회사는 정보보호정책을 통해 정보보호를 위한 업무 처리기준을 정함으로써 관련 법률에 따른 의무를 이행하고, 내외부의 위협으로부터 정보자산을 안전하게 보호하는 것을 목적으로 한다.
회사는 회사의 정보자산과 고객의 개인정보를 안전하게 보호하여 정보유출 발생 제로화를 목표로 한다.
정보보호최고책임자 및 정보보호 조직회사는 IT 및 정보보호에 대한 전반적인 지식과 실무능력이 있는 임원급 관리자를 정보보호에 관한 업무를 총괄 지휘하는 정보보호최고책임자로 지정하고 있습니다.
정보보호최고책임자는 정보보호 관리체계 실행계획을 수립 및 이행하고 정보보호 관리체계의 유효성을 평가하고 지속적으로 개선합니다.
정보보호최고책임자는 정보보호 실무 수행을 위하여 정보보호에 관한 지식, 경력 등을 갖춘 팀장급 관리자를 정보보호관리자로 임명하여 정보보호 관련 업무를 위임하고 상시적 정보보호 실무 수행을 위하여 인사보안, 물리보안, 기술보안 등 각 영역별 관리자를 지정하여 정보보호 활동 현황을 관리합니다.
정보보호최고책임자는 보안감사조직을 구성하여 보안점검를 실시합니다. 보안감사조직은 정보보호 정책 및 지침의 이행현황, 개인정보보호법 등 법적 준거성을 점검하여 회사의 정보보호 관리체계 활동의 적정성을 확인하며 보안점검을 통해 발견된 부적합 사항에 대하여 재발 방지를 위한 시정조치를 마련하고 지속적으로 관리합니다.
정보자산 및 정보시스템 보안관리회사는 정보시스템 접근권한을 업무수행에 필요한 최소한의 범위로 차등 부여하고 인사변동에 의해 정보시스템의 사용자가 변경될 경우 접근권한을 변경합니다. 정보시스템 사용자는 분기 1회 이상 주기적으로 패스워드를 변경하여 정보자산을 안전하게 관리하고 있습니다.
또한 비인가자의 정보시스템에 대한 접근을 방지하기 위하여 계정 및 접근통제 정책을 수립하고 보안성 확보를 위해 기술적 보호조치를 취하고 있습니다.
기술적 보호조치로는 회사의 네트워크를 내부망과 외부망으로 논리적으로 분리하고 분리된 네트워크 영역간 접속은 IP주소를 제한하며 침입차단시스템을 활용하여 인가받지 않은 접근을 차단합니다.
인적 보안관리회사는 임직원에 의해 회사의 정보자산이 유출되지 않도록 임직원의 정보보호 인식제고를 위해 정기적으로 정보보호 교육을 실시하고 임직원은 입사 후 퇴직 시까지 사내 보안지침을 준수하도록 하고 있습니다.
회사의 업무를 외주인력에게 위탁하는 경우, 업무상 필요한 최소한의 범위로 정보자산에 접근하도록 하며 외주인력의 철수 시 퇴직자에 준하는 조치를 취하고 있습니다.
물리적 보안관리회사의 정보자산을 비인가자의 물리적 접근이나 자연재해 등 외부환경 위협으로부터 보호하기 위하여 회사의 시설 및 공간에 대하여 보호구역을 설정하며 접견구역, 제한구역, 통제구역으로 구분되는 각 보호구역에는 출입통제장치를 설치하여 출입권한 관리를 하고 CCTV를 통해 모니터링 하고 있습니다.
사용자 보안수칙회사의 임직원은 개인용 사무기기, 인터넷, 이메일, 공용장비를 사용함에 있어 회사의 정보보호 정책을 준수하여야 합니다. 임직원은 정보보호를 위해 PC사용 시 패스워드 설정을 하고 설치된 백신 프로그램으로 검사를 실시하여 바이러스 감염여부를 확인합니다.
임직원은 바이러스 감염을 예방하기 위해 출처가 불분명한 소프트웨어를 다운로드하거나 비 인가된 소프트웨어를 설치하여서는 안되며 이메일을 통해 첨부된 파일 중 출처가 불분명한 파일은 다운로드 하지 않고 스팸으로 의심되는 이메일은 열람하지 않고 신고해야 합니다.
회사는 정보유출을 막기 위해 임직원들에게 상용 이메일, 메신저, 웹하드, 클라우드 등의 사용을 금지하고 있습니다.
개인정보보호회사는 고객과 임직원의 개인정보를 보호하기 위하여 개인정보보호책임자를 임원으로 지정하여 개인정보에 관한 업무를 총괄하도록 하고 있습니다.
개인정보보호책임자는 개인정보취급자가 개인정보를 훼손, 누설, 권한 없는 타인에게 제공하는 등 오 · 남용하지 못하도록 개인정보 처리기준을 수립하고 있으며 개인정보의 안전성 확보를 위한 기술적 보호조치로써 개인정보처리시스템의 접근통제, 접속기록 보관, 개인정보 암호화를 하고 있습니다.
또한 개인정보취급자를 대상으로 관련 법률 및 내부지침의 주요사항, 유출사고 대응 등을 포함하여 매년 정기적으로 개인정보보호교육을 실시하며 개인정보 보호현황에 대하여 점검 후 미흡한 사항은 관련 부서장이 개선계획을 수립하고 조치를 취하도록 합니다.
침해사고 대응회사는 정보유출 사고에 대비하기 위하여 보안사고 대응절차를 수립하여 보안사고 발생 시 신속한 대응으로 피해 확산을 방지하고 있습니다.
정보보호최고책임자는 침해사고 발생 시 침해사고대응팀을 구성합니다. 침해사고대응팀은 초기 분석을 진행하여 침해된 개인정보 항목과 침해 규모를 파악하여 전문기관에 신고하고 침해사고 확산방지, 원인제거, 시스템 복구 등의 처리계획을 수립하고 신속히 해결합니다. 대응 종료 후 정보보호최고책임자는 침해사고 대응체계의 미비점을 보완하여 재발방지 대책을 수립합니다.
정보보호정책 관리정보보호최고책임자는 이 정책의 시행을 위한 세부활동을 위하여 하위 지침을 수립하고 있으며 이 정책 및 하위 지침의 타당성에 대한 검토를 실시합니다.
조직 내 정보보호 전략의 변경과 정보보호 관련 법률의 제 · 개정, 정보보호 환경의 중대한 변화에 관한 사항을 정보보호정책 및 하위 지침에 반영하며 타당성 검토 결과 변경이 필요하다고 판단되는 경우 대표이사의 승인을 득하여 제 · 개정합니다.
| 운영 과제 | 세부실행계획 | 일정 |
|---|---|---|
| 보안감사 및 개인정보보호 | End-user 보안감사 및 개인정보보호 준수 여부 점검 | 연 4회 |
| 개인정보 수집 현황 및 적법한 동의 수령 점검 / 개인정보 파기현황 점검 | 2Q / 3Q | |
| 정보자산 보호 | D-cloud 반출현황 점검 활동 강화 | 분기별 |
| D-cloud 반출 승인권자 점검 활동 강화 | 분기별 | |
| 악성메일 대응 훈련 실시 (HD 연계) | 3Q | |
| 임직원 정보보호 교육 | 1차 관리자 대상 정보보호정책 상의 역할 교육 실시 | 상반기 |
| 전체 임직원 대상 정보보호 온라인 교육 실시 | 하반기 | |
| 정보보호 공시 | 2022년 정보보호 투자, 인력활동 등에 관한 정보 공개 | 6월 |
