이 지침은 「정보통신기반 보호법」 제10조에 따라 교육부 장관이 관할하는 주요정보통신기반시설을 각종 전자적 침해행위로부터 보호하기 위하여 해당 주요정보통신기반시설 관리기관의 장이 준수하여야 할 구체적 사항에 대해 정함을 목적으로 한다.
① 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "주요정보통신기반시설 보호대책"(이하 "보호대책"이라 한다)이라 함은 법 제5조제1항에서 규정에 의하여 각 관리기관의 주요정보통신기반시설을 안전하게 보호하기 위한 관리적·물리적·기술적 대책을 포함한 관리기관별 보호대책을 말한다.
2. "주요정보통신기반시설 보호계획"(이하 "보호계획"이라 한다)이라 함은 법 제5조제2항의 규정에 의하여 관리기관으로부터 제출받은 보호대책을 종합·조정한 교육부 소관 주요정보통신기반시설에 관한 보호계획을 말한다.
② 이 지침에서 사용하는 용어의 정의는 제1항에서 정한 것을 제외하고는 정보통신기반보호법에서 정하는 바에 따른다.
이 지침은 「정보통신기반 보호법(이하 "법"이라 한다)」 제8조에 따라 교육부 장관이 지정 고시한 주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)과 해당 주요정보통신기반시설을 관리·운용하는 업무종사자에 적용한다.
① 법 제6조제5항에 따른 교육부 정보보호책임관은 교육부 주요정보통신기반시설 보호업무를 담당하는 과장으로 한다.
② 정보보호책임관은 교육부 장관이 관할하는 소관분야 및 시·도교육청의 모든 주요정보통신기반시설의 보호에 관한 업무를 총괄한다.
③ 정보보호책임관은 다음 각 호에서 규정하는 보호업무를 수행한다.
1. 주요정보통신기반시설 보호지침의 제정·수정 및 보완에 관한 업무
2. 주요정보통신기반시설의 지정 및 지정 취소에 관한 업무
3. 보호계획의 수립·시행에 관한 업무
4. 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치
5. 피해복구 지원 및 피해확산 방지에 필요한 조치
6. 기타 다른 법령에 규정된 주요정보통신기반시설의 보호업무에 관한 사항
7. 그 밖에 소관분야 주요정보통신기반시설의 보호를 위하여 장관이 지시하는 사항
교육부장관은 한국교육학술정보원을 주요정보통신기반시설 보호 지원기관으로 지정하여 운영할 수 있다.
① 관리기관의 장은 「정보통신기반보호법 시행령(이하 "시행령"이라 한다)」 제9조제1항에 따라 소관 주요정보통신기반시설 보호에 관한 업무를 담당하는 4급·4급상당 공무원, 임원급 관리·운영자를 정보보호책임자로 지정하여야 한다. 다만, 소속기관의 경우 주요정보통신기반시설 업무를 담당하는 부서의 장 또는 정보보안에 관한 소양이 있는사람으로 지정할 수 있다.
② 정보보호책임자는 다음 각 호의 업무를 수행한다.
1. 보호대책의 수립·시행
2. 주요정보통신기반시설 보호업무에 대한 기술적 지원의 요청
3. 취약점 분석·평가
4. 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행
5. 침해사고의 통지
6. 주요정보통신기반시설의 복구 및 보호에 필요한 조치
7. 그 밖에 소관 주요정보통신기반시설의 보호를 위하여 관리기관의 장이 지시하는 업무
③ 관리기관의 장은 정보보호책임자를 지정하거나 변동사항이 발생한 경우에는 15일 이내에 교육부 장관에게 통지하여야 한다.
① 교육부 장관은 주요정보통신기반시설 보호와 관련된 다음 사항을 협의하기 위해 정보보호실무협의회(이하"협의회"라 한다)를 구성·운영할 수 있다.
1. 보호계획 및 보호대책 검토
2. 주요정보통신기반시설의 지정 및 취소, 지정 범위 조정
3. 주요정보통신기반시설 보호 관련 제도 개선
4. 보호대책 이행점검 결과에 따른 후속조치 및 이행률 제고방안
5. 주요정보통신기반시설 점검에 따른 미흡사항 조치방안
6. 주요정보통신기반시설 사이버침해사고 예방 및 대응조치
7. 그 외 주요정보통신기반시설 보호와 관련하여 협의가 필요한 사항 등
② 제1항에 따른 협의회의 의장은 교육부의 실·국장급 공무원으로 하고, 간사는 보호지원기관의 주요정보통신기반시설 보호 업무를 담당하는 부서의 장으로 하며, 위원은 정보보호책임관 및 관리기관의 정보보호책임자로 한다.
③ 협의회는 매년 상·하반기 등 년 2회 정기적으로 개최하며, 필요시 수시로 개최할 수 있다.
관리기관의 장은 제6조제2항에 따른 주요정보통신기반시설 보호 업무를 수행하기 위하여 정보보호책임자 소속 하에 별도의 전담 조직을 구성·운영할 수 있다.
① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자로 하여금 다음 각 호의 사항을 준수하도록 하여야 한다.
1. 주요정보통신기반시설의 보호책임에 관한 사항
2. 비밀유지 및 비밀서약에 관한 사항
3. 주요정보통신기반시설 보호관련 법령 및 지침 등의 준수에 관한 사항
4. 보호관련 지침 및 보호조치 위반에 따른 징계에 관한 사항
② 관리기관의 장은 해당 시설을 관리·운용하는 업무종사자가 보직이 변경되거나 퇴사하는 경우 법 제27조에 따라 소관 주요정보통신기반시설의 관리·운용에 관하여 취득한 비밀을 외부에 유출하지 않도록 주지시켜야 한다. 이 경우 관리기관의 장은 보직이 변경되거나 퇴사하는 자에 대하여 비밀유지에 관한 서약서를 작성하도록 요구할 수 있다.
관리기관의 장은 소관 주요정보통신기반시설의 관리·운용 또는 취약점 분석·평가 등 보호에 관한 업무를 전문기관 또는 업체에 위탁하는 때에는 해당 기관 또는 업체의 위탁업무 수행에 참여하는 종사자에게 법 제27조에 따른 비밀유지의무를 준수하도록 비밀유지 서약서의 작성 요구, 업무관련 기록·자료의 안전한 보존 및 폐기 등 필요한 조치를 하여야 한다.
① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자를 대상으로 해당 시설의 보호를 위하여 필요한 정보보호 교육 및 침해사고 모의훈련을 매년 1회 이상 실시하여야 한다.
② 관리기관의 장은 소관 주요정보통신기반시설의 보호를 위한 중요한 절차·방법, 담당인력 등의 변경이 있거나 침해사고가 발생 또는 관련 징후가 발견되었을 경우에는 필요한 교육·훈련을 실시하여야 한다.
③ 관리기관의 장은 제22조 및 제23조에 따른 침해사고 대응·복구에 관한 절차 및 방법을 숙지하기 위해 침해사고 모의훈련을 실시하고 필요한 경우 해당 대응·복구절차 및 방법을 수정·보완하여야 한다.
교육부 장관은 주요정보통신기반시설 및 주요정보통신기반시설과 연계된 시설의 안정성 및 신뢰성을 위하여 관리기관에 대하여 다음 각 호의 사항을 지원할 수 있다.
1. 모의 해킹을 통한 취약점 분석 및 그 조치방안에 대한 지원
2. 보호대책 수립·이행에 대한 지원
3. 사이버공격 대응·복구 지원
4. 그 밖에 주요정보통신기반시설 보호를 위하여 지원이 필요한 사항
① 관리기관의 장은 법 제9조제1항에 따른 취약점 분석·평가의 결과에 따라 소관 주요정보통신기반시설을 안전하게 보호하기 위한 관리적·물리적·기술적 대책을 포함한 보호대책을 수립·시행하여야 한다.
② 관리기관의 장은 제1항에 따라 수립한 보호대책을 매년 8월말까지 교육부 장관에게 제출하여야 한다.
③ 제1항의 보호대책에는 다음 각 호의 사항이 포함되어야 한다.
1. 소관 주요기반시설 현황 및 보호 목적
2. 전년도 보호업무 추진실적 및 차년도 추진계획
3. 보안취약점 분석·평가 결과 및 도출된 문제점에 대한 개선사항
4. 침해사고 발생 시 대응 및 복구대책
5. 전자적 침해행위 예방을 위한 관리적·물리적·기술적 보안대책 등
6. 그 밖에 주요정보통신기반시설의 보호를 위하여 필요한 사항
① 교육부 장관은 법 제6조 및 시행령 제10조제3항에 따라 정보통신기반보호위원회에서 심의·확정한 교육부 소관 보호계획을 심의일로부터 15일 이내에 소관 관리기관에 통보해야 한다.
② 관리기관의 장은 제1항에 따라 통보받은 보호계획과 제14조에 따라 수립한 보호대책을 이행하여야 한다.
① 교육부 장관은 법 제6조에 따른 보호계획을 수립하기 위해 전년도 보호대책을 제출·이행한 관리기관을 대상으로 해당 보호대책에 대한 이행점검을 실시할 수 있다.
② 교육부 장관은 직접 이행점검을 실시하거나 관리기관으로 하여금 자체적으로 이행점검을 한 후 그 결과를 교육부 장관에게 제출하도록 할 수 있다.
② 관리기관의 장은 취약점 분석·평가를 실시할 때에는 법 제9조제4항의 기준 등을 고려하여 대상, 기간, 절차, 방법 등 필요한 세부 계획을 수립·이행하여야 한다.
① 관리기관의 장은 시행령 제17조제2항에 따라 취약점 분석·평가가 필요하다고 판단되는 경우에는 1년이 되지 아니한 때에도 소관 주요정보통신기반시설에 대한 자체 점검을 실시할 수 있다.
② 관리기관의 장은 다음 각 호의 어느 하나에 해당하는 경우에는 수시로 점검(이하 "수시점검"이라 한다)을 실시할 수 있다.
1. 침해사고의 징후가 있는 경우
2. 시설·장비의 교체 및 보수를 한 경우
3. 침해사고에 따른 복구조치를 한 경우
4. 소관 주요정보통신기반시설의 보호에 관한 절차·방법 및 담당 인력의 변경이 있는 경우
③ 관리기관의 장은 제1항과 제2항에 따른 자체 점검 및 수시점검을 실시할 때에는 다음 각 호의 사항을 고려하여 실시하여야 한다.
1. 법 제9조에 따른 취약점 분석·평가 기준
2. 취약점 분석·평가의 범위 및 항목, 절차, 방법
3. 이전에 실시한 취약점 분석·평가의 결과
④ 관리기관의 장은 자체 점검 및 수시점검을 실시한 때에는 점검 기간, 대상, 방법 및 결과 등 점검에 관한 제반사항을 기록·관리하여야 한다.
1. 주요정보통신기반시설 보호를 위해 수립된 각종 보호조치, 절차 및 방법 등의 재검토 및 수정·보완
2. 시설·장비의 개축·보수 또는 설치
3. 그 밖에 취약점 분석·평가 또는 점검 결과를 반영한 보완 조치
① 관리기관의 장은 소관 주요정보통신기반시설에 대한 침해사고가 발생한 경우 신속히 대응하고 관계기관에 알리기 위해 필요한 연락체계를 구축하여야 한다.
① 관리기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란·마비 또는 파괴된 사실을 인지한 때에는 법 제13조제1항에 따라 교육부 및 교육사이버안전센터와 관계 행정기관, 수사기관에 그 사실을 통지하여야 한다.
② 제1항에 의한 침해사고의 통지에는 다음 각 호의 사항이 포함되어야 한다.
1. 침해사고발생 일시 및 시설
2 침해사고로 인한 피해내역, 조치현황
3. 기타 신속한 대응·복구를 위하여 필요한 사항
① 관리기관의 임직원 및 유지보수업체의 수탁업무 수행에 참여하는 종사자는 전자적 침해사고의 징후가 있거나 전자적 침해사고의 발생을 인지한 때에는 이를 즉시 정보보호책임자에게 보고하고 침해사고대응팀 구성 등 필요한 응급조치를 취하여야 한다.
② 정보보호책임자는 소관 주요정보통신기반시설에 대한 중대한 전자적 침해사고의 발생·징후를 보고 받거나 인지한 때에는 이를 교육부에 즉시 보고하여야 한다.
③ 관리기관의 장은 제1항 및 제2항에 따른 사항을 포함하여 전자적 침해사고 발생에 따른 대응절차 및 방법 등 침해사고 대응체계를 수립하여야 한다. 이 경우 [별표 1]에서 정하는 사항을 고려하여야 한다.
④ 교육부 장관은 관리기관의 장에게 침해사고 대응요령을 권고할 수 있으며, 관리기관의 장은 이에 따라 피해사실의 보고 및 긴급대응조치 등을 하여야 한다.
① 관리기관의 장은 소관 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취하여야 한다. 이 때, 교육부 장관 또는 보호지원기관에게 지원을 요청할 수 있다.
② 관리기관의 장은 제1항의 복구조치를 위하여 필요한 조직, 자원, 외부기관과의 협력 등을 포함하는 복구지원체계를 구축하여야 한다.
③ 관리기관의 장은 제1항 및 제2항의 내용을 포함하여 전자적 침해사고가 발생한 시설에 대한 복구절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 이 경우 [별표 2]에서 정하는 사항을 고려하여야 한다.
관리기관의 장은 소관 주요정보통신기반시설을 보호하기 위하여 침해사고 예방대책을 수립·시행하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 시스템·네트워크 관리 및 보호에 관한 대책
2. 정보보호시스템 설치·운용에 관한 대책
3. 전산자료에 대한 백업조치 등
4. 악성코드 방지 대책
5. 접근통제에 관한 대책
6. 그 밖에 소관 주요정보통신기반시설의 침해사고 예방을 위해 필요한 사항
① 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 타 정보통신망과 분리·운영, 인터넷 연결이 차단된 관리자PC를 통한 시스템 관리기능 접속, 비인가 단말기 접속차단 등의 기술적 통제수단을 강구하여야 한다.
② 관리기관의 장은 소관 주요정보통신기반시설 관련 서버, 단말기, 네트워크 장비 등에 불필요한 서비스·사용자 계정 등은 제거하고 유지보수를 위한 외부업체의 원격관리를 금지하여야 한다. 다만, 부득이한 경우에는 정보보호책임자와 협의하여 자체 보안대책을 마련한 후 한시적으로 허용할 수 있다.
③ 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 시스템별 사용자접근, 사용내역 등의 로그 자료를 6개월 이상 보관하는 등 기록 유지하여야 한다.
관리기관의 장은 주요정보통신기반시설 관련 정보화사업 및 보안컨설팅 수행 등 외부 용역사업 계약 시 보안서약서를 징구하고 다음 각 호의 사항을 계약서에 명시하여야 한다.
1. 중요 정보 취급에 대한 비밀 유지 서약
2. 외주 업체가 준수해야 할 보안준수 사항 및 위반시 손해배상 책임
3. 정보시스템 접근 권한에 대한 승인 절차 준수
4. 보안관리에 대한 감사 권한 등
관리기관의 장은 주요정보통신기반시설 보호 업무를 수행함에 있어 이 지침에 명시되지 않은 사항은 다음 관련 규정 및 지침 등에 따른다.
2.「보안업무규정」
3.「국가정보보안기본지침」
5.「교육부정보보안기본지침」
6. 그 밖에 정보보호 관련 법령 및 지침·가이드·매뉴얼
「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 훈령 발령 후 법령이나 현실여건의 변화 등을 검토하여 이 훈령의 폐지, 개정 등 조치를 하여야 하는 기한은 2018년 10월 18일까지로 한다.
부칙
이 규정은 발령한 날부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기