정보보호조직 관리지침은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨

제목 없음

주식회사 팀모노리스 정보보호조직 관리지침

2024. 07 .11

개정 이력

제1장 총칙

제1조(목적)

이 지침은 주식회사 팀모노리스의 ‘정보보호정책서’에 의거 구성원의 정보보호조직 관리에 필요한 사항을 규정함을 목적으로 한다.

제2조(적용 범위)

이 지침은 주식회사 팀모노리스의 클라우드 컴퓨팅 서비스 업무를 수행하는 정보보호조직에 적용된다.

제3조(용어 정의)

이 지침에서 사용하는 용어의 정의는 다음과 같다.

  1. “정보보호최고책임자”라 함은 회사에서 정보보안 업무에 관련된 총괄 책임을 지는 임원 또는 부서장을 말한다.

  2. “개인정보보호책임자”라 함은 회사에서 개인정보 업무에 관련된 총괄 책임을 지는 임원을 말한다.

제2장 정보보호조직

제4조(정보보호최고책임자 지정)

① 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호최고책임자를 지정하여야 한다.

② 정보보호최고책임자는 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.

③ 정보보호최고책임자가 총괄 관리하여야 할 정보보호 관련 업무는 다음과 같다.

  1. 정보보호 관리체계의 수립 및 관리·운영

  2. 정보보호 취약점 분석·평가 및 개선

  3. 침해사고의 예방 및 대응

  4. 사전 정보보호 대책 마련 및 보안 조치 설계·구현 등

  5. 정보보호 사전 보안성 검토

  6. 중요 정보의 암호화 및 보안서버 적합성 검토

  7. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

  8. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

제5조(조직구성)

① 정보보호최고책임자는 조직의 규모 및 클라우드 컴퓨팅 서비스의 중요도에 따라 필요 인력, 예산 등을 분석하여 별지 제1호 서식 정보보호 조직도 서식과 같이 구성한다.

② 정보보호최고책임자는 실무 조직을 전담 또는 겸임조직으로 구성할 수 있으며 겸임 조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.

③ 정보보호조직 구성원의 주요 직무는 별지 제2호 서식 직무 기술서을 통해 책임과 역할을 구체적으로 정의한다.

제6조(정보보호 전담조직)

① 정보보호 관련 업무를 기획하고, 시행하기 위한 세부 계획을 수립하고 각종 보안 통제 사항을 관리하는 정보보호조직을 구성한다.

  1. 정보보호최고책임자는 조직 임직원의 정보보호에 대한 인식 및 기술 수준을 제고하기 위해 교육 계획을 수립하고 시행한다.

  2. 정보보호최고책임자는 주요 시스템에 대한 침해사고 등 긴급 상황에 대처하기 위한 비상계획의 수립을 지원한다.

② 정보통신망의 침해사고 등 사이버 침해로부터의 예방, 대응, 분석 및 복구 등의 활동을 수행하기 위하여 침해사고대응팀을 구성한다.

  1. 정보보호최고책임자는 침해사고를 비롯한 정보보호 사고가 발생할 경우, 신속하고 효과적인 사고처리 및 복구를 위해 침해사고대응팀을 구성하여 운영한다.

  2. 정보보호최고책임자는 침해사고에 즉각적으로 대응하기 위하여 사전 조직구성, 대응 절차 및 예방책 수립, 사고 대비 교육 및 훈련 등을 실시하여야 한다.

  3. 정보보호최고책임자는 침해사고는 다양한 방식으로 발생할 수 있으므로 일반 직원이 침해사고를 인지하고 신고하기 위한 교육 훈련을 포함하며, 주기적으로 훈련을시켜야 한다.

③ 클라우드 컴퓨팅 서비스의 안정적인 제공을 유지하기 위해 장애대응팀을 구성한다.

  1. 정보보호최고책임자는 자연재해를 비롯한 장애가 발생할 경우, 신속하고 효과적인 처리 및 복구를 위해 주요 장애대응팀을 구성하여 운영한다.

  2. 정보보호최고책임자는 장애가 발생한 경우 즉각적으로 대응하기 위하여 사전 조직 구성, 대응 절차 및 예방책 수립, 사고 대비 교육 및 훈련 등을 실시하여야 한다.

  3. 정보보호최고책임자는 장애는 자연재해, 인정 장애, 기술적 장애 등 다양한 방식으로 발생할 수 있으므로 일반 직원이 장애를 인지하고 신고하기 위한 교육 훈련을 시켜야 한다.

④ 개인정보의 안전한 관리를 수행하기 위해 개인정보보호책임자, 개인정보보호담당자를 지정한다.

  1. 최고경영자는 자신을 포함하여 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호책임자를 지정하여야 한다.

  2. 개인정보보호책임자는 개인정보 처리방침을 정하여 정보 주체가 쉽게 확인할 수 있도록 홈페이지 및 정보 주체의 이메일 등을 통하여 공개하여야 한다.

  3. 개인정보보호책임자는 개인정보보호법 제31조의 의무를 수행하여야 한다.

제7조(정보보호위원회)

① 정보보호위원회는 정보보호최고책임자를 위원장으로 하며, 개인정보보호책임자를 비롯한 정보보호와 관련된 각 부서의 장을 위원으로 구성한다

② 정보보호위원회는 다음의 역할을 수행한다

  1. 정보보호정책 및 지침의 제·개정에 대한 심의 및 승인

  2. 정보보호 예산 심의 및 승인

  3. 정보보호 활동 계획의 심의 및 승인

  4. 보안감사 실시 및 결과에 대한 심의 및 승인

  5. 보안사고의, 위규자 징계, 우수자 포상 심의 및 승인

  6. 기타 정보보호책최고임자가 필요하다고 인정하는 사항

[별지 제1호 서식] 정보보호 조직도

Untitled