한화오션 ESG

정보보호 관리체계

한화오션은 개인정보보호법, 정보통신망법 등 관련 법규의 준수와 회사의 중요 정보자산 보호, 사이버 공격으로 인한 정보유출 및 시스템 마비 등의 피해를 예방하기 위해 정보보호 관리체계를 구축하고 체계적인 정보보호 관리를 수행하고 있습니다. 이를 위하여 관리조직 상의 정보보호최고책임자(CISO: Chief Information Security Officer)를 지정 및 신고하고, 정보보호위원회를 운영하고 있습니다.

관리조직

CEO
정보보호위원회
CISO

(정보보호최고책임자)
대관청/협회
- 국가정보원/산원동상자원부
- 검찰청/경찰청
- 보안관련협회
방산보안(특수선)
정보보호실무위원회
- 협업조직
- 보안관리자(조직장)
- 보안담당자
- 협업조직
- 보안관리자(조직장)
- 보안담당자
- 협업조직
- 보안관리자(조직장)
- 보안담당자
- 협업조직
- 보안관리자(조직장)
- 보안담당자

관리조직 표
주요 의사결정 기구	정보보호 위원회	정보보호 실무위원회
운영주기	위원장 주관 임원 회의체에서 운영	사안 발생 시 수시 운영
위원장 및 역할	위원장 : CEO 역할 : 보안관리 주요정책의 적절성, 유효성 심의 산업보안 신고에 따른 사고처리 심의(포상, 징계) 국가핵심기술의 양도, 양수에 관한 심의 국가핵심기술의 보안등급 적절성 심의 중장기 보안관리 로드맵에 대한 심의 기타 보안관리 업무수행 상 협의 조정을 요구하는 사항	위원장 : CISO (Chief Information Security Officer, 정보보호최고책임자) 역할 : 보안관리 주요 정책 및 이슈 사항에 대한 검토/심의 기타 정보보호위원회에서 위임한 사항
정보보호관리체계 적용 범위	설계 및 생산기술 정보에 관한 정보보호경영시스템

보안사고 예방 및 대응

한화오션은 임직원에 의한 보안 자료 외부 유출 사고와 해킹(스팸)메일에 의한 해킹을 주요 리스크로 식별하고, 이를 방지하기 위해 임직원 교육과 홍보를 강화하고 있습니다. 임직원의 보안 인식을 높이기 위하여 매월 첫째 주 월요일을 전사 보안의 날로 지정하여 보안 교육 자료를 필수적으로 열람하도록 관리하고 있습니다.

또한 스팸 메일 신고 절차를 정비하고, 악성 메일 대응 모의 훈련을 수행하여 해킹(스팸)메일에 대비하고 있으며, 악성 메일 대응 자체 훈련 결과를 임직원에게 공유하여 보안 의식을 고취하고 있습니다. 뿐만 아니라 보안선언문을 통해 회사가 보호해야 할 정보 자산과 정책을 구성원들과 명확히 공유하고 있습니다.

보안사고 예방 및 대응 표
악성 메일 대응훈련	카드뉴스/오션뷰 (사내매체) 홍보	CEO 메시지 (보안선언문)
2회	6회	1회

악성메일 대응 모의훈련결과

보안사고 예방 및 대응 표
구분	2022	2023
감염률(%)	2.5%	7.9%
신고율(%)	20.8%	20.5%

보호해야 할 자산

회사의 기밀정보, 국가핵심기술 및 개인정보
업무수행을 통해 생성되고 관리되는 중요한 업무정보
업무지원을 위한 정보시스템의 설비, 매체 및 기기
업무수행과 관련된 물리적 장소 및 장비와 관련된 업무환경

자산 보호 정책

유무형 자산을 보호하기 위한 보안관리 제계를 구축·실행한다.
유무형 자산에 대한 관리적, 물리적, 기술적인 보안정책을 수립·실행한다.
전 임직원의 보안정책 실행력 향상을 위한 교육계획을 수립·실행한다.
보안사고관리, 사업 연속성 관리, 법적 준거성 이행을 위한 기본대책을 수립·실행한다.

해킹메일(스팸) 판별법 및 신고방법 안내 카드뉴스

정보보호 활동

한화오션은 2022년부터 보안 전문 업체와 협력하여 '한화오션 사이버보안관제센터'를 운영하며, 능동적인 보안 관제, 실시간 위협 탐지 및 체계적인 대응을 수행하고 있습니다. 또한, 증가하는 사이버 공격에 대비하기 위해 보안 컨설팅을 통해 정보 보안의 중장기 전략을 수립하고, 지속적인 투자와 제도 개선 및 시스템 정비를 이어가고 있습니다. 각 항목별 정보통신기술을 통한 보안시스템 현황은 다음과 같습니다.

정보보호 활동 표
항목	ICT 보안시스템 현황
네트워크	사이버 침해사고 예방을 위해 인터넷 방화벽, 침입 탐지/차단, 스팸메일 차단 시스템을 운영하고, 비인가 전산장비의 회사 네트워크 연결은 원천 차단
클라이언트	내부 정보자산의 외부 유출 예방을 위해 문서 암호화, 출력물 보안, 매체 통제를 적용하고, 침해사고 예방을 위해 바이러스 백신, 비인가 프로그램 설치 차단, 방산 구역 물리적인 망 분리 (업무망과 인터넷망 분리)를 적용
통합보안 관제	한화오션 사이버보안관제센터를 구축하여 외부 전문업체를 통한 365일 24시간 상시 보안관제 수행하고, 보안관제업무의 효율성을 극대화하기 위해 정보유출 및 외부 침입 관제 업무를 자동화, 시각화 한 실시간 통합보안관제 시스템 운영
자회사 및 협력사	네트워크에 연결된 모든 사업장 (자회사, 사내협력사 포함)에 동일한 보안정책 적용하고 자체 모니터링을 통해 악성코드/랜섬웨어 유포지 차단

국제인증 및 정보보호

한화오션은 산업을 선도하는 기술 기업으로서, 국가핵심기술을 포함한 중요한 정보보호를 위해 국제 표준과 국내외 법률을 준수하고자 다양한 정책과 활동을 펼치고 있습니다. 이를 위한 기반으로써 기업의 정보보호 관리체계에 대한 국제 표준인 ISO/IEC 인증(27001, 27017)을 획득하여 유지하고 있습니다.

정보보호 교육

한화오션은 정보보호와 관련하여 협력사를 포함한 전사인원에 대해 다양한 교재를 활용하여 대면 및 온라인교육을 실시하고 있습니다. 한화오션의 주요한 사업인 조선업으로 국가핵심기술에 해당합니다. 이에 따라 산업기술보호법에 따른 지침을 준수하여야 하며, 이러한 준수를 위해 신규입사자 뿐만 아니라 보안담당자, 퇴직예정자 대상으로 정보유출 방지를 위해 힘쓰고 있습니다. 협력사에 대해서도 사내 보안점검 규정을 홍보하고 사내 보안관리를 위한 출입관리 등을 수행하고 있습니다.

정보보호 교육 표
분류	구분	내용
대면교육	신입	산업보안, 국가핵심기술, 악성메일 대응 훈련 및 출입관리
	직무별	국가핵심기술 관련 법률 정보보안경영시스템 (ISO 27001/27017)인증 심사대비 교육 악성메일 대응 훈련
	협력사	사내 보안관리, 산업보안, 국가핵심기술 및 출입관리 협력사와 관련한 보안점검 내용 홍보
온라인교육	직무별	국가핵심기술 관련 법률 악성메일 대응 훈련 기술 보호 관련 회사 규정
교재배포		국가핵심기술 보안교육

온라인 교육

지속가능경영보고서

정보보호

정보보호