정보보안경영
HS효성첨단소재는 외부로부터의 사이버 테러 혹은 정보 유출에 따른 정보보호 리스크 관리 및 대비를 위해정보보안 조직을 중심으로 정보보안 규정 및 하위 운영 기준에 따라 세분화하여 관리하고 있습니다.
컨텐츠 그룹 내용
정보보안 조직을 중심으로 정보보안 규정 및 하위 운영 기준에 따라 세분화하여 관리하고 있습니다.
컨텐츠 그룹 내용
컨텐츠 내용
정보보안경영 체계
정보보안 관리 체계
HS효성첨단소재는 경영전략실장 정보보안 관리 체계 및 전략을 관리 감독합니다. 특히, 정보보안 전담 업무 5년 이상의 경력을 보유한 정보보호 책임자(CISO)를 경영전략실 산하에 두어 개인정보를 포함한 모든 기업 정보 보호를 관리합니다. 보안책임자, 인사팀, 총무팀, 준법지원팀이 협력해 보안정책을 전사에 전파하고, 정보보호와 개인정보보호 규정의 준수 여부를 점검하는 등 지원활동을 수행하고 있습니다. 주기적인 모니터링, 리스크 관리 및 시정 조치 요구는 그룹사 보안 전문 조직인 지주사 보안팀이 전담하고 있습니다. 보안책임자는 보안 활동 및 관리 모니터링 업무를 수행하고 그 결과를 보안팀에 보고하며, 보안팀은 이를 평가, 시정, 관리하고 있습니다.
-
- 보안책임자
- 총무
- 인사
- 준법지원
-
- (주) 효성 보안팀 보안사고 처리, 진행사항보고 사고목록과처리기록 관리, 전파와 교육
- (주) 효성 DT추진팀 주기적인 모니터링, 리스크 관리,시정조치 요구
-
- 보안사고 점검, 대응, 지휘, 관리
- 보안사고 지휘, 관리
- CISO
정보보안 정책
HS효성첨단소재는 사업에 대한 정보보호 리스크 최소화를 위해 각 조직의 책임과 역할을 규정한 정보보안 정책을 수립해 최고경영층의 승인을 받고 전사에 게시되어 있습니다. 정보보안 정책에 규정된 리스크 완화 활동이 효과적으로 수행되게 하기 위해 계획/승인/실행/모니터링 프로세스가 수립되어 있습니다. 국내외 정보보호 관련 법령 및 요구사항의 변화를 모니터링하여 정보보안 정책과 규정에 반영하고 있습니다. 또한 개인정보보호법 준수를 위해 법령 개정 현황을 상시 모니터링하면서 개인정보보호 규정을 통해 회사가 보유한 모든 임직원 및 고객 정보를 안전하게 보호하고 있습니다.
HS효성첨단소재의 카테고리별 정보보안 상세 규정과 기준
-
보안관리
-
인원보안
임직원, 외부인력 보안 정보보호 교육 및 인식 제고
-
물리적 보안
물리적 보안 대책 수립 및 통제
-
업무 연속성
업무 연속성 계획의 수립 및 운영
-
보안사고대응
보안사고 대응 체계
-
개인정보보호
개인정보 보호 원칙 개인정보의 처리 기준
-
인원보안
-
보안리스크
-
정보자산관리
정보자산 별 책임 및 권한 내부 정보의 관리
-
정보보호 준수 점검
주기적인 보안 로그 점검 정보보호 준수 점검 관리
-
IT인프라 보안 관리
인증 및 권한 관리 인터넷 및 네트워크 보안 관리 서버 보안 관리 어플리케이션 보안 관리 데이터베이스 보안 관리 보안장비 및 보안 솔루션 보안 관리 PC 보안 관리 모바일 보안 관리
-
정보자산관리
-
보안징계
보안 포상/징계 운영 기준보안 포상/징계 절차와 기준 보안 포상/징계 수위
KEY Performance Target
매년 글로벌 정보보호 서약율 100% 달성
HS효성첨단소재는 소중한 기술·개인·자산정보를 보호하기 위해
정보보호에 대한 인식을 제고하며 정보의 불법 활용과 유출을 방지하는 보안체계를 운영하고 있습니다.
정보보호에 대한 인식을 제고하며 정보의 불법 활용과 유출을 방지하는 보안체계를 운영하고 있습니다.
기술보안
사이버 안보
이메일 무단열람, 해킹메일 유포, 경유지 구축, 악성코드 유포 등의 사이버 공격을 보안관제를 통해 실시간으로 탐지하고 있으며, 공격피해를 최소화하기 위해 유관부서와 신속한 정보공유 체계를 유지하고 있습니다. HS효성첨단소재는 방화벽으로 내부 네트워크를 보호하고 안티바이러스와 같은 보안 프로그램을 설치해 랜섬웨어 등 악성코드 공격으로부터 정보를 보호하고 있습니다. 특히 서버, 네트워크 장비, 응용 프로그램 로그 및 방화벽 등 보안솔루션에서 발생하는 로그를 통합 관리하여 로그의 유실과 변경을 막고 안전하게 로그를 저장하고 있습니다. SIEM (Security Information & Event Management) 솔루션을 이용하여, 경계값 이상의 행위가 발생하는 경우 즉시 알람을 발생시켜 즉시 후속 대응하고 있으며, 주기적으로 SIEM 규칙과 경계값을 조정하고 있습니다. 이러한 보안 로그는 단계별 담당자가 검토하고 의견을 등록하여 내부 정보통신망을 보호하고 있습니다. 회사 내에서는 악성 IP 및 URL 로의 접속이 불가하도록 차단하고 있으며, P2P 사이트 등 업무와 관련이 없는 사이트에 대한 접근을 제한해 각종 사이버 위협으로부터 사내 정보를 보호합니다.
사이버 위협 예방 상세 활동
| 구분 | 세부내용 | 주기 |
|---|---|---|
| 보안로그 관리 | 사외발송 메일, 사외다운로드, 외부저장매체 (USB 등) 사용 내역에 대하여 팀장 확인 및 의견 등록 후 CISO가 최종 확인 | 주 1회 |
| 정보유출 솔루션 | 사외로 송부한 메일 및 정보 유출이 가능한 매체에 대해 상시 점검 수행 | 일 1회 |
| IT 취약점 점검 | 주요 홈페이지 및 인프라 장비에 대해 정보보안 취약점이 존재하는지 점검 | 연 1회 |
| 사업장 취약점 점검 | 각 사업장에 방문하여 정보보안 실태 점검 | 미등록 PC 실사 |
| 보안 관재 | 보안 전문 업체의 인력이 상주하여 해킹 등 외부의 공격에 대해 모니터링 수행 | 상시 |
| 스피어피싱 메일 탐지 | 스피어피싱 관련 키워드를 설정하고 이에 대한 메일 내역 모니터링 | 상시 |
스마트 정보유출방지 시스템
접근통제시스템으로 외부 사용자 침입에 의한 세계적 경쟁력을 가진 우리의 기술와 영업비밀 등이 유출되지 않도록 예방하고 있습니다. 일반 사용자, 시스템 운영자 별로 차별화 된 접근통제 정책을 적용하여 비인가 접근을 차단하고 있어 허가 권한 내에서 승인 받은 사람만이 내부 네트워크에 접근할 수 있습니다. 내부 네트워크 사용자의 모든 작업 이력은 로깅되고 로그인 횟수 초과시 계정은 자동 잠금됩니다. HS효성첨단소재는 재택근무, 외근, 출장 등 사외에서 내부 업무시스템 접속시 VPN을 이용해 통신 구간을 암호화하여 보호하고 있으며, 개인별 OTP (One Time Password) 를 이용한 이중 (2-factor) 인증을 적용해 계정 정보 노출로 인한 중요 정보 유출 사고 발생 위험을 최소화하고 있습니다. 시스템 서버 접근은 운영자 ID 외에 IP주소를 제한하며, OTP 인증을 적용하고 있습니다. ‘Need-To-Know‘ 원칙에 따라 출장 및 COVID-19 등 특수한 상황에 따른 재택근무 시 내부 업무시스템 접속을 위한 VPN (Virtual Private Network) 신청으로 허가 받은 인원만이 접근할 수 있으며, 추가로 세부적인 접근 권한이 필요시 추가 승인을 받아야 합니다. 서버에서 수행한 명령어를 기록하여 정보 유출 사고 발생을 예방하면서 사고 발생 경위를 신속히 파악할 수 있도록 하고 있습니다.또한, 매체제어 프로그램을 이용해 PC 에 저장된 파일을 USB 등으로 무단 복사할 수 없도록 제한하고 있으며, 영업비밀 등 내부 정보 불법 유출 방지를 위하여 DLP (Data Loss Prevention) 솔루션을 이용한 모니터링도 실시하고 있습니다. 개인PC에 저장된 파일은 사전 승인없이 반출하지 못하도록 통제되고 승인 후에도 모든 전송 내역 (반출 사유와 반출처)을 저장해 정보 유출 사고에 대비합니다. 또한 임직원에 의한 사내 중요 정보 유출 예방을 위해 PC 사용이력과 메일 수발신 내역을 저장하고 이상 행위를 모니터링합니다. 문서 반출에 대한 사전 통제, 사용자 PC 의 저장통제, 문서 유통 과정에서의 모니터링 체계를 구축해 문서 보안을 강화하고 정보의 유출/유실 가능성을 줄이고 있습니다.
물리적 보안 시스템
사무실, 사업장 등 외부자의 무단 출입 제한이 필요한 곳을 보호구역으로 지정하고, 출입문에 ID 카드나 지문을 이용한 출입시스템을 설치하여 출입 이력을 관리하고 있습니다. 전산실 등 특별히 엄격한 출입관리가 필요한 곳은 통제구역으로 지정하여, 경비원을 두거나 CCTV 를 설치하고 있습니다. 회사의 자산을 무단 반출하거나, 개인 소유의 PC 나 저장매체를 사전 신고없이 반입하는 것을 금지하고 있습니다.문서중앙화 시스템 운영
보안 정보의 수정 및 보관은 문서중앙화 시스템 (ECM, Enterprise Content Management) 에서만 가능하며 승인된 문서만 반출 할 수 있습니다. 이를 통해 사업장 전체에 일관된 문서 보안 정책을 마련하고, 문서 유통 과정 전반에 대한 가시성을 확보하게 되었습니다. 문서의 모든 Life-Cycle 이 문서중앙화 시스템을 통해서 관리되며, 문서의 PC 저장/반출과 공유가 문서 중앙화 시스템을 통해 통제 및 모니터링 되고 있습니다. 재택근무시에도 문서중앙화 시스템에 접속해 업무에 필요한 문서를 편리하게 활용할수 있는 환경을 제공하여 재택근무의 생산성 향상에 기여하고 있습니다. 문서중앙화 시스템은 IT서비스요청절차에 따라 팀장 승인하에 사용 권한을 부여하여 허가 받은 사람만이 사용할 수 있습니다.
-
문서중앙화 (ECM)
- Centralization 문서 자산화
- Systemization 전사 문서, 통합 및 체계화
- Collaboration 공유 및 활용
-
- One Source Multi Use & Share 진본 관리를 통한 협업 증대
- Centralization of Knowledge Asset 문서/ 콘텐츠의 자산화
- Transfer Core-competence & Competitiveness 핵심 역량/ 경쟁력 축적
- Security Enhancement & Paradigm Shift 보안 강화 및 방식 전환
-
PC저장 통제
반출 통제
- PC저장 통제 PC내 중요 문서 보관 불가, 모든 문서 ECM 관리, 문서 유실 가능성Zero
- 반출 통제 승인된 문서만 반출 가능, 반출 채널(USB, 이메일, 출력)에 대한 이중 통제
- 문서 등급 분류 문서 중요도에 따른 등급정의, 등급에 따른 검색 및 열람 권한 정의
- 역할별 접근 통제 사용자 역할별 업무 범위 정의, 시스템 운영자에 대한 통제, 되지 않은 문서 접근 권한 원천 방지
- 사후 로그 분석 문서 관련 모든 행동 로그 관리, 주요 부서/업무 수행자/이상행위자 중심의 주기적 샘플링, 이상행위 파악 및 조치
정보의 보존연한 준수
문서관리 규정 및 운영 기준에 의해 문서의 보존 연한을 규정하고 있습니다. 보존 연한이 경과한 문서는 폐기하도록 안내하고 폐기 과정에서도 규정으로 정보 유출을 방지합니다.보안 내재화와 보안인식 보편화
매년 임직원을 대상으로 정보 침해에 대한 인식, 고객을 포함한 개인정보보호, 정보 침해 사례 공유 등 온/오프라인 정보보안 교육을 실시해 보안에 대한 임직원의 인식 수준을 지속적으로 향상시키고 있습니다. 연 1회 전 임직원을 대상으로 온라인 정보보안 교육을 제공하고 있으며 팀 보안 담당자는 별도로 오프라인 교육을 연1회 수료합니다. 그리고 이메일 및 전사 게시판을 통해 수시로 정보보안 관련 개정사항 및 유의사항 등을 안내하고 있으며 매일 1회 그룹 웨어 접속시 정보보안 관련 팝업창을 생성시킴으로써 정보보안 교육의 접근성을 향상시키고 있습니다.
보안 교육 대상과 실시 주기
전 임직원과 정보보안 담당자
- 메일, 전사 게시판을 활용한 수시 보안 교육
- 매일 그룹웨어 팝업창을 통한 보안 인식 제고 교육
- 연 1회 오프라인 보안 전문 교육
- 연 1회 이러닝 보안 전문 교육
이해관계자의 정보보호
-
개인정보처리 방침
HS효성첨단소재는 임직원 뿐만 아니라, 고객, 협력사 등 다양한 이해관계자의 개인정보를 수집·이용 및 제공시, 정보 제공자가 안심하고 서비스를 이용할 수 있도록 개인정보보호를 위한 최선의 노력을 하고 있습니다. 남녀노소 누구나 개인정보 수집·제공 동의서를 쉽게 볼 수 있도록 함으로써 기업과 정보주체가 상생할 수 있는 비즈니스 생태계를 조성하고 있습니다.
-
다양한 이해관계자의
개인정보 보호HS효성첨단소재는 임직원 뿐만 아니라 고객, 협력사 등 특정 개인정보 수집시에는 개인정보 항목, 보유기간, 개인정보 제 3자 제공여부 등이 명기된 ‘개인정보 수집 동의서‘ 에 동의할 때에만 최소한의 정보를 수집하고 있습니다. 또한, 불필요한 개인정보를 보관하지 않기 위해 일정기간동안 이용하지 않는 개인 정보를 파기하며 개인정보에 대한 접근 기록을 남겨 보유기간이 경과된 개인정보가 파기되었는지 주기적으로 확인하고 있습니다. 개인정보를 파기할 때 다른 시스템과의 연관성을 분석하여 문제점이 발생할 여지가 없는지 점검 후 삭제합니다. 개인정보 파기 전, 당사자에게 정보파기 사실을 알림으로써 정보보안 관리체계에 대한 이해관계자의 신뢰를 높이고자 노력하고 있습니다. 특히 개인정보보호 관련 법력 개정 현황을 상시 모니터링하면서 개정 내용에 따라 대응하고 있으며 개인정보취급자를 대상으로 매년 1회 개인정보보호 교육을 실시하고 있습니다.
-
정기적인 시스템 점검
개인정보를 취급하는 홈페이지, 개인정보 Data Base 등 모든 시스템은 정기적으로 취약성 점검을 실시하고 있으며 정보보호 주관부서는 개인정보를 취급하는 모든 부서, 임직원, 위탁업체에게 관련 프로세스의 운영 현황 등에 대한 정기적인 점검 및 교육을 진행하고 있습니다. 개인정보보호의 중요성을 인식하고 관련 정책과 규정을 실무에 활용할 수 있도록 관련 프로세스를 지속적으로 강화하고 있습니다. 2021년부터 자발적으로 손해배상 책임보험에 가입해 개인정보유출 사고 발생 시 손해배상의 책임을 다하고자 노력하고 있습니다.
-
투명한 정보보호 공개
HS효성첨단소재는 주주의 알 권리를 보장하고 자발적인 정보보호 투자를 촉진하기 위해 정보보호 공시제도에 참여하고 있습니다. 다양한 이해관계자의 안전한 인터넷 이용을 위해 투자, 인력, 인증, 활동 등 정보보호 현황을 공개하고 있습니다.
효과적인 정보보안
리스크 관리
보안리스크
HS효성첨단소재는 사업과 관련한 모든 영업비밀과 보유하고 있는 핵심 기술, 연구개발 정보, 고객정보, 개인정보 등을 보호하기 위해 체계적인 정보보안 관리체계를 수립하여 적용하고 있습니다. 외부 침해 대응을 위해서는 관리적/물리적 통제를 통해 사무 영역과 공정 설비 영역까지 상시 또는 정기적으로 보안 관리를 실시하고 있습니다. 또한, 해킹 등을 포함한 외부 보안 공격에 실시간으로 대비하기 위해 정기적으로 보안 취약 점검 및 모의 해킹, 임직원 대상 모의 훈련을 실시해 보안 수준 및 대응 역량을 지속적으로 높이고 있습니다. HS효성첨단소재는 연 1회 이상 임직원들을 대상으로 정보보안 리스크 교육을 실시하여 보안에 대한 임직원의 인식 수준을 향상시키고 있습니다.
HS효성첨단소재의 정보보안 리스크 관리 방법
통제
-
관리적 통제
정책적인 통제, 문서화된 통제, 정형화된 절차, 표준 및 가이드라인 등을 통한 보안 리스크 통제 (위험 평가, 보안관리규정, 개인정보보호, 보안사고 대응 지침 등)
-
물리적 통제
출입문, 잠금 장치, 감시 카메라, 경비원, 네트워크 분리 등을 통한 작업장 또는 컴퓨터 장치 등에 대한 감시와 통제
-
접근 통제
정보시스템 감시 및 통제를 위한 패스워드, 방화벽, 침입탐지시스템, 접근 제어 및 데이터 암호화 등 소프트웨어와 특정 데이터를 이용한 통제
-
환경적 통제
환경적 재해 (자연재해, 화재, 정전) 대한 대비 및 복구리스크에 방안 수립
보안
-
데이터 보안
상시/주간/월간 방화벽, 필터, VPN, IDS 등을 이용한 네트워크 트래픽을 감시하여 서비스 거부 공격 (DoS 공격), 포트 스캔, 컴퓨터 크랙, 해킹 등 악의적 동작 탐지
-
호스트 보안
상시/주간/월간 침입자 탐지, 바이러스 보호, 호스트 기반 보안 시스템, 보안 패치 등을 이용한 시스템 내부 감시
-
데이터 보안
정보시스템 감시 및 통제를 위한 패스워드, 방화벽, 침입탐지시스템, 접근 제어 및 데이터 암호화 등 소프트웨어와 특정 데이터를 이용한 통제
정보보안 취약점 점검
정보시스템 신규 도입 및 변경 시 보안성 검토를 통해 리스크를 최소화 하고 있습니다. 웹서버 외부 오픈 등 네트워크 통제 정책 변경시에도 보안성 검토를 실시해 불법적인 접근을 최소화 하고 있습니다. 특히 서버, 네트워크 장비, 응용프로그램 등 정보시스템에 대해 매년 보안 취약점 점검을 실시하고 발견된 취약점을 제거하고 있습니다.보안사고 대응 프로세스
HS효성첨단소재는 보안사고대응 운영기준에 따라 보안사고 유형을 8가지 (1. 기밀 정보 또는 개인 정보가 유출 및 변조, 훼손된 경우, 2. 정보자산의 유출, 절도, 파괴된 경우, 3. 악성코드 등에 의해 회사 서비스가 지연 및 중단 된 경우, 4. 비인가자가 회사의 정보시스템을 공격하거나 침투한 경우, 5. 내부자 및 접근이 허용된 외부자에 의한 내부 자원의 오용, 6. 정보시스템의 서비스 거부공격 (DDoS 공격 등), 7. 물리적인 통제구역 또는 내부 전산망의 무단 침입, 8. 기타 침해사고가 발생한 경우) 로 분류해 관리하고 있습니다. 이러한 보안사고 발생 시 빠른 대응을 위해 즉시 지원 가능한 전문기관과 보안 사고대응체계 (Computer Emergency Response Team, CERT)를 유지하고 비상대응연락망을 관리합니다. 보안사고 대응 운영 기준은 보안사고 발생 인지 즉시 사고에 대응할 수 있도록 5 단계의 대응 처리 프로세스를 포함하고 있습니다.
-
1단계
- 보안사고 상시 모니터링을 통한 사고 인지 정보보호 주관부서는 보안사고대응기준에 따라 정의된 보안사고발생 상시 모니터링
-
2단계
- 신속한 사고 평가와 대응 계획 수립 신속한 보안 사고의 유형 및 심각도 평가, 보안 사고 심각도는 4개로 구분하며 이후 적절한 대응 조직 편성 및 계획 수립
-
- 관심(Blue)
- 주의(Yellow)
- 경계(Orange)
- 심각(Red)
-
3단계
- 적극적 사고 대응 활동 해당서버, 네트워크, PC, 어플리케이션 등 운영담당자 및 관련 모든 임직원의 지원과 심각도에 따른 조치
-
- 업무 연속성 계획 관리
- 백업 대책
- 장애 대책
- 비상 대책
-
4단계
- 사고 복구 완료 및 투명한 보고 보안사고 내용, 대응 실적과 결과를 정밀하게 분석 하고 사고의 증거 보존함. 사고원인 및 경위, 조사 종결까지 모든 내용을 CISO에 직접 보고
-
5단계
-
사고 대응 평가 및 개선 유지
- 정보보호조직이 참여하는 사고 대응 평가 실시
- 대응 후 재발방지를 위한 취약성 점검
- 재발방지 대책을 임직원에게 전파교육 실시 및 보안징계 운영기준에 따른 인사평가에반영
-
사고 대응 평가 및 개선 유지