EGEROBOT
정보보안경영시스템

정보보안 정책

ISO 27001:2022, GDPR 및 데이터 보호 준수 정보보안경영시스템

최종 업데이트: 2026-02-04

목적

EGEROBOT은 기업 정보를 매우 가치 있는 자산으로 여깁니다. 정보는 사업 활동의 지속가능성에 매우 중요하며 적절히 보호되어야 합니다.

EGEROBOT은 정보보안경영시스템(ISMS) 범위 내에서 ISO 27001:2022 표준을 구현하여 기업 정보의 기밀성, 무결성 및 가용성 측면에서 발생할 수 있는 위험과 그 영향을 최소화하는 것을 목표로 합니다.

우리의 주요 목표는 서비스를 제공하는 조직 및 기관의 신뢰를 확보하고 사용하는 정보 자산의 보안을 보장하는 것입니다. 이러한 맥락에서 고객, 이해관계자, 공공 기관 및 협력 공급업체와의 관계는 매우 중요합니다.

범위

EGEROBOT 정보보안경영시스템은 전체 조직, 비즈니스 파트너, 공급업체 및 고객 관계를 포괄합니다. 이 정책은 물리적 환경, 디지털 시스템, 클라우드 인프라 및 원격 근무 환경을 포함한 모든 정보 처리 활동에 적용됩니다.

약속

EGEROBOT 및 직원으로서, 사업 연속성, 정보 자산 및 개인 데이터에 대한 모든 위험을 제거하고 관리하기 위해;

  1. 1ISO 27001:2022 표준의 요구사항을 충족하기 위해 정보보안경영시스템을 문서화, 인증 및 지속적으로 개선한다
  2. 2고객, 비즈니스 파트너, 이해관계자, 공급업체 또는 기타 제3자에게 속한 정보의 기밀성, 무결성 및 접근성을 보장한다
  3. 3정보보안과 관련된 모든 법적 규정 및 계약 준수를 보장한다
  4. 4정보보안 인식을 높이기 위해 기술적 및 행동적 역량을 개발하기 위한 교육을 실시한다
  5. 5전략적 목표, 공급원, 고객, 이해관계자, 비즈니스 파트너, 직원 정보 및 서비스 관련 개인 데이터와 같은 중요 데이터의 기밀성을 보호한다
  6. 6정보 자산의 보안을 위한 적절한 물리적 및 전자적 환경을 구축하고, 정보 자산의 기밀성, 무결성 및 접근성의 연속성과 통제를 보장한다
  7. 7정보 기술 서비스의 연속성 보장을 위해 필요한 계획과 기술 인프라를 제공한다
  8. 8정보보안에 반하는 상황을 적시에 감지하고 즉각 대응한다
  9. 9개인정보보호법 제6698호에 명시된 조치를 취하고 개인정보보호정책을 완전히 준수하며 업무를 수행한다
  10. 10EGEROBOT이 소유한 모든 개인 데이터와 정보 자산을 보호하고, 국내외 표준, 법률 및 규정의 틀 내에서 정보보안 조건을 보장하며, 기존 및 잠재적 위험을 관리하여 정보보안을 지속적으로 개선, 발전 및 검토한다

를 약속합니다.

법적 프레임워크 및 표준

이 정책은 다음 국내 및 국제 규정에 따라 준비되었습니다:

국제 표준

ISO/IEC 27001:2022정보보안경영시스템
ISO/IEC 27002:2022정보보안 통제
ISO/IEC 27701:2019개인정보 관리
ISO 22301:2019비즈니스 연속성 경영시스템

유럽연합 규정

GDPR일반 데이터 보호 규정 – EU 2016/679
NIS2 지침네트워크 및 정보 시스템 보안

터키 법률

제6698호 법률 KVKK개인정보보호법
제5651호 법률인터넷 출판물 규제
제5237호 법률 TCC사이버 범죄 (제243-246조)
제6102호 법률 TCC상업 장부 및 문서 보존 의무

기본 원칙

EGEROBOT의 정보보안정책은 다음 원칙에 기반합니다:

기밀성

  • 정보는 무단 접근으로부터 보호된다
  • 의도적 또는 과실로 인해 무허가자에게 공개될 수 없다
  • 데이터 분류 및 접근 통제가 적용된다

무결성

  • 정보의 정확성과 일관성이 보장된다
  • 무단 변경에 대한 보호 메커니즘이 적용된다
  • 로그 기록 및 감사 추적이 유지된다

가용성

  • 허가된 사용자의 적시 정보 접근이 보장된다
  • 시스템 중단에 대한 예방 조치가 취해진다
  • 사업 연속성 계획이 구현된다

설계에 의한 보안

  • 시스템은 설계 단계부터 보안에 초점을 맞춰 개발된다
  • 설계에 의한 개인정보 보호 원칙이 채택된다

현대 위협 범주 및 대책

랜섬웨어

  • 정기적이고 격리된 백업 전략
  • 이중 갈취 공격에 대한 데이터 암호화
  • 엔드포인트 탐지 및 대응(EDR) 시스템

사회공학 및 피싱

  • 직원 인식 교육
  • AI 지원 딥페이크 위협에 대한 검증 프로토콜
  • 이메일 보안 필터 및 SPF/DKIM/DMARC 구성

지능형 지속 위협(APT)

  • 행동 기반 위협 탐지
  • 네트워크 분할
  • 제로 트러스트 아키텍처

공급망 공격

  • 제3자 위험 평가
  • 소프트웨어 구성 분석(SBOM)
  • 공급업체 보안 감사

IoT 및 OT 보안

  • 산업 제어 시스템의 격리
  • IoT 장치 인벤토리 및 보안 업데이트
  • 네트워크 트래픽 모니터링

클라우드 보안 정책

일반 원칙

  • 클라우드 서비스 제공업체의 보안 인증이 검증된다
  • 제로 트러스트 아키텍처가 적용된다
  • 데이터는 전송 중 및 저장 시 암호화된다

접근 통제

  • 다중 요소 인증(MFA)이 필수이다
  • 최소 권한 원칙이 적용된다
  • 역할 기반 접근 통제(RBAC)가 사용된다

구성 보안

  • 클라우드 보안 상태 관리(CSPM) 도구가 사용된다
  • 정기적인 구성 감사가 수행된다
  • API 보안이 보장된다

원격 근무 보안 정책

네트워크 보안

  • VPN 사용이 필수이다
  • 안전한 가정 네트워크 구성이 권장된다
  • 민감한 데이터는 공용 Wi-Fi 네트워크에서 처리되지 않는다

장치 보안

  • 회사 데이터에 접근하는 장치는 암호화된다
  • 최신 바이러스 백신 및 보안 패치가 필수이다
  • 모바일 장치 관리(MDM)가 적용된다

데이터 보호

  • 민감한 데이터는 로컬 장치에 저장되지 않는다
  • 클라우드 기반 파일 공유가 사용된다
  • 화면 공유 및 보기 규칙이 적용된다

제3자 및 공급업체 보안

평가

  • 공급업체 보안 평가가 수행된다
  • ISO 27001 인증 또는 이에 상응하는 것이 요구된다
  • 정기적인 보안 감사가 수행된다

계약 요건

  • 비밀유지계약(NDA)이 체결된다
  • 데이터 처리 계약(DPA)이 체결된다
  • 보안 위반 통지 의무가 정의된다

사고 대응 및 위반 관리

사고 대응 계획

  • 사고 탐지, 분류 및 에스컬레이션 절차
  • 24시간 365일 보안 모니터링
  • 사고 대응 팀(CSIRT)이 정의된다

데이터 위반 통지

  • KVKK: 개인정보보호기관에 '가능한 한 빨리' 통지
  • GDPR: 72시간 이내에 관련 감독 기관에 통지
  • 영향을 받는 개인에게 통지된다

사고 후

  • 근본 원인 분석이 수행된다
  • 개선 조치가 시행된다
  • 교훈이 문서화된다

사업 연속성 및 재해 복구

사업 연속성 계획(BCP)

  • 핵심 비즈니스 프로세스가 식별된다
  • 복구 시간 목표(RTO) 및 복구 시점 목표(RPO)가 정의된다
  • 대체 작업 장소가 계획된다

재해 복구(DR)

  • 정기적인 백업 및 테스트 절차
  • 지리적으로 분산된 백업
  • 연간 재해 복구 훈련

보호 자산

신원 정보 및 개인 데이터
고객 및 비즈니스 파트너 정보
소프트웨어 패키지 및 소스 코드
서버 및 네트워크 인프라
클라우드 리소스 및 데이터베이스
지적 재산권
영업 비밀 및 상업 정보

지원 정책

클린 데스크 및 클리어 스크린 정책
이메일 사용 정책
접근 통제 정책
암호화 통제 정책
비밀번호 관리 정책
모바일 장치 사용 정책(BYOD)
소셜 미디어 사용 정책
데이터 분류 정책
백업 및 복구 정책
변경 관리 정책

목표

  1. 1적절한 위험 평가를 통해 정보 자산의 가치를 식별한다
  2. 2취약점 및 잠재적 위협을 이해한다
  3. 3위험을 허용 가능한 수준으로 줄인다
  4. 4국내 법률(KVKK, 5651, TCC)을 준수한다
  5. 5국제 규정(GDPR, ISO 27001:2022) 준수를 보장한다
  6. 6고객 계약 조건을 준수한다
  7. 7통제 절차 및 지침을 준수한다
  8. 8사이버 보안 성숙도 수준을 지속적으로 향상시킨다

교육 및 인식

  • 모든 직원에게 연간 정보보안 교육이 제공된다
  • 신규 입사자에게는 오리엔테이션 교육이 필수이다
  • 피싱 시뮬레이션 및 인식 테스트가 수행된다
  • 역할 기반 전문 보안 교육이 조직된다
  • 교육 기록이 문서화된다

책임

경영진

  • 이 정책을 승인하고 지원한다
  • 필요한 자원을 제공한다
  • 연간 검토 회의에 참여한다

최고정보보안책임자(CISO)

  • 정책 구현을 조정한다
  • 보안 사고를 관리한다
  • 위험 평가를 수행한다
  • 경영진에게 보고한다

부서 관리자

  • 자신의 부서에서 정책 구현을 보장한다
  • 보안 취약점을 보고한다
  • 직원 인식을 지원한다

전 직원

  • 정보보안정책을 준수한다
  • 보안 사고를 보고한다
  • 교육에 참여한다
  • 의심스러운 상황을 보고한다

제재

EGEROBOT, 고객 또는 공급업체에 속한 정보의 보안을 위협하는 의도적 또는 과실에 의한 행위:

  • 징계 조치
  • 고용 종료
  • 법적 절차(제5237호 법률 TCC - 사이버 범죄)
  • 손해배상 청구

의 대상이 된다.

지속적 개선(PDCA 사이클)

EGEROBOT은 정보보안경영시스템을 지속적으로 개선하기 위해 Plan-Do-Check-Act(PDCA) 사이클을 적용합니다:

Plan(계획)

  • 위험 평가 및 보안 목표 결정
  • 정책 및 절차 수립
  • 자원 계획

Do(실행)

  • 통제 구현
  • 교육 제공
  • 문서화

Check(확인)

  • 내부 감사
  • 성과 측정
  • 사고 분석 및 추세 평가

Act(개선)

  • 시정 조치
  • 예방 조치
  • 지속적 개선 권고

검토

이 정책:

  • 최소 연 1회 검토된다
  • 중대한 변경, 보안 사고 또는 규제 업데이트에 대해 개정된다
  • 경영 검토(MR) 회의에서 평가된다

연락처

정보보안에 관한 질문이나 사고 보고는 저희에게 연락해 주십시오.

연락처 페이지
이 문서는 EGEROBOT 정보보안경영시스템의 일부입니다.