이 지침은 「정보통신기반 보호법」(이하 "법"이라 한다) 제10조에 따라 미래창조과학부장관(이하 "장관"이라 한다)이 관할하는 주요정보통신기반시설을 각종 전자적 침해행위로부터 보호하기 위하여 해당 주요정보통신기반시설 관리기관의 장(이하 "관리기관의 장"이라 한다)이 준수하여야 할 정보보호에 관한 구체적 사항을 정함을 목적으로 한다.
이 지침은 법 제8조에 따라 장관이 관할하는 주요정보통신기반시설 관리기관의 장 및 해당 시설을 관리·운용하는 업무종사자에게 적용한다.
① 관리기관의 장은 법 제5조제1항에 따라 수립한 소관 주요정보통신기반시설 보호대책(이하 "보호대책"이라 한다)을 매년 8월말까지 장관에게 제출하여야 한다.
② 보호대책에는 다음 각 호의 사항이 포함되어야 한다.
1. 소관 주요정보통신기반시설 보호의 목적 및 대상시설
2. 정보보호체계 및 관리 대책
3. 취약점 분석·평가 및 점검 대책
4. 침해사고 예방 대책
5. 침해사고 대응 및 복구 대책
6. 그 밖에 소관 주요정보통신기반시설의 보호를 위하여 필요한 사항
③ 관리기관의 장은 법 제9조에 따라 실시한 취약점 분석·평가의 결과를 반영하여 보호대책을 수립하여야 한다. 다만, 관리기관의 장은 제14조제1항에 따른 자체 점검을 실시한 경우에는 그 실시한 결과를 함께 반영할 수 있다.
① 장관은 소관 보호대책에 대한 이행점검을 실시하거나, 관리기관의 장에게 보호대책의 이행점검을 실시하도록 할 수 있다.
② 관리기관의 장은 제1항에 따라 보호대책 이행점검을 실시한 때에는 그 이행점검 결과를 장관에게 제출하여야 한다.
① 법 제6조제5항에 따른 미래창조과학부 정보보호책임관은 미래창조과학부 정보화전략국의 정보보호에 관한 사무를 담당하는 과장으로 한다.
② 정보보호책임관은 장관이 관할하는 소관분야의 모든 주요정보통신기반시설의 보호에 관한 업무를 총괄한다.
③ 정보보호책임관은 다음 각 호의 업무를 수행한다.
1. 주요정보통신기반시설의 지정 및 지정취소에 관한 업무
2. 주요정보통신기반시설 보호계획의 수립에 관한 업무
3. 주요정보통신기반시설 보호지침의 작성·수정 및 보완에 관한 업무
4. 정보보호 조직·체계의 구축·운영에 관한 업무
5. 취약점 분석·평가 및 침해사고 예방·지원 업무
6. 소요 예산 및 시설·장비 등 자산의 확보에 관한 업무
7. 그 밖에 소관분야 주요정보통신기반시설의 보호를 위하여 장관이 지시하는 사항
① 정보보호책임관은 제5조제2항에 따른 정보보호업무의 총괄 수행을 위해 「정보통신기반 보호법 시행령」(이하 "영"이라 한다) 제15조제2항에 따른 협의회를 구성·운영할 수 있다.
② 제1항에 따른 협의회의 장은 미래창조과학부 소속 공무원으로 하고, 간사는 제5조에 따른 정보보호책임관으로 하며, 한국인터넷진흥원의 팀장급 담당자, 관계 전문가 등을 위원으로 구성한다.
③ 제1항에 따른 협의회는 다음 각 호의 업무를 수행한다.
1. 주요정보통신기반시설의 지정 심의·조정
2. 법 제5조제2항에 따라 제출받은 보호대책 분석, 이행점검 및 필요한 조치사항 권고
3. 제5조제3항 각 호의 업무 수행 지원
④ 장관은 원활한 업무 수행을 위하여 필요한 경우에는 영 제12조제1호에 따른 한국인터넷진흥원장에게 제3항의 업무 중 일부를 위임할 수 있으며, 필요한 행정적·기술적 지원을 요청할 수 있다.
⑤ 한국인터넷진흥원장은 제4항에 따라 위임받은 업무를 수행하기 위하여 필요한 경우에는 실무조정반을 구성·운영할 수 있다.
① 법 제5조제4항에 따라 관리기관의 장의 지정을 받은 정보보호책임자는 관리기관의 장이 관할하는 주요정보통신기반시설의 보호에 관한 업무를 총괄한다.
② 정보보호책임자는 다음 각 호의 업무를 수행한다.
1. 소관 주요정보통신기반시설 보호대책의 수립에 관한 업무
2. 소관 주요정보통신기반시설의 설치 및 관리·운영에 대한 보호측면의 지도·감독에 관한 업무
3. 취약점 분석·평가 및 침해사고 예방에 관한 업무
4. 침해사고 대응 및 복구에 관한 업무
5. 소요 예산 및 시설·장비 등 자산의 확보에 관한 업무
6. 그 밖에 소관 주요정보통신기반시설의 보호를 위하여 관리기관의 장이 지시하는 업무
③ 관리기관의 장은 정보보호책임자를 지정한 때에는 그 사실을 장관에게 통지하여야 한다.
④ 정보보호책임자는 소관 주요정보통신기반시설과 다른 주요정보통신기반시설의 보호를 위하여 정보보호책임관과 긴밀히 협조하여야 한다.
① 관리기관의 장은 정보보호에 관한 다음 각 호의 업무를 수행하기 위하여 필요하다고 인정하는 때에는 정보보호책임자 소속 하에 별도의 전담 조직을 구성·운영할 수 있다.
1. 제14조에 따른 점검
2. 제19조 및 제20조에 따른 침해사고의 대응 및 복구
② 관리기관의 장은 관리기관에 소속되지 아니한 자로서 정보보호에 관한 전문지식이 있는 인력을 전담 조직에 참여하게 할 수 있다.
③ 관리기관의 장은 제1항에 따른 전담 조직의 구성 및 운영에 필요한 사항을 정하여야 한다.
① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자(계약직을 포함한다)로 하여금 다음 각 호의 사항을 준수하도록 하여야 한다.
1. 주요정보통신기반시설의 보호책임에 관한 사항
2. 비밀유지 및 비밀서약에 관한 사항
3. 주요정보통신기반시설 보호관련 법령 및 지침 등의 준수에 관한 사항
4. 보호관련 지침 및 보호조치 위반에 따른 징계에 관한 사항
② 관리기관의 장은 해당 시설을 관리·운용하는 업무종사자가 보직이 변경되거나 퇴사하는 경우 법 제27조에 따라 소관 주요정보통신기반시설의 관리·운용에 관하여 취득한 비밀을 외부에 유출하지 않도록 주지시켜야 한다. 이 경우 관리기관의 장은 보직이 변경되거나 퇴사하는 자에 대하여 비밀유지에 관한 서약서를 작성하도록 요구할 수 있다.
1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원
2. 법 제16조에 따른 정보공유·분석센터
3. 「정보통신산업 진흥법」 제33조에 따라 지정된 지식정보보안 컨설팅전문업체
4. 「정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조에 따른 한국전자통신연구원
5. 그 밖에 주요정보통신기반시설의 관리·운영 또는 보호 관련 업무(취약점 분석·평가에 관한 업무를 제외한다)를 영위하는 기관 또는 업체
관리기관의 장은 소관 주요정보통신기반시설의 보호를 위하여 미래창조과학부, 한국인터넷진흥원 또는 다른 관리기관과 다음 각 호의 사항에 관하여 상호 협조할 수 있다.
1. 주요정보통신기반시설의 보호와 관련된 정보의 공유
2. 침해사고 예방·대응 및 복구를 위한 상호협력 및 지원
3. 그 밖에 소관 주요정보통신기반시설의 보호를 위하여 상호협력이 필요한 사항
① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자를 대상으로 해당 시설의 보호를 위하여 필요한 교육·훈련을 매년 1회 이상 실시하여야 한다. 다만, 소관 주요정보통신기반시설의 보호를 위한 중요한 절차 및 방법 등의 변경이 있거나 신규로 직원을 채용한 때에는 지체 없이 필요한 교육·훈련을 실시하여야 한다.
② 관리기관의 장은 제1항에 따른 훈련을 실시하는 때에는 외부의 정보보호관련 전문기관에 이를 위탁하여 실시할 수 있다.
③ 관리기관의 장은 제1항에 따른 교육·훈련을 실시하기 위하여 다음 각 호의 사항을 정하여야 한다.
1. 교육·훈련의 내용 및 방법
2. 교육·훈련에 관한 기록유지 및 인사관리에 관한 사항
3. 그 밖에 교육·훈련을 위하여 필요한 사항
① 관리기관의 장은 법 제9조에 따라 소관 주요정보통신기반시설에 대한 최초 취약점 분석·평가를 실시한 때에는 1년을 주기로 실시하여야 한다.
② 관리기관의 장은 제1항에도 불구하고 소관 정보통신기반시설이 주요정보통신기반시설로 새로이 지정된 경우에는 6개월 이내에 취약점 분석·평가를 실시하여야 한다. 다만, 관리기관의 장은 취약점 분석·평가를 지정 후 6개월 이내에 시행하지 못할 특별한 사유가 있는 경우에는 장관의 승인을 받아 지정 후 9개월 이내에 실시하여야 한다.
③ 관리기관의 장은 법 제9조제4항에 따른 취약점 분석·평가에 관한 기준을 고려하여 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.
④ 관리기관의 장은 법 제9조제2항에 따른 전담반을 구성하는 때에는 정보보호책임자를 반장으로 하고, 취약점 분석·평가의 실효성 및 객관성을 확보할 수 있도록 주요정보통신기반시설 관리·운용 업무종사자와 정보보호에 관한 전문성을 가진 자로 구성하여야 한다. 이 경우 관리기관의 장은 소관 주요정보통신기반시설의 특성 및 취약점 분석·평가 기준을 고려하여 필요한 전문인력을 미리 확보하여야 한다.
⑤ 관리기관의 장은 법 제9조제3항에 따라 취약점 분석·평가를 외부에 위탁하여 실시하는 때에는 소속 전담반이 함께 참여하도록 할 수 있다.
① 관리기관의 장은 영 제17조에 따라 취약점 분석·평가가 필요하다고 판단되는 경우에는 1년이 되지 아니한 때에도 소관 주요정보통신기반시설에 대한 자체 점검을 실시할 수 있다.
② 관리기관의 장은 제1항에 따른 자체 점검을 실시하는 때에는 다음 각 호의 사항을 고려하여 실시하여야 한다.
1. 법 제9조에 따른 취약점 분석·평가의 기준, 절차 및 방법
2. 이전에 실시한 취약점 분석·평가의 결과
3. 점검 기간 및 소요예산
③ 관리기관의 장은 다음 각 호의 어느 하나에 해당하는 경우에는 수시로 점검(이하 "수시점검"이라 한다)을 실시할 수 있다.
1. 침해사고의 징후가 있는 경우
2. 시설·장비의 교체 및 보수를 한 경우
3. 침해사고에 따른 복구조치를 한 경우
4. 소관 주요정보통신기반시설의 보호에 관한 절차·방법 및 담당 인력의 변경이 있는 경우
④ 관리기관의 장은 제1항부터 제3항까지의 규정에 따른 점검을 실시한 때에는 점검 기간, 대상, 방법 및 결과 등 점검에 관한 제반사항을 기록·관리하여야 한다.
1. 이 지침에 따라 수립된 각종 보호조치, 절차 및 방법 등의 재검토 및 수정·보완
2. 시설·장비의 개축·보수 또는 설치
3. 그 밖에 분석·평가 또는 점검 결과를 반영한 보완 조치
② 관리기관의 장은 보완조치를 하는 때에는 정보화관련 예산 또는 기본사업비 예산을 활용하여 보완조치에 필요한 경비를 우선 집행하여야 한다.
③ 관리기관의 장은 보완조치가 미흡하거나 추가적으로 보완조치가 필요한 때에는 해당 보완조치에 소요되는 비용을 다음 연도 예산에 반영하여야 한다.
① 관리기관의 장은 소관 주요정보통신기반시설을 보호하기 위하여 다음 각 호의 사항을 포함하는 예방조치를 하여야 한다.
1. 관리·운영절차의 수립
2. 제한구역의 설정
3. 장비·시설의 설치·유지 및 보수
4. 기타 소관 주요정보통신기반시설의 보호에 필요한 사항
② 관리기관의 장은 소관 주요정보통신기반시설을 보호하기 위하여 정보보호시스템 및 정보보호용 컴퓨터프로그램의 설치·운용에 관하여 필요한 조치를 하여야 한다.
③ 관리기관의 장은 컴퓨터바이러스의 유입으로 인한 소관 주요정보통신기반시설의 피해를 방지하기 위하여 컴퓨터바이러스 백신프로그램의 배포·갱신 등 필요한 조치를 하여야 한다.
④ 관리기관의 장은 안전한 정보유통을 위하여「전자서명법」에 의한 전자서명 인증서를 이용할 수 있도록 관련 시스템의 구축 등 필요한 조치를 하고 소관 주요정보통신기반시설 관리·운용 업무종사자로 하여금 전자서명 인증서를 이용하도록 하여야 한다. 이 경우 관리기관의 장은 소관 주요정보통신기반시설을 이용하여 정보를 유통하는 자가 있는 경우에는 해당 이용자에게 전자서명 인증서의 이용을 권고하여야 한다.
⑤ 관리기관의 장은 소관 주요정보통신기반시설에 대한 권한 없는 자의 부당한 접근 및 이용을 방지하기 위하여 필요한 조치를 하여야 한다.
⑥ 관리기관의 장은 제1항부터 제5항까지의 규정에 따른 조치를 하는 때에는 별표 1에서 정하는 사항을 고려하여야 한다.
관리기관의 장은 소관 주요정보통신기반시설을 다른 기관 또는 업체와 정보통신망으로 연결하는 경우에는 해당 업체 또는 기관이 관리기관의 다음 각 호에 해당하는 조치, 절차 및 방법을 준수·협조하도록 필요한 약정을 체결하여야 한다.
1. 제16조에 따른 침해사고 예방을 위한 조치, 절차 및 방법
2. 제18조부터 제20조까지의 규정에 따른 침해사고 대응 및 복구를 위한 조치, 절차 및 방법
① 관리기관의 장은 소관 주요정보통신기반시설에 대한 전자적 침해사고가 발생한 경우 신속히 대응하고 관계기관에 알리기 위하여 필요한 연락체계를 구축하여야 한다.
② 관리기관의 장은 제1항에 따른 연락체계에 있어 미래창조과학부와 한국인터넷진흥원이 포함되도록 하여야 한다.
① 관리기관의 임직원과 제10조에 따른 위탁기관·업체의 위탁업무 수행에 참여하는 종사자는 전자적 침해사고의 징후가 있거나 전자적 침해사고의 발생을 인지한 때에는 이를 즉시 정보보호책임자에게 보고하여야 한다.
② 정보보호책임자는 소관 주요정보통신기반시설에 대한 중대한 전자적 침해사고의 발생·징후를 보고 받거나 인지한 때에는 이를 미래창조과학부에 즉시 보고하고 필요한 응급조치를 하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설의 교란, 마비 또는 파괴가 일어나지 아니하는 등 경미한 침해사고의 발생·징후는 보고하지 아니할 수 있다.
③ 관리기관의 장은 제1항 및 제2항에 따른 사항을 포함하여 전자적 침해사고 발생에 따른 대응절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 이 경우 별표 2에서 정하는 사항을 고려하여야 한다.
④ 관리기관의 장은 미래창조과학부가 권고하는 침해사고 대응요령에 따라 피해사실의 보고 및 긴급대응조치 등을 하여야 한다.
① 관리기관의 장은 전자적 침해사고로 인하여 소관 주요정보통신기반시설이 파괴되거나 기능이 제대로 수행되지 아니하는 때에는 해당 시설이 정상적으로 가동될 수 있도록 필요한 복구조치를 신속히 취하여야 한다. 이 경우 관리기관의 장은 미래창조과학부 또는 법 제13조에 따른 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 복구에 필요한 지원을 요청할 수 있다.
② 관리기관의 장은 제1항의 복구조치를 위하여 필요한 조직, 자원, 외부기관과의 협력 등을 포함하는 복구지원체계를 구축하여야 한다.
③ 관리기관의 장은 제1항 및 제2항의 내용을 포함하여 전자적 침해사고가 발생한 시설에 대한 복구절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 이 경우 별표 2에서 정하는 사항을 고려하여야 한다.
② 관리기관의 장은 대응·복구 훈련을 실시한 결과 필요하다고 인정하는 때에는 해당되는 대응·복구 절차 및 방법을 수정·보완하여야 한다.
① 관리기관의 장은 매월 15일을 해킹·바이러스 예방의 날로 운영한다.
② 관리기관의 장은 해킹·바이러스 예방의 날에 다음 각 호에 해당하는 업무를 수행한다.
2. 컴퓨터 바이러스 점검 등 필요한 점검의 실시
「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 훈령 발령 후 법령이나 현실여건의 변화 등을 검토하여 이 훈령의 폐지, 개정 등 조치를 하여야 하는 기한은 2016년 10월 28일까지로 한다.
부칙
이 지침은 발령한 날부터 시행한다.
이 훈령은 2009년 11월 2일부터 시행한다.
이 훈령은 2012년 11월 1일부터 시행한다.
이 훈령은 2013년 10월 29일부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기