00. 정보보호 정책서

inswave-wiki
둘러보기로 이동 검색으로 이동

제1장 총칙

제1조 (목적)

정보보호 정책서는 (주)인스웨이브 정보보호 정책을 수립하고 관리적, 물리적, 기술적인 정보보호 조치를 정의하기 위하여 작성되었다.

제2조 (용어의 정의)

이 정책서에서 사용하는 용어의 뜻은 다음과 같다.

1. "클라우드컴퓨팅"(Cloud Computing)이란 집적·공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원 (이하 "정보통신자원"이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다.

2. "클라우드컴퓨팅기술"이란 가상화 기술, 분산처리 기술 등 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신기술을 말한다.

3. "클라우드컴퓨팅서비스"란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스를 말한다.

제3조 (적용범위)

이 정책서는 클라우드컴퓨팅서비스와 관련된 정보처리시스템, 전자적 파일과 인쇄물, 서면 등 모든 형태의 정보자산 및 정보자산을 관리 운영하는데 적용된다.

제2장 정보보호 정책 및 조직

제4조 (정보보호 정책)

① 클라우드 정보보호정책을 수립하고, 정책 시행을 위한 관련 지침, 절차, 메뉴얼 등을 문서화하여야 한다.

② 클라우드 정보보호정책은 정보보호 최고책임자로부터 제 ∙ 개정 시 승인을 받아야 한다.

③ 클라우드 정보보호정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 전달하여야 한다.

④ 클라우드 정보보호정책 및 정책시행 문서에 대한 타당성 검토를 최소 연 1회 이상 수행하여야 한다. 또한, 관련 법규 변경 및 내·외부 보안사고 발생 등의 중대한 사유가 발생한 경우에는 추가로 검토하고 변경하여야 한다.

⑤ 정보보호 정책 및 정책 시행문서의 이력관리 절차를 수립하고 시행하며, 최신본으로 유지하여야 한다.

제5조 (정보보호 조직)

① 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 인사발령 등의 공식적인 지정절차를 거쳐 지정하여야 한다.

② 최고경영자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.

③ 실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.

④ 정보보호 실무조직은 정보보호 관리자, 정보보호 담당자, 개인정보보호 책임자(CPO), 개인정보보호 관리자 및 개인정보보호 담당자로 구성할 수 있다.

⑤ 정보보호 조직 구성원의 주요 직무에 대하여 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.

⑥ 회사가 제공하는 클라우드컴퓨팅서비스를 이용하는 이용자의 정보보호 관련 책임 및 역할은 이용자와의 계약서 또는 서비스 수준 협약(SLA)에 해당 내용을 반영하여야 한다.

제3장 인적 보안

제6조 (내부인력 보안)

① 클라우드컴퓨팅서비스 업무에 종사하는 인력의 고용계약 시 정보보호 관련 법률 및 회사의 정보보호 정책을 준수하도록 비밀유지서약서를 부속 문서로 포함한다.

② 클라우드 운영, 보안, 개발 등 유관 업무에 새로 합류한 인원(신규입사 및 전입)은 정보보호 최고책임자의 승인을 득한 후 고용서약서에 서명하고 클라우드 컴퓨팅 서비스의 설비, 자원, 자산에 접근할 수 있다.

③ 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하여야 하며, 주요 직무자는 최소의 인원으로 지정한다.

④ 직무의 권한 오남용을 예방하기 위하여 주요 직무를 분리하고 직무별 역할 및 책임을 명확하게 기술하여야 한다.

⑤ 직무 분리가 어려운 경우 별도의 보완통제 방안을 수립하여 적용하여야 한다.

제7조 (비밀유지서약서)

① 클라우드컴퓨팅서비스 업무를 수행하는 인력(외부인력 포함)은 정보보호 및 개인정보보호(해당되는 경우)에 대한 내용이 포함된 비밀유지서약서를 작성하여 회사에 제출하여야 한다.

② 비밀유지서약서는 주기적(연 1회)으로 작성하여 회사에 제출하여야 한다.

③ 직무변경, 휴직, 퇴직 등으로 인한 인사변경 발생하는 경우에 추가적으로 비밀유지서약서를 작성하여 회상에 제출하여야 한다.

④ 임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한 부여, 변경 또는 해제 시 정보보호에 대한 책임이 명시된 비밀유지서약서를 징구하여야 한다.

제8조 (정보보호교육)

① 내부의 관련된 모든 임직원과 외부 업무 관련자(외주 용역)를 위한 정보보호 교육, 훈련,인식 프로그램을 수립하고 이에 따라 연 1회 이상 정기적으로 기본 정보보호 교육을 실시하여야 한다.

② 정보보호 정책 및 절차의 중대한 변경, 조직 내.외부 보안사고 발생, 정보보호 관련 법률 변경 등 발생 시 정기 교육 외 추가 교육을 실시할 수 있다.

③ 정보보호 교육, 훈련, 인식 프로그램의 수행 결과를 평가하고 평가 결과를 분석하여 프로그램 개선에 반영하여야 한다.

제4장 정보자산 관리

제9조 (자산 식별 및 분류)

① 정보자산(정보시스템, 정보보호시스템, 정보 또는 서비스)의 분류기준을 수립하고 클라우드컴퓨팅서비스를 제공하기 위한 모든 정보자산을 식별하여야 한다.

② 식별된 정보자산은 별도의 목록으로 문서화하여 관리하여야 한다.

③ 정보자산 목록은 정기적으로 정보자산 현황을 조사하여 최신으로 유지하여야 한다.

제10조 (자산 변경 관리)

① 클라우드 시스템 관련 자산(시설, 장비, 소프트웨어 등)에 대한 변경을 위한 절차를 수립하고 이행하여야 한다.

② 클라우드 시스템 관련 자산에 대한 변경을 수행하기 전 성능 및 보안에 미치는 영향분석을 실시하여야 한다.

③ 클라우드컴퓨팅서비스에 사용된 자산(시설, 장비, 소프트웨어 등)의 변경을 지속적으로 모니터링하여 허가 받지 않은 변경을 탐지하고 최신의 변경 이력을 유지하여야 한다.

제11조 (위험관리)

① 클라우드컴퓨팅서비스 취약점 점검 절차 및 기준을 수립하여 연 1회 이상 점검을 수행하여야 한다.

② 발견된 취약점에 대한 대응방안 및 조치결과를 문서화하고 수행하고 그 결과를 책임자에게 보고하여야 한다.

제5장 서비스 공급망 관리

제12조 (공급망 관리 정책)

① 클라우드컴퓨팅서비스에 대한 접근과 서비스 연속성을 저해하는 위험을 식별하고 최소화하기 위해 공급망과 관련한 보안 요구사항을 정의하는 관리정책을 수립하여야 한다.

② 클라우드컴퓨팅서비스 범위 및 보안 요구사항을 포함하는 공급망 계약을 체결하고 다자간 협약시 책임을 개별 계약서에 각각 명시해야 하며, 해당 서비스에 관련된 모든 이해관계자에게 적용하여야 한다.

제13조 (공급망 변경 관리)

① 정보보호 정책, 절차 및 통제에 대한 수정 및 개선이 필요하다고 판단될 경우 서비스 공급망 상에 발생할 수 있는 위험에 대한 검토를 통해 안전성을 확보 후 계약서 내용 변경 방안을 제시하여야 한다.

제6장 침해사고 관리

제14조 (침해사고 대응 절차 및 체계)

① 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생 시 보고 및 대응절차, 사고 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립하여야 한다.

② 침해사고에 대한 효율적이고 효과적인 대응을 위해 신고절차, 유출 금지 대상, 사고 처리 절차 등을 담은 침해사고 대응절차를 마련하여야 한다.

③ 침해사고 대응절차는 이용자와 제공자의 책임과 절차가 포함되어야 한다.

④ 침해사고 정보를 수집·분석·대응할 수 있는 보안관제 시스템 및 조직을 구성·운영하고, 침해사고 유형 및 중요도에 따라 보고 및 협력체계를 구축하여야 한다.

⑤ 침해사고 대응과 관련된 역할 및 책임이 있는 담당자를 훈련시켜야 하고, 주기적으로 침해사고 대응 능력을 점검하여야 한다.

제15조 (침해사고 대응)

① 침해사고 발생 시 침해사고 대응 절차에 따라 법적 통지 및 신고 의무를 준수하여야 한다.

② 클라우드컴퓨팅서비스 이용자에게 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.

③ 침해사고 발생 시 침해사고 대응 절차에 따라 처리와 복구를 신속하게 수행하여야 한다.

제16조 (사후관리)

① 침해사고가 처리 및 종결된 후 발생 원인을 분석하고 그 결과를 이용자에게 알려야 한다.

② 침해사고 정보와 발견된 취약점을 관련 조직 및 인력과 공유하여야 한다.

③ 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 보안시스템 개선, 관련 보안교육 실시 등 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.

제7장 서비스연속성 관리

제17조 (장애 대응)

① 관련 법률에서 규정한 클라우드컴퓨팅서비스의 중단으로부터 업무 연속성을 보장하기 위해 백업, 복구 등을 포함하는 장애 대응 절차를 마련하여야 한다.

② 클라우드컴퓨팅서비스 중단이나 피해가 발생 시 장애대응 절차에 따라 법적 통지 및 신고 의무를 준수하여야 한다. 또한, 클라우드컴퓨팅서비스 이용자에게도 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.

③ 클라우드컴퓨팅서비스 중단이나 피해가 발생할 경우, 서비스 수준 협약(SLA)에 명시된 시간 내에 장애 대응 절차에 따라 해당 서비스의 장애를 처리하고 복구시켜야 한다.

④ 장애 관련 정보를 활용하여 유사한 서비스 중단이 반복되지 않도록 장애 재발방지 대책을 수립하고, 필요한 경우 장애대응 절차도 변경하여야 한다.

제18조 (서비스 가용성)

① 클라우드컴퓨팅서비스의 가용성을 보장하기 위해 성능 및 용량에 대한 요구사항을 정의하고, 지속적으로 관리할 수 있는 모니터링 방법 또는 절차를 수립하여야 한다.

② 정보처리설비(예 : 클라우드컴퓨팅서비스를 제공하는 물리적인 서버, 스토리지, 네트워크 장비, 통신 케이블,접속 회선 등)의 장애로 서비스가 중단되지 않도록 정보 처리설비를 이중화하고, 장애 발생 시 신속하게 복구를 수행하도록 백업 체계도 마련하여야 한다.

제8장 준거성 관리

제19조 (법 및 정책 준수)

① 정보보호 관련 법적 요구사항을 식별하고 준수하여야 한다.

제20조 (정보시스템 감사)

① 법적 요구사항 및 정보보호 정책 준수 여부를 보증하기 위해 독립적 보안감사 계획을 수립하여 시행하고 개선 조치를 취하여야 한다.

② 보안감사 증적(로그)은 식별할 수 있는 형태로 기록 및 모니터링되어야 되고 비인가된 접근 및 변조로부터 보호되어야 한다.

제9장 가상화 보안

제21조 (가상화 인프라)

① 가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등)의 생성, 변경, 회수 등에 대한 관리방안을 수립하여야 한다.

② 가상자원 및 서비스를 제공하기 위한 웹사이트 또는 공개 서버를 제공하는 경우 기술적 보호 대책을 수립하여야 한다.

제22조 (가상환경)

① 바이러스, 웜, 트로이목마 등의 악성코드로부터 이용자의 가상 환경(가상 PC, 가상서버, 가상 소프트웨어 등)을 보호하기 위한 악성코드 탐지, 차단 등의 보안기술을 지원하여야 한다. 또한 이상징후 발견시 이용자 통지하고 사용 중지 및 격리 조치를 수행하여야 한다.

② 가상 환경(가상 PC, 가상서버, 가상 소프트웨어 등) 접근을 위한 인터페이스 및 API에 대한 보안취약점을 주기적으로 분석하고, 이에 대한 보호 방안을 마련하여야 한다.

③ 이용자가 기존 정보시스템 환경에서 클라우드컴퓨팅서비스의 가상환경으로 전환 시 안전하게 데이터를 이전하도록 암호화 등의 기술적인 조치방안을 제공하여야 한다.

④ 클라우드컴퓨팅서비스 제공자는 출처, 유통경로 및 제작자가 명확한 소프트웨어로 구성된 가상환경을 제공하여야 한다.

제10장 접근통제

제23조 (접근통제 정책)

① 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다.

② 접근기록 대상을 정의하고 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 수 있는 형태로 기록되고 유지하여야 한다.

제24조 (접근 권한 관리)

① 클라우드 시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.

② 클라우드 시스템 및 중요정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제하여야 한다.

③ 클라우드 시스템 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검하여야 한다.

제25조 (사용자 식별 및 인증)

① 클라우드 시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.

② 클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증절차에 의해 통제하여야 한다.

③ 이용자가 클라우드컴퓨팅서비스에 대해 다중 요소 인증 등 강화된 인증 수단을 요청하는 경우 이를 제공하기 위한 방안을 마련하여야 한다.

④ 법적 요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 사용자 패스워드 관리절차를 수립·이행하고 패스워드 관리 책임이 사용자에게 있음을 주지시켜야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리하여야 한다.

⑤ 고객, 회원 등 외부 이용자가 접근하는 클라우드 시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차를 마련하고 관련 내용을 공지하여야 한다.

제11장 네트워크 보안

제26조 (네트워크 보안)

① 클라우드컴퓨팅서비스와 관련된 내·외부 네트워크에 대해 보안정책과 절차를 수립하여야 한다.

② DDoS, 비인가 접속 등으로 인한 서비스 중단 및 중요정보 유출 등을 막기 위해 네트워크를 모니터링하고 통제하여야 한다.

③ 클라우드컴퓨팅서비스와 관련된 내·외부 네트워크를 보호하기 위하여 정보보호시스템(방화벽, IPS, IDS, VPN 등)을 운영하여야 한다.

④ 클라우드 시스템에서 중요정보가 이동하는 구간에 대해서는 암호화된 통신 채널을 사용하여야 한다.

⑤ 클라우드컴퓨팅서비스 제공자의 관리 영역과 이용자의 서비스 영역, 이용자 간 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리하여야 한다.

제12장 데이터 보호 및 암호화

제27조 (데이터 보호)

데이터 분류 및 무결성 확인.

데이터 추적 및 폐기 절차 마련.

제28조 (암호화)

암호화 정책 수립 및 키 관리.

제13장 시스템 개발 보안

제29조 (시스템 분석 및 설계)

보안 요구사항 정의 및 적용.

감사 증적 및 표준시각 동기화.

제30조 (구현 및 시험)

안전한 코딩 및 시험 수행.

개발/운영 시스템 분리.

제31조 (외주 개발 보안)

계약 시 보안요구사항 명시 및 감독.

제14장 공공기관 보안요구사항

제32조 (관리적 보호조치)

보안 SLA 체결, CC인증 제품 사용.

사고 시 협조체계 구축.

제33조 (물리적 보호조치)

국내 물리적 위치 유지, 장비 이중화.

제34조 (기술적 보호조치)

암호화 시 검증필 암호모듈 사용.

제15장 개인정보의 처리 및 안전한 관리

제35조 (개인정보 수집·이용)

수집 동의 및 고지, 처리방침 공개.

제36조 (개인정보 처리제한)

민감정보, 고유식별정보, 주민번호 처리 제한.

제37조 (개인정보의 안전한 관리)

목적 달성 후 즉시 파기, 분리 저장.

개인정보보호책임자 지정.

부칙

제1조 (시행일)

이 규정은 정보보호 최고책임자의 승인일부터 시행한다.

제2조 (정책의 이행)

정보보호 업무는 본 규정 및 관련 법령에 따라 수행한다. 정보보호 활동에 필요한 자원 확보 및 승인 절차를 수립한다.

제3조 (정책의 검토)

연 1회 이상 정기 검토 및 필요 시 개정 이력 관리.

제4조 (예외 적용)

아래 각 호에 해당하는 경우 정보보호 최고책임자 승인 하에 예외로 적용할 수 있다.

기술 환경의 변화로 적용 불가능한 경우

긴급한 기술적·관리적 사유 발생 시

재해 등 불가항력적 상황

원본 주소 "https://wiki.inswave.kr/index.php?title=00._정보보호_정책서&oldid=504"