PCI 보안 표준 위원회, 보안 인식 강화 프로그램 가이드 발표

• 주요 직무자들 및 정보 접근자들에 대한 보안 인식결여로 사회공학기법, 피싱, 권한 남용 등 보안 사고들이 다수
  발생함
• PCI 보안 표준 위원회에서 주요 직무자 및 임직원들에 대한 인식 강화를 위한 '보안 인식 강화 프로그램을 위한
  모범사례' 발표

주요내용

• 조직 보안 인식 프로그램 권장 내용
  - 보안 인식팀 구성 : 조직의 인원수는 규모에 따라 결정하되, 팀원은 상호확인 가능하도록 다른 역할을 가진 
    다른 팀 인력으로 구성을 권장
  - 보안 인식의 역할 결정 : 의사 결정권의 수준 및 접근 가능한 정보에 따라서 교육을 내용을 선정하고, 보안 
    인식 수준 레벨을 최소로 설정
  - 임직원대상 보안 인식 제고 방법 : 가장 효과적인 방법을 통하여 참석자를 유도하고, 전자 메일, 게시판 뿐 
    아니라 팜플렛, 전단지 등 다양한 방법을 활용하여 전달
• 보안 인식 훈련
  - 보안 인식 교재와 관련해서 회사내 어느 조직도 쉽게 접할 수 있어야 함
  - 보안 인식 프로그램 및 참고 문헌은 NIST, ISO, COBIT등 참을 참고하여 향상할 수 있음
  - 교육 수행에 있어 전체 임직원/관리자/특수 권한자(회계사, 구매팀, IT 개발자‧관리자 등)로 대상자를 구분
    하여 교육 내용을 선택해야 함
  - 보안 인식 프로그램內체크리스트를 작성하여 인식 콘텐츠를 관리 운영해야 함

[출처]
1. https://s3.amazonaws.com/knowbe4.cdn/pci_security_awareness_program_23537.pdf
2. http://blog.knowbe4.com/bid/399402/PCI-Publishes-Guidance-On-Security-Awareness-Training
3. https://www.pcisecuritystandards.org/pdfs/14_10_29_Security_Awareness_SIG_Release_final.pdf
4. http://www.securityweek.com/pci-security-standards-council-releases-guide-building-security-awareness-programs