이 지침은 「정보통신기반 보호법」 제10조에 따라 행정자치부장관이 관할하는 주요정보통신기반시설을 각종 전자적 침해행위로부터 보호하기 위하여 해당 주요정보통신기반시설 관리기관의 장이 준수하여야 할 구체적 사항을 정함을 목적으로 한다.
① 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "주요정보통신기반시설 보호대책"이라 함은 법 제5조제1항에서 규정에 의하여 각 관리기관의 주요정보통신기반시설을 안전하게 보호하기 위한 물리적·기술적 대책을 포함한 관리기관별 관리대책을 말한다.
2. "주요정보통신기반시설 보호계획"이라 함은 법 제5조제2항의 규정에 의하여 관리기관으로부터 제출받은 주요정보통신기반시설보호대책을 종합·조정한 안행부 소관 주요정보통신기반시설에 관한 보호계획을 말한다.
3. "정보공유·분석센터"라 함은 법 제16조에 따라 분야별 주요정보통신기반시설을 보호하기 위해 취약점 및 대응방안에 관한 정보 제공, 실시간 경보·분석체계 운영 등을 수행하는 조직을 말한다.
② 이 지침에서 사용하는 용어의 정의는 제1항에서 정한 것을 제외하고는 정보통신기반보호법에서 정하는 바에 따른다.
이 지침은 「정보통신기반 보호법(이하 "법"이라 한다)」 제8조에 따라 행정자치부장관이 지정 고시한 주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)과 해당 주요정보통신기반시설을 관리·운용하는 업무종사자에 적용한다.
① 법 제6조제5항에 따른 행정자치부 정보보호책임관은 행정자치부 전자정부국의 주요정보통신기반시설 보호업무를 담당하는 과장으로 한다.
② 정보보호책임관은 행정자치부장관이 관할하는 소관분야 및 지방자치단체의 모든 주요정보통신기반시설의 보호에 관한 업무를 총괄한다.
③ 정보보호책임관은 「정보통신기반보호법 시행령(이하 "시행령"이라 한다)」 제11조제2항에서 규정하는 보호업무를 수행한다.
① 광역자치단체의 장은 산하 관리기관의 주요정보통신기반시설에 대한 보호업무를 총괄하기 위해 정보화 또는 정보보호를 담당하는 과장급 공무원을 정보보호실무책임관으로 지정하여야 한다. 다만, 제6조제1항에 따른 광역자치단체의 정보보호책임자가 정보보호실무책임관을 겸할 수 있다.
② 정보보호실무책임관은 다음 각 호의 업무를 수행한다.
1. 법 제8조제4항에 따라 지방자치단체의 장이 관리·감독하는 시설에 대한 주요정보통신기반시설 지정·취소 지원에 관한 업무
2. 법 제5조제3항에 따른 주요정보통신기반시설 보호대책(이하 "보호대책"이라 한다) 수립·제출에 관한 업무
3. 주요정보통신기반시설의 침해사고 대응 및 복구에 관한 업무
4. 주요정보통신기반시설의 취약점 분석·평가 및 침해사고 예방·지원 업무
5. 주요정보통신기반시설의 정보보호 조직·체계 구축·운영 지원에 관한 업무
6. 보호대책 이행 등을 위한 정보보호 시설·장비 등의 구축에 관한 업무
7. 주요정보통신기반시설 취약점 분석·평가 등 보호 관련 예산 확보에 관한 업무
8. 그 외에 주요정보통신기반시설 보호를 위하여 행정자치부 정보보호책임관 또는 소관 관리기관의 정보보호책임자가 협조 요청한 사항 등
③ 광역자치단체의 장은 정보보호실무책임관을 지정 또는 변동사항이 발생한 경우 15일 이내에 이를 행정자치부 장관에게 통지하여야 한다.
① 관리기관의 장은 시행령 제9조제1항에 따라 소관 주요정보통신기반시설 보호에 관한 업무를 담당하는 4급·4급상당 공무원, 5급·5급상당 공무원, 영관급장교 또는 임원급 관리·운영자를 정보보호책임자로 지정하여야 한다.
② 정보보호책임자는 시행령 제9조에제2항에서 규정하는 업무를 총괄 수행한다.
③ 관리기관의 장은 정보보호책임자를 지정하거나 변동사항이 발생한 경우에는 15일 이내에 행정자치부 장관 및 제5조에서 규정한 광역자치단체의 정보보호실무책임관에게도 이를 통지하여야 한다.
④ 정보보호책임자는 소관 주요정보통신기반시설 보호를 위하여 정보보호책임관 및 광역자치단체의 정보보호실무책임관과 긴밀히 협조하여야 한다.
① 행정자치부 장관은 주요정보통신기반시설 보호와 관련된 다음 사항을 협의하기 위해 정보보호실무협의회(이하"협의회"라 한다)를 구성·운영할 수 있다.
1. 주요정보통신기반시설 보호계획(이하 "보호계획"이라 한다) 및 보호대책 검토
2. 주요정보통신기반시설의 지정 및 취소, 지정 범위 조정
3. 주요정보통신기반시설 보호 관련 제도 개선
4. 보호대책 이행점검 결과에 따른 후속조치 및 이행률 제고방안
5. 주요정보통신기반시설 점검에 따른 미흡사항 조치방안
6. 주요정보통신기반시설 사이버침해사고 예방 및 대응조치
7. 그 외 주요정보통신기반시설 보호와 관련하여 협의가 필요한 사항 등
② 제1항에 따른 협의회의 의장은 행정자치부의 실·국장급 공무원으로 하고, 간사는 제4조에 따른 정보보호책임관으로 하며, 위원은 제5조에 따른 광역자치단체 정보보호실무책임관으로 한다. 다만, 의장이 필요하다고 인정하는 경우에는 한국인터넷진흥원 등의 정보보호전문가를 위원으로 위촉할 수 있다.
③ 협의회는 매년 상·하반기 등 년 2회 정기적으로 개최하며, 필요시 수시로 개최할 수 있다.
관리기관의 장은 제6조제2항에 따른 주요정보통신기반시설 보호 업무를 수행하기 위하여 정보보호책임자 소속 하에 별도의 전담 조직을 구성·운영할 수 있다.
① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자(계약직을 포함한다)로 하여금 다음 각 호의 사항을 준수하도록 하여야 한다.
1. 주요정보통신기반시설의 보호책임에 관한 사항
2. 비밀유지 및 비밀서약에 관한 사항
3. 주요정보통신기반시설 보호관련 법령 및 지침 등의 준수에 관한 사항
4. 보호관련 지침 및 보호조치 위반에 따른 징계에 관한 사항
② 관리기관의 장은 해당 시설을 관리·운용하는 업무종사자가 보직이 변경되거나 퇴사하는 경우 법 제27조에 따라 소관 주요정보통신기반시설의 관리·운용에 관하여 취득한 비밀을 외부에 유출하지 않도록 주지시켜야 한다. 이 경우 관리기관의 장은 보직이 변경되거나 퇴사하는 자에 대하여 비밀유지에 관한 서약서를 작성하도록 요구할 수 있다.
관리기관의 장은 소관 주요정보통신기반시설의 관리·운용 또는 취약점 분석·평가 등 보호에 관한 업무를 전문기관 또는 업체에 위탁하는 때에는 해당 기관 또는 업체의 위탁업무 수행에 참여하는 종사자에게 법 제27조에 따른 비밀유지의무를 준수하도록 비밀유지 서약서의 작성 요구, 업무관련 기록·자료의 안전한 보존 및 폐기 등 필요한 조치를 하여야 한다.
관리기관의 장은 소관 주요정보통신기반시설의 보호를 위하여 행정자치부, 한국인터넷진흥원, 자치단체 정보공유·분석센터 또는 다른 관리기관과 다음 각 호의 사항에 관하여 상호 협조할 수 있다.
1. 주요정보통신기반시설의 보호와 관련된 정보의 공유
2. 침해사고 예방·대응 및 복구를 위한 상호협력 및 지원
3. 취약점 및 침해요인과 관련된 정보의 공유
4. 그 밖에 소관 주요정보통신기반시설의 보호를 위하여 상호협력이 필요한 사항
① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자를 대상으로 해당 시설의 보호를 위하여 필요한 정보보호 교육 및 침해사고 모의훈련을 매년 1회 이상 실시하여야 한다.
② 관리기관의 장은 소관 주요정보통신기반시설의 보호를 위한 중요한 절차·방법, 담당인력 등의 변경이 있거나 침해사고가 발생 또는 관련 징후가 발견되었을 경우에는 필요한 교육·훈련을 실시하여야 한다.
③ 관리기관의 장은 소관 주요정보통신기반시설 보호를 위해 정보보호 책임자에게 연간 10시간 이상 정보보호 교육을 이수하도록 하여야 한다.
④ 관리기관의 장은 제22조 및 제23조에 따른 침해사고 대응·복구에 관한 절차 및 방법을 숙지하기 위해 침해사고 모의훈련을 실시하고 필요한 경우 해당 대응·복구절차 및 방법을 수정·보완하여야 한다.
행정자치부 장관은 주요정보통신기반시설 및 주요정보통신기반시설과 연계된 시설의 안정성 및 신뢰성을 위하여 관리기관에 대하여 다음 각 호의 사항을 지원할 수 있다.
1. 모의 해킹을 통한 취약점 분석 및 그 조치방안에 대한 지원
2. 보호대책 수립·이행에 대한 지원
3. 관계기관 비상연락체계 구축 및 사이버공격 발생 시 대응·복구 지원
4. 그 밖에 주요정보통신기반시설 보호를 위하여 지원이 필요한 사항
① 관리기관의 장은 법 제5조제1항에 따라 수립한 보호대책을 매년 8월말까지 행정자치부 장관에게 제출하여야 한다. 다만, 지방자치단체 관리기관의 보호대책은 광역자치단체의 장이 취합하여 행정자치부 장관에게 제출하여야 한다.
② 관리기관의 장은 보호대책을 수립할 때에 시행령 제10조제2항에 따라 행정자치부 장관으로부터 통보받은 보호대책 수립지침을 준수하여야 하며, 법 제9조에 따라 실시한 취약점 분석·평가 결과를 반영하여야 한다.
③ 행정자치부 장관은 필요할 경우 관리기관으로 하여금 제1항에 따른 보호대책 제출시 취약점 분석·평가 결과를 함께 제출하도록 할 수 있다.
④ 행정자치부 장관은 취약점 분석·평가 결과 등을 고려하여 필요할 경우 관리기관의 장에게 보호대책을 보완하도록 요청할 수 있다.
① 행정자치부 장관은 법 제6조 및 시행령 제10조제3항에 따라 정보통신기반보호위원회에서 심의·확정한 행정자치부 소관 보호계획을 심의일로부터 15일 이내에 소관 관리기관에 통보해야 한다.
② 관리기관의 장은 제1항에 따라 통보받은 보호계획과 제14조에 따라 수립한 보호대책을 이행하여야 한다.
① 행정자치부 장관은 법 제6조에 따른 보호계획을 수립하기 위해 전년도 보호대책을 제출·이행한 관리기관을 대상으로 해당 보호대책에 대한 이행점검을 실시할 수 있다.
② 행정자치부 장관은 직접 이행점검을 실시하거나 관리기관으로 하여금 자체적으로 이행점검을 한 후 그 결과를 행정자치부 장관에게 제출하도록 할 수 있다. 이 때, 지방자치단체 관리기관에 대해서는 광역자치단체의 장이 이행점검을 실시한 후 그 결과를 행정자치부 장관에게 제출하여야 한다.
③ 행정자치부 장관은 관리기관 보호대책의 이행에 따른 기관별 보호조치의 세부적인 내용을 별도로 확인·점검할 수 있다.
② 관리기관의 장은 취약점 분석·평가를 실시할 때에는 법 제9조제4항의 기준 등을 고려하여 대상, 기간, 절차, 방법 등 필요한 세부 계획을 수립·이행하여야 한다.
③ 관리기관의 장은 법 제9조제3항에 따라 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 특성 등을 고려하여 취약점 분석·평가를 하게 할 수 있다.
1. 한국인터넷진흥원
2. 법 제16조의 규정에 의한 정보공유·분석센터
3. 지식정보보안 컨설팅전문업체
4. 한국전자통신연구원
④ 관리기관의 장은 취약점 분석·평가시 발견된 취약점에 대한 조치를 위해 점검항목별 조치 이력 관리대장을 작성·관리하여야 한다.
⑤ 행정자치부 장관은 소관 정보통신기반시설을 주요정보통신기반시설로 신규 지정한 때에는 최초로 수행하는 취약점 분석·평가에 대해 관리기관을 지원할 수 있다.
① 관리기관의 장은 시행령 제17조제2항에 따라 취약점 분석·평가가 필요하다고 판단되는 경우에는 1년이 되지 아니한 때에도 소관 주요정보통신기반시설에 대한 자체 점검을 실시할 수 있다.
② 관리기관의 장은 다음 각 호의 어느 하나에 해당하는 경우에는 수시로 점검(이하 "수시점검"이라 한다)을 실시할 수 있다.
1. 침해사고의 징후가 있는 경우
2. 시설·장비의 교체 및 보수를 한 경우
3. 침해사고에 따른 복구조치를 한 경우
4. 소관 주요정보통신기반시설의 보호에 관한 절차·방법 및 담당 인력의 변경이 있는 경우
③ 관리기관의 장은 제1항과 제2항에 따른 자체 점검 및 수시점검을 실시할 때에는 다음 각 호의 사항을 고려하여 실시하여야 한다.
1. 법 제9조에 따른 취약점 분석·평가 기준
2. 취약점 분석·평가의 범위 및 항목, 절차, 방법
3. 이전에 실시한 취약점 분석·평가의 결과
④ 관리기관의 장은 자체 점검 및 수시점검을 실시한 때에는 점검 기간, 대상, 방법 및 결과 등 점검에 관한 제반사항을 기록·관리하여야 한다.
1. 주요정보통신기반시설보호를 위해 수립된 각종 보호조치, 절차 및 방법 등의 재검토 및 수정·보완
2. 시설·장비의 개축·보수 또는 설치
3. 그 밖에 취약점 분석·평가 또는 점검 결과를 반영한 보완 조치
① 관리기관의 장은 소관 주요정보통신기반시설에 대한 전자적 침해사고가 발생한 경우 신속히 대응하고 관계기관에 알리기 위해 필요한 연락체계를 구축하여야 한다.
② 관리기관의 장은 제1항에 따른 연락체계에 있어 행정자치부 정보보호책임관과 한국지역정보개발원의 자치단체 정보공유·분석센터, 한국인터넷진흥원이 포함되도록 하여야 한다. 이 때, 지방자치단체 관리기관의 경우에는 해당 광역자치단체 정보보호실무책임관도 포함하여야 한다.
① 관리기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란·마비 또는 파괴된 사실을 인지한 때에는 법 제13조제1항에 따라 행정자치부와 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 그 사실을 통지하여야 한다.
② 제1항에 의한 침해사고의 통지에는 다음 각 호의 사항이 포함되어야 한다.
1. 침해사고발생 일시 및 시설
2 침해사고로 인한 피해내역, 조치현황
3. 기타 신속한 대응·복구를 위하여 필요한 사항
① 관리기관의 임직원 및 유지보수업체의 수탁업무 수행에 참여하는 종사자는 전자적 침해사고의 징후가 있거나 전자적 침해사고의 발생을 인지한 때에는 이를 즉시 정보보호책임자에게 보고하고 침해사고대응팀 구성 등 필요한 응급조치를 취하여야 한다.
② 정보보호책임자는 소관 주요정보통신기반시설에 대한 중대한 전자적 침해사고의 발생·징후를 보고 받거나 인지한 때에는 이를 행정자치부에 즉시 보고하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설의 교란, 마비 또는 파괴가 일어나지 아니하는 등 경미한 침해사고의 발생·징후는 조치하고 이를 사후보고할 수 있다.
③ 관리기관의 장은 제1항 및 제2항에 따른 사항을 포함하여 전자적 침해사고 발생에 따른 대응절차 및 방법 등 침해사고 대응체계를 수립하여야 한다. 이 경우 별표 1에서 정하는 사항을 고려하여야 한다.
④ 행정자치부 장관은 관리기관에게 침해사고 대응요령을 권고할 수 있으며,관리기관은 이에 따라 피해사실의 보고 및 긴급대응조치 등을 하여야 한다.
① 관리기관의 장은 소관 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취하여야 한다. 이 때, 행정자치부 장관 또는 한국인터넷진흥원의 장에게 지원을 요청할 수 있다.
② 관리기관의 장은 제1항의 복구조치를 위하여 필요한 조직, 자원, 외부기관과의 협력 등을 포함하는 복구지원체계를 구축하여야 한다.
③ 관리기관의 장은 제1항 및 제2항의 내용을 포함하여 전자적 침해사고가 발생한 시설에 대한 복구절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 이 경우 별표 2에서 정하는 사항을 고려하여야 한다.
관리기관의 장은 소관 주요정보통신기반시설을 보호하기 위하여 침해사고 예방대책을 수립·시행하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 시스템·네트워크 관리 및 보호에 관한 대책
2. 정보보호시스템 설치·운용에 관한 대책
3. 전산자료에 대한 백업조치 등
4. 악성코드 방지 대책
5. 접근통제에 관한 대책
6. 그 밖에 소관 주요정보통신기반시설의 침해사고 예방을 위해 필요한 사항
① 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 타 정보통신망과 분리·운영, 인터넷 연결이 차단된 관리자PC를 통한 시스템 관리기능 접속, 비인가 단말기 접속차단 등의 기술적 통제수단을 강구하여야 한다.
② 관리기관의 장은 소관 주요정보통신기반시설 관련 서버, 단말기, 네트워크 장비 등에 불필요한 서비스·사용자 계정 등은 제거하고 유지보수를 위한 외부업체의 원격관리를 금지하여야 한다.
③ 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 시스템별 사용자접근, 사용내역 등의 로그자료를 6개월 이상 보관하는 등 기록 유지하여야 한다.
① 관리기관의 장은 주요정보통신기반시설 중 제어시스템의 보호를 위하여 제어시스템이 포함된 정보통신망을 폐쇄망으로 운영하여야 한다. 다만, 업무시스템 등과의 연결이 불가피할 경우 해당 구간에 침입차단시스템 설치 등 제어시스템을 내부 업무망 등과 분리·운영하여야 한다.
② 관리기관의 장은 주요정보통신기반시설 중 제어시스템 관련 서버 및 단말기 등을 대상으로 USB, CD, DVD 등 보조기억매체 사용 통제, 보안패치 적용, 바이러스 백신 설치 등의 악성코드 감염 및 자료 유출 방지대책을 마련·시행하여야 한다.
③ 관리기관의 장은 제어시스템 단말기는 망간 혼용사용을 금지하고, 제어망 내 자료 이동이 불가피할 경우 전용 단말기를 지정, 인가된 USB 등을 통해 백신 검사 후 자료이동을 실시하여야 한다.
관리기관의 장은 주요정보통신기반시설 관련 정보화사업 및 보안컨설팅 수행 등 외부 용역사업 계약 시 보안서약서를 징구하고 다음 각 호의 사항을 계약서에 명시하여야 한다.
1. 중요 정보 취급에 대한 비밀 유지 서약
2. 외주 업체가 준수해야 할 보안준수 사항 및 위반시 손해배상 책임
3. 정보시스템 접근 권한에 대한 승인 절차 준수
4. 보안관리에 대한 감사 권한 등
관리기관의 장은 주요정보통신기반시설 보호 업무를 수행함에 있어 이 지침에 명시되지 않은 사항은 다음 관련 규정 및 지침 등에 따른다.
2.「정보시스템 저장매체 불용처리지침」
3.「보안업무규정」
4.「국가정보보안기본지침」
6. 그 밖에 정보보호 관련 법령 및 지침·가이드·매뉴얼
부칙
이 지침은 발령한 날부터 시행한다.
「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 훈령 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 훈령의 폐지, 개정 등의 조치를 하여야 하는 기한은 시행일로부터 3년 이내(2015년 9월 6일)로 한다. 다만, 존속기한 만료일 이전에 필요성을 재검토하여 기한을 연장할 수 있다.
이 규정은 발령한 날부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기