[보안맨] 소규모 기업의 보안 서약서 운영 관리

안녕하세요,

본 기고글에서는 보안 서약' 업무 활동에 대해 다룹니다.

 

관리 보안 업무의 일환으로신규 입사자 보안 서약서 징구는 필요 합니다비교적 적은 예산으로직원의 정보보호 인식/경각심을 고취시키고, (있어서는 안되겠지만추후 직원 내부 정보 유출 등 첨예한 문제 발생시 법적 효력으로서 입증될 수도 있기 때문입니다.

 

여담으로작년 A조선사 보안 서약서  일부 내용에 대해 공론화된 적이 있었습니다. “퇴사 후 1년간은 경쟁업체 취직이 제한된다는 내용에 대해 노조 측과 사측간 입장 차이가 존재 했었습니다직원(개인)의 자기결정권으로서 인권 침해인지 vs 회사의 보안활동의 일환인지에 대해 갑론을박이 있었습니다그만큼보안 서약서 임직원(또는 외부 협력업체징구는 파급력 있는 중요한 업무임이 틀림 없습니다.

 


 


Figure 1. A 조선사  사무직 직원에게 서명하도록  정보보호 서약서 내용 (9번에 경쟁업체 취업금지 조항)

(출처: https://www.hani.co.kr/arti/economy/marketing/1041561.html)

 

국내 정보보호 및 개인정보보호 관리체계 인증 기준에는 다음과 같이 명시되어 있습니다. “정보자산을 취급하거나 접근권한이 부여된 임직원임시직원외부자 등이 내부 정책 및 관련 법규비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.”

 

필자가 소규모 국내 IT 기업 재직 당시, (개인)정보보호 서약서 징구 업무에 관한 에피소드를 분리포인트로 설명 드리겠습니다.

  • -신규 인력 채용 , 정보보호 및 개인정보보호 책임이 명시된 서약서 징구 관련

  • -협력업체 등 외부자에 대한 서약서 징구 관련

  • -서약서 보존/관리방안

  • -고려 사항


  • 1.신규 인력 채용 , 정보보호 및 개인정보보호 책임이 명시된 서약서 징구 관련

 

서약서 양식 및 본문 내용의 경우인터넷 또는 컨설팅 업체 자문 등을 통해 비교적 쉽게 마련할  있었습니다  징구 방식징구 시기징구 담당자 지정  업무 프로세스에 대해 고민했습니다.

다행히도인사팀과 원활한 논의를 통해 신규입사자 채용 완료 이후 과정에서 적절히 서약서를 징구할 수 있는 체계를 수립 했습니다.

,  주관 부서별 아래와 같은 내부 업무 관리 프로세스를 운영 했습니다.

  • -인력 보안 지침 개정, 보안 서약서 양식 업데이트  by 보안팀

  • -신규 입사자 보안 서약서 징구, 서약서 보관  by 인사팀

 

 

 






 


Figure 2. 인력보안지침  정보보호 서약 관련 내용 (예시)

 

  • 2.협력업체 등 외부자에 대한 서약서 징구 관련

 

필자 입사 당시사내 협력 업체에 대한 별도 보안 관리/통제가 없는 상황이었습니다업무 흐름상 인사팀에서 외부 계약에 따른 협력 업체 및 관련 인력 정보를 사전에 파악할 수도 없었습니다유일하게 협력 업체 계약 등 모든 업무 내역을 누락없이 파악할 수 있는 곳은 재무팀’ 뿐이었습니다몇차례 논의 끝에 아래와 같이 관리하는 것으로 방향을 정하고관련 보안 지침에 반영하였습니다.

  • -법인과의 계약 , 하위 별첨으로 정보보호 요구사항을 준수하도록 명시

: 인력 변동에 따른 보안 서약/정보보호 교육  해당 법인 주관/책임

  • -개인 계약은 최소화 하며, 필요  보안팀과 협의하도록 

: 보안팀에서 보안서약서 징구


 

 

  • 3.서약서 보존/관리 방안

 

필자 재직 당시 회사에서 전자계약 솔루션을 사용했습니다이전 회사에서는 A4 출력된 보안서약서에 직원이 자필로 직접 서명하고이를 스캔해 특정 폴더에 암호화 보관하는 형태로 관리 했었습니다.

위 서론에서 말씀 드렸듯이법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용될 소지가 있습니다이때안전하고필요 시 쉽게 찾아볼 수 있도록 관리해야 하는데요필자의 경우스캔문서 또는 하드카피로 보관하게 될 경우어디에 두었는지 한참 찾았던 기억이 있습니다.

회사 예산 측면 여유가 있으시다면, 전자계약 솔루션 사용을 추천 드립니다.

 

 

  • 4.고려사항

 

보안 서약 징구 업무를 통해 느꼈던 애로사항은 크게  가지 입니다.

 

  • -사내 법무팀 부재앞서 여담으로 말씀드린 A조선사 이슈에서 볼 수 있듯이개인정보처리자(또는 회사입장에서 퇴사자(직원)과의 법적 분쟁을 배제할 수 없습니다이 경우법률 지식이 부족한 개인정보 또는 정보보호 담당자의 업무 대응에 한계가 있을 수 밖에 없습니다.

 

  • -구체적인 직원 보안 행동규범/가이드라인 부재보안 서약서의 내용은 상대적으로 포괄적이며추상적 입니다따라서보안 서약서에 대한 강제성구체성을 부여할 수 있는 별도 신규입사자 가이드라인/체크리스트 (e.g. 업무 상 불필요한 웹사이트 접근 금지 근거: PC보안지침)를 배포하고 숙지 교육시킨다면보안 서약서로서의 두 배 강력한 의미를 가질 수 있을 것입니다.

 

물론위 애로사항 중법무팀의 경우 중소기업이 전문 인력을 갖추기에 현실적으로 어려울 수 있습니다 경우, KISA  정부기관을 통한 무료 법률 자문을 이용할  있는지 확인할 필요가 있겠습니다.

 

현업에 도움 되셨으면 좋겠습니다감사합니다.

4개의 댓글이 있습니다.

8달 전

입사 당시에 필기로 서명이후 그룹웨어에서도 서약서 동의를 요구하더라구요

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

8달 전

입/퇴사 보안서약서는 이제 기본 양식이 되었습니다. ㅎㅎ 잘 읽었습니다 !!

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

8달 전

잘 읽었습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

9달 전

보안서약서 꼭 받는게 좋겠네요. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입