01. 정보보안조직관리지침

inswave-wiki
Wikiadmin (토론 | 기여)님의 2025년 10월 1일 (수) 09:42 판 (새 문서: = 제1장 총칙 = == 제1조(목적) == 이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다. == 제2조(적용범위) == 이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다. == 제3조(용어정의) == # “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌...)
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 이동 검색으로 이동

제1장 총칙

제1조(목적)

이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다.

제2조(적용범위)

이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무를 수행하는 정보보호 조직에 적용된다.

제3조(용어정의)

  1. “외부인”이라 함은 「직제규정」에서 정한 “직원“이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
  2. “외부위탁”이라 함은 특정 업무를 외부 업체에 위탁하여 처리하는 방식을 말한다.

제2장 정보보호 조직

제4조(정보보호 최고관리자 지정)

  1. 직내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 지정하여야 한다.
  2. 정보보호 최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.

제5조(조직구성)

  1. 정보보호 최고책임자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 [별지 제1호]와 같이 정보보호 조직을 구성한다.
  2. 실무 조직은 전담 또는 겸임 조직으로 구성할 수 있으며, 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정을 하여야 한다.
  3. 정보보호 조직 구성원의 주요 직무는 [별지 제2호]의 직무기술서를 통해 책임과 역할을 구체적으로 정의한다.

제6조(정보보호위원회)

  1. 정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호 관련 각 부서의 장을 위원으로 구성한다.
  2. 간사의 역할은 정보보호담당자가 수행한다.
  3. 정보보호위원회는 다음의 역할을 수행한다.
    1. 정보보호정책 및 지침의 제·개정에 대한 심의·승인
    2. 정보보호 예산 심의·승인
    3. 정보보호 활동 계획의 심의·승인
    4. 기타 정보보호최고책임자가 필요하다고 인정하는 사항

제7조(정보보호실무협의회)

  1. 정보보호실무협의회는 정보보호위원회 심의·의결 사항에 대한 실무 검토, 세부 이행방안 수립, 원활한 정보보호 관리활동의 조정 등의 업무를 수행한다.
  2. 정보보호실무협의회는 정보보호관리자가 주관하고 정보보호담당자가 간사 역할을 수행하며, 사안에 따라 관련 부서의 정보보호담당자가 참여한다.
  3. 정보보호실무협의회는 다음의 역할을 수행한다.
    1. 정보보호정책 및 지침의 제·개정(안) 수립
    2. 정보보호 예산 수립
    3. 정보보호 활동 계획(안) 수립
    4. 기타 정보보호관리자가 필요하다고 인정하는 사항

제8조(정보보호 전담조직)

  1. 정보보호 관련 업무를 기획·시행하기 위한 세부 계획을 수립하고 각종 보안 통제 사항을 관리하는 정보보호팀을 구성한다.
    1. 자산에 대한 위협 및 위험분석, 주기적 모니터링을 통해 평상시의 정보보호 관리를 수행한다.
    2. 임직원의 정보보호 인식 및 기술 수준 제고를 위해 교육 계획을 수립·시행한다.
    3. 주요 시스템에 대한 침해사고 등 긴급 상황에 대비한 비상 계획을 수립·운영한다.
  2. 정보통신망의 침해사고 등 사이버 침해의 예방·대응·분석·복구를 위해 침해사고대응팀을 구성한다.
    1. 비상조직으로서 침해사고 발생 시 신속하고 효과적인 처리·복구를 위해 주요 정보보호관리자를 중심으로 운영한다.
    2. 즉각 대응을 위해 사전 조직 구성, 대응 절차·예방책 수립, 사고 대비 교육·훈련을 실시한다.
    3. 일반 직원이 침해사고를 인지·신고할 수 있도록 교육·훈련을 포함하고 주기적으로 훈련한다.
  3. 클라우드컴퓨팅서비스의 안정적 제공 유지를 위해 장애대응팀을 구성한다.
    1. 자연재해 등 장애 발생 시 신속하고 효과적인 처리·복구를 위해 주요 정보보호관리자를 중심으로 운영한다.
    2. 즉각 대응을 위해 사전 조직 구성, 대응 절차·예방책 수립, 사고 대비 교육·훈련을 실시한다.
    3. 일반 직원이 장애를 인지·신고할 수 있도록 교육·훈련을 실시한다.
  4. 개인정보의 안전한 관리를 수행하기 위해 개인정보보호팀을 구성한다.
    1. 최고경영자는 개인정보 처리 업무를 총괄 책임질 개인정보보호책임자(CPO)를 지정하여야 한다.
    2. 개인정보보호책임자는 개인정보 처리방침을 정하여 정보주체가 쉽게 확인할 수 있도록 홈페이지·이메일 등을 통해 공개하여야 한다.
    3. 개인정보보호책임자는 개인정보보호법 제31조의 의무를 수행하여야 한다.
  5. 정보보호 전담조직이 구성되기 전까지는 시스템지원팀, 공유솔루션팀에서 정보보호 업무를 수행한다.

[별지 제1호] 정보보호 및 개인정보보호 조직

정보보호 조직(예시)

위원회 및 책임
  • 정보보호위원회
    • 의장: 정보보호최고책임자(CISO, 전무)
    • 간사: 정보보호담당자(시스템지원팀)
  • 정보보호최고책임자(CISO): 전무
  • 정보보호관리자: 시스템지원팀장(오성훈)
조직별 역할(개요)
  • 관리적 정보보호 / 인사·교육·계약·컴플라이언스: 경영지원팀(예: 유성석)
  • 기술적 정보보호 / 서버·보안장비·단말·모바일: 시스템지원팀
  • 물리적 보안: 경영지원팀
  • 서비스운영책임자(서비스 오너): 클라우드사업팀장(오상협)
  • 정보보호 담당자: 시스템지원팀(실무)

개인정보보호 조직(예시)

위원회 및 책임
  • 개인정보보호위원회
    • 의장: 개인정보보호책임자(CPO, 전무)
    • 간사: 시스템지원팀(필요 시 정보보호관리자 겸직)
    • 정위원:
      • 관리적 개인정보보호(정책·교육·계약): 경영지원팀(예: 유성석)
      • 기술적 개인정보보호(서버·시스템 등): 시스템지원팀
      • 물리적 개인정보보호(출입·통제 등): 경영지원팀
  • 개인정보보호관리자: 시스템지원팀장(오성훈)
  • 개인정보 처리자: 개발자, 운영자, 솔루션팀 등

침해사고 대응 조직(개요)

  • 정보보호최고책임자(CISO): 전무
  • 정보보호관리자: 시스템지원팀장(오성훈)
  • 관리적·기술적·물리적 담당 및 현업 협력으로 구성(시스템지원팀, 경영지원팀, 클라우드사업팀 등)

[별지 제2호] 직무기술서

001. 정보보호최고책임자(CISO)

소속/직위/인원/작성일
  • CTO / 전무(CISO) / 1명 / 2022.11.30
직무개요
  • 일반보안(인원·시설·문서 등)과 주요정보통신 보안 전반 총괄
직무내용
  • 보안 및 정보보호 업무 전담·총괄
  • 각 부서(팀)별 보안·정보보호 업무 지도·감독
직무요건
  • 학력: 대졸 이상
  • 경력: 관리업무 5년 이상
  • 기타: 임원급 이상

002. 정보보호관리자

소속/직위/인원/작성일
  • 시스템지원팀 / 팀장 / 1명 / 2022.11.30
직무개요
  • 보안업무 전반에 대한 교육·점검·서약 집행, 부서 보안업무 지도·감독
직무내용
  • 연도별 보안업무 추진계획 수립 및 성과·실적 분석
  • 일반보안(인원·시설·문서·자재 등) 진단
  • 보안(일반·인식) 교육
  • 비밀 소유 및 인가자 현황 조사, 보안서약 집행
  • 시설보안 및 보호구역 관리
  • 보안 규정·지침·절차서 수립 및 기획·조정
  • 보안업무 지도·감독 및 개선대책 수립
직무요건
  • 학력: 대졸 이상
  • 경력: 정보보호 업무 5년 이상

003. 개인정보보호책임자(CPO)

소속/직위/인원/작성일
  • CFO / 전무(CPO) / 1명 / 2022.11.30
직무개요
  • 개인정보 보호업무 총괄
직무내용
  • 내부관리계획·처리방침 수립 및 시행
  • 처리 실태 점검·개선, 불만 해소 및 피해 구제
  • 유출 및 오·남용 방지를 위한 내부통제 구축
  • 개인정보보호 교육계획 수립·시행
  • 개인정보파일 보호 및 관리·감독
  • 개인정보파일 등록·변경의 적정성 판단 및 등록
  • 기타 법령(시행령 제32조제1항 등)에서 정하는 업무
직무요건
  • 학력: 대졸 이상
  • 경력: 개인정보보호 업무 5년 이상

004. 정보보호담당자

소속/직위/인원/작성일
  • 시스템지원팀 / 사원·대리급 / 1명 / 2023.11.30
직무개요
  • 정보보호관리자 보좌, 정보통신기반 보호 계획 수립 및 보안 시스템 운영
직무내용
  • 정보통신 보안활동 계획 수립, 신·증설 보안대책 수립
  • 정보통신실·망·전산자료 보안관리
  • 보안업무 지도·감독·교육
  • 보안시스템 운영 및 웹서버 취약점 점검
  • 보안업무 심사·분석, 지침·제도 개선
  • 정보통신망 취약성 진단 등
직무요건
  • 학력: 정보통신/정보보호 관련 학과 졸
  • 경력: 정보보호 업무 3년 이상

005. 개인정보보호관리자

소속/직위/인원/작성일
  • 시스템지원팀 / 팀장 / 1명 / 2022.11.30
직무개요
  • CPO 보좌, 개인정보 보호 계획 수립 및 시스템 운영
직무내용
  • 개인정보 처리방침 수립, 활동 계획 수립
  • 업무 지도·감독·교육, 시스템 보안관리
  • 심사·분석 관장, 지침·제도 개선
직무요건
  • 학력: 정보통신/정보보호 관련 학과 졸
  • 경력: 개인정보보호 업무 3년 이상

006. 개인정보보호담당자

소속/직위/인원/작성일
  • 시스템지원팀 / 사원·대리급 / 1명 / 2022.11.30
직무개요
  • 개인정보보호관리자 보좌, 계획 이행 및 시스템 운영
직무내용
  • 처리방침 공지·관리, 활동 계획 시행, 교육 시행
  • 시스템 보안관리, 지침·제도 개선
직무요건
  • 학력: 정보통신/정보보호 관련 학과 졸
  • 경력: 개인정보보호 업무 3년 이상

007. 서비스 오너

소속/직위/인원/작성일
  • 클라우드사업팀 / 팀장(오상협) / 1명 / 2025.09.26
직무개요
  • SignSquare 서비스 품질·가용성·보안 총괄, SLA 준수 및 장애 발생 시 대외 보고 책임
직무내용
  • 서비스 운영·품질 관리 및 SLA 준수 감독
  • 장애·사고 발생 시 CSAP 기준에 따른 보고 책임 수행
  • 클라우드 인프라·애플리케이션 보안 관리 주관
  • 운영 프로세스 개선, 감사 대응 자료 제공
  • 정보보호위원회·경영진 보고 및 개선안 제시
직무요건
  • 경력: SaaS 서비스 운영 경험
  • 지식: 보안·품질관리, CSAP 인증 요건 이해

008. 개발담당(DX솔루션팀 리드)

소속/직위/인원/작성일
  • DX솔루션팀 / 개발리드 / 1명 / 2025.09.26
직무개요
  • 소스코드 보안 총괄, 취약점 분석 및 보안코딩 적용
직무내용
  • 보안 코딩 규칙 적용, 코드 리뷰 및 취약점 개선
  • 신규 기능 개발 시 보안 아키텍처 검증
  • 변경·배포 절차 내 보안 검토
  • 정기 취약점 점검 및 보완
  • 개인정보 처리 모듈·전자서명 기능 보안 점검
직무요건
  • 경험: SW 개발(전자서명 SaaS 우대), 취약점 분석 경험

009. 운영담당(Infra/DBA, 네트워크)

소속/직위/인원/작성일
  • 클라우드사업팀 / 팀장(오상협) / 1명 / 2025.09.26
직무개요
  • 서버·DB·네트워크 보안 운영과 가용성 보장 책임
직무내용
  • 서버·DB 보안 설정 및 접근통제 관리
  • 방화벽·VPN·IDS/IPS 운영 및 로그 분석
  • 시스템 모니터링, 장애 시 신속 복구
  • 데이터 암호화·백업·DR 절차 관리
  • 정기 보안점검, 모의해킹 대응, 취약점 조치
직무요건
  • 경험: 클라우드 인프라 운영
  • 지식: DB/네트워크 보안, CSAP 보안 요건

010. 고객지원(Helpdesk)

소속/직위/인원/작성일
  • 클라우드사업팀 / CS담당 / 1명 / 2025.09.26
직무개요
  • 사용자 지원, 장애 접수·처리, 사고 대응 지원, SLA 모니터링
직무내용
  • 장애·보안 문의 접수·분류·보고
  • 고객 요청 처리 및 보안 안내 제공
  • SLA 준수 모니터링·보고
  • 사고 초동 대응 및 관리자 보고 지원
  • 재발 방지 및 고객 피드백 반영 지원
직무요건
  • 경험: 고객지원
  • 역량: 보안 인식, 커뮤니케이션, SLA 이해

[별지 제3호] 회의록 서식

정보보호위원회 회의록(서식)

회의명 20{{{ }}}년도 제 {{{ }}}차 정보보호위원회 회의
회의일시 20{{{ }}}.{{{ }}}.{{{ }}} ({{{ }}}) 00:00 ~ 00:00
참석자 (의장·간사·위원 명단)
심의안건 (예: 정보보호정책서 제·개정(안))
심의내용 (법·지침 개정사항 반영, 로그보존 기간 변경 등 주요 내용 기재)
심의결과 (예: 원안 가결/수정 가결/보류)
서명
(의장) ________ (간사) ________ (위원) ________

정보보호정책 검토회의록(서식)

회의명 정보보호정책 검토회의
회의일시 20{{{ }}}.{{{ }}}.{{{ }}} ({{{ }}}) 00:00 ~ 00:00
참석자 (참석자 명단)
검토안건 (예: 법 개정에 따른 정책서·시행문서 검토)
검토내용 (개정 법령 요지, 반영 필요 사항 등)
검토결과 (예: 정책서 개정 필요, 인적보안지침 개정 필요)
서명
(주관) ________ (기록) ________
원본 주소 "https://wiki.inswave.kr/index.php?title=01._정보보안조직관리지침&oldid=536"