보 유출 사고에 대한 교육 결과를 반영하여 침해 및 개인정보 유출 사고에 대한 대응 체계가 개선될까요?
추가 재무 통제
■ 관련 법률 및 규정
- 전자금융감독령 제37조 4항 (위반시 사고지원센터 지정 및 업무범위 등) 제5항
■ 세부
① 침해사고 및 개인정보 유출사고 대응을 위한 모의훈련계획을 수립하고, 계획에 따른 정기교육을 연 1회 이상 실시한다.
- 사고 대응 절차의 적정성을 검증하고 사고 발생 시 신속하게 대응할 수 있도록 모의 훈련 계획을 수립하여 시행합니다.
- 최신 사건, 해킹 동향, 사업 특성 등을 공유하여 현실적이고 실용적인 모의 훈련 시나리오를 준비합니다.
- 다음과 같은 침입 사상자 대응에 관련된 모든 조직이 포함된 모의 훈련 조직을 구성합니다.
나. 정보보호, 개인정보보호, IT, 법무, 인사 및 홍보 - 관련 관리자 및 직원이 사고 대응 프로세스에 익숙해질 수 있도록 연 1회 이상 정기적으로 모의 교육을 실시합니다.
추가 재무 통제
- 금융회사 및 전자금융회사는 침입대응기관의 장에게 침입대응 및 복구훈련 결과를 제출하도록 되어 있다.
② 개인정보 침해·유출 교육 결과를 반영하여 개인정보 침해·유출 대응체계를 개선한다.
- 시뮬레이션 교육 후 결과 보고서 및 내부 보고서 작성
- 개선 사항은 시뮬레이션 교육 결과에서 도출되며 필요한 경우 반응 프로세스에 매핑됩니다.
■ 증명 예
- 개인정보침해 및 유출대응 모의훈련계획서
- 침입사고 및 개인정보 유출사고 대응방법에 대한 모의훈련 결과
- 사고 대응 절차
■ 결함의 경우
- 침입 모의훈련을 실시하지 않았거나 적절한 계획 및 결과 보고가 확인되지 않은 경우
- 연간 침입사고 모의계획서를 작성하였으나 정당한 사유 또는 승인 없이 해당 기간 내에 실시하지 아니한 경우
- 모의훈련을 기획 및 실시하였으나 관련 내부 방침에서 정한 절차 및 형식에 따라 실시하지 아니한 경우
금융권에 적합한 ISMS-P 인증 심사항목(2022.09)
_이 사람