문서관리 규정

Transcription

1 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 목차 1. 목적 2. 적용범위 3. 용어의정의 4. 책임과권한 5. 업무절차 6. 기록보존 7. 관련규정 8. 첨부 작성부서 작성 검토 승인 합 의 총무팀 결재 부서명 서명 부서명 서명 REV. 개정일 개정내용 보안관리규정제정 보안관리규정세부양식첨부 보안관리규정전면개정 개정이력 보안협의회대체기능관련조항의지칭변경공개등급을일반등급으로변경비밀번호설정자리변경 HS-P-C01-01 Rev.0 1/1 주식회사화신

2 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 1. 목적 본규정은주식회사화신 ( 이하 ' 회사 ' 또는 ' 당사 ' 라한다.) 의정보보호활동을위한기반조직을구성하고, 비인가자의부적절한행위로부터당사근무인원및시설을안전하게보호하는것과정보시스템에의하여처리, 저장, 소통되는자료를바이러스, 해킹등의위협으로부터보호하고취약요인을제거하여회사의정보보호관리를지속적으로이루어지게하는것을목적으로한다. 2. 적용범위 본규정은당사의모든임직원, 계약관계에있는자및출입자와정보자산이기록, 저장, 활 용되는모든매체, 전산장비및관련시설을포함한모든정보자산에적용된다. 3. 용어정의 3.1 관리적보안보안조직구성및운영, 보안정책및절차관리, 보안교육, 보안점검, 보안감사, 보안사고조사등의보안활동을의미한다. 3.2 물리적보안비인가자로부터회사의시설및인원을보호하기위한출입통제, 정보자산의반 출입통제, 상황모니터등의보안활동을의미한다. 3.3 상황모니터사업장내설치된 CCTV 또는경비인력운영을통해안전, 사고및보안현황을실시간확인하는것에관련한활동을의미한다. 3.4 기술적보안정보시스템의보호및정보시스템을통한유출을예방하기위한운영관리, 정보시스템접근통제, 개발및유지보수, 침해사고관리등의보안활동을의미한다. 3.5 정보시스템사용자에게원활한서비스의제공을목적으로하는하드웨어일체와주변장치및운영체제를포함한각종시스템소프트웨어및 DBMS를총칭한다. 3.6 네트워크회사의사업을영위하기위해사업장간에송수신되는정보혹은관련기관간에주고받는각종정보를전달하여주는각종시스템들을다양한형태로연결시켜주는유무선통신망을의미한다. HS-P-C01-01 Rev.0 2/2 주식회사화신

3 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 백업 예상치못하고바람직하지않은사건에의해발생할수있는정보서비스혹은정보자산의손상을최소화하고이를복구하기위해필요한복사본을만드는것을말한다. 3.8 복구사전에백업받았던복사본을이용하여이전의상태로전환하기위한 RECOVERY와단순히백업받았던자료를재설치하는 RESTORE 작업을총칭하여말하며, 복구를위해서는반드시백업이선행되어야한다. 3.9 단말기전산시스템의입출력장치를말하며, LAN 혹은 WAN으로연결된개인용 PC 및프린터, 콘솔, 스캐너장비등이포함된다 정보보안사고 ( 침해사고 ) 보호관리대상에속하는정보및정보시스템이무단으로파괴되거나, 유출, 변조되어정보보안관리체계에문제가발생하는경우를말한다 웹메일로그인과로그아웃의과정을거쳐웹브라우저를이용해서메일을보낼수있는방식의메일서비스를말한다 VPN (Virtual Private Network) 인터넷과같은공중망을사용하여, 사설망을구축하게해주는기술혹은통신망의총칭이다 P2P (Peer to Peer) 인터넷상에서이루어지는개인대개인의파일공유기술및행위를말한다 웹하드 / 웹폴더인터넷을통해모든형태의자료를보관 / 이동 / 공유하거나, 파일의보관 / 업로딩및다운로딩이가능한정보저장서비스를말한다 DMZ (Demilitarized Zone) 방화벽구성시외부로노출되어야할서버나 PC 등을위해구성된네트워크영역을말한다 FTP (File Transfer Protocol) 인터넷을통하여어떤한컴퓨터에서다른컴퓨터로파일을송수신할수있도록지원하는프로토콜을말한다. HS-P-C01-01 Rev.0 3/3 주식회사화신

4 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 LAN (Local Area Network) 범위가그리넓지않은일정지역내에서다수의컴퓨터나 OA기기등을속도가빠른통신선로로연결하여기가간에통신이가능하도록하는근거리통신망을말한다 IP (Internet Protocol) Address 인터넷을사용할때단말기에할당되는고유한주소를말한다 공중망 (Public Network) 불특정다수에게서비스할수있도록통신업체들이구축한통신망으로일반적인사용되는인터넷망을말한다.. 4. 책임과권한 4.1 임직원및계약관계에있는모든인원가. 본규정및관련지침에서정하는보안정책을준수해야한다. 나. 보안교육에참석할의무가있고, 자체점검등회사보안활동에적극협조해야한다. 다. 영업비밀을과도하게취득, 보관하거나사외로무단반출하는등보안사고의개연성이있는행위를해서는안된다. 라. 회사의정보자산반출시정해진절차에따라야하며, 임의판단으로반출할수없다마. 사원증은항상패용해야하며사원증을타인에대여, 공유하지않는다바. 보안사고를발견하였을경우팀 ( 부서 ) 별보안책임자또는보안담당조직에즉각해당사실을알려야한다. 사. 회사의보안규정을위반하는경우다음과같은인원에책임이있다. 아. 임직원이보안규정위반 : 위반자및소속팀 ( 부서 ) 장자. 방문자가보안규정위반 : 출입허가를요청한임직원 4.2 방문자가. 출입증을소속회사의직원이나, 타인에대여, 공유하는행위를해서는안된다. 나. 카메라또는카메라폰과같은영상기록장치를이용한임의촬영을금지한다. 다. 당사에서공식적으로제공된자료외어떤자료도취득, 사용해서는안된다. 라. 당사에서요구하는보안조치위반시사규와관련법령에따른모든책임을진다. 마. 출입증을대여하거나본목적과다르게사용하는등오남용적발시해당자는출입 HS-P-C01-01 Rev.0 4/4 주식회사화신

5 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 증회수및출입금지조치되며, 소속사대표이사에재발방지대책을제출하도록한다. 바. 보호구역내에서는당사의동제에따라야하며이를위반시강제퇴실또는퇴장된다. 사. 당사자료를무단으로취득, 활용하거나유출을시도하는경우 : 관련법령에따른민형사상책임을진다 HS-P-C01-01 Rev.0 5/5 주식회사화신

6 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 5. 업무절차 5.1 관리적보안 보안조직 가. 보안조직구성및관리주체 1) 전사보안조직의구성및관리는총무담당팀 ( 부서 ) 에서주관한다. 2) 총무담당팀 ( 부서 ) 는보안에대한임직원의역할과책임을정의하고, 보안조직의변경사항을매월확인하고그현황을유지한다. 3) 2.4 보안조직업무분장 에따로정하지않은내용은총무담당팀 ( 부서 ) 에서주관한다. 나. 보안협의회 1) 회사는전사업장에보안업무의효율적인운영및관리에관한사항을심의, 의결하기위한보안협의회를임원회의로그기능을대신할수있다. 다. 보안조직도 1) 담당자의팀, 성명을포함한조직도를작성하여별도보관한다 보안조직업무분장 ( 책임과역할 ) 가. 대표이사 1) 보안총괄책임자로서보안에관련한모든정책을결정한다. 2) 보안업무를기획, 시행하도록전사보안책임자에지시하고시행상황을관리감독한다. 나. 전사보안책임자 1) 총무담당팀 ( 부서 ) 장으로회사모든보안업무를최고경영자에게보고하고시행한다. 2) 회사의보안규정을수립하고교육, 공지등을활용하여적용한다. 3) 보안관련법령및관련사의보안정책변경등외부환경변화에따른회사의보안정책을재검토하고필요시보안규정에반영하거나보안교육, 점검, 감사등의조치를시행한다. 4) 보안교육및홍보를주관한다. 5) 보안사고발생시외부수사기관과의연계여부를판단하고대책수립및징계를시행한다. 6) 정보자산의정기적인점검을통해취약성조사및대응방법을마련하여보안사고 HS-P-C01-01 Rev.0 6/6 주식회사화신

7 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 를사전에예방한다. 다. 전사보안담당자전사보안담당자는물리보안담당자, 관리보안담당자, 기술보안담당자로역할을구분하고, 규정에서정한보안업무를수행한다. 1) 물리보안담당자가 ). 각팀 ( 부서 ) 에서요청하는보안구역설정을검토, 승인하고, 그결과를요청부서에회신하고이를현황으로관리해야한다. 나 ). 물리보안시스템을운영하며관련된절차를수립하고, 그절차에따라운영현황을관리하며필요시전사보안책임자담당자에보고, 조치한다. 2) 관리보안담당자 가 ) 교육계획을수립및시행하고, 각종보안이벤트시행, 모니터링, 정보자 산에대한정기적인점검등을통한보안사고예방활동을수행한다. 나 ) 보안사고발생시이에대한조사, 조치활동을담당한다. 3) 기술보안담당자가 ) 정보기술관련한전부문의보안업무를총괄하여수립및시행한다. 나 ) 정보기술보안운영계획및보안감사계획을수립하고시행한다. 다 ) 정보기술보안에관련한별도의세부지침을마련하여시행한다. 라 ) 정보기술보안시스템의관리및성과분석을실시한다. 마 ) 전산자산의안정적운영및보안대책을마련하고실시한다. 바 ) 5.3 기술보안업무절차에 규정된내용을계획하고시행한다. 사 ) 전산자산의취약점이발견되면전산담당자에게개선을요청해야하며, 패치를실시한다. 아 ) 내 외부전산장비에대한보안점검을실시한다. 자 ) 보안규정상의보안업무수행사항을적용및실행한다. 차 ) 보안사고발생시기술적인조사, 조치등을지원한다. 카 ) 위각호에대한결과를대표이사또는전사보안책임자에게보고한다. 라. 팀 ( 부서 ) 보안책임자각팀의팀 ( 부서 ) 장으로해당팀 ( 부서 ) 내보안업무를수행, 조정, 감독한다. 1) 팀 ( 부서 ) 내각종기업비밀의보안성검토및보안문서여부를결정한다. 2) 팀 ( 부서 ) 내자체보안점검이정상적으로이행되고있는지확인하고감독한다. 3) 팀 ( 부서 ) 내시건장치등이적절히사용, 관리되고있는지확인하고감독한다. HS-P-C01-01 Rev.0 7/7 주식회사화신

8 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 4) 팀 ( 부서 ) 원보안교육실시를주관한다. 5) 팀 ( 부서 ) 보안담당자를임명한다. 6) 팀 ( 부서 ) 내보안사고발생시또는발생할우려가있는경우전사보안책임자에게통보한다. 7) 팀 ( 부서 ) 의업무와관련있는장소가보안상출입을제한할필요가있는경우물리보안담당자에보호구역설정을요청한다. 8) 회사의보안정책이효과적으로이행될수있도록적극지원한다. 마. 팀 ( 부서 ) 별보안담당자 1) 팀 ( 부서 ) 별보안책임자가임명한자로팀 ( 부서 ) 보안책임자의권한을대행하여팀 ( 부서 ) 내보안현황을관리하고, 보안점검, 보안교육등팀 ( 부서 ) 과관련한보안활동을수행한다. 2) 팀내보안점검을시행후팀 ( 부서 ) 내보안현황, 문제점등을팀 ( 부서 ) 보안책임자에보고하고, 지시에따라개선을이행한다. 3) 전사보안담당자가소집하는팀보안담당자회의에참석하여, 팀 ( 부서 ) 입장을대변하여보안정책결정에참여하며, 정해진보안정책을팀내전파하는역할을수행한다 보안서약서가. 영업비밀의법적인보호와임직원의보안인식제고를위해정보보호서약서를작성하여제출토록한다. 나. 관리보안담당자는징구대상과서약서징구현황을표로관리해야하며, 누락이있는지매월점검하고누락이확인되는경우원인을파악후전사보안책임자에보고, 조치한다. 다. 임직원, 제 3 자구분없이정보보호서약서를제출한인원만당사사업장출입및정 보자산을사용할수있다. 라. 서약서를제출하지않은인원에는사업장출입권한및시스템사용권한을부여해서는 안되며, 이에대한관리책임은관리보안담당자에있다. 1) 임직원 가 ) 임직원은입사시정보보안에대한중요성을숙지하여 정보보호서약서 를 작성후채용담당자에게제출해야한다. 정보보호서약서 는관련법령및 정보의기밀사항에관하여지켜야할사항을명시해야한다. HS-P-C01-01 Rev.0 8/8 주식회사화신

9 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 나 ) 임직원은퇴사시본인이보호해야할영업비밀의내용과보호기간, 부정경쟁방지등에관한법령준수및법적책임등이포함된 퇴직자영업비밀유지서약서 를작성제출해야한다. 2) 제 3 자 ( 일반용역, 외주인원 ) 가 ) 일반용역을포함한외주인원은계약시 제 3 자보안서약서 를작성하여각 소속사에제출하여야하며, 소속사관리담당자는외주용역관리부서에 제출해야한다. 나 ) 계약서는회사에서정한표준계약서를사용해야하며, 표준계약서에는 회사의보안규정을준수할것과외주인원및외주인원의소속사에 보안책임이있음을공지하는내용이포함되어야한다. 다 ) 기술용역또는기술자료교환이있는계약의경우회사의 정보자산보호 / 관리를위해당사의보안점검에외주인원소속사도포함이 되어있음을고지하는문구를포함한계약서를사용해야한다. 3) 중요업무수행자 가 ) 중요프로젝트를수행하는임직원및외부인원은프로젝트의존재사실및 프로젝트를수행하는동안알게된일체의영업비밀에대한비밀유지를 서약하는 프로젝트보안서약서 를작성해야한다. 나 ) 프로젝트보안서약서 는프로젝트명, 수행기간, 본인의업무등이 명기되어야한다. 다 ) 서약서를제출하기전에는프로젝트에투입할수없으며, 이를위반한경우 관련담당자, 팀장을보안위반자로조치한다 보안교육가. 전사보안책임자 1) 전임직원에대해연 2 회이상보안교육을실시해야하며필요한경우대표이사의입회를요구할수있다. HS-P-C01-01 Rev.0 9/9 주식회사화신

10 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 2) 신입사원입사시관리, 물리, 기술각보안영역에대한회사의정책과 신입사원이알아야할주요규정, 지침, 절차를교육하고, 그결과를문서로 유지해야한다. 3) 보안정책변경등사유발생시 2 주이내에팀 ( 부서 ) 보안담당자에공지및 소집교육등을통해교육을실시해야한다. 나. 팀 ( 부서 ) 보안책임자 1) 내 / 외부보안사고발생등보안상필요하다고판단하는경우팀원에대한 보안교육을실시할수있다. 2) 사내규정변경등전달사항이있는경우팀 ( 부서 ) 보안담당자가팀내 전달교육을시행하도록한다. 3) 팀내해외주재원근무대상자가발생하는경우명령발령일 2 주이내에 팀 ( 부서 ) 보안책임자는해외근무시필요한보안조치에대해보안교육을 실시해야한다 퇴직자관리가. 인사담당부서 1) 퇴직자에대해 퇴직자영업비밀유지서약서 를퇴직서류에포함하여징구해야한다. 2) 퇴직자영업비밀유지서약서를제출하지않는인원에는해당양식을송부하여제출 을독려해야하며, 이에대한기록을문서로유지해야한다. 3) 인사담당부서는퇴직후동종업계로전직한사실을인지한경우당사에서취득한 영업비밀이제공되었는지를확인하고전직금지가처분신청등관련법적조치를 취한다. 나. 팀 ( 부서 ) 보안책임자 1) 팀내퇴직이예정되거나, 퇴직명령이발령된직원에대해재직기간동안습득한모든영업비밀은경우를막론하고대외로유출하여서는안되며이를위반할시 퇴직자정보보호서약서 에의거하여민형사상의책임을질수있음을공지할의무가있다. HS-P-C01-01 Rev.0 10/10 주식회사화신

11 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 2) 퇴직 ( 예정 ) 자가근무기간동안습득한모든영업비밀을소속팀 ( 부서 ) 에인계하 도록하고, 개인이소지한영업비밀은회사에반납또는재사용불가한상태로 파기하도록요청하고퇴직자면담서류등에이에대한사항을기록한다. 다. 임직원 1) 임직원은퇴직자가동종업종또는경쟁사에재취업하는것을인지하였을경우즉 각전사보안담담부서에통보해야한다. 라. 기술보안담당자및물리보안담당자 1) 퇴직명령일을기준으로 48 시간이내에퇴직자에대한출입및시스템상의모 든접근권한을절차에따라모두삭제한다. 2) 1 개월에 1 회퇴직자의권한이정상적으로회수되고있는지현황을확인하고전 사보안책임자에보고한다. 누락이확인되면그원인을확인하고개선조치를이행 한다. 3) 업무인수 / 인계를목적으로팀 ( 부서 ) 보안담당자가서면으로요청하는경우최대 2 주기간동안권한삭제를유예할수있다. 권한회수유예로문제가발생하는 경우팀 ( 부서 ) 보안담당자에도책임이있다. 4) 퇴직발령게시지연등의사유로권한회수가정상적으로처리되지않은경우, 그 차이기간동안출입 / 시스템사용기록을모두확인하고, 팀 ( 부서 ) 보안담당자에확 인을요청하고그결과를포함하여전사보안책임자에보고한다 보안위반자관리가. 전사보안책임자 1) 위반사항의경중을판단하여, 경미한위반의경우전사보안책임자명의의주의조치를해당직원및소속팀 ( 부서 ) 장에통보하며, 중요한위반이라고판단되는경우대표이사에게보고후규정에따라조치한다. 2) 보안위반에대한징계는취업규칙과인사규정에정한징계종류및절차에 따른다. HS-P-C01-01 Rev.0 11/11 주식회사화신

12 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 3) 유사사고재발방지를위해대책을수립, 시행하고, 징계결과는임직원전원에게 공지한다 나. 임직원 1) 정보보안규정 및관련지침 / 절차를위반한사실을인지하는경우 전사보안책임자또는전사보안담당자에즉시위반사실을통보해야한다. 2) 본인의실수또는의도하지않게정보가노출, 제공되었음을확인하는경우 전사보안담당자또는전사보안책임자에관련사실을통보해야한다 위반자경중판단기준가. 경미한위반 1) 위반내용이실수또는과실에의한단순한규칙 / 지침위반이라고인정되는경우 2) 위반이력이없는임직원이규정, 절차등의미인지로규칙 / 지침을위반한경우 3) 본인의위반사실을통보해온경우중중대한위반에사유가되지않는경우 4) 위반회수에따라다음과같이조치를상향한다 가 ) 1 회위반 : 당사자구두경고 나 ) 2 회위반 : 당사자서면경고 ( 시말서 ) 및팀 ( 부서 ) 장구두경고 다 ) 3 회위반 : 당사자및팀 ( 부서 ) 장서면경고 ( 시말서 ) 라 ) 4 회이상 : 고의적정책미준수로중대한위반으로상향 나. 중대한위반인사징계위원회에회부하여경고이상의징계를시행한다. 1) 고의로보안규정, 절차, 지침을우회하는행위를한경우 2) 보안사고와직, 간접적으로관련된사안으로인정되는경우 3) 중대한과실이거나, 동일한위반을반복적으로지적받는경우 정보자산분류가. 분류주체및주기 1) 팀 ( 부서 ) 보안책임자는각팀단위로분류기준을마련하고, 이를바탕으로정보 HS-P-C01-01 Rev.0 12/12 주식회사화신

13 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 의생성자 ( 문서작성자 ) 가최초분류를시행하도록공지, 점검한다. 2) 임직원은문서를생성할때분류기준에따라등급을구분하여회사보안정책이 준수되도록분류기준을인지하고, 항상분류된상태로문서를관리한다. 3) 팀 ( 부서 ) 보안담당자는팀내업무변동사항발생시 2 주이내, 특별한변동사항 이없는경우에도년 1 회정기적으로검토 / 조정을시행한다. 4) 등급이분류된정보자산은인식할수있도록관리해야한다. 나. 정보자산의구분 1) 정보자산은 비밀 (Secret), 대외비 (Internal Use Only), 일반 (General) 으로 등급을구분한다 2) 비밀, 대외비는당사영업비밀로구분되며 라. 항의영업비밀관리기준 및관련규정을준수해야하며, 공개등급의문서는관리대상에서제외한다 3) 임직원 ( 계약관계에있는자포함 ) 에의해작성된모든문서는재분류전까지 대외비로취급하며, 관련규정을준수하여야한다. 4) 대외비는모든임직원이사용할수있으나, 사외에노출되는경우회사에손해를 끼치거나해로운결과를초래할우려가있는자료를말한다 5) 정보자산은일반, 대외비또는비밀로재분류할수있다 6) 일반등급은대외로노출, 공개되는경우도특별히문제가되지않을내용으로 공시자료등대외공개를목적으로만들어졌거나. 인터넷검색등을통해쉽게 취득할수있는자료를말한다 7) 비밀등급은업무상관련있는임직원만제한적으로사용이허용되는자료로, 사외로노출되는경우회사에상당한손실을초래하거나, 회사사업계획의폐기, 수정, 영업손실등을초래할우려가있는자료를말한다. 8) 보안등급의추가지정이필요한경우전사보안책임자의승인을얻어 극비 등급을지정, 사용할수있다 다. 정보자산의관리 HS-P-C01-01 Rev.0 13/13 주식회사화신

14 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 1) 전사보안책임자는팀 ( 부서 ) 단위에서작성할수있는정보자산분류기준 ( 템플릿 ) 을 제공해야한다. 2) 전사보안책임자는 1 년에 1 회이상팀 ( 부서 ) 별로파악된정보자산의리스트를 총괄취합 / 보관하여야한다. 라. 영업비밀관리기준 1) 영업비밀의정의가 ) 영업비밀 이란비밀로유지된생산방법, 판매방법, 기타영업활동에유용한기술상또는경영상의정보를말하며, 회사가사용을위하여타사와의계약관계등을통하여도입한타사의영업비밀을포함한다. 2) 영업비밀의보관및관리가 ) 영업비밀은생성시원본문서에해당등급을표기해야하며, 생성과정에있는중간산출물및해당내용의일부를사용한문서도동일한방법으로관리되어야한다. 나 ) 출력된영업비밀에는그등급이매페이지마다쉽게식별가능하도록표기 되어야하며, 출력시표기하지못한문서의경우출력후고무인등을 활용하여표기한다. 다 ) 출력된영업비밀은개방된장소에보관해서는안되며, 시건장치가있는 장소에보관하고팀 ( 부서 ) 보안책임자가지정하는자가관리한다. 라 ) 출력된영업비밀은보존기간이만료되면 1 개월이내에복원할수없는 형태로파기한다. 단, 업무적이유로파기를유예할필요가있는경우 목적과유예기간등을서면으로전사보안책임자에보고후보관한다. 마 ) 영업비밀이휴지통, 공용회의실등직원이통제할수없는장소에방치된 경우문서의출력자, 해당팀장을보안규정위반으로조치한다. 3) 영업비밀의이관가 ) 보직변동으로해당영업비밀을소유할필요가없는경우전보자는 업무인수인계서 에취급영업비밀의인수인계내용을작성하고, 전자문서및출력문서등모든종류의영업비밀을인수자에인계한다. HS-P-C01-01 Rev.0 14/14 주식회사화신

15 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 나 ) 팀 ( 부서 ) 별보안책임자는인계 / 인수절차에따라영업비밀이적절히이관되었는지확인하고인계자소유하고있는영업비밀이모두파기되었는지확인한다. 다 ) 업무상이유로기존영업비밀의일부를전보된부서에서사용할필요가있는경우그목적과파일의목록을이전팀 ( 부서 ) 보안책임자에서면으로보고후활용할수있다. 서면보고과정없이보유하는경우이유를막론하고고의적인정보취득으로보안위반자처리규정에따라조치한다. 4) 영업비밀의배포및반출가 ) 영업비밀을본인의업무와직접적으로관련이없는곳으로반출할사유가발생하거나국가기관등외부에서요청한자료의범위에영업비밀이포함되는경우전사보안책임자의사전승인을얻어반출한다. 나 ) 본인의업무수행을위해, 사외반출하는경우반출처와반출일시, 반출내역을회사가정한양식에따라작성하여, 주간단위로팀 ( 부서 ) 보안책임자에보고하고, 결재를받아보관한다. 단, 기술자료 ( 도면 ) 를배포 / 접수할수있는시스템이구축된경우별도의기록을작성하지않고시스템로그로대체한다. 다 ) 영업비밀의반출이력은 2 년이상보관되어야하며, 필요시쉽게조회가능한상태로관리되어야한다. 사내배포의경우영업비밀의소유권자 ( 작성자 ) 의판단에따라회사가정하는보호조치가적용된상태로필요한인원에한정하여배포한다. 라 ) 본인이작성한영업비밀이아닌경우배포, 반출할수없으며, 작성자의 승인을얻거나작성자에반출, 재배포를요청해야한다. 5) 영업비밀의파기 가 ) 전자문서형태의영업비밀은회사가정하는소프트웨어를활용하여복원 불가한상태로파기해야하며, 사본도같은방법으로파기한다. 나 ) 전자문서이외의영업비밀은문서세단기를사용하여원형을확인할수없는 상태로파기해야한다. 임직원이사용할수있는문서세단기가설치되지않은 경우전사보안책임자는별도의파기절차를수립하여운영해야한다. HS-P-C01-01 Rev.0 15/15 주식회사화신

16 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 다 ) 전자문서파기용소프트웨어를지정, 공지하지않은경우파기에대한 책임은전사보안책임자에있다 준거성가. 전사보안책임자는보안관련법령이개정되거나, 고객사의보안정책이변경되는경우내부규정, 절차, 지침에영향이있는지전사보안담당자를통해검토해야하고필요시개정해야한다. 나. 검토결과, 개정이불필요하다고판단되는경우에는검토이력을문서로유지해야한다. 다. 전사보안책임자는법령개정및고객사정책변경등변경사항을내부규정변경사항과함께전임직원이인지할수있도록공문또는게시판을통하여공지해야하며, 필요시별도교육을실시해야한다. 라. 기술보안담당자는시스템의취약점을주기적으로점검하여, 내부규정또는외부법령에위반사항이없도록확인하고개선이필요한경우전사보안책임자, 전사보안책임자에보고하고조치한다 보안점검가. 목적회사에서정한보안통제가적절히이행되고있는지확인함으로써, 잠재적인정보보안침해의가능성과그로인한피해를최소화하는데그목적이있다. 나. 시행주체및주기 1) 전사보안책임자의주관하에사전계획에따라시행하며점검 / 감사를시행할인원은전사보안책임자가지명하고전사보안책임자의승인을받은임직원으로한다. 2) 점검은년 2 회반기별로시행하고전팀 ( 부서 ) 가점검대상이되도록계획 / 시행한다. 3) 보안점검은임직원의일상적인준수사항위주로시행하고, 관리여부를 검증하는데활용한다. 4) 다음의경우상기일정과별도로점검을실시할수있다. 가 ) 전사보안책임자가필요하다고인정할때 나 ) 보안사고의발생우려가있을때또는보안사고발생시 HS-P-C01-01 Rev.0 16/16 주식회사화신

17 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 다. 점검대상 본규정 2. 적용범위에서정한범위를대상으로한다. 라. 점검시행 1) 임직원은정당한사유없이점검을지연하거나, 거부할수없다. 부득이한경우 전사보안책임자서면보고후, 승인된경우에한하여일정을조정할수있다. 2) 점검이완료되면전사보안담당자는그현황을전사보안책임자에보고하고 [ 경미한위반 ] 으로확인된사항은관련팀 ( 부서 ) 보안책임자에게개선을요청 한다. 3) 팀 ( 부서 ) 보안책임자는요구된개선사항에대한조치방법 / 일정을전사보안담당자에회신하고, 계획에따라조치후완료여부를전사보안담당자에통보하는것으로개선조치를종료한다. 조치는통보받은시점부터 4 주이내에완료해야하며, 그이상의기간이소요될것으로판단되는경우전사보안담당자를통해전사보안책임자에별도보고한다. 4) 전사보안담당자는팀 ( 부서 ) 에요청한개선사항의완료가모두확인되면, 전사보안책임자에게점검에대한개선완료보고한다. 단, 완료보고는점검완료시점부터 30 일을초과할수없으며, 4 주이내완료통보하지않은팀 ( 부서 ) 는 미조치 로처리한다. 5) 전사보안담당자는점검 / 감사결과 [ 중대한위반 ] 으로판단되는사항에대해서는 전사보안책임자보고후당사규정에서정한절차에따라조치한다. 6) 모든점검결과및위반자처리결과는 3 년이상유지해야한다. HS-P-C01-01 Rev.0 17/17 주식회사화신

18 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 물리적보안 보호구역설정 가. 보호구역의정의 1) 보호구역이라함은업무수행에있어비밀보호가필요한지역을말하며, 그중요도에따라 제한구역 과 통제구역 으로구분하며, 보호구역의세분화관리를위하여 제한지역 을추가하여구분할수있다. 2) 제한구역 : 상주직원이외에출입이금지되는보안상중요한구역으로, 비인가자의출입을방지하기위하여출입에안내가필요한지역을말한다. 3) 통제구역 : 비인가자의출입이금지되는보안상극히중요한구역으로, 비인가자의출입시사전에반드시관리책임자의승인을받아야출입이가능한지역을말한다. 4) 제한지역 : 비밀이나중요시설, 자재및중요문서등을보호하기위하여일반출입자에대한감시가요구되는지역으로, 별도의승인내역없이출입할수있는구역이나, 회사의보안관리범위에있는지역을말한다. 나. 보호구역의지정 1) 사업장보안책임자는비밀보호의중요도에따라보호구역을지정하여야한다. 2) 회사의영업비밀및자산의보호를위하여외부인의출입을제한하여야하는지역은제한구역이상으로지정하며, 임직원및외부인은절차에따라승인후출입한다 3) 보호구역으로설정된지역은비인가자의진입을방지하기위한통제장치의설치및보호활동을하여야하며, 출입기록을유지하여야한다. 4) 비밀보호를위해임직원의출입을통제하여야할필요가있는지역은통제지역으로지정하며, 사진촬영및비인가임직원의출입을제한한다. 5) 통제구역은팀 ( 부서 ) 보안책임자의의견을수렴하여물리보안담당자가설정하고전사보안책임자및전사보안책임자에보고후시행한다. 다. 보호구역표시 1) 보호구역의출입시쉽게확인이가능한출입문중앙또는잘보이는곳에부착한다. 2) 보호구역의표지는시설보호및출입통제지침 3.2항을따른다. HS-P-C01-01 Rev.0 18/18 주식회사화신

19 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 라. 출입관리 1) 임직원은본인근무지역및제한지역의출입이가능하며, 외부인은회사내업무목적으로필요한경우에방문을요청하여야하고, 방문신청은외부인을관리 / 통제할수있는부서에서신청및승인한다. 2) 외부인은각출입문또는안내데스크에서신분확인및방문증을수령하여출입하여야한다. 3) 업무적계약이나장기적으로사업장내출입하는인원은장기출입증발급후출입하여야한다. 마. 출입증운영 1) 임직원출입증 : 전임직원의무적발급및출입의ㅣ목적으로사용되는사원증 2) 외부인출입증 : 당사임직원이출입허가를요청한자에발급하는출입증 자산반출 입통제가. 반출 입통제항목 1) 반출 입통제항목은일반자산및정보자산으로분류한다. 2) 일반자산통제항목 - 생산및운영에필요한자재및부품, 완성품또는이에준하는자산 3) 정보자산통제항목 - 컴퓨터류 ( 휴대형포함 ), 서버류, 저장매체류등의정보처리및저장장치또는이에준하는자산 - 기타보안운영부서 ( 팀 ) 에서선정한정보자산 4) 기타통제하기어려운세부항목에대하여서는보안운영부서 ( 팀 ) 에서검토및선정하여세부지침에명기할수있으나, 최소한으로분류토록한다. 나. 반출 입통제관리 1) 당사소유및비소유자산등의모든통제대상자산에대하여사업장내반출입시에는반드시해당자산에대하여관리, 통제할수있는부서 ( 팀 ) 의승인절차를반드시운영토록한다. 2) 외부인에의한자산반출 입일지라도업무목적이외의행위를하거나회사에유해한행위를하였거나, 시도할경우승인을한임직원에게도책임이있다. 3) 관리, 통제할수있는부서 ( 팀 ) 의승인이있더라하더라도당사보안목적달성을저해하는항목에대하여서는보안운영부서 ( 팀 ) 에서반출 입을통제할수있다. HS-P-C01-01 Rev.0 19/19 주식회사화신

20 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 CCTV운영및시설감시가. 기본원칙 1) 차량및인원이출입하는지역은상시감시하여야한다. 2) 중요 ( 보안 ) 시설에대하여는 CCTV 및보안요원 ( 인원 ) 에의한감시를하여야하며, 사업장특성에따라운영이불가한경우무인경비시스템을운영할수있다. 3) CCTV는보안및화재, 도난등에대한구체적이고실질적인위험발생우려가있는장소에한하여설치되어야하며, 설치목적에맞게운영되어야한다. 4) CCTV를설치 운영할때에는주출입구등쉽게인지가가능한장소에 CCTV가설치운영중임을알아볼수있도록안내판을설치 ( 부착 ) 하여야한다. 나. 관리책임 1) 물리보안주관팀장은경비인력 /CCTV의관리및운영에대한책임을지며업무를위탁하는경우위탁계약서에관계법령에의거개인정보보호에관한준수사항을규정하여야한다. 2) 관리책임자는사업장출입등의목적으로수집된개인정보및 CCTV운영에따라수집된영상정보에대하여운영자가수집목적외조작 유출등오남용하지않도록관리 감독하여야한다. 다. 정보의처리 1) 보관기간이만료된개인정보 ( 영상정보포함 ) 는지체없이삭제하여야하며, 복원이불가능하도록파기하여야한다. 2) 영상정보를취급 ( 모니터링 ) 하는장소및보관장소는제한구역이상의보호구역으로설정하여관계자외접근을통제하여야한다. 3) 영상정보는 CCTV의설치목적이외의용도로활용되거나, 접근권한을부여받은자이외의타인에게열람제공되어서는안된다. 다만법령에의하거나정보주체의요청에의하여열람및자료를제공하여야할경우에는사전관리책임자의인가를득해야한다. 라. 기타세부사항 1) 본규정에언급되지않은사항및세부적인내용은 시설보호및출입통제지 침, CCTV 운영및시설감시지침 및 정보자산반출통제지침 에따른다. HS-P-C01-01 Rev.0 20/20 주식회사화신

21 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 기술보안업무절차 사용자보안지침 가. 목적 1) 업무상목적으로회사에서지급한데스크탑PC 및노트북 ( 이하 PC 라한다.), 프린터, 스캐너등개인업무용전산장비의정보기술보호를위한요구사항을제공함에그목적이있다. 나. 관리항목 1) 개인용전산장비도입, 운영및폐기에대한지침이마련되어야한다. 2) 개인용전산장비는 8자리이상의로그인, 화면보호기비밀번호가설정되어있어야한다. 3) 모든 PC에는회사업무용목적으로사용되는회사에서배포되는프로그램만설치가가능하며, 불법 S/W 사용에대한책임은본인에게있다. 4) 모든 PC에는악성코드실행방지솔루션등보안시스템이설치되어야하며, 사용자는최신업데이트및최신보안패치적용을해야하고, 그현황이유지되어야한다. 5) PC내의파일을공유할필요가있을경우, 비밀번호가설정된공유폴더를설정하여, 인가된사용자만접근할수있도록해야한다. 6) 공용PC에대한관리자를지정해야하며, 공용PC에는보안문서를저장할수없다. 7) 인터넷을사용하는경우회사의보안정책 ( 접근차단시스템등 ) 을준수해야하며, 승인되지않은인터넷망을사용하여서는안된다. 8) 보안문서는외부로공중네트워크 ( 인터넷등 ) 를거쳐전송하는것은불허하며, 부득이한경우는사전또는사후에관리자의승인을받아야한다. 9) 사용자는회사에서지급한 H/W 및 S/W의변경을임의로하여서는안되며, 이동형저장장치는승인절차를거친후사용해야한다. 다. 기타세부사항 1) 사용자보안지침 을따른다 네트워크보안가. 목적 1) 사내네트워크구성및외부네트워크연결시요구되는정보기술보호의수준을향상시킴으로써안정적인네트워크인프라를갖추는데그목적이있다. HS-P-C01-01 Rev.0 21/21 주식회사화신

22 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 나. 관리항목 1) 사내네트워크는외부에서접근이통제되는사설망을구축해야한다. 2) 외부에서공중망을통해내부네트워크로접속하고자할경우, 암호화및인증절차를통하여업무상의목적으로만사용해야하며, 접근기록을보관해야한다. 3) 중요도가높은시스템및네트워크는분리되어야한다. 4) 허가되지않은전산장치의회사네트워크사용을금지한다. 5) 외부방문객또는개인노트북의네트워크사용시정보기술보안관리자의승인을받은후사용해야한다. 6) 신규네트워크설치또는구성변경시테스트등검증과정을거친후승인절차에의해설치및변경해야한다. 7) 인가되지않은 AP는통제되어야하며, 무선랜은 WPA2이상의인증및암호화기법을적용해야한다. 8) 네트워크장비설정내용백업등장애발생에대비해야한다. 9) 네트워크장비의접근통제가이루어져야한다. 10) 네트워크의도입, 운영, 폐기에대한지침이마련되어야한다. 다. 기타세부사항 1) 네트워크보안지침 을따른다 시스템보안가. 목적 1) 시스템을다양한보안위협및취약성으로부터안전하게보호하고, 운영관리하는데그목적이있다. 나. 관리항목 1) 시스템의도입, 운영, 폐기프로세스에대한지침이마련되어야한다. 2) 시스템의도입및변경은적절한절차에따라승인되어야하며, 보안점검항목이지정되어있어야한다. 3) 시스템설치시기본적으로생성되는계정및사용하지않는계정은삭제및변경되어야하며, 반기 1회전체계정에대한검토를실시하여야한다. 4) 서버시스템에접근한기록은 1년이상보관되어야한다. 5) 시스템사용자계정의등록, 변경, 삭제는공식적인승인절차로이루어져야하며이력관리가되어야한다. HS-P-C01-01 Rev.0 22/22 주식회사화신

23 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 6) 모든사용자에게는유일한계정을부여해야하며, 계정공유현황을분석해야한다. 7) 비밀번호는영문, 숫자혼합으로 8자리이상이며, 3개월이내변경되어야한다. 8) 중요업무시스템은개발과운영시스템이분리되어야한다. 9) 어플리케이션의개발및변경은공식적인승인절차를준수하여야하며, 보안성검토및기능검증테스트후운영에반영되어야한다. 10) 테스트데이터는주민등록번호, 계좌번호등과같은개인정보및중요정보를포함하여서는안된다. 11) 데이터베이스에대한접근통제가이루어져야하며, 접근로그를 1년이상보관해야한다. 12) 시스템에대한주기적인취약점점검및조치가이루어져야한다. 13) 운영체제, 데이터베이스에대한백업및원격지소산이되어야한다. 14) 시스템장애에대비한복구계획이마련되어야하며최소년 1회모의훈련을실시하여야한다. 다. 기타세부사항 1) 시스템보안지침 을따른다 보안시스템운영 가. 목적 1) 보안시스템 ( 침입차단시스템, 악성코드차단시스템등 ) 을안정적, 효율적으로운영관리하기위한지침을제공하는데그목적이있다. 나. 관리항목 1) 보안시스템의도입, 운영, 폐기에대한지침이마련되어야한다. 2) 시스템은인가된사용자만이접근해야하며, 비밀번호는영문, 숫자혼합으로 8자리이상으로설정되어야한다. 3) 침입차단시스템은필요한서비스만을명시적으로허용하고, 그외는모두불허한다. 4) FTP와 P2P서비스는차단하며, 필요시승인절차를통해허용한다. 5) 이동형저장장치를통제할수있는시스템을구축하거나그에상응하는운영관리를해야하며, 장치별사용현황이분석되어야한다. 6) 보안시스템관리자는로그기능이항상가동되도록하고, 주기적으로모니터링및 HS-P-C01-01 Rev.0 23/23 주식회사화신

24 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 분석해야하며, 관련로그는 1 년동안보관해야한다. 7) 분기별 1 회이상취약점분석을통한취약점을보완해야한다. 다. 기타세부사항 1) 보안시스템운영지침 을따른다 IT 보안사고관리 가. 목적 1) IT 침해사고에대한대응및복구업무를포함하고있으며, IT 인프라에대한피해를 최소화하고재발방지를통하여정보자산의보안성과안정성을유지하는데필요한 지침을제공하는데그목적이있다. 나. 관리항목 1) IT보안사고발생시정보기술보안관리자는긴급히대응하고, 그처리결과를전사보안책임자또는대표이사에게보고해야한다. 2) 사내의모든사용자는침해사고발견시즉시정보기술보안관리자또는전사보안관리자에게보고해야한다. 3) 외부에서침입한흔적이의심되는경우정보기술보안관리자는보안진단도구나체크리스트를이용하여점검해야하며, 데이터의변조나불법접근이있을경우해당서비스를중지시킨다. 4) 침입자를식별하기위한증거수집및모든기록을유지관리해야한다. 5) 사안에따라공동작업이필요하다고판단될경우외부업체및대외기관에통보하고협조를요청한다. 6) 침해사고에의한정보시스템의장애시신속히복구되어야하며, 장애복구에대한모의훈련이주기적으로실시되어야한다. 7) 조치된사안에대해서는근본해결책을강구하고, 재발방지를위한대응책을마련한다. 8) 공개가허용된침해사고는임직원에게공지또는교육해야한다. 다. 기타 IT보안사고 1) IT보안사고대응지침 을따른다. HS-P-C01-01 Rev.0 24/24 주식회사화신

25 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정일자 개정번호 3 6. 기록관리해당사항없음 7. 관련문서가. 관리영역 1) HS-SP-GA01-01( 글로벌보안규정양식 ) 나. 물리영역 1) HS-SI-GA01 ( 시설보호및출입통제지침 ) 2) HS-SI-GA02 (CCTV 운영및시설감시지침 ) 3) HS-SI-GA03 ( 정보자산반출입통제지침 ) 다. 기술영역 1) HS-SI-IS01 ( 사용자보안지침 ) 2) HS-SI-IS02 ( 네트워크보안지침 ) 3) HS-SI-IS03 ( 보안시스템운영지침 ) 4) HS-SI-IS04 ( 정보유출통제지침 ) 5) HS-SI-IS05 ( 시스템보안지침 ) 6) HS-SI-IS06 (IT보안사고대응지침 ) 8. 첨부해당사항없음 HS-P-C01-01 Rev.0 25/25 주식회사화신

26 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 목차 1. 목적 2. 적용범위 3. 용어의정의 4. 책임과권한 5. 업무절차 6. 기록보존 7. 관련규정 8. 첨부 작성부서 작성검토승인합의 결 총무팀재부서명서명부서명서명 REV. 개정일개정내용 보안관리규정제정 개정이력 보안관리규정세부양식첨부 보안관리규정전면개정 HS-P-C01-01 Rev.0 1/29 주식회사화신

27 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 1. 목적 본규정은주식회사화신 ( 이하 ' 회사 ' 또는 ' 당사 ' 라한다.) 의정보보호활동을위한기반조직을구성하고, 비인가자의부적절한행위로부터당사근무인원및시설을안전하게보호하는것과정보시스템에의하여처리, 저장, 소통되는자료를바이러스, 해킹등의위협으로부터보호하고취약요인을제거하여회사의정보보호관리를지속적으로이루어지게하는것을목적으로한다. 2. 적용범위 본규정은당사의모든임직원, 계약관계에있는자및출입자와정보자산이기록, 저장, 활 용되는모든매체, 전산장비및관련시설을포함한모든정보자산에적용된다. 3. 용어정의 3.1 관리적보안보안조직구성및운영, 보안정책및절차관리, 보안교육, 보안점검, 보안감사, 보안사고조사등의보안활동을의미한다. 3.2 물리적보안비인가자로부터회사의시설및인원을보호하기위한출입통제, 정보자산의반 출입통제, 상황모니터등의보안활동을의미한다. 3.3 상황모니터사업장내설치된 CCTV 또는경비인력운영을통해안전, 사고및보안현황을실시간확인하는것에관련한활동을의미한다. 3.4 기술적보안정보시스템의보호및정보시스템을통한유출을예방하기위한운영관리, 정보시스템접근통제, 개발및유지보수, 침해사고관리등의보안활동을의미한다. 3.5 정보시스템사용자에게원활한서비스의제공을목적으로하는하드웨어일체와주변장치및운영체제를포함한각종시스템소프트웨어및 DBMS를총칭한다. 3.6 네트워크회사의사업을영위하기위해사업장간에송수신되는정보혹은관련기관간에주고받는각종정보를전달하여주는각종시스템들을다양한형태로연결시켜주는유무선통신망을의미한다. HS-P-C01-01 Rev.0 3/29 주식회사화신

28 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 백업 예상치못하고바람직하지않은사건에의해발생할수있는정보서비스혹은정보자산의손상을최소화하고이를복구하기위해필요한복사본을만드는것을말한다. 3.8 복구사전에백업받았던복사본을이용하여이전의상태로전환하기위한 RECOVERY와단순히백업받았던자료를재설치하는 RESTORE 작업을총칭하여말하며, 복구를위해서는반드시백업이선행되어야한다. 3.9 단말기전산시스템의입출력장치를말하며, LAN 혹은 WAN으로연결된개인용 PC 및프린터, 콘솔, 스캐너장비등이포함된다 정보보안사고 ( 침해사고 ) 보호관리대상에속하는정보및정보시스템이무단으로파괴되거나, 유출, 변조되어정보보안관리체계에문제가발생하는경우를말한다 웹메일로그인과로그아웃의과정을거쳐웹브라우저를이용해서메일을보낼수있는방식의메일서비스를말한다 VPN (Virtual Private Network) 인터넷과같은공중망을사용하여, 사설망을구축하게해주는기술혹은통신망의총칭이다 P2P (Peer to Peer) 인터넷상에서이루어지는개인대개인의파일공유기술및행위를말한다 웹하드 / 웹폴더인터넷을통해모든형태의자료를보관 / 이동 / 공유하거나, 파일의보관 / 업로딩및다운로딩이가능한정보저장서비스를말한다 DMZ (Demilitarized Zone) 방화벽구성시외부로노출되어야할서버나 PC 등을위해구성된네트워크영역을말한다 FTP (File Transfer Protocol) 인터넷을통하여어떤한컴퓨터에서다른컴퓨터로파일을송수신할수있도록지원하는프로토콜을말한다. HS-P-C01-01 Rev.0 4/29 주식회사화신

29 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 LAN (Local Area Network) 범위가그리넓지않은일정지역내에서다수의컴퓨터나 OA기기등을속도가빠른통신선로로연결하여기가간에통신이가능하도록하는근거리통신망을말한다 IP (Internet Protocol) Address 인터넷을사용할때단말기에할당되는고유한주소를말한다 공중망 (Public Network) 불특정다수에게서비스할수있도록통신업체들이구축한통신망으로일반적인사용되는인터넷망을말한다.. 4. 책임과권한 4.1 임직원및계약관계에있는모든인원가. 본규정및관련지침에서정하는보안정책을준수해야한다. 나. 보안교육에참석할의무가있고, 자체점검등회사보안활동에적극협조해야한다. 다. 영업비밀을과도하게취득, 보관하거나사외로무단반출하는등보안사고의개연성이있는행위를해서는안된다. 라. 회사의정보자산반출시정해진절차에따라야하며, 임의판단으로반출할수없다마. 사원증은항상패용해야하며사원증을타인에대여, 공유하지않는다바. 보안사고를발견하였을경우팀 ( 부서 ) 별보안책임자또는보안담당조직에즉각해당사실을알려야한다. 사. 회사의보안규정을위반하는경우다음과같은인원에책임이있다. 아. 임직원이보안규정위반 : 위반자및소속팀 ( 부서 ) 장자. 방문자가보안규정위반 : 출입허가를요청한임직원 4.2 방문자가. 출입증을소속회사의직원이나, 타인에대여, 공유하는행위를해서는안된다. 나. 카메라또는카메라폰과같은영상기록장치를이용한임의촬영을금지한다. 다. 당사에서공식적으로제공된자료외어떤자료도취득, 사용해서는안된다. 라. 당사에서요구하는보안조치위반시사규와관련법령에따른모든책임을진다. 마. 출입증을대여하거나본목적과다르게사용하는등오남용적발시해당자는출입 HS-P-C01-01 Rev.0 5/29 주식회사화신

30 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 증회수및출입금지조치되며, 소속사대표이사에재발방지대책을제출하도록한다. 바. 보호구역내에서는당사의동제에따라야하며이를위반시강제퇴실또는퇴장된다. 사. 당사자료를무단으로취득, 활용하거나유출을시도하는경우 : 관련법령에따른민형사상책임을진다 HS-P-C01-01 Rev.0 6/29 주식회사화신

31 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 5. 업무절차 5.1 관리적보안 보안조직 가. 보안조직구성및관리주체 1) 전사보안조직의구성및관리는총무담당팀 ( 부서 ) 에서주관한다. 2) 총무담당팀 ( 부서 ) 는보안에대한임직원의역할과책임을정의하고, 보안조직의변경사항을매월확인하고그현황을유지한다. 3) 2.4 보안조직업무분장 에따로정하지않은내용은총무담당팀 ( 부서 ) 에서주관한다. 나. 보안협의회 1) 회사는전사업장에보안업무의효율적인운영및관리에관한사항을심의, 의결하기위한보안협의회를구성할수있다. 다. 보안조직도 1) 담당자의팀, 성명을포함한조직도를작성하여별도보관한다 보안조직업무분장 ( 책임과역할 ) (1. 업무분장기준참조 ) 가. 대표이사 1) 보안총괄책임자로서보안에관련한모든정책을결정한다. 2) 보안업무를기획, 시행하도록전사보안책임자에지시하고시행상황을관리감독한다. 나. 전사보안책임자 1) 총무담당팀 ( 부서 ) 장으로회사모든보안업무를최고경영자에게보고하고시행한다. 2) 회사의보안규정을수립하고교육, 공지등을활용하여적용한다. 3) 보안관련법령및관련사의보안정책변경등외부환경변화에따른회사의보안정책을재검토하고필요시보안규정에반영하거나보안교육, 점검, 감사등의조치를시행한다. 4) 보안교육및홍보를주관한다. 5) 보안사고발생시외부수사기관과의연계여부를판단하고대책수립및징계를시행한다. HS-P-C01-01 Rev.0 7/29 주식회사화신

32 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 6) 정보자산의정기적인점검을통해취약성조사및대응방법을마련하여보안사고를사전에예방한다. 다. 전사보안담당자전사보안담당자는물리보안담당자, 관리보안담당자, 기술보안담당자로역할을구분하고, 규정에서정한보안업무를수행한다. 1) 물리보안담당자가 ). 각팀 ( 부서 ) 에서요청하는보안구역설정을검토, 승인하고, 그결과를요청부서에회신하고이를현황으로관리해야한다. 나 ). 물리보안시스템을운영하며관련된절차를수립하고, 그절차에따라운영현황을관리하며필요시전사보안책임자담당자에보고, 조치한다. 2) 관리보안담당자 가 ) 교육계획을수립및시행하고, 각종보안이벤트시행, 모니터링, 정보자 산에대한정기적인점검등을통한보안사고예방활동을수행한다. 나 ) 보안사고발생시이에대한조사, 조치활동을담당한다. 3) 기술보안담당자가 ) 정보기술관련한전부문의보안업무를총괄하여수립및시행한다. 나 ) 정보기술보안운영계획및보안감사계획을수립하고시행한다. 다 ) 정보기술보안에관련한별도의세부지침을마련하여시행한다. 라 ) 정보기술보안시스템의관리및성과분석을실시한다. 마 ) 전산자산의안정적운영및보안대책을마련하고실시한다. 바 ) 제4장기술적보안 에규정된내용을계획하고시행한다. 사 ) 전산자산의취약점이발견되면전산담당자에게개선을요청해야하며, 패치를실시한다. 아 ) 내 외부전산장비에대한보안점검을실시한다. 자 ) 보안규정상의보안업무수행사항을적용및실행한다. 차 ) 보안사고발생시기술적인조사, 조치등을지원한다. 카 ) 위각호에대한결과를대표이사또는전사보안책임자에게보고한다. 라. 팀 ( 부서 ) 보안책임자각팀의팀 ( 부서 ) 장으로해당팀 ( 부서 ) 내보안업무를수행, 조정, 감독한다. 1) 팀 ( 부서 ) 내각종기업비밀의보안성검토및보안문서여부를결정한다. HS-P-C01-01 Rev.0 8/29 주식회사화신

33 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 2) 팀 ( 부서 ) 내자체보안점검이정상적으로이행되고있는지확인하고감독한다. 3) 팀 ( 부서 ) 내시건장치등이적절히사용, 관리되고있는지확인하고감독한다. 4) 팀 ( 부서 ) 원보안교육실시를주관한다. 5) 팀 ( 부서 ) 보안담당자를임명한다. 6) 팀 ( 부서 ) 내보안사고발생시또는발생할우려가있는경우전사보안책임자에게통보한다. 7) 팀 ( 부서 ) 의업무와관련있는장소가보안상출입을제한할필요가있는경우물리보안담당자에보호구역설정을요청한다. 8) 회사의보안정책이효과적으로이행될수있도록적극지원한다. 마. 팀 ( 부서 ) 별보안담당자 1) 팀 ( 부서 ) 별보안책임자가임명한자로팀 ( 부서 ) 보안책임자의권한을대행하여팀 ( 부서 ) 내보안현황을관리하고, 보안점검, 보안교육등팀 ( 부서 ) 과관련한보안활동을수행한다. 2) 팀내보안점검을시행후팀 ( 부서 ) 내보안현황, 문제점등을팀 ( 부서 ) 보안책임자에보고하고, 지시에따라개선을이행한다. 3) 전사보안담당자가소집하는팀보안담당자회의에참석하여, 팀 ( 부서 ) 입장을대변하여보안정책결정에참여하며, 정해진보안정책을팀내전파하는역할을수행한다 보안서약서가. 영업비밀의법적인보호와임직원의보안인식제고를위해정보보호서약서를작성하여제출토록한다. 나. 관리보안담당자는징구대상과서약서징구현황을표로관리해야하며, 누락이있는지매월점검하고누락이확인되는경우원인을파악후전사보안책임자에보고, 조치한다. 다. 임직원, 제 3 자구분없이정보보호서약서를제출한인원만당사사업장출입및정 보자산을사용할수있다. 라. 서약서를제출하지않은인원에는사업장출입권한및시스템사용권한을부여해서는 안되며, 이에대한관리책임은관리보안담당자에있다. 1) 임직원 HS-P-C01-01 Rev.0 9/29 주식회사화신

34 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 가 ) 임직원은입사시정보보안에대한중요성을숙지하여 정보보호서약서 를 작성후채용담당자에게제출해야한다. 정보보호서약서 는관련법령및 정보의기밀사항에관하여지켜야할사항을명시해야한다. 나 ) 임직원은퇴사시본인이보호해야할영업비밀의내용과보호기간, 부정경쟁방지등에관한법령준수및법적책임등이포함된 퇴직자영업비밀유지서약서 를작성제출해야한다. 2) 제 3 자 ( 일반용역, 외주인원 ) 가 ) 일반용역을포함한외주인원은계약시 제 3 자보안서약서 를작성하여각 소속사에제출하여야하며, 소속사관리담당자는외주용역관리부서에 제출해야한다. 나 ) 계약서는회사에서정한표준계약서를사용해야하며, 표준계약서에는 회사의보안규정을준수할것과외주인원및외주인원의소속사에 보안책임이있음을공지하는내용이포함되어야한다. 다 ) 기술용역또는기술자료교환이있는계약의경우회사의 정보자산보호 / 관리를위해당사의보안점검에외주인원소속사도포함이 되어있음을고지하는문구를포함한계약서를사용해야한다. 3) 중요업무수행자 가 ) 중요프로젝트를수행하는임직원및외부인원은프로젝트의존재사실및 프로젝트를수행하는동안알게된일체의영업비밀에대한비밀유지를 서약하는 프로젝트보안서약서 를작성해야한다. 나 ) 프로젝트보안서약서 는프로젝트명, 수행기간, 본인의업무등이 명기되어야한다. 다 ) 서약서를제출하기전에는프로젝트에투입할수없으며, 이를위반한경우 관련담당자, 팀장을보안위반자로조치한다 보안교육 가. 전사보안책임자 HS-P-C01-01 Rev.0 10/29 주식회사화신

35 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 1) 전임직원에대해연 2 회이상보안교육을실시해야하며필요한경우 대표이사의입회를요구할수있다. 2) 신입사원입사시관리, 물리, 기술각보안영역에대한회사의정책과 신입사원이알아야할주요규정, 지침, 절차를교육하고, 그결과를문서로 유지해야한다. 3) 보안정책변경등사유발생시 2 주이내에팀 ( 부서 ) 보안담당자에공지및 소집교육등을통해교육을실시해야한다. 나. 팀 ( 부서 ) 보안책임자 1) 내 / 외부보안사고발생등보안상필요하다고판단하는경우팀원에대한 보안교육을실시할수있다. 2) 사내규정변경등전달사항이있는경우팀 ( 부서 ) 보안담당자가팀내 전달교육을시행하도록한다. 3) 팀내해외주재원근무대상자가발생하는경우명령발령일 2 주이내에 팀 ( 부서 ) 보안책임자는해외근무시필요한보안조치에대해보안교육을 실시해야한다 퇴직자관리가. 인사담당부서 1) 퇴직자에대해 퇴직자영업비밀유지서약서 를퇴직서류에포함하여징구해야한다. 2) 퇴직자영업비밀유지서약서를제출하지않는인원에는해당양식을송부하여제출 을독려해야하며, 이에대한기록을문서로유지해야한다. 3) 인사담당부서는퇴직후동종업계로전직한사실을인지한경우당사에서취득한 영업비밀이제공되었는지를확인하고전직금지가처분신청등관련법적조치를 취한다. 나. 팀 ( 부서 ) 보안책임자 1) 팀내퇴직이예정되거나, 퇴직명령이발령된직원에대해재직기간동안습득한 HS-P-C01-01 Rev.0 11/29 주식회사화신

36 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 모든영업비밀은경우를막론하고대외로유출하여서는안되며이를위반할시 퇴직자정보보호서약서 에의거하여민형사상의책임을질수있음을공지할의 무가있다. 2) 퇴직 ( 예정 ) 자가근무기간동안습득한모든영업비밀을소속팀 ( 부서 ) 에인계하 도록하고, 개인이소지한영업비밀은회사에반납또는재사용불가한상태로 파기하도록요청하고퇴직자면담서류등에이에대한사항을기록한다. 다. 임직원 1) 임직원은퇴직자가동종업종또는경쟁사에재취업하는것을인지하였을경우즉 각전사보안담담부서에통보해야한다. 라. 기술보안담당자및물리보안담당자 1) 퇴직명령일을기준으로 48 시간이내에퇴직자에대한출입및시스템상의모 든접근권한을절차에따라모두삭제한다. 2) 1 개월에 1 회퇴직자의권한이정상적으로회수되고있는지현황을확인하고전 사보안책임자에보고한다. 누락이확인되면그원인을확인하고개선조치를이행 한다. 3) 업무인수 / 인계를목적으로팀 ( 부서 ) 보안담당자가서면으로요청하는경우최대 2 주기간동안권한삭제를유예할수있다. 권한회수유예로문제가발생하는 경우팀 ( 부서 ) 보안담당자에도책임이있다. 4) 퇴직발령게시지연등의사유로권한회수가정상적으로처리되지않은경우, 그 차이기간동안출입 / 시스템사용기록을모두확인하고, 팀 ( 부서 ) 보안담당자에확 인을요청하고그결과를포함하여전사보안책임자에보고한다 보안위반자관리 가. 전사보안책임자 HS-P-C01-01 Rev.0 12/29 주식회사화신

37 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 1) 위반사항의경중을판단하여, 경미한위반의경우전사보안책임자명의의 주의조치를해당직원및소속팀 ( 부서 ) 장에통보하며, 중요한위반이라고 판단되는경우대표이사에게보고후규정에따라조치한다. 2) 보안위반에대한징계는취업규칙과인사규정에정한징계종류및절차에 따른다. 3) 유사사고재발방지를위해대책을수립, 시행하고, 징계결과는임직원전원에게 공지한다 나. 임직원 1) 정보보안규정 및관련지침 / 절차를위반한사실을인지하는경우 전사보안책임자또는전사보안담당자에즉시위반사실을통보해야한다. 2) 본인의실수또는의도하지않게정보가노출, 제공되었음을확인하는경우 전사보안담당자또는전사보안책임자에관련사실을통보해야한다 위반자경중판단기준 가. 경미한위반 1) 위반내용이실수또는과실에의한단순한규칙 / 지침위반이라고인정되는경우 2) 위반이력이없는임직원이규정, 절차등의미인지로규칙 / 지침을위반한경우 3) 본인의위반사실을통보해온경우중중대한위반에사유가되지않는경우 4) 위반회수에따라다음과같이조치를상향한다 가 ) 1 회위반 : 당사자구두경고 나 ) 2 회위반 : 당사자서면경고 ( 시말서 ) 및팀 ( 부서 ) 장구두경고 다 ) 3 회위반 : 당사자및팀 ( 부서 ) 장서면경고 ( 시말서 ) 라 ) 4 회이상 : 고의적정책미준수로중대한위반으로상향 나. 중대한위반 인사징계위원회에회부하여경고이상의징계를시행한다. HS-P-C01-01 Rev.0 13/29 주식회사화신

38 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 1) 고의로보안규정, 절차, 지침을우회하는행위를한경우 2) 보안사고와직, 간접적으로관련된사안으로인정되는경우 3) 중대한과실이거나, 동일한위반을반복적으로지적받는경우 정보자산분류가. 분류주체및주기 1) 팀 ( 부서 ) 보안책임자는각팀단위로분류기준을마련하고, 이를바탕으로정보의생성자 ( 문서작성자 ) 가최초분류를시행하도록공지, 점검한다. 2) 임직원은문서를생성할때분류기준에따라등급을구분하여회사보안정책이 준수되도록분류기준을인지하고, 항상분류된상태로문서를관리한다. 3) 팀 ( 부서 ) 보안담당자는팀내업무변동사항발생시 2 주이내, 특별한변동사항 이없는경우에도년 1 회정기적으로검토 / 조정을시행한다. 4) 등급이분류된정보자산은인식할수있도록관리해야한다. 나. 정보자산의구분 1) 정보자산은 비밀 (Secret), 대외비 (Internal Use Only), 공개 (Public) 로등급을 구분한다 2) 비밀, 대외비는당사영업비밀로구분되며 8. 영업비밀관리기준 및관련규정을 준수해야하며, 공개등급의문서는관리대상에서제외한다 3) 임직원 ( 계약관계에있는자포함 ) 에의해작성된모든문서는재분류전까지 대외비로취급하며, 관련규정을준수하여야한다. 4) 대외비는모든임직원이사용할수있으나, 사외에노출되는경우회사에손해를 끼치거나해로운결과를초래할우려가있는자료를말한다 5) 정보자산은일반, 대외비또는비밀로재분류할수있다 HS-P-C01-01 Rev.0 14/29 주식회사화신

39 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 6) 일반등급은대외로노출, 공개되는경우도특별히문제가되지않을내용으로 공시자료등대외공개를목적으로만들어졌거나. 인터넷검색등을통해쉽게 취득할수있는자료를말한다 7) 비밀등급은업무상관련있는임직원만제한적으로사용이허용되는자료로, 사외로노출되는경우회사에상당한손실을초래하거나, 회사사업계획의폐기, 수정, 영업손실등을초래할우려가있는자료를말한다. 8) 보안등급의추가지정이필요한경우전사보안책임자의승인을얻어 극비 등급을지정, 사용할수있다 다. 정보자산의관리 1) 전사보안책임자는팀 ( 부서 ) 단위에서작성할수있는정보자산분류기준 ( 템플릿 ) 을 제공해야한다. 2) 전사보안책임자는 1 년에 1 회이상팀 ( 부서 ) 별로파악된정보자산의리스트를 총괄취합 / 보관하여야한다. 라. 영업비밀관리기준 1) 영업비밀의정의가 ) 영업비밀 이란비밀로유지된생산방법, 판매방법, 기타영업활동에유용한기술상또는경영상의정보를말하며, 회사가사용을위하여타사와의계약관계등을통하여도입한타사의영업비밀을포함한다. 2) 영업비밀의보관및관리가 ) 영업비밀은생성시원본문서에해당등급을표기해야하며, 생성과정에있는중간산출물및해당내용의일부를사용한문서도동일한방법으로관리되어야한다. 나 ) 출력된영업비밀에는그등급이매페이지마다쉽게식별가능하도록표기 되어야하며, 출력시표기하지못한문서의경우출력후고무인등을 활용하여표기한다. HS-P-C01-01 Rev.0 15/29 주식회사화신

40 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 다 ) 출력된영업비밀은개방된장소에보관해서는안되며, 시건장치가있는 장소에보관하고팀 ( 부서 ) 보안책임자가지정하는자가관리한다. 라 ) 출력된영업비밀은보존기간이만료되면 1 개월이내에복원할수없는 형태로파기한다. 단, 업무적이유로파기를유예할필요가있는경우 목적과유예기간등을서면으로전사보안책임자에보고후보관한다. 마 ) 영업비밀이휴지통, 공용회의실등직원이통제할수없는장소에방치된 경우문서의출력자, 해당팀장을보안규정위반으로조치한다. 3) 영업비밀의이관가 ) 보직변동으로해당영업비밀을소유할필요가없는경우전보자는 업무인수인계서 에취급영업비밀의인수인계내용을작성하고, 전자문서및출력문서등모든종류의영업비밀을인수자에인계한다. 나 ) 팀 ( 부서 ) 별보안책임자는인계 / 인수절차에따라영업비밀이적절히이관되었는지확인하고인계자소유하고있는영업비밀이모두파기되었는지확인한다. 다 ) 업무상이유로기존영업비밀의일부를전보된부서에서사용할필요가있는경우그목적과파일의목록을이전팀 ( 부서 ) 보안책임자에서면으로보고후활용할수있다. 서면보고과정없이보유하는경우이유를막론하고고의적인정보취득으로보안위반자처리규정에따라조치한다. 4) 영업비밀의배포및반출가 ) 영업비밀을본인의업무와직접적으로관련이없는곳으로반출할사유가발생하거나국가기관등외부에서요청한자료의범위에영업비밀이포함되는경우전사보안책임자의사전승인을얻어반출한다. 나 ) 본인의업무수행을위해, 사외반출하는경우반출처와반출일시, 반출내역을회사가정한양식에따라작성하여, 주간단위로팀 ( 부서 ) 보안책임자에보고하고, 결재를받아보관한다. 단, 기술자료 ( 도면 ) 를배포 / 접수할수있는시스템이구축된경우별도의기록을작성하지않고시스템로그로대체한다. 다 ) 영업비밀의반출이력은 2 년이상보관되어야하며, 필요시쉽게조회 가능한상태로관리되어야한다. 사내배포의경우영업비밀의 HS-P-C01-01 Rev.0 16/29 주식회사화신

41 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 소유권자 ( 작성자 ) 의판단에따라회사가정하는보호조치가적용된상태로 필요한인원에한정하여배포한다. 라 ) 본인이작성한영업비밀이아닌경우배포, 반출할수없으며, 작성자의 승인을얻거나작성자에반출, 재배포를요청해야한다. 5) 영업비밀의파기 가 ) 전자문서형태의영업비밀은회사가정하는소프트웨어를활용하여복원 불가한상태로파기해야하며, 사본도같은방법으로파기한다. 나 ) 전자문서이외의영업비밀은문서세단기를사용하여원형을확인할수없는 상태로파기해야한다. 임직원이사용할수있는문서세단기가설치되지않은 경우전사보안책임자는별도의파기절차를수립하여운영해야한다. 다 ) 전자문서파기용소프트웨어를지정, 공지하지않은경우파기에대한 책임은전사보안책임자에있다 준거성가. 전사보안책임자는보안관련법령이개정되거나, 고객사의보안정책이변경되는경우내부규정, 절차, 지침에영향이있는지전사보안담당자를통해검토해야하고필요시개정해야한다. 나. 검토결과, 개정이불필요하다고판단되는경우에는검토이력을문서로유지해야한다. 다. 전사보안책임자는법령개정및고객사정책변경등변경사항을내부규정변경사항과함께전임직원이인지할수있도록공문또는게시판을통하여공지해야하며, 필요시별도교육을실시해야한다. 라. 기술보안담당자는시스템의취약점을주기적으로점검하여, 내부규정또는외부법령에위반사항이없도록확인하고개선이필요한경우전사보안책임자, 전사보안책임자에보고하고조치한다 보안점검가. 목적회사에서정한보안통제가적절히이행되고있는지확인함으로써, 잠재적인정보보안침해의가능성과그로인한피해를최소화하는데그목적이있다. 나. 시행주체및주기 HS-P-C01-01 Rev.0 17/29 주식회사화신

42 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 1) 전사보안책임자의주관하에사전계획에따라시행하며점검 / 감사를시행할 인원은전사보안책임자가지명하고전사보안책임자의승인을받은임직원으로 한다. 2) 점검은년 2 회반기별로시행하고전팀 ( 부서 ) 가점검대상이되도록계획 / 시행한다. 3) 보안점검은임직원의일상적인준수사항위주로시행하고, 관리여부를 검증하는데활용한다. 4) 다음의경우상기일정과별도로점검을실시할수있다. 가 ) 전사보안책임자가필요하다고인정할때 나 ) 보안사고의발생우려가있을때또는보안사고발생시 다. 점검대상 본규정 2. 적용범위에서정한범위를대상으로한다. 라. 점검시행 1) 임직원은정당한사유없이점검을지연하거나, 거부할수없다. 부득이한경우 전사보안책임자서면보고후, 승인된경우에한하여일정을조정할수있다. 2) 점검이완료되면전사보안담당자는그현황을전사보안책임자에보고하고 [ 경미한위반 ] 으로확인된사항은관련팀 ( 부서 ) 보안책임자에게개선을요청 한다. 3) 팀 ( 부서 ) 보안책임자는요구된개선사항에대한조치방법 / 일정을전사보안담당자에회신하고, 계획에따라조치후완료여부를전사보안담당자에통보하는것으로개선조치를종료한다. 조치는통보받은시점부터 4 주이내에완료해야하며, 그이상의기간이소요될것으로판단되는경우전사보안담당자를통해전사보안책임자에별도보고한다. 4) 전사보안담당자는팀 ( 부서 ) 에요청한개선사항의완료가모두확인되면, 전사보안책임자에게점검에대한개선완료보고한다. 단, 완료보고는점검완료 HS-P-C01-01 Rev.0 18/29 주식회사화신

43 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 시점부터 30 일을초과할수없으며, 4 주이내완료통보하지않은팀 ( 부서 ) 는 미조치 로처리한다. 5) 전사보안담당자는점검 / 감사결과 [ 중대한위반 ] 으로판단되는사항에대해서는 전사보안책임자보고후당사규정에서정한절차에따라조치한다. 6) 모든점검결과및위반자처리결과는 3 년이상유지해야한다. HS-P-C01-01 Rev.0 19/29 주식회사화신

44 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 물리적보안 보호구역설정 가. 보호구역의정의 1) 보호구역이라함은업무수행에있어비밀보호가필요한지역을말하며, 그중요도에따라 제한구역 과 통제구역 으로구분하며, 보호구역의세분화관리를위하여 제한지역 을추가하여구분할수있다. 2) 제한구역 : 상주직원이외에출입이금지되는보안상중요한구역으로, 비인가자의출입을방지하기위하여출입에안내가필요한지역을말한다. 3) 통제구역 : 비인가자의출입이금지되는보안상극히중요한구역으로, 비인가자의출입시사전에반드시관리책임자의승인을받아야출입이가능한지역을말한다. 4) 제한지역 : 비밀이나중요시설, 자재및중요문서등을보호하기위하여일반출입자에대한감시가요구되는지역으로, 별도의승인내역없이출입할수있는구역이나, 회사의보안관리범위에있는지역을말한다. 나. 보호구역의지정 1) 사업장보안책임자는비밀보호의중요도에따라보호구역을지정하여야한다. 2) 회사의영업비밀및자산의보호를위하여외부인의출입을제한하여야하는지역은제한구역이상으로지정하며, 임직원및외부인은절차에따라승인후출입한다 3) 보호구역으로설정된지역은비인가자의진입을방지하기위한통제장치의설치및보호활동을하여야하며, 출입기록을유지하여야한다. 4) 비밀보호를위해임직원의출입을통제하여야할필요가있는지역은통제지역으로지정하며, 사진촬영및비인가임직원의출입을제한한다. 5) 통제구역은팀 ( 부서 ) 보안책임자의의견을수렴하여물리보안담당자가설정하고전사보안책임자및전사보안책임자에보고후시행한다. 다. 보호구역표시 1) 보호구역의출입시쉽게확인이가능한출입문중앙또는잘보이는곳에부착한다. 2) 보호구역의표지는시설보호및출입통제지침 3.2항을따른다. HS-P-C01-01 Rev.0 20/29 주식회사화신

45 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 라. 출입관리 1) 임직원은본인근무지역및제한지역의출입이가능하며, 외부인은회사내업무목적으로필요한경우에방문을요청하여야하고, 방문신청은외부인을관리 / 통제할수있는부서에서신청및승인한다. 2) 외부인은각출입문또는안내데스크에서신분확인및방문증을수령하여출입하여야한다. 3) 업무적계약이나장기적으로사업장내출입하는인원은장기출입증발급후출입하여야한다. 마. 출입증운영 1) 임직원출입증 : 전임직원의무적발급및출입의ㅣ목적으로사용되는사원증 2) 외부인출입증 : 당사임직원이출입허가를요청한자에발급하는출입증 자산반출 입통제가. 반출 입통제항목 1) 반출 입통제항목은일반자산및정보자산으로분류한다. 2) 일반자산통제항목 - 생산및운영에필요한자재및부품, 완성품또는이에준하는자산 3) 정보자산통제항목 - 컴퓨터류 ( 휴대형포함 ), 서버류, 저장매체류등의정보처리및저장장치또는이에준하는자산 - 기타보안운영부서 ( 팀 ) 에서선정한정보자산 4) 기타통제하기어려운세부항목에대하여서는보안운영부서 ( 팀 ) 에서검토및선정하여세부지침에명기할수있으나, 최소한으로분류토록한다. 나. 반출 입통제관리 1) 당사소유및비소유자산등의모든통제대상자산에대하여사업장내반출입시에는반드시해당자산에대하여관리, 통제할수있는부서 ( 팀 ) 의승인절차를반드시운영토록한다. 2) 외부인에의한자산반출 입일지라도업무목적이외의행위를하거나회사에유해한행위를하였거나, 시도할경우승인을한임직원에게도책임이있다. HS-P-C01-01 Rev.0 21/29 주식회사화신

46 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 3) 관리, 통제할수있는부서 ( 팀 ) 의승인이있더라하더라도당사보안목적달성 을저해하는항목에대하여서는보안운영부서 ( 팀 ) 에서반출 입을통제할수있다 CCTV운영및시설감시가. 기본원칙 1) 차량및인원이출입하는지역은상시감시하여야한다. 2) 중요 ( 보안 ) 시설에대하여는 CCTV 및보안요원 ( 인원 ) 에의한감시를하여야하며, 사업장특성에따라운영이불가한경우무인경비시스템을운영할수있다. 3) CCTV는보안및화재, 도난등에대한구체적이고실질적인위험발생우려가있는장소에한하여설치되어야하며, 설치목적에맞게운영되어야한다. 4) CCTV를설치 운영할때에는주출입구등쉽게인지가가능한장소에 CCTV가설치운영중임을알아볼수있도록안내판을설치 ( 부착 ) 하여야한다. 나. 관리책임 1) 물리보안주관팀장은경비인력 /CCTV의관리및운영에대한책임을지며업무를위탁하는경우위탁계약서에관계법령에의거개인정보보호에관한준수사항을규정하여야한다. 2) 관리책임자는사업장출입등의목적으로수집된개인정보및 CCTV운영에따라수집된영상정보에대하여운영자가수집목적외조작 유출등오남용하지않도록관리 감독하여야한다. 다. 정보의처리 1) 보관기간이만료된개인정보 ( 영상정보포함 ) 는지체없이삭제하여야하며, 복원이불가능하도록파기하여야한다. 2) 영상정보를취급 ( 모니터링 ) 하는장소및보관장소는제한구역이상의보호구역으로설정하여관계자외접근을통제하여야한다. 3) 영상정보는 CCTV의설치목적이외의용도로활용되거나, 접근권한을부여받은자이외의타인에게열람제공되어서는안된다. 다만법령에의하거나정보주체의요청에의하여열람및자료를제공하여야할경우에는사전관리책임자의인가를득해야한다. 라. 기타세부사항 HS-P-C01-01 Rev.0 22/29 주식회사화신

47 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 1) 본규정에언급되지않은사항및세부적인내용은 시설보호및출입통제지 침, CCTV 운영및시설감시지침 및 정보자산반출통제지침 에따른다. HS-P-C01-01 Rev.0 23/29 주식회사화신

48 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 기술보안업무절차 사용자보안지침 가. 목적 1) 업무상목적으로회사에서지급한데스크탑PC 및노트북 ( 이하 PC 라한다.), 프린터, 스캐너등개인업무용전산장비의정보기술보호를위한요구사항을제공함에그목적이있다. 나. 관리항목 1) 개인용전산장비도입, 운영및폐기에대한지침이마련되어야한다. 2) 개인용전산장비는 8자리이상의로그인, 화면보호기비밀번호가설정되어있어야한다. 3) 모든 PC에는회사업무용목적으로사용되는회사에서배포되는프로그램만설치가가능하며, 불법 S/W 사용에대한책임은본인에게있다. 4) 모든 PC에는악성코드실행방지솔루션등보안시스템이설치되어야하며, 사용자는최신업데이트및최신보안패치적용을해야하고, 그현황이유지되어야한다. 5) PC내의파일을공유할필요가있을경우, 비밀번호가설정된공유폴더를설정하여, 인가된사용자만접근할수있도록해야한다. 6) 공용PC에대한관리자를지정해야하며, 공용PC에는보안문서를저장할수없다. 7) 인터넷을사용하는경우회사의보안정책 ( 접근차단시스템등 ) 을준수해야하며, 승인되지않은인터넷망을사용하여서는안된다. 8) 보안문서는외부로공중네트워크 ( 인터넷등 ) 를거쳐전송하는것은불허하며, 부득이한경우는사전또는사후에관리자의승인을받아야한다. 9) 사용자는회사에서지급한 H/W 및 S/W의변경을임의로하여서는안되며, 이동형저장장치는승인절차를거친후사용해야한다. 다. 기타세부사항 1) 사용자보안지침 을따른다 네트워크보안가. 목적 1) 사내네트워크구성및외부네트워크연결시요구되는정보기술보호의수준을향상시킴으로써안정적인네트워크인프라를갖추는데그목적이있다. HS-P-C01-01 Rev.0 24/29 주식회사화신

49 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 나. 관리항목 1) 사내네트워크는외부에서접근이통제되는사설망을구축해야한다. 2) 외부에서공중망을통해내부네트워크로접속하고자할경우, 암호화및인증절차를통하여업무상의목적으로만사용해야하며, 접근기록을보관해야한다. 3) 중요도가높은시스템및네트워크는분리되어야한다. 4) 허가되지않은전산장치의회사네트워크사용을금지한다. 5) 외부방문객또는개인노트북의네트워크사용시정보기술보안관리자의승인을받은후사용해야한다. 6) 신규네트워크설치또는구성변경시테스트등검증과정을거친후승인절차에의해설치및변경해야한다. 7) 인가되지않은 AP는통제되어야하며, 무선랜은 WPA2이상의인증및암호화기법을적용해야한다. 8) 네트워크장비설정내용백업등장애발생에대비해야한다. 9) 네트워크장비의접근통제가이루어져야한다. 10) 네트워크의도입, 운영, 폐기에대한지침이마련되어야한다. 다. 기타세부사항 1) 네트워크보안지침 을따른다 시스템보안가. 목적 1) 시스템을다양한보안위협및취약성으로부터안전하게보호하고, 운영관리하는데그목적이있다. 나. 관리항목 1) 시스템의도입, 운영, 폐기프로세스에대한지침이마련되어야한다. 2) 시스템의도입및변경은적절한절차에따라승인되어야하며, 보안점검항목이지정되어있어야한다. 3) 시스템설치시기본적으로생성되는계정및사용하지않는계정은삭제및변경되어야하며, 반기 1회전체계정에대한검토를실시하여야한다. 4) 서버시스템에접근한기록은 1년이상보관되어야한다. HS-P-C01-01 Rev.0 25/29 주식회사화신

50 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 5) 시스템사용자계정의등록, 변경, 삭제는공식적인승인절차로이루어져야하며이력관리가되어야한다. 6) 모든사용자에게는유일한계정을부여해야하며, 계정공유현황을분석해야한다. 7) 비밀번호는영문, 숫자혼합으로 8자리이상이며, 3개월이내변경되어야한다. 8) 중요업무시스템은개발과운영시스템이분리되어야한다. 9) 어플리케이션의개발및변경은공식적인승인절차를준수하여야하며, 보안성검토및기능검증테스트후운영에반영되어야한다. 10) 테스트데이터는주민등록번호, 계좌번호등과같은개인정보및중요정보를포함하여서는안된다. 11) 데이터베이스에대한접근통제가이루어져야하며, 접근로그를 1년이상보관해야한다. 12) 시스템에대한주기적인취약점점검및조치가이루어져야한다. 13) 운영체제, 데이터베이스에대한백업및원격지소산이되어야한다. 14) 시스템장애에대비한복구계획이마련되어야하며최소년 1회모의훈련을실시하여야한다. 다. 기타세부사항 1) 시스템보안지침 을따른다 보안시스템운영 가. 목적 1) 보안시스템 ( 침입차단시스템, 악성코드차단시스템등 ) 을안정적, 효율적으로운영관리하기위한지침을제공하는데그목적이있다. 나. 관리항목 1) 보안시스템의도입, 운영, 폐기에대한지침이마련되어야한다. 2) 시스템은인가된사용자만이접근해야하며, 비밀번호는영문, 숫자혼합으로 8자리이상으로설정되어야한다. 3) 침입차단시스템은필요한서비스만을명시적으로허용하고, 그외는모두불허한다. 4) FTP와 P2P서비스는차단하며, 필요시승인절차를통해허용한다. 5) 이동형저장장치를통제할수있는시스템을구축하거나그에상응하는운영관리 HS-P-C01-01 Rev.0 26/29 주식회사화신

51 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 를해야하며, 장치별사용현황이분석되어야한다. 6) 보안시스템관리자는로그기능이항상가동되도록하고, 주기적으로모니터링및분석해야하며, 관련로그는 1년동안보관해야한다. 7) 분기별 1회이상취약점분석을통한취약점을보완해야한다. 다. 기타세부사항 1) 보안시스템운영지침 을따른다 IT 보안사고관리 가. 목적 1) IT 침해사고에대한대응및복구업무를포함하고있으며, IT 인프라에대한피해를 최소화하고재발방지를통하여정보자산의보안성과안정성을유지하는데필요한 지침을제공하는데그목적이있다. 나. 관리항목 1) IT보안사고발생시정보기술보안관리자는긴급히대응하고, 그처리결과를전사보안책임자또는대표이사에게보고해야한다. 2) 사내의모든사용자는침해사고발견시즉시정보기술보안관리자또는전사보안관리자에게보고해야한다. 3) 외부에서침입한흔적이의심되는경우정보기술보안관리자는보안진단도구나체크리스트를이용하여점검해야하며, 데이터의변조나불법접근이있을경우해당서비스를중지시킨다. 4) 침입자를식별하기위한증거수집및모든기록을유지관리해야한다. 5) 사안에따라공동작업이필요하다고판단될경우외부업체및대외기관에통보하고협조를요청한다. 6) 침해사고에의한정보시스템의장애시신속히복구되어야하며, 장애복구에대한모의훈련이주기적으로실시되어야한다. 7) 조치된사안에대해서는근본해결책을강구하고, 재발방지를위한대응책을마련한다. 8) 공개가허용된침해사고는임직원에게공지또는교육해야한다. 다. 기타 IT보안사고 1) IT보안사고대응지침 을따른다. HS-P-C01-01 Rev.0 27/29 주식회사화신

52 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 HS-P-C01-01 Rev.0 28/29 주식회사화신

53 보안규정 글로벌보안규정 문서번호 HS-SP-GA01 개정번호 2 6. 기록관리해당사항없음 7. 관련문서가. 관리영역 1) HS-SP-GA01-01( 글로벌보안규정양식 ) 나. 물리영역 1) HS-SI-GA01 ( 시설보호및출입통제지침 ) 2) HS-SI-GA02 (CCTV 운영및시설감시지침 ) 3) HS-SI-GA03 ( 정보자산반출입통제지침 ) 다. 기술영역 1) HS-SI-IS01 ( 사용자보안지침 ) 2) HS-SI-IS02 ( 네트워크보안지침 ) 3) HS-SI-IS03 ( 보안시스템운영지침 ) 4) HS-SI-IS04 ( 정보유출통제지침 ) 5) HS-SI-IS05 ( 시스템보안지침 ) 6) HS-SI-IS06 (IT보안사고대응지침 ) 8. 첨부해당사항없음 HS-P-C01-01 Rev.0 29/29 주식회사화신

54 보안규정 글로벌보안규정약식 문서번호 HS-SP-GA01-01 개정번호 1 목차 1. 목적 2. 적용범위 3. 용어의정의 4. 책임과권한 5. 업무절차 6. 기록보존 7. 관련규정 8. 첨부 작성부서 작성검토승인합의 결 총무팀 재 부서명 서명 부서명 서명 REV. 개정일개정내용 보안관리규정제정 개정이력 보안관리규정세부양식첨부 보안관리규정전면개정 HS-P-C01-01 Rev.0 1/2 주식회사화신

55 보안규정 글로벌보안규정약식 문서번호 HS-SP-GA01-01 개정번호 1 1 영업비밀보호서약서 1.1 직원용 ( 입사 / 재직 ) _ 첨부양식참조 1.2 업체대표용 _ 첨부양식참조 1.3 업체임직원용 _ 첨부양식참조 2 영업비밀유지서약서 ( 퇴직자 ) 2.1 직원용 _ 첨부양식참조 3 자산반 출입신고서 3.1 자산반입신고서 _ 첨부양식참조 3.2 자산반출신고서 _ 첨부양식참조 HS-P-C01-01 Rev.0 2/2 주식회사화신

56 양식 1.1 영업비밀보호서약서 ( 직원용 ) 회사의귀중한정보자산을보호하기위하여전임직원을대상으로영업비밀보호서약을시행하고있습니다. 반드시전체내용을처음부터끝까지잘읽어보신후서명하여주시기바랍니다. 본서약은매년정기적으로시행합니다. 영업비밀보호서약서 ( 직원用 ) 소속 : 사번 : 성명 : 본인은주식회사화신 ( 이하 회사 라한다 ) 의임직원으로서회사의영업비밀등의보호에관하여다음과같이서약합니다. 제 1 조 영업비밀등의의의 본인은본서약서에서 영업비밀등 이란회사의영업비밀 ( 공공연히알려져있지아니하고독립된경제적가치를가지는것으로서, 상당한노력에의하여비밀로유지된생산방법, 판매방법, 그밖에영업활동에유용한회사의기술상또는경영상의정보 ) 및제 2조에서정한사항과관련된일체의정보를말한다는점을이해하고인지합니다. 제 2 조 영업비밀등의범위 본인은회사의영업비밀은물론다음의정보를보호할것을서약합니다. (1) 인사, 조직, 재무, 영업, 전산, 각종현황등회사의경영에관한사항 (2) 제품의설계방법, 설계도면, 제조공정, 제조장치, 기타제품제조나생산수리와관련된기술에관한사항 (3) 제품의연구개발 (R&D) 계획, 실험데이터, 연구성과분석자료등연구개발에관한사항 (4) 사업계획, 생산계획, 예산등회사의계획에관한사항 (5) 타사와의제휴사업, 타사의사업정보, 타사의기술등타사에관한사항 (6) 회사의임직원, 고객, 회원, 타사직원등의개인정보에관한사항 (7) 기타본인이담당했거나지득하게된회사와관련된제반사항 제 3 조 부정사용 / 누설 / 공개금지 본인은업무수행중또는업무와관계없이지득하게된영업비밀등을본인의업무에만사용할것이며, 회사의사전서면동의나허가가없는한업무목적이외의목적으로사용하거나어떠한방법으로도회사내외의제 3자에게누설하거나공개하지않겠습니다. 제 4 조 무단복제 / 유출 / 보관금지

57 본인은업무수행중또는업무와관계없이지득하게된영업비밀등을업무목적이외의목적으로 1 복사, 녹음, 촬영, 다운로드, 저장, 기타방법등에의하여복제하거나, 2 원본또는사본을회사밖으로유출하거나, 3 보관하는행위를일체하지않겠습니다. 제 5 조 지침 / 정책등의준수 본인은회사의영업비밀등을보호하기위하여회사가상당한노력을기울이고있음을인지하고있으며, 이와관련하여다음의사항을서약합니다. (1) 회사의보안관련규정, 지침및정책을인지하고이를항상준수하겠습니다. (2) 전화, 인터넷, , 메신저등통신망에관한회사의적법한통제정책및보안조치에동의합니다. (3) 회사의승인을받지않은개인 PC 노트북이나 USB 하드디스크등저장장치를일체사용하지않겠습니다. (4) 회사의허가를받지않은정보나시설등에는접근하거나촬영 녹음하지않겠습니다. (5) 회사가정기또는수시로실시하는각종보안교육에적극적으로참여하고내용을숙지하겠습니다. 제 6 조 겸직금지 본인은재직중회사의영업비밀등이사용 누설 공개될수있는동종 유사업종의타사임직원을겸직하거나자문 고문 기타의방법으로타사에협력하지않겠습니다. 제 7 조 퇴직시반납등 본인은퇴직시본인이관리하고있던도표, 설계도, 명세서, 메모, 보고서, 노트, 자기테이프, 디스크, 파일, 기타기록매체등영업비밀등이들어있는일체의자료를회사에반납하고, 퇴직후에도서류 인터넷 저장장치등어떠한형태의원본이나사본도보유하지않겠습니다. 제 8 조 퇴직후무단사용 / 누설 / 공개금지 본인은퇴직후에도회사의영업비밀등을사용하거나제 3자에게누설 공개하지않겠습니다. 제 9 조 퇴직후경업금지 본인은회사의영업비밀등을보호하기위하여, 회사와의별도의서면합의가없는한퇴직일로부터 3년동안, 퇴직일현재회사가생산하고있는제품과동일하거나유사한제품을생산하는업체를스스로창업하거나, 이와같은업체에취업하지않겠습니다.

58 제 10 조 기타 본인은기타다음의사항을서약합니다. (1) 본인이재직중업무와관련하여독자적으로또는타인과공동으로발명 발견 개발 설계 고안한기술과정보기타이에준하는산출물에대한소유사용 수익 처분및특허등의출원 등록등일체의권리는회사에있음을인정하며, 재직중또는퇴직이후라도본인또는제 3자의이익을위하여이를사용하지않겠습니다. (2) 본인은재직중에는물론이고퇴직후에도, 회사가본인의담당업무와관련하여지적재산권의출원등관련권리의법적보호조치를취하거나해당권리를타인에게양도하는경우, 회사의요청에따라도면 명세서 확인서등그에필요한제반문서나서류를직접작성하거나, 회사또는그대리인의작성업무를지원하는등적극협조하겠습니다. 제 11 조 법적책임 본인은위각서약사항의위반시, 사규에의한징계책임, 부정경쟁방지및영업비밀보호에관한법률등관련법령에근거한민 형사상책임, 민법상채무불이행또는불법행위로인한손해배상책임, 형법상업무상배임등으로인한형사책임, 기타제반민 형사상책임을지는것은물론, 회사에발생한일체의손해를지체없이배상하겠습니다. 서명에앞서위서약사항을세심하게읽어보았음을확인합니다. 20 년월일 위서약인 ( 인 )

59 서약인은본인의업무와관련된영업비밀을구체적으로기술하여주시기바랍니다. 소속팀장은기재된내용중누락된사항이없는지확인하신후서명하여주시기바랍니다. 서약인업무와관련된營業秘密리스트는회사임직원의보안의식재고를위하여작성되는것이며본리스트에기재되지않았음을이유로營業秘密保護서약서제 1조및제 2조에규정된회사의영업비밀등의범위에서제외되는것은아닙니다. 서약인업무와관련된영업비밀리스트 NO 영업비밀내용비고 년월일 위서약인 ( 인 ) 확인자 ( 팀장 ) ( 인 )

60 양식 1.2 영업비밀보호서약서 ( 업체대표용 ) 회사의귀중한정보자산을보호하기위하여회사정보 ( 영업비밀포함 ) 보호서약을시행하고있습니다. 반드시전체내용을처음부터끝까지잘읽어보신후서명하여주시기바랍니다. 회사정보보호서약서 계약 ( 용역 ) 명 : 주식회사화신귀중 을 은주식회사화신 ( 이하 회사 라한다 ) 과체결한 계약 ( 이하 계약 이라한다 ) 을이행하면서지득한 회사정보 의보호에관하여다음과같이서약합니다. 제 1 조 회사정보의의의 회사정보 란 을 이계약이행중또는이행과관계없이지득한회사의영업비밀 ( 공공연히알려져있지아니하고독립된경제적가치를가지는것으로서, 상당한노력에의하여비밀로유지된생산방법, 판매방법, 그밖에영업활동에유용한회사의기술상또는경영상의정보 ) 과노하우등을포함하여제2조에서정한사항과관련된일체의정보를말한다. 제 2 조 회사정보의범위 1 인사, 조직, 재무, 영업, 전산, 각종현황등회사의경영에관한사항 2 제품의설계방법, 설계도면, 제조공정, 제조장치기타제품제조나생산 수리와관련된기술에관한비밀사항 3 제품의연구개발 (R&D) 계획, 작업보고서및일지, 실험데이터, 연구성과분석자료, 신차관련정보등연구개발에관한사항 4 사업계획, 생산계획, 예산등회사의계획에관한사항 5 회사의임직원, 고객, 회원, 타사직원등의개인정보에관한사항 6 기타계약이행중또는이행과관계없이지득하게된회사와관련된제반사항

61 제 3 조 회사보안관리규정의준수 을 은회사의회사정보보호를위한지시및회사의보안관리규정을준수한다. 제 4 조 부정사용 / 누설 / 공개금지 을 은회사의사전서면동의없이회사정보가공지의사실이될때까지회사정보를계약이행목적이외의목적으로사용하거나, 제3자에게누설 공개하지않는다. 제 5 조 무단복제금지등 1 을 은계약이행목적이외의목적으로회사정보를복사 녹음 촬영등기타방법으로복제를하지않는다. 2 을 은회사의시설물방문시승인되지않은장비 (OA기기, 통신장비, USB 등저장장치, 개인노트북등 ) 사용, 출입금지구역출입, 자료열람, 촬영행위를하지않으며출입관련회사보안규정을준수한다. 제 6 조 회사정보접근자제한등 1 을 은회사정보의접근자및고정열람자를지정하여해당자로부터보안유지서약서징구와정보보안교육을실시한다. 2 을 은 을 의임직원채용및퇴직시, 회사정보보호를위해보안관련서약서를작성토록하며정기적인보안교육을실시한다. 제 7 조 회사정보의반납 / 파기 / 보유금지 1 을 은계약종료 ( 또는회사와의합의에따라계약종료후정해진일정한시점 ) 즉시도표, 설계도, 명세서, 메모, 보고서, 노트, 자기테이프, 디스크, 파일, 저장매체등기타기록매체에들어있는회사정보와관련된일체의자료를회사에반납하거나반납이어려울경우회사와협의하여파기하고, 이에관해어떠한형태의사본도보유하지아니한다. 2 을 은제1항에서정한사항의이행여부를확인하는확인서를회사에제출한다.

62 제 8 조 회사의보안점검등 1 을 은본서약서에서정한사항의점검을위해회사가보안점검요구시수검에응하고, 보안점검에최대한협조하며회사의요청시보안관련자료를제출한다. 2 을 은보안장부를비치, 운영하고회사의요구시보고및제출한다. 제 9 조 서약사항위반시회사조치 1 을 의위각서약사항위반으로인하여회사의업무및경영에차질이발생하거나손해가발생한경우 을 은회사가위반정도를고려하여조치하는경고, 거래중지, 업체등록취소등의불이익을감수한다. 2 을 은 을 의대표자, 대리인, 사용인, 그밖의임직원 ( 계약이체결된후에퇴직한임직원포함 ) 이제 4 조, 제 5 조, 제 7 조에서정한금지행위를한경우에도제 1 항에따른불이익을감수한다. 제 10 조 서약사항위반시민 형사상책임 1 을 은위각서약사항을위반시부정경쟁방지및영업비밀보호에관한법률에규정된민 형사상책임, 민사상의채무불이행책임또는불법행위로인한손해배상책임등의제반관련법규에따른민 형사상의책임을부담하며, 회사의금전적손해에대해손해액을즉시배상합니다. 2 을 은 을 의대표자, 대리인, 사용인, 그밖의임직원 ( 계약이체결된후에퇴직한임직원포함 ) 이제4조, 제5조, 제7조에서정한금지행위를한경우에도제1항에따른민 형사상책임을부담한다. 서명에앞서위서약사항을세심히읽어보았음을확인합니다. 년월일 서약인 을 회사명 : 사업자등록번호 : 대표자 : 회사주소 : 회사전화번호 : 직인

63 양식 1.3 영업비밀보호서약서 ( 업체임직원용 ) 회사의귀중한정보자산을보호하기위하여회사정보 ( 영업비밀포함 ) 보호서약을시행하고있습니다. 반드시전체내용을처음부터끝까지잘읽어보신후서명하여주시기바랍니다. 회사정보보호서약서 업무내용 : ( 이하 업무 라한다 ) 주식회사화신귀중 본인은귀사와계약을체결한 의 ( 임 ) 직원으로서, 업무를수행하면서지득한귀사의 회사정보 의보호에관하여다음과같이서약합니다. 제 1 조 회사정보의의의 본인은본서약서에서 회사정보 란본인이업무수행중또는수행과관계없이지득한회사의영업비밀 ( 공공연히알려져있지아니하고독립된경제적가치를가지는것으로서, 상당한노력에의하여비밀로유지된생산방법, 판매방법, 그밖에영업활동에유용한회사의기술상또는경영상의정보 ) 과노하우등을포함하여제2조에서정한사항과관련된일체의정보를뜻한다는점을이해하고인지합니다. 제 2 조 회사정보의범위 1 인사, 조직, 재무, 영업, 전산, 각종현황등회사의경영에관한사항 2 제품의설계방법, 설계도면, 제조공정, 제조장치기타제품제조나생산 수리와관련된기술에관한비밀사항 3 제품의연구개발 (R&D) 계획, 작업보고서및일지, 실험데이터, 연구성과분석자료, 신차관련정보등연구개발에관한사항 4 사업계획, 생산계획, 예산등회사의계획에관한사항 5 회사의임직원, 고객, 회원, 타사직원등의개인정보에관한사항 6 기타계약이행중또는이행과관계없이지득하게된회사와관련된제반사항

64 제 3 조 회사보안관리규정의준수 본인은회사의회사정보보호를위한지시및회사의제반보안관리규정을준수하겠습니다. 제 4 조 부정사용 / 누설 / 공개금지 본인은회사의사전서면동의없이회사정보가공지의사실이될때까지회사정보를업무수행이외의목적으로사용하거나, 제3자에게누설 공개하지않겠습니다. 제 5 조 무단복제금지등 1 본인은계약이행목적이외의목적으로회사정보를복사 녹음 촬영등기타방법으로복제를하지않겠습니다. 2 본인은회사의시설물방문시승인되지않은장비 (OA기기, 통신장비, USB 등저장장치, 개인노트북등 ) 사용, 출입금지구역출입, 자료열람, 촬영행위를하지않겠으며출입관련회사의제반보안규정을준수하겠습니다. 제 6 조 회사정보의반납 / 파기 / 보유금지 1 본인은본인의소속회사와회사간계약관계종료 ( 또는본인의소속업체퇴직 ) 즉시도표, 설계도, 명세서, 메모, 보고서, 노트, 자기테이프, 디스크, 파일, 저장매체등기타기록매체에보관되어있는회사정보와관련된일체의자료를회사에반납하거나반납이어려울경우회사와협의하여파기하고, 이에관해어떠한형태의사본도보유하지않겠습니다. 2 본인은제6조 1항에서정한사항의이행여부를확인하는확인서를회사에제출하도록하겠습니다. 제 7 조 서약사항위반시민 형사상책임 본인은본인의소속회사재직중은물론퇴직후에도위각서약사항을위반시부정

65 경쟁방지및영업비밀보호에관한법률에규정된민 형사상책임, 민사상의채무불이행책임또는불법행위로인한손해배상책임등의제반관련법규에따른민 형사상의책임을부담하며, 회사의금전적손해에대해손해액일체를즉시배상하도록하겠습니다. 서명에앞서위서약사항을세심히읽어보았음을확인합니다. 년월일 서약인소속회사명 : 직급 : 귀사담당부서 : / 귀사담당자 : 귀사출입지역 : 성명 : ( 서명 ) 생년월일 : 본인주소 : 전화번호 : 본인은회사가본인의위개인정보를본인의소속회사와회사간계약관계종료 ( 또는본인의소속회사퇴직 ) 후 5년간보존하며본인의위각서약사항위반시각종법적조치에활용하는데동의합니다. 성명 : ( 서명 )

66 양식 2.1 영업비밀유지서약서 ( 퇴직자용 ) 영업비밀유지서약서 ( 퇴직자用 ) 본인은귀사에재직중취득한영업비밀을퇴직후사용하거나공개또는누설하지아니하며, 특히기업비밀과관련된창업이나경쟁관계에있는회사에취업하여사용하지아니할것이며, 만약이를위반하여귀사에손해를끼칠경우에는민 형사상의책임은물론부정경쟁방지법의규정에따라책임을질것과다음사항을준수할것을약속합니다. 1. 영업비밀의내용 : 본인이귀사에근무하는도중취득하게된귀사의영업비밀일체 ( 서약인업무완관련된영업비밀 LIST 별첨 ) 2. 경업금지기간 : 년 ( 팀원 : 1년, 팀장 : 2년, 연구인력 : 3년 ) 3. 경업금지지역 : 국내및해외경쟁업체 4. 영업비밀유지의무기간 : 년 ( 연구인력 : 5년, 기타인원 3년 ) 5. 영업비밀유지내용 1 회사의동의및승인없이사용 공개 누설을하지않겠음 2 기업비밀과관련된모든자료반납및반환요청에적극협조하겠음 3 기업비밀권리화 ( 특허출원등 ) 에적극협조하겠음 4 기타회사에손해가될비밀침해행위를하지않겠음 6. 서약위반에따른책임 1 본인이귀사의영업비밀침해를통해취득한모든기타이익을귀사에대한손해배상금으로반환할것을약정합니다. 2 본인이귀사의영업비밀을침해하는경우귀사로부터영업비밀유지를조건으로받은금전기타이익을모두반환하겠습니다. 3 본인이귀사의영업비밀을침해하는행위를한경우형사상처벌을감수하겠습니다. 년월일서약자주소 : 생년월일 : 성명 : ( 인 ) 주식회사화신귀중

67 서약인은본인의업무와관련된영업비밀을구체적으로기술하여주시기바랍니다. 소속팀장은기재된내용중누락된사항이없는지확인하신후서명하여주시기바랍니다. 서약인업무와관련된영업비밀리스트는회사임직원의보안의식재고를위하여작성되는것이며본리스트에기재되지않았음을이유로영업비밀유지서약서제1항회사의영업비밀등의범위에서제외되는것은아닙니다. 서약인업무와관련된영업비밀리스트 NO 영업비밀내용비고 년월일 위서약인 ( 인 ) 확인자 ( 팀장 ) ( 인 )

68 양식 3.1 자산반입신고서 반입신고서 결 담당팀장부문장 NO: 재 회사명 ( 소속 ) 대표자성명반입자주소 반입 주관부서 주관담당자 장소 반입장소 반입목적반입일시 년 월 일 시 분 재반출예정 년 월 일 시 분 반입물품리스트 NO 물품명규격수량비고

69 양식 3.2 자산반출신고서 반출신고서 결 담당팀장부문장 NO: 재 반출자 부서명 부서장확인 반출자 반출 장 목 소 적 일시년월일시분재반입예정년월일시분 반출물품리스트 NO 물품명규격수량비고

70 보안지침 시설보호및출입통제지침 문서번호 HS-SI-GA01 개정번호 1 목차 1. 목적 2. 적용범위 3. 보호구역의설정 4. 보호구역의관리대책 5. 인원출입관리절차 6. 출입증운영절차 7. 차량출입관리절차 8. 부칙 작성부서 작성검토승인합의 결 총무팀재부서명서명부서명서명 REV. 개정일개정내용 개 정 보안관리정책 [ 초도제정 ) 지침구성변경및세부항목분리에따른개정 2 3 이 력 HS-P-C01-01 Rev.0 1/5 주식회사화신

71 보안지침 시설보호및출입통제지침 문서번호 HS-SI-GA01 개정번호 1 1. 목적 본지침은주식회사화신 ( 이하 ' 회사 ' 또는 ' 당사 ' 라한다 ) 의시설및출입절차를규격화하여인원및 시설을안전하게보호함을목적으로한다. 2. 적용범위 본지침은당사의모든조직및관련시설에적용된다 3. 보호구역의설정 3.1 보호구역의지정가. 사업장보안책임자는비밀보호가필요한지역에따라보호구역을지정하고, 출입권한및출입이력을관리하여야한다. 나. 연구소및회사영업활동에필요한중요지역은제한구역및통제구역으로지정하여야하며, 사업장의관리필요성에따라사업장지역을지정하여관리할수있다. 1) 제한구역 : 회사내에외부인의접근을방지하기위하여출입의안내가요구되는구역 ( 예 : 사무실등 ) 2) 통제구역 : 회사내의극히중요한구역으로모든출입자의통제가요구되는구역 ( 예 : 전산기계실등 )" - 사업장지역 : 회사내의부지로외부인의무단침입을방지하기위한구역 3.2 보호구역의표시가. 제한구역및통제구역의출입문중앙또는잘보이는곳에보호구역의표지를부착하여야한다. 나. 보호구역표지는가로 20cm, 세로 10cm 로권고하며, 크기를변경하고자할때는가로세로의비율을유지하여부착한다. 제한구역 통제구역 4. 보호구역의관리대책 4.1 보호구역의관리가. 통제구역및제한구역으로설정된지역은비인가자의진입을방지하기위하여출입통제장치설치및인력배치를통한보호활동을하여야하며, 출입기록을 2 년이상유지하여야한다. HS-P-C01-01 Rev.0 2/5 주식회사화신

72 보안지침 시설보호및출입통제지침 문서번호 HS-SI-GA01 개정번호 1 나. 보안운영부서 ( 팀 ) 에서는보호구역의출입기록을점검하여야한다. 다. 통제구역은상시잠금상태가유지되어야한다. 라. 통제구역에는출입이력등이관리되어야하며, 필요한통제조치를시행하여야한다. 4.2 보호구역의촬영제한가. 제한구역및통제구역에서는관리책임자의승인없이는사진또는비디오촬영을할수없다. 나. 사진또는비디오촬영등관련영상이필요시관리책임자의승인을받아내부인이동행하여촬영하여야한다. 5. 인원출입관리절차 5.1 임직원가. 상주하는임직원은본인근무지역및근무지의제한지역출입이가능하다. 나. 통제구역의출입은해당구역을관리하고있는구역관리부서 ( 팀 ) 장의승인을얻은후출입하여야한다 외부인가. 출입신청및승인 1) 외부인은원칙적으로보호구역에출입할수없다. 2) 외부인은회사내업무적으로필요한경우에만방문을요청하여야한다. 3) 외부인의방문신청은외부인을관리, 통제할수있는부서 ( 팀 ) 에서대행한다. 4) 방문신청시외부인의제한지역내방문장소는방문목적이있는곳으로최소화한다. 5) 방문한외부인이업무목적이외의행위를하거나회사에유해한행위를하는경우방문신청을대행한임직원도책임이있다. 나. 임시방문 1) 방문신청은외부인의제한지역진입이전에등록되어야하며, 사전통보없이방문한경우관리, 통제할수있는부서 ( 팀 ) 의방문신청전까지대기하여야한다. 2) 외부인은제한지역에진입시각출입문또는안내데스크에서신분확보에필요한기재사항을기록하고지정된신분증을위탁한후방문증을수령하여제한지역에출입하여야한다. 3) 방문자의신분확보에필요한기재사항은성명, 회사명, 연락처, 방문부서 ( 팀 ) 명, 방문자, 방문목적은기본적으로포함하며, 불필요한개인정보의수집은지양한다. 단, 법령에서지정한범위내의개인정보수집이필요할경우, 반드시사전에본인의수집및활용동의서명을받아야한다. 다. 상주 / 장기방문 1) 업무적계약에의거하여사업장내출입하는인원또는그에준하여장기간출입이필요 HS-P-C01-01 Rev.0 3/5 주식회사화신

73 보안지침 시설보호및출입통제지침 문서번호 HS-SI-GA01 개정번호 1 한인원은별도의장기출입증을발급받아출입하여야한다. 2) 장기출입증을신청중이거나, 미소지한상주또는장기방문외부인은임시방문자에준하여출입한다. 라. 출입이력관리 1) 보안운영부서 ( 팀 ) 는외부인의출입이력을 2년이상보관하여야한다. 2) 외부인이포함된개인정보는개인정보의분실, 도난, 유출등이되지않도록내부관리계획을수립하여야하며, 개인정보를안전하게저장, 전송할수있는암호화기술또는안전하게보관할수있는보관시설및잠금장치등의물리적조치를하여야한다. 3) 출입이력의활용은보안사고의의심또는이에준하는상황발생시보안운영부서 ( 팀 ) 장의승인후가능하나, 사안이급박한경우선조치후보고하도록한다. 6. 출입증운영절차 6.1 출입증관리가. 출입증은본인만사용하는것으로본인이외의자에대여, 공유하는행위를하여서는안된다. 나. 출입증은반드시눈에잘띄도록패용하여야한다. 다. 각출입증은용도에따라시각적인디자인을상이하게적용한다. 6.2 사원증가. 전임직원은반드시사원증을의무적으로발급받아야하며, 출입증의목적으로사용할수있다. 나. 사원증또는출입증은사진및이름이포함되어, 본인임을시각적으로증명할수있어야한다. 다. 전임직원은사원증또는출입증을패용하여야하나회사에서지급된명찰을패용하여이에준하는표식으로사용할수있다. 6.3 외부인출입증가. 일일방문출입증 1) 외부인은사업장방문시반드시일일방문출입증을 5항의인원출입관리절차에의거하여발급받아사용하여야한다. 나. 장기방문출입증 1) 업무적계약에의거하여사업장내출입하는인원또는그에준하여장기간출입이필요한인원은장기방문출입증을발급받아사용하여야한다. 2) 장기방문출입증발급은월 10회이상출입하는인원에대하여발급가능하며, 이에준하는사유발생시보안운영부서 ( 팀 ) 장의승인을받아권한부여한다. HS-P-C01-01 Rev.0 4/5 주식회사화신

74 보안지침 시설보호및출입통제지침 문서번호 HS-SI-GA01 개정번호 1 3) 장기방문출입증에는업체명, 성명, 출입기간이포함되어있어야한다. 7. 차량출입관리절차 7.1 차량출입관리가. 차량출입관리는보안운영부서 ( 팀 ) 에서시행하나, 사업장의특성에따라차량관리부서 ( 팀 ) 에서출입관리를운영또는부분적으로위임하여운영한다. 나. 모든차량은지정된장소에주차하여야한다. 다. 공장및연구소는사업장외곽에주차시설을운영하여미승인된차량의제한지역내출입을사전방지한다. 다만, 시설의제약으로인하여외곽주차장운영이어려울경우에는별도의차량출입승인절차를수립하여운영한다. 라. 미등록된차량의임시출입이필요한경우관리, 통제할수있는부서 ( 팀 ) 에서사전에보안운영부서 ( 팀 ) 에승인을받아출입할수있다. 단, 공사, 납품등의경우에는관련부서 ( 팀 ) 에승인권한을위임할수있으나, 승용차의경우에는보안운영부서 ( 팀 ) 의승인을득해야한다 차량출입이력관리가. 보안운영부서 ( 팀 ) 는외부인차량출입이력이포함된차량출입기록을 2년이상보관하여야한다. 나. 차량출입이력의활용은보안사고의의심또는이에준하는상황발생시보안운영부서 ( 팀 ) 장의승인후가능하나, 사안이급박한경우선조치후보고하도록한다. 8. 부칙 본지침은 2013 년월일부로시행한다. HS-P-C01-01 Rev.0 5/5 주식회사화신

75 보안지침 CCTV 운영및시설감시지침 문서번호 HS-P-C012 개정번호 1 목차 1. 목적 2. 기본원칙 3. CCTV운영기본방침 4. 설치위치, 설치대수및촬영범위 5. 관리체계 6. 관리책임 7. 정보의위탁처리 8. 수집의제한 9. 정보의보관 10. 보관및보관장소 11. 정보의파기 12. 정보의제공 13. 정보의제공범위 14. 정보의열람및제공절차 15. 정보제공인가 16. 개인영상정보처리자의비밀유지의무 17. CCTV 시스템관리 18. 부록 작성부서 작성검토승인합의 결 총무팀재부서명서명부서명서명 REV. 개정일개정내용 보안관리정책 [ 초도제정 ) 개 정 이 지침구성변경및세부항목분리에따른개정 력 HS-P-C01-01 Rev.01 1/8 주식회사화싞

76 보안지침 CCTV 운영및시설감시지침 문서번호 HS-P-C012 개정번호 1 1. 목적 본규정은주식회사화신의 ( 이하 회사 또는 당사 라한다.) 시설물을효과적으로보호하고화재, 도난등임직원과고객의안전및재산상의피해를방지하기위해설치된 CCTV( 영상정보처리기기 ) 의설치목적이외의사용을규제하고개인정보를보호하여임직원과고객의권리와이익을증진하고나아가개인의존엄과가치를구현하기위하여 CCTV운영및시설감시에관한사항을규정함을목적으로한다. 2. 기본원칙가. 차량및인원이출입하는지역은상시감시하여야한다. 가. 시설의감시는 CCTV 및보안요원 ( 인원 ) 에의한감시를하여야하며, 감시운영이불가피한경우무인경비시스템을활용할수있다나. 보안요원 ( 인원 ) 에의한시설감시는주요지역에는상주근무를하여야하며, 비상주근무지역에대하여는주기적인순찰을실시하여야한다. 3. CCTV운영기본방침가. CCTV는보안및화재, 도난등에대한구체적이고실질적인위험이발생한우려가있는경우에한하여설치되고운영되어야한다. 나. CCTV를설치 운영하는때에는정보주체의초상권, 사생활의비밀과자유등을침해할위험이없는지를사전에분석, 검토하여이를최소화할수있는수단을강구하여야한다. 다. CCTV를설치 운영하는때에는출입구등잘보이는곳에다음각호의내용을포함한안내판을부착하여 CCTV가작동중임을공지한다. 1) 설치목적및장소 2) 촬영범위및시간 3) 관리책임자의성명 ( 직책 ) 및연락처 4. 설치위치, 설치대수및촬영범위 1) 별도파일로관리 5. 관리체계가. CCTV는다음의체계로관리운영한다. 1) 총괄책임자 : 전사보안책임자 HS-P-C01-01 Rev.0 2/8 주식회사화싞