정보 보안 정책

소개

• 목적. NMSDC의 정보 보안 정책의 목적은 정보 및 정보 시스템의 기밀성, 무결성, 가용성을 보장하기 위한 지침, 절차 및 책임을 수립하는 것입니다.
• 범위 및 책임. 이 정책은 위치에 관계없이 NMSDC가 소유하거나 운영하는 모든 정보 및 시스템에 적용됩니다. 여기에는 다음이 포함되지만 이에 국한되지 않습니다:
  • 전자 데이터 및 시스템
  • 하드 카피 기록
  • 물리적 시설
  • 인사
• 모든 NMSDC 직원, 계열사 직원, 계약자 및 비즈니스 파트너는 이 정책을 준수할 책임이 있습니다. NMSDC 경영진은 이 정책에 설명된 보안 제어를 구현하고 유지할 책임이 있습니다.

보안 제어

• NMSDC는 정보 및 시스템을 보호하기 위해 다양한 보안 제어 기능을 구현했습니다. 이러한 제어에는 다음이 포함됩니다:
  • 액세스 제어. 정보 및 시스템에 대한 액세스는 승인된 사용자로만 제한됩니다.
  • 데이터 암호화. 민감한 데이터는 저장 중이거나 전송 중일 때 암호화됩니다.
  • 네트워크 보안. NMSDC는 방화벽 및 기타 네트워크 보안 장치를 사용하여 무단 액세스로부터 시스템을 보호합니다.
  • 물리적 보안. NMSDC의 물리적 시설은 보안 카메라, 출입 통제 시스템 및 기타 물리적 보안 조치로 보호됩니다.
  • 정보 보안 인식. NMSDC 직원 및 계열사 직원은 정보 보안 인식 교육이 제공되는 경우 정기적으로 교육을 이수해야 합니다.

액세스 제어

• 액세스 제어 원칙. NMSDC 액세스 제어 정책은 다음 원칙을 기반으로 합니다:
  • 최소 권한. 사용자에게는 업무 수행에 필요한 최소한의 액세스 권한만 부여됩니다.
  • 알아야 할 사항. 사용자는 꼭 알아야 할 경우에만 정보 및 시스템에 액세스할 수 있습니다.
  • 업무 분리. 중요한 정보 및 시스템에 대한 액세스는 여러 사용자 간에 분리되어 있습니다.
  • 사용자는 NMSDC 정보 및 시스템 사용에 대한 책임이 있습니다.
• 액세스 제어 절차. NMSDC는 위에서 설명한 원칙을 구현하기 위해 다양한 액세스 제어 절차를 사용합니다. 이러한 절차에는 다음이 포함됩니다:
  • 사용자 계정. 모든 사용자에게는 고유한 사용자 계정과 비밀번호가 할당됩니다.
  • 액세스 역할. 사용자에게는 액세스 권한이 있는 정보 및 시스템을 정의하는 액세스 역할이 할당됩니다.
  • 리뷰에 액세스합니다. 정보 및 시스템에 대한 액세스 권한은 정기적으로 검토하여 사용자가 필요한 정보 및 시스템에 액세스할 수 있는 권한이 여전히 있는지 확인합니다.
• 사용자 인증. NMSDC 시스템 및 데이터에 대한 액세스는 다음과 같은 강력한 인증 방법을 통해 통제되어야 합니다(이에 국한되지 않음):
  • 사용자 이름 및 비밀번호
  • 2단계 인증(2FA)
• 권한 부여. 정보 및 시스템에 대한 접근은 최소 권한의 원칙에 따라 이루어져야 합니다. 사용자와 시스템은 업무 수행에 필요한 권한만 부여받아야 합니다.
• 사용자 계정 관리. 사용자 계정은 NMSDC의 사용자 계정 관리 절차에 따라 생성, 수정 및 해지되어야 합니다. 비활성 계정은 정기적으로 검토하여 적절하게 비활성화하거나 삭제해야 합니다.
• 비밀번호 정책.
  • 비밀번호 요구 사항.
    • 사용자는 다음 기준을 충족하는 강력한 비밀번호를 선택해야 합니다:
    • 최소 길이가 8자 이상이어야 합니다.
    • 대문자 및 소문자, 숫자, 특수 문자의 조합입니다.
    • 비밀번호는 이름이나 생일 등 쉽게 추측할 수 있는 정보를 기반으로 만들어서는 안 됩니다.
    • 비밀번호는 지정된 세대 내에서 재사용해서는 안 됩니다.
  • 비밀번호 변경. 사용자는 정기적으로 비밀번호를 변경해야 합니다. 비밀번호 변경 주기는 조직의 위험 평가 및 규정 요건에 따라 정의해야 합니다.
  • 비밀번호 공유. 사용자는 IT 담당자나 상사를 포함한 그 누구와도 비밀번호를 공유해서는 안 됩니다. 비밀번호는 개인 전용입니다.
  • 비밀번호 복구. 비밀번호 복구를 위한 안전하고 승인된 프로세스를 구현해야 합니다. 이 프로세스는 비밀번호를 재설정하거나 복구하기 전에 사용자의 신원을 확인합니다.

정보 분류 및 처리 

• 목적. NMSDC는 조직 내에서 보유한 정보와 데이터의 기밀을 보호하는 것이 가장 중요하다는 것을 인식하고 있습니다. NMSDC는 분류에 따라 데이터를 보호하기 위해 적절한 보안 통제를 구현해야 합니다. 여기에는 암호화, 액세스 제어 및 정기적인 평가가 포함됩니다.
• 정보 분류. 모든 정보 자산은 민감도와 중요도에 따라 다음 범주로 분류해야 합니다:
  • 공개 정보. 제한 없는 공개를 목적으로 하는 정보입니다.
    예시: 예: 마케팅 자료, 공개 웹사이트, 민감하지 않은 데이터.
  • 내부 정보. 조직 내부에서 사용하기 위한 것입니다.
    예시: 회사 정책, 내부 보고서, 직원용 데이터.
  • 기밀 정보. 잘못 취급할 경우 조직이나 개인에게 해를 끼칠 수 있는 민감한 데이터입니다.
    예시: 직원 및 고객 개인 정보, 재무 기록, 지적 재산.
• 기밀 정보 보호 의무. 모든 NMSDC 및 계열사 직원, 계약자, 타사 서비스 제공업체, NMSDC 정보 시스템에 액세스하는 모든 단체는 기밀로 분류된 정보의 기밀을 보호하고 유지해야 합니다.
• 액세스 제어 및 최소 권한. 기밀 정보에 대한 접근은 정당한 업무 목적으로 접근이 필요한 직원으로만 제한되어야 합니다. 액세스 권한은 최소 권한 원칙에 따라 관리되어야 합니다.
• 기밀 유지 계약. NMSDC의 기밀 정보에 액세스할 수 있는 타사 계약자, 공급업체 또는 서비스 제공업체는 기밀유지계약(NDA)을 체결해야 합니다.
• 교육 및 인식 제고. NMSDC는 기밀 정보 보호의 중요성과 이를 보호하기 위한 보안 조치에 대해 제휴사 직원 및 담당자에게 교육 및 인식 제고 프로그램을 제공합니다.
  
  본 기밀 유지 정책 및 NMSDC의 정보 보안 정책을 준수하지 않을 경우 최대 계약 해지를 포함한 징계 조치를 받을 수 있으며, 법적 처벌을 받을 수 있습니다.
  
  이러한 기밀 유지 원칙을 준수함으로써 NMSDC는 이해관계자, 파트너 및 정보를 취급하는 개인들의 신뢰와 믿음을 유지하기 위한 노력을 보여줍니다.

데이터베이스 사용 약관

• 목적. 다음 이용약관("약관")은 제휴사의 NMSDC 허브("데이터베이스") 액세스 및 사용에 적용되며, NMSDC가 제공하는 데이터베이스에 대한 액세스 및 사용에는 본 약관이 적용됩니다. 제휴사의 데이터베이스 사용은 본 약관에 동의하는 것으로 간주됩니다. 제휴사가 규정된 약관에 동의하지 않는 경우 데이터베이스 사용을 자제해야 합니다.

라이선스 및 사용

• 라이선스 부여. 본 약관을 준수하는 조건으로, NMSDC는 제휴사에게 다음 목적을 위해 데이터베이스에 액세스하고 이를 활용할 수 있는 제한적이고 비독점적이며 양도 및 취소가 불가능한 라이선스를 부여합니다:
  • MBE 검색 및 리드 관리.
  • 지역 회원 등록.
  • 지역 및 국가별 회원 커뮤니케이션.
  • 계약 기회 리드.
  • MBE 사전 자격 및 인증 추천.
  • 작업지시서(SOW)에 명시된 대로 KPI 및 기타 보고에 대한 보고를 수행합니다.

제한 사항

데이터베이스에 대한 액세스 및 활용은 섹션 1에 설명된 활동으로 제한됩니다. 다음 행위는 엄격히 금지됩니다:

• 데이터베이스 또는 그 콘텐츠의 무단 복사, 복제 또는 배포
• 데이터베이스의 소스 코드를 식별하기 위해 리버스 엔지니어링, 디컴파일 또는 이와 유사한 시도를 하는 행위.
• 불법, 비윤리적 또는 악의적인 목적으로 데이터베이스를 사용하는 행위.

데이터베이스 자격 증명

• 개별 사용자 자격 증명. 사용자 자격 증명은 개별 사용자에게 할당되며 공유해서는 안 됩니다. 사용자 자격 증명을 공유하는 것은 엄격히 금지되어 있습니다.
  
  사용자는 다른 사람이나 단체를 사칭하거나, 다른 사람이나 단체와의 관계를 허위로 진술하거나, 허위, 오도 또는 부정확한 이메일 주소 또는 기타 연락처 정보를 사용해서는 안 됩니다.
• 책임감. 사용자 자격 증명 소유자는 자신에게 할당된 사용자 자격 증명으로 수행되는 모든 활동에 대한 책임이 있습니다.
• 사용자 자격 증명 할당. 사용자 자격증명 관리자는 NMSDC와의 관계 또는 회사와 NMSDC의 관계에 따라 액세스 권한이 부여된 개인에게만 사용자 자격 증명을 할당할 수 있습니다.
• 사용자 자격 증명 보호. 사용자 자격 증명은 시스템에 대한 무단 액세스를 방지하기 위해 기밀로 유지해야 합니다.

데이터 관리 및 개인정보 보호

• 데이터 복사/다운로드. 사용자는 MBE 세부 정보 및 인증 데이터를 복사하거나 다운로드하여 소속 조직 외부의 사용자에게 제공하는 행위가 엄격히 금지됩니다. 여기에는 기업 또는 기타 타사 플랫폼에서 공유되는 공급업체 프로필 데이터에 인증 세부 정보를 추가하는 행위가 금지됩니다.
• 마케팅. 사용자는 제품 또는 서비스 마케팅에 정보를 사용해서는 안 됩니다.
• 데이터 처리. 사용자는 기밀 정보가 부적절하게 공개, 분실 또는 손상되지 않도록 주의를 기울여 데이터를 취급해야 합니다.
• 데이터 기밀성. 사용자는 데이터베이스 내에서 액세스하는 모든 정보를 기밀로 취급해야 하며, NMSDC가 수신하도록 승인하지 않은 사람에게 정보를 공개해서는 안 됩니다.

데이터베이스 모니터링

제휴사는 NMSDC가 수시로 데이터베이스 사용을 전자적으로 모니터링하고 법률을 준수하거나, 데이터베이스를 운영하거나, 자체 또는 고객을 보호하기 위해 필요하거나 적절한 경우 정보를 공개할 권리가 있음을 인정하고 이에 동의합니다.

MBE 세부 정보 및 인증 데이터 오용에 대한 처벌 규정

• 액세스 제한/취소. 오용이 발생하는 경우, NMSDC는 데이터베이스에 대한 사용자의 액세스를 제한하거나 취소할 수 있는 권한을 보유합니다.
• 관계 종료. 데이터베이스를 오용하면 계약이 해지될 수 있는 위약금이 부과될 수 있습니다.

데이터 정확성 면책 조항

NMSDC는 데이터베이스 내에서 정확한 최신 데이터를 제공하기 위해 최선을 다합니다. 그러나 NMSDC는 시스템에서 제공되는 정보의 정확성, 완전성 또는 신뢰성을 보증하거나 보장하지 않습니다.

책임의 제한

NMSDC는 제휴사의 데이터베이스 사용으로 인해 발생하는 직접적, 간접적, 부수적, 특별 또는 결과적 손해에 대해 책임을 지지 않습니다.

• 타사 링크. 데이터베이스에는 제3자 웹사이트 또는 리소스에 대한 링크가 포함될 수 있습니다. NMSDC는 이러한 외부 사이트의 가용성 또는 콘텐츠에 대해 책임을 지지 않으며, 이러한 외부 리소스 사용으로 인해 발생하는 손실이나 손해에 대해 책임을 지지 않습니다.

원격 액세스 정책

• 목적. 원격 액세스 정책은 NMSDC의 정보 시스템 및 데이터에 대한 원격 액세스의 사용에 적용됩니다. 안전하고 암호화된 연결을 통해 강력한 인증 방법을 사용하여 권한이 부여된 직원에게만 NMSDC 시스템 및 데이터에 대한 원격 액세스를 허용해야 합니다.
• 원격 액세스 요구 사항. 모든 정보 자산은 민감도와 중요도에 따라 다음 범주로 분류해야 합니다:
  • 직무 역할과 책임에 따라 NMSDC 시스템 및 데이터에 대한 원격 액세스 권한이 부여되고 승인됩니다.
  • 원격 사용자는 VPN(가상 사설망) 또는 기타 승인된 방법과 같은 안전한 암호화된 연결을 사용해야 합니다.
  • 원격 액세스에는 2단계 인증(2FA)과 같은 강력한 인증 방법을 사용해야 합니다.
• 모니터링. 원격 액세스 세션은 보안 및 규정 준수를 위해 모니터링되어야 합니다. 무단 액세스 시도는 보고 및 조사되어야 합니다.
• 해지. 원격 액세스 권한은 직원의 계약이 종료되거나 해당 직무에 더 이상 액세스가 필요하지 않은 경우 해지됩니다.

클라우드 호스팅 애플리케이션

• 모든 클라우드 호스팅 애플리케이션은 사용하기 전에 NMSDC IT 부서의 승인을 받아야 합니다.
• 클라우드 호스팅 애플리케이션에 대한 액세스는 NMSDC의 ID 및 액세스 관리(IAM) 시스템을 통해 관리해야 합니다.
• 클라우드 호스팅 애플리케이션은 저장 및 전송 중인 모든 데이터에 강력한 암호화를 사용하도록 구성해야 합니다.
• 클라우드 호스팅 애플리케이션의 보안 취약점을 정기적으로 모니터링해야 합니다.

예외 요청 정책

• 목적. 예외 요청 정책은 기존 정보 보안 정책에 대한 예외를 요청하는 절차를 정의합니다.
• 예외 요청 절차. 직원 또는 권한이 있는 담당자는 공식 예외 요청서를 제출하여 보안 정책에 대한 예외를 요청할 수 있습니다. 예외 요청에는 면제하려는 정책의 세부 사항, 정당성, 제안된 대체 보안 조치 등이 포함되어야 합니다.
• 검토 및 승인. 예외 요청은 정보 보안 책임자(ISO) 및 관련 이해관계자가 검토합니다. 예외는 ISO 및 고위 경영진의 결정에 따라 승인되거나 거부되거나 조건이 부과될 수 있습니다.
• 모든 예외 요청, 결정 및 관련 문서는 감사 및 규정 준수 목적으로 유지됩니다.

비활성 시간 초과 정책

• 목적. 비활성 시간 제한 정책은 일정 시간 동안 활동이 없으면 세션에서 사용자를 자동으로 로그아웃시키는 요건을 설명합니다.
• 시간 초과 설정. NMSDC 시스템의 사용자 세션은 일정 시간 동안 사용하지 않으면 자동으로 로그아웃되도록 설정해야 합니다. 타임아웃 기간은 액세스하는 데이터 및 시스템의 민감도에 따라 적절하게 설정합니다.

이메일 보안 정책

• 목적. 이메일 보안 정책은 NMSDC 내에서 이메일을 안전하게 사용하기 위한 지침과 모범 사례를 설명합니다.
• 이메일 암호화. 민감한 정보나 기밀 정보가 포함된 이메일은 전송 시 반드시 암호화해야 합니다. 사용자는 필요한 경우 NMSDC에서 제공하는 이메일 암호화 도구를 사용할 책임이 있습니다.
• 피싱 인식. 직원들은 피싱 시도를 인지하고 신고할 수 있는 교육 및 인식 프로그램을 받아야 합니다. 의심스러운 이메일은 조사를 위해 IT 부서에 보고해야 합니다.
• 첨부 파일. 이메일 첨부파일을 열 때는 주의를 기울여야 합니다. 신뢰할 수 없는 첨부파일은 열어서는 안 되며, 출처를 알 수 없는 첨부파일은 신중하게 처리해야 합니다.
• 이메일 보존. NMSDC는 법률 및 규제 요건을 준수하기 위해 이메일 보존 정책을 수립해야 합니다. 이메일은 지정된 기간 동안 보관 및 보존되어야 합니다.

규정 준수

• NMSDC는 이러한 정책을 정기적으로 검토하고 업데이트하여 관련 법률, 규정 및 업계 표준에 부합하는지 확인합니다.

시행

• 본 정보 보안 정책을 준수하지 않을 경우 최대 해고 또는 계약 해지를 포함한 징계 조치를 받을 수 있습니다.

정책 변경 사항

NMSDC는 언제 어떤 이유로든 본 정책을 업데이트하거나 수정할 수 있는 권리를 보유합니다. 모든 변경 사항은 즉시 효력이 발생하며, NMSDC는 제휴사에게 통지하고 제휴사는 정책 변경 사항을 검토하고 준수할 책임이 있습니다.

연락처 정보

본 약관과 관련된 질문이나 우려 사항이 있는 경우 다음 주소로 NMSDC에 문의하시기 바랍니다. itsupport@nmsdc.org.