화승R&A[국문]

스킵네비게이션

보안

T-SAX 인증

TISAX는 자동차 제조사 간 정보교환 과정에서 정보 누출, 유출, 도난방지를 목적으로 각 사가 보유한 평가 기준을 표준화하기 위해 독일자동차산업협회(VDA)가 만든 글로벌 정보보안 인증으로, 당사는 정보보안 우수성을 인정받아 24년 8월 획득하였습니다.

 
TISAX 인증서
 
 

제1조(총칙)

목적 : 본 규정은 화승R&A의 네트워크·정보시스템·응용프로그램·데이터베이스·도면과 같은 각종 문서 등 정보자산을 안전하게 보호하며, 정보운영환경을 보다 안전하고 신뢰성 있게 운영하기 위하여 필요한 세부사항에 대하여 규정함을 목적으로 한다.

회사에서 보관·취급하는 정보에 대한 정보보호 업무는 관계 법령에 저촉되지 않는 범위 내에서 본 규정이 정하는 바에 따르며, 그 적용되는 범위를 아래와 같이 정의한다.

  • 비즈니스를 통해 확보 또는 생성한 고객사와 협력업체의 영업비밀, 지적재산권 등을 보호하기 위해 적용한다.
  • 회사에 근무하는 전 임직원을 대상으로 적용하며, 계약관계에 의하여 회사의 자산에 접근, 회사의 업무를 지원하는 모든 제3자에게도 적용된다.
  • 회사 출입자, 계약 관련 업체에도 적용할 수 있다.
  • 본 규정의 내용을 구체화하기 위해 별도의 관련 지침을 운영할 수 있으며, 규정의 원칙 및 관련 지침을 준수해야 한다.
  • 회사 내에서 운영하지 않고 외부에서 운영 중인 외부 IT서비스에도 적용된다.
  • 본 규정에서 언급되지 않는 부분은 사규 및 관련 법규(정보통신만 이용 촉진 및 정보보호 등에 관한 법률, 개인정보 보호법 등)에 따른다.
 

제2조(정보보호 최고책임자)

정보보호 최고책임자 및 책임부서 : 정보보호 최고책임자는 인사명령에 의해 지정되며, 다음 호의 업무를 수행한다.

  • 대표이사의 권한을 위임 받은 임원으로 한다
  • 정보시스템 운영 및 정보보호업무 총괄
  • 관리보안담당자, 물리보안담당자, 기술보안담당자 및 팀 보안관리자 업무 관리 감독
  • 정보보안사고 예방 및 처리
  • 위험평가 수행에 대한 관리 감독
 

제3조(정보보안 조직 구성)

보안조직 구성 및 관리주체

  • 보안조직 구성 및 운영에 관한 절차를 마련하고 정보보호 최고책임자의 승인을 득한 후 등록 관리한다.
  • 보안에 대한 주요 사항의 결정 및 사내 하부조직까지의 원활한 정책 전달 및 이행을 위해 정보보호 최고책임자, 전산 보안관리자를 구성원으로 하는 협의체를 구성하고 정기적으로 운영하여야 한다.
 

제4조(정보보안관리)

  • 사용자는 개인별 사용자 계정 및 패스워드의 기밀을 유지해야 하며, 본래의 발급 목적으로만 사용하여야 한다.
  • 사용자는 허가 받은 정보시스템의 권한이 부여된 영역에 대하여 본래의 목적으로만 사용할 수 있다.
  • 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래할 수 있는 행위를 해서는 아니 된다.
  • 시스템관리자 및 사용자는 정보 자산과 연관된 저작권·특허권 및 소프트웨어 라이선스의 사용 조건을 숙지하고 이를 준수하여야 한다.
  • 사내 네트워크시스템을 신설·변경 및 폐기하고자 하는 경우에는 정보보호 최고책임자의 사전승인을 얻어야 한다.
  • 외부 네트워크에서 사내 네트워크로의 접근은 회사에서 승인한 정보시스템을 제외하고는 원칙적으로 허용하지 아니한다. 단, 필요 시 적법한 절차에 의해 요청하여 승인된 경우에 한하여 제한적으로 허용될 수 있다.
  • 사용자는 업무와 관련하여 습득한 정보자산을 회사의 허가 없이 회부에 누출해서는 아니 된다.
 

제5조(네트워크 관리)

네트워크 관리

  • 네트워크는 정보보안 담당부서에서 통합 관리한다.
  • 정보보안관리자는 일정 횟수 접속실패 시 접속을 차단하고 관련 정보를 로그에 기록한다.
  • 사용자는 임의로 네트워크 IP주소를 변경할 수 없다.
  • 중요장비 패스워드는 네트워크 보안지침의 패스워드 규정을 따른다.
  • 중요장비 패스워드는 ‘네트워크 현황 관리대장’에 기록하여 관리한다.
  • 인터넷을 이용한 모든 외부로부터의 접근은 원칙적으로 방화벽을 통해서만 접근할 수 있도록 한다.
  • 외부접속자의 관리자 로그인은 허용하지 아니한다.

네트워크 보호

  • 정보보안관리자는 정보보안담당자와 협의 후 회사에 유해하거나 불필요하다고 판단되는 웹사이트의 접속을 통제할 수 있으며, 사용자가 회사 정보보안 기대수준에 미달하는 경우 네트워크 사용을 제한할 수 있다. 또한, 원격 사용자의 공중망 네트워크를 통한 접속은 인증시스템 또는 방화벽에 의해 통제할 수 있다.
  • 정보보안관리자는 의심스러운 활동에 대해서는 방화벽, 침입탐지시스템 및 기타 보안 시스템의 로그를 분석하여 해당 내용을 확인하여야 하고, 네트워크 관리 정책에 대한 변경관리를 하여야 한다.
  • 사용자는 사내 네트워크 사용 시 적법한 사용자임을 인증 받고 사용자의 PC·응용프로그램 등의 무결성 수준 및 보안수준을 점검하여야 한다.
 

제6조(서버 시스템 및 데이터베이스 관리)

  • 서버시스템 및 데이터베이스(이하 본 조에서 ‘서버시스템 등’이라 한다)는 정보보안 담당부서에서 관리한다.
  • 서버시스템 관리자는 사용자의 패스워드를 확인해 해킹 위험이 있는 단순한 조합의 패스워드로 판단되는 경우 당사자에게 통보하여 변경을 요구할 수 있다.
  • 서버시스템 관리자는 데이터베이스에 대한 모든 접근정보를 기록하여 주기적인 점검 및 분석을 실시한다.
  • 서버시스템 및 데이터베이스 패스워드는 안전하게 기록하여 관리한다.
 

제7조(G-SCM/ERP 및 EP)

회사 임직원, 협력업체는 G-SCM/ERP 및 EP(이하 “ERP”라 한다)을 사용할 수 있으며, 이 외의 자가 시스템 사용을 희망하는 경우 정보보호 최고책임자의 승인을 얻어야 한다.

 

제8조(이용자)

PC관리 : 이용자는 개인용 PC(노트북, 넷북, 설계용 W/S 등을 포함)를 사용에 있어 보안의 적절성을 유지하여야 하며, 다음 각 호가 지켜지지 않을 시에는 부적절한 사용으로 간주하여 제재 조치할 수 있으며, 해당 내용을 이용자에게 고지 통보하여야 한다.

  • PC 가동 시 회사에서 정한 규칙에 의하여 패스워드 설정
  • 10분 이상 자리 비울 시 화면보호기 작동 및 패스워드를 설정, 장시간 자리를 비울 시 전원오프
  • 응용 프로그램의 무단복사 금지
  • 이동식 저장매체 사용 및 전산자료 네트워크 전송 시 바이러스 검사
  • 중요한 데이터 파일(개인정보 등) 암호화 및 패스워드를 설정

계정 관리 : 이용자는 자신의 계정 및 패스워드가 외부로 노출되지 않도록 유의하고 주기적으로 이를 변경하여야 한다.

개인정보 관리

  • 이용자는 개인정보를 제공할 경우에는 개인정보의 수집목적, 관리방법 등을 확인한 후 제공할 수 있다.
  • 회사 인적자원 관리를 위해 개인정보를 수집할 시에는 다음 사항을 반드시 고지한다.
    • 개인정보 수집·이용 목적
    • 수집하려는 항목
    • 개인정보의 보유·이용 기간
    • 동의를 거부할 권리가 있다는 사실
  • 회사의 모든 부서는 직무와 관련이 없는 사상, 신조 등 개인의 기본적 인권을 현저하게 침해할 우려가 있는 개인정보를 수집할 수 없다.
  • 직무상 필요한 개인정보를 수집하는 경우에도 꼭 필요한 최소한의 개인정보를 수집하며, 불필요한 개인정보를 요구하지 않는다.
  • 이용자는 정보공유가 가능하고 다양한 이용자가 공동으로 이용하는 전기통신설비를 이용하는 경우에는 개인정보 및 사생활정보 등의 보호를 위하여 공유 해지 등 필요한 조치를 하여야 한다.
 

제9조(서버실 운영 및 관리)

  • 서버실은 정보보안 담당부서에서 관리하며 관리자는 해당 부서장이 된다.
  • 서버실은 다음 각 호와 같은 설비를 구비하여야 한다.
    • 입실자 식별이 가능한 출입보안장치
    • 자동화재경보 및 할로겐 가스 등 소화 시 장비에 피해를 주지 않는 자동소화설비
    • 정전에 대비한 별도 전원공급장치
    • 항온항습기 또는 에어컨
  • 서버실은 보호구역으로 설정하여 비 인가자의 출입을 통제하며, 출입자 명부를 비치한다.
  • 서버실은 주관부서장이 정한 시스템관리자만 출입할 수 있으며, 시스템관리자 이외의 내/외부 직원이 출입할 경우, 출입대장에 기록하고, 시스템 관리자의 인도를 받아서 출입한다.
 

제10조(협력업체 관리)

비밀 유지 계약

  • 협력업체와 계약 시 비밀 유지 계약서(협력업체)에 대한 서명을 요청한다.
    • 당사 제품 생산에 참여하는 협력업체는 외주개발팀에서 주관하여 비밀 유지 계약서(협력업체)를 징구 한다.
    • IT 프로젝트 또는 외부 IT 서비스를 이용하는 경우에는 경영지원팀에서 주관하여 비밀 유지 계약서(협력업체)를 징구 한다.

협력업체 정보보호 요구사항

  • 당사 시제품 개발에 참여하는 협력업체는 고객사에서 요구하는 수준의 보안을 요구하여야 한다.
  • 협력업체가 보안 사항을 준수하고 있는지 주기적(연 1회 이상) 실사를 통해 점검을 시행하여야 한다.
    • 보안점검 시 취약한 항목에 대해서는 시정조치를 요구하여야 한다.
    • 점검 결과는 당사 내부 절차에 따라 보고하고 승인을 받아야 한다.
    • 당사 보안 점검자는 필요 시 협력업체의 보안 수준 향상을 위한 지원을 하여야 한다.
 

보칙

제11조(세부사항)

이 규정 외에 개인정보보호에 관한 사항은 개인정보보호에 관한 내규로 따로 정한다.

 

제12조(준용)

이 규정이 정하는 바 이외의 정보보호업무에 관한 사항은 관계 법령(정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법, 산업기술보호법 등)과 회사의 제반규정에 따른다.

 

부 칙 <2024.01.01>

  • 본 규정은 2020년 10월 1일부터 시행한다.
  • 본 규정은 2021년 5월 1일부터 시행한다.
  • 본 규정은 2021년 9월 1일부터 시행한다.
  • 본 규정은 2024년 1월 1일부터 시행한다.