<4D F736F F F696E74202D20C1DFBCD2B1E2BEF7C0C720B1E2BCFABAB8C8A3B8A620C0A7C7D120BCBCBACE20BAB8BEC8C5EBC1A620BDC7C7E020B0A1C0CCB5E5B6F3C0CE20B0B3B9DF B315D2E BC8A3C8AF20B8F0B5E55D>

Size: px
Start display at page:

Download "<4D6963726F736F667420506F776572506F696E74202D20C1DFBCD2B1E2BEF7C0C720B1E2BCFABAB8C8A3B8A620C0A7C7D120BCBCBACE20BAB8BEC8C5EBC1A620BDC7C7E020B0A1C0CCB5E5B6F3C0CE20B0B3B9DF283230313031323134295B315D2E707074205BC8A3C8AF20B8F0B5E55D>"

Transcription

1 중소기업의 기술보호를 위한 세부 보안통제 실행 지침서 보안경영관리체제의 국제표준인 ISO/IEC 부록A의 39개 통제영역과 133개의 통제 항목에 대한 세부 보안통제 실행 지침서

2 제 출 문 지식경제부 장관 귀하 본 보고서를 중소기업의 기술보호를 위한 세부 보안통제 실행 가이드라인 개발 에 관한 정책연구의 최종보고서로 제출합니다. 연구수행기관:주식회사이오컨설팅 참여연구진: 총괄책임자:박주석(이오컨설팅) 연구원성낙범(이오컨설팅) 연구원성기창(이오컨설팅)

3 목차제1장서론 제1절연구배경...10 제2절연구목적및내용 중소기업기술보호사고현황 중소기업기술보호실태와장벽 국내 외기술보호지침현황...16 중소기업기술보호전략...15 제2장보안통제관련국내 외표준및지침 제3절국내표준및지침...20 보안통제실행지침개발방안 정보보호관리체계인증제도(K-ISMS) 산업기술보호지침...22 전자정부정보보호관리체계(G-ISMS)...20 제4절국외표준및지침 중소기업기술유출대응매뉴얼...27 중소기업을위한ISMS 가이드라인 IT서비스관리국제표준(ISO/IEC ISMS국제표준(ISO/IEC 패밀리) 20000)...32 제5절보안국제표준발전동향 국제정보시스템감사통제협회표준(CoBIT) 시스템보안공학성숙도모델(SSE-CMM) 제3장보안통제실행지침개요 제6절보안통제실행지침개요...40 제7절보안통제실행지침의실무활용 국제표준과보안통제항목...40 보안통제실행지침구조 보안통제수준진단 시활용방안...46 보안관리체계수립 시활용방안...48 보안위험관리 시활용방안...47 제4장관리적보안통제실행지침 제8절보안정책...52 보안관리교육및훈련 시활용방안...49 제10절자산관리...68 제9절보안조직 내부조직...55 외부조직...64 제11절인적자원보안 자산에대한책임 고용이전...75 고용중...79 정보분류 고용종료및변경...83 제12절보안사고관리...87 중소기업의기술보호를위한 1. 보안사건과취약점보고...87 세부보안통제실행지침서 제13절사업연속성관리...95 제14절준거성 보안사고및개선관리...90 법적요구사항과의준거성 제5장물리적보안통제실행지침 3. 보안정책과표준준거성, 정보시스템감사고려사항 기술적준거성 제15절물리적 환경적보안 제6장기술적보안통제실행지침 보안지역 제16절통신및운영관리 장비보안 운영절차와책임 제3자서비스인도관리 시스템계획및인수 네트워크보안관리 매체취급 악성코드와이동코드로부터보호 정보의교환 전자상거래서비스 백업 제17절접근통제 접근통제를위한사업요구사항 사용자접근관리 사용자책임 감시 제18절정보시스템획득, 네트워크접근통제 운영시스템접근통제 어플리케이션정보접근통제 이동컴퓨팅및원격근무 정보시스템의보안요구사항 어플리케이션의정확한처리 암호통제 시스템파일의보안 개발및유지보수 부록1. 부록 보안통제용어해설 개발및지원프로세스에서의보안 부록3. 보안통제관련국내법규현황 [사례] 기술적취약점관리 보안관리매뉴얼

4 통제영역 통제항목 세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 A.5 보안정책 A.5.1 정보보안정책 A A 정보보안정책문서 페이지 A 정보보안정책의검토 A.6 보안조직 A.6.1 A 정보보안경영자실행의지 정보보안조정 내부조직 A A A 정보보안책임배정 정보처리설비인가프로세스 58 A 기밀성협정 59 A 관련기관접촉 전문기관접촉 A.6.2 외부조직 A A A 정보보안의독립적검토 외부조직과관련된위험식별 63 A 고객과거래시보안 제3자보안협정 A.7 67 자산관리 A.7.1 자산에대한책임 A A 자산의소유권 자산의목록 69 A 자산의수용가능한사용 A.8.1 A.7.2 정보분류 A A 정보표시및취급 분류지침 A.8 고용이전 A A 역할과책임 76 인적자원 A 선발 고용약정및조건 보안 A.8.2 고용중 A A A 경영자책임 정보보안인식, 징계프로세스교육, 훈련 A.8.3 고용종료및변경 A A A 책임종료 자산반환 접근권한의제거 A.9 물리적, 환경적 보안 A.9.1 A.9.1.1물리적보안경계 117 보안지역 A.9.1.2물리적출입통제 A A 사무실, 방, 설비보호 118 A 외부와환경적위협보호 보안지역에서의업무 A.9.2 A 공개적접근, 인도및선적지역 장비보안 A.9.2.1장비장소와보호 A.9.2.2지원유틸리티 목차 (ISO/IEC 부록 A 통제항목 기준) 4

5 통제영역 통제항목 세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 A.9 물리적, 페이지 환경적 보안 A.9.2 장비보안 A.9.2.3케이블링보안 A.9.2.4장비유지보수 A.9.2.5건물외부의장비보안 126 A.9.2.6장비의안전한처분또는재사용 127 A.9.2.7자산의반출 A.10.1 운영상절차와책임 A A 문서화된운영절차 130 A 변경관리 직무분리 A.10.2 제3의서비스인도 관리 A A A 개발, 서비스인도 제3자서비스감시및검토 시험, 운영설비의분리 A.10.3 시스템계획및인수 A A 제3자서비스변경관리 용량관리 A.10.4 코드로부터의보호 악성및이동 A A 시스템인수 악성코드에대한통제 A.10.5 A 이동코드에대한통제 145 백업 A A 네트워크통제 정보백업 A.10 A.10.6 통신및운영 네트워크보안관리 A 네트워크서비스의보안 151 관리 A.10.7 매체취급 A A A 삭제가능한매체의관리 매체폐기 153 A 정보취급절차 시스템문서의보안 A 정보의교환 A A A 정보교환정책과절차 교환협정 158 A 전송중물리적매체 전자메시징 A.10.9 A 업무정보시스템 161 전자상거래서비스 A A 전자상거래 162 A 온라인거래 공개가용정보 A 감시 A A A 감사로깅 시스템사용감시 168 A 로그정보의보호 169 A 관리자와운영자로그 170 A 결점로깅 시각동기화 목차 (ISO/IEC 부록 A 통제항목 기준) 5

6 통제영역 통제항목 세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 A.11.1 페이지 A.11.2 접근통제사업요구사항 A 접근통제정책 175 사용자접근관리 A A A 사용자패스워드관리 권한관리 사용자등록 A.11.3 사용자책임 A A 사용자접근권한검토 패스워드사용 A A A 네트워크서비스사용정책 보호되지않은사용자장비 책상및화면정리정책 A.11 접근통제 A.11.4 네트워크접근통제 A A A 원격진단과구성포트보호 외부접속에대한사용자인증 네트워크에서의장비식별 A A A 네트워크라우팅통제 네트워크에서의분리 네트워크접속통제 A.11.5 A 안전한로그온절차 194 운영시스템접근통제 A A A 시스템유틸리티의사용 사용자식별및인증 패스워드관리시스템 A.11.6 A A 접속시간의제한 세션시간종료 198 정보접근통제 어플리케이션과 A 정보접근제한 199 A.11.7 A 민감한시스템분리 201 이동컴퓨팅및원격근무 A A 이동컴퓨팅및통신 원격근무 A.12 정보시스템획득, A.12.1 정보시스템 개발및유지 A.12.2 보안요구사항 A 보안요구사항분석및명세화 207 어플리케이션의정확한처리 A A A 입력데이터유효성확인 내부처리의통제 209 A 메시지무결성 출력데이터유효성확인 목차 (ISO/IEC 부록 A 통제항목 기준) 6

7 통제영역 통제항목 세부통제항목중소기업의기술보호를위한 세부보안통제실행지침서 A.12.3 암호통제 A 암호통제사용에대한정책 페이지 215 A.12 정보시스템 A.12.4 A 키관리 216 획득, 유지개발및 시스템파일의보안 A A A 운영소프트웨어의통제 시스템시험데이터보호 프로그램소스코드접근통제 A.12.5 개발및지원프로세스에서의 A 변경통제절차 222 보안 어플리케이션기술적검토 A A 운영시스템변경후 A 소프트웨어패키지변경제한 정보유출 A.12.6 기술적취약성관리 A A 외주소프트웨어개발 기술적취약성의통제 A 정보보안 사고관리 A.13.2 A.13.1 취약점보고 정보보안사건과 A A 정보보안사건보고 보안취약점보고 88 정보보안사고와 89 개선의관리 A A A 책임과절차 정보보안사고로부터의학습 증거수집 A.14 사업 연속성 관리 A.14.1 A 사업연속성 정보보안을포함 사업연속성프로세스에 96 관리의정보보안관점 A A 및이행사업연속성과위험평가 정보보안을포함한연속성계획개발 97 A A 사업연속성계획수립프레임워크 사업연속성계획시험, 유지및재평가 A.15 A.15.1 A 적용가능한법률의식별 102 준거성 법적요구사항과의 준거성 A A A 지적재산권 조직의기록보호 103 A 개인정보프라이버시&데이터보호 104 A 정보처리설비오용의차단 암호통제의규제 준거성, A.15.2 보안정책과표준 기술적준거성 A 보안정책및표준과의준거성 107 A.15.3 A 기술적준거성점검 109 감사고려사항 정보시스템 A A 정보시스템감사통제 정보보안감사도구보호 목차 (ISO/IEC 부록 A 통제항목 기준) 7

8

9 제1장 서론 제1절 연구 배경 1. 중소기업 기술보호 사고 현황 2. 중소기업 기술보호 실태와 장벽 3. 중소기업 기술보호 전략 제2절 연구 목적 및 내용 1. 국내 외 기술보호 지침 현황 2. 보안통제실행지침 개발 방안

10 액이지속적으로증가 한국기업의기술수준이고도화됨에따라우리첨단기술에대한불법적인산업기술해외유출시도및예상피해 체계적이지못한기술보호에따른무분별한기술유출로매년엄청난국부손실발생 국가핵심기술등첨단산업기술은국가성장동력의핵심으로국제경쟁력제고에매우큰영향을끼치고있으나, 총203건임. 시도가41건으로전년(32건) 국가정보원산업기밀보호센터에서발간한자료에따르면, < 산업기술해외유출(적발기준) 특히, 08년미국 대비31% 發 금융위기로전세계가불황기로접어든 08년의경우산업기술유출 증가 건수> 04~ 08년간적발된산업기술유출시도는 제1절 연구 배경 1. 중소기업 기술보호 사고 현황 국내 산업 기술 유출 사고가 지속적으로 증가하고 있어 보안통제 강화 절실 [자료:국가정보원산업기밀보호센타] 화학,5)생명공학,6)기타순으로첨단산업과기술분야에집중되는것으로분석. 기술유출적발건수203건을유출주체별로분류한결과1)전직직원,2)현직직원,3)협력업체직원, 기술유출적발건수203건을산업별로분류한결과1)전기 전자,2)정보통신,3)정밀기계,4)정밀 4)유치과학자,5)투자업체,6)기타순으로전현직직원과협력업체직원에의한기술유출이92% 으며,전체약90%가매수와무단보관에따른것으로개인의보안의식에좌우되는것으로나타남. 기술유출유형별분석결과1)매수,2)무단보관,3)내부공모,4)공동연구,5)위장합작,6)기타순 에달해인적보안관리체제의허술함을보여주고있음. 타순이며,전체약80%가개인의이득을취할목적으로보안사고발생 기술유출동기별분석결과1)개인영리,2)금전유혹,3)처우불만,4)인사불만,5)비리연루,6)기 10

11 제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 중소기업의기술력이향상되는데반해, 산업기술보호를위한관리체계가대기업에비해상대적으로 1. 미흡한중소기업의기술유출심화 기술보호 사고 현황 - 04~ 09년산업기술유출시도는대기업이47건(29%)인반면, 중소기업에대한기술유출시도는103건(63%)으로2배가넘음 대비 기술보호 미흡으로 기술유출 2배 이상 발생 적발건수 구분< '04~'09년분야별산업기술해외유출사건적발건수(국정원산업기밀보호센터) 대기업 47 중소기업 103 기타 계> < 이전체기업의14.7%로업종별규모별로아래와같이분석됨. 중소기업청이2009년1,500개기업을대상으로조사한결과산업기밀을유출경험이있는중소기업 업종별산업기밀유출현황(중기청2009) > < 규모별산업기밀유출현황(중기청2009) > 적으로발생된기업이전체20.4%로분석됨. (우측그래프참조) 산업기술이유출된중소기업중3회이상반복 < 산업기밀유출횟수(중기청2009) > 산업기술유출1건당피해금액은10.2억으로 분석됨. 백비율임 (아래그래프참조) 막대그래프의%는매출액대비피해금 < 업종별산업기밀유출1건피해금액(중기청2009) > < 규모별산업기밀유출1건피해금액(중기청2009) > 11

12 제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 단위: 개, %) 고 부가가치 창출 혁신형 중소기업 의 기술보호 체계 강화 시급 2. 중소기업 기술보호 실태와 장벽 사업구분 (2008년말기준, 체수 전체 2,861,830 2,856,913 2,939,661 2,934,897 2,927,436 2,922,533 2,867,749 2,863,583 2,940,345 2,936,114 3,049,345 3,046, ,046,958 3,044, *자료:중소기업청,연도별사업체기초통계조사보고서가공및재편 비중 (99.8) (99.8) (99.8) (99.9) (99.9) (99.9) (99.9) [ 년도별 현황 ] 활동을통해일반기업보다높은부가가치를창출하는중소기업을말하는 혁신형중소기업 이있다. 이러한혁신형중소기업으로지정받은중소기업의경우,보호할가치가있는산업기술을보유하고있는것 으로보여지며,2008년말기준32,363개의중소기업이혁신형중소기업으로지정받았고전체중소기업의 그리고중소기업중에는이른바벤처기업,이노비즈기업,경영혁신기업을포괄하는개념으로기술 경영혁신 약1%를차지하고있는것으로나타났다. 1벤처기업 구분 (2008년말기준, 2007 단위: 2008 개) 2Inno-biz 3경영혁신형 8,778 7,702 7,967 9,732 12,218 14,015 15,401 [ 계 1,8560 2,3750 2,7620 3,4540 7,183 2,619 11,526 6,510 14,626 11,324 중소기업 현황 10,634 ] 중복업체 1,134 10,077 1,519 10,729 1,890 13,186 2,455 22,020 5,006 32,051 7,650 41,351 합계(중복제외) 이노비즈기업: 벤처기업: 벤처금융기관이자기책임하에평가하여투자 보증 융자하는기업을지칭( 98년도입) 기술성위주의평가를통해기술경쟁력을검증받은기업( 01년도입) 9,500 8,558 8,839 10,731 17,014 24,401 32,363 8,988 * 경영혁신형기업: 자료: 중소기업청, 마케팅, 혁신형중소기업현황 인적자원관리등경영혁신분야에서탁월한기업( 06년도입) 대한조사결과에서는1독창적인기술이라는응답이 36.3%,2원가절감이나성능또는품질을현저하게 중소기업의중요산업기술(2008년지경부조사) 개선하는기술이라는응답이27.1%,3기술력향상과 중소기업의보유기술중가장중요한기술이무엇인가에 경쟁력강화에이바지할수있는기술이라는응답이 12.7%,41~3의산업기술을응용하거나활용하는 0.3% 기술이23.6%로나타났다. 기술력/ 12.7% 원가절감/품질개선 응용/활용기술 경쟁력 모름/무응답 강화 23.6% 27.1% 36.3% 독창적인 기술0.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0%40.0% 12

13 제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 구분(사례수) 중소기업의보안투자비용(2008년기준, (매출액대비비율) 전체 (매출액대비비율) 일반중소기업 중기청조사) 중소기업(1,500개) 2,079만원 (0.15%) 2,262만원 (0.12%) (매출액대비비율) 혁신형중소기업 1,971만원 (0.18%) 을보안비용에지출한기업1개사당평균2,079만 원으로매출액대비0.15%의비용을보안업무에투 2008년한해동안산업기밀보호를위해일정금액 자하였으며, < 중소기업(939) 구분(사례수) 산업기술보호업무담당직원보유여부> 의혁신형중소기업이매출액대비보안투자비율이 0.06% 일반중소기업보다벤처, 이노비즈등 30.5% 있음 69.5% 없음 그리고보안담당직원이있는지에대한설문에서는 높게나타났다. (중소기업1500개) 전담직원보유율 < 구분 산업기술보호전담직원보유기업비율> 전체 16% 중소기업 14.5% 일반 중소기업 혁신형 대기업등을포함한전체비율을보면37.2%가담당 직원이있었다. 30.5%의중소기업에서보안담당직원이있었으며, 그러나전체37.2% 중19.3%만이산 17% 보호교육을실시한사례가있는지에대한질문에서 업기술보호업무를전담하고있는것으로나타났다. 또한사내에서3년간임직원들을대상으로산업기술 평균전담직원수 < 최근3년간사내산업기술보호교육실시여부> 중소기업(939개) 구분(사례수) 1.34명 27.6% 있음1.56명 72.4% 없음 1.24명 않은것으로나타났다. 끝으로산업기술보호를위한기타의 는72.4%의대부분의중소기업에서교육을실시하지 개별적인활동에대해 조직및제도 와 보안감독체계 로구분하여조사한결과를 살펴보면, 강화되고있으나여전히개선의여지가 일부항목을제외하고는매년보안활동이 있음을알수있다. 연구노트 일지작성의항목등의 조직& 구분 중소기업이자율적으로경제적인기술보호 활동을지원하기위한절실하다고할수있다 상기국내중소기업의여건을고려하여 제도 보안관리규정마련 < 중소기업의기술보호활동추이> 정기보안점검,감사 보안전담조직운영 35.3% 9.8% 6.6% 37.3% 12.3% 5.9% 38.2% 11.9% 6.1% 보안감독체계 경쟁업체취업금지서약 연구노트,일지작성 입사시비밀유지계약작성 퇴사시비밀유지및 35.8% 57.8% 48.0% 34.7% 58.2% 47.3% 33.3% 방문자출입통제 67.0% 64.6% 60.2% 거래업체에대한비밀유지 50.1% 계약 이동식저장매체보안관리 44.3% 37.9% 23.0% 69.1% 외부보안서비스업체활용 % 28.5% 39.2% 2. 중소기업 기술보호 실태와 장벽 중소기업의 여건을 고려한 기술보호 체계 강화 지원 활동 전개 필요 13

14 제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 구분(사례수) 중소기업의보안투자비용(2008년기준, (매출액대비비율) 전체 (매출액대비비율) 일반중소기업 중기청조사) 중소기업(1,500개) 2,079만원 (0.15%) 2,262만원 (0.12%) (매출액대비비율) 혁신형중소기업 1,971만원 (0.18%) 을보안비용에지출한기업1개사당평균2,079만 원으로매출액대비0.15%의비용을보안업무에투 2008년한해동안산업기밀보호를위해일정금액 자하였으며, < 중소기업(939) 구분(사례수) 산업기술보호업무담당직원보유여부> 의혁신형중소기업이매출액대비보안투자비율이 0.06% 일반중소기업보다벤처, 이노비즈등 30.5% 있음 69.5% 없음 그리고보안담당직원이있는지에대한설문에서는 높게나타났다. (중소기업1500개) 전담직원보유율 < 구분 산업기술보호전담직원보유기업비율> 전체 16% 중소기업 14.5% 일반 중소기업 혁신형 대기업등을포함한전체비율을보면37.2%가담당 직원이있었다. 30.5%의중소기업에서보안담당직원이있었으며, 그러나전체37.2% 중19.3%만이산 17% 보호교육을실시한사례가있는지에대한질문에서 업기술보호업무를전담하고있는것으로나타났다. 또한사내에서3년간임직원들을대상으로산업기술 평균전담직원수 < 최근3년간사내산업기술보호교육실시여부> 중소기업(939개) 구분(사례수) 1.34명 27.6% 있음1.56명 72.4% 없음 1.24명 않은것으로나타났다. 끝으로산업기술보호를위한기타의 는72.4%의대부분의중소기업에서교육을실시하지 개별적인활동에대해 조직및제도 와 보안감독체계 로구분하여조사한결과를 살펴보면, 강화되고있으나여전히개선의여지가 일부항목을제외하고는매년보안활동이 있음을알수있다. 연구노트 일지작성의항목등의 조직& 구분 중소기업이자율적으로경제적인기술보호 활동을지원하기위한절실하다고할수있다 상기국내중소기업의여건을고려하여 제도 보안관리규정마련 < 중소기업의기술보호활동추이> 정기보안점검,감사 보안전담조직운영 35.3% 9.8% 6.6% 37.3% 12.3% 5.9% 38.2% 11.9% 6.1% 보안감독체계 경쟁업체취업금지서약 연구노트,일지작성 입사시비밀유지계약작성 퇴사시비밀유지및 35.8% 57.8% 48.0% 34.7% 58.2% 47.3% 33.3% 방문자출입통제 67.0% 64.6% 60.2% 거래업체에대한비밀유지 50.1% 계약 이동식저장매체보안관리 44.3% 37.9% 23.0% 69.1% 외부보안서비스업체활용 % 28.5% 39.2% 2. 중소기업 기술보호 실태와 장벽 중소기업의 여건을 고려한 기술보호 체계 강화 지원 활동 전개 필요 14

15 제1절 연구 배경 순위 < ISMS 인증제도개선을위한제안사항_인증기업> 3. 중소기업 기술보호 지원 전략 1 o업종또는기업규모별세부실행지침서개발 비율(%) 42 o경영자및보안담당자를위한표준교육교재개발 o133개통제항목별모범운영사례(bestpractice)발굴보급 o정보자산에위험성평가방법론표준및운영소프트웨어개발 74.5 순위 7 o보안관리성과측정방법론및성과지표개발 o보안전문인력양성을위한보안교육실시 o국제표준내용에대한해설서및실행매뉴얼개발 o133개통제항목별모범운영사례(bestpractice)발굴보급 < ISMS 인증제도개선을위한제안사항_전문가> 69.1 o업종또는기업규모별세부실행지침서개발 비율(%) o보안관리성과측정방법론및성과지표개발 o국제표준내용에대한해설서및실행매뉴얼개발 83.3 [출처] 중소기업의기술보호관리체계국제표준의효과적인활용및산업체확산지원방안연구173p, 67 o경영자및보안담당자를위한표준교육교재개발 o보안전문인력양성을위한보안교육실시 o정보자산에위험성평가방법론표준및운영소프트웨어개발 186p 주고있다. 1) 상기2종류의표는ISMS인증을유지하고있는기업과보안전문가에대한설문조사의결과를보여 2) 중소기업이외부전문가의도움을최소화하여자체적으로활용가능한지침서제공 업종별, 설문결과는다음과같은중소기업의기술보호지원전략수립에대한지침을제공한다. 4) 5) 3) 보안의식고취와보안관리전문역량확보를위한교육프로그램의제공 보안성과측정을위한방법론및성과지표개발 보안통제항목별모범관행의발굴및제공 규모별특성을고려한ISMS지침서제공 6) 위험관리를위한패키지소프트웨어개발및보급 통제 효과를 고려하여 물리적 관리적 기술적 보안통제 강화 권장 15

16 제2절 연구 목적 및 내용 중소기업의기술보호를위한 세부보안통제실행지침서 인증심사기준(K-ISMS) 정보보호관리체계 지침명 세부통제항목수 120 참조표준/지침 396개의세부점검항목 특징 전자정부정보호관리체계 인증심사기준(G-ISMS) 산업기술보호지침 심사기준대비점검항목과해설 중소기업기술유출대응 매뉴얼 72 관련법규 6개영역50개의점검항목. 7개영역72개기술유출대응항목. 8개영역58개의자가진단항목 ISO/IEC 개통제항목제외 중소기업을위한ISMS 가이드라인 39 ISO/IEC 상위통제항목39개에대한지침 ISO/IEC 개세부통제항목의 지침명 ]ISO/IEC 세부통제항목수 패밀리지침은본보고서 제4절국외표준및지침 참조 구현지침(ISO/IEC 참조표준/지침 특징 정보기술서비스관리지침 정보보안경영시스템 [ 국외 27002) ISO/IEC 인증규격의구현지침 ) 11(프로세스) BS 현황 국제정보시스템감사통제 협회표준(CoBIT) 34(프로세스) ISO/IEC COSO, ITIL v ITIL, 28개의통제목표와34개프로세스. 서비스수준관리등11개프로세스 요구사항및구현지침제공 시스템보안공학성숙도 모델(SSE-CMM) 33(프로세스) DoD 직관행22 기본관행11 프로세스제시 프로세스, 프로젝트및조 지침번호 7064:2003 문자시스템체크 ]아래는주요기술지침만을기술한것임. 지침명 지침번호 x세부사항은ISO홈페이지참조 9796-x 디지털서명(1) TR x IT보안평가기준 IT보안보증프레임워크 지침명 x 9797-x 9798-x 해쉬함수 메시지인증 개체(Entity) 인증 ISO/IEC x x x 타임스템핑 IT네트워크보안 암호화기법 [ ISO/IEC 기술 지침 현황 ISO/IEC x x TR 14516:2002제3자서비스관리 부인방지 키관리 ISO/IEC 18045: x x 랜덤비트생성 ISO/IEC x 디지털서명(2) ISO/IEC x 암호화알고리즘 IT보안평가방법론 네트워크보안 1. 국내 외 기술보호 지침 현황 기술보호 지침은 ISO/IEC 패밀리와 ISO/IEC 기술지침으로 발전 추세 [ 국내 지침 현황 ] 16

17 실무지침을통합한 보안통제실행지침서 를최종적으로개발하였다 본연구는중소기업의국제수준의시장경쟁력확보를위하여실용적이고효과적인기술보호정착을지원하는 실무지침을제공하기위해8개의세부과제를수행하여보안통제용어해설, 세부보안통제해설, 세부보안통제 Global ( 중소기업의실용적이고효과적인 시리즈) ISO/IEC Standard 기술보호체계정착지원 국내법규및지침, 연구 성과 물 [과제1]국제표준제정동향분석 보안통제 용어해설 보안실무지침제공 중소기업에부합한 상용보안솔루션 세부보안통제항목 해설 세부보안통제항목 [과제2] 국내기술보호지침선행연구결과조사 실무지침 연구 세부 과제 [과제3] [과제4]국내기업의보안통제관련지침수집및조사 [과제5] [과제6] 기술보호관련국내법규조사 [과제7] 보안통제해설서 개발 [과제8] 보안통제실무지침서 개발 정보자산보안통제적용방안수립 보안통제용어해설서 개발 보안통제관련 국제표준조사 [과제1] 보안통제관련국내지침 선행연구결과조사 [과제2] 국내법규와지침조사 보안통제관련 [과제3] 보안통제용어해설 [과제6] 국내기업지침조사 보안통제관련 [과제4] 개발 보안통제적용방안수립 정보자산유형별 [과제5] 세부보안통제해설서 [과제7] 개발 세부보안통제실무지침 [과제8] 개발 제2절 연구 목적 및 내용 2. 보안통제실행지침 개발 방안 국내 중소기업의 Word Class 시장경쟁력 확보 17

18

19 제2장 보안통제 관련 국내 외 표준 및 지침 제3절 국내 표준 및 지침 1. 정보보호관리체계 인증제도(K-ISMS) 2. 산업기술보호지침 3. 전자정부 정보보호관리체계(G-ISMS) 3. 중소기업 기술유출 대응매뉴얼 4. 중소기업을 위한 ISMS 가이드라인 제4절 국외 표준 및 지침 1. ISMS국제표준 (ISO/IEC 패밀리) 2. IT서비스관리국제표준 (ISO/IEC 20000) 3. 국제정보시스템감사통제협회 표준 (CoBIT) 4. 시스템보안공학성숙도 모델 (SSE-CMM) 제5절 보안 국제표준 발전 동향

20 을체계적으로수립ㆍ문서화하고지속적으로관리ㆍ운영하는시스템에대하여제3자인증기관이객관적이고독립적 으로평가하여기준에대한적합여부를보증해주는 정보보호관리체계인증제도 (이하K-ISMS라한다.)를고시하였 방송통신위원회는2002년정보보호의목적인정보자산의기밀성, 인증제도는정보보호를필요로하는조직에대한인증을통하여인증받은조직이보유하고있는정보자산 무결성및가용성을실현하기위한절차와과정 K-ISMS의2010년2월현재까지인증실적은총78건이며매년조금씩인증건수가늘어나고있는경향을보이고있다. 업의활성화를목적으로하고있다. 의안전과신뢰성향상, 정보보호관리에대한인식제고, 인증기관으로는한국인터넷진흥원(KISA)이유일하며, 정보보호에대한국제적신뢰도향상및정보보호서비스산 2002년부터시행된 의구성은ISO/IEC 어있다.통제분야 보호대책15개분야120개세부항목총137개통제항목으로구성되어있다. K-ISM S 인증심사기준은정보보호5단계관리과정요구사항14개필수항목, 27001을기본으로하고있으며, 3개대분류및137 통제항목에대한사항은아래와같이구성되 인증기준의기본적인개념및통제항목 문서화요구사항3개필수항목, 정보 정보보호관리 과정 통제내용 통제항목수 세부통제항목수 <필수항목> (5단계14개 통제항목) 1.정보보호정책수립 2.관리체계범위설정 3.위험관리 4.구현 사후관리 2 4 소계 (3개통제항목) <필수항목> 문서화 1.문서요건 2.문서의통제 3.운영기록의통제 1.정보보호정책 소계 정보보호조직 1 3.외부자보안 정보보호대책 4.정보자산분류 <선택항목> (15개분야 5.정보보호교육및훈련 통제항목) 120개 6.인적보안 7.물리적보안 8.시스템개발보안 9.암호통제 접근통제 11.운영관리 12.전자거래보안 보안사고관리 14.검토,모니터링및감사 15.업무연속성관리 소계 총계 제3절 국내 표준 및 지침 1. 정보보호관리체계 인증제도 (K-ISMS) 가. 제도의 개요 및 목적 나. K-ISMS 인증기준 20

21 120개세부통제항목으로구성되어있다. 정보보호대책요구사항은선택항목으로서조직의활동및보호대상정보의특성등에따라15개통제항목별로 1.정보보호정책 통제항목(15개) 정책의승인및공표, 정보보호대책요구사항의통제내용별구체적인내용은아래와같다. 2.정보보호조직 조직의체계, 책임과역할 정책의체계, 세부통제항목(120개) 3.외부자보안 계약및서비스수준협약, 외부자보안 정책의유지관리 6.인적보안 5.정보보호교육및훈련 4.정보자산분류 책임할당및규정화, 교육및훈련프로그램수립, 정보자산의조사및책임할당, 직원의적격심사, 교육훈련의시행및평가 정보자산의분류및취급 7.물리적보안 8.시스템개발보안 물리적보호구역, 분석및설계, 구현및이행, 물리적접근통제, 변경관리데이터센터보안, 주요직무담당자관리, 장비보호, 비밀유지 9.암호통제 암호정책, 암호사용, 키관리 사무실보호 11.운영관리 10.접근통제 운영절차와책임, 접근통제정책, 악성소프트웨어통제, 사용자접근관리, 시스템운영, 원격컴퓨터및원격작업 네트워크운영및문서관리, 접근통제영역 12.전자거래보안 13.보안사고관리 14.검토,모니터링및감사 교환합의서, 대응계획및체계, 법적요구사항준수검토, 전자거래, 대응및복구, 전자우편, 정보보호정책및대책준수검토, 사후관리 공개서버의보안관리, 이용자공지사항 15.업무연속성관리 업무연속성계획시험및유지관리 업무연속성관리체계수립, 업무연속성계획수립과구현, 모니터링, 보안감사 ISO/IEC 15개통제항목과120개의세부통제항목으로구성 - A A 의통제영역(11개), 내부조직 을 2. 정보보안인식, 정보보호조직 으로통합 교육, 통제항목(39개), 훈련 을통제항목으로분리 세부통제항목(133개)을통합하고재분류하여 - A.10 - A.15 통신및운영관리 를 11. 준거성 을 14. 검토, 모니터링및감사 으로통합 운영관리 와, 12. 전자거래보안 으로분류 K-ISMS심사기준은 각 120개 세부통제항목별로 제시하고 있어 기업의 ISMS구축에 참조 가능하다고 사료되나, 객관적이고 공정한 심사기준을 제시하여야 하는 인증심사 기준의 특성에 따라 사례와 요령을 포함한 상세 실행 지침 제공에 한계를 갖고 있음 제3절 국내 표준 및 지침 1. 정보보호관리체계 인증제도 (K-ISMS) 다. K-ISMS심사기준 분석 21

22 지침 을제정및공표하였다. 고국내외다른조직과의기술계약을하는과정에서불법적인산업기술의유출및침해행위가발생하여도적절한대 응을하지못함에따라이러한경우에서의산업기술유출을예방하고보호함을목적으로하고있다. 산업기술보호지침은조직이준수하여야하는법정강제규격및임의규격, 지식경제부는2007년 산업기술의유출방지및보호에관한법률 을제정하였고, 산업기술보호지침의제정은기업, 연구기관, 전문기관및대학등이산업기술을개발하 동법률에따라 산업기술보호 증을목적으로하는형태가아닌산업기술을보유한조직이산업기술을보호할경우적용하면효과를높일수있는 가이드라인의성격을갖고있다. 른점을보이고있다. 다만, 보호대상산업기술자산분류등일부전문적인분석은ISO/IEC 따라서정보보호관련국제규격이나인증제도와목적은같지만그적용의방법은다 또는K-ISMS 27001의규격요구사항을 등과같이인 법등에대하여해당조직이활용할수있는방법및절차등을제시하고있으며, 여적용할수있도록구성되어있다. 의유출및침해예방방법, 산업기술보호지침은총6개의장으로구성되어있으며, 산업기술개발과기술계약시유출방지및보호방법, 아래와같이산업기술보호수준에대한자가진단, 산업기술의유출및침해시조치방 해당조직이필요한사항을선택하 장번호 1 개요 제목 2 산업기술의보호수준자가진단항목(8개영역,58진단항목) -산업기술보호조직구성(4),인력관리(7),침입방지(6) -정보시스템관리(9), -보유자산의분류및통제(7),산업기술보호세부규정(6) 산업기술의유출및침해예방방법 [보호대상의분류및위험분석] -산업기술의보호문화정착(5) 사고의대응및복구(16), 1.조직의보유자산을분류:정보/문서/SW/물리적자산/인력자산/대외기관제공서비스등 2.분류된보유자산별로위험도출 3.위험도에따른보유자산의보호대책수립 [유출및침해예방] 1.다음내용이포함된산업기술의유출방지및보호세부규정수립 -보유자산의분류및통제,산업기술의유출방지및보호조직의구성과운영 3 2.산업기술유출방지및보호조직구성및운영 -정보보호전담조직구성또는담당자지정, -산업기술유출방지및보호조직/담당자의역할및책임부여 -인력관리,침입방지,정보시스템관리,사고의대응및복구,산업기술보호문화정착 3.인력관리실시 -외부기관과의연락체계유지및세부내용규정화 -채용예정자,현직원,퇴직자,외부인및외국인등으로분류 -인력의구분에따라적절한교육및서약서징구등의조치적용 (정부, 국가정보원산업기밀보호센터, 경찰청, 산업기술보호협회) 4.침입방지 -산업기술보호를위해해당기술접근을방지할수있도록시설을구분 -구역별보호대책마련 -재해로부터의보호대책마련 (공용구역, (출입통제시스템/화상감시시스템/도감청방지/전자파차폐시스템등) 일반구역, 설비구역및특수구역) -장비폐기대책마련 제3절 국내 표준 및 지침 2. 산업기술 보호 지침 (1/3) 가. 제도의 개요 및 목적 적용하고있다. 나. 산업기술보호지침 내용 구성 22

23 산업기술의유출및침해예방방법(앞장계속) 5.정보시스템관리 -정보시스템구분:Desktop,노트북,이메일시스템및인트라넷등 제목 6.사고의대응및복구계획의수립 -정보시스템별보호대책수립 -보조기억매체의관리실시:디스켓,USB등 -크래킹등불법침입시대응실시 7.산업기술의보호문화정착 -계획수립:침해예방계획,사고조치계획및복구계획 -산업기술의유출방지및보호를위한교육 -10대생활보안준수사항 -사고의대응및복구훈련실시:Table-top,Drill및Exercise 1.공통적원인 산업기술개발시유출방지및보호방법 [유출및침해의주요원인] -산업기술보호내부점검의실시 2.산업기술개발유형에따른원인 [유출방지및보호방법] 1.관리대상인력구분(채용시,재직시및퇴직/전직시) 2.권리의설정 -핵심연구인력 -연구개발관련인력 -보조관련인력:시설관리,물품조달,행정관리및경비등 1.경영전략수립및M&A전략팀구성 산업기술계약시유출방지및보호방법 [기술양도형계약-합병계약(M&A)] -특허권,실용신안권,의장(디자인)권,저작권 -중요산업기술은원칙적으로이전금지 3.정밀실사,기업가치평가및가격설정 2.인수의향서및비밀유지계약체결 실제계약서가법적보호를받기전까지산업기술에대한세부자료가제공되지않도록유의 -중요기술이전필요시M&A전략팀이기술이전에따른피해최소화및비밀유지전략수립 4.협상및계약서작성 -M&A중개기관을통하여업무를추진하는경우중개기관에의하여산업기술이 -중개기관을통하지않을경우해당조직과기밀유지계약을체결하고재확인후실시진행 -합병계약서에는자료보존방법과유출의금지및제한관련조항삽입 무단사용되지않도록기밀유지계약체결 1.대상조직발굴 [기술양도형계약-조인트벤처] -계약단계에서근로자와의산업기술보호서약서징구 -대상조직이기밀유지의무의이행능력이있는지여부확인 -개인이비밀을유출한경우합병대상조직의연대책임명시 2.의향서(MoU)체결 -합작투자할상대조직을발굴하는단계에서상대방조직에핵심적기술정보에대한 3.조인트벤처설립절차진행,4.최종계약체결,5.조인트벤처설립완료 -세부계약조건에대하여신의성실의원칙에따른의무를부과하고산업기술에관하여제3자 에게공개하거나이를임의로이용하지않을의무부여 자세한정보를제공하지않도록주의 -합작투자회사를설립하는조직의담당자들로부터기밀유지서약서징구 장번호 2. 산업기술 보호 지침 (2/3) 3 제3절 국내 표준 및 지침

24 장번호 제3절 국내 산업기술계약시유출방지및보호방법(앞장계속) 제목 표준 및 지침 2. 산업기술 지침 (3/3) 2.계약당사자 1.기술계약 [기술대여형계약-라이선스계약] -대상기술의가치및기술이전의유형 -권리능력,행위능력의유무 -계약당사자중조건협상의주요책임자및담당자 3.계약조건 -조직규모및계약기술의사업화역량 -추가기술개발의능력 -대가지급을위한재정능력 -기술이전의대가지불방법및지급처 -출원,등록의절차및비용의부담방법 -기술이전을위한지도방법 -계약유효기간,계약의변경,해지및종료 -성과의귀속(개량발명의범위및고지등)및권리의지분분할 -기술이전의대가(선급기술료및경상기술료등) 5 4.기타 -손해해방청구및범위 -다른법률과의저촉여부 -계약의목적,배경및경위 1.전략의수립 [기술대여형계약-위 수탁계약(하청라이선스계약)] -기밀의유지,정보의반환내용협의 -정보의상호교환및공유 2.기술지도:제품생산에필요한범위만큼에대하여만지도 3.제조공정관련유의사항 노동집약적공정은해외에서,기술집약적공정은국내혹은지적재산권보호가가능한국가에 -중요한제조공정등은특정본사로부터파견된직원만관여 두는것을원칙으로하고제조에필요한것만현지이전실시 -외부판매제한조항,자사의중요한노하우의보호의무조항,위반행위에대한처벌조항등 4.제조설비관련유의사항 -순정품에대한위조방지대책을강구 -본사에서핵심부품을모듈화하여수출하고해외에서조립 을계약서에삽입 -핵심제조공정이포함된도면이나서류의블랙박스화추진 5.설비의유지보수관련 -CAD/CAM데이터는현지컴퓨터로읽을수없도록암호화 -해외에도면을제공하는경우에는제조도면상에게재된시험방법,소재정보등개발노하우 -유지보수를직접수행하고부득이하게현지인을고용할경우출입지역을한정 를삭제하고제공 6 산업기술의유출및침해시조치방법 1.산업기술유출및침해시신고의무 -설비의판매계약에제조설비의정기적인유지보수조항을삽입 산업기술보호지침은 ISO/IEC 27001의 보호통제에 근거하고 있으나 보호대상 자산을 산업기술 과 국가핵심기술 에 한정하고 있음. 따라서 기업 관점에서는 그 외의 자산에 대한 보호를 위해 통제지침을 필요로 함 24

25 하였으며전자정부서비스를제공하는정부기관의정보보호를강화하기위한목적의인증제도이다 하기위한방안으로전자정부정보보호관리체계(이하, 행정안전부는2009년12월11일전자정부서비스를제공하는행정기관의지속적인정보보호수준을점검및관리 G-ISMS라한다.) 인증지침을행정안전부훈령제164호로제정 개통제항목, 는K-ISMS에서다루고있는통제항목총137개통제항목을대폭통폐합및간소화한것으로보이며, 느정도보안수준을보유한전자정부라는측면으로이해된다. G-ISMS 인증심사기준은방송통신위원회G-ISMS 문서화3개통제항목, 정보보호대책11개분야39개통제항목총46개통제항목으로구성되어있다. 고시제8조및별표2에의하고있으며, 수립및관리과정4 보여지며, G-ISMS 인증기준의기본적인개념및통제항목의구성은ISO/IEC 3개대분류및46개통제항목및148개세부통제항목에대한사항은아래와같이구성되어있다 및K-ISMS를기본으로하고있는것으로 인증대상이어이 ISMS 수립및관리과정 통제분야 통제내용 통제항목수 세부통제항목수 (4단계15개통제항목) 2.ISMS구현및운영 3.ISMS모니터링 1.ISMS수립 5 4.ISMS유지및개선 4 소계 4 15 (3개통제항목) 문서화 1.문서화요구사항 2.문서의통제 3.기록의통제 소계 정보보호정책 2.정보보호조직 2 (11개분야39개 정보보호대책 3.자산관리 1 85 통제항목) 4.인적보안 5.물리적보안 접근통제 6.통신및운영관리 정보시스템요구사항,개발및유지보수 9.보안사고관리 10.업무연속성관리 준거성 총계 소계 제3절 국내 표준 및 지침 3. 전자정부 정보보호관리체계 (G-ISMS) 가. 제도의 개요 및 목적 나. G-ISMS 인증기준 25

26 - 통신및운영관리 는ISO/IEC -K-ISMS의통제항목중 외부자보안, 검토와모니터링, 감사 삭제27001의통제항목을준용하고있음 정보자산분류, 정보보호교육및훈련, 전자거래보안, 제3절 국내 표준 및 지침 3. 전자정부 정보보호관리체계 (G-ISMS) 다. G-ISMS 심사기준 분석 G-ISMS심사기준은 각 125개 세부통제항목으로 ISO/IEC 133개의 통제항목 대비 33개의 차이를 보이고 있음. 전자정부 사업 특성을 감안하여 축소한 것으로 사료됨. K-ISMS와 마찬가지로 객관적이고 공정한 심사기준을 제시하여야 하는 인증심사 기준의 특성에 따라 사례와 요령을 포함한 상세 실행 지침 제공에 한계를 갖고 있음 26

27 사례를기반으로하여기술유출방지및기술유출시대응을위해중소기업기술유출대응매뉴얼을개발한바있 다. 매뉴얼은크게보안자가진단, 중소기업청은중소기업의기술유출을방지하고효과적인기술보호를위해중소기업의실정을고려하고실제 본매뉴얼은중소기업의산업보안에대한인식을제고하고, 기술유출사전대응방안, 기술유출사후대응방안등총3개로구성되어있다. 기술경영활동을지원함을그목적으로하고있다. 하였으며, 보안자가진단에서는중소기업의보안수준을측정하는자가진단서식을6개부문에걸쳐50개문항으로범주화 1) ISO/IEC 리, 인적자원관리, 27001을참고로하여중소기업의형편에맞도록재구성하였다. 각문항을통해진단이필요한사항이무엇인지알수있도록구성하였다. 시설관리, IT보안관리, 유출사고의대응이다. 자가진단서식은국제정보보호표준규격인 6개부문은보안정책, 자산관 안업무를단계별로구분하여제시하고있다. 선적으로추진해야할업무활동으로제시하고있다. 본매뉴얼에서는기술유출사전대응방안으로7개부문에72개항목을중소기업에서기술유출방지를위해우 2) -1단계에는중소기업이추진해야할가장기본적인보안업무를제시하였으며, 또한, 기술유출방지를위해중소기업이추진해야할주요보 -단계가높아질수록보안업무의추진효과가높아지지만추진업무의양과소요비용또한증가한다는점을 시행할것을권장 고려하여중소기업의입장에서2단계와3단계업무는선택적으로적용할것을권장 모든중소기업이반드시 개발하였다. 기술유출대응매뉴얼과함께보안컨설턴트가기업의보안경영실태를진단하는기준과방법을위한가이드를 3) 중소기업보안경영실태진단기준 결하기위한대응조치를도출및대안별우선순위를평가하여, 분석은기업의보안경영실태를모범사례(Best 법으로널리활용되고있다. 동가이드는기업의보안경영실태를진단하기위해서GAP 분석은분석결과를통해보안수준의현상및문제점을식별 Practice)와의비교를통해보안수준차이(GAP)를진단하는분석기 분석을사용하고있다. 파악하고, 일반적으로GAP 을수립하게한다. 본가이드에서제시하고있는진단방법은관리적보안, 물리적보안, 보안대책을결정하고관리하기위한세부실행계획 기술적보안으로구분하여총50개의통 이를해 진단항목과동일하다. 제항목에대해100개의진단기준을바탕으로심층분석이이루어지도록한다. 여기서50개통제항목은보안자가 제3절 국내 표준 및 지침 3. 중소기업 기술유출 대응 매뉴얼 가. 제도의 개요 및 목적 나. 매뉴얼 내용 27

28 4) 기술유출사전대응업무와중소기업보안경영실태진단기준비교 구분 구성요소 (7개분야72개항목) 추진업무 구분(6개분야50개통제항목100개진단기준) 중소기업보안경영실태진단기준 진단항목 1. 보안정책 보안규정 보안관리규정 자산목록관리 정보자산등급분류 시설관리 보안규정위반자징계 정보처리설비운영 정보저장매체관리 보안규정, 지침, 절차공지 1.1 보안규정 1.보안정책 1.2 임직원공지 보안조직 보안담당조직구성 보안담당자지정 자산관리책임자지정 일반직원보안업무수행 조직내부업무공조 1.3 조직구조 외부전문기관업무공조 정보공유 임직원보안업무 보안감사 정기보안감사 1.7 업무공조 보안투자 외부협력 영업비밀보호 정보자산에등급부여 정기적으로정보자산분류 보안감사 2. 자산관리 영업비밀 기밀정보에대한권한설정 자산의반출통제 기술보호에대한판단기준 2.자산관리 정보자산관리기준 2.6 자산분류 정보자산관리책임자 기밀문서관리 지적재산권관리 자산등급구분 특허 기타 연구개발성과의권리화 권리출원 신규 대응전략 국가핵심기술관리 2.7 자산반출 채용자 보안교육실시 보안서약서징구 경력자채용시조치사항 보안교육(입사자) 보안의식 3. 인적자원 관리 재직자 3.4 보안서약서(입사자) 보안점검실시 보안관련포상및징계 보안교육실시 보안서약서징구(재직자) 보안서약서징구(프로젝트참가자) 3.2 직무발명보상 3.인적자원 3.5 보안교육(재직자) 관리 (프로젝트참가자) 외국인 신규채용시 기술협력, 기술자문, 투자협정시 징계절차 사용자권한조정 퇴직자 정보반납및개인정보삭제 외부인력 경쟁업체취업금지서약 퇴직후진로및동향파악 협력업체및실무자 외부자문인력 보안서약서(퇴직자) 제품구매자등 3.9 퇴직자진로파악 제3자관리 제3절 국내 표준 및 지침 3. 중소기업 기술유출 대응 매뉴얼 28

29 구분 4) 기술유출사전대응업무와중소기업보안경영실태진단기준비교(앞장계속) 구성요소 추진업무 구분 진단항목 4. 시설관리 보호기준 재해로부터중요시설보호방안강구 중요시설관리기준설정 4. 시설관리 시설관리기준 출입통제 외부인의회사내출입절차 출입통제시스템설치 감시장치 중요시설에대한광학장비반입통제 통제구역보호방안 내 외부인식별절차 출입절차 출입통제시스템 외부인식별 장비반입통제 5. IT보안관리 PC 관리 개인용PC(데스크톱) 휴대용PC(노트북) 보조기억매체 사용자관리 5.1 정보처리설비운영 정보유출 5.2 보안점검(통신망) 방지 외부로의전자문서발송통제 내 외부통신망분리운영 통신망에대한보안점검 서버및DB 현황에대한보안점검 5. 관리 IT보안 (서버및DB) 솔루션도입 정보 정보관리시스템 내부생성정보에대한백업 시스템사용내역에대한로그기록및유지 5.5 정보의백업 시스템 정보관리시스템 보조기억매체관리 장애발생시조치 시스템유지보수 각종보안솔루션도입및사용 전자문서발송통제 5.13 패스워드관리 5.14 통신망분리운영 로그기록유지 장애발생시조치 정보시스템유지보수 자리이석시IT장비보호 6. 계약관리 기술계약 체결시 유의사항 공동연구계약 투자유치계약 라이선스계약 제조위탁계약 7. 인수합병계약 합작투자계약 6. 유출사고 대응 재해발생시대응절차 보안관리 글로벌 해외진출 기술이전시유의사항 현지적응전략 인적자원관리 사고발생시대응방안 관련법규 -산업기술, -ISO/IEC 27001의보안통제항목을토대로기술유출대응매뉴얼과실태진단기준제공 국가핵심기술에대한보호지침을 산업기술보호지침 을토대로제공 제3절 국내 표준 및 지침 3. 중소기업 기술유출 대응 매뉴얼 협력사와의관계정립 다. 중소기업 기술유출 대응 매뉴얼 분석 ISO/IEC 세부통제항목 133개를 모두 포함하고 있지 않으나 중소기업의 기술유출 및 실태진단을 위한 지침으로 유용할 것으로 사료됨. 본 보고서와 중소기업 기술유출 대응 매뉴얼, 산업기술보호지침이 중소기업의 보안관리체계 강화에 도움을 줄 것으로 예상. 29

30 가. 2010년12월현재ISO/IEC 지식경제부기술표준원에서중소기업의보안경영시스템보급확대를목적으로2007년에제정한지침이다. 제도의개요및목적 나. 이전이기때문에일부내용이현행국제표준과차이가있다 가이드라인내용 패밀리중구축지침, 성과측정, 위험관리, 심사요건등의4개지침이제정되기 부록으로보안관련제도사례와위험평가방법, 플로구성되어있다구분 중소기업의보안경영시스템구축을위한단계와각단계별상세추진활동, 적용성보고서(SoA) 사례, 세부내용 범위정의방법, ISMS통제항목39개에대한해설, 보안관리체계설계서샘 정보보호관리구축 (6단계) Phase Ⅴ Ⅳ Ⅲ Ⅱ Ⅰ 관리체계구축(대응책구현) 위험평가단계 자료수집및교육단계 범위설정단계 TFT 구성단계(조지체계구성) A.5 Phase Ⅵ : 인증절차 ISMS구현세부지침 A.6 보안방침 정보보안조직 (11통제영역, 39통제항목) A.7 A.8 A.9 A.10 자산관리 인적자원보안 A.13 물리및환경보안 A.14 A.11 A.12 통신및운영관리 A.15 정보보안사고관리 사업연속성관리 부합성 정보시스템획득, 접근통제 개발및유지보수 1. 정보보호관련규정사례(정책1종, 정보보호정책, 외주인력관리지침, 문서보안관리지침, 보안조직관리지침, 정보자산관리지침, 서버보안관리지침, 인사보안관리지침 지침17종) 보안감사관리지침 네트워크보안관리지침 부록. 가이드라인 ISO 위험평가방법 2.1 무선랜보안관리지침, 개발보안관리지침, PC보안관리지침, 위험평가절차정보처리설비관리지침, 인터넷보안관리지침, 응용프로그램보안관리지침, PC보안관리지침, 사무실보안관리지침 보안시스템관리지침, 중요정보자산식별및가치평가 2.7 위험도측정 위험처리 대응책선정 위험평가보고서 위협및취약성식별및평가 SoA(State Scope 체계설계서(Sample) Statement Of Applicability) 의국제표준과차이가있고, 고있어세부보안통제항목에대한해설과지침을필요로함. 제실행지침관점에서는이가이드라인이ISO/IEC 중소기업에서ISO/IEC 27005:2008(위험관리), 보안통제해설은세부통제항목133개가아닌통제항목39개에한정하여제시하 인증을취득하기위한목적으로활용하는데유용한지침으로사료됨 :2007(심사요건) 27003:2010(구축지침), 등의지침이공표되기전에제정되어현재 ISO/IEC 27004:2009(성과측정), 제3절 국내 표준 및 지침 4. 중소기업을 위한 ISMS 가이드라인 다. ISMS 가이드라인 분석 30

31 120개세부통제항목으로구성되어있다. 정보보호대책요구사항은선택항목으로서조직의활동및보호대상정보의특성등에따라15개통제항목별로 1.정보보호정책 통제항목(15개) 정책의승인및공표, 정보보호대책요구사항의통제내용별구체적인내용은아래와같다. 2.정보보호조직 조직의체계, 책임과역할 정책의체계, 세부통제항목(120개) 3.외부자보안 계약및서비스수준협약, 외부자보안 정책의유지관리 6.인적보안 5.정보보호교육및훈련 4.정보자산분류 책임할당및규정화, 교육및훈련프로그램수립, 정보자산의조사및책임할당, 직원의적격심사, 교육훈련의시행및평가 정보자산의분류및취급 7.물리적보안 8.시스템개발보안 물리적보호구역, 분석및설계, 구현및이행, 물리적접근통제, 변경관리데이터센터보안, 주요직무담당자관리, 장비보호, 비밀유지 9.암호통제 암호정책, 암호사용, 키관리 사무실보호 11.운영관리 10.접근통제 운영절차와책임, 접근통제정책, 악성소프트웨어통제, 사용자접근관리, 시스템운영, 원격컴퓨터및원격작업 네트워크운영및문서관리, 접근통제영역 12.전자거래보안 13.보안사고관리 14.검토,모니터링및감사 교환합의서, 대응계획및체계, 법적요구사항준수검토, 전자거래, 대응및복구, 전자우편, 정보보호정책및대책준수검토, 사후관리 공개서버의보안관리, 이용자공지사항 15.업무연속성관리 업무연속성계획시험및유지관리 업무연속성관리체계수립, 업무연속성계획수립과구현, 모니터링, 보안감사 제3절 국내 표준 및 지침 4. 중소기업을 위한 ISMS 가이드라인 31

32 지이름으로사용되고있다. 이들모두는그근간을ISO/IEC 정보보안경영시스템(ISMS, 정보보호관리체계라고불리기도하고ISMS(K-ISMS, Information Security Management System)은현재국내에서정부부처에서여러가 하고있고ICT를위해16~23번의지침들이제정중에있다. ISMS family 표준문서는현재아래와1~15번의문서로구성되어있으며각산업별, 혹은ISO/IEC 27001의전신인BS 7799에두고있다. G-ISMS)라고불리기도한다. 기술영역별로그숫자가증가 그러나 번호 12 ISO/IEC 27000: : XX 패밀리규격번호 요구사항(인증규격) -개요및용어 ISO/IEC 270XX 패밀리규격명칭 : : :2009 정보보안성과측정 ISMS 구축지침 정보보안관리를위한지침 786 ISO/IEC 27006: :2008 CD 정보보안위험관리 ISMS의심사및인증을제공하는기관에대한요구사항 10 9 PDTR (제정중) ISMS통제이해를위한심사자지침 ISMS심사수행지침 :2008 CD WD (제정중) ISO/IEC 영역간, 조직간커뮤니케이션을위한정보보안관리 27002의통신조직적용을위한정보보안관리지침 WD CD (제정중) 정보보안거버넌스프레임워크 금융및보험서비스영역의정보보안경영시스템구현지침 과ISO/IEC 27001의통합규격 ISO/IEC 27799:2009 ISO/IEC 27002의의료산업적용을위한정보보안관리지침 18 (ICT) 정보 통신 FDIS 사업연속성을위한ICT 준비지침 기술 X CD 사이버보안지침 네트워크보안지침 부문 지침 X NP FCD (제정중) 아웃소싱보안지침 보안사고관리지침 어플리케이션보안지침 ISO/IEC WD NP (제정중) 디지털증거의파악, 디지털교정규격 수집, 획득및보존 제4절 국외 표준 및 지침 1. 정보보안경영시스템 국제 표준 (ISO/IEC 패밀리) 가. 제도의 개요 및 목적 32

33 보안통제유형으로구분하는경우에는세부통제항목수가관리적보안47개, 분류할수있다. 안세부통제항목이더많은비중을보이고있다. ISO/IEC 정보와정보처리설비에의해관리되는정보자산의특성에따라물리적보안대비, 패밀리의보안통제는통제영역11개, 통제항목39개, 세부통제항목133개로구성되어있으며 물리적보안13개, 기술적보안73개로 보안통제구분 통제영역 통제항목수 세부통제항목수 기술적/관리적보 보안정책 1 2 합계 관리적보안 조직보안 자산관리 인적자원보안 11 정보보안사고관리 업무연속성관리 물리적보안 물리적보안및환경적보안 준거성 기술적보안 통신및운영관리 합계 접근통제 정보시스템획득, 11 개발및유지보수 ISO/IEC -정보보안에대한산업적요구가증대됨에따라산업영역별, 기술적보안의통제영역이강화되고있는추세이다. 있다. 과거에는물리적보안과관리적보안에치중되어있는통제영역도사이버침해사고의증가에따라 JTC 1/SC 27에서공표하였거나, 제정중에있는보안통제지침들이상기추세를증명하고있다 기술영역별표준과지침이증가되는현상을보이고 다. ISO/IEC 패밀리 지침 분석 제4절 국외 표준 및 지침 1. 정보보안경영시스템 국제 표준 (ISO/IEC 패밀리) 나. 보안통제 내용 (본보고서제2절참조). 산업영역별, 보안 기술영역별 보안 통제지침의 발전 추세가 뚜렷하게 나타나고 있으며, ISO/IEC 패밀리와 ISO/IEC JTC 1/SC 27에서 상기 지침의 제정을 주도하고 있음. 1) 산업영역별로 보안통제 지침의 확대 : 의료, 통신, 소프트웨어, 물류 등 2) 보안 기술영역별 지침의 확충 : 암호화, 인증, 네트워크,어플리케이션, 디지털 서명 등 33

34 20000-x:2005) 중소기업의기술보호를위한 세부보안통제실행지침서 지침)을제정하였다 진하기위한목적으로BS 정보시스템의운영및유지보수, 15000과ITIL을토대로하여ISO/IEC 인터넷쇼핑몰운영등의IT서비스를제공하는업체의프로세스정립및개선을촉 :2005(인증규격)과ISO/IEC :2005(실행 ISO/IEC Capacity x는아래의그림과같이5개의프로세스영역과11개의프로세스를제시하고있다. Management Availability Service (용량관리) Continuity Management and (서비스수준관리) (서비스연속성/가용성관리) Service Reporting(서비스보고) Level Management Information Management (정보보안관리) Security Budgeting and Accounting Service Delivery Processes 인도 프로세스) Configuration for services Change Management (변경관리) (형상관리) (IT서비스예산수립및보고) Release (릴리즈관리) Management Incident Problem Management (인시던트관리) (문제점관리) Business Supplier (비즈니스관계십관리) Relationship (공급자관리) Management Management -정보시스템운영, -서비스요구사항에따라서비스수준협정(SLA)을체결하고SLA에서정의한서비스수준목표(SLO)를달성하기위한 -정보보안관리프로세스를서비스인도프로세스영역에포함하고있으며다음과같은요구사항을포함하고있다. 프로세스를정립, 있는모델이다. 이행하는요구사항과관행을포함하고있다. 1) 보안정책수립, 인터넷쇼핑몰운영, 데이터제공등IT서비스를제공하는업체/기관에서유용하게사용할수 2) 3) 4) 5) 적절한보안통제의선정, 6) 서비스/시스템접근관련위험관리(외부조직의접근포함) 보안사고관리 보안통제의문서화, 보안통제변경영향평가, IT서비스 부문의 프로세스 효과성과 효율성 개선을 위해 유용하게 사용할 수 있는 모델이 다. 정보시스템의 용량관리, 성능관리, 연속성관리, 가용성관리, 릴리즈관리, 공급자관리, 형상관리, 변경관리 등은 ISO/IEC 27001의 보안통제 항목 대비 모범적인 관행을 제공하고 있어, 상호보완적인 관계를 맺고 있다. 제4절 국외 표준 및 지침 2. 정보기술(IT)서비스경영 국제표준(ISO/IEC 가. 제도의 개요 및 목적 나. ISO/IEC x의 내용 Release Process (릴리즈 프로세스) 다. ISO/IEC x의 분석 Control Processes (통제프로세스) Resolution Processes (해결 프로세스) Relationship Process (관계십 프로세스) 34

35 의하고각특성을확보하기위한프로세스와요구사항을제시하고있다. 되어IT활동의통제목적과관리를위한기준을자세하게제공하고있다. 국제정보시스템감사협회는1996년COBIT초판을개발하여IT서비스에대한보증을위한실용적인내용이중심이 사업적으로필수불가결한정보의특성을정 특성을확보하기위한자원을어플리케이션, 운영및지원, COBIT은정보의특성을효과성, 효율성, 기밀성, 정보, 무결성, 인프라, 가용성, 인력으로정의한후계획수립및조직화, 준거성, 신뢰성등7가지로규정하고그러한 계획수립및조직화(PO: 모니터링및평가의프로세스영역을아래와같이제시하고있다 도입및구축, PO1 PO2 Plan & Organize) (AI: Acquire 도입및구축 & Implement ) (DS: 운영및지원 Deliver & Support) (ME: 모니터링및평가 PO3 IT전략계획수립 정보아키텍쳐정의 기술방향결정 Monitor & Evaluate) 관계정의 PO5 PO6 전파 PO4 IT투자관리 경영진목표및방침 프로세스, 조직및 AI1 도출 AI2 및유지보수 AI3 자동화솔루션 응용소프트웨어도입 기술인프라도입및유 DS1 PO7IT인적자원관리 DS2 PO8 품질관리 AI4 운영및사용 DS3 지원 DS4 서비스수준정의&관리 제3자서비스관리 성능및용량관리 서비스연속성확보 AI5 AI6 IT 변경관리 자원구매 DS5 DS6 시스템보안성확보 ME2 ME1 DS7 DS8 트관리 비용산정및배분 평가IT성과모니터링&평가 사용자교육&훈련 ME3 내부통제모니터링& 서비스데스크&인시던 ME4 법규준수확보 IT거버넌스제공 PO9 PO10 프로젝트관리 위험평가및관리 AI7 인가솔루션및변경설치및 DS9 DS10 DS11 DS12 구성관리 DS13 문제관리 물리적환경관리 운영관리 데이터관리 -COSO -COBIT에서제시하고있는유용한주요보안통제방안들은다음과같다 지원하는IT통제에대한프레임워크를필요로하여제정된모델이기때문에COBIT은국내외의대부분의 금융IT업체에서채택하고있는모델이다. (Committee of Sponsoring Organization of the Treadway Commission)의내부통제프레임워크를 1) 2) 3) 4) 정보시스템변경관리, 서비스연속성계획, 내부통제모니터링및평가 IT직무분리, 장애예방, 훈련, 구성관리, 위험평가및관리, 평가, 개선 설치, 성능및용량관리, 응용소프트웨어도입및유지보수, 장애관리, 데이터관리, 하드웨어도입및유지보수 물리적환경관리 제4절 국외 표준 및 지침 3. 국제 정보시스템감사통제협회 표준 (COBIT) 가. 제도의 개요 및 목적 나. COBIT 내용 다. COBIT 분석 소프트웨어 개발과 유지보수, 정보시스템 운영 업무를 수행하는 IT서비스산업에서 참조할 수 있는 관행과 요구사항을 제시하고 있는 모델이다. ISO/IEC 27001과 같이 특정 보안통 제항목을 지칭하고 있지 않으나 보안통제 방안으로 활용 가능한 모범관행 들이 다수 제시 되어 있다. 그러나 정보시스템 개발 및 운영을 포함하는 IT서비스 업무를 초점으로 만들 어진 모델의 한계를 갖고 있다 35

36 에서1996년제정한모델이다. Capability 보안프로세스를개선할수있게한다. 기업의보안관리프로세스성숙도개선을촉진하기위해미국카네기멜론대학소프트웨어공학연구소(CMU-SEI) Maturity Model)은22개의프로세스영역을5개의성숙도등급에따라평가하여기업이점진적으로 시스템보안공학능력성숙도모델(이하 SSE-CMM : System Security Engineering- 어있다. SSE-CMM은보안기초관행의11개프로세스영역과프로젝트와조직기초관행11개영역으로아래와같이구성되 PA01 PA02 PA03 관리자보안통제 영향평가 보안위험평가 프로젝트및조직기초관행 PA04 PA05 위협평가 PA12 PA06 PA07 PA08 보증요소도출 취약성평가 PA13 PA14 PA09 PA10 보안조정 PA15 품질보장 PA11 보안의식감시 PA16 프로젝트위험관리 형상관리 보안입력제공 PA17 기술적활동감시및통제 기술적활동계획 보안요구정의 PA18 조직의시스템공학프로세스정의 조직의시스템공학프로세스개선 보안검증및확인 PA22 PA20 PA21 PA19 공급자와의조정 시스템공학지원환경관리 상시적인기술및지식제공 제품라인혁신관리 스영역으로구성되어있으며미국의정부기관과국방성의표준에기초하여요구사항을정의하고있다. SSE-CMM은상기소프트웨어개발과운영초점의사업을수행하는IT서비스조직의보안을유지하기위한프로세 -소프트웨어개발프로젝트에대한보안관리프로세스를제시하고있는점이특징이나 -위험평가-위험에대한보증요소도출-보안요구사항정의 보안통제대책수립및이행등의일반적인 보안관리체계정립순서에따라정의되어있다, 다. SSE-CMM 분석 제4절 국외 표준 및 지침 4. 시스템보안공학성숙도 모델 (SSE-CMM) 가. 제도의 개요 및 목적 나. SSE-CMM 내용 소프트웨어개발및운영업무에초점을두고있어타산업에적용하는데무리가있다 SSE-CMM은 구체적인 보안통제 영역을 제시하고 있지 않으며 보안관리를 위한 프로세스 정립 및 이행, 개선에 초점을 두고 있다. 소프트웨어 개발 프로젝트의 보안 프로세스를 제 시하고 있는 특징을 가지고 있으나 소프트웨어 개발을 포함하는 업무에만 적용할 수 있다 는 한계를 갖고 있다 36

37 ISO/IEC 2005년(2) 27k 패밀리표준이아래의그림과같이지속적으로증가되고있다. 2006년(0) [ 제정 추이 ] 2007년(1) ISO/IEC 27001(인증규격), ISO/IEC 27002(위험관리) 2008년(2) 2009년(3) 2010년(1) ISO/IEC 27005(위험관리), 27006(심사요구사항) 27000(개요및용어), ISO/IEC ISO/IEC (통신산업지침) (성과측정), ISO/IEC 27799(의료산업지침) 제정중CD(3), 27003: (심사지침), (구축지침) CD (조직간소통) 제정중PDTR(1) 제정중WD(2) [ 제정중인정보통신기술(ICT)부문지침현황] FDIS ISO/IEC WD CD (보안거버넌스) (ISO/IEC 과ISO/IEC 통합인증규격) (ICT사업연속성지침), PDTR (금융&보험산업지침) (통제심사지침) ISO/IEC X FCD WD (네트워크보안), (디지털증거), (보안사고관리), ISO/IEC ISO/IEC X NP ISO/IEC NP (어플리케이션보안) CD (디지털교정) (아웃소싱) (사이버보안) 제5절 보안 국제표준의 발전 동향 [ 보안 국제표준의 제정 추이 분석 결과 ] 1) 산업별 보안통제 적용 지침 강화 : 통신/의료/금융&보험 등 2) ISMS통제 영역별 세분화된 지침 강화 : ICT지침을 중심으로 제정 3) 유사 규격과의 통합 지침 강화 : IT서비스관리 인증규격 (ISO/IEC ) 37

38

39 제3장 보안통제 실행 지침 개요 제6절 보안통제실행지침의 개요 1. 국제표준과 보안통제항목 2. 보안통제 실행 지침 구조 제7절 보안통제실행지침의 실무 활용 1. 보안관리체계진단 시 활용 방안 2. 보안위험관리 시 활용 방안 3. 보안관리 체계 설계 시 활용 방안 4. 보안관리 교육 및 훈련 시 활용 방안

40 다. 의부록으로정의한배경은조직의보안위험평가결과에따라선택/제외되는보안통제항목이존재할수있기때문이 보안통제목표와통제항목은ISO/IEC 통제항목별이행지침은아래와같이ISO/IEC 조항27001 인증규격의부록A항에표준으로제시되어있다 의5항~15항에서제시하고있다 ISO/IEC 조항본문이아닌표준성격 범주 3. 표준을따른참고자료 일반사항 용어와정의 정보보안경영시스템 표준의응용 일반적요구사항 범위 용어및정의 ISMS 구축및관리 ISMS 6. 표준의구조 위험평가와처리 보안정책 4.3. 문서화요구사항 구현및운영 일반사항 감시및검토 보안조직 정보보안정책 내부조직 문서관리 유지및개선 외부조직 8.1 자산관리 인적자원보안 정보분류 고용이전 고용중 자산에대한책임 경영자책임 기록관리 물리적 환경적보안 보안지역 고용종료또는변경 통신및운영관리 장비보안 경영자실행의지 자원관리 운영절차및책임 자원의제공 훈련, 인식및능력 내부ISMS 일반사항 검토입력 경영자검토 감사 악성및이동코드에대한보호 시스템계획및인수 제3자서비스인도관리 ISMS 검토출력 보안통제항목이행지침 백업 네트워크보안관리 8.3. 시정조치 지속적개선 예방조치 매체취급 정보교환 전자상거래서비스 감시 11.4 부록A. 부록B. 부록C. (정보)OECD (정보)ISO (표준)통제목표와통제 사용자책임 네트워크접근통제 사용자접근관리 접근통제를위한업무요구사항 본국제표준의비교 9001:2000, 원칙과본국제표준 11.6 운영체제접근통제 어플리케이션및정보접근통제 ISO 14001:2004와 정보시스템획득, 이동컴퓨팅및원격근무 개발및지원프로세스에서의보안 정보시스템보안요구사항 어플리케이션의정확한처리 암호통제 시스템파일보안개발및유지보수 기술취약성관리 사업연속성관리 정보보안사고와취약점보고 15.1 준거성 정보보안사고관리와개선 보안정책및표준의준거성과기술적준거성 정보시스템감사고려사항 업무연속성관리의정보보안측면 법적요구사항에대한준수 제6절 보안통제실행지침 개요 1. 국제표준과 보안통제항목(1/4) 40

41 2[보안통제항목수] 1[보안통제항목출처] A.5 3[보안통제항목의추가] 보안정책 통제영역 통제영역(11)개, 정보보안경영시스템국제표준(ISO/IEC A.5.1 정보보안정책 기업의사업특성과이해관계자의요구에따라보안통제항목을추가할수있음 통제항목(39)개, 세부통제항목(133)개 )의부록A.보안통제항목 A A 정보보안정책문서 정보보안정책의검토 세부통제항목 A.6 보안조직 A.6.1 A 정보보안경영자실행의지 내부조직 A A A A 정보보안조정 A 정보보안책임배정 A 정보처리설비인가프로세스 A 기밀성협정 관련기관접촉 A.6.2 전문기관접촉 외부조직 A A A 정보보안의독립적검토 외부조직과관련된위험식별 고객거래시보안 A.7 A.7.1 A A 자산의소유권 자산의목록 제3자보안협정 자산관리 자산에대한책임 A.7.2 정보분류 A A A 분류지침 정보표시및취급 자산의수용가능한사용 A.8 A.8.1 인적자원 고용이전 A A 역할과책임 선발 보안 A.8.2 고용중 A A A 고용약정및조건 경영자책임 A.8.3 A 징계프로세스 정보보안인식, 교육및훈련 고용종료및변경 A A A 책임종료 자산반환 접근권한의제거 A.9 물리적, A.9.1 환경적보안 보안지역 A.9.1.2물리적출입통제 A A A A.9.1.1물리적보안경계 A 사무실, 외부와환경적위협보호 보안지역에서의업무 공개적접근, 방, 설비의보안 A.9.2 인도및선적지역 장비보안 A.9.2.1장비장소와보호 A.9.2.2지원유틸리티 A.9.2.3케이블링보안 A.9.2.4장비유지보수 A.9.2.5건물외부의장비보안 A.9.2.6장비의안전한처분또는재사용 A.9.2.7자산의반출 제6절 보안통제실행지침 개요 1. 국제표준과 보안통제항목(2/4) 41

42 통제영역 A.10.1 운영절차와책임 통제항목 A A A A 문서화된운영절차 변경관리 직무분리 개발, 시험, 운영설비의분리 세부통제항목 A.10.3 시스템계획및수용 A.10.2 제3의서비스인도관리 A A A A 제3자서비스변경관리 서비스인도 제3자서비스감시및검토 용량관리 A.10.5 A.10.4 코드로부터의보호 악성및이동 A A A 이동코드에대한통제 시스템인수 악성코드에대한통제 A.10 통신및운영 A.10.6 백업 A 정보백업 관리 A.10.7 네트워크보안관리 A A 네트워크통제 매체취급 A 네트워크서비스의보안 A A A 삭제가능한매체의관리 시스템문서의보안 매체폐기 정보취급절차 A.10.8 정보의교환 A A A 정보교환정책과절차 교환협정 전송중물리적매체 A.10.9 전자상거래서비스 A A A A 업무정보시스템 전자상거래 온라인거래 전자메시징 A A 공개가용정보 감시 A A A A 감사로깅 A 시스템사용감시 A 로그정보의보호 관리자와운영자로그 결점로깅 시각동기화 A.11 A.11.2 A.11.1 접근통제사업요구사항 A 접근통제정책 접근통제 사용자접근관리 A A 사용자등록 A.11.3 A A 권한관리 사용자책임 A A A 패스워드사용 보호되지않은사용자장비 책상및화면정리정책 사용자패스워드관리 사용자접근권한검토 A.11.4 네트워크접근통제 A A A A A 네트워크에서의분리 외부접속에대한사용자인증 네트워크에서의장비식별 원격진단과포트설정보호 네트워크서비스사용정책 A A 네트워크라우팅통제 네트워크접속통제 제6절 보안통제실행지침 개요 1. 국제표준과 보안통제항목(3/4) 42

43 통제영역 통제항목 세부통제항목 A.11 접근통제 A.11.5 운영시스템접근통제 A A A A 안전한로그온절차 사용자식별및인증 패스워드관리시스템 A.11.6 A A 접속시간의제한 시스템유틸리티의사용 근통제어플리케이션과정보접 A 세션시간종료 A.11.7 이동컴퓨팅및원격근무 A A A 민감한시스템분리 이동컴퓨팅및통신 정보접근제한 A.12.1 보안요구사항 원격근무 A.12.2 A.12 처리정보시스템 어플리케이션의정확한 A A A A 보안요구사항분석및명세화 정보시스템 A 입력데이터유효성확인 내부처리의통제 메시지무결성 출력데이터유효성확인 획득, 유지개발및 A.12.4 시스템파일의보안 A.12.3 암호통제 A A A A 키관리 운영소프트웨어의통제 암호통제사용에대한정책 A.12.5 A 시스템시험데이터의보호 개발및지원프로세스에서의 프로그램소스코드접근통제 보안 A A A A 운영시스템변경후어플리케이션기술적검토 소프트웨어패키지변경에대한제한 정보유출 변경통제절차 A.12.6 기술적취약성관리 A A 외주소프트웨어개발 A.13 정보보안 기술적취약성의통제 사고관리 A.13.2 정보보안사고와 A.13.1 취약점보고 정보보안사건과 A A 보안취약점보고 정보보안사건보고 A.14 개선의관리 A A A 책임과절차 사업 정보보안사고로부터의학습 연속성 증거수집 관리 A.14.1 사업연속성 관리의정보보안관점 A A A A A 사업연속성과위험평가 정보보안을포함한연속성계획개발및이행 사업연속성프로세스에정보보안을포함 사업연속성계획수립프레임워크 사업연속성계획시험, 유지및재평가 A.15 준거성 A.15.1 법적요구사항과의준거성 A A A A A 적용가능한법률의식별 지적재산권 조직의기록보호 개인정보의프라이버시및데이터보호 준수사항에대한준수 A.15.2 보안정책, 기준, 기술적 A A A 보안정책및표준과의준거성 기술적준거성점검 정보처리설비오용의차단 암호통제의규제 A.15.3 정보시스템감사고려 A A 정보시스템감사통제 정보보안감사도구보호 보안통제 개요 1. 국제표준과 보안통제항목(4/4) 43

44 구조(1/2) 중소기업의기술보호를위한 세부보안통제실행지침서 제6절 보안통제실행지침의 개요 으로아래의표와같이구분하여보안통제실행지침을구성하였다 ISO/IEC 2. 보안통제실행지침의 ISO/IEC 27002의11개통제영역을관리적보안(7통제영역), 조항 가. (11개통제영역) 보안관리방법물리적보안(1통제영역), 보안통제실행지침 기술적보안(3통제영역) 적용 영역의 보안정책 보안조직 관리적 보안 기술적 보안 제8절 제9절 조항명 자산관리 인적자원보안 물리적 환경적보안 4장, 제10절 10. 통신및운영관리 제11절 11. 접근통제 5장, 제15절 12. 정보시스템획득, 개발및유지보수 6장, 제16절 13. 정보보안사고관리 제12절 제17절 14. 사업연속성관리 제13절 제18절 15. 준거성 4장, 제14절 1) 2) 관리적보안 3) 물리적보안 기술적보안 자산의고의적또는우연적인유출, 자산의절도, 파괴, 화재등과같은각종물리적인위협으로부터보호하는방법. 변조, 파괴와같은관리적위협으로부터보호하는방법 인터넷, 네트워크를통한자산의침해위협으로부터보호하는방법 [ 보안관리 유형의 구분 기준 ] 44

45 구조(2/2) 제6절 보안통제실행지침의 개요 통제항목제목과ISO/IEC 2. 통제항목의목표와상세목표(ISO/IEC 조항번호 보안통제실행지침의 나. 세부통제항목제목과목표(ISO/IEC 통제항목(39개) 지침 통제항목의해설 27002) 중소기업의기술보호를위한 세부보안통제실행지침서 세부통제항목제목과목표(ISO/IEC 통제영역제목과ISO/IEC 조항 다. 세부통제항목해설(ISO/IEC 27002) 통제항목(133개) 지침 27002) 세부통제항목지침 45

46 Gap 파악하여관련ISMS제도를개선하고내재화하는기초자료로활용한다. 보안통제수준진단은각전문기관별로차이가있으나아래의그림과같이5단계31타스크로진행한다. I II 진단은진단기준대비현행ISMS제도가어느정도부합하는가와 진단은진단기준대비현행실무관행이어느정도부합하는가를 제7절 보안통제실행지침의 실무 활용 1. 보안통제수준 진단 시 활용 방안 각진단단계별로보안통제실행지침은다음과같은핵심자료로활용하게된다 [2단계] [1단계] 진단목표설정 진단요구사항도출: 진단범위설정: 세부보안통제영역을기준으로설정. 세부보안통제항목의목표를활용. 보안통제실행지침의활용예) 예) 관리적보안영역 [3단계] 진단방법론정립 I 진단기준정의: 진단팀교육: 법률및표준요구부합성분석시본지침을활용 Text 본지침의세부보안통제해설및실행지침참고 Book으로본지침활용 키보호 [4단계] [5단계] Gap 진단결과공유 II 법률및표준요구내재화율분석시본지침을활용 진단결과보고서작성시보안통제항목별로Gap I, II를분석 46

47 동을전개한다. ISO/IEC 사소통, 택하여해당기업에필요한보안제도정립, 위험감시및검토등6개로분류할수있다 의위험관리프로세스는아래의그림과같이RM환경설정, 본지침은위험관리에서도매우중요한자료로활용할수있다 보안인력육성, 위험평가를통해ISMS를설계하고적절한보안통제를선 보안도구도입, 위험평가, 전단조직구성등의프로세스개선활 위험처리, 위험수용, 위험의 제7절 보안통제실행지침의 실무 활용 2. 보안위험관리 시 활용 방안 위험관리단계별로보안통제실행지침을아래와같이활용하게될것이다 [1단계] [2단계] RM환경설정 위험평가 진단단계 해당없음 현존하는모범적인취약성목록은본지침의세부보안통제항목이다 보안통제실행지침의활용 [4단계] [5단계] [3단계] 위험수용 위험감시및검토 위험처리 위험을수용할만한수준인가를판단할때본지침을활용한다 기존위험이완화되고있는가를검토할때본지침을활용한다 위험을완화하기위한보안통제선정시본지침을활용한다 [6단계] 위험의사소통 위험에대한수용수준을전파할때본지침을활용한다 47

48 보안통제실무지침의제정또는개선에본지침이핵심인풋으로활용될수있다. ISMS관련지침의수는기업의사업특성에따라다를수있으나아래의표와같이32종의지침이필요하다. 번호 1 보안관리총괄정책서 실무지침명 보안통제실행지침참조조항 423 보안조직관리지침 인사보안지침 제11절 제8절 5 보안위험평가지침 외주인원보안지침 제11절, 제9절 사무실보안지침 정보자산관리지침 물리적보안지침 제15절 제10절 제16절 개인사용자보안지침 응용프로그램보안지침 정보처리설비보안지침 PC보안지침 제15절, 제16절, 제16절, 제17절, 제17절, 제18절 제18절 무선랜보안지침 PC사용자계정및IP발급지침 인터넷보안지침 방화벽룰등록및변경지침 서버보안지침 19 웹DNS DHCP서버보안지침 제16절, 제17절 20 취약점점검지침 제12절, 21 정보통신시스템보안성검토지침 소스코드취약점분석및개선지침 제17절 제18절 정보시스템구성및변경관리지침 정보시스템개발보안지침 침해사고대응지침 제16절, 제12절, 제18절 제18절 문서보안지침 보안감사지침 제16절, 제16절 28 정보보호시스템관리지침 시스템용량관리지침 제14절 제18절 정보시스템운영관리지침 정보시스템재해복구지침 정보시스템백업지침 전자문서보안관리지침 제16절, 제13절 제16절 제18절 제7절 보안통제실행지침의 실무 활용 3. 보안관리체계 수립 시 활용 방안 48

49 아래와같이보안전문가양성을위에기초및심화과정에유용한교재로활용가능하다 국제표준보안통제이해 보안전문가양성-기초 보안법규요구사항이해 회사보안통제지침이해 Text Book 부교재로활용 보안관리체계진단실습 보안전문가양성-심화 보안위험처리계획수립실습 보안위험평가실습 진단기준수립, 취약성목록으로보안통제항목활용 Gap분석, 진단결과분석기준으로활용 보안감사실습 위험완화를위한보안통제선정시활용 정보시스템취약성점검실습 보안감사체크리스트, 보안위반증거수집실습 취약성체크리스트정립및충족도평가에활용 부적합정의기준으로활용 보안성과분석실습 보안성과분석기준으로활용 보안통제항목별존재하여야하는증거목록작성에활용 제7절 보안통제실행지침의 실무 활용 4. 보안관리 교육 및 훈련 시 활용 방안 49

50

51 제4장 관리적 보안통제 실행 지침 제8절 보안 정책 제9절 보안 조직 1. 내부 조직 2. 외부 조직 제10절 자산 관리 1. 자산에 대한 책임 2. 정보 분류 제11절 인적자원 보안 1. 고용 이전 2. 고용 중 3. 고용 종료 및 변경 제12절 보안 사고 관리 1. 보안사건과 취약점 보고 2. 보안 사고 및 개선 관리 제13절 사업연속성 관리 제14절 준거성 1. 법적 요구사항과의 준거성 2. 보안 정책과 표준 준거성, 기술적 준거성 3. 정보시스템 감사 고려사항

52 통제항목 보안정책(Information security policy)[ ISO/IEC A.5.1 ] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 사업요구사항과관련법규에부합하는정보보안관리방향과지원을제공하기위함 세부 경영자는사업목표와일맥상통하는명확한정책방향을설정하고조직에대해정보보안정책을공표하고 유지하여정보보안에대한실행의지와지원을입증하여야한다 통제항목 정보보안정책문서 정보보안정책의검토 [ ISO/IEC A.5.1.1] A.5.1.2] 정보보안정책문서는경영자가승인, 계획된간격또는적합성, 에게전달하여야한다 중요한수정이발생한경우에정보보안정책을검토하여야한다. 타당성과효과성을지속적으로보장하기위해 공표하고직원들과관련외부조직 1) 통제항목 2) 기업보안원칙이나목표등은모든임직원이손쉽게볼수있는장소에액자형태로부착하여 보안통제의목표를달성하기위해수립한정책서, 보안의식을고취할수있도록한다. 절차서, 지침서, 표준, 프로세스정의서, 템플리트, 해설 3) 4) 보안시스템문서들은임직원들이쉽게접근하여업무에참조할수있도록그룹웨어나특정웹서버에 가능한경우특정웹서버를이용하여정보보안관련문서를컨텐츠화하고시간과공간에제한없이 점검항목등(이하 보안시스템문서 )의보안시스템문서들은정해진절차에따라승인, 등록하여공유 공표 5) 보안정책의검토는정기적으로보안(심사)위원회에서년2회실시한다. 접근할수있는E-러닝교육을실시. 보안교육은반복교육을통한보안의식고취에초점을두어야함. 6) 보안정책의검토는별도의회의체보다는보안심사위원회등의경영자회의에하나의안건으로제출 화등외부의보안요구변경, 수정필요성을검토 고객등이해관계자요구, 보안사고의발생교훈등에따라정책/수침의 회사의신사업추진, 법규변 하는것이효율적임 제8절 보안 정책 52

53 정보보안정책문서(Information 정보보안정책문서는경영자가승인, 1세부통제항목 security 공표하고직원들과관련외부조직에게전달하여야한다. policy document) 1. _[ 보안정책(Information ISO/IEC A ] security policy)[ ISO/IEC A.5.1 ] b) 정책문서는다음과같은관심사항을포함하여야한다.: a) 정보보안정책문서에는경영자의실행의지를포함하여정보보안을관리하는조직의접근방안을설정한다. 2해설 c) d) 위험평가와위험관리의구조를포함하여통제목표와통제를설정한프레임워크 정보공유를가능케하는메커니즘으로서의정보보안정의, 보안정책, 사업정책과목표와일맥상통하는정보보안의목표와원칙을지원하는경영자의도를언급; 원칙, 표준, 조직에게특별히중요한다음을포함한준수요구사항의설명; 이의전반적인목적및범위와중요성; 4) 1) 3) 2) 정보보안정책위반의결과; 법규준거성, 사업연속성관리; 보안교육, 훈련및인식요구사항; 규정및계약적요구사항; e) f) 정책을지원할수있는문서에대한언급, 보안사고의보고를포함한정보보안관리에대한일반적그리고특별한책임을정의; 상기정보보안정책은의도한독자가이해할수있고, 전달하여야한다. 예) 특정정보시스템에대해상세한보안정책과절차또는사용자가준수하여야하는보안규칙. 정보안정책은일반적인정책문서의일부로정립할수있다. 접근가능하며, 정보보안정책이조직외부에배포되는경우에는 적정한형태로조직전반의사용자에게 민감한정보가노출되지않도록주의를기울여야한다, 3실행지침 더상세한정보는ISO/IEC :2004를참조 보안정책은일반적으로기업차원의총괄정책과각보안통제영역별세부정책으로구분하여수립한다. 책서는하나의문서로작성할수도있고, 현재국제표준에서권고하고있는보안통제영역별세부정책은다음과같다 각보안통제영역별로구분하여작성할수있다. 보안정 1) 4) 7) 11) 접근통제정책, 외부네트워크로부터소프트웨어파일획득및유통정책, 2) 책상및화면정리정책, 3) 비인가소프트웨어정책, 15) 조직간정보교환정책, 이동컴퓨팅및통신정책, 소프트웨어라이센스정책, 8) 전기통신설비사용정책, 12) 16) 원격근무정책, 소프트웨어폐기정책, 13) 9) 암호통제정책, 기록보유정책, 17) 5) 데이터보호및프라이버시정책 이동코드정책, 14) 10) 준거성정책, 네트워크서비스활용정책 6) 백업정책, 해관계조직의마음가짐과행동자세등을포함한다. 을지원하는프로세스정의서, 목표, 보안정책을수립할때고려사항은1) 최상위수준의요구사항, 절차서, 주요보안조직의역할과책임등을정의하고, 보안에관한한기업의최상위규범(헌법의조항과같은), 지침서, 표준, 체크리스트등의보안제도가반드시지켜야하는원칙과 3) 보안목표달성을위한관련이 2) 각보안정책 제8절 보안 정책 53

54 정보보안정책의검토(Review 계획된간격또는적합성, 1세부통제항목 of the information security policy) 1. _[ 보안정책(Information 정보보안정책을검토하여야한다. 타당성과효과성을지속적으로보장하기위해중요한수정이발생한경우에 ISO/IEC A security ] policy)[ ISO/IEC A.5.1 ] 그타당성과적절성을검토하여야한다는요구사항이다. 보안정책을내 외부경영여건의변화에따라제정또는개정, 2해설 보안정책은수립, 검토및평가에대한관리책임이있는소유자가있어야한다. 폐기하게되는데그러한변화가발생한경우에 조직의보안정책개선필요성에대한평가를포함하여야한다. 환경, 사업상황, 법적조건, 또는기술적환경의변경결과로이루지게되며정보보안을관리하는접근방법과 검토는조직의보안정책, 조직 정보보안정책의검토는경영자검토결과로서고려하여야한다. 를수립하여야한다. 1) 2) 이해관계자로부터의피드백; 독립검토의결과(A 경영자검토대상은다음과같은정보를포함하여야한다.: 참조); 검토일정과기간을정의한경영자검토절차 6) 5) 4) 3) 사업환경, 프로세스성과와정보보안정책준거성; 이전의경영자검토결과; 시정및예방조치의상태(A 법적인조건, 자원가용성, 와A 법적+계약적+규정적조건, 참조); 7) 변경을포함한정보보안을관리하는조직의접근방법에영향을미칠수있는변경; 위협및취약성경향; 또는기술적환경등조직의환경에대한 경영자검토의출력정보는다음과관련된모든결정과행동을포함하여야한다.: 8) 9) 보고된정보보안사건(A.13.1 참조); 1) 적절한권한에의해제공된권고사항(A 정보보안을관리하는조직의접근방법의개선과정보보안프로세스들; 참조); 경영자검토의기록은유지하고수정된정책에대해서는경영자의승인을득하여야한다. 3) 2) 자원과책임배정의개선. 통제목표와통제의개선; 안건의하나로실시한다. 보안정책의검토는기업의임원과주요관리책임자로구성된보안위원회또는보안심사위원회등의회의 3실행지침 화, 고, 보안인력의양성, 보안프로세스의성과, 보안솔루션의도입등의보안프로세스개선필요성을검토하고결정한다. 이러한회의에서는사업목표달성을지원하는보안관리체계의유효성을보안관련사 따라서보안정책검토회의는중요현안의발생시수시회의또는년1회이상의정기회의를통해실시한다. 대내외사업여건의변화등을함께검토하여현행보안정책의변경, 보안조직의강 보안정책검토회의에는회사의주요경영자와보안관리조직구성원이참여하여보안관리체계를지속적으로개 선하기위한경영자의결의를천명하는기회가되어야한다. 제8절 보안 정책 54

55 통제항목 내부조직(Internal organization) [ ISO/IEC A.6.1 ] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 조직내부의정보보안을관리하기위함 관리골격은조직내의정보보안구현을착수, 룹과의접촉은적정한권한을포함하여산업적경향, 인하고보안2) 필요한경우조직에서정보보안전문가의조언과도움을받을수있도록한다. 발하고보안사고대응시접촉포인트를제공한다. 역할을배정, 조정하며3) 조직의보안구현상태를검토하여야한다 통제하기위해수립된다. 정보보안에대한다중원칙접근을견지하여야한다 표준및평가방법의감시등을유지하기위해개 경영자는1) 외부보안전문가또는그 정보보안정책을승 정보보안경영자실행의지 정보보안조정 A.6.1.1] 경영자는명확한방향, 정, 주지시켜조직내의보안을적극적으로지원한다. 증명된실행의지, 정보보안책임을정확하게배 정보보안책임배정 A 가조정하여야한다 보안활동을적절한역할과업무기능가진조직의다른파트의대표자 통제항목 세부 정보처리설비인가프로세스 A A 모든보안책임을명확히정의하여야한다 기밀성협정 A 요구사항을식별하고정기적으로검토하여야한다. 신규정보처리설비를위한관리자인가프로세스를정의하고 정보보호를위한조직의요구를반영한기밀성또는누설방지협정의 이행하여야한다. 관련기관접촉 A 관련기관에대한적절한연락을유지하여야한다.. 전문기관접촉 [ 정보보안의독립적검토 ISO/IEC A A ] 통제목표와통제, 특별한관심을갖고있는그룹이나기타전문보안포럼, 보안을관리하는조직의접근방법과그것의이행은(즉보안을위한 해적절한연락을유지하여야한다 정책, 프로세스와절차) 독립적으로계획된간격이 전문단체에대 1) 보안경영자(CSO)는회사의CFO 나보안이행에대한중대변경발생시검토하여야한다 통제항목 CSO는보안관리실무조직과각부서의보안담당자를지정하고적절한책임과역할을배정한 또는CIO 중의1인을대표이사가지정하고그책임과역할을배정 해설 2) 정보처리설비는정보자산을집대성하고있는중요한자산중의하나이므로설비가위치하고있는 행한다. 시설에대한관리적, 러한설비와시설에대한공식적인인가절차를수립하여야한다. 또는CSO는조직에서발생하는모든보안관련현안에대해해결과개선을위한대책을수립, 물리적, 기술적보호대책이필요하므로많은보호비용을수반한다. 따라서그이 3) 4) 5) 기밀성협정은임직원, 권한은건물/사무실/자산의중요도/비밀등급에따라설정하고출입증, 보안은객관적이고정확한검토를보장하기위해조직또는업무책임에서자유로운그룹에의해검 불가피한경우영구적또는일시적기간의협정에반드시서명하도록한다. 토한다. 검토방법은침투시험, 계약자, 사용자등이중요시설출입하거나중요자산에접근이업무적으로 취약성점검, 보안성검토등이있다키등을제공한다. 제9절 보안 조직 55

56 정보보안경영자실행의지(Management 경영자는명확한방향, 1세부통제항목 commitment to information 1. 내부조직(Internal 적극적으로지원하여야한다. 증명된실행의지, 정보보안책임을정확하게배정하고주지시켜조직내의보안을 security)[ ISO/IEC organization)[ A ISO/IEC ] A.6.1 ] 사업영위에필요한보안목표를설정하고, 데에는경영자의적극적인지원이필수적이다. 2해설 여주어야한다는요구사항이다. 경영자는다음을실행의지로보여주어야한다 목표달성을위한조직, 보안에대한경영자가직접적이고가시적인지원이실행의지보 프로세스, 절차, 지침을수립하여이행하는 b) c) d) a) 보안정책구현효과성을검토. 보안목표식별, 보안정책을공식화하고, 보안착수를위한명확한방향과가시적인관리지원을제공. 조직요구사항충족, 검토하며, 승인. 적정한프로세스로통합을보장 h) g) e) f) 조직전반의보안을위한구체적인역할의책임배정의승인. 보안에필요한자원의제공. 경영자는보안에대한내외부전문적가의조언에대한요구사항을파악하고조직전반에대한조언들을 보안통제이행을위한조직전반을조정(A 보안인식을유지하기위한계획과프로그램착수. 검토하고조정해야한다. 참조). 조직의규모에따라이사회와같은관리자포럼이나기존위원회들에의해서이러한책임들이이행한다. 더상세한정보는ISO/IEC 3실행지침 :2004를참조. 1)보안경영자(CSO: 2)보안정책과목표의검토및승인 경영자의보안에대한직 간접의지원이필요하다. 3)보안위원회구성및참여. 경영자가직접적으로참여하여지원하여야하는사항은다음과같다 4)보안인력, 예산, 조직의구성승인 Chief Security 보안성과 Officer)의임명. CSO의책임과권한배정 5)중요보안사고의해결지원 경영자가간접적으로지원하여야하는사항은다음과같다 1)보안정책과목표의달성독려 2)보안인식고취를위한주의환기 3)보안위반사항에대한책임추궁 4)보안정책, 5)중요보안사고의해결지원 최고경영자의역할을CSO에게위임하여원활한지원이이루어지도록한다 프로세스, 절차, 지침, 표준의준수지원 제9절 보안 조직 56

57 정보보안조정(Information 보안활동을적절한역할과업무기능가진조직의다른파트의대표자가조정하여야한다 1세부통제항목 security coordination)[ ISO/IEC 1. (조정조직의독립성을강조) 내부조직(Internal A ] organization)[ ISO/IEC A.6.1 ] 보안활동들의조정을위해서는객관적이고공정한의사결정과조직전반에미치는영향을고려하여독립적인 조직에의해수행되어야한다는요구사항이다 2해설 보안조정은경영자, 어야한다. 보안조정활동은다음을포함한다 a) 보안활동들이보안정책에부합되게이행되고있는지를보장 전문가는보험, 사용자, 법률이슈, 관리자, 설계자, 인적자원, 감사자그리고보안인력, IT 또는위험관리등영역의전문인력을말한다 전문가등의협력운영과협조가수반되 e) c) d) b) 정보보안방법론과프로세스승인. 정보보안통제의구현적절성과조정을평가 심각한위협의변화, 미부합사항을다루는방법을식별 f) 조직전반의보안교육과훈련을효과적인촉진 정보의유출, 위협에처한정보처리설비등을식별 예) 위험평가, 정보등급분류등 만약보안조직이별도의기능그룹으로분리되지않은경우에는위에제시된활동들은다른적절한위원회나 개별적관리자(CSO g) 보안사고들을감시하고검토한결과를평가해야하고, 파악한사고에대한적절한조치를권장 3실행지침 등)에의해수행되어야한다. 객관성과형평성을보장할수있다. 보안조정활동의대부분이정책개발. 관리적인측면에치중되어있어조직전반의보안문화정착에커다란영향을미친다. 따라서보안구현을위한조정활동은사업적인책임(예, 따라서CSO를포함한조직을독립적으로운영하는것이필수적이다. 제도정립및개선, 보안통제이행촉진, 매출과손익등)이없는조직에의해수행되어야만이 교육및훈련, 감사, 평가등의 여무시되거나약화될가능성이높기때문이다. 보안통제를구현하기위해서는각부서의협조뿐만아니라외부조직과의협력이매우중요하다. 소규모조직에서는IT부서, 치하는것은바람직하지않다. 품질부서또는경영지원부서의일부로통합하여운용할수있으나사업조직에배 보안은품질과같이소홀히하면비용을줄일수있다는단기적인성과에급급하 을위한네트워크를구축하여야한다. 비스거부공격과같은위협은보안전문회사의적시의도움이필수적이다. 통신회사, 보험회사, 변호법인등과같은외부기관이지원이필요하므로관련기관, 또한소방, 단체, 경찰, 업체와의원활한협력 의료, 안전, 예를들어서 전력회사, 제9절 보안 조직 57

58 정보보안책임배정(Allocation 모든보안책임을명확히정의하여야한다 1세부통제항목 of information security responsibilities)[ 1. 내부조직(Internal 2해설 ISO/IEC organization)[ A.6.1.3] ISO/IEC A.6.1 ] 각임직원과협력업체, 한다는요구사항이다. 보안책임을보안정책에따라배정한다. 물품공급업체등사업을수행하는모든조직에대해보안책임을명확히정의하여야 인식하여야한다. 의한다. 자산보호와특정보안프로세스수행을위한(예를들어사업연속성계획수립) 이러한책임은필요한경우특정사이트와정보처리설비를위한상세한지침등에적절히정 개별자산의보호나특정보안프로세스를수행하는책임을명확하게 배정된보안책임을가진개인들이다른사람들에게보안업무를위임할수있다. 그렇지만그들에게는아직책 책임을명확하게정의 임이남아있기때문에위임된업무들이제대로이행되고있는지확인하여야한다 특히다음과같은활동을수행하는개인의책임영역을명확히명시하여야한다.; a) b) c) 권한등급을명확하게정의되고문서화한다. 각특정시스템과연관된자산과보안프로세스의식별하고명확하게정의하는활동 많은조직에서보안의개발과구현통제의식별지원에대한전체적인책임을갖는보안관리자를지정한다. 각자산또는보안프로세스를위한책임이있는개체를배정하고책임상세를문서화한다(A 참고) ; 일상적인보호책임이있는자산소유자를지정하는것이다. 그렇지만통제를위해자원을제공하고이행하는책임은개별관리자에게있다. 3실행지침 하나의공통적인관행은자산의 회사의중요한가치를갖는자산에대한보안책임은자산의소유자, 이러한보안책임은대개업무수행프로세스, 보안측면에서자산의소유자는보안요구사항을제시하고그요구상에합당한보안통제를구축하여자산의관 절차, 지침, 직무기술서에정의하는것이일반적이다 관리자, 사용자에의해보호되어야한다. 자산의소유자는장치가전력공급중단시어느정도의시간과용량으로작동되어야하는지에대한요구사항 을제시하고원활한작동을위해장치의유지보수, 리자와사용자가이행할수있도록하여야하는막중한책임을갖고있다. 장치용량의적절성검토및개선, 예를들어비상전력공급장치에대한 정기점검및개선활동을실시하고, 등에대한보안통제를구축하여야한다. 비상사태발생시각부서에서사용할수있도록하여야한다. 이러한보안통제가구축되면장치의관리자는물품공급업체와적절한 장치성능의점검및훈련 어회사의중장기발전계획서에대한자산소유자는계획을입안한기획부문의관리책임자이다. 산의관리자가아니다. 따라서자산의소유자를중요자산별로명확하게정의하는것이가장중요하다고할수있다. 대개자산소유자는자산의도입, 작성, 개선, 변경, 갱신등을수행하는자이다. 자산소유자는자 특히정보처리설비, 영업기밀+설계기밀등민감한정보, 어플리케이션등의핵심자산에대해서는합당한 예를들 자산소유자를지정하여야한다. 제9절 보안 조직 58

59 정보처리설비인가프로세스(Authorization 신규정보처리설비를위한관리자인가프로세스를정의하고이행하여야한다 1세부통제항목 process for information 1. 내부조직(Internal 2해설 facilities) [ISO/IEC organization)[ A.6.1.4] ISO/IEC A.6.1 ] 다음의지침들을인가프로세스를위해고려하여야한다. 관리자인가프로세스를정의하고이행하여야한다는요구사항이다 정보처리설비는회사의중요한정보자산을생성, 갱신, 삭제, 전송하는역할을수행하는핵심자산이므로적절한 1)새로운설비들은그들의목적과사용을인가하는적절한사용자관리인가를가지고있어야한다. 2)필요한곳에서는하드웨어와소프트웨어가타시스템컴포넌트들과작동하는지를점검하여야한다.; 3)업무정보처리를위해개인또는개인적으로소유한정보처리설비(예, 인가는관련된보안정책과요구사항을충족하는것을보장하기위해단위정보시스템의보안환경을유지하 는데책임이있는관리자로부터또한획득하여야한다. 3실행지침 치)의사용은새로운취약점이존재할수있으며필요한통제를파악하고이행하여야한다 랩탑, 가정용컴퓨터또는휴대용장 새로운정보처리설비에대한인가프로세스의핵심은해당설비의보안위험평가를통해적절한보안통제를 될수있다. 이러한보안통제는사용자에업무에활용하기위해필요한기능과성능이발휘되는지, 구현하는지에대한관리를위해필요하다. 따라서정보처리설비의인가프로세스에는보안위험평가또는취약성점검등의활동이선행되어야한다. 는과정이해당자산의보안요구사항을충족하는지, 외부의공격에대해취약점이존재하는지등을모두포함 민감한정보를처리하 또한인가권한은사용조직의관리책임자, 보안부서의관리책임자가동시에갖는것이바람직하다. 제9절 보안 조직 59

ii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (

More information

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 ) KS 인증공장심사항목해설서 2013. 3 한국표준협회 I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 ) 4-2. (4 ) 5. (7 ) 5-1.

More information

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770> IT&Law 상담사례집 - 제 2 권 - IT&Law 상담사례집제2권 - 1 - 제 1 장프로그램저작권일반 - 2 - IT&Law 상담사례집제2권 - 3 - 제 1 장프로그램저작권일반 - 4 - IT&Law 상담사례집제2권 - 5 - 제 1 장프로그램저작권일반 - 6 - IT&Law 상담사례집제2권 - 7 - 제 1 장프로그램저작권일반 - 8 -

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

대한주택보증 ( 주 ) 대한주택보증

대한주택보증 ( 주 ) 대한주택보증 대한주택보증 ( 주 ) 335 2.6 대한주택보증 대한주택보증 ( 주 ) 337 1. 평가결과요약 평가부문 종합 경영 부문 (35) 주요 사업 부문 (35) 경영 관리 부문 (30) 평가지표평가방법점수등급득점 (1) 책임경영구현및공익성제고를위한최고경영진의노력과성과 9등급평가 6 B + 4.500 (2) 이사회 감사기능의활성화노력과성과 9등급평가 4 B +

More information

2002report hwp

2002report hwp 2002 연구보고서 210-23 가족법상친권 양육권및면접교섭권제도의실효성확보방안연구 한국여성개발원 발간사 연구요약. 연구의목적 . 가족법상친권 양육권및면접교섭권제도의내용 1. 친권에관한검토 2. 양육권에관한검토 3. 면접교섭권에관한검토 4. 관련문제점 . 가족법상친권 양육권 면접교섭권제도의시행현황 1. 공식통계를통해본시행현황 2. 친권 양육권 면접교섭권관련법원실무

More information

Layout 1

Layout 1 대대대대대대대대 :Layout 1 2014-07-15 대대 1:40 Page 1 대학의기업연계형장기현장실습 (IPP) 프로그램확산방안연구 연구보고서 2013-04 http://hrd.koreatech.ac.kr 대학의기업연계형장기현장실습 (IPP) 프로그램확산방안연구 오창헌편저 지은이 오창헌 ( 한국기술교육대학교교수 ) 엄기용 ( 한국기술교육대학교부교수 )

More information

1

1 제주국제자유도시개발센터 389 2.7 제주국제자유도시개 제주국제자유도시개발센터 391 1. 평가결과요약 평가부문종합경영부문 (35) 주요사업부문 (35) 경영관리부문 (30) 평가지표평가방법점수등급득점 (1) 책임경영구현및공익성제고를위한최고경영진의노력과성과 9등급평가 6 B o 3.750 (2) 이사회 감사기능의활성화노력과성과 9등급평가 4 D + 1.500

More information

경상북도와시 군간인사교류활성화방안

경상북도와시 군간인사교류활성화방안 2010-14 경상북도와시 군간인사교류활성화방안 목 차 경상북도와시 군간인사교류활성화방안 요약,,,, 4, 5, 6,,,,, 5 58 1:1 34, 24 ( 13, 11 ) 2010 2017 8 i (5 8 ),.,, 74 (4 3, 5 19, 6 52 ) (4~6 4,901 ) 1.5% 5% ii 제 1 장 연구개요 1 연구배경과목적 2 연구범위와방법

More information

2012-82 The Study on the Alternative Plans for Conservation and Effective Use in Palgong-Mountain , i ii iii iv v ? vi vii 제 절연구배경및목적 연구배경과필요성 연구목적 제 절연구범위 연구내용및방법 연구범위 연구내용 연구방법 제 절선행연구고찰 주요개념 관련연구

More information

Microsoft PowerPoint - ISACA_GRA_ _Conrol Practice_1

Microsoft PowerPoint - ISACA_GRA_ _Conrol Practice_1 www.ssgt.co.kr COBIT Control Practices & COBIT 이해하기 _1 편 IT Audit Services IT Risk Management Global IT Standardization IT Service Improvement 2008.10.20 Research & Development ISACA GRA Korea 조희준 CISA,

More information

Microsoft Word - ISO vs ISO 대비표[1].doc

Microsoft Word - ISO vs ISO 대비표[1].doc ISO 9001:2015 VS ISO 9001:2008 대비표 2015.10.26 ISO9001:2015 ISO 9001:2008 머리말서문 0.1 일반 0.2 품질매니지먼트원칙 0.3 프로세스어프로치 0.3.1 일반 0.3.2 PDCA 사이클 0.3.3 리스크에기반한사고방식 0.4 다른매니지먼트표준과의관계 머리말개요 0.1 일반 0.2 프로세스접근방법 0.3

More information

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp 어렵다. 1997년우리나라 50대그룹 (586개기업 ) 에근무하는 110,096 명의과장급이상관리 - 1 - - 2 - - 3 - 행정및경영관리자 (02) 중에서경영관리자에해당되는부문이라고할수있다. 경영관리자는더세부적으로는기업고위임원 (021), 생산부서관리자 (022), 기타부서관리자 (023) 등으로세분류할수있다 (< 참고-1> 참조 ). 임원-부장-과장

More information

조사보고서 구조화금융관점에서본금융위기 분석및시사점

조사보고서 구조화금융관점에서본금융위기 분석및시사점 조사보고서 2009-8 구조화금융관점에서본금융위기 분석및시사점 Ⅰ. 서론 Ⅱ. 구조화금융의미시적시장구조 2 조사보고서 2009-08 요약 3 Ⅲ. 서브프라임위기의현황과분석 4 조사보고서 2009-08 Ⅳ. 서브프라임위기의원인및특징 요약 5 6 조사보고서 2009-08 Ⅴ. 금융위기의파급경로 Ⅵ. 금융위기극복을위한정책대응 요약 7 8 조사보고서 2009-08

More information

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

범정부서비스참조모형 2.0 (Service Reference Model 2.0) 범정부서비스참조모형 2.0 (Service Reference Model 2.0) 2009. 12 - 1 - - 2 - - 3 - - 4 - < - 5 - - 6 - 1) 별첨 2 공유자원현황목록참조 - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 -

More information

92302 대한무역투자진흥공사 대한무역투자진흥공사

92302 대한무역투자진흥공사 대한무역투자진흥공사 92302 대한무역투자진흥공사 357 92302 대한무역투자진흥공사 92302 대한무역투자진흥공사 359 총괄요약표 리더십 전략 경영 시스템 경영 성과 평가범주지표명평가방법가중치등급 리더십 전략 주요 사업 활동 경영 효율화 주요 사업 성과 고객 성과 경영 효율 성과 (1) 경영진리더십 6등급평가 3 A (2) 지배구조및윤리경영 6등급평가 4 B (3) CS

More information

2.2 한국마사회 한국마사회 95 한국마사회 97 1. 평가결과요약 평가부문 종합경영부문 (35) 주요사업부문 (35) 경영관리부문 (30) 평가지표평가방법점수등급득점 (1) 책임경영구현및공익성제고를위한최고경영진의노력과성과 9등급평가 6 B o 3.750 (2) 이사회 감사기능의활성화노력과성과 9등급평가 4 C o 2.000 (3) 경영혁신노력과성과 9등급평가

More information

정보보호능력은필수적인 기업의핵심경쟁력이다 국제정보보호표준 ISO/IEC 27001:2013 Information security management systems Requirements ( 정보보호경영시스템 ISO 27001:2013) - 1 -

정보보호능력은필수적인 기업의핵심경쟁력이다 국제정보보호표준 ISO/IEC 27001:2013 Information security management systems Requirements ( 정보보호경영시스템 ISO 27001:2013) - 1 - 정보보호능력은필수적인 기업의핵심경쟁력이다 국제정보보호표준 ISO/IEC 27001:2013 Information security systems Requirements ( 정보보호경영시스템 ISO 27001:2013) - 1 - ISO 27001:2013 Framework Overview ISO27001:2013 은부속서 SL(Annex SL) 의부록 2(Appendix

More information

목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정

목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정 2012-02 2012. 1. 13 미국스마트그리드산업의 Value Chain 및정책동향 주요내용요약 서론 스마트그리드산업동향 주요국별스마트그리드산업정책 미국의스마트그리드산업동향 미국의스마트그리드정책동향 21세기스마트그리드산업전략 결론 작성김정욱책임연구원, 미국거점 kjwcow@kiat.or,kr +1-404-477-3288 감수조영희팀장, 국제협력기획팀 yhcho@kiat.or.kr

More information

ㅇ ㅇ

ㅇ ㅇ ㅇ ㅇ ㅇ 1 ㆍ 2 3 4 ㅇ 1 ㆍ 2 3 ㅇ 1 2 ㆍ ㅇ 1 2 3 ㆍ 4 ㆍ 5 6 ㅇ ㆍ ㆍ 1 2 ㆍ 3 4 5 ㅇ 1 2 3 ㅇ 1 2 3 ㅇ ㅇ ㅇ 붙임 7 대추진전략및 27 개세부추진과제 제 5 차국가공간정보정책기본계획 (2013~2017) 2013. 10 국토교통부 : 2013 2017 차 례 제 1 장창조사회를견인하는국가공간정보정책

More information

ICT À¶ÇÕÃÖÁ¾

ICT À¶ÇÕÃÖÁ¾ Ver. 2012 T TA-11104-SA 4 21 21 42 65 91 103 124 140 161 187 Ver. 2012 ICT Standardization Strategy Map 4 Ver. 2012 Ver. 2012 5 ICT Standardization Strategy Map 6 Ver. 2012 Ver. 2012 7 ICT Standardization

More information

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상 [ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 2016. 09. 12( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상이유로인한명예퇴직허용 ㅇ 정년연장형임금피크대상자의정년잔여기간변경은 퇴직적립금 소요재원증가로법정적립비율(80%)

More information

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770> 과학영재의창의적탐구능력배양을위한 R&E 프로그램기획 운영핸드북 Handbook of Annual Planning and Implementing R&E Program for the Talented 2017 과학영재창의연구 (R&E) 지원센터 이핸드북은과학고와과학영재학교의연간 R&E 프로그램기획 운영을효과적으로지원하기위해개발된것으로, 한국과학창의재단지정과학영재창의연구

More information

2003report250-9.hwp

2003report250-9.hwp 2003 연구보고서 250-9 여성의 IT 직종교육훈련후취업현황및취업연계방안 : () : () 한국여성개발원 발간사 2003 12 연구요약 1. 2. 전체정부위탁훈련기관의취업관련서비스제공정도에서, 취업정보, 취업상담, 취업알선을 적극적이며많이제공 한다가각각 76.6%, 70.3%, 65.6% 로알선기능이약간떨어지며, 취업처개척 개발 (50.0%) 이가장낮다.

More information

최종보고서-2011년_태양광등_FIT_개선연구_최종.hwp

최종보고서-2011년_태양광등_FIT_개선연구_최종.hwp Ⅰ Ⅱ - i - Ⅲ - ii - - iii - - iv - Ⅳ Ⅴ - v - 1 1 33 1.1 33 1.1.1. 33 1.1.2. 33 1.2 35 1.2.1. 35 1.2.2. 36 2 40 2.1 40 2.1.1. 40 2.1.2. 43 2.2 47 2.2.1. 47 2.2.2. 51 3 54 3.1 54 3.1.1. 54 3.1.2. 60 3.1.3.

More information

ⅰ ⅱ ⅲ ⅳ ⅴ 1 Ⅰ. 서론 2 Ⅰ. 서론 3 4 1) 공공기관미술품구입실태조사 Ⅰ. 서론 5 2) 새예술정책미술은행 (Art Bank) 제도분석 3) 국내외사례조사를통한쟁점과시사점유추 4) 경기도내공공기관의미술품구입정책수립및활용방안을위 한단기및장기전략수립 6 7 Ⅱ. 경기도지역공공기관의미술품구입실태 및현황 1) 실태조사의목적 ž 2) 표본조사기관의범위

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

120330(00)(1~4).indd

120330(00)(1~4).indd 도시개발법시행규칙 [ 별지제 5 호서식 ] 색상이어두운란은가작성하지않습니다. 접수번호 접수일자 성명 ( 법인의명칭및대표자성명 ) 주민등록번호 ( 법인등록번호 ) 전화번호 구역명 동의내용 구역면적 ( m2 ) 사업방식 시행자에관한사항 본인은 도시개발법 제4조제4항및영제6조제6항에따라환지방식의도시개발계획에대하여시행자등에게설명을듣고위내용 ( 개발계획수립과정에서관계기관협의및도시계획위원회의심의결과등에따라개발계획이변경되는경우를포함합니다

More information

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 (

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 ( 농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 :2014. 7. 29 ~ 2016. 7. 28.) 과제의최종보고서로제출합니다. 2016. 7. 28. 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 ( 인 ) 협동연구기관명 : 목원대학교산학협력단 ( 대표자 ) 고대식 ( 인 ) 협동연구기관명

More information

<BBE7C8B8C0FBC0C7BBE7BCD2C5EBBFACB1B820C3D6C1BEBAB8B0EDBCAD2E687770>

<BBE7C8B8C0FBC0C7BBE7BCD2C5EBBFACB1B820C3D6C1BEBAB8B0EDBCAD2E687770> 국립국어원 2007-01-42 사회적의사소통연구 : 성차별적언어표현사례조사및대안마련을위한연구 국립국어원 한국여성정책연구원 제출문 국립국어원장귀하 국립국어원의국고보조금지원으로수행한 사회적의사 소통연구 : 성차별적언어표현사례조사및대안마련을위한 연구 의결과보고서를작성하여제출합니다. 한국여성정책연구원 안상수 백영주, 양애경, 강혜란, 윤정주 목 차 연구개요 선행연구의고찰

More information

산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회

산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회 산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 2015. 12 한국직업자격학회 o o o o o 1) SC 내에서 Sub-SC 가존재하는것이아니라 NOS, 자격개발등의개발및운영단위가 Sub-sector 로구분되어있음을의미함. o o o o o o o o o Ⅰ. 서론 1 1. 연구필요성 o o 산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구

More information

벤처연구사업(전동휠체어) 평가

벤처연구사업(전동휠체어) 평가 정보보안 (Information Security) 정보보호관리체계 (ISMS) 2013. 8 표월성 passwd74@naver.com 010-4303-5006 Cherub.sungkyul.ac.kr < Agenda > Ⅰ. 정보보호관리체계개요 1.1 정보 (Information) 1.2 정보윤리와정보보호의필요성 1.3 정보보호 (Information Security)

More information

<4D F736F F F696E74202D20C1DFBCD2B1E2BEF7C0C720BAB8BEC8C1F8B4DC20B9D720B0B3BCB120BBE7B7CA5FBDC5C7F6B1B82E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20C1DFBCD2B1E2BEF7C0C720BAB8BEC8C1F8B4DC20B9D720B0B3BCB120BBE7B7CA5FBDC5C7F6B1B82E BC8A3C8AF20B8F0B5E55D> 중소기업의보안진단및개선사례 한국산업기술보호협회 Contents 중소기업보안관리실태 진단의목적, 범위및조직구성 진단수행절차및주요일정 보안진단사례소개 (S 사 ) 및결론 ( 참고 ) KAITS 보안진단컨설팅 중소기업비율 대기업 대기업 중소기업 [ 자료출처 : 중소기업청 ] [ 자료출처 : 중소기업청 ] 중소기업보안관리실태 중소기업中 13.2% 기술유출경험 ( 평균

More information

2

2 1 목차. 2008년도상임감사직무수행실적평가개요 5. 2008 년도상임감사직무수행실적평가결과총평 9. 기관별상임감사직무수행실적평가결과 15 2 2008 년도상임감사직무수행실적평가 ( 준정부기관 ) 3 2008 년도준정부기관상임감사직무수행실적평가개요 / 5 Ⅰ. 2008 년도상임감사직무수행실적평가개요 1. 2008 년도상임감사직무수행실적평가추진경위 6 / 2008

More information

연구보고서 2009-05 일반화선형모형 (GLM) 을이용한 자동차보험요율상대도산출방법연구 Ⅰ. 요율상대도산출시일반화선형모형활용방법 1. 일반화선형모형 2 연구보고서 2009-05 2. 일반화선형모형의자동차보험요율산출에적용방법 요약 3 4 연구보고서 2009-05 Ⅱ. 일반화선형모형을이용한실증분석 1. 모형적용기준 < > = 요약 5 2. 통계자료및통계모형

More information

ad-200200004.hwp

ad-200200004.hwp 탈성매매를 위한 사회복귀지원 프로그램 연구 여 성 부 목 차 Ⅰ. 서론 Ⅱ. 이론적 배경 및 선행연구결과 정리 Ⅲ. 여성복지상담소 실태조사 결과 Ⅳ. 선도보호시설의 운영 및 프로그램 현황 조사 결과 Ⅴ. 결론 참고문헌 부 록 표 목 차 그 림 목 차 부 표 목 차 Ⅰ. 서 론 . 서론 1. 연구의 목적 및 필요성 탈성매매를 위한 사회복귀지원 프로그램 연구

More information

제 2 장 국가핵심기술보안강화를위한보안역량현황분석및시사점 이슬기, 정명기, 안성진교수 ( 성균관대학교 ) Contents Ⅰ. 국가핵심기술보안역량실태조사개요 Ⅱ. 국가핵심기술보안역량평가결과 (215년) Ⅲ. 최근 3년간국가핵심기술보안역량비교 Ⅴ. 결론및제언 제 2 장국가핵심기술보안강화를위한보안역량현황분석및시사점 제 2 장 국가핵심기술보안강화를위한보안역량현황분석및시사점

More information

위탁연구 기능경기시스템선진화방안

위탁연구 기능경기시스템선진화방안 위탁연구 2016-4 기능경기시스템선진화방안 제출문 한국산업인력공단이사장귀하 이보고서를한국산업인력공단위탁연구과제 기능 경기시스템선진화방안 의최종보고서로제출합니 다. 2016. 6 한국고용노사관계학회 회장조준모 연구진연구책임자 : 고혜원 ( 한국직업능력개발원선임연구위원 ) 참여연구자 : 김봄이 ( 한국직업능력개발원부연구위원 ) 연구보조원 : 전희선 차례 i

More information

소준섭

소준섭 2014 년미얀마의국가경쟁력평가와정책적시사점 : 세계경쟁력지수 (GCI) 분석을통한개발협력분야모색 원순구 목 차 Ⅰ. 서론 Ⅱ. 미얀마및한국의세계경쟁력지수 (GCI) 분석 1. 세계경쟁력지수의구조및측정 2. 미얀마국가경쟁력지수평가분석 3. 한국의국가경쟁력지수분석 Ⅲ. 양국의경쟁력지수 GAP 분석을통한개발협력분야모색 1. 한국과미얀마의부문별경쟁력지수 GAP 분석

More information

신 재생에너지공급의무화 (RPS) 제도 Contents - 목차 - 1. 신에너지및재생에너지개발 이용 보급촉진법령 2. 신 재생에너지공급의무화제도관리및운영지침 3. 공급인증서발급및거래시장운영에관한규칙 신에너지및재생에너지 개발 이용 보급촉진법령 신 재생에너지공급의무화 (RPS) 제도 5 법률시행령시행규칙 신에너지및재생에너지개발 이용 보급촉진법 신에너지및재생에너지개발

More information

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta www.sen.go.kr 학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의 시설 설비및교구기준연구 2012. 10. 학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental

More information

장애인건강관리사업

장애인건강관리사업 장애인건강관리사업 2013. 2013 : : ( ) : ( ) ( ) ( ) : ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) 1.. 2.. 제1장. 연구개요 1 제2장. 1세부과제 : 장애인건강상태평가와모니터링 10 - i - 제3장. 2세부과제 : 장애인만성질환위험요인조사연구 117 - ii - 4장.

More information

2015 개정교육과정에따른정보과평가기준개발연구 연구책임자 공동연구자 연구협력관

2015 개정교육과정에따른정보과평가기준개발연구 연구책임자 공동연구자 연구협력관 2015 개정교육과정에따른정보과평가기준개발연구 연구책임자 공동연구자 연구협력관 2015 개정교육과정에따른정보과평가기준개발연구 연구협력진 머리말 연구요약 차례 Ⅰ 서론 1 Ⅱ 평가준거성취기준, 평가기준, 성취수준, 예시평가도구개발방향 7 Ⅲ 정보과평가준거성취기준, 평가기준, 성취수준, 예시평가도구의개발 25 Ⅳ 정보과평가준거성취기준, 평가기준, 성취수준, 예시평가도구의활용방안

More information

- i - - ii - - iii - - iv - - v - - 1 - 정책 비전차원 조직관리차원 측정 감시차원 정보보호 윤리적 차원 인식차원 - 2 - - 3 - - 4 - < 표 1> 정보보호산업과다른 IT 산업의성장률 (2001~2007) 비교 자료출처 : ETRI 2002 정보통신기술산업전망 (2002년~2006년) < 표 2> 세계정보보호시장전망

More information

[11하예타] 교외선 인쇄본_ver3.hwp

[11하예타] 교외선 인쇄본_ver3.hwp 2012 년도예비타당성조사보고서 교외선 ( 능곡 ~ 의정부 ) 철도사업 2012. 7. 요약 요약 제 1 장예비타당성조사의개요 1. 사업추진배경 2000 5 16, 2004 4 1,, 2006 -,, 39,., ~~, 2. 사업의추진경위및추진주체 2004. 12: (~) () - 21 (B/C=0.34). 2010. 04~2012. 02: (~) () - (B/C=0.53,

More information

목 차 2012-5 - 7) - 6 - - 7 - 직업교육의메카, 명품신성인양성 1 사업명 - 8 - 2 필요성및목적 - 9 - 직업교육의메카, 명품신성인양성 - 10 - - 11 - 직업교육의메카, 명품신성인양성 - 12 - - 13 - 직업교육의메카, 명품신성인양성 2-1 필요성 - 14 - 2-2 목적 3 사업내용총괄 3-1 사업개요 - 15 - 직업교육의메카,

More information

본연구는교육부특별교부금사업으로서울산광역시교육청으로부터예산이지원된정책연구과제임

본연구는교육부특별교부금사업으로서울산광역시교육청으로부터예산이지원된정책연구과제임 학교안전기준현황파악 ᆞ 분석및 개선방안연구 본연구는교육부특별교부금사업으로서울산광역시교육청으로부터예산이지원된정책연구과제임 목 차 학교안전기준현황파악ㆍ분석및개선방안연구 Ⅰ. 서론 / 1 1. 3 2. 4. 4. 6 3. 8 4. 8 Ⅱ. 국내학교안전관리법규현황 / 9 1. 11 2. 34 Ⅲ. 주요국의학교안전관리법규현황 / 49 1. 51 2. 114 3.

More information

2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안기본과정 o 교육대상 :

2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안기본과정 o 교육대상 : 2017 년 SW 개발보안교육과정안내 2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2017 년 SW 개발보안기본과정 o 교육대상 : 전자정부정보화사업담당공무원및개발자 o 교육기간 : 2017년

More information

- ii - - iii -

- ii - - iii - - i - - ii - - iii - - iv - - 1 - - 2 - - 3 - - 4 - - 5 - 9.0 8.0 7.0 6.0 5.0 초졸이하 중졸고졸 전문대졸대학교졸이상 60.0 4.0 3.0 50.0 2.0 1.0 40.0 30.0 초졸이하 중졸 고졸 전문대졸 대학교졸이상 0.0 1990 1991 1992 1993 1994 1995 1996 1997

More information

개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침_성동청소년수련관.hwp 서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고

More information

UDI 이슈리포트제 18 호 고용없는성장과울산의대응방안 경제산업연구실김문연책임연구원 052) / < 목차 > 요약 1 Ⅰ. 연구배경및목적 2 Ⅱ. 한국경제의취업구조및취업계수 3 Ⅲ. 울산경제의고용계수 9

UDI 이슈리포트제 18 호 고용없는성장과울산의대응방안 경제산업연구실김문연책임연구원 052) / < 목차 > 요약 1 Ⅰ. 연구배경및목적 2 Ⅱ. 한국경제의취업구조및취업계수 3 Ⅲ. 울산경제의고용계수 9 UDI 이슈리포트제 18 호 고용없는성장과울산의대응방안 2009.11. 3. 경제산업연구실김문연책임연구원 052)283-7722 / mykim@udi.re.kr < 목차 > 요약 1 Ⅰ. 연구배경및목적 2 Ⅱ. 한국경제의취업구조및취업계수 3 Ⅲ. 울산경제의고용계수 9 Ⅳ. 고용없는성장지속과대응방안 16 고용없는성장과울산의대응방안 요약문. 2005 5,..,..,..,

More information

활력있는경제 튼튼한재정 안정된미래 년세법개정안 기획재정부

활력있는경제 튼튼한재정 안정된미래 년세법개정안 기획재정부 활력있는경제 튼튼한재정 안정된미래 2 012 년세법개정안 기획재정부 목차 Ⅰ. 일자리창출및성장동력확충 1 고용창출지원강화 < 개정이유 > < 적용시기 > < 개정이유 > < 적용시기 > < 개정이유 > < 적용시기 > < 개정이유 > < 적용시기 > ㅇ < 개정이유 > < 적용시기 > ㅇ < 개정이유 > < 적용시기 > < 개정이유 > < 적용시기 >

More information

¾Æµ¿ÇÐ´ë º»¹®.hwp

¾Æµ¿ÇÐ´ë º»¹®.hwp 11 1. 2. 3. 4. 제2장 아동복지법의 이해 12 4).,,.,.,.. 1. 법과 아동복지.,.. (Calvert, 1978 1) ( 公 式 的 ).., 4),. 13 (, 1988 314, ). (, 1998 24, ).. (child welfare through the law) (Carrier & Kendal, 1992). 2. 사회복지법의 체계와

More information

> 국가기술자격검정시행계획 2015. 11. 2016 - 4 - 1. 근거 2. 기본방침 - 1 - 3. 세부시행계획 - 2 - - 3 - - 4 - 4. 검정별시행계획 - 5 - - 6 - - 7 - 기술사 종목별시행회 108 110 108 110 108 110 108 109 110 108 109 110 108 109 110 108

More information

- 1 -

- 1 - 차세대정보시스템구축개발사업 을위한 제안요청서 ( 안 ) < > - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 -

More information

사회복지관운영안내 3 목 차 4 사회복지관운영관련업무처리요령안내 Ⅰ. 기본방향 5 6 사회복지관운영관련업무처리요령안내 Ⅱ. 사회복지관운영 7 04 05 06 07 08 370 391 397 407 410 8 사회복지관운영관련업무처리요령안내 Ⅲ. 사회복지관사업 9 10 사회복지관운영관련업무처리요령안내 Ⅲ. 사회복지관사업 11 12 사회복지관운영관련업무처리요령안내

More information

<312E20C0AFC0CFC4B3B5E55F5352444320C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

<312E20C0AFC0CFC4B3B5E55F5352444320C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770> 페이지 2 / 6 첨부 1. 공급품 목록 및 납기일정 번호 품명 모델명/사양 Vendor 단위 수량 납기 비고 1 (샘플기판) 6Layer, FR-4, 1.6T, 1온스, 2 (샘플기판) 3 (샘플기판) 4 (샘플기판) 5 (샘플기판) FRONT PANEL BOARD 3종 1. 샘플기판은 Board 별 성능시험용 2. 샘플 기판 후 Board 별 육안점검 및

More information

보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) ( ) 16. OECD (Frascati Manual) 48,381 (,, ), 20

보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) ( ) 16. OECD (Frascati Manual) 48,381 (,, ), 20 보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) 2014 10 30() 16. OECD(Frascati Manual) 48,381 (,, ), 2014,. * 통계법국가승인지정통계 ( 제 10501 호 ) 로서 1963 년에최초실시된이래, 매년시행하고있는전국

More information

제 3 기지역사회복지계획 2015 년 ~ 2018 년 전라남도 제출문 보건복지부장관귀하 전라남도제 3 기지역사회복지계획 (2015-2018) 을제출합니다. 2014. 12. 20. 전라남도지사 - 목차 - - i - - ii - - 표차례 - - iii - - iv - - v - - vi - - 그림차례 - - vii - 제 3 기지역사회복지계획개요

More information

hwp

hwp 중국진출한국기업의노사관계및인적자원관리 요약 ⅰ ⅱ 중국진출한국기업의노사관계및인적자원관리 요약 ⅲ ⅳ 중국진출한국기업의노사관계및인적자원관리 요약 ⅴ 제 1 장서론 1 2 중국진출한국기업의노사관계및인적자원관리 제 1 장서론 3 4 중국진출한국기업의노사관계및인적자원관리 제 2 장중국진출한국기업의인사노무관련현황 5 6 중국진출한국기업의노사관계및인적자원관리

More information

- 2 -

- 2 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - 가 ) 가 ) 가 ) 가 ) - 10 - - 11 - 길이 피시험기기 주전원 절연지지물 케이블지지용절연물 접지면 발생기 - 12 - 길이 가능한경우 절연지지물 절연지지물 접지면 전자계클램프 감결합장치 - 13 - - 14 - - 15 - - 16 - - 17 - - 18 -

More information

클라우드컴퓨팅 주요법령해설서 2017. 11. 목차 3... 5 I... 15 II... 39 1. 공공분야... 41 2. 금융분야... 71 3. 의료분야... 81 4. 교육분야... 95 5. 신산업등기타분야... 101 III... 109 요약문 5, 15 3, 1 16~ 18 15 11 16 4, 16 7,,, 5 16 5, 16 7~10,,,

More information

목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요

목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요 2015 년 4 월 2 일공보 2015-4 2 호 이자료는 4 월 3 일조간부터취급하여 주십시오. 단, 통신 / 방송 / 인터넷매체는 4 월 2 일 12:00 이후부터취급가능 제목 : 금융기관대출행태서베이결과 ( 2015 년 1/4 분기동향및 2015 년 2/4 분기전망 ) 문의처 : 금융안정국금융시스템분석부은행분석팀과장조성민, 조사역권수한 Tel : (02)

More information

학자금지원을위한소득기준 산출방식개선방안연구 한국장학재단이사장귀하 본보고서를 학자금지원을위한소득기준산출방식개선방안연구 의최종 보고서로제출합니다. 2011. 9 주관연구기관 : 한국보건복지정보개발원 연구진 연구책임자 : 홍성대연구위원공동연구원 : 이대영책임연구원추병주연구원구자연위촉연구원 학자금지원을위한소득기준 산출방식개선방안연구 주관연구기관 : 한국보건복지정보개발원

More information

제536호 인천광역시 연수구 2009. 8. 10 월요일 구정방향 단계별 개발계획 ( 단위 : 억원) 주체별 재원부담 규모 ( 단위 : 억원) < 송도지구 생활권별 인구 배분계획 > < 첨단산업클러스터(5 7 공구) 토지이용계획 > 규 모 구분 등급 류별 번호 폭원 기 능 연장 (m) 기 점 종 점 사용형태 주요

More information

숙련기술인의경제적 사회적지위 분석을위한측정지표개발

숙련기술인의경제적 사회적지위 분석을위한측정지표개발 2013-06 숙련기술인의경제적 사회적지위 분석을위한측정지표개발 2013. 11 . 2013. 11. : ( ) : (, ) : (, ) ( ( ) ) ( ( ) ) ( ( ) ) : ( ) ( ) ( ) ( ) < > I. 1 1. 1 2. 3 II. 5 1. 5 1.1 5 1.2. 7 1.3. 8 2. 10 III. 20 1. 20 1.1. 20 1.2.

More information

[ 목차 ]

[ 목차 ] 빅데이터개인정보보호가이드라인 해설서 ( 14.12.23. 제정, 15.1.1. 시행 ) [ 목차 ] < 주요내용 ( 요약 ) > 1. 목적 ( 가이드라인제 1 조 ) 2. 정의 ( 가이드라인제 2 조 ) - 1 - - 2 - - 3 - 3. 개인정보의보호 ( 가이드라인제 3 조 ) 비식별화조치 ( 제 1 항 ) - 4 - - 5 - - 6 - - 7 - 개인정보보호조치

More information

제1차 양성평등정책_내지_6차안

제1차 양성평등정책_내지_6차안 www.mogef.go.kr www.mogef.go.kr C O N T E N T S C O N T E N T S 01 Ministry of Gender Equality & Family 008 009 02 Ministry of Gender Equality & Family 010 011 Ministry of Gender Equality & Family

More information

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정 정보보안규정 2016. 9. 23. 제정 제1조 ( 목적 ) 이규정은이화여자대학교 ( 이하 본교 라한다 ) 정보통신망의안정성과정보보안을위해필요한사항을규정함을목적으로한다. 제2조 ( 용어의정의 ) 이규정에서사용하는용어의정의는다음각호와같다. 1. 정보통신서비스 라함은정보통신설비및시설을이용하여정보를제공하거나정보의제공을매개하는것을말한다. 2. 정보통신설비 라함은정보통신서비스를제공하기위한기계,

More information

<BBEAC0E7BAB8C7E8C1A6B5B52E687770>

<BBEAC0E7BAB8C7E8C1A6B5B52E687770> 산재보험제도발전방안에대한연구 ( 재활 복지 ) 요약 ⅰ ⅱ 산재보험제도발전방안에대한연구 ( 재활 복지 ) 요약 ⅲ ⅳ 산재보험제도발전방안에대한연구 ( 재활 복지 ) 요약 ⅴ ⅵ 산재보험제도발전방안에대한연구 ( 재활 복지 ) 제 1 장서론 1 2 산재보험제도발전방안에대한연구 ( 재활 복지 ) 제 1 장서론 3 4 산재보험제도발전방안에대한연구

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

태양광산업 경쟁력조사.hwp

태양광산업 경쟁력조사.hwp 태양광산업산업경쟁력조사 1 Ⅰ. 1. 52 2. 53 Ⅱ. 1. 54 2. 60 3. 64 III. 1. 71 2. 82 Ⅳ. 1. 98 2. 121 3. 132 Ⅴ. 1. 147 2. 160 3. 169 4. SWOT 181 Ⅵ. 1. 187 2. 202 3. 217 Ⅶ. 225 < 요약 > Ⅰ. 서론 II. 태양광산업의개요 III. 태양광기술개발현황

More information

2015 년 SW 개발보안교육과정안내

2015 년 SW 개발보안교육과정안내 2015 년 SW 개발보안교육과정안내 2015 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2015 년 SW 개발보안일반과정 교육대상 : 전자정부정보화사업담당공무원및개발자 교육기간 년 월 년 월

More information

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하 우송정보대학개인정보보호내부관리계획 제 장총칙 제정 제 조 목적 개인정보보호내부관리계획은개인정보보호법제 조 안전조치의무 내부관리계획의수립및시행의무에따라제정된것으로우송정보대학이취급하는개인정보를체계적으로관리하여개인정보가분실 도난 누출 변조 훼손 오 남용등이되지아니하도록함을목적으로한다 제 조 적용범위 본계획은홈페이지등의온라인을통하여수집 이용 제공또는관리되는개인정보뿐만아니라오프라인

More information

09³»Áö

09³»Áö CONTENTS 06 10 11 14 21 26 32 37 43 47 53 60 임금피크제 소개 1. 임금피크제 개요 2. 임금피크제 유형 3. 임금피크제 도입절차 Ⅰ 1 6 7 3) 임금피크제 도입효과 임금피크제를 도입하면 ① 중고령층의 고용안정성 증대 연공급 임금체계 하에서 연봉과 공헌도의 상관관계 생산성 하락에 맞추어 임금을 조정함으로써 기업은 해고의

More information

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp 신규투자사업에 대한 타당성 조사 (요약본) 2015. 4. 지방공기업평가원 제주관광공사가부족한쇼핑인프라를보완하고, 수익을제주관광진흥에재투자하여 관광산업활성화와관광마케팅재원확보 라는양대목적달성에기여하고공기업으로서사회적책임을다하고자시내면세점사업에투자하려는의사결정에대한타당도는전반적으로볼때 긍정 으로평가할수있음 역할및필요성 대내 외환경 정책및법률 경제성기대효과

More information

2002report hwp

2002report hwp 2002 연구보고서 220-11 초 중등교육과정의성인지적개편을위한양성평등교육내용개발 한국여성개발원 발간사 양성평등교육내용개발진 연구요약 1. 연구목적 2. 연구방법 3. 7 차교육과정및교과서내용분석 가. 도덕과 나. 사회과 다. 실과 / 기술 가정과 4. 각교과별양성평등교육내용개발가. 도덕과 나. 사회과 다. 실과 / 기술 가정과 5. 결론 목 차 Ⅰ 서론

More information

목차 I. 개요 1 II. 제 1 차우주위험대비기본계획 주요내용 3 III. 우주위험대비 2016 년도주요실적 4 IV. 16 년도개선사항및 17 년도개선방향 12 V 년도추진목표및과제 13 VI. 추진과제별시행계획 우주위험대책본부운영

목차 I. 개요 1 II. 제 1 차우주위험대비기본계획 주요내용 3 III. 우주위험대비 2016 년도주요실적 4 IV. 16 년도개선사항및 17 년도개선방향 12 V 년도추진목표및과제 13 VI. 추진과제별시행계획 우주위험대책본부운영 제 1 차우주위험대비기본계획 '14~'23 2017 년도시행계획 2017. 2. 관계부처합동 목차 I. 개요 1 II. 제 1 차우주위험대비기본계획 주요내용 3 III. 우주위험대비 2016 년도주요실적 4 IV. 16 년도개선사항및 17 년도개선방향 12 V. 2017 년도추진목표및과제 13 VI. 추진과제별시행계획 14 1. 우주위험대책본부운영 14 2.

More information

´ëÇа¨»ç¹é¼Ł Á¦3ºÎ

´ëÇа¨»ç¹é¼Ł Á¦3ºÎ 제3부 제1장 대학 입시제도 운영 제2장 대학 학사관리 제3장 교수임용 및 조직관리 제4장 내 외부 통제시스템 구축 운영 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241

More information

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우 개인정보처리방침 ( 주 ) 아프리카티비 ( 이하 회사 라한다 ) 는개인정보보호법에따라이용자의개인정보보호및 권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같이 개인정보처리지침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법에따라별도의동의를받는등필요한조치를이행할예정입니다.

More information

µ¿ºÎ°æ¿µÀÚ-6¿ùÈ£ 8È£š

µ¿ºÎ°æ¿µÀÚ-6¿ùÈ£8È£š 2013년 6월호 (통권 제 148호) 경총 국립서울현충원 국립서울현충원 상생의 노사문화정착과 일자리창출로 기업경쟁력 강화 경북동부경영자협회 East Local of Kyongbuk Employer s Association 노동부 및 지역 기관단체 소식 업대표 및 임원이 참석했다. 서비스업종의 단체급식 현장별 위험성 평가 표준모델을 개발해 제공하는

More information

1. 2. 3. 추진배경및경과 추진배경 추진경과 2012년도추진실적및성과 정부투자 인력양성및교육프로그램운영 단계별성과 2013 년도추진계획 기본계획 4 대전략별 13 년도투자계획 구분 미래부 농식품부 산업부 복지부 환경부 해수부 4 대전략별투입계획합계 ( 단위 : 백만원 ) 전략 1 전략 2 전략 3 전략 4 10,704.85 6,310.6 6,029.4

More information

<BFA9BCBABFACB1B8BAB8B0EDBCAD28C6EDC1FD292E687770>

<BFA9BCBABFACB1B8BAB8B0EDBCAD28C6EDC1FD292E687770> 성매매방지법 제정과정에 영향을 미친 요인에 관한 연구 - 거버넌스 관점과 여성단체의 역할을 중심으로 오 혜 란 * 1) 초 록 주요용어:성매매방지법, 성매매, 여성관련 법률, 여성단체, 여성정책, 입법과정, 젠더, 거버넌스, 젠더 거버넌스, NGO I. 들어가는 말 II. 이론적 배경 여성정책과 거버넌스 거버넌스의 의미 거버넌스의 유형 1) 국가(정부)주도형

More information

항목

항목 투자설명서변경공시 자본시장과금융투자업에관한법률제 89 조및동법시행령제 93 조에의거다음과같이 공시합니다. 1. 변경대상펀드 NO 펀드명칭 1 템플턴퇴직연금글로벌채권 50 증권자투자신탁 ( 채권-재간접형 ) 2 프랭클린연금저축포커스증권자투자신탁 ( 주식 ) 3 프랭클린뉴셀렉션포커스증권자투자신탁 ( 주식 ) 4 프랭클린포커스증권자투자신탁 ( 주식 ) 5 프랭클린선택과집중증권투자신탁

More information

국도_34호선(용궁~개포)건설사업_최종출판본.hwp

국도_34호선(용궁~개포)건설사업_최종출판본.hwp 2011 년도타당성재조사보고서 국도 34 호선 ( 용궁 ~ 개포 ) 건설사업타당성재조사 공공투자관리센터 한국개발연구원 요약 Ⅰ. 타당성재조사의개요 1. 사업의배경및목적 4. 34 ~... 2. 사업의추진경위및개요 : 23 2010-10 : ~ : L= 5.0km(4 ) : 764 : 100%() : 2013~2018 (6 ) < 표 1> 총사업비내역 (:

More information

[10상예타]_광주도시철도2호선 건설사업_인쇄본_ hwp

[10상예타]_광주도시철도2호선 건설사업_인쇄본_ hwp 2010 년도예비타당성조사보고서 광주도시철도 2 호선건설사업 공공투자관리센터 한국개발연구원 요 약 요약 Ⅰ. 예비타당성조사의개요 1. 사업의배경및목적,,. 2 2002 2005, 2010. 2015 2. 1 1 2015 2 2. 사업추진경위 2002, 2005 (B/C=1.42, AHP=0.606), ( )., 5, 2 ( () ). - (2010.2).

More information

2002report220-10.hwp

2002report220-10.hwp 2002 연구보고서 220-10 대학평생교육원의 운영 방안 한국여성개발원 발 간 사 연구요약 Ⅰ. 연구목적 Ⅱ. 대학평생교육원의 변화 및 외국의 성인지적 접근 Ⅲ. 대학평생교육원의 성 분석틀 Ⅳ. 국내 대학평생교육원 현황 및 프로그램 분석 Ⅴ. 조사결과 Ⅵ. 결론 및 정책 제언 1. 결론 2. 대학평생교육원의 성인지적 운영을 위한 정책 및 전략 목

More information

본연구결과는일의미래와노동시장전략연구에대한고용노동부의학술연구용역사업에의한것임 일의미래와노동시장전략연구 연구기관 / 한국노동연구원 2017. 3. 고용노동부 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17

More information

134946 한국인터넷진흥원 1019 134946 한국인터넷진흥원 134946 한국인터넷진흥원 1021 총괄요약표 평가범주 지표명 비계량계량합계 가중치등급가중치득점 ( 점 ) 가중치득점 리더십 책임경영 1. 국민평가 5 4.709 5 4.709 2. 정부권장정책 5 4.518 5 4.518 130908 경영 효율 1. 업무효율 5 4.930 - 사업수행효율성

More information

한국노인인력개발원 규정집(2015ver11).hwp

한국노인인력개발원 규정집(2015ver11).hwp 유연근무제 운영지침 Ⅳ-10. 유연근무제 운영지침 유연근무제 운영지침 제정 2012.09.03 한국노인인력개발원 제139호 개정 2012.12.31 한국노인인력개발원 제152호 개정 2013.08.01 한국노인인력개발원 제165호 개정 2014.04.09 한국노인인력개발원 제188호 개정 2014.06.27 한국노인인력개발원 제194호 제 1 장 총 칙 제1조(목적)

More information

<B3B2C0E7C7F62E687770>

<B3B2C0E7C7F62E687770> 퇴직연금 도입에 따른 금융업종별 대응전략 2005.11 남 재 현 (한국금융연구원 연구위원) 목 차 1) 미국의 경우 1875년에 American Express가 퇴직연금을 최초로 실시하였다. : : 大 和 總 硏 2) 종업원의 근무에 대해서 퇴직 시에 지불되는 급부(퇴직금) 및 퇴직 후의 일정기간에 걸쳐 지불되는 급부(퇴직 연금) 중 계산시점까지

More information

41호-소비자문제연구(최종추가수정0507).hwp

41호-소비자문제연구(최종추가수정0507).hwp 소비자문제연구 제41호 2012년 4월 해외 소셜 네트워크 서비스이용약관의 약관규제법에 의한19)내용통제 가능성* : Facebook 게시물이용약관의 유효성을 중심으로 이병준 업 요약 업 규 규 논 업 쟁 때 셜 네트워 F b k 물 규 았 7 계 건 됨 규 규 업 객 계 규 므 받 객 드 객 규 7 말 계 률 업 두 않 트 접속 록 트 른징 볼 규 업 내

More information

어업용면세유류 공급기준량산출개선방안연구

어업용면세유류 공급기준량산출개선방안연구 어업용면세유류 공급기준량산출개선방안연구 < 목차 > 제 1 장서론 1 제 1 절연구의목적및필요성 1 제 2 절연구의주요내용및방법 3 제 2 장면세유류공급연혁및공급실적 7 제 1 절연혁및체계 7 제 2 절공급현황 10 제 3 장현행면세유류공급량산정기준분석 15 제 1 절현행유류공급사업요령상의산정기준 15 제 2 절현행산정기준의문제점 23 제 4 장공급기준안산정기초분석

More information

차 례

차 례 2015 년 8 월호 제주경제동향 차 례 제주지역경제동향 ʼ15.6 124.6 124.6 0.12% 0.12%, 105.7 0.52% 105.7-0.52% ʼ15.7 4p () 79 4p 100 720 46.6% ʼ15.6 5,355M/T 19,530-24.7% -4.7%, 110.2 2.1% 108.8 3.8% 183.4 45.6% 1,071,464-7.2%

More information

대한무역투자진흥공사 대한무역투자진흥공사

대한무역투자진흥공사 대한무역투자진흥공사 123106 대한무역투자진흥공사 845 123106 대한무역투자진흥공사 123106 대한무역투자진흥공사 847 총괄요약표 평가범주 지표명 비계량계량합계 가중치등급가중치득점가중치득점 1. 리더십 5 A o 5 4.500 2. 책임경영 3 A o 3 2.700 리더십 책임경영 3. 국민평가 8 7.823 8 7.823 4. 사회적기여 (1) 사회공헌 2 A o

More information

2011-67 차례 - iii - 표차례 - vii - 그림차례 - xi - 요약 - i - - ii - - iii - 제 1 장서론 대구 경북지역인력수급불일치현상진단과해소방안에대한연구 1) ( ) 574 208 366 263 103 75.6 77.9 74.3 73.0 77.7 19.3 19.2 19.4 20.5 16.5 3.0 1.0 4.1

More information

2014 년 5 월 16 일 부천시보 제 1044 호 부천시공유재산관리조례일부개정조례 참좋아! 햇살같은부천에별같은사람들이있어

2014 년 5 월 16 일 부천시보 제 1044 호 부천시공유재산관리조례일부개정조례 참좋아! 햇살같은부천에별같은사람들이있어 시보는공문서로서의효력을갖습니다 제 1044 호 2014 년 5 월 16 일 ( 금 ) 조 례 부천시조례제2844호 ( 부천시공유재산관리조례일부개정조례 ) 2 부천시조례제2845호 ( 부천시아동복지심의위원회구성및운영에관한조례 ) 5 부천시조례제2846호 ( 부천시국민기초생활보장수급권자등생활안정자금지원사업특별회계설치및운용조례일부개정조례 ) 9 부천시조례제2847호

More information

2020 나주도시기본계획 일부변경 보고서(2009).hwp

2020 나주도시기본계획 일부변경 보고서(2009).hwp 2020 나주도시기본계획일부변경 2009 나주시 목 차 Ⅰ. 나주도시기본계획변경개요 1. 도시기본계획변경의배경및목적 1 2. 도시기본계획변경의기본원칙 2 3. 도시기본계획변경의범위 3 4. 추진절차 4 Ⅱ. 도시현황및특성 1. 도시현황및특성 5 2. 역사적 문화적특성 20 3. 도시세력권 24 4. 도시기능 25 5. 상위및관련계획검토 26 6. 개발잠재력분석

More information

파워포인트배경(블랙과 레드의 체크패턴)

파워포인트배경(블랙과 레드의 체크패턴) 기술적, 관리적측면에서의네트워크보안 2015-05-16 Contents 01/ 보안사고현황 보안사고사례 보안사고관련소송 보안의가장큰고민 보안에서의취약한부분 02/ 정보보호대책 보안의구분 관리적 / 물리적 / 기술적보안 보안통제항목 안전성확보조치개요 보안서비스분류 03/ 장비취약점개선방안 라우터 / 스위치보안 무선랜보안 보안장비보안 04/ 네트워크보안강화를위해서는..

More information