[공지돋보기] 그룹사 정보보호 인식 제고를 위한 화면보호기 운영
[공지 돋보기]는 게시판에 올라온 공지사항 중에 주목할 만한 소재를 발굴해 공지에 다 담지 못한 내용을 심층 인터뷰하는 코너입니다. 얼마 전 그룹사 정보보호 인식 제고를 위한 화면보호기 운영이라는 공지가 게시되었습니다. 그리고 모든 직원의 PC에 자동으로 화면보호기가 적용되었지요. 내가 설정하지 않았는데 어떻게 된 일인지 궁금했는데요, 게시공지를 올린 경영진단팀 백종훈 수석에게 그 이유를 들어보았습니다.
-정보보호 인식 높이고, 개인 정보 보호를 위해 4월부터 전 직원 PC에 화면보호기 적용
-정보보호경영시스템(ISO 27001) 4년 연속 인증에 이어 올해 개인정보보호경영시스템(ISO 27701) 인증도 성공
-정보보호는 직원들의 참여로 완성, 나날이 높아지는 정보 유출의 위험성 막기 위해 직원들의 적극 참여 당부
Q1. 공지에 게시된 대로 4월 3일부터 화면보호기가 전 직원의 PC에 모두 적용되었습니다. 화면보호기를 운영하게 된 이유와 계기가 궁금합니다.
안녕하세요. 동아쏘시오홀딩스 감사실 경영진단팀 백종훈 수석입니다. 제가 소속된 경영진단팀의 주요 업무 중 하나가 정보보호 운영체계 구축 및 개선입니다.
우선 정보보호의 개념에 대해 설명해야 할 것 같은데요, 기업에서 정보보호 경영을 실천하는 이유는 △ 비즈니스 연속성 보장 △ 고객 신뢰 강화 △ 법적 요구사항 준수 △ 경쟁 우위 확보 △ 내부 위험 관리 △ 비용 절감 △ 협력과 파트너십 강화 등 다양한 이점을 얻기 위함입니다. 정보보호는 현대 비즈니스에서 더 이상 선택 사항이 아닌 필수 사항으로 인식되고 있습니다.
이에 경영진단팀에서는 정보보호 활동의 일환으로 동아제약, 동아ST 정보보호 담당자들과 올해 1월부터 정보보호 활동 운영에 대한 정보 공유와 공통된 대응을 위해 정기 회의를 매달 진행하고 있습니다. 정보보호 활동에 있어 중요한 부분 중에 하나가 정보보호에 대한 임직원의 인식 전환 및 향상인데요,
정기 회의에서 이러한 인식 제고를 위해 화면보호기를 활용해 보자는 아이디어가 도출되었고, DA인포메이션의 도움을 받아 그룹사 모든 PC에 정보보호 인식을 높이는 내용 홍보와 정보보호를 실천을 위해 화면보호기를 설정했습니다. 적용 전에 그룹사 정보보호위원회에서 정보보호최고책임자(CISO)들의 의사결정을 통해 그룹사 정보보호 화면보호기 적용을 협의하여 원활하게 진행할 수 있었습니다.
▲ PC 내 자산관리프로그램(NetHelper)를 활용하여 자동으로 설정되는 화면보호기 화면, 정보보호 수칙 10계명 이미지 3개가 10초 간격으로 변경되도록 설정된다
Q2. 동아쏘시오홀딩스가 정보보호 경영을 정착시키기 위해 오랜 시간이 노력해온 것으로 알고 있습니다. 2019년 ISO 27001(정보보호경영시스템) 최초 인증부터 지금까지의 과정을 소개해 주세요.
동아쏘시오홀딩스는 2019년 ISO 27001(정보보호경영시스템) 최초 인증에 이어 2022년까지 4년 연속 인증에 성공했습니다. ISO 27001은 국제표준화기구에서 제정한 정보보호경영 시스템입니다. 인증을 위해서는 △ 정보보호 정책 △ 물리적 보안 △ 접근통제 △ 법적 준거성 등 정보보호 관리 영역 14개 분야와 114개 세부 항목에 대한 엄격한 심사과정을 모두 통과해야 합니다.
정보보호경영시스템 구축 및 운영은 PDCA(Plan-Do-Check-Act)로 구성되어 있습니다. PDCA는 쉽게 말씀드리면 계획을 세우고, 행동하고, 평가하고, 개선하는 업무 사이클이라고 말씀드릴 수 있습니다.
① 정보보호 계획단계(Plan)에서는 관리체계 범위 설정, 정책 수립, 위험 관리 계획 수립, 위혐 분석 및 평가, 보호 대책 선택 활동들을 진행합니다.
② 정보보호 실행단계(Do)에서는 정보보호 대책 계획 수립, 정보보호 대책 구현, 정보보호 교육 및 훈련, 보호 대책 유효성 설정 등의 활동을 진행합니다.
③ 정보보호 점검단계(Check)에서는 모니터링 검토, 보안감사, 보안통제 유효성 평가 관리체계 재검토 활동을 합니다.
④ 정보보호 개선단계(Act)에서는 개선사항에 대한 조치 개선 조치 결과를 검토합니다.
경영진단팀은 인증을 위해서 지속적인 환경 변화를 모니터링하여 사내에 정보보호 개선에 노력하고 있습니다. 인증도 물론 중요하지만 매년 정보보호 활동으로 실질적인 개선이 이루어지는 것이 가장 중요하다고 생각합니다. 경영진의 지속적인 관심을 바탕으로 정보보호 담당자들은 활발한 활동과 올바른 방향성을 기반으로 진행하고 있으며, 각 팀의 정보지킴이 분들이 활약해 주셔서 인증을 유지 및 갱신할 수 있었던 것 같습니다.
▲ 지난해 받은 정보보호 경영시스템 국제표준인 ISO 27001의 재인증 및 개인정보보호 경영시스템 국제표준인 ISO 27701의 신규 인증 수여식 사진
올해 새롭게 인증받은 ISO 27701(개인정보보호 경영시스템)은 ISO 27001의 확장 영역으로, 회사가 개인정보보호를 위한 요구사항을 준수하고 있는지 검증하는 것입니다. 조직의 개인정보 관리 절차, 비식별화, 정보 주체의 권리 보장 등 8개 분야 49개의 유럽 개인정보보호법(EU GDPR)에서 요구하는 관리 기준 가이드라인에 부합해야 인증을 취득할 수 있습니다. 이번 인증으로 글로벌 수준의 정보보호 및 개인정보보호 경영시스템을 구축하고 내재화할 수 있었다고 생각합니다.
Q3. 지난 2022년 12월 자로 동아쏘시오홀딩스 감사실 정보윤리팀에서 경영진단팀으로 명칭 및 R&R이 변경되었다고 게시되었는데요, 크게 어떤 점이 변화되었나요?
기존의 정보윤리팀은 그룹사 보안감사, ISO 27001/27701 인증 등 그룹사 정보보호 운영체계 구축 및 개선을 위한 활동을 주로 하였습니다. 변경된 경영진단팀은 기존의 업무에 전사리스크관리(ERM) 업무가 추가되어 동아쏘시오홀딩스와 그룹의 리스크 식별 및 통제 방안을 수립하는 관리 업무가 추가되었습니다. 또한 작년에 구축한 경영진단 플랫폼을 통해 상시 모니터링 구축/운영하여 리스크의 사전 예방 및 모니터링 활동을 강화해 나갈 예정입니다.
Q4. 동아쏘시오그룹의 정보보호를 위해 직원들의 적극적인 참여가 반드시 필요할 것 같습니다. 직원들에게 당부하고 싶은 이야기와 앞으로의 계획에 대해서 이야기해 주세요!
앞서 화면보호기 적용에서 말씀드린 바와 같이 정보보호의 완성에는 직원들의 활발한 참여와 도움이 매우 중요합니다. 직원들은 기업의 정보자산을 보호하는 첫 번째 방어선이기 때문에 정보보호에 대해 인식하고 실천해 주시는 것이 가장 큰 활동이라고 생각합니다. 외부에서 정보에 대한 위협이 나날이 높아지고 있고 개인정보 유출, 사이버 공격, 악성코드 등으로 동아쏘시오그룹과 고객에게 큰 피해가 될 수 있습니다. 때문에 회사 업무의 작은 활동들, 예를 들어 주 2회 실행되는 바이로봇 검사를 끝까지 시행하기, 강력한 비밀번호 사용하기, 출처가 불분명한 이메일 확인하지 않기 등 임직원 여러분들의 작은 실천이 정보보호에 큰 도움이 된다고 말씀드리고 싶습니다.
앞으로도 정보보호의 중요성에 대한 인식을 가질 수 있는 많은 활동들을 진행할 예정입니다. 6월 중에는 모바일스캐너(가칭)라는 모바일 앱을 도입하여 사진 파일을 D-Cloud로 간편하게 업로드하여 업무 효율성도 높이고 보안성도 강화할 예정입니다. 하반기에는 정보보호 문의를 쉽게 할 수 있도록 Q&A 게시판 도입하여 정보보호에 궁금하신 부분들을 해소할 수 있는 활동과 지속적인 교육으로 임직원분들에게 정보보호가 일상이 되는 현실을 만들 예정입니다. 많은 관심 바랍니다.