정보보호
정보보호 및 개인정보보호 정책
SK아이이테크놀로지는 구성원 및 고객의 개인정보뿐만 아니라 회사의 지적 재산 등 모든 유무형 자산이 회사의 핵심 경영 이슈임을 인식하고 있으며 관련 법규를 철저하게 준수하고 있습니다. 정보자산의 기밀성, 무결성, 가용성을 유지하고 있으며, 정보 보안 이슈에 대응하기 위해 구체적으로 잠재 위험 요소 사전 파악 및 제거, 정보보호 시스템 강화, 수탁업체 실태 조사 강화 등의 최선의 주의와 노력을 기울이고 있습니다. 회사의 모든 구성원은 정보보호의 중요성을 인식하고 사고 예방과 대응에 적극적으로 임합니다. 또한, 회사는 정보보호와 관련한 위험의 분석, 점검 및 감사를 주기적으로 실시할 뿐만 아니라 국내외 정보보호 인증을 통해 외부 기관으로부터 정기적으로 SK아이이테크놀로지의 정보보호 활동에 대해 검증받고 있습니다.
이러한 정책을 바탕으로 회사는 연 1회 국내외 정보보호 인증 및 갱신, 보안 취약점 진단 및 구성원 대상 정보보호 교육 실시와 상시 정보보호 모니터링 활동을 목표로 수립하였고, 지난 2021년 ISO 27001, ISO 27701, ISMS 인증 획득 및 갱신 완료, 보안 취약점 진단 1회 실시 완료, 정보보호 교육 구성원 254명 참여, 상시 모니터링 활동에 따른 정보보호 법/규제 위반 사례 0건의 성과를 달성하였습니다.
SK아이이테크놀로지는 핵심기술 및 인력을 포함한 유무형 자산을 보호함으로써 핵심역량 강화 및 경쟁력 제고에 기여하고 산업 기밀보호에 관한 제반 법규를 준수하고 있습니다. 산업기밀보호 활동을 위한 전담조직을 구성하여 관리·기술·물리적 보호체계를 구축하였고, 사업장별 전문 인력이 정기적으로 점검을 통해 미흡한 사항을 보완하고 있습니다. 또한, 기본 교육뿐만 아니라 산업정보 특성을 고려한 보안 교육을 실시하는 등 관련 리스크를 최소화하고 있습니다.
정보보호 관리체계
정보보호 담당 조직
SK아이이테크놀로지는 정보보호 업무의 책임 및 역할을 강화하고자 대표이사 직할 정보보호 최고 책임자(CISO, Chief Information Security Officer)를 지정하고, 정보보호 담당을 중심으로 정보보호 업무를 수행하고 있습니다. 또한 정보보호 최고 책임자 중심의 정보보호 협의체를 구성하여, 국내외 사업장별 보안 현황과 이슈를 지속적으로 공유 및 논의함으로써 전사 차원의 보안 위험관리 활동을 통한 보안 수준을 향상하고 있습니다. 2021년에는 위험도 평가 기준 재정립, 신규 서비스 런칭에 따른 정보보호 대상 확대, 사내 정보보호 관리 강화 등의 조치를 하였습니다.
개인정보보호 라이프사이클 관리
SK아이이테크놀로지는 개인정보를 안전하게 관리하기 위하여 해당 정보를 다루는 직원을 최소한으로 지정하고 있습니다. 개인정보처리시스템을 이용하는 구성원의 업무용 PC에는 물리적/논리적 망 분리를 적용하고 있으며, 주기적인 관리실태점검 및 상시 모니터링을 통해 개인정보 유출 가능성을 최소화하고 있습니다. 또한 SK아이이테크놀로지는 개인정보보호 관련 국제 법률과 규정을 모니터링하여 제품과 서비스가 각 국가의 법률과 규정을 위반하지 않도록 관리하고 있습니다. 중국 사업장에서는 개인정보보호법(中华人民共和国个人信息保护法)을 준수하기 위해 TF체계를 구축하고, 법률에 명시된 개인정보 주체의 권리를 보장하기 위해 사내 정책 및 절차를 수립하고 있습니다. 그 외 폴란드 사업장에서도 EU GDPR(General Data Protection Regulation)에 따라 개인정보를 안전하게 관리하고 있습니다.
SK아이이테크놀로지는 회사의 중요 정보 및 개인정보처리 관련하여 분실·도난·유출·훼손 등의 사건이 발생 시 주관 부서의 관리하에 피해 확산을 방지하고 신속히 조치합니다. 또한, 사고 종결 후에는 사고의 분석, 평가 및 대비책을 수립·시행하고 있습니다. 개인정보 손해배상책임 보장제도가 시행됨에 따라 SK아이이테크놀로지는 2019년 12월 배상보험을 최초 가입한 후 매년 갱신함으로써 피해구제가 용이하도록 정보 주체의 권익을 보장하고 있습니다.
글로벌 정보보호 규제 대응
SK아이이테크놀로지는 글로벌 정보보호 규제 대응 및 디지털 트랜스포메이션(digital transformation) 추진에 따라 신뢰할 수 있는 사이버 생태계 기반 마련을 위해 국내외 정보보호 인증을 취득·유지하고 있습니다. 국내 정보보호 관리체계(ISMS), 국제 정보보호 관리체계(ISO 27001)에 따라 보안 시스템을 갖추고 있으며, 개인정보보호 관리체계 국제 규격 인증(ISO 27701)을 취득하여 구성원의 정보를 안전하게 보호하고 있습니다.
| 보유 인증 | ISO 27001: 2013 | ISO 27701: 2019 | ISMS |
| 유효 기간 | ‘20.09.19~‘23.09.18 | ‘20.09.23~‘22.08.13 | ‘20.10.21~‘23.10.20 |
| 인증 범위 | SK이노베이션 산하 자회사 보안 서비스 및 글로벌 HR, 정보전자소재(FCW/LiBS) BIZ. | SK이노베이션 산하 자회사 보안서비스 및 글로벌 HR | SK이노베이션 보안시스템 운영관리 |
| 인증 효과 |
| ||
| 사업 기여 영향도 |
| ||
정보보안 역량 내재화
SK아이이테크놀로지는 개인정보를 처리하는 모든 임직원 및 수탁업체를 대상으로 연 1회 이상 정기적으로 정보보호 인식 제고 교육을 시행하고 있습니다. 그 밖에도 신입사원 보안교육과 정기 보안교육, 기타 수시 보안교육 등을 매년 실시하고 있으며, 임직원 및 협력업체의 보안에 대한 인식 제고의 차원으로 보안캠페인을 실시하고 있습니다.
| 구분 | 단위 | 2021 |
| 임직원 참여 직원수 | 명 | 254 |
| 파트너 참여 인원수 | 명 | 388 |
| 위, 수탁사 참여 업체수 | 개 | 33 |
모니터링 및 실사
시스템 기반 위험 점검 및 실사
안정적인 정보보호 체계 유지를 위해 데이터 유출 방지 및 모니터링을 진행합니다. 외부로부터의 사이버 공격 및 데이터 침해에 대응하기 위해 정보 암호화 및 매체 통제, 화면 워터마크 등 예방 체계와 사후 모니터링 시스템을 통한 관리 체계를 구축하였습니다. 또한, 상시 이상징후를 점검하고 있으며, 보안 취약점에 대해 상시 개선하고 있습니다. 감지된 이상징후에 따라 정보보호 및 개인정보보호 위반자 색출 시, 사내 규정에 따라 관리하고 구체적인 재발 방지 대책을 수립하고 있습니다.
정보보호 모니터링 주요활동 및 성과
| 구분 | 내용 | 2021년 주요 활동 및 성과 |
| 정보보호 및 개인정보보호 관리체계 운영 | 정보보호 및 개인정보보호 관리체계 운영 |
|
| 보안 진단 | 취약점 진단 (연 1회) |
|
| 개인정보 모니터링 | 개인정보 모니터링 |
|
| 보안시스템 운영 관리 | PC 및 정보시스템에 대한 보안 시스템 운영 (상시) |
|
| 정보보호 및 개인정보 인식제고 활동 | 교육 및 훈련 수행 (연 1회) |
|
| 재해복구 대응 훈련 | 재해복구 시스템 및 절차 정확성 검증 |
|
| 관리 실태 점검 | 정보보호 및 개인정보보호 관리실태 점검 (연 1회) |
|
| 구분 | 단위 | 2019 | 2020 | 2021 |
| 정보보호 및 사이버보안 관련 위반 사건 발생 건수 | 건 | 0 | 0 | 0 |
| 고객 개인정보 관련 위반 사건 발생 건수 | 건 | 0 | 0 | 0 |
| 데이터 위반으로 인해 피해를 입은 고객의 수 | 명 | 0 | 0 | 0 |
| 정보보호 및 사이버보안 관련 위반 사건으로 인해 발생한 총 벌금/과징금/범칙금 등의 액수 | 원 | 0 | 0 | 0 |
