00. 정보보호 정책서: 두 판 사이의 차이
10.0.4.166 (토론) |
10.0.4.166 (토론) |
||
| 57번째 줄: | 57번째 줄: | ||
=== 제7조 (비밀유지서약서) === | === 제7조 (비밀유지서약서) === | ||
① 클라우드컴퓨팅서비스 업무를 수행하는 인력(외부인력 포함)은 정보보호 및 개인정보보호(해당되는 경우)에 대한 내용이 포함된 비밀유지서약서를 작성하여 회사에 제출하여야 한다. | |||
연 1회 | ② 비밀유지서약서는 주기적(연 1회)으로 작성하여 회사에 제출하여야 한다. | ||
인사변경 | ③ 직무변경, 휴직, 퇴직 등으로 인한 인사변경 발생하는 경우에 추가적으로 비밀유지서약서를 작성하여 회상에 제출하여야 한다. | ||
④ 임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한 부여, 변경 또는 해제 시 정보보호에 대한 책임이 명시된 비밀유지서약서를 징구하여야 한다. | |||
=== 제8조 (정보보호교육) === | === 제8조 (정보보호교육) === | ||
2025년 6월 10일 (화) 18:07 판
제1장 총칙
제1조 (목적)
정보보호 정책서는 (주)인스웨이브 정보보호 정책을 수립하고 관리적, 물리적, 기술적인 정보보호 조치를 정의하기 위하여 작성되었다.
제2조 (용어의 정의)
이 정책서에서 사용하는 용어의 뜻은 다음과 같다.
1. "클라우드컴퓨팅"(Cloud Computing)이란 집적·공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원 (이하 "정보통신자원"이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다.
2. "클라우드컴퓨팅기술"이란 가상화 기술, 분산처리 기술 등 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신기술을 말한다.
3. "클라우드컴퓨팅서비스"란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스를 말한다.
제3조 (적용범위)
이 정책서는 클라우드컴퓨팅서비스와 관련된 정보처리시스템, 전자적 파일과 인쇄물, 서면 등 모든 형태의 정보자산 및 정보자산을 관리 운영하는데 적용된다.
제2장 정보보호 정책 및 조직
제4조 (정보보호 정책)
① 클라우드 정보보호정책을 수립하고, 정책 시행을 위한 관련 지침, 절차, 메뉴얼 등을 문서화하여야 한다.
② 클라우드 정보보호정책은 정보보호 최고책임자로부터 제 ∙ 개정 시 승인을 받아야 한다.
③ 클라우드 정보보호정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 전달하여야 한다.
④ 클라우드 정보보호정책 및 정책시행 문서에 대한 타당성 검토를 최소 연 1회 이상 수행하여야 한다. 또한, 관련 법규 변경 및 내·외부 보안사고 발생 등의 중대한 사유가 발생한 경우에는 추가로 검토하고 변경하여야 한다.
⑤ 정보보호 정책 및 정책 시행문서의 이력관리 절차를 수립하고 시행하며, 최신본으로 유지하여야 한다.
제5조 (정보보호 조직)
① 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 인사발령 등의 공식적인 지정절차를 거쳐 지정하여야 한다.
② 최고경영자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.
③ 실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.
④ 정보보호 실무조직은 정보보호 관리자, 정보보호 담당자, 개인정보보호 책임자(CPO), 개인정보보호 관리자 및 개인정보보호 담당자로 구성할 수 있다.
⑤ 정보보호 조직 구성원의 주요 직무에 대하여 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.
⑥ 회사가 제공하는 클라우드컴퓨팅서비스를 이용하는 이용자의 정보보호 관련 책임 및 역할은 이용자와의 계약서 또는 서비스 수준 협약(SLA)에 해당 내용을 반영하여야 한다.
제3장 인적 보안
제6조 (내부인력 보안)
① 클라우드컴퓨팅서비스 업무에 종사하는 인력의 고용계약 시 정보보호 관련 법률 및 회사의 정보보호 정책을 준수하도록 비밀유지서약서를 부속 문서로 포함한다.
② 클라우드 운영, 보안, 개발 등 유관 업무에 새로 합류한 인원(신규입사 및 전입)은 정보보호 최고책임자의 승인을 득한 후 고용서약서에 서명하고 클라우드 컴퓨팅 서비스의 설비, 자원, 자산에 접근할 수 있다.
③ 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하여야 하며, 주요 직무자는 최소의 인원으로 지정한다.
④ 직무의 권한 오남용을 예방하기 위하여 주요 직무를 분리하고 직무별 역할 및 책임을 명확하게 기술하여야 한다.
⑤ 직무 분리가 어려운 경우 별도의 보완통제 방안을 수립하여 적용하여야 한다.
제7조 (비밀유지서약서)
① 클라우드컴퓨팅서비스 업무를 수행하는 인력(외부인력 포함)은 정보보호 및 개인정보보호(해당되는 경우)에 대한 내용이 포함된 비밀유지서약서를 작성하여 회사에 제출하여야 한다.
② 비밀유지서약서는 주기적(연 1회)으로 작성하여 회사에 제출하여야 한다.
③ 직무변경, 휴직, 퇴직 등으로 인한 인사변경 발생하는 경우에 추가적으로 비밀유지서약서를 작성하여 회상에 제출하여야 한다.
④ 임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한 부여, 변경 또는 해제 시 정보보호에 대한 책임이 명시된 비밀유지서약서를 징구하여야 한다.
제8조 (정보보호교육)
연 1회 이상 교육 및 훈련 시행.
정책 변경 및 사고 발생 시 추가 교육.
교육 평가 및 개선 반영.
제4장 정보자산 관리
제9조 (자산 식별 및 분류)
자산 분류 기준 수립 및 자산 식별.
목록 문서화 및 정기 갱신.
제10조 (자산 변경 관리)
변경 절차 수립 및 영향 분석 실시.
무단 변경 탐지 및 변경 이력 유지.
제11조 (위험관리)
연 1회 이상 취약점 점검.
대응 및 조치 문서화, 책임자 보고.
제5장 서비스 공급망 관리
제12조 (공급망 관리 정책)
보안 요구사항 정의 및 계약 반영.
제13조 (공급망 변경 관리)
위험 검토 후 계약 변경안 제시.
제6장 침해사고 관리
제14조 (침해사고 대응 절차 및 체계)
대응절차 수립 및 체계 구성.
신고 절차 및 역할 정의.
보안관제 시스템 운영.
제15조 (침해사고 대응)
법적 의무 준수 및 이용자 통지.
복구 신속 수행.
제16조 (사후관리)
원인 분석 및 결과 공유.
재발방지 대책 수립 및 절차 개선.
제7장 서비스연속성 관리
제17조 (장애 대응)
장애 대응 절차 마련 및 통지.
SLA 기준 내 장애 처리.
재발방지 대책 마련.
제18조 (서비스 가용성)
성능·용량 요구사항 정의 및 이중화 체계 마련.
제8장 준거성 관리
제19조 (법 및 정책 준수)
법적 요구사항 준수.
제20조 (정보시스템 감사)
독립 감사 계획 수립 및 로그 보호.
제9장 가상화 보안
제21조 (가상화 인프라)
가상자원 관리 방안 수립.
웹/서버 제공 시 보호 대책 마련.
제22조 (가상환경)
악성코드 대응 및 격리 조치.
API 취약점 분석 및 대응.
안전한 데이터 이전 제공.
정품 소프트웨어 구성.
제10장 접근통제
제23조 (접근통제 정책)
접근 통제 정책 수립 및 기록 유지.
제24조 (접근 권한 관리)
최소 권한 부여, 접근권한 점검.
제25조 (사용자 식별 및 인증)
고유 식별자 할당 및 인증 절차.
패스워드 정책 수립 및 책임 인식.
제11장 네트워크 보안
제26조 (네트워크 보안)
보안정책 수립 및 네트워크 통제.
암호화 채널 사용.
네트워크 논리적/물리적 분리.
제12장 데이터 보호 및 암호화
제27조 (데이터 보호)
데이터 분류 및 무결성 확인.
데이터 추적 및 폐기 절차 마련.
제28조 (암호화)
암호화 정책 수립 및 키 관리.
제13장 시스템 개발 보안
제29조 (시스템 분석 및 설계)
보안 요구사항 정의 및 적용.
감사 증적 및 표준시각 동기화.
제30조 (구현 및 시험)
안전한 코딩 및 시험 수행.
개발/운영 시스템 분리.
제31조 (외주 개발 보안)
계약 시 보안요구사항 명시 및 감독.
제14장 공공기관 보안요구사항
제32조 (관리적 보호조치)
보안 SLA 체결, CC인증 제품 사용.
사고 시 협조체계 구축.
제33조 (물리적 보호조치)
국내 물리적 위치 유지, 장비 이중화.
제34조 (기술적 보호조치)
암호화 시 검증필 암호모듈 사용.
제15장 개인정보의 처리 및 안전한 관리
제35조 (개인정보 수집·이용)
수집 동의 및 고지, 처리방침 공개.
제36조 (개인정보 처리제한)
민감정보, 고유식별정보, 주민번호 처리 제한.
제37조 (개인정보의 안전한 관리)
목적 달성 후 즉시 파기, 분리 저장.
개인정보보호책임자 지정.
부칙
제1조 (시행일)
이 규정은 정보보호 최고책임자의 승인일부터 시행한다.
제2조 (정책의 이행)
정보보호 업무는 본 규정 및 관련 법령에 따라 수행한다. 정보보호 활동에 필요한 자원 확보 및 승인 절차를 수립한다.
제3조 (정책의 검토)
연 1회 이상 정기 검토 및 필요 시 개정 이력 관리.
제4조 (예외 적용)
아래 각 호에 해당하는 경우 정보보호 최고책임자 승인 하에 예외로 적용할 수 있다.
기술 환경의 변화로 적용 불가능한 경우
긴급한 기술적·관리적 사유 발생 시
재해 등 불가항력적 상황