8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상

Transcription

1 제 1 장총칙 제1조 ( 목적 ) 이규정은국가정보원 국가정보보안기본지침, 서울특별시정보통신보안업무처리규칙 및 개인정보보호법 등에의거공사의정보보안업무전반에관한사항을규정함을목적으로한다. 제2조 ( 정의 ) 이규정에서사용하는용어의정의는다음과같다. 1. 정보보안 또는 정보보호 라함은정보시스템및정보통신망을통해수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지하기위하여관리적 물리적 기술적수단을강구하는일체의행위로서사이버안전을포함한다. 2. 정보통신망 이라함은 전기통신기본법 제2조제2호의규정에따른전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송수신하는정보통신체제를말한다. 3. 업무망 이라함은네트워크중에서내부업무를수행할수있도록연결되어있는내부전산망을말한다. 4. 정보시스템 이라함은 PC 서버등단말기, 보조기억매체, 전산 통신장치, 정보통신기기, 응용프로그램등정보의수집 가공 저장 검색 송수신에필요한하드웨어및소프트웨어일체를말한다. 5. 휴대용저장매체 라함은디스켓 CD 외장형하드디스크 USB메모리등정보를저장할수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 6. 사용자 라함은서울에너지공사사장 ( 이하 사장 이라한다 ) 으로부터정보시스템, 정보통신망및행정업무모바일서비스등에대한접근또는사용허가를받은임직원등을말한다. 7. 시스템관리자 라함은정보시스템, 정보보호시스템, 정보통신망및주요정보통신기반시설등을운영하고사용에대한관리책임을지는자를말한다.

2 8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다. 11. 전자정보 라함은각부서업무와관련하여취급하는전자문서및전자기록물을말한다. 12. 정보통신실 이라함은전산기계실 통신실 전자문서및전자기록물 ( 전자정보 ) 보관실등과같이서버 PC 스위치 교환기 라우터등의네트워크장치등이설치운용되는장소를말한다. 13. 취약점점검 이라함은정보통신망을불법침입 교란 마비 파괴하거나정보를절취 훼손하는해킹 컴퓨터바이러스 서비스방해등으로부터정보통신망과정보를보호하기위하여정보보안취약점을진단하는제반활동을말한다. 14. 국가용보안시스템 이라함은비밀등중요자료를보호하기위하여국가정보원장이개발하거나안전성을검증한암호장비 보안자재 암호논리등을말한다. 15. 암호논리 라함은정보의유출, 위 변조, 훼손등을방지하기위하여기밀성 무결성 인증 부인봉쇄등의기능을제공하는수학적논리또는알고리즘을말한다. 16. 정보보호시스템 이라함은정보의수집 저장 검색 송신 수신시정보의유출, 위 변조, 훼손등을방지하기위한하드웨어및소프트웨어를말한다. 17. 사이버공격 이라함은해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해등전자적수단에의하여정보통신망을불법침입 교란 마비 파괴하거나정보를절취 훼손하는공격행위를말한다. 18. 정보보안사고 라함은공사업무에영향을미치는전자정보, 정보시스템, 정보통신망및주요정보통신기반시설등에대한접근, 변경, 유출, 훼손, 파괴등의사건을말한다.

3 19. 침해사고 라함은외부또는내부의악의적인사용자가불법적인방법으로시스템에무단접근하여시스템의서비스를지연시키거나시스템을파괴, 데이터를변조, 삭제하는등의행위를말한다. 20. 폐쇄회로텔레비전 (Closed Circuit Television, 이하 CCTV라한다 ) 이라함은일정한공간에지속적으로설치된카메라를통하여영상등을촬영하거나촬영한영상정보를유 무선폐쇄회로등의전송로를통하여특정장소에전송하는장치또는촬영되거나전송된영상정보를녹화ㆍ기록할수있도록하는장치를말한다. 21. 주요정보통신기반시설 이라함은 정보통신기반보호법 및 정보통신망이용촉진및정보보호등에관한법률 의규정에의한지역난방제어시스템의운영을제어 통제 감시하는전자적관리시스템및정보통신망을말한다. 제3조 ( 적용범위 ) 정보보안에관한업무는관계법령이나조례등에규정된사항을제외하고는이규정이정하는바에의하며, 이규정에서정하지않은사항은국가정보원 국가정보보안기본지침, 서울특별시정보통신보안업무처리규칙 을적용한다. 제 2 장정보보안기본활동 제 1 절기본활동 제4조 ( 책무 ) 사장은국가안보. 국가및공사이익관련정보 ( 전자정보를포함한다. 이하같다 ) 와정보통신망을보호하기위한보안대책을마련하여야하며정보보안에대한책임을진다. 제5조 ( 정보보안담당관운영 ) 1사장은효율적 체계적인정보보안업무를수행하기위하여정보보안전문지식을보유한인력을확보하고관련전담조직을구성 운영하여야한다. 2정보보안업무를총괄하기위하여정보화담당부서의장을정보보안담당관으로하며. 정보보안담당관은다음각호의업무를수행한다. 1. 정보보안정책및기본계획수립 시행

4 2. 정보보안관련규정 지침등제 개정 3. 정보보안업무지도 감독, 정보보안감사및심사분석 4. 정보시스템, 정보통신망및정보자료등의총괄정보보안관리 5. 정보화사업보안성검토 6. 정보보안관리실태평가 7. 사이버공격초동조치및대응 8. 정보보안예산및전문인력확보 9. 정보보안사고조사결과처리 10. 주요정보통신기반시설보호활동 11. 사이버보안진단의날계획수립 시행 12. 정보보안교육및정보협력 13. 정보보호시스템의운용및보안관리 14. 정보통신망보안대책의수립 시행 15. 그밖에정보보안관련사항제6조 ( 분임정보보안담당관운영 ) 1사장은정보보안업무를효율적으로수행하기위하여분임정보보안담당관을지정및운영한다. 분임정보보안담당관은각부서의부장으로한다. 2분임정보보안담당관은효율적인정보보안업무를수행하기위하여각호의업무를수행하여야한다. 1. 자체정보보안대책수립 시행에관한사항 2. 사이버보안진단의날이행및감독에관한사항 3. USB 등휴대용저장매체의등록및악성코드유무에대한주기적점검에관한사항 4. 업무용 PC에서업무자료의작성, 저장및유통등무단사용여부에대한부서사용자의주기적점검에관한사항 5. 부서별로할당된 IP관리에관한사항 6, PC 단말기 ( 업무용 ) 노트북등에서업무자료를유출하거나위 변조및훼손시키지못하도록주기적점검 7. 그밖에정보보안에관한사항

5 제7조 ( 지도점검 ) 1정보보안담당관은정보시스템등의보안취약성개선을위하여각부서에대하여정보보안지도점검을실시하여야한다. 2정보보안담당관은정보시스템등의취약성진단및보안관리개선을위하여필요시관련외부기관에지도점검을요청할수있다. 제8조 ( 모의훈련 ) 정보보안담당관은정보통신망또는사용자를대상으로매년사이버위기대응모의훈련계획을수립하여연 1회이상훈련을실시하여야한다. 제9조 ( 취약점점검 ) 1정보보안담당관은정보시스템등에대한각종위협으로부터의보안취약성을진단하기위한점검을실시할수있다. 2 취약점점검은다음각호의경우에실시한다. 1. 정보보안사고가발생하여정보통신망등의보안취약성진단이요구될때 2. 정보시스템, 정보통신망및주요정보통신기반시설등에대한사이버공격등으로부터의보호대책이필요한경우 3. 보안성검토와정보보호시스템설치등에대한정보보안대책이확인되는경우 4. 정보시스템등에관한취약점점검또는종합진단이필요하다고판단될경우 5. 정보통신망등에보안조치이행여부또는안전성을확인하고자하는경우 6. 그밖에정보보안상필요하다고판단되는경우제10조 ( 정보보안교육 ) 1 정보보안담당관은자체정보보안교육계획을수립하여연 1회이상전직원을대상으로교육을실시하여야한다. 2 사장은정보보안교육의효율성제고를위하여자체실정에맞는정보보안교안을작성활용하여야하며필요시국가정보원장에게전문인력및자료지원을요청할수있다. 3 사장은정보보안관련전문기관교육및기술세미나참석을장려하는등정보보안담당관의업무전문성을제고하기위하여노력하여야한다. 제11조 ( 사이버보안진단의날운영 ) 1정보보안담당관은매월세번째수요일을 사이버보안진단의날 로지정하여운영하여야한다. 2분임정보보안담당관은사이버보안진단활동을수행토록소관부서내사용자를지도하여야하고그실시결과에대한개선활동수행후에사이버보안자가점검표 ( 별지 1호서식 ) 에의거점검결과를정보보안담당관에게제출하여야한다. 제12조 ( 정보보안규정위반 ) 1 정보보안규정위반사항은별표1과같다.

6 2분임정보보안담당관은공사이익에중대한영향을미칠수있다고판단되는정보보안규정위반에대해서는가장신속한방법으로정보보안담당관을경유하여사장에게보고하여야한다. 3제2항에따라정보보안규정위반을보고하는경우에는규정위반자, 규정위반내용및조치사항을포함하여야한다. 4사장은국가안보및국가의이익에중대한영향을미칠수있다고판단되는정보보안규정위반에대해서는가장신속한방법으로시장을경유하여국가정보원장에게통보하여야한다. 5정보보안규정위반자에대해서는관계법규에의해조치하며, 인사규정시행내규제73조의징계양정기준을적용한다. 제13조 ( 정보보안사고조사및보고 ) 1정보보안담당관은별표2의정보보안사고가발생한경우즉시피해확산방지를위한조치를취하고다음각호의사항을사장에게보고하여야한다. 이경우, 사고원인규명될때까지피해시스템에대한증거를보전하고임의로관련자료를삭제하거나포맷하여서는아니된다. 1. 일시및장소 2. 사고원인, 피해현황등개요 3. 사고자및관계자의인적사항 4. 조치내용등 2사고의발생또는징후를발견할경우에는제49조 ( 사고통보및복구 ) 제1항에따른다. 단, 관계기관으로부터사고로추정되는사안을최초로통보받았을경우에는지체없이그사실을시장에게통보하여야한다. 3정보보안담당관은사고조사를실시하여조사결과를사장에게보고후시장에게통보하여야한다. 필요시관계기관과의합동조사및복구지원팀을구성 운영할수있다. 4정보보안담당관은재발방지를위한정보보안대책의수립 시행등사고조사결과에따라필요한조치를하여야한다. 제 3 장정보보안관리

7 제 1 절기본사항 제14조 ( 정보시스템보안 ) 1분임정보보안담당관은필요한정보시스템 (PC 서버 네트워크장비, 정보통신기기등을포함 ) 을도입 사용할경우, 시스템관리자를지정운용하여야한다. 2시스템관리자는정보시스템 ( 단말기등 ) 관리대장 ( 별지제2호서식 ) 을수기또는전자적으로운용 관리하여야한다. 3사용자는개인PC 등소관정보시스템사용및본인계정을통한정보통신망접속과관련한보안책임을가진다. 4정보보안담당관은제1항부터제3항까지의명시된정보시스템운용과관련한보안취약점을발견하거나보안대책강구가필요하다고판단할경우, 분임정보보안담당관에게시정을요구할수있다. 제15조 ( 정보통신시설보안 ) 정보통신시설보안사항은보안업무처리규정에따른다. 제16조 ( 전자정보보호등급분류 ) 1사장은중요전자정보의효율적보호를위하여다음각호에해당하는경우에는보호등급으로분류하여야한다. 1. 최초로정보통신망을신설하여전자정보의보호등급구분이필요한경우 2. 현재운용중인정보통신망을재구성할경우 3. 사장이그밖에보호등급이필요하다고인정되는경우 2제1항에따른전자정보보호등급분류는별표3과같다. 제 2 절전자정보보안대책 제17조 ( 비밀의전자적처리 ) 1비밀등중요전자정보를정보통신망을이용하여생산 보관 분류 열람 출력 송수신 이관하는등전자적으로처리하기위해서는국가용보안시스템을사용하여암호화하는등국가정보원장이안전성을확인한보안조치를수행하여야한다. 2업무망전용 PC에서만비밀등중요전자정보를처리한다. 3비밀을전자적으로생산하고자할때에는해당비밀등급과예고문을입력하여열람또는출력시비밀등급이자동으로표시되도록하여야한다.

8 4비밀취급업무담당직원이비밀을전자적으로생산 열람 출력 송수신 이관시에는관련규격에따른제반사항을전자적으로기록유지하여야하며송수신에는정당성확인및부인을방지하기위해서는전자적으로생성된영수증을사용하여야한다. 5비밀생산을완료한경우에는 PC에입력된비밀내용을삭제하여야한다. 다만, 업무상필요한경우에는비밀저장용휴대용저장매체를별도로지정사용하거나 PC 내에독립된폴더를지정, 국가용보안시스템으로암호화하여보관하여야한다. 6전자적으로처리된비밀을종이문서로출력한이후의취급관리는보안업무처리규정에따른다. 제18조 (PC 등단말기보안관리 ) 1단말기사용자는 PC 노트북 스마트폰등단말기 ( 이하 PC 등 이라한다 ) 사용과관련한일체의보안관리책임을가진다. 2분임정보보안담당관은비인가자가 PC 등을무단으로조작하여전산자료를절취, 위 변조및훼손하지못하도록다음각호의보안대책을사용자에게공지하며, 사용자는이를준수하여야한다. 1. 장비 (CMOS 비밀번호 ) 자료 ( 문서자료암호화비밀번호 ) 사용자 ( 로그온비밀번호 ) 별비밀번호의주기적변경 2. 10분이상 PC 등의작업중단시비밀번호등이적용된화면보호조치 3. PC용최신백신운용 점검, 침입차단 탐지시스템등을운용하고운영체제 (OS) 및응용프로그램 ( 아래아한글, MS Office 등 ) 의최신보안패치유지 4. 음란 도박 증권또는메신저 P2P 웹하드등업무상불필요한응용프로그램설치금지및접근차단조치 5. 비인가또는보안에취약한프로그램 장치의설치금지및공유폴더삭제 6. IP의임의변경금지 7. 그밖에국가정보원장이안전성을확인하여배포승인한프로그램의운용및보안권고문 3사용자는 PC 등을교체 반납 폐기하거나고장으로외부에수리를의뢰하고자할경우에는하드디스크에수록된자료가유출, 훼손되지않도록보안조치하여야한다. 4분임정보보안담당관은사용자가 PC 등을공사외부로반출하거나내부로반입할

9 경우에최신백신등을활용하여해킹프로그램및웜 바이러스감염여부를점검하여야한다. 5개인소유의 PC 등을무단반입하여사용하여서는아니된다. 다만, 부득이한경우에는정보보안담당관의승인을받아사용할수있다. 제19조 ( 서버보안관리 ) 1시스템관리자는서버를도입운용할경우, 정보보안담당관과협의하여해킹을이용한자료절취, 위 변조등에대비한보안대책을수립 시행하여야한다. 2시스템관리자는서버내저장자료에대해업무별 자료별중요도에따라사용자의접근권한을차등부여하여야한다. 3시스템관리자는사용자별자료의접근범위를서버에등록하여인가여부를식별토록하고인가된범위이외의자료접근을통제하여야한다. 4시스템관리자는사용자권한을주기적으로점검하여비인가된권한이나불필요한권한을제거해야한다. 5시스템관리자는서버의운용에필요한서비스포트외에불필요한서비스포트를제거하며관리용서비스와사용자용서비스를분리운용하여야한다. 6시스템관리자는서버의관리용서비스접속시특정IP 또는 MAC주소가부여된관리용단말을지정 운용하여야한다. 7시스템관리자는서버설정정보및서버에저장된자료에대해서는정기적으로백업을실시하며복구및침해행위에대비하여야한다. 8시스템관리자는데이터베이스에대하여사용자의직접적인접속을차단하고개인정보등중요정보를암호화하는등데이터베이스별보안조치를실시하여야한다. 9정보보안담당관은제1항부터제8항까지에서수립한보안대책의적절성을수시확인하되, 연 1회이상보안도구를이용하여서버설정정보및저장자료의절취, 위 변조가능성등보안취약점을점검하여야한다. 제20조 ( 웹서버등공개서버보안관리 ) 1시스템관리자는외부인에게공개할목적으로설치되는웹서버등공개서버를내부망과분리된영역 (DMZ) 에설치 운용하여야한다. 2시스템관리자는비인가자의서버저장자료절취, 위 변조및분산서비스거부

10 (DDoS) 공격등에대비하기위하여국가정보원장이안전성을검증한침입차단 탐지시스템및 DDoS 공격대응시스템을설치하는등보안대책을강구하여야한다. 3시스템관리자는비인가자의공개서버내비공개정보에대한무단접근을방지하기위하여서버접근사용자를제한하고불필요한계정을삭제하여야한다. 4공개서버의서비스에필요한프로그램을개발하고시험하기위하여사용된도구 ( 컴파일러등 ) 는개발완료후삭제하는것을원칙으로한다. 5공개서버의보안관리에관련한그밖의사항에대해서는제19조 ( 서버보안관리 ) 에따른다. 제21조 ( 홈페이지등외부게시자료보안관리 ) 1사용자는개인정보, 비공개공문서및민감한내용등이포함된자료를홈페이지에공개하여서는아니된다. 정보보안담당관은개인정보를포함한중요업무자료가홈페이지에무단게시되지않도록홈페이지게시자료의범위 방법등을명시한자체홈페이지정보공개보안대책을수립시행하여야한다. 2홈페이지에정보를게시하고자하는부서의장은비밀등비공개자료가게시되지않도록하여야한다. 다만, 기존에게시한자료내용중단순하게수치를변경하거나경미한사항은그러지아니할수있다. 3사용자는인터넷블로그 카페 게시판 개인홈페이지또는소셜네트워크서비스등일반에공개된전산망에업무관련자료를무단게재하여서는아니된다. 4홈페이지에정보를게시한분임정보보안담당관은홈페이지등에비공개내용이게시되었는지여부를주기적으로확인하고개인정보를포함한비공개자료가홈페이지에공개되지않도록정보보안교육을실시하여야한다. 5정보보안담당관은홈페이지에중요정보가공개된것을인지할경우이를즉시차단하는등의보안조치를강구 시행하여야한다. 제22조 ( 사용자계정관리 ) 1시스템관리자는사용자에게정보시스템접속에필요한사용자계정 (ID) 부여시비인가자도용및정보시스템불법접속에대비하여다음각호의사항을반영하여야한다. 1. 사용자별또는그룹별로접근권한부여 2. 외부인에게계정부여는불허하되업무상불가피한경우정보보안담당관의책

11 임하에필요업무에한해특정기간동안접속토록하는보안조치강구후허용 3. 비밀번호등사용자식별및인증수단없는사용자계정사용금지 2시스템관리자는사용자가 5회이상로그인실패시정보시스템접속중단여부를검토하고비인가자의침입여부를확인 점검하여야한다. 3사용자는계정신청이후퇴직및보직변경발생시사용하지않는사용자계정은반납하고, 시스템관리자는반납된사용자계정을신속하게삭제하고, 특별한사안이없는한유지보수등을위한외부업체직원에게관리자계정제공을금지하여야한다. 4시스템관리자는사용자계정을주기적으로점검하여퇴직및보직변경등으로인한사항을관리하여야한다. 제23조 ( 비밀번호관리 ) 1시스템관리자는정보시스템비밀번호의무단사용방지를위하여다음각호와같이구분하여야한다. 1. 비인가자의정보시스템접근방지를위한장비접근용비밀번호 (1차) 2. 사용자가정보시스템접속시인가된인원인지여부를확인하는사용자인증비밀번호 (2차) 3. 문서에대한열람 수정및출력등사용권한을제한할수있는자료별비밀번호 (3차) 2비밀이나중요자료에는자료별비밀번호를반드시부여하되, 공개또는열람자료에대해서는부여하지아니할수있다. 3비밀번호는다음각호의사항을반영하여숫자와영문자, 특수문자등을혼합하여 9자리이상으로정하고, 분기별로 1회이상주기적으로변경하여사용하여야한다. 1. 사용자계정 (ID) 과동일하지않은것 2. 개인신상및부서명칭등과관계가없을것 3. 일반사전에등록된단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 사용된비밀번호는재사용하지말것 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능사용금지

12 4 서버에등록된비밀번호는암호화하여저장하여야한다. 제24조 ( 업무망보안관리 ) 1분임정보보안담당관은업무자료를송수신하기위한정보통신망구축시인터넷과분리되도록망을설계함을원칙으로한다. 단, 부득이한경우, 인터넷사용이제한될수있도록한다. 이경우다음각호의보안대책을강구하여사업계획단계 ( 사업공고전 ) 에서제51조 ( 보안성검토절차 ) 에따라보안성검토를의뢰하여야한다. 1. 비인가자의업무망 인터넷침입차단대책 ( 침입차단 탐지시스템등 ) 2. 비인가장비의업무망접속차단대책 ( 네트워크관리시스템등 ) 3. 업무PC의인터넷접속차단대책 4. 업무망과인터넷간안전한자료전송대책 2시스템관리자는정보시스템에부여되는 IP주소를체계적으로관리하여야하고, 비인가자로부터업무망을보호하기위하여사설주소체계 (NAT) 를적용하여야하며, IP주소별로정보시스템접속을통제하여비인가정보통신기기나 PC 등을이용한업무망내정보시스템접속을차단하여야한다. 3분임정보보안담당관은업무망을다른기관의망및인터넷과연동하고자할경우에는보안관리책임한계를설정하고망연동에따른보안대책을마련하고국가정보원에보안성검토를의뢰해야한다. 4시스템관리자는제3항과관련하여비인가자의망침입을방지하기위하여안전성이검증된침입차단 탐지시스템을운용하는등보안대책을강구하여야한다. 5시스템관리자는업무망을인터넷과연동시효율적인보안관리를위하여연결지점을최소화하여운용하여야한다. 6정보보안담당관은업무망의외부망연결에따른보안취약성해소를위하여보안도구를이용하여수시점검을하여야한다. 7업무망관리자는전송실패기록을점검하여악성코드유입여부등을주기적으로확인조치하여야한다. 8업무망 PC의자료를외부로전송시에는보안담당자혹은결재권자의사전또는사후승인절차를마련하여이를준수하여야한다. 제25조 ( 네트워크장비보안관리 ) 1시스템관리자는라우터, 스위치등네트워크장비운용과관련하여다음각호의보안조치를강구해야한다.

13 1. 네트워크장비에대한원격접속은원칙적으로금지하되, 불가피할경우장비관리용목적으로내부특정 IP MAC 주소에서의접속은허용 2. 물리적으로안전한장소에설치하여비인가자의무단접근통제 3. 네트워크장비등신규전산장비도입시기본 (default) 계정을삭제또는변경하고시스템운영을위한관리자계정별도생성 4. FTP 등불필요한서비스포트및사용자계정차단 삭제 5. 펌웨어무결성및소프트웨어 서버운영체제취약점과최신업데이트여부를주기적으로확인하여항상최신버전으로유지 2시스템관리자는네트워크장비의접속기록을 6개월이상유지하여야하고비인가자의침투여부를주기적으로점검하여야한다. 제26조 ( 전자우편보안대책 ) 1정보보안담당관은웜 바이러스등악성코드로부터사용자 PC 등전자우편시스템일체를보호하기위하여국가정보원장이안전성을확인한백신, 바이러스월, 해킹메일차단시스템을구축하는등보안대책을강구하여야한다. 2사용자는상용전자우편을이용한업무자료송 수신을금지하며공사전자우편으로송 수신한업무자료는열람등활용후메일함에서즉시삭제하여야한다. 3사용자는메일에포함된첨부파일이자동실행되지않도록설정하고첨부파일다운로드시반드시최신백신으로악성코드은닉여부를검사하여야한다. 4사용자는출처가불분명하거나의심되는제목의전자우편은열람을금지하고해킹메일로의심되는메일수신시에는즉시정보보안담당관에게신고하여야한다. 5시스템관리자는임직원퇴직시업무용메일계정을즉시삭제하여야한다. 6사용자는업무상외부로메일을전송시에는첨부파일에대한보호조치 ( 문서암호화, 비밀번호설정등 ) 를하여야한다. 제27조 ( 휴대용저장매체보안대책 ) 1분임정보보안담당관은휴대용저장매체를사용하여업무자료를보관할필요가있을때에는위 변조, 훼손, 분실등에대비한보안대책을강구하여정보보안담당관의승인을받아야한다. 2분임정보보안담당관은휴대용저장매체를비밀용, 일반용으로구분하고주기적으로수량및보관상태를점검하며반출 입을통제하여야한다. 3정보보안담당관은 USB 관리시스템을도입할경우국가정보원장이안전성을확인

14 한제품을도입하여야한다. 4시스템관리자는사용자가 USB메모리를 PC 등에연결시자동실행되지않도록하고최신백신으로악성코드감염여부를자동검사하도록보안설정하여야한다. 5분임정보보안담당관은비밀자료가저장된휴대용저장매체는매체별로비밀등급및관리번호를부여하고비밀관리기록부에등재관리하여야한다. 이경우에는매체전면에비밀등급및관리번호가표시되도록하여야한다. 다만, 휴대용저장매체가국가용보안시스템에해당될경우에는해당보안시스템의운용 관리체계에따라관리하여야한다. 6분임정보보안담당관은휴대용저장매체를파기등불용처리하거나비밀용을일반용또는다른등급의비밀용으로전환하여사용할경우저장되어있는정보의복구가불가능하도록완전삭제프로그램을사용하여야한다. 7분임정보보안담당관은사용자의휴대용저장매체무단방출및미등록휴대용저장매체사용여부등보안관리상태를주기적으로점검하여야한다. 8그밖에휴대용저장매체의보안관리에관련된사항은국가정보보안기본지침의 ( 부록 5) USB메모리등휴대용저장매체보안관리지침 을따른다. 제28조 ( 악성코드감염방지대책 ) 1사용자는웜 바이러스 해킹프로그램 스파이웨어등악성코드감염을방지하기위하여다음각호에따른보안사항을준수하여야한다. 1. 사용자는 PC 등에서작성하는문서 데이터베이스작성기등의응용프로그램을보안패치하고백신은최신상태로업데이트 상시감시상태로설정및주기적인점검을실시하여야한다. 2. 사용자는출처, 유통경로및제작자가명확하지않은응용프로그램사용을금지하고인터넷등상용망으로자료입수시신뢰할수있는인터넷사이트를활용하되최신백신으로진단후사용하여야한다. 3. 사용자는인터넷파일공유프로그램과메신저 대화방프로그램등업무상불필요한프로그램을사용금지하고, 시스템관리자는인터넷연동구간의침입차단시스템등에서관련사이트접속을차단하도록보안설정하여야한다. 4. 사용자는웹브라우저를통해서명되지않은 (Unsigned) Active-X 등이 PC 등내에불법다운로드되고실행되지않도록보안설정하여야한다.

15 5. 제1호부터제4호까지의보안대책과관련하여시스템관리자는정보보안담당관과협조하여사용자가적용할수있는보안기술을지원하여야한다. 2시스템관리자또는사용자는시스템에악성코드가설치되거나감염된사실을발견하였을경우에다음각호의조치를하여야한다. 1. 악성코드감염원인규명등을위하여파일임의삭제등감염시스템사용을중지하고정보통신망과의접속을분리한다. 2. 악성코드의감염확산방지를위하여정보보안담당관에게관련사실을즉시통보하여야한다. 3정보보안담당관은제2항의조치가완료된후감염 PC 등에대하여다음각호의조치를하여야한다. 1. 최신백신등악성코드제거프로그램을이용하여악성코드를삭제한다. 2. 감염이심각할경우포맷프로그램을사용하여하드디스크를포맷한다. 3. 악성코드감염의확산및재발을방지하기위하여원인을분석하고예방조치를수행한다. 4정보보안담당관은악성코드가신종이거나감염피해가심각하다고판단할경우에는관련사항을시장및국가정보원장에게신속히통보하여야한다. 5시장이공사에악성코드감염사실을확인하여조치를권고할경우, 즉시이행하여야한다. 6그밖에정보보안사고조사에관련한사항에대해서는제13조 ( 정보보안사고조사및보고 ) 를따른다. 제29조 ( 접근기록관리 ) 1시스템관리자는정보시스템의효율적인통제 관리, 사고발생시추적등을위하여사용자의정보시스템접근기록을유지 관리하여야한다. 2제1항의접근기록에는다음각호의내용이포함되어야한다. 1. 접속자, 정보시스템 응용프로그램등접속대상 2. 로그온 오프, 파일열람 출력등작업종류, 작업시간 3. 접속성공 실패등작업결과 4. 전자우편사용등외부발송정보등 3시스템관리자는접근기록을분석한결과, 비인가자의접속시도, 정보위 변조및무단삭제등의의심스러운활동이나위반협의가발생한사실을발견한경우

16 정보보안담당관에게즉시통보하여야한다. 4시스템관리자는접근기록은정보보안사고발생시확인등을위하여최소 6개월이상보관하여야하며접근기록위 변조및외부유출방지대책을강구하여야한다. 제30조 ( 정보시스템및소프트웨어개발보안 ) 1분임정보보안담당관은정보시스템을자체적으로개발하고자하는경우에는다음각호의사항을고려하여보안대책을수립하고정보보안담당관의승인을받아야한다. 1. 독립된개발시설을확보하고비인가자의접근통제 2. 개발시스템과운영시스템의물리적분리 3. 소스코드관리및소프트웨어보안관리 3분임정보보안담당관은시스템개발을포함한소프트웨어개발또는변경시보안취약점이없도록보안대책을적용하여야한다. 4분임정보보안담당관은정보시스템개발을완료한경우에는정보보안담당관에게정보보안요구사항을충족하는지확인받아야한다. 제31조 ( 정보시스템유지보수 ) 1분임정보보안담당관이정보시스템의유지보수를실시할경우다음각호의사항을준수하여야한다. 1. 유지보수인력의보안서약서집행및보안교육실시 2. 인가된유지보수인력만유지보수에참여 3. 의심되는결함예방대책과발생한결함에대한유지보수기록보관 4. 유지보수를위하여다른장소로정보시스템을이동할경우통제수단마련 5. 유지보수시에는일시, 담당자인적사항, 출입통제조치, 정비내용등을기록 유지 2시스템관리자는유지보수관리계획에따라정기적으로정보시스템정비를실시하고관련기록을보관하여야한다. 3시스템관리자는정보시스템의변경이발생할경우정보보안담당관과협조하여정보시스템의설계 코딩 테스트 구현과정에서의보안대책을강구하며정보보안담당관은관련적절성을확인하여야한다. 4분임정보보안담당관은시스템관리자등이유지보수와관련된장비 도구등을반출입할경우, 악성코드감염여부, 자료무단반출여부를확인하는등보안조치를하여야한다.

17 5분임정보보안담당관은외부에서원격으로정보시스템을유지보수하는것을원칙적으로금지하여야하며, 부득이한경우에는정보보안담당관과협의하여자체보안대책을강구한후한시적으로허용할수있다. 제32조 ( 전자정보저장매체불용처리 ) 1분임정보보안담당관은하드디스크등전자정보저장매체를불용처리 ( 교체 반납 양여 폐기등 ) 하고자할경우에는정보보안담당관의승인하에저장매체에수록된자료가유출되지않도록보안조치하여야한다. 2자료의삭제는해당정보가복구될수없도록저장매체별, 자료별차별화된삭제방법을적용하여야한다. 3정보시스템의사용자가변경된경우비밀처리용정보시스템은완전포맷 3회이상, 그외의정보시스템은완전포맷을 1회이상으로저장자료를삭제하여야한다. 4 전자정보저장매체의불용처리에관련된구체적인사항은국가정보보안기본지침의 ( 부록 6) 정보시스템저장매체불용처리지침 을따른다. 제 3 절주요상황별보안대책 제33조 ( 무선랜보안관리 ) 1분임정보보안담당관은무선랜 ( 와이파이등 ) 을구축하여업무자료를소통하고자할경우자체보안대책을수립하여관련사업계획단계 ( 사업공고전 ) 에서제51조 ( 보안성검토절차 ) 에따라보안성검토를의뢰하여야한다. 2시스템관리자는제1항의보안대책수립시, 다음각호의사항을포함하여야한다. 1. 네트워크이름 (SSID, Service Set Identifier) 브로드캐스팅중지 2. 추측이어려운복잡한 SSID 사용 3. WPA2 이상 (256비트이상 ) 의암호체계를사용하여소통자료암호화 ( 국가정보기호이승인한암호논리사용 ) 4. MAC 주소및 IP 필터링설정, DHCP(Dynamic Host Configuration Protocol) 사용금지 5. RADIUS(Remote Authentication Dial-In User Service) 인증사용

18 6. 그밖에무선단말기 중계기 (AP) 등무선랜구성요소별분실 탈취 훼손 오용등에대비한관리적 물리적보안대책 3정보보안담당관은제1항및제2항과관련한보안대책의적절성을점검하여야한다. 제34조 ( 무선인터넷보안관리 ) 1분임정보보안담당관은무선인터넷시스템을구축하여업무자료를소통하고자할경우자체보안대책을수립하여관련사업계획단계 ( 사업공고전 ) 에서제51조 ( 보안성검토절차 ) 에따라보안성검토를의뢰하여야한다. 2시스템관리자는공사건물전역에무선인터넷사용을제한하고특별히무선인터넷사용이필요한구역에한해사장책임하에운용한다. 3시스템관리자는업무용PC에서무선인터넷접속장치 (USB형등 ) 가작동되지않도록관련프로그램설치금지등기술적보안대책을강구하여야한다. 4분임정보보안담당관은개인휴대폰을제외한무선인터넷단말기의사무실무단반입 사용을금지하고제1항부터제3항까지와관련한보안대책의적절성을점검하여야한다. 제35조 (CCTV 시스템보안관리 ) 1분임정보보안담당관은 CCTV 운용에필요한카메라, 중계 관제서버, 관리용PC 등관련시스템을비인가자의임의조작이물리적으로불가능하도록설치하여야한다. 2CCTV 상황실의시설보안사항은보안업무처리규정에따른다. 3시스템관리자는 CCTV 카메라, 비디오서버, 관제서버및관련전산망을설치할경우업무망과분리운영하는것을원칙으로한다. 다만, 부득이하게업무망을이용할경우에는전송내용을암호화하여야한다. 4시스템관리자는 CCTV 시스템일체는사용자계정 비밀번호등시스템인증대책을강구하고허용된특정IP에서만접속을허용하는등비인가자의침입에대비한통제대책을강구하여야한다. 5정보보안담당관은제1항부터제4항까지와관련하여보안대책의적절성을점검하고보완하여야한다. 6 CCTV 시스템의보안관리에관련된구체적인사항은 CCTV 시스템보안관리방안 ( 부록 9) 따른다.

19 제36조 ( 디지털복합기보안관리 ) 1분임정보보안담당관은디지털복합기 ( 이하 복합기 라한다 ) 를도입하고자할경우복합기내저장매체에보관된자료유출방지를위하여비휘발성저장매체의완전삭제 ( 또는데이터암호화 ) 기능을기능이탑재된제품을도입하여야한다. 2시스템관리자는다음각호의경우에복합기저장매체의저장자료를완전삭제하여야한다. 1. 복합기의사용연한이경과하여폐기 양여할경우 2. 복합기의저장매체또는복합기전체를교체할경우 3. 고장수리를위한외부반출등복합기의저장매체를보안통제할수없는환경으로이동할경우 4. 그밖에저장자료삭제가필요하다고판단하는경우 3분임정보보안담당관은각부서에설치된복합기의저장매체등을교체하기위한유지보수작업시저장매체의무단교체여부등을확인하여야한다. 4시스템관리자는저장매체내장복합기현황을파악하고복합기의유지보수및불용처리시저장매체에대한보안조치를수행하여야한다. 제37조 ( 첨단정보통신보안기기보안관리 ) 1분임정보보안담당관은개인휴대단말기 (PDA) 스마트폰 전자제어장비등첨단정보통신기기를활용하여업무자료등중요정보를송수신및관리하고자할경우에는자체보안대책을수립하여관련사업계획단계 ( 사업공고전 ) 에서제51조 ( 보안성검토절차 ) 에따라보안성검토를의뢰하여야한다. 2시스템관리자는제1항의보안대책수립시, 다음각호의사항을포함하여야한다. 1. 첨단정보통신기기에대한장치인증및사용자인증 2. 제어신호, 통화내용등데이터의암호화 3, 업무자료의무단저장금지및업무용 인터넷 PC에무단연동금지 4. 시스템의분실 훼손 탈취등에대비한관리적 물리적 기술적보안대책 3정보보안담당관은개인이소지한첨단정보통신기기가업무와무관하더라도업무자료유출에직 간접적으로악용될소지가있다고판단될경우, 반출 반입통제등관련대책을강구할수있다.

20 4사장은제2항과관련한보안대책수립 시행을위하여국가정보원장에게해당첨단정보통신기기도입에따른보안취약점점검과보안대책등기술지원을요청할수있다. 5사장은제2항과관련한정보통신기기사용자를대상으로인증및암호화에필요한전자정보를발급할수없는경우, 정보통신기기암호기술적용지침 (2010.8, 국가정보원 ) 을준수하여야한다. 제38조 ( 정보통신망자료보안관리 ) 1시스템관리자는다음각호에해당하는정보통신망관련현황 자료관리에유의하여야한다. 1. 정보시스템운영현황 2. 정보통신망구성현황 3. IP 할당현황 4. 주요정보화사업추진현황 2사장은다음각호의자료를대외비로분류하여관리하여야한다. 다만, 국가안보와직결되는중요한정보통신망관련세부자료는해당등급의비밀로분류관리하여야한다. 1. 정보통신망세부구성현황 (IP 세부할당현황포함 ) 2. 국가용보안시스템운용현황 2. 보안취약점분석 평가결과물 3. 그밖에보호할필요가있는정보통신망관련자료 3제2항에명시되지않은정보통신망관련대외비및비밀의분류는보안업무처리규정에따른다. 제39조 ( 용역사업보안관리 ) 1분임정보보안담당관은정보화 정보보호사업및보안컨설팅수행등을외부용역으로추진할경우다음각호의사항을포함한보안대책을수립 시행하여야한다. 1. 용역사업계약시계약서에참가직원의보안준수사항과위반시손해배상책임명시, 용역참여인원에대한친필보안서약서제출등 2. 용역사업수행관련보안교육 점검및용역기간중참여인력임의교체금지 3. 정보통신망구성도 IP현황등용역업체에제공할자료는자료인계인수관리대장 ( 별지제3호서식 ) 을비치, 보안조치후인계 인수하고무단복사및외부반출

21 금지 4. 사업종료시외부업체의노트북 휴대용저장매체등을통해비공개자료가유출되는것을방지하기위하여복구가불가능하도록완전삭제, 사업자대표자명의보안확약서제출 5. 용역업체로부터용역결과물을전량회수하고비인가자에게제공 열람금지 6. 용역업체의노트북등관련장비를반출 반입시마다악성코드감염여부, 자료무단반출여부를확인및전산장비반입 반출대장 ( 별지제4호서식 ) 관리 7. 그밖에보안관리가필요하다가판단하는사항이나국가정보원장이보안조치를권고하는사항 2용역사업추진시과업지시서 입찰공고 계약서에다음각호의누출금지대상정보를명시해야하며, 해당정보누출시 지방자치단체를당사자로하는계약에관한법률시행령 제92조제1항제19호에의거입찰참가자격제한을위한부정당업자로등록하여야한다. 1. 공사소유정보시스템의내 외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정 비밀번호등정보시스템접근권한정보 4. 정보통신망취약점분석 평가결과물 5. 사업결과물및프로그램소스코드 6. 국가용보안시스템및정보보호시스템도입현황 7. 침입차단시스템 방지시스템 (IPS) 등정보보호제품및라우터 스위치등네트워크장비설정정보 8. 공공기관의정보공개에관한법률 제9조제1항에따라비공개대상정보로분류된공사의내부문서 9. 개인정보보호법 제2조제1호의개인정보 10. 보안업무규정 제4조의비밀및동시행규칙제7조제3항의대외비 11. 그밖에공사가공개가불가하다고판단한자료 3비밀관련용역사업을수행할경우, 외부인원에대한신원조사 비밀취급인가, 보안교육등보안조치를수행하여야한다. 4외부인력을활용하여정보시스템개발, 운용, 정비등을수행할경우에는해당

22 인력의고의또는실수로인한정보유출이나파괴를방지하기위하여보안조치를수행하여야한다, 5용역사업수행시분임정보보안담당관은제1항부터제4항까지에서규정한보안대책의이행실태를주기적으로점검하고미비점발견시사업책임자로하여금보안토록조치하여야한다. 6 그밖에사항에대하여는 외부용역업체보안관리방안 ( 부록 7) 을참조한다. 제40조 ( 정보시스템위탁운영보안관리 ) 1분임정보보안담당관은정보시스템에대한외부업체의위탁운영을최소화하되, 위탁운영필요시관리적 물리적 기술적보안대책을수립하여시행하여야한다. 2정보시스템의위탁운영은여타기관또는업체직원이공사에상주하여수행하는것을원칙으로한다. 다만, 공사에위탁업무수행직원의상주가불가한타당한사유가있을경우, 관련보안대책을수립시행하는조건으로그러하지아니할수있다. 3정보시스템의위탁운영과관련하여동조문에명시되지않은사항에대해서는제 39조 ( 용역사업보안관리 ) 를준용한다. 제41조 ( 원격근무보안관리 ) 1분임정보보안담당관은서울에너지공사업무망접속이불가한지역에서재택 파견 이동근무등원격근무를지원하기위한정보시스템을도입 운영할경우기술적 관리적 물리적보안대책을수립하고사업계획단계 ( 사업공고전 ) 에서제51조 ( 보안성검토절차 ) 에따라보안성검토를요청하여야한다. 2분임정보보안담당관은원격근무가능업무및공개 비공개업무선정기준을수립하고대외비이상비밀자료를취급하는업무는원격근무대상에서원칙적으로제외하되반드시수행해야하는경우보안대책강구후시를경유국가정보원장과협의하여수행여부를결정한다. 3정보보안담당관은모든원격근무자에게원격근무보안서약서 ( 별지제5호서식 ) 및원격근무서비스이용신청서 ( 별지제6호서식 ) 를징구하고원격근무자의업무변경 인사이동 퇴직등발생시정보시스템접근권한재설정등관련절차를수행하여야한다. 4원격근무자는원격근무시해킹을통한업무자료유출을방지하기위하여작업수행전최신백신으로원격근무용 PC 점검 업무자료저장금지등보안조치를수행

23 하여야한다. 5원격근무자는정보시스템고장시정보유출방지등보안대책을강구한후정비 반납등조치를취하여야한다. 6 비공개원격업무인경우에는국가용보안시스템을사용하여소통자료를암호화하고행정전자서명체계를이용하여인증하며인증강화를위하여일회용비밀번호 생체인증등보안기술을사용하여야한다. 7 정보보안담당관은주기적인보안점검을실시하여원격근무보안대책의이행여부를확인하여야한다. 제42조 ( 국가비상사태시보안관리 ) 1사장은전시 사변또는이에준하는국가비상사태발생시에중요정보시스템의효율적인보호관리을위한대책을강구하여야한다. 2제1항의보호관리가필요한중요정보시스템에는다음각호의사항을포함한다. 1. 국가비상사태발생시후송하여계속보관해야할비밀 (A급비밀 ) 2. 암호장비, 음어자재, 비밀관리시스템등국가용보안시스템 3. 비밀이저장된 CD 외장형하드디스크 USB메모리등휴대용저장매체 4. 그밖에, 보관이필요하다고결정한중요자료및중요휴대용저장매체 3제1항의보호관리대책수립시중요정보시스템의소산 이동 파기절차 방법등조치방안일체를포함하여야한다. 4비상사태에따라업무지역이동시비밀을정보통신망을통하여송수신하고자할경우에는국가정보원장이안전성을확인한보안조치를하여야한다. 제43조 ( 스마트폰등모바일행정업무보안관리 ) 1사장은스마트폰등을활용하여내부행정업무와현장행정업무및대민서비스업무등모바일업무환경을구축할경우보안대책을수립 시행하여야한다. 2분임정보보안담당관은모바일서비스기반구축시국가정보원장에게미리보안성및신뢰성에대한검토 승인을받아야한다. 3행정업무모바일서비스를이용하려는사용자는모바일기기에행정업무모바일서비스접속용보안소프트웨어를설치하여야한다. 4정보보안담당관은행정업무모바일서비스접속용보안소프트웨어의배포및설치를안전하게수행하도록보안관리을하여야한다.

24 5행정업무모바일서비스사용자는다음각호의사항을준수하여야한다. 1. 모바일기기의운영체계임의변조금지 2. 행정업무모바일서비스접속용소프트웨어및업무관련자료를모바일기기내부에복사하거나외부에유출금지 3. 비밀번호설정기능을이용하고정기적인비밀번호변경관리 4. 백신프로그램을최신버전으로유지 5. 발신이불명확하거나의심스러운메시지또는메일열람금지 6. 모바일기기의이상동작탐지시악성코드감염여부등확인 조치 7. 작성자 배포처가불분명한앱 (App) 설치금지및신뢰할수없는웹사이트접속금지 8. 행정업무모바일서비스접속시무선랜및테더링등실행금지 6기타상세한사항은 국가 공공기관모바일활용업무에대한보안가이드라인 (2014, 국가정보원 ) 을준수하여야한다. 제 4 절주요정보통신기반시설보안대책 제44조 ( 주요정보통신기반시설보안대책 ) 1 정보통신기반보호법 및동법시행령에따라주요정보통신기반시설에대한정보보호책임자는지사장이되고, 주요정보통신기반시설운영총괄은공무부장이되며주요정보통신기반시설정보보호책임자는제 2항각호의임무를수행한다. 2정보보호책임자는제1항의보안대책을수립 시행해야하며, 수립시다음각호의사항이포함되도록하고, 전년도추진실적평가및문제점에대한개선사항을다음해보안대책에반영하여야한다. 1. 주요정보통신기반시설현황및기능 2. 전년도보호업무추진실적및해당연도추진계획 3. 보안취약점분석 평가결과및도출된문제점에대한개선사항 4. 침해사고발생시대응및복구대책 5. 전자적침해행위예방을위한관리적 물리적 기술적보안대책등 3 정보보안담당관은주요정보통신기반시설의보안대책의이행여부를확인할수

25 있다. 제45조 ( 주요정보통신기반시설취약점분석 평가보안관리 ) 1주요정보통신기반시설정보보호책임자는주요정보통신기반시설로지정된후최초의취약점분석 평가를한후에는매년취약점분석 평가를실시하여야한다. 다만, 소관주요정보통신기반시설에중대한변화가발생하였거나취약점분석 평가가필요하다고판단되는경우에는 1년이되지아니한때에도취약점분석 평가를실시할수있다. 2주요정보통신기반시설정보보호책임자는취약점분석 평가의객관성과실효성을확보할수있도록전담반을구성하거나, 전담반을구성하지아니하고 정보통신기반보호법 제9조에따라지정된전문기관에위탁해주요정보통신기반시설의취약점을분석 평가할수있다. 이경우외부기관이제출한평가결과 ( 취약점및관련보호대책을포함한다 ) 에대한적절성을검증하여야한다. 3주요정보통신기반시설정보보호책임자는외부기관에소관주요정보통신기반시설의취약점분석 평가를의뢰하고자하는경우에는자료유출방지등을위한보안대책을수립하여야한다. 4관리기관의장은취약점분석 평가세부결과를그중요성과가치의정도에따라대외비또는비밀로지정관리하고인터넷이나학회지등외부에공개또는발표하여서는아니된다. 다만, 정보보안기술교류나학문적연구등을목적으로하는비공개회의등의경우에는자체보안성검토를거친후발표할수있다 4주요정보통신기반시설정보보호책임자는취약점분석 평가의결과에따라주요정보통신기반시설을안전하게보호하기위한관리적 물리적 기술적보안대책을수립 시행하여야한다. 제46조 ( 제어시스템보안관리 ) 1분임정보보안담당관은중앙에서감시 제어 통제하기위한제어시스템을구축할경우보안대책을수립하고제51조 ( 보안성검토절차 ) 에따라보안성검토를요청하여야한다. 2시스템관리자는제어시스템도입 교체시최신백신설치, 응용프로그램보안패치및침해사고대응책을마련하고주기적으로취약점을점검하여야한다. 다만, 제어시스템에백신등보안소프트웨어설치시가용성에차질을초래할경우에는국가정보원장과사전협의후설치하지아니할수있다. 3국가안보상중요한제어시스템구축시해당시스템을업무망과같은상용망과

26 분리운용한다. 4제3항에도불구하고제어시스템을업무망과상용망간연동이필요한경우에는국가정보원장의사전승인절차를거쳐연동구간에일방향통신장비설치등안전한망연동기법을적용하여야한다. 제 4 장사이버공격대응및조치 제47조 ( 초동조치 ) 1정보보안담당관은다음각호에해당하는사이버공격을인지할경우그피해실태를파악하고관련로그자료를보존하여야하며, 필요할경우정보시스템을통신망과분리하는등초동조치를취하여야한다. 1. 비인가자의정보시스템 어플리케이션에대한접근및접근시도 2. 정보자산의유출 3. 비인가자에의한중요정보의위 변조및삭제에관한사항 4. 악성프로그램유포 5. 정보시스템에대한서비스거부공격등발생에관한사항 6. 그밖에별표제2의정보보안사고유형에해당하는사항 2 정보보안담당관은단순웜 바이러스감염등경미한사항의경우자체처리후에관련사항을기록해둔다. 3 정보보안담당관은홈페이지변조, 정보통신망기능장애 마비또는중요정보자료유출등중대사고가발생한경우에는초동조치후즉시시장에게통보하여야한다. 이경우해당피해시스템은사고원인을규명할때까지증거보전을의무화하고임의자료삭제또는포맷을하여서는아니된다. 4정보보안담당관은초동조치가끝난경우에보안대책을수립 시행하여야한다. 제48조 ( 대응활동 ) 1정보보안담당관은사이버공격대응절차를수립 시행하고그이행실태를지속적으로확인 점검하여야한다. 2정보보안담당관은사이버공격정보의신속한수집및전파를위하여비상연락체계를구축하여야한다. 3사이버안전을위한대응절차기준을정하고자할경우에는 국가정보원국가

27 사이버안전매뉴얼 에따른다. 제49조 ( 사고통보및복구 ) 1정보보안담당관은사이버공격으로인한사고의발생또는징후를발견한경우에는피해를최소화하는조치를취하고지체없이그사실을시장에게통보하여야한다. 2정보보안담당관은사이버공격으로인한사고의발생또는징후를발견하거나통보를받은때에는관계기관에게사고복구및피해의확산방지에필요한조치를요청할수있다. 제 5 장안전성확인 제 1 절보안성검토 제50조 ( 보안성검토신청 ) 분임정보보안담당관은다음각호의정보화사업을추진할경우에는자체보안대책을강구하고안전성을확인하기위하여사업계획단계 ( 사업공고전 ) 에사장을경유하여시장에게보안성검토를의뢰하여야한다. 1. 홈페이지, 업무시스템등정보시스템구축 2. 인터넷전화, CCTV, 무선WIFI 등유 무선네트워크시스템구축 3. 정보통신기반시설의제어시스템구축 4. 원격근무시스템, 원격화상회의시스템구축 5. 스마트폰 클라우드등첨단 IT기술을업무에활용하는시스템구축 6. 국가용보안시스템과상용암호모듈 정보보호시스템을도입운용하고자할경우 7. 내부정보통신망을인터넷이나타기관전산망등외부망과연동하는경우 8. 업무망과인터넷분리사업 9. 외부업체보안컨설팅실시 10. 업무망과연결되는무선네트워크시스템구축 11. 그밖에시장또는사장이보안성검토가필요하다고판단되는정보화사업제51조 ( 보안성검토절차 ) 1분임정보보안담당관은보안성검토를의뢰하는경우자체적으로수립한보안대책에대하여정보보안담당관에게의뢰하여야하며, 다음각

28 호의문서를제출하여야한다. 1. 사업계획서 ( 사업목적및추진계획포함 ) 2. 기술제안요청서 (RFP) 3. 정보통신망구성도 ( 필요시, IP주소체계추가 ) 4. 자체보안대책강구사항 2제1항제4호의자체보안대책강구사항에는다음각호를포함하여야한다. 1. 보안관리수행체계 ( 조직, 인원 ) 등관리적보안대책 2. 정보시스템설치장소에대한보안관리방안등물리적보안대책 3. 국가용보안시스템및국가정보원장이개발하거나안전성을검증한암호모듈 정보보호시스템도입운용계획 4. 기관간망연동시해당기관간보안관리협의사항 5. 서버, 휴대용저장매체, 네트워크등정보통신망의요소별기술적보안대책 6. 재난복구계획또는상시운용계획제52조 ( 결과조치 ) 분임정보보안담당관은시장의보안성검토결과를준수하여보안대책을보완하여야한다, 이경우, 보안성검토결과신속한시정이필요하다고판단하는경우에는필요한조치를요청할수있으며특별한사유가없는한이에따라야한다. 제 2 절보안적합성검증 제53조 ( 정보보호시스템의도입등 ) 1분임정보보안담당관은정보및정보통신망등을보호하기위해정보보호시스템및네트워크시스템을도입할수있다. 다만정보보호시스템유형별도입요건 ( 별표4) 에규정된유형의시스템에대해서는해당도입요건을만족하는경우로한정한다. 2제1항의정보보호시스템및네트워크시스템에중요자료저장 소통을위한암호기능이포함될경우국가정보원장이승인한암호알고리즘및검증필암호모듈을탑재하여야하며, 구체적인사항은국가정보원장이정하는지침을따른다. 제54조 ( 보안적합성검증신청 ) 1분임정보보안담당관은정보보호시스템을도입할경우사전에시장을경유하여국가정보원장에게보안적합성검증을신청하여야한다.

29 2보안적합성검증대상은다음각호와같다. 1. 상용정보보호시스템 2. 자체개발하거나외부업체등에의뢰하여개발한시스템 3. 저장매체소자장비혹은완전삭제소프트웨어제품 4. 네트워크장비 (L3 이상스위치 라우터등 ) 및보안기능이있는 L2 스위치 5. 제52조 ( 보안성검토절차 ) 의보안성검토결과세부검증이필요하다고판단된보안기능이있는정보시스템및제어시스템등 3제2항에도불구하고, 다음각호의경우에는검증을생략할수있다. 1. 국내용 CC 인증제도에따라인증을받은정보보호시스템 2. 검증필제품목록에등재된저장매체소자장비혹은완전삭제소프트웨어제품 3. 암호모듈검증제도를통해국가정보원장이안전성을확인한제품 4. 그밖에국가정보원장이보안적합성검증이불요하다고인정한시스템 4제3항제1호제품은보안적합성검증을생략할수있으나별지제7호서식의정보보호시스템도입확인서, 별지제8호서식의운영점검사항을시스템도입후 3주내에시장을경유국가정보원장에게제출하여야한다. 제55조 ( 제출문서 ) 1보안적합성검증신청에필요한제출문서는다음각호와같다. 1. 상용정보보호시스템가. 별지제9호서식의정보보호시스템도입시확인사항나. 별지제10호서식의정보보호시스템보안적합성검증신청서다. 기술제안요청서사본 1부 2. 자체개발하거나외부업체등에의뢰하여개발한시스템가. 별지제9호서식의정보보호시스템도입시확인사항나. 별지제10호서식의정보보호시스템보안적합성검증신청서다. 기술제안요청서사본라. 기본및상세설계서 ( 검증기관또는시험기관요청시 ) 마, 개발완료보고서바. 사용설명서사. 자체시험결과 1부 3. 네트워크시스템

30 가. 별지제9호서식의정보보호시스템도입시확인사항 ( 해당되는경우 ) 나. 별지제11호서식의네트워크시스템도입시보안확인사항다. 별지제12호서식의네트워크시스템보안적합성검증신청서라. 기본및상세설계서 ( 검증기관또는시험기관요청시 ) 마. 네트워크장비펌웨어이미지및해시값 ( 해당되는경우 ) 바. 별지제13호서식의네트워크장비도입최소보안요구사항사. 별지제14호서식의네트워크변경내용분석서 1부 ( 도입장비펌웨어업데이트경우 ) 아. CC 인증서사본 ( 해당되는경우 ) 2시장이제1항의제출문서이외에보안적합성검증이필요하다고판단되어추가자료를요청한경우특별한사유가없는한 15일이내에추가자료를제출하여야한다. 제56조 ( 사후관리 ) 1분임정보보안담당관은보안적합성검증완료이후시스템에새로운취약점이발견될경우에는즉시제거한후그결과를사장에게통보하고, 즉시제거가불가능할경우에는그사실을사장에게통보하여조치를받아야한다. 2취약점제거가불가능할경우특별한사유가없는한 30일이내에그결과를사장에게통보하여야한다. 3보안적합성검증이완료된시스템의형상을무단변경하거나도입목적이외의용도로운용하여서는아니된다. 제 6 장보칙 제57조 ( 자문 ) 1정보보안담당관은정보보안업무수행상필요하다고인정될때에는전문가의자문을구할수있다. 단, 전문가의범위는다음각호에해당하는자로한다. 1. 정보보안관련분야외부전문가 ( 대학교수등 ) 2. 공공기관의정보보안관련업무종사자 2제1항의경우정보보안자문위원에게는예산의범위내에서수당을지급할수있다.

31 부 칙 ( 시행일 ) 이규정은 2017 년 0 월 00 일부터시행한다.

32

33

34

35

36

37

38

39 .

40

41

42

43

44

45

46

47

48

49

50

51 변경전 test1.1.img 97BA3B7A1B325E4E8 A517CDDB01AFFD3 변경후 test1.2.img DCE24E537D2EB6E2 8E5BADBD1CEC0898