정보보안 방침
서비스에이스는 정보보안과 개인정보보호의 중요성을 명확히 인지하고, 전사적인 정보보안 관리체계를 구축해 소중한 정보자산과 개인정보를 보호하고 있습니다. 정보보안 전담 조직을 중심으로 법률이 정한 수준 이상의 보안 시스템과 프로세스를 적용해 보안 위협에 적극적으로 대용하고 있으며, 체계적인 교육으로 정보보안에 대한 구성원의 인식과 실천력을 제고하고 있습니다.
정보보안 목적 및 추진배경
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「개인정보보호법」을 비롯한 모든 관련 법률을 준수하고, 관련 법률에 따라 「정보보호 처리방침」을 수립하고 이를 홈페이지(serviceace.co.kr)에 공개하여 정보 자산의 유출, 분실, 도난, 변조 또는 훼손되지 아니하도록 관리하고 안전하고 효과적으로 지키기 위해 필요한 회사의 관리 조직 및 정보보안 체계를 정하고 있습니다.
적용 범위
서비스에이스 주식회사의 정규직·계약직·파견직 등 모든 임직원 및 협력 회사의 임직원, 기타 내방객 등 회사를 출입하는 모든 사람에게 적용되며, 회사가 보유하고 있는 영업비밀 등 유·무형의 정보 자산을 보호 대상으로 합니다.
정보보호 추진 체계
서비스에이스는 정보보호최고책임자(CISO) 및 개인정보보호최고책임자(CPO)의 총괄 아래 정보보호·개인정보 정책수립. 위험 분석관리. 보안사고 대응 및 복구 등 회사의 정보보호에 관한 업무를 관리하며, 위반사항이 발생되는 경우 즉시 시정/개선 처리를 하고 있습니다.
정보보호 추진 체계도
보안인식 제고 활동
서비스에이스는 매년 임원을 포함한 전체 구성원과 계약직, 협력사 파견 직원을 대상으로 개인정보보호 교육을 연 2회 시행하고 있습니다. 정기적인 교육을 통해 정보보호·개인정보보호에 대한 인식을 향상시키고 업무에 적용하는 문화를 확산함으로써 정보보호 실천력을 제고하고 있습니다
- 연 2회, 전 구성원 대상 개인정보보호 교육 100% 이수 관리 - 매년 전 구성원 대상 정보보호 서약 필수 진행 - 매월 각종 모니터링을 통한 사전 ISSUE 방어 관리 - 정기적 정보보안 캠페인 활동 및 모의훈련 활동으로 보안 인식 제고
기업 데이터 및 고객정보보호 현황
구분 | 단위 | 2021 | 2022 | 2023 | |
---|---|---|---|---|---|
개인정보, 사이버보안 교육현황 |
교육 시간 | 시간 | 2,842 | 2,728 | 2,725 |
교육 참석률 | % | 100 | 100 | 100 |
구분 | 단위 | 2021 | 2022 | 2023 | |
---|---|---|---|---|---|
정보보안 침해 | 사고 발생 건수 | 회 | 0 | 0 | 0 |
벌금 및 과태료 | 원 | 0 | 0 | 0 |
개인정보보호
개인정보보호 관리 프로세스
서비스에이스는 개인정보보호법을 비롯한 모든 개인정보 관련 법률을 준수하고, 관련 법률에 따라 고객이 언제나 개인정보처리방침을 용이하게 열람할 수 있도록 홈페이지에 공개하고 있습니다.
개인정보보호 책임자 지정
서비스에이스는 회사의 임원, 관련 책임이 있는 자 또는 개인정보와 관련하여 고충 처리를 담당하는 부서의 장을 개인정보보호책임자(CPO)로 임명하여 의무와 책임을 다 하고 있습니다.
물리적 접근제한 및 보호조치
개인정보처리시스템의 안전한 보관을 위한 물리적 잠금 장치 등의 물리적 접근 방지를 위한 조치를 취하며, 개인정보가 포함된 정보를 출력하거나 복사할 경우 개인정보 유출 사고를 방지하기 위해 출력/북사자의 성명, 일시 등을 기재하여 책임 소재를 확인할 수 있도록 하며 개인정보의 이용 목적이 완료된 경우 분쇄기로 분쇄하거나 소각하는 등 안전한 방법으로 보호 조치를 취하고 있습니다.
접근권한 관리 및 인증
개인정보처리시스템에 대한 접근 권한은 서비스 제공에 필요한 최소한의 인원에게만 부여하며, 담당하는 업무에 따라 개인정보에 대한 접근 권한을 차등 부여하고 있습니다. 또한, 개인정보 취급자가 전보 또는 퇴직 등 인사 이동으로 변경되었을 경우 접근권한을 변경 또는 말소 처리하여, 외부에서 개인정보처리시스템에 접속이 필요한 경우 공인인증서 등 안전한 인증 수단을 적용하여 접근 권한을 관리하고 있습니다.
시스템 접근 통제
정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리 시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하며, 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하고 있습니다.
전사차원 자체 보안점검 시행
매일 Self 보안 점검을 통해 경각심을 부여하고 있으며 전사 자원에서 주기적으로 보안 점검(반기 1회)을 시행하고 있습니다. 보안 점검 시 개인정보 관리/운영상의 문제점을 발견하거나 관련 직원이 본 계획의 내용을 위반할 때에는 시정/개선 및 인사평가 반영 등 필요한 조치를 취하고 있습니다.
개인정보보호 교육 시행
구성원들의 개인정보보호 인식 제고를 위해 매년 개인정보보호 교육 계획을 수립하고 연 2회이상 정기적으로 개인정보보호 교육을 실시하고 있습니다. 또한, 개인정보보호에 대한 중요한 사례들은 수시 교육을 통해 전달하고 있습니다.