한국인의 다국적 제약기업 한국유나이티드제약(주)

본 정보보안 정책은 회사의 모든 정보보안 활동의 근간이 되는 최상위 규범입니다. 회사의 모든 임직원 및 관련자는 본 정책의 중요성을 깊이 인식하고, 각자의 역할과 책임에 따라 이를 성실히 준수해야 할 의무가 있습니다. 우리는 체계적인 정보보호 관리 체계를 구축하고 지속적으로 개선함으로써, 정보보안을 우리 기업문화의 필수적인 요소로 내재화하고, 이를 통해 ‘거목과 같은 회사’ 로서의 신뢰를 더욱 굳건히 다져나갈 것입니다.

제1장 총칙

제1조(목적)

본 정책은 한국유나이티드제약(이하 ‘회사’ 라 한다)이 보유하고 처리하는 모든 정보 자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하는 것을 목적으로 한다. 이를 위해 내외부의 고의적, 우발적인 각종 위협으로부터 정보 자산을 안전하게 보호하기 위한 포괄적이고 일관된 정보보호 관리체계를 수립하고, 모든 임직원이 준수해야 할 기본적인 원칙과 절차를 규정한다.

제2조(적용 범위)

1. 인적 범위 : 본 정책은 회사의 업무와 관련하여 정보 자산에 접근하는 모든 임직원(정규직, 계약직, 임시직 포함), 경영진, 협력업체 직원, 외부 용역 인력, 컨설턴트 등 모든 관련 인원에게 적용된다.

2. 자산 범위 : 본 정책은 회사가 소유하거나 운영하는 모든 유·무형의 정보 자산에 적용된다. 여기에는 전자적 형태의 데이터, 서면 문서, 소프트웨어, 정보시스템, 네트워크 장비, 모바일 기기 및 회사의 모든 물리적 시설(서울 본사 서버실, 공장 서버실 등)이 포함된다.

제3조(용어의 정의)

본 정책에서 사용하는 주요 용어의 정의는 다음과 같으며, 여기에 정의되지 않은 용어는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령에서 정하는 바에 따른다.

1. 정보 자산 : 회사의 비즈니스 활동에 사용되는 모든 형태의 정보 및 관련 장비. (예: 연구 자료, 생산 정보, 서버, PC, 네트워크 장비 등)

2. 기밀성 : 인가된 사용자만이 정보에 접근할 수 있음을 보장하는 것.

3. 무결성 : 정보가 불법적으로 생성, 변경, 삭제되지 않고 정확성과 완전성을 유지하는 것.

4. 가용성 : 인가된 사용자가 필요한 시점에 정보와 관련 자원에 접근하고 사용할 수 있도록 보장하는 것.

5. 정보보호 : 정보 자산의 기밀성, 무결성, 가용성을 확보하기 위한 관리적, 기술적, 물리적 수단 및 절차.

6. 개인정보 : 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보.

7. 정보보호 최고책임자(CISO, Chief Information Security Officer) : 회사의 정보보호 업무를 총괄하는 책임자.

8. 개인정보 보호책임자(CPO, Chief Privacy Officer) : 회사의 개인정보 처리 및 보호에 관한 업무를 총괄하는 책임자.

9. 영상정보처리기기 : 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서, 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라를 말한다.

제4조(책임과 역할)

1. 최고경영자 (CEO)

• 정보보호 정책의 최종 승인 및 지원.

• 정보보호에 대한 궁극적인 책임을 부담.

2. 정보보호 최고책임자 (CISO)

• 회사의 정보보호 정책, 지침, 절차의 수립 및 실행 총괄.

• 정보보호 예산 및 자원 확보.

• 정보보호 관련 법규 및 규제 준수 감독.

• 중대한 정보보호 사고 발생 시 대응 총괄 및 최고경영자에게 보고.

• 정보보호 관련 교육 및 인식 제고 활동 총괄.

3. 개인정보 보호책임자 (CPO)

• 개인정보 관리계획 수립 및 시행.

• 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선.

• 개인정보 처리와 관련한 불만의 처리 및 피해 구제.

• 개인정보 보호 교육 계획의 수립 및 시행.

• 개인정보파일의 보호 및 관리·감독.

4. 전산팀

• 정보보호 정책 및 지침의 이행을 위한 실무 담당.

• 정기적인 위험 평가 및 취약점 분석 수행.

• 보안 시스템(방화벽, 침입탐지시스템 등)의 도입 및 운영.

• 정보보호 사고 모니터링 및 초동 대응.

5. 각 부서장

• 소관 부서의 정보 자산에 대한 보호 책임.

• 소속 직원의 정보보호 정책 준수 관리 감독.

• 소속 직원에 대한 보안 교육 및 활동 지원.

6. 모든 임직원

• 본 정보보호 정책 및 관련 규정의 숙지 및 준수.

• 자신에게 할당된 정보 자산의 안전한 사용 및 관리.

• 정보보호 사고 인지 시 즉시 전산팀에 신고.

제2장 정보보호 관리 규정

제5조(정보보호 관리 규정 수립 및 시행)

전사적으로 일관된 정보보호 기준을 제시하고 체계적인 보안 활동의 근거를 마련하기 위해 전산팀 주관으로 관련 규정을 수립한다. 이 규정은 정보보호 최고책임자(CISO)의 승인을 받아 시행되며, 접근통제, 암호화, 개발보안, 자산관리 등 각 영역의 준수사항을 포함한다. 수립된 규정은 법규 및 환경 변화를 반영하여 지속적으로 검토 및 개정된다.

제6조(정보보호 내부 관리계획 수립 및 시행)

정보보호 활동의 실효성을 확보하기 위해 전산팀 주관으로 연간 내부 관리계획을 수립하고 정보보호 최고책임자(CISO)의 승인을 받아 이행한다. 이 계획에는 위험 평가, 취약점 점검, 정기 교육, 내부 감사 등의 구체적인 실행 과제가 포함되며, 이행 결과는 지속적인 개선 활동에 반영된다.

제7조(개인정보 관리계획 수립 및 시행)

회사의 개인정보를 체계적으로 보호하고 관련 법규를 준수하기 위해, 개인정보 보호책임자(CPO)는 매년 연간 개인정보 관리계획을 수립하여 경영진의 승인을 받은 후 시행하여야 한다. 수립된 계획은 연 1회 이상 정기적으로 타당성을 검토해야 하며, 법규 개정이나 중대한 환경 변화 시에는 이를 신속히 반영하여 수정하여야 한다. 계획의 수립, 실행, 검토 등 모든 과정은 문서화하여 관리한다.

제8조(영상정보처리기기 운영·관리방침 마련 및 시행)

회사는 시설 안전, 화재 예방, 범죄 예방 등 정당한 목적으로 영상정보처리기기를 설치·운영하며, 체계적인 관리를 위해 영상정보처리기기 운영·관리방침을 수립한다. 영상정보처리기기 관리책임자는 기기 설치 장소에 촬영 목적, 시간, 관리책임자 등이 명시된 안내판을 설치해야 하며, 방침과 안내판의 내용을 정기적으로 점검하고 현행화하여야 한다. 모든 관리 활동은 관련 법규에 따라 기록·관리한다.

제3장 보칙

제9조 (법규준수)

회사는 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 정보보호 관련 법규 및 규제를 식별하고 이를 준수하기 위한 관리적, 기술적 조치를 이행한다.

제10조 (감사 및 검토)

정보보호 최고책임자는 본 정책의 준수 여부를 확인하기 위해 연 1회 이상 정기적인 정보보호 감사를 실시해야 한다. 감사 결과 발견된 문제점은 개선 대책을 수립하고 이행 여부를 추적 관리한다.

제11조 (상벌)

회사는 정보보호 정책을 우수하게 준수한 임직원 또는 부서에 대해 포상할 수 있으며, 정책을 위반하여 회사에 손해를 끼친 임직원에 대해서는 사규에 따라 징계 조치를 취할 수 있다.

제12조 (정책의 개정)

본 정책은 관련 법규의 제·개정, 경영 환경의 변화, 새로운 보안 위협의 등장 등을 반영하기 위해 정보보호 최고책임자의 검토와 최고경영자의 승인을 거쳐 개정될 수 있다.