본문 바로가기
심심할 때 볼만한 알쓸신잡

(국가철도공단) 주요정보통신기반시설 보호지침[시행 2020.9.10.] [국가철도공단규정 , 2020.8.27., 일부개정]국가철도공단, 042-607-3174

by 블루바이럴 야채토스트 2023. 4. 13.
반응형

(국가철도공단) 주요정보통신기반시설 보호지침
[시행 2020.9.10.] [국가철도공단규정 , 2020.8.27., 일부개정]
국가철도공단, 042-607-3174


       제1장 총칙

 제1조(목적) 이 지침은 국가철도공단(이하 "공단"이라 한다)에서 관리하는 주요정보통신기반시설을 각종 전자적 침해행위로부터 보호하기 위해 필요한 사항을 정함을 목적으로 한다.  <개정 2020. 8. 27.>

 제2조(용어정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "정보통신기반시설"이란 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 말한다.

2. "주요정보통신기반시설"이란 전자적 침해행위로부터 보호가 필요하다고 인정하고 중앙행정기관의 장이 지정한 정보통신기반시설을 말한다.

3. "전자적 침해행위"란 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 말한다.

4. "침해사고"란 전자적 침해행위로 인하여 발생한 사태를 말한다.

5. "지정단위"란 정보통신기반시설의 전체 또는 별도 관리·운영되는 시설 중 주요정보통신기반시설로 지정할 수 있는 최소 단위를 말한다.

 제3조(적용범위) 이 지침은 「정보통신기반 보호법」(이하 "법"이라 한다)」 제8조에 따라 국토교통부장관이 지정한 공단 주요정보통신기반시설(이하 "주요기반시설"이라 한다)의 관리·운용에 적용하고 법령에서 특별히 정한 것을 제외하고는 이 지침에 따른다.

       제2장 주요기반시설 보호체계

 제4조(정보보호책임자의 지정 등) ① 이사장은 소관 주요기반시설 정보보호 업무를 총괄하는 임원급 관리·운영자(이하 "정보보호책임자"라 한다)를 지정하여야 한다.  <개정 2020. 8. 21.>

② 「정보보안업무지침」 제5조에 따른 정보보안담당관의 업무는 다음 각 호와 같다.  <개정 2020. 8. 21.>

1. 주요기반시설 지정 및 취소 요청

2. 자체 「주요정보통신기반시설 보호지침」 제·개정 및 수정 보완

3. 취약점 점검, 침해사고의 신속한 대응 및 보호에 필요한 지원 등

③ 제1항의 규정에 따른 정보보호책임자의 업무는 다음 각 호와 같다.  <개정 2020. 8. 21.>

1. 물리적·기술적 대책을 포함한 "주요정보통신기반시설 보호대책(이하 "보호대책"이라 한다)" 수립·시행

2. 주요기반시설 보호를 위한 기술적 지원의 요청

3. 정기적으로 취약점 분석·평가 및 전담반 구성

4. 주요기반시설 보호에 필요한 조치를 권고하거나 이행

5. 주요기반시설이 교란·마비 또는 파괴된 사실을 인지한 때에는 침해사고 통지

6. 침해사고가 발생한 때에는 해당 주요기반시설의 복구 및 보호에 필요한 조치

7. 다른 법령에 규정된 주요기반시설의 보호업무에 관한 사항

④ 이사장은 주요기반시설의 정보보호책임자의 지정 또는 변동사항이 발생한 때에는 국토교통부장관에게 이를 통지하여야 한다.  <개정 2019. 4. 1., 2020. 8. 21.>

⑤ 정보보호책임자는 소관 주요기반시설의 보호를 위하여 정보보안담당관과 긴밀히 협조하여야 한다. <신설 2019. 4. 1., 2020. 8. 21.>

 제5조(보호대책의 수립 등) ① 정보보호책임자는 정기적인 취약점 분석·평가의 결과에 따라 소관 주요기반시설 및 관리정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적·기술적 대책을 포함한 보호대책을 수립하고, 매년 8월 31일까지 국토교통부장관에게 제출하여야 한다.  <개정 2019. 4. 1., 2020. 8. 21.>

② 제1항의 규정에 의한 보호대책에는 다음 각 호의 사항이 포함되어야 한다.

1. 소관 주요기반시설의 보호목적 및 대상시설

2. 정보보호체계 및 관리 대책

3. 취약점 분석·평가 및 점검 대책

4. 침해사고 및 재해·재난 발생 시 대응 및 복구 대책

5. 전자적 침해행위 예방을 위한 관리·물리·기술적 보안대책

6. 정보보호 교육·훈련 계획

7. 그 밖에 시설의 보호를 위하여 필요한 사항

③ 소관 주요기반시설 및 관리정보를 안전하게 보호하도록 수립한 보호대책을 이행하고 국가정보원이 확인할 수 있도록 해야 한다.

       제3장 주요기반시설의 지정 및 취약점 분석

 제6조(주요기반시설 지정 요청) ① 정보보안담당관은 다음 각 호의 사항을 고려하여 전자적 침해 행위로부터 보호가 필요하다고 인정되는 시설을 국토교통부장관에게 주요기반시설로 지정 요청할 수 있다.

1. 해당 정보통신기반시설을 관리하는 업무의 국가 사회적 중요성  <개정 2020. 8. 21.>

2. 수행하는 업무의 정보통신기반시설에 대한 의존도

3. 다른 정보통신기반시설과의 상호연계성

4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위

5. 침해사고의 발생가능성 또는 그 복구의 용이성

② 국토교통부장관이 주요기반시설 지정 여부를 결정하기 위하여 필요한 자료를 요청할 때에는 소관 정보통신기반시설 담당부서장과 협의하여 제출한다.

③ 해당 업무를 폐지·정지 또는 변경할 때에는 국토교통부장관에게 그 사실을 즉시 통보하여야 한다.

 제7조(지정단위의 선정) ① 주요기반시설의 지정단위는 정보통신기반시설 및 공단의 특수성을 반영하여 선정하고 관련된 세부시설의 범위를 정할 수 있다.

② 지정단위와 세부시설의 범위를 소관 정보통신기반시설 담당부서장과 협의하여 국토교통부장관에게 통지하여야 한다.

 제8조(지정여부 자체평가) 국토교통부장관이 주요기반시설의 지정여부에 대한 평가 기준을 마련하여 공단에 평가를 요청할 때에는 정보통신기반시설 담당부서의 장이 자체평가를 수행하고, 정보보안담당관은 그 결과를 제출하여야 한다.  <개정 2019. 4. 1.>

 제9조(취약점 분석·평가의 실시) ① 정보보호책임자는 소관 주요기반시설의 지정 후 6개월 이내에 취약점 분석·평가를 실시하여야 한다. 다만, 6개월 이내에 시행하지 못할 특별한 사유가 있다고 판단될 때에는 국토교통부장관의 승인을 얻어 지정 후 9개월 이내에 이를 실시하여야 한다.

② 소관 주요기반시설에 대한 취약점 분석·평가는 매년 실시하여야 한다. 다만, 중대한 변화가 발생하였거나 정보보호책임자가 필요하다고 판단될 때에는 1년이 되지 아니한 때에도 취약점의 분석·평가를 실시할 수 있다.

 제10조(취약점 분석·평가 기준 적용) ① 주요기반시설의 취약점 분석·평가의 절차, 범위 및 항목, 방법 등은 과학기술정보통신부장관이 정한 취약점 분석·평가에 관한 기준을 참조하여야 한다.  <개정 2019. 4. 1.>

② 제1항의 취약점 분석·평가에 관한 기준은 공단의 특성을 감안하여 소관 주요기반시설에 적용할 수 있다.

 제11조(취약점 분석·평가 방법 및 절차) ① 정보보호책임자는 소관 주요기반시설의 취약점 분석·평가를 위해 전담반을 구성하고 객관성과 실효성을 확보할 수 있도록 별표 1의 사항을 고려하여 전문 인력을 확보하여야 한다.

② 제1항의 전담반을 구성하지 않을 때는 외부기관에 취약점 분석·평가를 위탁하여 수탁기관이 직접 업무를 수행하도록 하고, 취득한 비밀정보가 외부에 유출되지 아니하도록 적정한 조치를 하여야 한다.

 제12조(보완조치) ① 정보보호책임자는 취약점 분석·평가를 실시할 때에는 그 결과를 반영하여 다음 각 호의 조치(이하 "보완조치"라 한다)를 하여야 한다.

1. 각종 보호조치, 절차 및 방법 등의 재검토 및 수정·보완

2. 시설·장비의 개축·보수 또는 설치

3. 그 밖에 분석·평가 또는 점검 결과를 반영한 조치

② 보완조치가 필요 시 관련 예산 또는 기본 사업비 예산을 활용하여 경비를 우선 집행하여야 하고, 추가적으로 보완조치가 필요한 때에는 관련부서와 협의하여 다음 연도 예산에 반영하여야 한다.

③ 이사장은 다음 각 호의 어느 하나에 해당하는 경우 정보보호책임자에게 주요기반시설의 보호에 필요한 보완조치를 이행하도록 하여야 한다.  <신설 2019. 4. 1.>

1. 법 제5조제2항에 따라 수립된 보호대책을 분석한 결과 별도의 보호조치가 필요하다고 인정하는 경우  <신설 2019. 4. 1.>

2. 법 제5조의2제3항에 따라 통보된 보호대책의 이행 여부를 점검한 결과 별도의 보호조치가 필요하다고 인정하는 경우  <신설 2019. 4. 1.>

 제13조(취약점 분석·평가 업무의 위탁) ① 정보보호책임자는 취약점 분석·평가에 관한 업무를 다음 각 호의 1에 해당하는 기관 등에 위탁할 수 있다.

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제52조에 따른 한국인터넷진흥원

2. 법 제9조제4항제2호에 따른 정보공유·분석센터  <개정 2020. 8. 21.>

3. 「정보보호 산업의 진흥에 관한 법률」제23조에 따라 지정된 정보보호 전문 서비스 기업

4. 「과학기술분야 정부출연 연구기관 등의 설립·운영 및 육성에 관한 법률」제8조에 따라 설립된 한국전자통신연구원의 국가보안기술 연구·개발을 전담하는 부설연구소

② 제1항에 따라 업무를 외부기관에 위탁할 때에는 다음 각 호의 사항을 고려하여야 한다.

1. 수탁기관의 비밀취급 권한보유 여부

2. 수탁기관의 업무수행능력 및 비밀 준수에 대한 신뢰성

3. 비밀유출을 방지하기 위한 대책강구 및 그 적절성 여부

4. 법 제27조에 따른 비밀유지준수의무의 계약서 명시

5. 위탁업무수행에 필요한 지원 자료 및 결과물의 인수·인계 절차, 관리대책

6. 업무위탁기간 중 위탁기관 관리대책

③ 외부기관에 위탁할 때에는 정보보안담당관과 사전에 협의하여야 한다.

       제4장 주요기반시설의 보호 및 침해사고의 대응

 제14조(보호지침) 정보보안담당관은 「주요정보통신기반시설 보호지침」을 제정하고, 기술의 발전 등을 감안하여 주기적으로 수정·보완하여야 한다.

 제15조(침해사고의 통지) 정보보호책임자는 소관 주요기반시설이 침해사고가 발생하여 교란·마비 또는 파괴된 사실을 인지한 때에는 즉시 정보보안담당관에게 통보하여야하며, 정보보안담당관은 국가정보원, 국토교통부 등(이하 "관계 정부기관"이라 한다)에 그 사실을 통지하고 침해사고의 피해확산 방지와 신속한 대응을 위해 필요한 조치를 취하여야 한다.  <개정 2019. 4. 1.>

 제16조(복구조치) 정보보호책임자는 소관 주요기반시설에 대한 침해사고가 발생한 때에는 복구 및 보호에 필요한 조치를 신속히 취하여야 하며, 그 결과를 지체 없이 정보보안담당관에게 통보하여야 하고 필요할 때에는 관계 정부기관에 지원을 요청할 수 있다.

 제17조(침해사고 예방조치) 정보보호책임자는 침해사고 예방대책을 수립할 때에는 다음 각 호의 사항을 고려하여야 한다.

1. 시스템·네트워크 관리·보호대책

2. 정보보호시스템 구축에 관한 대책

3. 전산자료에 대한 백업조치 등

4. 바이러스 방지 대책

5. 접근통제에 관한 대책

6. 그 밖에 침해사고 예방을 위한 대책

 제18조(침해사고 연락체계의 구축) ① 정보보호책임자는 소관 주요기반시설에 대하여 전자적 침해사고가 발생 시 신속한 대응을 위해 관계 정부기관 등의 필요한 연락체계를 구축하여야 한다.

② 제1항에 따른 연락체계에는 정보보안담당관과 법 제13조에 따른 관계 행정기관, 수사기관 및 한국인터넷진흥원이 포함되도록 하여야 한다.

 제19조(침해사고 대응조치) ① 정보보호책임자는 소관 주요기반시설에 대하여 전자적 침해사고의 발생·징후를 인지한 때에는 이를 제18조 연락체계에 따라 즉시 보고하고 필요한 응급조치를 하여야 한다. 다만 교란, 마비 또는 파괴가 일어나지 아니하는 경미한 침해사고의 발생·징후는 보고하지 아니할 수 있다.  <개정 2020. 8. 21.>

② 제1항의 규정을 포함하여 전자적 침해사고 발생 시 별표 2에서 정하는 사항을 고려하여 대응절차 및 방법에 관하여 필요한 사항을 정하여야 한다.

       제5장 보칙

 제20조(다른 법령과의 관계) 주요기반시설 보호업무를 수행함에 있어 이 지침에 명시되지 않은 사항은 다음 관련규정 및 지침 등에 따른다.

1. 「정보통신기반 보호법」및 같은 법 시행령

2. 「전자정부법」및 같은 법 시행령

3. 「보안업무규정」

4. 「국가정보보안기본지침」

5. 「국가사이버안전관리규정」

6. 「국토교통부 정보보안업무규정」

7. 「국토교통부 국토교통제어시스템 보안관리 지침」

8. 해당 연도의「주요정보통신기반시설 보호계획 수립지침」

9. 그 밖의 관련법령


부칙  부      칙 <제9999호,  2017.05.24.>

제1조(시행일) 이 지침은 2017년 5월 26일부터 시행한다.

부칙  부      칙 <제9999호,  2019.04.01.>

제1조(시행일) 이 지침은 2019년 4월 8일부터 시행한다.

부칙  부      칙 <제9999호,  2020.08.21.>

제1조(시행일) 이 지침은 2020년 8월 28일부터 시행한다.

부칙  부      칙 <제9999호,  2020.08.27.>

제1조(시행일) 이 규정은 2020년 9월 10일부터 시행한다.

제2조(다른 내규의 개정) 이 규정 시행 당시 제6조에 따라 제정되어 시행중인 다른 내규의 내용 중 "한국철도시설공단법"은 「국가철도공단법」으로, "한국철도시설공단"은 "국가철도공단"으로 한다.

728x90
반응형