<규칙 제114호>
제 정 : 2018. 1. 11.
제 1차 개정 : 2023. 6. 1.
제1조 (목적) |
|
본 규칙은「고용노동부 정보보안 기본지침」에 의거 한국기술교육대학교(이하 "본교" 라 한다)의 정보보안활동에 필요한 세부사항 규정을 목적으로 한다.
제2조 (적용범위) |
|
본 지침은 본교 내 전체 정보시스템 및 PC, 대학 구성원에게 적용한다.
제3조 (용어 정의) |
|
이 규칙에서 사용하는 용어의 정의는 다음과 같다.
1. | "정보통신망"이라 함은 유ㆍ무선을 매개로 하는 다양한 정보통신수단에 의하여 부호, 문자, 음향, 영상 등의 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보 통신체계를 말한다. |
2. | "정보보호"또는"정보보안"이라 함은 정보통신수단으로 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신 되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하거나 정보통신망을 보호하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위를 말한다. |
3. | "전산장비실"이라 함은 서버ㆍPC등 전산장비와 스위치ㆍ교환기ㆍ라우터등 통신 및 전송장비 등이 설치 운용되는 장소를 말한다. |
4. | "전산자료","전자문서","전자기록물"이라 함은 전산장비에 의하여 전자기적인 형태로 입력ㆍ보관되어 있는 각종 정보(data)를 말하며, 그 자료가 입력되어 있는 자기테이프, 디스크 등 보조기억매체를 포함한다. |
5. | "보조기억매체"라 함은 디스켓ㆍCDㆍ하드디스크ㆍUSB 메모리 등 정보를 저장할수 있는 것으로 정보통신시스템과 분리할 수 있는 기억장치를 말한다. |
6. | "정보보안시스템"이라 함은 정보의 수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다. |
7. | "비밀번호"라 함은 전산장비에 저장되어 있는 자료를 무단열람하거나 부정출력하지 못하게 하기 위하여 사용하는 패스워드를 말한다. |
8. | "기밀성"이라 함은 정보가 인가되지 않은 개인이나, 처리과정 등에 누설되거나 공개되지 않는 속성을 말한다. |
9. | "무결성"이라 함은 정보가 고의적 또는 우발적으로 변경, 파괴되지 않고 일관성을 유지하는 속성을 말한다. |
10. | "가용성"이라 함은 인가자가 정보나 정보시스템을 사용 또는 접근하고자 할 때 사용 또는 접근이 가능하게 하는 속성을 말한다. |
11. | "접근통제"라 함은 인가된 사용자, 프로그램, 프로세스, 시스템 등의 주체만이 정보시스템의 자원에 접근할 수 있도록 제한하는 것을 말한다. |
12. | "중요정보"라 함은 노출, 변경, 파괴되면 본교에 지대한 영향을 미칠 수 있는 정보를 말한다. |
13. | "로그"라 함은 시스템 사용에 관련된 전체의 기록, 즉 입출력 내용, 프로그램 사용 내용, 데이터 변경 내용, 시작시간, 종료시간 등의 기록을 말한다. |
14. | "프로젝트담당자"라 함은 정보시스템 개발 등의 외부용역사업 시 본교의 해당 업무담당자를 말하며, 해당 용역사업 및 용역업체 직원에 대한 관리 책임이 있다. |
15. | "내부망"이라 함은 본교의 보안관리하에 있는 네트워크 중 침입차단시스템 또는 스크리닝 라우터를 경계선으로 하여 보호받는 본교의 주요 네트워크를 말한다. |
16. | "외부망" 또는 "상용망"이라 함은 내부망을 제외한 모든 네트워크를 말한다. |
17. | "단말기"라 함은 시스템에 연결되어 단순히 입ㆍ출력 기능만 수행하는 전용단말기와 내부망에 연계되어 운용하고 있는 개인용 컴퓨터를 포함한다. |
18. | "RFID(Radio Frequency IDentification) 시스템"이란 대상이 되는 사물 등에 RFID 태그를 부착하고 전파를 사용, 해당 사물 등의 식별정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집ㆍ저장ㆍ가공 및 활용하는 시스템을 말한다. |
19. | "개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명ㆍ주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다. |
20. | "내부감사"라 함은 정보보호 관련 지침과 매뉴얼의 준수 여부를 확인하고, 개선사항을 제시하며 이행을 권고하는 활동을 말한다. |
21. | "침해사고"라 함은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다. |
22. | "행정지역"이라 함은 학생 및 대학원생이 사용하는 실습실 및 연구실을 제외한 학사 운영 및 대학 운영등과 관련된 부서 및 장소를 말한다. |
정보보안 조직 체계
제4조 (보안심사위원회) |
|
① | 정보보안 업무에 관한 중요한 사항을 심의ㆍ의결하기 위한 보안심사위원회(이하 ‘심사위원회')는 보안업무 처리규칙 제1장 4조 규정을 준수한다. |
② | 심사위원회는 다음 각 호의 사항을 심의ㆍ의결한다. |
2. | 기타 보안담당관이 정보보안과 관련하여 필요하다고 인정하는 사항 |
|
제5조 (정보보안 조직 구성) |
|
① | 본교 정보보안 업무를 원활히 수행하기 위하여 정보보안 조직은 보안업무 처리규칙 제1장 제3조 규정을 준수한다. |
2. | 분임보안담당관 : 교무팀장, 학생지원팀장, 입학홍보팀장, 정보화운영팀장, 능력개발교육원 연수기획팀장, 온라인평생교육원 플랫폼운영팀장, 직업능력심사평가원 기획운영팀장 |
3. | 분임보안담당관은 효과적인 정보보안 업무 수행을 위해 소관부서의 직원을 보안담당자로 지정하여야 하며, 별도 지정이 없는 경우 서무가 ‘부서 정보보안담당자'가 된다. |
|
제6조 (보안담당관) |
|
① | 보안업무처리규칙 제1장 제4조 규정을 준수하며 보안담당관은 다음 각 호의 임무를 수행한다. |
2. | 정보보호 지침 등 관련 정보보호문서 제ㆍ개정 총괄 |
3. | 정보보안 내ㆍ외부 감사 및 보안점검 총괄(상위기관) |
4. | 기타 정보보안업무 전반에 관한 지도, 조정 및 기타 감독에 관한 사항 |
② | 보안업무 처리규칙 제1장 제3조에 의해 규정된 분임담당관인 정보화운영팀장은 기술분야 정보보안을 총괄하는 업무를 수행하며 기술보안담당관이라 한다. 기술보안담당관은 보안업무 처리규칙 제1장 제3조의 분임담당관의 임무와 함께 다음 각 호의 임무를 수행한다. |
1. | 보안담당관 업무를 보좌하여 기술분야 보안업무 총괄 관리ㆍ감독 |
2. | 주요 연간 기술분야 정보보안 활동계획 수립 및 이행 |
3. | 주요 정보자산 목록에 대한 관리 및 통제 |
5. | 보안취약성, 위험 분석 및 보안대책 적용 |
6. | 신규 정보시스템 개발 시 자체 보안대책 적용 |
9. | 정보통신망 및 정보자료 등의 보안관리 주관 |
정보보안 목표 및 기본활동
제7조 (기본목표) |
|
한국기술교육대학교 정보보안의 기본목표는 본교가 보유하고 있는 중요정보 유출을 방지하고 정보시스템 및 정보통신망의 기밀성ㆍ무결성ㆍ가용성을 확보하는데 있다.
제8조 (활동방향) |
|
본교는 정보보안을 위하여 다음 각 호의 기본활동을 수행한다.
1. | 정보보안 정책 및 활동 세부계획 수립ㆍ시행 |
제9조 (정보보안 추진계획 수립 및 검토) |
|
① | 보안담당관 및 분임보안담당관은 연간 정보보안 추진계획을 수립ㆍ시행하고 그 추진결과를 심사ㆍ분석해야 한다. |
② | 보안담당관 및 분임보안담당관은 세부추진계획 및 심사분석을 ‘[별지 제1호 서식] 정보보안업무 추진계획' 및 ‘[별지 제2호 서식] 정보보안업무 심사분석'에 따라 작성하여 관리해야 한다. 필요한 경우 별도의 서식을 사용할 수 있다. |
③ | 또한 본 규칙을 비롯한 정보보호관련 문서에 대해 연간 1회 이상 검토를 실시하는 것을 원칙으로 하며 상위기관의 규칙 및 지침 등이 변경될 경우 최신의 보안정책을 반영하기 위해 상시 개정을 추진 할 수 있다. |
제10조 (위험분석) |
|
① | 기술보안담당관은 기존에 운영 중인 정보자산뿐만 아니라 새로 도입되는 정보자산에 대해서도 위험분석을 실시할 수 있다. |
② | 본교의 정보보안을 구성하는 환경의 중대한 변화가 발생했을 경우, 보안담당관의 결정에 따라 위험분석을 실시할 수 있다. |
제11조 (위험관리) |
|
기술보안담당관은 위험분석 결과를 바탕으로, '위험수용기준(DoA)'에 따라 관리대상 위험을 식별하고 각 부서의 위험분석 및 단계별 위험관리방안을 참고하여 ‘정보보호 대책명세서'를 작성할 수 있다.
제12조 (내부감사) |
|
① | 보안담당관, 기술보안담당관은 정보보안 전반에 대한 연간내부감사 계획을 수립하여 실시한다. |
② | 보안담당관은 내부감사 결과 발견된 취약점 및 부적합 사항에 대해 각 해당 팀에게 적절한 조치를 취하도록 권고하며, 이의 이행을 모니터링 한다. |
③ | 감사대상 영역에 대한 보안감사 증적(Audit Trails)을 확보하고, 증거 자료의 무결성이 보장되도록 조치한다. |
④ | 서버, 네트워크시스템, 응용시스템, 데이터베이스 등에 대하여 내부감사에 필요한 시스템 로그의 종류와 보존기간을 해당 지침 및 매뉴얼에 명시하여, 심사 시에 충분한 증거로서 활용한다. |
⑤ | 내부감사 시 사용되는 정보시스템 감사도구에 대한 오용 및 손상을 방지하기 위한 적절한 통제를 수행하여야 한다. |
⑥ | 내부감사를 위해 필요한 경우 외부 지식정보보호 전문업체를 통하여 점검을 수행할 수 있다. |
정보자산 관리
제13조 (정보자산 식별 및 관리) |
|
① | 기술보안담당관은 정보시스템과 관련된 정보자산들에 대해서는 총괄책임을 지고 분임보안담당관은 소관부서별로 정보자산관리자를 지정하여 해당 자산을 관리한다. |
② | 기술보안담당관 및 분임보안담당관은 정보자산 식별 및 분류 작업을 수행하며 정보자산의 소유자, 관리자, 사용자 및 정보자산 보호등급을 정의하고 정보자산에 대한 목록‘[별지 제3호 서식]정보자산목록'을 관리하도록 한다. |
③ | 기술보안담당관은 중요도 평가 기준을 수립하여 평가 기준에 따라 정보자산에 대한 중요도를 평가한다. |
④ | 기술보안담당관은 정보시스템 운영 환경의 변화에 따라 자산의 중요도 평가 기준을 변경할 수 있다. |
⑤ | 기술보안담당관은 정보 자산의 도입, 추가 및 폐기로 인해 변경사항이 발생한 즉시 정보자산목록을 변경해야 한다. |
⑥ | 분임보안담당관은 소속부서의 정보자산현황을 작성하여 관리해야 하며, 해당 정보자산의 현황이 변경된 경우 소속부서의 정보자산 현황을 기술보안담당관에게 통보해야 한다. |
⑦ | 기술보안담당관은 중요 정보자산에 대하여 주기적으로 또는 용도 및 세부내역이 변경된 경우 중요도를 재검토하여 재분류 한다. |
제14조 (정보자산의 보안관리) |
|
① | 본교 내부직원 및 외부 용역직원들은 본교 내부 정보자산을 개인의 목적으로 외부 반출 및 타인에게 전송 할 수 없다. |
② | 전자적 형태의 정보자산을 업무상 목적으로 전송 또는 배포하고자 하는 경우에는 승인된 정보기기 및 전송망을 사용해야 한다. |
③ | 보안담당관은 중요 정보자산에 대하여 비인가자의 무단접근을 통제할 책임을 지닌다. |
④ | 중요 정보자산의 외부 반출은 소속팀장의 사전 승인 후 반출한다. |
1. | 소속팀장은 감사를 위해 관련내용을 기록 관리하고, 저장매체 내의 데이터를 확인한다. |
2. | 소속팀장은 외부로 반출ㆍ입 되는 정보자산의 승인여부를 확인하고, 관련내용을 기록 관리한다. |
⑤ | 보안담당관은 관련 규정에 따라 정보자산이 적절하게 사용 및 운용되고 있는지 관리ㆍ감독한다. |
제14조의2(시스템 보안책임 범위) |
|
① | 사용자는 개인PC 등 소관 정보시스템을 사용하거나 본인 계정으로 정보통신망에 접속하는 것과 관련한 보안책임을 가진다. |
② | 시스템관리자는 서버ㆍ네트워크 장비 등 부서 공통으로 사용하는 정보시스템의 운용과 관련한 보안책임을 가진다. |
③ | 제1항부터 제2항까지와 관련하여 정보시스템을 실제 운용하는 부서의 장이 정보시스템‘관리책임자'가 되며, 관리책임자는 정보시스템 관리대장을 수기 또는 전자적으로 운용 관리하여야 한다. |
④ | 관리책임자는 부서의 정보시스템 관리대장에 정보시스템의 변경 최종 현황을 유지하여야 하며, 사본1부를 기술보안담당관에게 제출해야 한다. |
⑤ | 기술보안담당관은 제1항부터 제4항까지에 명시된 정보시스템 운용과 관련한 보안대책 강구가 필요하다고 판단할 경우, 사용자ㆍ시스템관리자 및 관리책임자에게 시정을 요구할 수 있다. |
제15조 (정보자산의 폐기) |
|
① | 교내 행정지역에서 정보자산의 폐기사유가 발생하면 보안담당관의 승인을 받은 후 폐기한다. |
② | 정보자산 재사용 또는 폐기 시 에는 다음 사항을 준수해야 한다. |
구 분
| 출력물
| 보조기억매체
|
재사용
| 대외비 이상 정보의 재사용 (이면지 사용)금지
| 덮어쓰기 또는 신뢰할 수 있는 방법으로 데이터 완전 소거
|
폐 기
| 문서 수거함이나 문서 파쇄기를 통한 폐기
| 물리적으로 매체의 완전 파괴
|
정보보안 교육 및 홍보
제16조 (정보보안 교육 및 홍보) |
|
① | 보안담당관은 전 교직원을 대상으로 연 1회 이상 정보보안 교육을 실시하여야 한다. |
② | 보안담당관은 정보보안 교육의 효율성, 전문성을 높이기 위해 외부전문가의 지원을 요청할 수 있다. |
③ | 보안담당관 및 기술보안담당관은 업무 전문성을 제고하기 위해 연 1회 이상 정보보안전문기관 교육 또는 정보보안 관련 세미나에 참석해야 한다. |
④ | 보안담당관은 교직원에게 정보보안 인식을 제고할 수 있는 다음과 같은 내용을 활용하여 전자메일(e-mail), 교내 게시판(홈페이지, 그룹웨어) 등을 활용하여 홍보활동을 주기적으로 수행 한다. |
인적보안
제17조 (채용 시 보안) |
|
① | 교직원(계약직 포함) 채용 시에는 재직 중에 취득한 정보에 대한 보안을 유지하도록 ‘[별지 제4호 서식] 정보보안 서약서(교직원용)'를 징구해야 한다. |
② | 분임보안담당관은 신규 입사자에 대해서 내부 보안업무 처리규칙, 정보보호 기본규칙, 개인정보보호규칙 등의 내용을 포함하여 정보보안 교육을 수행하고, 보안담당관은 교육수행 기록을 관리해야 한다. |
제18조 (보직변경 등 인사이동시) |
|
① | 보직변경 등 인사이동시 업무시스템에 대한 접근권한을 인사발령과 함께 신속하게 변경 또는 조정하여야 한다. |
② | 인사이동시 PC에 저장된 업무관련 파일은 삭제해야하며, 업무관련 파일이나 정보유출에 대한 책임은 해당PC 사용자에게 있다. |
제19조 (퇴직 및 계약해지 시) |
|
① | 퇴직자는(계약직 포함) 재직 중 보유 한 모든 정보자산(사용PC, 보조기억매체, 업무자료 및 문서, 출입증 등)을 반환해야 할 의무가 있으며, 해당 부서장은 퇴직자의 정보자산을 팀에 귀속시킬 수 있도록 할 책임이 있다. |
② | 퇴직 절차가 완료된 퇴사자에 대해 인사발령을 시행하고, 퇴직 처리된 퇴사자의 계정이 삭제될 수 있도록 요청한다. |
③ | 기술보안담당관은 퇴직자에 의한 정보유출이 의심되거나 위험이 있는 경우 퇴직 처리 전에 사용자의 계정을 삭제 조치할 수 있다. |
제20조 (보안규정위반자에 대한 처리) |
|
보안담당관은 보안과 관련된 규칙, 지침 등을 위반하는 행위를 한 자에 대하여 보안심사위원회의 심의를 거쳐 총장에게 징계를 요구 할 수 있다.
물리적 보안
제21조 (보호구역 설정) |
|
① | 본교의 물리적 보안을 위해 보호구역을 설정하여 관리 한다. |
② | 보호구역은 그 중요도에 따라 통제구역, 제한구역으로 구분하며, 본교의 보호구역은 보안업무처리 규칙 제5장 제17조 규정을 준수한다. |
③ | 보호구역에 대한 통제는 본 규칙 외에도 보안업무처리 규칙 제5장을 준수하여 관리한다. |
제22조 (통제구역의 통제) |
|
통제구역으로 지정된 장소는 다음과 같은 통제를 적용한다.
1. | 출입통제 및 감시를 위해 출입통제시스템, 감시카메라(CCTV) 등을 설치한다. |
2. | 비인가자의 출입이 제한되는 ‘통제구역' 표시를 하여야 한다. |
3. | 통제구역의 출입 권한 등록은 최소한의 인원으로 제한하고, 인가자 외의 인원 출입 시 담당자 인솔 하에 출입한다. |
제23조 (제한구역의 통제) |
|
제한구역으로 지정된 장소는 다음과 같은 통제를 적용한다.
1. | 출입통제를 위해 출입통제시스템을 설치한다. |
2. | 퇴직, 보직 변경된 교직원에 대한 불필요한 출입권한은 즉시 해제되어야 한다. |
3. | 외부자의 제한구역 내 출입은 업무상 필요에 따라 결정되어야 하며, 담당자에 의하여 이들의 제한구역 내 활동은 지속적으로 관리ㆍ감독되어야 한다. |
제24조 (보호구역 재해 대비) |
|
② | 적정한 온ㆍ습도를 유지하기 위한 항온항습기를 설치 및 운용하도록 한다. |
③ | 비상시에 대비하여 휴대용 조명기기를 비치한다. |
④ | 재해 방지 설비에 대한 점검을 정기적으로 실시한다. |
⑤ | 주기적인 재해대비 훈련에 대한 계획수립 및 훈련을 실시한다. |
제25조 (장비 설치 및 보호) |
|
① | 장비는 물리적ㆍ환경적 위협이나 위험, 또는 외부인의 접근으로부터의 위험을 줄일 수 있도록 설치하고 보호한다. |
② | 비밀정보를 다루는 원격터미널 또는 모니터는 비인가자가 외부로부터 투시가 될 수 없도록 배치하며, 특별한 보호가 요구되는 정보시스템은 격리된 장소에서 별도로 관리한다. |
③ | 비상시 사용될 백업 장비 및 자산은 원격지에 보관한다. |
④ | 정보시스템은 화재 등에 대비하여 건물 외벽과 거리를 두고 배치하고, 가능한 취사시설, 화장실 등으로부터 거리를 두고 배치한다. |
⑤ | 정보시스템에 연결된 전력과 통신 케이블은 가능한 매설하고, 매설이 어려울 경우 보호를 위한 방안을 마련해야 한다. |
⑥ | 장비는 정전이나 기타의 전기적 장애로부터 보호한다. |
⑦ | 장비 및 설비는 정기적인 점검을 월 1회 이상 실시하여 장애나 고장으로부터 보호한다. |
제26조 (장비 폐기 및 재사용) |
|
① | 중요한 정보를 담고 있는 저장 장치의 폐기 및 재사용 시에는 물리적으로 파괴하는 등 적절한 정보보호 대책을 적용한다. |
② | 하드디스크와 같은 저장 매체를 포함하는 모든 종류의 장비는 폐기되기 전에 저장 매체로부터 중요한 데이터 및 라이센스가 있는 소프트웨어가 제거되었는지 확인한다. |
③ | 비밀정보를 포함한 보고서 등의 문서는 안전하게 파지 또는 소각하며, 하드 디스크, 광파일, 마그네틱 테이프 등의 매체를 폐기 처분하고자 할 때에는 인가된 안전한 방법을 사용하여 완전 포맷 또는 삭제한 후 폐기한다. |
④ | 비밀정보 폐기와 관련된 기록은 향후 감사를 위해 유지한다. |
제27조 (자료보안) |
|
① | 비밀정보가 담긴 저장매체, 출력된 문서 또는 PC 등은 비인가자의 접근으로부터 보호한다. |
② | 보안담당관은 보호구역내에 생성 및 유통되고 있는 종이문서와 PC 화면으로부터 비인가자에게 정보가 유출되는 것을 방지하기 위하여, 보호구역 내의 직원들을 대상으로 보안활동을 준수토록 한다. |
③ | 주요 서류 및 휴대용 저장매체(노트북, PDA, 외장형 하드디스크 등)를 사용하지 않을 경우, 시건 장치가 된 캐비닛이나 창고에 보관한다. |
사무실 보안관리
제28조 (출입통제) |
|
① | 본교 사무실 출입문에는 출입통제장치를 설치해야하며, 비인가자의 출입을 통제해야 한다. |
② | 근무시간 이후에는 출입통제장치가 잠금상태로 되어 있어야 한다. |
제29조 (출입증 착용 및 관리) |
|
① | 전 교직원은 출입 시 출입증을 착용해야 한다. |
② | 출입증을 분실 또는 도난당한 경우, 해당팀으로 즉시 통보해야 한다. |
③ | 교직원은 자신의 출입증이 분실되지 않도록 주의한다. |
제30조 (사무실 보안 활동) |
|
① | 전 교직원은 책상 위에 주요 문서나 저장매체를 방치하지 않도록 한다. |
② | 노트북은 퇴근 시 반드시 잠금장치 내에 보관 또는 시건장치를 하여 도난 및 분실에 유의한다. |
③ | 공용 캐비닛에는 정ㆍ부 책임자를 지정하고 퇴실 시 항상 잠근 후 열쇠는 안전한 곳에 보관하여야 한다. |
④ | 개인 서랍은 잠금장치를 설치하고 퇴근 시 항상 잠금을 확인한다. |
⑤ | 최종 퇴실자 또는 팀의 보안담당자는 매일 퇴근 전 사무실의 보안점검을 실시하고 보안점검 일지를 작성해야 하며, 분임보안담당관은 작성된 보안일지에 대하여 월별 주기로 확인을 수행한다. |
전산장비실 보안관리
|
제31조 (출입권한 관리) |
|
① | 전산장비실 출입권한은 정보화운영팀 직원에 한하여 허가되며, 전산장비실 출입권한자 명단을 작성하여 전산장비실내에 비치한다. |
② | 전산장비실 출입권한이 신규로 필요로 한 경우 기술보안담당관의 승인 후, 해당 인원의 출입권한을 등록한다. |
③ | 기술보안담당관은 퇴사 및 보직변경으로 인하여 전산장비실 출입권한의 변동이 발생한 경우 우선적으로 해당인원의 전산장비실 출입권한을 삭제한다. |
제32조 (외부인 출입통제) |
|
① | 전산장비실은 비인가자의 출입을 통제하여야 하며 ‘[별지 제5호 서식] 출입관리대장'을 비치하여 모든 출입자를 기록해야 한다. |
② | 외부인이 전산장비실을 출입하는 경우 출입권한자가 동행하도록 한다. |
③ | 외부인의 전산장비실 출입 시 목적, 출입 및 퇴실시간 등을 출입관리대장에 기록하고 동행한 출입권한자가 확인서명을 하여야 한다. |
제33조(정보통신장비의 반입ㆍ출입 통제) |
|
① | 기술보안담당관은 정보통신장비의 수리, 교체 및 대체, 대여 등으로 정보통신장비가 반입ㆍ반출되는 경우, 정보통신장비의 반입ㆍ반출을 통제하여야 한다. |
② | 기술보안담당관은 정보시스템 장비의 반입ㆍ반출을 하는 경우 관련 기록을 ‘[별지 제6호 서식] 반입ㆍ반출 관리대장(전산장비실)'에 기록한다. |
③ | 장비 반출일 경우 해당 장비내의 저장매체에 저장된 정보가 복구 가능하지 않도록 삭제되었는지 확인한 후 장비를 반출하도록 한다. |
PC 보안
제34조 (PC 보안관리) |
|
① | 개인이 사용하는 PC의 정보보안 관리에 대한 1차 책임은 PC 사용자에게 있으며, 교직원 PC사용자는 다음의 보안대책을 강구해야 한다. |
1. | CMOS(부팅), 로그인 및 화면보호기에 각각 비밀번호 설정 후 3개월 단위로 변경 |
2. | 10분 이상 PC 작업을 중단 시 비밀번호가 적용된 화면보호기 작동 |
3. | 최신의 바이러스 백신 S/W 설치 및 주기적인 업데이트 |
4. | 개인정보점검 S/W 설치 및 주기적인 업데이트 |
5. | P2P, 메신저, 웹하드 등 업무와 무관하거나 보안에 취약한 프로그램의 사용 금지 |
② | 공유폴더는 사용하지 않는 것을 원칙으로 하며, 업무상 목적으로 필요한 경우에는 반드시 공유폴더에 패스워드를 설정하고, 사용이 완료된 후에는 공유 설정을 제거해야 한다. |
③ | 노트북은 도난 및 분실을 예방하기 위해 물리적 시건장치를 설치하여 사용해야 하며, 외부 출장 시에도 책상위에 방치하지 말고 시건장치를 설치하거나 디스크 암호화 후 사용하여야 한다. |
④ | 모든 PC사용자(노트북 등의 모바일 컴퓨터 포함)는 적법한 절차를 거쳐 취득한 정품 소프트웨어만을 사용해야 하며 사용권한이 없거나 임의로 복제된 불법소프트웨어를 설치해서는 안 된다. |
⑤ | 업무상 취급되는 개인정보 등 중요정보를 PC에 저장 시 암호화하여 저장하도록 하며, 정보 이용 목적 달성 시 지체없이 삭제하여야 한다. |
⑥ | 매월 세 번째 수요일을 사이버 보안 진단의 날로 지정하여 사용자는 PC 업데이트 및 보안 취약점 점검, 악의적인 바이러스 및 불법 소프트웨어 등이 설치되어 있는지를 점검하여야 한다. |
⑦ | 사용자가 노트북, 넷북, 스마트폰 등과 같은 모바일 컴퓨터를 이용하는 경우에는 위와 같은 일반 PC보안 사항을 준수하여야 하며, 업무자료가 저장되지 않도록 시스템 종료 시 사용자 파일 자동삭제와 같은 보안수단 설치를 강구하여야 한다. |
제35조 (PC 비밀번호 설정 및 관리) |
|
① | PC사용자(노트북 포함)는 CMOS(부팅)로그인, 화면보호기 패스워드를 설정하여 비인가자의 접근을 통제하여야 한다. |
② | PC에서 사용하는 비밀번호는 다음 각 호 사항을 반영하여 영문ㆍ숫자ㆍ특수문자가 포함된 9자리 이상으로 정하고, 분기 1회 이상 주기적으로 변경 사용하여야 한다. |
2. | 개인 신상 및 부서명칭 등과 관계가 없는 것 |
3. | 일반 사전에 등록된 단어는 사용을 피할 것 |
4. | 동일단어 또는 숫자를 반복하여 사용하지 말 것 |
5. | 이전에 사용된 비밀번호는 재사용하지 말 것 |
6. | 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것 |
7. | 관리자계정과 사용자계정의 비밀번호를 다르게 부여 |
8. | 초기 할당된 임시 비밀번호는 사용자 로그인 후 즉시 변경 |
제36조 (PC 및 노트북 반출ㆍ입 관리) |
|
① | PC(노트북)의 반출 시 해당 부서별 반출ㆍ입 내역을 ‘[별지 제7호 서식] 보조기억매체(전산장비 포함) 반출ㆍ입 대장'에 기록해야 한다. |
② | PC 사용자는 반출된 PC(노트북) 반입 시 바이러스 백신프로그램으로 바이러스 및 악성코드 감염여부를 점검한다. |
③ | 개인소유의 PC(노트북 등)는 본교 내부로 반입 또는 반출하여 사용해서는 안 된다. 다만, 부득이한 경우에는 부서장의 승인을 받은 후 반입 또는 반출할 수 있다. |
④ | PC에 설치 또는 부착된 하드웨어를 임의로 변경, 제거하거나 본교 외부로 반출해서는 안 된다. |
제37조 (PC 유지보수) |
|
① | PC 유지보수는 인가된 직원(또는 외부업체 직원)에 의해서만 수행되어야 한다. |
② | PC 또는 PC내 하드웨어를 유지보수(교체ㆍ반납ㆍ폐기)를 위해 본교 외부로 반출할 경우 다음의 보안대책을 강구한다. |
1. | PC에 저장된 데이터가 복구가 되지 않도록 삭제 또는 하드디스크를 분리 |
2. | PC수리인력에게 [별지 제8호 서식] ‘정보보안 서약서(외부자용)' 징구 |
제38조 (유해 소프트웨어에 대한 통제) |
|
공식적으로 인가되지 않은 프로그램의 사용은 바이러스, 트로이 목마와 같은 악성 코드들이 포함되어 있을 가능성이 높으며 이러한 악성코드 들은 조직의 중요 정보 노출, 파괴 등을 유발할 수 있으므로 사용자는 프로그램 사용에 대해 다음 사항을 준수한다.
1. | 사용자는 업무에 불필요 또는 불법 소프트웨어를 사용하지 않고, 정품 소프트웨어만을 사용한다. |
2. | 불확실하거나 출처가 명확하지 않은 파일, 신뢰할 수 없는 네트워크로부터 획득된 파일은 사용하기 전에 바이러스 검사를 한다. |
3. | 사용자는 월 1회 이상 악의적인 바이러스, 불법 소프트웨어 등이 설치되어 있는지를 점검한다. |
E-mail, 인터넷 보안관리
제39조 (E-mail 사용의 제한) |
|
① | E-mail 사용자는 부서장의 허가를 받지 않은 정보 또는 외부에 공개할 수 없는 내부 정보를 외부에 발송하지 않는다. |
② | 스팸메일 등 불법 메일 등을 송신하거나 타 직원의 E-mail 계정을 도용할 수 없다. |
③ | 정보시스템 자원의 낭비를 초래하는 스팸메일, 반복메일 등은 전송 및 배포를 금지한다. |
④ | 모든 E-mail 사용자는 제3자의 지적재산권, 저작권을 침해하는 내용, 명예훼손, 사기, 바이러스 유포 등의 불법적인 행위에 대한 내용을 E-mail에 포함하지 않는다. |
⑤ | 타인의 E-mail 내용 및 비밀번호를 중간에서 전자적으로 도청하지 않는다. |
⑥ | E-mail이 암호화되지 않은 경우, E-mail 사용자들은 신용카드번호, 패스워드 등 개인의 중요한 정보를 E-mail 내용에 포함시켜 보내지 않아야 한다. |
⑦ | 내부정보를 외부로 송신하기 위해서는 사전에 그 타당성에 대해 해당 전결권자의 승인을 득해야 하며, 내용의 중요성에 따라 선택적으로 암호화하여 전송한다. |
제40조 (E-mail 이용 시 업무처리 절차) |
|
① | E-mail 계정은 정보시스템(아우누리) 가입 후 메일시스템 접근 시 자동으로 생성함을 원칙으로 한다. |
1. | 한 명의 직원 당 1개의 E-mail 계정 부여를 원칙으로 한다. 단, 업무 목적상 필요한 경우 업무용 계정을 별도로 신청할 수 있다. |
2. | 직원의 E-mail 주소 디렉토리는 공개적으로 접근하지 못하도록 조치한다. |
1. | E-mail을 통한 업무자료 수발신은 내부 웹메일 시스템을 사용한다. |
2. | 외부 사설메일(Naver, Daum, MSN 등)을 이용한 업무자료 송수신은 하지 않는다. |
④ | 메일 이용 중 사용자의 PC 자료를 파괴하거나 탈취하려는 목적의 악성메일 수신시 정보보호담당자에게 통보하고, 정보보호 담당자는 조사 후 발신지 차단 등의 보안조치를 실시한다. |
제41조 (인터넷 접속에 대한 보안) |
|
① | 다음의 사이트는 업무시간 중 접속을 금지한다. |
3. | 증권관련 사이트 등 업무와 관련성이 없는 사이트 |
4. | 북한관련 사이트 등 기타 접속 금지의 필요성이 인정되는 사이트 |
② | 업무와 관련이 있는 사이트 외의 웹 사이트의 Active-X 등 추가기능을 설치하지 않는다. |
③ | 악성 자료를 포함하는 사이트를 발견했을 경우, 해당 사이트의 URL을 기술보안담당관에게 통보하고, 기술보안담당관은 조사 후 유해사이트차단시스템 등의 보안시스템을 사용하여 해당 사이트의 접근을 차단한다. |
보조기억매체 관리
제42조(보조기억매체 등록 및 관리) |
|
① | 본교 교직원은 원칙적으로 보조기억매체를 사용할 수 없으나 업무상 불가피하게 사용할 경우 보안기능이 포함된 보조기억매체를 사용하되, 관리대장에 기록하여 안전하게 관리하여야 한다. |
② | 보조기억매체 등록 및 관리와 관련된 세부사항은 ‘USB메모리 등 휴대용 저장매체 보안관리지침'을 따른다. |
서버 보안
제43조 (정보시스템 보안관리) |
|
① | 기술보안담당관은 정보통신시스템(정보통신망 포함)의 효율적인 보안관리를 위하여 정보통신시스템별로 관리책임자(이하 ‘시스템관리자'라 한다)를 지정 운영하여야 한다. |
② | 시스템관리자는 각종서버ㆍPCㆍ정보통신장비 등 정보통신시스템이 비인가자에게 불필요한 서비스를 허용하지 않도록 보안기능을 설정하여야 한다. |
③ | 시스템관리자는 보안점검도구를 이용하여 연 1회 이상 정보통신시스템의 보안취약성을 진단하고 그 결과를 기술보안담당관에게 제출하여야 한다. |
④ | 시스템관리자는 주기적으로 불필요한 포트의 사용여부를 점검하여, 불필요한 포트 사용이 확인되는 즉시, 해당 포트를 삭제하는 등의 보안조치를 수행한다. |
⑤ | 중요정보를 취급하는 정보시스템은 관리자 권한으로 시스템에 접근하는 경우, 지정된 IP에서만 접근할 수 있도록 한다. |
제44조 (서버 시스템의 설치) |
|
① | 서버 시스템 설치 시 아래의 각호의 사항을 준수하여야 한다. |
1. | 신규 시스템을 도입 시 시스템 보안설정, 서버백신, 장애관리 등의 도구를 설치해야 한다. |
2. | 시스템관리자는 신규로 도입 설치되는 서버 시스템에 서버 취약점 점검도구를 설치하여 시스템 및 OS의 취약점 점검을 수행하며, 점검결과 발견된 취약점에 대해 조치하고 그 결과를 기술보안담당관에게 제출하여야 한다. |
3. | 시스템관리자는 신규 시스템 설치 및 변경 사항을 정보자산 관리목록에 갱신해야한다. |
② | 소프트웨어 설치 아래의 각호의 사항을 준수하여야 한다. |
1. | 발주부서 담당자는 서버에 설치된 소프트웨어의 현황을 목록으로 만들어 관리하며 변경 시 현황을 수시로 업데이트 한다. |
2. | 서버 시스템에 설치되는 소프트웨어는 기술보안담당관의 승인을 얻은 후 설치한다. |
3. | 발주부서 담당자는 소프트웨어 설치작업 후 해당 서버의 소프트웨어 설치 현황목록에 추가한다. |
4. | 업무통제나 시스템을 무력화 할 수 있는 유틸리티의 사용은 통제한다. |
③ | 소프트웨어 설치 시 아래의 각호의 사항은 제한하여야 한다. |
1. | 서버에는 업무 목적 외의 불필요한 프로그램을 설치할 수 없다. |
3. | 원격관리 소프트웨어 등 서비스 관리 목적상 불가피하게 설치해야 할 필요성이 있을 때에는 자체 보안대책을 마련하여 기술보안담당관에게 승인을 얻는다. |
④ | 시스템관리자는 파일시스템을 구성할 때 시스템 데이터와 일반 데이터를 논리적 또는 물리적으로 분리하여 설치한다. |
제45조 (보안설정 적용) |
|
① | 시스템관리자는 주기적인 패치 및 보안 설정을 적용한다. |
② | 모든 서버는 로그인을 허용하기 전에 다음과 같은 보안권고문을 공지한다. |
"서버관리자 이외 또는 부당한 방법으로 정보통신망및정보시스템에 접속하거나 정보를 삭제, 변경, 유출하는 자는 관련 법령에 따라 처벌을 받게 됩니다."
|
③ | 서버 로그인 시 또는 웹서버 정보에서 OS버전, 서비스정보 등의 취약점 유추가 가능한 정보가 누출되지 않도록 설정한다. |
④ | 시스템의 보안 설정된 정보와 로그는 임의적으로 삭제되지 않도록 한다. |
제46조 (시스템 접근 기록 관리) |
|
① | 시스템 접속기록은 접속일시, 사용자 ID, 접속 IP, 행위 등이 포함되어야 한다. |
② | 시스템 접근 및 사용에 대한 책임 추적성을 확보하기 위하여 시스템 가동 및 종료, 설정 변경, 중요파일 접근로그, 관리자 계정 명령어 사용내역 등의 로그를 기록한다. |
③ | 사고발생시 책임추적이 가능하도록 시스템 접근기록을 6개월 이상 보관하여야 한다. |
④ | 기술보안담당관의 사전 승인이 없는 한 모든 시스템의 로그는 비인가자가 접근할 수 없으며 시스템 로그를 비인가자가 열람하거나, 훼손하는 경우 보안심사위원회를 통해서 처벌하거나, 외부자의 경우 민ㆍ형사상 법적 조치를 취한다. |
⑤ | 시스템관리자는 정기적으로 시스템 접근기록을 검토하여 비인가자의 접속 시도, 정보 위ㆍ변조 및 무단삭제 등의 의심스러운 활동이나, 침입흔적 발생 시 기술보안담당관에게 보고하고 조치를 취해야 한다. |
제47조 (계정 및 패스워드 관리) |
|
① | 시스템관리자는 사용자계정의 등록ㆍ변경ㆍ폐기 시 기술보안담당관에게 그 결과를 보고하여야 한다. |
② | 시스템관리자는 3개월 이상 미사용 계정, 사용자의 퇴직 또는 보직변경 등으로 사용하지 않는 사용자계정에 발생할 경우 이를 신속히 삭제하여야 한다. |
③ | 5회에 걸쳐 사용자인증 실패 시 정보통신시스템 접속을 중지시키고 비인가자 침입 여부를 확인 점검하여야 한다. |
④ | 패스워드는 영숫자, 특수문자 등을 혼합하여 9자리 이상으로 정하고 분기 1회 이상 주기적으로 변경 사용하여야 한다. |
제48조 (권한관리) |
|
① | 서버 내 정보에 대한 접근 권한은 시스템관리자가 결정하여 신청하며 기술보안담당관은 접근 권한을 검토 후 부여한다. |
② | 시스템관리자는 개인의 계정으로 접속한 후에 관리자 권한을 획득한다. |
③ | 일반 사용자는 다른 사용자의 홈 디렉터리 혹은 시스템 관리에 관한 파일 혹은 디렉터리에는 접근할 수 없도록 제한한다. |
④ | 사용자가 서비스 중지 등을 일으킬 수 있는 명령어를 사용하거나 파일 실행을 할 수 없도록 제한한다. |
⑤ | 사용자는 시스템관리자 및 기술보안담당관의 사전 승인 없이 운영체제의 접근 통제를 우회할 수 있는 프로그램을 사용할 수 없도록 제한한다. |
⑥ | 관리자 권한 등의 중요 권한을 일반 사용자에게 생성해주지 않는다. |
⑦ | 슈퍼유저 계정을 이용한 FTP 접속권한을 해제한다. |
⑧ | 불필요한 RPC, SMB등 통신 권한을 해제한다. |
제49조 (접근통제관리) |
|
① | 업무상 접속할 필요가 있는 사용자를 파악한 후 보안 도구를 이용해 IP 주소 기반의 접근 제어를 한다. |
② | 시스템관리자는 서버가 정상적으로 동작하지 않을 경우 정상적으로 동작될 때까지 사용자의 접근을 제한할 수 있다. |
③ | 시스템관리자는 비인가자의 불법적인 접근 및 서비스 중지 등을 예방하기 위해 업무적으로 불필요하거나, 침해의 위협이 있는 네트워크 서비스를 제공하지 않는다. |
④ | 시스템관리자는 접근통제 세부내역을 주기적으로 검토하여야 한다. |
제50조 (원격접근 보안관리) |
|
① | 사용자가 서버에 접속할 경우 반드시 사용자 계정과 패스워드 또는 보다 강화된 인증 방법을 적용하여 접근 가능하도록 한다. |
② | 인증방법은 서버 시스템이 제공하는 서비스 내용과 중요도에 따라 결정하며 다음과 같은 방법 등을 사용한다. |
2. | 음성, 지문, 홍채 등 신체적 특성을 이용한 인증 |
3. | 비밀번호 발생기, 디스켓, IC카드 등 소지형 인증 |
③ | 인증 서버를 구축할 경우에는 인증 서버의 장애로 인한 서비스 중단 등이 발생하지 않도록 병렬구성을 원칙으로 한다. |
④ | 중요 서버에 접근 시에는 SSH(Secure Shell) 등의 암호화된 통신 프로토콜 사용을 원칙으로 한다. |
⑤ | 로그인 화면에서는 로그인 관련 정보만 표시한다. 조직이나 운영체제, 네트워크 환경, 내부적인 사항과 같은 정보는 로그인이 성공적으로 이루어진 후에 표시되도록 한다. |
⑥ | 사용자가 시스템에 로그인 실패 시 시스템 침해의 원인이 될 만한 정보를 사용자에게 보여주지 않도록 조치한다. |
⑦ | 연속적으로 3회 이상 패스워드를 잘못 입력할 경우 세션을 차단 후 기술보안담당관에게 해당 사실을 통지하고 비인가자의 침입여부를 확인 및 점검해야 한다. |
⑧ | 사용자가 서버 로그인에 성공하였을 경우 가장 최근에 성공적으로 접속한 시간, 날짜, 터미널 등의 정보를 화면에 표시한다. |
제51조 (관리자 보안 이행사항) |
|
① | 서버에 접속한 후 사용자나 다른 시스템으로부터 일정시간(10분 이하) 동안 어떤 입력도 일어나지 않으면 자동적으로 로그오프 시키거나 세션을 중단시키는 것을 원칙으로 한다. 단, 개발 업무나 서버 운영상 필요성이 인정되는 경우 예외로 할 수 있다. |
② | 통제구역 이외의 장소에 설치된 서버는 시스템관리자 및 사용자가 5분 이상 자리를 비울 경우 패스워드가 설정된 화면보호기가 작동되도록 하거나 로그오프하여 비인가자가 접근할 수 없도록 한다. |
제52조 (외부망에 대한 접근보안관리) |
|
정보시스템을 외부에서의 네트워크를 통해 원격으로 접속하여 정비하는 것을 원칙적으로 금지하여야 한다. 다만, 부득이한 경우에는 아래의 각호에 해당하는 보안대책을 강구하고 한시적으로 허용하여야 한다.
2. | 접근권한의 사용시간 명시, 시간경과 후 접근권한 삭제 |
3. | 원격정비 시스템의 IP 사전 파악, 지정된 시스템에서만 수행 |
4. | 원격시스템과의 통신정보를 점검하여 실행코드에 악성코드 유입 방지 |
5. | 원격정비를 수행할 때 대상 정보시스템을 내부망과 분리 |
6. | 원격 정비기록을 유지, 정비결과 서버관리자에게 보고 |
7. | 원격 정비자가 네트워크를 통해 원격지 컴퓨터 파일을 자신의 컴퓨터 파일처럼 접근하여 작업할 수 있도록 하는 등 해킹에 취약한 방식으로 원격정비 금지 |
제53조 (패치 및 변경 통제) |
|
패치나 시스템 파라미터(IP, 사용자 계정, 권한 설정, 환경설정 값 등)를 변경할 시에는 그와 관련된 모든 사항(변경값, 변경 사유, 승인자, 시행자, 일자, 해당 서버 등)에 대한 증적을 남긴다.
제54조 (웹서버 등 공개서버 관리) |
|
① | 외부인에게 공개할 목적으로 설치되는 웹서버 등 각종 공개서버는 내부망과 분리하여 운영하고 보안적합성이 검증된 침입차단시스템을 설치하는 등 보안대책을 강구하여야 한다. |
② | 서버에 접근할 수 있는 사용자계정을 제한하며 불필요한 계정은 삭제하여야 한다. |
③ | 홈페이지 게재내용은 운영부서 부서장의 심의를 거쳐 개인정보ㆍ비밀내용 등 비공개 자료가 포함되지 않도록 하여야 한다. |
④ | 공개서버는 업무서비스를 제외한 모든 서비스 및 시험ㆍ개발도구 등의 사용을 제한하도록 보안기능을 설정하여야 한다. |
⑤ | 공개서버는 운영 전 보안취약점을 점검하고 모든 취약점이 수정되었음을 확인 및 보안조치 실시 후 운영하여야 하며, 운영 중에도 보안취약성을 연 1회 이상 점검하여 시스템 및 자료의 위ㆍ변조, 훼손여부를 확인하고 그 결과를 기술보안담당관에게 제출하여야 한다. |
⑥ | 보안사고에 대비하여 서버에 저장된 자료의 철저한 백업체계를 수립ㆍ시행하여야 한다. |
⑦ | 기술보안담당관은 공개서버의 취약점이 수정되지 않은 상태로 운영될 경우, 취약점 수정을 위하여 해당 서버의 운영 또는 서비스를 중단시킬 수 있다. |
제55조 (취약점 점검) |
|
① | 시스템관리자는 시스템 불법 접근 및 해킹 프로그램(백도어 및 스파이웨어 등)의 설치 여부 점검 등 일상적인 보안활동을 수행한다. |
② | 정보시스템에 대한 종합 점검은 연 1회 이상 실시하고, 시스템의 변경, 외부 시스템의 이관 및 신규 시스템 도입 등 필요시 수시 점검을 실시한다. |
1. | 기술보안담당관은 종합점검 계획을 수립하여 시행하고, 발견된 취약점에 대하여 해당 팀에 통보한다. |
2. | 시스템관리자는 담당 시스템에 대하여 수시로 점검을 실시하고, 종합점검 및 수시점검 시 발견된 취약점에 대한 보완계획을 수립하여 시행하고 그 결과를 기술보안 담당관에게 제출하여야 한다. |
3. | 단기 조치가 어려운 취약점에 대하여 그 사유를 기록, 관리한다. |
4. | 취약점 조치를 위하여 관련 팀 및 업체의 협의가 필요할 경우에는 기술보안담당관 등 관련 소관 부서담당자 및 업체 직원을 소집하여 조치방안을 강구한다. |
5. | 취약점 점검 대상, 기간, 주요 점검항목, 점검결과 및 조치 사항을 포함하는 ‘취약점 점검 결과보고서'를 작성하여 이력을 관리한다. |
6. | 기술보안담당관은 외부 시스템의 이관 시 서버, 응용시스템 등 분야별 수시점검 결과 발견된 취약점에 대한 보완여부를 확인하고, 취약점을 조치하기 위하여 방안을 강구할 수 있다. |
제56조 (시스템 성능관리 및 유지보수) |
|
① | 시스템관리자는 서버의 자원 오용을 방지하기 위해 주기적으로 점검, 관리하고 지속적으로 모니터링 해야 한다. |
② | 시스템관리자는 서버 자원의 모니터링 결과를 통해 시스템 성능향상을 도모한다. |
제57조(백업 관리) |
|
① | 시스템관리자는 정보화자료 백업 및 소산계획을 수립하고 백업을 실시한다. |
② | 백업대상 선정 및 주기는 시스템별 중요도 및 현업 팀의 추가 요구사항을 반영하여 결정한다. |
③ | 백업에는 정기적인 백업, 비정기적인 백업을 포함하며, 비정기적인 백업은 시스템 변경작업, 소프트웨어 설치작업, 하드웨어 교체작업 등의 작업 전에 반드시 수행한다. |
④ | 백업 수행 후에는 백업일자, 백업대상, 백업매체 등을 포함하여 ‘[별지 제 17호 서식]백업결과보고서'를 작성 후 보관한다. |
⑤ | 백업시스템 도입 후 최초 적용 시 정기적인 항목들(보관기간, 방식, 데이터베이스 백업모드, 소산백업 여부)을 결정하여야 하며, 운영도중 변경사항이 발생하면 충분한 검토 및 승인을 통해 이를 반영하여야 한다. 그리고 백업데이터의 중요도에 따라 백업주기를 결정한다. |
제58조 (백업 대상 및 주기) |
|
① | 백업대상은 데이터의 파손 시 복구의 필요성이 요구되는 본교의 주요 데이터이며 다음과 같은 정보들이 이에 해당한다. |
2. | 데이터베이스 파일 : 업무데이터 및 데이터베이스 구성파일 |
② | 백업대상에 대한 백업 및 보관주기는 [별표4]을 기준으로 정한다. |
③ | 백업 데이터는 원격지의 안전한 장소에 분산보관 하고, 그 기록을 관리한다. |
제59조 (서버 시스템 백업매체 관리) |
|
① | 백업매체는 비인가자가 접근할 수 없는 격리된 곳에 보관하여, 비인가자에 의한 백업 정보의 유출이 일어나지 않도록 한다. |
② | 백업매체가 재난 등으로 인해 원본과 동시에 손실되는 것을 방지하기 위해 원본과 물리적으로 떨어진 장소에 보관하도록 하며, 물리적인 접근 통제 및 백업 일자 목록을 유지 관리한다. |
③ | 백업매체의 폐기 시 기술보안담당관의 승인을 득한 후 소각 폐기한다. |
제60조 (복구관리) |
|
① | 장애 발생 시 장애의 종류를 파악하여 문제가 발생한 부분이 서버운영에 별로 문제가 없을 경우 업무 종료 후에 복구를 수행하고, 업무 중에 복구가 불가피하다고 판단되면 최소 시간에 복구를 할 수 있도록 복구의 종류를 파악하고, 즉시 복구를 수행한다. |
② | 장애로 인하여 영향 받는 부서 및 업무를 파악하여 관련자에게 장애원인 및 복구 예정시간 등을 통보하여 복구로 인한 업무손실을 최소화 한다. |
③ | 발생한 장애에 대한 조치 복구 결과를 ‘장애조치내역서'에 기록하여 관리한다. |
④ | 긴급사항 발생 시 선 조치 후 보고할 수도 있다. |
제61조 (업무연속성) |
|
시스템관리자는 장애 또는 재난에 대비하기 위해 업무연속성 계획을 수립하고 주기적으로 비상ㆍ복구 훈련등의 모의 훈련을 통해 점검한 후 그 결과를 기술보안담당관에게 제출하여야 한다. 세부사항은 업무연속성 관리 지침을 따른다.
네트워크 보안
제62조 (외부망연동) |
|
① | 다른 기관과의 정보통신망과 연결 사용하고자 할 경우에는 보안관리 책임한계를 설정하고 다음과 같은 보안대책을 수립ㆍ시행하여야 한다. |
② | 외부망과 접속하는 경우에는 전산자료 제공범위 및 이용자의 접근제한 등에 대해 기술보안담당관에게 보안성검토를 의뢰 후 승인을 받아야 한다. |
③ | 외부망 연결에 따른 보안취약성 해소를 위하여 접속자료를 주기적으로 분석하고 보안도구를 이용하여 정보통신망의 취약성을 수시 점검하여야 한다. |
④ | 인터넷 등 상용망 및 타 기관과의 정보통신망 연동 시 불법침입(해킹)을 방지하고 효율적인 보안관리를 위하여 연결지점을 지정 운용함으로써 임의 접속을 차단하여야 한다. |
제63조 (네트워크 IP주소관리) |
|
① | 내부 네트워크에서는 사설IP 주소를 사용하는 것을 권장 하며 사용자 편의성을 고려하여 공인IP주소를 부여할 수 있다. |
② | 네트워크관리자는 내부통신망에서 사용하는 IP주소를 사용자별, 그룹별로 분리하여 사용해야 하며, IP할당에 관한 자료가 외부로 유출되지 않도록 하여야 한다. |
③ | 네트워크관리자는 IP현황을 최신으로 관리해야 한다. |
④ | 각 부서에서는 IP사용자의 변동사항 발생 시 3일 이내에 네트워크 관리자에게 변동사항을 보고하여야 하며, 연 1회이상 전체 사용자의 IP현황을 조사하여 네트워크 관리자에게 보고하여야 한다. |
⑤ | 정보통신망 세부구성현황(IP 세부 할당 현황 포함)은 중요정보로 대외비 이상으로 지정하여 관리하여야 한다. |
제64조 (네트워크 장비 계정 및 권한 관리) |
|
① | 네트워크 장비에는 관리자 계정 등 최소한의 계정만을 생성해야 한다. |
② | 네트워크 장비에는 설치 시 기본적으로 생성되는 불필요한 계정을 삭제해야 하며 해당 계정이 필요한 경우 기본 패스워드를 변경하여 사용한다. |
③ | 네트워크 장비의 패스워드는 영문과 숫자를 조합하여 최소 9자 이상으로 설정하고 분기 1회 이상 주기적으로 변경해야 한다. |
제65조 (네트워크 장비 접근제어) |
|
① | 네트워크관리자는 미사용 포트에 대한 비인가자의 불법적인 접속을 방지하기 위하여, 네트워크 장비에 대한 물리적 접근통제를 수행하거나 미사용 포트는 사용 할 수 없도록 설정한다. |
② | 네트워크 장비에 로그인시 적절한 경고 문구를 삽입 한다. |
③ | 필요치 않거나 사용되지 않는 정보통신망 서비스 기능은 제거 또는 중지한다. |
④ | 네트워크 관리자계정의 접속은 콘솔포트 및 특정 PC에서만 접근하도록 설정한다. |
⑤ | 네트워크 장비에 접근 시 사용자 인증을 수행하고, 다음의 사항을 준수한다. 단, 기능이 없는 장비는 제외한다. |
1. | 5회 이상 정확하지 않은 패스워드의 시도가 있는 터미널은 자동으로 세션을 종료한다. |
2. | 관리자와 사용자 모드를 지원하는 경우 분리 운영한다. |
3. | 터미널의 유휴시간은 5분 이내로 제한하며, 이후 자동으로 접속이 종료되도록 설정한다. |
⑥ | 네트워크 장비에 대한 접근제어 등 정책을 주기적으로 검토하여 불법적인 접근이나 미사용 포트 사용을 방지한다. |
제66조 (네트워크 시스템 변경 통제) |
|
① | 네트워크관리자는 패치나 시스템 파라미터(IP, 사용자 계정, 구성정보 데이터 등)를 변경할 시에는 기술보안담당관과 협의하여 변경에 따른 잠재적 영향 평가를 실시하고, 이에 따른 관련기록을 남겨야 한다. |
② | 영향평가 실시 후 구성정보나 네트워크 시스템 변경이 적절하다고 판단되는 경우, 작업내용 및 영향평가 결과를 첨부하여 기술보안담당관의 승인을 받아야 한다. |
③ | 네트워크관리자는 네트워크 시스템 변경을 수행하기 전에 시스템의 현재 설정을 백업하여 이상 상황에 대비한다. |
④ | 네트워크관리자는 비인가 장비 발견 시 해당 장비의 사용을 중단시킬 수 있다. |
제67조 (로그 및 백업관리) |
|
① | 네트워크관리자는 모든 네트워크 시스템에 대해 시간을 동기화하여 로그 생성 시 정확한 시간이 기록되도록 한다. |
② | 주요 네트워크 장비의 로그 정보는 실시간으로 로그가 저장 될 수 있도록 한다. 단. 해당 기능이 제공되지 않는 장비는 제외한다. |
③ | 주요 네트워크 로그는 6개월 이상 보관하여야 한다. |
④ | 네트워크 로그파일 및 구성정보는 일반사용자 권한으로 수정 및 삭제할 수 없도록 설정한다. |
⑤ | 네트워크관리자는 네트워크 구성 정보는 분기마다 백업하여 보관한다. |
제68조 (원격근무 보안관리) |
|
① | 보안담당관은 정보통신망을 활용하여 본교 이외의 환경에서 재택ㆍ파견ㆍ이동 근무를 수행하는 인원을 지정하고 명단을 관리해야 한다. |
② | 원격근무를 수행하는 인원에 대한 시스템 접근기록은 주기적으로 확인한다. |
제69조 (무선랜 보안관리) |
|
① | 본교 내의 모든 무선중계기(AP)는 기술보안담당관의 승인을 득한 후 설치 및 운영해야 한다. |
② | 기술보안담당관은 주요 행정지역에서의 비인가자의 무선랜 무단 사용, 비인가 AP설치 등에 대해서 주기적으로 점검을 수행해야 한다. |
③ | 무선랜 인증을 위해서 WPA 이상의 보안방식을 적용하고, 설정된 키 값은 주기적으로 변경해야 한다. |
④ | 비인가자가 AP 보안기능의 설정을 변경하지 못하도록 출고 시 AP 제조회사에서 설정한 AP 관리용 S/W의 ID, 패스워드를 변경하여 추측이 어렵게 설정한다. |
어플리케이션 보안
설계 및 개발 단계
제70조 (개발보안 일반) |
|
① | 본교 행정부서에서 업무용 어플리케이션 및 홈페이지 등의 정보시스템을 개발하는 경우 해당 부서의 장은 보안대책을 수립하고 보안요구사항을 정의해야 하며, 필요한 경우 기술보안담당관에게 도움을 요청할 수 있다. |
② | 해당 프로젝트담당자는 정보시스템 개발 과정을 감독하고, 개발된 코드에 대한 점검과 테스트를 실시해야 한다. |
③ | 시큐어 코딩과 관련된 가이드라인은 행정안전부 및 한국인터넷진흥원에서 제시한 방안을 기본으로 하며, 프로젝트 담당자는 해당 기준에 따라 어플리케이션을 개발하도록 감독해야 한다. |
④ | 해당 프로젝트담당자는 모든 사업 참여 인원에 대하여 사전에 보안서약서를 징구하고, 개인정보보호 및 정보보안 등 보안 교육을 실시해야 한다. |
제71조 (개발 환경) |
|
① | 개발공간은 비 인가자의 출입이 물리적으로 통제된 작업공간에서 개발이 이루어져야 한다. |
② | 개발 서버가 위치한 네트워크는 원칙적으로는 인터넷과 분리되어야 하고, 네트워크에 연결된 경우에는 비 인가자의 접근으로부터 보호하기 위한 보안대책을 강구해야 한다. |
③ | 개발시스템과 운영시스템은 물리적 또는 논리적으로 분리되어야 한다. |
④ | 개발자의 PC는 컴퓨터 바이러스나 각종 보안 침해사고로부터 보호되어야 한다. |
⑤ | 개발자의 시스템 및 소스코드 접근은 공식적으로 허가된 경로만을 사용하여야 한다. |
제72조 (보안기능 요건 반영) |
|
① | 본교 프로젝트담당자는 어플리케이션 설계 및 개발시 ‘[별표1] 어플리케이션 보안기능 요건'을 반영하여야 한다. 단, 업무적으로 반드시 필요하거나 기술보안담당관의 승인을 득한 경우에는 그 사유를 기록하고 보안기능 요건을 반영하지 않을 수 있다. |
② | 해당 프로젝트담당자는 설계 및 개발 완료시 ‘[별표1] 어플리케이션 보안기능 요건' 반영 여부에 대해서 기술보안담당관에게 보고해야 한다. |
③ | 중요 정보의 전송 및 저장 시 국정원으로부터 승인을 얻은 암호화 기법을 사용하여 암호화해야 한다. |
④ | 네트워크를 통해 개인정보 및 로그인 정보 등 중요정보가 전송될 때에는 반드시 암호화된 상태로 전송되어야 한다. |
⑤ | 암호화 Key의 접근은 인가된 사람으로만 제한하도록 하며 암호화 Key는 일정주기마다 변경하여야 한다. |
테스트 단계
제73조 (테스트 데이터 보호) |
|
① | 테스트를 위하여 실 데이터를 이용하고자 할 경우에는 기술보안담당관의 승인을 받아야 한다. |
② | 테스트 수행자는 사용자의 중요정보가 포함될 경우 제공받은 실 데이터를 적절한 과정 (익명화, 재생성, RENAME 등)을 통하여 테스트 데이터로 변환한 후 사용한다. 단, 실데이터를 변환하지 않고 테스트를 할 경우에는 기술보안담당관의 승인을 받아야 한다. |
③ | 실 데이터는 테스트 데이터와 분리되어야 하며, 테스트 데이터의 접근은 테스트 절차에 필요 최소 인원으로 통제되어야 한다. |
④ | 테스트 수행자는 테스트가 완료하여 필요 사유가 소멸되면 즉시 테스트 데이터를 삭제해야 한다. |
제74조 (보안 점검) |
|
① | 개발 완료 시 개발 소관부서의 장은 해당 시스템에 대한 보안취약점점검(시스템, 어플리케이션 점검)을 수행한다. |
② | 보안점검 결과 나타난 취약점은 보완조치를 수행하고, 기술보안담당관에게 그 결과를 제출한 후 운영해야 한다. |
③ | 개인정보를 취급하는 시스템의 경우 개인정보 영향평가를 실시한 후 운용한다. |
운영 단계
제75조 (사용자 계정 관리) |
|
① | 어플리케이션 신규 계정에 대한 권한은 사용에 필요한 최소 권한 만을 부여한다. |
② | 공동으로 사용하는 ID를 부여하지 말아야 한다. 단, 업무상 필요시는 주관 부서장의 승인을 득해야 한다. |
③ | 계정(ID) 및 초기 비밀번호는 추측 가능한 학번이나 사번, ID 등으로 설정하지 말아야 한다. |
④ | 민감한 정보자산에 대한 사용자 접근 시, 날짜, 시간, 장소별 제한을 하는 등 강력한 접근통제 정책을 적용할 수 있어야 한다. |
⑤ | 불필요한 계정 및 권한에 대한 검토 및 삭제를 반기마다 1회씩 수행한다. |
⑥ | 전출 및 퇴직 등의 사유 발생 시, 어플리케이션 담당자는 사용자 ID를 신속히 삭제한다. |
⑦ | 사용자 퇴사 및 사용자 업무 등이 변경되어 계정의 삭제나 권한의 변경이 필요한 경우 인사발령사항을 기준으로 자동 계정 삭제 및 권한 변경을 원칙으로 한다. 단, 시스템이 인사시스템과 연동이 되어 있지 않거나 업무상 주관부서의 검증이 필요한 경우에는 주관부서의 담당자가 검증 후 처리 할 수 있다. |
제76조 (로그 및 소스 관리) |
|
① | 사용자 ID, 사용시간, 사용 정보, 로그인 실패 내역 등의 사용자 로그 정보는 최소 6개월 이상 보관 되어야 한다. |
② | 시스템상의 로그파일과 백업된 로그파일은 수정이 가능해서는 안 된다. |
③ | 컴퓨터 범죄나 오용이 발생했다고 의심될 때 조사를 위해 필요한 관련 정보를 즉시 안전하게 확보해야 한다. |
④ | 기술보안담당관의 사전 승인이 없는 한 모든 어플리케이션의 로그는 비인가자가 접근할 수 없어야 한다. |
⑤ | 개발된 프로그램 소스는 실 운영 시스템에 저장되어서는 안되며 실 운영 시스템에는 실행 프로그램만을 저장 하여야 한다. |
⑥ | 프로그램 소스를 실 운영 시스템에서 컴파일해야 할 경우에는 프로그램 생성 후 삭제하여야 한다. |
⑦ | 중요한 변경이 필요한 경우 기술보안담당관의 승인을 득한 후 문서화된 양식을 통하여 변경 요청을 수행 하여야 한다. |
⑧ | 어플리케이션의 유지보수 및 변경 작업에 대해 기술보안담당관과 협의 후 수행하여야 한다. |
⑨ | 변경작업은 서비스 운영을 고려하여 업무이외의 시간에 변경 작업을 수행하여야 한다. 단, 긴급을 요하는 변경 작업의 경우 기술보안담당관의 승인을 득한 후 수행 할 수 있다. |
⑩ | 정보시스템에 다음 사항과 같은 변경이 이루어지는 경우 관리 소관부서의 장은 기술보안담당관에게 보안성검토를 의뢰하여야 한다. |
2. | 인증, 암호화 등 보안 기능의 변경이 수반되는 경우 |
3. | 새로운 위협, 취약성의 발견으로 정보시스템에 적용이 필요한 경우 |
⑪ | 어플리케이션 변경에 관련된 사항은 문서화하여 관리하여야 한다. 문서화 내용에 다음의 사항을 포함하여야 한다. |
정보보안시스템 관리
제77조 (선정 및 설치) |
|
정보보안시스템을 설치ㆍ운용하고자 하는 경우 아래와 같은 사항을 반영하여 선정하여야 한다.
1. | 국내용 CC인증 제품이거나 국정원장이 그와 동등한 효력이 있다고 인정한 제품 |
2. | 소관업무 및 정보통신망 특성을 지원할 수 있는 제품 |
제78조 (운용 및 보안관리) |
|
① | 기술보안담당관은 정보보안시스템 운용 관리자로 ‘정보보안시스템 관리자'를 지정한다. |
② | 정보보안시스템은 직접 연결된 단말기에서만 접속할 수 있도록 해야 한다. 단, 원격관리가 필요한 경우 지정된 단말기를 통해서 원격관리를 허용할 수 있다. |
③ | 침입차단시스템 등의 정보보안시스템 로그는 최소 6개월 이상 보관한다. |
④ | 정보보안시스템은 보안기능을 임의로 변경하거나 도입 목적이외의 용도로 운영하여서는 안 된다. |
제79조 (정보보안시스템 보안정책 등록, 변경, 삭제) |
|
① | 정보보안시스템의 보안정책의 추가ㆍ수정 등이 필요한 경우, 관련 업무담당자는 기술보안담당관에게 승인을 받아야 한다. |
② | 정보보안시스템관리자는 기술보안담당관의 승인을 득한 후 정책 변경작업을 수행하고, 보안정책 변경 내역을 ‘[별지 제11호 서식]보안규정 변경 관리대장'에 기록한다. |
③ | 정보보안시스템 관리자는 보안정책을 분기 1회 이상 점검하여, 사용기간이 지난 보안정책이나 취약한 보안정책은 삭제한다. |
침해사고 대응
제80조 (침해사고대응팀 구성) |
|
① | 침해사고를 효과적으로 대응하기 위해서 침해사고대응팀을 구성하며, 침해사고대응팀은 침해사고 발생시, 한시적으로 운영한다. |
② | 침해사고 발생시, 본교의 정보보안조직은 침해사고대응팀으로 전환되어 운영되며, 기술보안담당관은 필요에 의하여 분임보안담당관을 선임할 수 있다. |
③ | 침해사고대응팀의 팀장은 기술보안담당관으로 한다. |
④ | 침해사고대응팀의 실무 총괄은 정보보안담당자를 침해사고대응 담당자로 지정하고 침해사고 대응 및 보고업무를 총괄 수행한다. |
⑤ | 침해사고대응 책임관은 침해사고대응팀 및 유관기관 등의 연락처를 ‘[별지 제12호 서식] 침해사고 비상연락망'에 기록하고 현행화해야 한다. |
⑥ | 침해사고대응팀은 연 1회 이상 모의대응훈련을 실시하고, 그 결과를 기록 관리 한다. |
제81조 (침해사고유형) |
|
다음 각 호의 어느 하나에 해당하는 사항을 침해사고로 본다.
2. | 정보자산의 유출(H/W, S/W, DATA 등) |
3. | 비인가자에 의한 중요 정보의 위ㆍ변조 및 삭제에 관한 사항 |
4. | 악성 프로그램(바이러스, 백도어 등) 유포 |
5. | 정보시스템에 대한 서비스 거부공격(DOS 공격 등) 발생 |
6. | 네트워크 장비, 서버 및 PC 등에 대한 해킹 발생 |
8. | 그 밖에 국가정보원의 정보보안사고 유형 [별표2]에 해당하는 사항 |
제82조 (침해사고 신고 및 접수) |
|
① | 교내 구성원은 침해사고 등의 징후가 포착되거나 침해사고가 발생한 경우, 즉시 분임보안담당관 또는 기술보안담당관에게 신고해야 한다. |
② | 기술보안담당관은 상시 모니터링을 실시하며, 침해사고 등 탐지 시 적절한 조치를 실시해야 한다. |
③ | 침해사고 발생 시 신고자는 가장 빠른 방법을 통해 신고해야 하며, 기술보안담당관은 ‘[별지 제13호 서식] 침해사고 발생보고서'에 기록하여 문서상으로 보관 관리해야 한다. |
제83조 (침해사고의 보고) |
|
① | 기술보안담당관은 접수된 신고 사항에 대해 기록하고, 시정 조치가 종료될 때까지 모든 기록을 유지, 관리하며 조치된 내역에 대해 ‘[별지 제14호 서식] 침해사고 처리결과서'를 작성하여 보안담당관에게 보고해야 한다. |
② | 보안담당관은 사고내역 및 조치내역을 확인하고 총장에게 보고한다. |
③ | 보안담당관은 홈페이지 변조, 침해사고로 인한 전산망 마비 또는 중요 정보자료, 개인정보 유출 등 중대사고 발생 시에는 그 사실을 관계기관(고용노동부, 교육부, 국정원 등)에 보고한다. |
제84조 (침해사고 대응 및 조치) |
|
① | 기술보안담당관은 정보통신망에 대하여 해킹, 웜ㆍ바이러스 유포 등 사이버공격 인지 시 피해실태를 파악하고 관련 로그자료 보존 및 필요시 해킹된 정보시스템과 전산망 분리, 공격IP 및 포트의 차단 등 초동 조치를 취한다. |
② | 홈페이지 변조, 전산망 마비 또는 중요 정보자료, 개인정보 유출 등 중대사고 발생 시에는 초동조치 후 즉시 관계기관(고용노동부, 교육부, 국정원 등), 외부전문업체 등에 통보하여 지원을 받을 수 있다. 이 경우 해당 피해시스템은 사고원인 규명 시까지 증거보전을 의무화하고 임의 자료삭제 또는 포맷을 하여서는 아니 된다. |
③ | 기술보안담당관은 응급조치 후 정보보안 침해사고의 원인분석 및 증거확보를 위하여 해당 침해사고 관련 로그 및 제반 증거 자료를 수집ㆍ확보 한다. |
제85조 (침해사고 복구 및 재발방지) |
|
① | 기술보안담당관은 전자적 침해사고로 인하여 소관 정보통신기반시설이 파괴되거나 기능이 제대로 수행되지 아니하는 때에는 해당 시설이 정상적으로 가동될 수 있도록 필요한 복구조치를 신속히 취하여야 한다. 이 경우 기술보안담당관은 관계 행정기관, 수사기관 및 외부 정보보안 전문업체에게 복구에 필요한 지원을 요청할 수 있다. |
② | 기술보안담당관은 침해사고에 대한 복구가 완료된 경우, 유사사고 재발방지 대책을 수립하고, 대응ㆍ복구사항에 대한 교육 및 공지를 수행한다. |
③ | 기술보안담당관은 침해사고에 대한 복구 전까지 해당 시스템 또는 시설의 운영을 중단시킬 수 있다. |
외주용역 보안관리
제86조 (계약 시 보안관리 등) |
|
① | 정보화, 정보보안사업, 정보시스템 등을 외부 용역으로 외부업체와 계약할 경우에 계약서에 정보보안 준수 의무 및 위반할 경우에 손해배상 책임 등을 명시하여야 한다. |
② | 계약서에 정보보안 준수 의무 및 위반에 대한 사항을 명시하는 경우 [별표3]의 내용을 참조 한다. |
제87조 (참여인원 보안관리) |
|
① | 사업주관부서는 모든 참여인원에 대하여 각 개인의 친필서명이 들어간 보안서약서를 징구해야 한다. |
② | 사업주관부서 담당자는 사업 시작 전 참여인원에 대한 보안준수 의무 등의 보안교육을 실시하고, 교육 참가에 대한 자필서명을 받는다. |
③ | 사업수행시 사업수행업체의 대표자(PM)를 보안담당관으로 지정ㆍ운영하며, 사업수행업체 대표자(PM)는 사업전반에 대한 인원ㆍ장비ㆍ자료ㆍ정보 등을 관리하며 보안사고 방지를 위한 자체 활동을 수행해야 한다. |
제88조 (자료에 대한 보안관리 등) |
|
① | 전산망구성도, IP현황, 개인정보, 기타 용역업체에 제공하는 자료는 ‘[별지 제15호 서식] 자료관리대장'을 작성하여 인계자(본교 사업담당자)와 인수자(용역업체 사업수행대표)가 직접 서명한 후 인계ㆍ인수해야 한다. |
② | 용역사업 관련자료 및 사업과정에서 생산된 모든 산출물은 본교의 파일서버에 저장하거나 기술보안담당관이 지정한 PC에 저장ㆍ관리한다. |
③ | 용역사업 관련 자료는 인터넷 웹하드 등 인터넷 자료공유사이트 및 웹 메일 등의 외부메일함에 저장을 금지하고, 전자우편을 이용해 자료전송이 필요한 경우에는 본교 전자우편을 이용 하여, 첨부자료를 암호화(비밀번호) 후 수ㆍ발신 한다. |
④ | 본교와 관련된 자료를 출력물로 제공한 경우에는 시건장치가 된 보관함에 보관하여야 한다. |
⑤ | 사업수행업체는 사업수행으로 생산되는 산출물 및 기록은 본교의 해당사업 주관부서장 또는 보안담당관이 인가하지 않은 비인가자에게 제공ㆍ대여ㆍ열람을 금지한다. |
제89조 (장비ㆍ사무실에 대한 보안관리) |
|
① | 사업수행업체의 노트북, PC는 반입시 마다 최신의 바이러스 백신프로그램 설치와 바이러스 감염여부를 점검ㆍ확인해야 한다. |
② | 반입된 노트북 PC는 사업 종료 시까지 반출을 금지한다. 다만 부득이하게 외부반출이 필요한 경우에는 최소한의 장비만 반출승인하고 자료유출에 대비한 보안조치(부팅ㆍ로그인 패스워드 설정, 자료 암호화 등)를 실시한 후 반출한다. |
③ | USB 등의 보조기억매체 사용을 금지한다. 다만, 산출물작성 등 보조기억매체가 필요한 경우는 보안담당관의 승인 하에 허가된 것만 사용한다. |
④ | 용역사업 수행장소는 시건장치와 출입통제가 가능한 공간을 사용해야 한다. |
제90조 (내ㆍ외부 정보망 접근에 대한 보안관리) |
|
① | 용역사업 수행 시 정보시스템에 대한 사용자 계정(ID)이 필요한 경우, 외부인력에게 별도의 계정을 발급하고 접근권한을 부여 후 계정발급 및 접근권한 부여 기록을 별도로 관리 한다. |
② | 외부인력에게 부여된 접속권한이 불필요한 경우 곧바로 권한을 해지하거나 계정을 삭제한다. |
③ | 프로그램 개발 용역사업 수행을 위한 작업은 사업수행업체의 자체 개발서버 또는 본교가 제공한 개발서버에서 수행함을 원칙으로 하며, 개발이 완료된 후 실 운영시스템에 설치시는 본교의 해당 시스템 담당자의 감독 하에 작업한다. |
④ | 용역업체 전산망에서 P2P, 웹 하드 등 인터넷 자료공유사이트로의 접속을 차단한다. |
제91조 (사업완료시 보안관리 등) |
|
① | 사업완료 후 생산되는 최종 산출물 중 대외보안이 요구되는 자료는 대외비로 작성ㆍ관리하고 불필요한 자료는 삭제 및 세단 후 폐기한다. |
② | 용역업체에 제공한 제반자료, 장비, 서류와 중간ㆍ최종 산출물 등 용역과 관련된 제반자료는 전량 회수하고 업체에 복사본 등 별도 보관을 금지한다. 단, 소스코드 등 향후 유지보수를 위해 필요하다고 판단되는 경우 보안담당관의 승인 후 용역업체에게 제공할 수 있다. |
③ | 사업완료시 용역업체의 노트북 PC 및 사용된 보조기억장치는 자료에 대하여 Format 등 완전삭제 수행 후 반출한다. |
④ | 노트북ㆍ보조기억매체 등 전자적으로 기록된 자료는 복구할 수 없도록 삭제해야 한다. |
⑤ | 사업완료시 용역사업 관련자료 회수 및 삭제조치 후 업체에게 복사본 등 용역사업관련 자료를 보유하고 있지 않다는 대표 명의로 ‘[별지 제16호 서식] 보안확약서'를 징구한다. |
개인정보보호
제92조 (개인정보보호) |
|
① | 교내 구성원은 업무목적으로 개인정보를 수집, 이용, 저장하는 경우 개인정보가 유출되지 않도록 유의해야 한다. |
② | 교내 구성원은 업무용도 외 개인정보를 사용·소지하지 않아야 하며, 업무상 알게 된 개인정보를 침해 또는 누설하여서는 안된다. |
③ | 개인정보보안 및 CCTV운영ㆍ보안과 관련된 세부사항은‘개인정보 보호규칙'을 따른다. |
보안성 검토
|
제93조(보안성 검토) |
|
① | 각 부서의 장은 정보통신망, 서버, 홈페이지 등의 신ㆍ증설 등에 모든 정보화 사업에 대하여 보안대책을 강구하고 적절성 확인을 위하여 관련 사업 계획 단계에서(사업 공고 전) 기술보안담당관에게 보안성 검토를 의뢰하여야 한다. |
② | 보안성 검토의 대상, 절차, 제출자료 목록, 보안대책에 포함해야 할 사항 등 구체적인 내용은 제94조를 따른다. |
제94조(보안성 검토 대상) |
|
각 부서의 장은 다음 각 호의 정보화사업을 추진할 경우에 대하여 자체 보안대책을 강구하고 안전성을 확인하기 위하여 사업 계획단계(사업 공고 전)에서 기술보안담당관에게 보안성 검토를 의뢰하여야 한다.
2. | 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우 |
3. | 업무망과 연결되는 무선 네트워크 시스템 구축 |
4. | 스마트폰ㆍ클라우드 등 첨단 IT기술을 업무에 활용하는 시스템 구축 |
7. | 타 기관 정보시스템을 활용하여 업무를 처리하는 경우 |
8. | 그 밖에 정보화추진위원회에서 보안성 검토가 필요하다고 판단하는 정보화사업 |
|
제95조(보안성 검토 절차) |
|
① | 각 부서의 장은 보안대책을 자체적으로 수립한 후 기술보안담당관에게 보안성 검토를 요청한다. |
② | 보안성 검토는 서면 검토를 원칙으로 하되 기술보안담당관이 필요하다고 판단하는 경우에는 현장 확인을 병행 실시할 수 있다. |
③ | 기술보안담당관이 필요하다고 판단하는 경우 정보화위원회 심의를 거처 사업의 적정성 및 보안성 검토를 추진할 수 있다. |
제96조(제출 문서) |
|
① | 각 부서의 장은 보안성 검토를 요청할 경우에는 다음 각 호의 문서를 제출하여야 한다. |
② | 제1항제4호의 자체 보안대책 강구사항에는 다음 각 호를 포함하여야 한다. |
1. | 보안관리 수행체계(조직, 인원) 등 관리적 보안대책 |
2. | 정보시스템 설치장소에 대한 보안관리망 등 물리적 보안대책 |
제97조(결과 조치) |
|
① | 각 부서의 장은 기술보안담당관의 보안성 검토 결과를 준수하여 보안대책을 보완하여야 한다. 이 경우, 기술보안담당관이 보안성 검토 결과 신속한 시정이 필요하다고 판단하는 경우에는 필요한 조치를 요청할 수 있으며 해당 부서의 장은 특별한 사유가 없는 한 이에 따라야 한다. |
② | 기술보안담당관은 보안대책이 적절히 수립되었는지 등 이행여부 확인을 위하여 현장점검을 실시할 수 있다. |
③ | 보안성 검토 결과에 의한 사항이 수정되지 않았거나, 보안성 검토가 이루어지지 않은 상태로 사업이 시행된 경우에는 기술보안담당관은 시정 전까지 해당 사업 또는 시스템ㆍ시설의 운영을 중지시킬 수 있다. |
제98조(보안성 검증) |
|
기술보안담당관은 필요하다고 판단되는 경우, 보안성 검토 요청 자료를 바탕으로 고용노동부 또는 국가정보원에 보안성 검증을 의뢰할 수 있다.
보 칙
제99조(다른 법령과의 관계) |
|
이 규칙에 명시되지 않은 사항은 「고용노동부 정보보안 기본지침」을 따른다.
부 칙
제1조(시행일)
이 규칙은 2018. 1. 11.부터 시행한다.
제2조(다른 지침의 폐지)
정보자산 보호지침을 폐지한다.
부 칙(제1차 개정, 2023. 6. 1.)
제1조(시행일)
이 규칙은 2023. 6. 1.부터 시행한다.
[별표/서식 파일]