목차

Q> 전사 정보보안 관련 교육계획 수립에 대한 문의

회사의 전사조직을 대상으로 정보보호 관련 연간 교육계획을 수립하라는 업무지시를 받았습니다.
어떻게 접근해야 하는지? 특별히 고려해야 할 사항은 무엇인지? 그리고 타사 사례를 소개해주시면 많은 도움이 되겠습니다.


A>

o 일반적인 연간 교육계획 수립절차는 몇 가지로 이뤄집니다.

조직에서의 교육은 정보보안 분야만 아니라 직무역량, 인재상 관리와 같이 조직의 HR비전과 관련성이 깊은 주제입니다.
따라서, 일반적인 주제에 대한 연간 교육계획을 수립하는 아래의 절차를 고려해 볼 수 있습니다.
(1) 내외부 환경분석 - 경영, HRD환경, 조직의 전략 등 파악 및 연계 방안모색
(2) 요구사항 및 역량분석 - 경영층과 내부직원의 마인드셋 조사 분석, HRD의 역량분석
(3) 비전/미션/목표 수립 - 내외부 요구사항과 분석을 바탕으로 중장기적 비전,미션,목표를 수립/정비
(4) 중점과제 및 전략수립 - SWOT분석, 전략 및 중점과제 수립
(5) 교육체계 수립 - 교육체계 및 로드맵 수립
(6) 교육 운영계획 수립 - 교육과정별 운영계획 수립
(7) 연간교육계획 및 예산수립 - 연간교육 계획, 예산(조직별, 사업장별, 전사 취합)

o 기존에 운영되고 있는 전사 교육체계를 잘 살펴보십시오.

대부분의 조직은 이미 HR전담조직에서 운영하고 있는 전사 교육체계가 있을 것입니다.
여기서 체계라는 것은 교육과정과 같은 프로그램뿐만 아니라 PDCA(Plan-Do-Check-Act) 사이클을 기반으로 각 역할과 책임에 대한 정의까지 포함하는 것을 의미합니다.
따라서, 기존의 전사 교육체계에서 아래와 같은 점들을 파악하는 것이 많은 도움이 될것 입니다.
- 전사 교육체계의 비전/미션/목표는 무엇인가?
- 전사 교육체계의 분야별 R&R(역할과 책임)은 어떻게 운영되고 있는가?
- 전사 교육체계의 프로그램은 어떤 방식으로 운영(계획-시행-평가)되고 있는가?
- 연간 교육체계 계획과 예산의 정도는 얼마나 되는가?
- 연간 교육체계 성과관리는 어떻게 이뤄지고 있는가?
(*) 위와 같은 현황파악을 위해 유관조직과 미팅을 하다보면 자연스럽게 R&R이 정의되어 보안전담조직에서 해야할 역할 범위가 정해지는 경우도 있음

o 정보보안 교육계획을 설계할때 고려해야 할 몇 가지 사항들이 있습니다.

앞선 언급한 것 처럼, 기존의 전사 교육체계와 잘 융합될수록 정보보안 교육체계도 잘 운영 및 개선될 수있습니다.
그러나 우리는 교육체계의 공통적인 사항이외에 정보보안 업무만의 특성에 따라 고려해야 하는 몇 가지 사항들이 있습니다.

(1) 교육 범위는 어디까지로 할 것인가?
- 조직의 구성과 역할에 따라 다르겠지만 정보보안과 관련성이 있는 주제들이 몇가지 있으며 연간계획의 범위를 어디까지로 정의할 것인가에 따라 이후의 내용들이 많이 달라지기 때문에 이 첫단추가 중요합니다.
- 몇 가지 후보로 생각할 수 있는 주제는 정보보안, 개인정보보호, 영업비밀관리, 지적재산권관리 등이 있습니다.
- 조직의 구성, 규모, 산업특성에 따라 연간 교육계획 수립의 범위가 달라 지겠죠?

(2) 교육 대상자를 누구까지 선정할 것인가?
- 교육받는 대상자가 누구냐에 따라 교육의 목표가 다르게 되고, 따라서 교육의 중점내용, KPI지표 등이 다르게 되겠죠?
- 교육 대상자를 식별할때, 일반적인 그룹핑은 임원(고위관리자), 중간관리자, 일반직원, IT직원, 보안전담직원, 협력업체직원으로 나눠볼 수 있으며, 그 외에도 해외 출장자를 별도로 구분하는 경우도 있습니다.

(3) 교육의 평가 및 개선은 어떻게 할 것인가?
- 어떤 업무든지 그 결과에 대한 성과평가는 지속적 개선을 위해 반드시 필요한 요소입니다.
- 교육대상자의 특성을 고려하여 연간 목표를 선정하고 그 성과를 평가하는 것은 조직에 따라 민감하게 작용할 수 있으므로 손쉬운 목표수준을 설정하고 점차적으로 목표수준을 올리는 접근방법이 효과적입니다.
- 일반사용자의 경우 참석율을 목표로 잡을 수있으며, IT직원이나 보안점담직원의 경우 외부 전문교육 수강횟수 같은것이 부담이 덜되는 목표가 될수 있습니다.
- 어떤 회사의 경우는 교육 후 시험까지를 과정에 포함시키고 그 성숙도를 L1, L2, L3로 정의하여 패스한 대상자들을 단위조직별로 매년 평가관리하는 높은 수준의 성과평가 관리사례도 있습니다. (그러나 이방법은 비용과 노력이 많이 들어가겠죠)

o 향후 고려해 볼수 있는 접근방법은 단순교육이 아니라 인식변화관리입니다.

정보보호 교육의 목적은 구성원들의 인식제고를 통해 정보보안 인식을 제고하는 변화를 목적으로 합니다.
대부분의 조직은 교육을 어떻게 할지에 촛점을 맞춰 계획과 예산을 수립하여 운영하지만, 교육만으로는 대상자들의 실천을 이끌어내는게 한계가 있다는 것을 알게 됩니다.
그래서 그 다음단계로 접근하는 것이 일방적 전달 형식인 교육체계 방식에서 진보하여 변화관리체계 방식으로 접근하는 것입니다.
조직 규모가 상당히 크고 다양한 조직으로 전국적으로 분산되어 있는 고객사 A기업의 경우, 좀더 효과적으로 전사 조직원들이 정보보안 및 개인정보보호를 잘 알고 전사적인 실천을 유도하기 위하여 외부 전문업체의 도움을 받아 전사 정보보안 변화관리 프로젝트 약 3개월 넘게 진행한 적이 있습니다.
이 접근방식이 기존의 교육체계와 다른 특이점은 아래와 같은 것들이며 이를 참고하시기 바랍니다.
- 조직의 변화수용 단계를 인식-참여-실천 단계로 정의하고 변화관리 프레임워크를 설계 및 구축
- 교육과 같은 단방향이 아니라 쌍방향 카뮤니케이션 기법들을 유효적절하게 설계 및 적용
- 조직구성 단위별 Mind-set을 분석하여 전사 조직적 변화관리네트워크(change network)을 구축하여 양방향의 지속적 개선체계를 구축
- 조직내 정착을 위한 단계적 중장기 계획(변화도입단계 - 변화기반구축단계-변화확산 및 정착단계)을 수립

* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net