Compliance

내부정보관리규정

내부정보 관리에 관한 규정

시행일자: 2025년 10월 15일

제1장 총칙

제1조 (목적)

본 규정은 주식회사 스텔라에이아이(이하 "회사"라 함)의 내부정보 관리에 관한 기본적 사항을 규정함으로써 회사의 정보자산을 보호하고, 임직원의 책임과 의무를 명확히 하며, 관련 법규 준수를 목적으로 한다.

제2조 (적용범위)

본 규정은 회사의 모든 임직원 및 협력업체 직원에게 적용된다.

  • 정규직, 계약직, 파견직 등 모든 형태의 임직원
  • 아웃소싱, 외주업체 등 회사 정보에 접근 권한이 있는 모든 협력업체 직원
  • 인턴, 수습 사원 등 임시 근무자

제3조 (용어의 정의)

본 규정에서 사용하는 용어의 정의는 다음과 같다:

  • 내부정보: 회사의 경영, 영업, 기술, 고객정보 등 회사의 업무와 관련된 모든 정보
  • 기밀정보: 회사의 핵심 영업비밀, AI 기술 관련 정보, 고객 데이터 등 외부 유출 시 회사에 중대한 손해를 끼칠 수 있는 정보
  • 개인정보: 개인정보 보호법에 따른 개인을 식별할 수 있는 정보
  • 정보자산: 서류, 전자문서, 데이터베이스, 소프트웨어, 하드웨어 등 정보가 저장된 모든 형태의 자산

제2장 내부정보 관리체계

제4조 (정보보호책임자)

정보보호책임자

성명: 정지영

직책: 대표이사

책무: 내부정보 관리체계의 수립, 운영 및 개선에 관한 총괄 책임

제5조 (정보등급 분류)

회사의 내부정보는 다음과 같이 등급을 분류한다:

등급 정의 예시
1급 기밀 외부 유출 시 회사의 존립에 치명적 영향 AI 알고리즘 소스코드, 핵심 기술 문서, M&A 정보
2급 대외비 외부 유출 시 회사에 중대한 손해 발생 고객 계약서, 영업 전략, 재무정보
3급 내부용 사내에서만 사용되는 일반 업무 정보 내부 회의록, 업무 매뉴얼, 조직도
일반 공개 가능한 정보 회사 소개서, 공개 채용공고, 보도자료

제3장 정보보호 조치

제6조 (접근권한 관리)

  • 정보자산에 대한 접근은 업무상 필요한 최소한의 범위로 제한한다
  • 1급 기밀정보는 대표이사의 승인을 받은 자만 접근 가능하다
  • 접근권한은 정기적으로 검토하여 불필요한 권한은 즉시 회수한다
  • 퇴사자의 모든 접근권한은 퇴사일 즉시 삭제한다

제7조 (물리적 보안)

  • 서버실, 전산실 등 주요 정보자산 보관 장소는 출입통제 시스템을 설치한다
  • 기밀문서는 잠금장치가 있는 캐비닛에 보관한다
  • 사무실 출입 시 ID 카드를 착용하며, 외부인 출입 시 방문증을 발급한다
  • 업무용 PC는 화면보호기와 자동 잠금 기능을 설정한다

제8조 (기술적 보안)

  • 모든 정보시스템은 최신 보안 패치를 적용한다
  • 중요 정보는 암호화하여 저장 및 전송한다
  • 백신 프로그램을 설치하고 실시간 감시 기능을 활성화한다
  • 방화벽 및 침입탐지 시스템을 운영한다
  • 비밀번호는 영문, 숫자, 특수문자를 조합하여 10자리 이상으로 설정한다

제9조 (AI 시스템 보안)

회사의 핵심 사업인 AI 시스템에 대한 특별 보안 조치:

  • AI 학습 데이터 및 모델은 암호화하여 보관하며, 접근 로그를 기록한다
  • 고객사 AI 시스템 통합 프로젝트 정보는 1급 기밀로 분류한다
  • AI 알고리즘 소스코드는 형상관리 시스템을 통해 버전 관리하며, 외부 반출을 금지한다
  • 고객 데이터 분석 시 개인정보 비식별화 조치를 의무화한다

제4장 임직원의 의무

제10조 (비밀유지 의무)

  • 임직원은 재직 중은 물론 퇴직 후에도 업무상 알게 된 내부정보를 외부에 누설하거나 부당하게 사용해서는 안 된다
  • 업무상 취득한 고객정보는 업무 목적 외에 사용할 수 없다
  • SNS, 블로그 등에 회사 관련 정보를 게시할 경우 사전에 정보보호책임자의 승인을 받아야 한다

제11조 (정보 반출 및 파기)

  • 기밀정보의 외부 반출은 정보보호책임자의 사전 승인을 받아야 한다
  • 불필요한 정보는 복구 불가능한 방법으로 완전히 파기한다
  • 개인 이메일, 클라우드 스토리지 등으로 업무 정보를 전송하는 것을 금지한다
  • 퇴사 시 보유한 모든 회사 정보를 반납하고, 개인 소유 기기에서 삭제해야 한다

제5장 보안사고 대응

제12조 (사고 보고 및 대응)

  • 정보보안 사고 발생 시 즉시 정보보호책임자에게 보고해야 한다
  • 회사는 사고 원인을 분석하고 재발 방지 대책을 수립한다
  • 개인정보 유출 사고 발생 시 관련 법령에 따라 신고 및 통지 절차를 이행한다

제13조 (교육 및 점검)

  • 전 직원 대상 정보보호 교육을 연 2회 이상 실시한다
  • 정보보안 점검을 분기별로 실시하고, 취약점을 개선한다
  • 신입사원은 입사 시 정보보호 교육을 의무적으로 이수해야 한다

제6장 위반 시 조치

제14조 (징계)

본 규정을 위반한 경우 다음의 조치를 취할 수 있다:

  • 경고, 견책, 감봉, 정직, 해고 등의 징계 처분
  • 손해배상 청구
  • 형사 고발 (부정경쟁방지법, 개인정보보호법 등 위반 시)

부칙

제15조 (시행일)

본 규정은 2025년 10월 15일부터 시행한다.

제16조 (개정)

본 규정의 개정은 대표이사의 승인을 받아 시행하며, 개정 내용은 시행 7일 전까지 전 직원에게 공지한다.