정보 보안 정책

● 회사의 기술 및 정보 자산의 구성 요소
· 컴퓨터 하드웨어, CPU, 디스크, 이메일, 웹, 애플리케이션 서버, PC 시스템, 애플리케이션 소프트웨어, 시스템 소프트웨어 등
· 시스템 소프트웨어 : 운영 체제, 데이터베이스 관리 시스템, 백업 및 복원 소프트웨어, 통신 프로토콜
· 응용 프로그램 소프트웨어 : 자사 취급 시스템에 맞춤형으로 작성된 소프트웨어 응용 프로그램과 상용 소프트웨어 패키지 등
· 통신 네트워크 하드웨어 및 소프트웨어 : 라우터, 라우팅 테이블, 허브, 모뎀, 멀티플렉서, 스위치, 방화벽, 개인 회선, 관련 네트워크 관리 소프트웨어 및 도구

● 정보의 분류
컴퓨터 시스템 파일 및 데이터베이스에서 발견된 사용자 정보는 기밀 또는 비기밀로 분류,
정보관리책임자는 정보 분류를 검토 및 승인하고 해당 정보를 가장 잘 보호할 수 있는 적절한 보안 수준을 결정한다.

● 보안 위협 대책
임직원은 정보 보안을 위해 다음 프로세스를 지켜야 합니다.

1. 시스템에 적절한 권한만 부여, 역할을 수행하기 위한 최소 권한 엑세스 원칙을 따르고 가능한 업무 시간으로 액세스를 제한한다.
2. 시스템에 엑세스하기 위한 계정을 공유하지 않는다.
3. 임직원이 해고되거나 징계를 받으면 24시간 이내에 시스템에 대한 엑세스를 제거하거나 제한한다.
4. 적절한 권한이 있는 임직원만 엑세스할 수 있도록 하여 컴퓨터 자산을 물리적으로 보호한다.
5. 비밀번호는 최소 12자 이상, 대소문자 혼합, 영숫자 조합, 특수문자를 포함한다.
6. 비밀번호 변경은 3개월마다 의무적으로 진행한다.
7. 사용자 이름이나 특정 단어를 암호의 일부로 구성하지 않는다.
8. 비밀번호는 엑세스에 여러 번 실패하면 잠금상태로 설정되게 한다.
9. 업무 수행에 개인 기기의 사용은 자제한다.
10. USB와 같은 이동식 장치에 개인 데이터, 민감한 데이터 또는 기밀 데이터를 저장하지 않는다.

● 사용자 책임
컴퓨터 시스템, 네트워크 및 정보 리소스를 비즈니스 목적을 위해 사용하는 모든 임직원 및 협력회사에 적용됩니다.

1. 사용자는 회사 정보 시스템 계정을 회사 업무용으로만 사용해야 한다.
2. 사용자는 자신의 계정에서 생성, 사용, 저장된 모든 기밀 정보를 보호할 개인적 책임을 지고 있다.
3. 사용자는 기밀 정보의 무단 복사본을 만들거나 회사 외부 권환이 없는 사람에게 배포하는 것을 금지한다.
4. 사용자는 관리책임자로부터 특정 승인을 받지않았을 경우 PC 또는 워크스테이션에 승인되지 않은 장치를 연결하지 않는다.
5. 사용자는 인터넷에서 승인되지 않은 소프트웨어를 다운로드하지 않는다.
6. 사용자는 회사 컴퓨터 보안의 모든 취약점, 규정 위반 사건을 직속 상사에게 보고하여 개선 조치 하여야 한다.
7. 사용자는 차별, 괴롭힘, 특정 개인 또는 그룹을 비방, 외설적이거나 잔인한 내용, 기타 목적으로 타인을 위협하는 정보를 전송 또는 저장하지 않는다.

● 엑세스 제어
모든 사용자는 시스템에 엑세스하기 위해 고유한 로그온 ID와 암호가 있어야 하며, 이는 기밀로 유지되어야 합니다.

1. 비밀번호는 일반적인 이름, 명사, 동사, 부사 또는 형용사를 사용하여 생성하지 않는다.
2. 암호는 컴퓨터 단말기 근처에 게시하거나 주변에서 쉽게 접근할 수 없도록 해야 한다.
3. 비밀번호는 90일마다 의무적으로 변경해야 한다.
4. 비밀번호는 최소 12자 이상이어야 하며, 대문자와 소문자의 혼합, 영숫자 조합, 특수 문자를 포함하고, 단일 문자가 끝에 오도록 하지않는다.

● 3자 네트워크 연결
회사와 모든 제3자 회사 및 정보를 전자적으로 교환하는데 필요한 기타 주체 간 안전한 네트워크 연결을 위해 다음을 준수해야합니다.

1. 승인된 사람, 장치만 회사 네트워크에 연결한다.
2. 네트워크의 토폴로지 특성을 변경하는 장치 또는 승인되지 않은 저장 장치를 연결하지 않는다.
2. 사전 승인된 사람만 회사 네트워크에 원격으로 엑세스 가능하도록 한다.
3. 회사 서버에 허브 등을 부착하는 행위는 하지않는다.
4. 원격 제어를 제공하도록 설계된 개인 소프트웨어를 설치하지 않다.