01. 정보보안조직관리지침: 두 판 사이의 차이

inswave-wiki
둘러보기로 이동 검색으로 이동
편집 요약 없음
편집 요약 없음
 
(다른 사용자 한 명의 중간 판 2개는 보이지 않습니다)
2번째 줄: 2번째 줄:


== 제1장 총칙 ==
== 제1장 총칙 ==
=== 제1조(목적) ===
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다.


=== 제2조(적용범위) ===
=== 제1조 (목적) ===
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다.
이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 정보보호 관리체계(ISMS)와 
클라우드컴퓨팅서비스의 안전한 운영을 위해 정보보호조직의 역할, 책임, 권한 및 운영체계를 명확히 하기 위함이다.


=== 제3조(용어정의) ===
=== 제2조 (적용범위) ===
이 지침은 회사의 전 임직원 및 회사와 계약을 맺고 클라우드 서비스 운영, 개발, 유지보수, 지원 등의 업무를 수행하는 외부 협력업체 직원에게 적용한다.


“외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
=== 제3조 (정보보호조직의 구성) ===
“외부위탁”이라 함은 특정 업무를 외부 업체에 위탁하여 처리하는 방식을 말한다.
# 정보보호조직은 정보보호 최고책임자(CISO), 정보보호 관리자(ISM), 정보보호 담당자로 구성한다. 
# 정보보호조직은 정보보호 관련 정책 및 지침 수립, 위험관리, 보안점검, 교육훈련, 침해사고 대응 등의 업무를 수행한다.
# 정보보호조직의 세부 구성 및 역할은 별표 제1호에 따른다.


== 제2장 정보보호 조직 ==
== 제2장 정보보호조직의 역할 및 책임 ==
=== 제4조(정보보호 최고관리자 지정) ===


직내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 지정하여야 한다.
=== 제4조 (정보보호 최고책임자, CISO) ===
정보보호 최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.
# 정보보호 최고책임자는 회사의 정보보호 정책, 지침, 절차를 승인하고 관리한다. 
# 회사의 전반적인 정보보호 전략 수립 및 관련 법규 준수를 총괄한다. 
# 정보보호위원회를 구성·운영하고, 중요 보안사안 발생 시 즉시 보고 및 의사결정을 주도한다. 
# 클라우드컴퓨팅서비스 및 정보보호 관리체계의 성과를 주기적으로 점검·보고한다.


=== 제5조(조직구성) ===
=== 제5조 (정보보호 관리자, ISM) ===
# CISO의 지시에 따라 정보보호 정책을 실행·운영한다. 
# 위험평가, 보안 점검, 교육훈련, 보안사고 대응, 인증심사 대응 등 실무 전반을 관리한다. 
# 정보보호 관련 지침, 절차서, 양식 등을 관리하고 최신성을 유지한다. 
# 정보보호 담당자를 지휘·감독하며, 정보보호위원회에 정기적으로 보고한다. 


정보보호 최고책임자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 정보보호 조직을 구성한다.
=== 제6조 (정보보호 담당자) ===
실무 조직은 전담 또는 겸임 조직으로 구성할 수 있으며, 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정을 하여야 한다.
# 각 부서 또는 시스템별로 지정된 정보보호 담당자는 다음 업무를 수행한다.
정보보호 조직 구성원의 주요 직무는 직무기술서를 통해 책임과 역할을 구체적으로 정의한다.
## 시스템 접근권한 관리 
## 로그 및 취약점 점검 수행 
## 보안패치 및 백신 관리 
## 개인정보보호 점검 및 모니터링 
## 보안사고 발생 시 1차 대응 및 보고 
# 정보보호 담당자는 월 1회 이상 자체 점검을 실시하고, 결과를 정보보호 관리자에게 보고한다.


=== 제6조(정보보호위원회) ===
=== 제7조 (정보보호위원회 운영) ===
# 회사는 정보보호위원회를 설치·운영하여 정보보호 정책의 제·개정, 보안사고 대응, CSAP 및 ISMS 관련 주요사항을 심의·의결한다. 
# 위원회는 CISO를 위원장으로 하고, CTO, 본부장, 시스템지원팀장, 클라우드사업팀장, 보안관리자 등으로 구성한다. 
# 정보보호위원회는 정기회의(반기 1회) 및 필요 시 수시회의를 개최할 수 있다. 
# 회의록은 서면으로 보관하며, wiki.inswave.kr 내 정보보호 카테고리에 등록·관리한다. 


정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호 관련 각 부서의 장을 위원으로 구성한다.
=== 제8조 (정보보호 업무협의체) ===
간사의 역할은 정보보호담당자가 수행한다.
# 정보보호 관련 업무의 효율적 수행을 위하여 부서별 정보보호 담당자 협의체를 구성할 수 있다.
정보보호위원회는 다음의 역할을 수행한다.
# 협의체는 보안정책 이행상황, 취약점 점검결과, 보안교육 일정 등을 공유한다.
정보보호정책 및 지침의 제·개정 심의·승인
# 필요 시 외부 전문가 또는 심사기관 관계자를 초청할 수 있다.
정보보호 예산 심의·승인
정보보호 활동 계획 심의·승인
기타 정보보호최고책임자가 필요하다고 인정하는 사항


=== 제7조(정보보호실무협의회) ===
== 제3장 운영 및 관리 ==


정보보호위원회 심의·의결 사항의 실무 검토, 세부 이행방안 수립, 관리활동 조정 등을 수행한다.
=== 제9조 (보고체계) ===
정보보호관리자가 주관하고 정보보호담당자가 간사 역할을 수행하며, 사안에 따라 관련 부서 담당자가 참여한다.
# 보안사고, 침해위협, 정책위반 등 중대한 사안은 즉시 정보보호 관리자 및 CISO에게 보고하여야 한다.
주요 역할
# 정기 점검 결과 및 개선사항은 정보보호위원회에 보고·검토되어야 한다.
정책·지침 제·개정(안) 수립
정보보호 예산(안) 수립
정보보호 활동 계획(안) 수립
기타 정보보호관리자가 필요하다고 인정하는 사항


=== 제8조(정보보호 전담조직) ===
=== 제10조 (정보보호 교육 및 인식제고) ===
# 정보보호조직 구성원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수하여야 한다. 
# 교육 내용은 보안정책, 개인정보보호, 클라우드보안, 접근통제, 물리적보안, 비상대응절차 등을 포함한다. 
# 신규 입사자에 대해서는 입문 교육 시 보안정책 및 지침을 안내한다. 


'''정보보호팀'''을 구성하여 세부 계획 수립과 보안 통제 관리, 교육, 비상계획 수립·운영 등을 수행한다.
=== 제11조 (문서관리 및 유지) ===
'''침해사고대응팀'''을 구성하여 예방·대응·분석·복구를 수행한다.
# 본 지침과 관련된 모든 문서는 [[정보보호문서관리지침]]에 따라 관리한다.
'''장애대응팀'''을 구성하여 서비스 중단 신속한 처리·복구를 수행한다.
# 개정 정보보호 관리자 승인 후 정보보호위원회 의결을 거쳐 시행한다.
'''개인정보보호팀'''을 구성하여 개인정보보호 책임과 법령 준수 업무를 수행한다.
전담조직 구성 전에는 관련 팀(예: 시스템지원팀 등)이 해당 업무를 수행할 수 있다.


== 별지 제1호: 정보보호 및 개인정보보호 조직(예시) ==
== [별지 제1호] 정보보호조직 구성표 ==
; 위원회 및 책임
{| class="wikitable" style="width:90%; text-align:center;"
 
! 구분 !! 직위/직책 !! 성명 !! 주요역할 !! 비고
'''정보보호위원회'''
** 의장: 정보보호최고책임자(CISO)
** 간사: 정보보호담당자
 
'''정보보호최고책임자(CISO)'''
 
'''정보보호관리자'''
; 조직별 역할(개요)
 
관리적 정보보호: 경영지원 관련 부서
 
기술적 정보보호: 시스템/보안 운영 부서
 
물리적 보안: 총무/시설 관련 부서
 
서비스 운영책임자(서비스 오너): 서비스 운영 부서
 
정보보호 담당자: 실무 수행 부서(예: 시스템지원)
 
; 개인정보보호 조직(예시)
 
'''개인정보보호위원회'''
** 의장: 개인정보보호책임자(CPO)
** 간사: 개인정보보호 담당
 
개인정보보호관리자
 
개인정보 처리자(개발/운영/지원 등)
 
; 침해사고 대응 조직(개요)
 
정보보호최고책임자(CISO)
 
정보보호관리자
 
관련 부서 담당자(시스템/경영지원/서비스 등)
 
== 별지 제2호: 직무기술서(샘플) ==
=== 001. 정보보호최고책임자(CISO) ===
; 직무개요
: 정보보호 전반 총괄
; 직무내용
 
보안 및 정보보호 업무 전담·총괄
 
부서별 보안·정보보호 업무 지도·감독
; 직무요건
 
경력: 관리업무 또는 정보보호 관련 경험
 
=== 002. 정보보호관리자 ===
; 직무개요
: 정보보호 관리체계 운영 총괄
; 직무내용
 
연간 추진계획 수립·성과 분석
 
일반보안 진단, 교육 기획·집행
 
규정·지침·절차 수립 및 개선
; 직무요건
 
경력: 정보보호 업무 유경험
 
=== 003. 개인정보보호책임자(CPO) ===
; 직무개요
: 개인정보 보호업무 총괄
; 직무내용
 
내부관리계획/처리방침 수립·시행
 
처리 실태 점검·개선, 피해구제
 
교육계획 수립·시행
; 직무요건
 
경력: 개인정보보호 업무 유경험
 
=== 004. 정보보호담당자 ===
; 직무개요
: 보안계획 수립 및 보안 시스템 운영
; 직무내용
 
보안활동 계획, 취약점 진단·개선
 
접근통제/취약점 점검, 로그 분석
; 직무요건
 
경력: 정보보호 실무 유경험
 
=== 005. 개인정보보호관리자/담당자 ===
; 직무개요
: CPO 보좌, 개인정보 보호 계획 수립·시행
; 직무내용
 
처리방침 공지·관리, 교육 시행
 
시스템 보안관리 및 제도 개선
 
=== 006. 서비스 오너(예: SaaS 서비스) ===
; 직무개요
: 서비스 품질·가용성·보안 총괄, 장애/사고 보고 책임
; 직무내용
 
SLA 준수 관리, 장애·사고 보고
 
운영 프로세스 개선, 감사 대응
 
=== 007. 운영담당(Infra/DB/Network) ===
; 직무개요
: 인프라 보안 운영 및 가용성 보장
; 직무내용
 
서버·DB 보안 설정, 접근통제
 
방화벽·VPN·IDS/IPS 운영, 로그 분석
 
백업/DR 절차 관리, 정기 점검
 
== 별지 제3호: 회의록 서식 ==
=== 정보보호위원회 회의록(서식) ===
{| class="wikitable"
|-
! 회의명 || 정보보호위원회 회의
|-
! 회의일시 || 20XX-XX-XX (X) 00:00 ~ 00:00
|-
|-
! 참석자 || (의장·간사·위원 명단)
| 정보보호 최고책임자 || 전무(CISO) || 김욱래 || 정보보호정책 총괄 및 승인 || -
|-
|-
! 심의안건 || (예: 정보보호정책·지침 제/개정)
| 정보보호 관리자 || 팀장(ISM) || 오성훈 || 정책 운영, 점검, 교육, 사고관리 || 시스템지원팀
|-
|-
! 심의내용 || (주요 논의 요지)
| 정보보호 담당자 || 프로 || 김지수 || 보안점검, 로그관리, 모니터링 || 시스템지원팀
|-
|-
! 심의결과 || (원안 가결/수정 가결/보류)
| 정보보호 담당자 || 프로 || 박진우 || 개인정보보호, 접근통제 || 시스템지원팀
|}
|}
; 서명
: (의장) ________ (간사) ________ (위원) ________


=== 정보보호정책 검토회의록(서식) ===
== [별지 제2호] 정보보호위원회 구성표 ==
{| class="wikitable"
{| class="wikitable" style="width:90%; text-align:center;"
! 구분 !! 직위/직책 !! 성명 !! 소속 !! 주요역할
|-
|-
! 회의명 || 정보보호정책 검토회의
| 위원장 || 정보보호최고책임자 || 김욱래 || 기술총괄본부 || 정책결정, 승인
|-
|-
! 회의일시 || 20XX-XX-XX (X) 00:00 ~ 00:00
| 위원 || CTO || 김진오 || DX솔루션본부 || 기술보안 검토
|-
|-
! 참석자 || (참석자 명단)
| 위원 || 본부장 || 김재원 || 경영지원본부 || 정책검토, 승인
|-
|-
! 검토안건 || (예: 법 개정 반영 검토)
| 위원 || 팀장 || 오성훈 || 시스템지원팀 || 실무보고, 점검결과 보고
|-
|-
! 검토내용 || (개정 필요 사항 요약)
| 위원 || 팀장 || 김재호 || 클라우드사업팀 || 서비스보안 관리
|-
! 검토결과 || (정책서 개정 필요/유지 등)
|}
|}
; 서명
: (주관) ________ (기록) ________
== 제3장 인적 보안 ==
=== 제6조(내부인력 보안) ===
클라우드 업무 종사 인력의 고용계약 시 비밀유지서약서를 부속 문서로 포함한다.
신규/전입 인력은 승인 후 서약 및 접근 권한을 부여한다.
중요 정보자산 취급 직무와 주요 직무자를 정의하고 최소 인원으로 지정한다.
직무 분리 및 역할·책임을 명확히 기술한다. 불가 시 보완통제를 수립한다.
=== 제7조(비밀유지서약서) ===
내부·외부 인력은 정보보호/개인정보보호 내용이 포함된 서약서를 제출한다.
서약서는 연 1회 갱신하며, 인사변동 시 추가로 제출한다.
외부자 권한 부여·변경·해제 시 서약서를 징구한다.
=== 제8조(정보보호교육) ===
임직원과 외주 인력에 대한 연 1회 이상 정기 교육을 실시한다.
중대한 변경·사고·법률 변경 시 추가 교육을 실시할 수 있다.
교육 결과를 평가·개선한다.
== 제4장 정보자산 관리 ==
=== 제9조(자산 식별 및 분류) ===
분류기준을 수립하고 모든 자산을 식별·목록화한다.
목록은 정기 조사로 최신 상태를 유지한다.
=== 제10조(자산 변경 관리) ===
변경 절차를 수립·이행하고 영향분석을 수행한다.
무인가 변경을 탐지하고 변경 이력을 유지한다.
=== 제11조(위험관리) ===
취약점 점검 절차·기준을 수립하여 연 1회 이상 점검한다.
대응방안 및 조치결과를 문서화·보고한다.
== 제5장 서비스 공급망 관리 ==
=== 제12조(공급망 관리 정책) ===
접근·연속성 저해 위험을 최소화하기 위한 보안 요구사항을 관리정책에 반영한다.
공급망 계약 및 SLA에 보안 요구사항과 역할·책임을 명확히 한다.
=== 제13조(공급망 변경 관리) ===
정책·절차·통제의 수정 필요 시 공급망 위험을 검토해 안전성을 확보하고 계약 변경을 추진한다.
== 제6장 침해사고 관리 ==
=== 제14조(침해사고 대응 절차·체계) ===
정의/범위, 긴급연락, 보고·대응, 복구조직 등 절차를 수립한다.
관제 시스템·조직을 운영하고 유형·중요도별 보고·협력체계를 구축한다.
담당자 교육 및 주기적 훈련을 실시한다.
=== 제15조(침해사고 대응) ===
법적 통지·신고 의무를 준수한다.
이용자에게 발생 내용·원인·조치 현황을 신속히 알린다.
절차에 따라 신속히 처리·복구한다.
=== 제16조(사후관리) ===
원인 분석 및 결과 공유, 재발방지 대책 수립, 절차 개선을 수행한다.
== 제7장 서비스연속성 관리 ==
=== 제17조(장애 대응) ===
백업·복구를 포함한 장애 대응 절차를 마련한다.
법적 통지·신고 의무 및 이용자 통지를 준수한다.
SLA 내 처리·복구하고 재발방지 대책을 수립한다.
=== 제18조(서비스 가용성) ===
성능/용량 요구 정의와 모니터링 절차를 수립한다.
설비 이중화 및 백업 체계를 마련한다.
== 제8장 준거성 관리 ==
=== 제19조(법 및 정책 준수) ===
정보보호 관련 법적 요구사항을 식별·준수한다.
=== 제20조(정보시스템 감사) ===
독립적 보안감사 계획을 수립·시행하고 개선한다.
감사 증적(로그)을 기록·보호한다.
== 제9장 가상화 보안 ==
=== 제21조(가상화 인프라) ===
가상자원 생성·변경·회수 관리방안을 수립한다.
공개 서버 제공 시 기술적 보호대책을 마련한다.
=== 제22조(가상환경) ===
악성코드 탐지·차단, 이상징후 통지·격리 조치를 지원한다.
인터페이스·API 취약점 주기 분석 및 보호 방안을 마련한다.
데이터 이전 시 암호화 등 안전 조치를 제공한다.
신뢰 가능한 소프트웨어로 구성된 가상환경을 제공한다.
== 제10장 접근통제 ==
=== 제23조(접근통제 정책) ===
영역/범위, 규칙/방법을 포함한 접근통제 정책을 수립한다.
접근기록을 책임 추적 가능 형태로 기록·유지한다.
=== 제24조(접근 권한 관리) ===
등록·해지 절차를 수립하고 최소권한을 부여한다.
특수계정·권한을 식별·별도 통제한다.
권한 부여/미사용/변경의 적정성을 정기 점검한다.
=== 제25조(사용자 식별 및 인증) ===
고유 식별자 부여 및 추측 가능한 식별자 제한
안전한 인증 절차(로그인 제한, 경고 등)
다중요소 인증 제공 방안 마련
패스워드 정책 수립·이행(관리자 별도 보호대책)
외부 이용자 계정/패스워드 관리절차 마련·공지
== 제11장 네트워크 보안 ==
=== 제26조(네트워크 보안) ===
내·외부 네트워크 보안정책·절차 수립
DDoS·비인가 접속 모니터링·통제
방화벽/IPS/IDS/VPN 운영
중요정보 전송 구간 암호화
관리 영역과 이용자 영역의 물리/논리적 분리
== 제12장 데이터 보호 및 암호화 ==
=== 제27조(데이터 보호) ===
데이터 분류·관리 및 소유권 명확화
무결성 확인, 접근제어·위·변조 방지 제공
데이터 위치 등 추적·정보 제공
종료/이전 시 안전한 폐기(복구 불가)
=== 제28조(암호화) ===
암호화 대상·강도·키관리 정책 수립(개인정보 법적 요건 반영)
키 생성·이용·보관·배포·파기 절차 수립 및 안전 보관
== 제13장 시스템 개발 보안 ==
=== 제29조(시스템 분석 및 설계) ===
법적 요구·최신 취약점·CIA 고려 보안요구 정의·적용
인증·무결성·기밀성 요구 고려
감사증적 확보 설계, 권한 부여 기준 반영
표준시각 동기화 및 시각 동기화 기능 제공
=== 제30조(구현 및 시험) ===
안전한 코딩 및 보안 요구 시험
개발/시험과 운영 분리(불가 시 보완통제)
소스 변경관리·접근통제, 운영환경 보관 지양
=== 제31조(외주 개발 보안) ===
계약서에 보안요구사항 명시·이행 관리
== 제14장 공공기관 보안요구사항 ==
=== 제32조(관리적 보호조치) ===
보안 SLA 체결 및 정보 제공
CC인증 필수 제품은 인증 제품 사용
공공기관 수준의 보안 관리
사고/장애 시 공공기관 절차에 따른 협업·대응
=== 제33조(물리적 보호조치) ===
물리 위치 국내 한정, 공공 전용 자원/망 분리
중요장비 이중화 및 백업체계 구축
=== 제34조(기술적 보호조치) ===
중요자료 암호화 수단 제공 시 검증필 암호모듈 적용
== 제15장 개인정보의 처리 및 안전한 관리 ==
=== 제35조(개인정보 수집·이용) ===
정보주체 동의 획득
이용 고지
처리방침 수립·공개
=== 제36조(개인정보 처리제한) ===
법령 예외 외 민감정보·고유식별정보·주민등록번호 처리 금지
=== 제37조(개인정보의 안전한 관리) ===
목적 달성/요청 시 지체 없는 파기
법령 보존 시 분리 저장
개인정보보호책임자 지정
== 부칙 ==
=== 제1조(시행일) ===
이 지침은 정보보호최고책임자의 승인일부터 시행한다.
=== 제2조(정책의 이행) ===
회사의 정보보호 업무는 본 지침에 근거하여 수행하며, 명시되지 않은 사항은 관련 규정 및 법령을 따른다.
회사는 정책 제·개정, 위험관리, 내부감사 등의 활동에 대해 적정성을 검토·승인하고 필요한 예산과 인력을 확보한다.
=== 제3조(정책의 검토) ===
본 지침의 적절성을 연 1회 이상 정기적으로 검토하고 필요 시 개정하며, 제·개정·폐기 이력을 관리한다.


=== 제4조(예외 적용) ===
----
다음 각 호의 경우 정보보호최고책임자의 승인을 받아 예외 적용할 수 있다.


기술 환경의 변화로 적용이 불가능한 경우
''(끝)''
기술적·관리적 필요로 긴급히 적용을 보류해야 하는 경우
재해 등 불가항력적인 상황인 경우

2025년 10월 16일 (목) 11:45 기준 최신판


제1장 총칙[편집]

제1조 (목적)[편집]

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 정보보호 관리체계(ISMS)와 클라우드컴퓨팅서비스의 안전한 운영을 위해 정보보호조직의 역할, 책임, 권한 및 운영체계를 명확히 하기 위함이다.

제2조 (적용범위)[편집]

이 지침은 회사의 전 임직원 및 회사와 계약을 맺고 클라우드 서비스 운영, 개발, 유지보수, 지원 등의 업무를 수행하는 외부 협력업체 직원에게 적용한다.

제3조 (정보보호조직의 구성)[편집]

  1. 정보보호조직은 정보보호 최고책임자(CISO), 정보보호 관리자(ISM), 정보보호 담당자로 구성한다.
  2. 정보보호조직은 정보보호 관련 정책 및 지침 수립, 위험관리, 보안점검, 교육훈련, 침해사고 대응 등의 업무를 수행한다.
  3. 정보보호조직의 세부 구성 및 역할은 별표 제1호에 따른다.

제2장 정보보호조직의 역할 및 책임[편집]

제4조 (정보보호 최고책임자, CISO)[편집]

  1. 정보보호 최고책임자는 회사의 정보보호 정책, 지침, 절차를 승인하고 관리한다.
  2. 회사의 전반적인 정보보호 전략 수립 및 관련 법규 준수를 총괄한다.
  3. 정보보호위원회를 구성·운영하고, 중요 보안사안 발생 시 즉시 보고 및 의사결정을 주도한다.
  4. 클라우드컴퓨팅서비스 및 정보보호 관리체계의 성과를 주기적으로 점검·보고한다.

제5조 (정보보호 관리자, ISM)[편집]

  1. CISO의 지시에 따라 정보보호 정책을 실행·운영한다.
  2. 위험평가, 보안 점검, 교육훈련, 보안사고 대응, 인증심사 대응 등 실무 전반을 관리한다.
  3. 정보보호 관련 지침, 절차서, 양식 등을 관리하고 최신성을 유지한다.
  4. 정보보호 담당자를 지휘·감독하며, 정보보호위원회에 정기적으로 보고한다.

제6조 (정보보호 담당자)[편집]

  1. 각 부서 또는 시스템별로 지정된 정보보호 담당자는 다음 업무를 수행한다.
    1. 시스템 접근권한 관리
    2. 로그 및 취약점 점검 수행
    3. 보안패치 및 백신 관리
    4. 개인정보보호 점검 및 모니터링
    5. 보안사고 발생 시 1차 대응 및 보고
  2. 정보보호 담당자는 월 1회 이상 자체 점검을 실시하고, 결과를 정보보호 관리자에게 보고한다.

제7조 (정보보호위원회 운영)[편집]

  1. 회사는 정보보호위원회를 설치·운영하여 정보보호 정책의 제·개정, 보안사고 대응, CSAP 및 ISMS 관련 주요사항을 심의·의결한다.
  2. 위원회는 CISO를 위원장으로 하고, CTO, 본부장, 시스템지원팀장, 클라우드사업팀장, 보안관리자 등으로 구성한다.
  3. 정보보호위원회는 정기회의(반기 1회) 및 필요 시 수시회의를 개최할 수 있다.
  4. 회의록은 서면으로 보관하며, wiki.inswave.kr 내 정보보호 카테고리에 등록·관리한다.

제8조 (정보보호 업무협의체)[편집]

  1. 정보보호 관련 업무의 효율적 수행을 위하여 각 부서별 정보보호 담당자 협의체를 구성할 수 있다.
  2. 협의체는 보안정책 이행상황, 취약점 점검결과, 보안교육 일정 등을 공유한다.
  3. 필요 시 외부 전문가 또는 심사기관 관계자를 초청할 수 있다.

제3장 운영 및 관리[편집]

제9조 (보고체계)[편집]

  1. 보안사고, 침해위협, 정책위반 등 중대한 사안은 즉시 정보보호 관리자 및 CISO에게 보고하여야 한다.
  2. 정기 점검 결과 및 개선사항은 정보보호위원회에 보고·검토되어야 한다.

제10조 (정보보호 교육 및 인식제고)[편집]

  1. 정보보호조직 구성원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수하여야 한다.
  2. 교육 내용은 보안정책, 개인정보보호, 클라우드보안, 접근통제, 물리적보안, 비상대응절차 등을 포함한다.
  3. 신규 입사자에 대해서는 입문 교육 시 보안정책 및 지침을 안내한다.

제11조 (문서관리 및 유지)[편집]

  1. 본 지침과 관련된 모든 문서는 정보보호문서관리지침에 따라 관리한다.
  2. 개정 시 정보보호 관리자 승인 후 정보보호위원회 의결을 거쳐 시행한다.

[별지 제1호] 정보보호조직 구성표[편집]

구분 직위/직책 성명 주요역할 비고
정보보호 최고책임자 전무(CISO) 김욱래 정보보호정책 총괄 및 승인 -
정보보호 관리자 팀장(ISM) 오성훈 정책 운영, 점검, 교육, 사고관리 시스템지원팀
정보보호 담당자 프로 김지수 보안점검, 로그관리, 모니터링 시스템지원팀
정보보호 담당자 프로 박진우 개인정보보호, 접근통제 시스템지원팀

[별지 제2호] 정보보호위원회 구성표[편집]

구분 직위/직책 성명 소속 주요역할
위원장 정보보호최고책임자 김욱래 기술총괄본부 정책결정, 승인
위원 CTO 김진오 DX솔루션본부 기술보안 검토
위원 본부장 김재원 경영지원본부 정책검토, 승인
위원 팀장 오성훈 시스템지원팀 실무보고, 점검결과 보고
위원 팀장 김재호 클라우드사업팀 서비스보안 관리

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=01._정보보안조직관리지침&oldid=571"