서비스 공급망 관리 정책은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨

제목 없음

주식회사 팀모노리스 공급망 관리 정책

2024. 07 .11

개정 이력

제 1조 목적

이 정책은 ‘코들 AIDT 공공기관용 서비스’의 연속성을 저해하는 위험을 식별하고 최소화 하기 위해 공급망과 관련한 보안요구사항을 정의한다.

제 2조 적용 대상

이 정책은 회사의 모든 직원과 공급업체에 적용된다.

제 3조 정의

• 공급망: 기업이 부품, 원자재 등 재료를 획득하고 이를 제품 및 서비스로 변환하여

고객에게 유통시키는 프로세스의 네트워크를 의미한다.

• 위험: 회사의 재무, 운영 또는 평판에 부정적인 영향을 미칠 수 있는 사건 또는 조건이다.
• 보안요구사항: 조직의 자산을 보호하기 위한 보안 조치이다.

제 4조 위험 식별

4.1 공급망 상의 이해관계자와 맺은 계약 관계에 따른 위험 식별

4.2 정보 및 시설, 서비스에 대해 분실, 도난, 유출, 위조, 변조, 훼손 등의 발생 가능성 검토

4.3 처리되는 데이터의 종류, 네트워크 환경, 오피스 환경 등으로 인한 위험 식별

4.4 외부 위탁으로 인한 위험 식별

제 5조 보안요구사항이 포함된 공급망 보안대책

5.1 데이터의 유출, 위조, 변조, 훼손 위험을 최소화 하기 위한 기술적인 보안대책

• 데이터를 분류하고 특성에 맞는 보안대책 적용한다.
• 중요정보 및 법적 요구사항에 따라 암호화가 필요한 데이터는 암호화하여 저장한다.
• 데이터 누출 및 침해사고 발생 시 비상연락망에 포함된 담당자에게 신속하게 연락

하고 침해사고 대응 절차에 의해서 대응한다.

• 데이터 누출 및 침해사고 발생 시 책임은 원인을 조사하여 명확하게 밝히고 책임이 있는 기관에 빠른 조치를 요청한다.

5.2 공급망 상의 이해관계자와 맺은 계약의 범위에서 발생 가능한 위험을 최소화하기

위한 보안대책

• 납품 또는 제품 공급에 대한 조건을 명확하게 명시한다.
• 계약은 양 당사자의 책임과 보증 사항을 명시한다.
• 계약은 양 당사자 간의 기밀 유지에 관한 조항을 포함한다.
• 계약 해지 조건 및 소송이 발생했을 때의 분쟁 해결 방법 및 소송 비용 부담을 명시한다.

5.3 네트워크 환경의 손실, 변경 등에 의한 위험을 최소화하기 위한 보안대책

• 공급망의 네트워크 보안 이벤트를 모니터링하고 네트워크 보안 상태를 평가한다.
• 네트워크 보안 상태를 개선하기 위한 조치를 취한다.
• 네트워크 장애 시 빠른 대비해서 비상연락망을 최신화 한다.

5.4 외부 위탁으로 인한 위험을 최소화하기 위한 보안대책

• 공급업체와 보안 요구사항을 협상한다.
• 공급업체의 보안 요구사항 준수를 모니터링하고 보안 요구사항을 충족하지 못하는

경우 조치를 취한다.

• 국가로부터 정보보호 인증을 받은 공급업체를 선택한다.

5.5 시설 및 설비 등의 장애로 인한 위험을 최소화하기 위한 보안대책

• 공급망의 시설 및 설비에 대한 이중화 및 복원을 강화한다.
• 실시간 모니터링을 하고 이상징후를 감지할 수 있도록 한다.
• 암호화 기술과 접근제어 시스템을 도입하여 불법적인 접근이나 침해사고로부터 보호한다.
• 비상계획을 수립하고, 이를 주기적으로 훈련하여 업데이트한다.
• 안전성과 보안을 유지하기 위해 정기적인 점검과 유지보수를 수행한다.

제 6조 책임

• 최고 정보 보안 책임자(CISO)는 이 정책의 시행을 책임진다.
• 모든 직원은 이 정책을 준수할 책임이 있다.
• 모든 공급업체는 이 정책을 준수할 책임이 있다.

제 7조 준수

회사는 이 정책을 준수하지 않는 직원 또는 공급업체에 대해 징계 조치를 취할 수 있다.

제 8조 변경

이 정책은 회사의 필요에 따라 수정될 수 있다.

서비스 공급계약서

코들 AIDT 서비스 이용 및 공급 계약서