엘로이티큐브 RSS FEED

1.목적

2. 적용범위

본 정책서는 회사 및 자계열사의 사업과 관련된 모든 정보자산 및 이를 이용한 모든 업무에 적용된다. 또한  이 정책서는 회사 및 자계열사에 근무하는 모든 임직원에게 적용되며, 필요 시 회사와 계약 관계에 있는  제3자와 기타 출입자에게도 적용된다.

3. 용어정의

"임직원"이란 현직 정규직,계약직,임시직,파견직 인력등 회사 업무에 직, 간접으로 관련되는 모든 인력을  말한다.

"정보자산"이란 회사가 보유하고 있는 인원, 문서, 시설, 전산시스템, 지식재산권, 연구개발 정보, 기술상  정보, 경영상 정보등 보호할 필요가 있는 유/무형의 모든 자산을 말한다.

"문서정보자산"이란 회사에서 생성된 문서,생산도면등 일반문서의 정보와 전자적으로 저장된 전자문서의  정보를 말한다.

"영업비밀"이란 "경쟁사 및 대외로 유출될 경우 회사에 피해를 줄 수 있는 정보자산"을 말한다.

"관리 책임자"란 정보자산을 직접 생산,수신하거나 관리하는 해당부서의 부서장 또는 부서장이 지명한  임직원으로서 정보자산의 생산에서 배포,보관,사용승인,폐기등 운용, 관리에 대한 모든 권한과 책임을  가진 임직원을 말한다.

"전사정보보안관리자"란 회사의 정보보안을 실무적으로 총괄하는 자이고, 현업 정보보안담당자”란 각  조직별 정보보안 임무를 수행하는 현업 실무자를 말한다.

"핵심인력"이란 부서에서 경영상,기술상 중요 정보를 다루고 인지하고 있는 인력으로 현업 인사담당자가  정보보안담당자에게 퇴직시 통보하는 인력을 말한다.

고객정보
생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 해당 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보로, 해당 정보만으로는 특정 개인을 알아볼 수 없으나 다른 정보와 용이하게  결합하여 알아볼 수 있는 것을 포함

 1.목적

• 사업장의 물리적, 시스템적, 인적 보안 업무를 담당하며 각 분야별 보안 수준을 정기/비정기로 파악하여 개선 대책을 수립, 시행한다
     - 보안을 담당하는 보안전담자를 지정, 운영하거나 겸임할 수 있다
     - 년 중 관할 사업장을 점검, 평가하여 위협요인을 파악하고 개선한다
     - 시스템 부분은 역할에 따라 IT자원관리부서가 지원할 수 있다
  
• 각 사업장에서 정기/비정기 방식으로 점검을 실시해야 할 내용은 다음과 같다.
     - 점검 대상 : 물리적 보안 시설, 정보시스템, 통신시설, 사무실 등과 퇴직자, 협력사 등
     - 정기 점검 : 년 1회 이상 위의 점검 대상 전체를 점검
     - 수시 점검 : 월 1회 이상 테마점검, 모의해킹, 사각지대 점검 실시
  
• 사업장의 보안책임자는 수명 사항의 진척도, 시행상 문제점 등을 조정, 사업장의 보안관련 조직간 유기적인 협조체계가 유지되도록 한다.
  
• 회사의 정보보호규정을 집행, 적용하고 필요시 사업장 업무 특성에 따라 전사 정보보호규정에 부합되는 자체 지침을 수립, 운영할 수 있다.
  
• 보안 사고 등에 대비하여 역할과 책임이 명시된 보안 조직도와 비상연락망을 운영해야 하며 보안 사고 발생시 대응을 주관한다.
  
• 사업장내에 상주하는 협력사의 책임자를 대상으로 년 1회 이상 보안교육을 실시해야 하며, 협력사의 책임자는 소속사 상주 임직원을 대상으로 반기 1회 이상 점검과 교육을 실시해야 한다.
  
• 관할 사업장 내에 회사의 정보보호규정에서 지정한 보안 시설 및 장비를 설치, 운영해야 한다. 단, 보안 시설과 장비의 운영은 업무 특성에 따라 책임부서를 별도로 지정할 수 있다.
  
• 사업장 내의 중요 시설을 "통제구역", "제한구역", "일반구역"의 3개 등급으로 구분하고 출입 절차(사람, 차량) 및 시스템, 감시장치, 반출 기준을 차등화하여 반기 1회 이상 점검 및 개선을 실시해야 한다.
     - 통신실, 경비실, PC A/S실, 전산 및 공조 기계실, 변전실 등과 백업센터 및 콜 센터 등은 "통제구역" 으로 관리한다. 
  
  
  

  <출입통제 구역의 등급 및 보안시설 기준>

  
  

  구 분	"통제구역"	"제한구역"	"일반구역"
  기 준	·외부인 침입시   치명적 피해우려 대상	·외부인 침입시   정보유출 피해우려  대상	·외부인에게 공개해도   영향이 없는  대상
  표 시	·관계자 외 출입금지 ·통제 구역	·외부인 출입금지 ·사내 부서명으로도 대치
  예 시	·통신/전산/공조실,   변전 기계실 등	·사무용 건물, 사무실 등	·건물 및 사업장 내의   내방객실 등
  출 입	·비인가자 출입금지 ·출입 이력 보관	·외부인 출입시 동행 ·출입 이력 보관	·내방객 등록 후 출입 ·출입 이력 보관
  반 출	·사전 승인 후 반출 ·감응기 또는 전수검사	·사전 승인 후 반출 ·무작위 추출 검색	·사전 승인 후 반출
  통 제 시 설	·출입문 CCTV, 감지 Alarm,  IC카드 통제	·출입문 IC카드 통제	·내방객실 운영

• CCTV 등의 감시기록은 필요시 즉시 열람 가능하도록 보관해야 하며 비상 전원공급장치를 설치하여 정전시에도 정상가동 상태를 유지할 수 있도록 해야 한다.
     - 감시기록은 1년 이상 보관한다.
  
• 사전에 허가된 자만 출입할 수 있는 방식(Positive Rule)으로 출입시스템을 운영해야 하고, 월 1회 이상 출입자 현황을 분석하여 퇴사 및 전출, 1개월 이상 미 출입자 등을 삭제, 정리해야 한다.
     - 퇴직, 전배 발령자는 발령일 익일부터 출입이 불가능해야 한다.
  
• 임직원의 출입동선을 단일화하여 정보자산 및 물품의 반출입을 통제해야 하며, 복수의 출입 경로를 운영 시에는 모든 경로에 동일 통제 절차를 적용해야 한다.
     - 출입자, 반출입 이력 정보는 1년 이상 보관한다.
  
• 사내의 협력사 출입자에 대해서는 최초 출입 시, 보안서약서를 징구해야 하며 매년 갱신해야 한다.
  
• 사장실/부사장실, 중역 회의실은 도청 예방을 위한 탐지기를 설치하여 24시간 감시/관제토록 하여 "통신보안안전지대(Safety Zone)회의실"을 최소한 1개 이상 운영해야 한다.

• 부서장은 보안담당 간부를 선임하여 담당 부문의 보안대책 적용을 총괄해야 한다.
  
• 회사 정보보호규정과 부록2) "시스템보안 규정"에 따라 인터넷, 정보시스템, 통신망, PC를 대상으로  보안 대책을 적용하고,  현황을 파악하여 정보보호위원회에 보고해야 한다.
     - 반기 1회 이상 위 담당 분야를 점검하고 개선 대책을 수립한다.
  
• 보안 대책의 적용 범위로는 정보시스템 및 회사 통신망(해외 포함) 외 mySingle 등의 전자메일시스템,  사이버사업장,  협력회사 통신망, 기타 VPN 통신망 등을 포함한다.
  
• IT 정보자원의 운영 관리에 대해 보안 현황을 반기 1회 이상 점검하고 개선해야 한다.
  
• 정보시스템 및 PC에 저장된 "극비", "대외비"의 정보자산은 인가자만 열람, 전송, 저장, 출력, 복사 등이  허용되고, 비인가자의 임의사용 및 변경이 불가능하도록 보안 대책을 적용해야 한다.
  
• "극비", "대외비"의 정보자산을 PC에 저장 시에는 암호화되어 회사 외부에서는 별도의 승인 없이는  열람이 불가능해야 한다.
  
• 정보시스템 및 PC에 저장된 "극비" 정보자산은 정보자산명, 생성자, 생성일자, 사용자(배포자),  출력 일자, 배포 및 복사 일자, 폐기 일자 등의 이력을 보관해야 하며 폐기 기록을 1년 이상 보존해야 한다.
  
• 정보시스템 내의 등급별 정보자산은 회사의 정보보호규정에 의거 정보자산 관리가 가능하도록  보안 기능을 시스템으로 개발하여 제공해야 하며 "극비" 정보자산에 대해서는 암호화하여  보관 및 전송해야 한다.("제5장 임직원 준수 사항 內 제1절 정보자산의 관리" 참조)
  
• PC내 정보자산의 유출방지와 관리의 자동화를 위해 PC보안프로그램을 설치하고 다음과 같은  보안 기능을 적용해야 한다.
     - 자동 보안점검 기능, OS 및 바이러스 백신의 자동수정 기능, PC 주변장치에 대한 자동감지 및  차단 기능, 출력문서 워터마킹, PC보안프로그램 미 설치 PC의 통신망 연결 차단 기능 등
  
• PC A/S에 따른 정보자산의 유출방지를 위해 수리용 부품의 반출입, 수불 현황 등 A/S 실태를  월 1회 이상 점검 개선해야 하며, 폐기, 재사용, 매각시 저장 정보를 복원할 수 없도록  완전 삭제해야 한다.
     - 자료 복구를 위해 외부에 위탁시 수리업체로부터 "비밀유지서약서" 를 징구하고 1년 이상  보관해야 한다.
  
• PC A/S, 자료의 복구를 위한 반출 절차는 다음과 같이 일원화하여 운영해야 한다.
     - 수리 의뢰 부서 → PC A/S실 → IT 자원관리 부서 → 외부 반출
     - IT 자원관리 부서는 A/S실에서의 완전삭제 작업 여부를 확인한다.
  
• 고객 개인정보를 취급하는 정보시스템은 다음의 보안 대책을 적용해야 한다.
     - 수집, 저장하고 있는 개인정보는 인가된 사용자만 접근 가능하도록 통제하고, 주민번호,  계좌번호 등의 "극비" 정보는 암호화 저장해야 하며 개인정보를 열람, 또는 출력한 이력은 1년 이상 보관해야 한다.
  
• 해킹과 바이러스 침입, 통신망 및 인터넷 상의 사이버사업장 보안을 위해 다음과 같은 보안 장비를  적절한 위치에 설치, 운용해야 한다.
     - 방화벽, 침입탐지시스템, 바이러스 차단시스템, 서버 보안 툴
     - 사이버 사업장에 대한 24시간 해킹 감시체제
  
• 본 규정 "제5장 임직원 준수사항"에서 정의된 내용 중 인터넷, 정보시스템, 통신망, PC 등에 관련되어  준수에 필요한 적절한 보안도구를 검토, 공급하여야 하며, 설치 전 보안부서의 보안성 검토를  받아야 한다.
  
• 업무상 필요한 인터넷 회선의 개설 전, 해당 사업장의 보안부서에 보안성 검토를 요청하여  보안 대책의 적합성을 검증 받아야 한다.
  
• 인터넷 통신망 및 정보시스템의 보안 수준 유지를 위하여 정기적으로 다음을 진단하여 정보보호그룹에  통보해야 한다.
     - CERT 요원에 의한 모의해킹 진단 결과(월 1회 이상)
     - 정보시스템 각 부문별 보안상태 점검 결과(반기 1회 이상)
  
• 정보시스템에 대한 장애 및 재해시 회사 업무의 정상가동을 위한 비상복구 대책을 수립하여  운영해야 한다.
  
• 정보시스템 내의 모든 패스워드는 암호화 저장되어 본인이외 외부자, 개발자, 운영자 등의 열람이  불가능하도록 해야 한다.
  
• 非인가자 접속 차단,부인봉쇄,사고추적,시스템의 불법적 침입방지, 도용 방지 等 권한관리를 위하여,  사용자 ID의 등록, 변경, 삭제 등에 대한 절차를 운영하고 유지, 관리해야 하며 사용자별 사용 이력을 1년 이상 보관해야 한다.
  
• 보안사고 발생시 추적이 가능하도록 정보시스템 부문별 사용기록을 보관해야 한다.
     - 통신망 : 방화벽, 침입탐지시스템, 라우터 1년 이상
     - 서버/DB/응용시스템 : 사용 및 로그인 기록 1년 이상
     - 사이버사업장 : 유형별 접속 및 사용 기록 1년 이상
  
• 시스템 개발, 설치, 운영 지원을 위해 활용하는 외주 인력 및 업체를 대상으로 "정보보호 서약서"를  징구하고, 지원목적 外 시스템 범위에 접근할 수 없도록 통제해야 한다.
• 정보시스템, 통신망, 서버 等의 IT 인프라 구축과 응용시스템 개발 및 유지보수 프로젝트 수행時  정보시스템의 안전성 확보를 위해 다음과 같은 진행 단계別 보안성 검토를 실시하고, 검토내용의 반영여부를 확인하여야 한다.
     - 진행단계: 분석, 설계, 개발, 구현, 운영 이관 등

• 시설관리부서는 회사의 정보보호규정에 따라 빌딩 등의 시설을 대상으로 동선, 출입, 안전을 위한 보안 시설을 설치하고 이의 현황을 파악하여 정보보호위원회에 보고해야 한다.
     - 반기 1회 이상 위 담당 분야를 점검하고 개선 대책을 수립한다
     - 점검 결과는 정보보호위원회로 보고한다.
  
• 통신실, 사무기기 관리부서 등은 문서의 FAX 전송내용을 1년 이상 보관하고, 복사 문서에는 복사기 위치를 표시해야 한다.
     - FAX 전송 이력 보관내용 : 문서명/내용, 발신/수신번호, 일시.
  
• 통신실 관리부서 등은 통신실과 단자함 등에 대해 출입 통제시설 (또는 봉인)을 설치하여 비인가된 출입자를 통제해야 하며, 반기 1회 이상 도청 여부에 대한 점검을 실시하여 개선해야 한다.
  
• 통신실 관리 부서 등은 통신실 내에 다음 보안조치를 해야 한다.
     - 통신 기계실과 운영실의 분리 및 출입통제, 교환기 시스템의 접근 통제, 교환기 회선장치의 접근통제, 교환기 유지보수 이력의 기록 보관, 교환기에서의 유료 전화 및 감청기능 사용 금지
  
• 통신실 관리부서 등은 모든 사내 전화를 대상으로 FAX 사용이 가능한 번호를 지정하여 운영해야 하며 전송내역 및 이력을 1년 이상 보관해야 한다.
  
• 통신실 관리 부서 등은 미 승인 FAX의 사용 여부, 전송 내역, 사용 이력 등을 반기 1회 이상 점검하고, 보안부서로 통보해야 한다.
  

제1절 정보자산의 관리에 관한 사항
관리의 주체는 회사의 정보 및 데이터, 소프트웨어, 서버 시스템, 네트워크 장비, 물리적/환경적 자산 등 당사의 모든 정보자산 및 이를 보호하기 위한 설비 및 시설을 범위로 하며 이를 생성, 운영, 관리 및 폐기 하는 모든 임직원을 대상으로 한다. 
 

1. 정보자산의 분류

1) 정보자산 분류 및 관리 체계는 아래 그림과 같이 6개 단계로 관리한다. 

<정보자산의 분류>

제2절 인원에 관한 사항 
 
 
1. “정보보호 서약서” 작성

1) 인력채용담당자는 신규 채용인원에 대해서 입사 시 “정보보호 서약서(입사/재직자용, 인턴 및
      계약직용)”를 징구한다. 
 
2) 인력채용담당자는 제출 받은 “정보보호 서약서”를 유지 및 관리할 책임이 있다. 
 

2. 재직자 보안

1) 검색
 
    정보보안 조직은 회사의 정보자산관리를 위하여 회사를 출입하는 임직원 및 모든 외부인력(차량 등
      포함)들에 대하여 검색 및 반출입 내용을 점검할 수 있다. 
 
2) 정보보호 서약서
 
     가) 모든 임직원은 반드시 “정보보호 서약서(입사/재직자용, 임원용, 부사장 이상 임원용)”에 동의를
            하고 이를 제출하여야 하며, 특별 프로젝트 수행 시 또는 해당 조직의 장은 “정보보호 서약서”가
            필요하다고 판단될 때에는 이를 추가로 징구 할 수 있다.
 
     나) 모든 임직원은 연 1회 “정보보호 서약서”에 동의하고 이를 제출하여야 한다. 
 
3) 퇴직 및 전배 정보의 공유
 
     가) 인사담당자는 퇴직자 및 퇴직예정자 발생 시 전사정보보안관리자 및 계정관리담당자, 자산회수
            담당자가 공유되도록 한다.
 
     나) 정보의 공유 시기는 퇴직대상자가 발생하는 즉시 처리하는 것을 원칙으로 한다. 단, 업무 상
            유예기간이 필요한 경우는 사전에 전사정보보안관리자와 협의한다. 
 

 3. 퇴직자 보안

1) 퇴직 및 그룹사간 전배(이하 ‘퇴직’이라 함)시에는 해당 계정을 즉시 삭제 조치한다. 
 
2) 업무정보시스템의 계정 변경, 삭제 처리 절차는 다음과 같다.
 
     가) 퇴직 예정자 및 퇴직자는 계정 삭제 신청서를 작성하여 계정관리담당자에게 제출한다.
 
     나) 계정관리담당자는 퇴직자의 계정을 즉시 삭제한다. 단, 퇴직예정자의 경우, 조직장 및
            업무담당자의 요청 시 해당 계정을 삭제, 중지, 또는 최소 권한 설정 등의 조치를 한다.
 
     다) 계정관리담당자는 계정목록을 최신으로 유지하여야 하며, 계정 신청 처리에 대한 이력을 유지,
            관리하여야 한다.
 
     라) 장기 미사용(최대 3개월)에 대한 기준을 정의하고 해당 계정에 대하여 중지 또는 삭제 등의 정책을
            적용한다.