01. 정보보안조직관리지침 편집하기

= 제1장 총칙 =

== 제1조(목적) ==
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다.

== 제2조(적용범위) ==
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다.

== 제3조(용어정의) ==
# “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
# “외부위탁”이라 함은 특정 업무를 외부 업체에 위탁하여 처리하는 방식을 말한다.

= 제2장 정보보호 조직 =

== 제4조(정보보호 최고관리자 지정) ==
# 직내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 지정하여야 한다.
# 정보보호 최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.

== 제5조(조직구성) ==
# 정보보호 최고책임자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 '''[별지 제1호]'''와 같이 정보보호 조직을 구성한다.
# 실무 조직은 전담 또는 겸임 조직으로 구성할 수 있으며, 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정을 하여야 한다.
# 정보보호 조직 구성원의 주요 직무는 '''[별지 제2호]'''의 직무기술서를 통해 책임과 역할을 구체적으로 정의한다.

== 제6조(정보보호위원회) ==
# 정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호 관련 각 부서의 장을 위원으로 구성한다.
# 간사의 역할은 정보보호담당자가 수행한다.
# 정보보호위원회는 다음의 역할을 수행한다.
## 정보보호정책 및 지침의 제·개정에 대한 심의·승인
## 정보보호 예산 심의·승인
## 정보보호 활동 계획의 심의·승인
## 기타 정보보호최고책임자가 필요하다고 인정하는 사항

== 제7조(정보보호실무협의회) ==
# 정보보호실무협의회는 정보보호위원회 심의·의결 사항에 대한 실무 검토, 세부 이행방안 수립, 원활한 정보보호 관리활동의 조정 등의 업무를 수행한다.
# 정보보호실무협의회는 정보보호관리자가 주관하고 정보보호담당자가 간사 역할을 수행하며, 사안에 따라 관련 부서의 정보보호담당자가 참여한다.
# 정보보호실무협의회는 다음의 역할을 수행한다.
## 정보보호정책 및 지침의 제·개정(안) 수립
## 정보보호 예산 수립
## 정보보호 활동 계획(안) 수립
## 기타 정보보호관리자가 필요하다고 인정하는 사항

== 제8조(정보보호 전담조직) ==
# 정보보호 관련 업무를 기획·시행하기 위한 세부 계획을 수립하고 각종 보안 통제 사항을 관리하는 '''정보보호팀'''을 구성한다.
## 자산에 대한 위협 및 위험분석, 주기적 모니터링을 통해 평상시의 정보보호 관리를 수행한다.
## 임직원의 정보보호 인식 및 기술 수준 제고를 위해 교육 계획을 수립·시행한다.
## 주요 시스템에 대한 침해사고 등 긴급 상황에 대비한 비상 계획을 수립·운영한다.
# 정보통신망의 침해사고 등 사이버 침해의 예방·대응·분석·복구를 위해 '''침해사고대응팀'''을 구성한다.
## 비상조직으로서 침해사고 발생 시 신속하고 효과적인 처리·복구를 위해 주요 정보보호관리자를 중심으로 운영한다.
## 즉각 대응을 위해 사전 조직 구성, 대응 절차·예방책 수립, 사고 대비 교육·훈련을 실시한다.
## 일반 직원이 침해사고를 인지·신고할 수 있도록 교육·훈련을 포함하고 주기적으로 훈련한다.
# 클라우드컴퓨팅서비스의 안정적 제공 유지를 위해 '''장애대응팀'''을 구성한다.
## 자연재해 등 장애 발생 시 신속하고 효과적인 처리·복구를 위해 주요 정보보호관리자를 중심으로 운영한다.
## 즉각 대응을 위해 사전 조직 구성, 대응 절차·예방책 수립, 사고 대비 교육·훈련을 실시한다.
## 일반 직원이 장애를 인지·신고할 수 있도록 교육·훈련을 실시한다.
# 개인정보의 안전한 관리를 수행하기 위해 '''개인정보보호팀'''을 구성한다.
## 최고경영자는 개인정보 처리 업무를 총괄 책임질 '''개인정보보호책임자(CPO)'''를 지정하여야 한다.
## 개인정보보호책임자는 개인정보 처리방침을 정하여 정보주체가 쉽게 확인할 수 있도록 홈페이지·이메일 등을 통해 공개하여야 한다.
## 개인정보보호책임자는 개인정보보호법 제31조의 의무를 수행하여야 한다.
# 정보보호 전담조직이 구성되기 전까지는 시스템지원팀, 공유솔루션팀에서 정보보호 업무를 수행한다.

= [별지 제1호] 정보보호 및 개인정보보호 조직 =

== 정보보호 조직(예시) ==
; 위원회 및 책임
* '''정보보호위원회'''
** 의장: 정보보호최고책임자(CISO, 전무)
** 간사: 정보보호담당자(시스템지원팀)
* '''정보보호최고책임자(CISO)''': 전무
* '''정보보호관리자''': 시스템지원팀장(오성훈)
; 조직별 역할(개요)
* 관리적 정보보호 / 인사·교육·계약·컴플라이언스: 경영지원팀(예: 유성석)
* 기술적 정보보호 / 서버·보안장비·단말·모바일: 시스템지원팀
* 물리적 보안: 경영지원팀
* 서비스운영책임자(서비스 오너): 클라우드사업팀장(오상협)
* 정보보호 담당자: 시스템지원팀(실무)

== 개인정보보호 조직(예시) ==
; 위원회 및 책임
* '''개인정보보호위원회'''
** 의장: 개인정보보호책임자(CPO, 전무)
** 간사: 시스템지원팀(필요 시 정보보호관리자 겸직)
** 정위원:
*** 관리적 개인정보보호(정책·교육·계약): 경영지원팀(예: 유성석)
*** 기술적 개인정보보호(서버·시스템 등): 시스템지원팀
*** 물리적 개인정보보호(출입·통제 등): 경영지원팀
* '''개인정보보호관리자''': 시스템지원팀장(오성훈)
* 개인정보 처리자: 개발자, 운영자, 솔루션팀 등

== 침해사고 대응 조직(개요) ==
* 정보보호최고책임자(CISO): 전무
* 정보보호관리자: 시스템지원팀장(오성훈)
* 관리적·기술적·물리적 담당 및 현업 협력으로 구성(시스템지원팀, 경영지원팀, 클라우드사업팀 등)

= [별지 제2호] 직무기술서 =

== 001. 정보보호최고책임자(CISO) ==
; 소속/직위/인원/작성일
* CTO / 전무(CISO) / 1명 / 2022.11.30
; 직무개요
* 일반보안(인원·시설·문서 등)과 주요정보통신 보안 전반 총괄
; 직무내용
* 보안 및 정보보호 업무 전담·총괄
* 각 부서(팀)별 보안·정보보호 업무 지도·감독
; 직무요건
* 학력: 대졸 이상
* 경력: 관리업무 5년 이상
* 기타: 임원급 이상

== 002. 정보보호관리자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 팀장 / 1명 / 2022.11.30
; 직무개요
* 보안업무 전반에 대한 교육·점검·서약 집행, 부서 보안업무 지도·감독
; 직무내용
* 연도별 보안업무 추진계획 수립 및 성과·실적 분석
* 일반보안(인원·시설·문서·자재 등) 진단
* 보안(일반·인식) 교육
* 비밀 소유 및 인가자 현황 조사, 보안서약 집행
* 시설보안 및 보호구역 관리
* 보안 규정·지침·절차서 수립 및 기획·조정
* 보안업무 지도·감독 및 개선대책 수립
; 직무요건
* 학력: 대졸 이상
* 경력: 정보보호 업무 5년 이상

== 003. 개인정보보호책임자(CPO) ==
; 소속/직위/인원/작성일
* CFO / 전무(CPO) / 1명 / 2022.11.30
; 직무개요
* 개인정보 보호업무 총괄
; 직무내용
* 내부관리계획·처리방침 수립 및 시행
* 처리 실태 점검·개선, 불만 해소 및 피해 구제
* 유출 및 오·남용 방지를 위한 내부통제 구축
* 개인정보보호 교육계획 수립·시행
* 개인정보파일 보호 및 관리·감독
* 개인정보파일 등록·변경의 적정성 판단 및 등록
* 기타 법령(시행령 제32조제1항 등)에서 정하는 업무
; 직무요건
* 학력: 대졸 이상
* 경력: 개인정보보호 업무 5년 이상

== 004. 정보보호담당자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 사원·대리급 / 1명 / 2023.11.30
; 직무개요
* 정보보호관리자 보좌, 정보통신기반 보호 계획 수립 및 보안 시스템 운영
; 직무내용
* 정보통신 보안활동 계획 수립, 신·증설 보안대책 수립
* 정보통신실·망·전산자료 보안관리
* 보안업무 지도·감독·교육
* 보안시스템 운영 및 웹서버 취약점 점검
* 보안업무 심사·분석, 지침·제도 개선
* 정보통신망 취약성 진단 등
; 직무요건
* 학력: 정보통신/정보보호 관련 학과 졸
* 경력: 정보보호 업무 3년 이상

== 005. 개인정보보호관리자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 팀장 / 1명 / 2022.11.30
; 직무개요
* CPO 보좌, 개인정보 보호 계획 수립 및 시스템 운영
; 직무내용
* 개인정보 처리방침 수립, 활동 계획 수립
* 업무 지도·감독·교육, 시스템 보안관리
* 심사·분석 관장, 지침·제도 개선
; 직무요건
* 학력: 정보통신/정보보호 관련 학과 졸
* 경력: 개인정보보호 업무 3년 이상

== 006. 개인정보보호담당자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 사원·대리급 / 1명 / 2022.11.30
; 직무개요
* 개인정보보호관리자 보좌, 계획 이행 및 시스템 운영
; 직무내용
* 처리방침 공지·관리, 활동 계획 시행, 교육 시행
* 시스템 보안관리, 지침·제도 개선
; 직무요건
* 학력: 정보통신/정보보호 관련 학과 졸
* 경력: 개인정보보호 업무 3년 이상

== 007. 서비스 오너 ==
; 소속/직위/인원/작성일
* 클라우드사업팀 / 팀장(오상협) / 1명 / 2025.09.26
; 직무개요
* SignSquare 서비스 품질·가용성·보안 총괄, SLA 준수 및 장애 발생 시 대외 보고 책임
; 직무내용
* 서비스 운영·품질 관리 및 SLA 준수 감독
* 장애·사고 발생 시 CSAP 기준에 따른 보고 책임 수행
* 클라우드 인프라·애플리케이션 보안 관리 주관
* 운영 프로세스 개선, 감사 대응 자료 제공
* 정보보호위원회·경영진 보고 및 개선안 제시
; 직무요건
* 경력: SaaS 서비스 운영 경험
* 지식: 보안·품질관리, CSAP 인증 요건 이해

== 008. 개발담당(DX솔루션팀 리드) ==
; 소속/직위/인원/작성일
* DX솔루션팀 / 개발리드 / 1명 / 2025.09.26
; 직무개요
* 소스코드 보안 총괄, 취약점 분석 및 보안코딩 적용
; 직무내용
* 보안 코딩 규칙 적용, 코드 리뷰 및 취약점 개선
* 신규 기능 개발 시 보안 아키텍처 검증
* 변경·배포 절차 내 보안 검토
* 정기 취약점 점검 및 보완
* 개인정보 처리 모듈·전자서명 기능 보안 점검
; 직무요건
* 경험: SW 개발(전자서명 SaaS 우대), 취약점 분석 경험

== 009. 운영담당(Infra/DBA, 네트워크) ==
; 소속/직위/인원/작성일
* 클라우드사업팀 / 팀장(오상협) / 1명 / 2025.09.26
; 직무개요
* 서버·DB·네트워크 보안 운영과 가용성 보장 책임
; 직무내용
* 서버·DB 보안 설정 및 접근통제 관리
* 방화벽·VPN·IDS/IPS 운영 및 로그 분석
* 시스템 모니터링, 장애 시 신속 복구
* 데이터 암호화·백업·DR 절차 관리
* 정기 보안점검, 모의해킹 대응, 취약점 조치
; 직무요건
* 경험: 클라우드 인프라 운영
* 지식: DB/네트워크 보안, CSAP 보안 요건

== 010. 고객지원(Helpdesk) ==
; 소속/직위/인원/작성일
* 클라우드사업팀 / CS담당 / 1명 / 2025.09.26
; 직무개요
* 사용자 지원, 장애 접수·처리, 사고 대응 지원, SLA 모니터링
; 직무내용
* 장애·보안 문의 접수·분류·보고
* 고객 요청 처리 및 보안 안내 제공
* SLA 준수 모니터링·보고
* 사고 초동 대응 및 관리자 보고 지원
* 재발 방지 및 고객 피드백 반영 지원
; 직무요건
* 경험: 고객지원
* 역량: 보안 인식, 커뮤니케이션, SLA 이해

= [별지 제3호] 회의록 서식 =

== 정보보호위원회 회의록(서식) ==
{| class="wikitable"
|-
! 회의명 || 20{{{ }}}년도 제 {{{ }}}차 정보보호위원회 회의
|-
! 회의일시 || 20{{{ }}}.{{{ }}}.{{{ }}} ({{{ }}}) 00:00 ~ 00:00
|-
! 참석자 || (의장·간사·위원 명단)
|-
! 심의안건 || (예: 정보보호정책서 제·개정(안))
|-
! 심의내용 || (법·지침 개정사항 반영, 로그보존 기간 변경 등 주요 내용 기재)
|-
! 심의결과 || (예: 원안 가결/수정 가결/보류)
|}
; 서명
: (의장) ________   (간사) ________   (위원) ________

== 정보보호정책 검토회의록(서식) ==
{| class="wikitable"
|-
! 회의명 || 정보보호정책 검토회의
|-
! 회의일시 || 20{{{ }}}.{{{ }}}.{{{ }}} ({{{ }}}) 00:00 ~ 00:00
|-
! 참석자 || (참석자 명단)
|-
! 검토안건 || (예: 법 개정에 따른 정책서·시행문서 검토)
|-
! 검토내용 || (개정 법령 요지, 반영 필요 사항 등)
|-
! 검토결과 || (예: 정책서 개정 필요, 인적보안지침 개정 필요)
|}
; 서명
: (주관) ________   (기록) ________