사회

정보보호

하나투어는 고객의 소중한 개인정보 및 고객의 비밀 보호를 목적으로, 관련 법률에 따른 의무를 이행하고, 내외부의 위협으로부터 회사의 정보자산이 안전하게 보호하는 것을 목적으로 합니다. 2004년부터 제정하여 현재까지 15차 개정을 거친 정보보호 규정을 기반으로, 인적, 물리적, 시스템적 보안관리체계를 구성하여 발전시키고 있습니다.

정보보호 규정 및 지침을 기반으로 접근 제어 절차를 수립 및 적용하여 데이터에 대한 접근을 통제하고 그 이력을 관리 및 24시간 보안관제를 적용하여 모니터링 합니다. 또한 정기적인 진단 평가, 미비점 도출 및 개선 활동과 공개를 통해 정보보호 정책의 준수여부 확인 및 임직원 의식을 제고하여 운영을 개선하고 있습니다.

정보보호 업무를 총괄하는 정보보호 최고책임자(CISO)와 개인정보보호 업무를 총괄하는 개인정보 보호책임자(CPO)를 분리하여 전문성 및 효율성을 보장하고 정보보호팀에서 정보보호업무 및 개인정보보호업무를 관할하고 있습니다.

또한 정보보호위원회’ 및 ‘정보보호실무위원회’를 거쳐 보안 운영 관련 중요사항을 심의, 결정하고 보안 리스크에 대한 식별과 대응 방안을 협의하여 정책을 개선하고 있습니다. 위원회는 최소 연 1회는 정기적으로 운영하며, 안건 발생 시 상시적으로 운영합니다.

정보보호 선언문

하나투어의 임직원은 정보 유출, 해킹 등 각종 정보보호 및 개인정보보호 위협으로부터 안정적이며 신뢰성 높은 고객 서비스를 유지하기 위해 정보보호 및 개인정보보호 관리체계 수립 및 이행에 최선을 다해야 하며, 이에 다음과 같이 규정을 수립하고 선포하였습니다.

우리가 보호해야 할 정보자산은 다음과 같다.
  • 1. 고객의 개인정보 및 기타 중요정보
  • 2. 회사의 업무수행 과정에서 생성 및 수집한 중요정보
  • 3. 업무를 수행하기 위한 기반 시설인 서버 / 네트워크 / 보안시스템 / 가상자원 등 정보시스템
  • 4. 서비스 제공을 위해 운영 중인 어플리케이션
  • 5. 사업 수행에 필요한 물리적 업무 환경
우리는 정보보호 및 개인정보보호관리체계의 구축 및 운영을 통하여 다음과 같은 목표를 달성하도록 노력한다.
  • 1. 고객의 정보를 최우선의 가치로 보호한다.
  • 2. 모든 정보자산은 업무와 무관하게 사용되거나 공개하지 않는다.
  • 3. 모든 정보자산은 승인 받지 않은 접근 및 변경으로부터 보호되어야 한다.
  • 4. 정보보호 관련 법 / 규정을 받으시 준수한다.
이를 위하여 경영진은 다음과 같이 필요한 자원을 적극 지원한다.
  • 1. 정보보호 및 개인정보보호를 위하여 필요한 예산 및 조직을 구성하고 충분한 인적자원을 지원한다.
  • 2. 정보보호 및 개인정보보호에 필요한 교육 및 훈련을 충분하게 지원한다.
  • 3. 정보보호 및 개인정보보호를 위하여 필요한 구체적인 업무지침과 절차를 수립하여 이행하도록 지원한다.
  • 4. 정보보호 및 개인정보보호 활동이 지속적으로 이행될 수 있도록 보장하고 지원한다.
(주)하나투어의 전 임직원은 정보보호 및 개인정보보호 규정 및 이에 기반한 지침을 준수하는데 있어 신의와 원칙으로 임하며, 정보 보호 및 개인정보보호 활동이 지속적으로 유지 및 발전될 수 있도록 맡은 바 소임을 다하여야 한다.
대표이사 송미선
전담 조직
정보 보호 관리 체계

- 하나투어는 정보보호관리체계를 기반으로 정보자산 및 고객 개인정보를 보호하기 위해 관리/물리/기술적 보호조치를 포함한 절차를 수립하고, 이를 지속적으로 운영 및 관리함으로써 그 체계를 개선하고 강화하고 있습니다.

- 정보보호 관리체계에 대한 기준으로 정보보호규정 및 지침을 수립하여 관리하고 있으며, 개인정보보호위원회 및 실무위원회를 구성하여 조직 전반의 정보보호 관련 주요 사항을 검토 및 의결하고 있습니다.

정보 보호 관리 체계

정보 보호 관리 및 업무 조직

정보 보호 관리 및 업무 조직

정보 보호 운영 방안
  • 고객의 개인정보를 안전하게 관리하기 위해 내부관리계획을 수립, 시행하여 체계적이고 전사적으로 보호조치를 하고 있으며, 정보보호관련 정책과 지침을 마련하고 공표함으로써 임직원별 업무 특성에 따라 필요한 원칙과 기준 등을 안내하여 개인정보보호법 등 국내외 법규 준수와 더불어 안전한 보호조치를 할 수 있도록 하고 있습니다.
  • 하나투어는 고객의 '개인정보 자기통제권'을 존중하며 이를 보장하기 위해 개인정보 이용내역 및 관련 보호조치를 고객에게 주기적으로 제공하고, 개인정보처리와 관련한 절차, 기준 등을 수립해 홈페이지 개인정보처리방침에 지속적으로 공개하고 있으며 이를 통해 고객이 개인정보 보유 및 처리현황을 인식할 수 있으며, 원할 경우 처리정지, 삭제 등을 요구할 수 있도록 권리와 그 행사방법을 안내하고 있습니다.
  • 개인정보 처리절차는 수집->이용, 제공->보관->파기의 단계로 구분하여 자사 서비스 이용 시 최소한의 정보 수집원칙을 준수하며, 동의 받은 목적 내 사용만을 원칙으로 합니다. 이용 및 보관과정에서의 개인정보 유,노출을 막기 위한 기술적 보호조치를 수행하고 있으며, 이용목적이 달성된 고객정보는 지체없이 파기를 원칙으로 하고 있습니다.
  • 하나투어는 접근 제어 강화 및 개인정보 유출을 차단하기 위해 서버접근통제, DB접근통제, 정보유출방지, 개인정보처리시스템 접속기록관리 솔루션 등을 운영함으로써 고객개인정보 접근 및 오남용에 대한 모니터링을 실시하고 있습니다. 또한 고객정보 유출을 차단하기 위해 운영 및 개인정보처리시스템 환경을 망분리하여 운영하고 있습니다.
  • 실시간 침해 대응을 위해 365*24 보안관제를 운영하고 있으며, 정보보호관리체계를 기반으로 한 관리/물리/기술적 보호조치에도 불구하고 개인정보가 유출될 경우를 대비하여 ‘침해사고대응지침’을 마련하고 대응조직구성/모니터링/접수/대응/분석/재발방지 등의 프로세스에 따라 사고 발생 시 대응 및 사후관리를 대비하고 있습니다
  • 하나투어는 개인정보 및 정보보호에 대한 인식강화를 위해 매달 "개인정보보호&정보보호의 날" 캠페인을 진행하고 있으며, 매년 정보보호서약서를 갱신절차를 통해 임직원이 보안에 대한 경각심을 갖도록 유도하고 있습니다. 또한 전사 임직원을 대상으로 연 1회 개인정보보호 교육을 시행하고, 신규입사자들을 대상으로 한 정보보안교육도 진행하고 있습니다. 마지막으로 부서장급 이상의 임직원들에게 매주 보안뉴스레터를 발행하여 관리자급 임직원 스스로가 조직내에 보안인식제고를 전파시킬 수 있도록 유용한 정보를 제공하고 있습니다.
  • 정보보호 인증과 관련하여, 현재는 e-Privacy (개인정보 우수사이트 인증), PCI-DSS (지불카드 보안표준)를 통한 개인정보 및 고객카드정보 보호관련 인증을 유지하고 있으며, ISMS(정보보호관리체계)는 2023년 인증을 목표로 준비하고 있습니다.
정보 보호 목표
2025년
내부정보 유출 통제 정보보호 인증 취득 보안 활동 이슈 발생
모니터링 강화 E-privacy 인증 유지
ISMS 인증 유지
PCI-DSS 인증 유지		 보호 활동 강화
임직원 교육
법규 준수		 0 건
2026년~2028년
내부정보 유출 통제 정보보호 인증 취득 보안 활동 이슈 발생
대응 체계 고도화 E-privacy 인증 유지
ISMS 인증 유지
PCI-DSS 인증 유지		 위험 식별 인식 강화
대응 체계 개선 및 강화		 0 건
2029년~2030년
내부정보 유출 통제 정보보호 인증 취득 보안 활동 이슈 발생
보안 관리 고도화 E-privacy 인증 유지
ISMS 인증 유지
PCI-DSS 인증 유지		 신규 보안 기술 도입
시스템 및 프로세스 개선		 0 건
운영 성과

하나투어의 정보보호관리체계 현황을 분석하고 법률 준거성 진단을 통해 개선과제를 도출하였으며 이에 대한 조치계획 수립 및 조치를 적용하였습니다.

관리/물리 취약점 점
정보보호의 날 운영 임직원의 보안 인식 제고를 위해 매월 둘째 주 수요일을 '정보보호의 날'로 지정하여 운영하고 있습니다. 정보보호 자율점검, 개인정보 교육, 문서 이관 및 파쇄 등 매월 다양한 주제로 활동을 추친하고 있습니다. 또한, 매월 보안뉴스를 발간하여 최신 보안 사고 사례 및 보안 이슈를 임직원들과 공유하고 있습니다.
정보보호 교육 본사 및 지방 지사 정규직, 계약직을 포함한 전 임직원 대상으로 정보보호 교육을 실시하고 있으며 신입사원 입사 시 정보보호 교육을 이수하도록 필수화하여 진행하고 있습니다. 이외에도 임직원의 정보보호 서약서를 전산화하여 연1회 서명을 받아 정보보호에 대한 임직원의 인식을 높이고자 노력을 지속하고 있습니다.
보안사고 모의훈련 IT 재해 발생을 대비하기 매년 재해 복구 모의훈련 시행을 통하여 재해 발생 시 신속하게 시스템이 정상적으로 작동될 수 있도록 대비하고 있으며, 침투 모의훈련을 실시하여 회사의 정보 보안 태세를 강화하고 실제 침해사고 발생 시 신속하고 효과적으로 대응하기 위해 정기적으로 훈련하고 있습니다.
안전사고 예방점검 건물 관리자와 안전 관리자가 협력하여 화재, 감전 등 안전 사고가 발생할 수 있는 위험 요소를 발견하고 사전에 제거하는 작업을 진행하고 있습니다. 정기 점검을 통해 소방시설 및 취약장소 개선 활동을 진행하였습니다.
사내 보안 활동
사내 보안 활동
보안레터 발송 주1회 관리자급 이상 임직원 대상 국내외 최신 보안 이슈 및 특이사항이 반영된 보안레터를 정기적으로 발송하였습니다. 이를 통해 총 34회의 레터를 발송하여 임직원들의 보안 인식을 제고하였습니다.
정보보호 캠페인 활동 진행 연 6회 수요일 정보보호의 날을 지정 및 운영하여 보안 관련 이슈 및 보안 권고사항 등을 안내하였습니다.
  • 하나투어 개인정보 처리방침
    개인정보 처리 방침 원문보기 원문보기


 
개인정보취급방침