NHN은 임직원 직무에 특화된 정보보호 정책 프레임 워크를 수립하여 운영하고 있습니다. 연 1회 이상 정책 준수 여부를 점검하고 정책의 타당성을 검토하며 개선합니다. 정책 프레임워크는 최상위 정책서, 업무 역할 단위의 상위 지침, 그리고 각 상위 지침의 구체적 수행 방안을 제시하는 세부
지침으로 구성하여 정보유출 예방을 위한 엄격한 보안 원칙을 제시하고 있습니다.
정보보호 거버넌스
NHN은 CISO, CPO,CIO 등 C레벨의 주요 임원으로 구성된 정보보호위원회를 구성하여 정책 등 정보보호 거버넌스의 주요 변경 사항에 대해
논의하고, 의사결정을 수행하고 있습니다. 정보보호 전담 조직은 IT보안과 정보보호정책 담당 조직을 구분하여 전문성과 특화성을 높였으며,
NHN그룹의 전사적 정보 리스크를 관리하기 위해 정보보호정책위원회를 설치하여 운영하고 있습니다. 정보보호정책위원회는 그룹사 정보보호
정책, IT보안, 금융보안 등 정보보호 영역별 주요 직무자로 구성되며, 격월로 모여 수시로 발생하는 보안이슈 사안에 대해 신속하게 협의하고
대응하고 있습니다.
정보보호 인증
NHN은 국내외 공신력 있는 인증기관으로부터 정보보호 체계 및 서비스 안전성에 대한 인증을 취득하고 있습니다.
전문 국가기관으로부터 개인정보 및 정보보호 체계 수준을 검증받는 등 꾸준히 내부 시스템을 점검, 관리, 운영하고 있습니다.
ISMS-P
국내 최고 권위의 정보보호 및 개인정보보호 인증 제도
ISMS-P (정보보호 및 개인정보보호 관리체계) 인증은 기업이 정보보호 및 개인정보보호를 위한
일련의 조치와 활동을 체계적이고 지속적으로 수행하고 있는지 점검하여 일정 수준 이상의 기업에
국가 인증을 부여하는 제도입니다. NHN은 2013년 9월 기존의 ISMS(정보보호 관리체계)와
PIMS(개인정보보호 관리체계) 인증을 취득하여 매년 엄격한 사후심사를 통해 정보보호 및
개인정보보호 관리체계를 검증받았으며, 2019년 11월 통합된 ISMS-P 제도의 인증을 취득하였습니다.
국제표준화 기구(ISO)와 국제 전기기술위원회(IEC)에서 제정한 정보보호 관리체계 국제 표준 규격인
ISO/IEC 27001 인증과 EU GDPR 등 전 세계의 개인정보보호 요구사항을 충족하는 글로벌 개인정보
관리체계 표준 규격인 ISO/IEC 27701 인증, 글로벌 개인정보 프레임 워크 수립 및 운영에 필요한 규격인 ISO/IEC 29100 인증을 취득하여 NHN이 정보보호 및 개인정보보호 관리체계에 대한 글로벌 요구사항을 충족함을 검증 받았습니다.
인증범위
NHN :PC 게임, 모바일게임, 게임플랫폼 서비스, IoT 서비스
NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)
NHN Dooray! :온라인서비스 - 통합 협업 서비스(민간, 금융, 공공) 등
유효기간
2024.06.17 ~ 2027.06.16
ISO/IEC 27017, 27018, 27799
클라우드 서비스 정보보호 및 개인정보, 의료정보보호 관리체계에 대한 국제 표준 검증
클라우드 서비스에 특화된 정보보호 및 개인정보보호 관리체계 국제 표준 규격인 ISO/IEC 27017,
ISO/IEC 27018 인증과 의료정보보호 관리체계 규격인 ISO/IEC 27799 인증을 취득하여 NHN의
클라우드 서비스가 정보보호 및 개인정보보호, 의료정보보호 관리체계에 대한 글로벌 요구사항을
충족함을 검증받았습니다.
인증범위
NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)
NHN Dooray! :온라인서비스 - 통합 협업 서비스(민간, 금융, 공공) 등
유효기간
2024.06.17 ~ 2027.06.16
ISO/IEC 22301
비즈니스 연속성 경영시스템에 대한 국제 표준 검증
ISO/IEC 22301은 비즈니스 연속성 경영(BCM, Business Continuity Management)을 위한
국제표준 인증입니다. NHN Cloud는 2022년 7월 IaaS 서비스에 대한 연속성 있는 서비스 제공 역량을
해당 국제 표준 기준으로 검증 받아 인증을 취득하였습니다.
인증범위
NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)
유효기간
2022.07.14 ~ 2025.07.13
CSAP(Cloud Security Assurance Program) 인증 [IaaS, SaaS, DaaS]
공공기관에 안전한 클라우드 서비스 제공을 위한 정보보호 수준 평가 · 인증
클라우드 서비스 보안인증은 클라우드 서비스 제공자가 제공하는 서비스에 대해 『클라우드 컴퓨팅 발전 및
이용자 보호에 관한 법률 제23조 제2항에 따라 정보보호 기준의 준수 여부 점검하여 일정 수준 이상의
기업에 인증을 부여하는 제도입니다.
NHN은 2017년 12월 NHN Cloud IaaS, 2019년 12월 Dooray! SaaS, 2023년 9월
NHN Cloud Virtual Desktop DaaS에 대해서 해당 인증을 취득하였으며 매년 엄격한 사후 심사를 통해
클라우드 서비스 보안 체계를 검증받고 있습니다.
IaaS 인증범위
NHN Cloud(공공기관용)
IaaS 유효기간
2022.12.13 ~ 2027.12.12
SaaS 인증범위
Dooray!(공공 메일, 협업도구, 메신저, 전자결재, 화상회의) (SaaS)
SaaS 유효기간
2019.12.18 ~ 2024.12.17
DaaS 인증범위
NHN Cloud Virtual Desktop서비스(DaaS)
DaaS 유효기간
2023.09.19 ~ 2028.09.18
CSA STAR
미국 CSA (Cloud Security Aliance) 주관 국제 클라우드 서비스 정보보호 인증
CSA STAR 인증은 미국 CSA(Cloud Security Aliance)에서 주관하는 국제 클라우드 서비스 정보보호
인증으로 Cloud Control Matrix를 통해 보안 통제의 효과성과 성숙도를 평가하여 STAR(Security,
Trust & Assurance, Registry) 인증을 부여하는 제도입니다.
NHN은 2019년 10월 NHN Cloud(IaaS, SaaS, PaaS) 서비스 및 Dooray!(Saas) 서비스에 대해
CSA STAR Certification을 획득하였으며, Gold Level의 성숙도를 유지하고 있음을 평가받았습니다.
인증범위
NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)
NHN Dooray! :협업 서비스, 그룹웨어, ERP
유효기간
2022.07.12 ~ 2025.07.11
개인정보 관리체계
개인정보 자기 통제권 보장
NHN은 개인정보 처리원칙을 기반으로 ‘NHN 개인정보 처리방침’을 수립하고 있으며, 이용자는 개인정보처리방침을 통해 이용자의 개인정보처리 현황과 정보주체로서의 권리 행사 방법을 확인할 수 있습니다. 이용자는 서비스 내에서 자신의 개인정보에 대한 조회·수정·삭제가 가능하며
고객센터를 통해 열람 및 처리정지, 동의 철회를 요청할 수 있습니다. 만 14세 미만 아동의 개인정보는 법정 대리인의 동의를 받아 처리하며,
법정대리인이 아동의 개인정보에 대한 열람·수정·처리정지·동의철회 등의 권리를 행사할 수 있도록 하고 있습니다. NHN은 거래, 서비스 운영,
제휴사 서비스 이용 등 업무상 목적 외에 제3자에게 개인정보를 제공하거나 대여, 판매하지 않습니다.
개인정보의 안전성 확보조치 활동
NHN은 이용자의 개인정보를 처리함에 있어
개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 안전성 확보를 위하여
다음과 같은 기술적, 관리적 대책을 강구하고 있습니다.
01
개인정보 암호화NHN은 비밀번호 등의 개인정보를 법령에서 요구하는 기준에 따라 암호화 처리하고 있습니다. 또한 이메일,
전화번호 등의 이용자의 중요한 정보를 저장하거나, 파일 등의 자료를 전송할 경우 데이터를 암호화하는 등
별도의 보안 조치를 취하여 이용자의 개인정보를 보호하고 있습니다.
02
접근권한 통제승인받은 개인정보취급자 외에는 개인정보 데이터에 접근할 수 없도록 제한하고 있으며, 데이터 조회 및
접근 이력을 모니터링하고 있습니다. 외부에서 접근이 필요한 경우, 승인 받은 직원에 한하여 전용 VPN
시스템을 통해서 접속할 수 있도록 제한하고 있습니다.
03
위/변조 방지NHN은 보유하고 있는 이용자의 개인정보 등 중요한 정보가 해킹이나 외부 공격에 의해 위조/변조되는 것을
막기 위해, 실시간으로 백업을 수행하고 위/변조 여부를 탐지하는 프로세스를 운영하고 있습니다.
04
개인정보 점검활동개인정보를 처리하는 시스템의 처리 변경사항을 매주 1회 체크하여 변경사항을 즉시 점검함으로써,
개인정보처리시스템에 대해 항상 현행화된 안전성 확보조치가 적용되도록 운영하고 있습니다. 또한
NHN과 PAYCO는 수탁사 및 전자금융보조업자를 포함한 공급업체에 대한 점검을 연 2회 수행하고 있으며,
개인정보의 관리적/기술적 보호조치 및 개인정보 수집/이용/파기 현황 등 수탁업체의 개인(신용)정보보호
현황을 점검하여 개인정보 유출 사고를 방지하고 있습니다.
05
외부침입 방지침입차단시스템을 이용하여 외부로부터의 무단 접근을 통제하고 있으며, 암호화통신을 통해 전송 구간 내
중요 정보를 안전하게 보호하고 있습니다. 또한 최신 백신프로그램을 이용하여 이용자들의 개인정보 등
중요 정보가 유출되거나 손상되지 않도록 방지하고 있으며, 백신 프로그램은 매일 업데이트하여
모니터링하고 있습니다.
정보보호 교육
NHN은 구성원 및 파트너들의 정보보호 인식을 높이기 위한 정보보호 교육을 진행하고 있습니다. 신규 입사자는입사 과정에서 정보보호 교육을
반드시 수강하고 있으며, 매년 계약직을 포함한 전 구성원을 대상으로 개인정보 보호에 대한 교육을 진행하고 있습니다.
또한 기술직군 신규입사자를 대상으로 개발자 보안 교육을 진행하고 있으며, 해당 교육을 통해 안전한 서비스 개발과 운영을 위한 정보보호 수칙을
공유하고 있습니다. NHN은 구성원 뿐만 아니라 파트너사에게도 업무 목적에 맞는 정보보호 교육 자료를 제공하고 있으며,
이를 통해 모든 담당자와 구성원이 정보보호에 대한 이해를 바탕으로 보안 사고를 예방하고 대응할 수 있는 역량을 갖추도록 지원하고 있습니다.