한국기술교육대학교 법규정보시스템 | 정보보안 기본규칙

제1조 (목적)

본 규칙은「고용노동부 정보보안 기본지침」에 의거 한국기술교육대학교(이하 "본교" 라 한다)의 정보보안활동에 필요한 세부사항 규정을 목적으로 한다.

제2조 (적용범위)

본 지침은 본교 내 전체 정보시스템 및 PC, 대학 구성원에게 적용한다.

제3조 (용어 정의)

이 규칙에서 사용하는 용어의 정의는 다음과 같다.

1.	"정보통신망"이라 함은 유ㆍ무선을 매개로 하는 다양한 정보통신수단에 의하여 부호, 문자, 음향, 영상 등의 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보 통신체계를 말한다.

2.	"정보보호"또는"정보보안"이라 함은 정보통신수단으로 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신 되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하거나 정보통신망을 보호하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위를 말한다.

3.	"전산장비실"이라 함은 서버ㆍPC등 전산장비와 스위치ㆍ교환기ㆍ라우터등 통신 및 전송장비 등이 설치 운용되는 장소를 말한다.

4.	"전산자료","전자문서","전자기록물"이라 함은 전산장비에 의하여 전자기적인 형태로 입력ㆍ보관되어 있는 각종 정보(data)를 말하며, 그 자료가 입력되어 있는 자기테이프, 디스크 등 보조기억매체를 포함한다.

5.	"보조기억매체"라 함은 디스켓ㆍCDㆍ하드디스크ㆍUSB 메모리 등 정보를 저장할수 있는 것으로 정보통신시스템과 분리할 수 있는 기억장치를 말한다.

6.	"정보보안시스템"이라 함은 정보의 수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.

7.	"비밀번호"라 함은 전산장비에 저장되어 있는 자료를 무단열람하거나 부정출력하지 못하게 하기 위하여 사용하는 패스워드를 말한다.

8.	"기밀성"이라 함은 정보가 인가되지 않은 개인이나, 처리과정 등에 누설되거나 공개되지 않는 속성을 말한다.

9.	"무결성"이라 함은 정보가 고의적 또는 우발적으로 변경, 파괴되지 않고 일관성을 유지하는 속성을 말한다.

10.	"가용성"이라 함은 인가자가 정보나 정보시스템을 사용 또는 접근하고자 할 때 사용 또는 접근이 가능하게 하는 속성을 말한다.

11.	"접근통제"라 함은 인가된 사용자, 프로그램, 프로세스, 시스템 등의 주체만이 정보시스템의 자원에 접근할 수 있도록 제한하는 것을 말한다.

12.	"중요정보"라 함은 노출, 변경, 파괴되면 본교에 지대한 영향을 미칠 수 있는 정보를 말한다.

13.	"로그"라 함은 시스템 사용에 관련된 전체의 기록, 즉 입출력 내용, 프로그램 사용 내용, 데이터 변경 내용, 시작시간, 종료시간 등의 기록을 말한다.

14.	"프로젝트담당자"라 함은 정보시스템 개발 등의 외부용역사업 시 본교의 해당 업무담당자를 말하며, 해당 용역사업 및 용역업체 직원에 대한 관리 책임이 있다.

15.	"내부망"이라 함은 본교의 보안관리하에 있는 네트워크 중 침입차단시스템 또는 스크리닝 라우터를 경계선으로 하여 보호받는 본교의 주요 네트워크를 말한다.

16.	"외부망" 또는 "상용망"이라 함은 내부망을 제외한 모든 네트워크를 말한다.

17.	"단말기"라 함은 시스템에 연결되어 단순히 입ㆍ출력 기능만 수행하는 전용단말기와 내부망에 연계되어 운용하고 있는 개인용 컴퓨터를 포함한다.

18.	"RFID(Radio Frequency IDentification) 시스템"이란 대상이 되는 사물 등에 RFID 태그를 부착하고 전파를 사용, 해당 사물 등의 식별정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집ㆍ저장ㆍ가공 및 활용하는 시스템을 말한다.

19.	"개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명ㆍ주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다.

20.	"내부감사"라 함은 정보보호 관련 지침과 매뉴얼의 준수 여부를 확인하고, 개선사항을 제시하며 이행을 권고하는 활동을 말한다.

21.	"침해사고"라 함은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.

22.	"행정지역"이라 함은 학생 및 대학원생이 사용하는 실습실 및 연구실을 제외한 학사 운영 및 대학 운영등과 관련된 부서 및 장소를 말한다.

정보보안 조직 체계

제4조 (보안심사위원회)

①	정보보안 업무에 관한 중요한 사항을 심의ㆍ의결하기 위한 보안심사위원회(이하 ‘심사위원회')는 보안업무 처리규칙 제1장 4조 규정을 준수한다.

②	심사위원회는 다음 각 호의 사항을 심의ㆍ의결한다.

1.	정보보호 지침 제ㆍ개정에 관한 사항

2.	기타 보안담당관이 정보보안과 관련하여 필요하다고 인정하는 사항

제5조 (정보보안 조직 구성)

①	본교 정보보안 업무를 원활히 수행하기 위하여 정보보안 조직은 보안업무 처리규칙 제1장 제3조 규정을 준수한다.

②	정보보안 조직의 구성은 다음과 같다.

1.	보안담당관 : 총무팀장

2.	분임보안담당관 : 교무팀장, 학생지원팀장, 입학홍보팀장, 정보화운영팀장, 능력개발교육원 연수기획팀장, 온라인평생교육원 플랫폼운영팀장, 직업능력심사평가원 기획운영팀장

3.	분임보안담당관은 효과적인 정보보안 업무 수행을 위해 소관부서의 직원을 보안담당자로 지정하여야 하며, 별도 지정이 없는 경우 서무가 ‘부서 정보보안담당자'가 된다.

제6조 (보안담당관)

①	보안업무처리규칙 제1장 제4조 규정을 준수하며 보안담당관은 다음 각 호의 임무를 수행한다.

1.	정보보안 업무 총괄

2.	정보보호 지침 등 관련 정보보호문서 제ㆍ개정 총괄

3.	정보보안 내ㆍ외부 감사 및 보안점검 총괄(상위기관)

4.	기타 정보보안업무 전반에 관한 지도, 조정 및 기타 감독에 관한 사항

②	보안업무 처리규칙 제1장 제3조에 의해 규정된 분임담당관인 정보화운영팀장은 기술분야 정보보안을 총괄하는 업무를 수행하며 기술보안담당관이라 한다. 기술보안담당관은 보안업무 처리규칙 제1장 제3조의 분임담당관의 임무와 함께 다음 각 호의 임무를 수행한다.

1.	보안담당관 업무를 보좌하여 기술분야 보안업무 총괄 관리ㆍ감독

2.	주요 연간 기술분야 정보보안 활동계획 수립 및 이행

3.	주요 정보자산 목록에 대한 관리 및 통제

4.	침해사고 대응체계 수립 및 이행

5.	보안취약성, 위험 분석 및 보안대책 적용

6.	신규 정보시스템 개발 시 자체 보안대책 적용

7.	상위기관 보안성 심의 요청

8.	정보보안시스템 보안정책 등록 및 변경

9.	정보통신망 및 정보자료 등의 보안관리 주관

10.	정보통신망 신ㆍ증설시 보안대책 수립

11.	기타 정보시스템 보안관리 감독

정보보안 목표 및 기본활동

제7조 (기본목표)

한국기술교육대학교 정보보안의 기본목표는 본교가 보유하고 있는 중요정보 유출을 방지하고 정보시스템 및 정보통신망의 기밀성ㆍ무결성ㆍ가용성을 확보하는데 있다.

제8조 (활동방향)

본교는 정보보안을 위하여 다음 각 호의 기본활동을 수행한다.

1.	정보보안 정책 및 활동 세부계획 수립ㆍ시행

2.	정보보안 감사ㆍ지도점검 실시

3.	취약 정보통신망 보안대책 수립 추진

4.	정보보안 위규 적발 및 사고조사 처리

5.	사이버위협정보 수집ㆍ분석 및 보안관제

6.	사이버공격 관련 경보 발령 시 대응활동

7.	침해사고 대응ㆍ복구

8.	정보보안 교육계획 수립ㆍ시행

9.	정보보안업무 심사분석 시행

10.	정보보안 관련 규정ㆍ지침 등 제ㆍ개정

11.	기타 정보보안 관련 사항

제9조 (정보보안 추진계획 수립 및 검토)

①	보안담당관 및 분임보안담당관은 연간 정보보안 추진계획을 수립ㆍ시행하고 그 추진결과를 심사ㆍ분석해야 한다.

②	보안담당관 및 분임보안담당관은 세부추진계획 및 심사분석을 ‘[별지 제1호 서식] 정보보안업무 추진계획' 및 ‘[별지 제2호 서식] 정보보안업무 심사분석'에 따라 작성하여 관리해야 한다. 필요한 경우 별도의 서식을 사용할 수 있다.

③	또한 본 규칙을 비롯한 정보보호관련 문서에 대해 연간 1회 이상 검토를 실시하는 것을 원칙으로 하며 상위기관의 규칙 및 지침 등이 변경될 경우 최신의 보안정책을 반영하기 위해 상시 개정을 추진 할 수 있다.

제10조 (위험분석)

①	기술보안담당관은 기존에 운영 중인 정보자산뿐만 아니라 새로 도입되는 정보자산에 대해서도 위험분석을 실시할 수 있다.

②	본교의 정보보안을 구성하는 환경의 중대한 변화가 발생했을 경우, 보안담당관의 결정에 따라 위험분석을 실시할 수 있다.

제11조 (위험관리)

기술보안담당관은 위험분석 결과를 바탕으로, '위험수용기준(DoA)'에 따라 관리대상 위험을 식별하고 각 부서의 위험분석 및 단계별 위험관리방안을 참고하여 ‘정보보호 대책명세서'를 작성할 수 있다.

제12조 (내부감사)

①	보안담당관, 기술보안담당관은 정보보안 전반에 대한 연간내부감사 계획을 수립하여 실시한다.

②	보안담당관은 내부감사 결과 발견된 취약점 및 부적합 사항에 대해 각 해당 팀에게 적절한 조치를 취하도록 권고하며, 이의 이행을 모니터링 한다.

③	감사대상 영역에 대한 보안감사 증적(Audit Trails)을 확보하고, 증거 자료의 무결성이 보장되도록 조치한다.

④	서버, 네트워크시스템, 응용시스템, 데이터베이스 등에 대하여 내부감사에 필요한 시스템 로그의 종류와 보존기간을 해당 지침 및 매뉴얼에 명시하여, 심사 시에 충분한 증거로서 활용한다.

⑤	내부감사 시 사용되는 정보시스템 감사도구에 대한 오용 및 손상을 방지하기 위한 적절한 통제를 수행하여야 한다.

⑥	내부감사를 위해 필요한 경우 외부 지식정보보호 전문업체를 통하여 점검을 수행할 수 있다.

정보자산 관리

제13조 (정보자산 식별 및 관리)

①	기술보안담당관은 정보시스템과 관련된 정보자산들에 대해서는 총괄책임을 지고 분임보안담당관은 소관부서별로 정보자산관리자를 지정하여 해당 자산을 관리한다.

②	기술보안담당관 및 분임보안담당관은 정보자산 식별 및 분류 작업을 수행하며 정보자산의 소유자, 관리자, 사용자 및 정보자산 보호등급을 정의하고 정보자산에 대한 목록‘[별지 제3호 서식]정보자산목록'을 관리하도록 한다.

③	기술보안담당관은 중요도 평가 기준을 수립하여 평가 기준에 따라 정보자산에 대한 중요도를 평가한다.

④	기술보안담당관은 정보시스템 운영 환경의 변화에 따라 자산의 중요도 평가 기준을 변경할 수 있다.

⑤	기술보안담당관은 정보 자산의 도입, 추가 및 폐기로 인해 변경사항이 발생한 즉시 정보자산목록을 변경해야 한다.

⑥	분임보안담당관은 소속부서의 정보자산현황을 작성하여 관리해야 하며, 해당 정보자산의 현황이 변경된 경우 소속부서의 정보자산 현황을 기술보안담당관에게 통보해야 한다.

⑦	기술보안담당관은 중요 정보자산에 대하여 주기적으로 또는 용도 및 세부내역이 변경된 경우 중요도를 재검토하여 재분류 한다.

제14조 (정보자산의 보안관리)

①	본교 내부직원 및 외부 용역직원들은 본교 내부 정보자산을 개인의 목적으로 외부 반출 및 타인에게 전송 할 수 없다.

②	전자적 형태의 정보자산을 업무상 목적으로 전송 또는 배포하고자 하는 경우에는 승인된 정보기기 및 전송망을 사용해야 한다.

③	보안담당관은 중요 정보자산에 대하여 비인가자의 무단접근을 통제할 책임을 지닌다.

④	중요 정보자산의 외부 반출은 소속팀장의 사전 승인 후 반출한다.

1.	소속팀장은 감사를 위해 관련내용을 기록 관리하고, 저장매체 내의 데이터를 확인한다.

2.	소속팀장은 외부로 반출ㆍ입 되는 정보자산의 승인여부를 확인하고, 관련내용을 기록 관리한다.

⑤	보안담당관은 관련 규정에 따라 정보자산이 적절하게 사용 및 운용되고 있는지 관리ㆍ감독한다.

제14조의2(시스템 보안책임 범위)

①	사용자는 개인PC 등 소관 정보시스템을 사용하거나 본인 계정으로 정보통신망에 접속하는 것과 관련한 보안책임을 가진다.

②	시스템관리자는 서버ㆍ네트워크 장비 등 부서 공통으로 사용하는 정보시스템의 운용과 관련한 보안책임을 가진다.

③	제1항부터 제2항까지와 관련하여 정보시스템을 실제 운용하는 부서의 장이 정보시스템‘관리책임자'가 되며, 관리책임자는 정보시스템 관리대장을 수기 또는 전자적으로 운용 관리하여야 한다.

④	관리책임자는 부서의 정보시스템 관리대장에 정보시스템의 변경 최종 현황을 유지하여야 하며, 사본1부를 기술보안담당관에게 제출해야 한다.

⑤	기술보안담당관은 제1항부터 제4항까지에 명시된 정보시스템 운용과 관련한 보안대책 강구가 필요하다고 판단할 경우, 사용자ㆍ시스템관리자 및 관리책임자에게 시정을 요구할 수 있다.

제15조 (정보자산의 폐기)

①	교내 행정지역에서 정보자산의 폐기사유가 발생하면 보안담당관의 승인을 받은 후 폐기한다.

②	정보자산 재사용 또는 폐기 시 에는 다음 사항을 준수해야 한다.

구 분	출력물	보조기억매체
재사용	대외비 이상 정보의 재사용 (이면지 사용)금지	덮어쓰기 또는 신뢰할 수 있는 방법으로 데이터 완전 소거
폐 기	문서 수거함이나 문서 파쇄기를 통한 폐기	물리적으로 매체의 완전 파괴

정보보안 교육 및 홍보

제16조 (정보보안 교육 및 홍보)

①	보안담당관은 전 교직원을 대상으로 연 1회 이상 정보보안 교육을 실시하여야 한다.

②	보안담당관은 정보보안 교육의 효율성, 전문성을 높이기 위해 외부전문가의 지원을 요청할 수 있다.

③	보안담당관 및 기술보안담당관은 업무 전문성을 제고하기 위해 연 1회 이상 정보보안전문기관 교육 또는 정보보안 관련 세미나에 참석해야 한다.

④	보안담당관은 교직원에게 정보보안 인식을 제고할 수 있는 다음과 같은 내용을 활용하여 전자메일(e-mail), 교내 게시판(홈페이지, 그룹웨어) 등을 활용하여 홍보활동을 주기적으로 수행 한다.

인적보안

제17조 (채용 시 보안)

①	교직원(계약직 포함) 채용 시에는 재직 중에 취득한 정보에 대한 보안을 유지하도록 ‘[별지 제4호 서식] 정보보안 서약서(교직원용)'를 징구해야 한다.

②	분임보안담당관은 신규 입사자에 대해서 내부 보안업무 처리규칙, 정보보호 기본규칙, 개인정보보호규칙 등의 내용을 포함하여 정보보안 교육을 수행하고, 보안담당관은 교육수행 기록을 관리해야 한다.

제18조 (보직변경 등 인사이동시)

①	보직변경 등 인사이동시 업무시스템에 대한 접근권한을 인사발령과 함께 신속하게 변경 또는 조정하여야 한다.

②	인사이동시 PC에 저장된 업무관련 파일은 삭제해야하며, 업무관련 파일이나 정보유출에 대한 책임은 해당PC 사용자에게 있다.

제19조 (퇴직 및 계약해지 시)

①	퇴직자는(계약직 포함) 재직 중 보유 한 모든 정보자산(사용PC, 보조기억매체, 업무자료 및 문서, 출입증 등)을 반환해야 할 의무가 있으며, 해당 부서장은 퇴직자의 정보자산을 팀에 귀속시킬 수 있도록 할 책임이 있다.

②	퇴직 절차가 완료된 퇴사자에 대해 인사발령을 시행하고, 퇴직 처리된 퇴사자의 계정이 삭제될 수 있도록 요청한다.

③	기술보안담당관은 퇴직자에 의한 정보유출이 의심되거나 위험이 있는 경우 퇴직 처리 전에 사용자의 계정을 삭제 조치할 수 있다.

제20조 (보안규정위반자에 대한 처리)

보안담당관은 보안과 관련된 규칙, 지침 등을 위반하는 행위를 한 자에 대하여 보안심사위원회의 심의를 거쳐 총장에게 징계를 요구 할 수 있다.

물리적 보안

제21조 (보호구역 설정)

①	본교의 물리적 보안을 위해 보호구역을 설정하여 관리 한다.

②	보호구역은 그 중요도에 따라 통제구역, 제한구역으로 구분하며, 본교의 보호구역은 보안업무처리 규칙 제5장 제17조 규정을 준수한다.

③	보호구역에 대한 통제는 본 규칙 외에도 보안업무처리 규칙 제5장을 준수하여 관리한다.

제22조 (통제구역의 통제)

통제구역으로 지정된 장소는 다음과 같은 통제를 적용한다.

1.	출입통제 및 감시를 위해 출입통제시스템, 감시카메라(CCTV) 등을 설치한다.

2.	비인가자의 출입이 제한되는 ‘통제구역' 표시를 하여야 한다.

3.	통제구역의 출입 권한 등록은 최소한의 인원으로 제한하고, 인가자 외의 인원 출입 시 담당자 인솔 하에 출입한다.

제23조 (제한구역의 통제)

제한구역으로 지정된 장소는 다음과 같은 통제를 적용한다.

1.	출입통제를 위해 출입통제시스템을 설치한다.

2.	퇴직, 보직 변경된 교직원에 대한 불필요한 출입권한은 즉시 해제되어야 한다.

3.	외부자의 제한구역 내 출입은 업무상 필요에 따라 결정되어야 하며, 담당자에 의하여 이들의 제한구역 내 활동은 지속적으로 관리ㆍ감독되어야 한다.

제24조 (보호구역 재해 대비)

①	화재대비 소화기를 비치한다.

②	적정한 온ㆍ습도를 유지하기 위한 항온항습기를 설치 및 운용하도록 한다.

③	비상시에 대비하여 휴대용 조명기기를 비치한다.

④	재해 방지 설비에 대한 점검을 정기적으로 실시한다.

⑤	주기적인 재해대비 훈련에 대한 계획수립 및 훈련을 실시한다.

⑥	재해복구를 위한 방안을 마련하도록 한다.

제25조 (장비 설치 및 보호)

①	장비는 물리적ㆍ환경적 위협이나 위험, 또는 외부인의 접근으로부터의 위험을 줄일 수 있도록 설치하고 보호한다.

②	비밀정보를 다루는 원격터미널 또는 모니터는 비인가자가 외부로부터 투시가 될 수 없도록 배치하며, 특별한 보호가 요구되는 정보시스템은 격리된 장소에서 별도로 관리한다.

③	비상시 사용될 백업 장비 및 자산은 원격지에 보관한다.

④	정보시스템은 화재 등에 대비하여 건물 외벽과 거리를 두고 배치하고, 가능한 취사시설, 화장실 등으로부터 거리를 두고 배치한다.

⑤	정보시스템에 연결된 전력과 통신 케이블은 가능한 매설하고, 매설이 어려울 경우 보호를 위한 방안을 마련해야 한다.

⑥	장비는 정전이나 기타의 전기적 장애로부터 보호한다.

⑦	장비 및 설비는 정기적인 점검을 월 1회 이상 실시하여 장애나 고장으로부터 보호한다.

제26조 (장비 폐기 및 재사용)

①	중요한 정보를 담고 있는 저장 장치의 폐기 및 재사용 시에는 물리적으로 파괴하는 등 적절한 정보보호 대책을 적용한다.

②	하드디스크와 같은 저장 매체를 포함하는 모든 종류의 장비는 폐기되기 전에 저장 매체로부터 중요한 데이터 및 라이센스가 있는 소프트웨어가 제거되었는지 확인한다.

③	비밀정보를 포함한 보고서 등의 문서는 안전하게 파지 또는 소각하며, 하드 디스크, 광파일, 마그네틱 테이프 등의 매체를 폐기 처분하고자 할 때에는 인가된 안전한 방법을 사용하여 완전 포맷 또는 삭제한 후 폐기한다.

④	비밀정보 폐기와 관련된 기록은 향후 감사를 위해 유지한다.

제27조 (자료보안)

①	비밀정보가 담긴 저장매체, 출력된 문서 또는 PC 등은 비인가자의 접근으로부터 보호한다.

②	보안담당관은 보호구역내에 생성 및 유통되고 있는 종이문서와 PC 화면으로부터 비인가자에게 정보가 유출되는 것을 방지하기 위하여, 보호구역 내의 직원들을 대상으로 보안활동을 준수토록 한다.

③	주요 서류 및 휴대용 저장매체(노트북, PDA, 외장형 하드디스크 등)를 사용하지 않을 경우, 시건 장치가 된 캐비닛이나 창고에 보관한다.

사무실 보안관리

제28조 (출입통제)

①	본교 사무실 출입문에는 출입통제장치를 설치해야하며, 비인가자의 출입을 통제해야 한다.

②	근무시간 이후에는 출입통제장치가 잠금상태로 되어 있어야 한다.

제29조 (출입증 착용 및 관리)

①	전 교직원은 출입 시 출입증을 착용해야 한다.

②	출입증을 분실 또는 도난당한 경우, 해당팀으로 즉시 통보해야 한다.

③	교직원은 자신의 출입증이 분실되지 않도록 주의한다.

제30조 (사무실 보안 활동)

①	전 교직원은 책상 위에 주요 문서나 저장매체를 방치하지 않도록 한다.

②	노트북은 퇴근 시 반드시 잠금장치 내에 보관 또는 시건장치를 하여 도난 및 분실에 유의한다.

③	공용 캐비닛에는 정ㆍ부 책임자를 지정하고 퇴실 시 항상 잠근 후 열쇠는 안전한 곳에 보관하여야 한다.

④	개인 서랍은 잠금장치를 설치하고 퇴근 시 항상 잠금을 확인한다.

⑤	최종 퇴실자 또는 팀의 보안담당자는 매일 퇴근 전 사무실의 보안점검을 실시하고 보안점검 일지를 작성해야 하며, 분임보안담당관은 작성된 보안일지에 대하여 월별 주기로 확인을 수행한다.

전산장비실 보안관리

제31조 (출입권한 관리)

①	전산장비실 출입권한은 정보화운영팀 직원에 한하여 허가되며, 전산장비실 출입권한자 명단을 작성하여 전산장비실내에 비치한다.

②	전산장비실 출입권한이 신규로 필요로 한 경우 기술보안담당관의 승인 후, 해당 인원의 출입권한을 등록한다.

③	기술보안담당관은 퇴사 및 보직변경으로 인하여 전산장비실 출입권한의 변동이 발생한 경우 우선적으로 해당인원의 전산장비실 출입권한을 삭제한다.

제32조 (외부인 출입통제)

①	전산장비실은 비인가자의 출입을 통제하여야 하며 ‘[별지 제5호 서식] 출입관리대장'을 비치하여 모든 출입자를 기록해야 한다.

②	외부인이 전산장비실을 출입하는 경우 출입권한자가 동행하도록 한다.

③	외부인의 전산장비실 출입 시 목적, 출입 및 퇴실시간 등을 출입관리대장에 기록하고 동행한 출입권한자가 확인서명을 하여야 한다.

제33조(정보통신장비의 반입ㆍ출입 통제)

①	기술보안담당관은 정보통신장비의 수리, 교체 및 대체, 대여 등으로 정보통신장비가 반입ㆍ반출되는 경우, 정보통신장비의 반입ㆍ반출을 통제하여야 한다.

②	기술보안담당관은 정보시스템 장비의 반입ㆍ반출을 하는 경우 관련 기록을 ‘[별지 제6호 서식] 반입ㆍ반출 관리대장(전산장비실)'에 기록한다.

③	장비 반출일 경우 해당 장비내의 저장매체에 저장된 정보가 복구 가능하지 않도록 삭제되었는지 확인한 후 장비를 반출하도록 한다.

PC 보안

제34조 (PC 보안관리)

①	개인이 사용하는 PC의 정보보안 관리에 대한 1차 책임은 PC 사용자에게 있으며, 교직원 PC사용자는 다음의 보안대책을 강구해야 한다.

1.	CMOS(부팅), 로그인 및 화면보호기에 각각 비밀번호 설정 후 3개월 단위로 변경

2.	10분 이상 PC 작업을 중단 시 비밀번호가 적용된 화면보호기 작동

3.	최신의 바이러스 백신 S/W 설치 및 주기적인 업데이트

4.	개인정보점검 S/W 설치 및 주기적인 업데이트

5.	P2P, 메신저, 웹하드 등 업무와 무관하거나 보안에 취약한 프로그램의 사용 금지

②	공유폴더는 사용하지 않는 것을 원칙으로 하며, 업무상 목적으로 필요한 경우에는 반드시 공유폴더에 패스워드를 설정하고, 사용이 완료된 후에는 공유 설정을 제거해야 한다.

③	노트북은 도난 및 분실을 예방하기 위해 물리적 시건장치를 설치하여 사용해야 하며, 외부 출장 시에도 책상위에 방치하지 말고 시건장치를 설치하거나 디스크 암호화 후 사용하여야 한다.

④	모든 PC사용자(노트북 등의 모바일 컴퓨터 포함)는 적법한 절차를 거쳐 취득한 정품 소프트웨어만을 사용해야 하며 사용권한이 없거나 임의로 복제된 불법소프트웨어를 설치해서는 안 된다.

⑤	업무상 취급되는 개인정보 등 중요정보를 PC에 저장 시 암호화하여 저장하도록 하며, 정보 이용 목적 달성 시 지체없이 삭제하여야 한다.

⑥	매월 세 번째 수요일을 사이버 보안 진단의 날로 지정하여 사용자는 PC 업데이트 및 보안 취약점 점검, 악의적인 바이러스 및 불법 소프트웨어 등이 설치되어 있는지를 점검하여야 한다.

⑦	사용자가 노트북, 넷북, 스마트폰 등과 같은 모바일 컴퓨터를 이용하는 경우에는 위와 같은 일반 PC보안 사항을 준수하여야 하며, 업무자료가 저장되지 않도록 시스템 종료 시 사용자 파일 자동삭제와 같은 보안수단 설치를 강구하여야 한다.

제35조 (PC 비밀번호 설정 및 관리)

①	PC사용자(노트북 포함)는 CMOS(부팅)로그인, 화면보호기 패스워드를 설정하여 비인가자의 접근을 통제하여야 한다.

②	PC에서 사용하는 비밀번호는 다음 각 호 사항을 반영하여 영문ㆍ숫자ㆍ특수문자가 포함된 9자리 이상으로 정하고, 분기 1회 이상 주기적으로 변경 사용하여야 한다.

1.	사용자계정(ID)과 동일하지 않은 것

2.	개인 신상 및 부서명칭 등과 관계가 없는 것

3.	일반 사전에 등록된 단어는 사용을 피할 것

4.	동일단어 또는 숫자를 반복하여 사용하지 말 것

5.	이전에 사용된 비밀번호는 재사용하지 말 것

6.	동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것

7.	관리자계정과 사용자계정의 비밀번호를 다르게 부여

8.	초기 할당된 임시 비밀번호는 사용자 로그인 후 즉시 변경

제36조 (PC 및 노트북 반출ㆍ입 관리)

①	PC(노트북)의 반출 시 해당 부서별 반출ㆍ입 내역을 ‘[별지 제7호 서식] 보조기억매체(전산장비 포함) 반출ㆍ입 대장'에 기록해야 한다.

②	PC 사용자는 반출된 PC(노트북) 반입 시 바이러스 백신프로그램으로 바이러스 및 악성코드 감염여부를 점검한다.

③	개인소유의 PC(노트북 등)는 본교 내부로 반입 또는 반출하여 사용해서는 안 된다. 다만, 부득이한 경우에는 부서장의 승인을 받은 후 반입 또는 반출할 수 있다.

④	PC에 설치 또는 부착된 하드웨어를 임의로 변경, 제거하거나 본교 외부로 반출해서는 안 된다.

제37조 (PC 유지보수)

①	PC 유지보수는 인가된 직원(또는 외부업체 직원)에 의해서만 수행되어야 한다.

②	PC 또는 PC내 하드웨어를 유지보수(교체ㆍ반납ㆍ폐기)를 위해 본교 외부로 반출할 경우 다음의 보안대책을 강구한다.

1.	PC에 저장된 데이터가 복구가 되지 않도록 삭제 또는 하드디스크를 분리

2.	PC수리인력에게 [별지 제8호 서식] ‘정보보안 서약서(외부자용)' 징구

제38조 (유해 소프트웨어에 대한 통제)

공식적으로 인가되지 않은 프로그램의 사용은 바이러스, 트로이 목마와 같은 악성 코드들이 포함되어 있을 가능성이 높으며 이러한 악성코드 들은 조직의 중요 정보 노출, 파괴 등을 유발할 수 있으므로 사용자는 프로그램 사용에 대해 다음 사항을 준수한다.

1.	사용자는 업무에 불필요 또는 불법 소프트웨어를 사용하지 않고, 정품 소프트웨어만을 사용한다.

2.	불확실하거나 출처가 명확하지 않은 파일, 신뢰할 수 없는 네트워크로부터 획득된 파일은 사용하기 전에 바이러스 검사를 한다.

3.	사용자는 월 1회 이상 악의적인 바이러스, 불법 소프트웨어 등이 설치되어 있는지를 점검한다.

E-mail, 인터넷 보안관리

제39조 (E-mail 사용의 제한)

①	E-mail 사용자는 부서장의 허가를 받지 않은 정보 또는 외부에 공개할 수 없는 내부 정보를 외부에 발송하지 않는다.

②	스팸메일 등 불법 메일 등을 송신하거나 타 직원의 E-mail 계정을 도용할 수 없다.

③	정보시스템 자원의 낭비를 초래하는 스팸메일, 반복메일 등은 전송 및 배포를 금지한다.

④	모든 E-mail 사용자는 제3자의 지적재산권, 저작권을 침해하는 내용, 명예훼손, 사기, 바이러스 유포 등의 불법적인 행위에 대한 내용을 E-mail에 포함하지 않는다.

⑤	타인의 E-mail 내용 및 비밀번호를 중간에서 전자적으로 도청하지 않는다.

⑥	E-mail이 암호화되지 않은 경우, E-mail 사용자들은 신용카드번호, 패스워드 등 개인의 중요한 정보를 E-mail 내용에 포함시켜 보내지 않아야 한다.

⑦	내부정보를 외부로 송신하기 위해서는 사전에 그 타당성에 대해 해당 전결권자의 승인을 득해야 하며, 내용의 중요성에 따라 선택적으로 암호화하여 전송한다.

제40조 (E-mail 이용 시 업무처리 절차)

①	E-mail 계정은 정보시스템(아우누리) 가입 후 메일시스템 접근 시 자동으로 생성함을 원칙으로 한다.

②	E-mail 관리 원칙

1.	한 명의 직원 당 1개의 E-mail 계정 부여를 원칙으로 한다. 단, 업무 목적상 필요한 경우 업무용 계정을 별도로 신청할 수 있다.

2.	직원의 E-mail 주소 디렉토리는 공개적으로 접근하지 못하도록 조치한다.

③	업무용 E-mail 사용 기준

1.	E-mail을 통한 업무자료 수발신은 내부 웹메일 시스템을 사용한다.

2.	외부 사설메일(Naver, Daum, MSN 등)을 이용한 업무자료 송수신은 하지 않는다.

④	메일 이용 중 사용자의 PC 자료를 파괴하거나 탈취하려는 목적의 악성메일 수신시 정보보호담당자에게 통보하고, 정보보호 담당자는 조사 후 발신지 차단 등의 보안조치를 실시한다.

제41조 (인터넷 접속에 대한 보안)

①	다음의 사이트는 업무시간 중 접속을 금지한다.

1.

유해 사이트

2.

P2P 사이트

3.	증권관련 사이트 등 업무와 관련성이 없는 사이트

4.	북한관련 사이트 등 기타 접속 금지의 필요성이 인정되는 사이트

②	업무와 관련이 있는 사이트 외의 웹 사이트의 Active-X 등 추가기능을 설치하지 않는다.

③	악성 자료를 포함하는 사이트를 발견했을 경우, 해당 사이트의 URL을 기술보안담당관에게 통보하고, 기술보안담당관은 조사 후 유해사이트차단시스템 등의 보안시스템을 사용하여 해당 사이트의 접근을 차단한다.

보조기억매체 관리

제42조(보조기억매체 등록 및 관리)

①	본교 교직원은 원칙적으로 보조기억매체를 사용할 수 없으나 업무상 불가피하게 사용할 경우 보안기능이 포함된 보조기억매체를 사용하되, 관리대장에 기록하여 안전하게 관리하여야 한다.

②	보조기억매체 등록 및 관리와 관련된 세부사항은 ‘USB메모리 등 휴대용 저장매체 보안관리지침'을 따른다.

서버 보안

제43조 (정보시스템 보안관리)

①	기술보안담당관은 정보통신시스템(정보통신망 포함)의 효율적인 보안관리를 위하여 정보통신시스템별로 관리책임자(이하 ‘시스템관리자'라 한다)를 지정 운영하여야 한다.

②	시스템관리자는 각종서버ㆍPCㆍ정보통신장비 등 정보통신시스템이 비인가자에게 불필요한 서비스를 허용하지 않도록 보안기능을 설정하여야 한다.

③	시스템관리자는 보안점검도구를 이용하여 연 1회 이상 정보통신시스템의 보안취약성을 진단하고 그 결과를 기술보안담당관에게 제출하여야 한다.

④	시스템관리자는 주기적으로 불필요한 포트의 사용여부를 점검하여, 불필요한 포트 사용이 확인되는 즉시, 해당 포트를 삭제하는 등의 보안조치를 수행한다.

⑤	중요정보를 취급하는 정보시스템은 관리자 권한으로 시스템에 접근하는 경우, 지정된 IP에서만 접근할 수 있도록 한다.

제44조 (서버 시스템의 설치)

①	서버 시스템 설치 시 아래의 각호의 사항을 준수하여야 한다.

1.	신규 시스템을 도입 시 시스템 보안설정, 서버백신, 장애관리 등의 도구를 설치해야 한다.

2.	시스템관리자는 신규로 도입 설치되는 서버 시스템에 서버 취약점 점검도구를 설치하여 시스템 및 OS의 취약점 점검을 수행하며, 점검결과 발견된 취약점에 대해 조치하고 그 결과를 기술보안담당관에게 제출하여야 한다.

3.	시스템관리자는 신규 시스템 설치 및 변경 사항을 정보자산 관리목록에 갱신해야한다.

②	소프트웨어 설치 아래의 각호의 사항을 준수하여야 한다.

1.	발주부서 담당자는 서버에 설치된 소프트웨어의 현황을 목록으로 만들어 관리하며 변경 시 현황을 수시로 업데이트 한다.

2.	서버 시스템에 설치되는 소프트웨어는 기술보안담당관의 승인을 얻은 후 설치한다.

3.	발주부서 담당자는 소프트웨어 설치작업 후 해당 서버의 소프트웨어 설치 현황목록에 추가한다.

4.	업무통제나 시스템을 무력화 할 수 있는 유틸리티의 사용은 통제한다.

③	소프트웨어 설치 시 아래의 각호의 사항은 제한하여야 한다.

1.	서버에는 업무 목적 외의 불필요한 프로그램을 설치할 수 없다.

2.	불법 소프트웨어는 설치할 수 없다.

3.	원격관리 소프트웨어 등 서비스 관리 목적상 불가피하게 설치해야 할 필요성이 있을 때에는 자체 보안대책을 마련하여 기술보안담당관에게 승인을 얻는다.

④	시스템관리자는 파일시스템을 구성할 때 시스템 데이터와 일반 데이터를 논리적 또는 물리적으로 분리하여 설치한다.

제45조 (보안설정 적용)

①	시스템관리자는 주기적인 패치 및 보안 설정을 적용한다.

②	모든 서버는 로그인을 허용하기 전에 다음과 같은 보안권고문을 공지한다.

"서버관리자 이외 또는 부당한 방법으로 정보통신망및정보시스템에 접속하거나 정보를 삭제, 변경, 유출하는 자는 관련 법령에 따라 처벌을 받게 됩니다."

③	서버 로그인 시 또는 웹서버 정보에서 OS버전, 서비스정보 등의 취약점 유추가 가능한 정보가 누출되지 않도록 설정한다.

④	시스템의 보안 설정된 정보와 로그는 임의적으로 삭제되지 않도록 한다.

제46조 (시스템 접근 기록 관리)

①	시스템 접속기록은 접속일시, 사용자 ID, 접속 IP, 행위 등이 포함되어야 한다.

②	시스템 접근 및 사용에 대한 책임 추적성을 확보하기 위하여 시스템 가동 및 종료, 설정 변경, 중요파일 접근로그, 관리자 계정 명령어 사용내역 등의 로그를 기록한다.

③	사고발생시 책임추적이 가능하도록 시스템 접근기록을 6개월 이상 보관하여야 한다.

④	기술보안담당관의 사전 승인이 없는 한 모든 시스템의 로그는 비인가자가 접근할 수 없으며 시스템 로그를 비인가자가 열람하거나, 훼손하는 경우 보안심사위원회를 통해서 처벌하거나, 외부자의 경우 민ㆍ형사상 법적 조치를 취한다.

⑤	시스템관리자는 정기적으로 시스템 접근기록을 검토하여 비인가자의 접속 시도, 정보 위ㆍ변조 및 무단삭제 등의 의심스러운 활동이나, 침입흔적 발생 시 기술보안담당관에게 보고하고 조치를 취해야 한다.

제47조 (계정 및 패스워드 관리)

①	시스템관리자는 사용자계정의 등록ㆍ변경ㆍ폐기 시 기술보안담당관에게 그 결과를 보고하여야 한다.

②	시스템관리자는 3개월 이상 미사용 계정, 사용자의 퇴직 또는 보직변경 등으로 사용하지 않는 사용자계정에 발생할 경우 이를 신속히 삭제하여야 한다.

③	5회에 걸쳐 사용자인증 실패 시 정보통신시스템 접속을 중지시키고 비인가자 침입 여부를 확인 점검하여야 한다.

④	패스워드는 영숫자, 특수문자 등을 혼합하여 9자리 이상으로 정하고 분기 1회 이상 주기적으로 변경 사용하여야 한다.

제48조 (권한관리)

①	서버 내 정보에 대한 접근 권한은 시스템관리자가 결정하여 신청하며 기술보안담당관은 접근 권한을 검토 후 부여한다.

②	시스템관리자는 개인의 계정으로 접속한 후에 관리자 권한을 획득한다.

③	일반 사용자는 다른 사용자의 홈 디렉터리 혹은 시스템 관리에 관한 파일 혹은 디렉터리에는 접근할 수 없도록 제한한다.

④	사용자가 서비스 중지 등을 일으킬 수 있는 명령어를 사용하거나 파일 실행을 할 수 없도록 제한한다.

⑤	사용자는 시스템관리자 및 기술보안담당관의 사전 승인 없이 운영체제의 접근 통제를 우회할 수 있는 프로그램을 사용할 수 없도록 제한한다.

⑥	관리자 권한 등의 중요 권한을 일반 사용자에게 생성해주지 않는다.

⑦	슈퍼유저 계정을 이용한 FTP 접속권한을 해제한다.

⑧	불필요한 RPC, SMB등 통신 권한을 해제한다.

제49조 (접근통제관리)

①	업무상 접속할 필요가 있는 사용자를 파악한 후 보안 도구를 이용해 IP 주소 기반의 접근 제어를 한다.

②	시스템관리자는 서버가 정상적으로 동작하지 않을 경우 정상적으로 동작될 때까지 사용자의 접근을 제한할 수 있다.

③	시스템관리자는 비인가자의 불법적인 접근 및 서비스 중지 등을 예방하기 위해 업무적으로 불필요하거나, 침해의 위협이 있는 네트워크 서비스를 제공하지 않는다.

④	시스템관리자는 접근통제 세부내역을 주기적으로 검토하여야 한다.

제50조 (원격접근 보안관리)

①	사용자가 서버에 접속할 경우 반드시 사용자 계정과 패스워드 또는 보다 강화된 인증 방법을 적용하여 접근 가능하도록 한다.

②	인증방법은 서버 시스템이 제공하는 서비스 내용과 중요도에 따라 결정하며 다음과 같은 방법 등을 사용한다.

1.	사용자 계정, 패스워드

2.	음성, 지문, 홍채 등 신체적 특성을 이용한 인증

3.	비밀번호 발생기, 디스켓, IC카드 등 소지형 인증

4.	공개키 기반 인증 (PKI)

③	인증 서버를 구축할 경우에는 인증 서버의 장애로 인한 서비스 중단 등이 발생하지 않도록 병렬구성을 원칙으로 한다.

④	중요 서버에 접근 시에는 SSH(Secure Shell) 등의 암호화된 통신 프로토콜 사용을 원칙으로 한다.

⑤	로그인 화면에서는 로그인 관련 정보만 표시한다. 조직이나 운영체제, 네트워크 환경, 내부적인 사항과 같은 정보는 로그인이 성공적으로 이루어진 후에 표시되도록 한다.

⑥	사용자가 시스템에 로그인 실패 시 시스템 침해의 원인이 될 만한 정보를 사용자에게 보여주지 않도록 조치한다.

⑦	연속적으로 3회 이상 패스워드를 잘못 입력할 경우 세션을 차단 후 기술보안담당관에게 해당 사실을 통지하고 비인가자의 침입여부를 확인 및 점검해야 한다.

⑧	사용자가 서버 로그인에 성공하였을 경우 가장 최근에 성공적으로 접속한 시간, 날짜, 터미널 등의 정보를 화면에 표시한다.

제51조 (관리자 보안 이행사항)

①	서버에 접속한 후 사용자나 다른 시스템으로부터 일정시간(10분 이하) 동안 어떤 입력도 일어나지 않으면 자동적으로 로그오프 시키거나 세션을 중단시키는 것을 원칙으로 한다. 단, 개발 업무나 서버 운영상 필요성이 인정되는 경우 예외로 할 수 있다.

②	통제구역 이외의 장소에 설치된 서버는 시스템관리자 및 사용자가 5분 이상 자리를 비울 경우 패스워드가 설정된 화면보호기가 작동되도록 하거나 로그오프하여 비인가자가 접근할 수 없도록 한다.

제52조 (외부망에 대한 접근보안관리)

정보시스템을 외부에서의 네트워크를 통해 원격으로 접속하여 정비하는 것을 원칙적으로 금지하여야 한다. 다만, 부득이한 경우에는 아래의 각호에 해당하는 보안대책을 강구하고 한시적으로 허용하여야 한다.

1.	원격접속 수행자에게 임시 접근권한 부여

2.	접근권한의 사용시간 명시, 시간경과 후 접근권한 삭제

3.	원격정비 시스템의 IP 사전 파악, 지정된 시스템에서만 수행

4.	원격시스템과의 통신정보를 점검하여 실행코드에 악성코드 유입 방지

5.	원격정비를 수행할 때 대상 정보시스템을 내부망과 분리

6.	원격 정비기록을 유지, 정비결과 서버관리자에게 보고

7.	원격 정비자가 네트워크를 통해 원격지 컴퓨터 파일을 자신의 컴퓨터 파일처럼 접근하여 작업할 수 있도록 하는 등 해킹에 취약한 방식으로 원격정비 금지

제53조 (패치 및 변경 통제)

패치나 시스템 파라미터(IP, 사용자 계정, 권한 설정, 환경설정 값 등)를 변경할 시에는 그와 관련된 모든 사항(변경값, 변경 사유, 승인자, 시행자, 일자, 해당 서버 등)에 대한 증적을 남긴다.

제54조 (웹서버 등 공개서버 관리)

①	외부인에게 공개할 목적으로 설치되는 웹서버 등 각종 공개서버는 내부망과 분리하여 운영하고 보안적합성이 검증된 침입차단시스템을 설치하는 등 보안대책을 강구하여야 한다.

②	서버에 접근할 수 있는 사용자계정을 제한하며 불필요한 계정은 삭제하여야 한다.

③	홈페이지 게재내용은 운영부서 부서장의 심의를 거쳐 개인정보ㆍ비밀내용 등 비공개 자료가 포함되지 않도록 하여야 한다.

④	공개서버는 업무서비스를 제외한 모든 서비스 및 시험ㆍ개발도구 등의 사용을 제한하도록 보안기능을 설정하여야 한다.

⑤	공개서버는 운영 전 보안취약점을 점검하고 모든 취약점이 수정되었음을 확인 및 보안조치 실시 후 운영하여야 하며, 운영 중에도 보안취약성을 연 1회 이상 점검하여 시스템 및 자료의 위ㆍ변조, 훼손여부를 확인하고 그 결과를 기술보안담당관에게 제출하여야 한다.

⑥	보안사고에 대비하여 서버에 저장된 자료의 철저한 백업체계를 수립ㆍ시행하여야 한다.

⑦	기술보안담당관은 공개서버의 취약점이 수정되지 않은 상태로 운영될 경우, 취약점 수정을 위하여 해당 서버의 운영 또는 서비스를 중단시킬 수 있다.

제55조 (취약점 점검)

①	시스템관리자는 시스템 불법 접근 및 해킹 프로그램(백도어 및 스파이웨어 등)의 설치 여부 점검 등 일상적인 보안활동을 수행한다.

②	정보시스템에 대한 종합 점검은 연 1회 이상 실시하고, 시스템의 변경, 외부 시스템의 이관 및 신규 시스템 도입 등 필요시 수시 점검을 실시한다.

1.	기술보안담당관은 종합점검 계획을 수립하여 시행하고, 발견된 취약점에 대하여 해당 팀에 통보한다.

2.	시스템관리자는 담당 시스템에 대하여 수시로 점검을 실시하고, 종합점검 및 수시점검 시 발견된 취약점에 대한 보완계획을 수립하여 시행하고 그 결과를 기술보안 담당관에게 제출하여야 한다.

3.	단기 조치가 어려운 취약점에 대하여 그 사유를 기록, 관리한다.

4.	취약점 조치를 위하여 관련 팀 및 업체의 협의가 필요할 경우에는 기술보안담당관 등 관련 소관 부서담당자 및 업체 직원을 소집하여 조치방안을 강구한다.

5.	취약점 점검 대상, 기간, 주요 점검항목, 점검결과 및 조치 사항을 포함하는 ‘취약점 점검 결과보고서'를 작성하여 이력을 관리한다.

6.	기술보안담당관은 외부 시스템의 이관 시 서버, 응용시스템 등 분야별 수시점검 결과 발견된 취약점에 대한 보완여부를 확인하고, 취약점을 조치하기 위하여 방안을 강구할 수 있다.

제56조 (시스템 성능관리 및 유지보수)

①	시스템관리자는 서버의 자원 오용을 방지하기 위해 주기적으로 점검, 관리하고 지속적으로 모니터링 해야 한다.

②	시스템관리자는 서버 자원의 모니터링 결과를 통해 시스템 성능향상을 도모한다.

제57조(백업 관리)

①	시스템관리자는 정보화자료 백업 및 소산계획을 수립하고 백업을 실시한다.

②	백업대상 선정 및 주기는 시스템별 중요도 및 현업 팀의 추가 요구사항을 반영하여 결정한다.

③	백업에는 정기적인 백업, 비정기적인 백업을 포함하며, 비정기적인 백업은 시스템 변경작업, 소프트웨어 설치작업, 하드웨어 교체작업 등의 작업 전에 반드시 수행한다.

④	백업 수행 후에는 백업일자, 백업대상, 백업매체 등을 포함하여 ‘[별지 제 17호 서식]백업결과보고서'를 작성 후 보관한다.

⑤	백업시스템 도입 후 최초 적용 시 정기적인 항목들(보관기간, 방식, 데이터베이스 백업모드, 소산백업 여부)을 결정하여야 하며, 운영도중 변경사항이 발생하면 충분한 검토 및 승인을 통해 이를 반영하여야 한다. 그리고 백업데이터의 중요도에 따라 백업주기를 결정한다.

제58조 (백업 대상 및 주기)

①	백업대상은 데이터의 파손 시 복구의 필요성이 요구되는 본교의 주요 데이터이며 다음과 같은 정보들이 이에 해당한다.

1.	OS 및 유틸리티 프로그램

2.	데이터베이스 파일 : 업무데이터 및 데이터베이스 구성파일

3.	네트워크 장비 구성파일 및 로그파일

4.	정보보안시스템 정책 및 로그파일

5.	기타 필요로 하다고 생각되는 파일

②	백업대상에 대한 백업 및 보관주기는 [별표4]을 기준으로 정한다.

③	백업 데이터는 원격지의 안전한 장소에 분산보관 하고, 그 기록을 관리한다.

제59조 (서버 시스템 백업매체 관리)

①	백업매체는 비인가자가 접근할 수 없는 격리된 곳에 보관하여, 비인가자에 의한 백업 정보의 유출이 일어나지 않도록 한다.

②	백업매체가 재난 등으로 인해 원본과 동시에 손실되는 것을 방지하기 위해 원본과 물리적으로 떨어진 장소에 보관하도록 하며, 물리적인 접근 통제 및 백업 일자 목록을 유지 관리한다.

③	백업매체의 폐기 시 기술보안담당관의 승인을 득한 후 소각 폐기한다.

제60조 (복구관리)

①	장애 발생 시 장애의 종류를 파악하여 문제가 발생한 부분이 서버운영에 별로 문제가 없을 경우 업무 종료 후에 복구를 수행하고, 업무 중에 복구가 불가피하다고 판단되면 최소 시간에 복구를 할 수 있도록 복구의 종류를 파악하고, 즉시 복구를 수행한다.

②	장애로 인하여 영향 받는 부서 및 업무를 파악하여 관련자에게 장애원인 및 복구 예정시간 등을 통보하여 복구로 인한 업무손실을 최소화 한다.

③	발생한 장애에 대한 조치 복구 결과를 ‘장애조치내역서'에 기록하여 관리한다.

④	긴급사항 발생 시 선 조치 후 보고할 수도 있다.

제61조 (업무연속성)

시스템관리자는 장애 또는 재난에 대비하기 위해 업무연속성 계획을 수립하고 주기적으로 비상ㆍ복구 훈련등의 모의 훈련을 통해 점검한 후 그 결과를 기술보안담당관에게 제출하여야 한다. 세부사항은 업무연속성 관리 지침을 따른다.

네트워크 보안

제62조 (외부망연동)

①	다른 기관과의 정보통신망과 연결 사용하고자 할 경우에는 보안관리 책임한계를 설정하고 다음과 같은 보안대책을 수립ㆍ시행하여야 한다.

1.	네트워크 취약성 점검

2.	침입차단ㆍ탐지 시스템 설치 운용 등

②	외부망과 접속하는 경우에는 전산자료 제공범위 및 이용자의 접근제한 등에 대해 기술보안담당관에게 보안성검토를 의뢰 후 승인을 받아야 한다.

③	외부망 연결에 따른 보안취약성 해소를 위하여 접속자료를 주기적으로 분석하고 보안도구를 이용하여 정보통신망의 취약성을 수시 점검하여야 한다.

④	인터넷 등 상용망 및 타 기관과의 정보통신망 연동 시 불법침입(해킹)을 방지하고 효율적인 보안관리를 위하여 연결지점을 지정 운용함으로써 임의 접속을 차단하여야 한다.

제63조 (네트워크 IP주소관리)

①	내부 네트워크에서는 사설IP 주소를 사용하는 것을 권장 하며 사용자 편의성을 고려하여 공인IP주소를 부여할 수 있다.

②	네트워크관리자는 내부통신망에서 사용하는 IP주소를 사용자별, 그룹별로 분리하여 사용해야 하며, IP할당에 관한 자료가 외부로 유출되지 않도록 하여야 한다.

③	네트워크관리자는 IP현황을 최신으로 관리해야 한다.

④	각 부서에서는 IP사용자의 변동사항 발생 시 3일 이내에 네트워크 관리자에게 변동사항을 보고하여야 하며, 연 1회이상 전체 사용자의 IP현황을 조사하여 네트워크 관리자에게 보고하여야 한다.

⑤	정보통신망 세부구성현황(IP 세부 할당 현황 포함)은 중요정보로 대외비 이상으로 지정하여 관리하여야 한다.

제64조 (네트워크 장비 계정 및 권한 관리)

①	네트워크 장비에는 관리자 계정 등 최소한의 계정만을 생성해야 한다.

②	네트워크 장비에는 설치 시 기본적으로 생성되는 불필요한 계정을 삭제해야 하며 해당 계정이 필요한 경우 기본 패스워드를 변경하여 사용한다.

③	네트워크 장비의 패스워드는 영문과 숫자를 조합하여 최소 9자 이상으로 설정하고 분기 1회 이상 주기적으로 변경해야 한다.

제65조 (네트워크 장비 접근제어)

①	네트워크관리자는 미사용 포트에 대한 비인가자의 불법적인 접속을 방지하기 위하여, 네트워크 장비에 대한 물리적 접근통제를 수행하거나 미사용 포트는 사용 할 수 없도록 설정한다.

②	네트워크 장비에 로그인시 적절한 경고 문구를 삽입 한다.

③	필요치 않거나 사용되지 않는 정보통신망 서비스 기능은 제거 또는 중지한다.

④	네트워크 관리자계정의 접속은 콘솔포트 및 특정 PC에서만 접근하도록 설정한다.

⑤	네트워크 장비에 접근 시 사용자 인증을 수행하고, 다음의 사항을 준수한다. 단, 기능이 없는 장비는 제외한다.

1.	5회 이상 정확하지 않은 패스워드의 시도가 있는 터미널은 자동으로 세션을 종료한다.

2.	관리자와 사용자 모드를 지원하는 경우 분리 운영한다.

3.	터미널의 유휴시간은 5분 이내로 제한하며, 이후 자동으로 접속이 종료되도록 설정한다.

⑥	네트워크 장비에 대한 접근제어 등 정책을 주기적으로 검토하여 불법적인 접근이나 미사용 포트 사용을 방지한다.

제66조 (네트워크 시스템 변경 통제)

①	네트워크관리자는 패치나 시스템 파라미터(IP, 사용자 계정, 구성정보 데이터 등)를 변경할 시에는 기술보안담당관과 협의하여 변경에 따른 잠재적 영향 평가를 실시하고, 이에 따른 관련기록을 남겨야 한다.

②	영향평가 실시 후 구성정보나 네트워크 시스템 변경이 적절하다고 판단되는 경우, 작업내용 및 영향평가 결과를 첨부하여 기술보안담당관의 승인을 받아야 한다.

③	네트워크관리자는 네트워크 시스템 변경을 수행하기 전에 시스템의 현재 설정을 백업하여 이상 상황에 대비한다.

④	네트워크관리자는 비인가 장비 발견 시 해당 장비의 사용을 중단시킬 수 있다.

제67조 (로그 및 백업관리)

①	네트워크관리자는 모든 네트워크 시스템에 대해 시간을 동기화하여 로그 생성 시 정확한 시간이 기록되도록 한다.

②	주요 네트워크 장비의 로그 정보는 실시간으로 로그가 저장 될 수 있도록 한다. 단. 해당 기능이 제공되지 않는 장비는 제외한다.

③	주요 네트워크 로그는 6개월 이상 보관하여야 한다.

④	네트워크 로그파일 및 구성정보는 일반사용자 권한으로 수정 및 삭제할 수 없도록 설정한다.

⑤	네트워크관리자는 네트워크 구성 정보는 분기마다 백업하여 보관한다.

제68조 (원격근무 보안관리)

①	보안담당관은 정보통신망을 활용하여 본교 이외의 환경에서 재택ㆍ파견ㆍ이동 근무를 수행하는 인원을 지정하고 명단을 관리해야 한다.

②	원격근무를 수행하는 인원에 대한 시스템 접근기록은 주기적으로 확인한다.

제69조 (무선랜 보안관리)

①	본교 내의 모든 무선중계기(AP)는 기술보안담당관의 승인을 득한 후 설치 및 운영해야 한다.

②	기술보안담당관은 주요 행정지역에서의 비인가자의 무선랜 무단 사용, 비인가 AP설치 등에 대해서 주기적으로 점검을 수행해야 한다.

③	무선랜 인증을 위해서 WPA 이상의 보안방식을 적용하고, 설정된 키 값은 주기적으로 변경해야 한다.

④	비인가자가 AP 보안기능의 설정을 변경하지 못하도록 출고 시 AP 제조회사에서 설정한 AP 관리용 S/W의 ID, 패스워드를 변경하여 추측이 어렵게 설정한다.

어플리케이션 보안

설계 및 개발 단계

제70조 (개발보안 일반)

①	본교 행정부서에서 업무용 어플리케이션 및 홈페이지 등의 정보시스템을 개발하는 경우 해당 부서의 장은 보안대책을 수립하고 보안요구사항을 정의해야 하며, 필요한 경우 기술보안담당관에게 도움을 요청할 수 있다.

②	해당 프로젝트담당자는 정보시스템 개발 과정을 감독하고, 개발된 코드에 대한 점검과 테스트를 실시해야 한다.

③	시큐어 코딩과 관련된 가이드라인은 행정안전부 및 한국인터넷진흥원에서 제시한 방안을 기본으로 하며, 프로젝트 담당자는 해당 기준에 따라 어플리케이션을 개발하도록 감독해야 한다.

④	해당 프로젝트담당자는 모든 사업 참여 인원에 대하여 사전에 보안서약서를 징구하고, 개인정보보호 및 정보보안 등 보안 교육을 실시해야 한다.

제71조 (개발 환경)

①	개발공간은 비 인가자의 출입이 물리적으로 통제된 작업공간에서 개발이 이루어져야 한다.

②	개발 서버가 위치한 네트워크는 원칙적으로는 인터넷과 분리되어야 하고, 네트워크에 연결된 경우에는 비 인가자의 접근으로부터 보호하기 위한 보안대책을 강구해야 한다.

③	개발시스템과 운영시스템은 물리적 또는 논리적으로 분리되어야 한다.

④	개발자의 PC는 컴퓨터 바이러스나 각종 보안 침해사고로부터 보호되어야 한다.

⑤	개발자의 시스템 및 소스코드 접근은 공식적으로 허가된 경로만을 사용하여야 한다.

제72조 (보안기능 요건 반영)

①	본교 프로젝트담당자는 어플리케이션 설계 및 개발시 ‘[별표1] 어플리케이션 보안기능 요건'을 반영하여야 한다. 단, 업무적으로 반드시 필요하거나 기술보안담당관의 승인을 득한 경우에는 그 사유를 기록하고 보안기능 요건을 반영하지 않을 수 있다.

②	해당 프로젝트담당자는 설계 및 개발 완료시 ‘[별표1] 어플리케이션 보안기능 요건' 반영 여부에 대해서 기술보안담당관에게 보고해야 한다.

③	중요 정보의 전송 및 저장 시 국정원으로부터 승인을 얻은 암호화 기법을 사용하여 암호화해야 한다.

④	네트워크를 통해 개인정보 및 로그인 정보 등 중요정보가 전송될 때에는 반드시 암호화된 상태로 전송되어야 한다.

⑤	암호화 Key의 접근은 인가된 사람으로만 제한하도록 하며 암호화 Key는 일정주기마다 변경하여야 한다.

테스트 단계

제73조 (테스트 데이터 보호)

①	테스트를 위하여 실 데이터를 이용하고자 할 경우에는 기술보안담당관의 승인을 받아야 한다.

②	테스트 수행자는 사용자의 중요정보가 포함될 경우 제공받은 실 데이터를 적절한 과정 (익명화, 재생성, RENAME 등)을 통하여 테스트 데이터로 변환한 후 사용한다. 단, 실데이터를 변환하지 않고 테스트를 할 경우에는 기술보안담당관의 승인을 받아야 한다.

③	실 데이터는 테스트 데이터와 분리되어야 하며, 테스트 데이터의 접근은 테스트 절차에 필요 최소 인원으로 통제되어야 한다.

④	테스트 수행자는 테스트가 완료하여 필요 사유가 소멸되면 즉시 테스트 데이터를 삭제해야 한다.

제74조 (보안 점검)

①	개발 완료 시 개발 소관부서의 장은 해당 시스템에 대한 보안취약점점검(시스템, 어플리케이션 점검)을 수행한다.

②	보안점검 결과 나타난 취약점은 보완조치를 수행하고, 기술보안담당관에게 그 결과를 제출한 후 운영해야 한다.

③	개인정보를 취급하는 시스템의 경우 개인정보 영향평가를 실시한 후 운용한다.

운영 단계

제75조 (사용자 계정 관리)

①	어플리케이션 신규 계정에 대한 권한은 사용에 필요한 최소 권한 만을 부여한다.

②	공동으로 사용하는 ID를 부여하지 말아야 한다. 단, 업무상 필요시는 주관 부서장의 승인을 득해야 한다.

③	계정(ID) 및 초기 비밀번호는 추측 가능한 학번이나 사번, ID 등으로 설정하지 말아야 한다.

④	민감한 정보자산에 대한 사용자 접근 시, 날짜, 시간, 장소별 제한을 하는 등 강력한 접근통제 정책을 적용할 수 있어야 한다.

⑤	불필요한 계정 및 권한에 대한 검토 및 삭제를 반기마다 1회씩 수행한다.

⑥	전출 및 퇴직 등의 사유 발생 시, 어플리케이션 담당자는 사용자 ID를 신속히 삭제한다.

⑦	사용자 퇴사 및 사용자 업무 등이 변경되어 계정의 삭제나 권한의 변경이 필요한 경우 인사발령사항을 기준으로 자동 계정 삭제 및 권한 변경을 원칙으로 한다. 단, 시스템이 인사시스템과 연동이 되어 있지 않거나 업무상 주관부서의 검증이 필요한 경우에는 주관부서의 담당자가 검증 후 처리 할 수 있다.

제76조 (로그 및 소스 관리)

①	사용자 ID, 사용시간, 사용 정보, 로그인 실패 내역 등의 사용자 로그 정보는 최소 6개월 이상 보관 되어야 한다.

②	시스템상의 로그파일과 백업된 로그파일은 수정이 가능해서는 안 된다.

③	컴퓨터 범죄나 오용이 발생했다고 의심될 때 조사를 위해 필요한 관련 정보를 즉시 안전하게 확보해야 한다.

④	기술보안담당관의 사전 승인이 없는 한 모든 어플리케이션의 로그는 비인가자가 접근할 수 없어야 한다.

⑤	개발된 프로그램 소스는 실 운영 시스템에 저장되어서는 안되며 실 운영 시스템에는 실행 프로그램만을 저장 하여야 한다.

⑥	프로그램 소스를 실 운영 시스템에서 컴파일해야 할 경우에는 프로그램 생성 후 삭제하여야 한다.

⑦	중요한 변경이 필요한 경우 기술보안담당관의 승인을 득한 후 문서화된 양식을 통하여 변경 요청을 수행 하여야 한다.

⑧	어플리케이션의 유지보수 및 변경 작업에 대해 기술보안담당관과 협의 후 수행하여야 한다.

⑨	변경작업은 서비스 운영을 고려하여 업무이외의 시간에 변경 작업을 수행하여야 한다. 단, 긴급을 요하는 변경 작업의 경우 기술보안담당관의 승인을 득한 후 수행 할 수 있다.

⑩	정보시스템에 다음 사항과 같은 변경이 이루어지는 경우 관리 소관부서의 장은 기술보안담당관에게 보안성검토를 의뢰하여야 한다.

1.	어플리케이션의 전면적인 수정

2.	인증, 암호화 등 보안 기능의 변경이 수반되는 경우

3.	새로운 위협, 취약성의 발견으로 정보시스템에 적용이 필요한 경우

⑪	어플리케이션 변경에 관련된 사항은 문서화하여 관리하여야 한다. 문서화 내용에 다음의 사항을 포함하여야 한다.

1.	변경 요청 전, 후의 내용

2.

변경 방법

3.

변경 일시

4.

변경 수행 담당자

정보보안시스템 관리

제77조 (선정 및 설치)

정보보안시스템을 설치ㆍ운용하고자 하는 경우 아래와 같은 사항을 반영하여 선정하여야 한다.

1.	국내용 CC인증 제품이거나 국정원장이 그와 동등한 효력이 있다고 인정한 제품

2.	소관업무 및 정보통신망 특성을 지원할 수 있는 제품

제78조 (운용 및 보안관리)

①	기술보안담당관은 정보보안시스템 운용 관리자로 ‘정보보안시스템 관리자'를 지정한다.

②	정보보안시스템은 직접 연결된 단말기에서만 접속할 수 있도록 해야 한다. 단, 원격관리가 필요한 경우 지정된 단말기를 통해서 원격관리를 허용할 수 있다.

③	침입차단시스템 등의 정보보안시스템 로그는 최소 6개월 이상 보관한다.

④	정보보안시스템은 보안기능을 임의로 변경하거나 도입 목적이외의 용도로 운영하여서는 안 된다.

제79조 (정보보안시스템 보안정책 등록, 변경, 삭제)

①	정보보안시스템의 보안정책의 추가ㆍ수정 등이 필요한 경우, 관련 업무담당자는 기술보안담당관에게 승인을 받아야 한다.

②	정보보안시스템관리자는 기술보안담당관의 승인을 득한 후 정책 변경작업을 수행하고, 보안정책 변경 내역을 ‘[별지 제11호 서식]보안규정 변경 관리대장'에 기록한다.

③	정보보안시스템 관리자는 보안정책을 분기 1회 이상 점검하여, 사용기간이 지난 보안정책이나 취약한 보안정책은 삭제한다.

침해사고 대응

제80조 (침해사고대응팀 구성)

①	침해사고를 효과적으로 대응하기 위해서 침해사고대응팀을 구성하며, 침해사고대응팀은 침해사고 발생시, 한시적으로 운영한다.

②	침해사고 발생시, 본교의 정보보안조직은 침해사고대응팀으로 전환되어 운영되며, 기술보안담당관은 필요에 의하여 분임보안담당관을 선임할 수 있다.

③	침해사고대응팀의 팀장은 기술보안담당관으로 한다.

④	침해사고대응팀의 실무 총괄은 정보보안담당자를 침해사고대응 담당자로 지정하고 침해사고 대응 및 보고업무를 총괄 수행한다.

⑤	침해사고대응 책임관은 침해사고대응팀 및 유관기관 등의 연락처를 ‘[별지 제12호 서식] 침해사고 비상연락망'에 기록하고 현행화해야 한다.

⑥	침해사고대응팀은 연 1회 이상 모의대응훈련을 실시하고, 그 결과를 기록 관리 한다.

제81조 (침해사고유형)

다음 각 호의 어느 하나에 해당하는 사항을 침해사고로 본다.

1.	비인가자의 정보시스템 접근

2.	정보자산의 유출(H/W, S/W, DATA 등)

3.	비인가자에 의한 중요 정보의 위ㆍ변조 및 삭제에 관한 사항

4.	악성 프로그램(바이러스, 백도어 등) 유포

5.	정보시스템에 대한 서비스 거부공격(DOS 공격 등) 발생

6.	네트워크 장비, 서버 및 PC 등에 대한 해킹 발생

7.	어플리케이션에 대한 비인가 접근 발생

8.	그 밖에 국가정보원의 정보보안사고 유형 [별표2]에 해당하는 사항

제82조 (침해사고 신고 및 접수)

①	교내 구성원은 침해사고 등의 징후가 포착되거나 침해사고가 발생한 경우, 즉시 분임보안담당관 또는 기술보안담당관에게 신고해야 한다.

②	기술보안담당관은 상시 모니터링을 실시하며, 침해사고 등 탐지 시 적절한 조치를 실시해야 한다.

③	침해사고 발생 시 신고자는 가장 빠른 방법을 통해 신고해야 하며, 기술보안담당관은 ‘[별지 제13호 서식] 침해사고 발생보고서'에 기록하여 문서상으로 보관 관리해야 한다.

제83조 (침해사고의 보고)

①	기술보안담당관은 접수된 신고 사항에 대해 기록하고, 시정 조치가 종료될 때까지 모든 기록을 유지, 관리하며 조치된 내역에 대해 ‘[별지 제14호 서식] 침해사고 처리결과서'를 작성하여 보안담당관에게 보고해야 한다.

②	보안담당관은 사고내역 및 조치내역을 확인하고 총장에게 보고한다.

③	보안담당관은 홈페이지 변조, 침해사고로 인한 전산망 마비 또는 중요 정보자료, 개인정보 유출 등 중대사고 발생 시에는 그 사실을 관계기관(고용노동부, 교육부, 국정원 등)에 보고한다.

제84조 (침해사고 대응 및 조치)

①	기술보안담당관은 정보통신망에 대하여 해킹, 웜ㆍ바이러스 유포 등 사이버공격 인지 시 피해실태를 파악하고 관련 로그자료 보존 및 필요시 해킹된 정보시스템과 전산망 분리, 공격IP 및 포트의 차단 등 초동 조치를 취한다.

②	홈페이지 변조, 전산망 마비 또는 중요 정보자료, 개인정보 유출 등 중대사고 발생 시에는 초동조치 후 즉시 관계기관(고용노동부, 교육부, 국정원 등), 외부전문업체 등에 통보하여 지원을 받을 수 있다. 이 경우 해당 피해시스템은 사고원인 규명 시까지 증거보전을 의무화하고 임의 자료삭제 또는 포맷을 하여서는 아니 된다.

③	기술보안담당관은 응급조치 후 정보보안 침해사고의 원인분석 및 증거확보를 위하여 해당 침해사고 관련 로그 및 제반 증거 자료를 수집ㆍ확보 한다.

제85조 (침해사고 복구 및 재발방지)

①	기술보안담당관은 전자적 침해사고로 인하여 소관 정보통신기반시설이 파괴되거나 기능이 제대로 수행되지 아니하는 때에는 해당 시설이 정상적으로 가동될 수 있도록 필요한 복구조치를 신속히 취하여야 한다. 이 경우 기술보안담당관은 관계 행정기관, 수사기관 및 외부 정보보안 전문업체에게 복구에 필요한 지원을 요청할 수 있다.

②	기술보안담당관은 침해사고에 대한 복구가 완료된 경우, 유사사고 재발방지 대책을 수립하고, 대응ㆍ복구사항에 대한 교육 및 공지를 수행한다.

③	기술보안담당관은 침해사고에 대한 복구 전까지 해당 시스템 또는 시설의 운영을 중단시킬 수 있다.

외주용역 보안관리

제86조 (계약 시 보안관리 등)

①	정보화, 정보보안사업, 정보시스템 등을 외부 용역으로 외부업체와 계약할 경우에 계약서에 정보보안 준수 의무 및 위반할 경우에 손해배상 책임 등을 명시하여야 한다.

②	계약서에 정보보안 준수 의무 및 위반에 대한 사항을 명시하는 경우 [별표3]의 내용을 참조 한다.

제87조 (참여인원 보안관리)

①	사업주관부서는 모든 참여인원에 대하여 각 개인의 친필서명이 들어간 보안서약서를 징구해야 한다.

②	사업주관부서 담당자는 사업 시작 전 참여인원에 대한 보안준수 의무 등의 보안교육을 실시하고, 교육 참가에 대한 자필서명을 받는다.

③	사업수행시 사업수행업체의 대표자(PM)를 보안담당관으로 지정ㆍ운영하며, 사업수행업체 대표자(PM)는 사업전반에 대한 인원ㆍ장비ㆍ자료ㆍ정보 등을 관리하며 보안사고 방지를 위한 자체 활동을 수행해야 한다.

제88조 (자료에 대한 보안관리 등)

①	전산망구성도, IP현황, 개인정보, 기타 용역업체에 제공하는 자료는 ‘[별지 제15호 서식] 자료관리대장'을 작성하여 인계자(본교 사업담당자)와 인수자(용역업체 사업수행대표)가 직접 서명한 후 인계ㆍ인수해야 한다.

②	용역사업 관련자료 및 사업과정에서 생산된 모든 산출물은 본교의 파일서버에 저장하거나 기술보안담당관이 지정한 PC에 저장ㆍ관리한다.

③	용역사업 관련 자료는 인터넷 웹하드 등 인터넷 자료공유사이트 및 웹 메일 등의 외부메일함에 저장을 금지하고, 전자우편을 이용해 자료전송이 필요한 경우에는 본교 전자우편을 이용 하여, 첨부자료를 암호화(비밀번호) 후 수ㆍ발신 한다.

④	본교와 관련된 자료를 출력물로 제공한 경우에는 시건장치가 된 보관함에 보관하여야 한다.

⑤	사업수행업체는 사업수행으로 생산되는 산출물 및 기록은 본교의 해당사업 주관부서장 또는 보안담당관이 인가하지 않은 비인가자에게 제공ㆍ대여ㆍ열람을 금지한다.

제89조 (장비ㆍ사무실에 대한 보안관리)

①	사업수행업체의 노트북, PC는 반입시 마다 최신의 바이러스 백신프로그램 설치와 바이러스 감염여부를 점검ㆍ확인해야 한다.

②	반입된 노트북 PC는 사업 종료 시까지 반출을 금지한다. 다만 부득이하게 외부반출이 필요한 경우에는 최소한의 장비만 반출승인하고 자료유출에 대비한 보안조치(부팅ㆍ로그인 패스워드 설정, 자료 암호화 등)를 실시한 후 반출한다.

③	USB 등의 보조기억매체 사용을 금지한다. 다만, 산출물작성 등 보조기억매체가 필요한 경우는 보안담당관의 승인 하에 허가된 것만 사용한다.

④	용역사업 수행장소는 시건장치와 출입통제가 가능한 공간을 사용해야 한다.

제90조 (내ㆍ외부 정보망 접근에 대한 보안관리)

①	용역사업 수행 시 정보시스템에 대한 사용자 계정(ID)이 필요한 경우, 외부인력에게 별도의 계정을 발급하고 접근권한을 부여 후 계정발급 및 접근권한 부여 기록을 별도로 관리 한다.

②	외부인력에게 부여된 접속권한이 불필요한 경우 곧바로 권한을 해지하거나 계정을 삭제한다.

③	프로그램 개발 용역사업 수행을 위한 작업은 사업수행업체의 자체 개발서버 또는 본교가 제공한 개발서버에서 수행함을 원칙으로 하며, 개발이 완료된 후 실 운영시스템에 설치시는 본교의 해당 시스템 담당자의 감독 하에 작업한다.

④	용역업체 전산망에서 P2P, 웹 하드 등 인터넷 자료공유사이트로의 접속을 차단한다.

제91조 (사업완료시 보안관리 등)

①	사업완료 후 생산되는 최종 산출물 중 대외보안이 요구되는 자료는 대외비로 작성ㆍ관리하고 불필요한 자료는 삭제 및 세단 후 폐기한다.

②	용역업체에 제공한 제반자료, 장비, 서류와 중간ㆍ최종 산출물 등 용역과 관련된 제반자료는 전량 회수하고 업체에 복사본 등 별도 보관을 금지한다. 단, 소스코드 등 향후 유지보수를 위해 필요하다고 판단되는 경우 보안담당관의 승인 후 용역업체에게 제공할 수 있다.

③	사업완료시 용역업체의 노트북 PC 및 사용된 보조기억장치는 자료에 대하여 Format 등 완전삭제 수행 후 반출한다.

④	노트북ㆍ보조기억매체 등 전자적으로 기록된 자료는 복구할 수 없도록 삭제해야 한다.

⑤	사업완료시 용역사업 관련자료 회수 및 삭제조치 후 업체에게 복사본 등 용역사업관련 자료를 보유하고 있지 않다는 대표 명의로 ‘[별지 제16호 서식] 보안확약서'를 징구한다.

개인정보보호

제92조 (개인정보보호)

①	교내 구성원은 업무목적으로 개인정보를 수집, 이용, 저장하는 경우 개인정보가 유출되지 않도록 유의해야 한다.

②	교내 구성원은 업무용도 외 개인정보를 사용·소지하지 않아야 하며, 업무상 알게 된 개인정보를 침해 또는 누설하여서는 안된다.

③	개인정보보안 및 CCTV운영ㆍ보안과 관련된 세부사항은‘개인정보 보호규칙'을 따른다.

보안성 검토

제93조(보안성 검토)

①	각 부서의 장은 정보통신망, 서버, 홈페이지 등의 신ㆍ증설 등에 모든 정보화 사업에 대하여 보안대책을 강구하고 적절성 확인을 위하여 관련 사업 계획 단계에서(사업 공고 전) 기술보안담당관에게 보안성 검토를 의뢰하여야 한다.

②	보안성 검토의 대상, 절차, 제출자료 목록, 보안대책에 포함해야 할 사항 등 구체적인 내용은 제94조를 따른다.

제94조(보안성 검토 대상)

각 부서의 장은 다음 각 호의 정보화사업을 추진할 경우에 대하여 자체 보안대책을 강구하고 안전성을 확인하기 위하여 사업 계획단계(사업 공고 전)에서 기술보안담당관에게 보안성 검토를 의뢰하여야 한다.

1.	정보시스템 구축·개선

2.	내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우

3.	업무망과 연결되는 무선 네트워크 시스템 구축

4.	스마트폰ㆍ클라우드 등 첨단 IT기술을 업무에 활용하는 시스템 구축

5.	원격근무시스템 구축

6.	업무망과 인터넷 분리 사업

7.	타 기관 정보시스템을 활용하여 업무를 처리하는 경우

8.	그 밖에 정보화추진위원회에서 보안성 검토가 필요하다고 판단하는 정보화사업

제95조(보안성 검토 절차)

①	각 부서의 장은 보안대책을 자체적으로 수립한 후 기술보안담당관에게 보안성 검토를 요청한다.

②	보안성 검토는 서면 검토를 원칙으로 하되 기술보안담당관이 필요하다고 판단하는 경우에는 현장 확인을 병행 실시할 수 있다.

③	기술보안담당관이 필요하다고 판단하는 경우 정보화위원회 심의를 거처 사업의 적정성 및 보안성 검토를 추진할 수 있다.

제96조(제출 문서)

①	각 부서의 장은 보안성 검토를 요청할 경우에는 다음 각 호의 문서를 제출하여야 한다.

1.	사업계획서(사업목적 및 추진계획 포함)

2.	기술제안요청서(RFP)

3.	자체 보안대책 강구사항

②	제1항제4호의 자체 보안대책 강구사항에는 다음 각 호를 포함하여야 한다.

1.	보안관리 수행체계(조직, 인원) 등 관리적 보안대책

2.	정보시스템 설치장소에 대한 보안관리망 등 물리적 보안대책

3.	재난복구 계획 및 상시 운용계획

제97조(결과 조치)

①	각 부서의 장은 기술보안담당관의 보안성 검토 결과를 준수하여 보안대책을 보완하여야 한다. 이 경우, 기술보안담당관이 보안성 검토 결과 신속한 시정이 필요하다고 판단하는 경우에는 필요한 조치를 요청할 수 있으며 해당 부서의 장은 특별한 사유가 없는 한 이에 따라야 한다.

②	기술보안담당관은 보안대책이 적절히 수립되었는지 등 이행여부 확인을 위하여 현장점검을 실시할 수 있다.

③	보안성 검토 결과에 의한 사항이 수정되지 않았거나, 보안성 검토가 이루어지지 않은 상태로 사업이 시행된 경우에는 기술보안담당관은 시정 전까지 해당 사업 또는 시스템ㆍ시설의 운영을 중지시킬 수 있다.

제98조(보안성 검증)

기술보안담당관은 필요하다고 판단되는 경우, 보안성 검토 요청 자료를 바탕으로 고용노동부 또는 국가정보원에 보안성 검증을 의뢰할 수 있다.

보 칙

제99조(다른 법령과의 관계)

이 규칙에 명시되지 않은 사항은 「고용노동부 정보보안 기본지침」을 따른다.