1. 목적
본 절차서는 (주)세진 임직원의 증가하는 사이버 침해 사고로부터 정보 자산을 보호하기 위한 체계적인 문서 관리 방안을 제시한다. 특히, 전자문서 통제는 (주)세진의 정보 자산 위험 관리 프로세스 내에서 위험 처리 방안의 핵심적인 실행 방안으로 적용된다. (주)세진의 모든 정보자산(전자문서 및 물리적 문서 포함)에 대한 안전한 관리 및 보호를 목표로 한다.
2. 적용범위
본 절차서는 (주)세진의 모든 임직원이 생성, 관리, 활용하는 전자문서 및 물리적 문서를 포함한다. (주)세진의 정보자산 위험관리 프로세스 4단계(자산 식별, 위험 분석, 위험 평가, 위험 처리)에 따라 문서의 중요도와 위험 수준을 평가하고, 적절한 보안 통제 방안을 적용하여 체계적으로 관리한다.
3. 용어의 정의
- 정보 자산: 조직이 보유하고 있는 데이터나 정보를 포함한 유/무형의 자산
- 문서: 회사 내에서 기록되고 승인된 문서
- 전자문서: 컴퓨터 등 정보처리시스템으로 작성, 송신·수신 또는 저장된 문서형식의 자료
- 물리적 문서: 종이 등 실체가 있는 형태로 존재하는 문서
- 통제본: 수정이나 보완이 필요할 때 교체해야 하는 문서
- 비통제본: 수정이 되더라도 교체가 필요하지 않은 문서
- 유효본: 승인 완료 후 폐기되지 않은 최신 문서
- 자료(Data): 외부에서 발행된 문서로, 발행 기관의 통보 없이 수정이 불가능한 문서
- 기록(Records): 업무 수행의 결과물로, 수정이 불가하며 증거용으로 사용되는 문서
- 위험(Risk): 위협이나 취약점을 이용하여 자산에 피해를 줄 가능성
- 위협(Threat): 자산에 악영향을 줄 수 있는 사건 및 행위
- 취약점(Vulnerability): 위협이 발생하기 위한 조건이나 상황
- 정보보호 관리체계(ISMS): 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리·운영하는 체계
4. 책임과 권한
본 절차서의 책임 · 권한 체계는 첨부된 기업 정보자산 관리 조직도 표준 역할을 기반으로 세진 정보자산 관리 조직도(4계층) 의 내용을 반영하여 작성되었다. 각 계층은 상위 → 하위 순으로 보고·통제 관계를 가진다. 책임 및 권한은 ISMS 등 법규 요구사항을 충족하기 위하여 정의되었으며, 정보자산관리자, 정보자산담당자의 직책은 겸임할 수 있다.
| 계층 | 직책 | 주요 책임 | 세부 책임 |
|---|---|---|---|
| 1단계 | 대표이사 (CEO) | 전사 정보보안 정책 최종 승인 및 자원 할당 | • 정보보호 예산 승인 • 중요 보안정책 의사결정 • 보안 사고 최종 책임 |
| 2단계 | 부사장 | 전사 정보자산 관리 운영 총괄 및 본부 간 협력 조정 | • 조직 간 정책 실행 관리 • 위험 대응 우선순위 조정 |
| 2단계 | 정보보호최고책임자 | 정보보호 전략 수립 및 조직·예산 운영 총괄 | • 정보보호 계획 수립 • 보안 감사·위험평가 총괄 • 보안 사고 대응 총괄 |
| 3단계 | 정보보호 담당자 (관리·물리·기술) | 정보보호 세부 정책 수립 및 실행 | • 관리·물리·기술 영역별 통제 운영 • 보안 솔루션 운영 • 시설 보안·출입 통제 |
| 3단계 | 본부장 (본부정보자산책임자) | 본부별 정보자산 관리 총괄 | • 본부 정책 수립 • 부서 현황 점검 • 본부 보안 교육 계획 • 본부별 자산관리 정책·계획 수립 |
| 4단계 | 부서장 / 팀장 (부서 정보자산관리자) | 부서 단위 정보자산 관리 감독 | • 부서 관리 계획 수립 • 정보자산관리자/담당자 지정 • 정책 시행 감독 |
| 5단계 | 정보자산관리자 | 부서 정보자산 관리 실무 총괄 | • 정보자산 목록·등급 관리 • 생명주기 및 접근권한 관리 • 정기 점검 보고 |
| 6단계 | 정보자산담당자 | 정보자산 식별·등록·변경 처리 및 1차 보안 점검 | • 신규 자산 등록 • 변경사항 업데이트 • 1차 사고 대응 |
| 7단계 | 일반 사용자 | 정보자산 적절 사용 및 보안 정책 준수 | • 보안 절차 준수 • 사고 발견 시 즉시 보고 |
보고 체계: 정보자산담당자/팀장 → 정보자산관리자 → 부서장 → 본부장 → CISO/부사장 → CEO
보고 주기(권장): 팀/실장 주간, 본부장 월간, CISO/부사장 분기, CEO 반기
4.1 정보자산 관리 조직도(트리뷰)
문서 관리 절차의 각 책임·권한 체계가 실제 조직 계층과 정확히 매핑되도록 하기 위해 본 절차서에 전문을 포함한다. 부서단위의 상세내역은 별첨. 세진 정보자산 관리조직도를 참고한다.
대표이사 (CEO) - 경영리더 김민규
├── 부사장 - 경영리더 홍득희
│ ├── 연구개발본부(연구개발본부 정보자산책임자) - 상무 김동국
│ │ ├── 원가영업실 - 실장 조효제
│ │ │ ├── 원가영업1팀(정보자산관리자) - 팀장 조효제
│ │ │ └── 원가영업2팀(정보자산관리자) - 팀장 조준식
│ │ ├── 개발1팀(개발1팀 정보자산관리자) - 팀장 곽병철
│ │ ├── 개발2팀(개발2팀 정보자산관리자) - 팀장 이효진
│ │ ├── 설계팀(설계팀 정보자산관리자) - 팀장 김종훈
│ │ └── 외주관리팀(외주관리팀 정보자산관리자) - 팀장 백만기
│ ├── 품질본부(품질본부 정보자산책임자) - 상무 김영태
│ │ ├── 신차품질팀(신차품질팀 정보자산관리자) - 팀장 이희철
│ │ ├── 품질보증팀(품질보증팀 정보자산관리자) - 팀장 임경환
│ │ └── 품질경영팀(품질경영팀 정보자산관리자) - 팀장 임철재
│ ├── 경영지원본부(경영지원본부 정보자산책임자) - 상무 이성영
│ │ ├── 구매팀(구매팀 정보자산관리자) - 팀장 신정현
│ │ ├── 재경팀(재경팀 정보자산관리자) - 팀장 천성웅
│ │ ├── 총무팀(총무팀 정보자산관리자) - 담당 손명천
│ │ └── 전산팀(전산팀 정보자산관리자) - 담당 권세창
│ └── 생산본부(생산본부 정보자산책임자) - 상무 최인규
│ ├── 생산1실 - 실장 박청식
│ │ ├── 생산1팀(생산1팀 정보자산관리자) - 팀장 김덕진
│ │ └── 생산기술팀(생산기술팀 정보자산관리자) - 팀장 류동완
│ └── 생산2실 - 실장 안준우
│ │ ├── 생산2팀(생산2팀 정보자산관리자) - 팀장 이충호
│ │ └── 물류팀(물류팀 정보자산관리자) - 팀장 최현오
│ └── 노무팀 - 팀장 김영빈
└── 정보보호최고책임자 (CISO) - 상무 이성영
├── 관리보안담당자 - 책임매니저 손명천
├── 물리보안담당자 - 책임매니저 손명천
└── 기술보안담당자 - 책임매니저 권세창4.2 보고 체계 및 주기
| 구분 | 보고 대상 | 보고 주기 | 비고 |
|---|---|---|---|
| 팀장·실장 → 본부장 | 팀/실 단위 정보자산 현황, 사고 및 개선 사항 | 주간 | 주간 회의·보고서 |
| 본부장 → CISO/부사장 | 본부별 종합 현황, 위험 분석 결과 | 월간 | 월간 경영회의 |
| CISO/부사장 → CEO | 전사 보안 성과, 중요 위험·예산 요청 | 분기 | 분기 경영진 리뷰 |
협력 체계: 팀/실장 협의체(매월 1회), 본부장 협의체(분기), 경영진 위원회(반기)
보안 교육: 계층별 맞춤형 교육(월 1회 이상)
권한 관리: 각 계층별 접근권한 원칙을 준수하고 주기적 권한 재검토 실시
4.3 표준 역할 대비 개선 검토 사항
검토 사항은 지속적으로 단계적으로 이행하며, 이행 결과는 본 절차서 7. 이행 점검 단계에서 확인·반영한다.
| 표준 역할(Template) | 현행 조직 반영 여부 | 검토 항목 | 검토 조치 제안 |
|---|---|---|---|
| 정보자산담당자 | 부족 | 팀/실 단위 실무 담당자 지정 필요 | 각 팀에서 1명 이상 지정 → CISO 승인 후 자산관리시스템 등록 |
| 일반 사용자(7단계) | 암묵적 | 정책 준수 의무 명시 부족 | 모든 임직원 대상 책임 명문화, e‑러닝 교육 포함 |
| 보안 감사 기능 | 부족 | 내부 정보보안 감사 및 점검 역할 미정 | 품질본부 산하 ‘정보보안 감사팀’ 신설 또는 외부 감사 연 2회 |
| 권한·접근 통제 | 필요 | 정기 재검토 주기 명확성 미흡 | 연 1회 이상 권한 일괄 점검 (각 부서장 책임) |
5. 정보자산 위험관리절차
5.1 정보자산 분류 및 중요도 평가 (1단계)
목적: 기업이 보유한 중요 자산을 보호하기 위해 우선 보호 대상을 식별한다.
5.1.1 자산 조사 및 식별
- 전자정보, 문서, 소프트웨어, 시설, 하드웨어, 지원설비, 인력 등 다양한 유형의 자산을 식별한다.
- 문서는 중요한 정보 자산 유형 중 하나로 분류하여 관리한다.
5.1.2 분류 및 등록
- 식별된 자산을 유형적 자산(시스템, 인력, 물리적)과 무형적 자산(데이터/소프트웨어)으로 분류한다.
- 문서는 무형적 자산에 해당하며, 중요도가 낮은 자산은 세부 목록 작성을 생략할 수 있다.
- 자산 분류 기준표 작성 시 식별번호, 자산 유형/그룹, 자산명, 설명, 소유자, 중요도를 명시한다.
5.1.3 중요도 평가
-
자산의 가치를 평가하고 등급을 산정한다.
-
주요 기준은 다음과 같다:
- 기밀성(Confidentiality): 정보에 대한 접근을 인가된 사용자로 제한하는 특성
- 무결성(Integrity): 정보의 정확성과 완전성을 보장하는 특성
- 가용성(Availability): 인가된 개체가 요구할 때 접근 가능하고 사용 가능한 특성
- 유출 영향도(Effluent Impact): 정보 유출 시 발생할 수 있는 피해 정도
-
4개 항목에 대한 배점(총 10점 만점)과 점수 구간에 따른 등급 분류 기준을 적용한다:
- 극비(8~10점): 유출 시 회사 존립에 위협이 될 수 있는 정보
- 대외비(6~7.9점): 유출 시 회사에 상당한 재산/신용 손실을 줄 수 있는 정보
- 일반(4~5.9점): 공개되어도 큰 영향이 없는 정보
- 관리제외(4점 미만): 공개가 가능한 정보
5.2 위험 분석 (2단계)
목적: 식별된 자산에 대한 위협, 취약성, 위험을 도출하고 분류하여 자산 가치에 대한 잠재적 손실 영향을 분석한다.
5.2.1 위험 구성 요소 정의
- 위협(Threat): 취약성을 활용할 수 있는 가능성
- 취약성(Vulnerability): 악용당할 수 있는 결점 또는 안전장치의 부재
- 위험(Risk): 취약성 악용으로 인한 잠재적 손실 가능성
5.2.2 컨텍스트 분석
- 기업 내·외부에서 발생하는 이슈, 이해관계자, 법적 요구사항 등을 통해 보안 위협 요소를 식별한다.
- 컨텍스트 분석을 통해 조직 환경에 특화된 위험 요소를 도출한다.
5.2.3 위협 및 취약성 도출
- 자산에 대하여 존재하는 위협과 취약성을 분석한다.
- 시나리오 기반 위험 분석을 통해 누가, 왜, 어디서, 언제, 무엇을, 어떻게 하여 어떤 결과와 비즈니스 영향이 발생하는지를 구체화한다.
5.3 위험 평가 (3단계)
목적: 분석된 위험의 수준을 수치화하고, 미리 설정한 목표 위험 수준과 비교하여 각 위험의 대응 여부와 우선순위를 결정한다.
5.3.1 위험도 산출
- 적용 범위(자산), 발생 가능성, 파급 효과 등 비즈니스 영향 관점에서 위험도를 수치화한다.
- 위험도 = 적용 범위(자산) × 발생 가능성 × 파급 효과 산식을 적용한다.
- 중요도, 파급효과, 발생가능성을 조합한 평가 기준을 사용할 수 있다.
5.3.2 수용 가능한 수준 결정 (DoA: Degree of Acceptance)
- 조직이 수용할 수 있는 위험 수준(DoA)을 설정한다.
- 경영진의 승인을 통해 DoA 기준을 확정한다.
5.3.3 대응 결정
- 평가된 위험도가 DoA 이상인 경우 비용을 들여 대응한다(위험 감소).
- DoA 이하인 경우 잔여 위험으로 관리하거나 잠정적으로 대책을 보류할 수 있다(위험 수용).
- 최종 대응 방안은 경영진의 결정을 통해 확정한다.
5.4 위험 처리 통제 방안 (4단계)
목적: 위험 평가를 통해 결정된, 수용 가능한 수준 이하로 낮춰야 할 위험에 대해 정보 보호 대책을 선정한다.
5.4.1 대응 전략 선정
- 위험의 성격 및 비용-효과성을 고려하여 다음 전략 중 적절한 것을 선택한다:
- 위험 회피: 위험이 있는 활동 자체를 중단
- 위험 전가: 제3자에게 위험 이전(보험, 아웃소싱 등)
- 위험 감소: 위험 수준을 낮추기 위한 통제책 구현
- 위험 수용: 위험을 받아들이고 모니터링
- 각 전략별 구현 방안과 예상 효과를 분석한다.
5.4.2 보호 대책 적용
- 위험 감소를 위해 보안 대책을 적용하며, 관리적, 물리적, 기술적 영역의 통제 정책을 활용한다.
- 선정된 보호 대책의 구현 일정과 담당자를 지정한다.
5.4.3 전자문서 통제 방안
관리적 통제 방안
- 위험도가 높은 문서 유형 대상 유출 통제 세부 기준을 마련한다.
- 문서 작성 애플리케이션 암호 설정 기능을 활용한다.
- 파일/폴더 접근 권한 관리를 강화한다(파일 서버, NAS).
- 중요 시스템 파일 다운로드 권한 통제를 강화한다(ERP, PLM, DMS 등).
- 데이터베이스 암호화를 적용한다.
기술적 통제 방안
- 파일 암호화(DRM) 솔루션 도입을 검토한다.
- 정보 유출 방지(DLP) 솔루션 도입을 검토한다.
- 문서 중앙화 솔루션 도입을 검토한다.
6. 관련 가이드 및 양식
6.1 자산 분류 기준표 및 자산별 중요도 평가 양식
- 식별번호, 자산 유형, 자산명, 소유자, 중요도 등급을 기록한다.
- 작성가이드 : 별첨 A. 문서 유형 분류 및 중요도 평가 작성 가이드를 참조한다.
- 양식/샘플 : 자산 분류 기준표
- 양식/샘플 : 자산별 중요도 평가
- 첨부 : 04-자산분류기준표.csv, 05-자산별중요도평가.csv
6.2 정보 중요도 참고 기준표
- 영업비밀 등급 자가확인 서비스
- 영업비밀 등급 조회
- 영업비밀 등급 산출
- 영업비밀 등급분류 가이드
6.3 취약성 및 위협 평가 목록
- 자산별 위협 요소와 취약성을 체계적으로 기록한다.
- 작성가이드 : 별첨 B. 위험 분석 및 평가 작성 가이드 를 참조한다.
- 양식/샘플 : 취약성 및 위협 평가 목록
- 첨부 : 06-취약성위협평가목록.csv
6.4 시나리오 기반 위험 분석표
- 위험 시나리오별 상세 분석 내용을 기록한다.
- 작성가이드 : 별첨 B. 위험 분석 및 평가 작성 가이드 를 참조한다.
- 첨부 : 07-시나리오기반위험분석표.csv
6.5 자산별 위험 평가 결과표
- 위험도 점수, 등급, 대응 방안을 기록한다.
- 작성가이드 : 별첨 B. 위험 분석 및 평가 작성 가이드 를 참조한다.
- 양식/샘플 : 자산별 위험 평가 결과
- 첨부 : 08-자산별위험평가결과표.csv
6.6 위험 처리 방안 결정 양식
- 대응 전략, 상세 방안, 고려사항을 기록한다.
- 작성가이드 : 별첨 C. 통제 방안 선정 가이드 를 참조한다.
- 첨부 : 09-위험처리방안결정양식.csv
6.7 핵심 관리 대상 전자문서 선정 및 통제 방안 적용 이력 관리 양식
- 전자문서별 적용된 통제 방안과 이력을 관리한다.
- 작성가이드 : 별첨 C. 통제 방안 선정 가이드 를 참조한다.
- 첨부 : 10-핵심문서통제이력관리양식.csv, 14-문서관리점검체크리스트.csv
7. 이행 점검
본 절차서의 이행 상황은 2025년 정보자산 위험관리 이행 점검의 주요 확인 사항에 따라 정기적으로 점검하며, 점검 결과를 바탕으로 절차서를 지속적으로 개선한다.
- 점검 주기: 연 1회 정기 점검, 필요 시 수시 점검
- 점검 주체: 정보보안팀
- 점검 방법: 문서관리 현황 점검표 활용
- 점검 항목:
- 문서 분류 적절성
- 중요도 평가 수행 여부
- 위험 평가 시행 여부
- 통제 방안 적용 현황
- 관련 교육 실시 여부
- 개선 조치: 점검 결과 미흡 사항에 대한 개선 계획 수립 및 이행
작성 정보
- 작성자: 권세창 (기술보안담당자)
- 소속: (주)세진 경영지원본부 전산팀
- 작성일: 2025년 6월 10일