2.2 인적 보안

2.2.1  주요  직무자  지정  및  관리

개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?

→ 주요 직무자 지정 문서화

 

「인적보안 관리지침」 제 ◌◌조 (주요 직무자 지정)
① 부서별 보안담당자는 다음 각 호의 업무를 수행에 필요한 최소한으로 제한하며 주요 직무자로 지정하여야 한다.
≫ 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
≫ 중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리자
≫ 정보보안 시스템 운영 관리자 
≫ 정보보안관리 업무를 수행하는자

 

 

제4조(주요 직무자 지정)① 주요 직무의 기준은 다음과 같이 정한다.

1. 중요 정보(예; 개인정보, 비밀 등) 취급
2. 중요 정보시스템(예; 정보보호 관리체계(ISMS) 인증범위의 정보자산 등) 운영 및 관리
② 주요 직무자의 현황을 파악하여 최소한으로 지정하고 그 목록을 최신으로 관리하여야 한다.

제5조(직무 분리)
① 주요 직무자의 권한 오⦁남용 방지를 위해 다음과 같이 직무 분리 기준을 수립하여 적용한다.
1. 개발과 운영의 직무 분리
2. 정보보호 관리와 정보보호 감사의 직무 분리
3. 개인정보보호 관리와 개인정보처리시스템 개발⦁운영의 직무 분리
4. 외부자에게 정보시스템 계정 및 접근권한에 대한 관리 권한 부여 금지

② 제1항에 따른 직무 분리가 어려운 경우에는 다음과 같이 별도의 보완대책을 마련하여 이행하여야 한다.
1. 주요 직무자 간 상호 검토
2. 상위 관리자 정기 모니터링 및 변경사항 승인
3. 주요 직무자별 고유 계정 사용 및 로그기록 감사 모니터링을 통한 책임추적성 확보

 

 

제17조(직무 분리 및 주요 직무자 관리)

① 정보자산에 대한 비인가된 변조 또는 권한 오남 용을 예방하기 위하여 권한과 책임을 분리하는 직무 분리를 하여야 한다.

② 직무 분리를 다음 각 호와 같이 하며 주요 직무자를 최소한의 범위로 지정하여야 한다.

1. 정보시스템 운영

2. 정보시스템 개발

3. 데이터베이스시스템 관리

4. 정보보안 업무

③ 주요 직무자의 지정 현황 및 권한 부여의 적정성을 연1회 이상 검토하여야 한다.

④ 개발과 운영 업무는 직무 분리를 하여 수행하는 것을 원칙으로 한다.

⑤ 직무 분리가 어려운 경우 직무자의 책임 추적성 확보를 위한 보완통제 방안을 마련하여 야 한다

 

주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?

→ 주요정보 취급자 현황관리

* 개인정보 취급자 명단, 시스템 관리자 명단, 네트워크(인프라) 관리 명단, 정보 보호시스템 운영자 관리 명단 등을 엑셀 시트로 분류하면 좋겠다

 

「인적보안 관리지침」 제 ◌◌조 (주요 직무자 지정)
① 부서별 보안담당자는 부서별 주요직무자 및 개인정보취급자의 명단을 관리해야 하며 반기 1회 이상 주요 직무자 및 개인정보취급자의 명단을 검토 관리 현행화 해야한다.

 

SK 쉴더스

 

업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?

업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다. 
▶ 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리
▶ 개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함 
(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 
목록관리는 수탁자 자체적으로 관리 가능)

업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하고 있는가?

업무상 필요한 주요 직무자 및 개인정보 취급자 관리방안 수립
① 업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정
② 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련
③ 주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행

 

[증적]

        주요 직무 기준
        주요직무자 목록
        개인정보취급자 목록
         중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장
        주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등)

 

---

2.2.2 직무 분리

권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?

제17조(직무 분리 및 주요 직무자 관리)

① 정보자산에 대한 비인가된 변조 또는 권한 오남 용을 예방하기 위하여 권한과 책임을 분리하는 직무 분리를 하여야 한다.

② 직무 분리를 다음 각 호와 같이 하며 주요 직무자를 최소한의 범위로 지정하여야 한다.

1. 정보시스템 운영

2. 정보시스템 개발

3. 데이터베이스시스템 관리

4. 정보보안 업무

③ 주요 직무자의 지정 현황 및 권한 부여의 적정성을 연1회 이상 검토하여야 한다.

④ 개발과 운영 업무는 직무 분리를 하여 수행하는 것을 원칙으로 한다.

⑤ 직무 분리가 어려운 경우 직무자의 책임 추적성 확보를 위한 보완통제 방안을 마련하여 야 한다

 

권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여 
적용하여야 한다.
▶ 개발과 운영 직무 분리
▶ 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리
▶ 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리 
▶ 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리
▶ 개인정보보호 관리와 개인정보처리시스템 운영직무 분리 
▶ 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등
▶ 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한 
부여 금지(다만 불가피한 경우 보완통제 적용)

 

「전자금융감독규정」 제26조 (직무분리)
① 다음 각 호의 업무에 대하여 직무를 분리ㆍ운영하여야 한다.
≫ 프로그래머와 오퍼레이터
≫ 응용프로그래머와 시스템프로그래머
≫ 시스템보안관리자와 시스템프로그래머
≫ 전산자료관리자(librarian)와 그 밖의 업무 담당자
≫ 업무운영자와 내부감사자
≫ 내부인력과 전자금융보조업자 및 유지보수업자 등을 포함한 외부인력 
≫ 정보기술부문인력과 정보보호인력
≫ 그 밖에 내부통제와 관련하여 직무의 분리가 요구되는 경우

 

직무 분리가 어려운 경우 직무자 간 상호 검토, 상위관리자 정기 모니터링 및 변경 사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?

- 조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자 간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련

 

* 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리 
* 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등

 

- 공통계정 작업 시 작업자 외 공통계정 사용자 상호 검토서명

=> 로그 검토 후에 공통 계정 로그인 이력 확인되면 누군지 추정

 

- 특이사항 발생 시 상위관리자 즉시 보고

- 별다른 특이사항 없을 시 월별 운영관리 현황 보고에 첨부 작성

 

<증적>

 직무 분리 관련 지침(인적 보안 지침 등)
 직무기술서(시스템 운영·관리, 개발·운영 등)
 직무 미분리 시 보완통제 현황

---

2.2.3 보안 서약

- 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.

==> 외주 직원만 서약을 받는게 아니라 직무에 따라 전체 직원 대상

 

신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?

▶ 신규 인력이 입사하는 경우 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대하여 명시된 서약서 서명
▶ 고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성 등의 조치 수행

 

[내용]

- 정보보호 책임 사항

- 정보보호 규정 준수 의무

- 규정 미 준수 시 손해배상 책임

 

→ 서약서 징구
① 신규, 임시직원, 외주용역직원 등 정보자산, 정보시스템 접근 시 보안서약서 징구
② 임직원 퇴직시 별도의 비밀유지 서약서 작성

보안서약서 1. 본인은 []  관련 업무 중 알게 될 일체의 내용이 직무상 기밀 사항임을 인정한다. 2. 본인은 이 기밀을 누설함이 이익에 위해가 될 수 있음을 인식하여 업무수행 중 지득한 제반 기밀사항을 일체 누설하거나 공개하지 아니한다. 3. 본인이 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 규정에 따라 어떠한 처벌 및 불이익도 감수한다. 4. 본인은 사업 수행 시 본인으로 인해 발생하는 위반 사항에 대하여 모든 책임을 부담한다. 날짜 부서명 직위 서명

 

임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?

 

비밀 유지 서약서 본인은 회사의 정보보호 정책과 지침을 숙지 하고, 아래 항목에 대한 비밀유지 사항을 준수할 것을 서약합니다. 1. 회사의 비밀 보호와 관련된 모든 조치를 성실히 이행한다. 2. 회사 재직 중 취득한 회사의 비밀을 허가 없이 사용하거나 제 3자에게 무단 유출하지 않으며, 특히 경쟁 회사할 경우 엄중한 책임을 진다. 3. 본인이 퇴사 등의 사유로 업무 수행을 중단하게 되는경우, 회사의 비밀이 포함된 유형의 수령물을 반납하야하며, 이와 관련하여 본사본등 유/무형 의 모든 자산을 폐기 하고 회사의 비밀이 유출되지 않도록 한다. 4. 이 서약내용을 위반하는 경우 민/형사상의 책임을 부담하며, 형법 및 부정경쟁방지 및 영업비밀보호에 관한 법률에 의거한 어떠한 처벌도 감수 한다. 날짜 부서명 직위 서명

 

임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?

퇴직자에게 정보유출 발생 시 그에 따르는 법적 책임이 있음을 명확히 인식시킬 수 있도록 비밀유지 서약서 징구(퇴직 절차 내 포함)

 

정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?

- 서약서 관리 담당자 및 책임자를 지정

- 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있도록 잠금장치가 있는 캐비닛 또는 출입통제가 적용된 문서고 등에 안전하게 보관·관리

 

 

<증적>

        정보보호 및 개인정보보호 서약서(임직원, 외부인력)
        비밀유지서약서(퇴직자)

 

---

2.2.4  인식제고  및  교육훈련

정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?

「인적보안 지침」 제 ◌◌조 (교육 및 훈련)
① 정보보호 관리자는 매년 각 호를 포함한 정보보안 교육 및 훈련 계획을 수립하고 정보보호 최고책임자(CISO)에 승인을 받아야한다.
≫ 교육 유형: 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육
≫ 교육 방법: 교육 목적, 교육 대상, 교육 일정, 교육 시간, 교육 내용, 온라인 및 집합교육
≫ 교육 승인: 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원

 

관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?

→ 내 모든 임직원과 외부자를 대상으로 연간 교육 계획
① 정보자산에 직·간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함
② 수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리·감독

③ 최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보보호 교육 필요)
④ 교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함

정보보호 및 개인정보보호 관련 교육에 포함될 내용(예시)  · 정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률  · 정보보호 및 개인정보보호 관련 내부규정, 관리적·기술적·물리적 조치사항  · 중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등

- 출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인교육 등)
- 내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체)

 

임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하여야 한다.

신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지

=> 보안 서약서 작성하며 교육 진행하면 될듯..!

 

IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?

관련 직무자 : IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등
▶ 교육과정 : 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가, 교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등

 

교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?

→ 교육 기록 보관 및 평가
① 교육 시행 후 출석 기록
② 설문조사 등을 통한 교육 만족도 조사
③ 만족도 조사를 토대로 차년도 계획 수립

 

교육시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가
▶ 교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영

 

SK 쉴더스

 

<증적>

       정보보호 및 개인정보보호 교육 계획서
        교육 결과보고서
        공통, 직무별 교육자료
        교육참석자 목록

 

---

2.2.5 퇴직 및 직무변경 관리

=> 퇴직자는 퇴직 프로세스를 직접 밟도록 하여 처리 가능

[임원진도 직접 밟을까?? 공유하는 시스템이 필요]

퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간 공유되고 있는가?

※ 인사 변경 내용에 대한 신속한 공유 절차(예시)
 ·정보처리시스템을 인사시스템과 연동하여 실시간 또는 일배치로 계정정보 동기화
 ·협력업체 인원에 대한 통합 계정 등록·관리시스템을 구축하여 개별 시스템과 계정 동기화 
 ·퇴직 프로세스 내에 관련 부서에 퇴직자 정보를 관련 부서에 공유하는 절차 포함 등

 

조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등의 절차를 수립·이행하고 있는가?

- 비밀 보장 서약서 등을 작성하는 프로세스 필요

▶ 퇴직 및 직무변동 시 출입증 및 자산 반납, 계정 삭제 또는 잠금, 접근권한 회수·조정, 보안점검 등의 절차를 수립·이행
▶ 불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경 
▶ 관련 기록을 보존하고 퇴직 절차 준수 여부에 대하여 정기적으로 검토

 

출처 SK 쉴더스

ㅁ 로그인 계정 삭제
ㅁ 액티브 디렉터리 계정 삭제
ㅁ 이메일 계정 삭제
ㅁ 메인프레임 및 서버 게정 삭제

   => 관리하던 서버 계정 정보 변경 필요
ㅁ 네트워크 기기 및 하드웨어 계정 삭제(보안솔루션 포함)
ㅁ 전화 시스템 및 보이스메일 접근 해제
ㅁ 송금, HR 등 특정 소프트웨어 접근 차단
ㅁ 원격 접근 해제
ㅁ 모바일 기기 접근 해제
ㅁ 지급된 데스크탑 또는 노트북, 모바일 기기, 무선 네트워크 장치의 반환

ㅁ 사원증 반납

 

[증적]

        퇴직 및 직무변경 절차서
        퇴직 시 자산(계정) 반납관리대장
        퇴직자 보안점검 체크리스트 및 점검 내역

---

2.2.6  보안  위반  시  조치

임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?

제18조(위반 시 조치) 본교 교직원과 관련 외부자가 정보보안 규정 및 시행세칙을 위반할 경 우 관련 법령 및 규정에 따라 필요한 조치를 할 수 있다.

 

「인적보안 관리지침」 제 ◌◌조 (처벌 기준) 
① 경미 위반사고
≫ 1회 위반: 정보보호최고책임자에 의한 1차 구두 경고 
≫ 2회 위반: 정보보호최고책임자에 의한 2차 구두 경고94
≫ 3회 위반: 정보보호위원회에 안건 상정하여 위반 시 시말서 징구 
≫ 4회 위반: 정보보호위원회에 회부 및 징계수위 결정∙위반사실 전사공지
② 중대 위반사고
≫ 1회 위반: 정보보호위원회에 회부 및 징계수위 결정∙위반사실 전사공지

 

정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?

상벌 규정에 따른 조치를 수행하고 결과 기록
▶ 필요한 경우 전사 공지 또는 교육 사례로 활용 등

 

<증적>

        인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정)
        정보보호 및 개인정보보호 지침 위반자 징계 내역
        사고 사례(전사 공지, 교육 내용)