컨테이너 영역

Social 정보보안

Social 정보보안

정보보안

비즈니스와 정보기술의 변화로 인해 정보보안 이슈 또한 끊임없이 변화하고 있습니다.
정보보안 이슈 변화에 효과적으로 대응하기 위해서는 기업이 능동 적으로 정보보안 체계를 강화해 나가야 합니다. 특히, 정보는 그 자체로 가치를 지니는 무형자산으로 조직 내·외부에 정보를 공유하면서 비즈니스를 창출하는 성격을 고려할 때, 업무 수행 과정에서 정보 흐름을 파악하고 정보보안 리스크가 발생할 수 있는 지점을 정확히 식별하는 것이 중요합니다.

효성티앤씨㈜는 외부의 사이버 테러 혹은 내부 데이터 유출에 따른 정보보안 리스크 발생에 대비하기 위하여 정보보안 규정 및 운영기준을 수립하고, 이를 점검할 수 있는 조직체계를 구성하였습니다. 그리고 보안로그 검토, 보안 솔루션이 장착된 복합기 도입 등 사내 중요정보 유출을 예방하기 위해 다양한 활동을 수행하고 있습니다.

  • 정보보안 관리 체계

  • 정보보호 정책

    효성티앤씨는 정보보호 리스크의 최소화를 목적으로 조직의 책임과 역할을 규정한 정보보호 정책을 수립하고, 이를 최고 경영진의 승인을 받아 전사적으로 공시하였습니다. 해당 정책은 임직원, 협력사, 회사의 출입자, 방문자, 피교육자, 일용 근로자 및 회사와 계약 관계에 있는 특수인 등 내·외부 이해관계자가 준수하도록 하고 있습니다. 또한, 국내외 정보보호 관련 법령 및 요구사항의 변화를 모니터링하여 정보보호 정책에 정기적으로 반영하고 있습니다.

  • 정보보호 선언문

    효성티앤씨 정보보호 선언문
    ① 우리는 정보보안 규정 및 관련 규정을 철저히 준수한다.
    ② 우리는 정보보안의 중요성을 인식하고 그에 대한 책임을 다한다.
    ③ 법적인 유출과 접근으로부터 중요 정보자산을 보호합니다.
    ④ 정보보호 활동을 통하여 보안의식을 제고합니다.
    ⑤ 정보보호 관련 법적 요구사항을 준수하고 책임을 다합니다.
    ⑥ 개인정보를 적법하게 수집하고 목적 내에서만 안전하게 이용합니다.

  • 정보보호 거버넌스

    효성티앤씨는 정보보호 리스크의 최소화를 목적으로 조직의 책임과 역할을 규정한 정보보호 정책을 수립하고, 이를 최고 경영진의 승인을 받아 전사적으로 공시하였습니다. 해당 정책은 임직원, 협력사, 회사의 출입자, 방문자, 피교육자, 일용 근로자 및 회사와 계약 관계에 있는 특수인 등 내·외부 이해관계자가 준수하도록 하고 있습니다. 또한, 국내외 정보보호 관련 법령 및 요구사항의 변화를 모니터링하여 정보보호 정책에 정기적으로 반영하고 있습니다.

    담당부서 역할 및 책임
    정보보호최고책임자(CISO) · 정보보호 업무 총괄 및 감독
    · 규정된 보안 활동 지원
    개인정보보호최고책임자(CPO) · 개인정보보호 업무 총괄
    · 개인정보 보호 관련 법규 준수 여부 감독
    사업장 보안책임자 · 사업장 정보보안 점검 등 사업장 내 정보보안 업무 수행
    팀 보안책임자 · 팀 내 정보보호 정책 준수 여부 관리·감독
    팀 보안담당자 · 보안 교육/보안 소식 전파 및 보안 이슈 공유

  • 정보보안 사고 대응

    효성티앤씨는 개인정보 유출사고 등 정보보안 사고 발생 시 신속히 대응하고 피해를 최소화하기 위해 정보보안 사고 대응 체계를 수립하여 운영하고 있습니다. 업무 수행 시, 개인 정보를 포함한 정보보호 사고 발생 징후에 대한 제보를 받고 있으며, 회사 시스템 및 네트워크 모니터링 과정에서 승인되지 않은 접근이 발견되는 경우, 즉시 정보보호 관리 책임자에게 보고하고 있습니다. 개인 정보의 경우, 관계 법령에 따라 72시간 내로 개인 정보 유출 신고를 진행하고 있으며, 정보 주체들에게 유출된 항목, 시점, 경위 등을 상세하게 통지하고 있습니다. 정보보호 주관 부서를 중심으로 보안사고에 대한 정밀한 분석을 진행하여 사고 원인을 파악하고 대응 계획을 수립하고 있습니다. 이후, 보안 사고 재발 방지 대책을 수립하여 정보보호최고책임자(CISO)에게 사고 원인, 조치, 사후 대책 등 사고 대응 결과를 보고하고 있습니다.

아래 항목 참고

  • 정보보안 활동

  • Hi-Cloud(사내 문서 중앙 통제 시스템)

    효성티앤씨는 정보보안 강화 및 업무 효율성 향상을 위해 Hi-Cloud(사내 문서 중앙 통제 시스템)을 적용하고 있습니다. Hi-Cloud 시스템을 통해 사내 모든 문서를 체계적으로 관리하고 있으며, 원활한 협업 및 공유가 가능하도록 하여 업무 효율성을 높이고 있습니다. 또한, 개인 및 팀별 문서 관리를 중앙화하여 중요 문서 반출·저장에 대한 사전 통제 및 문서 유통 과정의 모니터링을 통해 정보 유출을 방지하고 있습니다.

  • 악성 메일 및 사이버 공격 대응 훈련

    효성티앤씨는 사이버 보안 사고를 예방하기 위해 매 분기마다 악성 메일 및 사이버 공격 대응 모의 훈련을 실시하고 있습니다. 모의 훈련 결과에 따라 임직원들에게 별도 교육을 실시하여 보안 사고를 예방하고 임직원의 정보보안 사고 대응 역량을 증진시키고 있습니다.

  • 로그 통합 관리 체계

    효성티앤씨는 서버 및 네트워크 장비, 방화벽 등 보안 솔루션에서 발생하는 로그를 통합 관리하여 로그의 유실과 변경을 방지하고 안전하게 로그를 저장하고 있습니다. 로그 발생량에 따라 저장소의 처리 능력을 향상시키는 투자를 통해 안정적인 침해 사고 예방 체계를 구축하고 있습니다. 또한, SIEM(Security Information&Event Management) 솔루션을 통해 경계 값 이상의 로그 발생 시, 즉시 후속 조치가 이루어지도록 하고 있으며, 주기적으로 경계 값을 조정하고 있습니다.

  • 개인 정보 처리 방침

    효성티앤씨는 개인 정보 유출 등 정보보안 사고를 최소화하기 위해 내·외부 이해관계자의 개인 정보 처리 지침을 공시하여 개인 정보 이용 및 취급에 대해 명확하게 안내하고 있습니다. 내부 규정에 따라 개인 정보 처리 시스템에 접속한 기록을 최소 1년 이상 보관하고 있으며, 월 1회 접속 기록에 대한 자체 점검을 진행하고 있습니다. 또한, 고객을 포함한 외부 이해관계자가 개인정보보호 관련 정책을 이해할 수 있도록 기존의 개인 정보 처리 방침을 인포그래픽 형태로 시각화하여 제공하고 있습니다. 이를 통해 이용자들은 개인정보의 수집 목적, 활용, 파기까지의 과정을 직관적으로 이해할 수 있습니다.

  • 상시 보안 관제 시스템

    효성티앤씨는 해킹 등 사이버 보안 사고 예방을 위하여 보안팀 및 보안관제 전문 업체 파견 인력을 통해 24시간 보안 관제를 실시하고 있습니다. 국내외 침해 사고 데이터를 효성티앤씨의 보안 장비에 우선 적용하여 동일한 침해사고를 예방하고 있으며, 실시간 모니터링을 통해 이상징후를 조속히 발견하고 있습니다.

  • 협력사 정보보호

    효성티앤씨는 협력사의 정보보안 체계를 강화하기 위해 2025년부터 협력사의 사업장 실사 방문하여 정보보호 서약서를 작성하도록 하고 있습니다. 이를 통해 협력사의 핵심 기술, 설계 도면 등 중요 정보 자산의 유출을 방지하고 있으며, 협력사 외주 직원 대상 정보보호 활동에 대한 동영상 교육을 실시할 예정입니다. 또한, 식당, 폐기물 처리 등 외주 업체를 제외한 외부 도급 인력과 신규 도급 업체를 대상으로 '외주 직원 정보보호 서약서'를 작성하도록 요청할 계획입니다.

  • 정보보호 교육

    효성티앤씨는 임직원의 보안 의식을 강화하고 최신 정보보호 이슈를 공유하기 위해 매년 정보보호 교육과 법정 의무 교육인 개인정보보호 교육을 실시하고 있습니다. 정보보호 교육은 회사의 보안 정책, 이메일 보안, PC 관리 등 업무 관련 정보보호 내용을 포함하고 있습니다. 또한, 개인 정보 관리 계획에 따라 개인정보보호 책임자는 매년 개인정보보호 교육 계획을 수립하고 있으며, 교육 성과 및 개선 필요성을 검토하여 차년도 교육 계획에 반영하고 있습니다. 정보보호 교육은 집체 교육, 인터넷 교육, 그룹웨어 등을 포함한 다양한 형태로 진행하고 있으며, 필요 시 외부 전문 기관 또는 전문가를 초청하여 진행하고 있습니다. 개인정보보호와 관련된 중요한 사례가 발생하거나 변경 사항이 있을 경우, 개인 정보 취급자를 대상으로 수시 교육도 실시하고 있습니다.