정보보호 정책서는 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨
제1조(목적)
정보보호 정책서는 클라우드 컴퓨팅 서비스 제공을 위해 필요한 정보보호 정책을 수립하고 관리적, 물리적, 기술적 정보보호 조치를 정의하기 위하여 작성되었다.
제2조(용어의 정의)
이 정책서에서 사용하는 용어의 뜻은 다음과 같다.
“클라우드 컴퓨팅”(Cloud Computing)이란 직접 공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원(이하 “정보통신자원”이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보 처리체계를 말한다.
“클라우드 컴퓨팅 기술”이란 가상화 기술, 분산처리 기술 등 클라우드 컴퓨팅의 구축 및 이용에 관한 정보통신 기술을 말한다.
“클라우드 컴퓨팅 서비스”란 클라우드 컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스를 말한다.
“외부인”이라 함은 “직원“이 아닌 자로서 특정한 업무수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
제3조(적용 범위)
이 정책서는 클라우드 컴퓨팅 서비스와 관련된 정보처리시스템, 전자적 파일과 인쇄물, 서면 등 모든 형태의 정보자산을 관리 운영하는데 적용된다.
제4조(정보보호 정책)
① 클라우드 정보보호정책을 수립하고, 정책 시행을 위한 관련 지침, 절차, 매뉴얼 등을 문서화하여야 한다.
② 클라우드 정보보호 정책은 정보보호최고책임자로부터 제·개정 시 승인을 받아야 한다.
③ 클라우드 정보보호 정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 전달하여야 한다.
④ 정보보호 정책의 타당성 및 효과를 연 1회 이상 검토하고, 관련 법규 변경 및 내·외부 보안사고 발생 등의 중대한 사유가 발생할 경우에는 추가로 검토하고 변경하여야 한다.
⑤ 정보보호 정책 및 정책 시행 문서의 이력 관리 절차를 수립하고 시행하며, 최신 본으로 유지하여야 한다.
제5조(정보보호 조직)
① 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호최고책임자를 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.
② 정보보호최고책임자 또는 개인정보보호책임자는 조직의 규모 및 클라우드 서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.
③ 실무조직을 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.
④ 정보보호 실무조직은 정보보호최고책임자, 정보보호담당자, 개인정보보호관리자, 개인정보보호담당자로 구성할 수 있다.
⑤ 정보보호조직 구성원의 주요 직무에 대하여 직무 기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.
⑥ 회사가 제공하는 클라우드 컴퓨팅 서비스를 이용하는 이용자의 정보보호 관련 책임 및 역할은 이용자와의 계약서 또는 서비스 수준 협약(SLA)에 해당 내용을 반영하여야 한다.
제6조(내, 외부 인력보안)
① 클라우드 운영, 보안, 개발 등 유관 업무에 새로 합류한 인원(신규 입사, 전입 및 외부 인력)은 정보 보호 서약서에 서명하고 클라우드 컴퓨팅 서비스의 설비, 자원, 자산에 접근할 수 있다.
② 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하여야 하며, 주요 직무자는 최소의 인원으로 지정한다.
③ 주요 직무자의 현황을 주기적으로 관리하여 직무자 별 부여된 권한의 적절성 여부를 검토하여야 한다.
제7조(정보보호 서약서 및 비밀유지 서약서)
① 클라우드 컴퓨팅 서비스 업무를 수행하는 인력(외부 인력 포함)은 정보보호 및 개인 정보보호(해당하는 경우)에 대한 내용이 포함된 정보보호 서약서 및 비밀유지 서약서를 작성하여 회사에 제출하여야 한다.
② 직무 변경, 휴직, 퇴직 등으로 인한 인사 변경 발생하는 경우에 추가로 정보보호 서약서 및 비밀유지 서약서를 작성하여 회사에 제출하여야 하며, 그렇지 않은 경우에도 주기적으로(1년) 정보보호 서약서 및 비밀유지 서약서를 작성하여 회사에 제출하여야 한다.
③ 외부인에게 정보자산에 대한 접근 권한 부여, 변경 또는 해제 시 정보보호에 대한 책임이 명시된 정보보호 서약서를 징구하여야 한다.
④ 정보보호 서약서는 조직 내 규정 준수, 정보보호 의무 미준수로 인한 사건 사고 발생시에 대한 책임에 대한 내용이 포함되어야 한다.
⑤ 비밀유지 서약서는 영업비밀과 개인정보의 공개 및 누설 금지, 퇴직 시 조치, 의무위반시의 책임에 대한 내용이 포함되어야 한다.
⑥ 정보보호 서약서 및 비밀유지 서약서는 법적 분쟁에 대한 증거자료로 사용할 수 있기 때문에 쉽게 찾아볼 수 있는 형태로 제3자에게 누출되지 않도록 안전한 장소에 보관 및 관리하여야 한다.