1. 개요

이 보안 정책의 목적은 시스템 및 데이터의 기밀성, 무결성 및 가용성을 보장하기 위해 Allamex™가 채택하는 조치 및 관행을 설명하는 것입니다. 이 정책은 당사 시스템 및 정보에 액세스할 수 있는 모든 직원, 계약자 및 제XNUMX자 법인에 적용됩니다. 무단 액세스, 공개, 변경 또는 파괴로부터 비즈니스 및 고객 정보를 보호하려면 이 정책을 반드시 준수해야 합니다.

  1. 컨트롤에 액세스

2.1사용자 계정:

  • 도매 온라인 비즈니스 시스템에 액세스하는 모든 직원 및 계약자를 위해 사용자 계정이 생성됩니다.
  • 사용자 계정은 최소 권한 원칙에 따라 부여되어 개인이 직무를 수행하는 데 필요한 리소스에만 액세스할 수 있도록 합니다.
  • 대문자와 소문자, 숫자 및 특수 문자의 조합을 요구하는 강력한 암호가 적용됩니다.
  • 다중 요소 인증(MFA)은 추가 보안 계층을 제공하기 위해 모든 사용자 계정에 대해 구현됩니다.

 2.2제 XNUMX 자 액세스 :

  • 당사 시스템 및 데이터에 대한 제XNUMX자 액세스는 알아야 할 필요가 있는 경우에만 허용됩니다.
  • 제XNUMX자 법인은 기밀 유지 계약에 서명하고 당사와 일치하는 보안 표준 및 관행을 준수해야 합니다.

 

  1. 데이터 보호

3.1데이터 분류 :

    • 모든 데이터는 적절한 보호 수준을 결정하기 위해 민감도와 중요도에 따라 분류됩니다.
    • 데이터의 적절한 취급, 저장 및 전송을 보장하기 위해 데이터 분류 지침이 직원에게 제공됩니다.

3.2데이터 암호화 :

    • 민감한 데이터의 전송은 SSL/TLS와 같은 산업 표준 암호화 프로토콜을 사용하여 암호화됩니다.
    • 암호화 메커니즘은 미사용 데이터를 보호하기 위해 구현되며, 특히 민감한 정보는
    • 데이터베이스 및 파일 시스템.

3.3데이터 백업 및 복구:

    • 중요한 데이터의 정기적인 백업이 수행되어 외부 위치에 안전하게 저장됩니다.
    • 재해 발생 시 데이터 복구 가능성을 보장하기 위해 백업 무결성 및 복원 프로세스를 주기적으로 테스트합니다.

 

4.네트워크 보안

    • 방화벽 및 침입 탐지 시스템:
    • 무단 액세스 시도 및 악의적인 활동으로부터 네트워크 인프라를 보호하기 위해 방화벽 및 침입 탐지 시스템이 배포될 것입니다.
    • 잠재적인 보안 사고를 식별하고 대응하기 위해 네트워크 트래픽에 대한 정기적인 모니터링 및 분석이 수행됩니다.

4.1보안 원격 액세스:

    • 당사 시스템에 대한 원격 액세스는 VPN(가상 사설망)과 같은 보안 채널을 통해서만 허용됩니다.
    • 원격 액세스 계정은 강력한 인증 메커니즘으로 보호되며 의심스러운 활동이 있는지 모니터링됩니다.

5.사고 대응

5.1사고 보고:

      • 직원과 계약자는 모든 보안 사고, 위반 또는 의심스러운 활동을 지정된 연락처에 즉시 보고하도록 교육을 받습니다.
      • 사고 보고 절차는 명확하게 전달되고 주기적으로 검토되어 시기적절한 대응과 해결을 보장합니다.

5.2사고 대응 팀:

      • 보안 사고를 처리하고 침해를 조사하고 적절한 조치를 조정하기 위해 사고 대응 팀이 지정됩니다.
      • 팀 구성원의 역할과 책임이 정의되고 연락처 정보를 쉽게 사용할 수 있습니다.

5.3인시던트 복구 및 얻은 교훈:

      • 보안 사고의 영향을 완화하고 영향을 받는 시스템과 데이터를 복원하기 위해 즉각적인 조치가 취해질 것입니다.
      • 각 사고 후에 사고 후 검토를 수행하여 교훈을 확인하고 향후 유사한 사고를 방지하기 위해 필요한 개선 사항을 구현합니다.

6.물리적 보안

6.1액세스 제어:

    • 데이터 센터, 서버실 및 기타 중요한 영역에 대한 물리적 접근은 권한이 있는 직원으로만 제한됩니다.
    • 생체 인증, 키 카드 및 CCTV 감시와 같은 액세스 제어 메커니즘이 적절하게 구현됩니다.

6.2장비 보호:

    • 모든 컴퓨터 장비, 저장 매체 및 휴대용 장치는 도난, 분실 또는 무단 액세스로부터 보호됩니다.
    • 직원들은 특히 원격으로 작업하거나 여행할 때 장비를 안전하게 보관하고 취급하도록 교육을 받습니다.

7.교육 및 인식

7.1 보안 인식 교육:

    • 보안 모범 사례, 정책 및 절차에 대해 교육하기 위해 정기적인 보안 인식 교육이 모든 직원과 계약자에게 제공됩니다.
    • 교육 세션에서는 암호 보안, 피싱 인식, 데이터 처리 및 사고 보고와 같은 주제를 다룹니다.

7.2 정책 승인:

    • 모든 직원과 계약자는 이 보안 정책에 대한 이해와 준수를 검토하고 인정해야 합니다.
    • 감사의 글은 인사 기록의 일부로 정기적으로 업데이트되고 유지됩니다.

8.정책 검토 및 업데이트

이 보안 정책은 기술, 규정 또는 비즈니스 요구 사항의 변경 사항을 반영하기 위해 주기적으로 검토되고 필요에 따라 업데이트됩니다. 모든 직원과 계약자는 모든 업데이트에 대해 통보를 받으며 개정된 정책을 준수해야 합니다.

이 보안 정책을 구현하고 시행함으로써 우리는 도매 온라인 비즈니스, 고객 데이터를 보호하고 파트너 및 클라이언트의 신뢰를 유지하는 것을 목표로 합니다.