regulations - security
security regulations
제1조 (목적)
회사에서 만들어진 모든 자료는 회사의 소유이며, 허가 없이 외부로 반출될 수 없다.
본 ‘Security Regulations’(이하 ‘보안규정’이라 한다)은 주식회사 인텐시브 (이하 ‘회사’라 한다)의 업무 수행 중 보안에 관련된 필요한 사항을 정해서 회사의 기업비밀 관련 자료, 고객의 중요 정보 및 직원의 개인 정보뿐만 아니라, 연구소 시설, IT 설비까지 포괄적으로 보호하고 관리하는데 그 목적이 있다.
제2조 (적용 범위)
모든 경우에 다 적용된다.
이 보안규정은 회사의 모든 사항에 적용된다. 보안규정에 모호하게 정의된 부분이 있으면 이사회에서 논의한 후, 대표이사가 결정한다.
제3조 (용어의 정의)
본 보안규정에서 사용되는 용어의 정의는 다음과 같고, 정의되지 않은 용어는 관련 법령 및 상관습에 따른다.
1. 보안 : 회사비밀을 효율적으로 보호 관리하는 여러 행위를 말한다.
2. 회사비밀 : 회사가 창조해 낸 자료, 개발방법, 판매방법, 기타 영업활동에 유용한 기술 또는 경영상의 정보뿐만 아니라
3. 회사 시설로 등록된 모든 것을 포함하여 비밀로 정의된 내용이나 물품을 말한다.
4. 보안위반 : 회사 보안규정을 위반하거나, 회사비밀이 누설 되었거나 누설될 우려가 있는 여러 행위를 말한다.
5. 정보자산 : 회사의 정보 자산의 정의는 다음과 같다.
자산유형
데이터
문서
소프트웨어
서버
PC (& workstation)
네트워크
지원설비
시설
디자인 장비
휴대용 저장매체
회사 내 자산의 예
컴퓨터로 열람할 수 있는 모든 자료
인쇄물에 출력된 모든 정보
Windows, MS office, Adobe, Rhino 등
intenxerver (NAS), intenxivlab (NAS)
컴퓨터(업무, 작업실, 회의용) 등
Router, hub 등
에어노즐, 카드 도어 등
사무실 내 작업실
3D 프린터, 프린터, 대형모니터 등
외장 HDD, USB memory, SD card 등
개요
PC나 저장 매체에 저장하는 모든 정보
종이에 인쇄된 정보
전산장비에서 사용하는 응용 프로그램 등
공용 데이터를 저장하여 여러 사용자가 사용
제공되는 개인 업무용 컴퓨터 및 공용 컴퓨터
네트워크 장비, 통신회선 등
전력 공급, 환기 시설, 방재 시설, CCTV 등 물리적 설비 등
건물, 사무실, 데이터 센터 등 물리적 시설
디자인 작업에 사용되는 장비 등
전산화된 정보를 저장하는 이동 가능한 저장매체 등
제4조 (책임과 권한)
보안 관리를 위한 역할과 책임의 범위는 다음과 같다.
1. 회사의 보안관리자(A)는 다음과 같은 임무를 수행한다. A가 부재중일 경우는 B 중 한명이 임무를 수행한다.
A. 보안 업무의 감독 및 총괄
B. B의 지휘 및 감독
C. 보안 교육의 계획과 수행
D. 정기적인 보안 점검
E. 기타 보안 업무 수행에 필요한 사항
2. 각 팀장은 보직과 동시에 해당 부서의 보안책임자(B)에 임명되며, 다음과 같은 임무를 수행한다.
A. 해당 부서원에 대한 보안교육
B. 보안업무에 대한 지도와 감독
3.A, B와 부서원에 대한 조직도는 아래와 같다.
A. 이는 2018년 10월 8일 정보이며, 구성원의 변화가 있을 때 갱신한다.
B. 인턴사원의 경우 A가 관리하도록 한다. 여러명일 경우 배속되는 팀의 팀장이 관리한다.
C. 단기 계약자 중 팀에 배정되지 않는 경우에는 A가 별도 관리한다.
보안관리자 (A)
이기오
디자이너
이태훈
디자이너
박서현
디자이너
이승열
디자이너
제동주
디자이너
-
디자이너
진혜정
보안책임자
윤기현
제5조 (인적보안)
회사의 어떤 정보도 비밀이다.
고객사의 정보도 당연히 비밀이며, 개개인의 모든 정보 또한 비밀이다.
1. 회사 비밀의 보호 의무
A. 모든 임직원은 회사의 보안규정을 준수할 의무와 비밀누설을 방지할 책임이 있다.
B. 모든 임직원은 회사 비밀사항에 대하여 지정된 업무 외의 목적으로 사용해서는 안된다.
2. 개인 정보의 공개와 보호
A. 인적사항 등 개인 인사정보에 대하여 회사의 사전승인 없이 외부로 유출할 수 없으며 업무와 직접 관련이 없는 사람에게 공개해서도 안된다.
B. 특정인의 인사정보를 열람해야 할 경우는 사전에 A의 승인을 받아야 한다. A가 부재중일 경우는 B의 승인을 받는다.
C. 직무 수행 과정에서 특정인의 인사정보를 인지한 경우 이를 제삼자에게 누설해서는 안된다.
D. 인사정보에는 개개인의 연봉계약 등 개인과 관계된 모든 자료를 포함한다.
E. 개인정보에 대해서는 국가의 개인정보 보호법 시행령을 따른다.
3. 고객사 정보의 보호
A. 고객사의 비밀정보를 취급할 경우에는 당사의 보안규정 및 지침에 따라 취급하되, 고객사의 보안조직 또는 이 조직에 상응하는 책임자의 요구사항에 따라 당사와 합의된 수준에서 별도의 보안관리 지침을 작성할 수 있으며, 해당 고객사 정보를 다루는 관계자는 이를 준수한다.
B. 고객사의 요청에 따라 별도의 정보보안서약서 또는 계약서를 작성할 경우에는 상세한 내용을 기술하고 수행한다.
C. 고객사 정보의 사적보호 : 고객사의 중요 정보는 고객사가 문서로 사전 동의했거나, 회사가 법적으로 정보를 공개하도록요구받았을 때만 공개된다.
D. 회사가 소유하는 개인정보를 포함하여 모든 고객사 관련 기록은 회사의 업무와 직접 관련 있는 목적으로만 사용한다.
E. 개인 ID, 주민등록번호, 거래내용 등의 정보는 고객사의 허가를 받은 경우 또는 법률에 따라서만 공개될 수 있다.
4. 퇴사자 보안 관리
A. 직원이 퇴직하고자 할 경우에는 퇴직 희망일 30일 전에 B에게 퇴직원(별도의 형식 없음)을 제출해야 한다.
B. 회사는 7일 이내에 퇴직 여부를 회신해야 하며, 특별한 사정이 없이 기한 내 미 통보 시 수리된 것으로 간주한다.
C. 퇴직자와 관계자는 업무 마지막 날까지 아래의 점검 리스트를 완료한다.
퇴사 전
항목
퇴직면담 시행
퇴직정보 관련부서 공유
퇴사자 보안서약서 작성
회사 자료, 장비 및 샘플 반납
퇴사자 PC의 사용 내역 점검
퇴사자 PC data 이관 및 삭제
순서
1
2
3
4
5
6
시행자
제공자
확인서명
확인일
담당 팀장 (또는 대표이사)
담당 팀장
퇴직자
담당 팀장
퇴사 후
7
8
9
10
11
12
파일서버 / 공용 폴더 계정 삭제
E-mail data 이관 및 계정 삭제
퇴사자 PC 의 사용 내역 점검
퇴사자 PC 초기화
사무실 출입권한 및 출입카드 회수
퇴직금 집행 및 4대 보험 삭제
대표이사
세무사무실
대표이사
제6조 (문서 보안)
1. 문서 보안의 정의 및 범위
A. 문서, 도면, PC 내/외장 저장장치 등에 비밀자료를 수록하고 있는 기록물에 대한 제반 관리 행위를 문서보안이라 한다.
B. 비밀자료란 그 내용을 누설해서는 안되는 문서로서 다음과 같은 항목이다.
2. 비밀 자료의 분류 및 종류
A. 회사의 중요 정책, 계획 또는 인사에 관한 제반 문서.
B. 회사 내 중요 회의 내용 및 의사 결정에 관한 문서.
C. 회사 제품 및 기술에 관련된 중요 문서.
D. 고객사와의 프로젝트에 관련된 내용에 대해서는 고객사에서 원하는 보안수준을 적용한다.
3. 외부에 전달되는 문서에는 주의 문구를 반드시 표시한다.
A. internal use only : 회사 내부용으로 작성된 문서이나, 외부공개에 승인이 필요한 문서이다.
B. confidential : 회사 외부에서 공표하는 것을 금하는 문서이다.
C. confidential restricted : 문서 관리자, 감독자 및 업무상 관계자 이외에는 공표를 금하는 문서이다.
제7조 (시설 보안)
1. 사무실 출입 권한
A. 사무실 출입은 등록된 사람만 가능하다.
B. 출입 등록 및 관리는 A에 의해서만 수행된다.
C. 퇴사자의 퇴직처리가 완료되면 A는 즉시 등록 출입자 명단에서 삭제한다.
D. 방문자는 업무공간 내에서 독립적으로 이동할 수 없으며, 반드시 직원과 함께 이동해야 한다.
2. 사무실의 최종 퇴실자는 실내보안 및 이상 유무를 확인하고 퇴실한다.
A. 단기계약직 또는 인턴이 사무실에 홀로 남아있으면 안된다.
B. 단기계약직 또는 인턴이 홀로 사무실에 마지막까지 있어서는 안된다.
3. 일반 구역의 출입
A. 직원이 아닌 모든 사람은 A의 승인을 받아야 출입할 수 있다.
B. 모니터, 테이블, 공간 등에 진행중인 작업 내용이 보이면 안된다.
C. 비상 시에는 회사 내의 출입을 통제할 수 있다.
4. 물품의 반입 및 반출
개인 물품을 가져올 수는 있어도 되가져 가기는 민감. 웬만하면 가져오지 말 것
A. 모든 반입 물품은 확인받아야 하고 보안상 지장이 없어야 허가한다.
B. 나중에 반출이 필요하다면 관련 서류가 있는지 확인한다. (특히 고객사의 물품의 경우)
C. 물품의 반출은 A 또는 B의 확인을 받는다.
5. 촬영 제한
A. 사무실 내에서 업무 목적을 제외하고는 촬영할 수 없다.
B. 외부인이 또는 외부인과 함께 촬영해야 하는 경우는 반드시 A의 승인을 받는다.
C. 휴대폰 카메라 역시 A, B 사항을 따른다.
6. 보호 구역 (intenxivlab)
A. 회사에 출입 제한이 필요한 장소는 A 또는 B의 승인에 따라 조정, 통제한다.
B. 보호구역에서 근무하는 직원은 프로젝트에 따라 달리 구성될 수 있다.
C. 보호구역의 관리
i. 보호구역의 출입문에 구역 표지를 부착한다. “lab”
ii. 외부인이 보호구역을 출입할 경우 A 또는 B의 승인을 받아야 한다.
D. 보호구역 관리대책
i. 보호구역으로 설정된 시설은 별도의 잠금장치를 설치한다.
ii. 보호구역의 관리 책임은 해당 B가 정 책임자가 되며 그의 차 하위직에 있는 자가 부책임자가 된다.
회사 업무와 관련 없는 수상한 행동을 하지 않는다.
제8조 (정보 시스템의 보안)
회사에서 생성된 데이터가 운용되는 장비의 보안에 목적이 있다.
1. PC, 공용 PC : 각 개인에게 지급된 컴퓨터는 다음과 같은 보안 사항에 주의한다.
A. 로그인 암호를 설정하고 6개월 마다 변경한다. (회사가 특정 암호를 강제할 수 있다)
B. 회사에서 지정하거나 (Microsoft Security Essential) 구매한 백신을 설치한다. (타 백신 설치 금지)
C. PC에는 OS에서 제공된, 또는 유/무료의 개인 방화벽을 설치해서 외부의 공격에 대응한다.
D. 외부에서 원격 조정할 가능성이 있는 소프트웨어는 절대로 설치하지 않는다.
E. Apple 장비의 경우 PC와 상응하는 보안 세팅을 한다.
F. 퇴근시에는 PC, 모니터 등의 전원을 반드시 끈다.
외부와의 네트웍 보안에 유의하고, 회사 PC에 개인 자료를 보관하지 않는다.
2. intenxerver : 회사 내에서 운용되고 있는 공동의 저장공간을 말한다.
A. A로부터 신규 아이디를 발급받는다.
B. 개인별 로그인 암호를 설정한다.
C. 개개인별 접근할 수 있는 영역이 다르게 구분되어 있으나, 권한 이상의 영역에 접근된다면 바로 A에게 알린다.
D. intenxerver의 관리자는 A 이다.
모든 자료는 회사 서버에 보관하고, 가능한 한 작업 PC에 자료를 남기지 않는다.
3.CNC, 3D 프린터 및 프린터 복합기
A. 작업 진행 시에는 외부인이 쉽게 볼 수 없도록 조치한다.
B. 작업 진행 후에는 그 흔적을 깨끗이 치워서 잔유물로 작업의 내용을 유추할 수 없도록 한다.
4. 무선 라우터
A. 기본적으로 회사 네트워크는 유선 네트워크를 사용한다.
B. 간혹 노트북과 같은 장비를 위해 무선 네트워크를 사용할 경우에는 사업자번호를 비밀번호로 사용한다.
C. 방문자를 위한 SSID가 별도로 제공된다. 비밀번호는 역시 사업자번호이다.
5. 휴대용 저장 매체
A. 휴대용 저장 매체는 하단의 별도 관리규정을 준수한다.
B. 데이터 이동을 위해 사용한 휴대용 저장 매체는 사용 후에 자료가 남아 있지 않도록 한다.
C. 지정된 휴대용 저장 매체 외에 별도의 또는 개인용 휴대용 저장 매체는 허가하지 않는다.
구분
기본규정
사용범위
사용허가
등록절차
반출절차
폐기절차
매체보호 및 사용절차
기 준
"허가받지 않은 임직원 개인 소유 휴대용 저장 매체 및 개인소유 PC/노트북의 사내 사용 금지.
업무상 필요한 휴대용 저장 매체는 보안관리자가 고유 번호를 부여하고 등록한 것만 가능"
사내 3D 프린터 데이터 이동, 대용량 데이터의 이관, 회사용 공인인증서 등에 보안관리자가 사용
보안관리자가 승인한 것만 사용 가능
보안관리자가 고유 번호 부여 및 등록
반출 불가
보안관리자에게 반납
사용 후에는 반드시 내부 데이터를 완전히 삭제
6. 클라우드 저장 매체
A. 회사 네트워크 외에 외부의 클라우드 저장 매체는 A의 통제 아래 제한적으로 사용한다.
B. 사용 권한은 A나 B가 지정하는 자에 한정한다.
C. 클라우드 저장 매체에는 고객사와 관련된 자료를 저장하지 않는다.
D. 개인 용도의 클라우드는 회사 PC에서 사용할 수 없다.
제9조 (기타 시설 운용 및 접근 주의)
CCTV, Router, Hub 등의 네트웍 자산의 경우 A 외에는 절대로 물리적, 소프트웨어적 접근을 허용하지 않는다.
1.CCTV
A. 내부 보안 및 사고 발생 시 이의 확인을 위하여 내부 활동 영상을 저장한다.
B. 영상은 움직임이 있을 때만 촬영되며, 각각의 카메라별로 1개월 분량의 HD급 이상의 영상 정보를 기록한다.
C. 영상정보는 별도의 저장장치에 보관한다.
D. 영상정보의 확인은 CCTV의 연결에 따라 다르며, 경우에 따라 회사 서버 또는 제공되는 웹사이트 및 모바일 기기에서 확인 가능하며, A에 의해서만 또는 A가 허가한 직원에 한하여 접근할 수 있다.
E. 정보주체의 영상정보 열람 등의 요구는 관련 법률을 따른다.
F. 운영 및 관리 책임은 A가 담당한다.
2. 무선공유기
A. 직원들과 고객용을 별도로 운용한다.
B. 운영 및 관리 책임은 A가 담당한다.
제10조 (보안 교육과 감독 등)
1. 보안 교육 : A와 B는 자체 계획을 수립하여 보안교육을 한다.
A. 모든 임직원이 정보보호 교육 계획에 따라 주기적으로 교육하도록 계획을 수립한다.
B. 대상 : 회사의 모든 임직원 및 회사 관련 제삼자를 포함한다. (협력업체 상주인력)
C. 주관 팀 : 교육 및 전체 일정은 보안관리자가 계획을 세우고 추진한다.
D. 교육 세부 계획 : A는 다음과 같은 계획에 따라 정기교육 계획 및 진행을 한다.
2. 감독, 보안감사와 지도, 점검 : 각 B는 담당 부서에 대하여 자체 보안 감사 또는 지도, 점검을 한다.
A. 정기 감사 및 점검은 매년 1회씩 실시한다.
B. 예고하지 않은 감사로 준비되지 않은 상황을 점검할 수 있다.
3. 보안사고 : 다음 각 호의 보안사고 발생 시 즉각 보고하고. 징계를 의뢰할 수 있다.
A. 비밀의 누설 및 전파, 도난 또는 손실.
B. 보안 대상의 자재 또는 시설에 대한 의도적인 파괴 행위
C. 기타 보안상 중대한 사고 발생
4. 권한의 위임 : A가 권한을 위임할 시 위임된 권한의 범위 내에서 B가 권한을 행사할 수 있다.
5. B가 부재중일 경우는 조직도상 차 하위직 직원이 담당한다.
6. 보안위반자의 처리
A. 보안사고 발생 팀이나 위반자에 대하여 징계 조치를 할 수 있다.
B. 징계의 수위는 이사회에서 결정한다.
C. 회사는 시스템 및 네트워크 안전, 신뢰성 확보를 위한 보호 대책으로써 관련 법률에 의해서
내·외부의 위반자에 대한 고소·고발 및 손해배상을 청구할 수 있다.
대상
신규채용
인력
전 임직원
보안관리자
교육 시기
"입사 후 1주일 이내
(1시간)"
"반기별 1회 (2시간)
(상하반기 각 1회 - 3월, 9월)"
"보안규정 개정 등
변동 후 1개월 이내 (1시간)"
사례집 발생 시 마다 연 1회
"외부 위탁 교육일정
별도 수립"
내용
"담당 업무, 프로세스 및 업무 분담,
정보보안 기본 개념, 보안 행동 수칙 등"
"정보 보안 기본 개념, 사내 보안 규정 및 절차,
임직원 보안 행동 수칙, 침해사고/비상사례 및 대응 방법,
정보보안 규정 위반 시 상벌 규정, 법적 책임 등"
보안 사례집 회람
화재, 침해사고 발생 가정 모의 훈련
"정보보안 관리 체계 구축 및 운영,
해킹 방어와 시스템 보안 운영 등"
교육명
기본 교육
정기 교육
수시교육
훈련
심화교육
개별 교육
전체교육
(불참시
별도 교육)
보안 사례
시뮬레이션
개별 교육
방법
제11조 (이사회)
1. 회사의 중요한 보안정책의 수립, 수정과 보안사고의 대응 및 보안감사의 대응, 보안위반의 징계에 대한 사안을 결정하기 위하여 이사회를 구성할 수 있다.
3. 이사회는 회사의 상근이사들로 구성한다.
3. 이사회가 구성되지 않은 경우는 A가 권한을 행사한다.