정보 보안
- Sustainability
- Social
- 정보 보안
정보 보안
비즈니스와 정보기술의 변화로 인해 정보보안 이슈 또한 지속적으로 변화하고 있습니다.
정보 보안 이슈 변화에 효과적으로 대응하기 위해서는 기업이 능동적으로 정보보안 체계를 강화해 나가야 합니다.
특히, 정보는 유형의 자산이 아니며, 정보 자체가 가치를 지니고, 조직 내·외부에 정보를 공유하면서 비즈니스를 창출하는 성격을 고려할 때,
업무 수행과정에서의 정보 흐름을 파악하고 정보보안 리스크가 발생할 수 있는 지점을 정확히 식별하는 것이 중요합니다.
효성은 외부로부터의 사이버 테러 혹은 내부 데이터 유출에 따른 정보보안 리스크 발생에 대비하기
위하여 정보보안 규정 및 운영기준을 수립하고, 이를 점검할 수 있는 조직체계를 구성하였습니다.
그리고 보안로그 검토, 보안솔루션이 장착된 복합기 도입 등
사내 중요정보 유출을 예방하기 위해 다양한 활동을 수행하고 있습니다.
- 정보보호 정책 및 프로세스
-
- 사업에 대한 정보보호 리스크 최소화를 위하여 각 조직의 책임과 역할을 규정한 정보보호 정책을 수립하여 최고경영층의 승인을 받고 전사에 게시되어 있습니다.
- 정보보호 정책에 규정된 리스크 완화 활동이 효과적으로 수행되게 하기 위하여, 계획/승인/실행/모니터링 프로세스가 수립되어 있습니다.
- 국내외 정보보호 관련 법령 및 요구사항의 변화를 모니터링 하여 정보보호 정책과 프로세스에 반영하고 있습니다.
- 보안관리
- 인적, 물적 보안
- 업무 연속성
- 보안사고 대응
- 개인정보 보호
- 정보 자산관리
- 모니터링
- 정보보호 준수점검
- IT 인프라 보안관리
- 보안징계
- 보안징계 운영기준
- 정보보호 조직 (지주사)
-
- 정보보호를 위한 전담 조직으로 정보보호 분야 5년 이상의 경력을 보유한 정보보호 최고책임자 (CISO)와 정보보호 실무 담당자로 구성된 보안팀이 있습니다.
- 각 사업장에는 사업장 보안담당자, 각 팀에는 팀 보안담당자가 지정되어 정보보호 정책과 활동이 현업까지 효과적으로 전달될 수 있도록 상호 협조하고 있으며, 현업의 정보보호 이슈나 보안사고를 접수하는 창구 역할도 하고 있습니다.
- 연관 부서의 지원이 필요한 사안에 대해서는, 인사/총무/법무/IT 주관부서 등이 포함된 정보보호 협의체(비상설)를 소집하여, 각 부문별 역할과 책임을 명확히 정의하여 협력하고 있습니다.
- 정보보호 조직 (사업회사)
-
- 다른 업무와 정보보호 업무를 겸임하는 정보보호 최고책임자(CISO)와 보안담당자가 지정되어 있으며, 지주사의 정보보호 정책이 사업회사 내에서 효과적으로 실행될 수 있도록 지주사 보안팀과 협력하고 있습니다.
- 각 사업장에는 사업장 보안담당자, 각 팀에는 팀 보안담당자가 지정되어 정보보호 정책과 활동이 현업까지 효과적으로 전달될 수 있도록 상호 협조하고 있으며, 현업의 정보보호 이슈나 보안사고를 접수하는 창구 역할도 하고 있습니다.
- 연관 부서의 지원이 필요한 사안에 대해서는, 인사/총무/법무/IT 주관부서 등이 포함된 정보보호 협의체(비상설)를 소집하여, 각 부문별 역할과 책임을 명확히 정의하여 협력하고 있습니다.
- 임직원 정보보호 인식제고
-
- 연 1회 전체 임직원을 대상으로 온라인 정보보안 교육을 실시하고 있으며, 부서별 보안담당자를 대상으로 별도 오프라인 교육을 연 1회 실시합니다.
전사 게시판과 그룹웨어 팝업을 통해 변경된 정보보호 정책과 보안사고 예방 수칙 등을 공지하고 있습니다. - 반기 1회 악성메일 모의훈련을 실시하여 의심스러운 메일 수신 시 행동요령을 숙지하도록 하는 등 보안사고 예방을 위한 인식제고 활동을 추진하고 있습니다.
종류 대상 주기 메일/전사 게시판 안내 전 임직원 수시 그룹웨어 팝업창 생성 전 임직원 매일 1회 오프라인 담당자 교육 각 부서 내 정보보안 담당자 연 1회 전 임직원 이러닝 교육 전 임직원 연 1회 - 신규 채용자 및 퇴직 예정자를 대상으로 정보보호 서약서를 작성하도록 하여 정보보안에 대한 의식을 고취하고 있습니다.
- 연 1회 전체 임직원을 대상으로 온라인 정보보안 교육을 실시하고 있으며, 부서별 보안담당자를 대상으로 별도 오프라인 교육을 연 1회 실시합니다.
- 개인정보보호
-
- 개인정보보호 관련 법령 개정 현황을 상시 모니터링 하면서 개정 내용에 따라 대응하고 있습니다.
- 개인정보취급자를 대상으로 매년 1회 개인정보보호 교육을 실시하고 있습니다.
- 개인정보에 대한 접근 기록을 남기고, 보유기간이 경과된 개인정보가 파기되었는지 주기적으로 확인하는 등 회사가 보유한 개인정보를 안전하게 보호하기 위해 노력하고 있습니다.
- 보호구역 지정 및 관리
-
- 사무실, 연구소, 공장 등 외부자의 무단 출입 제한이 필요한 곳을 보호구역으로 지정하고, 출입문에 ID 카드나 지문을 이용한 출입시스템을 설치하여 출입 이력을 관리하고 있습니다.
- 전산실 등 특별히 엄격한 출입관리가 필요한 곳은 통제구역으로 지정하여, 경비원을 두거나 CCTV 를 설치하고 있습니다.
- 회사의 자산을 무단 반출하거나, 개인 소유의 PC 나 저장매체를 사전 신고없이 반입하는 것을 금지하고 있습니다.
- 상시 보안관제 및 보안사고 대응
-
- 해킹 등 사이버 보안사고 예방을 위하여 보안팀 및 보안관제 전문업체 파견 인력을 통해 24시간 보안관제를 실시하고 있습니다.
- 국내 외 침해사고 정보를 효성의 보안장비에 先 적용하여 동일한 침해사고를 예방하고, 실시간 모니터링을 통해 이상징후를 조속히 발견하고 있습니다.
- 보안사고 대응 절차를 수립하고 비상연락망을 구축하여, 보안사고 발생시 절차에 따라 조속히 대응할 수 있는 체계를 갖추고 있습니다.
- 접근통제
-
- 효성은 일반 사용자, 시스템 운영자 별로 차별화 된 접근통제 정책을 적용하여, 비인가 접근을 차단하고 있습니다.
- 재택근무, 외근 등 사외에서 내부 업무시스템 접속시 VPN 을 이용해 통신 구간을 암호화 하여 보호하고 있으며, 개인별 OTP(One Time Password)를 이용한 이중(2-factor) 인증을 적용하여 계정 정보 유출 등으로 인한 사이버 보안사고 발생 위험을 최소화하고 있습니다.
- 정보시스템 서버 접근은 운영자 ID 외에 IP주소 제한, OTP 인증을 적용하고 있으며, 서버에서 수행한 명령어를 기록하여 보안사고 발생을 예방하면서, 사고 발생 경위를 신속히 파악할 수 있도록 하고 있습니다.
- 로그 통합 관리
-
- 서버, 네트워크 장비, 응용프로그램 로그 및 방화벽 등 보안솔루션에서 발생하는 로그를 통합 관리하여 로그의 유실과 변경을 막고 안전하게 로그를 저장하고 있습니다.
- SIEM (Security Information & Event Management) 솔루션을 이용하여, 경계 값 이상의 행위가 발생하는 경우 즉시 알람(Alert)을 발생시켜 즉시 후속 대응하고 있으며, 주기적으로 SIEM 규칙(Rule)과 경계 값을 조정하고 있습니다.
- 보안성 검토 및 보안 취약점 점검
-
- 정보시스템 신규 도입 및 변경 시 보안성 검토 절차를 통해 리스크를 최소화 하고 있습니다.
- 웹서버 외부 오픈 등 네트워크 통제 정책 변경시에도 보안성 검토를 실시하여, 불법적인 접근을 최소화하고 있습니다.
- 서버, 네트워크 장비, 응용프로그램 등 정보시스템에 대하여 매년 보안 취약점 점검을 실시하고 발견된 취약점을 제거하고 있습니다.
- 안전한 PC 사용
-
- 사용자 PC 에는 안티바이러스 등 보안프로그램이 설치되어 랜섬웨어 등 악성코드 공격으로부터 보호하고 있습니다.
- 회사 내에서는 악성 IP 및 URL 로의 접속이 불가하도록 차단하고 있으며, P2P 사이트 등 업무와 관련이 없는 사이트에 대한 접근을 제한하고 있습니다.
-
또한, 매체제어 프로그램을 이용해 PC 에 저장된 파일을 USB 등으로 무단 복사할 수 없도록 제한하고 있으며,
영업비밀 등 내부 정보 불법 유출 방지를 위하여 DLP(Data Loss Prevention) 솔루션을 이용한 모니터링도 실시하고 있습니다.
- 문서중앙화 시스템
-
-
효성은 문서 검색 시간을 단축시키고 문서 공유와 협업 제약을 해소하며, 문서 유통과정의 정보 유출 가능성을 제거하기 위하여 2019년 문서중앙화 시스템(ECM, Enterprise Content Management) 을 도입하여 선진화된 일하는 방식을 지원하고 있습니다.
이를 통해 사업장 전체에 일관된 문서 보안 정책을 마련하고, 문서 유통 과정 전반에 대한 가시성을 확보하게 되었습니다. - 재택근무 시에도 문서중앙화 시스템에 접속하여 업무에 필요한 문서를 편리하게 활용할 수 있는 환경을 제공하여, 재택근무의 생산성 향상에 기여하고 있습니다.
- 허가 받지 않은 인원이 문서에 접근할 수 없도록 ‘Need-To-Know’ 원칙을 기본 적용하고, 추가로 세부적인 접근 권한 지정이 가능하도록 기능을 제공하고 있습니다.
- 문서 반출 시 사전 통제 절차를 도입하여 승인 받지 않는 문서를 임의로 반출할 수 없도록 제한하고 있습니다.
문서중앙화
(ECM)- 문서 자산화
- 전자 문서 통합
및 체계화 - 공유 및 활용
- 진본 관리를 통한
협업 증대 - 문서 / 콘텐츠의
자산화 - 핵심 역량 /
경쟁력 축적 - 보안 강화 및
방식 전환
저장 및 반출 통제
- 문서 반출
통치 체계 구현-
- PC 저장 통제
-
- PC 내 중요 문서 보관 불가
- 모든 문서는 ECM에서 관리
- 문서 유실 가능성 제거
-
- 반출 통제
-
- 승인된 문서만 반출 가능
- 반출 채널 (USB, 이메일, 출력)에 대한 이중 통제
-
- 역할별 문서 등급별
접근 통제 구현-
- 문서 등급 분류
-
- 문서 중요도에 따른 등급 정의
- 등급에 따른 검색 및 열람 권한 정의
-
- 문서 모니터링
체계 수립-
- 역할별 접근 통제
-
- 사용자 역할별 업무 범위 정의
- 시스템 운영자에 대한 통제되지 않은 문서 접근 권한 원천 방지
-
- 사후 로그 분석
-
- 문서 관련 모든 행동의 이력(로그) 관리
- 주요 부서/업무 수행자, 이상행위 자 중심의 주기적 Sampling, 이상 행위 파악/조치
-
-
효성은 문서 검색 시간을 단축시키고 문서 공유와 협업 제약을 해소하며, 문서 유통과정의 정보 유출 가능성을 제거하기 위하여 2019년 문서중앙화 시스템(ECM, Enterprise Content Management) 을 도입하여 선진화된 일하는 방식을 지원하고 있습니다.
- 대외협력체계 구축
-
- 효성은 회원사를 대상으로 컨퍼런스, 최신 보안동향 뉴스레터, 보안교육, 컨설팅 등의 서비스를 제공하는 한국산업기술보호협회와 협력하고 있습니다.
한국산업기술보호협회 및 회원사와의 지속적인 교류와 협력체계 구축을 통해 기술유출 예방 및 보안사고 대응 수준을 높이고, 정부 정책 및 글로벌 동향에 부합하는 보안정책 실행을 위하여 노력하고 있습니다. - 2021년에는 산업기술보호를 위한 노력을 인정받아 “산업기술보호의 날”을 기념하여 산업통장자원부 장관 표창을 수상하였습니다.
- 효성은 회원사를 대상으로 컨퍼런스, 최신 보안동향 뉴스레터, 보안교육, 컨설팅 등의 서비스를 제공하는 한국산업기술보호협회와 협력하고 있습니다.