본문 바로가기
카테고리 없음

(한국고용노동교육원) 정보보안업무 시행규칙[시행 2020.12.4.] [한국고용노동교육원규정 , 2020.12.4., 제정]한국고용노동교육원 기획조정팀, 031-760-7723

by 블루바이럴 야채토스트 2023. 5. 5.
반응형

(한국고용노동교육원) 정보보안업무 시행규칙
[시행 2020.12.4.] [한국고용노동교육원규정 , 2020.12.4., 제정]
한국고용노동교육원 기획조정팀, 031-760-7723

       제1장 총칙

 제1조(목적) 이 규칙은 보안업무 취급 규칙 및 고용노동부 정보보안 기본지침에 의거 한국고용노동교육원(이하 "교육원" 이라 한다)의 정보보안업무에 필요한 세부사항 규정을 목적으로 한다.

 제2조(다른 법령과의 관계) 교육원의 정보보안업무 시행에 있어서 고용노동부 「정보보안 기본지침)」에 따로 정한 경우를 제외하고는 이 규칙이 정하는 바에 따른다.

 제3조(용어 정의) 이 규칙에서 사용하는 용어의 정의는 다음과 같다.

1. "정보보안" 또는 "정보보호"라 함은 정보통신망 및 정보시스템을 통해 수집, 가공, 저장, 검색, 송·수신되는 정보의 유출, 위·변조, 훼손 등을 방지하기 위하여 관리적·물리적·기술적 수단을 강구하는 일체의 행위로서 「국가사이버안전관리규정」 제2조 제3호의 사이버안전을 포함한다.

2. "전산장비실"이라 함은 서버·PC등 전산장비와 스위치·교환기·라우터 등 통신 및 전송장비 등이 설치 운용되는 장소를 말한다.

3. "정보보안시스템"이라 함은 정보의 수집·저장·검색·송신·수신시 정보의 유출, 위·변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.

4. "로그"라 함은 시스템 사용에 관련된 전체의 기록, 즉 입출력 내용, 프로그램 사용 내용, 데이터 변경 내용, 시작시간, 종료시간 등의 기록을 말한다.

5. "내부망"이라 함은 교육원의 보안관리하에 있는 네트워크 중 침입차단시스템 또는 스크리닝 라우터를 경계선으로 하여 보호받는 교육원의 주요 네트워크를 말한다.

6. "외부망" 또는 "상용망"이라 함은 내부망을 제외한 모든 네트워크를 말한다.

7. "개인정보"라 함은 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명·주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다.

8. "사이버공격"이라 함은 해킹·컴퓨터바이러스·논리폭탄·메일폭탄·서비스방해 등 전자적 수단을 사용하여 정보통신망을 불법침입·교란·마비·파괴하거나 정보를 위조·변조·훼손·절취하는 행위를 말한다.

       제2장 정보보안 조직 체계 및 활동

 제4조(보안심사위원회) 정보보안 업무에 관한 중요한 사항을 심의·의결하기 위한 보안심사위원회(이하 ‘심사위원회’라 한다)는 보안업무 취급 규칙 제42조 부터 제44조 규정에 따른다.

 제5조(정보보안 조직) ① 교육원 정보보안 업무를 원활히 수행하기 위한 정보보안 조직은 보안업무 취급 규칙 제4조 및 제5조 규정에 따른다.

② 보안담당관은 정보보안업무를 총괄하며 직위에 보직되는 동시에 정보보안담당관으로 다음 각 호의 임무를 수행한다.

1. 정보보안 업무 총괄

2. 정보보안업무 관련 내규 등 제·개정 총괄

3. 정보보안 내·외부 감사 및 보안점검 총괄

4. 기타 정보보안 업무 전반에 관한 조정 및 관리·감독

③ 직제규정에 따른 정보화업무 담당 팀장은 분임정보보안담당관으로 다음 각 호의 임무를 수행한다.

1. 정보보안업무 관련 계획 수립 및 시행

2. 주요 정보자산에 대한 관리 및 통제

3. 사이버공격 대응체계 수립 및 이행

4. 보안취약성, 위험 분석 및 보안대책 적용

5. 정보화사업 보안성 검토

6. 정보통신망 및 정보자료 등의 보안관리 주관

7. 정보보안교육 및 ‘사이버보안진단의 날’ 시행 등

 제6조(정보보안 추진계획 수립 및 검토) 정보보안담당관 및 분임정보보안담당관은 연간 정보보안업무 추진계획(사이버안전대책 포함)을 수립·시행하고 그 추진결과를 심사·분석해야 한다.

 제7조(위험분석 및 관리) ① 분임정보보안담당관은 기존에 운영 중인 정보자산뿐만 아니라 새로 도입되는 정보자산에 대해서도 위험분석을 실시할 수 있다.

② 교육원의 정보보안을 구성하는 환경의 중대한 변화가 발생했을 경우, 정보보안담당관의 결정에 따라 위험분석을 실시할 수 있다.

③ 분임정보보안담당관은 제1항 및 제2항의 위험분석 결과를 바탕으로, '위험수용기준(DoA)'에 따라 관리대상 위험을 식별하고 각 부서의 위험분석 및 단계별 위험관리방안을 참고하여 ‘정보보호 대책명세서’를 작성할 수 있다.

 제8조(내부감사) ①정보보안담당관은 정보보안 전반에 대한 연간내부감사 계획을 수립하여 실시한다.

② 정보보안담당관은 내부감사 결과 발견된 취약점 및 부적합 사항에 대해 각 해당 팀에게 적절한 조치를 취하도록 권고하며, 이의 이행을 모니터링 한다.

③ 감사대상 영역에 대한 보안감사 증적(Audit Trails)을 확보하고, 증거 자료의 무결성이 보장되도록 조치한다.

④ 서버, 네트워크시스템, 응용시스템, 데이터베이스 등에 대하여 내부감사에 필요한 시스템 로그의 종류와 보존기간을 해당 지침 및 매뉴얼에 명시하여, 심사 시에 충분한 증거로서 활용한다.

⑤ 내부감사 시 사용되는 정보시스템 감사도구에 대한 오용 및 손상을 방지하기 위한 적절한 통제를 수행하여야 한다.

⑥ 내부감사를 위해 필요한 경우 외부 지식정보보호 전문업체를 통하여 점검을 수행할 수 있다.

       제3장 정보화 사업 및 정보자산 보안

 제9조(정보화사업) ① 분임정보보안담당관은 정보화사업에 대한 보안관리책임을 지고 관리·감독하여야 한다.

② 분임정보보안담당관은 각종 정보화사업과 관련한 보안대책의 적절성을 평가하고 정보화사업 수행 전반에 대하여 보안대책의 이행여부를 점검하며 필요한 경우 시정을 요구할 수 있다.

③ 정보화사업을 추진하는 경우 고용노동부 「정보화 용역사업 보안관리 가이드」를 준수하여야 한다.

 제10조(정보자산 식별 및 관리) ① 분임정보보안담당관은 정보시스템과 관련된 정보자산들에 대해서 총괄 관리한다.

② 분임정보보안담당관은 정보자산 식별 및 분류 작업을 수행하며 정보자산의 관리자, 사용자 등 정보자산현황을 작성(별지 제1호 서식)하여 관리해야 한다.

 제11조(정보자산의 보안관리) ① 교육원 임직원(외부 ‘협력업체 근로자’ 등을 포함 한다)은 교육원 내부 정보자산을 개인적인 목적으로 외부 반출 및 타인에게 전송 할 수 없다.

② 전자적 형태의 정보자산을 업무상 목적으로 전송 또는 배포하고자 하는 경우에는 승인된 정보기기 및 전송망을 사용해야 한다.

③ 정보보안담당관은 중요 정보자산에 대하여 비인가자의 무단접근을 통제할 책임을 지닌다.

④ 중요 정보자산의 외부 반출은 소속팀장의 사전 승인 후 반출한다.

1. 소속팀장은 감사를 위해 관련내용을 기록 관리하고, 저장매체 내의 데이터를 확인한다.

2. 소속팀장은 외부로 반출·입 되는 정보자산의 승인여부를 확인하고, 관련내용을 기록 관리한다.

⑤ 정보보안담당관은 관련 규정에 따라 정보자산이 적절하게 사용 및 운용되고 있는지 관리·감독한다.

 제12조(시스템 보안책임 범위) ① 사용자는 개인PC 등 소관 정보시스템을 사용하거나 본인 계정으로 정보통신망에 접속하는 것과 관련한 보안책임을 가진다.

② 시스템관리자는 서버·네트워크 장비 등 부서 공통으로 사용하는 정보시스템의 운용과 관련한 보안책임을 가진다.

③ 제1항부터 제2항까지와 관련하여 정보시스템을 실제 운용하는 부서의 장이 정보시스템 ‘관리책임자’가 되며, 관리책임자는 정보시스템 관리대장을 수기 또는 전자적으로 운용 관리하여야 한다.

④ 관리책임자는 부서의 정보시스템 관리대장에 정보시스템의 변경 최종 현황을 유지하여야 하며, 사본1부를 분임정보보안담당관에게 제출해야 한다.

⑤ 분임정보보안담당관은 제1항부터 제4항까지에 명시된 정보시스템 운용과 관련한 보안대책 강구가 필요하다고 판단할 경우, 사용자·시스템관리자 및 관리책임자에게 시정을 요구할 수 있다.

 제13조(정보시스템 도입 및 폐기) ① 정보시스템을 도입하거나 폐기하는 경우 「고용노동부 정보시스템 자산 인가 및 폐기 절차서」를 준용하여야 한다.

② 원장은 제1항에 저촉되지 아니하는 범위 내에서 별도 정보시스템 도입 및 폐기 절차서를 제정·시행할 수 있다.

③ 그 외 사항에 대해서는 「국가 정보보안 기본지침」 제61조에 따른다.

 제14조(장비 설치 및 보호) ① 장비는 물리적·환경적 위협이나 위험, 또는 외부인의 접근으로부터의 위험을 줄일 수 있도록 설치하고 보호한다.

② 비밀정보를 다루는 원격터미널 또는 모니터는 비인가자가 외부로부터 투시가 될 수 없도록 배치하며, 특별한 보호가 요구되는 정보시스템은 격리된 장소에서 별도로 관리한다.

③ 비상시 사용될 백업 장비 및 자산은 원격지에 보관한다.

④ 정보시스템은 화재 등에 대비하여 건물 외벽과 거리를 두고 배치하고, 가능한 취사시설, 화장실 등으로부터 거리를 두고 배치한다.

⑤ 정보시스템에 연결된 전력과 통신 케이블은 가능한 매설하고, 매설이 어려울 경우 보호를 위한 방안을 마련해야 한다.

⑥ 장비는 정전이나 기타의 전기적 장애로부터 보호한다.

⑦ 장비 및 설비는 정기적인 점검을 월 1회 이상 실시하여 장애나 고장으로부터 보호한다.

 제15조(장비 폐기 및 재사용) ① 중요한 정보를 담고 있는 저장 장치의 폐기 및 재사용 시에는 물리적으로 파괴하는 등 적절한 정보보호 대책을 적용한다.

② 하드디스크와 같은 저장 매체를 포함하는 모든 종류의 장비는 폐기되기 전에 저장 매체로부터 중요한 데이터 및 라이센스가 있는 소프트웨어가 제거되었는지 확인한다.

③ 비밀정보를 포함한 보고서 등의 문서는 안전하게 파지 또는 소각하며, 하드 디스크, 광파일, 마그네틱 테이프 등의 매체를 폐기 처분하고자 할 때에는 인가된 안전한 방법을 사용하여 완전 포맷 또는 삭제한 후 폐기한다.

④ 비밀정보 폐기와 관련된 기록은 향후 감사를 위해 유지한다.

 제16조(자료보안) ① 비밀정보가 담긴 저장매체, 출력된 문서 또는 PC 등은 비인가자의 접근으로부터 보호한다.

② 보안담당관은 보호구역내에 생성 및 유통되고 있는 종이문서와 PC 화면으로부터 비인가자에게 정보가 유출되는 것을 방지하기 위하여, 보호구역 내의 직원들을 대상으로 보안활동을 준수토록 한다.

③ 주요 서류 및 휴대용 저장매체(노트북, PDA, 외장형 하드디스크 등)를 사용하지 않을 경우, 시건 장치가 된 캐비닛이나 창고에 보관한다.

       제4장 인적보안

 제17조(채용 시 보안) ① 직원(계약직 포함) 채용 시에는 재직 중에 취득한 정보에 대한 보안을 유지하도록 별지 제2호 서식의 정보보안 서약서(직원용)를 징구해야 한다.

② 분임정보보안담당관은 신규 입사자에 대해서 정보보안 교육을 실시하여야 한다.

 제18조(보직변경 등 인사이동시) ① 보직변경 등 인사이동시 업무시스템에 대한 접근권한을 인사발령과 함께 신속하게 변경 또는 조정하여야 한다.

② 인사이동시 PC에 저장된 업무관련 파일은 삭제해야하며, 업무관련 파일이나 정보유출에 대한 책임은 해당PC 사용자에게 있다.

 제19조(퇴직 및 계약해지 시) ① 퇴직자는(계약직 포함) 재직 중 보유 한 모든 정보자산(사용PC, 보조기억매체, 업무자료 및 문서, 출입증 등)을 반환해야 할 의무가 있으며, 해당 부서장은 퇴직자의 정보자산을 팀에 귀속시킬 수 있도록 할 책임이 있다.

② 퇴직 절차가 완료된 퇴사자에 대해 인사발령을 시행하고, 퇴직 처리된 퇴사자의 계정이 삭제될 수 있도록 요청한다.

③ 분임정보보안담당관은 퇴직자에 의한 정보유출이 의심되거나 위험이 있는 경우 퇴직 처리 전에 사용자의 계정을 정지 또는 삭제 조치할 수 있다.

 제20조(보안규정위반자에 대한 처리) 정보보안담당관은 정보보안과 관련된 내규 등을 위반하는 행위를 한 자에 대하여 보안심사위원회의 심의를 거쳐 원장에게 징계를 요구 할 수 있다.

       제5장 전산장비실 보안관리

 제21조(출입권한 관리) ① 전산장비실 출입권한은 소관부서 담당 직원에 한하여 허가되며, 전산장비실 출입권한자 명단을 작성하여 전산장비실내에 비치한다.

② 전산장비실 출입권한이 신규로 필요로 한 경우 분임정보보안담당관의 승인 후, 해당 인원의 출입권한을 등록한다.

③ 분임정보보안담당관은 퇴사 및 보직변경으로 인하여 전산장비실 출입권한의 변동이 발생한 경우 우선적으로 해당인원의 전산장비실 출입권한을 삭제한다.

 제22조(외부인 출입통제) ① 전산장비실은 비인가자의 출입을 통제하여야 하며 외부인이 전산장비실을 출입하는 경우 출입권한자가 동행하도록 한다.

② 외부인의 전산장비실 출입 시 목적, 출입 및 퇴실시간 등을 출입관리대장(보안업무 취급규칙 별지 제20호 서식)에 기록하고 동행한 출입권한자가 확인서명을 하여야 한다.

 제23조(정보통신장비의 반입·출입 통제) ① 분임정보보안담당관은 정보통신장비의 수리, 교체 및 대체, 대여 등으로 정보통신장비가 반입·반출되는 경우, 정보통신장비의 반입·반출을 통제하여야 한다.

② 분임정보보안담당관은 정보시스템 장비의 반입·반출을 하는 경우 관련 기록을 별지 제4호 서식의 반입·반출 관리대장(전산장비실)에 기록한다.

③ 장비 반출일 경우 해당 장비내의 저장매체에 저장된 정보가 복구 가능하지 않도록 삭제되었는지 확인한 후 장비를 반출하도록 한다.

       제6장 PC 등 보안

 제24조(PC 보안관리) ① 개인이 사용하는 PC의 정보보안 관리에 대한 1차 책임은 PC 사용자에게 있으며, 사용자는 다음의 보안대책을 강구해야 한다.

1. CMOS(부팅), 로그인 및 화면보호기에 각각 비밀번호 설정 후 3개월 단위로 변경

2. 10분 이상 PC 작업을 중단 시 비밀번호가 적용된 화면보호기 작동

3. 최신의 바이러스 백신 S/W 설치 및 주기적인 업데이트

4. 개인정보점검 S/W 설치 및 주기적인 업데이트

5. P2P, 메신저, 웹하드 등 업무와 무관하거나 보안에 취약한 프로그램의 사용 금지

② 공유폴더는 사용하지 않는 것을 원칙으로 하며, 업무상 목적으로 필요한 경우에는 반드시 공유폴더에 패스워드를 설정하고, 사용이 완료된 후에는 공유 설정을 제거해야 한다.

③ 노트북은 도난 및 분실을 예방하기 위해 물리적 시건장치를 설치하여 사용해야 하며, 외부 출장 시에도 책상위에 방치하지 말고 시건장치를 설치하거나 디스크 암호화 후 사용하여야 한다.

④ 모든 PC사용자(노트북 등의 모바일 컴퓨터 포함)는 적법한 절차를 거쳐 취득한 정품 소프트웨어만을 사용해야 하며 사용권한이 없거나 임의로 복제된 불법소프트웨어를 설치해서는 안 된다.

⑤ 업무상 취급되는 개인정보 등 중요정보를 PC에 저장 시 암호화하여 저장하도록 하며, 정보 이용 목적 달성 시 지체없이 삭제하여야 한다.

⑥ 매월 세 번째 수요일을 사이버 보안 진단의 날로 지정하여 사용자는 PC 업데이트 및 보안 취약점 점검, 악의적인 바이러스 및 불법 소프트웨어 등이 설치되어 있는지를 점검하여야 한다.

⑦ 사용자가 노트북, 넷북, 스마트폰 등과 같은 모바일 컴퓨터를 이용하는 경우에는 위와 같은 일반 PC보안 사항을 준수하여야 하며, 업무자료가 저장되지 않도록 시스템 종료 시 사용자 파일 자동삭제와 같은 보안수단 설치를 강구하여야 한다.

 제25조(PC 비밀번호 설정 및 관리) ① PC사용자(노트북 포함)는 CMOS(부팅)로그인, 화면보호기 패스워드를 설정하여 비인가자의 접근을 통제하여야 한다.

② PC에서 사용하는 비밀번호는 다음 각 호 사항을 반영하여 영문·숫자·특수문자가 포함된 9자리 이상으로 정하고, 분기 1회 이상 주기적으로 변경 사용하여야 한다.

1. 사용자계정(ID)과 동일하지 않은 것

2. 개인 신상 및 부서명칭 등과 관계가 없는 것

3. 일반 사전에 등록된 단어는 사용을 피할 것

4. 동일단어 또는 숫자를 반복하여 사용하지 말 것

5. 이전에 사용된 비밀번호는 재사용하지 말 것

6. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것

7. 관리자계정과 사용자계정의 비밀번호를 다르게 부여

8. 초기 할당된 임시 비밀번호는 사용자 로그인 후 즉시 변경

 제26조 (PC 및 노트북 반출·입 관리) ① PC(노트북)의 반출 시 해당 부서별 반출·입 내역을 기록·관리해야 한다.

② PC 사용자는 반출된 PC(노트북) 반입 시 바이러스 백신프로그램으로 바이러스 및 악성코드 감염여부를 점검한다.

③ 개인소유의 PC(노트북 등)는 교육원 내부로 반입 또는 반출하여 사용해서는 안 된다. 다만, 부득이한 경우에는 부서장의 승인을 받은 후 반입 또는 반출할 수 있다.

④ PC에 설치 또는 부착된 하드웨어를 임의로 변경, 제거하거나 교육원 외부로 반출해서는 안 된다.

 제27조(PC 유지보수) ① PC 유지보수는 인가된 직원(또는 외부업체 직원)에 의해서만 수행되어야 한다.

② PC 또는 PC내 하드웨어를 유지보수(교체·반납·폐기)를 위해 교육원 외부로 반출할 경우 다음의 보안대책을 강구한다.

1. PC에 저장된 데이터가 복구가 되지 않도록 삭제 또는 하드디스크를 분리

2. PC수리인력에게 별지 제3호 서식의 정보보안 서약서(외부자용) 징구

 제28조 (유해 소프트웨어에 대한 통제) 공식적으로 인가되지 않은 프로그램의 사용은 바이러스, 트로이 목마와 같은 악성 코드들이 포함되어 있을 가능성이 높으며 이러한 악성코드 들은 조직의 중요 정보 노출, 파괴 등을 유발할 수 있으므로 사용자는 프로그램 사용에 대해 다음 사항을 준수한다.

1. 사용자는 업무에 불필요 또는 불법 소프트웨어를 사용하지 않고, 정품 소프트웨어만을 사용한다.

2. 불확실하거나 출처가 명확하지 않은 파일, 신뢰할 수 없는 네트워크로부터 획득된 파일은 사용하기 전에 바이러스 검사를 한다.

3. 사용자는 월 1회 이상 악의적인 바이러스, 불법 소프트웨어 등이 설치되어 있는지를 점검한다.

 제29조(보조기억매체 등록 및 관리) ① 교육원 직원은 원칙적으로 보조기억매체를 사용할 수 없으나 업무상 불가피하게 사용할 경우 보안기능이 포함된 보조기억매체를 사용하되, 관리대장에 기록하여 안전하게 관리하여야 한다.

② 보조기억매체 등록 및 관리와 관련된 세부사항은 고용노동부 ‘USB메모리 등 휴대용 저장매체 보안관리지침’을 따른다.

       제7장 E-mail, 인터넷 보안관리

 제30조(E-mail 사용의 제한) ① E-mail 사용자는 부서장의 허가를 받지 않은 정보 또는 외부에 공개할 수 없는 내부 정보를 외부에 발송하지 않는다.

② 스팸메일 등 불법 메일 등을 송신하거나 타 직원의 E-mail 계정을 도용할 수 없다.

③ 정보시스템 자원의 낭비를 초래하는 스팸메일, 반복메일 등은 전송 및 배포를 금지한다.

④ 모든 E-mail 사용자는 제3자의 지적재산권, 저작권을 침해하는 내용, 명예훼손, 사기, 바이러스 유포 등의 불법적인 행위에 대한 내용을 E-mail에 포함하지 않는다.

⑤ 타인의 E-mail 내용 및 비밀번호를 중간에서 전자적으로 도청하지 않는다.

⑥ E-mail이 암호화되지 않은 경우, E-mail 사용자들은 신용카드번호, 패스워드 등 개인의 중요한 정보를 E-mail 내용에 포함시켜 보내지 않아야 한다.

 제31조(E-mail 이용 시 업무처리 절차) ① E-mail 계정은 정보시스템 가입 후 메일시스템 접근 시 자동으로 생성함을 원칙으로 한다.

② E-mail 관리 원칙

1. 한 명의 직원 당 1개의 E-mail 계정 부여를 원칙으로 한다. 단, 업무 목적상 필요한 경우 업무용 계정을 별도로 신청할 수 있다.

2. 직원의 E-mail 주소 디렉토리는 공개적으로 접근하지 못하도록 조치한다.

③ 업무용 E-mail 사용 기준

1. E-mail을 통한 업무자료 수발신은 내부 웹메일 시스템을 사용한다.

2. 외부 사설메일(Naver, Daum, MSN 등)을 이용한 업무자료 송수신은 하지 않는다.

④ 메일 이용 중 사용자의 PC 자료를 파괴하거나 탈취하려는 목적의 악성메일 수신시 정보보호담당자에게 통보하고, 정보보호 담당자는 조사 후 발신지 차단 등의 보안조치를 실시한다.

 제32조(인터넷 접속에 대한 보안) ① 다음의 사이트는 업무시간 중 접속을 금지한다.

1. 유해 사이트

2. P2P 사이트

3. 증권관련 사이트 등 업무와 관련성이 없는 사이트

4. 북한관련 사이트 등 기타 접속 금지의 필요성이 인정되는 사이트

② 업무와 관련이 있는 사이트 외의 웹 사이트의 Active-X 등 추가기능을 설치하지 않는다.

③ 악성 자료를 포함하는 사이트를 발견했을 경우, 해당 사이트의 URL을 분임정보보안담당관에게 통보하고, 분임정보보안담당관은 조사 후 유해사이트차단시스템 등의 보안시스템을 사용하여 해당 사이트의 접근을 차단한다.

       제8장 서버 보안

 제33조(정보시스템 보안관리) ① 분임정보보안담당관은 정보통신시스템(정보통신망 포함)의 효율적인 보안관리를 위하여 정보통신시스템별로 관리책임자(이하 ‘시스템관리자’라 한다)를 지정 운영하여야 한다.

② 시스템관리자는 각종서버·PC·정보통신장비 등 정보통신시스템이 비인가자에게 불필요한 서비스를 허용하지 않도록 보안기능을 설정하여야 한다.

③ 시스템관리자는 보안점검도구를 이용하여 연 1회 이상 정보통신시스템의 보안취약성을 진단하고 그 결과를 분임정보보안담당관에게 제출하여야 한다.

④ 시스템관리자는 주기적으로 불필요한 포트의 사용여부를 점검하여, 불필요한 포트 사용이 확인되는 즉시, 해당 포트를 삭제하는 등의 보안조치를 수행한다.

⑤ 중요정보를 취급하는 정보시스템은 관리자 권한으로 시스템에 접근하는 경우, 지정된 IP에서만 접근할 수 있도록 한다.

 제34조(서버 시스템의 설치) ① 서버 시스템 설치 시 다음 각 호의 사항을 준수하여야 한다.

1. 신규 시스템을 도입 시 시스템 보안설정, 서버백신, 장애관리 등의 도구를 설치해야 한다.

2. 시스템관리자는 신규로 도입 설치되는 서버 시스템에 서버 취약점 점검도구를 설치하여 시스템 및 OS의 취약점 점검을 수행하며, 점검결과 발견된 취약점에 대해 조치하고 그 결과를 분임정보보안담당관에게 제출하여야 한다.

3. 시스템관리자는 신규 시스템 설치 및 변경 사항을 정보자산 관리목록에 갱신해야한다.

② 소프트웨어 설치 시 아래의 각호의 사항을 준수하여야 한다.

1. 발주부서 담당자는 서버에 설치된 소프트웨어의 현황을 목록으로 만들어 관리하며 변경 시 현황을 수시로 업데이트 한다.

2. 서버 시스템에 설치되는 소프트웨어는 분임정보보안담당관의 승인을 얻은 후 설치한다.

3. 발주부서 담당자는 소프트웨어 설치작업 후 해당 서버의 소프트웨어 설치 현황목록에 추가한다.

4. 업무통제나 시스템을 무력화 할 수 있는 유틸리티의 사용은 통제한다.

③ 소프트웨어 설치 시 아래의 각호의 사항은 제한하여야 한다.

1. 서버에는 업무 목적 외의 불필요한 프로그램을 설치할 수 없다.

2. 불법 소프트웨어는 설치할 수 없다.

3. 원격관리 소프트웨어 등 서비스 관리 목적상 불가피하게 설치해야 할 필요성이 있을 때에는 자체 보안대책을 마련하여 분임정보보안담당관에게 승인을 얻는다.

④ 시스템관리자는 파일시스템을 구성할 때 시스템 데이터와 일반 데이터를 논리적 또는 물리적으로 분리하여 설치한다.

 제35조(보안설정 적용) ① 시스템관리자는 주기적인 패치 및 보안 설정을 적용한다.

② 모든 서버는 로그인을 허용하기 전에 다음과 같은 보안권고문을 공지한다.

"서버관리자 이외 또는 부당한 방법으로 정보통신망 및 정보시스템에 접속하거나 정보를 삭제, 변경, 유출하는 자는 관련 법령에 따라 처벌을 받게 됩니다."

③ 서버 로그인 시 또는 웹서버 정보에서 OS버전, 서비스정보 등의 취약점 유추가 가능한 정보가 누출되지 않도록 설정한다.

④ 시스템의 보안 설정된 정보와 로그는 임의적으로 삭제되지 않도록 한다.

 제36조(시스템 접근 기록 관리) ① 시스템 접속기록은 접속일시, 사용자 ID, 접속 IP, 행위 등이 포함되어야 한다.

② 시스템 접근 및 사용에 대한 책임 추적성을 확보하기 위하여 시스템 가동 및 종료, 설정 변경, 중요파일 접근로그, 관리자 계정 명령어 사용내역 등의 로그를 기록한다.

③ 사고발생시 책임추적이 가능하도록 시스템 접근기록을 6개월 이상 보관하여야 한다.

④ 분임정보보안담당관의 사전 승인이 없는 한 모든 시스템의 로그는 비인가자가 접근할 수 없으며 시스템 로그를 비인가자가 열람하거나, 훼손하는 경우 보안심사위원회를 통해서 처벌하거나, 외부자의 경우 민·형사상 법적 조치를 취한다.

⑤ 시스템관리자는 정기적으로 시스템 접근기록을 검토하여 비인가자의 접속 시도, 정보 위·변조 및 무단삭제 등의 의심스러운 활동이나, 침입흔적 발생 시 분임정보보안담당관에게 보고하고 조치를 취해야 한다.

 제37조(계정 및 패스워드 관리) ① 시스템관리자는 사용자계정의 등록·변경·폐기 시 분임정보보안담당관에게 그 결과를 보고하여야 한다.

② 시스템관리자는 3개월 이상 미사용 계정, 사용자의 퇴직 또는 보직변경 등으로 사용하지 않는 사용자계정이 발생할 경우 이를 신속히 삭제하여야 한다.

③ 5회에 걸쳐 사용자인증 실패 시 정보통신시스템 접속을 중지시키고 비인가자 침입 여부를 확인 점검하여야 한다.

④ 패스워드는 영숫자, 특수문자 등을 혼합하여 9자리 이상으로 정하고 분기 1회 이상 주기적으로 변경 사용하여야 한다.

 제38조(권한관리) ① 서버 내 정보에 대한 접근 권한은 시스템관리자가 결정하여 신청하며 분임정보보안담당관은 접근 권한을 검토 후 부여한다.

② 시스템관리자는 개인의 계정으로 접속한 후에 관리자 권한을 획득한다.

③ 일반 사용자는 다른 사용자의 홈 디렉터리 혹은 시스템 관리에 관한 파일 혹은 디렉터리에는 접근할 수 없도록 제한한다.

④ 사용자가 서비스 중지 등을 일으킬 수 있는 명령어를 사용하거나 파일 실행을 할 수 없도록 제한한다.

⑤ 사용자는 시스템관리자 및 분임정보보안담당관의 사전 승인 없이 운영체제의 접근 통제를 우회할 수 있는 프로그램을 사용할 수 없도록 제한한다.

⑥ 관리자 권한 등의 중요 권한을 일반 사용자에게 생성해주지 않는다.

⑦ 슈퍼유저 계정을 이용한 FTP 접속권한을 해제한다.

⑧ 불필요한 RPC, SMB등 통신 권한을 해제한다.

 제39조(접근통제관리) ① 업무상 접속할 필요가 있는 사용자를 파악한 후 보안 도구를 이용해 IP 주소 기반의 접근 제어를 한다.

② 시스템관리자는 서버가 정상적으로 동작하지 않을 경우 정상적으로 동작될 때까지 사용자의 접근을 제한할 수 있다.

③ 시스템관리자는 비인가자의 불법적인 접근 및 서비스 중지 등을 예방하기 위해 업무적으로 불필요하거나, 침해의 위협이 있는 네트워크 서비스를 제공하지 않는다.

④ 시스템관리자는 접근통제 세부내역을 주기적으로 검토하여야 한다.

 제40조(원격접근 보안관리) ① 사용자가 서버에 접속할 경우 반드시 사용자 계정과 패스워드 또는 보다 강화된 인증 방법을 적용하여 접근 가능하도록 한다.

② 인증방법은 서버 시스템이 제공하는 서비스 내용과 중요도에 따라 결정하며 다음과 같은 방법 등을 사용한다.

1. 사용자 계정, 패스워드

2. 음성, 지문, 홍채 등 신체적 특성을 이용한 인증

3. 비밀번호 발생기, 디스켓, IC카드 등 소지형 인증

4. 공개키 기반 인증 (PKI)

③ 인증 서버를 구축할 경우에는 인증 서버의 장애로 인한 서비스 중단 등이 발생하지 않도록 병렬구성을 원칙으로 한다.

④ 중요 서버에 접근 시에는 SSH(Secure Shell) 등의 암호화된 통신 프로토콜 사용을 원칙으로 한다.

⑤ 로그인 화면에서는 로그인 관련 정보만 표시한다. 조직이나 운영체제, 네트워크 환경, 내부적인 사항과 같은 정보는 로그인이 성공적으로 이루어진 후에 표시되도록 한다.

⑥ 사용자가 시스템에 로그인 실패 시 시스템 침해의 원인이 될 만한 정보를 사용자에게 보여주지 않도록 조치한다.

⑦ 연속적으로 3회 이상 패스워드를 잘못 입력할 경우 세션을 차단 후 분임정보보안담당관에게 해당 사실을 통지하고 비인가자의 침입여부를 확인 및 점검해야 한다.

⑧ 사용자가 서버 로그인에 성공하였을 경우 가장 최근에 성공적으로 접속한 시간, 날짜, 터미널 등의 정보를 화면에 표시한다.

 제41조(관리자 보안 이행사항) ① 서버에 접속한 후 사용자나 다른 시스템으로부터 일정시간(10분 이하) 동안 어떤 입력도 일어나지 않으면 자동적으로 로그오프 시키거나 세션을 중단시키는 것을 원칙으로 한다. 단, 개발 업무나 서버 운영상 필요성이 인정되는 경우 예외로 할 수 있다.

② 통제구역 이외의 장소에 설치된 서버는 시스템관리자 및 사용자가 5분 이상 자리를 비울 경우 패스워드가 설정된 화면보호기가 작동되도록 하거나 로그오프하여 비인가자가 접근할 수 없도록 한다.

 제42조(외부망에 대한 접근보안관리) 정보시스템을 외부에서의 네트워크를 통해 원격으로 접속하여 정비하는 것을 원칙적으로 금지하여야 한다. 다만, 부득이한 경우에는 아래의 각호에 해당하는 보안대책을 강구하고 한시적으로 허용하여야 한다.

1. 원격접속 수행자에게 임시 접근권한 부여

2. 접근권한의 사용시간 명시, 시간경과 후 접근권한 삭제

3. 원격정비 시스템의 IP 사전 파악, 지정된 시스템에서만 수행

4. 원격시스템과의 통신정보를 점검하여 실행코드에 악성코드 유입 방지

5. 원격정비를 수행할 때 대상 정보시스템을 내부망과 분리

6. 원격 정비기록을 유지, 정비결과 서버관리자에게 보고

7. 원격 정비자가 네트워크를 통해 원격지 컴퓨터 파일을 자신의 컴퓨터 파일처럼 접근하여 작업할 수 있도록 하는 등 해킹에 취약한 방식으로 원격정비 금지

 제43조(패치 및 변경 통제) 패치나 시스템 파라미터(IP, 사용자 계정, 권한 설정, 환경설정 값 등)를 변경할 시에는 그와 관련된 모든 사항(변경값, 변경 사유, 승인자, 시행자, 일자, 해당 서버 등)에 대한 증적을 남긴다.

 제44조 (웹서버 등 공개서버 관리) ① 외부인에게 공개할 목적으로 설치되는 웹서버 등 각종 공개서버는 내부망과 분리하여 운영하고 보안적합성이 검증된 침입차단시스템을 설치하는 등 보안대책을 강구하여야 한다.

② 서버에 접근할 수 있는 사용자계정을 제한하며 불필요한 계정은 삭제하여야 한다.

③ 홈페이지 게재내용은 운영부서 부서장의 심의를 거쳐 개인정보·비밀내용 등 비공개 자료가 포함되지 않도록 하여야 한다.

④ 공개서버는 업무서비스를 제외한 모든 서비스 및 시험·개발도구 등의 사용을 제한하도록 보안기능을 설정하여야 한다.

⑤ 공개서버는 운영 전 보안취약점을 점검하고 모든 취약점이 수정되었음을 확인 및 보안조치 실시 후 운영하여야 하며, 운영 중에도 보안취약성을 연 1회 이상 점검하여 시스템 및 자료의 위·변조, 훼손여부를 확인하고 그 결과를 분임정보보안담당관에게 제출하여야 한다.

⑥ 보안사고에 대비하여 서버에 저장된 자료의 철저한 백업체계를 수립·시행하여야 한다.

⑦ 분임정보보안담당관은 공개서버의 취약점이 수정되지 않은 상태로 운영될 경우, 취약점 수정을 위하여 해당 서버의 운영 또는 서비스를 중단시킬 수 있다.

 제45조(취약점 점검) ① 시스템관리자는 시스템 불법 접근 및 해킹 프로그램(백도어 및 스파이웨어 등)의 설치 여부 점검 등 일상적인 보안활동을 수행한다.

② 정보시스템에 대한 종합 점검은 연 1회 이상 실시하고, 시스템의 변경, 외부 시스템의 이관 및 신규 시스템 도입 등 필요시 수시 점검을 실시한다.

1. 분임정보보안담당관은 종합점검 계획을 수립하여 시행하고, 발견된 취약점에 대하여 해당 팀에 통보한다.

2. 시스템관리자는 담당 시스템에 대하여 수시로 점검을 실시하고, 종합점검 및 수시점검 시 발견된 취약점에 대한 보완계획을 수립하여 시행하고 그 결과를 분임정보보안담당관에게 제출하여야 한다.

3. 단기 조치가 어려운 취약점에 대하여 그 사유를 기록, 관리한다.

4. 취약점 조치를 위하여 관련 팀 및 업체의 협의가 필요할 경우에는 분임정보보안담당관 등 관련 소관 부서담당자 및 업체 직원을 소집하여 조치방안을 강구한다.

5. 취약점 점검 대상, 기간, 주요 점검항목, 점검결과 및 조치 사항을 포함하는 ‘취약점 점검 결과보고서’를 작성하여 이력을 관리한다.

6. 분임정보보안담당관은 외부 시스템의 이관 시 서버, 응용시스템 등 분야별 수시점검 결과 발견된 취약점에 대한 보완여부를 확인하고, 취약점을 조치하기 위하여 방안을 강구할 수 있다.

 제46조(시스템 성능관리 및 유지보수) ① 시스템관리자는 서버의 자원 오용을 방지하기 위해 주기적으로 점검, 관리하고 지속적으로 모니터링 해야 한다.

② 시스템관리자는 서버 자원의 모니터링 결과를 통해 시스템 성능향상을 도모한다.

 제47조(백업 관리) ① 시스템관리자는 정보화자료 백업 및 소산계획을 수립하고 백업을 실시한다.

② 백업대상 선정 및 주기는 시스템별 중요도 및 현업 팀의 추가 요구사항을 반영하여 결정한다.

③ 백업에는 정기적인 백업, 비정기적인 백업을 포함하며, 비정기적인 백업은 시스템 변경작업, 소프트웨어 설치작업, 하드웨어 교체작업 등의 작업 전에 반드시 수행한다.

④ 백업 수행 후에는 백업일자, 백업대상, 백업매체 등을 포함하여 별지 제12호 서식의 백업결과보고서를 작성 후 보관한다.

⑤ 백업시스템 도입 후 최초 적용 시 정기적인 항목들(보관기간, 방식, 데이터베이스 백업모드, 소산백업 여부)을 결정하여야 하며, 운영도중 변경사항이 발생하면 충분한 검토 및 승인을 통해 이를 반영하여야 한다. 그리고 백업데이터의 중요도에 따라 백업주기를 결정한다.

 제48조(백업 대상 및 주기) ① 백업대상은 데이터의 파손 시 복구의 필요성이 요구되는 교육원의 주요 데이터이며 다음과 같은 정보들이 이에 해당한다.

1. OS 및 유틸리티 프로그램

2. 데이터베이스 파일 : 업무데이터 및 데이터베이스 구성파일

3. 네트워크 장비 구성파일 및 로그파일

4. 정보보안시스템 정책 및 로그파일

5. 기타 필요로 하다고 생각되는 파일

② 백업대상에 대한 백업 및 보관주기는 별표4를 기준으로 정한다.

③ 백업 데이터는 원격지의 안전한 장소에 분산보관 하고, 그 기록을 관리한다.

 제49조(서버 시스템 백업매체 관리) ① 백업매체는 비인가자가 접근할 수 없는 격리된 곳에 보관하여, 비인가자에 의한 백업 정보의 유출이 일어나지 않도록 한다.

② 백업매체가 재난 등으로 인해 원본과 동시에 손실되는 것을 방지하기 위해 원본과 물리적으로 떨어진 장소에 보관하도록 하며, 물리적인 접근 통제 및 백업 일자 목록을 유지 관리한다.

③ 백업매체의 폐기 시 분임정보보안담당관의 승인을 득한 후 소각 폐기한다.

 제50조(복구관리) ① 장애 발생 시 장애의 종류를 파악하여 문제가 발생한 부분이 서버운영에 별로 문제가 없을 경우 업무 종료 후에 복구를 수행하고, 업무 중에 복구가 불가피하다고 판단되면 최소 시간에 복구를 할 수 있도록 복구의 종류를 파악하고, 즉시 복구를 수행한다.

② 장애로 인하여 영향 받는 부서 및 업무를 파악하여 관련자에게 장애원인 및 복구 예정시간 등을 통보하여 복구로 인한 업무손실을 최소화 한다.

③ 발생한 장애에 대한 조치 복구 결과를 ‘장애조치내역서’에 기록하여 관리한다.

④ 긴급사항 발생 시 선 조치 후 보고할 수도 있다.

 제51조(업무연속성) 시스템관리자는 장애 또는 재난에 대비하기 위해 업무연속성 유지계획을 수립하고 주기적으로 비상·복구 훈련등의 모의 훈련을 통해 점검한 후 그 결과를 분임정보보안담당관에게 제출하여야 한다.

       제9장 네트워크 보안

 제52조(외부망연동) ① 다른 기관과의 정보통신망과 연결 사용하고자 할 경우에는 보안관리 책임한계를 설정하고 다음과 같은 보안대책을 수립·시행하여야 한다.

1. 네트워크 취약성 점검

2. 침입차단·탐지 시스템 설치 운용 등

② 외부망과 접속하는 경우에는 전산자료 제공범위 및 이용자의 접근제한 등에 대해 분임정보보안담당관에게 보안성검토를 의뢰 후 승인을 받아야 한다.

③ 외부망 연결에 따른 보안취약성 해소를 위하여 접속자료를 주기적으로 분석하고 보안도구를 이용하여 정보통신망의 취약성을 수시 점검하여야 한다.

④ 인터넷 등 상용망 및 타 기관과의 정보통신망 연동 시 불법침입(해킹)을 방지하고 효율적인 보안관리를 위하여 연결지점을 지정 운용함으로써 임의 접속을 차단하여야 한다.

 제53조(네트워크 IP주소관리) ① 내부 네트워크에서는 사설IP 주소를 사용하는 것을 권장 하며 사용자 편의성을 고려하여 공인IP주소를 부여할 수 있다.

② 네트워크관리자는 내부통신망에서 사용하는 IP주소를 사용자별, 그룹별로 분리하여 사용해야 하며, IP할당에 관한 자료가 외부로 유출되지 않도록 하여야 한다.

③ 네트워크관리자는 IP현황을 최신으로 관리해야 한다.

④ 각 부서에서는 IP사용자의 변동사항 발생 시 3일 이내에 네트워크 관리자에게 변동사항을 보고하여야 하며, 연 1회이상 전체 사용자의 IP현황을 조사하여 네트워크 관리자에게 보고하여야 한다.

⑤ 정보통신망 세부구성현황(IP 세부 할당 현황 포함)은 중요정보로 대외비 이상으로 지정하여 관리하여야 한다.

 제54조(네트워크 장비 계정 및 권한 관리) ① 네트워크 장비에는 관리자 계정 등 최소한의 계정만을 생성해야 한다.

② 네트워크 장비에는 설치 시 기본적으로 생성되는 불필요한 계정을 삭제해야 하며 해당 계정이 필요한 경우 기본 패스워드를 변경하여 사용한다.

③ 네트워크 장비의 패스워드는 영문과 숫자를 조합하여 최소 9자 이상으로 설정하고 분기 1회 이상 주기적으로 변경해야 한다.

 제55조(네트워크 장비 접근제어) ① 네트워크관리자는 미사용 포트에 대한 비인가자의 불법적인 접속을 방지하기 위하여, 네트워크 장비에 대한 물리적 접근통제를 수행하거나 미사용 포트는 사용 할 수 없도록 설정한다.

② 네트워크 장비에 로그인시 적절한 경고 문구를 삽입 한다.

③ 필요치 않거나 사용되지 않는 정보통신망 서비스 기능은 제거 또는 중지한다.

④ 네트워크 관리자계정의 접속은 콘솔포트 및 특정 PC에서만 접근하도록 설정한다.

⑤ 네트워크 장비에 접근 시 사용자 인증을 수행하고, 다음의 사항을 준수한다. 단, 기능이 없는 장비는 제외한다.

1. 5회 이상 정확하지 않은 패스워드의 시도가 있는 터미널은 자동으로 세션을 종료한다.

2. 관리자와 사용자 모드를 지원하는 경우 분리 운영한다.

3. 터미널의 유휴시간은 5분 이내로 제한하며, 이후 자동으로 접속이 종료되도록 설정한다.

⑥ 네트워크 장비에 대한 접근제어 등 정책을 주기적으로 검토하여 불법적인 접근이나 미사용 포트 사용을 방지한다.

 제56조(네트워크 시스템 변경 통제) ① 네트워크관리자는 패치나 시스템 파라미터(IP, 사용자 계정, 구성정보 데이터 등)를 변경할 시에는 분임정보보안담당관과 협의하여 변경에 따른 잠재적 영향 평가를 실시하고, 이에 따른 관련기록을 남겨야 한다.

② 영향평가 실시 후 구성정보나 네트워크 시스템 변경이 적절하다고 판단되는 경우, 작업내용 및 영향평가 결과를 첨부하여 기술보안담당관의 승인을 받아야 한다.

③ 네트워크관리자는 네트워크 시스템 변경을 수행하기 전에 시스템의 현재 설정을 백업하여 이상 상황에 대비한다.

④ 네트워크관리자는 비인가 장비 발견 시 해당 장비의 사용을 중단시킬 수 있다.

 제57조(로그 및 백업관리) ① 네트워크관리자는 모든 네트워크 시스템에 대해 시간을 동기화하여 로그 생성 시 정확한 시간이 기록되도록 한다.

② 주요 네트워크 장비의 로그 정보는 실시간으로 로그가 저장 될 수 있도록 한다. 단. 해당 기능이 제공되지 않는 장비는 제외한다.

③ 주요 네트워크 로그는 6개월 이상 보관하여야 한다.

④ 네트워크 로그파일 및 구성정보는 일반사용자 권한으로 수정 및 삭제할 수 없도록 설정한다.

⑤ 네트워크관리자는 네트워크 구성 정보는 분기마다 백업하여 보관한다.

 제58조(원격근무 보안관리) ① 보안담당관은 교육원 소속 직원이 정보통신망을 활용하여 교육원 이외의 환경에서 재택·파견·이동 근무를 수행하는 경우 보안관리 대책을 수립하여야 한다.

② 원격근무를 수행하는 인원에 대한 시스템 접근기록은 주기적으로 확인한다.

 제59조(무선랜 보안관리) ① 교육원 내의 모든 무선중계기(AP)는 분임정보보안담당관의 승인을 득한 후 설치 및 운영해야 한다.

② 분임정보보안담당관은 교육원내에서 비인가자의 무선랜 무단 사용, 비인가 AP설치 등에 대해서 주기적으로 점검을 수행해야 한다.

③ 무선랜 인증을 위해서 WPA 이상의 보안방식을 적용하고, 설정된 키 값은 주기적으로 변경해야 한다.

④ 비인가자가 AP 보안기능의 설정을 변경하지 못하도록 출고 시 AP 제조회사에서 설정한 AP 관리용 S/W의 ID, 패스워드를 변경하여 추측이 어렵게 설정한다.

       제10장 어플리케이션 보안

 제60조(개발보안 일반) ① 교육원 각 부서에서 업무용 어플리케이션 및 홈페이지 등의 정보시스템을 개발하는 경우 해당 부서의 장은 보안대책을 수립하고 보안요구사항을 정의해야 하며, 필요한 경우 분임정보보안담당관에게 도움을 요청할 수 있다.

② 해당 프로젝트담당자는 정보시스템 개발 과정을 감독하고, 개발된 코드에 대한 점검과 테스트를 실시해야 한다.

③ 시큐어 코딩과 관련된 가이드라인은 행정안전부 및 한국인터넷진흥원에서 제시한 방안을 기본으로 하며, 프로젝트 담당자는 해당 기준에 따라 어플리케이션을 개발하도록 감독해야 한다.

④ 해당 프로젝트담당자는 모든 사업 참여 인원에 대하여 사전에 보안서약서를 징구하고, 개인정보보호 및 정보보안 등 보안 교육을 실시해야 한다.

 제61조(개발 환경) ① 개발공간은 비 인가자의 출입이 물리적으로 통제된 작업공간에서 개발이 이루어져야 한다.

② 개발 서버가 위치한 네트워크는 원칙적으로는 인터넷과 분리되어야 하고, 네트워크에 연결된 경우에는 비 인가자의 접근으로부터 보호하기 위한 보안대책을 강구해야 한다.

③ 개발시스템과 운영시스템은 물리적 또는 논리적으로 분리되어야 한다.

④ 개발자의 PC는 컴퓨터 바이러스나 각종 침해사고로부터 보호되어야 한다.

⑤ 개발자의 시스템 및 소스코드 접근은 공식적으로 허가된 경로만을 사용하여야 한다.

 제62조(보안기능 요건 반영) ① 교육원 프로젝트담당자는 어플리케이션 설계 및 개발시 별표 1의 어플리케이션 보안기능 요건을 반영하여야 한다. 단, 업무적으로 반드시 필요하거나 분임정보보안담당관의 승인을 득한 경우에는 그 사유를 기록하고 보안기능 요건을 반영하지 않을 수 있다.

② 중요 정보의 전송 및 저장 시 국정원으로부터 승인을 얻은 암호화 기법을 사용하여 암호화해야 한다.

③ 네트워크를 통해 개인정보 및 로그인 정보 등 중요정보가 전송될 때에는 반드시 암호화된 상태로 전송되어야 한다.

④ 암호화 Key의 접근은 인가된 사람으로만 제한하도록 하며 암호화 Key는 일정주기마다 변경하여야 한다.

 제63조(테스트 데이터 보호) ① 테스트를 위하여 실 데이터를 이용하고자 할 경우에는 분임정보보안담당관의 승인을 받아야 한다.

② 테스트 수행자는 사용자의 중요정보가 포함될 경우 제공받은 실 데이터를 적절한 과정 (익명화, 재생성, RENAME 등)을 통하여 테스트 데이터로 변환한 후 사용한다. 단, 실데이터를 변환하지 않고 테스트를 할 경우에는 분임정보보안담당관의 승인을 받아야 한다.

③ 실 데이터는 테스트 데이터와 분리되어야 하며, 테스트 데이터의 접근은 테스트 절차에 필요 최소 인원으로 통제되어야 한다.

④ 테스트 수행자는 테스트가 완료하여 필요 사유가 소멸되면 즉시 테스트 데이터를 삭제해야 한다.

 제64조 (보안 점검) ① 개발 완료 시 개발 소관부서의 장은 해당 시스템에 대한 보안취약점점검(시스템, 어플리케이션 점검)을 수행한다.

② 보안점검 결과 나타난 취약점은 보완조치를 수행하고, 분임정보보안담당관에게 그 결과를 제출한 후 운영해야 한다.

③ 개인정보를 취급하는 시스템의 경우 개인정보 영향평가를 실시한 후 운용한다.

 제65조(사용자 계정 관리) ① 어플리케이션 신규 계정에 대한 권한은 사용에 필요한 최소 권한 만을 부여한다.

② 공동으로 사용하는 ID를 부여하지 말아야 한다. 단, 업무상 필요시는 주관 부서장의 승인을 득해야 한다.

③ 계정(ID) 및 초기 비밀번호는 추측 가능한 사번, ID 등으로 설정하지 말아야 한다.

④ 민감한 정보자산에 대한 사용자 접근 시, 날짜, 시간, 장소별 제한을 하는 등 강력한 접근통제 정책을 적용할 수 있어야 한다.

⑤ 불필요한 계정 및 권한에 대한 검토 및 삭제를 반기마다 1회씩 수행한다.

⑥ 전출 및 퇴직 등의 사유 발생 시, 어플리케이션 담당자는 사용자 ID를 신속히 삭제한다.

⑦ 사용자 퇴사 및 사용자 업무 등이 변경되어 계정의 삭제나 권한의 변경이 필요한 경우 인사발령사항을 기준으로 자동 계정 삭제 및 권한 변경을 원칙으로 한다. 단, 시스템이 인사시스템과 연동이 되어 있지 않거나 업무상 주관부서의 검증이 필요한 경우에는 주관부서의 담당자가 검증 후 처리 할 수 있다.

 제66조(로그 및 소스 관리) ① 사용자 ID, 사용시간, 사용 정보, 로그인 실패 내역 등의 사용자 로그 정보는 최소 6개월 이상 보관 되어야 한다.

② 시스템상의 로그파일과 백업된 로그파일은 수정이 가능해서는 안 된다.

③ 컴퓨터 범죄나 오용이 발생했다고 의심될 때 조사를 위해 필요한 관련 정보를 즉시 안전하게 확보해야 한다.

④ 분임정보보안담당관의 사전 승인이 없는 한 모든 어플리케이션의 로그는 비인가자가 접근할 수 없어야 한다.

⑤ 개발된 프로그램 소스는 실 운영 시스템에 저장되어서는 안되며 실 운영 시스템에는 실행 프로그램만을 저장 하여야 한다.

⑥ 프로그램 소스를 실 운영 시스템에서 컴파일해야 할 경우에는 프로그램 생성 후 삭제하여야 한다.

⑦ 중요한 변경이 필요한 경우 분임정보보안담당관의 승인을 득한 후 문서화된 양식을 통하여 변경 요청을 수행 하여야 한다.

⑧ 어플리케이션의 유지보수 및 변경 작업에 대해 분임정보보안담당관과 협의 후 수행하여야 한다.

⑨ 변경작업은 서비스 운영을 고려하여 업무이외의 시간에 변경 작업을 수행하여야 한다. 단, 긴급을 요하는 변경 작업의 경우 분임정보보안담당관의 승인을 득한 후 수행 할 수 있다.

⑩ 정보시스템에 다음 사항과 같은 변경이 이루어지는 경우 관리 소관부서의 장은 분임정보보안담당관에게 보안성검토를 의뢰하여야 한다.

1. 어플리케이션의 전면적인 수정

2. 인증, 암호화 등 보안 기능의 변경이 수반되는 경우

3. 새로운 위협, 취약성의 발견으로 정보시스템에 적용이 필요한 경우

⑪ 어플리케이션 변경에 관련된 사항은 문서화하여 관리하여야 한다. 문서화 내용에 다음의 사항을 포함하여야 한다.

1. 변경 요청 전, 후의 내용

2. 변경 방법

3. 변경 일시

4. 변경 수행 담당자

       제11장 정보보안시스템 관리

 제67조(선정 및 설치) 정보보안시스템을 설치·운용하고자 하는 경우 아래와 같은 사항을 반영하여 선정하여야 한다.

1. 국내용 CC인증 제품이거나 국정원장이 그와 동등한 효력이 있다고 인정한 제품

2. 소관업무 및 정보통신망 특성을 지원할 수 있는 제품

 제68조(운용 및 보안관리) ① 분임정보보안담당관은 정보보안시스템 운용 관리자로 ‘정보보안시스템 관리자’를 지정한다.

② 정보보안시스템은 직접 연결된 단말기에서만 접속할 수 있도록 해야 한다. 단, 원격관리가 필요한 경우 지정된 단말기를 통해서 원격관리를 허용할 수 있다.

③ 침입차단시스템 등의 정보보안시스템 로그는 최소 6개월 이상 보관한다.

④ 정보보안시스템은 보안기능을 임의로 변경하거나 도입 목적이외의 용도로 운영하여서는 안 된다.

 제69조(정보보안시스템 보안정책 등록, 변경, 삭제) ① 정보보안시스템의 보안정책의 추가·수정 등이 필요한 경우, 관련 업무담당자는 분임정보보안담당관에게 승인을 받아야 한다.

② 정보보안시스템관리자는 분임정보보안담당관의 승인을 득한 후 정책 변경작업을 수행하고, 보안정책 변경 내역을 관련 규칙 등에 반영하여야 한다.

③ 정보보안시스템 관리자는 보안정책을 분기 1회 이상 점검하여, 사용기간이 지난 보안정책이나 취약한 보안정책은 삭제한다.

       제12장 사이버공격 대응

 제70조(사이버공격대응팀 구성) ① 사이버공격 발생시 효과적으로 대응하기 위해서 사이버공격대응팀을 구성하여 한시적으로 운영한다.

② 사이버공격 발생시 교육원의 정보보안조직은 사이버공격대응팀으로 전환하여 운영하며, 사이버공격대응팀의 팀장은 분임정보보안담당관으로 한다.

③ 분임정보보안담당관은 사이버공격대응팀을 총괄하며 사이버공격 대응 및 보고업무를 총괄 수행한다.

④ 분임정보보안담당관은 사이버공격대응팀 및 유관기관 등의 연락처를 별지 제7호 서식의 사이버공격대응 비상연락망에 기록하고 현행화해야 한다.

⑤ 사이버공격대응팀은 연 1회 이상 모의대응훈련을 실시하고, 그 결과를 기록 관리 한다.

 제71조(사이버공격유형) 다음 각 호의 어느 하나에 해당하는 사항을 사이버공격으로 본다.

1. 비인가자의 정보시스템 접근

2. 정보자산의 유출(H/W, S/W, DATA 등)

3. 비인가자에 의한 중요 정보의 위·변조 및 삭제에 관한 사항

4. 악성 프로그램(바이러스, 백도어 등) 유포

5. 정보시스템에 대한 서비스 거부공격(DOS 공격 등) 발생

6. 네트워크 장비, 서버 및 PC 등에 대한 해킹 발생

7. 어플리케이션에 대한 비인가 접근 발생

8. 그 밖에 국가정보원의 정보보안사고 유형(별표2)에 해당하는 사항

 제72조(사이버공격 신고 및 접수) ① 원내 구성원은 사이버공격 등의 징후가 포착되거나 사이버공격이 발생한 경우, 즉시 분임정보보안담당관에게 신고해야 한다.

② 분임정보보안담당관은 상시 모니터링을 실시하며, 사이버공격 등 탐지 시 적절한 조치를 실시해야 한다.

③ 사이버공격 발생 시 신고자는 가장 빠른 방법을 통해 신고해야 하며, 분임정보보안담당관은 별지 제8호 서식의 사이버공격 발생보고서에 기록하여 문서상으로 보관 관리해야 한다.

 제73조(사이버공격의 보고) ① 분임정보보안담당관은 접수된 신고 사항에 대해 기록하고, 시정 조치가 종료될 때까지 모든 기록을 유지, 관리하며 조치된 내역에 대해 별지 제9호 서식의 사이버공격 처리결과서를 작성하여 정보보안담당관에게 보고해야 한다.

② 정보보안담당관은 사고내역 및 조치내역을 확인하고 원장에게 보고한다.

③ 정보보안담당관은 홈페이지 변조, 사이버공격으로 인한 전산망 마비 또는 중요 정보자료, 개인정보 유출 등 중대사고 발생 시에는 그 사실을 관계기관(고용노동부, 국정원 등)에 보고한다.

 제74조(사이버공격 대응 및 조치) ① 분임정보보안담당관은 정보통신망에 대하여 해킹, 웜·바이러스 유포 등 사이버공격 인지 시 피해실태를 파악하고 관련 로그자료 보존 및 필요시 해킹된 정보시스템과 전산망 분리, 공격IP 및 포트의 차단 등 초동 조치를 취한다.

② 홈페이지 변조, 전산망 마비 또는 중요 정보자료, 개인정보 유출 등 중대사고 발생 시에는 초동조치 후 즉시 관계기관(고용노동부, 국정원 등), 외부전문업체 등에 통보하여 지원을 받을 수 있다. 이 경우 해당 피해시스템은 사고원인 규명 시까지 증거보전을 의무화하고 임의 자료삭제 또는 포맷을 하여서는 아니 된다.

③ 분임정보보안담당관은 응급조치 후 정보보안 사이버공격의 원인분석 및 증거확보를 위하여 해당 사이버공격 관련 로그 및 제반 증거 자료를 수집·확보 한다.

 제75조(사이버공격 복구 및 재발방지) ① 분임정보보안담당관은 전자적 사이버공격으로 인하여 소관 정보통신기반시설이 파괴되거나 기능이 제대로 수행되지 아니하는 때에는 해당 시설이 정상적으로 가동될 수 있도록 필요한 복구조치를 신속히 취하여야 한다. 이 경우 분임정보보안담당관은 관계 행정기관, 수사기관 및 외부 정보보안 전문업체에게 복구에 필요한 지원을 요청할 수 있다.

② 분임정보보안담당관은 사이버공격에 대한 복구가 완료된 경우, 유사사고 재발방지 대책을 수립하고, 대응·복구사항에 대한 교육 및 공지를 수행한다.

③ 분임정보보안담당관은 사이버공격에 대한 복구 전까지 해당 시스템 또는 시설의 운영을 중단시킬 수 있다.

       제13장 외주용역 보안관리

 제76조(계약 시 보안관리 등) ① 정보화, 정보보안사업, 정보시스템 등을 외부 용역으로 외부업체와 계약할 경우에 계약서에 정보보안 준수 의무 및 위반할 경우에 손해배상 책임 등을 명시하여야 한다.

② 계약서에 정보보안 준수 의무 및 위반에 대한 사항을 명시하는 경우 별표3의 내용을 참조 한다.

 제77조(참여인원 보안관리) ① 사업주관부서는 모든 참여인원에 대하여 각 개인의 친필서명이 들어간 보안서약서를 징구해야 한다.

② 사업주관부서 담당자는 사업 시작 전 참여인원에 대한 보안준수 의무 등의 보안교육을 실시하고, 교육 참가에 대한 자필서명을 받는다.

③ 사업수행시 사업수행업체의 대표자(PM)를 보안담당관으로 지정·운영하며, 사업수행업체 대표자(PM)는 사업전반에 대한 인원·장비·자료·정보 등을 관리하며 보안사고 방지를 위한 자체 활동을 수행해야 한다.

 제78조 (자료에 대한 보안관리 등) ① 전산망구성도, IP현황, 개인정보, 기타 용역업체에 제공하는 자료는 별지 제10호 서식의 자료관리대장을 작성하여 인계자(교육원 사업담당자)와 인수자(용역업체 사업수행대표)가 직접 서명한 후 인계·인수해야 한다.

② 용역사업 관련자료 및 사업과정에서 생산된 모든 산출물은 교육원의 파일서버에 저장하거나 분임정보보안담당관이 지정한 PC에 저장·관리한다.

③ 용역사업 관련 자료는 인터넷 웹하드 등 인터넷 자료공유사이트 및 웹 메일 등의 외부메일함에 저장을 금지하고, 전자우편을 이용해 자료전송이 필요한 경우에는 교육원 전자우편을 이용 하여, 첨부자료를 암호화(비밀번호) 후 수·발신 한다.

④ 교육원과 관련된 자료를 출력물로 제공한 경우에는 시건장치가 된 보관함에 보관하여야 한다.

⑤ 사업수행업체는 사업수행으로 생산되는 산출물 및 기록은 교육원의 해당사업 주관부서장 또는 정보보안담당관이 인가하지 않은 비인가자에게 제공·대여·열람을 금지한다.

 제79조(장비·사무실에 대한 보안관리) ① 사업수행업체의 노트북, PC는 반입시 마다 최신의 바이러스 백신프로그램 설치와 바이러스 감염여부를 점검·확인해야 한다.

② 반입된 노트북 PC는 사업 종료 시까지 반출을 금지한다. 다만 부득이하게 외부반출이 필요한 경우에는 최소한의 장비만 반출승인하고 자료유출에 대비한 보안조치(부팅·로그인 패스워드 설정, 자료 암호화 등)를 실시한 후 반출한다.

③ USB 등의 보조기억매체 사용을 금지한다. 다만, 산출물작성 등 보조기억매체가 필요한 경우는 분임정보보안담당관의 승인 하에 허가된 것만 사용한다.

④ 용역사업 수행장소는 시건장치와 출입통제가 가능한 공간을 사용해야 한다.

 제80조(내·외부 정보망 접근에 대한 보안관리) ① 용역사업 수행 시 정보시스템에 대한 사용자 계정(ID)이 필요한 경우, 외부인력에게 별도의 계정을 발급하고 접근권한을 부여 후 계정발급 및 접근권한 부여 기록을 별도로 관리 한다.

② 외부인력에게 부여된 접속권한이 불필요한 경우 곧바로 권한을 해지하거나 계정을 삭제한다.

③ 프로그램 개발 용역사업 수행을 위한 작업은 사업수행업체의 자체 개발서버 또는 교육원이 제공한 개발서버에서 수행함을 원칙으로 하며, 개발이 완료된 후 실 운영시스템에 설치시는 교육원의 해당 시스템 담당자의 감독 하에 작업한다.

④ 용역업체 전산망에서 P2P, 웹 하드 등 인터넷 자료공유사이트로의 접속을 차단한다.

 제81조(사업완료시 보안관리 등) ① 사업완료 후 생산되는 최종 산출물 중 대외보안이 요구되는 자료는 대외비로 작성·관리하고 불필요한 자료는 삭제 및 세단 후 폐기한다.

② 용역업체에 제공한 제반자료, 장비, 서류와 중간·최종 산출물 등 용역과 관련된 제반자료는 전량 회수하고 업체에 복사본 등 별도 보관을 금지한다. 단, 소스코드 등 향후 유지보수를 위해 필요하다고 판단되는 경우 분임정보보안담당관의 승인 후 용역업체에게 제공할 수 있다.

③ 사업완료시 용역업체의 노트북 PC 및 사용된 보조기억장치는 자료에 대하여 Format 등 완전삭제 수행 후 반출한다.

④ 노트북·보조기억매체 등 전자적으로 기록된 자료는 복구할 수 없도록 삭제해야 한다.

⑤ 사업완료시 용역사업 관련자료 회수 및 삭제조치 후 업체에게 복사본 등 용역사업관련 자료를 보유하고 있지 않는는 대표 명의로 별지 제11호 서식의 보안확약서를 징구한다.

       제14장 보안성 검토

 제82조(보안성 검토) ① 정보화업무 담당부서의 장은 정보통신망, 서버, 홈페이지 등의 신·증설 등에 대하여 보안대책을 강구하고 적절성 확인을 위하여 관련 사업 계획 단계에서(사업 공고 전) 보안성 검토를 하여야 한다.

② 보안성 검토 대상은 다음 각 호와 같다.

1. 정보시스템 구축·개선

2. 홈페이지 개편

3. 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우

4. 업무망과 연결되는 무선 네트워크 시스템 구축

5. 스마트폰·클라우드 등 첨단 IT기술을 업무에 활용하는 시스템 구축

6. 원격근무시스템 구축

7. 업무망과 인터넷 분리 사업

8. 타 기관 정보시스템을 활용하여 업무를 처리하는 경우

9. 그 밖에 보안성 검토가 필요하다고 판단하는 정보화사업

 제83조(보안성 검토 방법) ① 보안성 검토는 서면 검토를 원칙으로 하되 분임정보보안담당관이 필요하다고 판단하는 경우에는 현장 확인을 병행 실시할 수 있다.

② 분임정보보안담당관이 필요하다고 판단하는 경우 보안심사위원회 심의를 거처 보안성 검토를 추진할 수 있다.

 제84조(제출 문서) ① 보안성 검토를 요청할 경우에는 다음 각 호의 문서를 제출하여야 한다.

1. 사업계획서(사업목적 및 추진계획 포함)

2. 기술제안요청서(RFP)

3. 자체 보안대책 강구사항

② 제1항제4호의 자체 보안대책 강구사항에는 다음 각 호를 포함하여야 한다.

1. 보안관리 수행체계(조직, 인원) 등 관리적 보안대책

2. 정보시스템 설치장소에 대한 보안관리망 등 물리 보안대책

3. 재난복구 계획 및 상시 운용계획

 제85조(결과 조치) ① 정보화업무 담당부서의 장은 보안성 검토 결과를 준수하여 보안대책을 보완하여야 한다. 이 경우, 분임정보보안담당관이 보안성 검토 결과 신속한 시정이 필요하다고 판단하는 경우에는 필요한 조치를 요청할 수 있으며 해당 부서의 장은 특별한 사유가 없는 한 이에 따라야 한다.

② 분임정보보안담당관은 보안대책이 적절히 수립되었는지 등 이행여부 확인을 위하여 현장점검을 실시할 수 있다.

③ 보안성 검토 결과에 의한 사항이 수정되지 않았거나, 보안성 검토가 이루어지지 않은 상태로 사업이 시행된 경우에는 분임정보보안담당관은 시정 전까지 해당 사업 또는 시스템·시설의 운영을 중지시킬 수 있다.

 제86조(보안성 검증) 분임정보보안담당관은 필요하다고 판단되는 경우, 보안성 검토 요청 자료를 바탕으로 고용노동부 또는 국가정보원에 보안성 검증을 의뢰할 수 있다.


부칙  부      칙 <제9999호,  2020.12.4.>

제1조(시행일) 이 규칙은 원장 결재일부터 시행한다.

728x90
반응형

티스토리툴바