이 지침은 국가정보화기본법·정보통신기반보호법·국가정보보안기본지침·개인정보보호법·미래창조과학부 정보보안 기본지침·미래창조과학부 개인정보 보호지침 등에 의하여 실무에 필요한 사항을 정하여 중앙전파관리소 정보자원의 체계적 관리 및 정보화·정보보호 업무의 효율적인 수행을 목적으로 한다.
이 지침은 중앙전파관리소(이하 "본소”라 한다), 위성전파감시센터 및 지방전파관리소(이하 "지소”라 한다)의 정보자원의 체계적 관리 및 효율적인 정보화·정보보호업무의 수행을 위해 모든 정보시스템에 적용한다. 단, 정보보호관리체계(ISMS)의 적용범위는 전파감시고도화 정보시스템으로 한다.
① 이 지침에서 사용되는 용어의 정의는 다음 각호와 같다.
1. "정보”라 함은 자연인 또는 법인이 특정목적을 위하여 광 또는 전자적 방식으로 처리하여 부호·문자·음성·음향 및 영상 등으로 표현한 모든 종류의 자료 또는 지식을 말한다.
2. "정보화”라 함은 정보를 생산·유통 또는 활용하여 사회 각 분야의 활동을 가능하게 하거나 효율화를 도모하는 것을 말한다.
3. "정보보호”라 함은 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단(이하 "정보보호시스템”이라 한다)을 강구하는 것을 말한다.
4. "정보자원”이라 함은 정보 및 이와 관련되는 설비·기술·인력 및 자금 등 정보화에 필요한 자원을 말하며 이 지침에서는 다음과 같이 분류한다.
가. "전파감시정보자원”이라 함은 전파감시고도화망·특별전파감시망 및 위성전파감시망 등 전파감시시설로 분류되는 정보자원을 말한다.
나. "일반정보자원”이라 함은 KMS·웹서버 및 사무용 개인PC 등 전파감시시설로 분류되지 않는 정보자원을 말한다.
5. "정보시스템”이라 함은 정보자원의 일부로 모든 정보를 수집·가공·저장 등을 수행하는데 필요한 시스템으로써 H/W인 전산장비와 S/W가 상호연계된 것을 말한다.
6. "정보시스템관리자"(이하 ”시스템관리자"라 한다)라 함은 정보시스템 관리·사용자 지원 및 장애발생시 조치 등 정보시스템의 안정적 운용 등 전반적인 사항을 관리하는 자를 말한다.
7. "사무자동화기기”라 함은 일반정보자원 중 문서·우편 등을 처리하는 지식기반행정시스템·각종 워드프로세서 등을 직접 운용하는 PC(데스크탑PC, 노트북PC 등), 모니터, 프린터를 말한다.
8. "CRMO-CERT"라 함은 우리소 전산망의 침해사고 예방 및 대응을 위하여 정보보호 업무를 수행하는 조직을 말한다.
9. "CRMO-CERT요원"라 함은 우리소 전산망의 침해사고 예방 및 대응 등을 위하여 정보보호 업무 수행을 담당하는 자를 말한다.
10. "IP(Internet Protocol)주소"라 함은 정보통신망으로 서버와 클라이언트간 연결을 가능하게 하기 위하여 부여되는 체계를 말한다.
11. "보조기억매체”라 함은 디스켓·CD·외장형 하드디스크·USB 메모리 등 정보를 저장할 수 있는 것으로 정보통신망과 분리할 수 있는 기억장치를 말한다.
12. "완전포맷”이라 함은 저장매체 전체의 자료저장 위치에 새로운 자료(0 또는 1)를 중복하여 저장하는 것을 말한다.
13. "사이버공격”이라 함은 해킹·컴퓨터바이러스·논리폭탄·메일폭탄·서비스방해 등 전자적 수단에 의하여 정보통신망을 불법 침입·교란·마비·파괴하거나 정보를 절취·훼손하는 일체의 공격행위를 말한다.
14. "인터넷PC”라 함은 업무·인터넷망이 분리된 기관에서 인터넷망 접속을 위해 사용하는 PC를 말한다.
15. "업무PC"라 함은 업무·인터넷망이 분리된 기관에서 내부 업무망 접속을 위해 사용하는 PC를 말한다.
16. "기밀성(Confidentiality)”이라 함은 정보가 비인가된 개인, 개체 또는 프로세스들에게 누설되거나 공개되지 않는 특성을 말한다.
17. "무결성(Integrity)”이라 함은 자료가 의도적 또는 비의도적으로 변조, 파괴되지 않는 특성을 말한다.
18. "가용성(Availability)”이라 함은 인가된 개체, 사용자가 정보시스템에 접근하여 정보를 항상 사용할 수 있게 하는 특성을 말한다.
19. "정보보호관리체계(ISMS)"라 함은 기관의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리 및 운영하기 위해 구축한 종합적인 체계를 말한다.
20. "개인정보”란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당정보만으로는 특정개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
21. "개인정보 처리”란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
22. "개인정보처리자”란 개인정보보호법 제2조제5호에 따른 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인 등을 말한다.
23. "개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 개인정보보호법 제31조에 따른 지위에 해당하는 자를 말한다.
24. "개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
25. "영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 개인정보보호법 시행령 제3조에 따른 폐쇄회로텔레비전(CCTV) 및 네트워크카메라를 말한다.
26. "개인영상정보”라 함은 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
27. "영상정보처리기기 운영자”라 함은 개인정보 보호법 제25조제1항 각호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.
② 이 지침에서 사용하는 용어의 정의는 제1항에서 정하는 것을 제외하고는 국가정보화기본법 및 정보통신기반보호법 등 관련 법령에서 정하는 바에 의한다.
본소 및 지소에 대한 일반정보자원의 효율적 운영과 관리에 관한 사항은 전파계획과장이 담당하고, 전파감시정보자원은 해당 부서별로 관리한다.
본소의 각 과(팀)는 수석계장, 위성전파감시센터는 지원과장, 지소는 운영지원과장(서울지소는 운영지원과 서무팀장)을 정보시스템관리자로 지정·운용한다.
시스템관리자는 다음 각 호의 임무를 수행한다.
1. 정보자원의 운용·현황 관리
2. 통신회선의 수급 운용·관리 및 데이터 백업 수행·관리
3. 업무용 시스템프로그램·IP주소·사용자 등록 및 삭제 등 현황관리
① 본소 각 과(팀) 및 지소는 당해 연도에 추진할 정보화 사업계획은 1월 말까지, 수시로 변경·추가 되는 정보화 사업은 사업시행 최소 30일 전까지 전파계획과장에게 제출해야 한다.
② 전파계획과장은 제1항에 의해 제출된 정보화 사업계획을 종합적으로 심의·조정·관리하고, 필요할 경우 관계부서에 회의소집을 요구할 수 있다.
① 전파계획과장은 정보자원의 도입·설치 및 구축을 위한 공사에 관한 업무를 담당한다.
② 전파계획과장은 일반정보자원의 신설·증설·변경 등의 사유가 발생할 경우 다음 각 호의 사항을 심의·조정 한다.
1. 중복 및 과잉도입 여부
2. 내용연수와 업무상 중요성
3. 동종 장비의 성능 및 용량관리 결과 검토 등
③ 전파감시정보자원의 도입·구축이 필요한 사업부서의 장은 다음 각 호의 사항을 내용으로 하는 사업설명서를 작성하여 전파계획과장과 사전 협의한 후 집행부서로 요구하여야 한다.
1. 사업내용 및 예산관련 사항
2. 서버, 네트워크 신·증설이 포함된 경우 기 운용중인 다른 시스템과의 연계·연동사항
3. 정보보호를 위한 보안대책 등
④ 사업집행부서는 집행과정에서 제반환경변화로 정보자원의 변경이 필요한 경우에는 변경사유 등을 기록한 사업 변경서를 작성하여 전파계획과장에게 협의하여야 한다.
① 전파계획과장은 정보자원에 대하여 분류, 등록, 중요도 평가, 보호등급 부여 등의 정보자원 관리를 수행한다.
② 전파계획과장은 제1항의 정보자원에 대하여 위험분석을 수행한다.
③ 각 과(팀) 및 지소는 정보자원을 IT자산관리시스템에 의해 현행으로 관리해야 한다.
④ 각 정보자원에 대한 관리책임자, 실무책임자를 지정함으로써 정보자원 보호에 대한 책임성을 확보하고 정보자원에 대한 보안을 지속적으로 유지할 수 있도록 한다.
⑤ 시스템관리자는 소관 정보자원 중 주전산기 및 네트워크장비에 대한 설치현황을 (별지 제1호 서식)에 의하여 기록·관리하여야 한다.
⑥ 정보자원의 분류는 (별표1)에 따른다.
① 정보자원 중요도는 아래 항의 기밀성, 무결성, 가용성 측면에서 각 정보자원이 보안 위험에 노출되었을 경우 잠재적 손실 규모를 반영하여 측정한다.
② 기밀성, 무결성, 가용성의 등급분류 기준은 ‘정보자원 중요도 평가/등급산정기준(별표2)’에 따른다.
① 사무자동화기기의 정수 대상품목은 주요물품 정수책정기준에 따른다.
② 사무자동화기기 배정기준은 (별표3)에 따른다.
① 본소 각 과 및 지소는 S/W의 라이선스 및 관련문서를 포함한 S/W관리대장을 비치하고 전파계획과장은 종합관리대장을 비치하여야 한다.
② 본소 각 과(팀) 및 지소는 필요로 하는 S/W 소요량을 조사하여 상반기의 경우 5월말, 하반기의 경우 11월말 기준으로 익월10일까지 전파계획과장에게 보고하고 전파계획과장은 (별지 제2호 서식)에 의거 사전수요계획을 수립하여 물품수급관리계획에 반영하여야 한다.
③ 전파계획과장은 매년 1회 S/W 불법복제방지 및 정품사용에 관한 교육을 실시하고, 정품S/W 사용여부를 점검하여야 한다.
① 전파계획과장은 통신회선의 수급 관리 및 통신망별 현황 등을 작성·관리하여야 한다.
② 본소 각과 및 지소는 통신회선관리업무의 효율적인 수행을 위하여 회선의 신·증설 및 변동에 관한 사항을 다음 각 호의 기일내에 전파계획과장에게 보고하여야 한다.
1. 통신회선의 신규설치의 경우 20일전, 변경·해지 등의 경우에는 7일전
2. 통신회선의 신규·해지 및 증속 등의 계획이 있을 경우 매년 12월말
① 전파계획과장은 소내 정보자원에 대한 유지보수업무를 담당하고 아웃소싱을 위한 유지보수 계약체결을 할 경우에는 정보자원의 안정적 유지관리를 위해 서비스수준을 제시할 수 있다.
② 시스템관리자는 유지보수업체가 매월 실시하는 정기점검에 입회하고 점검사항을 확인해야 한다.
① 정보시스템 변경이 필요한 경우, 변경 요청자는 프로그램 변경사유, 변경내용, 시스템 영향, 보안 사항, 변경 후 기대효과 등을 기술하여 해당 정보시스템을 관리하는 부서의 장에게 변경을 요청한다.
② 정보시스템을 관리하는 부서의 장은 변경 요청의 타당성을 검토하여 검토 결과를 변경 요청자에게 통보하여야 한다.
① 소스 프로그램 및 데이터 라이브러리의 정보보안 침해에 따른 문제 발생을 최소화하기 위해서 엄격한 접근 통제가 이루어져야 한다. 소스 프로그램과 데이터 라이브러리의 접근 통제사항은 다음 각 호와 같다.
1. 소스 프로그램 및 데이터 라이브러리는 실 운용 시스템에 저장되어서는 안 된다. 단, 응용프로그램 개발자의 요청과 응용프로그램 관리자의 승인을 득한 후 저장할 수 있다.
2. 소스 프로그램 목록, 소스, 라이브러리는 안전한 장소에 보관해야 한다.
3. 프로그램의 변경사항 발생시 변경내역, 일시 등을 기록하여 관리하여야 한다.
4. 개발 중이거나 유지보수 중인 프로그램은 운영 중인 프로그램의 소스와는 분리하여 관리한다.
② 개발자나 유지보수 담당자가 필요에 의해 자신의 PC에 소스 프로그램을 보관하는 경우에는 제32조(PC보안관리)를 준용하여 PC보안에 유의하여 관리한다.
① 정보시스템 관리부서는 (별표4)에 따라 서버(OS) 및 DB 데이터는 일일·주간·월간 단위로, 보안 및 네트워크 환경설정 파일은 월간 단위로 백업을 실시하고 (별지3호 서식)으로 기록·관리하여야 한다.
② 자동화된 백업시스템인 경우에는 백업시스템 정상 가동 여부 및 백업 수행 결과를 매일 확인하고 (별지3호 서식)으로 기록·관리해야 한다.
① 정보시스템 관리부서는 백업 실시 후 재난 및 재해에 대비하여 (별표5)에 따라 정기적으로 백업된 매체를 내화금고 또는 캐비넷 등을 이용하여 원격지의 소산 장소(동일 건물이 아닌 별도의 독립된 장소)에 보관해야 한다.
② 백업 매체의 물리적 이동이 어려운 경우에는 온라인으로 원격지의 백업센터 또는 재해복구센터에 보관할 수 있다.
③ 백업데이터 소산 실시결과는 (별지4호 서식)으로 기록·관리하여야 한다.
① 전파계획과 정보전산계, 지소의 지원과·운영지원과는 천재지변·기타 이에 준하는 비상사태발생시를 대비하여 정보자원에 대한 긴급복구용 자재를 사전확보하고 관리하여야 한다.
② 전산장비 긴급복구용 자재는 (별표6)에서 정한 품목을 확보하여야 하고 세부관리절차는 전파관리시설 유지보수 규정에 따른다.
① 본소는 전파계획과장을 정보보호실무책임관으로 지정하고, 지소는 지원과장·운영지원과장을 각각 정보보호실무분임책임관으로 지정한다.
② 정보보호실무책임관 및 정보보호실무분임책임관은 다음 각 호의 업무를 수행한다.
1. 정보통신기반시설 보호에 관한 업무
2. 침해사고 대응 및 복구에 관한 업무
3. 기타 정보통신기반시설의 보호를 위하여 필요한 업무 등
① 정보통신기반시설의 보호를 위하여 정보통신기반시설 침해사고대응팀(이하 CRMO-CERT, 또는 "침해사고대응팀”이라 한다)을 본소 및 지소에 다음 각 호와 같이 편성·운영한다.
1. 정보보호실무책임관은 본소의 침해사고대응팀장으로서 본소 및 지소를 총괄하고, 정보보호실무분임책임관은 지소의 침해사고대응팀장을 겸임하고 침해사고대응 업무를 담당한다.
2. 전파계획과는 정보전산계 전 직원을 팀원으로 구성하고, 본소 각과(팀) 및 지소는 침해사고대응팀장이 지정한 2명(정·부)으로 팀원을 구성한다.
(단, 서울지소는 동 지침 제5조 정보시스템관리자를 침해사고대응팀원 ‘정’으로 지정)
② 침해사고대응팀 비상연락망은 현행으로 유지·관리하고 변경 시에는 전파계획과장에게 보고하여야 한다.
③ 침해사고대응팀 비상연락망 및 침해사고 발생시 행동요령(별표7)을 당직실, 전파계획과 정보전산계, 지소 지원과·운영지원과 사무실에 현행화하여 비치하여야 한다.
침해사고대응팀은 다음 각 호의 임무를 수행한다.
1. 침해사고 접수·보고 및 상황전파(별표8)
2. 침해사고 예방 및 복구를 위한 업무
3. 기타 침해사고에 관한 전반적인 사항
① 본소 각 과(팀) 및 지소의 장은 매월 셋째주 수요일을 ‘사이버보안 진단의 날’로 지정·운영하여야 한다.
② 본소 각 과(팀) 및 지소의 장은 ‘사이버보안 진단의 날’에 소관 전산망을 대상으로 악성코드 감염여부와 정보시스템의 보안 취약여부 등을 진단하고 문제점을 발굴 개선하여야 한다.
침해사고대응팀은 소관 정보통신기반시설의 정보보호를 위해 필요한 교육·훈련을 다음 각 호와 같이 실시하여야 한다.
1. 일반직원을 대상으로 매년 2회 상·하반기 실시
2. 전파계획과장은 매년 1회 CERT요원을 대상으로 정기교육 실시
① 본소 및 지소는 전파감시고도화시스템, 위성전파감시시스템, 특별전파감시시스템의 시스템·DB 및 관서 계정에 대하여 비밀번호를 대외비로 생산하여 관리하여야 한다.
② 전파계획과장은 네트워크구성도, IP할당현황, 정보시스템 보안취약점 점검결과를 대외비로 생산하여 관리하여야 한다.
본소 각 과(팀) 및 지소의 장은 정보화사업 및 보안컨설팅 수행 등 외부 용역사업에 대한 다음 각 호의 보안 관리를 해야 한다.
1. 용역 사업을 위한 제안요청서 작성 시「국가 계약법 시행령 제76조 1항 18호」사항을 명시
2. 용역사업 계약 시 보안서약서(별지 제5호 서식)를 징구하고 계약서에 용역사업 참여직원의 보안준수 사항과 위반 시 손해배상 책임 등을 명시
3. 정보통신망도·IP주소현황 등 용역업체에 해당기관의 자료를 제공할 경우 자료 인계인수대장을 작성, 보안조치 후 인수인계하고 무단 복사·외부반출을 금지
4. 용역 참여직원을 대상으로 보안교육 및 보안점검 실시
5. 용역 참여직원이 휴대용 PC등 관련 장비를 반출 또는 반입할 때마다 악성코드 감염여부와 자료 무단반출 여부를 확인
6. 용역 사업 종료 시 외부업체의 휴대용·보조기억매체 등을 통해 기관 내부자료 및 용역 결과물이 외부로 유출되지 않도록 보안조치 강구
7. 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공·대여·열람을 금지하는 등 관리를 철저히 하고, 용역업체 대표명의의 보안확약서(별지 제6호 서식)을 징구하여야 한다.
① 본소 각 과(팀) 및 지소의 장은 다음 각 호의 정보화사업을 추진할 경우 자체 보안대책을 강구하고 안정성을 확인하기 위하여 사업 계획단계에서 본소 전파계획과장의 협조를 받아 미래창조과학부 장관과 협의를 거쳐 국가정보원장에게 보안성 검토를 의뢰하여야 한다.
1. 비밀 등 중요자료의 생산, 보관, 사용, 유통 및 재분류, 이관, 파기 등 비밀 업무와 관련된 정보시스템 및 네트워크 구축
2. 국가용 보안시스템과 상용 암호모듈·정보보호시스템을 도입 운용하고자 할 경우
3. 국방·외교 등 국가안보상 중요한 정보통신망 및 정보시스템의 구축
4. 대규모 정보시스템(10억 이상 사업) 또는 다량의 개인정보(100만명 이상)를 처리하는 정보시스템 구축
5. 전력 등 국민생활과 밀접한 정보통신기반시설의 중요 제어시스템 구축
6. 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우
7. 업무망과 연결되는 무선 네트워크 시스템 구축
8. 와이브로·스마트폰 등 첨단 IT기술을 업무에 활용하는 시스템 구축
9. 원격근무시스템 구축
10. 업무망과 인터넷 분리 사업
11. 그 밖에 보안성 검토가 필요하다고 판단되는 정보화사업
② 그 밖에 명시되지 않은 사항은 「국가정보보안 기본 지침」에 따른다.
① 본소는 각 과(팀)장, 지소는 지원과장·운영지원과장을 "보조기억매체 관리책임자”(이하 ‘관리책임자’라 한다)로 지정하고, 보조기억매체 관리상의 임무를 수행한다.
② 관리책임자는 보조기억매체의 등록, 파기, 재사용, 반출·입, 불용처리, 현황관리 등의 업무를 수행하기 위하여 보조기억매체 실무책임자를 지정하여 운영할 수 있다.
③ 관리책임자는 보조기억매체 사용자로부터 반출 신청을 받은 때에는 보조기억매체의 저장된 내용을 반드시 확인한 후, 반출 승인을 하여야 하며 그 내역을 기록(별지 제7-1호 서식)하여 관리하여야 한다.
④ 그 밖에 명시되지 않은 사항은 국정원「국가 정보보안 기본지침」에 따른다.
정보시스템을 폐기·양여·교체·반납하거나 외부수리를 위하여 외부로 반출할 경우 저장매체에 저장된 자료의 보안조치책임은 당해 기관의 장이 된다.
① 정보시스템 저장매체·자료별 삭제 방법은 (별표 9)에 따른다.
② 정보시스템의 사용자가 변경된 경우, 비밀처리에 사용한 정보시스템은 완전포맷 3회 이상, 그 외의 정보시스템은 완전포맷 1회 이상으로 저장자료를 삭제하여야 한다.
① 불용처리를 위해 정보시스템을 외부로 반출할 경우 저장된 자료의 완전삭제 결과를 정보보호실무책임관에게 통보하고 정보보호실무책임관 또는 정보보호실무분임책임관은 그 현황을 기록 유지하여야 한다.
② 저장매체의 고장수리·저장자료 복구 등을 외부에 의뢰할 경우, 의뢰부서의 장은 저장매체에 저장된 자료의 유출 방지를 위해 수리 또는 복구 참여자에 대해 보안서약서 집행·교육 등 필요한 보안조치를 하여야 한다.
③ 정보시스템을 불용 처리할 경우 당해 시스템의 사용기관, 부서, 사용자 등을 인식할 수 있는 표시를 모두 제거하여야 한다.
① 본소 각 과(팀) 및 지소의 장은 단말기를 포함한 PC 등을 사용하고자 할 경우에는 사용자 및 관리책임자를 지정하여야 한다.
② 본소 각 과(팀) 및 지소의 장은 비인가자가 PC를 무단으로 조작하여 전산자료를 유출하거나, 위·변조 및 훼손시키지 못하도록 다음 각 호에 따른 보호대책을 강구하여야 한다.
1. 장비별·자료별·사용자별 비밀번호 사용
2. 백신 및 PC용 침입차단시스템 등 운용
3. P2P 등 업무와 무관하거나 보안에 취약한 프로그램의 사용 금지
③ 본소 각 과(팀) 및 지소의 장은 PC등을 교체·반납·폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치를 하여야 한다.
④ PC에 적용되는 사용자계정(ID) 및 비밀번호의 취급관리는 미래창조과학부 정보보안 기본지침 제17조(사용자계정 관리)와 제18조(비밀번호 관리)의 규정을 준용한다.
⑤ 사용자는 사용자PC 보안관리를 위한 다음 각 호의 사항을 준수하여야 한다.
1. 통합 PC 관리 솔루션 클라이언트 프로그램 설치
2. 내부정보유출방지(보안 USB)솔루션 클라이언트 프로그램 설치
3. 컴퓨터 바이러스 백신 프로그램 설치
4. 기타 정보보안담당관의 요청에 따라 필요한 보안 솔루션 설치
5. PC부팅 및 윈도우 패스워드 설정
6. 컴퓨터명은 사용자 실명으로 설정하고 작업그룹명은 과(팀)명으로 설정
7. 최대 10분을 초과하지 않도록 화면보호기 설정
8. IP주소 임의변경 금지
5. PC에 대한 최신 보안업데이트, 바이러스 치료 프로그램 등 보안프로그램 설치 및 주기적인 바이러스검사 실시
⑥ 모든 PC에는 정품 S/W만이 설치되어야 하며, 불법 S/W 사용에 대한 책임은 사용자가 진다.
① PC사용자는 PC가 바이러스에 감염되었거나 감염이 의심되는 경우, 즉시 네트워크 접속을 차단하고 바이러스 치료프로그램으로 PC를 점검하여야 한다.
② PC사용자는 바이러스 감염 시 본소 전파계획과장에게 바이러스 감염사실을 신속하게 통보하고 필요한 조치를 받아야 한다.
방문자가 소지한 PC는 본소 각 과(팀) 및 지소의 업무망 접속을 원칙적으로 금지한다. 단, 사전에 정보보호실무책임관(이하 분임책임관 포함) 승인을 받은 사용자의 경우 인터넷망에 한하여 접속을 허용할 수 있다.
① 업무망 및 인터넷망 접속이 가능한 업무PC 및 인터넷PC는 외부로의 반출을 금지한다. 단, 외부 업무를 목적으로 사용하는 노트북PC 등 휴대용 컴퓨터를 반출하고자 할 경우에는 부서장의 사전결재를 얻어야 하며, 부서장 부재시는 대리책임자를 지정할 수 있다.
②노트북PC 등 휴대용 컴퓨터를 반출·입할 때에는 그 내역을 (별지 제7-2호 서식)으로 기록 관리하여야 한다.
③반출한 노트북PC를 반입할 때에는 다음 각 호의 사항을 준수하여야 한다.
1. 악성코드 감염여부 및 유해자료 반입여부 점검
2. 노트북PC에 저장한 업무자료를 백업한 후 삭제 조치
① 정보보호관리체계(이하 ‘ISMS'라 한다)의 운영범위는 전파감시고도화 정보시스템으로 한다.
① 정보보호실무책임관은 ISMS의 지속적인 효과성을 보장하기 위하여 연 1회 ISMS 운영에 대한 검토를 실시한다.
② ISMS 운영 검토 사항은 다음 각 호와 같다.
1. 정보보호 업무계획 및 실적
2. ISMS 내부심사 결과
3. 정보보호시스템 도입에 관한 사항
4. 위험평가 및 조치에 관한 사항
5. 관련 기관과의 협의사항
6. 과년도 운영 검토시 조치사항에 관한 사항 등
ISMS 수립 및 이행에 관련된 문서는 ISMS 범위와 규모, 기능 등을 고려하여 문서화하며, 범위 내의 모든 직원 및 관련자들이 쉽게 이용할 수 있게 해야 한다.
① 정보보호실무책임자는 ISMS에 대한 내부심사 계획을 수립하여 실시한다.
② 내부심사 수행시 다음 각 호의 사항을 확인한다.
1. 정보보호정책의 업무 요구사항 부합 여부
2. 적절한 위험평가 방법 적용 여부
3. 잔여위험의 적절한 평가 및 수용가능 여부
4. 기술적 통제장치의 적절한 운영 여부
5. 이전 내부심사 수행시 지적사항에 대한 적용계획의 이행 여부
③ 정보보호실무책임자는 내부심사 결과 발견된 취약점 및 부적합 사항에 대해 관련 부서에 조치를 취하도록 권고하며, 이의 이행을 모니터링 한다.
내부심사의 범위는 아래와 같으며, "ISMS 내부심사 점검항목”(별표 10호) 중 심사의 필요성이 부합하는 항목을 선별하여 심사 항목으로 정할 수 있다.
1. 관리적 보안관리
2. 물리적 보안관리
3. 서버시스템 보안관리
4. 네트워크 보안관리
5. 보안시스템 보안관리
6. 응용프로그램 보안관리
7. PC 보안관리
① 개인정보를 보호하기 위하여 본소는 전파계획과장을, 위성센터는 센터장을, 서울지소는 운영지원과장을, 그 외 지소는 해당 관서장을 개인정보 보호책임자로 지정한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보보호 종합계획(내부관리계획)의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해구제
4. 개인정보 파일의 보호 및 파기에 대한 관리·감독
5. 그 밖에 개인정보의 보호를 위하여 필요한 업무
① 개인정보의 처리에 관한 실무업무를 수행하기 위하여 본소는 정보전산계장을, 지소는 지원과장·운영지원과장을 개인정보 실무책임자로 지정한다.
② 개인정보 실무책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보침해 대응 및 조치
2. 개인정보 처리 실태 점검 및 개선 조치
3. 개인정보 처리와 관련한 불만의 접수 및 처리
4. 각종 개인정보보호 관련 통계 및 자료의 취합
5. 개인정보 보호 교육 계획 수립 및 시행
6. 개인정보 보호책임자가 위임한 개인정보보호와 관련된 업무
7. 그 밖에 개인정보의 보호를 위하여 필요한 실무업무
③ 개인정보 보호책임자는 개인정보를 취급하는 담당자를 개인정보 취급자로 지정하고 책임과 권한을 부여한다.
④ 개인정보 취급자는 다음 각 호의 업무를 수행한다.
1. 취급하는 개인정보(파일 포함)에 대한 보호관리
2. 개인정보의 열람, 정정, 삭제시 보호관리
3. 개인정보를 처리하는 PC에 대한 보안관리
① 개인정보 보호책임자는 매년 초 당해연도 개인정보보호 교육계획을 수립하여 시행한다.
② 개인정보보호 교육은 개인정보 보호책임자 또는 개인정보 실무책임자가 자체적으로 실시하거나 해당 분야의 전문가를 초빙하여 실시할 수 있다.
① 개인정보보호책임자는 개인정보를 처리함에 있어 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 조치를 강구하여야 한다.
② 개인정보 파일은 암호화(DRM 등)하여 관리하고, 개인정보 관리를 위하여 개인정보 파일대장을 작성하여 매 반기 말까지 본소 전파계획과장에게 보고한다.
③ 홈페이지에 공시송달 등을 게시할 때 불필요한 개인 정보가 포함되지 않도록 하고, 공지 기간에만 게시되도록 조치하여야 한다.
④ 그 밖에 개인정보보호에 관하여 이 지침에서 명시되지 않은 세부사항은「개인정보보호법」 및 상급기관의 지침에 따른다.
② 개인영상정보처리기기 관리책임자는 다음 각 호의 업무를 수행한다.
1. 개인영상정보 보호 계획의 수립 및 시행
2. 개인영상정보 처리 실태 정기조사 및 개선 권고
3. 개인영상정보 파일의 보호 및 파기에 대한 관리·감독
4. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
③ 개인영상정보처리기기 실무책임자는 다음 각 호의 업무를 수행한다.
1. 개인영상정보침해 대응 및 조치
2. 개인영상정보 처리실태 자체점검 및 개선 조치
3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
4. 각종 개인영상정보 관련 통계 및 자료의 취합
6. 개인정보 보호책임자가 위임한 개인영상정보와 관련된 업무
7. 그 밖에 개인영상정보의 보호를 위하여 필요한 실무업무
영상정보처리기기 운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 개인정보보호법 제29조 및 동법 시행령 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
4. 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
개인영상정보처리기기 실무책임자는 개인영상정보처리기기의 설치·운영에 대한 자체점검을 실시하여 소속 개인영상정보처리기기 관리책임자의 승인을 받은 후, 다음 해 1월 말일까지 그 결과를 본소 개인영상정보처리기기 관리책임자에게 통보하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.
1. 영상정보처리기기의 운영·관리 방침에 열거된 사항
2. 실무책임자의 업무 수행 현황
3. 영상정보처리기기의 설치 및 운영 현황
4. 개인영상정보 수집 및 이용·제공·파기 현황
5. 위탁 및 수탁자에 대한 관리·감독 현황
6. 정보주체의 권리행사에 대한 조치 현황
7. 기술적·관리적·물리적 조치 현황
8. 영상정보처리기 설치·운영의 필요성 지속 여부 등
① 본소 각 과(팀) 및 지소의 장은 정보통신망에 대하여 해킹, 웜·바이러스 유포 등 사이버공격 인지 시 피해실태를 파악하고 관련 로그자료 보존 및 필요시 전산망 분리 등 초동조치를 하여야 한다.
② 본소 각 과(팀) 및 지소의 장은 전산망 마비 또는 자료 유출 등 중대사고 발생 시에는 제1항의 초동조치 후 즉시 본소 침해사고대응팀장에게 보고하고 필요한 지원을 받아야 한다.
③ 제2항과 관련하여 피해시스템은 사고원인 규명 시까지 증거를 보전하고 임의 자료삭제 또는 포맷을 하여서는 아니 된다.
① 지소의 장은 소관분야의 사이버공격 대응절차를 마련하고 이행실태를 지속적으로 확인 점검하여야 한다.
② 지소의 장은 경보 발령 시 소관분야 직원을 대상으로 관련사항을 전파하고 대응조치를 이행하며 진행상황을 예의주시하는 등 대응절차에 따라 신속하게 대처하여야 한다.
③ 지소의 장은 제2항에 따른 경보 단계별 조치사항을 본소장에게 보고하여야 한다.
④ 그 밖에 명시되지 않은 사항은 「국가 사이버 안전관리규정」과 「국가 사이버안전 매뉴얼」에 따른다.
① 전산실은 통제구역으로 지정하여 전산실관리부서의 장(이하 "관리부서의 장"이라 한다)이 관리하며 인가받지 아니한 자의 출입을 통제 한다.
② 출입자 통제를 위해 적절한 개폐장치를 설치하거나 출입자를 식별할 수 있는 장치를 설치해야 한다.
③ 전산실 출입문 중앙 또는 잘 보이는 곳에 통제구역표지(별표 11)를 부착한다. 다만, 보안상 불이익하다고 인정되는 경우에는 출입문 안쪽에 부착할 수 있다.
④ 전산실에는「통제구역 출입관리대장(별지 제8호 서식)」을 비치하여 관리하여야 한다.
① 전산실의 시스템 보호 및 보안사고 예방을 위하여 모든 출입자는 사전출입 인가를 받아야 한다.
② 전산시스템 운영자(이하 운영자) 및 허가된 유지보수 업체담당자 외에는 출입을 금하며, 전산실 관리부서의 장은 보안담당, 시스템관리자 등 업무상 필요하다고 인정하는 자를 상시출입인가자로 지정하여야 한다.
③ 비인가자 및 외부인의 출입은 엄격히 제한하고 부득이하게 출입하는 경우에는 통제구역출입관리대장에 등재하고 관리부서의 장에게 사전 또는 사후 승인을 받아야 한다.
④ 통제구역 내부로 인가되지 않은 물질·물체의 반입·반출을 금한다.
⑤ 전산실에 반입되거나 전산실로부터 반출되는 모든 장비와 물품에 대하여 그 내역을 (별지 제9호·제10호·제11호·제12호 서식)으로 기록 관리하여야 한다.
① 운용자 또는 시스템관리자는 다음 각 호의 사항을 준수하여야 한다.
1. 전산기기 부품 해체시 반드시 사전승인을 받은 후 시행
2. 자성물질, 고전자파기기를 전산기기 및 자기 테이프 등에 접촉하지 않도록 함.
3. 전원시설 및 소방시설의 예방점검
4. 흡연이나 전열기구 등 사용금지
② 전산기기 가동 시 다음 각 호의 사항을 점검하여야 한다.
1. 전산실 온·습도 정상여부 확인
2. 전원 상태 확인
3. 전산기기의 각 장치별 준비상태 확인
③ 전산기기의 전원 작동순서는 공급업체의 권고안을 준수하여야 하며 각 장비별『ON/OFF 절차서』를 비치하여 운용하여야 한다.
④ 운용부서에서는 매월 정기적으로 전산기기에 대한 예방점검을 실시하고 그 결과를 기록·관리한다.
① 전산기기의 심각한 장애 및 각종 재해에 해당하는 비상사태 발생시 관리부서의 장에게 보고하고 정해진 절차에 따라 대책이 이행될 수 있도록 조치한다.
② 유지보수담당자는 장애처리 후 장애관리 보고서(별지 제13호 서식)를 작성하여 관리부서의 장에게 보고하여야 한다.
① 전산실에는 필요시 다른 직원이 응급조치를 할 수 있도록 다음 각 호의 내용이 포함된 서류를 비치하여야 한다.
1. 서버 ON/OFF 절차(데이터베이스 엔진 ON/OFF 포함)
2. 업무수행에 필요한 프로세스 수행절차
3. 시스템관리자 및 유지보수업체 연락체계
4. 장애사항에 대한 처리(응급조치 사항을 포함)
5. 화재에 대비한 소화기 사용방법 및 위치표시도
6. 시스템의 H/W 및 S/W의 설치 및 이력관리 현황(시스템이력관리현황, 설치된 프로그램 목록(버전) 디렉토리, 환경설정 등)
② 시스템관리자는 시스템관리자 변동 시 업무를 수행할 수 있도록 시스템의 전반적인 운용방법을 자세히 기술하여 비치하여야 한다.
① 전파계획과장은 정보화업무의 효율적 수행 및 정보자원의 체계적 관리를 위한 문제점 및 개선사항 등을 도출하기 위하여 지소에 대하여 지도방문을 실시한다.
② 제1항의 규정에 의한 지도방문시 정보화·정보보호 관련지침의 전반적인 이행실태 및 "사이버보안 진단의 날” 훈련실태를 점검한다.
전산시스템 관리를 위하여 이 지침에 정하지 않은 사항은 소장이 따로 정하여 시행할 수 있다.
이 지침에 명시되지 않은 사항은 다음 각 호의 규정 및 지침에 따른다.
1. 『국가 사이버안전 관리규정』
2. 『국가 정보보안 기본지침』
3. 『보안업무규정』
4. 『미래창조과학부 보안업무시행세칙』
5. 『미래창조과학부 정보보안 기본지침』
6. 『미래창조과학부 개인정보 보호지침』
7. 『미래창조과학사이버안전센터 운영규정』
8. 『USB메모리 등 휴대용저장매체 보안관리 지침』
9. 그 밖에 정보보안 관계 법령 및 지침·가이드·매뉴얼
부칙
별표 서식 정보
댓글 없음:
댓글 쓰기