2030 부산세계박람회 유치 SK도 함께 노력하겠습니다 2030 부산세계박람회 유치 SK도 함께 노력하겠습니다
  1. Company
  2. Portfolio
  3. Investor Relations
  4. Sustainability
  5. News

Sustainability

ESG 경영 기반의 지속가능한 투자 전문 기업을 지향합니다.

정보보호

SK스퀘어는 기업 내부 정보 및 고객 정보를 보호하기 위해 정보보호 원칙 수립 및 확산, 정보보호 조직 운영, 정보보호 교육 등을 추진하고 있습니다.

정보보호 정책

SK스퀘어는 사업 추진과정에서 수집된 비즈니스 정보 및 고객 정보를 보호하기 위해 정보보호 규정을 수립하여 공유하고 있습니다. 정보보호 규정은 전 구성원에 적용되며 내부 정보 관리 및 사이버 보안 준수 원칙 등을 포함하고 있으며, 정보 자산의 체계적인 관리를 위한 정보보호 관리체계 운영 기준을 명시하고 있습니다.

정보보호 규정

  • 정보자산 정보보호 관리체계 운영 기준 등
정보보호 규정
  • 정보자산 정보보호 관리체계 운영 기준 등

정보보호 조직

SK스퀘어는 임원급 정보보호최고책임자를 선임하여 정보보호 정책 수립, 정보보호위원회의 구성 및 운영, 위험분석 및 관리, 보안사고 대응 및 복구 등 회사의 정보보호에 관한 업무를 총괄 ∙ 관리하고 있습니다.

정보보호
사고대응 체계

SK스퀘어는 정보보호사고 및 고객정보사고 대응을 위해 절차와 책임을 규정하고 신속한 조치 및 회사에 발생할 수 있는 위험을 최소화하기 위해 정보보호 사고대응체계를 운영하고 있습니다.

단계별 정보보호사고 대응 체계

사고 인지
Action Plan
  1. 사고 발생 인지 즉시 소속 부서장 및 정보보호 담당부서에 사고 사실 신고
  2. 정보보호 담당 부서는 사고 인지 즉시 CISO, 담당 부서장에게 통보하며 CISO는 대표이사, 지주사 담당임원 등 유관부서/회사 담당자에게 즉시 통보
사고 대응
Action Plan
  1. 기밀/개인정보 노출 시 즉시 해당 서비스 및 노출 경로를 제한하고, 서비스 재기 및 원인 제거
  2. 정보보호 담당부서는 사고 영향도 및 심각도 수준을 1차 판단하고, 심각도 수준에 따라 대상자에게 상황 전파 후 정보보호 종합상황실(이하 '상황실') 구성
  3. 정보보호 담당부서는 심각도 1, 2의 사고의 경우 영향도 및 대응 현황을 CISO에 보고
  4. 상황관리자는 사고 피해 상황과 영향 범위 파악 후 복구 방안을 수립하여 신속히 조치하고 사고 경과 및 조치 결과를 CISO에 보고
  5. 정보보호 담당부서는 사고 원인 분석 및 기술적, 관리적 조치 이행
  6. CISO는 피해 상황과 영향에 따라 필요 시 전사 RM 조직의 장과 사전 협의하여 전사위기대응기구를 가동하고 진행 경과 및 결과를 CEO에 보고
  7. 정부, 수사기관 등 대외 협조 필요 시, CISO는 Communication 전담 부서를 지정하고, Communication 전담 부서는 진행 경과 및 결과를 CISO에 보고
사후 관리
Action Plan
  1. 정보보호 담당부서는 관련 조직 및 임직원에게 결과보고서를 공유하고 유사사고 재발 방지 계획을 CISO에게 보고
  2. 필요 시 재발 방지 Guideline을 마련하여 계열회사 및 투자사에 배포, 공유
단계 Action Plan
사고 인지
  1. 사고 발생 인지 즉시 소속 부서장 및 정보보호 담당부서에 사고 사실 신고
  2. 정보보호 담당 부서는 사고 인지 즉시 CISO, 담당 부서장에게 통보하며 CISO는 대표이사, 지주사 담당임원 등 유관부서/회사 담당자에게 즉시 통보
사고 대응
  1. 기밀/개인정보 노출 시 즉시 해당 서비스 및 노출 경로를 제한하고, 서비스 재기 및 원인 제거
  2. 정보보호 담당부서는 사고 영향도 및 심각도 수준을 1차 판단하고, 심각도 수준에 따라 대상자에게 상황 전파 후 정보보호 종합상황실(이하 '상황실') 구성
  3. 정보보호 담당부서는 심각도 1, 2의 사고의 경우 영향도 및 대응 현황을 CISO에 보고
  4. 상황관리자는 사고 피해 상황과 영향 범위 파악 후 복구 방안을 수립하여 신속히 조치하고 사고 경과 및 조치 결과를 CISO에 보고
  5. 정보보호 담당부서는 사고 원인 분석 및 기술적, 관리적 조치 이행
  6. CISO는 피해 상황과 영향에 따라 필요 시 전사 RM 조직의 장과 사전 협의하여 전사위기대응기구를 가동하고 진행 경과 및 결과를 CEO에 보고
  7. 정부, 수사기관 등 대외 협조 필요 시, CISO는 Communication 전담 부서를 지정하고, Communication 전담 부서는 진행 경과 및 결과를 CISO에 보고
사후 관리
  1. 정보보호 담당부서는 관련 조직 및 임직원에게 결과보고서를 공유하고 유사사고 재발 방지 계획을 CISO에게 보고
  2. 필요 시 재발 방지 Guideline을 마련하여 계열회사 및 투자사에 배포, 공유

정보보호 유출 피해 현황

데이터 유출 및 침해 건 수
단위
2021년 0
2022년 0
2023년 목표 0
구분 단위 2021년 2022년 2023년 목표
데이터 유출 및 침해 건 수 0 0 0

정보보호 모니터링

SK스퀘어는 정보보호 정책과 프로세스 준수 및 정보보호활동 이행 여부 점검을 위한 정보보호 모니터링 활동을 추진하고 있습니다.

정보보호 모니터링 활동

[진단・감사]
보안 정책 및 프로세스 이행 진단
정보시스템 보안 진단
그룹 내 감사 조직(SUPEX추구협의회) 주관의 정보보호 정책/시스템 대상 감사 활동 시행 (연 1회)
[훈련.점검]
DDOS 모의 훈련 등 사고 대응 훈련
악성 메일, 악성 코드 유입 등 이벤트 탐지
메일 보안, 파일 반입/반출, 출력물 보안 점검
PC 보안 점검

정보보호 사고 대응 훈련 및 모니터링 현황

정보보호 자체 훈련 건수
단위
2021년 -
2022년 (2Q) 1
정보보호 자체 모니터링/점검 건수
탐지 이벤트* 수 이슈 조치 건수
단위
2021년 - -
2022년 (2Q) 752 7
구분 단위 2021년 2022년 (2Q)
정보보호 자체 훈련 건수 - 1
정보보호 자체 모니터링/점검 건수 탐지 이벤트* 수 - 752
이슈 조치 건수 - 7

*대용량 파일 업로드/다운로드, 서버 통신 등

구성원 의식 제고

SK스퀘어는 구성원의 정보보안 의식 수준 제고를 위해 정보보호 교육 및 변화관리 수행하고 있으며, 구성원의 특성을 고려한 교육 진행을 위해 교육 피드백이 차기 교육 시 반영될 수 있도록 노력하고 있습니다.

정보보호 교육 실적

정보보호 교육 참여율
단위 %
2021년 -
2022년 (2Q) 100
2023년 목표 100
1인당 정보보호 관련 교육 시간
단위 시간
2021년 -
2022년 (2Q) 0.95
2023년 목표 1
구분 단위 2021년 2022년 (2Q) 2023년 목표
정보보호 교육 참여율 % - 100 100
1인당 정보보호 관련
교육 시간
시간 - 0.95 1