04. 서비스공급망관리지침 편집하기

__NOTOC__

<div style="border:2px solid #888; padding:20px; background-color:#f9f9f9; border-radius:8px;">


== 제1장 총칙 ==

=== 제1조(목적) ===
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 정보자산에 대한 관리에 필요한 사항을 규정함을 목적으로 한다.

=== 제2조(적용범위) ===
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 해당 업무를 수행하는 외부업체 직원에게 적용한다.

=== 제3조(용어정의) ===
# “서버”라 함은 서버용 운영체제(윈도우, 리눅스 등)가 탑재되어 운영되는 하드웨어 및 소프트웨어를 총칭한다.  
# “서버관리자”라 함은 정보시스템에서 서비스되고 있는 서버 장비의 보안 및 운영 업무를 담당하는 자를 말한다.  
# “정보자산”이라 함은 클라우드 서비스를 제공하는데 포함되는 정보시스템, 정보보호시스템, 정보 또는 서비스를 말한다.

=== 제4조(서버관리자) ===
① 서버관리자는 서버의 운용·유지보수 및 보안운용 업무를 담당하며, 다음 각 호의 업무를 수행한다.  
* 서버 운영 관리(계정, 서비스, 도입/변경/폐기, 백업/복구, 관리)
* 서버의 로깅 설정 및 로그 점검
* 보안문제에 대한 신속한 해결 및 패치 적용
* 보안사고 대응 및 지원
* 서버 보안패치 적용 및 취약점 제거
* 보안문제 발견 시 정보보호최고책임자에게 즉시 통보

=== 제5조(사용자) ===
① 사용자는 서버에 접속하거나 서버 응용프로그램을 이용하여 업무를 수행하는 자로서 다음 각 호의 의무를 가진다.  
* 접근 불가 또는 이상 발견 시 즉시 서버관리자에게 통보  
* 인가된 경로를 통해 허용된 용도로만 시스템 접근 및 사용  

== 제2장 정보자산의 식별 및 분류 ==

=== 제6조(정보자산 식별) ===
① 클라우드컴퓨팅서비스에 포함된 모든 정보자산을 식별하고 관리하여야 한다.  
② 식별된 정보자산은 별첨 「정보자산목록」으로 목록화하여 최신 상태를 유지하여야 한다.  
③ 반기 1회 이상 정보자산 현황을 조사하여 최신 정보를 반영하여야 한다.

=== 제7조(정보자산 분류) ===
① 서비스 특성에 맞게 별지 제2호 서식 「정보자산 분류표」를 참고하여 분류 기준을 수립한다.

=== 제8조(정보자산 식별자 부착) ===
① 식별된 정보자산 중 서버, 단말, 저장매체 등의 경우에는 다음 예시와 같이 자산번호 식별표를 부착하여야 한다.

{| class="wikitable" style="width:80%; text-align:center;"
! 항목 !! 예시
|-
| 자산번호 || INX-2022-0001-01
|-
| 자산명칭 || 노트북
|-
| 모델명 || MacBook Pro M2
|-
| 구입처 || Apple Store
|-
| S/N || AB123456XYZ
|-
| 구입일자 || 2022.11.30
|-
| 내용연수 || 4년
|}

== 제3장 정보자산 변경관리 ==

=== 제9조(변경관리) ===
① 자산 변경 발생 시 다음 사항을 고려하여 보안영향평가를 수행하여야 한다.  
* 서비스 보안에 미치는 영향  
* 서비스 성능에 미치는 영향  
* 서비스 업무에 미치는 영향  

② 이용자에게 영향을 주는 변경 시 다음 내용을 사전 공지하여야 한다.  
* 변경 내용 및 일시  
* 영향 범위  
* 긴급연락처  

③ 변경 전 정보자산의 백업을 수행하여야 하며,  
④ 변경계획 수립 후 정보보호최고책임자의 승인을 받아야 한다.  
⑤ 변경 후 정상 동작 여부를 확인하고,  
⑥ 소프트웨어 변경 시 호환성 및 안정성을 검증하여야 한다.

== 제4장 위험관리 ==

=== 제10조(취약점 점검계획) ===
① 정보보호최고책임자는 연 1회 이상 클라우드 서비스 전체에 대한 취약점 점검을 수행한다.  
② 정보보호담당자는 취약점 점검계획을 수립하고 승인을 받아야 하며, 계획에는 다음이 포함된다.  
* 점검대상  
* 점검일정  
* 담당자 및 책임자  
* 절차 및 방법  

③ 외부 전문업체에 의뢰 시 계약서에 관련 세부사항을 명시해야 하며,  
④ 점검이 서비스 운영에 영향을 주지 않도록 사전 검토한다.

=== 제11조(취약성 점검) ===
① 점검 항목에는 다음이 포함된다.  
* 서버 OS 및 보안 설정  
* 애플리케이션 취약점  
* 웹 서비스 취약점  
* 모바일 앱 및 가상자원 취약점 등  

② 점검 결과는 일시·대상·방법·결과·조치사항 등을 포함하여 문서로 관리한다.  
③ 발견된 취약점별로 조치결과서를 작성하여 정보보호최고책임자에게 보고한다.

== [별지 제1호 서식] 정보자산 목록(예시) ==
(별첨 문서: 「03. 정보자산관리지침 별첨 클라우드 보안인증(SaaS) 정보자산목록.xlsx」 참조)

== [별지 제2호 서식] 정보자산 분류표 ==
{| class="wikitable" style="width:90%; text-align:center;"
! 분류 !! 설명
|-
| 정보시스템 || 운영체제, 소프트웨어 동작을 위한 WEB/WAS/DBMS 등이 설치된 시스템 (가상서버 포함)
|-
| 소프트웨어 || SaaS 서비스 개발·운영용 애플리케이션 및 오픈소스 포함
|-
| 정보 || 문서적·전자적 정보 일체 (라이선스, SW 이미지 등)
|}

== [별지 제3호 서식] 정보자산 중요도 평가기준 ==
{| class="wikitable" style="width:95%; text-align:center;"
! 보안요구사항 !! 내용 !! 평가수준
|-
| 기밀성 || 자산 유출 시 회사에 중대한 금전적 손실 발생 / 담당부서만 접근 가능 || 상
|-
|  || 내부 일부 부서만 접근 가능 / 일부 손실 발생 가능 || 중
|-
|  || 외부 공개 가능, 손실 없음 || 하
|-
| 무결성 || 변조 시 서비스 장애·금전 손실 / 복구 어려움 || 상
|-
|  || 변조 시 장애 가능 / 복구 필요 || 중
|-
|  || 변조 영향 미미 / 검증 용이 || 하
|-
| 가용성 || 장애 시 서비스 중단, 대체자산 없음 / 즉시 복구 필요 || 상
|-
|  || 장애 시 1시간 이내 복구 가능 / 성능 영향 있음 || 중
|-
|  || 장애 시 대체자산 투입 가능 / 영향 미미 || 하
|}

----

''(끝)''