• 본 규정은 주식회사 솔로몬텍 (이하 '회사' 또는 '당사'라 한다)의 정보보호 활동을 위한 기반 조직의 구성하고, 비 인가자의 부적절한 행위로부터 당사 근무인원 및 시설을 안전하게 보호하는 것과 정보시스템에 의하여 처리, 저장, 소통되는 자료를 바이러스, 해킹 등의 위협으로부터 보호하고 취약요인을 제거하여 회사의 정보보호 관리를 지속적으로 이루어 지게 하는 것을 목적으로 한다

• 본 규정은 당사의 모든 조직과 임직원, 출입자, 전산장비 및 관련시설에 적용된다.

• a) 관리적보안

  보안 조직 구성 및 운영, 보안정책 및 절차관리, 보안교육, 보안점검, 보안감사, 보안사고조사 등의 보안활동

  • a) CSO (Chief Security Officer)
    회사의 대표로부터 정보보호에 대한 권한을 위임 받아 보안정책 수립, 교육, 점검 및 감사 등 보안에 관련한 모든 업무시행 및 관리감독의 주체가 되는 임원
• b) 물리적보안

  비인가 자로부터 회사의 시설 및 인원을 보호하기 위한 출입통제, 정보자산의 반·출입 통제, 상황모니터 등의 보안활동

  • a) 상황모니터
    사업장내 설치된 CCTV 또는 경비인력 운영을 통해 안전, 사고 및 보안현황을 실시간 확인하는 것에 관련한 활동을 의미한다.
• c) 기술적보안

  정보시스템의 보호 및 정보시스템을 통한 유출을 예방하기 위한 운영관리, 정보시스템 접근통제, 개발 및 유지보수, 침해사고관리 등의 보안활동

  • a) 정보시스템
    사용자에게 원활한 서비스의 제공을 목적으로 하는 하드웨어 일체와 주변장치 및 운영체제를 포함한 각종 시스템 소프트웨어 및 DBMS를 총칭한다.
  • b) 네트워크
    회사의 사업을 영위하기 위해 사업장간에 송수신되는 정보 혹은 관련기관 간에 주고받는 각종 정보를 전달하여 주는 각종 시스템들을 다양한 형태로 연결시켜 주는 유무선 통신망을 의미한다.
  • c) 백업
    예상치 못하고 바람직하지 않은 사건에 의해 발생할 수 있는 정보서비스 혹은 정보자산의 손상을 최소화하고 이를 복구하기 위해 필요한 복사본을 만드는 것을 말한다.
  • d) 복구
    사전에 백업 받았던 복사본을 이용하여 이전의 상태로 전환하기 위한 RECOVERY와 단순히 백업 받았던 자료를 재 설치하는 RESTORE 작업을 총칭하여 말하며, 복구를 위해서는 반드시 백업이 선행되어야 한다.
  • e) 단말기
    전산시스템의 최종단 입출력 장치를 말하며, LAN 혹은 WAN으로 연결된 개인용 PC 및 프린터, 스캐너 장비 등이 포함된다.
  • f) 정보보안사고(침해사고)
    보호관리 대상에 속하는 정보 및 정보시스템이 무단으로 파괴되거나, 유출, 변조되어 정보보안관리체계에 문제가 발생하는 경우를 말한다.
  • g) 웹메일
    로그인과 로그아웃의 과정을 거쳐 웹브라우저를 이용해서 메일을 보낼 수 있는 방식의 메일 서비스를 말한다.
  • h) VPN (Virtual Private Network)
    인터넷과 같은 공중망을 사용하여, 사설망을 구축하게 해 주는 기술 혹은 통신망의 총칭이다.
  • i) P2P (Peer to Peer)
    인터넷상에서 이루어지는 개인 대 개인의 파일공유 기술 및 행위를 말한다.
  • j) 웹하드/웹폴더
    인터넷을 통해 모든 형태의 자료를 보관/이동/공유하거나, 파일의 보관/업로딩 및 다운로딩이 가능한 정보 저장서비스를 말한다.
  • k) DMZ (Demilitarized Zone)
    방화벽 구성 시 외부로 노출되어야 할 서버나 PC 등을 위해 구성된 네트워크 영역을 말한다.
  • l) FTP (File Transfer Protocol)
    인터넷을 통하여 어떤 한 컴퓨터에서 다른 컴퓨터로 파일을 송수신 할 수 있도록 지원하는 프로토콜을 말한다.
  • m) LAN (Local Area Network)
    범위가 그리 넓지 않은 일정 지역 내에서 다수의 컴퓨터나 OA기기 등을 속도가 빠른 통신선로를 연결하여 장비간에 통신이 가능하도록 하는 근거리 통신망을 말한다.
  • n) IP (Internet Protocol) Address
    인터넷 상에서 대상 경로를 찾는 것을 효율적으로 하기 위하여 물리적인 네트웍 주소와 일치하는 개념으로 부여된 주소를 말한다.
  • o) 공중망 (public Network)
    불특정 다수의 일반인에게 서비스 할 수 있도록 통신업체들이 구축한 통신망으로 일반적인 인터넷망을 말한다.
  • p) 사설망 (Private Network)
    기업이나 학교 등의 특정 기관에서 사용하기 위하여 구축한 통신망을 말하며, 외부에서는 VPN 등 특정 방법을 사용하지 않는 한 접근이 되지 않는다.

• a) 임직원
  • a) 본 규정 및 관련 지침 등 보안정책을 준수 해야 한다.
  • b) 보안교육에 참석할 의무가 있고, 자체 점검 등 회사 보안활동에 적극 협조해야 한다.
  • c) 회사의 정보자산 반출 시 정해진 절차에 따라야 하며, 임의 판단으로 반출할 수 없다.
  • c) 회사의 정보자산 반출 시 정해진 절차에 따라야 하며, 임의 판단으로 반출할 수 없다.
  • e) 회사의 보안규정을 위반하는 경우 다음과 같은 인원에 책임이 있다.
    1. 1) 임직원이 보안규정 위반 : 위반자 및 소속 부서(팀)장
    2. 2) 방문자가 보안규정 위반 : 출입허가를 요청한 임직원
• b) 방문자
  • a) 카메라(이하 카메라 기능 이 탑재된 장치) 등과 같은 영상 기록장치를 이용한 임의 촬영을 금지한다.
  • b) 당사에서 제공된 자료 외 어떤 자료도 취득, 사용해서는 안 된다 .
  • c) 기타 당사에서 요구하는 보호조치를 준수해야 하며 위반 시 아래와 같은 책임을 진다.
    1. 1) 보호구역내에서는 당사의 통제를 따라야 하며 이를 위반 시 강제 퇴실 또는 퇴장된다.
    2. 2) 당사 자료를 무단으로 활용하거나 유출을 시도하는 경우에 민형사상 책임을 진다.

• a) 보안업무와 관련된 전사보안조직의 구성 및 관리는 인사총무부서(팀)에서 주관한다.
• b) 보안조직 구성 및 운영에 관한 절차를 마련하고 CSO의 승인을 득한 후 등록 관리한다.
• c) ‘2.4 보안조직 업무분장’에 따로 정하지 않은 내용은 인사총무부서(팀)에서 주관한다.

보안에 대한 주요 사항의 결정 및 사내 하부조직까지의 원활한 정책 전달 및 이행을 위해 CSO,보안책임자, 보안담당자를 구성원으로 하는 협의체를 구성하고 정기적으로 운영 하여야 한다.

담당자의 팀, 성명, 연락처를 포함한 조직도를 아래와 같이 작성하여 규정 내에 포함한다.

• a) CSO
  • a) 대표이사 또는 대표이사의 권한을 위임 받은 임원으로 한다.
  • b) 보안총괄책임자로서 보안에 관련한 모든 정책을 결정한다.
  • c) 전사보안담당(책임)자를 선임한다.
  • d) 보안업무를 기획, 시행하도록 전사보안담당자에 지시하고 시행 상황을 관리감독 한다.

전사보안담당(책임)자는 CSO가 선임한 자로 한다.

• a) 보안업무를 CSO에 보고, 승인 후 시행한다.
• b) 회사의 보안규정을 수립하고 교육, 공지 등을 활용하여 적용한다.
• c) 보안관련 법령 및 관련사의 보안정책 변경 등 외부환경 변화에 따른 회사의 보안정책을 재 검토하고 필요 시 보안규정에 반영하거나 보안교육, 점검, 감사 등의 조치를 시행한다.
• d) 보안의식 제고를 위해 월 1일을 지정하여 보안 자체점검 또는 보안 수칙을 공지하도록 한다.
• e) 보안사고 발생시 징계 및 회사 내에서 처리하기 힘든 외부 수사기관과의 연계여부를 판단하고 대책 수립 및 징계를 시행한다.
• f) 정보자산의 정기적인 점검을 통해 취약성 조사 및 대응방법을 마련하여 보안사고를 사전에 예방한다.
• g) 정보보호 활동 계획 및 예산에 대한 운영 및 승인을 시행한다.
• h) 년 2회 이상 정기적으로 팀 보안 담당자 회의를 개최하여 보안 정책의 하부조직 전파에 노력한다.

각 부서(팀)장으로 해당 부서(팀)내 보안업무를 수행, 조정, 감독한다.

• a) 부서(팀)내 각종 기업비밀의 보안성 검토 및 보안문서 여부를 결정한다.
• b) 부서(팀)내 자체 보안점검 및 각종 시건 장치의 확인 및 감독한다.
• c) 부서(팀)원 보안교육 실시를 주관한다.
• d) 부서(팀)내 보안사고 발생시 또는 발생할 우려가 있는 경우 전사보안담당(책임)자에게 통보한다.
• e) 부서(팀)의 업무와 관련 있는 장소가 보안상 출입을 제한할 필요가 있는 경우 전사보안담당(책임)자에 보호구역 설정을 요청한다.
• f) 회사의 보안정책이 효과적으로 이행될 수 있도록 적극 지원한다.
• g) 상황감시 등 시설 및 물리적 요인에 대한 보안업무를 수행한다.

• a) 임직원
  • a) 임직원은 입사시 정보보안에 대한 중요성을 숙지하여 ‘보안서약서’를 작성 후 채용담당자에게 제출하여야 한다. ’보안서약서’는 관련 법률 및 정보의 기밀사항에 관하여 지켜야 할 사항을 명시하여야 한다.
  • b) 임직원은 퇴사시 ‘퇴직자보안서약서’를 작성 제출하여야 하며, 서약서에는 퇴사자가 관리하는 영업비밀의 내용 및 유지주기, 법적인 구속력에 대해 서술되어야 한다.
• b) 제3자(일반용역, 외주인원)
  • a) 용역업체 및 외주인원은 계약시 ‘보안서약서’를 작성하여 관리부서에 제출하여야 한다.
  • b) 계약시에는 표준계약서를 사용하여야 하며, 표준계약서에는 회사의 보안규정을 준수하게 하는 내용이 포함되어야 한다.
  • c) 작성된 서약서는 회사가 대상회사에 보안책임을 묻고 및 보안점검을 수행할 수 있는 근거가 된다.

• a) ‘정보보안 규정’ 및 관련 규정을 위반한 인원에 대해서는 위반사실을 인지한 부서의 장이 보안주관부서로 즉시 위반사실을 통보하여야 하며, 보안주관부서는 위반의 경중을 파악하여 인사담당부서에 징계를 요구하여야 한다.
• b) 보안 위반에 대한 징계는 취업규칙과 인사규정에 정한 징계 종류 및 절차에 따른다.
• c) 보안주관부서의 장은 위반사항이 다소 경미하다고 인정되는 경우에는 정보보안담당임원 명의의 주의조치를 해당 직원 및 소속 부서장에 통보할 수 있다.
• d) 보안주관부서의 장은 위반 사실이 다소 중하다고 인정되는 경우에는 해당부서 교육실시 요청 및 위반자 소속부서에 대한 불시 보안점검 등을 실시할 수 있다.
• e) 임직원의 정보보호 의식을 고취시키기 위해 징계 결과는 익명을 사용하여 임직원 전원에게 공지할 수도 있다.

• a) 일반은 대외적인 공개가능하며 일반적으로 구할 수 있는 내용을 말한다.
• b) 대외비는 누설될 경우 회사에 일시적 손해를 끼치거나 해로운 결과를 초래할 우려가 있는 내용을 말한다.
• c) 비밀은 누설될 경우 회사에 상당한 손실을 초래하거나 회사 사업계획의 폐기 및 수정을 초래할 우려가 있는 내용을 말한다.
• d) 극비는 누설된 경우 회사의 경영상 막대한 손실을 초래하거나 회사보존을 위태롭게 할 우려가 있는 내용을 말한다.

• a) 보안총괄책임자가 필요하다고 인정할 때
• b) 보안사고의 발생 우려가 있다고 판단 될 때

보호구역은 그 중요도에 따라 다음과 같이 제한지역, 통제구역으로 구분한다.

• a) 제한지역
  회사의 영업비밀 및 자산의 보호를 위하여 외부인의 출입을 제한하는 지역으로 회사의 모든 사무, 생산공장이 이에 해당 하며 임직원 외 외부인은 절차에 따라 승인 후 출입하도록 한다.
• b) 통제구역
  영업비밀보호를 위해 임직원의 출입을 통제할 필요가 있는 지역으로, 사진촬영 및 비 인가 임직원의 출입을 제한한다.

• a) 통제구역은 부서(팀)보안책임자의 의견을 수렴하여 전사보안담당(책임)자가 설정하고 보고 후 시행한다.
• b) 출입문의 중앙상단 등 출입 시 쉽게 확인이 가능한 위치에 부착한다.
• c) 가로2, 세로1의 비율을 유지하여 가로 20cm, 세로 10cm 이상의 크기로 표기한다.

• a) 출입인가
  • a) 임직원은 근무지역 및 제한지역의 출입이 가능하다.
  • b) 업무상 통제구역의 출입이 필요한 경우 소속 부서(팀)장의 승인을 받아 전사보안담당(책임)자에 권한 요청을 부여 받아 출입이 가능하다.
• b) 출입관리
  • a) 통제구역은 일반시설과 분리하여 설치하여야 한다.
  • b) 일반시설과 분리가 불가한 경우 보안 및 경계대책을 별도로 강구하여야 한다.
  • c) 통제구역은 외부인은 물론 임직원도 출입인가자 외는 출입을 금하며 소정의 서식에 의한 출입자명부를 비치하여 기록 유지하여야 한다.
  • d) 출입허가를 받은 외부인이 보호구역내에서 업무를 수행할 때에는 담당책임자의 통제를 따라야 하며 이를 위반 시 강제퇴실 또는 퇴장 조치한다.
  • e) 통제구역 내에서는 일체의 면회(상담, 회의 등)을 금한다.
  • f) 통제구역 내에서 활동은 전사보안담당(책임)자가 승인하고 임직원의 관리하에서 가능하다.

• a) 업무상 목적으로 회사에서 지급한 데스크탑PC 및 노트북(이하 ‘PC’라 한다), 프린터, 스캐너 등 개인업무용 전산장비의 정보기술보호를 위한 요구사항을 제공함에 그 목적이 있다.

• a) 개인업무용 전산장비 도입, 운영 및 폐기에 대한 지침이 마련되어야 한다.
• b) 개인업무용 전산장비는 영문, 숫자, 특수문자를 혼용한 8자리 이상의 로그인, 화면보호기 비밀번호가 설정되어 있어야 한다.
• c) 이동장비는 CMOS와 계정로그인 암호를 이중화하여 보안을 강화한다.
• d) 모든 PC에는 회사 업무용 목적으로 사용되는 회사에서 배포되는 프로그램만 설치가 가능하며, 불법 S/W 사용에 대한 책임은 본인에게 있다.
• e) 모든 PC에는 악성코드실행방지솔루션, 등 보안시스템이 설치되어야 하며, 사용자는 최소한 매월 최신업데이트가 되도록 설정해야 된다.
• f) 모든 PC에는 내부유출방지솔션을 설치하여 내부자료의 외부유출을 방지한다.
• g) PC내의 파일을 공유할 필요가 있을 경우, 비밀번호가 설정된 공유 폴더를 설정하여, 인가된 사용자만 접근할 수 있도록 하여야 한다.
• h) 공용PC에 대한 관리자를 지정하여야 하며, 공용PC에는 보안문서를 저장할 수 없다.
• i) 인터넷을 사용하는 경우 회사의 보안정책(접근차단시스템 등)을 준수해야 하며, 승인되지 않은 인터넷망 을 사용하여서는 안 된다.
• j) 보안문서는 외부로 공중 네트워크(인터넷 등)를 거쳐 전송하는 것은 불허하며, 부득이한 경우는 사전 또는 사후에 관리자의 승인을 받아야 한다.
• k) 사용자는 회사에서 지급한 H/W 및 S/W의 변경을 임의로 하여서는 안되며, 이동형 저장장치는 승인절차를 거친 후 사용하여야 한다.
• l) 무선랜사용시 공유기접속 암호는 영문, 숫자를 혼용한 8자리 이상이여야 한다.
• m) 직전 5회 이내 사용한 비밀번호는 재사용을 제한한다.