InXpress UK Shipping and Logistics

발효일: 2018년 5월 25일(2022년 9월 9일 업데이트됨)

1. 정의 - 이 매뉴얼에서 "회사"라는 용어는 InXpress Global Ltd와 그 계열사, 자회사, 마스터 프랜차이지 및 프랜차이지를 의미합니다.

2. 소개 - 이 정보 보안 정책은 회사 기술 및 정보 자산에 대한 액세스 권한이 부여된 사람들이 준수해야 하는 공식 규칙 집합입니다.

정보 보안 정책은 여러 목적을 수행합니다. 주요 목적은 직원, 마스터 프랜차이지, 프랜차이지, 계약자 및 기타 승인된 사용자와 같은 회사 사용자에게 회사의 기술 및 정보 자산을 보호하기 위한 의무적인 요구 사항을 알리는 것입니다. 정보 보안 정책은 우리가 보호해야 하는 기술 및 정보 자산을 설명하고 이러한 자산에 대한 많은 위협을 식별합니다.

이 정보 보안 정책은 또한 사용자의 책임과 권한에 대해 설명합니다. 이 문서에는 회사 컴퓨터 시스템 및 네트워크의 보안을 위협하는 사고에 대응하는 절차도 포함되어 있습니다.

정책, 통제, 관행 및 절차는 업계 최고의 보안과 일관되게 구현됩니다. 이는 회사의 시스템과 데이터를 보호하기 위한 물리적, 관리적, 기술적 보호 장치입니다.

모든 직원은 InXpress 고용을 시작하는 데 필요한 모든 정보 보안 정책 및 절차에 대한 교육 및 보수 교육을 매년 받아야 합니다.

3.무엇을 보호하고 있습니까? - 회사의 기술 및 정보 자산을 보호하는 것은 회사 시스템의 모든 사용자의 의무입니다. 이 정보는 무단 액세스, 도난 및 파괴로부터 보호되어야 합니다. 회사의 기술 및 정보 자산은 다음 구성 요소로 구성됩니다.

• 컴퓨터 하드웨어, CPU, 디스크, 이메일, 웹, 애플리케이션 서버, PC 시스템, 애플리케이션 소프트웨어, 시스템 소프트웨어 등

• 시스템 소프트웨어: 운영 체제, 데이터베이스 관리 시스템, 백업 및 복원 소프트웨어, 통신 프로토콜.

• 응용 프로그램 소프트웨어: 여기에는 맞춤형으로 작성된 소프트웨어 응용 프로그램과 상용 소프트웨어 패키지가 포함됩니다.

• 통신 네트워크 하드웨어 및 소프트웨어: 라우터, 라우팅 테이블, 허브, 모뎀, 멀티플렉서, 스위치, 방화벽, 개인 회선, 관련 네트워크 관리 소프트웨어 및 도구.

4. 정보의 분류 - 컴퓨터 시스템 파일 및 데이터베이스에서 발견된 사용자 정보는 기밀 또는 비기밀로 분류됩니다. 회사는 그들이 관리하는 정보를 분류합니다. 회사는 정보 분류를 검토 및 승인하고 해당 정보를 가장 잘 보호할 수 있는 적절한 보안 수준을 결정해야 합니다.

5. 보안 위협

직원은 직원의 정보 전송을 줄이기 위해 다음 프로세스를 구현합니다.

• 시스템에 적절한 권한만 부여합니다. 역할을 수행하기 위한 최소 권한 엑세스 원칙을 따라야 합니다. 업무 시간에만 액세스를 제한합니다.

• 시스템에 엑세스하기 위해 계정을 공유하지 마십시오. 동료와 로그인 정보를 공유하지 마십시오.

• 직원이 해고되거나 징계를 받으면 24시간 이내에 시스템에 대한 엑세스를 제거하거나 제한합니다.

• 적절한 필요가 있는 직원만 엑세스할 수 있도록 컴퓨터 자산을 물리적으로 보호합니다.

• 비밀번호는 최소 12자 이상, 대소문자 혼합, 영숫자 조합, 특수문자를 포함해야 하며, 비밀번호 끝에 1개도 넣지 않고 3개월마다 변경합니다. 사용자 이름은 암호의 일부를 구성해서는 안 됩니다. 비밀번호는 여러 번 실패한 시도 후에 잠금으로 설정됩니다. 모든 주요 시스템에서 MFA가 구현됩니다.

• 업무 수행을 위한 개인 기기의 사용은 금지됩니다.

• USB와 같은 이동식 장치에 개인 데이터, 민감한 데이터 또는 기밀 데이터를 저장해서는 안 됩니다.

외부 침해 회사 시스템에 대한 액세스를 줄이려면 다음 프로세스를 구현하십시오.

• 역할을 수행하기 위해 시스템에 적절한 권한만 부여하고 최소 권한 렉세스 원칙을 따릅니다. 고객이 엑세스 권한을 변경하기 위해 전화하면 올바른 사람인지 확인합니다.

• 고객 계정이 보류되면 시스템에 대한 엑세스를 제거하거나 제한합니다.

6. 사용자 책임

이 섹션에서는 사무실의 컴퓨터 시스템, 네트워크 및 정보 리소스에 대한 사용 정책을 설정합니다. 이는 컴퓨터 시스템, 네트워크 및 정보 리소스를 비즈니스 파트너, 고객 및 회사의 비즈니스 목적을 위해 네트워크에 대한 액세스 권한이 부여된 개인으로 사용하는 모든 직원 및 공급업체에 적용됩니다.

허용되는 사용

회사 컴퓨터 시스템의 사용자 계정은 회사 업무용으로만 사용해야 하며 개인 활동에는 사용해서는 안 됩니다. 시스템의 무단 사용은 법을 위반할 수 있으며 절도에 해당하며 법에 의해 처벌될 수 있습니다. 따라서 회사 컴퓨터 시스템 및 시설의 무단 사용은 민사 또는 형사 기소의 근거가 될 수 있습니다.

사용자는 다음과 같은 의도로 의도적으로 활동에 참여해서는 안 됩니다. 시스템의 성능을 저하시킵니다. 시스템 리소스를 자체 용도로 전환합니다. 또는 권한이 없는 회사 시스템에 대한 액세스 권한을 얻습니다.

사용자는 직원의 관리자 및/또는 회사 IT 피지명인으로부터 특정 승인을 받지 않은 경우 PC 또는 워크스테이션에 승인되지 않은 장치를 연결해서는 안 됩니다.

사용자는 인터넷에서 PC나 워크스테이션으로 승인되지 않은 소프트웨어를 다운로드해서는 안 됩니다.

사용자는 회사 컴퓨터 보안의 모든 약점, 이 정책의 오용 또는 위반 사건을 직속 상사에게 보고해야 합니다.

인터넷 사용

회사는 내부 네트워크에 연결되어 있고 이러한 엑세스가 필요한 업무상 직원 및 계약자에게 인터넷 액세스를 제공합니다. 직원 및 계약자는 상사의 허가를 받고 IT 관리자에게 요청을 제출해야 합니다.

인터넷은 회사의 비즈니스 도구입니다. 전자 메일을 통해 공급업체 및 비즈니스 파트너와 통신하고 유용한 비즈니스 정보와 관련 기술 및 비즈니스 주제를 얻는 것과 같은 비즈니스 관련 목적으로 사용됩니다.

인터넷 서비스는 차별적이거나 괴롭히는 성격의 커뮤니케이션, 또는 개인이나 그룹을 경멸하는 커뮤니케이션, 외설적이거나 포르노적인 커뮤니케이션, "연쇄 편지" 또는 기타 목적으로 성격을 훼손하거나 위협하는 커뮤니케이션을 전송, 검색 또는 저장하는 데 사용할 수 없습니다. 불법적이거나 개인적인 이익을 위한 것입니다.

컴퓨터 시스템 사용 모니터링

회사는 전자 메일 메시지 및 인터넷 사용을 포함하여 회사 컴퓨터 시스템 및 네트워크를 사용하는 사람이 생성 및/또는 전달한 전자 정보를 모니터링할 권리와 능력이 있습니다. 직원이나 회사 컴퓨터 시스템 및 네트워크의 다른 사용자가 사용하는 모든 컴퓨터를 지속적으로 모니터링하는 것은 회사 정책이나 의도가 아닙니다. 그러나 시스템 사용자는 회사가 인터넷 사용 패턴(예: 사이트 엑세스, 온라인 길이, 엑세스 시간) 및 직원의 전자 파일을 포함하되 이에 국한되지 않는 사용을 모니터링할 수 있음을 인지해야 합니다. 인터넷 및 기타 전자 통신이 법률 및 회사 정책에 따라 사용되고 있음을 확인하는 데 필요한 범위 내에서 메시지. 고객 데이터(Webship 및 XMS)에서 거래하는 회사 시스템의 모든 활동은 사용자의 모든 활동을 자세히 설명하는 전체 감사 로그를 통해 캡처됩니다. 감사 로그는 정기적으로 감사됩니다.

7.엑세스 제어

당사 사이버 보안 정책의 기본 구성 요소는 무단 공개 또는 수정으로부터 보호해야 하는 중요한 정보 리소스에 대한 엑세스를 제어하는 것입니다. 엑세스 제어의 기본적인 의미는 특정 리소스에 엑세스할 수 있는 권한이 있는 개인이나 시스템에 권한이 할당된다는 것입니다. 엑세스 제어는 네트워크를 포함하여 시스템의 다양한 계층에 존재합니다. 엑세스 제어는 로그온 ID와 암호로 구현됩니다. 에플리케이션 및 데이터베이스 수준에서 다른 엑세스 제어 방법을 구현하여 엑세스를 추가로 제한할 수 있습니다. 응용 프로그램 및 데이터베이스 시스템은 작업 요구 사항에 따라 사용자가 사용할 수 있는 응용 프로그램 및 데이터베이스의 수를 제한할 수 있습니다.

사용자 시스템 및 네트워크 엑세스 – 일반 사용자 식별

모든 사용자는 시스템에 엑세스하기 위해 고유한 로그온 ID와 암호가 있어야 합니다. 사용자의 비밀번호는 기밀로 유지되어야 하며 관리 및 감독 직원 및/또는 다른 직원과 공유해서는 안 됩니다. 모든 사용자는 비밀번호 생성 및 유지 관리와 관련하여 다음 규칙을 준수해야 합니다.

• 비밀번호는 영어나 외국어 사전에서 찾을 수 없습니다. 즉, 일반적인 이름, 명사, 동사, 부사 또는 형용사를 사용하지 마십시오. 이들은 표준 "해커 도구"를 사용하여 쉽게 크랙할 수 있습니다.

• 암호는 컴퓨터 단말기 위나 근처에 게시하거나 단말기 주변에서 쉽게 접근할 수 있도록 해서는 안 됩니다.

• 비밀번호는 (90일)마다 변경해야 합니다.

• 사용자 계정은 로그온 시도가 5번 실패하면 고정됩니다.

• 비밀번호는 최소 12자 이상이어야 하며, 대문자와 소문자 혼합, 영숫자 조합, 특수 문자를 포함해야 하며 비밀번호 끝에 단일 문자가 오는 것이 아닙니다.

• 모든 주요 시스템에서 MFA가 구현됩니다.

사용자는 네트워크 인프라 구성 요소의 암호 파일에 엑세스할 수 없습니다. 서버의 암호 파일은 권한이 없는 사용자의 엑세스에 대해 모니터링됩니다. 모든 컴퓨터 시스템에서 암호 파일을 복사, 읽기, 삭제 또는 수정하는 것은 금지되어 있습니다.

사용자는 시스템 관리자로 로그온할 수 없습니다. 프로덕션 시스템에 대해 이 수준의 엑세스 권한이 필요한 사용자는 이 문서의 다른 부분에 설명된 대로 특별 엑세스 계정을 요청해야 합니다.

직원 로그온 ID 및 비밀번호는 직원이 계약만료, 해고, 정직, 휴가 또는 기타 방법으로 회사 사무실에서 퇴사하는 경우 가능한 한 빨리 그리고 24시간 이내에 비활성화됩니다.

감독자/관리자는 즉시 회사 IT 관리자에게 직접 연락하여 직원 로그온 엑세스 권한을 종료하거나 수정해야 하는 직원 상태 변경 사항을 보고해야 합니다.

비밀번호를 잊어버린 직원은 IT 부서에 전화하여 계정에 새 비밀번호를 할당받아야 합니다.

직원은 직원의 비밀번호와 ID를 사용하여 시작된 로그온 세션 동안 발생하는 모든 거래에 대해 책임을 집니다. 직원은 컴퓨터에 로그온한 다음 다른 사람이 컴퓨터를 사용하거나 컴퓨터 시스템에 대한 엑세스를 공유하도록 허용해서는 안 됩니다.

시스템 관리자 엑세스

시스템 관리자, 네트워크 관리자 및 보안 관리자는 자신의 업무를 수행하는 데 필요한 호스트 시스템, 라우터, 허브 및 방화벽에 대한 엑세스를 제어하고 모니터링합니다.

모든 시스템 관리자 암호는 해당 암호에 엑세스할 수 있는 직원이 계약만료, 해고 또는 퇴사한 즉시 삭제됩니다.

특별 액세스

작업을 수행하기 위해 임시 시스템 관리자 권한이 필요한 개인에게 특별 엑세스 계정이 제공됩니다. 이러한 계정은 회사에서 모니터링하며 회사 IT 관리자의 허가가 필요합니다. 특별 엑세스 계정의 모니터링은 사용자를 특정 영역에 입력하고 주기적으로 관리 보고서를 생성하여 수행됩니다. 보고서에는 현재 특별 엑세스 계정이 있는 사람, 이유 및 만료 날짜가 표시됩니다. 특별 계정은 처음에 권한이 부여된 작업 기간 동안 사용할 수 있으며 서면 승인 없이는 자동으로 갱신되지 않습니다.

3자 네트워크에 연결

이 정책은 회사와 모든 제3자 회사 및 회사와 정보를 전자적으로 교환하는 데 필요한 기타 주체 간에 제공되는 안전한 연결 방법을 보장하기 위해 제정되었습니다.

"제3자"란 회사와 거래하는 벤더, 컨설턴트 및 비즈니스 파트너 및 회사와 정보 교환이 필요한 기타 파트너를 의미합니다. 3자 네트워크 연결은 타사 직원만 회사의 비즈니스 목적으로 사용해야 합니다. 제3자 회사는 승인된 사용자만 회사 네트워크의 정보에 엑세스할 수 있도록 합니다. 제3자는 인터넷 트레픽이나 기타 사설 네트워크 트레픽이 네트워크로 유입되는 것을 허용하지 않습니다.

이 정책은 모든 3자 연결 요청 및 기존 3자 연결에 적용됩니다. 기존 타사 네트워크 연결이 이 문서에 요약된 요구 사항을 충족하지 않는 경우 필요에 따라 다시 설계됩니다.

제3자 연결에 대한 모든 요청은 서면 요청을 제출하고 회사의 승인을 받아야 합니다.

네트워크에 장치 연결

승인된 장치만 회사 네트워크에 연결할 수 있습니다. 승인된 장치에는 회사의 구성 지침을 준수하는 회사 소유의 PC 및 워크스테이션이 포함됩니다. 기타 승인된 장치에는 네트워크 관리 및 모니터링에 사용되는 네트워크 인프라 장치가 포함됩니다.

사용자는 네트워크에 연결해서는 안 됩니다: 회사에서 승인, 소유 및/또는 제어하지 않는 회사가 아닌 컴퓨터.

주의: 사용자는 네트워크의 토폴로지 특성을 변경하는 장치 또는 승인되지 않은 저장 장치를 연결할 수 없습니다. 예로 썸 드라이브 및 쓰기 가능한 CD.

원격 엑세스

승인된 사람만 회사 네트워크에 원격으로 엑세스할 수 있습니다. 원격 엑세스는 정보 교환, 파일 또는 프로그램 복사 또는 컴퓨터 응용 프로그램 엑세스에 대한 합법적인 비즈니스 필요가 있는 회사의 직원, 계약자 및 비즈니스 파트너에게 제공됩니다. 인증된 연결은 원격 PC에서 네트워크로 또는 원격 네트워크에서 회사 네트워크로 연결될 수 있습니다. 내부 네트워크에 원격으로 연결할 수 있는 유일한 방법은 보안 ID를 사용하는 것입니다.

무단 원격 엑세스

회사 VPN에 연결된 사용자의 PC 또는 워크스테이션에 허브 등을 부착하는 행위는 회사의 서면 동의 없이 허용되지 않습니다. 또한 사용자는 PC 또는 워크스테이션의 원격 제어를 제공하도록 설계된 개인 소프트웨어를 설치할 수 없습니다. 이러한 유형의 원격 액세스는 인증된 고도로 안전한 원격 엑세스 방법을 우회하고 전체 네트워크의 보안에 위협이 됩니다.

8.보안 위반에 대한 벌칙

회사는 보안 문제를 심각하게 생각합니다. 회사의 기술 및 정보 자원을 사용하는 사람은 이 정책을 위반할 경우 징계를 받을 수 있음을 인지해야 합니다. 이 정책을 위반할 경우 회사 직원은 최대 해고를 포함한 징계를 받을 수 있습니다. 부과되는 특정 징계는 사이버 보안 정책 위반의 성격과 심각성, 개인이 저지른 정책의 이전 위반, 주 및 연방법 및 기타 모든 관련 사항을 고려하여 사례별로 결정됩니다. 정보. 직원에 대한 징계는 적절한 규칙이나 정책 및 회사 정책 메뉴얼에 따라 관리됩니다.

피고인이 회사의 직원이 아닌 경우 해당 사항은 글로벌 COO에게 제출됩니다. Global COO는 위반 혐의에 대해 형사 고발을 해야 하는지 여부를 고려하기 위해 법 집행 기관 및/또는 검사에 정보를 참조할 수 있습니다.

9. 보안 처리 절차

이 섹션에서는 보안 사고를 처리하기 위한 몇 가지 정책 지침 및 절차를 제공합니다. "보안 사고"라는 용어는 회사 네트워크의 모든 부분에 있는 정보 리소스의 보안, 무결성 또는 가용성을 위협하는 불규칙하거나 불리한 이벤트로 정의됩니다. 보안 사고의 몇 가지 예는 다음과 같습니다.

• 회사 컴퓨터 시스템에 대한 불법 엑세스. 예를 들어 해커가 프로덕션 서버에 로그온하여 암호 파일을 복사합니다.

• 불법적인 엑세스로 인한 회사 컴퓨터 시스템 또는 네트워크 손상. 바이러스나 웜을 배포하는 것이 한 예입니다.

• 데이터 유출

• 회사 웹 서버에 대한 서비스 거부 공격. 예를 들어, 해커는 시스템 충돌을 일으키도록 설계된 웹 서버에 대해 대량의 패킷을 시작합니다.

• 시스템 리소스를 악의적으로 사용하여 회사 네트워크 외부의 다른 컴퓨터에 대한 공격을 시작합니다. 예를 들어, 시스템 관리자는 알 수 없는 네트워크에 대한 연결과 이상한 프로세스가 많은 서버 시간을 축적하는 것을 알아차립니다.

자신의 터미널이나 컴퓨터 시스템이 보안 사고를 당했다고 생각하거나 다른 방식으로 부적절하게 엑세스하거나 사용했다고 생각하는 직원은 즉시 IT 관리자에게 상황을 보고해야 합니다. 직원은 컴퓨터를 끄거나 의심스러운 파일을 삭제하지 않습니다. 보안 사고가 발견된 상태로 컴퓨터를 그대로 두는 것은 문제의 원인을 식별하고 문제를 해결하기 위해 취해야 할 단계를 결정하는 데 도움이 됩니다.

완전하고 포괄적인 위험, 이해 관계자, 사건 분류, 처리 및 보고 절차가 회사 위험 및 사건 대응 계획에 포함되어 있습니다. 이는 모든 사고 시 엄격히 준수해야 합니다.

모든 사고는 위험 및 사고 대응 계획에 따라 처리됩니다.