제1장 총칙

제1조 (목적)

본 지침은 ㈜테이팩스(이하 "회사"라 함)의 보호구역에 대한 보안관리, 출입통제, 정보자산 반·출입등에 관한 제반 사항을 명시하여 정보자산에 대해 훼손, 위조ㆍ변조, 도난, 유출 등의 다양한 위협으로부터 물리적으로 안전하게 보호하는 것을 목적으로 한다.

제2조 (적용범위)

본 지침은 회사에 출입하는 모든 임직원 및 외주업체 직원, 내방객과 회사의 모든 사무실 및 전산실, 공장을 포함한 시설물을 대상으로 한다.

제3조 (용어 정의)

본 지침에서 사용하는 용어의 정의는 다음과 같다.

1."정보자산"이란 회사가 사업을 수행하기 위해 꼭 필요한 정보는 물론 그 정보를 만들거나 보관, 전송하는 장치 또는 시설물, 기록문서, 인쇄물, 도면, 전산시스템 등 모든 유·무형의 물질을 말한다.

2."일반자산"이란 생산 및 운영에 필요한 자재 및 부품, 완성품 또는 이에 준하는 자산과 보안운영부서에서 선정한 기타 일반자산을 말한다.

3."물리보안관리자"란 보호구역에 대한 업무를 수행하는 조직의 팀장 또는 관리책임이 있는 자를 말한다.

4."보호구역"이란 물리적 보호가 필요한 구역으로 일반구역, 제한구역, 통제구역을 포함한다.

5."일반구역"이란 임직원, 출입허가된 방문자에 한해 출입이 가능한 구역을 말한다.

6."제한구역"이란 사전에 보안책임자로부터 허가 받은 인력만이 출입가능한 구역을 말한다.

7."통제구역"이란 업무관련자 및 사전에 보안총괄책임자로부터 허가를 받은자만 출입 가능하고, 허가받은 방문객 출입시 직원의 동행이 필요한 구역을 말한다.

제4조 (역할 및 책임)

물리보안관리자

1.보안구역에 대한 업무를 수행하는 관리자 또는 관리책임이 있는 부서장

2.보안구역의 출입 및 장비 반·출입승인

3.보안구역의 출입기록 검토

시설 관리부서

1.출입 인원에 대한 ID카드 신규발급, 회수 등 관리

2.시설 보안관리를 위해 출입통제장치, CCTV, 무인경비시스템 등의 설치 및 관리를 주관하는 부서

3.건물 공사 및 작업에 대한 승인

제2장 물리적 보안

제1절 보호구역 설정 및 통제

제5조 (보호구역 설정)

회사의 주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 정의하고 관리한다.

보호구역은 물리보안관리자가 설정하고 정보보호 최고책임자에게 보고 후 시행한다.

보호구역은 그 중요도에 따라 일반구역, 제한구역, 통제구역으로 구분한다.

제6조 (보호구역 출입통제)

①모든 임직원은 보호구역 내에서 반드시 출입카드를 패용해야 하며, 인가된 구역 내에서만 출입한다.

②퇴직, 보직 등 직무가 변경된 직원에 대한 불필요한 출입권한은 즉시 해제한다.

③비인가자의 보호구역 출입을 방지하기 위해 출입통제시스템, 시건 장치 등을 설치하고 운영한다.

④비인가자의 보호구역 출입이 업무상 필요한 경우 사전에 물리보안관리자의 허가를 받아야 한다.

⑤보호구역 출입 시 내방객 등 출입통제시스템 미등록 출입자는 해당 업무담당자의 동반 하에 출입해야 하며, '외부인출입관리대장'에 출입내역을 기록한다.

⑥내방객의 보호구역 내 출입은 업무상 필요에 따라 결정하며, 보호구역 내 작업은 담당자에 의해 지속적으로 관리·감독되어야 한다.

⑦인력의 출입을 제외하고 출입문은 항시 잠겨 있도록 한다. 단, 장비 이전, 물류 입고·출고 작업 등의 경우는 예외로 한다.

제7조 (제한구역 보안관리)

①제한구역은 업무상 필요에 따라 출입해야 하는 인원에 한해서 접근권한을 부여한다.

②제한구역 출입은 출입카드를 통해 통제를 실시한다.

③제한구역에 내방객이 출입해야 하는 경우 내부 직원이 동행해야 하며, 제한구역에 출입하기 전 모바일 기기에 대한 보안통제를 수행한다.

④제한구역에는 출입통제를 위하여 감시카메라(CCTV)를 설치 운영할 수 있다.

제8조 (통제구역 보안관리)

①통제구역은 업무상 필요에 따라 출입해야 하는 인원에 한해서 매우 제한적으로 접근권한을 부여한다.

②통제구역 출입은 출입카드와 지문정보를 정해진 결합방식을 통해 확인할 수 있도록 한다.

③통제구역의 중요정보 외부 유출을 막기 위해 모바일 기기(스마트폰, 태블릿, 카메라)에 보안 스티커를 부착한다.

④통제구역에 내방객이 출입해야 하는 경우 내부 직원이 항상 동행해야 하며, 통제구역에 출입하기 전 모바일 기기에 대한 보안통제를 수행한다.

⑤통제구역에 CCTV를 설치하여 출입 인원에 대한 모니터링을 실시한다.

⑥통제구역을 외부의 침입으로부터 차단하기 위해 국제표준의 저항 등급(DIN EN 1627의 RC2 이상)을 가진 외피(창문, 문, 대문, 벽, 지붕, 바닥)를 설치한다.

제9조 (장비 반·출입 규정)

보호구역 내 장비 반·출입시 '장비 반·출입 관리대장'을 작성해야 하며, 관리대장 기록사항은 다음과 같다.

1.반·출입일시 및 장소

2.사용자 정보

3.기종(모델), 기기식별정도(시리얼번호 등)

4.반·출입사유

5.보안 점검 결과

6.관리자 확인 서명 등

반·출입관리 책임부서는 반·출입장비에 대한 보안점검을 수행해야 하며, 점검사항은 다음과 같다.

1.백신설치 여부

2.보안업데이트 여부

3.악성코드 감염 여부

4.보안스티커 부착 여부

반·출입 관리책임부서는 반·출입내역에 대해 월 1회 주기적 검토를 시행한다.

제10조 (내방객 보안관리)

①내방객은 회사 내 업무목적으로 방문이 필요 시 임직원을 통하여 방문 신청 후 ERP에 내방객 등록을 한다.

②내방객은 사전 승인을 받은 후 출입할 수 있으며, 보호구역 출입 시 직원과 동행한다.

③물리보안관리자는 사전 등록된 내방객, 접견자, 방문일시, 방문목적, 방문처 등의 내용을 확인하고 방문기록을 관리하도록 한다. 외국인의 경우에는 여권 등으로 신분을 확인한다.

④출입구에서는 방문목적 및 발급대상에 따라 방문증 카드를 발급한다.

⑤내방객은 발급된 방문증 카드를 사내에서 항상 패용한다.

⑥내방객 접견부서에서는 내방객의 방문이 끝날 때까지 허가된 지역에 한하여 출입하도록 안내하고 임직원 면회, 상담 등은 회의실에서 실시한다.

⑦물리보안관리자는 규정을 위반한 외부인에 대하여 출입제한 등의 통제 조치를 취한다.

제11조 (출입카드 보안관리)

①출입카드의 종류를 구분하여 운영현황을 관리(최신화) 한다.

②출입카드는 발급대상, 직무, 권한을 검토하여 물리보안관리자가 등급별 출입카드를 임직원 및 외부업체 직원에게 발급한다.

③출입카드는 본인만이 사용해야 하며, 타인에게 양도할 수 없으며, 타인의 출입카드를 사용하여 보호구역에 출입할 수 없다.

④퇴직, 보직의 변경사항 등으로 출입권한이 변경된 임직원에 대한 불필요한 출입권한은 물리보안관리자가 즉시 해제(조정)한다.

⑤출입카드 분실 시 출입카드 발급 팀 혹은 물리보안관리자에 통보하여 분실된 출입카드를 사용할 수 없도록 조치한다.

⑥임시로 출입하는 내방객도 반드시 방문증 카드를 발급받아 패용하도록 한다.

제12조 (출입기록 보존 및 검토)

①출입권한이 부여된 임직원은 출입통제시스템을 이용하여 관리한다.

②출입의 책임성을 확보하기 위하여 출입기록은 6개월 이상 보존한다.

③정보보호 관리자는 다음 각 호에 해당하는 내용을 월 1회 검토하여 정보보호 최고책임자에게 보고 한다.

1.업무 목적에 적합한 출입권한 부여

2.장기간 미 출입 시 권한 회수

3.절차에 따른 출입권한 부여

4.퇴직자 출입권한 삭제·조정 및 출입카드 회수

5.직무 변경자 출입권한 조정

6.업무시간 외 출입

7.비 인가자의 출입 시도

8.외부인 출입기록

9.모바일기기 등 장비, 문서 매체 반·출입기록

④정보보호 관리자는 출입로그 검토 결과 발견된 문제에 대하여 검토하고 조치내용을 정보보호 최고책임자에게 보고한다.

제2절 자산 반·출입

제13조 (자산 반·출입 관리)

①자산 반·출입 통제 대상 자산은 일반자산 및 정보자산으로 분류한다.

1.자산 통제 범위는 회사 소유 및 비 소유 자산을 모두 포함한다.

2.사전에 승인받지 않은 사업장내 대상 자산의 반출·입은 불가하다.

3.통제 항목의 범위 및 임직원의 적용 유무 등은 각 사업장의 특성에 따라 변경 운영 가능하다. 단, 기술연구소는 반드시 외부인의 모든 통제 대상 항목에 대하여 적용한다.

②정보자산 반·출입시 '정보자산 반·출입 관리대장'를 작성한다. 일자, 시간, 장비 내역, 수량, 반입/반출처, 담당자, 사유, 승인여부가 반드시 포함되어야 한다.

③정보보호 관리자는 모든 반·출입 이력을 1년 이상 보관 한다.

④외부인에 대한 개인정보 수집, 제공 및 활용 등이 필요한 경우, 개인정보보호 법을 따르는 동의 및 관리 절차를 운영한다.

제14조 (자산의 반·출입통제)

①통제항목의 범위내 자산 반·출입 시 반드시 기술보안 담당자(정보자산), 물리보안관리자(물리자산)의 승인 후 실시한다.

②정보보호 관리자는 통제항목의 범위내 자산 반·출입 사항을 점검 및 검토한다.

③해당부서(팀)의 반·출입 승인에도 불구하고 회사 보안 목적 달성을 저해하는 항목에 대해서는 정보보호부서에서 반·출입을 금지시킬 수 있다.

④개인소유의 정보자산 장비(PC, 노트북, 태블릿, HDD, SDD 등)의 반입을 금지한다. 반입이 필요한 경우 '정보자산 반입신청서'를 기술보안담당자에게 제출한다.

⑤정보자산에 대한 반출 승인은 대외 유출의 우려가 있는 정보가 포함되어 있을 경우, 관리, 통제할 수 있는 부서(팀)에서 사전에 데이터 복구가 불가능하도록 완전 삭제 후 반출을 승인한다.

제3절 장비보안

제15조 (장비 보안관리)

①정보자산의 분실, 파손 또는 훼손과 사업활동의 방해로부터 피해를 예방하기 위하여 자산의 안전대책을 수립하고 운영 관리한다.

②장비는 환경적 위협 및 위험, 비인가 접근 등의 위험을 줄이기 위하여 위치를 설정하고 보호해야 하며 이에 대한 방안을 수립하고 운영 관리한다.

1.정보처리 및 중요 데이터가 저장되어 있는 장치는 위험요소가 최소화될 수 있는 구역에 위치한다.

2.특별보호가 필요한 장비는 격리되어 위치한다.

③장비는 전원 고장 또는 기타 전기적 예외상황에 대하여 보호되어야 하며 이에 대한 방안을 수립하고 운영 관리한다.

1.전기 시설을 관리하는 부서에서는 외부에서 유입되는 전력이 안정적인 공급이 가능하도록 이중 전원 공급 시스템을 확보하고 관리한다.

2.외부 전력 공급 이상에 대비하여 UPS를 설치해야 하며 항상 전력 공급과 관련한 이상 상황에 대응할 수 있는 상태를 유지해야 하며 중요 정보처리 시설에 당사에서 정한 최소한의 시간 동안 전력 공급을 유지할 수 있어야 한다.

3.외부 전력 공급 이상에 대비하여 보조 발전기를 설치해야 하며 항상 전력 공급과 관련한 이상 상황에 대응할 수 있는 상태를 유지한다.

4.시설들은 전력 차단이나 기타 다른 전기적 이상으로부터 보호되어야 한다.

5.시설 제조자의 사양에 맞는 적합한 전력이 공급되어야 한다.

④데이터를 전송하고 정보서비스를 지원하는 전력과 통신배선은 차단과 손상으로부터 보호해야 하며 이에 대한 방안을 수립하고 운영 관리한다.

1.통신 선로, 배전반, 전화 단자함 등은 담당자 이외에는 접근할 수 없도록 한다.

2.데이터를 전송하고 정보서비스를 지원하는 전력선과 통신선은 절단과 같은 피해로부터 보호한다.

3.전력 케이블과 통신케이블의 상호 교란을 방지하기 위하여 적정한 거리를 유지한다.

4.외부 업체에 의하여 관리되고 있는 통신케이블의 이상 상황에 대비하기 위하여 대체 선로를 확보한다.

⑤장비는 지속적인 유용성과 무결성을 보장하기 위해서 문서화된 기준 및 절차에 따라 유지해야 하며 이에 대한 방안을 수립하고 운영 관리한다.

1.각종 장비의 유지보수를 관리하는 담당자를 지정하고, 외부 유지보수 서비스의 필요 시 절차를 거쳐서 외부 유지보수 업체를 지정한다.

2.각종 장비의 유지보수 이력을 정해진 방법에 따라 기재하고 관리자의 확인을 거쳐야 한다.

3.중요 장비의 이동이 필요할 경우 전문 업체에 의뢰하여 처리하며, 위험과 관련한 모든 대응책을 수립한 후에 실시하도록 한다.

4.공급자가 제공한 장비 보호 사항을 숙지해야 하며 관리자는 이를 정기적으로 점검한다.

5.보호구역 이외의 장비에 대하여 적합한 보험 처리가 이루어져야 한다.

부칙

제1조 (준용)

본 지침에 명시되지 않은 사항은 관련 사규 및 관계 법령에서 정하는 바에 따른다.

제2조 (시행일)

본 지침은 2024년 08월01일 부터 시행한다.