00. 정보보호 정책서 편집하기 (부분)

== 제3장 인적 보안 ==
=== 제6조 (내부인력 보안) ===

① 클라우드컴퓨팅서비스 업무에 종사하는 인력의 고용계약 시 정보보호 관련 법률 및 회사의 정보보호 정책을 준수하도록 비밀유지서약서를 부속 문서로 포함한다.

② 클라우드 운영, 보안, 개발 등 유관 업무에 새로 합류한 인원(신규입사 및 전입)은 정보보호 최고책임자의 승인을 득한 후 고용서약서에 서명하고 클라우드 컴퓨팅 서비스의 설비, 자원, 자산에 접근할 수 있다.

③ 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하여야 하며, 주요 직무자는 최소의 인원으로 지정한다.

④ 직무의 권한 오남용을 예방하기 위하여 주요 직무를 분리하고 직무별 역할 및 책임을 명확하게 기술하여야 한다.

⑤ 직무 분리가 어려운 경우 별도의 보완통제 방안을 수립하여 적용하여야 한다.

=== 제7조 (비밀유지서약서) ===

① 클라우드컴퓨팅서비스 업무를 수행하는 인력(외부인력 포함)은 정보보호 및 개인정보보호(해당되는 경우)에 대한 내용이 포함된 비밀유지서약서를 작성하여 회사에 제출하여야 한다.

② 비밀유지서약서는 주기적(연 1회)으로 작성하여 회사에 제출하여야 한다.

③ 직무변경, 휴직, 퇴직 등으로 인한 인사변경 발생하는 경우에 추가적으로 비밀유지서약서를 작성하여 회상에 제출하여야 한다.

④ 임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한 부여, 변경 또는 해제 시 정보보호에 대한 책임이 명시된 비밀유지서약서를 징구하여야 한다.

=== 제8조 (정보보호교육) ===

① 내부의 관련된 모든 임직원과 외부 업무 관련자(외주 용역)를 위한 정보보호 교육, 훈련,인식 프로그램을 수립하고 이에 따라 연 1회 이상 정기적으로 기본 정보보호 교육을 실시하여야 한다.

② 정보보호 정책 및 절차의 중대한 변경, 조직 내.외부 보안사고 발생, 정보보호 관련 법률 변경 등 발생 시 정기 교육 외 추가 교육을 실시할 수 있다.

③ 정보보호 교육, 훈련, 인식 프로그램의 수행 결과를 평가하고 평가 결과를 분석하여 프로그램 개선에 반영하여야 한다.