2.11.4 사고 대응 훈련 및 개선¶
인증 기준¶
침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다.
주요 확인사항¶
-
침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고 이에 따라 연 1회 이상 주기적으로 훈련을 실시하고 있는가?
-
침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하고 있는가?
세부 설명¶
-
침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고, 이에 따라 연 1회 이상 주기적으로 훈련을 실시하여야 한다.
-
침해사고 대응 절차의 적절성을 검토하고, 사고 발생 시 신속한 대응이 가능하도록 모의훈련 계획의 수립 및 이행
-
최신 침해 사고 사례, 해킹 동향, 비즈니스 특성 등을 반영하여 현실적이고 실질적인 모의훈련 시나리오 마련
-
정보보호, 개인정보보호, IT, 법무, 인사, 홍보 등 침해사고 대응과 관련된 조직이 모두 참여할 수 있도록 모의훈련 조직 구성
-
관련 임직원이 침해사고 대응 절차를 숙지할 수 있도록 연 1회 이상 주기적으로 모의훈련 수행
-
-
침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하여야 한다.
-
모의훈련 시행 후 결과보고서 작성 및 내부 보고
-
모의훈련 결과를 바탕으로 개선사항을 도출하여 필요시 대응 절차에 반영
-
증거자료¶
예시
침해사고 및 개인정보 유출사고 대응 모의훈련 계획서
침해사고 및 개인정보 유출사고 대응 모의훈련 결과서
침해사고 대응 절차
결함사례¶
사례 1 : 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
사례 2 : 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우
사례 3 : 모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우