Profilerr

정보 보안 정책

정보 보안 정책은 정보 보호의 근거를 설정하고, 보안 관리 결정을 촉진하며, 최상의 정보 보안 통제를 확립, 증진 및 보장하는 목표들을 지시합니다. 이 정책은 이 웹사이트의 회사에서 사용, 관리 또는 운영하는 정보 및 정보 시스템을 포함하여 모든 정보 및 정보 시스템을 다룹니다. 정보 보안 정책은 데이터의 기밀성, 무결성 및 가용성을 보호하고, 정보 분류 및 처리, 그리고 이 정책 위반에 대처하는 것을 목적으로 합니다.

정보 보안 정책은 운영을 위한 안전한 운영 환경을 보장하기 위해 당사 웹사이트 전체에 균일하게 적용되어야 하는 통합된 보호 조치 세트를 제공합니다.

목적

정보 보안 관리는 중요한 조직의 정보 자산을 보호하기 위한 적절한 통제의 합리적인 선택과 효과적인 구현입니다. 통제 및 관리 프로세스는 그 후속적인 적절성과 효과성 모니터링과 결합하여 정보 보안 프로그램의 두 가지 주요 요소를 구성합니다. 정보 보안의 세 가지 목표는 다음과 같습니다:

  • 기밀성: 민감한 정보가 승인되지 않은 개인이나 시스템에 공개되는 것을 보호합니다;
  • 무결성: 정보의 정확성, 완전성 및 적시성을 보호합니다;
  • 가용성: 필요할 때 승인된 사용자가 정보와 필수 서비스에 접근할 수 있도록 보장합니다.

범위

이 정책은 당사에서 근무하는 모든 직원, 계약자, 파트너, 인턴/연수생에게 적용됩니다. 호스팅 서비스를 제공하거나 데이터가 회사 구내 외부에 보관되는 제3자 서비스 제공업체도 이 정책을 준수해야 합니다.

이 정보 보안 정책의 범위는 당사 내부에 저장, 통신 및 처리되는 정보와 아웃소싱된 위치에 있는 당사의 데이터입니다

목표

정보 보안 정책의 목표는 당사에게 정보 위험을 관리하는 접근 방식과 정보 자산 보호를 위한 지침을 모든 부서 및 서비스 제공을 계약한 자에게 제공하는 것입니다.

정보 자산의 분류

당사의 정보 자산은 공개, 내부, 기밀, 제한의 네 가지 범주로 분류됩니다. 모든 주요 정보 자산에는 이 범주에 상응하는 인증 및 권한 부여 절차를 수립할 책임이 있는 지정된 소유자가 있어야 합니다.

  1. 공개 정보는 일반적으로 일반 대중에게 제공되거나 배포될 수 있습니다. 이 정보는 보호가 필요하지 않으며, 의도된 대로 사용될 때 회사의 운영, 자산 또는 정보 프라이버시에 관한 회사의 의무에 부정적인 영향이 거의 또는 전혀 없습니다.
  2. 기밀 정보는 내부에서만 사용되며, 회사 책임을 수행하는 과정에서 필요로 하는 직원만이 접근할 수 있습니다. (기밀 정보에는 주 법률 또는 사업 계약상의 의무에 의해 보호되는 정보가 포함되며, 프라이버시 및 보안 보호가 필요합니다.)
  3. 제한 정보는 엄격하게 기밀로 유지되어야 하며, 엄격히 "알 필요가 있는" 경우에만 접근이 허용됩니다. 예로는 국가 이익 및/또는 국가 안보에 영향을 미치는 정보가 포함됩니다.

모든 직원은 부적절한 사용, 공유 또는 정보 공개에 대한 법적 및 회사 책임을 인식해야 합니다. 기밀 또는 제한 정보를 수신하는 모든 제3자는 그렇게 하도록 승인되어야 하며, 해당 개인 또는 그 조직은 데이터의 기밀성과 무결성을 보장하는 정보 보안 조치를 채택해야 합니다.

기밀 정보는 무단 접근 또는 노출을 방지하기 위해 보호되어야 합니다.

제한 정보는 최고 수준의 민감도를 가지며, 해당 정보가 승인되지 않은 당사자에게 접근되거나 노출될 경우 회사, 국가 및 개인에게 가장 큰 위험을 초래합니다. 따라서 제한 정보를 취급하거나 이를 저장, 전송 또는 조작하는 시스템을 사용하는 당사 직원은 그러한 정보/데이터의 기밀성, 무결성 및 가용성을 항상 유지해야 합니다.

정보 보안 거버넌스

정보 보안 거버넌스는 정보를 보호하고 증가하는 정보 보안 위협을 완화하는 리더십, 조직 구조 및 프로세스로 구성됩니다.

정보 보안 거버넌스의 주요 결과물은 다음과 같습니다:

  • 조직 목표를 지원하기 위해 정보 보안을 비즈니스 전략과 일치시키는 것
  • 위험 관리 및 완화, 그리고 정보 자원에 대한 잠재적 영향을 허용 가능한 수준으로 줄이는 것
  • 정보 보안 거버넌스 지표를 측정, 모니터링 및 보고하여 정보 보안 성과를 관리하고 조직 목표가 달성되도록 보장하는 것
  • 조직 목표를 지원하기 위한 정보 보안 투자 최적화. 정보 보안 거버넌스의 조직적 필요성과 이점을 고려하는 것이 중요합니다.

책임

마케팅 부서는 웹사이트 콘텐츠를 담당하며 자료가 법적 및 정책 요구 사항을 충족하는지 확인하는 책임이 있습니다.

IT 부서는 웹사이트의 보안, 기능 및 인프라를 담당합니다. 시스템 관리자는 응답 시간을 위해 당사 웹사이트를 모니터링하고 발생하는 모든 문제를 해결할 것입니다.

인식 및 커뮤니케이션

기밀 유지, 프라이버시 및 시스템 접근 관련 절차를 포함한 정보 보안의 모든 측면이 공식 직원 입문 절차에 통합되고 기존 직원에게 정기적으로 전달되는 것이 필수적입니다.

직원들은 고용 시작 시 정상적인 근무 과정에서 접근할 수 있는 어떠한 정보도 누설해서는 안 된다는 점을 인지해야 합니다. 또한 직원은 정상적인 업무의 일부로 요구되지 않는 데이터에 접근하려고 해서는 안 된다는 점도 인지해야 합니다.