본 문서는 34. 보안관리 규정으로 업무참조용으로 활용하시길 바라며 다른 프로세스는 아래 링크에서 확인할 수 있습니다.
34. 보안관리 규정
1. 목 적
본 규정은 위리투데이(이하 ‘회사’ 또는 ‘당사’라 한다.)의 정보보호 활동을 위한 기반 조직을 구성하고, 비 인가자의 부적절한 행위로부터 당사 근무 인원 및 시설을 안전하게 보호하는 것과 정보시스템에 의하여 처리, 저장, 소통되는 자료를 바이러스, 해킹 등의 위협으로부터 보호하고 취약 요인을 제거하여 회사의 정보보호를 위한 보안관리를 지속적으로 이루어지게 하는 것을 목적으로 한다.
2. 적용범위
본 규정은 당사의 모든 임직원, 계약 관계에 있는 자 및 출입자와 정보자산이 기록, 저장, 활용되는 모든 매체, 전산장비 및 관련 시설을 포함한 모든 정보자산에 적용된다.
3. 용어의 정의
3.1 관리적보안
보안 조직 구성 및 운영, 보안정책 및 절차관리, 보안교육, 보안점검, 보안감사, 보안사고조사 등의 보안 활동을 의미한다.
3.2 물리적보안
비인가 자로부터 회사의 시설 및 인원을 보호하기 위한 출입통제, 정보자산의 반·출입 통제, 상황모니터 등의 보안 활동을 의미한다.
3.3 상황모니터
사업장 내 설치된 CCTV 또는 경비인력 운영을 통해 안전, 사고 및 보안 현황을 실시간 확인하는 것에 관련한 활동을 의미한다.
3.4 기술적보안
정보시스템의 보호 및 정보시스템을 통한 유출을 예방하기 위한 운영관리, 정보시스템 접근통제, 개발 및 유지보수, 침해사고관리 등의 보안 활동을 의미한다.
3.5 정보시스템
사용자에게 원활한 서비스의 제공을 목적으로 하는 하드웨어 일체와 주변장치 및 운영체제를 포함한 각종 시스템 소프트웨어를 총칭한다.
3.6 네트워크
회사의 사업을 영위하기 위해 사업장 간에 송수신되는 정보 혹은 관련 기관 간에 주고받는 각종 정보를 전달하여 주는 각종 시스템들을 다양한 형태로 연결시켜 주는 유무선 통신망을 의미한다
3.7 백업
예상치 못하고 바람직하지 않은 사건에 의해 발생할 수 있는 정보서비스 혹은 정보자산의 손상을 최소화하고 이를 복구하기 위해 필요한 복사본을 만드는 것을 말한다.
3.8 복구
사전에 백업 받았던 복사본을 이용하여 이전의 상태로 전환하기 위한 RECOVERY와 단순히 백업 받았던 자료를 재 설치하는 RESTORE 작업을 총칭하여 말하며, 복구를 위해서는 반드시 백업이 선행되어야 한다.
3.9 단말기
전산시스템의 입출력 장치를 말하며, LAN 혹은 WAN으로 연결된 개인용 PC 및 프린터, 콘솔, 스캐너 장비 등이 포함된다.
3.10 보안사고(침해사고)
보호관리 대상에 속하는 정보 및 정보시스템이 무단으로 파괴되거나, 유출, 변조되어 정보보안 관리체계에 문제가 발생하는 경우를 말한다.
3.11 자료
기업의 경영활동에서 입수 된 사실 또는 지식을 말한다.
3.12 정보
자료를 가공. 분석하여 기업이 의사결정을 내리거나 문제를 해결하는데 도움이 되는 것을 말한다.
3.13 정보관리
정보의 수집. 분석 및 활용 등 회사 내 정보의 흐름을 효율적으로 유지시켜 주는 제반 활동을 말한다.
3.14 총괄부서
전사적으로 정보관리 업무를 기획, 조정, 종합하고 총괄하는 부서를 말한다.
3.15 비밀등급
정보관리위원회에서 제정한 정보분류 등급을 말하며, “보안등급”이라고도 한다.
4. 책임과 권한
4.1 대표이사
1) 보안총괄책임자로서 보안관리에 관련한 모든 정책을 결정한다.
2) 보안업무를 기획, 시행하도록 전사 보안책임자에 지시하고 시행 상황을 관리감독 한다.
4.2 전사보안담당자
1) 총무담당 팀(부서)장으로 회사 모든 보안관리 업무를 최고 경영자에게 보고 하고 시행한다.
2) 회사의 보안관리 규정을 수립하고 교육, 공지 등을 활용하여 적용한다.
3) 보안 관련 법령 및 관련사의 보안정책 변경 등 외부환경 변화에 따른 회사의 보안정책을 재검토하고 필요 시 보안규정에 반영하거나 보안교육, 점검, 감사 등의 조치를 시행한다.
4) 보안관리 교육 및 홍보를 주관한다.
5) 보안사고 발생 시 외부 수사기관과의 연계 여부를 판단하고 대책 수립 및 징계를 시행한다.
6) 정보자산의 정기적인 점검을 통해 취약성 조사 및 대응방법을 마련하여 보안사고를 사전에 예방한다.
4.3 임직원 및 계약관계에 있는 모든 인원
1) 본 규정 및 관련 지침에서 정하는 보안정책을 준수 해야 한다.
2) 보안관리 교육에 참석할 의무가 있고, 자체 점검 등 회사 보안활동에 적극 협조해야 한다.
3) 영업비밀을 과도하게 취득, 보관하거나 사외로 무단 반출하는 등 보안사고의 개연성이 있는 행위를 해서는 안 된다.
4) 회사의 정보자산 반출 시 정해진 절차에 따라야 하며, 임의 판단으로 반출할 수 없다.
5) 사원증은 항상 패용해야 하며 사원증을 타인에 대여, 공유하지 않는다.
6) 보안사고를 발견하였을 경우 팀(부서)별 보안책임자 또는 보안담당조직에 즉각 해당 사실을 알려야 한다.
7) 회사의 보안관리 규정을 위반하는 경우 다음과 같은 인원에 책임이 있다.
- 임직원이 보안관리 규정 위반: 위반자 및 소속 팀(부서)장
- 방문자가 보안관리 규정 위반: 출입 허가를 요청한 임직원
4.4 방문자
1) 출입증을 소속회사의 직원이나, 타인에 대여, 공유하는 행위를 해서는 안 된다.
2) 카메라 또는 카메라폰과 같은 영상 기록장치를 이용한 임의 촬영을 금지한다.
3) 당사에서 공식적으로 제공된 자료 외 어떤 자료도 취득, 사용해서는 안 된다.
4) 당사에서 요구하는 보안조치 위반 시 사규와 관련 법령에 따른 모든 책임을 진다.
5) 출입증을 대여하거나 본 목적과 다르게 사용하는 등 오남용 적발 시 해당자는 출입증 회수 및 출입금지 조치되며, 소속사 대표이사에 재발방지 대책을 제출하도록 한다.
6) 보호구역 내에서는 당사의 통제에 따라야 하며 이를 위반 시 강제 퇴실 또는 퇴장된다.
7) 당사 자료를 무단으로 취득, 활용하거나 유출을 시도하는 경우, 관련 법령에 따른 민형사상 책임을 진다
5. 업무절차
5.1 전사보안담당자
전사보안담당자는 물리보안, 관리보안, 기술보안으로 구분하고, 규정에서 정한 보안관리 업무를 수행한다.
1) 물리보안
- 각 팀(부서)에서 요청하는 보안관리 구역 설정을 검토, 승인하고, 그 결과를 요청부서에 회신하고 이를 현황으로 관리해야 한다.
- 물리보안시스템을 운영하며 관련된 절차를 수립하고, 그 절차에 따라 운영 현황을 관리한다.
2) 관리보안
- 교육계획을 수립 및 시행하고, 각종 보안 이벤트 시행, 모니터링, 정보자산에 대한 정기적인 점검 등을 통한 보안사고 예방활동을 수행한다.
- 보안사고 발생 시 조사, 조치 활동을 담당한다.
3) 기술보안(담당자 선임)
- 정보기술 관련한 전 부문의 보안관리 업무를 총괄하여 수립 및 시행한다.
- 정보기술 보안운영계획 및 보안감사계획을 수립하고 시행한다.
- 정보기술 보안에 관련한 별도의 세부 지침을 마련하여 시행한다.
- 정보기술 보안시스템의 관리 및 성과분석을 실시한다.
- 전산자산의 안정적 운영 및 보안대책을 마련하고 실시한다.
- 전산자산의 취약점이 발견되면 전산담당자에게 개선을 요청해야 하며, 패치를 실시한다.
- 내·외부 전산장비에 대한 보안점검을 실시한다.
- 보안관리 규정 상의 보안관리 업무 수행사항을 적용 및 실행한다.
- 보안사고 발생 시 기술적인 조사, 조치 등을 지원한다.
- 위 각 호에 대한 결과를 전사보안담당 및 대표이사에게 보고한다.
5.2 보안서약서
1) 영업비밀의 법적인 보호와 임직원의 보안인식제고를 위해 정보보호서약서를 작성하여 제출토록 한다.
2) 보안관리 담당자는 징구 대상과 서약서 징구 현황을 표로 관리해야 하며, 누락이 있는지 매월 점검하고 누락이 확인되는 경우 원인을 파악 및 조치 한다.
3) 임직원, 제3자 구분 없이 정보보호서약서를 제출한 인원만 정보자산을 사용할 수 있다.
4) 서약서를 제출하지 않은 인원에는 시스템 사용권한을 부여해서는 안되며, 이에 대한 관리 책임은 보안담당자에 있다.
5) 임직원은 입사 시 정보보안에 대한 중요성을 숙지하여 ‘정보보호서약서’를 작성 후 인사담당자에게 제출해야 한다.
’정보보호서약서’는 관련 법령 및 정보의 기밀사항에 관하여 지켜야 할 사항을 명시해야 한다.
6) 임직원은 퇴사 시 본인이 보호해야 할 영업비밀의 내용과 보호기간, 부정경쟁방지 등에 관한 법령준수 및 법적 책임 등이 포함 된 ‘퇴직자영업비밀유지서약서’를 작성 제출하여야 한다.
5.3 보안교육
1) 보안관리 담당자는 전 임직원에 대해 연 2회 이상 보안관리 교육을 실시해야 하며 필요한 경우 대표이사의 입회를 요구할 수 있다.
2) 신입사원 입사 시 관리, 물리, 기술 각 보안관리 영역에 대한 회사의 정책과 신입사원이 알아야 할 주요 규정, 지침, 절차를 교육하고, 그 결과를 문서로 유지해야 한다.
3) 보안관리 정책 변경 등 사유 발생 시 2주 이내에 팀(부서)에 공지 및 소집교육 등을 통해 교육을 실시한다.
5.4 퇴직자 관리
1) 퇴직 명령 일을 기준으로 48시간 이내에 퇴직자에 대한 출입 및 시스템상의 모든 접근 권한을 절차에 따라 모두 삭제 한다.
2) 월 1회 퇴직자의 권한이 정상적으로 회수되고 있는지 현황을 확인하고 누락이 확인되면 그 원인을 확인하고 개선조치를 이행한다.
3) 업무인수/인계를 목적으로 팀(부서)장이 서면으로 요청하는 경우 최대 2주 기간 동안 권한 삭제를 유예할 수 있다.
권한 회수 유예로 문제가 발생하는 경우 팀(부서)장도 책임이 있다.
4) 퇴직 발령 게시 지연 등의 사유로 권한 회수가 정상적으로 처리되지 않은 경우, 그 차이 기간 동안 출입/시스템 사용기록을 모두 확인하고, 팀(부서)보안담당자에 확인을 요청하고 그 결과를 포함하여 전사보안책임자에 보고 한다.
5.5 보안 위반자 관리
1) 보안담당자는 위반사항의 경중을 판단하여, 경미한 위반의 경우 주의조치를 해당 직원 및 소속 팀(부서)장에 통보하며, 중요한 위반이라고 판단되는 경우 대표이사에게 보고 후 규정에 따라 조치 한다.
2) 보안 위반에 대한 징계는 취업규칙과 인사규정에 정한 징계 종류 및 절차에 따른다.
3) 유사사고 재발방지를 위해 대책을 수립, 시행하고, 징계 결과는 임직원 전원에게 공지한다.
4) 임직원은 보안규정 및 관련 지침/절차를 위반한 사실을 인지하는 경우 전사보안담당자에 즉시 위반 사실을 통보해야 한다.
5) 본인의 실수 또는 의도하지 않게 정보가 노출, 제공되었음을 확인하는 경우 전사보안담당자에게 관련 사실을 통보해야 한다.
5.6 위반자 경중 판단 기준
1) 경미한 위반
- 위반 내용이 실수 또는 과실에 의한 단순한 규칙/지침 위반이라고 인정되는 경우
- 위반 이력이 없는 임직원이 규정, 절차 등의 미 인지로 규칙/지침을 위반한 경우
- 본인의 위반 사실을 통보해온 경우 중 중대한 위반에 사유가 되지 않는 경우
- 위반 회수에 따라 다음과 같이 조치를 상향 한다
① 1회 위반: 당사자 구두 경고
② 2회 위반: 당사자 서면 경고(시말서) 및 팀(부서)장 구두 경고
③ 3회 위반: 당사자 및 팀(부서)장 서면 경고(시말서)
④ 4회 이상: 고의적 정책 미 준수로 중대한 위반으로 상향
2) 중대한 위반
인사징계위원회에 회부하여 경고 이상의 징계를 시행한다.
- 고의로 보안 규정, 절차, 지침을 우회하는 행위를 한 경우
- 보안사고와 직, 간접적으로 관련된 사안으로 인정되는 경우
- 중대한 과실이거나, 동일한 위반을 반복적으로 지적 받는 경우
5.7 정보자산 분류
1) 분류 주체 및 주기
- 팀(부서) 단위로 분류 기준을 마련하고, 이를 바탕으로 정보의 생성자(문서작성자)가 최초 분류를 시행하도록 공지, 점검 한다.
- 임직원은 문서를 생성할 때 분류 기준에 따라 등급을 구분하여 회사 보안정책이 준수 되도록 분류 기준을 인지하고, 항상 분류된 상태로 문서를 관리 한다.
- 등급이 분류된 정보자산은 인식할 수 있도록 관리해야 한다.
2) 정보자산의 구분
- 정보자산은 ‘비밀(Secret)’, ‘대외비(Internal Use Only)’, ‘일반(General)’으로 등급을 구분한다.
- 비밀, 대외비는 당사 영업비밀로 구분되며 ‘5.7 4) 항의 영업비밀 관리기준’ 및 관련 규정을 준수해야 하며, 공개 등급의 문서는 관리 대상에서 제외한다.
- 임직원(계약관계에 있는 자 포함)에 의해 작성된 모든 문서는 재 분류 전까지 대외비로 취급하며 관련 규정을 준수 하여야 한다.
- 대외비는 모든 임직원이 사용할 수 있으나, 사외에 노출되는 경우 회사에 손해를 끼치거나 해로운 결과를 초래할 우려가 있는 자료를 말한다.
- 정보자산은 일반, 대외비 또는 비밀로 재 분류 할 수 있다.
- 일반 등급은 대외로 노출, 공개되는 경우도 특별히 문제가 되지 않을 내용으로 공시자료 등 대외 공개를 목적으로 만들어 졌거나. 인터넷 검색 등을 통해 쉽게 취득할 수 있는 자료를 말한다.
- 비밀 등급은 업무상 관련 있는 임직원만 제한적으로 사용이 허용되는 자료로, 사외로 노출되는 경우 회사에 상당한 손실을 초래하거나, 회사 사업 계획의 폐기, 수정, 영업손실 등을 초래 할 우려가 있는 자료를 말한다.
- 보안등급의 추가 지정이 필요한 경우 전사보안책임자의 승인을 얻어 ‘극비’ 등급을 지정, 사용 할 수 있다.
3) 정보자산의 관리
- 전사보안담당자는 팀(부서) 단위에서 작성할 수 있는 정보자산 분류 기준(템플릿)을 제공해야 한다.
- 전사보안담당자는 1년에 1회 이상 팀(부서)별로 파악된 정보자산의 리스트를 총괄 취합/보관하여야 한다.
4) 영업비밀관리기준
- 영업비밀의 정의
① ‘영업비밀’이란 비밀로 유지된 생산방법, 판매방법, 기타 영업활동에 유용한 기술상 또는 경영상의 정보를 말하며, 회사가 사용을 위하여 타사와의 계약관계 등을 통하여 도입한 타사의 영업비밀을 포함한다. - 영업비밀의 보관 및 관리
① 영업비밀은 생성 시 원본 문서에 해당 등급을 표기해야 하며, 생성과정에 있는 중간산출물 및 해당내용의 일부를 사용한 문서도 동일한 방법으로 관리되어야 한다.
② 출력 된 영업비밀에는 그 등급이 매 페이지마다 쉽게 식별 가능하도록 표기 되어야 하며, 출력 시 표기하지 못한 문서의 경우 출력 후 고무인 등을 활용하여 표기한다.
③ 출력 된 영업비밀은 개방 된 장소에 보관해서는 안되며, 시건 장치가 있는 장소에 보관하며 팀(부서)장이 관리한다.
④ 출력 된 영업비밀은 보존기간이 만료되면 1개월 이내에 복원할 수 없는 형태로 파기 한다. 단, 업무적 이유로 파기를 유예할 필요가 있는 경우 목적과 유예기간 등을 서면으로 보안담당자에 보고 후 보관한다.
⑤ 영업비밀이 휴지통, 공용 회의실 등 직원이 통제 할 수 없는 장소에 방치된 경우 해당 문서의 출력자 및 해당 팀장을 보안규정위반으로 조치 한다.
5) 영업비밀의 이관
- 보직 변동으로 해당 영업비밀을 소유 할 필요가 없는 경우 전보자는 ‘업무인수인계서’ 에 취급영업비밀의 인수인계 내용을 작성하고, 전자문서 및 출력문서 등 모든 종류의 영업비밀을 인수자에 인계한다.
- 팀(부서)장은 인계/인수 절차에 따라 영업비밀이 적절히 이관 되었는지 확인하고 인계자가 소유하고 있는 영업비밀이 모두 파기 되었는지 확인한다.
- 업무 상 이유로 기존 영업비밀의 일부를 전보 된 부서에서 사용할 필요가 있는 경우 그 목적과 파일의 목록을 이전 팀(부서)장에게 서면으로 보고 후 활용 할 수 있다.
- 서면보고 과정 없이 보유하는 경우 이유를 막론하고 고의적인 정보 취득으로 보안위반자 처리규정에 따라 조치 한다.
6) 영업비밀의 배포 및 반출
- 영업비밀을 본인의 업무와 직접적으로 관련이 없는 곳으로 반출 할 사유가 발생하거나 국가기관 등 외부에서 요청한 자료의 범위에 영업비밀이 포함되는 경우 전사보안담당자의 사전 승인을 얻어 반출한다.
- 본인의 업무 수행을 위해, 사외 반출하는 경우 반출처와 반출일시, 반출 내역을 회사가 정한 양식에 따라 작성 기록한다. 단, 기술자료(도면)를 배포/접수 할 수 있는 시스템이 구축 된 경우 별도의 기록을 작성하지 않고 시스템 로그로 대체한다.
- 영업비밀의 반출 이력은 2년 이상 보관되어야 하며, 필요 시 쉽게 조회 가능한 상태로 관리되어야 한다.
- 사내 배포의 경우 영업비밀의 소유권자(작성자)의 판단에 따라 회사가 정하는 보호조치가 적용된 상태로 필요한 인원에 한정하여 배포한다.
- 본인이 작성한 영업비밀이 아닌 경우 배포, 반출 할 수 없으며, 작성자의 승인을 얻거나 작성자에 반출, 재 배포를 요청해야 한다.
7) 영업비밀의 파기
- 전자문서 형태의 영업비밀은 회사가 정하는 소프트웨어를 활용하여 복원 불가한 상태로 파기해야 하며, 사본도 같은 방법으로 파기 한다.
- 전자문서 이외의 영업비밀은 문서 세단기를 사용하여 원형을 확인 할 수 없는 상태로 파기해야 한다.
- 임직원이 사용 할 수 있는 문서 세단기가 설치되지 않은 경우 전사보안담당자는 별도의 파기 절차를 수립하여 운영해야 한다.
- 전자문서 파기용 소프트웨어를 지정, 공지 하지 않은 경우 파기에 대한 책임은 전사보안담당자에 있다.
5.8 준거성
1) 전사보안담당자는 보안관련법령이 개정되거나, 고객사의 보안정책이 변경되는 경우 내부규정, 절차, 지침에 영향이 있는지 전사보안담당자를 통해 검토해야 하고 필요 시 개정해야 한다.
2) 검토 결과, 개정이 불필요하다고 판단되는 경우에는 검토 이력을 문서로 유지해야 한다.
3) 전사보안담당자는 법령개정 및 고객사 정책변경 등 변경사항을 내부규정 변경사항과 함께 전 임직원이 인지 할 수 있도록 공문 또는 게시판을 통하여 공지해야 하며, 필요 시 별도 교육을 실시 해야 한다.
4) 기술보안담당은 시스템의 취약점을 주기적으로 점검하여, 내부 규정 또는 외부 법령에 위반사항이 없도록 확인하고 개선이 필요한 경우 전사보안담당자에 보고하고 조치 한다.
5.9 보안점검
1) 목적
회사에서 정한 보안 통제가 적절히 이행되고 있는지 확인함으로써, 잠재적인 정보보안 침해의 가능성과 그로 인한 피해를 최소화 하는데 그 목적이 있다.
2) 시행 주체 및 주기
- 전사보안담당자의 주관 하에 사전 계획에 따라 시행하며 점검/감사를 시행할 인원은 전사보안담당으로 부터 지명 받은 임직원으로 한다.
- 점검은 년1회 반기별로 시행하고 전 팀(부서)가 점검 대상이 되도록 계획 /시행한다.
- 보안점검은 임직원의 일상적인 준수사항 위주로 시행하고, 관리여부를 검증하는데 활용한다.
- 다음의 경우 상기 일정과 별도로 점검을 실시할 수 있다.
① 전사보안담당자가 필요하다고 인정 할 때
② 보안 사고의 발생 우려가 있을 때 또는 보안 사고 발생 시
3) 점검 대상
본 규정 2. 적용범위에서 정한 범위를 대상으로 한다.
4) 점검 시행
- 임직원은 정당한 사유 없이 점검을 지연 하거나, 거부할 수 없다. 부득이한 경우 전사보안담당자 서면 보고 후, 승인 된 경우에 한하여 일정을 조정 할 수 있다.
- 점검이 완료되면 그 현황을 전사 통보하고 [경미한 위반]으로 확인된 사항은 관련 팀(부서)장에게 개선을 요청 한다.
- 팀(부서)장은 요구된 개선사항에 대한 조치방법/일정을 전사보안담당자에 회신하고, 계획에 따라 조치 후 완료 여부를 전사보안담당자에 통보하는 것으로 개선조치를 종료한다.
- 조치는 통보 받은 시점부터 4주 이내에 완료 해야 한다.
- 전사보안담당자는 팀(부서)에 요청한 개선사항의 완료가 모두 확인되면, 대표이사에게 점검에 대한 개선완료 보고한다.
- 완료 보고는 점검완료 시점부터 30일을 초과 할 수 없으며, 4주 이내 완료 통보하지 않은 팀(부서)는 ‘미조치’로 처리 한다.
- 전사보안담당자는 점검/감사 결과 [중대한 위반]으로 판단되는 사항에 대해서는 본 규정에서 정한 절차에 따라 조치 한다.
- 모든 점검 결과 및 위반자 처리 결과는 3년 이상 유지 해야 한다.
5.10 물리적 보안
5.10.1 보호구역 설정
1) 보호구역의 정의
① 보호구역
업무수행에 있어 비밀보호가 필요한 지역을 말하며, 그 중요도에 따라 ‘제한구역’과 ‘통제구역’으로 구분하며, 보호구역의 세분화 관리를 위하여 ‘제한지역’을 추가하여 구분 할 수 있다.
② 제한구역
상주직원 이외에 출입이 금지되는 보안상 중요한 구역으로, 비 인가자의 출입을 방지하기 위하여 출입에 안내가 필요한 지역을 말한다.
③ 통제구역
비 인가자의 출입이 금지되는 보안상 극히 중요한 구역으로, 비 인가자의 출입 시 사전에 반드시 관리책임자의 승인을 받아야 출입이 가능한 지역을 말한다.
④ 제한지역
비밀이나 중요시설, 자재 및 중요문서 등을 보호하기 위하여 일반출입자에 대한 감시가 요구되는 지역으로, 별도의 승인내역 없이 출입 할 수 있는 구역이나, 회사의 보안 관리 범위에 있는 지역을 말한다.
2) 보호구역의 지정
① 사업장 보안책임자는 비밀보호의 중요도에 따라 보호구역을 지정하여야 한다.
② 회사의 영업비밀 및 자산의 보호를 위하여 외부인의 출입을 제한하여야 하는 지역은 제한구역 이상으로 지정하며, 임직원 및 외부인은 절차에 따라 승인 후 출입한다.
③ 보호구역으로 설정된 지역은 비 인가자의 진입을 방지하기 위한 통제장치의 설치 및 보호활동을 하여야 하며, 출입기록을 유지하여야 한다.
④ 비밀보호를 위해 임직원의 출입을 통제하여야 할 필요가 있는 지역은 통제지역으로 지정하며, 사진촬영 및 비인가 임직원의 출입을 제한한다.
⑤ 통제구역은 팀(부서)장의 의견을 수렴하여 전사보안담당자가 설정하고 대표이사에게 보고 후 시행한다.
3) 보호구역 표시
① 보호구역의 출입 시 쉽게 확인이 가능한 출입문 중앙 또는 잘 보이는 곳에 부착한다.
② 보호구역의 표지 [부표]을 따른다.
4) 출입관리
① 임직원은 본인 근무지역 및 제한지역의 출입이 가능하며, 외부인은 회사 내 업무목적으로 필요한 경우에 방문을 요청하여야 하고, 방문신청은 외부인을 관리/통제 할 수 있는
부서에서 신청 및 승인한다.
② 외부인은 각 출입문 또는 안내데스크에서 신분확인 및 방문증을 수령하여 출입하여야 한다.
③ 업무적 계약이나 장기적으로 사업장내 출입하는 인원은 장기출입증 발급 후 출입하여야 한다.
5) 출입증 운영
① 임직원 출입증: 전 임직원 의무적 발급 및 출입의 목적으로 사용되는 사원증
② 외부인 출입증: 당사 임직원이 출입허가를 요청한 자에 발급하는 출입증
5.10.2 자산 반출·입 통제
1) 반출·입 통제항목
① 반출·입 통제 항목은 일반자산 및 정보자산으로 분류한다.
② 일반자산 통제 항목
- 생산 및 운영에 필요한 자재 및 부품, 완성품 또는 이에 준하는 자산
③ 정보자산 통제 항목
- 컴퓨터 류(휴대형 포함), 서버 류, 저장매체 류 등의 정보처리 및 저장 장치 또는 이에 준하는 자산
- 기타 보안운영부서(팀)에서 선정한 정보자산
④ 기타 통제하기 어려운 세부 항목에 대하여서는 보안운영부서(팀)에서 검토 및 선정하여 세부 지침에 명기할 수 있으나, 최소한으로 분류토록 한다.
2) 반출·입 통제 관리
① 당사 소유 및 비 소유 자산 등의 모든 통제 대상 자산에 대하여 사업장 내 반출입시에는 반드시 해당 자산에 대하여 관리, 통제할 수 있는 부서(팀)의 승인 절차를 반드시 운영토록 한다.
② 외부인에 의한 자산 반출·입일지라도 업무 목적 이외의 행위를 하거나 회사에 유해한 행위를 하였거나, 시도 할 경우 승인을 한 임직원에게도 책임이 있다.
③ 관리, 통제 할 수 있는 부서(팀)의 승인이 있더라 하더라도 당사 보안 목적 달성을 저해하는 항목에 대하여서는 보안운영부서(팀)에서 반출·입을 통제할 수 있다.
5.11 기술 보안 업무절차
5.11.1 사용자보안지침
1) 목적
업무상 목적으로 회사에서 지급한 데스크탑 PC 및 노트북(이하 ‘PC’라 한다.), 프린터, 스캐너 등 개인업무용 전산장비의 정보기술보호를 위한 요구사항을 제공함에 그 목적이 있다.
2) 관리항목
① 개인용 전산장비는 8자리 이상의 로그인, 화면보호기 비밀번호가 설정되어 있어야 한다.
② 모든 PC에는 회사 업무용 목적으로 사용되는 회사에서 배포되는 프로그램만 설치가 가능하며, 불법 S/W 사용에 대한 책임은 본인에게 있다.
③ 모든 PC에는 악성코드 실행방지솔루션 등 보안시스템이 설치되어야 하며, 사용자는 최신업데이트 및 최신보안패치 적용을 해야 하고, 그 현황이 유지되어야 한다.
④ PC내의 파일을 공유 할 필요가 있을 경우, 비밀번호가 설정된 공유 폴더를 설정하여 인가 된 사용자만 접근 할 수 있도록 해야 한다.
⑤ 공용 PC에 대한 관리자를 지정해야 하며, 공용PC에는 보안문서를 저장할 수 없다.
⑥ 인터넷을 사용하는 경우 회사의 보안정책(접근차단시스템 등)을 준수해야 하며, 승인되지 않은 인터넷 망을 사용하여서는 안 된다.
⑦ 보안문서는 외부로 공중 네트워크(인터넷 등)를 거쳐 전송하는 것은 불허하며, 부득이한 경우는 사전 또는 사후에 관리자의 승인을 받아야 한다.
⑧ 사용자는 회사에서 지급한 H/W 및 S/W의 변경을 임의로 하여서는 안되며, 이동형 저장 장치는 승인 절차를 거친 후 사용해야 한다.
5.11.2 네트워크보안
1) 목적
사내 네트워크 구성 및 외부 네트워크 연결 시 요구되는 정보기술보호의 수준을 향상시킴으로써 안정적인 네트워크 인프라를 갖추는데 그 목적이 있다.
2) 관리항목
① 사내 네트워크는 외부에서 접근이 통제되는 사설망을 구축해야 한다.
② 외부에서 공중망을 통해 내부 네트워크로 접속하고자 할 경우, 암호화 및 인증 절차를 통하여 업무상의 목적으로만 사용해야 하며, 접근 기록을 보관해야 한다.
③ 중요도가 높은 시스템 및 네트워크는 분리되어야 한다.
④ 허가되지 않은 전산장치의 회사 네트워크 사용을 금지한다.
⑤ 외부 방문객 또는 개인 노트북의 네트워크 사용 시 정보기술보안관리자의 승인을 받은 후 사용해야 한다.
⑥ 신규 네트워크 설치 또는 구성 변경 시 테스트 등 검증 과정을 거친 후 승인 절차에 의해 설치 및 변경해야 한다.
⑦ 인가되지 않은 AP는 통제되어야 하며, 무선랜은 WPA2 이상의 인증 및 암호화 기법을 적용 해야 한다.
⑧ 네트워크장비 설정 내용 백업 등 장애 발생에 대비해야 한다.
⑨ 네트워크장비의 접근 통제가 이루어져야 한다.
5.11.3 시스템보안
1) 목적
시스템을 다양한 보안 위협 및 취약성으로부터 안전하게 보호하고, 운영 관리하는데 그 목적이 있다.
2) 관리항목
① 시스템 설치 시 기본적으로 생성되는 계정 및 사용하지 않는 계정은 삭제 및 변경되어야 하며 반기 1회 전체 계정에 대한 검토를 실시하여야 한다.
② 서버시스템에 접근한 기록은 1년 이상 보관되어야 한다.
③ 시스템 사용자 계정의 등록, 변경, 삭제는 공식적인 승인절차로 이루어져야 하며 이력관리가 되어야 한다.
④ 모든 사용자에게는 유일한 계정을 부여해야 하며, 계정 공유 현황을 분석해야 한다.
⑤ 비밀번호는 영문, 숫자 혼합으로 8자리 이상이며, 3개월 이내 변경되어야 한다.
⑥ 중요 업무 시스템은 개발과 운영시스템이 분리되어야 한다.
⑦ 어플리케이션의 개발 및 변경은 공식적인 승인 절차를 준수하여야 하며, 보안성 검토 및 기능 검증 테스트 후 운영에 반영되어야 한다.
⑧ 테스트 데이터는 주민등록번호, 계좌번호 등과 같은 개인 정보 및 중요 정보를 포함하여서는 안 된다.
⑨ 데이터베이스에 대한 접근 통제가 이루어져야 하며, 접근 로그를 1년 이상 보관해야 한다.
⑪ 시스템에 대한 주기적인 취약점 점검 및 조치가 이루어져야 한다.
⑫ 운영체제, 데이터베이스에 대한 백업 및 원격지 소산이 되어야 한다.
⑭ 시스템 장애에 대비한 복구 계획이 마련되어야 있어야 한다.
6. 데이터 백업(Backup) 정책
6.1 백업의 대상 및 책임
만일의 사고로부터 자원 유실을 최소화하고 장애 복구 시 최단 시간 복구를 위하여 전산자원은 별도의 장소 및 매체에 기록 보관하여야 한다.
1) 대상: 전산장비에 기록되어 있는 S/W 자원일체(Source P/G, 시스템 파일) ERP, 그룹웨어 등의 DB
2) 책임: 기술보안담당자는 백업의 대상 및 주기를 결정하고 백업에 대한 절차 및 방법에 따라 수행 할 책임이 있다.
6.2 백업의 방법
하드디스크 백업과 보조장치 백업 두 가지 방식을 동시에 운영 관리한다.
1) 하드 디스크 백업
① 해당 서버의 데이터를 직접 하드디스크에 백업을 한다.
② 하드디스크의 백업 중 Database의 백업은 자동 Scheduling 기능을 이용 주1회 또는 매일 밤 12:00에 백업이 되도록 한다.
2) 보조장치 백업
① 데이터를 하드디스크 이외의 보조장치(CD-R / DVD-R) 등에 백업을 한다.
② 백업 주기는 월 2회 실시한다.
③ 백업을 하는 보조장치에 백업 일자 등의 Tag를 붙여서 관리한다.
6.3 백업의 절차
(1) 백업 수행 시 준수사항
① 백업 매체는 항시 지정된 위치에 보관되어야 하며 내용물은 유실을 방지하기 위하여 정기적인 점검을 실시하여야 한다.
② 백업 수행 시 시스템에 급격한 부하 증가에 따른 성능 저하를 가져올 수 있으므로 백업은 시스템 부하가 적은 한산한 시간에 수행을 하여야 한다.
③ 기록 상태가 불안정한 매체는 즉시 폐기하여야 하며 부적합 품으로 판정된 매체는 백업 매체와 혼재 되어서는 안 된다.
(2) 백업 절차
① 백업은 정해진 일정과 스케줄에 따라 백업을 진행한다.
② 백업 계획을 수립하고 필요한 자원을 준비한다.
③ 백업 절차는 해당 데이터의 특성에 따라 정해진다.
④ 백업 후 백업 매체에 날짜를 기록한 후 보관장소에 보관한다.
LIST 바로가기 |
댓글
댓글 쓰기