Social
정보보호 및 보안
정보보호 및 보안
정보보호 체계
정보보호 정책
SK바이오사이언스는 2021년 상장에 맞춰 보안 관련 정책의 제·개정을 시작으로, 정보보호책임자를 지정하고 정보보호 전담 조직을 중심으로 정보보안 체계를 구축하였습니다. 또한, 당사의 모든 정보보호와 관련된 규정 및 절차서는 컴플라이언스 규정 및 사내 업무환경 변화에 따라 지속적으로 업데이트하고 있습니다. 2022년에는 국제 표준 정보보호 인증인 ISO 27001 인증 획득과 더불어 보안관리규정 외 6종의 절차 및 정책을 제·개정하였고, 이를 사내 공지사항 게시판/사규 게시판에 공지하여 모든 구성원이 확인할 수 있도록 공개하였습니다. 2023년에는 현업 부서별 보안 담당자를 지정하여 보안 교육 및 점검 사항을 부서로 전파하고 정보보호 이슈를 관리하고 있습니다.
정보보호 목표
SK바이오사이언스는 정보보호를 통해 정보유출 경로를 통제하고, 필요한 보안조치가 취해질 수 있도록 절차와 책임자의 역할 및 권한을 명시함으로써 효과적이고 안정적인 기업의 자산 보호를 수행합니다. 당사는 GMP 등 국제기준에서 요구하는 기준요건을 충족하는 정보보호 활동을 전개하고, 정보보호 및 개인정보보호 관리체계인 ISO 27001 기준 사항을 반영하여 IT 보안통제 시스템 및 외부자료 보안을 강화하였습니다. 2022년에는 ISO 27001 인증을 획득하고 정보보안 분야의 위험 요소를 파악하여 사이버패키지 보험/재보험 가입을 추진하였습니다. 이처럼 당사는 국제표준 인증을 획득하여 글로벌 수준의 보안 역량을 강화하고 글로벌 파트너사의 신뢰도를 높이기 위해 노력하고 있습니다.
정보보호 전담 조직
SK바이오사이언스의 정보보호 전담 조직에서는 C-레벨의 임원이 총괄 관리 및 감독 역할을 수행하고, 기술보안, 개인정보보안, 물리보안으로 세부 영역이 구분됩니다. 각 영역에 책임자가 배치되며, 물리보안의 경우 사업장에 따라 본사와 안동 L HOUSE의 책임자가 별도로 지정되었습니다. 당사는 정보보호 전문 지식을 보유한 인력을 정보보안 최고 책임자로 선임하고 국제 표준 관리 체계에 맞는 수준을 달성하기 위해 노력하고 있습니다.
정보보호 전담 조직도
보안사고 예방 및 대응
모의훈련 실시
SK바이오사이언스는 보안사고의 예방 및 대응을 위해 주요 시스템 정기점검을 시행하고 신규 솔루션 도입 시 보안 검토 프로세스를 강화하고 있습니다. 또한, 매년 상·하반기에 악성메일 모의훈련을 실시하여 취약점을 진단하고 지속적인 관리를 통해 안전한 업무 시스템을 구축하고 있습니다. 모의훈련에서는 각 훈련별로 총 2회 악성코드 감염자에게 경고 메일을 발송하고 PC 점검을 실시합니다. 또한, 매년 하반기에 DDoS 모의훈련을 실시하며 알려진 공격이나 신규 공격 유형으로 구성된 3차례의 모의공격을 진행함으로써 당사 보안시스템의 탐지, 차단, 보안장비의 가용성 등을 확인하고 있습니다.
DDoS 모의훈련 절차
정보보안 문화
정보보안 활동 및 교육
SK바이오사이언스의 전사 IT시스템은 보안 전문 업체의 원격 관제 서비스를 통해 정보 유출 등 내외부의 위협이 될만한 요소들로부터 안전하게 유지하는 노력을 기울이고 있습니다. 당사는 ‘전사 보안의 날’을 지정하여 연 1회 이상 생활보안, 문서보안 상태 및 업무용 기기에 대한 자가점검을 수행하고 있으며, 당사 공지 게시판에 매월 악성메일 동향 및 신규 보안 위협 사례 등을 공유하여 정보보호 문화 조성을 위해 노력하고 있습니다. 또한, 당사 임직원 및 신규 입사자, 협력사 직원을 대상으로 개인정보보호 및 보안 교육을 정기적으로 실시하여 보안 의식을 강화하고 정보 유출에 대한 경각심을 높이고 있습니다. 교육 프로그램은 매년 업데이트되어 맞춤형 개인정보보호 및 정보보안 교육이 이루어집니다.
정보보안 교육
-
개인정보보호 교육
개인정보보호 컴플라이언스, 최소한의 개인정보처리, 정보 주체 선택권 보장 등
-
정보보안 교육
동향 및 사례, 당사 정보보안 현황 및 프로세스 등
-
개발보안 교육
웹 시큐어 코딩, 컴포넌트 보안, 정보유출 방지 등