디지털 책임

정보보호

삼성SDS는 정보보호의 전문성을 갖추고 실질적인 권한과 책임을 가지는
정보보호최고책임자(CISO)를 지정하여 정보보호 관리체계를 운영하고 있습니다.

CEO
  • 대표이사(CEO)
      • 정보보호최고책임자(CISO) - 통합보안센터
      • 개인정보보호책임자(CPO) - 법무팀
        • 정보보호 위원회
        • 전사 정보보호부서 - 정보보호그룹
          • 데이터센터 보안부서
          • 개발 보안부서
          • 보안검증 부서
          • 품질 보안부서

보안전담 조직을 구성하고 정기적인 정보보호 위원회를 실시하여
회사의 보안리스크를 최소화하고 정보자산을 보호하기 위해 노력하고 있습니다.

정보보호 정책

삼성SDS는 법적의무사항을 준수하고 대내외 보안위험요소를 감소시켜 모든 정보자산을 보호하고
안전한 서비스를 제공하기 위한 정보보호 관리체계 기준을 수립하여 운영하고 있습니다.

해외법인 및 자회사도 SDS의 정보보호 정책의 기본방침 내에서 해당 국가와 각 사의
비즈니스 환경을 고려한 정보보호정책을 수립하고 운영할 수 있도록 기준을 제시합니다.

  • 삼성에스디에스는 보안위험을 감소시키고 보안통제의 일관성을 유지하기 위해 전 임직원이 준수해야 할 정보보호 규정,지침을 구성하여 운영하고 있습니다. 정보보호 규정에 기본 원칙을 정의하고, 해당 원칙에 따른 상세 실행기준을 정의한 정보보호 지침을 운영하며 전체 임직원과 물리자산을 포함한 사내 정보자산 및 시스템에 접근 권한을 가지는 모든 인력을 대상으로 정책이 적용됩니다. 법적요구사항, 사업 특성 및 업무 환경의 변화 등을 반영하고 새로운 위협에 대응하기 위해 년1회 이상 개정 검토를 진행합니다. 법인과 자회사도 SDS의 정보보호 정책의 기본방침 내에서 해당 국가와 각 사의 비즈니스 환경을 고려한 정보보호 정책을 수립·운영 할 수 있도록 기준을 제시하고 있습니다.

  • 삼성에스디에스는 정보보호정책을 구성하여 올바르게 운영하기 위해 정보보호 최고책임자를 지정하고 정보보호 전담 조직을 구성하여 운영하고 있습니다. 전사 정보보호 부서를 중심으로 사업부별 보안부서와 개발보안부서로 보안조직을 구성하고 있으며 정보보호 최고 책임자 주관으로 보안 부서 임원 및 부서장들을 포함한 정보보호 위원회를 정기적으로 운영하고 있습니다. 본사에서 해외법인에 보안주재원을 파견하고 보안관리의 책임을 위임하고 있으며 월 1회 정기 교류회를 실행하고 있습니다. 자회사에도 각 사별 보안담당자를 선정하도록 하여 본사와 자회사 담당자들 간 활발히 교류할 수 있도록 체계를 수립하고 있습니다.

  • 삼성에스디에스는 사내 모든 정보자산을 식별하여 정의된 기준에 따라 분류하고 특성에 맞는 관리정책을 적용하여 개인정보를 포함한 중요정보자산이 안전하게 보호될 수 있도록 관리합니다. 식별되어 분류된 모든 정보자산은 기밀성, 가용성, 무결성 기준으로 중요도를 평가하여 보안등급을 적용하고 등급별 수립된 보호정책에 따라 생성부터 폐기까지 접근, 유출, 위/변조 등의 보안위협으로부터 보호됩니다.

  • 삼성에스디에스는 임직원이 근무하는 오피스빌딩과 IDC서비스를 위한 데이터센터를 포함한 회사가 계약/운영하는 모든 사업장에 대해 안전한 근무환경을 유지하고 사업장 내 모든 시설과 정보자산을 보호하기 위한 물리적 보안 정책 및 관리 절차를 수립하여 상시 운영합니다. 사업장별로 울타리, 벽, 장벽, 경비, 게이트 등 물리적 보안범위를 구현하고 인증된 직원 및 내방객만이 허용된 공간에 한해 접근이 가능하도록 보안등급에 따른 출입정책과 사업장 특성에 맞춘 반출입 절차를 운영함으로 정보자산의 유출, 비인가자의 접근 등을 모니터링 합니다.

  • 삼성에스디에스는 회사의 모든 정보자산을 보호하고 안전한 서비스를 제공하기 위하여 서버, 네트워크, 데이터베이스, 응용시스템, 클라우드 서비스 등 모든 형태의 정보시스템에 대한 보안관리체계를 수립하여 운영하고 정기적으로 점검합니다. PC 및 모바일 기기, 서버, 데이터베이스, 네트워크, 응용시스템, 공개 웹서버, 클라우드서비스 등 모든 정보시스템에 대해 접근권한, 사용자계정, 중요정보 암호화, 원격접속 등에 대한 기준을 수립하고 각 시스템 별 보안 취약점과 운영 특성을 고려하여 승인된 범위내에서 안전하게 활용될 수 있도록 관리하고 있습니다. 또한 모의해킹, 보안성 검토 등 정기적인 보안점검을 통해 서비스 및 내부데이터를 보호하고 새로운 취약점에 대비합니다.

  • 삼성에스디에스는 발생할 수 있는 보안사고를 예방하기 위한 활동을 수행하고 사고 발생 시 피해를 최소화 하기 위해 사고대응 및 사후관리체계를 수립하여 운영합니다. 해킹, DDOS, 사이버침해 등 외부공격시도를 사전에 예방하고 실시간 탐지 및 대응할 수 있도록 보안관제를 적용하고 있습니다. 보안위협의 범위와 영향도를 고려하여 대응할 수 있도록 상세화된 관리체계를 운영하고 있으며 사고가 발생하더라도 피해를 최소화하고 빠른 원인파악을 통해 확산을 방지합니다. 발생한 모든 보안사고에 대한 원인과 대응부분은 관리체계에 반영하여 재발방지대책을 적용합니다.

  • 삼성에스디에스는 재해 및 재난 등의 영향으로 핵심업무가 중단되지 않고 수행될 수 있도록 서비스별 사업연속성 계획을 수립하여 운영함으로써 사업연속성을 보장합니다. 서비스별 재해/재난에 대비한 사업연속성 계획을 수립하고 재해복구센터를 운영하고 있습니다. 재해복구 계획의 효과를 보장하기 위해 정기적으로 모의훈련을 실시하고 필요 시 결과를 분석하여 재해복구계획을 개선하고 지속 관리합니다.

  • 삼성에스디에스는 정보보호 관련 법령 준수에 적합한 정보보호정책을 수립하고 운영함으로 관련 법률 위반으로 인한 손실이 발생하지 않도록 관리합니다. 정보보호부서는 사내 법무부서와 개인정보보호부서와 협력하여 관리체계 범위 내 모든 인력과 시스템이 정보보호 법령에 준수하는 수준으로 관리되도록 관련 정책을 수립하고 정기적인 점검을 포함하여 운영합니다. 또한 법 개정사항 등을 주기적으로 검토하여 정책에 동일하게 반영되도록 운영합니다.

  • 삼성에스디에스는 모든 임직원과 협력사직원들을 대상으로 회사의 정보보호 정책 및 관련 법률을 준수하도록 하는 조항이 포함된 서약서를 징구하고 정기적인 정보보호 교육을 실시하여 구성원들의 보안인식을 제고하고 관리합니다. 회사 관리체계 내의 모든 인력을 대상으로 정보보호 정책을 포함한 회사의 정책을 준수하도록 정보보호 서약서를 운영하고 징구함으로써 정보자산보호 등의 책임을 부여하고 있습니다. 또한 정기적인 정보보호교육과 상시적인 정보보호 캠페인을 통해 구성원들의 정보보호 인식을 제고하고 정보보호의 중요성을 알리고 있으며 주요 직무별, 특정 시기별, 직급별, 필요한 보안수준을 관리하고 보안사고를 예방을 돕기 위해 보안교육을 시행하고 있습니다.

  • 삼성에스디에스는 회사 내 모든 프로세스와 업무수행 과정에서 준수해야 하는 정보보호 기준을 정의하고 운영함으로 각각의 구성원에게 책임과 의무를 명확히 부여하고 있습니다. 수립/구성된 정보보호 관리체계가 적절하고 안전하게 운영될 수 있도록 임직원이 준수해야할 사항들을 각 세부항목별로 명확히 제시하고 구성원으로써의 의무와 책임을 다하도록 관리합니다. 보안 정책 및 절차를 위반 한 직원을 대상으로는 위반 정도에 따라 징계 또는 제재 정책을 수립하여 운영하고 있습니다.

  • 삼성에스디에스는 규정 위반 시 징계 기준을 정의하고 운영합니다 정보보호 정책의 중요성과 위반시의 영향도를 고려하여 상황별 징계기준을 정의하여 임직원에게 공지하고 있습니다.

보안사고 예방활동

기획/설계부터 개발, 테스트 단계까지 보안검증을 통해 개발보안을 강화하고
다년간 노하우가 축적된 점검 방식을 체계화하여 보안점검을 수행하고 있습니다.

통합지원회의 > 보안 설계 > 개발 > 테스트 > 보안검증 > 서비스운영

대상 확정

보안요구사항 정의

DevSecOps 적용을 통한 자동/상시 보안점검 수행
  • ①소스코드 보안점검
  • ②오픈소스 보안점검
  • ③Credential 보안점검
  • ④컨테이너 이미지 보안점검
  • ⑤동적 보안점검

취약점점검 (소스코드,오픈소스 서버,네트워크,클라우드 등)

모의해킹

취약점점검

모의해킹

개인정보보호 점검

중요취약점 자동점검

관리보안, 사업장 물리보안, PC/서버/네트워크/애플케이션 등의 IT보안 및 클라우드를 대상으로
정기적 보안점검을 수행하며 국내 뿐 아니라 법인, 자회사의 사업장 및 자산을 대상으로도 진행합니다.

침해/사고 대응

데이터 보호를 위해 IT시스템 보안을 위협하는 위험요소를 24x365 모니터링하고
시스템 해킹 및 침해, 정보유출 등의 보안사고에 대응하고 관리하는 전담조직을 운영하고 있습니다.

  • 취약점 관리
    1. 정기/비정기 보안점검
    2. 모의해킹
    3. 주요 취약점과 공지 및 조치
  • 위험탐지/신고접수n
    1. 보안관제시스템을 통한 보안사고 감지
    2. 보안솔루션을 통한 위험탐지
  • 중요도 판단 및 대응
    1. 영향도 기준으로 중요성 판단 후 즉시 조치/대응
  • 내부보고
    1. 조치결과 보고 및 발생원인 파악
  • 후속조치
    1. 재발방지대책 수립
    2. 이행점검 진행
  • 보안 관제센터 관제요원에 "웹해킹 관제","DDoS 관제","APT 관제","악성코드 관제" 연결되어 있음
  • 해커 > DDoS 공격 > 웹사이트 해킹, 웹해킹 관제, DDoS 관제
  • 유포자 > 악성코드 감염 > 악성코드 > 방화벽 관제 > On-Site : 고객사 임직원 PC
  • 웹해킹 관제
    • Cloud 관제 > Cloud : 웹사이트
    • 국내외 IDC/On-Site : IDC 내 웹사이트
  • DDoS 관제
  • APT 관제 > 정보 유출 > 해커
  • 관제
  • Cloud : 웹사이트
  • 국내외 IDC/On-Site : IDC 내 웹사이트
  • On-Site : 고객사 임직원 PC > APT 관제 > 정보 유출 > 해커
  • 사고조사
  • 포렌식 사고분석
  • 피해확산 방지조치
  • 사고원인분석
  • 재발방지 대책수립
  • 피해확산 예방대책
  • 사후관리
  • 이행점검
  • 관련정책보완
  • 보안교육수행
정보보호 인증/감사

국내외 공신력있는 기관들로부터 정보보호 관리체계를 매년 검증받음으로써 정보보호 신뢰성을 제고하고 있습니다.

인증
  • ISMS symbol images ISMS
  • ISMS-P symbol images ISMS-P
  • ISO27017 symbol images ISO27017
  • CSA STAR symbol images CSA STAR
  • ISO27018 symbol images ISO27018
  • CSAP symbol images CSAP
  • ISO27001 symbol images ISO27001
  • ISO27799 symbol images ISO27799
  • ISO28000 symbol images ISO28000
정보보호 인증(ISO 27001) 현황 (’23년말 기준)
정보보호 인증(ISO 27001) 현황 정보 테이블표
구분 국내사업장/자회사 해외법인 합계
ISO 27001 인증대상 5개 데이터센터
(상암, 수원, 춘천, 구미, 동탄) 		12개 데이터 센터
(뉴저지, 오스틴, 달라스, 런던, 프랑크푸르트, 북경, 상해, 싱가포르, 하노이, 델리, 뱅갈루루, 상파울루) 		17개 데이터센터
OS
스토리지		 용량
(PB)		 142.6 7.8 150.4
비중(%) 100% 64% -
인증비율(%) 94.8% 3.3% 98.1%
평가/감사

  • CSP
    안정성평가

  • 내부 회계
    운영 감사

  • 직접정보
    통신시설

  • 주요정보
    통신기반시설

정보보호 인식제고

사내 정보보호 인식 성숙도 향상을 위한 문화를 조성하고
임직원들의 보안인식 제고를 위한 다양한 정보보호 활동을 시행하고 있습니다.

  • 정보보호 교육

    전체 임직원의 보안역량 내재화를 위한 정보보호 교육을 매년 수행하고 있습니다. 신입, 경력 등 특정 시기별로 사내 정보보호 규정을 이해할 수 있도록 교육을 진행하고 개발자나 시스템 등 특정 직무별로 맞춤 교육을 제공합니다.
    시스템 해킹, 위험탐지 등의 전문 교육을 통해 보안전문가를 양성하고 있습니다.

  • 정보보호 캠페인

    보안위협이나 중요취약점, 보안준수사항 등에 대한 정보보호 레터를 주기적으로 발송하고
    사업장 내 사이니지를 활용하여 임직원과 방문객을 대상으로 주요 보안 이슈 및 보안준수사항을 전파하고 있습니다.

  • 악성메일 모의훈련

    위험도가 높은 취약점에 대한 시나리오를 구상하여 악성메일 컨텐츠 제작 및 발송하고 있으며
    감염행위가 확인된 경우 감염예방에 관한 사후 관리를 통해 감염위험률을 감소하고자 노력하고 있습니다.

  • 정보보호 포탈운영

    정보보호 전용 포탈을 운영하여 임직원과 정보보호 부서간 소통을 활성화 하고 있으며
    정보보호 관련 사고 등을 신고하고 제보할 수 있는 채널을 제공하고 있습니다.

  • 사내 해킹 대회

    사내 온라인 해킹 문제 풀이대회를 진행하여 시스템 개발 및 운영 시 고려할
    주요보안항목에 대한 이해도를 높이고 시큐어 코딩 등의 역량을 향상시킬 수 있는 기회를 제공하고 있습니다.

파트너사 보안관리

파트너사에도 본사의 정보보호 기준에 준하는 정보보호 정책을 적용하고 있습니다.
협업 시 발생할 수 있는 보안사고를 예방하기위해 보안인식제고를 돕고 정보보호 역량 향상을 지원하고 있습니다.

파트너 협업
계약 단계
  • 계약 전 파트너사 보안수준 평가
  • 협업 중 필요 보안요구사항 협의 후 계약
  • 투입입력 대상 정보보호 서약서 징구
  • 파트너사 보안준수사항 공지
파트너 협업
업무 수행 단계
  • 사업장 물리 보안 프로세스 적용
  • 업무PC 등 근무환경 보안정책 적용 및 관리
  • 담당자 계정별 접근 및 권한 관리
  • 정기/비정기 보안점검
  • 파트너사 정보보호 교육 진행
  • 파트너사 대상 악성메일 모의훈련 진행
파트너 협업
계약 종료 단계
  • 정보자산 및 단말 반납/파기
  • 계약종료 인력의 계정 및 권한 삭제
  • 보안요구사항 이행 점검
  • 계약종료 확인서 징구
공유하기