Information management policy
Information management policy
제 1 장 총칙
1. 정보보안 개요
-
1.1. 목적
- 본 규정은 주식회사 솔로몬테크노서플라이 (이하 '회사' 또는 '당사'라 한다)의 정보보호 활동을 위한 기반 조직의 구성하고, 비 인가자의 부적절한 행위로부터 당사 근무인원 및 시설을 안전하게 보호하는 것과 정보시스템에 의하여 처리, 저장, 소통되는 자료를 바이러스, 해킹 등의 위협으로부터 보호하고 취약요인을 제거하여 회사의 정보보호 관리를 지속적으로 이루어 지게 하는 것을 목적으로 한다
-
1.2. 적용범위
- 본 규정은 당사의 모든 조직과 임직원, 출입자, 전산장비 및 관련시설에 적용된다.
-
1.3. 용어정의
-
a) 관리적보안
보안 조직 구성 및 운영, 보안정책 및 절차관리, 보안교육, 보안점검, 보안감사, 보안사고조사 등의 보안활동
- a) CSO (Chief Security Officer)
회사의 대표로부터 정보보호에 대한 권한을 위임 받아 보안정책 수립, 교육, 점검 및 감사 등 보안에 관련한 모든 업무시행 및 관리감독의 주체가 되는 임원
-
b) 물리적보안
비인가 자로부터 회사의 시설 및 인원을 보호하기 위한 출입통제, 정보자산의 반·출입 통제, 상황모니터 등의 보안활동
- a) 상황모니터
사업장내 설치된 CCTV 또는 경비인력 운영을 통해 안전, 사고 및 보안현황을 실시간 확인하는 것에 관련한 활동을 의미한다.
-
c) 기술적보안
정보시스템의 보호 및 정보시스템을 통한 유출을 예방하기 위한 운영관리, 정보시스템 접근통제, 개발 및 유지보수, 침해사고관리 등의 보안활동
- a) 정보시스템
사용자에게 원활한 서비스의 제공을 목적으로 하는 하드웨어 일체와 주변장치 및 운영체제를 포함한 각종 시스템 소프트웨어 및 DBMS를 총칭한다.
-
b) 네트워크
회사의 사업을 영위하기 위해 사업장간에 송수신되는 정보 혹은 관련기관 간에 주고받는 각종 정보를 전달하여 주는 각종 시스템들을 다양한 형태로 연결시켜 주는 유무선 통신망을 의미한다.
-
c) 백업
예상치 못하고 바람직하지 않은 사건에 의해 발생할 수 있는 정보서비스 혹은 정보자산의 손상을 최소화하고 이를 복구하기 위해 필요한 복사본을 만드는 것을 말한다.
-
d) 복구
사전에 백업 받았던 복사본을 이용하여 이전의 상태로 전환하기 위한 RECOVERY와 단순히 백업 받았던 자료를 재 설치하는 RESTORE 작업을 총칭하여 말하며, 복구를 위해서는 반드시 백업이 선행되어야 한다.
-
e) 단말기
전산시스템의 최종단 입출력 장치를 말하며, LAN 혹은 WAN으로 연결된 개인용 PC 및 프린터, 스캐너 장비 등이 포함된다.
-
f) 정보보안사고(침해사고)
보호관리 대상에 속하는 정보 및 정보시스템이 무단으로 파괴되거나, 유출, 변조되어 정보보안관리체계에 문제가 발생하는 경우를 말한다.
-
g) 웹메일
로그인과 로그아웃의 과정을 거쳐 웹브라우저를 이용해서 메일을 보낼 수 있는 방식의 메일 서비스를 말한다.
-
h) VPN (Virtual Private Network)
인터넷과 같은 공중망을 사용하여, 사설망을 구축하게 해 주는 기술 혹은 통신망의 총칭이다.
-
i) P2P (Peer to Peer)
인터넷상에서 이루어지는 개인 대 개인의 파일공유 기술 및 행위를 말한다.
-
j) 웹하드/웹폴더
인터넷을 통해 모든 형태의 자료를 보관/이동/공유하거나, 파일의 보관/업로딩 및 다운로딩이 가능한 정보 저장서비스를 말한다.
-
k) DMZ (Demilitarized Zone)
방화벽 구성 시 외부로 노출되어야 할 서버나 PC 등을 위해 구성된 네트워크 영역을 말한다.
-
l) FTP (File Transfer Protocol)
인터넷을 통하여 어떤 한 컴퓨터에서 다른 컴퓨터로 파일을 송수신 할 수 있도록 지원하는 프로토콜을 말한다.
-
m) LAN (Local Area Network)
범위가 그리 넓지 않은 일정 지역 내에서 다수의 컴퓨터나 OA기기 등을 속도가 빠른 통신선로를 연결하여 장비간에 통신이 가능하도록 하는 근거리 통신망을 말한다.
-
n) IP (Internet Protocol) Address
인터넷 상에서 대상 경로를 찾는 것을 효율적으로 하기 위하여 물리적인 네트웍 주소와 일치하는 개념으로 부여된 주소를 말한다.
-
o) 공중망 (public Network)
불특정 다수의 일반인에게 서비스 할 수 있도록 통신업체들이 구축한 통신망으로 일반적인 인터넷망을 말한다.
-
p) 사설망 (Private Network)
기업이나 학교 등의 특정 기관에서 사용하기 위하여 구축한 통신망을 말하며, 외부에서는 VPN 등 특정 방법을 사용하지 않는 한 접근이 되지 않는다.
-
1.4. 역할 과 책임
-
a) 임직원
- a) 본 규정 및 관련 지침 등 보안정책을 준수 해야 한다.
- b) 보안교육에 참석할 의무가 있고, 자체 점검 등 회사 보안활동에 적극 협조해야 한다.
- c) 회사의 정보자산 반출 시 정해진 절차에 따라야 하며, 임의 판단으로 반출할 수 없다.
- c) 회사의 정보자산 반출 시 정해진 절차에 따라야 하며, 임의 판단으로 반출할 수 없다.
- e) 회사의 보안규정을 위반하는 경우 다음과 같은 인원에 책임이 있다.
- 1) 임직원이 보안규정 위반 : 위반자 및 소속 부서(팀)장
- 2) 방문자가 보안규정 위반 : 출입허가를 요청한 임직원
-
b) 방문자
- a) 카메라(이하 카메라 기능 이 탑재된 장치) 등과 같은 영상 기록장치를 이용한 임의 촬영을 금지한다.
- b) 당사에서 제공된 자료 외 어떤 자료도 취득, 사용해서는 안 된다 .
- c) 기타 당사에서 요구하는 보호조치를 준수해야 하며 위반 시 아래와 같은 책임을 진다.
- 1) 보호구역내에서는 당사의 통제를 따라야 하며 이를 위반 시 강제 퇴실 또는 퇴장된다.
- 2) 당사 자료를 무단으로 활용하거나 유출을 시도하는 경우에 민형사상 책임을 진다.
제 2 장 관리적 보안
2. 보안조직
-
2.1. 보안조직구성 및 관리주체
- a) 보안업무와 관련된 전사보안조직의 구성 및 관리는 인사총무부서(팀)에서 주관한다.
- b) 보안조직 구성 및 운영에 관한 절차를 마련하고 CSO의 승인을 득한 후 등록 관리한다.
- c) ‘2.4 보안조직 업무분장’에 따로 정하지 않은 내용은 인사총무부서(팀)에서 주관한다.
-
2.2. 보안협의체 운영
보안에 대한 주요 사항의 결정 및 사내 하부조직까지의 원활한 정책 전달 및 이행을 위해 CSO,보안책임자, 보안담당자를 구성원으로 하는 협의체를 구성하고 정기적으로 운영 하여야 한다.
-
2.3. 보안조직도
담당자의 팀, 성명, 연락처를 포함한 조직도를 아래와 같이 작성하여 규정 내에 포함한다.
-
2.4. 보안조직 업무분장 (책임과 역할)
-
a) CSO
- a) 대표이사 또는 대표이사의 권한을 위임 받은 임원으로 한다.
- b) 보안총괄책임자로서 보안에 관련한 모든 정책을 결정한다.
- c) 전사보안담당(책임)자를 선임한다.
- d) 보안업무를 기획, 시행하도록 전사보안담당자에 지시하고 시행 상황을 관리감독 한다.
-
b) 전사보안담당(책임)자
전사보안담당(책임)자는 CSO가 선임한 자로 한다.
- a) 보안업무를 CSO에 보고, 승인 후 시행한다.
- b) 회사의 보안규정을 수립하고 교육, 공지 등을 활용하여 적용한다.
- c) 보안관련 법령 및 관련사의 보안정책 변경 등 외부환경 변화에 따른 회사의 보안정책을 재 검토하고 필요 시 보안규정에 반영하거나 보안교육, 점검, 감사 등의 조치를 시행한다.
- d) 보안의식 제고를 위해 월 1일을 지정하여 보안 자체점검 또는 보안 수칙을 공지하도록 한다.
- e) 보안사고 발생시 징계 및 회사 내에서 처리하기 힘든 외부 수사기관과의 연계여부를 판단하고 대책 수립 및 징계를 시행한다.
- f) 정보자산의 정기적인 점검을 통해 취약성 조사 및 대응방법을 마련하여 보안사고를 사전에 예방한다.
- g) 정보보호 활동 계획 및 예산에 대한 운영 및 승인을 시행한다.
- h) 년 2회 이상 정기적으로 팀 보안 담당자 회의를 개최하여 보안 정책의 하부조직 전파에 노력한다.
-
c) 부서(팀)보안책임자
각 부서(팀)장으로 해당 부서(팀)내 보안업무를 수행, 조정, 감독한다.
- a) 부서(팀)내 각종 기업비밀의 보안성 검토 및 보안문서 여부를 결정한다.
- b) 부서(팀)내 자체 보안점검 및 각종 시건 장치의 확인 및 감독한다.
- c) 부서(팀)원 보안교육 실시를 주관한다.
- d) 부서(팀)내 보안사고 발생시 또는 발생할 우려가 있는 경우 전사보안담당(책임)자에게 통보한다.
- e) 부서(팀)의 업무와 관련 있는 장소가 보안상 출입을 제한할 필요가 있는 경우 전사보안담당(책임)자에 보호구역 설정을 요청한다.
- f) 회사의 보안정책이 효과적으로 이행될 수 있도록 적극 지원한다.
- g) 상황감시 등 시설 및 물리적 요인에 대한 보안업무를 수행한다.
3. 보안서약서
-
3.1. 보안중요성의 인지 및 영업비밀의 법적인 보호를 위하여 아래내용에 의거 보안서약서를 징구한다.
-
a) 임직원
- a) 임직원은 입사시 정보보안에 대한 중요성을 숙지하여 ‘보안서약서’를 작성 후 채용담당자에게 제출하여야 한다. ’보안서약서’는 관련 법률 및 정보의 기밀사항에 관하여 지켜야 할 사항을 명시하여야 한다.
- b) 임직원은 퇴사시 ‘퇴직자보안서약서’를 작성 제출하여야 하며, 서약서에는 퇴사자가 관리하는 영업비밀의 내용 및 유지주기, 법적인 구속력에 대해 서술되어야 한다.
-
b) 제3자(일반용역, 외주인원)
- a) 용역업체 및 외주인원은 계약시 ‘보안서약서’를 작성하여 관리부서에 제출하여야 한다.
- b) 계약시에는 표준계약서를 사용하여야 하며, 표준계약서에는 회사의 보안규정을 준수하게 하는 내용이 포함되어야 한다.
- c) 작성된 서약서는 회사가 대상회사에 보안책임을 묻고 및 보안점검을 수행할 수 있는 근거가 된다.
4. 보안 교육
- 4.1. 전사보안담당(책임)자는 부서(팀)보안담당(책임)자에 대해 연 1회 이상 보안 관련 교육을 실시하여야 한다.
- 4.2. 신입사원 입사시 보안담당자는 보안 수칙을 이용하여 교육을 실시한다.
- 4.3. 팀 보안담당(책임)자에 대해서는 보안정책 변경 등 사유 발생시 공지 및 소집교육 등을 통해 교육을 실시하여야 한다.
- 4.4. 팀 보안담당(책임)자는 사내 규정 변경 등의 전달사항이 있는 경우 해당 팀원에 대해 교육을 실시하여야 한다.
- 4.5. 기타 보안사고 발생 등 보안상 필요하다고 인정 될 경우 수시로 보안교육을 실시할 수 있다.
5. 퇴직자 관리
- 5.1. 퇴직자는 당사에서 재직기간 동안 습득한 모든 영업비밀은 경우를 막론하고 대외로 유출하여서는 안되며 이를 위반할 시 ‘퇴직자보안서약서’에 의거하여 민형사상의 책임을 진다.
- 5.2. 인사담당부서 또는 팀 보안담당(책임)자는 퇴직자에 대해 ‘퇴직자보안서약서’ 와 ‘퇴직사유서’를 퇴직서류에 포함하여 징구하여야 한다.
- 5.3. 각 팀 보안담당(책임)자는 퇴직 시 퇴직인원에 대하여 영업비밀이 대외에 유출되는 일이 없도록 충분히 사전교육을 실시하여야 한다.
- 5.4. 퇴직자는 해당업무 수행기간 동안 습득한 모든 영업비밀을 소속 팀에 인계하고 개인이 소지하고 있는 영업비밀은 재사용 불가한 상태로 파기해야 한다.
- 5.5. 퇴직 명령이 발령된 후 퇴직자에 대한 출입 및 시스템상의 모든 접근 권한은 모두 삭제 되어야 한다.
- 5.6. 퇴직 후 타 회사로 전직하는 경우 당사에서 취득한 영업비밀을 제공하거나 사용해서는 안 되며 이를 어기며 사용시에는 법적 제재를 가할 수 있다.
- 5.7. 퇴직자의 퇴사 의사 확인 시점에 각 시스템 권한담당자에게 해당 내역을 통보 후 퇴사 전 권한 회수를 이행하여야 한다.
6. 보안 위반자 관리
-
6.1. 보안 주관 부서는 보안 위반사고 재발 방지를 위한 대책을 수립, 시행하여야 한다.
- a) ‘정보보안 규정’ 및 관련 규정을 위반한 인원에 대해서는 위반사실을 인지한 부서의 장이 보안주관부서로 즉시 위반사실을 통보하여야 하며, 보안주관부서는 위반의 경중을 파악하여 인사담당부서에 징계를 요구하여야 한다.
- b) 보안 위반에 대한 징계는 취업규칙과 인사규정에 정한 징계 종류 및 절차에 따른다.
- c) 보안주관부서의 장은 위반사항이 다소 경미하다고 인정되는 경우에는 정보보안담당임원 명의의 주의조치를 해당 직원 및 소속 부서장에 통보할 수 있다.
- d) 보안주관부서의 장은 위반 사실이 다소 중하다고 인정되는 경우에는 해당부서 교육실시 요청 및 위반자 소속부서에 대한 불시 보안점검 등을 실시할 수 있다.
- e) 임직원의 정보보호 의식을 고취시키기 위해 징계 결과는 익명을 사용하여 임직원 전원에게 공지할 수도 있다.
7. 정보자산 분류
- 7.1. 정보자산은 각 팀 단위로 자산분류를 시행하여야 하며, 각 팀별 분류를 위한 기준을 보유하여야 한다.
- 7.2. 정보자산은 중요도에 따라 일반, 대외비, 비밀, 극비로 구분하여야 한다.
- a) 일반은 대외적인 공개가능하며 일반적으로 구할 수 있는 내용을 말한다.
- b) 대외비는 누설될 경우 회사에 일시적 손해를 끼치거나 해로운 결과를 초래할 우려가 있는 내용을 말한다.
- c) 비밀은 누설될 경우 회사에 상당한 손실을 초래하거나 회사 사업계획의 폐기 및 수정을 초래할 우려가 있는 내용을 말한다.
- d) 극비는 누설된 경우 회사의 경영상 막대한 손실을 초래하거나 회사보존을 위태롭게 할 우려가 있는 내용을 말한다.
- 7.3. 전사보안담당 부서는 각 팀 별로 파악된 정보자산의 리스트를 총괄 관리한다.
- 7.4. 정보자산은 정보자산 생성자가 생성시 팀 보안담당자에게 통보하여 등록하여야 한다.
- 7.5. 등급이 분류된 정보자산은 인식할 수 있는 관리자, 자산번호 등을 확인 할 수 있는 인식표기를 부착하여 관리하여야 한다.
8. 영업비밀관리기준
- 8.1. ‘영업비밀’이란 비밀로 유지된 생산방법, 판매방법, 기타 영업활동에 유용한 기술상 또는 경영상의 정보를 말하며, 회사가 사용을 위하여 타사와의 계약관계 등을 통하여 도입한 타사의 영업비밀을 포함한다.
- 8.2. 팀원은 보안문서 여부 확인을 위하여 팀장 또는 보안담당(책임)자에게 보고하는 등 회사의 영업비밀 보호에 적극 참여하여야 한다.
- 8.3. 사내 보직 변동 시 해당인원은 취급 영업비밀의 인수인계를 ‘업무인수인계서’ 작성시 기입하고 부서(팀)별 보안책임자는 변동인원에 대한 비밀접근 권한을 조정하고 취급 보안문서 인수인계를 감독한다.
- 8.4. 회사의 영업비밀은 각 팀장이 검토 후 보안관리책임자의 협의를 거쳐 그 공개여부를 결정할 수 있다.
- 8.5. 영업비밀은 생성시부터 관리를 해야 하며 중간과정의 산출물도 생성 확정된 자료와 동일하게 관리되어야 한다.
- 8.6. 보안문서는 문서등급, 작성자명, 작성 일시를 표기하여서 관리하여야 한다.
- 8.7. 보안문서의 보호기간은 사업계획의 지속성 및 보안문서의 효력성을 고려하여 설정하여야 한다.
- 8.8. 영업비밀은 시건이 되어 있는 장소에 보관하고 팀장이 지정하는 자가 관리한다.
- 8.9. 영업비밀의 파기는 문서파쇄기 등을 사용하여 원형을 확인 할 수 없는 상태로 파기되어야 한다.
- 8.10. 이석 시 영업비밀이 책상 위 또는 기타 장소에 방치하지 말아야 한다.
9. 준거성
- 9.1. 보안정책 및 규정은 관련법률 개정 시 검토 후 개정되어야 한다.
- 9.2. 고객사의 보안정책변경시 검토 후 개정되어야 한다.
- 9.3. 개정된 내용은 전 임직원이 인지할 수 있도록 공문 또는 게시판을 통하여 공지하여야 하며, 필요시 별도 교육을 실시 하여야 한다.
- 9.4. 정보시스템은 보안규격 이행을 위하여 취약점 파악 등이 주기적으로 점검되어야 한다.
10. 보안점검/감사
- 10.1. 보안통제 절차가 이행되는 것을 점검함으로써, 잠재적인 정보보안 침해의 가능성 및 그로 인한 피해를 최소화하는데 그 목적이 있다.
- 10.2. 보안관리팀 책임자의 주관하에 보안점검이 정기적으로 시행되어야 한다.
- 10.3. 보안점검 대상은 당사의 모든 인력 및 정보자산을 대상으로 한다.
- 10.4. 피감사 부서 및 피감사인은 점검 및 감사요청에 적극 협조하여야 한다.
- 10.5. 점검 및 감사를 통해 지적된 사항은 관련 팀장에게 시정조치를 요구하며, 조치 계획의 유효성 및 실제 수행여부를 보안전담부서에서 관리하여야 한다.
- 10.6. 시행결과가 부진한 경우 지속적으로 시정을 요청할 수 있으며, 감사결과가 중대한 보안규정의 위반사항으로 발견 시 인사부서의 협조를 구해 징계조치를 이행한다.
- 10.7. 보안보고서는 감사로 드러난 위험에 대한 대책방안 및 권고사항을 포함하여야 하며 보안총괄책임자에게 보고 후 기록으로 관리 유지하여야 한다.
- 10.8. 아래의 경우 비정기 보안진단을 실시할 수 있다.
- a) 보안총괄책임자가 필요하다고 인정할 때
- b) 보안사고의 발생 우려가 있다고 판단 될 때
- 10.9. 타사와의 기술자료 등의 교환이 있을 경우 회사의 정보자산을 보호하기 위한 근거를 마련하기 위해 계약서에 보안점검에 관한 문구를 마련하여야 한다.
제 3장 물리적 보안
11. 보호구역 설정
제 4장 기술보안
12. 최종사용자보안지침
-
12.1. 목적
- a) 업무상 목적으로 회사에서 지급한 데스크탑PC 및 노트북(이하 ‘PC’라 한다), 프린터, 스캐너 등 개인업무용 전산장비의 정보기술보호를 위한 요구사항을 제공함에 그 목적이 있다.
-
12.2. 관리항목
- a) 개인업무용 전산장비 도입, 운영 및 폐기에 대한 지침이 마련되어야 한다.
- b) 개인업무용 전산장비는 영문, 숫자, 특수문자를 혼용한 8자리 이상의 로그인, 화면보호기 비밀번호가 설정되어 있어야 한다.
- c) 이동장비는 CMOS와 계정로그인 암호를 이중화하여 보안을 강화한다.
- d) 모든 PC에는 회사 업무용 목적으로 사용되는 회사에서 배포되는 프로그램만 설치가 가능하며, 불법 S/W 사용에 대한 책임은 본인에게 있다.
- e) 모든 PC에는 악성코드실행방지솔루션, 등 보안시스템이 설치되어야 하며, 사용자는 최소한 매월 최신업데이트가 되도록 설정해야 된다.
- f) 모든 PC에는 내부유출방지솔션을 설치하여 내부자료의 외부유출을 방지한다.
- g) PC내의 파일을 공유할 필요가 있을 경우, 비밀번호가 설정된 공유 폴더를 설정하여, 인가된 사용자만 접근할 수 있도록 하여야 한다.
- h) 공용PC에 대한 관리자를 지정하여야 하며, 공용PC에는 보안문서를 저장할 수 없다.
- i) 인터넷을 사용하는 경우 회사의 보안정책(접근차단시스템 등)을 준수해야 하며, 승인되지 않은 인터넷망 을 사용하여서는 안 된다.
- j) 보안문서는 외부로 공중 네트워크(인터넷 등)를 거쳐 전송하는 것은 불허하며, 부득이한 경우는 사전 또는 사후에 관리자의 승인을 받아야 한다.
- k) 사용자는 회사에서 지급한 H/W 및 S/W의 변경을 임의로 하여서는 안되며, 이동형 저장장치는 승인절차를 거친 후 사용하여야 한다.
- l) 무선랜사용시 공유기접속 암호는 영문, 숫자를 혼용한 8자리 이상이여야 한다.
- m) 직전 5회 이내 사용한 비밀번호는 재사용을 제한한다.