![INFORMATION SECURITY MANAGEMENT SYSTEM ISO/IEC 27001 DNV](/assets/images/esg/privacy-iso-logo_sm.png)
![INFORMATION SECURITY MANAGEMENT SYSTEM ISO/IEC 27001 DNV](/assets/images/esg/privacy-iso-logo_lg.png)
정보보호
SK스퀘어는 기업 내부 정보 및 고객 정보를 보호하기 위해 정보보호 원칙 수립 및 확산, 정보보호 조직 운영, 정보보호 교육 등을 추진하고 있습니다.
정보보호
SK스퀘어는 기업 내부 정보 및 고객 정보를 보호하기 위해 정보보호 원칙 수립 및 확산, 정보보호 조직 운영, 정보보호 교육 등을 추진하고 있습니다.
정보보호 정책
SK스퀘어는 사업 추진과정에서 수집된 비즈니스 정보 및 고객 정보를 보호하기 위해 정보보호 규정을 수립하여 공유하고 있습니다. 정보보호 규정은 전 구성원에 적용되며 내부 정보 관리 및 사이버 보안 준수 원칙 등을 포함하고 있으며, 정보 자산의 체계적인 관리를 위한 정보보호 관리체계 운영 기준을 명시하고 있습니다.
정보보호 조직
SK스퀘어는 임원급 정보보호최고책임자를 선임하여 정보보호 정책 수립, 정보보호위원회의 구성 및 운영, 위험분석 및 관리, 보안사고 대응 및 복구 등 회사의 정보보호에 관한 업무를 총괄 ∙ 관리하고 있습니다.
주요 역할
구분 | 주요 역할 |
---|---|
정보보호위원회 | 정보보호 정책 및 관련 현안 협의 |
정보보호최고책임자 | 정보보호 정책 및 세부 추진 계획 수립, 보안사고 대응 및 복구 등 정보보호 업무 총괄 |
실무 담당 (IT, 정보보호, 물리보안) |
정보보호 추진 계획의 실행 및 보안사고 대응 |
구분 | 주요 역할 |
---|---|
정보보호위원회 | 정보보호 정책 및 관련 현안 협의 |
정보보호최고책임자 | 정보보호 정책 및 세부 추진 계획 수립, 보안사고 대응 및 복구 등 정보보호 업무 총괄 |
실무 담당 (IT, 정보보호, 물리보안) |
정보보호 추진 계획의 실행 및 보안사고 대응 |
정보보호
사고대응 체계
SK스퀘어는 정보보호사고 및 고객정보사고 대응을 위해 절차와 책임을 규정하고 신속한 조치 및 회사에 발생할 수 있는 위험을 최소화하기 위해 정보보호 사고대응체계를 운영하고 있습니다.
단계별 정보보호사고 대응 체계
사고 인지 |
Action Plan |
|
사고 대응 |
Action Plan |
|
사후 관리 |
Action Plan |
|
단계 | Action Plan |
---|---|
사고 인지 |
|
사고 대응 |
|
사후 관리 |
|
정보보호 유출 피해 현황
데이터 유출 및 침해 건 수 | |
---|---|
단위 | 건 |
2022년 | 0 |
2023년 | 0 |
구분 | 단위 | 2022년 | 2023년 |
---|---|---|---|
데이터 유출 및 침해 건 수 | 건 | 0 | 0 |
정보보호사고 대응 체계 고도화 로드맵
정보보호경영시스템 구축
SK스퀘어는 사업 영역에서의 정보보호뿐만 아니라 고객정보 등 다양한 이해관계자들의 정보를 보호하여 기업의 신뢰도를 제고하고자 노력하고 있습니다. SK스퀘어는 정보보호관리체계(ISMS)에 대한 국제표준 정보보안 인증 ISO 27001을 획득하였습니다. 인증 유지를 위하여 정보보호 정책, 통신운영, 접근통제, 정보보호 사고 등 정보보호 관리 14개 영역, 144개 세부 항목을 기준으로 독립적인 외부 제3자 기관에 의한 사후심사(1년 단위)와 갱신심사(3년 단위)를 실시함으로써 당사의 보안관리 수준을 지속적으로 모니터링 및 개선하고 있습니다.
정보보호 모니터링
SK스퀘어는 정보보호 정책과 프로세스 준수 및 정보보호활동 이행 여부 점검을 위한 정보보호 모니터링 활동을 추진하고 있습니다.
정보보호 모니터링 활동
정보보호 사고 대응 훈련 및 모니터링 현황
정보보호 자체 훈련 건수 | |
---|---|
단위 | 건 |
2022년 | 1 |
2023년 | 1 |
정보보호 자체 모니터링/점검 건수 | ||
---|---|---|
탐지 이벤트* 수 | 이슈 조치 건수 | |
단위 | 건 | 건 |
2022년 | 752 | 7 |
2023년 | 585 | 9 |
구분 | 단위 | 2022년 | 2023년 | |
---|---|---|---|---|
정보보호 자체 훈련 건수 | 건 | 1 | 1 | |
정보보호 자체 모니터링/점검 건수 | 탐지 이벤트* 수 | 건 | 752 | 585 |
이슈 조치 건수 | 건 | 7 | 9 |
*대용량 파일 업로드/다운로드, 서버 통신 등
개인정보 관리체계
SK스퀘어는 개인정보 수집이 필요한 경우를 대비하여 이를 관리할 수 있는 방침 및 세부지침을 제정, 체계적으로 관리하고 있습니다. 또한, 개인정보를 수집하는 경우에는 수집 목적을 명확히 고지하여 동의를 얻으며, 수집된 개인정보는 보유기간이 경과하거나 목적 달성 즉시 안전하게 파기하여 불필요한 개인정보 보유로 인해 발생할 수 있는 리스크를 최소화하고 있습니다. 자세한 개인정보처리방침은 회사 홈페이지(www.sksquare.com) 하단에서 확인할 수 있습니다. 더불어 SK스퀘어가 투자한 투자기업에 대해서도 개인정보보호 등을 포함한 보안수준 진단을 실시하여 개인정보 리스크를 사전에 식별하고 대응할 수 있도록 관리 범위를 지속적으로 확대해 나가고 있습니다.
투자 자회사 보안 수준진단
SK스퀘어는 투자사들의 보안관리 수준 제고 및 보안 사고 리스크 관리를 위해 매년 개인정보보호 및 IT보안 영역의 보안 수준을 진단하고 있습니다. 이를 통해 정보보안 관련 취약점을 식별하고 개선 권고 및 이행 점검 활동을 수행하고 있습니다. 2023년에는 개정법을 반영하여 진단 기준을 강화하였고, 11번가, 원스토어, 드림어스컴퍼니, SK플래닛, 티맵모빌리티, 콘텐츠웨이브, 인크로스, FSK L&S 총 8개 투자사에 대해 보안 진단을 시행하였습니다. 2024년에는 그룹의 보안관리체계를 반영한 심층 진단을 시행할 계획입니다.
구성원 의식 제고
SK스퀘어는 구성원의 정보보안 의식 수준 제고를 위해 정보보호 교육 및 변화관리 수행하고 있으며, 구성원의 특성을 고려한 교육 진행을 위해 교육 피드백이 차기 교육 시 반영될 수 있도록 노력하고 있습니다.
정보보호 교육 실적
정보보호 교육 참여율 | |
---|---|
단위 | % |
2022년 | 93 |
2023년 | 92 |
1인당 정보보호 관련 교육 시간 | |
---|---|
단위 | 시간 |
2022년 | 1 |
2023년 | 1 |
구분 | 단위 | 2022년 | 2023년 |
---|---|---|---|
정보보호 교육 참여율 | % | 93 | 92 |
1인당 정보보호 관련 교육 시간 |
시간 | 1 | 1 |