01. 정보보안조직관리지침: 두 판 사이의 차이
둘러보기로 이동
검색으로 이동
편집 요약 없음 |
편집 요약 없음 |
||
| 2번째 줄: | 2번째 줄: | ||
== 제1장 총칙 == | == 제1장 총칙 == | ||
=== | === 제1조 (목적) === | ||
이 지침은 | 이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 정보보호 관리체계(ISMS)와 | ||
클라우드컴퓨팅서비스의 안전한 운영을 위해 정보보호조직의 역할, 책임, 권한 및 운영체계를 명확히 하기 위함이다. | |||
=== | === 제2조 (적용범위) === | ||
이 지침은 회사의 전 임직원 및 회사와 계약을 맺고 클라우드 서비스 운영, 개발, 유지보수, 지원 등의 업무를 수행하는 외부 협력업체 직원에게 적용한다. | |||
=== 제3조 (정보보호조직의 구성) === | |||
# 정보보호조직은 정보보호 최고책임자(CISO), 정보보호 관리자(ISM), 정보보호 담당자로 구성한다. | |||
# 정보보호조직은 정보보호 관련 정책 및 지침 수립, 위험관리, 보안점검, 교육훈련, 침해사고 대응 등의 업무를 수행한다. | |||
# 정보보호조직의 세부 구성 및 역할은 별표 제1호에 따른다. | |||
== 제2장 정보보호조직의 역할 및 책임 == | |||
=== 제4조 (정보보호 최고책임자, CISO) === | |||
=== 제4조(정보보호 | # 정보보호 최고책임자는 회사의 정보보호 정책, 지침, 절차를 승인하고 관리한다. | ||
# 회사의 전반적인 정보보호 전략 수립 및 관련 법규 준수를 총괄한다. | |||
# 정보보호위원회를 구성·운영하고, 중요 보안사안 발생 시 즉시 보고 및 의사결정을 주도한다. | |||
# 클라우드컴퓨팅서비스 및 정보보호 관리체계의 성과를 주기적으로 점검·보고한다. | |||
=== 제5조 (정보보호 관리자, ISM) === | |||
정보보호 | # CISO의 지시에 따라 정보보호 정책을 실행·운영한다. | ||
# 위험평가, 보안 점검, 교육훈련, 보안사고 대응, 인증심사 대응 등 실무 전반을 관리한다. | |||
# 정보보호 관련 지침, 절차서, 양식 등을 관리하고 최신성을 유지한다. | |||
# 정보보호 담당자를 지휘·감독하며, 정보보호위원회에 정기적으로 보고한다. | |||
=== | === 제6조 (정보보호 담당자) === | ||
# 각 부서 또는 시스템별로 지정된 정보보호 담당자는 다음 업무를 수행한다. | |||
## 시스템 접근권한 관리 | |||
## 로그 및 취약점 점검 수행 | |||
## 보안패치 및 백신 관리 | |||
## 개인정보보호 점검 및 모니터링 | |||
## 보안사고 발생 시 1차 대응 및 보고 | |||
# 정보보호 담당자는 월 1회 이상 자체 점검을 실시하고, 결과를 정보보호 관리자에게 보고한다. | |||
정보보호 | === 제7조 (정보보호위원회 운영) === | ||
# 회사는 정보보호위원회를 설치·운영하여 정보보호 정책의 제·개정, 보안사고 대응, CSAP 및 ISMS 관련 주요사항을 심의·의결한다. | |||
정보보호 | # 위원회는 CISO를 위원장으로 하고, CTO, 본부장, 시스템지원팀장, 클라우드사업팀장, 보안관리자 등으로 구성한다. | ||
# 정보보호위원회는 정기회의(반기 1회) 및 필요 시 수시회의를 개최할 수 있다. | |||
# 회의록은 서면으로 보관하며, wiki.inswave.kr 내 정보보호 카테고리에 등록·관리한다. | |||
=== | === 제8조 (정보보호 업무협의체) === | ||
# 정보보호 관련 업무의 효율적 수행을 위하여 각 부서별 정보보호 담당자 협의체를 구성할 수 있다. | |||
# 협의체는 보안정책 이행상황, 취약점 점검결과, 보안교육 일정 등을 공유한다. | |||
# 필요 시 외부 전문가 또는 심사기관 관계자를 초청할 수 있다. | |||
== 제3장 운영 및 관리 == | |||
=== | === 제9조 (보고체계) === | ||
# 보안사고, 침해위협, 정책위반 등 중대한 사안은 즉시 정보보호 관리자 및 CISO에게 보고하여야 한다. | |||
# 정기 점검 결과 및 개선사항은 정보보호위원회에 보고·검토되어야 한다. | |||
=== 제10조 (정보보호 교육 및 인식제고) === | |||
# 정보보호조직 구성원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수하여야 한다. | |||
# 교육 내용은 보안정책, 개인정보보호, 클라우드보안, 접근통제, 물리적보안, 비상대응절차 등을 포함한다. | |||
# 신규 입사자에 대해서는 입문 교육 시 보안정책 및 지침을 안내한다. | |||
=== | === 제11조 (문서관리 및 유지) === | ||
# 본 지침과 관련된 모든 문서는 [[정보보호문서관리지침]]에 따라 관리한다. | |||
# 개정 시 정보보호 관리자 승인 후 정보보호위원회 의결을 거쳐 시행한다. | |||
== [별지 제1호] 정보보호조직 구성표 == | |||
{| class="wikitable" style="width:90%; text-align:center;" | |||
! 구분 !! 직위/직책 !! 성명 !! 주요역할 !! 비고 | |||
|- | |||
| 정보보호 최고책임자 || 전무(CISO) || 김욱래 || 정보보호정책 총괄 및 승인 || - | |||
|- | |||
| 정보보호 관리자 || 팀장(ISM) || 오성훈 || 정책 운영, 점검, 교육, 사고관리 || 시스템지원팀 | |||
|- | |||
| 정보보호 담당자 || 프로 || 김지수 || 보안점검, 로그관리, 모니터링 || 시스템지원팀 | |||
|- | |||
| 정보보호 담당자 || 프로 || 박진우 || 개인정보보호, 접근통제 || 시스템지원팀 | |||
|} | |||
== [별지 제2호] 정보보호위원회 구성표 == | |||
{| class="wikitable" style="width:90%; text-align:center;" | |||
! 구분 !! 직위/직책 !! 성명 !! 소속 !! 주요역할 | |||
|- | |||
| 위원장 || 정보보호최고책임자 || 김욱래 || 기술총괄본부 || 정책결정, 승인 | |||
|- | |||
| 위원 || CTO || 김진오 || DX솔루션본부 || 기술보안 검토 | |||
|- | |||
| 위원 || 본부장 || 김재원 || 경영지원본부 || 정책검토, 승인 | |||
|- | |||
| 위원 || 팀장 || 오성훈 || 시스템지원팀 || 실무보고, 점검결과 보고 | |||
|- | |||
| 위원 || 팀장 || 김재호 || 클라우드사업팀 || 서비스보안 관리 | |||
|} | |||
---- | |||
''(끝)'' | |||
2025년 10월 16일 (목) 11:45 기준 최신판
제1장 총칙[편집]
제1조 (목적)[편집]
이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 정보보호 관리체계(ISMS)와 클라우드컴퓨팅서비스의 안전한 운영을 위해 정보보호조직의 역할, 책임, 권한 및 운영체계를 명확히 하기 위함이다.
제2조 (적용범위)[편집]
이 지침은 회사의 전 임직원 및 회사와 계약을 맺고 클라우드 서비스 운영, 개발, 유지보수, 지원 등의 업무를 수행하는 외부 협력업체 직원에게 적용한다.
제3조 (정보보호조직의 구성)[편집]
- 정보보호조직은 정보보호 최고책임자(CISO), 정보보호 관리자(ISM), 정보보호 담당자로 구성한다.
- 정보보호조직은 정보보호 관련 정책 및 지침 수립, 위험관리, 보안점검, 교육훈련, 침해사고 대응 등의 업무를 수행한다.
- 정보보호조직의 세부 구성 및 역할은 별표 제1호에 따른다.
제2장 정보보호조직의 역할 및 책임[편집]
제4조 (정보보호 최고책임자, CISO)[편집]
- 정보보호 최고책임자는 회사의 정보보호 정책, 지침, 절차를 승인하고 관리한다.
- 회사의 전반적인 정보보호 전략 수립 및 관련 법규 준수를 총괄한다.
- 정보보호위원회를 구성·운영하고, 중요 보안사안 발생 시 즉시 보고 및 의사결정을 주도한다.
- 클라우드컴퓨팅서비스 및 정보보호 관리체계의 성과를 주기적으로 점검·보고한다.
제5조 (정보보호 관리자, ISM)[편집]
- CISO의 지시에 따라 정보보호 정책을 실행·운영한다.
- 위험평가, 보안 점검, 교육훈련, 보안사고 대응, 인증심사 대응 등 실무 전반을 관리한다.
- 정보보호 관련 지침, 절차서, 양식 등을 관리하고 최신성을 유지한다.
- 정보보호 담당자를 지휘·감독하며, 정보보호위원회에 정기적으로 보고한다.
제6조 (정보보호 담당자)[편집]
- 각 부서 또는 시스템별로 지정된 정보보호 담당자는 다음 업무를 수행한다.
- 시스템 접근권한 관리
- 로그 및 취약점 점검 수행
- 보안패치 및 백신 관리
- 개인정보보호 점검 및 모니터링
- 보안사고 발생 시 1차 대응 및 보고
- 정보보호 담당자는 월 1회 이상 자체 점검을 실시하고, 결과를 정보보호 관리자에게 보고한다.
제7조 (정보보호위원회 운영)[편집]
- 회사는 정보보호위원회를 설치·운영하여 정보보호 정책의 제·개정, 보안사고 대응, CSAP 및 ISMS 관련 주요사항을 심의·의결한다.
- 위원회는 CISO를 위원장으로 하고, CTO, 본부장, 시스템지원팀장, 클라우드사업팀장, 보안관리자 등으로 구성한다.
- 정보보호위원회는 정기회의(반기 1회) 및 필요 시 수시회의를 개최할 수 있다.
- 회의록은 서면으로 보관하며, wiki.inswave.kr 내 정보보호 카테고리에 등록·관리한다.
제8조 (정보보호 업무협의체)[편집]
- 정보보호 관련 업무의 효율적 수행을 위하여 각 부서별 정보보호 담당자 협의체를 구성할 수 있다.
- 협의체는 보안정책 이행상황, 취약점 점검결과, 보안교육 일정 등을 공유한다.
- 필요 시 외부 전문가 또는 심사기관 관계자를 초청할 수 있다.
제3장 운영 및 관리[편집]
제9조 (보고체계)[편집]
- 보안사고, 침해위협, 정책위반 등 중대한 사안은 즉시 정보보호 관리자 및 CISO에게 보고하여야 한다.
- 정기 점검 결과 및 개선사항은 정보보호위원회에 보고·검토되어야 한다.
제10조 (정보보호 교육 및 인식제고)[편집]
- 정보보호조직 구성원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수하여야 한다.
- 교육 내용은 보안정책, 개인정보보호, 클라우드보안, 접근통제, 물리적보안, 비상대응절차 등을 포함한다.
- 신규 입사자에 대해서는 입문 교육 시 보안정책 및 지침을 안내한다.
제11조 (문서관리 및 유지)[편집]
- 본 지침과 관련된 모든 문서는 정보보호문서관리지침에 따라 관리한다.
- 개정 시 정보보호 관리자 승인 후 정보보호위원회 의결을 거쳐 시행한다.
[별지 제1호] 정보보호조직 구성표[편집]
| 구분 | 직위/직책 | 성명 | 주요역할 | 비고 |
|---|---|---|---|---|
| 정보보호 최고책임자 | 전무(CISO) | 김욱래 | 정보보호정책 총괄 및 승인 | - |
| 정보보호 관리자 | 팀장(ISM) | 오성훈 | 정책 운영, 점검, 교육, 사고관리 | 시스템지원팀 |
| 정보보호 담당자 | 프로 | 김지수 | 보안점검, 로그관리, 모니터링 | 시스템지원팀 |
| 정보보호 담당자 | 프로 | 박진우 | 개인정보보호, 접근통제 | 시스템지원팀 |
[별지 제2호] 정보보호위원회 구성표[편집]
| 구분 | 직위/직책 | 성명 | 소속 | 주요역할 |
|---|---|---|---|---|
| 위원장 | 정보보호최고책임자 | 김욱래 | 기술총괄본부 | 정책결정, 승인 |
| 위원 | CTO | 김진오 | DX솔루션본부 | 기술보안 검토 |
| 위원 | 본부장 | 김재원 | 경영지원본부 | 정책검토, 승인 |
| 위원 | 팀장 | 오성훈 | 시스템지원팀 | 실무보고, 점검결과 보고 |
| 위원 | 팀장 | 김재호 | 클라우드사업팀 | 서비스보안 관리 |
(끝)