02. 인적보안지침
제1장 총칙[편집]
제1조 (목적)[편집]
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 구성원의 인적보안 관리에 필요한 사항을 규정함을 목적으로 한다.
제2조 (적용범위)[편집]
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 해당 업무를 수행하는 외부업체 직원에게 적용한다.
제3조 (용어의 정의)[편집]
- “외부인”이라 함은 「직제규정」에서 정한 “직원”이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
- “외부위탁”이라 함은 특정 업무를 외부업체에 위탁하여 처리하는 방식을 말한다.
제2장 임직원 인적 보안[편집]
제4조 (채용 및 계약)[편집]
① 채용 및 계약은 관계 법령 및 사칙에 따른다. ② 보안이 강조되는 직무 담당자를 채용할 시 정보보호최고책임자는 다음 각 호에 대한 신원조사를 의뢰할 수 있다.
- 범죄기록
- 주민등록등본
- 이력서의 정확성 및 완전성
- 기타 필요사항
③ 채용 시 별지 제1호 서식 ‘비밀유지서약서’를 작성하도록 하여야 한다.
제5조 (기밀준수)[편집]
① 직원 채용 시 사내 기밀사항 준수를 위한 ‘비밀유지서약서’를 징구한다. ② 서약서에는 업무상 취득한 정보를 어떠한 경우에도 공개하지 않으며, 위반 시 민·형사상 책임을 진다는 내용을 포함한다. ③ 정보보호책임자는 연 1회 ‘비밀유지서약서’를 재징구한다. ④ 인사변경(직무변경·휴직·퇴직 등) 발생 시 추가로 ‘비밀유지서약서’를 징구한다.
제6조 (퇴직 및 계약해지)[편집]
① 퇴직 시 개인 소유를 제외한 회사 지급 자산을 정보보호담당자에게 반납한다. ② 시스템 접근 권한을 가진 직원이 퇴직 시 즉시 접근 권한을 삭제해야 한다. ③ 정보보호담당자는 퇴직자에 대해 다음을 수행한다.
- 회사 정보 및 자산 반납 확인
- 시스템 관리자에게 권한 삭제 통보
- 업무 수행권한 종료
- 비밀유지서약서 징구
제7조 (인사이동 시 보안조치)[편집]
① 인사이동 시 기존 계정을 폐기하고 신규 부서에 맞게 접근권한을 재부여한다.
제8조 (주요 직무자 지정)[편집]
① 중요 정보자산을 취급하는 직무를 정의하고 주요 직무자를 지정한다. ② 클라우드 서비스 개발·운영·보안·고객정보 접근 등은 주요 직무로 지정한다. ③ 권한 오남용 방지를 위해 직무를 분리하고 역할·책임을 명확히 한다. ④ 직무 분리가 어려운 경우 보완통제 방안을 마련한다.
제9조 (보안교육)[편집]
① 정보보호최고책임자는 임직원을 대상으로 연 1회 이상 정보보호 교육을 실시하며, 신규 입사 시 보안교육을 시행한다. ② 보안정책 변경, 보안사고 발생, 법률 변경 등 시 추가교육을 실시할 수 있다.
제3장 외부인력 보안[편집]
제10조 (외부위탁 계약 시 보안요구사항)[편집]
① 외부위탁 계약 전 보안요구사항을 점검한다. ② 계약서에 정보시스템·네트워크·사무환경 보안을 위한 요구사항을 명시한다. ③ 계약 위반 시 처벌 및 손해배상 조항을 포함한다. ④ 외부인 계약 시 보안준수 내용을 포함하고 정보보호최고책임자와 사전 협의한다. ⑤ 외부인 계약 시 다음 사항을 고려한다.
- 직무수행 능력(학력·자격·경력 등)
- 유사업무 수행 경험
- 인력 교체 가능 여부 및 시기
- 적격심사 책임사항 명문화
제11조 (외부인 보안관리)[편집]
① 프로젝트 개발 등 외부 위탁 시 기밀정보 접근 가능성이 있는 경우 ‘비밀유지서약서’를 징구한다. ② 외부인의 보안·장애·사고 위험을 평가한다. ③ 외부인의 고의·부주의로 인한 사고를 방지하기 위해 통제방안을 수립·적용한다. ④ 정보보호최고책임자는 6개월 이상 상주하는 외부인력을 대상으로 보안준수 여부를 점검한다.
제12조 (외부인 보안교육)[편집]
① 외부용역 착수 전·후 다음 사항을 교육할 수 있다.
- 외부용역 관리기준 및 보안 특수조건
- 업무 수행 시 유의사항 등
② 1년 이상 장기 체류 외부인력은 내부인력과 동일한 보안교육을 실시한다.
제13조 (전산자료 보안관리)[편집]
① 정보보호최고책임자는 외부위탁업체에 전산자료 보안관리계획서 제출을 요청할 수 있다. ② 대외비 자료 제공 시 ‘자료관리대장’(별지 제2호 서식)을 작성하여 인계인수한다. ③ 사업 관련 자료 및 산출물은 지정 파일서버 또는 보안관리자의 승인된 장비에 저장한다.
제14조 (외부인 사무실 장비 보안관리)[편집]
① 사업 수행 장소는 시건 및 통제가 가능한 공간을 제공한다. ② 외부 사무실 사용 시 최초 및 주기적 보안점검을 실시하고 ‘사무실 보안점검 일지’(별지 제3호 서식)를 작성한다.
[별지 제1호 서식] 비밀유지서약서[편집]
보안서약서
성명: 생년월일: 연락처:
본인은 ㈜인스웨이브(이하 ‘회사’) 근무 중 취득한 모든 경영·기술·시장·업무상 비밀을 보호할 법적·도덕적 의무를 인식하고 이를 준수할 것을 서약합니다. 회사의 영업비밀을 제3자에게 누설하거나 동종업계에 제공하지 않으며, 퇴사 시 관련 자료 일체를 반납·폐기하겠습니다.
위 서약을 위반할 경우 민·형사상 책임 및 손해배상을 이행할 것을 동의합니다. 20년 월 일 서약자 (인)
[별지 제2호 서식] 자료관리대장[편집]
| 연번 | 자료명 | 인계자 | 인수자 | 날짜 | 장소 | 확인자 | 반납일 |
|---|---|---|---|---|---|---|---|
[별지 제3호 서식] 사무실 보안점검 일지[편집]
| 번호 | 점검항목 | 점검결과 |
|---|---|---|
| 1 | 사업 참여 인력으로부터 비밀유지서약서 징구 여부 | |
| 2 | 참여 인력 대상 보안교육 실시 여부 | |
| 3 | 사업자료 보안대책 수립·이행 여부 |
[별지 제4호 서식] 연간교육계획서[편집]
2022년 정보보호 교육 계획(안)
1. **교육 목표**
- 전문성 제고 및 글로벌 경쟁력 강화
2. **교육 운영 계획**
- 정보보안교육(1,2차), 개인정보보호교육, KISA 아카데미 등 내부·외부 교육 병행
[별지 제5호 서식] 교육참석자 목록[편집]
| No | 직급 | 성명 | 서명 | |
|---|---|---|---|---|
| 1 | ||||
| 2 |
[별지 제6호 서식] 교육이수증[편집]
교육이수증 성명: 소속: 사번: 직급:
교육과정명: 정보보안교육(1차) 귀하는 본사에서 수행하는 정보보안교육 과정을 이수하였음을 확인합니다. 20년 월 일 ㈜인스웨이브 정보보호최고책임자 (서명)
[별지 제7호 서식] 정보시스템 계정 및 권한관리대장[편집]
| No | 시스템 | 계정 | 사용자 | 부서 | 용도 | 기간 | 비고 |
|---|---|---|---|---|---|---|---|
| 1 | DB서버 | root | 홍길동 | 개발팀 | DB관리 | 무기한 |
(끝)