정보보호 원칙 및 체계
웅진코웨이는 많은 고객의 개인정보를 수집하는 렌탈 비즈니스의 특성을 고려하여 정보보호 체계를 강화하고 있습니다. 이를 위해 정보 수집에서 폐기까지 라이프 사이클 전반에서 관리 체계를 운영하며, 정보보호 대책 또한 관리영역, 기술영역, 물리영역 등으로 상세 항목을 마련하고 있습니다. 아울러 정보보호 정책을 정보보호 원칙, 방침의 내용으로 수정하여, 정책을 현실적이고 실무에 적용하기 쉽도록 개정하였습니다.
정보보호 조직
웅진코웨이는 개인정보보호 책임자(CPO) 및 ICT 전략실 중심의 정보보호 조직을 운영하고 있으며, 정보영역의 통합 관리체계를 구축하여 정보보호 및 관리의 효율성을 높이고 있습니다. 또한 조직 내 명확한 업무 분담을 통하여 전 임직원이 자율적이고 능동적으로 정보보호체계에 참여할 수 있도록 노력하고 있습니다. 특히, 정보보호 위원회를 운영하여 중요한 정보보호 관련 사항을 검토·의결하고 있습니다.
-
Business Case
정보보호 인증
웅진코웨이는 고객의 정보자산을 안전하게 보호하기 위해 국내 인증제도인 정보보호 관리체계(ISMS) 인증을 갱신하고 국제 정보보호 관리체계 인증표준인 ISO 27001 인증을 획득하였습니다.
국내 인증 ISMS
2014년 최초 획득 후 2017년 갱신 심사를 진행하였습니다. 현재 갱신 후 3년이 지나 2019년에 사후심사가 진행될 예정입니다.
ISMS
글로벌 인증
2017년 최초 취득 후 현재 3년이 지나 2019년에 사후심사가 진행될 예정입니다.
ISO27001
정보보호 주요 활동
-
고객정보 수집
-
- 계약 시 본인인증 절차 강화
- 마케팅 활용 목적의 고객정보 수집 시 동의 여부 선택
-
정보기관 및 활용
-
- DB 내 개인정보의 암호화 보관
- 임직원 PC 내 중요문서의 암호화 보관
-
고객정보 파기
-
- 외부 전문업체를 통한 문서 파기 프로세스 실행
- 협력업체에 제공 시, 목적 달성 후 파기 확인서 징구
2018 정보보호 활동 현황
| 구분 |
내용 |
2018년 주요 활동 및 성과 |
| 정보보호 관리체계 운영 |
|
- 정보보호 체계 강화
- 정부 규제에 대응하기 위한 ISMS, ISO27001 인증 유지·관리 강화
- 실무에 적용하기 쉽도록 정보보호 규정 간소화
|
| IDC¹ |
- 모의해킹(연 2회), 취약점 진단(연 1회)
- 침해사고 대응 훈련(연1회)
|
- 전체 시스템의 취약점 진단 및 보완조치 이행
- 침해사고/재해복구 대응 모의 훈련 시행
|
| 개인정보, DB |
|
- 개인정보의 이상징후 모니터링 시스템 운영
- 개인정보 가이드 제정 및 배포
- 개인정보 수집 및 동의 프로세스 개선
|
| PC, 문서보안 |
|
- Advanced Persistent Threat(APT) 공격차단 시스템 운영
- PC중앙관리체계 기반 구축
|
| 임직원 |
|
- 임직원 대상 온라인 교육 이행
- 임원 및 신규 입사자, 생산직 오프라인 교육 이행
|
- IDC(Internet Data Center, 인터넷 데이터 센터): 전체 시스템의 로그를 집산하여 관리하는 통합보안관제 체계를 구축해 분산된 고객 개인정보를 더욱 안전하게 처리하고, 효율적으로 모니터링하고 있습니다.
재해 복구 대응 훈련
발생할 수 있는 외부의 공격을 가정하고 재해복구 시스템 및 절차의 정확성을 검증하기 위하여 재해복구 대응 훈련을 진행하고 있습니다. 훈련을 통해 훼손된 서버의 기동 체크, 서버의 파일 시스템 및 무결성 체크 등 재해복구 절차에 따라 판단에서 복구 완료까지 검증을 필수적으로 진행합니다.
침해사고 대응 훈련
운영 중인 웹서버에 침해사고를 가정하여 대응 절차 및 대응 능력을 검증하는 침해사고 대응 훈련을 진행하고 있습니다. 침해사고 인지부터 대응, 복구까지 절차대로 훈련을 진행하며 시스템의 취약점을 점검하고 방지 대책을 수립합니다.
