이 지침은 「보안업무규정」, 「국가 사이버안전 관리규정」, 「국가정보보안 기본지침」 및 「방송통신위원회 보안업무 시행세칙」등에 따라 방송통신위원회 정보보호활동에 필요한 세부사항 규정을 목적으로 한다.
이 지침은 방송통신위원회와 산하 공공기관(이하 "각급기관"이라 한다)에 적용한다.
이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "정보통신망"이라 함은 전기통신기본법 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송수신하는 정보통신체제를 말한다.
2. "정보시스템"이라 함은 서버·PC 등 단말기, 보조기억매체, 네트워크 장치, 응용프로그램 등 정보의 수집·가공·저장·검색·송수신에 필요한 하드웨어 및 소프트웨어를 말한다.
3. "정보통신실"이라 함은 서버·PC 등과 스위치·교환기·라우터 등 네트워크 장치 등이 설치 운용되는 장소를 말하며, 전산실·통신실·전자문서 및 전자기록물(전자정보) 보관실 등을 말한다.
4. "전산자료"라 함은 전산장비에 의하여 전자기적인 형태로 입력·보관 되어 있는 각종 정보 및 데이터를 말하며, 그 자료가 입력되어있는 자기테이프, 디스크 등 보조기억매체를 포함한다.
5. "정보보안" 또는 "정보보호"라 함은 정보시스템 및 정보통신망을 통해 수집·가공·저장·검색·송수신되는 정보의 유출, 위·변조·훼손 등을 방지하기 위하여 관리적·물리적·기술적 수단을 강구하는 일체의 행위를 말한다.
6. "국가용 보안시스템"이라 함은 비밀 등 중요자료 보호를 위하여 국가정보원장(이하 "국정원장"이라 한다)이 개발하거나 안전성을 검증한 암호장비·보안자재·암호논리 등을 말한다.
7. "정보보호시스템"이라 함은 정보의 수집·저장·검색·송수신시 정보의 유출, 위·변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.
8. "보조기억매체"라 함은 디스켓·CD·외장형 하드디스크·USB 메모리 등 정보를 저장할 수 있는 것으로 정보통신망과 분리할 수 있는 기억장치를 말한다.
9. "저장매체"라 함은 자기저장장치·광 저장장치·반도체 저장장치 등 자료기록이 가능한 전자장치를 말한다.
10. "소자(消磁)"라 함은 저장매체에 역자기장을 이용해 매체의 자화값을 "0"으로 만들어 저장자료의 복원이 불가능하게 만드는 것을 말한다.
11. "완전포맷"이라 함은 저장매체 전체의 자료저장 위치에 새로운 자료(0 또는 1)를 중복하여 저장하는 것을 말한다.
12. "취약점 점검"이라 함은 해킹·컴퓨터바이러스, 도청 등 각종 위협요소로부터 정보통신망 및 정보시스템에 대한 정보보안 취약점을 진단하기 위한 제반활동을 말한다.
13. "보안관제센터"라 함은 정보보호시스템에서 탐지된 공격 및 침입정보를 종합·분석하여 침해사고에 대한 예방 및 대응 업무를 수행하는 센터를 말한다.
14. "사이버공격"이라 함은 해킹·컴퓨터바이러스·논리폭탄·메일폭탄·서비스방해 등 전자적 수단에 의하여 정보통신망을 불법 침입·교란·마비·파괴하거나 정보를 절취·훼손하는 일체의 공격행위를 말한다.
15. "인터넷PC"라 함은 업무·인터넷망이 분리된 기관에서 인터넷망 접속을 위해 사용하는 PC를 말한다.
16. "업무PC"라 함은 업무·인터넷망이 분리된 기관에서 내부 업무망 접속을 위해 사용하는 PC를 말한다.
17. "IP(Internet Porotocol)주소"라 함은 정보통신망으로 서버와 클라이언트간 연결을 가능하게 하기 위하여 부여되는 체계를 말한다.
18. "이용자계정(ID)"라 함은 이용자의 식별과 자료이용을 위하여 이용자가 생성한 영문자와 숫자가 조합된 고유계정을 말한다.
정보보호의 기본목표는 각종 전자적 수단에 의한 국가안보 및 국가이익 관련 정보의 기밀성·무결성·가용성을 확보하고 정보통신망을 보호하는데 있다.
① 각급기관의 장은 정보보호를 위하여 다음 각 호의 기본활동을 수행하여야 한다.
1. 정보보호 정책 및 활동 세부계획 수립·시행
2. 정보보안 감사·지도점검 실시
3. 정보통신망 보호대책 수립·시행
4. 정보보호 위규 적발 강화 및 사고조사 처리
5. 사이버위협정보 수집·분석 및 보안관제
6. 사이버공격 관련 경보 발령 시 대응활동
7. 침해사고 대응·복구
8. 정보보호수준 평가·관리
9. 정보보호 교육계획 수립·시행
10. 정보보호업무 심사분석 시행
11. 정보보호 관련규정·지침 등 제·개정
12. 그 밖에 정보보호 관련 사항
① 이 지침에 따른 정보보호 업무를 총괄하기 위하여 방송통신위원회에 정보보호책임관 제도를 운영한다.
② 방송통신위원회 기획조정실장은 정보보호책임관이 된다.
③ 각급기관의 장은 각 기관의 효율적인 정보보호 업무수행을 위하여 정보보호실무책임관을 임명 운영하여야 한다.
④ 방송통신위원회 창조기획담당관은 방송통신위원회 정보보호실무책임관이 된다.
⑤ 정보보호실무책임관의 임무는 다음과 같다.
1. 중장기 정보보호계획 수립에 관한 업무
2. 정보보호 지침 등 제·개정에 관한 업무
3. 정보보호 조직·체계의 구축·운영에 관한 업무
4. 정보통신망 신·증설시 보안대책 수립
5. 취약점 분석·평가 및 침해사고 예방지원 업무
6. 침해사고 대응 및 복구·지원 업무
7. 「국가 사이버안전 매뉴얼」운용 등 사이버안전 활동
8. 정보보호에 필요한 예산 및 시설·장비 등 자산의 확보에 관한 업무
9.그 밖에 정보보호를 위하여 방송통신위원회 위원장이 지시하는 업무
① 각급기관의 장은 해킹·바이러스 등 사이버공격의 신속한 대응 및 복구를 위하여 침해사고대응팀(이하 "침해사고대응팀"이라 한다)을 구성·운영하여야 한다.
② 방송통신위원회 정보보호실무책임관은 각급기관의 침해사고대응팀을 총괄한다.
③ 각급기관의 정보보호실무책임관은 침해사고대응팀 운영을 총괄한다.
④ 침해사고대응팀은 다음 각 호의 사항을 수행하여야 한다.
1. 침해사고 접수 및 보고
2. 침해사고 예방 및 복구를 위한 업무
3. 침해사고에 관한 정보관리
⑤ 각급기관의 정보보호실무책임관은 매월 방송통신위원회 정보보호실무책임관에게 다음 각 호의 사항을 보고하여야 한다.
1. 침해사고대응 및 복구에 관한 사항
2. 소관 정보시스템의 정보보호 운영 및 관리에 관한 사항
⑥ 그 밖에 침해사고대응팀 구성·운영에 관하여 이 지침에서 명시되지 않은 세부사항은『방송통신위원회 침해사고대응팀 운영지침』에 따른다.
삭제 < 2013.11.19.>
① 정보보호책임관은 정보시스템의 안전성과 가용성을 확보하기 위하여 각급기관 정보보호실무책임관과 내·외부 정보보호전문가로 구성된 정보보호실무협의회(이하 "실무협의회"라 한다)를 구성·운영 할 수 있다.
② 실무협의회는 다음 각 호의 업무를 수행한다.
1. 정보보호 추진계획에 대한 검토 및 조정
2. 외부 용역사업 수행계획 수립 시 기술적·관리적 정보보호에 대한 심의
3. 해킹, 서비스거부공격 등 사이버침해 사고가 발생하거나 발생가능성이 높을 경우
4. 그 밖에 정보보호책임관이 정보보호를 위해 필요하다고 인정하는 사항
① 방송통신위원회 위원장은 각급기관에 대해 연1회 이상 정보보안감사를 실시할 수 있다.
① 방송통신위원회 위원장은 각급기관의 정보보호대책 및 이행실적, 취약점 점검결과 등을 종합하여 정보보호 수준을 평가할 수 있다.
② 방송통신위원회 위원장은 정보보호 활동을 장려하기 위하여 정보보호 우수기관을 선정·시상 할 수 있다.
<삭제>
각급기관의 장은 정보시스템의 보호를 위하여 국가정보원·한국인터넷진흥원 등 국내·외 정보보호 관련기관 또는 다른 정보시스템 운영기관과 다음 각 호의 사항에 대하여 상호 협조할 수 있다.
1. 정보시스템의 보호와 관련된 정보의 공유
2. 침해사고 예방·대응 및 복구를 위한 상호협력 및 지원
3. 그 밖에 정보보호를 위하여 상호협력이 필요한 사항
방송통신위원회 위원장은 대국민 서비스의 안정성 및 신뢰성을 위하여 필요하다고 인정될 때에는 각급기관에 대하여 다음 각 호의 사항을 수행할 수 있다.
1. 모의 사이버테러 훈련 실시를 통한 취약점 분석 및 그 내용의 통보
2. 정보보호대책 수립·이행에 대한 지원
3. 침해사고대응팀 구성 및 운영에 대한 지원
4. 관계기관 비상연락체계 구축 및 사이버공격 발생 시 대응·복구 지원
5. 홈페이지에 대한 외부전문가 점검 및 발견된 취약점에 대한 조치여부 확인
6. 그 밖에 정보보호를 위하여 지원이 필요한 사항
각급기관의 장은 전 직원을 대상으로 정보보호 인식제고 등을 위한 교육을 년2회 이상 시행하여야 한다.
① 정보통신실을 운용하는 각급기관의 장은 다음 각 호에 정하는 보호대책을 강구하여야 한다.
1. 외부로부터의 위험에 대한 방지 및 방재대책
2. 단일 출입문을 정하고 이중 잠금장치 설치
3. 자료·장비별 관리책임자 지정 운용
4. 비인가자에 대한 출입 기록 유지
② 그 밖에 정보통신실 보안관리를 위한 세부사항은 『방송통신위원회 전산실 관리지침』에 따른다.
① 각급기관의 장은 정보시스템(정보통신망을 포함한다)의 효율적인 보안관리를 위하여 정보시스템별로 관리책임자(이하 ‘시스템관리자’라 한다)를 지정·운영하여야 한다.
② 시스템관리자는 각종 서버·PC·정보통신장비 등 정보시스템이 비인가자에게 허용되지 않도록 보안기능을 설정하여야 한다.
③ 시스템관리자는 보안도구를 이용하여 정보시스템의 보안취약점을 진단하여야 하며, 시스템 접속시 다음 각 호의 사항이 자동 저장되도록 하여야 한다.
1. 서버 접속일시, 접속자 및 접속방법 등 정보통신망 접근기록(1차)
2. 전산자료 열람·출력 등에 대한 사용자, 일시, 자료제목 등 접근기록(2차)
④ 시스템관리자는 다음 각 호와 같이 자동 수록된 접근자료(Log Data)를 관리하여야 한다.
1. 접근자료는 접속의 성공여부와 상관없이 기록 유지
2. 자동 저장된 자료는 정보보안사고 발생시 확인 등을 위하여 최소 3개월 이상 보관(백업자료 포함) 및 외부유출 방지를 위한 보호대책 강구
3. 3회 이상 접속시도의 오류가 발생하는 경우 경보 및 시스템 관리자에 통보기능 부여
⑤ 시스템관리자는 각종 서버의 보유 자료에 대해 업무별, 자료별 중요도에 따라 접근권한을 차등 부여하여야 한다.
⑥ 시스템관리자가 비인가자의 정보시스템 침입 사실을 인지한 경우에는 시스템 보호를 위한 접속차단 등 초동조치를 취하고 지체 없이 정보보호실무책임관에게 보고하여야 한다.
⑦ 사용자별 자료 접근범위는 서버에 등록하여 인가여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제하여야 한다.
⑧ 정보보호실무책임관은 정보시스템에 대하여 외부업체의 원격 유지보수 작업을 허용하여서는 아니 된다. 다만, 부득이한 경우에는 필요한 보안대책을 강구한 후 허용할 수 있으며, 이때에도 원격 유지보수 내용을 확인·감독하고 기록하여야 한다.
① 각급기관의 장은 소관 정보통신망을 다른 기관 또는 업체와 연결하는 경우에는 보안관리의 책임한계를 설정하고 보안대책을 수립·시행하여야 한다.
② 각급기관의 장은 외부망과 접속하는 경우에는 전산자료 제공범위 및 이용자의 접근 제한 등에 대하여 정보보호실무협의회 심의를 거쳐 결정하여야 한다.
③ 각급기관의 장은 외부망 연결에 따른 보안취약점 해소를 위하여 접속자료를 주기적으로 분석하고 보안도구를 이용하여 정보통신망의 취약점을 수시 점검하여야 한다.
④ 각급기관의 장은 정보통신망을 상용망 등 외부망과 접속하고자 할 경우에는 비인가자의 무단침입을 방지하기 보안적합성이 검증된 침입차단·방지시스템 설치 운용 등 보안대책을 강구하여야 한다.
⑤ 각급기관의 장은 정보통신망에 사용되는 ‘IP 주소’를 체계적으로 관리하여야 하며, 내부정보 통신망을 보호하기 위하여 가급적 사설주소체계(NAT : Network Address Translation)를 사용한다.
각급기관의 장은 다음 각 호에 해당하는 정보통신 운용현황을 최신 자료로 관리하여야 하며, 제10조의 규정에 의한 정보보호업무 세부 추진계획 통보 시 첨부하여 제출하여야 한다.
1. 정보보호시스템 운용현황(별지 제5호 서식)
2. 정보통신망 세부 구성도
3. IP주소 할당현황
① 각급기관의 장은 전산자료의 효율적 보호를 위하여 다음 각 호와 같이 전산자료 보호등급을 분류하여야 한다.
1. ‘가급’ 자료
유출 또는 손상되는 경우 관리기관의 업무수행에 중대한 장애를 초래하거나 개인 신상에 심각한 영향을 줄 수 있는 전산자료
2. ‘나급’ 자료
유출 또는 손상되는 경우 관리기관의 업무수행에 장애를 초래하거나 개인 신상에 영향을 줄 수 있는 전산자료
3. ‘다급’ 자료
유출 또는 손상되는 경우 관리기관의 업무수행 및 기관의 신뢰도에 경미한 영향을 줄 수 있는 전산자료
② 각급기관의 장은 제1항의 규정에 따라 전산자료 보호등급을 분류하기 위한 자체 기준을 수립하여야 한다.
① 각급기관의 장은 전산자료에 대한 유출이나 파괴 또는 변조 등에 대비하여 다음 각 호에 정하는 보호대책을 강구하여야 한다.
1. 자료복사본(예비) 확보 및 안전지역 별도 보관
2. 전산자료(보조기억매체) 보유현황 관리
3. 전산자료 및 장비의 반출 또는 반입 통제
4. 불법접근 및 컴퓨터바이러스(이하 ‘바이러스’라 한다) 피해 예방
5. 전산자료 접근권한 구분·통제
6. 예비(Back up)체계 수립·시행
② 비밀로 분류하지 않더라도 사전에 공개될 경우 정책결정에 영향을 미치거나 업무수행에 지장을 초래할 우려가 있는 자료에 대해서는 접근 비밀번호 사용 등 보안대책을 강구하여야 한다.
각급기관의 장은 다음 각 호의 자료를 대외비로 분류하여 관리하여야 한다. 다만, 국가안보와 직결되는 중요한 정보통신망 관련 세부자료는 해당 등급의 비밀로 분류 관리하여야 한다.
1. 정보통신망 세부 구성현황(IP주소 세부 할당현황 포함)
2. 국가용 보안시스템 운용현황
3. 보안취약점 분석·평가 결과물
4. 그 밖에 보호할 필요가 있는 정보통신망 관련 자료
① 사용자계정(ID)은 비인가자 도용 및 정보시스템 불법접속에 대비하여 다음 각 호의 사항을 반영하여 관리하여야 한다.
1. 사용자별 또는 그룹별로 접근 권한 부여
2. 외부 사용자의 계정부여는 불허하되 부득이한 경우에는 정보보호실무책임관 책임 하에 유효기간을 설정하는 등 보안조치 후 허용
3. 비밀번호가 없는 사용자계정은 사용 금지
② 시스템관리자는 3회에 걸쳐 사용자인증에 실패 할 경우 정보시스템 접속을 중지시키고 비인가자 침입 여부를 확인 점검하여야 한다.
③ 퇴직 또는 보직변경 발생 시 시스템관리자는 사용하지 않는 사용자 계정 및 비밀번호를 신속히 삭제하여야 한다.
① 비밀번호는 정보시스템의 무단사용 방지를 위하여 다음과 같이 구분 사용하여야 한다.
1. 비인가자의 정보시스템 접근방지를 위한 장비 접근용 비밀번호(1차)
2. 정보시스템 사용자가 서버 등 정보통신망 접속시 인가된 인원인지 여부를 확인하는 사용자인증 비밀번호(2차)
3. 문서에 대한 열람·수정 및 출력 등 사용권한을 제한할 수 있는 자료별 비밀번호(3차)
② 비밀이나 중요자료에는 반드시 자료별 비밀번호를 부여하되, 공개 또는 열람 자료에 대해서는 부여하지 아니할 수 있다.
③ 비밀번호는 다음 각 호 사항을 반영하여 숫자와 문자, 특수문자 등으로 9자리 이상으로 정하고 분기1회 이상 주기적으로 변경 사용하여야 한다.
1. 사용자계정(ID)과 동일하지 않은 것
2. 개인 신상 및 부서명칭 등과 관계가 없는 것
3. 일반 사전에 등록된 단어 또는 추측하기 쉬운 단어는 사용하지 말 것
4. 이미 사용된 또는 직전에 사용된 비밀번호는 재사용하지 말 것
5. 패스워드의 전달 시 팩스, 전자우편을 사용하지 말 것
6. 패스워드의 입력 횟수는 최소 3회에서 최대 5회로 제한한다.
7. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것
8. 응용프로그램 등을 이용한 자동 비밀번호 입력기능을 사용하지 말 것
④ 서버에 등록되어 있는 비밀번호는 암호화하여 보관 하고, 단말기·PC 등의 비밀번호를 종합기록 관리하고자 할 경우에는 전산장비 관리대장(별지 제3호 서식)에 등재하여 대외비 이상으로 분류 관리하여야 한다.
① 각급기관의 장은 웜·바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호에 따라 정보시스템을 운영 관리하여야 한다.
1. 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램은 사용을 금지하고 불가피한 경우에는 백신 등 관련 프로그램으로 진단 후 사용
2. 업무상 불필요한 서비스 제한
3. 실행파일은 읽기 전용으로 속성 변경
4. 인터넷 등 상용망으로 입수한 자료는 반드시 악성코드 검색 후 사용
5. 악성코드 조기 발견을 위하여 최신 백신프로그램 활용 및 보안업데이트 실행
② 악성코드 감염이 발견되었을 경우, 시스템관리자 또는 PC 사용자는 다음 각 호의 조치를 하여야 한다.
1. 악성코드 감염 피해를 최소화하기 위하여 감염된 시스템을 네트워크로부터 신속하게 분리차단
2. 최신 백신 등 악성코드 제거 프로그램을 이용하여 퇴치
3. 악성코드 감염확산 방지를 위하여 정보보호실무책임관에게 관련내용 및 보안조치 사항을 즉시 보고
4. 악성코드 감염의 재발을 방지하기 위하여 원인 분석 및 예방 조치 수행
③ 각급기관의 장은 악성코드가 신종이거나 감염피해가 심각하다고 판단될 경우에는 관련사항을 방송통신위원회 위원장에 신속히 보고하고 필요한 조치를 수행하여야 한다.
① 전자우편 사용자는 보안조치 없이 전자우편을 이용한 비밀 및 중요자료 전송을 금지하고 출처가 불분명한 전자우편 수신시 열람하지 말고 즉시 삭제한 후 정보보호담당자에게 신고하여야 한다.
② 전자우편 사용자는 인터넷을 통한 불법 프로그램 다운로드를 하여서는 아니 된다.
③ 각급기관의 장은 PC 등에서 음란·도박·증권 등 업무와 무관한 인터넷 사이트 접근에 대한 통제대책을 강구하여야 한다.
④ 각급기관의 장은 악성코드 유포에 악용되지 않도록 전자우편 주소의 인터넷 공개를 제한하여야 한다.
① 각급기관의 장은 매월 셋째주 수요일을 ‘사이버보안 진단의 날’로 지정·운영하여야 한다.
② 각급기관의 장은 ‘사이버보안 진단의 날’에 소관 정보통신망을 대상으로 악성코드 감염여부와 정보시스템의 보안 취약여부 등을 진단하고 문제점을 발굴 개선하여야 한다.
① 각급기관의 장은 외부인에게 공개할 목적으로 설치되는 웹서버 등 각종 공개서버는 내부망과 분리하여 운영하고 보안적합성이 검증된 침입차단·탐지시스템을 설치하는 등 보안대책을 강구하여야 한다.
② 각급기관의 장은 서버에 접근할 수 있는 사용자계정을 제한하며 불필요한 계정은 삭제하여야 한다.
③ 각급기관의 장은 공개서버에 비공개 자료가 포함되지 않도록 하여야 한다.
④ 각급기관의 장은 공개서버의 업무서비스를 제외한 모든 서비스 및 시험·개발도구 등의 사용을 제한하도록 보안기능을 설정하여야 한다.
⑤ 각급기관의 장은 공개서버의 보안취약점을 수시로 점검하고, 자료의 위·변조, 훼손 여부를 확인하여야 한다.
⑥ 각급기관의 장은 보안사고에 대비하여 서버에 저장된 자료의 백업체계를 수립·시행하여야 한다.
⑦ 각급기관의 장은 공개서버를 통해 개인정보가 유·노출, 위·변조 되지 않도록 보안조치를 하여야 한다.
① 각급기관의 장은 재택·파견·이동근무 등 원격근무를 지원하기 위한 정보시스템을 도입·운영할 경우 기술적·관리적·물리적 보안대책을 수립하고 국정원장의 보안성 검토를 거쳐 시행하여야 한다.
② 각급기관의 장은 원격근무 가능 업무 및 공개·비공개 선정기준을 수립 운영하고 대외비 이상 비밀자료를 취급하는 업무는 원격근무 대상에서 원칙적으로 제외하되 대외비 이상의 업무를 필히 수행해야 하는 경우 국정원장과 협의한 후 수행여부를 결정한다.
③ 각급기관의 장은 원격근무자의 업무변경·인사이동·퇴직 등 상황 발생시 이용권한 재설정 및 삭제, 정보시스템 회수 등 절차를 마련 시행하여야 한다.
④ 정보보호실무책임관은 주기적인 보안점점을 실시하여 원격근무 보안대책의 이행 여부를 확인하여야 한다.
① 각급기관의 장은 정보화사업 및 보안컨설팅 수행 등 외부 용역사업 계약시 보안서약서(별지 제4호 서식)를 징구하고 계약서에 용역사업 참여직원의 보안준수 사항과 위반시 손해배상 책임 등을 명시하여야 한다.
② 각급기관의 장은 정보통신망도·IP주소현황 등 용역업체에 해당 기관의 자료를 제공할 경우 자료 인계인수대장을 작성, 보안조치 후 인계인수하고 무단 복사·외부반출을 허용하여서는 아니 된다.
③ 각급기관의 장은 용역 참여직원을 대상으로 보안교육 및 보안점검을 실시하여야 한다.
④ 각급기관의 장은 용역 참여직원이 휴대용 PC등 관련 장비를 반출 또는 반입할 때마다 악성코드 감염여부와 자료 무단반출 여부를 확인하는 등 보안조치를 하여야 한다.
⑤ 각급기관의 장은 용역사업 종료 시 외부업체의 휴대용·보조기억매체 등을 통해 기관 내부자료 및 용역 결과물이 외부로 유출되지 않도록 보안조치를 강구하여야 한다.
⑥ 각급기관의 장은 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공·대여·열람을 금지하는 등 관리를 철저히 하여야한다.
① 각급기관의 장은 다음 각 호에 해당하는 경우에는 자체 보안대책을 강구하고 이를 바탕으로 사업 계획단계에서 방송통신위원회 위원장과 협의를 거쳐 보안성 검토를 국정원장에게 의뢰하여야 한다. 다만, 사안이 경미할 경우에는 보안성 검토를 생략하거나 절차 및 제출자료 등을 간소화할 수 있다.
1. 유·무선 네트워크를 신·증설하거나 서버 등 정보시스템을 구축 또는 교체하고자 하는 경우
2. 내부 정보통신망을 외부망과 연결하고자 하는 경우
3. 국정원장이 개발하거나 안정성을 검증한 암호장비·보안자재·암호논리·암호모듈·정보보호시스템을 도입 운용하고자 할 경우
4. 원격근무 지원 등을 위해 시스템을 도입하는 경우
5. 외부기관 및 업체의 보안감리 또는 보안컨설팅(보안취약점 분석·평가를 포함한다)을 받거나 정보처리·보안관제 등의 업무를 위탁할 경우
6. 그 밖에 정보통신 운용환경 변화로 인하여 별도의 보안대책 수립이 필요하다고 인정되는 경우
② 그 밖에 명시되지 않은 사항은 「국가정보보안 기본지침」에 따른다.
① 각급기관의 장은 정보통신망에 대하여 해킹, 웜·바이러스 유포 등 사이버공격 인지 시 피해실태를 파악하고 관련 로그자료 보존 및 필요시 전산망 분리 등 초동조치를 하여야 한다.
② 각급기관의 장은 전산망 마비 또는 자료 유출 등 중대사고 발생 시에는 초동조치 후 즉시 방송통신위원회 위원장에게 보고하고 필요한 지원을 받아야 한다.
③ 제2항과 관련하여 피해시스템은 사고원인 규명시까지 증거보전하고 임의 자료삭제 또는 포맷을 하여서는 아니 된다.
① 각급기관의 장은 소관분야의 사이버공격 대응절차를 수립·시행하고 이행실태를 지속적으로 확인 점검하여야 한다.
② 각급기관의 장은 국정원장이 경보 발령시 소관분야 직원을 대상으로 관련사항을 전파하고 대응조치를 이행하며 진행상황을 예의주시하는 등 대응절차에 따라 신속하게 대처하여야 한다.
③ 각급기관의 장은 제2항에 따른 경보 단계별 조치사항을 방송통신위원회 위원장을 경유하여 국정원장에게 통보하여야 한다.
④ 그 밖에 명시되지 않은 사항은 「국가 사이버 안전관리규정」과 「국가 사이버안전 매뉴얼」에 따른다.
① 각급기관의 장은 단말기를 포함한 PC 등을 사용하고자 할 경우에는 사용자 및 관리책임자를 지정하여야 한다.
② 각급기관의 장은 비인가자가 PC를 무단으로 조작하여 전산자료를 유출하거나, 위·변조 및 훼손시키지 못하도록 다음 각 호에 따른 보호대책을 강구하여야 한다.
1. 장비별·자료별·사용자별 비밀번호 사용
2. 백신 및 PC용 침입차단시스템 등 운용
3. P2P 등 업무와 무관하거나 보안에 취약한 프로그램의 사용 금지
③ 각급기관의 장은 PC를 교체·반납·폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치를 하여야 한다.
④ PC에 적용되는 사용자계정(ID) 및 비밀번호의 취급관리는 제24조(사용자계정 관리)와 제25조(비밀번호 관리)의 규정을 준용한다.
⑤ 사용자는 사용자PC 보안관리를 위한 다음 각 호의 사항을 준수하여야 한다.
1. PC부팅 시 패스워드 설정
2. 컴퓨터명은 사용자 실명으로 설정하고 작업그룹명은 과(팀)명으로 설정
3. 최대 10분을 초과하지 않도록 화면보호기 설정
4. IP주소 임의변경 금지
5. PC에 대한 최신 보안업데이트, 바이러스 치료 프로그램 등 보안프로그램 설치 및 주기적인 바이러스검사 실시
① 각급기관의 소프트웨어는 업무상 인가된 프로그램만 사용하여야 한다.
② 각급기관의 정보시스템을 침해하거나 우회할 수 있는 소프트웨어를 임의로 설치하거나 시스템 운영상 설치된 프로그램을 임의로 삭제하여서는 아니 된다.
① 기밀정보를 보관 또는 처리하고 있는 PC단말기의 모니터는 창문 옆에 설치하지 않도록 한다.
② PC내·외부에 설치 또는 부착된 하드웨어를 임의로 변경·제거하거나 외부로 반출해서는 안 된다.
③ 잠금 장치가 설치된 PC는 사용치 않을 경우 반드시 잠금 기능을 설정해야 한다.
① 인터넷PC에서 내부정보유출가능성이 있는 다음 각 호 중 하나에 해당하는 경우 서비스를 차단할 수 있다.
1. 웹메일을 이용한 메일 발송 시 메일제목, 본문내용, 첨부파일내용에 사전 정의된 키워드(기관 중요정보 키워드 및 주민등록번호, 신용카드정보 등 개인정보)가 포함될 경우
2. 웹메일(상용이메일) 사용 시 대용량 첨부기능으로 메일을 송신할 경우
3. 침입차단시스템을 우회하여 접속하는 프로그램을 이용하여 서비스 연결할 경우
4. 웹하드 등에 파일 업로드를 시도하는 경우
5. 메신저 S/W를 설치하여 연결을 시도할 경우
6. 메신저 사용 시 암호화설정으로 암호화통신을 시도하는 경우
7. 비업무용사이트(인터넷파일공유 및 음악 사이트 등)에 접속할 경우
8. 그 밖에 정보보호를 위하여 서비스 차단이 필요하다고 판단되는 경우
② 인터넷PC에는 업무와 관련된 자료를 작성·저장·편집하여서는 아니 된다.
① 업무PC에서는 원칙적으로 인터넷 서비스이용이 차단되며, 인터넷 서비스를 사용하기 위한 우회접속 시도 등 물리적으로 인터넷PC와의 접속해서는 아니 된다.
② 인터넷망과 업무망이 분리되지 않은 각급기관의 경우, 업무용PC의 인터넷사용을 제한할 수 있도록 차단방법을 강구하여 적용하여야 한다.
각급기관의 장은 사용자 PC의 안정성을 강화하기 위하여 다음 각 호의 필수 보안프로그램 설치 및 운용방안을 강구하여야 한다.
1. 바이러스백신 소프트웨어
2. 패치관리 소프트웨어
3. 보안USB 통합관리 소프트웨어
4. PC보안 및 접근통제 소프트웨어 등
방문자 휴대용컴퓨터(일반 PC포함)는각급기관 내부 업무망 접속을 원칙적으로 금지한다. 단, 사전에 정보보호실무책임관 승인을 받은 사용자의 경우 인터넷 망에 한하여 접속을 허용할 수 있다.
업무망 및 인터넷망 접속이 가능한 업무용PC 및 인터넷PC는 외부로의 반출을 금지한다. 단, 외부 업무용으로 사용하는 휴대용 컴퓨터에 한하여 부서장 책임하에 반출할 수 있다.
① PC의 패스워드 관리는 제25조 "비밀번호관리" 에 관한 규정을 준용한다.
② 사용자는 PC에 접근하기 위해 사용하는 모든 패스워드에 대하여 비밀을 유지해야 하며, 타인에게 고의로 패스워드 정보를 제공하거나 노출시켜서는 아니 된다.
③ PC에 접근하기 위해 사용되는 패스워드가 노출되었거나 노출이 의심되는 경우, 패스워드를 즉시 변경하여야 한다.
① 사용자는 사용자PC가 바이러스에 감염되었거나 감염이 의심 될 경우 즉시 네트워크 접속을 차단하고 바이러스치료 프로그램으로 PC를 점검하여야 한다.
② 사용자는 바이러스 감염시 각급기관 정보보호담당자에게 바이러스 감염사실을 신속하게 통보하고 필요한 조치를 받아야 한다.
① "보조기억매체 관리책임자"(이하 ‘관리책임자’라 한다)라 함은 각 과 또는 팀별 보조기억매체 관리상의 임무를 맡은 그 과장 또는 팀장을 말한다.
② 관리책임자는 보조기억매체의 등록, 파기, 재사용, 반출·입, 불용처리 현황 등의 업무를 수행하는 보조기억매체 실무책임자를 지정하여 운영하여야 한다.
③ 그 밖에 명시되지 않은 사항은 국정원「USB메모리 등 보조기억매체 보안관리지침」에 따른다.
정보시스템을 폐기·양여·교체·반납하거나 외부수리(이하 ‘불용처리’라 한다)를 위하여 외부로 반출할 경우 저장매체에 저장된 자료의 보안조치책임은 당해 기관의 장이 진다.
① 정보보호실무책임관은 별표 2에 따라 정보시스템별 저장자료를 삭제하여야 한다.
② 정보시스템의 사용자가 변경된 경우, 비밀처리에 사용한 정보시스템은 완전포맷 3회 이상, 그 외의 정보시스템은 완전포맷 1회 이상으로 저장자료를 삭제하여야 한다.
① 정보보호실무책임관은 정보시스템을 불용 처리할 경우 사전 저장자료 삭제여부를 확인하여야 한다.
② 정보시스템에 저장된 자료의 삭제를 외부업체에 의뢰할 때에는 정보보호실무책임관이 입회하여 삭제 절차·방법 준수여부 등을 확인 감독하여야 한다.
① 불용처리 등을 위해 정보시스템을 외부로 반출할 경우 사전에 정보보호실무책임관의 통제를 받아야 하며 정보보호실무책임관은 그 현황을 기록 유지하여야 한다.
② 각급기관의 장은 저장매체의 고장수리·저장자료 복구 등을 외부에 의뢰할 경우 저장매체에 저장된 자료의 유출 방지를 위해 수리 또는 복구 참여자에 대해 보안서약서 집행·교육 등 필요한 보안조치를 하여야 한다.
③ 각급기관의 장은 정보시스템을 불용 처리할 경우 당해 시스템의 사용기관·부서·사용자 등을 인식할 수 있는 표시를 모두 제거하여야 한다.
① 방송통신위원회 위원장은 정보통신망에 대한 보안취약점 진단이 필요하다고 판단 될 경우 각급기관의 장과 협의하여 취약점 점검에 관한 제반사항을 수행할 수 있다.
② 취약점점 점검은 다음의 각호 해당할 경우에 실시한다.
1. 정보통신보안사고가 발생하여 정보통신망의 취약점 진단이 요구 될 때
2. 주요 정보시스템에 대한 사이버공격이나 도청 등으로부터의 보호대책이 필요한 경우
3. 정보통신수단에 의하여 국가기밀 유출 및 암호체계의 누설 우려가 있는 경우
4. 정보통신시스템에 대한 보안성검토와 보안시스템 설치 등에 대한 국정원장의 보안대책 확인이 요구되는 경우
5. 해당기관의 장이 정보통신망에 관한 취약점 점검 또는 종합진단이 필요하다고 판단하여 요청할 경우
6. 그 밖에 국가보안상 필요하다고 판단되는 경우
① 각급기관의 장은 별표 1에서 규정한 정보보안사고가 발생한 때에는 즉시 피해를 최소화하도록 조치를 취하고 다음 각 호의 사항을 방송통신위원회 위원장을 경유하여 국정원장에게 통보하여야 한다.
1. 일시 및 장소
2. 사고원인, 피해현황 등 개요
3. 사고자 및 관계자의 인적사항
4. 조치내용 등
② 각급기관의 장은 사고조사를 실시하고 동일유형의 사고가 발생하지 않도록 제반 보안조치를 강구해야 한다.
① 사용자는 다음 각 호에 해당하는 사항을 숙지하고 준수해야 한다.
1. 본인의 보직에 관련된 정보보안규정 숙지
2. 퇴근 전 기본적인 정보보안 점검 수행
3. 개인이 관리하는 정보자산에 대한 정보보안 생활수칙 준수
② 정보시스템을 관리·운용하는 업무종사자는 다음 각 호의 사항을 준수하여야 한다.
1. 정보시스템의 보호책임에 관한 사항
2. 비밀유지 및 비밀서약에 관한 사항
3. 정보시스템 보호관련 법령 및 지침 등의 준수에 관한 사항
4. 정보시스템의 시스템 세부구성도, IP주소 세부할당사항, 중요시스템 사항 등 중요자료의 보호 및 관리
① 사용자는 정보통신망에 의하여 처리·보관 또는 전송되는 비밀정보 및 타인의 개인정보를 훼손하거나, 공개를 원하지 않는 타인의 개인정보를 침해·도용 또는 누설하여서는 아니 된다.
② 서비스의 제공을 위하여 이용자의 개인정보를 취급하거나 취급하였던 자는 직무상 알게 된 개인정보를 훼손·침해 또는 누설하여서는 아니 된다.
① 누구든지 조직의 정보통신망 또는 정보시스템에 대하여 다음 각 호에 해당하는 행위를 해서는 아니 된다.
1. 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망 또는 정보시스템에 침입하는 행위
2. 정당한 사유 없이 정보시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하는 행위
3. 정보통신망 또는 정보시스템의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하는 행위
② 누구든지 다음 각 호에 해당하는 기술 및 내부 중요자료를 침해하는 행위를 해서는 안 된다.
1. 부정한 방법으로 타인의 기술 및 중요자료를 취득하는 행위
2. 부정한 방법으로 취득한 기술 및 내부 중요정보를 사용하거나 공개하는 행위 또는 타인에게 제공 하는 행위
3. 기술 또는 중요자료를 비밀로 유지해야 할 의무가 있는 자가 그 내용을 공개하는 행위 또는 타인에게 제공 하는 행위
4. 제1호 내지 제3호의 침해행위가 개입된 사실을 알았거나 중대한 과실로 알지 못하고 그 내용을 취득하거나 취득한 내용을 사용 또는 공개하는 행위
각급기관의 장은 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보관리책임관을 지정하여 운영하여야 한다.
① 각급기관의 장은 개인정보를 처리함에 있어 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 조치를 강구하여야 한다.
② 그 밖에 개인정보보호에 관하여 이 지침에서 명시되지 않은
세부사항은 「방송통신위원회 개인정보보호 지침」에 따른다.
각급기관의 장은 정보보호 업무수행을 위하여 이 지침을 준용하여 자체적인 세부지침을 정할 수 있다.
이 지침에 명시되지 않은 사항은 다음 각 호의 관련 규정 및 지침에 따른다.
1. 『국가 사이버안전 관리규정』
2. 『국가사이버안전관리 매뉴얼』
3. 『정보시스템 저장매체 불용처리지침』
4. 『보안업무규정』
5. 『방송통신위원회 보안업무 시행세칙』
6. 그 밖에 정보통신 보안관련 법령 및 지침·가이드·매뉴얼
부칙
이 훈령은 발령한 날부터 시행한다.
이 훈령은 발령한 날부터 시행한다.
이 훈령은 발령한 날부터 시행한다.
이 훈령은 발령한 날부터 시행한다.
이 훈령은 발령한 날부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기