02. 인적보안지침 편집하기

__NOTOC__

<div style="border:2px solid #888; padding:20px; background-color:#f9f9f9; border-radius:8px;">


== 제1장 총칙 ==

=== 제1조 (목적) ===
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 인적보안 관리에 필요한 사항을 규정함을 목적으로 한다.

=== 제2조 (적용범위) ===
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 해당 업무를 수행하는 외부업체 직원에게 적용한다.

=== 제3조 (용어의 정의) ===
# “외부인”이라 함은 「직제규정」에서 정한 “직원”이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.  
# “외부위탁”이라 함은 특정 업무를 외부업체에 위탁하여 처리하는 방식을 말한다.

== 제2장 임직원 인적 보안 ==

=== 제4조 (채용 및 계약) ===
① 채용 및 계약은 관계 법령 및 사칙에 따른다.  
② 보안이 강조되는 직무 담당자를 채용할 시 정보보호최고책임자는 다음 각 호에 대한 신원조사를 의뢰할 수 있다.  
* 범죄기록  
* 주민등록등본  
* 이력서의 정확성 및 완전성  
* 기타 필요사항  
③ 채용 시 별지 제1호 서식 ‘비밀유지서약서’를 작성하도록 하여야 한다.

=== 제5조 (기밀준수) ===
① 직원 채용 시 사내 기밀사항 준수를 위한 ‘비밀유지서약서’를 징구한다.  
② 서약서에는 업무상 취득한 정보를 어떠한 경우에도 공개하지 않으며, 위반 시 민·형사상 책임을 진다는 내용을 포함한다.  
③ 정보보호책임자는 연 1회 ‘비밀유지서약서’를 재징구한다.  
④ 인사변경(직무변경·휴직·퇴직 등) 발생 시 추가로 ‘비밀유지서약서’를 징구한다.

=== 제6조 (퇴직 및 계약해지) ===
① 퇴직 시 개인 소유를 제외한 회사 지급 자산을 정보보호담당자에게 반납한다.  
② 시스템 접근 권한을 가진 직원이 퇴직 시 즉시 접근 권한을 삭제해야 한다.  
③ 정보보호담당자는 퇴직자에 대해 다음을 수행한다.  
* 회사 정보 및 자산 반납 확인  
* 시스템 관리자에게 권한 삭제 통보  
* 업무 수행권한 종료  
* 비밀유지서약서 징구  

=== 제7조 (인사이동 시 보안조치) ===
① 인사이동 시 기존 계정을 폐기하고 신규 부서에 맞게 접근권한을 재부여한다.

=== 제8조 (주요 직무자 지정) ===
① 중요 정보자산을 취급하는 직무를 정의하고 주요 직무자를 지정한다.  
② 클라우드 서비스 개발·운영·보안·고객정보 접근 등은 주요 직무로 지정한다.  
③ 권한 오남용 방지를 위해 직무를 분리하고 역할·책임을 명확히 한다.  
④ 직무 분리가 어려운 경우 보완통제 방안을 마련한다.

=== 제9조 (보안교육) ===
① 정보보호최고책임자는 임직원을 대상으로 연 1회 이상 정보보호 교육을 실시하며, 신규 입사 시 보안교육을 시행한다.  
② 보안정책 변경, 보안사고 발생, 법률 변경 등 시 추가교육을 실시할 수 있다.

== 제3장 외부인력 보안 ==

=== 제10조 (외부위탁 계약 시 보안요구사항) ===
① 외부위탁 계약 전 보안요구사항을 점검한다.  
② 계약서에 정보시스템·네트워크·사무환경 보안을 위한 요구사항을 명시한다.  
③ 계약 위반 시 처벌 및 손해배상 조항을 포함한다.  
④ 외부인 계약 시 보안준수 내용을 포함하고 정보보호최고책임자와 사전 협의한다.  
⑤ 외부인 계약 시 다음 사항을 고려한다.  
* 직무수행 능력(학력·자격·경력 등)  
* 유사업무 수행 경험  
* 인력 교체 가능 여부 및 시기  
* 적격심사 책임사항 명문화  

=== 제11조 (외부인 보안관리) ===
① 프로젝트 개발 등 외부 위탁 시 기밀정보 접근 가능성이 있는 경우 ‘비밀유지서약서’를 징구한다.  
② 외부인의 보안·장애·사고 위험을 평가한다.  
③ 외부인의 고의·부주의로 인한 사고를 방지하기 위해 통제방안을 수립·적용한다.  
④ 정보보호최고책임자는 6개월 이상 상주하는 외부인력을 대상으로 보안준수 여부를 점검한다.

=== 제12조 (외부인 보안교육) ===
① 외부용역 착수 전·후 다음 사항을 교육할 수 있다.  
* 외부용역 관리기준 및 보안 특수조건  
* 업무 수행 시 유의사항 등  
② 1년 이상 장기 체류 외부인력은 내부인력과 동일한 보안교육을 실시한다.

=== 제13조 (전산자료 보안관리) ===
① 정보보호최고책임자는 외부위탁업체에 전산자료 보안관리계획서 제출을 요청할 수 있다.  
② 대외비 자료 제공 시 ‘자료관리대장’(별지 제2호 서식)을 작성하여 인계인수한다.  
③ 사업 관련 자료 및 산출물은 지정 파일서버 또는 보안관리자의 승인된 장비에 저장한다.

=== 제14조 (외부인 사무실 장비 보안관리) ===
① 사업 수행 장소는 시건 및 통제가 가능한 공간을 제공한다.  
② 외부 사무실 사용 시 최초 및 주기적 보안점검을 실시하고 ‘사무실 보안점검 일지’(별지 제3호 서식)를 작성한다.

== [별지 제1호 서식] 비밀유지서약서 ==
<div style="border:1px solid #ccc; padding:10px; background-color:#fff;">
'''보안서약서'''  

성명:  
생년월일:  
연락처:  

본인은 ㈜인스웨이브(이하 ‘회사’) 근무 중 취득한 모든 경영·기술·시장·업무상 비밀을 보호할 법적·도덕적 의무를 인식하고 이를 준수할 것을 서약합니다.  
회사의 영업비밀을 제3자에게 누설하거나 동종업계에 제공하지 않으며, 퇴사 시 관련 자료 일체를 반납·폐기하겠습니다.  

위 서약을 위반할 경우 민·형사상 책임 및 손해배상을 이행할 것을 동의합니다.  
20년 월 일  
서약자 (인)  
</div>

== [별지 제2호 서식] 자료관리대장 ==
{| class="wikitable" style="width:90%; text-align:center;"
! 연번 !! 자료명 !! 인계자 !! 인수자 !! 날짜 !! 장소 !! 확인자 !! 반납일
|-
| || || || || || || ||
|}

== [별지 제3호 서식] 사무실 보안점검 일지 ==
{| class="wikitable" style="width:90%; text-align:center;"
! 번호 !! 점검항목 !! 점검결과
|-
| 1 || 사업 참여 인력으로부터 비밀유지서약서 징구 여부 || 
|-
| 2 || 참여 인력 대상 보안교육 실시 여부 || 
|-
| 3 || 사업자료 보안대책 수립·이행 여부 || 
|}

== [별지 제4호 서식] 연간교육계획서 ==
'''2022년 정보보호 교육 계획(안)'''  

1. **교육 목표**  
: 전문성 제고 및 글로벌 경쟁력 강화  

2. **교육 운영 계획**  
: 정보보안교육(1,2차), 개인정보보호교육, KISA 아카데미 등 내부·외부 교육 병행  

== [별지 제5호 서식] 교육참석자 목록 ==
{| class="wikitable" style="width:80%; text-align:center;"
! No !! 직급 !! 성명 !! 서명
|-
| 1 || || || ||
|-
| 2 || || || ||
|}

== [별지 제6호 서식] 교육이수증 ==
'''교육이수증'''  
성명:  
소속:  
사번:  
직급:  

교육과정명: 정보보안교육(1차)  
귀하는 본사에서 수행하는 정보보안교육 과정을 이수하였음을 확인합니다.  
20년 월 일  
㈜인스웨이브 정보보호최고책임자 (서명)

== [별지 제7호 서식] 정보시스템 계정 및 권한관리대장 ==
{| class="wikitable" style="width:90%; text-align:center;"
! No !! 시스템 !! 계정 !! 사용자 !! 부서 !! 용도 !! 기간 !! 비고
|-
| 1 || DB서버 || root || 홍길동 || 개발팀 || DB관리 || 무기한 || 
|}

----

''(끝)''