ㆍ자치단체통합 인터넷원서접수센터 운영 활동에 필요한 업무단계별 추진절차 체계화, 사용자별 운영관리 절차 구체화, 보안관리 규정을 하여 사업관리의 일관성 및 효율성을 증대
2. 적용대상 및 범위
ㆍ인터넷원서접수 업무를 위탁한 위탁기관
ㆍ인터넷원서접수센터를 운영하는 한국지역정보개발원 사업부서 및 수행하는 사업자
3. 활용방법
ㆍ위탁기관과 개발원간 위수탁 계약 이후 인터넷원서접수 운영에 활용
ㆍ원서접수 단계별 처리절차와 작업 전반에 걸친 개요수준의 추진방법 제시
ㆍ효과적인 사업관리를 위해 필요한 경우 사업 특성에 맞게 조정하여 사용
ㆍ개인정보보호를 위한 안전한 운영관리 체계 확립
ㆍ관련 법령에서 따로 정한 경우를 제외하고는 본 매뉴얼을 적용
4. 용어정의
ㆍ위탁기관
- 안전행정부 “갑” : 인터넷원서접수센터 운영 업무를 위탁
- 지방자치단체 “을” : 인터넷원서접수 업무 대행을 위탁
ㆍ수탁기관 : 인터넷원서접수센터 운영 업무를 수탁한 한국지역정보개발원
ㆍ인터넷원서접수센터 : 인터넷원서접수 운영사업을 수행하는 사업자
ㆍ결제대행사 : 전자결제 업무를 대행하는 사업자
5. 추진체계도
6. 원서접수시스템 흐름도
7. 담당자별 업무처리 흐름도
* 합격자 발표
- 인터넷원서접수센터 [마이페이지]에서 확인 (단, 기관요청시에 한함)
- 자치단체 홈페이지에서 확인
8. 기관별 업무처리 프로세스
9. 업무 현황 : 3개 단위업무(33개 기능영역)
Ⅱ. 운영관리
1. 응시자
가. 로그인
1) 아이디/비밀번호 로그인
- 기존 회원가입으로 아이디/비밀번호가 등록되어 있는 응시자
※ 원서접수센터에 개인정보가 등록되어 있지 않은 응시자는 [개인정보등록] 메뉴를 활용하여 회원가입 후 로그인
2) 공공아이핀(I-PIN) 로그인
- 주민번호 대체수단을 이용하는 공공I-PIN 인증센터에 등록되어 있는 응시자
나. 개인정보등록
- 원서접수센터에 개인정보가 등록되어 있지 않은 응시자
- [개인정보등록] 메뉴를 선택하여 홈페이지 이용약관/개인정보 수집 및 이용에 관한 동의/고유식별정보 수집에 관한 동의에 각각 체크하여 동의
- 실명인증과 공공I-PIN인증을 선택으로 개인정보 확인 및 등록
다. 원서작성(예시)
- 시도별 바로가기를 통해 원서접수 일정 확인 후
-
- 지원 사항과 지원자 관련사항을 입력하고
- 응시료 결제화면에서 결제방법 선택 후
라. 접수증 출력
- 응시료 결제 완료 후 접수증 출력
마. 응시표 출력
- 원서접수 완료 후 기관별 응시표 출력기간에 응시표 출력
- 원서접수센터 로그인 ⇒ 마이페이지 ⇒ [응시표출력]
바. 합격/성적조회
- 기관별 성적공개 기간 동안 응시자가 응시한 시험에 대한 합격/성적 조회
- 원서접수센터 로그인 ⇒ 마이페이지 ⇒ [합격/성적조회]
사. 합격증 발급
- 원서접수센터에서 온라인 합격증 발급 서비스를 신청한 기관에 한하여 합격증 발급 서비스 실시
- 원서접수센터 로그인 ⇒ 마이페이지 ⇒ [합격증발급]
2. 업무담당자
가. 원서접수센터관리자 페이지 로그인
나. 관리자페이지 접속
- 원서접수센터 관리자 계정 ID로 로그인 (※ PW는 주기적으로 변경, 최소 반기 1회)
- 담당자 변경시 계정권한 변경 공문요청
* 관리자페이지 접근권한 계정 부여방법은 ‘Ⅳ. 개인정보관리’ → ‘접근권한 관리’ 참조
* 업무담당자 변경 시 반드시 패스워드를 변경하여 사용하고, 패스워드 관리는 자치단체 책임
3 원서접수센터 유지보수 및 운영
3.1 요구사항 관리
3.2 헬프데스크(Helpdesk) 운영
3.3 장애관리
Ⅲ. 운영매뉴얼
1. 위수탁 협약체결
2. 원서접수 일정협의
3. 시험계획 생성
4. 원서접수 화면구성 및 테스트
5. 원서접수 실시
6. 사진보정
7. 응시번호 부여 및 출원자료 전송
8. 시험장 배정
9. 응시수수료 정산
10. 응시표 출력
11. 합격/성적조회
12. 합격증 발급
Ⅳ. 개인정보관리
1. 개인정보보호 추진 체계
가. 개인정보 보호책임관 지정
안전행정부 개인정보 보호책임관 : 정책기획관
소속기관 개인정보 보호책임관
- 정무직 공무원이 장(長)인 경우 : 3급 이상 또는 그에 상응하는 공무원
- 그 외 기관 : 4급 이상 또는 그에 상응하는 공무원
산하기관 개인정보 보호책임관
- 개인정보 처리 관련 업무를 담당하는 부서의 장
나. 개인정보 보호책임관 역할
개인정보보호 관련 지침 제개정
개인정보보호 계획 수립 및 시행
개인정보 처리 실태 점검 및 개선 권고
개인정보 처리와 관련한 불만 처리 및 피해 규제
개인정보 유출 및 오남용 방지를 위한 내부통제시스템 구축
개인정보보호 교육 계획 수립 및 시행
개인정보파일 및 대장 등록파기 승인, 관리 감독
기관 개인정보 처리방침 수립 및 시행
개인정보보호 관련 자료 관리
개인정보보호 분야별 책임관 지휘감독
다. 개인정보보호 분야별 책임관 지정
개인정보보호 분야별 책임관 (당연직) : 모든 부서의 장 - 과장급
개인정보보호 분야별 책임관 역할
- 개인정보 취급자 지정관리감독교육
- 개인정보파일 지정관리보호파기
- 공개 대상 개인정보파일 등록공개
- 공개 대상 개인정보파일의 처리방침 수립시행 및 공개
- 영상정보처리기기 운영관리 방침 수립시행
- 개인정보보호 관련 자료 관리 및 제출
- 개인정보 처리와 관련한 요구 처리 및 피해 규제
- 개인정보 유출 통지 및 피해확산 방지
- 개인정보 관련 개선 권고 및 시정 조치사항 이행 등
라. 개인정보취급자 지정
개인정보취급자 : 개인정보를 수집열람수정삭제 등 직접 처리하는 자
개인정보취급자 역할 : 개인정보 처리 시 안전조치
2. 접근권한 관리
가. 개인정보보호 관리체계
나. 접근권한관리책임자 지정
접근권한관리책임자 : 안전행정부 지방공무원과
접근권한관리담당자 : 한국지역정보개발원 공동정보과
다. 접근권한관리책임자 역할
접근권한관리책임자
- 이용자 본인확인 및 접근권한 관리 업무의 총괄
- 이용자 본인확인 및 접근권한 부여의 기준 및 절차 수립
- 이용자 접근권한 부여 내용의 심사
접근권한관리담당자
- 이용자 등록관리 및 접근권한 부여
- 인터넷원서접수시스템 이용내역과 관련된 자료의 보관 및 백업 등 관리
라. 접근권한 관리부여 및 관리절차
마. 접근권한 부여 및 관리
1) 접근권한 신청
신청대상자 : 기관별 인터넷원서접수 업무담당자
접근권한 신청방법
- 아래 양식을 작성하여 한국지역정보개발원(권한관리담당자)에 공문으로 신청
※ 접근권한은 기관 담당자에 한하여 최소한으로 부여
인사발령으로 사용자 변경시
- 아래 양식을 작성하여 한국지역정보개발원(권한관리책임자)에 공문으로 신청
2) 접근권한 부여
접근권한 신청서를 공문으로 받아 원서접수 정보 이용에 대한 적정성 판단 후 권한관리책임자 결재 후 권한부여(최초 부여시)
권한관리책임자는
3) 접근권한 점검
정기 점검 : 년 1회
- 내부자의 정보유출 및 접근권한 부여의 적정성 등에 대해 실태를 점검하고 개선사항에 대해 권고 조치
- 점검자 : 권한관리책임자
수시 점검 : 년 2회 (※ 점검주기는 분기별 또는 반기별로 조정 가능)
- 업무담당자에게 적정한 권한이 부여되었는지 여부를 점검
- 점검자 : 권한관리담당자
바. 접근이력 관리
1) 원서접수정보 이용내역 기록점검
원서접수센터 이용자(응시자) : 수시
- 이용자 접근기록 및 이용시간
- 이용자 식별정보(접속IP, 이름, 생년월일)
- 생성변경삭제열람한 정보의 내용 등
인터넷원서접수 업무담당자(시도별) : 년 2회 (※ 점검주기는 분기별 또는 반기별로 조정 가능)
- 아이디, 담당자명, 허용IP, 방문시간, 사용업무 메뉴
3. 개인정보파일 관리
나. 개인정보파일 등록 및 변경
1) 개인정보파일 등록 공개
공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 안전행정부장관에게 등록하여야 함
- 개인정보파일의 명칭
- 개인정보파일의 운영 근거 및 목적
- 개인정보파일에 기록되는 개인정보의 항목 및 개인정보의 정보주체 수
- 개인정보의 처리방법
- 개인정보의 보유기간
- 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
- 그 밖에 대통령령으로 정하는 사항+
안전행정부장관은 개인정보파일의 등록 현황을 인터넷 홈페이지에 게재하여야 함
※ 개인정보파일은 개인정보보호 종합지원 포털(www.privacy.go.kr)에 등록되어 있으며 주기적으로 현행화하고 있음
2) 개인정보파일 변경
개인정보파일 변경 시 개인정보 보호책임자는 등록변경 사항을 검토하고 그 적정성을 판단 후
다. 개인정보파일의 파기
개인정보 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하기 되었을 때에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기하여야 함
- 단, 「공공기록물 관리에 관한 법률」 등 다른 법령에서 보존해야 하는 경우에는 예외
- 개인정보파일을 파기하지 않고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장관리하여야 함
개인정보보호 분야별 책임관은 개인정보의 보유 기간 만료 등에 따른 구체적 파기 시점방법 등을 반영한 개인정보 파기계획을 수립시행, 파기 계획은
개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 함
- 전자적 파일 형태인 경우 : 복원이 불가능한 방법으로 영구 삭제
- 기록물, 인쇄물, 서명 그 밖의 기록매체인 경우 : 파쇄 또는 소각
개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하고,
4. 개인정보 목적 외 이용제3자 제공 관리
가. 개인정보의 이용제공 제한
개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 다음 각 호의 사항을 안전행정부령으로 정하는
- 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
- 이용기관 또는 제공받는 기관의 명칭
- 이용 목적 또는 제공받는 목적
- 이용 또는 제공의 법적 근거
- 이용하거나 제공하는 개인정보의 항목
- 이용 또는 제공의 날짜, 주기 또는 기간
- 이용하거나 제공하는 형태
나. 개인정보를 수집 목적범위 내 제3자에게 제공 가능 범위
정보주체의 동의를 받는 경우 제3자 제공시 고지하고 동의 받을 내용
- 제공받는 자
- 제공받는 자의 이용 목적
- 제공하는 개인정보 항목
- 개인정보를 제공받는 자의 보유 및 이용기간
- 동의거부 권리 및 동의 거부시 불이익의 내용
법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우, 공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우, 정보주체 등의 생명, 신체, 재산의 이익 보호를 위해 개인정보를 수집한 목적범위 내에서 개인정보를 제공하는 경우
5. 개인정보보호 교육
개인정보보호에 대한 인식을 제고시키기고 개인정보가 안전하게 관리될 수 있도록 개인정보보호 교육 계획 수립
교육대상 : 일반직원, 개인정보 취급자담당자 등
나. 개인정보보호 교육 실시
개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자(수탁자)에게 정기적으로 필요한 교육 실시
교육주기 : 분기별 (※ 교육실시 주기는 월별 또는 반기별로 조정 가능)
다. 개인정보보호 교육내용
개인정보의 유출변조 또는 훼손 등 예방의식 강화
위탁업무 수행 목적 외 개인정보의 처리금지에 관한 사항
개인정보의 기술적관리적물리적 보호조치에 관한 사항 등
6. 개인정보 유출방지
개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
나. 개인정보 유출 통지
개인정보보호 분야별 책임관은 유출사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 정보주체에게 유출 사실 알림
개인정보보호 분야별 책임관은 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무 입증 책임
개인정보보호 분야별 책임관은 긴급한 조치가 필요한 경우에는 해당 조치를 취한 후 지체 없이 개인정보주체에게 알림
- 유출된 개인정보의 확산 및 추가유출 방지를 위한 접속경로 차단
- 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치
- 취약점 점검보완 등
다. 유출 통지 항목
정보주체에게 통지 항목
- 유출된 개인정보의 항목, 유출된 시점과 그 경위
- 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
- 대응조치 및 피해구제절차
- 피해가 발생한 경우 신고 등을 접할 수 있는 담당부서 및 연락처
통지항목에 대하여 구체적인 내용을 확인하지 못 한 경우
- 유출이 발생한 사실과 통지항목 중 확인된 사항을 먼저 알리고, 나중에 확인되는 사항을 추가로 알림
라. 유출 통지 방법
서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법
연락처가 없어 개별통지가 어려운 경우, 인터넷 홈페이지에 지속 게재
1만명 이상의 정보주체에 관한 개인정보가 유출된 경우, 정보주체에게 통지하는 동시에 인터넷 홈페이지에 유출 통지 항목을 7일 이상 게재
마. 유출 신고 방법
전자우편, 팩스, 개인정보보호종합지원포털(www.privacy.go.kr)로 신고
시간적 여유가 없거나 특별한 사정이 있는 경우, 전화로 사전 신고 후
7. 개인정보 처리업무 위탁
제3자에게 개인정보 처리업무 위탁은 문서에 의하여야 함
- 위탁업무 수행목적 외의 개인정보 처리금지에 관한 사항
- 기술적관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항
- 개인정보의 관리현황 점검 등 감독에 관한 사항
- 수탁자가 준수해야 할 의무를 위반한 경우 손해배상 등 책임에 관한 사항
개인정보처리자는 위탁사실을 정보주체가 쉽게 확인할 수 있도록 위탁하는 업무의 내용, 개인정보 처리업무를 위탁받아 처리하는 자(수탁자)를 지속적으로 공개해야 함
위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실도난유출변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 함
나. 수탁자 임무
위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준」에 따라 조치
수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 안됨
수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 봄
Ⅴ. 보안업무규정
1. 정보시스템 보안
가. 시스템관리책임자 지정 및 역할
시스템관리책임자 : 안전행정부 지방공무원과
- 시스템 관리 업무의 총괄
- 시스템 운영 관리감독 및 정책 수립이행
시스템관리담당자 : 한국지역정보개발원 보안통신과
- 시스템 계정 및 접근권한 관리
- 서버 설정 정보, 자료의 보관 및 백업 등 관리
나. 정보시스템 보안관리
정보시스템이 비인가자에게 불필요한 서비스를 허용하지 않도록 보안기능을 설정하고, 보안취약점을 제공할 수 있는 프로그램의 설치를 제한
- P2P, 웹하드 등 파일 공유 프로그램
- 메신저 프로그램 등
정보시스템 자산목록에 따라 하드웨어 목록을 유지관리하고, 비인가자가 접근할 수 없도록 물리적인 접근통제 자치가 마련된 공간에 서버 설치
- 인터넷원서접수 서버 설치 장소 : 한국지역정보개발원 지역정보센터(보안통신과)
다. 네트워크 보안관리
시스템관리담당자는 라우터, 스위치 등 네트워크 장비 운용과 관련하여 보안조치 강구
- 네트워크 장비에 대한 원격접속은 원칙적으로 금지하되, 불가피할 경우 장비 관리용 목적으로 내부 특정 IPMAC 주소에서의 접속은 허용
- 물리적으로 안전한 장소에 설치하여 비인가자의 무단접근 통제
- 불필요한 서비스 포트 제거
- 접근통제목록(ACL) 적용 및 초기설정 비밀번호 변경으로 비인가자의 네트워크 장비 무단접근 통제
시스템관리담당자는 네트워크 장비의 접속기록을 최소 6개월 이상 유지하여야 하고 비인가자의 침투 여부를 주기적으로 점검
라. 웹서버 등 보안관리
시스템관리담당자는 주기적인 패치 및 보안 설정을 적용
서버 로그인 시 OS버전, 서비스정보 등의 취약점 유추가 가능한 정보가 누출되지 않도록 설정
시스템의 보안 설정된 정보와 로그의 주기적인 모니터링
시스템관리담당자는 정보시스템 백업 및 소산계획을 수립하고 백업을 실시
백업대상 선정 및 주기는 시스템별 중요도 및 현업 팀의 추가 요구사항을 반영하여 결정
백업에는 정기적인 백업, 비정기적인 백업을 포함하며, 비정기적인 백업은 시스템 변경작업, 소프트웨어 설치작업, 하드웨어 교체작업 등의 작업 전에 반드시 수행
인터넷원서접수시스템 백업주기는 일간, 백업본 보관기간은 최소 6개월 이상 보관
시스템관리담당자는 시스템 불법 접근 및 해킹 프로그램(백도어 및 스파이웨어 등)의 설치 여부 점검 등 일상적인 보안활동을 수행
정보시스템에 대한 종합 점검은 연 1회 이상 실시하고, 시스템의 변경, 외부 시스템의 이관 및 신규 시스템 도입 등 필요시 수시 점검을 실시
마. 접근권한 관리
법령 또는 업무규정 등에 따라 허용된 자에 한하여 업무수행에 필요한 최소한의 범위로 시스템관리담당자가 차등적으로 부여
바. 접근기록 관리
시스템관리담당자는 접근기록을 분석한 결과 비인가자의 접속 시도, 정보 위변조 및 무단삭제 등의 의심스러운 활동이나 위반혐의가 발생한 사실을 발견한 경우 정보통신보안담당관 및 서버관리책임자에게 즉시 보고
시스템관리담당자는 정보시스템의 효율적인 통제관리, 사고 발생 시 추적 등을 위해 사용자의 정보시스템 접근기록을 유지 관리
- 접속자, 정보시스템응용프로그램 등 접속 대상
- 로그 온오프, 파일 열람출력 등 작업 종류, 작업 시간
- 접속 성공실패 등 작업 결과
- 전자우편 사용 등 외부발송 정보 등
시스템관리담당자는 정보보안 사고 발생 시 확인 등을 위하여 접근기록을 최소 6개월 이상 보관하여야 하며 접근기록 위변조 및 외부유출 방지 대책을 강구
시스템관리담당자는 접근기록을 분석한 결과 비인가자의 접속 시도, 정보 위변조 및 무단삭제 등의 의심스러운 활동이나 위반혐의가 발생한 사실을 발견할 경우 즉시 정보보안담당관에게 보고
사. 사용자계정 관리
시스템관리담당자는 사용자계정(ID)의 비인가자 도용 및 정보시스템 불법접속 등을 방지하기 위해 주기적으로 관리
- 신규 사용자계정 생성 시 접근제어시스템 신청서 작성 등의 절차를 거쳐 권한발급
- 사업종료 및 인력변경 등으로 사용자계정을 해지해야 할 때는 신속히 삭제
- 사용자별 또는 그룹별로 접근권한 부여, 사용자계정을 공동으로 사용 금지
- 장시간 사용하지 않는 휴면계정을 점검하여 필요하지 않은 경우 삭제
- 계정을 주기적으로 점검하여 접근권한을 재검토하여 권한 남용을 방지
정보시스템의 계정은 사용목적 및 권한에 따라 관리자계정과 사용자계정으로 분류하여 관리
- 관리자계정은 관리자로 지정된 자만이 사용
- 업무상 필요에 의해 부득이하게 타인에게 대여한 경우에는 회수 후 즉시 비밀번호 변경 등 보안조치
시스템운영자는 사용자계정을 등록변경 또는 폐기할 경우 시스템관리담당자의 승인 하에 수행하여 그 결과를 “사용자계정 관리대장”에 등재하여 관리
※ 사용자계정의 발급, 변경 및 삭제 등 관련 작업을 계정관리시스템을 도입하여 전자적으로 수행할 수 있음
아. 비밀번호 관리
시스템관리담당자는 정보시스템의 비밀번호를 설정하고 분기 1회 이상 주기적으로 변경
- 영문, 숫자와 문자 및 특수문자 등을 조합하여 9자리 이상으로 설정
- 사용자 계정(ID)과 동일하지 않은 것
- 개인 신상 및 부서명칭 등과 관계가 없는 것
- 일반 사전에 등록된 단어는 사용을 피할 것
- 동일단어 또는 숫자를 반복하여 사용하지 말 것
- 사용된 비밀번호는 재사용하지 말 것
- 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것
- 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지
- 관리자계정과 사용자계정의 동일 비밀번호 사용 금지
- 초기 할당된 임시 비밀번호는 사용자 로그인 후 즉시 변경
- 입력된 비밀번호는 마스킹(*) 또는 음영 처리
2. PC보조기억매체 등 휴대용 저장매체 보안
가. PC 등 보안관리
PC, 노트북 등을 사용할 경우에는 취급자 또는 관리책임자를 지정하고, 정보시스템 관리대장을 작성하여 보관
용역사업 참여인원은 노트북 사용을 원칙적으로 금지하고 불가피한 경우에는 잠금장치를 설치하여 관리
비인가자가 무단으로 전산자료를 유출하거나 위변조 및 훼손하지 못하도록 보안대책을 강구
- 장비별자료별 및 사용자별로 비밀번호 사용
- 운영체제 및 화면보호기에 각각 비밀번호 설정
- 10분 이상 작업을 중단할 경우 비밀번호가 적용된 화면보호기 설정
- 백신, PC용 침입차단시스템 등 운영 및 주기적 보안패치 실시
- P2P, 해킹용 SW 등 업무와 무관하거나 보안에 취약한 프로그램 사용 금지
개인용 장비를 반출입할 경우
나. 보조기억매체 관리
정보보안담당관은 사용자가 USB 메모리를 PC에 연결 시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안 설정
정보보안담당관은 보안USB 메모리를 도입할 경우 국가정보원이 안정성을 확인한 제품을 도입
정보보안담당관은 사용자의 휴대용 저장매체 무단 반출 및 미등록 휴대용 저장매체 사용 여부 등 보안관리실태를 주기적으로 점검
휴대용 저장매체를 사용하여 업무자료를 보관할 필요가 있을 때에는 위변조, 훼손, 분실 등에 대비한 보안대책을 강구하여 정보보안담당관의 승인을 득함
휴대용 저장매체의 반출입을 통제하여야 하며,
3. 용역사업자 보안
가. 준비단계 보안
정보화용역사업 수행 등 외부 용역으로 추진에 따른 보안조치
- 용역사업 계약 시 계약서에 용역사업 참여인력의 보안준수 사항과 위반할 경우 손해배상 책임 등을 명시
- 용역업체가 사업의 일부 또는 전부에 대하여 하도급 계약을 체결하는 경우 용역업체로 하여금 하도급 계약서에 본 사업계약 수준의 비밀유지 조항을 포함하도록 조치
- 용역사업 참여인력에 대한 신원조사 실시
나. 수행단계 보안
용역사업 참여인원에 대해 ‘정보누출’ 금지조항 및 개인의 친필서명이 들어간 「보안서약서」 징구
용역사업 참여인원에 대한 법적 또는 발주기관 규정에 따른 비밀유지 의무 준수 및 위반 시 처벌내용 등에 대한 주기적인 보안교육 실시
사업수행을 위해 자료를 제공하거나 용역수행 중 생산된 산출물 관리
- 사업수행을 위해 제공된 내부 자료는 복사 및 외부반출 금지
- 산출물 등 사업 관련 자료는 인터넷 웹하드 등의 자료공유사이트 및 개인 메일함에 저장 금지, 대외비 이상의 비밀은 전자우편으로 수발신 금지
- 사업수행 시 생산된 산출물 및 기록은 발주기관 보안관리 담당자가 인가하지 않은 비인가자에게 제공대여열람 금지
용역사업을 수행하는 사무실과 장비에 대한 관리
- 용역사업 참여인원이 업무를 수행할 장소는 외부인의 출입을 통제하여야 하며, 부재 시에는 반드시 잠금장치
- 용역사업자의 사무실과 인원장비를 대상으로 정기적으로 보안점검 실시
- 용역사업에 대한 보안점검을 매월 실시 후
- 용역사업자가 정보시스템이나 보조기억매체 등 정보자산을 반입반출하는 경우에는 악성코드 감염 및 자료 무단반출 여부를 확인
- 용역사업자 PC에 허가받지 않은 USB 등 외부 저장매체 사용 금지
용역사업자가 업무를 위해 전산망을 이용하는 것이 필요하다고 판단되는 경우 전산망 접근을 허용하고 관리
- 사업별 또는 사용자별로 접속계정 부여
- 계정별로 정보시스템의 접근권한 부여, 계정에 대한 작업이력 확인
- 참여인력의 접속계정에 대한 비밀번호 기록관리
- 서버 및 네트워크 장비에 대한 접근기록 확인관리
- 용역사업에 투입된 PC는 인터넷에 연결되는 것을 원칙적으로 금지
단, 필요한 경우에는 허용된 사이트에만 접속가능토록 통제
용역업체 근무인력 중 대표 1명을 보안관리자로 지정하여 용역사업자 자체적인 보안관리체계 마련
나. 종료단계 보안
사업수행 후 최종 산출물 중 대외보안이 요구되는 자료는 대외비 또는 비공개자료로 등록하여 관리
용역사업 관련자료 회수 및 삭제조치 후 용역업체가 산출물의 복사본 등 용역사업 관련 자료를 보유하고 있지 않다는 용역사업 대표 명의 보안확약서 징구
4. 자치단체 고시업무 보안
가. 정보보안 기본활동
1) 고시채점실 정보보안 세부 지침 수립
개인정보 안전성 확보조치 방안을 전사적으로 시행하기 위한 정보보안 세부지침 수립
- 업무용 전산장비 정보보호 및 보안에 대한 지침
- 답안지, 문제지 관리 등에 대한 문서보안에 대한 관리지침
- 출입 통제용 CCTV 운영에 관한 지침
- 중요 정보통신 시설 및 장소 보호구역으로 설정 관리
출입 통제 관리
개인정보 담당자는 주기적으로 현행에 대한 관리감독
2) 개인정보보호 세부지침 수립
개인정보보호책임자, 개인정보보호담당자, 개인정보취급자를 지정하여 그 역할과 업무를 명시
- 응시자 개인정보보호를 위해 개인정보책임자를 지정 및 운영, 개인정보보호 계획의 수립 및 시행
- 개인정보보호 계획 및 방침, 실태조사, 개인정보취급자 관리 등 개인정보보호책임자가 위임한 업무와 기타 개인정보보호와 관련된 업무를 수행
- 개인정보를 취급하는 담당자를 개인정보취급자로 지정하여 업무수행에 있어 안전한 개인정보보호를 수행
나. 답안 데이터 암호화
1) OMR 데이터 보안
OMR 답안지의 응시자 주민등록번호와 답안데이터는 암호화 대상으로 업무용 컴퓨터(PC)에서는 보조저장매체에 저장된 개인정보의 보호를 위하여 개인 파일 단위로 암호화(파일암호화) 또는 디렉터리 단위로 암호화(디스크암호화)를 수행해야 함
파일암호화는 업무용 컴퓨터에 저장된 개인정보에 대한 보호뿐만 아니라 개인정보취급자 간에 네트워크상으로 파일을 안전하게 전송하기 위한 방식으로도 사용 가능함
암호화 전송 방식
ː 고유식별정보 및 민감정보의 암호화는 안전한 알고리즘을 이용하여 아래와 방법 중 시스템 운영 환경에 적합한 방식을 선택하여 적용해야 함
- 문서도구 자체 암호화 : 업무용 컴퓨터에서 사용하는 문서도구에 자체 암호화 기능을 통하여 개인정보 파일 암호화 (예: 한글, 엑셀 등 문서 패스워드)
- 암호 유틸리티 방식 : 업무용 컴퓨터의 OS에서 제공하는 파일 암호 유틸리티 또는 파일 암호 전용 유틸리티를 이용한 개인정보 파일 암호화
※ 국정원이 정하고 한국인터넷진흥원에서 보급(SEED, ARIA)
- DRM(Digital Right Management) : 불법복재 방지를 위한 DRM을 이용하여 다양한 종류의 파일 및 개인정보파일의 암호화
※ 파수닷컴 등 밴드사 구매
- 업무용 컴퓨터 디스크 암호화 : 디스크에 데이터를 기록할 때 자동으로 암호화하고, 읽을 때 자동으로 복호화하는 기능을 제공하며, 디스크 전체 또는 일부 디렉터리를 인가되지 않은 사용자에게 보이지 않게 설정하여 암호화 여부와 관계없이 특정 디렉터리 보호 가능
OMR 답안지 구성 및 암호화 대상
- 응시자 개인의 고유식별정보인 주민등록번호 뒷자리는 노출되지 않도록 생년월일로 대체하여 수집하여야 함
- OMR 답안지의 내용 중 고유식별정보(주민등록번호)와 민감정보(답안데이터)는 업무용 컴퓨터(PC) 및 개인정보처리시스템에 저장할 때 암호화해야 함
2) 행정정보망 전송 암호화
표준지방인사정보시스템(이하 “인사랑”) 서버와 업무용 컴퓨터 간 개인정보 전송 시 암호화를 위하여 공인인증기관이 발급한 서버 인증서를 설치한 보안서버를 사용함
공공기관은 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 우선 적용해야 함
암호화 전송 방식
- SSL(Secure Sockets Layer) 방식
▷ 인사랑 서버와 업무용 컴퓨터 간 주고 받는 데이터를 암호화하는 글로벌 표준 암호화 알고리즘 적용
▷ 웹 페이지 전체를 암호화하고 송수신자의 신원확인, 내용 위변조 확인, 제3자 유출방지를 보장함
- 응용 프로그램 방식
▷ 별도의 모듈을 서버와 클라이언트에 설치해야 하며 필요한 데이터만 암호화하여 전달할 수 있음
▷ 사용자가 웹서버에 접근하면 자동으로 보안 프로그램이 설치되고 이를 통해 개인정보 암호화 통신이 이루어짐
▷ 웹 브라우저의 확장된 기능인 플러그인 형태로 구현됨
다. 고시 채점실 안전성 확보조치
1) 물리적 보안
정보 및 정보처리시설이 설치된 장소를 보호하기 위해 물리적 보호구역 표시(제한지역, 보호구역, 통제구역)를 지정해야 함
보호구역은 인가된 사람만 출입이 가능하도록 출입통제 장치를 설치하고 운영하여야 함(생체인식 통제, CCTV,
사무실 및 설비공간에 대한 물리적인 보호방안(보안경보시스템, 침수 예방, 격리 공간)을 수립하고 적용하여야 함 (
보호구역에서의 작업을 위한 물리적인 보호방안을 수립하고 적용하여야 함(문서보안, 컴퓨터 화면보호기, 중요정보 별도 잠금)
공공장소 및 운송하역을 위한 구역은 내부 정보처리시설로부터 분리 및 통제하여야 하고 청원경찰 입회(도청, 원격촬영 방지)
정보처리시설은 물리적인 위협과 비인가 된 접근으로부터 보호될 수 있도록 배치하여야 함(차광막, 사설 경비 용역)
전원을 공급하는 전력선과 데이터를 전송하는 통신선은 손상이나 도청으로부터 보호하여야 함(이중전원선, 통신보안, 비화기)
저장매체를 가지고 있는 장비의 폐기 및 재사용 시 정보 및 소프트웨어가 안전하게 삭제되었는지 점검하여야 함(완전삭제, 물리적 파기,
시험DB에 접속하는 고시실 PC가 인터넷에 접속되는 네트워크와 분리하여 구성되어야 함(물리적 망분리, 논리적 망분리(가상화))
상시적으로 비인가 IP주소의 접근을 통제하여야 함(고정IP주소, Mac주소 지정)
개인정보가 기록된 OMR 등의 기록물은 대외비로 분류하여 관리하고, 업무시간 이외에는 잠금장치가 되어 있는 사물함 및 서류함에 보관하여야 함
고시·채점실 출입자 개인용 저장매체(전화기, 도청장치, 촬영장치 등) 보관용 별도 설치 운영
2) 계정 및 비밀번호 관리
개인정보처리 시 사용하는 업무용 PC는 개인정보를 포함한 민감한 정보를 다수 포함하고 있으므로 일정시간 PC사용이 없을 시 화면보호기 및 비밀번호 잠금 기능을 사용하여 불필요한 노출을 방지해야 함
업무용 PC의 비밀번호는 추측하기 어려운 비밀번호를 생성하여 설정하여야 함
- 연속된 문자열, 일련번호, 3회 이상 동일문자 사용 금지
- 전화번호 및 사번 등 유추 가능한 비밀번호 사용 금지
- Love, admin, happy 등 잘 알려진 단어 사용 금지
- 주기적인 비밀번호 변경 (6개월 유효기간 설정)
- 비밀번호 재사용 금지
- 문자, 숫자, 특수기호 등 두 종료 이상의 조합 생성
업무용 PC에 사용하지 않는 계정 등 불필요한 계정 사용을 방지해야 함 (Guest 계정 비활성화 등)
3) 휴대용 저장매체 보안
고시·채점실에서 장비 및 보조기억매체(보안 USB, 외장형 하드디스크, CD 등) 사용 시 반입반출하기 위한 안전한 승인 절차를 마련하여야 함
보안USB 메모리를 업무용 PC에 연결 시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안 설정하여야 함
문제 출제용 보안USB는 국가정보원장이 안정성을 확인한 USB를 도입하여야 함
휴대용 저장매체를 사용하여 업무자료를 보관할 필요가 있을 때에는 위변조, 분실 등에 대비한 보안대책을 강구하여야 함
휴대용 저장매체를 일반용, 비밀용(대외비 포함)으로 구분하고 등록관리하여야 함
- 휴대용 저장매체 라벨 기입표기(
4) 업무용 PC 보완
네트워크 사용을 하는 업무용 PC는 해킹, 악성코드 및 불법적인 접근으로부터 보호할 수 있는 보안프로그램 설치 및 주기적인 업데이트를 통해 최신의 정보를 유지하여야 함
- 불필요한 서비스 제한
- 백신프로그램 설치 및 1일 1회 점검
- 방화벽 설정(불필요한 포트 차단, ICMP, TCP, UDP 등)
- USB, 외장디스크 등 외부인터페이스의 사용 제한
- 제어판 접근 제한
- 주기적인 불법적인 소프트웨어 차단 및 점검
- 프린트를 통한 개인정보 유출 차단
- 주기적인 업데이트로 OS 및 백신프로그램 최신 상태 유지
5) 네트워크 보안
네트워크 연결 시 내외부로부터의 불필요한 접근을 통제하여 네트워크상의 개인정보 노출유출을 예방하여야 함
- 네트워크의 망 분리로 내외부로부터의 접근을 원천적으로 차단
(예 : 고시실 단독 네트워크 구성 등)
- 네트워크 이용 시간을 설정하여 심야 등 업무시간 외에는 접근을 제안
- 업무용 PC의 업데이트를 위한 패치서버 및 업데이트 서버의 안전한 통신서비스 확보
- 네트워크 해킹으로부터 PC를 보호할 수 있는 침입탐지 및 차단 시스템 운영
6) 정보시스템 저장매체 폐기
하드디스크 등 전자정보 저장매체를 불용처리(교체반납양여폐기 등) 하고자 할 경우에는 보안담당관의 승인 하에 저장매체에 수록된 자료가 유출되지 않도록 보안조치 하여야 함
자료의 삭제는 해당 정보가 복구될 수 없도록 저장매체별, 자료별 차별화된 삭제방법을 적용하여야 함
기관 내에서 정보시스템의 사용자가 변경된 경우, 비밀처리용 정보시스템은 완전포멧 3회 이상, 그 외의 정보시스템은 완전포멧 1회 이상으로 저장자료를 삭제하여야 함
정보시스템 저장자료의 삭제를 외부업체에 의뢰할 경우 작업 장소에 입회하여 삭제 절차 및 방법의 준수여부 등을 확인감독하여야 함
부칙
별표 서식 정보
댓글 없음:
댓글 쓰기