ENG 메뉴 열기
닫기
Company
Investor Relations
Sustainability
News & Media
News & Media

Sustainability

구성원 인권
구성원 가치
안전보건경영
상생경영
사회공헌
정보보호

정보보호

SK스퀘어는 기업 내부 정보 및 고객 정보를 보호하기 위해 정보보호 원칙 수립 및 확산, 정보보호 조직 운영, 정보보호 교육 등을 추진하고 있습니다.

정보보호 정책

SK스퀘어는 사업 추진과정에서 수집된 비즈니스 정보 및 고객 정보를 보호하기 위해 정보보호 규정을 수립하여 공유하고 있습니다. 정보보호 규정은 전 구성원에 적용되며 내부 정보 관리 및 사이버 보안 준수 원칙 등을 포함하고 있으며, 정보 자산의 체계적인 관리를 위한 정보보호 관리체계 운영 기준을 명시하고 있습니다.

정보보호 규정

  • 정보자산 정보보호 관리체계 운영 기준 등
정보보호 규정
정보보호 규정
  • 정보자산 정보보호 관리체계 운영 기준 등
정보보호 규정

정보보호 조직

SK스퀘어는 임원급 정보보호최고책임자를 선임하여 정보보호 정책 수립, 정보보호위원회의 구성 및 운영, 위험분석 및 관리, 보안사고 대응 및 복구 등 회사의 정보보호에 관한 업무를 총괄 ∙ 관리하고 있습니다.

정보보호
사고대응 체계

SK스퀘어는 정보보호사고 및 고객정보사고 대응을 위해 절차와 책임을 규정하고 신속한 조치 및 회사에 발생할 수 있는 위험을 최소화하기 위해 정보보호 사고대응체계를 운영하고 있습니다.

단계별 정보보호사고 대응 체계

사고 인지
Action Plan
  1. 사고 발생 인지 즉시 소속 부서장 및 정보보호 담당부서에 사고 사실 신고
  2. 정보보호 담당 부서는 사고 인지 즉시 CISO, 담당 부서장에게 통보하며 CISO는 대표이사, 지주사 담당임원 등 유관부서/회사 담당자에게 즉시 통보
사고 대응
Action Plan
  1. 기밀/개인정보 노출 시 즉시 해당 서비스 및 노출 경로를 제한하고, 서비스 재기 및 원인 제거
  2. 정보보호 담당부서는 사고 영향도 및 심각도 수준을 1차 판단하고, 심각도 수준에 따라 대상자에게 상황 전파 후 정보보호 종합상황실(이하 '상황실') 구성
  3. 정보보호 담당부서는 심각도 1, 2의 사고의 경우 영향도 및 대응 현황을 CISO에 보고
  4. 상황관리자는 사고 피해 상황과 영향 범위 파악 후 복구 방안을 수립하여 신속히 조치하고 사고 경과 및 조치 결과를 CISO에 보고
  5. 정보보호 담당부서는 사고 원인 분석 및 기술적, 관리적 조치 이행
  6. CISO는 피해 상황과 영향에 따라 필요 시 전사 RM 조직의 장과 사전 협의하여 전사위기대응기구를 가동하고 진행 경과 및 결과를 CEO에 보고
  7. 정부, 수사기관 등 대외 협조 필요 시, CISO는 Communication 전담 부서를 지정하고, Communication 전담 부서는 진행 경과 및 결과를 CISO에 보고
사후 관리
Action Plan
  1. 정보보호 담당부서는 관련 조직 및 임직원에게 결과보고서를 공유하고 유사사고 재발 방지 계획을 CISO에게 보고
  2. 필요 시 재발 방지 Guideline을 마련하여 계열회사 및 투자사에 배포, 공유
단계 Action Plan
사고 인지
  1. 사고 발생 인지 즉시 소속 부서장 및 정보보호 담당부서에 사고 사실 신고
  2. 정보보호 담당 부서는 사고 인지 즉시 CISO, 담당 부서장에게 통보하며 CISO는 대표이사, 지주사 담당임원 등 유관부서/회사 담당자에게 즉시 통보
사고 대응
  1. 기밀/개인정보 노출 시 즉시 해당 서비스 및 노출 경로를 제한하고, 서비스 재기 및 원인 제거
  2. 정보보호 담당부서는 사고 영향도 및 심각도 수준을 1차 판단하고, 심각도 수준에 따라 대상자에게 상황 전파 후 정보보호 종합상황실(이하 '상황실') 구성
  3. 정보보호 담당부서는 심각도 1, 2의 사고의 경우 영향도 및 대응 현황을 CISO에 보고
  4. 상황관리자는 사고 피해 상황과 영향 범위 파악 후 복구 방안을 수립하여 신속히 조치하고 사고 경과 및 조치 결과를 CISO에 보고
  5. 정보보호 담당부서는 사고 원인 분석 및 기술적, 관리적 조치 이행
  6. CISO는 피해 상황과 영향에 따라 필요 시 전사 RM 조직의 장과 사전 협의하여 전사위기대응기구를 가동하고 진행 경과 및 결과를 CEO에 보고
  7. 정부, 수사기관 등 대외 협조 필요 시, CISO는 Communication 전담 부서를 지정하고, Communication 전담 부서는 진행 경과 및 결과를 CISO에 보고
사후 관리
  1. 정보보호 담당부서는 관련 조직 및 임직원에게 결과보고서를 공유하고 유사사고 재발 방지 계획을 CISO에게 보고
  2. 필요 시 재발 방지 Guideline을 마련하여 계열회사 및 투자사에 배포, 공유

정보보호 유출 피해 현황

데이터 유출 및 침해 건 수
단위
2021년 0
2022년 0
2023년 목표 0
구분 단위 2021년 2022년 2023년 목표
데이터 유출 및 침해 건 수 0 0 0

정보보호사고 대응 체계 고도화 로드맵

2023~2024 정보보호 체계 정착 정보보호 체계 구축 정보보안 인증 획득 2025~2026 정보보호 체계 강화 구성원 정보보안 인식 개선 정보 유출 사고 제로화 지속 달성 2027~ Global 수준의 보안관리 체계 확보

정보보호 모니터링

SK스퀘어는 정보보호 정책과 프로세스 준수 및 정보보호활동 이행 여부 점검을 위한 정보보호 모니터링 활동을 추진하고 있습니다.

정보보호 모니터링 활동

[진단・감사]
보안 정책 및 프로세스 이행 진단
정보시스템 보안 진단
그룹 내 감사 조직(SUPEX추구협의회) 주관의 정보보호 정책/시스템 대상 감사 활동 시행 (연 1회)
[훈련.점검]
DDOS 모의 훈련 등 사고 대응 훈련
악성 메일, 악성 코드 유입 등 이벤트 탐지
메일 보안, 파일 반입/반출, 출력물 보안 점검
PC 보안 점검

정보보호 사고 대응 훈련 및 모니터링 현황

정보보호 자체 훈련 건수
단위
2021년 -
2022년 1
정보보호 자체 모니터링/점검 건수
탐지 이벤트* 수 이슈 조치 건수
단위
2021년 - -
2022년 752 7
구분 단위 2021년 2022년
정보보호 자체 훈련 건수 - 1
정보보호 자체 모니터링/점검 건수 탐지 이벤트* 수 - 752
이슈 조치 건수 - 7

*대용량 파일 업로드/다운로드, 서버 통신 등

구성원 의식 제고

SK스퀘어는 구성원의 정보보안 의식 수준 제고를 위해 정보보호 교육 및 변화관리 수행하고 있으며, 구성원의 특성을 고려한 교육 진행을 위해 교육 피드백이 차기 교육 시 반영될 수 있도록 노력하고 있습니다.

정보보호 교육 실적

정보보호 교육 참여율
단위 %
2021년 -
2022년 93
2023년 목표 100
1인당 정보보호 관련 교육 시간
단위 시간
2021년 -
2022년 1
2023년 목표 1
구분 단위 2021년 2022년 2023년 목표
정보보호 교육 참여율 % - 93 100
1인당 정보보호 관련
교육 시간		 시간 - 1 1