정보보호에 대한 경영진의 의지


㈜네오위즈는 1997년 인터넷 접속 프로그램 ‘원클릭’을 선보이며 설립되었습니다. 이 후 인터넷 채팅과 커뮤니티 서비스로 새로운 디지털 문화를 만들기도 했습니다 현재 네오위즈는 온라인과 모바일 플랫폼에서 다양한 장르의 게임을 제작, 서비스하며 디지털콘텐츠의 한 축을 담당하고 있습니다. 다년간 여러 IT 서비스를 개발하면서 항상 중요하게 챙기던 부분이 바로 정보보호입니다.

 

최근에는 기술에 대한 보호를 넘어 시스템 운영에 관련된 모든 정보자산으로 그 범위가 확대되고 있습니다. 서비스의 세심한 부분까지 규정이 적용되도록 임직원들의 정보 보호 의식 또한 강화되고 있습니다. 이는 네오위즈의 제품과 서비스가 경쟁력을 갖는 이유이기도 합니다. 근래 빈번하게 발생하였던 보안사고에서 알 수 있듯이 규정의 준수나 인식의 부재는 큰 사고를 불러옵니다. 그로 인한 고객들의 신뢰 손상은 당장 금전적인 손실보다 막대합니다. 특히, 글로벌로 시장이 확대되고 있는 요즘, 보안사고는 치명적인 오점을 남기게 됩니다. 


점점 더 정보보호 기준을 엄격하게 규제해 나가는 선진국들의 추세를 보면 더욱 실감합니다. 네오위즈는 이제 자체 IP를 전 세계적으로 서비스하며, 인정받고자 하는 목표가 있습니다. 고객들에게 신뢰감을 주며 안심하고 서비스를 이용할 수 있게 정보보호 규정 준수는 한층 더 엄격해질 것입니다. 네오위즈가 세계적인 기업으로 거듭나고 정보보호에 대한 최우수사례로 손꼽힐 수 있도록 계속 정진하겠습니다.



(개인)정보보호 및 사이버 보안 활동


1. 정보보호 정책

네오위즈(이하 “회사”)는 정보주체의 권리 보호 및 외부 보안 위협으로부터의 안전한 정보 보호를 위해 내부 임직원의 정보보호 활동의 근간이 되는 정책 및 지침을 수립하여 운영하고 있습니다.



정책서

조직의 정보보호/개인정보보호에 대한 최고 수준의 선언 및 기본 방향을 정의

· 정보보호정책서

 · 개인정보보호정책서

관리적 보호대책

조직, 인력, 절차, 위험 평가 등 정보보호 관리 체계

· 정보보호정책관리지침

 · 자산분류 및 위험관리지침

 · 인력보안지침

 · 보안감사지침

 · 사업연속성관리지침

 · 보안사고대응지침

 · 아웃소싱 보안관리지침

 · 문서관리지침

기술적 보호대책

시스템, 네트워크, 암호 등 기술적 통제를 다룬 지침

· 암호관리지침

 · 접근통제지침

 · 네트워크정보보호지침

 · 데이터베이스정보보호지침

 · 클라우드 보안지침

 · 개인PC보안관리지침

물리적 보호대책

건물, 시설, 장비에 대한 물리적 보안

· 물리적 보안지침

운영 및 시스템 관리

개발, 운영, 배포, 유지보수 관련 보안 지침

· 개발 및 배포 보안관리지침

 · 시스템 운영관리지침

 · 전산운영관리지침

개인정보보호 지침

개인정보 관련 별도 규정 및 운영 절차

· 개인정보보호지침

 · 영상정보처리기기 운영 지침



2. 정보보호 조직

회사는 전문성 있는 정보보안 전담 조직을 운영하며 대내외 적인 위협으로 부터 정보자산을 안전하게 지킬 수 있도록 노력하고 있습니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3, 동법 시행령 제36조의7에 근거하여 정보보호 최고책임자(CISO) 및 개인정보 보호법 제31조, 동법 시행령 제32조에 근거하여 개인정보 보호책임자(CPO) 지정하고 있으며, 정보보호조직의 독립성, 객관성 확보를 위해 정보보호 전담 조직을(CISO/CPO 산하 정보보안실 운영) 구성하고 있습니다.



3. 정보보호 추진 체계

회사는 주기적으로 정보 위협에 대한 식별과 평가, 개선 활동을 하고 있으며, 임직원 모두 정보보안에 대한 인식이 올바르게 정착할 수 있는 문화를 조성하고 있습니다. 이를 위해 관리적, 물리적, 기술적, 법률적 RISK 식별/개선 및 신규 서비스에 대한 데이터 보호 영향평가를 실시하고, 정기적인 감사 활동 통해 잠재적인 보안 취약점을 식별하여 위험을 줄여나가는 활동을 하고 있습니다. 또한 내부 임직원의 교육 및 인식제고 프로그램을 운영하여 회사 전반적인 정보보호 인식수준을 높이는 활동을 하고 있습니다. 


· 신규 입사자에 대한 보안교육, 임직원(계약직 포함) 연 1회 개인정보보호 교육 및 분기별 정보 보호 관련 캠페인 진행



4. 정보보호 인증

회사는 공신력 있는 기관으로 부터 (개인)정보보호 정책, 기술, 관리, 물리적 보안 체계에 대한 평가를 받고 적합한 수준의 정보보안 체계를 구축 운영하고 있음을 증명하고 있습니다.


· ISMS-P인증(정보보호 및 개인정보보호 관리체계 인증) [더 보기]

· 유효기간: 2024-10-16~2027-10-15

· 인증범위 명 : 인터넷 게임서비스(피망) 운영



5. 정보보호 활동

회사는 대외적인 신뢰도 향상과 고객 정보보호를 위해 정기적인 정보보호 유관 법령의 검토 및 정책/지침의 타당성을 검토하고 주요 정보자산의 식별, 중요도 평가 및 취약점 진단을 수행하고 있습니다. 또한, 침해사고 모의훈련 계획의 수립/시행, 재해복구(BCP) 모의훈련 수립/시행을 통하여 신속하게 보안위협에 대응하고, 무중단 모니터링을 실시하고 있습니다. 내부적으로는 정보보호 관리체계의 관리적 기술적 위험평가 및 정보보호 외부 감사 수행을 통하여 보안 리스크를 최소화 하고 있으며, 대외적으로는 CISO / CPO 협의체 활동을 통해 정보보호 및 개인정보보호의 최신 동향을 파악하고 보안 업무 프로세스에 접목하기 위해 노력합니다.  

회사는 그 밖에 필요한 정보보호 관련 감사 활동을 통하여 위험관리에 힘쓰고 있습니다.


· 개인정보 처리시스템 접속기록에 대한 월별 감사활동

· 정보 시스템에 대한 취약점 진단 활동

· 내부 정보유출에 대한 보안솔루션 운영 및 감사활동

· 외부 인력에 대한 보안감사 활동

· 보안솔루션에 대한 정기적인 감사 활동