00. 정보보호 정책서: 두 판 사이의 차이

제1장 총칙

제1조 (목적)

정보보호 정책서는 (주)인스웨이브 정보보호 정책을 수립하고 관리적, 물리적, 기술적인 정보보호 조치를 정의하기 위하여 작성되었다.

제2조 (용어의 정의)

이 정책서에서 사용하는 용어의 뜻은 다음과 같다.

1. "클라우드컴퓨팅"(Cloud Computing)이란 집적·공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원 (이하 "정보통신자원"이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다.

2. "클라우드컴퓨팅기술"이란 가상화 기술, 분산처리 기술 등 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신기 술을 말한다.

3. "클라우드컴퓨팅서비스"란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비 스를 말한다.

제3조 (적용범위)

이 정책서는 클라우드컴퓨팅서비스와 관련된 정보처리시스템, 전자적 파일, 인쇄물, 서면 등 모든 형태의 정보자산 및 그 운영에 적용된다.

제2장 정보보호 정책 및 조직

제4조 (정보보호 정책)

클라우드 정보보호정책 수립 및 관련 문서화.

정책 제·개정 시 정보보호 최고책임자 승인.

모든 임직원 및 외부자에게 정책 전달.

연 1회 이상 타당성 검토 및 중대 이슈 발생 시 추가 검토.

정책 및 시행문서 이력관리 절차 수립 및 최신본 유지.

제5조 (정보보호 조직)

정보보호 최고책임자(CISO) 공식 지정.

규모 및 중요도 고려하여 실무조직 구성.

전담 또는 겸임조직 구성 가능.

실무조직 구성: 정보보호 관리자, 담당자, CPO, 개인정보보호 관리자 등.

직무기술서를 통한 책임 정의.

이용자와의 계약 또는 SLA에 정보보호 책임 반영.

제3장 인적 보안

제6조 (내부인력 보안)

고용계약 시 비밀유지서약서 포함.

승인 후 고용서약서 서명 및 접근 권한 부여.

중요 정보자산 담당자 최소 지정.

직무분리 및 책임 명확화.

직무분리가 어려운 경우 보완통제 마련.

제7조 (비밀유지서약서)

모든 업무 인력은 비밀유지서약서를 작성 제출.

연 1회 주기적 제출.

인사변경 시 추가 제출.

외부자 정보자산 접근 시 서약서 징구.

제8조 (정보보호교육)

연 1회 이상 교육 및 훈련 시행.

정책 변경 및 사고 발생 시 추가 교육.

교육 평가 및 개선 반영.

제4장 정보자산 관리

제9조 (자산 식별 및 분류)

자산 분류 기준 수립 및 자산 식별.

목록 문서화 및 정기 갱신.

제10조 (자산 변경 관리)

변경 절차 수립 및 영향 분석 실시.

무단 변경 탐지 및 변경 이력 유지.

제11조 (위험관리)

연 1회 이상 취약점 점검.

대응 및 조치 문서화, 책임자 보고.

제5장 서비스 공급망 관리

제12조 (공급망 관리 정책)

보안 요구사항 정의 및 계약 반영.

제13조 (공급망 변경 관리)

위험 검토 후 계약 변경안 제시.

제6장 침해사고 관리

제14조 (침해사고 대응 절차 및 체계)

대응절차 수립 및 체계 구성.

신고 절차 및 역할 정의.

보안관제 시스템 운영.

제15조 (침해사고 대응)

법적 의무 준수 및 이용자 통지.

복구 신속 수행.

제16조 (사후관리)

원인 분석 및 결과 공유.

재발방지 대책 수립 및 절차 개선.

제7장 서비스연속성 관리

제17조 (장애 대응)

장애 대응 절차 마련 및 통지.

SLA 기준 내 장애 처리.

재발방지 대책 마련.

제18조 (서비스 가용성)

성능·용량 요구사항 정의 및 이중화 체계 마련.

제8장 준거성 관리

제19조 (법 및 정책 준수)

법적 요구사항 준수.

제20조 (정보시스템 감사)

독립 감사 계획 수립 및 로그 보호.

제9장 가상화 보안

제21조 (가상화 인프라)

가상자원 관리 방안 수립.

웹/서버 제공 시 보호 대책 마련.

제22조 (가상환경)

악성코드 대응 및 격리 조치.

API 취약점 분석 및 대응.

안전한 데이터 이전 제공.

정품 소프트웨어 구성.

제10장 접근통제

제23조 (접근통제 정책)

접근 통제 정책 수립 및 기록 유지.

제24조 (접근 권한 관리)

최소 권한 부여, 접근권한 점검.

제25조 (사용자 식별 및 인증)

고유 식별자 할당 및 인증 절차.

패스워드 정책 수립 및 책임 인식.

제11장 네트워크 보안

제26조 (네트워크 보안)

보안정책 수립 및 네트워크 통제.

암호화 채널 사용.

네트워크 논리적/물리적 분리.

제12장 데이터 보호 및 암호화

제27조 (데이터 보호)

데이터 분류 및 무결성 확인.

데이터 추적 및 폐기 절차 마련.

제28조 (암호화)

암호화 정책 수립 및 키 관리.

제13장 시스템 개발 보안

제29조 (시스템 분석 및 설계)

보안 요구사항 정의 및 적용.

감사 증적 및 표준시각 동기화.

제30조 (구현 및 시험)

안전한 코딩 및 시험 수행.

개발/운영 시스템 분리.

제31조 (외주 개발 보안)

계약 시 보안요구사항 명시 및 감독.

제14장 공공기관 보안요구사항

제32조 (관리적 보호조치)

보안 SLA 체결, CC인증 제품 사용.

사고 시 협조체계 구축.

제33조 (물리적 보호조치)

국내 물리적 위치 유지, 장비 이중화.

제34조 (기술적 보호조치)

암호화 시 검증필 암호모듈 사용.

제15장 개인정보의 처리 및 안전한 관리

제35조 (개인정보 수집·이용)

수집 동의 및 고지, 처리방침 공개.

제36조 (개인정보 처리제한)

민감정보, 고유식별정보, 주민번호 처리 제한.

제37조 (개인정보의 안전한 관리)

목적 달성 후 즉시 파기, 분리 저장.

개인정보보호책임자 지정.

부칙

제1조 (시행일)

이 규정은 정보보호 최고책임자의 승인일부터 시행한다.

제2조 (정책의 이행)

정보보호 업무는 본 규정 및 관련 법령에 따라 수행한다. 정보보호 활동에 필요한 자원 확보 및 승인 절차를 수립한다.

제3조 (정책의 검토)

연 1회 이상 정기 검토 및 필요 시 개정 이력 관리.

제4조 (예외 적용)

아래 각 호에 해당하는 경우 정보보호 최고책임자 승인 하에 예외로 적용할 수 있다.

기술 환경의 변화로 적용 불가능한 경우

긴급한 기술적·관리적 사유 발생 시

재해 등 불가항력적 상황