01. 정보보안조직관리지침: 두 판 사이의 차이

inswave-wiki
둘러보기로 이동 검색으로 이동
(새 문서: = 제1장 총칙 = == 제1조(목적) == 이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다. == 제2조(적용범위) == 이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다. == 제3조(용어정의) == # “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌...)
 
편집 요약 없음
 
(다른 사용자 한 명의 중간 판 5개는 보이지 않습니다)
1번째 줄: 1번째 줄:
= 제1장 총칙 =
__NOTOC__


== 제1조(목적) ==
== 제1장 총칙 ==
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다.


== 제2조(적용범위) ==
=== 제1조 (목적) ===
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다.
이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 정보보호 관리체계(ISMS)와 
클라우드컴퓨팅서비스의 안전한 운영을 위해 정보보호조직의 역할, 책임, 권한 및 운영체계를 명확히 하기 위함이다.


== 제3조(용어정의) ==
=== 제2조 (적용범위) ===
# “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
이 지침은 회사의 전 임직원 및 회사와 계약을 맺고 클라우드 서비스 운영, 개발, 유지보수, 지원 등의 업무를 수행하는 외부 협력업체 직원에게 적용한다.
# “외부위탁”이라 함은 특정 업무를 외부 업체에 위탁하여 처리하는 방식을 말한다.


= 제2장 정보보호 조직 =
=== 제3조 (정보보호조직의 구성) ===
# 정보보호조직은 정보보호 최고책임자(CISO), 정보보호 관리자(ISM), 정보보호 담당자로 구성한다. 
# 정보보호조직은 정보보호 관련 정책 및 지침 수립, 위험관리, 보안점검, 교육훈련, 침해사고 대응 등의 업무를 수행한다. 
# 정보보호조직의 세부 구성 및 역할은 별표 제1호에 따른다. 


== 제4조(정보보호 최고관리자 지정) ==
== 제2장 정보보호조직의 역할 및 책임 ==
# 직내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 지정하여야 한다.
# 정보보호 최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.


== 제5조(조직구성) ==
=== 제4조 (정보보호 최고책임자, CISO) ===
# 정보보호 최고책임자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 '''[별지 제1호]'''와 같이 정보보호 조직을 구성한다.
# 정보보호 최고책임자는 회사의 정보보호 정책, 지침, 절차를 승인하고 관리한다. 
# 실무 조직은 전담 또는 겸임 조직으로 구성할 수 있으며, 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정을 하여야 한다.
# 회사의 전반적인 정보보호 전략 수립 및 관련 법규 준수를 총괄한다.
# 정보보호 조직 구성원의 주요 직무는 '''[별지 제2호]'''의 직무기술서를 통해 책임과 역할을 구체적으로 정의한다.
# 정보보호위원회를 구성·운영하고, 중요 보안사안 발생 시 즉시 보고 및 의사결정을 주도한다.
# 클라우드컴퓨팅서비스 및 정보보호 관리체계의 성과를 주기적으로 점검·보고한다.


== 제6조(정보보호위원회) ==
=== 제5조 (정보보호 관리자, ISM) ===
# 정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호 관련 각 부서의 장을 위원으로 구성한다.
# CISO의 지시에 따라 정보보호 정책을 실행·운영한다.
# 간사의 역할은 정보보호담당자가 수행한다.
# 위험평가, 보안 점검, 교육훈련, 보안사고 대응, 인증심사 대응 등 실무 전반을 관리한다.
# 정보보호위원회는 다음의 역할을 수행한다.
# 정보보호 관련 지침, 절차서, 양식 등을 관리하고 최신성을 유지한다.
## 정보보호정책 및 지침의 제·개정에 대한 심의·승인
# 정보보호 담당자를 지휘·감독하며, 정보보호위원회에 정기적으로 보고한다. 
## 정보보호 예산 심의·승인
## 정보보호 활동 계획의 심의·승인
## 기타 정보보호최고책임자가 필요하다고 인정하는 사항


== 제7조(정보보호실무협의회) ==
=== 제6조 (정보보호 담당자) ===
# 정보보호실무협의회는 정보보호위원회 심의·의결 사항에 대한 실무 검토, 세부 이행방안 수립, 원활한 정보보호 관리활동의 조정 등의 업무를 수행한다.
# 각 부서 또는 시스템별로 지정된 정보보호 담당자는 다음 업무를 수행한다.
# 정보보호실무협의회는 정보보호관리자가 주관하고 정보보호담당자가 간사 역할을 수행하며, 사안에 따라 관련 부서의 정보보호담당자가 참여한다.
## 시스템 접근권한 관리 
# 정보보호실무협의회는 다음의 역할을 수행한다.
## 로그 및 취약점 점검 수행 
## 정보보호정책 지침의 제·개정(안) 수립
## 보안패치 백신 관리 
## 정보보호 예산 수립
## 개인정보보호 점검 및 모니터링 
## 정보보호 활동 계획(안) 수립
## 보안사고 발생 시 1차 대응 및 보고 
## 기타 정보보호관리자가 필요하다고 인정하는 사항
# 정보보호 담당자는 월 1회 이상 자체 점검을 실시하고, 결과를 정보보호 관리자에게 보고한다. 


== 제8조(정보보호 전담조직) ==
=== 제7조 (정보보호위원회 운영) ===
# 정보보호 관련 업무를 기획·시행하기 위한 세부 계획을 수립하고 각종 보안 통제 사항을 관리하는 '''정보보호팀'''을 구성한다.
# 회사는 정보보호위원회를 설치·운영하여 정보보호 정책의 제·개정, 보안사고 대응, CSAP 및 ISMS 관련 주요사항을 심의·의결한다.
## 자산에 대한 위협 및 위험분석, 주기적 모니터링을 통해 평상시의 정보보호 관리를 수행한다.
# 위원회는 CISO를 위원장으로 하고, CTO, 본부장, 시스템지원팀장, 클라우드사업팀장, 보안관리자 등으로 구성한다.
## 임직원의 정보보호 인식 및 기술 수준 제고를 위해 교육 계획을 수립·시행한다.
# 정보보호위원회는 정기회의(반기 1회) 및 필요 시 수시회의를 개최할 수 있다.
## 주요 시스템에 대한 침해사고 등 긴급 상황에 대비한 비상 계획을 수립·운영한다.
# 회의록은 서면으로 보관하며, wiki.inswave.kr 내 정보보호 카테고리에 등록·관리한다.
# 정보통신망의 침해사고 등 사이버 침해의 예방·대응·분석·복구를 위해 '''침해사고대응팀'''을 구성한다.
## 비상조직으로서 침해사고 발생 시 신속하고 효과적인 처리·복구를 위해 주요 정보보호관리자를 중심으로 운영한다.
## 즉각 대응을 위해 사전 조직 구성, 대응 절차·예방책 수립, 사고 대비 교육·훈련을 실시한다.
## 일반 직원이 침해사고를 인지·신고할 수 있도록 교육·훈련을 포함하고 주기적으로 훈련한다.
# 클라우드컴퓨팅서비스의 안정적 제공 유지를 위해 '''장애대응팀'''을 구성한다.
## 자연재해 등 장애 발생 시 신속하고 효과적인 처리·복구를 위해 주요 정보보호관리자를 중심으로 운영한다.
## 즉각 대응을 위해 사전 조직 구성, 대응 절차·예방책 수립, 사고 대비 교육·훈련을 실시한다.
## 일반 직원이 장애를 인지·신고할 수 있도록 교육·훈련을 실시한다.
# 개인정보의 안전한 관리를 수행하기 위해 '''개인정보보호팀'''을 구성한다.
## 최고경영자는 개인정보 처리 업무를 총괄 책임질 '''개인정보보호책임자(CPO)'''를 지정하여야 한다.
## 개인정보보호책임자는 개인정보 처리방침을 정하여 정보주체가 쉽게 확인할 수 있도록 홈페이지·이메일 등을 통해 공개하여야 한다.
## 개인정보보호책임자는 개인정보보호법 제31조의 의무를 수행하여야 한다.
# 정보보호 전담조직이 구성되기 전까지는 시스템지원팀, 공유솔루션팀에서 정보보호 업무를 수행한다.


= [별지 제1호] 정보보호 및 개인정보보호 조직 =
=== 제8조 (정보보호 업무협의체) ===
# 정보보호 관련 업무의 효율적 수행을 위하여 각 부서별 정보보호 담당자 협의체를 구성할 수 있다. 
# 협의체는 보안정책 이행상황, 취약점 점검결과, 보안교육 일정 등을 공유한다. 
# 필요 시 외부 전문가 또는 심사기관 관계자를 초청할 수 있다. 


== 정보보호 조직(예시) ==
== 제3장 운영 및 관리 ==
; 위원회 및 책임
* '''정보보호위원회'''
** 의장: 정보보호최고책임자(CISO, 전무)
** 간사: 정보보호담당자(시스템지원팀)
* '''정보보호최고책임자(CISO)''': 전무
* '''정보보호관리자''': 시스템지원팀장(오성훈)
; 조직별 역할(개요)
* 관리적 정보보호 / 인사·교육·계약·컴플라이언스: 경영지원팀(예: 유성석)
* 기술적 정보보호 / 서버·보안장비·단말·모바일: 시스템지원팀
* 물리적 보안: 경영지원팀
* 서비스운영책임자(서비스 오너): 클라우드사업팀장(오상협)
* 정보보호 담당자: 시스템지원팀(실무)


== 개인정보보호 조직(예시) ==
=== 제9조 (보고체계) ===
; 위원회 및 책임
# 보안사고, 침해위협, 정책위반 중대한 사안은 즉시 정보보호 관리자 및 CISO에게 보고하여야 한다. 
* '''개인정보보호위원회'''
# 정기 점검 결과 및 개선사항은 정보보호위원회에 보고·검토되어야 한다. 
** 의장: 개인정보보호책임자(CPO, 전무)
** 간사: 시스템지원팀(필요 시 정보보호관리자 겸직)
** 정위원:
*** 관리적 개인정보보호(정책·교육·계약): 경영지원팀(예: 유성석)
*** 기술적 개인정보보호(서버·시스템 ): 시스템지원팀
*** 물리적 개인정보보호(출입·통제 등): 경영지원팀
* '''개인정보보호관리자''': 시스템지원팀장(오성훈)
* 개인정보 처리자: 개발자, 운영자, 솔루션팀 등


== 침해사고 대응 조직(개요) ==
=== 제10조 (정보보호 교육 및 인식제고) ===
* 정보보호최고책임자(CISO): 전무
# 정보보호조직 구성원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수하여야 한다. 
* 정보보호관리자: 시스템지원팀장(오성훈)
# 교육 내용은 보안정책, 개인정보보호, 클라우드보안, 접근통제, 물리적보안, 비상대응절차 등을 포함한다. 
* 관리적·기술적·물리적 담당 현업 협력으로 구성(시스템지원팀, 경영지원팀, 클라우드사업팀 등)
# 신규 입사자에 대해서는 입문 교육 시 보안정책 지침을 안내한다. 


= [별지 제2호] 직무기술서 =
=== 제11조 (문서관리 및 유지) ===
# 본 지침과 관련된 모든 문서는 [[정보보호문서관리지침]]에 따라 관리한다. 
# 개정 시 정보보호 관리자 승인 후 정보보호위원회 의결을 거쳐 시행한다. 


== 001. 정보보호최고책임자(CISO) ==
== [별지 제1호] 정보보호조직 구성표 ==
; 소속/직위/인원/작성일
{| class="wikitable" style="width:90%; text-align:center;"
* CTO / 전무(CISO) / 1명 / 2022.11.30
! 구분 !! 직위/직책 !! 성명 !! 주요역할 !! 비고
; 직무개요
* 일반보안(인원·시설·문서 등)과 주요정보통신 보안 전반 총괄
; 직무내용
* 보안 및 정보보호 업무 전담·총괄
* 각 부서(팀)별 보안·정보보호 업무 지도·감독
; 직무요건
* 학력: 대졸 이상
* 경력: 관리업무 5년 이상
* 기타: 임원급 이상
 
== 002. 정보보호관리자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 팀장 / 1명 / 2022.11.30
; 직무개요
* 보안업무 전반에 대한 교육·점검·서약 집행, 부서 보안업무 지도·감독
; 직무내용
* 연도별 보안업무 추진계획 수립 및 성과·실적 분석
* 일반보안(인원·시설·문서·자재 등) 진단
* 보안(일반·인식) 교육
* 비밀 소유 및 인가자 현황 조사, 보안서약 집행
* 시설보안 및 보호구역 관리
* 보안 규정·지침·절차서 수립 및 기획·조정
* 보안업무 지도·감독 및 개선대책 수립
; 직무요건
* 학력: 대졸 이상
* 경력: 정보보호 업무 5년 이상
 
== 003. 개인정보보호책임자(CPO) ==
; 소속/직위/인원/작성일
* CFO / 전무(CPO) / 1명 / 2022.11.30
; 직무개요
* 개인정보 보호업무 총괄
; 직무내용
* 내부관리계획·처리방침 수립 및 시행
* 처리 실태 점검·개선, 불만 해소 및 피해 구제
* 유출 및 오·남용 방지를 위한 내부통제 구축
* 개인정보보호 교육계획 수립·시행
* 개인정보파일 보호 및 관리·감독
* 개인정보파일 등록·변경의 적정성 판단 및 등록
* 기타 법령(시행령 제32조제1항 등)에서 정하는 업무
; 직무요건
* 학력: 대졸 이상
* 경력: 개인정보보호 업무 5년 이상
 
== 004. 정보보호담당자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 사원·대리급 / 1명 / 2023.11.30
; 직무개요
* 정보보호관리자 보좌, 정보통신기반 보호 계획 수립 및 보안 시스템 운영
; 직무내용
* 정보통신 보안활동 계획 수립, 신·증설 보안대책 수립
* 정보통신실·망·전산자료 보안관리
* 보안업무 지도·감독·교육
* 보안시스템 운영 및 웹서버 취약점 점검
* 보안업무 심사·분석, 지침·제도 개선
* 정보통신망 취약성 진단 등
; 직무요건
* 학력: 정보통신/정보보호 관련 학과 졸
* 경력: 정보보호 업무 3년 이상
 
== 005. 개인정보보호관리자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 팀장 / 1명 / 2022.11.30
; 직무개요
* CPO 보좌, 개인정보 보호 계획 수립 및 시스템 운영
; 직무내용
* 개인정보 처리방침 수립, 활동 계획 수립
* 업무 지도·감독·교육, 시스템 보안관리
* 심사·분석 관장, 지침·제도 개선
; 직무요건
* 학력: 정보통신/정보보호 관련 학과 졸
* 경력: 개인정보보호 업무 3년 이상
 
== 006. 개인정보보호담당자 ==
; 소속/직위/인원/작성일
* 시스템지원팀 / 사원·대리급 / 1명 / 2022.11.30
; 직무개요
* 개인정보보호관리자 보좌, 계획 이행 및 시스템 운영
; 직무내용
* 처리방침 공지·관리, 활동 계획 시행, 교육 시행
* 시스템 보안관리, 지침·제도 개선
; 직무요건
* 학력: 정보통신/정보보호 관련 학과 졸
* 경력: 개인정보보호 업무 3년 이상
 
== 007. 서비스 오너 ==
; 소속/직위/인원/작성일
* 클라우드사업팀 / 팀장(오상협) / 1명 / 2025.09.26
; 직무개요
* SignSquare 서비스 품질·가용성·보안 총괄, SLA 준수 및 장애 발생 시 대외 보고 책임
; 직무내용
* 서비스 운영·품질 관리 및 SLA 준수 감독
* 장애·사고 발생 시 CSAP 기준에 따른 보고 책임 수행
* 클라우드 인프라·애플리케이션 보안 관리 주관
* 운영 프로세스 개선, 감사 대응 자료 제공
* 정보보호위원회·경영진 보고 및 개선안 제시
; 직무요건
* 경력: SaaS 서비스 운영 경험
* 지식: 보안·품질관리, CSAP 인증 요건 이해
 
== 008. 개발담당(DX솔루션팀 리드) ==
; 소속/직위/인원/작성일
* DX솔루션팀 / 개발리드 / 1명 / 2025.09.26
; 직무개요
* 소스코드 보안 총괄, 취약점 분석 및 보안코딩 적용
; 직무내용
* 보안 코딩 규칙 적용, 코드 리뷰 및 취약점 개선
* 신규 기능 개발 시 보안 아키텍처 검증
* 변경·배포 절차 내 보안 검토
* 정기 취약점 점검 및 보완
* 개인정보 처리 모듈·전자서명 기능 보안 점검
; 직무요건
* 경험: SW 개발(전자서명 SaaS 우대), 취약점 분석 경험
 
== 009. 운영담당(Infra/DBA, 네트워크) ==
; 소속/직위/인원/작성일
* 클라우드사업팀 / 팀장(오상협) / 1명 / 2025.09.26
; 직무개요
* 서버·DB·네트워크 보안 운영과 가용성 보장 책임
; 직무내용
* 서버·DB 보안 설정 및 접근통제 관리
* 방화벽·VPN·IDS/IPS 운영 및 로그 분석
* 시스템 모니터링, 장애 시 신속 복구
* 데이터 암호화·백업·DR 절차 관리
* 정기 보안점검, 모의해킹 대응, 취약점 조치
; 직무요건
* 경험: 클라우드 인프라 운영
* 지식: DB/네트워크 보안, CSAP 보안 요건
 
== 010. 고객지원(Helpdesk) ==
; 소속/직위/인원/작성일
* 클라우드사업팀 / CS담당 / 1명 / 2025.09.26
; 직무개요
* 사용자 지원, 장애 접수·처리, 사고 대응 지원, SLA 모니터링
; 직무내용
* 장애·보안 문의 접수·분류·보고
* 고객 요청 처리 및 보안 안내 제공
* SLA 준수 모니터링·보고
* 사고 초동 대응 및 관리자 보고 지원
* 재발 방지 및 고객 피드백 반영 지원
; 직무요건
* 경험: 고객지원
* 역량: 보안 인식, 커뮤니케이션, SLA 이해
 
= [별지 제3호] 회의록 서식 =
 
== 정보보호위원회 회의록(서식) ==
{| class="wikitable"
|-
! 회의명 || 20{{{ }}}년도 제 {{{ }}}차 정보보호위원회 회의
|-
! 회의일시 || 20{{{ }}}.{{{ }}}.{{{ }}} ({{{ }}}) 00:00 ~ 00:00
|-
|-
! 참석자 || (의장·간사·위원 명단)
| 정보보호 최고책임자 || 전무(CISO) || 김욱래 || 정보보호정책 총괄 및 승인 || -
|-
|-
! 심의안건 || (예: 정보보호정책서 제·개정(안))
| 정보보호 관리자 || 팀장(ISM) || 오성훈 || 정책 운영, 점검, 교육, 사고관리 || 시스템지원팀
|-
|-
! 심의내용 || (법·지침 개정사항 반영, 로그보존 기간 변경 등 주요 내용 기재)
| 정보보호 담당자 || 프로 || 김지수 || 보안점검, 로그관리, 모니터링 || 시스템지원팀
|-
|-
! 심의결과 || (예: 원안 가결/수정 가결/보류)
| 정보보호 담당자 || 프로 || 박진우 || 개인정보보호, 접근통제 || 시스템지원팀
|}
|}
; 서명
: (의장) ________  (간사) ________  (위원) ________


== 정보보호정책 검토회의록(서식) ==
== [별지 제2호] 정보보호위원회 구성표 ==
{| class="wikitable"
{| class="wikitable" style="width:90%; text-align:center;"
|-
! 구분 !! 직위/직책 !! 성명 !! 소속 !! 주요역할
! 회의명 || 정보보호정책 검토회의
|-
|-
! 회의일시 || 20{{{ }}}.{{{ }}}.{{{ }}} ({{{ }}}) 00:00 ~ 00:00
| 위원장 || 정보보호최고책임자 || 김욱래 || 기술총괄본부 || 정책결정, 승인
|-
|-
! 참석자 || (참석자 명단)
| 위원 || CTO || 김진오 || DX솔루션본부 || 기술보안 검토
|-
|-
! 검토안건 || (예: 법 개정에 따른 정책서·시행문서 검토)
| 위원 || 본부장 || 김재원 || 경영지원본부 || 정책검토, 승인
|-
|-
! 검토내용 || (개정 법령 요지, 반영 필요 사항 등)
| 위원 || 팀장 || 오성훈 || 시스템지원팀 || 실무보고, 점검결과 보고
|-
|-
! 검토결과 || (예: 정책서 개정 필요, 인적보안지침 개정 필요)
| 위원 || 팀장 || 김재호 || 클라우드사업팀 || 서비스보안 관리
|}
|}
; 서명
 
: (주관) ________  (기록) ________
----
 
''()''

2025년 10월 16일 (목) 11:45 기준 최신판


제1장 총칙[편집]

제1조 (목적)[편집]

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 정보보호 관리체계(ISMS)와 클라우드컴퓨팅서비스의 안전한 운영을 위해 정보보호조직의 역할, 책임, 권한 및 운영체계를 명확히 하기 위함이다.

제2조 (적용범위)[편집]

이 지침은 회사의 전 임직원 및 회사와 계약을 맺고 클라우드 서비스 운영, 개발, 유지보수, 지원 등의 업무를 수행하는 외부 협력업체 직원에게 적용한다.

제3조 (정보보호조직의 구성)[편집]

  1. 정보보호조직은 정보보호 최고책임자(CISO), 정보보호 관리자(ISM), 정보보호 담당자로 구성한다.
  2. 정보보호조직은 정보보호 관련 정책 및 지침 수립, 위험관리, 보안점검, 교육훈련, 침해사고 대응 등의 업무를 수행한다.
  3. 정보보호조직의 세부 구성 및 역할은 별표 제1호에 따른다.

제2장 정보보호조직의 역할 및 책임[편집]

제4조 (정보보호 최고책임자, CISO)[편집]

  1. 정보보호 최고책임자는 회사의 정보보호 정책, 지침, 절차를 승인하고 관리한다.
  2. 회사의 전반적인 정보보호 전략 수립 및 관련 법규 준수를 총괄한다.
  3. 정보보호위원회를 구성·운영하고, 중요 보안사안 발생 시 즉시 보고 및 의사결정을 주도한다.
  4. 클라우드컴퓨팅서비스 및 정보보호 관리체계의 성과를 주기적으로 점검·보고한다.

제5조 (정보보호 관리자, ISM)[편집]

  1. CISO의 지시에 따라 정보보호 정책을 실행·운영한다.
  2. 위험평가, 보안 점검, 교육훈련, 보안사고 대응, 인증심사 대응 등 실무 전반을 관리한다.
  3. 정보보호 관련 지침, 절차서, 양식 등을 관리하고 최신성을 유지한다.
  4. 정보보호 담당자를 지휘·감독하며, 정보보호위원회에 정기적으로 보고한다.

제6조 (정보보호 담당자)[편집]

  1. 각 부서 또는 시스템별로 지정된 정보보호 담당자는 다음 업무를 수행한다.
    1. 시스템 접근권한 관리
    2. 로그 및 취약점 점검 수행
    3. 보안패치 및 백신 관리
    4. 개인정보보호 점검 및 모니터링
    5. 보안사고 발생 시 1차 대응 및 보고
  2. 정보보호 담당자는 월 1회 이상 자체 점검을 실시하고, 결과를 정보보호 관리자에게 보고한다.

제7조 (정보보호위원회 운영)[편집]

  1. 회사는 정보보호위원회를 설치·운영하여 정보보호 정책의 제·개정, 보안사고 대응, CSAP 및 ISMS 관련 주요사항을 심의·의결한다.
  2. 위원회는 CISO를 위원장으로 하고, CTO, 본부장, 시스템지원팀장, 클라우드사업팀장, 보안관리자 등으로 구성한다.
  3. 정보보호위원회는 정기회의(반기 1회) 및 필요 시 수시회의를 개최할 수 있다.
  4. 회의록은 서면으로 보관하며, wiki.inswave.kr 내 정보보호 카테고리에 등록·관리한다.

제8조 (정보보호 업무협의체)[편집]

  1. 정보보호 관련 업무의 효율적 수행을 위하여 각 부서별 정보보호 담당자 협의체를 구성할 수 있다.
  2. 협의체는 보안정책 이행상황, 취약점 점검결과, 보안교육 일정 등을 공유한다.
  3. 필요 시 외부 전문가 또는 심사기관 관계자를 초청할 수 있다.

제3장 운영 및 관리[편집]

제9조 (보고체계)[편집]

  1. 보안사고, 침해위협, 정책위반 등 중대한 사안은 즉시 정보보호 관리자 및 CISO에게 보고하여야 한다.
  2. 정기 점검 결과 및 개선사항은 정보보호위원회에 보고·검토되어야 한다.

제10조 (정보보호 교육 및 인식제고)[편집]

  1. 정보보호조직 구성원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수하여야 한다.
  2. 교육 내용은 보안정책, 개인정보보호, 클라우드보안, 접근통제, 물리적보안, 비상대응절차 등을 포함한다.
  3. 신규 입사자에 대해서는 입문 교육 시 보안정책 및 지침을 안내한다.

제11조 (문서관리 및 유지)[편집]

  1. 본 지침과 관련된 모든 문서는 정보보호문서관리지침에 따라 관리한다.
  2. 개정 시 정보보호 관리자 승인 후 정보보호위원회 의결을 거쳐 시행한다.

[별지 제1호] 정보보호조직 구성표[편집]

구분 직위/직책 성명 주요역할 비고
정보보호 최고책임자 전무(CISO) 김욱래 정보보호정책 총괄 및 승인 -
정보보호 관리자 팀장(ISM) 오성훈 정책 운영, 점검, 교육, 사고관리 시스템지원팀
정보보호 담당자 프로 김지수 보안점검, 로그관리, 모니터링 시스템지원팀
정보보호 담당자 프로 박진우 개인정보보호, 접근통제 시스템지원팀

[별지 제2호] 정보보호위원회 구성표[편집]

구분 직위/직책 성명 소속 주요역할
위원장 정보보호최고책임자 김욱래 기술총괄본부 정책결정, 승인
위원 CTO 김진오 DX솔루션본부 기술보안 검토
위원 본부장 김재원 경영지원본부 정책검토, 승인
위원 팀장 오성훈 시스템지원팀 실무보고, 점검결과 보고
위원 팀장 김재호 클라우드사업팀 서비스보안 관리

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=01._정보보안조직관리지침&oldid=571"