01. 정보보안조직관리지침: 두 판 사이의 차이
(새 문서: = 제1장 총칙 = == 제1조(목적) == 이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다. == 제2조(적용범위) == 이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다. == 제3조(용어정의) == # “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌...) |
편집 요약 없음 |
||
| 1번째 줄: | 1번째 줄: | ||
= 제1장 총칙 = | == 제1장 총칙 == | ||
=== 제1조(목적) === | |||
== 제1조(목적) == | |||
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다. | 이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다. | ||
== 제2조(적용범위) == | === 제2조(적용범위) === | ||
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다. | 이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다. | ||
== 제3조(용어정의) == | === 제3조(용어정의) === | ||
“외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다. | |||
“외부위탁”이라 함은 특정 업무를 외부 업체에 위탁하여 처리하는 방식을 말한다. | |||
== 제2장 정보보호 조직 == | |||
=== 제4조(정보보호 최고관리자 지정) === | |||
직내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 지정하여야 한다. | |||
정보보호 최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다. | |||
=== 제5조(조직구성) === | |||
정보보호 최고책임자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 정보보호 조직을 구성한다. | |||
실무 조직은 전담 또는 겸임 조직으로 구성할 수 있으며, 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정을 하여야 한다. | |||
정보보호 조직 구성원의 주요 직무는 직무기술서를 통해 책임과 역할을 구체적으로 정의한다. | |||
== | === 제6조(정보보호위원회) === | ||
정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호 관련 각 부서의 장을 위원으로 구성한다. | |||
간사의 역할은 정보보호담당자가 수행한다. | |||
정보보호위원회는 다음의 역할을 수행한다. | |||
정보보호정책 및 지침의 제·개정 심의·승인 | |||
정보보호 예산 심의·승인 | |||
정보보호 활동 계획 심의·승인 | |||
기타 정보보호최고책임자가 필요하다고 인정하는 사항 | |||
== | === 제7조(정보보호실무협의회) === | ||
정보보호위원회 심의·의결 사항의 실무 검토, 세부 이행방안 수립, 관리활동 조정 등을 수행한다. | |||
정보보호관리자가 주관하고 정보보호담당자가 간사 역할을 수행하며, 사안에 따라 관련 부서 담당자가 참여한다. | |||
주요 역할 | |||
정책·지침 제·개정(안) 수립 | |||
정보보호 예산(안) 수립 | |||
정보보호 활동 계획(안) 수립 | |||
기타 정보보호관리자가 필요하다고 인정하는 사항 | |||
== 제8조(정보보호 전담조직) == | === 제8조(정보보호 전담조직) === | ||
'''정보보호팀'''을 구성하여 세부 계획 수립과 보안 통제 관리, 교육, 비상계획 수립·운영 등을 수행한다. | |||
'''침해사고대응팀'''을 구성하여 예방·대응·분석·복구를 수행한다. | |||
'''장애대응팀'''을 구성하여 서비스 중단 시 신속한 처리·복구를 수행한다. | |||
'''개인정보보호팀'''을 구성하여 개인정보보호 책임과 법령 준수 업무를 수행한다. | |||
전담조직 구성 전에는 관련 팀(예: 시스템지원팀 등)이 해당 업무를 수행할 수 있다. | |||
== 정보보호 조직(예시) == | == 별지 제1호: 정보보호 및 개인정보보호 조직(예시) == | ||
; 위원회 및 책임 | ; 위원회 및 책임 | ||
** 의장: 정보보호최고책임자(CISO | '''정보보호위원회''' | ||
** 간사: 정보보호담당자 | ** 의장: 정보보호최고책임자(CISO) | ||
** 간사: 정보보호담당자 | |||
'''정보보호최고책임자(CISO)''' | |||
'''정보보호관리자''' | |||
; 조직별 역할(개요) | ; 조직별 역할(개요) | ||
관리적 정보보호: 경영지원 관련 부서 | |||
기술적 정보보호: 시스템/보안 운영 부서 | |||
** 의장: 개인정보보호책임자(CPO | |||
** 간사: | 물리적 보안: 총무/시설 관련 부서 | ||
서비스 운영책임자(서비스 오너): 서비스 운영 부서 | |||
정보보호 담당자: 실무 수행 부서(예: 시스템지원) | |||
; 개인정보보호 조직(예시) | |||
'''개인정보보호위원회''' | |||
** 의장: 개인정보보호책임자(CPO) | |||
** 간사: 개인정보보호 담당 | |||
개인정보보호관리자 | |||
개인정보 처리자(개발/운영/지원 등) | |||
; 침해사고 대응 조직(개요) | |||
정보보호최고책임자(CISO) | |||
정보보호관리자 | |||
관련 부서 담당자(시스템/경영지원/서비스 등) | |||
== 001. 정보보호최고책임자(CISO) == | == 별지 제2호: 직무기술서(샘플) == | ||
=== 001. 정보보호최고책임자(CISO) === | |||
; 직무개요 | ; 직무개요 | ||
: 정보보호 전반 총괄 | |||
; 직무내용 | ; 직무내용 | ||
보안 및 정보보호 업무 전담·총괄 | |||
부서별 보안·정보보호 업무 지도·감독 | |||
; 직무요건 | ; 직무요건 | ||
== 002. 정보보호관리자 == | 경력: 관리업무 또는 정보보호 관련 경험 | ||
=== 002. 정보보호관리자 === | |||
; 직무개요 | ; 직무개요 | ||
: 정보보호 관리체계 운영 총괄 | |||
; 직무내용 | ; 직무내용 | ||
연간 추진계획 수립·성과 분석 | |||
일반보안 진단, 교육 기획·집행 | |||
규정·지침·절차 수립 및 개선 | |||
; 직무요건 | ; 직무요건 | ||
== 003. 개인정보보호책임자(CPO) == | 경력: 정보보호 업무 유경험 | ||
=== 003. 개인정보보호책임자(CPO) === | |||
; 직무개요 | ; 직무개요 | ||
: 개인정보 보호업무 총괄 | |||
; 직무내용 | ; 직무내용 | ||
내부관리계획/처리방침 수립·시행 | |||
처리 실태 점검·개선, 피해구제 | |||
교육계획 수립·시행 | |||
; 직무요건 | ; 직무요건 | ||
== 004. 정보보호담당자 == | 경력: 개인정보보호 업무 유경험 | ||
=== 004. 정보보호담당자 === | |||
; 직무개요 | ; 직무개요 | ||
: 보안계획 수립 및 보안 시스템 운영 | |||
; 직무내용 | ; 직무내용 | ||
보안활동 계획, 취약점 진단·개선 | |||
접근통제/취약점 점검, 로그 분석 | |||
; 직무요건 | ; 직무요건 | ||
== 005. 개인정보보호관리자 == | 경력: 정보보호 실무 유경험 | ||
=== 005. 개인정보보호관리자/담당자 === | |||
; 직무개요 | ; 직무개요 | ||
: CPO 보좌, 개인정보 보호 계획 수립·시행 | |||
; 직무내용 | ; 직무내용 | ||
== 006. | 처리방침 공지·관리, 교육 시행 | ||
시스템 보안관리 및 제도 개선 | |||
=== 006. 서비스 오너(예: SaaS 서비스) === | |||
; 직무개요 | ; 직무개요 | ||
: 서비스 품질·가용성·보안 총괄, 장애/사고 보고 책임 | |||
; 직무내용 | ; 직무내용 | ||
SLA 준수 관리, 장애·사고 보고 | |||
운영 프로세스 개선, 감사 대응 | |||
== | === 007. 운영담당(Infra/DB/Network) === | ||
; 직무개요 | ; 직무개요 | ||
: 인프라 보안 운영 및 가용성 보장 | |||
; 직무내용 | ; 직무내용 | ||
서버·DB 보안 설정, 접근통제 | |||
방화벽·VPN·IDS/IPS 운영, 로그 분석 | |||
백업/DR 절차 관리, 정기 점검 | |||
== 정보보호위원회 회의록(서식) == | == 별지 제3호: 회의록 서식 == | ||
=== 정보보호위원회 회의록(서식) === | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! 회의명 || | ! 회의명 || 정보보호위원회 회의 | ||
|- | |- | ||
! 회의일시 || | ! 회의일시 || 20XX-XX-XX (X) 00:00 ~ 00:00 | ||
|- | |- | ||
! 참석자 || (의장·간사·위원 명단) | ! 참석자 || (의장·간사·위원 명단) | ||
|- | |- | ||
! 심의안건 || (예: | ! 심의안건 || (예: 정보보호정책·지침 제/개정) | ||
|- | |- | ||
! 심의내용 || ( | ! 심의내용 || (주요 논의 요지) | ||
|- | |- | ||
! 심의결과 || ( | ! 심의결과 || (원안 가결/수정 가결/보류) | ||
|} | |} | ||
; 서명 | ; 서명 | ||
: (의장) ________ | : (의장) ________ (간사) ________ (위원) ________ | ||
== 정보보호정책 검토회의록(서식) == | === 정보보호정책 검토회의록(서식) === | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! 회의명 || 정보보호정책 검토회의 | ! 회의명 || 정보보호정책 검토회의 | ||
|- | |- | ||
! 회의일시 || | ! 회의일시 || 20XX-XX-XX (X) 00:00 ~ 00:00 | ||
|- | |- | ||
! 참석자 || (참석자 명단) | ! 참석자 || (참석자 명단) | ||
|- | |- | ||
! 검토안건 || (예: 법 | ! 검토안건 || (예: 법 개정 반영 검토) | ||
|- | |- | ||
! 검토내용 || (개정 | ! 검토내용 || (개정 필요 사항 요약) | ||
|- | |- | ||
! 검토결과 || ( | ! 검토결과 || (정책서 개정 필요/유지 등) | ||
|} | |} | ||
; 서명 | ; 서명 | ||
: (주관) ________ | : (주관) ________ (기록) ________ | ||
== 제3장 인적 보안 == | |||
=== 제6조(내부인력 보안) === | |||
클라우드 업무 종사 인력의 고용계약 시 비밀유지서약서를 부속 문서로 포함한다. | |||
신규/전입 인력은 승인 후 서약 및 접근 권한을 부여한다. | |||
중요 정보자산 취급 직무와 주요 직무자를 정의하고 최소 인원으로 지정한다. | |||
직무 분리 및 역할·책임을 명확히 기술한다. 불가 시 보완통제를 수립한다. | |||
=== 제7조(비밀유지서약서) === | |||
내부·외부 인력은 정보보호/개인정보보호 내용이 포함된 서약서를 제출한다. | |||
서약서는 연 1회 갱신하며, 인사변동 시 추가로 제출한다. | |||
외부자 권한 부여·변경·해제 시 서약서를 징구한다. | |||
=== 제8조(정보보호교육) === | |||
임직원과 외주 인력에 대한 연 1회 이상 정기 교육을 실시한다. | |||
중대한 변경·사고·법률 변경 시 추가 교육을 실시할 수 있다. | |||
교육 결과를 평가·개선한다. | |||
== 제4장 정보자산 관리 == | |||
=== 제9조(자산 식별 및 분류) === | |||
분류기준을 수립하고 모든 자산을 식별·목록화한다. | |||
목록은 정기 조사로 최신 상태를 유지한다. | |||
=== 제10조(자산 변경 관리) === | |||
변경 절차를 수립·이행하고 영향분석을 수행한다. | |||
무인가 변경을 탐지하고 변경 이력을 유지한다. | |||
=== 제11조(위험관리) === | |||
취약점 점검 절차·기준을 수립하여 연 1회 이상 점검한다. | |||
대응방안 및 조치결과를 문서화·보고한다. | |||
== 제5장 서비스 공급망 관리 == | |||
=== 제12조(공급망 관리 정책) === | |||
접근·연속성 저해 위험을 최소화하기 위한 보안 요구사항을 관리정책에 반영한다. | |||
공급망 계약 및 SLA에 보안 요구사항과 역할·책임을 명확히 한다. | |||
=== 제13조(공급망 변경 관리) === | |||
정책·절차·통제의 수정 필요 시 공급망 위험을 검토해 안전성을 확보하고 계약 변경을 추진한다. | |||
== 제6장 침해사고 관리 == | |||
=== 제14조(침해사고 대응 절차·체계) === | |||
정의/범위, 긴급연락, 보고·대응, 복구조직 등 절차를 수립한다. | |||
관제 시스템·조직을 운영하고 유형·중요도별 보고·협력체계를 구축한다. | |||
담당자 교육 및 주기적 훈련을 실시한다. | |||
=== 제15조(침해사고 대응) === | |||
법적 통지·신고 의무를 준수한다. | |||
이용자에게 발생 내용·원인·조치 현황을 신속히 알린다. | |||
절차에 따라 신속히 처리·복구한다. | |||
=== 제16조(사후관리) === | |||
원인 분석 및 결과 공유, 재발방지 대책 수립, 절차 개선을 수행한다. | |||
== 제7장 서비스연속성 관리 == | |||
=== 제17조(장애 대응) === | |||
백업·복구를 포함한 장애 대응 절차를 마련한다. | |||
법적 통지·신고 의무 및 이용자 통지를 준수한다. | |||
SLA 내 처리·복구하고 재발방지 대책을 수립한다. | |||
=== 제18조(서비스 가용성) === | |||
성능/용량 요구 정의와 모니터링 절차를 수립한다. | |||
설비 이중화 및 백업 체계를 마련한다. | |||
== 제8장 준거성 관리 == | |||
=== 제19조(법 및 정책 준수) === | |||
정보보호 관련 법적 요구사항을 식별·준수한다. | |||
=== 제20조(정보시스템 감사) === | |||
독립적 보안감사 계획을 수립·시행하고 개선한다. | |||
감사 증적(로그)을 기록·보호한다. | |||
== 제9장 가상화 보안 == | |||
=== 제21조(가상화 인프라) === | |||
가상자원 생성·변경·회수 관리방안을 수립한다. | |||
공개 서버 제공 시 기술적 보호대책을 마련한다. | |||
=== 제22조(가상환경) === | |||
악성코드 탐지·차단, 이상징후 통지·격리 조치를 지원한다. | |||
인터페이스·API 취약점 주기 분석 및 보호 방안을 마련한다. | |||
데이터 이전 시 암호화 등 안전 조치를 제공한다. | |||
신뢰 가능한 소프트웨어로 구성된 가상환경을 제공한다. | |||
== 제10장 접근통제 == | |||
=== 제23조(접근통제 정책) === | |||
영역/범위, 규칙/방법을 포함한 접근통제 정책을 수립한다. | |||
접근기록을 책임 추적 가능 형태로 기록·유지한다. | |||
=== 제24조(접근 권한 관리) === | |||
등록·해지 절차를 수립하고 최소권한을 부여한다. | |||
특수계정·권한을 식별·별도 통제한다. | |||
권한 부여/미사용/변경의 적정성을 정기 점검한다. | |||
=== 제25조(사용자 식별 및 인증) === | |||
고유 식별자 부여 및 추측 가능한 식별자 제한 | |||
안전한 인증 절차(로그인 제한, 경고 등) | |||
다중요소 인증 제공 방안 마련 | |||
패스워드 정책 수립·이행(관리자 별도 보호대책) | |||
외부 이용자 계정/패스워드 관리절차 마련·공지 | |||
== 제11장 네트워크 보안 == | |||
=== 제26조(네트워크 보안) === | |||
내·외부 네트워크 보안정책·절차 수립 | |||
DDoS·비인가 접속 모니터링·통제 | |||
방화벽/IPS/IDS/VPN 운영 | |||
중요정보 전송 구간 암호화 | |||
관리 영역과 이용자 영역의 물리/논리적 분리 | |||
== 제12장 데이터 보호 및 암호화 == | |||
=== 제27조(데이터 보호) === | |||
데이터 분류·관리 및 소유권 명확화 | |||
무결성 확인, 접근제어·위·변조 방지 제공 | |||
데이터 위치 등 추적·정보 제공 | |||
종료/이전 시 안전한 폐기(복구 불가) | |||
=== 제28조(암호화) === | |||
암호화 대상·강도·키관리 정책 수립(개인정보 법적 요건 반영) | |||
키 생성·이용·보관·배포·파기 절차 수립 및 안전 보관 | |||
== 제13장 시스템 개발 보안 == | |||
=== 제29조(시스템 분석 및 설계) === | |||
법적 요구·최신 취약점·CIA 고려 보안요구 정의·적용 | |||
인증·무결성·기밀성 요구 고려 | |||
감사증적 확보 설계, 권한 부여 기준 반영 | |||
표준시각 동기화 및 시각 동기화 기능 제공 | |||
=== 제30조(구현 및 시험) === | |||
안전한 코딩 및 보안 요구 시험 | |||
개발/시험과 운영 분리(불가 시 보완통제) | |||
소스 변경관리·접근통제, 운영환경 보관 지양 | |||
=== 제31조(외주 개발 보안) === | |||
계약서에 보안요구사항 명시·이행 관리 | |||
== 제14장 공공기관 보안요구사항 == | |||
=== 제32조(관리적 보호조치) === | |||
보안 SLA 체결 및 정보 제공 | |||
CC인증 필수 제품은 인증 제품 사용 | |||
공공기관 수준의 보안 관리 | |||
사고/장애 시 공공기관 절차에 따른 협업·대응 | |||
=== 제33조(물리적 보호조치) === | |||
물리 위치 국내 한정, 공공 전용 자원/망 분리 | |||
중요장비 이중화 및 백업체계 구축 | |||
=== 제34조(기술적 보호조치) === | |||
중요자료 암호화 수단 제공 시 검증필 암호모듈 적용 | |||
== 제15장 개인정보의 처리 및 안전한 관리 == | |||
=== 제35조(개인정보 수집·이용) === | |||
정보주체 동의 획득 | |||
이용 고지 | |||
처리방침 수립·공개 | |||
=== 제36조(개인정보 처리제한) === | |||
법령 예외 외 민감정보·고유식별정보·주민등록번호 처리 금지 | |||
=== 제37조(개인정보의 안전한 관리) === | |||
목적 달성/요청 시 지체 없는 파기 | |||
법령 보존 시 분리 저장 | |||
개인정보보호책임자 지정 | |||
== 부칙 == | |||
=== 제1조(시행일) === | |||
이 지침은 정보보호최고책임자의 승인일부터 시행한다. | |||
=== 제2조(정책의 이행) === | |||
회사의 정보보호 업무는 본 지침에 근거하여 수행하며, 명시되지 않은 사항은 관련 규정 및 법령을 따른다. | |||
회사는 정책 제·개정, 위험관리, 내부감사 등의 활동에 대해 적정성을 검토·승인하고 필요한 예산과 인력을 확보한다. | |||
=== 제3조(정책의 검토) === | |||
본 지침의 적절성을 연 1회 이상 정기적으로 검토하고 필요 시 개정하며, 제·개정·폐기 이력을 관리한다. | |||
=== 제4조(예외 적용) === | |||
다음 각 호의 경우 정보보호최고책임자의 승인을 받아 예외 적용할 수 있다. | |||
기술 환경의 변화로 적용이 불가능한 경우 | |||
기술적·관리적 필요로 긴급히 적용을 보류해야 하는 경우 | |||
재해 등 불가항력적인 상황인 경우 | |||
2025년 10월 1일 (수) 10:31 판
제1장 총칙
제1조(목적)
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다.
제2조(적용범위)
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다.
제3조(용어정의)
“외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다. “외부위탁”이라 함은 특정 업무를 외부 업체에 위탁하여 처리하는 방식을 말한다.
제2장 정보보호 조직
제4조(정보보호 최고관리자 지정)
직내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 지정하여야 한다. 정보보호 최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.
제5조(조직구성)
정보보호 최고책임자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 정보보호 조직을 구성한다. 실무 조직은 전담 또는 겸임 조직으로 구성할 수 있으며, 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정을 하여야 한다. 정보보호 조직 구성원의 주요 직무는 직무기술서를 통해 책임과 역할을 구체적으로 정의한다.
제6조(정보보호위원회)
정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호 관련 각 부서의 장을 위원으로 구성한다. 간사의 역할은 정보보호담당자가 수행한다. 정보보호위원회는 다음의 역할을 수행한다. 정보보호정책 및 지침의 제·개정 심의·승인 정보보호 예산 심의·승인 정보보호 활동 계획 심의·승인 기타 정보보호최고책임자가 필요하다고 인정하는 사항
제7조(정보보호실무협의회)
정보보호위원회 심의·의결 사항의 실무 검토, 세부 이행방안 수립, 관리활동 조정 등을 수행한다. 정보보호관리자가 주관하고 정보보호담당자가 간사 역할을 수행하며, 사안에 따라 관련 부서 담당자가 참여한다. 주요 역할 정책·지침 제·개정(안) 수립 정보보호 예산(안) 수립 정보보호 활동 계획(안) 수립 기타 정보보호관리자가 필요하다고 인정하는 사항
제8조(정보보호 전담조직)
정보보호팀을 구성하여 세부 계획 수립과 보안 통제 관리, 교육, 비상계획 수립·운영 등을 수행한다. 침해사고대응팀을 구성하여 예방·대응·분석·복구를 수행한다. 장애대응팀을 구성하여 서비스 중단 시 신속한 처리·복구를 수행한다. 개인정보보호팀을 구성하여 개인정보보호 책임과 법령 준수 업무를 수행한다. 전담조직 구성 전에는 관련 팀(예: 시스템지원팀 등)이 해당 업무를 수행할 수 있다.
별지 제1호: 정보보호 및 개인정보보호 조직(예시)
- 위원회 및 책임
정보보호위원회
- 의장: 정보보호최고책임자(CISO)
- 간사: 정보보호담당자
정보보호최고책임자(CISO)
정보보호관리자
- 조직별 역할(개요)
관리적 정보보호: 경영지원 관련 부서
기술적 정보보호: 시스템/보안 운영 부서
물리적 보안: 총무/시설 관련 부서
서비스 운영책임자(서비스 오너): 서비스 운영 부서
정보보호 담당자: 실무 수행 부서(예: 시스템지원)
- 개인정보보호 조직(예시)
개인정보보호위원회
- 의장: 개인정보보호책임자(CPO)
- 간사: 개인정보보호 담당
개인정보보호관리자
개인정보 처리자(개발/운영/지원 등)
- 침해사고 대응 조직(개요)
정보보호최고책임자(CISO)
정보보호관리자
관련 부서 담당자(시스템/경영지원/서비스 등)
별지 제2호: 직무기술서(샘플)
001. 정보보호최고책임자(CISO)
- 직무개요
- 정보보호 전반 총괄
- 직무내용
보안 및 정보보호 업무 전담·총괄
부서별 보안·정보보호 업무 지도·감독
- 직무요건
경력: 관리업무 또는 정보보호 관련 경험
002. 정보보호관리자
- 직무개요
- 정보보호 관리체계 운영 총괄
- 직무내용
연간 추진계획 수립·성과 분석
일반보안 진단, 교육 기획·집행
규정·지침·절차 수립 및 개선
- 직무요건
경력: 정보보호 업무 유경험
003. 개인정보보호책임자(CPO)
- 직무개요
- 개인정보 보호업무 총괄
- 직무내용
내부관리계획/처리방침 수립·시행
처리 실태 점검·개선, 피해구제
교육계획 수립·시행
- 직무요건
경력: 개인정보보호 업무 유경험
004. 정보보호담당자
- 직무개요
- 보안계획 수립 및 보안 시스템 운영
- 직무내용
보안활동 계획, 취약점 진단·개선
접근통제/취약점 점검, 로그 분석
- 직무요건
경력: 정보보호 실무 유경험
005. 개인정보보호관리자/담당자
- 직무개요
- CPO 보좌, 개인정보 보호 계획 수립·시행
- 직무내용
처리방침 공지·관리, 교육 시행
시스템 보안관리 및 제도 개선
006. 서비스 오너(예: SaaS 서비스)
- 직무개요
- 서비스 품질·가용성·보안 총괄, 장애/사고 보고 책임
- 직무내용
SLA 준수 관리, 장애·사고 보고
운영 프로세스 개선, 감사 대응
007. 운영담당(Infra/DB/Network)
- 직무개요
- 인프라 보안 운영 및 가용성 보장
- 직무내용
서버·DB 보안 설정, 접근통제
방화벽·VPN·IDS/IPS 운영, 로그 분석
백업/DR 절차 관리, 정기 점검
별지 제3호: 회의록 서식
정보보호위원회 회의록(서식)
| 회의명 | 정보보호위원회 회의 |
|---|---|
| 회의일시 | 20XX-XX-XX (X) 00:00 ~ 00:00 |
| 참석자 | (의장·간사·위원 명단) |
| 심의안건 | (예: 정보보호정책·지침 제/개정) |
| 심의내용 | (주요 논의 요지) |
| 심의결과 | (원안 가결/수정 가결/보류) |
- 서명
- (의장) ________ (간사) ________ (위원) ________
정보보호정책 검토회의록(서식)
| 회의명 | 정보보호정책 검토회의 |
|---|---|
| 회의일시 | 20XX-XX-XX (X) 00:00 ~ 00:00 |
| 참석자 | (참석자 명단) |
| 검토안건 | (예: 법 개정 반영 검토) |
| 검토내용 | (개정 필요 사항 요약) |
| 검토결과 | (정책서 개정 필요/유지 등) |
- 서명
- (주관) ________ (기록) ________
제3장 인적 보안
제6조(내부인력 보안)
클라우드 업무 종사 인력의 고용계약 시 비밀유지서약서를 부속 문서로 포함한다. 신규/전입 인력은 승인 후 서약 및 접근 권한을 부여한다. 중요 정보자산 취급 직무와 주요 직무자를 정의하고 최소 인원으로 지정한다. 직무 분리 및 역할·책임을 명확히 기술한다. 불가 시 보완통제를 수립한다.
제7조(비밀유지서약서)
내부·외부 인력은 정보보호/개인정보보호 내용이 포함된 서약서를 제출한다. 서약서는 연 1회 갱신하며, 인사변동 시 추가로 제출한다. 외부자 권한 부여·변경·해제 시 서약서를 징구한다.
제8조(정보보호교육)
임직원과 외주 인력에 대한 연 1회 이상 정기 교육을 실시한다. 중대한 변경·사고·법률 변경 시 추가 교육을 실시할 수 있다. 교육 결과를 평가·개선한다.
제4장 정보자산 관리
제9조(자산 식별 및 분류)
분류기준을 수립하고 모든 자산을 식별·목록화한다. 목록은 정기 조사로 최신 상태를 유지한다.
제10조(자산 변경 관리)
변경 절차를 수립·이행하고 영향분석을 수행한다. 무인가 변경을 탐지하고 변경 이력을 유지한다.
제11조(위험관리)
취약점 점검 절차·기준을 수립하여 연 1회 이상 점검한다. 대응방안 및 조치결과를 문서화·보고한다.
제5장 서비스 공급망 관리
제12조(공급망 관리 정책)
접근·연속성 저해 위험을 최소화하기 위한 보안 요구사항을 관리정책에 반영한다. 공급망 계약 및 SLA에 보안 요구사항과 역할·책임을 명확히 한다.
제13조(공급망 변경 관리)
정책·절차·통제의 수정 필요 시 공급망 위험을 검토해 안전성을 확보하고 계약 변경을 추진한다.
제6장 침해사고 관리
제14조(침해사고 대응 절차·체계)
정의/범위, 긴급연락, 보고·대응, 복구조직 등 절차를 수립한다. 관제 시스템·조직을 운영하고 유형·중요도별 보고·협력체계를 구축한다. 담당자 교육 및 주기적 훈련을 실시한다.
제15조(침해사고 대응)
법적 통지·신고 의무를 준수한다. 이용자에게 발생 내용·원인·조치 현황을 신속히 알린다. 절차에 따라 신속히 처리·복구한다.
제16조(사후관리)
원인 분석 및 결과 공유, 재발방지 대책 수립, 절차 개선을 수행한다.
제7장 서비스연속성 관리
제17조(장애 대응)
백업·복구를 포함한 장애 대응 절차를 마련한다. 법적 통지·신고 의무 및 이용자 통지를 준수한다. SLA 내 처리·복구하고 재발방지 대책을 수립한다.
제18조(서비스 가용성)
성능/용량 요구 정의와 모니터링 절차를 수립한다. 설비 이중화 및 백업 체계를 마련한다.
제8장 준거성 관리
제19조(법 및 정책 준수)
정보보호 관련 법적 요구사항을 식별·준수한다.
제20조(정보시스템 감사)
독립적 보안감사 계획을 수립·시행하고 개선한다. 감사 증적(로그)을 기록·보호한다.
제9장 가상화 보안
제21조(가상화 인프라)
가상자원 생성·변경·회수 관리방안을 수립한다. 공개 서버 제공 시 기술적 보호대책을 마련한다.
제22조(가상환경)
악성코드 탐지·차단, 이상징후 통지·격리 조치를 지원한다. 인터페이스·API 취약점 주기 분석 및 보호 방안을 마련한다. 데이터 이전 시 암호화 등 안전 조치를 제공한다. 신뢰 가능한 소프트웨어로 구성된 가상환경을 제공한다.
제10장 접근통제
제23조(접근통제 정책)
영역/범위, 규칙/방법을 포함한 접근통제 정책을 수립한다. 접근기록을 책임 추적 가능 형태로 기록·유지한다.
제24조(접근 권한 관리)
등록·해지 절차를 수립하고 최소권한을 부여한다. 특수계정·권한을 식별·별도 통제한다. 권한 부여/미사용/변경의 적정성을 정기 점검한다.
제25조(사용자 식별 및 인증)
고유 식별자 부여 및 추측 가능한 식별자 제한 안전한 인증 절차(로그인 제한, 경고 등) 다중요소 인증 제공 방안 마련 패스워드 정책 수립·이행(관리자 별도 보호대책) 외부 이용자 계정/패스워드 관리절차 마련·공지
제11장 네트워크 보안
제26조(네트워크 보안)
내·외부 네트워크 보안정책·절차 수립 DDoS·비인가 접속 모니터링·통제 방화벽/IPS/IDS/VPN 운영 중요정보 전송 구간 암호화 관리 영역과 이용자 영역의 물리/논리적 분리
제12장 데이터 보호 및 암호화
제27조(데이터 보호)
데이터 분류·관리 및 소유권 명확화 무결성 확인, 접근제어·위·변조 방지 제공 데이터 위치 등 추적·정보 제공 종료/이전 시 안전한 폐기(복구 불가)
제28조(암호화)
암호화 대상·강도·키관리 정책 수립(개인정보 법적 요건 반영) 키 생성·이용·보관·배포·파기 절차 수립 및 안전 보관
제13장 시스템 개발 보안
제29조(시스템 분석 및 설계)
법적 요구·최신 취약점·CIA 고려 보안요구 정의·적용 인증·무결성·기밀성 요구 고려 감사증적 확보 설계, 권한 부여 기준 반영 표준시각 동기화 및 시각 동기화 기능 제공
제30조(구현 및 시험)
안전한 코딩 및 보안 요구 시험 개발/시험과 운영 분리(불가 시 보완통제) 소스 변경관리·접근통제, 운영환경 보관 지양
제31조(외주 개발 보안)
계약서에 보안요구사항 명시·이행 관리
제14장 공공기관 보안요구사항
제32조(관리적 보호조치)
보안 SLA 체결 및 정보 제공 CC인증 필수 제품은 인증 제품 사용 공공기관 수준의 보안 관리 사고/장애 시 공공기관 절차에 따른 협업·대응
제33조(물리적 보호조치)
물리 위치 국내 한정, 공공 전용 자원/망 분리 중요장비 이중화 및 백업체계 구축
제34조(기술적 보호조치)
중요자료 암호화 수단 제공 시 검증필 암호모듈 적용
제15장 개인정보의 처리 및 안전한 관리
제35조(개인정보 수집·이용)
정보주체 동의 획득 이용 고지 처리방침 수립·공개
제36조(개인정보 처리제한)
법령 예외 외 민감정보·고유식별정보·주민등록번호 처리 금지
제37조(개인정보의 안전한 관리)
목적 달성/요청 시 지체 없는 파기 법령 보존 시 분리 저장 개인정보보호책임자 지정
부칙
제1조(시행일)
이 지침은 정보보호최고책임자의 승인일부터 시행한다.
제2조(정책의 이행)
회사의 정보보호 업무는 본 지침에 근거하여 수행하며, 명시되지 않은 사항은 관련 규정 및 법령을 따른다. 회사는 정책 제·개정, 위험관리, 내부감사 등의 활동에 대해 적정성을 검토·승인하고 필요한 예산과 인력을 확보한다.
제3조(정책의 검토)
본 지침의 적절성을 연 1회 이상 정기적으로 검토하고 필요 시 개정하며, 제·개정·폐기 이력을 관리한다.
제4조(예외 적용)
다음 각 호의 경우 정보보호최고책임자의 승인을 받아 예외 적용할 수 있다.
기술 환경의 변화로 적용이 불가능한 경우 기술적·관리적 필요로 긴급히 적용을 보류해야 하는 경우 재해 등 불가항력적인 상황인 경우