포스코는 대내외 보안 환경 변화와 업무 특성을 종합적으로 고려하여 전사 정보보호 전략과 정책의 방향성을 검토하며, 이를 기반으로 전사 정보보호 정책을 심의·의결하는 정보보호위원회를 운영하고 있습니다. 위원회에서 결정된 사항은 사규 및 업무 프로세스에 반영되어 전 조직에 적용됩니다. 이를 기반으로 보안 위협에 대한 사전 예방체계를 구축하는 한편, 보안사고 발생 시 신속하고 체계적인 대응 프로세스를 마련하고 있습니다.

포스코는 법·제도 변화, 기술 발전, 경영 환경의 복잡성 증가에 대응하기 위해, 관리적·기술적·물리적·인적 요소를 아우르는 통합 정보보호 체계를 운영하고 있습니다. 국내외 정보보호 관련 법규 및 글로벌 규제 요구사항을 지속적으로 분석하며, 다양한 보안 리스크에 선제적으로 대응하고 있습니다. 포스코는 2021년 정보보호 관리체계 국제표준인 ISO·IEC 27001 인증을 획득한 이후, 지속적인 사후 심사를 통해 글로벌 수준의 보안관리체계를 유지하고 있으며, 2025년에는 유럽 자동차협회(ENX)의 정보보호 인증인 TISAX 인증을 획득하였습니다.
또한 포스코는 해외법인, 사업회사, 협력사 등을 대상으로 맞춤형 정보보호 컨설팅을 수행하며, 밸류체인 전반의 보안 수준 향상을 위해 노력하고 있습니다. 포스코는 이러한 정보보호 활동을 통해 보안 리스크 최소화, 규제 요구사항 및 법령 준수, 그리고 정보자산의 신뢰성과 안전성 확보라는 세 가지 핵심 가치를 달성하고 있습니다.

포스코는 정보보호 원칙을 기반으로 정보보호 규정 및 개인정보보호 규정을 수립하고, 이를 바탕으로 문서관리지침, 도면관리지침 등 분야별 세부 지침을 제정·운영함으로써 조직 전반의 정보보호 수준을 지속적으로 강화하고 있습니다. 이러한 체계를 통해 보안사고 발생 가능성을 최소화하고, 중요 정보 자산의 보호와 안정적 관리를 실현하고 있습니다.
특히, 문서·도면·기술자료 등 중요 정보의 생애주기(Lifecycle)를 아우르는 보안 관리 기준을 수립하여, 저장·이동·공유·폐기 등 체계적 관리를 시행하고 있습니다. 또한, 개인정보보호 규정을 통해 고객 및 임직원의 개인정보를 보호하고자 관리적·기술적 보호조치를 명확히 정의하여 이행하고 있습니다.
포스코는 정보보호 환경의 변화를 반영하기 위해 관련 규정 및 지침을 최신 법령과 제도, 산업 환경에 맞춰 매년 제·개정하고 있으며, 모든 문서는 표준문서관리시스템을 통해 임직원 누구나 열람 가능하도록 운영하고 있습니다. 주요 개정 사항은 사내 포탈 시스템(EP)을 통해 공지함으로써, 임직원들이 규정을 정확히 이해하고 실천할 수 있는 기반을 마련하고 있습니다.

포스코는 국가핵심기술 7건을 보유하고 있으며, 이를 보호하기 위해 매년 정부 주관 보안관리 실태조사 점검을 정기적으로 받고 있습니다. 회사는 국가핵심기술을 보유한 인력·문서·설비·정보시스템 등 주요 자산을 식별하고, 각 자산별로 위험 기반의 보호대책을 수립·적용하고 있습니다. 또한, 주요 기술자산을 대상으로 한 정기 진단 및 관리실태 점검을 통해 보안 취약요소를 식별하고, 보완조치를 지속 이행함으로써 기술유출 방지와 안전한 관리 환경을 조성하고 있습니다.

포스코는 철강사업의 정보보호 신뢰도를 제고하기 위해, 정보를 공유하는 국내 사업회사, 해외법인, 주요 협력사 등 밸류체인 전반을 대상으로 보안 수준 강화를 위한 다양한 활동을 추진하고 있습니다. 구체적으로는 매년 정보보호 수준 진단, 맞춤형 보안 컨설팅, 임직원 대상 보안 교육 등을 통해 리스크를 사전에 차단 및 공동 대응 역량을 강화하고 있습니다. 이러한 활동은 밸류체인 보안 생태계의 성숙도를 높이는 동시에, 고객사·협력사와의 신뢰 기반을 강화하는데 기여하고 있습니다.

포스코는 365일 24시간 운영되는 통합 보안관제센터를 통해 사이버 위협 동향을 상시 모니터링하고 있으며, 보안 솔루션 및 관제 시스템과의 연계를 통해 위협을 식별·차단·완화하고 있습니다. 통합 보안관제센터는 국내외 해킹 시도 및 이상 행위에 대한 정보 수집과 정밀 분석을 기반으로, 선제적 대응 체계를 구축하고 있습니다. 또한, 외부 사이버 공격에 대비하기 위해, 보안위험 평가(Security Risk Assessment)를 수행하고 있으며, 주요 홈페이지 및 업무 시스템에 대해서는 정기적인 모의 해킹(침투 테스트)을 통해 보안 취약점을 점검하고 개선하고 있습니다.

포스코는 한국인터넷진흥원(KISA)의 사이버 위기 경보 기준을 준용하여, 사내 침해위협 수준에 따라 5단계 침해위협 경보 체계를 마련하고 있습니다. 이를 기반으로 ‘사이버 위기 대응 매뉴얼’을 수립하여, 침해 유형별로 대응 절차 및 관련 부서의 역할과 책임을 명확히 정의함으로써, 침해위협 발생 시 즉각 대응하여 피해 확산을 방지하고 있습니다.

포스코는 임직원의 정보보호 인식을 제고하고 보안을 일상 업무의 일환으로 내재화하여 조직 구성원 모두가 정보보안의 주체가 되도록 지원하고 있습니다. 전 임직원은 매년 정보보호 e러닝 필수 교육을 이수해야 하며, 신입사원, 비서 직군, 국가핵심기술 취급자 등은 역할별 맞춤형 교육을 별도로 제공받고 있습니다. 또한, 사내 정보보호 신고센터를 운영하여, 임직원 누구나 해킹 사고, 정보유출 징후, 보안 취약점 등에 대한 제보는 물론, 보안 강화 아이디어를 자유롭게 제안할 수 있도록 하고 있습니다. 보안 신고 등 적극적으로 보안 활동에 기여한 임직원에게는 포상을, 보안 수칙을 위반한 사례에 대해서는 관련 규정에 따른 조치를 시행하고 있습니다.