개인정보 보호 및 보안
SK네트웍스는 개인정보 및 IT 서비스 보안의 중요성을 깊이 인식하고, 고객을 포함한 당사의 정보를 안전하게 보호합니다. 정보보안 지침 및 가이드라인 제시, 정보보호 업무를 전문적으로 수행하는 조직의 운영, 정보보호위원회 및 CISO/CPO 실무협의체 운영, 구성원 대상 정보보호 교육 등 정보보안 관련 활동을 통해 기업 데이터의 유출 또는 도난 개인정보의 유출 또는 도난, 정보보호 관련 불만 사항이 발생하지 않도록 합니다.
정보보호센터는 대내외 보안 위험 최소화를 위해
보안관리체계 및 인증체계 강화를 추진하고자 합니다.
Digital Tech 보안관리 영역 확대
- Digital Tech 중심 정보보호 인증
- (ISMS/ISMS-P 인증 유지)
* Cloud 서비스 영역 보안 확대
AI 기반 보안관리체계 구축
- AI 기반 사이버 공격 대응 강화
* 다크웹 모니터링, 취약 정보자산 노출 (ASM) 대응 등
Global 수준 인증체계 확보
- Global 정보보호 인증 확대
(ISO/IEC 27001, 27701)
SK네트웍스는 데이터 3법 개정에 따라 취급하는 모든 개인정보를 안전하게 보호하고 철저히 관리하기 위하여 전사 개인정보보호/정보보호 규정을 개정하였습니다. 개정안은 구성원의 PC 사용 자율화에 따라 강화된 정보 관리 징계에 대한 내용을 반영하고 있으며, 구성원, 외부 업체 직원, 방문객 등 모든 이해관계자의 개인정보 관리 사항은 본 규정에 따라 처리하고 있습니다.
또한 IT서비스/보안관리 규정 및 규칙을 통해 정보자산에 대한 훼손, 위조, 변조, 도난, 유출 등을 방지하여 소중한 정보자산을 보호합니다. 해당 규정은 SK네트웍스에서 취급하는 정보와 정보를 수집, 가공, 처리, 전송, 저장, 관리하는 정보시스템과 관련된 모든 부서 및 임직원, 협력사에 적용하여 다양한 위협으로부터 안전을 확보하고 있습니다.
정보보호 및 개인정보 보호 관리체계 인증 운영
SK네트웍스는 정보보호 관리체계 인증(ISMS) 및 개인정보보호 관리체계 인증(PIMS)을 2015년에 최초 획득하였으며, 2021년부터 개정된 ISMS-P* 인증을 획득하여 지속 유지하고 잇습니다. ISMS-P 인증은 관리체계 수립 및 운영 16개 항목, 보호대책 요구사항 64개 항목, 개인정보 처리 단계별 요구사항 21개 항목 총 101개 통제 항목으로 구성되어 정보보호 및 개인정보보호 전반의 관리체계 수준을 점검합니다. 또한 정보보호 공시를 통해 2022년부터 공신력 있는 외부 기관의 인증 요구를 수행하고 정보보호 관련 투자 및 활동에 대한 투명한 관리를 시행하고 있습니다.
* ISMS-P (Personal Information & Information Security Management System : 정보보호 및 개인정보보호 관리체계 인증)
- 법적 근거 : 정보통신망법 제47조 및 개인정보보호법 제32조의2 및 해당 법률의 시행령/시행규칙/고시
- 인증기관 : KISA(한국인터넷진흥원)/과학기술정보통신부 지정 기관
- 통과기준 : 102개 인증항목에 대한 지속적인 관리체계 운영 여부 평가
- 의무대상 기준 : 정보통신서비스 부문 전년도 매출액 100억원 이상 또는 직전 3개월간 일일평균 이용자 수 100만명 이상
SK네트웍스는 ISMS-P 인증획득 및 법규 준수와 더불어 SK그룹의 보안 가이드라인을 따르고 있습니다. 그룹에서는 주요 멤버사 및 자회사를 대상으로 매년 보안 가이드라인 이행 여부를 점검하고 주요 개선 과제를 권고하고 있으며, SK네트웍스는 그룹의 권고사항에 대한 이행계획을 수립하여 최고경영진에 보고하고 주요 과제를 수행함으로써 지속적으로 보안 수준을 개선해 나아가고 있습니다. 또한 클라우드 보안 솔루션(CSPM) 및 신규 보안 솔루션을 도입하여 보안사고를 예방하고 침해 발생시 체계적인 대응체계를 구축하고 있습니다.
정보보안 관리 체계
SK네트웍스는 정보보호실장을 CISO(Chief Information Security Officer)와 CPO(Chief Privacy Officer)로 임명하여 회사의 정보보호 및 개인정보 보호 업무를 총괄 및 지휘 감독하도록 하고 있으며, 정보보호 전담 조직(정보보호팀)을 통해 (개인)정보유출을 방지하고 보안 준수(Compliance) 이슈에 대응하고 있습니다. 정보보호 전담 조직은 정보통신망법 규정에 따라 정보보호 업무 이외의 타 업무와 겸직이 엄격히 금지되어 있으며 법에서 규정한 CISO의 자격 요건을 준수하고 있습니다.
정보 보안 관련 최고 의결 기구인 정보보호위원회를 주요 임원 및 팀으로 구성하여 정보보호 및 개인정보 보호 관련 주요 사항과 정책에 대한 검토 및 심의ㆍ의결, 내부 보안사고 및 주요 위반사항에 대한 징계 심의, 내ㆍ외부 주요 보안감사 결과에 대한 조치 계획을 승인하고 있습니다. 정보보호위원회에서 협의된 결과는 최고경영진에게 보고됩니다. 또한, (개인)정보보호 실무 협의체 구성 및 운영을 통해 정보보호 업무에 대한 실행력을 강화하고 있습니다.
-
정보보호 위원회
- 경영지원본부장 (위원장)
- 지속경영실장 (위원)
- 정보보호실장 (위원)
- 기업문화실장 (위원)
- 정보보호 책임자 정보보호팀장
- 정보보호 담당자 정보보호팀
- 서버/네트워크/정보보호 시스템 보안 담당자 정보보호팀
- Application 보안 책임자 정보보호팀장
- Application 보안 담당자 정보보호팀
- Biz. 보안 조직 Trading사업부, 정보통신사업부, 워커힐
- 자회사 보안 조직 CISO 및 담당자 (SK매직, SK네트웍스 서비스, 민팃,SK일렉링크, SK스피드메이트)
- Application 보안 담당자 정보보호팀
- 물리보안 책임자 HR팀장
- 물리보안 담당자 업무지원센터
- 정보보호 담당자 정보보호팀
보안사고 대응
-
사고 발생 사실 통보*
-
- 홈페이지에 사고 정보 7일 이상 게재
- 72시간 내 정보주체에 통지 및 전문기관 신고
-
보완 후 재검토
(위원회 및 이사회) -
- 사고 종결 후 1개월 내 사고에 대한 사후 평가 및 재발방지 대책 수립
-
모의훈련 실시 및 결과 보고
* 보고 절차 : 사고 인지자 → 상위 팀장 및 전사 개인정보 총괄부서 담당자 → 상위 팀장 및 전사 리스크관리 관련 부서 담당자 → CPO 및 사내 유관부서 팀장/임원 → CEO 및 지주회사 담당임원
정보보호 및 개인정보보호 위반 방지
SK네트웍스는 고객 개인정보의 중요성을 인식하며 안전한 관리를 위해 철저한 보호활동을 이행합니다. 자회사를 포함하여 모든 업무처리 과정에서 개인정보가 포함될 경우, 개인정보 보호정책이 적용됨을 명시하며 개인정보 이용 시 그 목적과 사유를 등록하여 보호하고 있습니다.
구성원 보안 인식 제고
전 구성원이 정보보안 관련 규정을 인식할 수 있도록 제ㆍ개정 시 공표하고 상시적으로 확인할 수 있도록 게재하고 있으며 정기적인 정보보호 캠페인을 통해 주요 법령 및 사내 정책 변경사항을 안내하고 있습니다. 모든 구성원은 매년 정보보호 서약서에 서명하고 온라인을 통한 정보보호 의무교육을 연 1회 이상 이수하고 있습니다. 또한, 주기적인 모의훈련ㆍ문서보안 관리ㆍ현장 점검을 통해 구성원 보안 의식을 강화하고 있습니다. 구성원 개인별 보안 수준 관리 제도를 2023년에 도입하여 개인 및 조직의 보안 수준을 지속적으로 개선하고 있습니다.