[보안맨] 소규모 기업의 보안 서약서 운영 관리

안녕하세요,

본 기고글에서는 ‘보안 서약' 업무 활동에 대해 다룹니다.

관리 보안 업무의 일환으로, 신규 입사자 보안 서약서 징구는 필요 합니다. 비교적 적은 예산으로, 직원의 정보보호 인식/경각심을 고취시키고, (있어서는 안되겠지만) 추후 직원 내부 정보 유출 등 첨예한 문제 발생시 법적 효력으로서 입증될 수도 있기 때문입니다.

여담으로, 작년 A조선사 보안 서약서 내 일부 내용에 대해 공론화된 적이 있었습니다. “퇴사 후 1년간은 경쟁업체 취직이 제한된다는 내용”에 대해 노조 측과 사측간 입장 차이가 존재 했었습니다. 즉, 직원(개인)의 자기결정권으로서 인권 침해인지 vs 회사의 보안활동의 일환인지에 대해 갑론을박이 있었습니다. 그만큼, 보안 서약서 임직원(또는 외부 협력업체) 징구는 파급력 있는 중요한 업무임이 틀림 없습니다.

Figure 1. A 조선사 전 사무직 직원에게 서명하도록 한 ‘정보보호 서약서’ 내용 (9번에 경쟁업체 취업금지 조항)

(출처: https://www.hani.co.kr/arti/economy/marketing/1041561.html)

국내 정보보호 및 개인정보보호 관리체계 인증 기준에는 다음과 같이 명시되어 있습니다. “정보자산을 취급하거나 접근권한이 부여된 임직원, 임시직원, 외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.”

필자가 소규모 국내 IT 기업 재직 당시, (개인)정보보호 서약서 징구 업무에 관한 에피소드를 분리포인트로 설명 드리겠습니다.

• -신규 인력 채용 시, 정보보호 및 개인정보보호 책임이 명시된 서약서 징구 관련

• -협력업체 등 외부자에 대한 서약서 징구 관련

• -서약서 보존/관리방안

• -고려 사항

• 1.신규 인력 채용 시, 정보보호 및 개인정보보호 책임이 명시된 서약서 징구 관련

서약서 양식 및 본문 내용의 경우, 인터넷 또는 컨설팅 업체 자문 등을 통해 비교적 쉽게 마련할 수 있었습니다. 그 후 징구 방식, 징구 시기, 징구 담당자 지정 등 업무 프로세스에 대해 고민했습니다.

다행히도, 인사팀과 원활한 논의를 통해 신규입사자 채용 완료 이후 과정에서 적절히 서약서를 징구할 수 있는 체계를 수립 했습니다.

즉, 각 주관 부서별 아래와 같은 내부 업무 관리 프로세스를 운영 했습니다.

• -인력 보안 지침 개정, 보안 서약서 양식 업데이트 등 by 보안팀

• -신규 입사자 보안 서약서 징구, 서약서 보관 등 by 인사팀

Figure 2. 인력보안지침 내 정보보호 서약 관련 내용 (예시)

• 2.협력업체 등 외부자에 대한 서약서 징구 관련

필자 입사 당시, 사내 협력 업체에 대한 별도 보안 관리/통제가 없는 상황이었습니다. 업무 흐름상 인사팀에서 외부 계약에 따른 협력 업체 및 관련 인력 정보를 사전에 파악할 수도 없었습니다. 유일하게 협력 업체 계약 등 모든 업무 내역을 누락없이 파악할 수 있는 곳은 ‘재무팀’ 뿐이었습니다. 몇차례 논의 끝에 아래와 같이 관리하는 것으로 방향을 정하고, 관련 보안 지침에 반영하였습니다.

• -법인과의 계약 시, 하위 별첨으로 정보보호 요구사항을 준수하도록 명시

: 인력 변동에 따른 보안 서약/정보보호 교육 등 해당 법인 주관/책임

• -개인 계약은 최소화 하며, 필요 시 보안팀과 협의하도록 함

: 보안팀에서 보안서약서 징구