제3조 ( 시스템보안책임 ) 1 학교에필요한일체의정보시스템 (PCㆍ서버ㆍ네트워크장비등포함 ) 을도입ㆍ사용할경우, 사용자ㆍ시스템관리자및관리책임자를지정운용하여야한다. 2 사용자는개인PC 등소관정보시스템을사용하거나본인계정으로정보통신망에접속하는것과관련한일체의보안및관리책임을가진

Transcription

1 정보보안세부관리지침 제정 : 개정 : 개정 : 개정 : 제 1 장개요 제1조 ( 목적 ) 이지침은수원대학교 ( 이하 학교 라한다 ) 정보관리규정제28조에따라학교정보자산이불법유출ㆍ파괴ㆍ변경되는것으로부터안전하게보호하며, 네트워크및각종정보시스템등정보운영환경과응용프로그램을보다안전하고신뢰성있게운영하여본교전산망사용자에게원활한서비스를제공하는데필요한세부사항을정함을그목적으로한다. 제 2 장정보보안기본지침 제2조 ( 정보보안담당관책무 ) 1 교육부정보보안기본지침제2장, 제5조 정보보안담당관운영 에의거하여다음과같은기본활동을부여한다. 1. 정보보안정책및기본계획수립ㆍ시행 2. 정보보안관련규정ㆍ지침등제ㆍ개정 3. 정보보안심사위원회에정보보안분야안건심의주관 4. 정보보안업무지도ㆍ감독, 정보보안감사및심사분석 5. 정보통신실, 정보통신망및정보자료등의보안관리 6. 정보보안수준진단 7. 정보보안사고초동조치및대응 8. 사이버위협정보수집ㆍ분석및보안관제 9. 정보보안예산및전문인력확보 10. 정보보안사고조사결과처리 11. 정보보안교육및정보협력 12. 주요정보통신기반시설보호활동 13. 국가용보안시스템및암호키의운용 보안관리 14. 국가정보원장이개발하거나안전성을검증한암호모듈 정보보호시스템의운용및보안관리 15. 정보통신망보안대책의수립ㆍ시행 16. 그밖에정보보안관련사항 - 1 -

2 제3조 ( 시스템보안책임 ) 1 학교에필요한일체의정보시스템 (PCㆍ서버ㆍ네트워크장비등포함 ) 을도입ㆍ사용할경우, 사용자ㆍ시스템관리자및관리책임자를지정운용하여야한다. 2 사용자는개인PC 등소관정보시스템을사용하거나본인계정으로정보통신망에접속하는것과관련한일체의보안및관리책임을가진다. 3 시스템관리자는서버ㆍ네트워크장비등부서공통으로사용하는정보시스템의운용과관련한보안책임을가진다. 4 제1항내지제3항과관련하여정보시스템을실제운용하는부서의과장또는처장이정보시스템 관리책임자 가되며, 관리책임자는정보시스템관리대장을수기또는전자적으로운용관리하여야한다. 5 관리책임자는해당부서의정보시스템관리대장에정보시스템의변경최종현황을유지및관리하여야한다. 6 정보보안담당관은제1항내지제5항에명시된정보시스템운용과관련한보안취약점을발견하거나보안대책강구가필요하다고판단할경우, 사용자ㆍ시스템관리자및관리책임자에게시정을요구할수있다. 제4조 ( 정보보안감사 ) 1 정보보안담당관은연1회이상자체정보보안감사를실시하여야한다. 2 정보보안담당관은교육부정보보안기본치짐제2장, 제6조 활동계획수립및심사분석 에따른정보보안업무세부추진계획및심사분석결과문건을자체보관한다. 3 정보보안담당관은정보보안감사의효율적수행을위하여교육부장관에게감사방향, 감사중정사함, 감사관지원등업무협조를요청할수있다. 제 3 장 PC 및바이러스보안지침 제5조 (CMOS 인증 ) 1 부팅후 CMOS에서패스워드를설정함으로써논리적인접근통제가이루어지도록한다. 2 CMOS 패스워드는 PC 사용자만이알수있도록설정한다. 3 부팅시 Del키혹은 F2키등을사용하여 CMOS 설정화면으로들어간다. 각시스템마다해당키가다르므로초기부팅화면에서확인해둔다. 4 CMOS 사용자패스워드설정 : 타인의무단이용에의한정보유출및데이터파괴를방지하기위하여 CMOS 사용자패스워드를설정하여부팅초기에패스워드인증과정을거치도록한다. 5 CMOS 관리자패스워드설정 : 타인이함부로 CMOS 설정에들어가 CMOS 사용자패스워드를무단으로변경시키는것을방지하기위해 CMOS 관리자패스워드를설정해둔다. 제6조 ( 화면보호기 ) 1 모든 PC에화면보호기를설정하여조작자가잠시자리를비운사이에비인가자가그 PC를이용하여작업하는것을방지하기위하여 10분이상 PC 작업중단시비밀번호 - 2 -

3 가적용된화면보호조치한다. 2 화면보호기는적절한패스워드로보호되어야하며, 화면보호기의패스워드는응용시스템용패스워드와다른것을사용하도록한다. 3 화면보호기는윈도우에서기본적으로제공하는것을사용하도록하며, 설치시 Ctrl+Alt+Del 키로화면보호기가없어지지않도록해당파일에서환경을설정하도록한다. 4 시스템관리목적상제약이발생되는조건에서는예외로한다. 5 CD 자동실행으로인하여패스워드입력없이화면보호기가풀리게되는 Win9x 취약점이용을방지하기위해 CD 자동삽입알림을비활성화시킨다. 제7조 ( 사용자패스워드 ) 1 사용자의패스워드는비밀로유지하고타인에게노출하지않도록한다. 2 사용자가관리자에게서임시패스워드를부여받은경우첫번째로그인시패스워드를변경해야한다. 3 패스워드를별도의문서에적어놓거나보호되지않은형태로 PC에저장해서는아니된다. 4 영문과숫자를혼용해 9자이상의패스워드를사용한다. 5 주민번호, 전화번호, 생일, 사전에나오는단어등임의추측이가능한패스워드를피하고문장의첫글자조합을이용하는등의방법으로패스워드를만든다. 6 소프트웨어설치후공급자의패스워드기본값을변경한다. 7 패스워드가타인에게노출되었거나노출이우려될경우반드시패스워드를변경해야한다. 제8조 ( 공유 ) 1 업무상필요한경우를제외하고는공유를하지않으며, 부득이하게공유를사용할경우패스워드를부여해야한다. 2 공유는전체디스크를대상으로해서는아니되며, 최소한의파일만공유해야한다. 3 가능한공유이름입력시 $ 표시를하여네트워크환경상에자신의공유폴더가나타나지못하게한다. 제9조 (PC데이터의보관 ) 1 PC는일반사용자의접근이가능하기때문에비밀정보의노출위험이존재하므로가능한비밀정보를보관하지않으며, 삭제시복원할수없도록휴지통비우기등의조치를취한다. 2 비밀정보는접근권한이설정되어있는정보서버에저장되는것을원칙으로한다. 3 업무상부득이하게비밀및대외비정보를저장해야하는경우패스워드혹은암호화기법등을이용해보안성을확보한후저장하여보관한다. 4 주요문서, 비밀문서의경우 MS-WORD 등의워드프로세서에서제공하는문서저장시패스워드의기능을사용한다

4 제10조 ( 인터넷사용 ) 1 웹브라우저의보안수준을점검한다. 1. 데이터를전송하고검색할경우보안문제나개인적인프라이버시침해등을미연에방지하기위해보안수준을점검한다. 2. 웹브라우저의인터넷영역의보안수준을 " 보통 혹은 높음 으로설정한다.( 도구 인터넷옵션 보안항목에서기본수준클릭후인터넷선택 ) 3. 웹브라우저의로컬인트라넷영역의보안수준을 낮음 혹은 보통 으로설정한다. 2 웹브라우저의각종보안패치및서비스팩을설치한다. 1. 보안담당자는계속적으로업데이트되고있는 IE(internet explorer) 관련보안패치및서비스팩중사용자가반드시설치해야할필요가있는패치를공지해야한다. 2. 일반적으로많이쓰이고있는 MS사의 IE 관련보안패치및서비스팩은 을통해다운이가능하며, 중요업데이트가있을시보안담당자는사용자에게공지한다. 3. 사용자는공지된보안패치및서비스팩을자발적으로설치하여야한다. 제11조 ( 인터넷접속 ) 1 다음의사이트는항시접속이금지된다. 1. 음란사이트 : 음란사진, 동영상등을제공하는사이트 ( 뉴스그룹포함 ) 2. 무단복제사이트 : 무단복제된프로그램이나파일을제공하는사이트 3. 해킹사이트 : 해킹과관련된정보를담고있는사이트 4. 국가기관에서접속금지를요청한사이트 5. 기타접속금지의필요성이인정되는사이트 2 사용자는신뢰할수있는웹사이트를방문한경우를제외하고는자바와 Active-X 기능의사용에주의해야한다. 3 웹브라우저가제공하는팝업윈도우에 Yes 로하기전에그내용을상세히파악함으로써자바스크립트, Active-X 공격등에노출될수있는가능성을줄여야한다. 4 악성자료를포함하는사이트를발견했을경우, 해당사이트의 URL을반드시보안담당자에게통보하여해당사이트의접근을침입차단시스템에서제한하도록한다. 제12조 ( 바이러스감염방지 ) 1 비인가된소프트웨어및불법소프트웨어사용을금지한다. 2 외부네트워크나매체로부터의파일이나소프트웨어를다운로드받을경우바이러스백신프로그램을적용한후사용한다. 3 바이러스백신프로그램이 PC 기동시자동으로실행되도록하고, 바이러스백신프로그램은정기적으로업데이트를수행한다. 4 중요한업무프로세스를지원하는시스템의소프트웨어및데이터는주기적으로점검하여허가되지않은파일이나수정사항등이있는지조사한다. 5 전자우편첨부파일에대한바이러스감염여부를점검한다. 6 소프트웨어가바이러스에감염되는것을방지하기위해원본소프트웨어는쓰기방지가 - 4 -

5 되어있어야한다. 7 불법소프트웨어의사내 PC 설치를금지한다. 8 특별한이유없이시스템혹은어플리케이션이동작하지않을경우사용하던파일을다른 PC에서읽거나실행해서는아니되며즉각보안담당자에게통지한다. 9 시스템의바이러스감염시다음각호의조치를하여야한다. 1. 악성코드감염원인규명등을위하여파일임의삭제등감염시스템사용을중지하고전산망과의접속을분리한다. 2. 악성코드의감염확산방지를위하여보안담당자에게관련사실을즉시보고하여야한다. 10 9항의조치가완료된후감염 PC 등에대하여다음각호의조치를하여야한다. 1. 최신백신등악성코드제거프로그램을사용하여악성코드를삭제한다. 2. 감염이심각할경우포맷프로그램을사용하여하드디스크를포맷한다. 3. 악성코드감염의확산및재발을방지하기위하여원인을분석하고예방조치를수행한다. 11 기타세부적인바이러스대응절차는제22조 ( 바이러스보안 ), 제23조 ( 바이러스보안절차 ) 에의거한다. 12 운영체제 (OS) 및응용프로그램 ( 한컴오피스, MSOffice, Acrobat 등 ) 의최신보안패치를유지한다. 13 정보보안담당관은악성코드가신종이거나감염피해가심각하다고판단할경우에는관련사항을교육부장관및국가정보원장에게신속히통보하여야한다. 14 정보보안담당관은교육부장관이해당기관에악성코드감염사실을확인하여조치를권고할경우, 즉시이행하여야한다. 제13조 ( 불법소프트웨어 ) 1 모든사용자는사용이승인된소프트웨어만을사용해야하며, 불법소프트웨어를사용한경우개인및회사가모두처벌받을수있다 2 검증되지않은불법소프트웨어의사용은바이러스나백도어등의침투경로가될수있으며, 시스템운영이어려워지거나파일에대한보존성이위협받을수있다. 3 다음각호의 1에해당하는불법소프트웨어사용을금지한다. 1. 정품소프트웨어를별도의라이센스없이무단복제 2. 온라인통신망및인터넷을통한불법복제 3. 시리얼넘버의공유 도용 배포 전송등의행위 4. 기한이지나거나업무목적에의해이용이금지된셰어웨어사용 5. 업무목적에의해이용이금지된프리웨어사용 4 불법소프트웨어삭제방법은다음과같다. 1. 시작 설정 제어판 프로그램추가 / 삭제란에서프로그램을삭제하거나해당프로그램의 Uninstall 명령을이용해삭제한다. 2. 탐색기를이용해해당프로그램이설치된디렉토리나파일을삭제한다. 3. 필요시시스템운영자의협조를받아윈도우디렉토리상의해당프로그램과연계된 dll 파일을지우거나레지스트리편집에의해해당레지스트리정보를삭제한다

6 4. 휴지통비우기를실행한다. 제14조 ( 백업관리 ) 1 필요한데이터는디스크또는파일서버등의수단을사용해서백업을하여만일의사태에대비한다. 2 백업내용이들어있는디스크등이동이손쉬운저장매체는시건장치가되어있는장소에보관한다. 3 파일서버에백업을할경우접근권한을확인하여다른사용자들로부터내용이보호받을수있도록조치한다. 제15조 ( 반 출입관리 ) 1 사용자는 PC 등단말기를교체ㆍ반납ㆍ폐기하거나고장으로외부에수리를의뢰하고자할경우에는관리책임자와협의하여하드디스크에수록된자료가유출, 훼손되지않도록보안조치하여야한다. 2 관리책임자는사용자가 PC 등을기관외부로반출하거나내부로반입할경우에최신백신등을활용하여해킹프로그램및웜ㆍ바이러스감염여부를점검하여야한다. 3 개인소유의 PC 등단말기를무단반입하여사용하여서는아니된다. 다만, 부득이한경우에는관리책임자의승인을받아사용할수있다. 제16조 ( 전자정보저장매체불용처리 ) 1 사용자및시스템관리자는하드디스크등전자정보저장매체를불용처리 ( 교체 반납 양여 폐기등 ) 하고자할경우에는정보보안담당관의승인하에저장매체에수록된자료가유출되지않도록보안조치하여야한다. 2 자료의삭제는해당정보가복구될수없도록해당기관실정에맞게저장매체별, 자료별차별화된삭제방법을적용하여야한다. 3 해당기관내에서정보시스템의사용자가변경된경우, 비밀처리용정보시스템은완전포맷 3회이상, 그외의정보시스템은와전포맷 1회이상으로저장자료를삭제하여야한다. 제17조 ( 서비스팩및패치설치 ) 1 시스템운영자또는보안담당자가제공하는최신서비스팩또는패치를설치한다. 2 서비스팩이나패치를설치할때는반드시제공업체에서제시하는주의사항을명확히이해한후설치한다. 3 현재시스템이운영중일때에는가능한설치하지않도록하고업무가이루어지지않는시간에설치한다. 제18조 ( 사용자 PC 운영 ) 1 PC를설치하여운영하고자하는때에는 PC의용도에따라자료의안정성을고려하여설치장소를정하여야한다. 2 비밀자료, 중요전산자료의접근이가능한 PC가설치된장소는제한구역지정등필요한조치를취하여야한다. 3 모든 PC의현황을등록하도록하며, 등록시에는최소한아래와같은내용들이포함되 - 6 -

7 어있어야한다. 1. 담당자 2. Type, Model 3. 하드웨어 / 소프트웨어구성 4. 응용시스템 5. 위치 6. 발급된 IP Address 4 PC가설치된부서의장은 PC별로취급자를지정하여운용한다. 5 PC 취급자는실제 PC를사용하는사용자이다. 6 보안관련상위험도가큰 PC, 처리업무가상당히중요한 PC, 기밀데이터가들어있는 PC를파악하여주요 PC목록및대책양식에기입한다. 7 주요 PC에대해서는보안관리자에게신청하여별도의물리적보안및논리적보안 (PC 보안소프트웨어, PC지문인식프로그램등 ) 대책을이행한다. 제19조 ( 시스템 PC( 콘솔 ) 의운영 ) 1 시스템 PC에대하여물리적접근통제 ( 잠금장치설치, 접근통제가되는장소에설치등 ) 를적절히실시하여야한다. 2 시스템 PC에대하여다음사항을반영한논리적접근통제를실시한다. 1. 사용자확인 2. 자동타임아웃 (time-out) 또는로그오프 (log-off) 3. 이용시간대통제 4. PC 확인및인증 5. 특이사항출력 6. 보안로그 7. 비밀번호및중요데이터전송시암호알고리즘사용 8. 시스템의접근시도제한횟수초과시자동사용중지제20조 ( 응용프로그램및데이터처리 PC의운영 ) 1 PC에개인정보관련자료를보관해서는아니되고, 부득이한상황으로보관할경우패스워드등주요정보를암호화하여보관하여야한다. 2 데이터입력을처리하는온라인 PC에서는인터넷에서자료를다운받지못한다. 3 PC별로사용가능직원, 수행가능거래및사용가능한파일을지정하는원칙이정의되어야하며, 지정내역이전산기록되어야한다. 제21조 ( 보안점검 ) 1 PC 보안담당자는주기적으로 PC 보안점검을수행하고그결과를 PC보안점검결과서 ( 양식 1) 로문서화하여보안관리자에게제출한다. 제22조 ( 바이러스보안 ) 1 바이러스로인한피해를최소화하기위해사용자와보안담당자는다음의사항을준수해야한다

8 1. 비인가된소프트웨어및불법소프트웨어사용을금지한다. 2. 외부네트워크나매체로부터파일이나소프트웨어를다운로드받을경우백신프로그램을적용한후사용한다. 3. 백신프로그램을설치하고정기적으로업데이트를수행한다. 4. 중요한업무프로세스를지원하는시스템의소프트웨어및데이터는주기적으로점검하여허가되지않은파일이나수정사항등이있는지조사한다. 5. 전자우편첨부파일에대한바이러스감염여부를점검한다. 6. 소프트웨어가바이러스에감염되는것을방지하기위해원본소프트웨어는쓰기방지가되어있어야한다. 7. 시스템의바이러스감염시즉각보안담당자에게통지한다. 8. 보안담당자는바이러스공격에의한피해를복구하기위한적절한백업, 복구계획을수립한다. 9. 악성소프트웨어와관련된정보 ( 잡지, 바이러스백신업체등 ) 를확인하는절차를수행한다. 10. 네트워크상의파일서버에대한관리책임을명확히하며, 주기적으로점검하여불법소프트웨어및악성소프트웨어 ( 바이러스, 백도어포함 ) 에대한탐지를수행한다. 11. 악성소프트웨어에대한새로운정보및보호대책에대해사용자에게주기적혹은수시로공지를수행한다. 제23조 ( 바이러스보안절차 ) 1 바이러스를예방및제거하기위하여최신버전의백신프로그램을배포해야하며, 백신프로그램의배포및설치는다음의사항준수해야한다. 1. 보안담당자는바이러스관련정보, 예방사항및점검에관련된사항을사용자에게공지하며, 공지결과를바이러스공지일지에기록한다. 2. 사용자는현재사용중인컴퓨터가바이러스에감염되었는지확인할수있도록백신프로그램을설치하고주기적으로업그레이드한다. 2 사용자는바이러스를예방및제거하기위하여백실프로그램의실행시다음의사항을준수해야한다. 1. 사용자는 USB 및다운로드를통해외부에서반입되는파일은사용전반드시바이러스의감염여부를검사하고바이러스발견시이를완전히제거한후사용한다. 2. 사용자는전자우편첨부파일에대한바이러스감염여부를검사하고바이러스발견시이를완전히제거한후사용한다. 3. 제3자에게소프트웨어를제공하기전에바이러스나프로그램오류등이있는지검사하여야한다. 4. 사용자는주기적으로백신프로그램을실행한다. 3 컴퓨터가바이러스에감염되었을경우정보보안관리자에게즉시알려야한다. 4 정보보안관리자는바이러스발견을확인하고적절한조치를취하며, 그결과를보안사고및대응결과서를기록및정보보안담당관에게보고해야한다.. 제 4 장 보안지침 - 8 -

9 제24조 ( 사용원칙 ) 1 업무용 을개인적인용도로사용해서는아니된다. 2 계약직원, 임시직원은원칙적으로본교 을사용할수없으며, 예외의경우그이유를문서화한다. 3 비밀또는본교가소유한정보는 로보내지면아니된다. 4 교직원들을위해외부에서접근가능한 주소는하나만제공한다. 5 교직원의 주소디렉토리는공개적인접근이가능해서는아니된다. 6 고의로 을오용하는사용자를발견하면상응하는징계조치를취한다. 7 사용자는본인의암호를분기 1회이상주기적으로변경해야한다. 8 사용자암호는 9자리이상의특수문자 + 숫자 + 문자의조합으로입력해야한다. 9 메시지의내용은범죄조사, 보안취약성조사, 감사를위한경우를제외하고비밀로간주한다. 10 사용자는상용전자우편을이용한업무자료송 수신을금지하며기관전자우편으로송 수신한업무자료는열람등활용후메일함에서즉시삭제하여야한다. 11 사용자는메일에포함된첨부파일이자동실행되지않도록설정하고첨부파일다운로드시반드시최신백신으로악성코드은닉여부를검사하여야한다. 12 사용자는출처가불분명하거나의심되는제목의전자우편은열람을금지하고해킹메일로의심되는메일수신시에는즉시해당기관의정보보안담당관을경유하여교육부사이버안전센터 (cer1@ecsc.go.kr) 및국가사이버안전센터 (reply@ncsc.go.kr) 에신고하여야한다. 제25조 ( 암호화 ) 1 특별히기밀성을요하는정보가있을경우 을통해전송되어야한다면본교에서승인한소프트웨어와알고리즘을사용하여지정수신인만읽을수있도록암호화한다. 2 인터넷과같은개방된네트워크를통해전송되는비밀정보는암호화를적용한다. 제 5 장네트워크보안지침 제26조 ( 네트워크보안 ) 1 네트워크구성및보안과관련된정보 ( 네트워크노드, IP주소, 관리자암호등 ) 에관한접근을통제한다. 2 네트워크데이터덤프, 추적및다른관련진단데이터파일은허가되지않은접근으로부터보호되어야한다. 제27조 (IP 할당 ) 1 IP 주소를데이터베이스화하여일원적으로관리한다. 2 IP 주소의변경은관련담당자들에게통보한후실시한다. 3 일반사용자들은 PC의 IP 주소를임의로변경할수없다. 4 내부망에는공인 IP를사용하며사정에따라사설IP를사용할수있다

10 제28조 ( 네트워크진단 / 관리도구 ) 1 네트워크부하를모니터링하고분석하여최적의상태를유지하기위해네트워크진단 / 관리도구를사용한다. 2 네트워크진단 / 관리도구의사용시진단포트가열려보안에취약성이발생할수있으므로진단포트에대한불법적인접속여부에대해주기적인점검을실시한다. 3 네트워크진단 / 관리도구들은네트워크관리담당자에의해서만사용되고일반사용자들에게는사용이허가되지않는다. 제29조 ( 네트워크경로설정 ) 1 전산시스템상의중요한정보에접근이허가된단말기는전용통신링크를사용한다. 2 내부사용자는침입차단시스템등보안시스템의경로를우회하는경로를설정해서는아니된다. 원칙적으로내부사용자는모뎀을통하여인터넷에접속할수없으며, 부득이한경우담당부서장과보안관리자의승인을득한후사용한다. 3 네트워크사용자는부서책임자로부터의사전승인없이개인소유의컴퓨터, 주변장치또는소프트웨어를조직내로가져와서네트워크에연결해서는아니된다. 제30조 ( 네트워크사용 ) 1 인터넷을통한모든접속을로깅한다. 2 원격사용자의공중네트워크를통한접속은인증또는암호화되어야한다. 3 원격전산시스템에의한접속은인증되어야한다. 4 네트워크간의접속은보안기능에의하여통제되어야한다. 제31조 ( 네트워크장비관리 ) 1 네트워크장비등신규전산장비도입시생성되는기본 (default) 계정을삭제또는변경하고시스템운영을위한관리자계정을별도로생성한다. 2 네트워크장비의암호는수시로변경하고담당자외에는결코알려주어서는아니된다. 3 네트워크장비의셋팅값은수시로백업하여장애에대비한다. 4 네트워크장비에대한원격접속은원칙적으로금지하되, 불가피할경우장비관리용목적으로내부특정 IP MAC 주소에서의접속은허용한다. 5 외부네트워크와의연결지점에침입차단의목적으로방화벽, 침입탐지시스템등별도의보안장비를설치할수있다. 6 펌웨어무결성및소프트웨어 서버운영체제취약점과최신업데이트여부를주기적으로확인하여항상최신버전으로유지한다. 단, 불가피한경우는예외한다. 제32조 ( 보안장비의물리적보안 ) 1 네트워크설비또는장비는허가되지않은물리적접근으로부터보호하기위하여잠금장치가되어있는장소에설치를한다. 2 통신망및관련주요장비는무정전시설확보, 비상전원확보, 공조장치, 환풍장치, 냉난방장치, 정전기방지장치, 소화장비등의부대설비를갖춘곳에설치한다. 3 외부사람이네트워크설비가설치되어있는보호장소에서작업을할경우내부관계

11 자가동행하며작업일지에기록한다. 4 통신회선의설치를위한협정또는작업은부서책임자의승인이후에수행되어야한다. 5 허가되지않은장비의접속을탐지하기위하여정기적인통신케이블점검을실시한다. 6 사용하지않거나불필요한모든통신장비및네트워크세그먼트는물리적으로네트워크상에서접속을차단한다. 7 네트워크장비의설치, 이동, 폐쇄는통신망운영매뉴얼에의거하여수행한다. 제33조 ( 논리적접근통제 ) 1 허가된자만이허가된네트워크에접근하여허가된작업만할수있도록네트워크접근권한리스트를보유한다. 2 필요시네트워크에의접근시간을제한할수있다. 3 네트워크장비에로그인시반드시사용자인증을수행한다. 이때다음의사항을준수한다. 1. 패스워드조합의가능성을최대로하며주기적으로변경한다. 2. 5회이상정확하지않은패스워드의시도가있는단말기는자동으로접속을차단한다. 3. 관리자와사용자모드를지원하는경우분리운영한다. 4. 비활동접속을자동으로차단한다. 5. 네트워크소프트웨어는비인가자의접근을막기위하여일정시간동안활동없이접속한상태를유지하는사용자의접속을강제로끊을수있어야한다. 6. 허가된사용자또는프로세스가네트워크에서부작용없이운영하고있는프로세스의진행을완료할수있도록하기위하여자동접속차단전에, 사용자에게재접속을요구한다. 7. 기타로그인, 계정및패스워드지침은해당서버의지침에의거한다. 제34조 ( 보안사고대응 ) 1 보안사고발생시처리는침해사고대응지침에준하여시행한다. 제35조 ( 로깅, 감사및보안점검 ) 1 네트워크장비의로깅과감사는서버의로깅과감사지침에준하여시행한다. 2 해당업무별관리자는주기적으로네트워크보안점검을수행하고그결과를별도로기록하여문서화한다. 3 네트워크관리담당자는라우터등중요네트워크장비의접속기록을 6개월이상유지하여야하고비인가자에의한접근여부를주기적으로점검하고정보보안담당관에게관련결과를보고하여야한다. 제36조 ( 네트워크구성, 변경및문서화절차 ) 1 네트워크관리담당자는네트워크장비설치에대한내용을네트워크시스템목록에기록하여문서화한다. 2 장비의특성별상황에맞추어구성정보변경과구성정보조회를할수있는사용자를

12 구분하여설정한다. 3 인가된자만이장비에접속하여구성을변경해야한다. 4 네트워크구성및보안과관련된정보 ( 네트워크노드, IP주소, 관리자암호등 ) 에관한접근을통제한다. 5 네트워크장비의구성및 IP할당내역은네트워크관리담당자가관리한다. 제37조 ( 네트워크구성변경 ) 1 네트워크변경작업중기관신설또는이전시에는네트워크관리담당자가작업의뢰서를통하여관리하며, 폐쇄시에는네트워크관리담당자에게반드시보고한다. 2 장비의불량으로인한교체시네트워크관리담당자에게통보되어야하며, 장비설정이가능한경우장비에설정된내역을모두삭제한후교체하여야한다. 3 단일장비의구성정보오류에대한변경은네트워크관리담당자의직권으로결정한다. 4 네트워크의주요구성변경시에는네트워크구성변경신청서를통해보안관리자에보안성검토를요청한후승인이이루어진경우변경을수행한다. 제38조 ( 문서화 ) 1 효과적인네트워크관리및통제를위해네트워크구조, 물리적 / 논리적토폴로지및노드, 통신서비스제공자및통신사업자의목록, 사용네트워크장비, IP에대한할당내역등에대한완전하고정확한기록이작성되고관리되어야한다. 2 네트워크에대한관리사항및네트워크구성의검토, 확인사항이주기적으로기록되어야한다. 3 네트워크장비에대한운영문서및장애시대응절차에대한문서가유지 관리되어야한다. 제39조 ( 관리자패스워드보관절차 ) 1 네트워크장비의관리자패스워드에대한기록은네트워크장비관리자계정및패스워드현황대장에기록하고비밀문서로취급하여안전한장소에보관하며, 인가자외에는열람을허가해서는아니된다. 분기별로네트워크관리담당자는변경된관리자패스워드를밀봉하여보안관리자에게제출하고, 보안관리자는내역을기록한후안전한곳에보관한다. 2 긴급필요시 ( 네트워크관리담당자의부재시등 ) 관련부서장은보안관리자에게밀봉된관리자패스워드를요청하고보안관리자또는해당업무담당부서장의승인을득한후개봉하여사용한다. 제40조 ( 외부접속 ) 1 외부로부터의내부네트워크접속요청시보안사항을먼저검토한다. 2 외부와의연결은신뢰할수있는대상으로제한한다. 3 TCP/IP를통한외부와의연결은반드시침입차단시스템을통하여연결되어야한다. 4 공용망과의연결은보안에최대한중점을두어판단하도록한다

13 제41조 ( 민감한정보의전송 ) 1 인터넷을통한비밀정보전송시암호화한다. 2 내부망에서도민감한정보의보호가필요할경우적절한암호화대책을수립하여야한다. 3 암호화는네트워크장비상의암호화를구현하거나, 상황에따라적절한프로그램상의암호화를고려한다. 4 암호화장비및툴을도입할경우장비및알고리즘은가능하면국가나관련기관의법적및규제적요구를만족시켜야한다. 5 암호화에사용되는키값은외부에노출되지않도록철저히관리한다. 제42조 ( 외부네트워크와의연결시사용 ) 1 교내에서인터넷으로의연결시는모든서비스를허용함을원칙으로하나, 보안관리자가판단하여보안관리상의문제점이노출될경우일부서비스를제한할수있다. 2 교외에서인터넷을통한내부네트워크로의연결은원칙적으로금지한다. 필요시 SMTP, HTTP, FTP 서비스만을이용할수있으나서비스이용시보안관리자의승인을받아야하며, 다음과같은사항을준수해야한다. 1. 외부연결이요구될시네트워크관리담당자에게필요서비스를네트워크연결신청서를통해요청할수있으며, 네트워크관리담당자는보안성검토후허가여부를결정한다. 2. 그러나, Netbios 프로토콜 (137, 138, 139번포트 ) 및 r-command 등을포함하여보안관리자가지정하는서비스에대하여는불허된다. 3. 허가된서비스는한시적으로허용되므로, 신청자는서비스의필요기간이지난후에는즉시네트워크관리담당자에게사용종료를보고하여야한다. 제 6 장데이터베이스보안지침 제43조 ( 데이터베이스인증 ) 1 DB 보안담당자는계정및패스워드관리에대한책임과권한을갖는다. 2 DB에의접근은항상인증을통해서만가능하도록한다. 이를위해인증모듈은 DB를구동시키는즉시제공되어야하며, 항상활성화되어있어야한다. 3 DB의접근제한을위해서는 Role을통해사용자및사용자그룹을등록하여야한다. 4 각사용자명은비권한자의사용을방지하기위해패스워드와연계되어있어야한다. 5 각 DB에연계된사용자는동일명의스키마를가져야한다. 제44조 ( 계정의생성및폐기 ) 1 DB를사용하고자하는자는 DB 관리담당자에게사용자정보및사용목적, 사용기간, 연락처등이포함된 DB사용자계정및권한신청서를제출하고 DB 관리담당자는타당성검토를한후계정을부여한다. 2 장기파견자, 휴직자는업무에서신속히제거한다

14 3 퇴직자는사직원제출시 DB 관리담당자의계정반납확인을득해야한다. 4 디폴트계정은설치후업무에사용되지않는다면삭제하도록한다. 제45조 ( 계정운영 ) 1 계정정보 ( 이름, 연락처, 직위, 업무, DB에서의작업과권한 ) 에관한사용자관리대장이존재하고모든사용자에대해작성되어야한다. 2 패스워드가없는계정은사용을금한다. 3 장애복구나점검을위해 DB 관리담당자권한위임시작업종료후주요항목에대해 DB보안점검결과서를작성후점검후패스워드를변경하도록한다. 4 DB 관리담당자권한을가지고있던사용자가이직, 퇴직등의사유로다른곳으로옮길때에는인수자는즉시변경하여 DB관리자계정및패스워드현황에서기존패스워드를변경하도록한다. 제46조 ( 패스워드 ) 1 신규사용자가 DB 사용에대한권한을부여받을때반드시패스워드를받도록한다. 2 사용자패스워드는주기적으로변경한다. 3 모든사용자는패스워드인증을통해서만 DB에접근할수있도록한다. 4 계정이름과동일한패스워드를사용하거나 DB서버의이름을패스워드로사용, 예정된계정의이름을패스워드로사용하는경우쉽게계정에대한패스워드를추측하여서버에접속할수있으므로추측하기쉬운패스워드는절대사용하지않는다. 5 DB의디폴트패스워드는항상추측하기어려운복잡한패스워드로변경하여사용한다. 6 정책을통해패스워드관리에대한설정을강화한다. 제47조 ( 기타인증관리 ) 1 잘못된로그인횟수에제한을두어제한된수를넘을경우자동적으로연결을해제한다. 2 일정시간동안작업이없으면자동으로로그아웃되도록한다. 단, 업무상의필요성이있는경우예외를둔다. 제48조 (DB 접근제어 ) 1 사용자가 DB파일에접근할수있는수준은보안관리규정에따른정보보호등급과사용자의접근권한에따라 DB 관리담당자가결정해야한다. 2 DB 관리담당자는사용자의시스템자원사용수준을결정해야한다. 3 DB 관리담당자는테이블에 Insert, Update, Delete, Select의행위별권한, 필드접근권한등의객체권한을조정해야한다. 4 사용자에게 DB 접근권한을부여하는경우, 적절한 Role을생성하여필요한시스템권한및객체권한을 Role에부여하고사용자를 Role에소속시킨다. 5 시스템권한은 DB 관리담당자만이가진다. 6 시스템권한및오브젝트권한은 Public에게부여하지않는다. 7 오브젝트권한부여시 DB 관리담당자또는권한을부여받은사용자가또다른사용자에게권한을부여해야할업무상의필요가있는경우에만권한을부여한다

15 8 View Table 생성시 View Table을통해조회할수없는 Row가 Insert되는경우를예방한다. 9 저장프로시저및툴을사용하여설정된접근권한을체크하고수정한다. 제49조 ( 접근제어설정갱신절차 ) 1 접근제어에대한설정은 DB 관리책임자의허가를득하고서만변경될수있도록한다. 2 접근제어에대한설정은환경의변화등을반영하여주기적으로갱신한다. 제50조 ( 접근제어메커니즘 ) 1 DB의중요성과특성에맞는접근제어메커니즘 ( 강제적접근제어 / 재량적접근제어 ) 을택하여적용한다. 2 메커니즘에맞는구체적인접근제어절차를마련한다. 3 주체와객체의권한, 접근시도장소및시간등에따른접근제어를실시한다. 4 필요한경우관리툴을이용하여접근권한을설정 / 통제한다. 5 사용하지않는계정에대해서는주기적으로검사하고권한을적절히제한하도록한다. 6 사용자와업무에관한권한정보는문서화되어관리되며, 항상최신의상황을반영하도록갱신되도록한다. 제51조 ( 암호화 ) 1 기밀성이요구되는 DB 시스템내의중요필드에대해암호화되어있어야한다. 2 암호화를지원할수있는암호화기술이 DB 시스템에도입되어야한다. 3 DB로기밀성이요구되는데이터를전송할때에는암호화되어야한다. 4 DB로의암호화전송을지원할수있는전송시스템이도입되어야한다. 제52조 (DBMS 요구기능 ) 1 개별사용자의접근권한통제및데이터요소별로데이터를보호할수있는자체보안알고리즘을갖추고있어야한다. 2 프로그램, 유틸리티, 명령어등의데이터에대한접근을통제해야한다. 3 DB 감시기능이가동중인지아닌지를조사해야한다. 4 특정스키마객체나특정한운영만을사용자에게허락해야한다. 5 각스키마객체를감시해야한다. 6 DB내의장애나데이터의불일치를검색하고해결할수있는기능을갖추어야한다. 7 로그기능이있어야한다. 제53조 ( 로깅및감사 ) 1 사용자의로그인시간및로그인지속시간이적절한범위내에서로깅되어야한다. 2 DB에연결된사용자의수가적절한범위내에서로깅되어야한다. 3 접속에실패한접근시도가로깅되어야한다. 4 DB 내의 deadlock이로깅되어야한다. 5 모든사용자의 I/O 통계가적절한범위내에서로깅되어야한다

16 6 System Table에의접근이로깅되어야한다. 7 새로운 DB 객체의생성이로깅되어야한다. 8 데이터조작이적절한범위내에서로깅되어야한다. 9 기록된로그파일교직원은 DB 보안담당자에의해서정기적으로점검되어야한다. 10 점검이이루어진로그파일은정기적으로삭제되어야한다. 11 로그파일의분석을위하여관리자가부가적인도구를설치사용할수있다. 12 로그 / 감사에대한엄격한접근제어를실시한다. 13 중요 DB의경우 DB 관리담당자와 DB 보안관리자의권한을분리한다. 14 로그파일의조작및읽기권한은 DB 보안관리자에게만있어야한다. 15 로그파일의무결성을보장하기위하여로그파일자체에대한모니터링을주기적으로실시한다. 제 7 장응용프로그램보안지침 제54조 ( 패스워드설계및구현 ) 1 패스워드는문자와숫자를조합하여 9자리이상으로한다. 2 직전의패스워드로는변경이허용되지않아야한다. 3 계정의패스워드입력제한의횟수를정의하고, 정의된횟수실패시자동적으로연결이해제되도록한다. 4 사용자패스워드는암호화하여조회가불가하도록해야한다. 5 사용자비밀번호는화면및출력물에노출되어서는아니된다. 제55조 (C/S, WEB 로그온및로그오프설계및구현 ) 1 로그인후일정시간미사용시자동로그오프를적용하거나화면잠금기능을적용한다. 2 시스템접속시최종사용시각을표시한다. 3 일정기간시스템미사용시미사용자의로그인을제한한다. 제56조 ( 인터넷 / 인트라넷설계및구현 ) 1 디렉토리리스팅을금한다. 2 인증이필요한경우임에도인증과정없이중간페이지로직접접속하는것을금지한다. 3 사용자의주요정보는암호화하여전송한다. 제57조 ( 로깅 / 감사기능설계및구현 ) 1 시스템개발시감사업무수행에필요한자료를생성하도록감사기능을설계한다. 2 관리자활동내역에대해서로그할수있는감사기능을설계한다. 3 단말기를통해구성원의기본정보를조회, 수정하는경우에는조회자, 조회일시, 변경또는조회내용, 접속방법, 접속 IP 등을시스템에자동기록되도록하고그기록을 6개월이상보관하여야한다

17 제58조 ( 응용프로그램보안확인및보고 ) 1 응용프로그램개발 / 유지보수책임자는응용프로그램보안관련설계및구현사항에대해서각각설계단계종료후및구현종료후확인하며, 확인결과를응용프로그램보안설계 / 구현표로작성하여보안관리자에게제출한다. 제59조 ( 응용프로그램의외주개발시 ) 1 응용프로그램을외주개발로수행하여공급받을경우공급자로부터아래항목을포함한개발소프트웨어무결성증명서를받아두어야한다. 1. 시스템개발시감사업무수행에필요한자료를생성하도록감사기능을설계한다. 2. 개발된소프트웨어의기능이문서화내용과차이가없어야한다. 3. 정보보호를위협하는은폐구조가없어야한다. 4. 실행중보안 / 통제설계의오류나설계된보안구조를회피하거나변경시키는코드가없어야한다. 제60조 ( 응용프로그램사용자계정및패스워드관리 ) 1 계정등록을원하는사용자는다음의사항을준수한다. 2 사용자계정등록은사용자가정보시스템에서본인사항을확인후등록요청에의해등록이완료된다. 3 사용자삭제또는권한변경사유가발생한경우삭제또는변경신청서를작성하여통보하여야한다. 4 계정은각사용자별로부여한다. 부서별공동사용자계정은생성이금지된다. 5 시스템관리담당자는월간단위로사용자등록및변경현황을유지한다. 6 사용자계정의재확인은다음사항에대하여실시한다. 1. 퇴사여부, 업무필요성여부 2. 마지막사용일자가 60일을넘겼을경우 7 패스워드가없거나사용자계정이름과동일한계정을허용해서는아니된다. 8 하나의로그인아이디는한번만로그인할수있다. 제61조 ( 계정정지 ) 1 틀린패스워드의반복시계정을정지시킨다. 2 보안관리자에게정지계정의현황을보고한다. 제62조 ( 계정의폐쇄 ) 1 계정이폐쇄되는사유가발생시에는사유가발생하는즉시삭제하도록한다. 2 계정의폐쇄는아래의사유에따른다. 1. 사용자가퇴직하는경우 2. 3개월이상미사용계정제63조 ( 패스워드관리 ) 1 신규사용자에게시스템사용에대한권한을부여할때에는반드시패스워드를받도록해야한다

18 2 모든사용자는패스워드인증을통해서만시스템을사용할수있게하여야한다. 3 보안관리자는응용프로그램보안설계대로패스워드기능이작동하는지확인한다. 4 패스워드는분기 1회이상주기적으로변경되어져야한다. 제64조 ( 개발업무계정및권한부여 / 관리 ) 1 각개발담당자별로사용자계정을부여하는것을원칙으로한다. 2 계정공동사용시그상황및활동내역을기록한다. 3 담당자의계정부여내역은보안관리자가주기적으로확인한다. 4 개발담당자의접근권한은데이터관리지침에의해현황을정리한다. 5 개발담당자의담당업무변경, 전출, 퇴직등의사유발생시기존에허용했던전산자원의접근권한을제한하도록한다. 6 중요하고민감한응용프로그램및라이브러리는개발보안담당자가지정하고보안관리자가확인하며, 이에대한내역을기록하며접근권한을최소한으로필요성이있는경우에만부여한다. 제65조 ( 개발담당자접근통제 ) 1 개발담당자는다음의구역에원칙적으로접근을금하며부득이한경우허가신청서를작성한후에출입한다. 1. 컴퓨터실출입통제 2. 운영체제관련도큐멘테이션이보관된장소출입통제 2 개발담당자는다음과같은사항에논리적인접근을가능한금하고금하기어려운경우허가를득하며로깅을통해접근내역을기록한다. 1. 담당업무이외의응용프로그램및도큐멘테이션접근 2. 시스템운영과관련된유틸리티응용프로그램, 시스템운영용도의응용프로그램과라이브러리접근 3 개발담당자그룹별로할당라이브러리를지정하여할당된라이브러리만접근하고그외의라이브러리는접근을금지하거나조회만가능하도록한다. 타라이브러리의접근이필요할경우해당라이브러리책임자에게접근권한요청서를제출하여접근사유의승인을득한후접근을수행한다. 4 개발담당자그룹별로디렉토리권한이할당되어타개발담당자그룹에접근하거나 OS의파일들을조작하지않도록한다. 제66조 ( 응용프로그램및데이터처리단말의운영 ) 1 단말기에업무및이용자관련자료를보관해서는아니되고, 부득이한상황으로보관할경우비밀번호등주요정보를암호화하여보관하여야한다. 제67조 ( 개발업무보안점검 ) 1 개발보안담당자는주기적으로개발업무와관련된보안점검을실시하고개발업무보안점검결과서에기록한다

19 2 개발보안담당자와보안관리자는보안점검의적정성을확인한다. 3 외부인력에대한세부지침은 외부용역보안지침 에서정한바에따른다. 제68조 ( 개발환경 ) 1 독립된개발시설을확보하고비인가자의접근을통제한다. 2 개발시스템과운영시스템은물리적으로분리한다. 제69조 ( 시스템개발보안 ) 1 시스템개발보안에대한세부지침음 시스템개발보안지침 에서정한바를따른다. 제70조 ( 웹서버설치 ) 1 웹서버의설치및운영시에는책임자의승인을받아야한다. 2 웹서비스가제공되는호스트에는적절한조치없이대외비이상의정보가있으면아니된다. 3 웹서버에서실행되는프로그램의목록을문서화하여관리해야한다. 4 웹서버에서외부에제공되는정보의목록을문서화하여관리해야한다. 5 웹서버의정보제공자의목록을문서화하여관리해야한다. 6 웹서버의 CGI 프로그램의목록을문서화하여관리해야한다. 7 일반사용자들은웹서버를설치하거나작동할수없다. 8 일반사용자가웹서버에 CGI 등스크립트를설치할수없도록한다. 9 웹서버용소프트웨어와 OS는현재사용하고있는버전에서제공자가권고한패치를설치해야한다. 10 분기마다웹서버를점검하여문제점의발견시관련패치를설치해야한다. 11 PC 등에있는웹서버소프트웨어와웹문서저작도구는담당자에의해별도로관리되어야한다. 12 웹서버에는 HTTP를제외한다른네트워크서비스 (SMTP, FTP 등 ) 는사용하지말아야한다. 13 로그인이나개인정보가있는경우는보안서버로구축해야한다. 14 서버관리자는외부인에게공개할목적으로설치되는웹서버등공개서버를내부망과분리된영역교직원에설치ㆍ운용하여야한다. 15 각급기관의장은비인가자의서버저장자료절취, 위ㆍ변조및분산서비스거부교직원공격등에대비하기위하여국가정보원장이안전성을검증한침입차단ㆍ탐지시스템및 DDoS 대응시스템을설치하는등보안대책을강구하여야한다. 제71조 ( 웹서버계정관리 ) 1 가능하면사용자계정을만들지않는다. 2 시스템관리담당자는지속적으로사용자계정을검토하여불필요한직원의접속을가능한줄이도록노력하며, 서버에로그인할수있는인원수를최소화한다. 3 반드시필요로하는사용자이외에는슈퍼사용자의권한을가질수없도록제한하며, 권한대상자는별도로관리한다

20 제72조 ( 웹서버구성 ) 1 특정한웹관리자계정을만든다. 2 HTML문서에접근하는모든사용자를위한특정그룹을만든다. 3 사용자및관리자계정관리는각서버의계정관리지침을따른다. 4 필요한최소한의서비스만제공한다. 5 필요하지않은쉘과인터프리터는설치하지않는다. 6 CGI 디렉토리에는쉘과인터프리터를설치하지않는다. 7 디렉토리및파일에다음과같이권한을설정하며, 매분기마다검사한다. 1. 웹관리자만이서버의 Root 디렉토리에 Write 권한을갖는다. 2. CGI 프로그램디렉토리와 CGI 프로그램은 readable, executable 되어야하나 Write 권한이설정되면아니된다. 3. Document Root와서브디렉토리는사용자를위한 1항의웹관리자계정과 2항에서만들어진그룹에의해소유되며, 외부에대해 read 권한을주어야하지만 write 권한이주어지면아니된다. 4. 다음과같이사용권한을설정한다. - Ever root directory : log 및 configuration 파일이저장되는디렉토리 - Document root directory : HTML 문서가저장되는디렉토리 [ server root directory 설정 ] drwxr-xr-x 5 www www 1024 Aug 8 00:01 cgi-bin/ drwxr-x--- 2 www www 1024 Jun 11 17:21 conf/ -rwx www www May 8 23:58 httpd drwxrwxr-x 2 www www 1024 Aug 8 00:01 htdocs/ drwxrwxr-x 2 www www 1024 Jun 3 21:15 icons/ drwxr-x--- 2 www www 1024 May 4 22:23 logs/ [ document root directory 설정 ] drwxrwxr-x 3 www www 1024 Jul 1 03:54 contents drwxrwxr-x 10 www www 1024 Aug 23 19:32 examples -rw-rw-r-- 1 www www 1488 Jun 13 23:30 index.html -rw-rw-r-- 1 lstein www Jun 11 23:00 resource_guide.html ( : www - 웹관리자계정, www - HTML 문서접근하는모든사용자를위한그룹 ) 8 웹서버가다음과같은특징을제공하는경우, 사용을제한한다. 사용시충분히보안에 유의해야한다. 1. Automatic Directory Listings 2. Symbolic Link Following 3. Server Side Includes 4. User-maintained Directories

21 9 웹데몬의차일드프로세스가 Root의권한을가지고수행되지않도록한다. 10 FTP가 upload를허용하면, 웹과디렉토리를공유하지않는다. 11 chroot를사용하여웹의디렉토리를분리시켜야한다. 12 한달마다 HTML 문서의내용을확인해야한다. 13.htaccess,.htpasswd,.htgroup 등을사용하여주요디렉토리에사용자인증기능을추가하여운영한다. 추가적으로강화된인증기법을사용할수도있다. 14 ID 및비밀번호를통하여로그인시에는 SSL 통신을통하여접속하여야한다. 제73조 ( 웹서버백업 ) 1 사용자는업무상중요한데이터를변경주기에따라수시로백업하여야한다. 2 홈페이지관리담당자는보안침해사고를대비해정기적으로시스템을백업하여야한다. 제8장서버보안지침제74조 ( 서버보안 ) 1 서버관리자는서버를도입 운용할경우, 정보보안담당관과협의하여해킹에의한자료절취, 위 변조등에대비한보안대책을수립 시행하여야한다. 2 서버관리자는서버내저장자료에대해업무별 자료별중요도에따라사용자의접근권한을차등부여하여야한다. 3 서버관리자는사용자별자료의접근범위를서버에등록하여인가여부를식별토록하고인가된범위이외의자료접근을통제하여야한다. 4 서버관리자는서버의운용에필요한서비스포트외에불필요한서비스포트를제거하며관리용서비스와사용자용서비스를분리운용하여야한다. 5 서버관리자는서버의관리용서비스접속시특정 IP와 MAC 주소가부여된관리용단말을지정운용하여야한다. 6 서버관리자는서버설정정보및서버에저장된자료에대해서는정기적으로백업을실시하여복구및침해행위에대비하여야한다. 7 서버관리자는데이터베이스에대하여사용자의직접적인접속을차단하고개인정보등중요정보를암호화하는등데이터베이스별보안조치를실시하여야한다. 8 정보보안담당관은제1항내지제7항에서수립한보안대책의적절성을수시확인하되, 연1회이상보안도구를이용하여서버설정정보및저장자료의절취, 위 변조가능성등보안취약점을점검하여야한다. 9 서버에등록된비밀번호는암호화하여저장하여야한다. 제75조 ( 웹서버등공개서버보안 ) 1 서버관리자는외부인에게공개할목적으로설치되는웹서버등공개서버를내부망과분리된영역 (DMZ) 에설치 운용하여야한다. 2 정보시스템을운영하는소속기관의장은비인가자의서버저장자료절취, 위 변조및분산서비스거부교직원공격등에대비하기위하여침입차단 탐지시스템및 DDos 대응시스템을설치하는등보안대책을강구하여야한다. 3 서버관리자는비인가자의공개서버내에비공대정보에대한무단접근을방지하기위

22 하여서버에접근사용자를제한하고불필요한계정을삭제한다. 4 공개서버의서비스에필요한프로그램을개발하고시험하기위해사용된도구 ( 컴파일러등 ) 는개발완료후삭제를원칙으로한다. 제76조 ( 홈페이지게시자료보안 ) 1 개인정보를포함한중요업무자료가홈페이지에무단게시되지않도록홈페이지게시자료의범위 방법등을명시한자체홈페이지정보공개보안지침을수립 시행하여야한다. 2 사용자는개인정보, 비공개공문서및민감자료가포함된문서를홈페이지에공개하여서는아니된다. 3 홈페이지에정보를게시하고자하는부서의장은정보보안담당관과협의하여사전에보안심사위원회의심사를거쳐비밀등비공개자료가게시되지않도록하여야한다. 다만, 기존에게시한내용중단순하게수치를변경하거나경미한사항은그러하지아니할수있다. 4 사용자는인터넷블로그 카페 게시판 개인홈페이지또는소셜네트워크서비스등일반에공개된전산망에업무관련자료를무단게재하여서는아니된다. 5 정보보안담당관은소속기관의홈페이지등에비공개내용이게시되었는지여부를주기적으로확인하고개인정보를포함한중요정보가홈페이지에공개되지않도록보안교육을주기적으로실시하여야한다. 6 각급기관의장은홈페이지에중요정보가공개된것을인지할경우이를즉시차단하는등의보안조치를강구시행하여야한다. 제77조 ( 클라우드시스템보안관리 ) 1 클라우드컴퓨팅시스템을구축할경우 국가 공공기관클라우드컴퓨팅보안가이드라인 을준용한보안대책을강구하여야한다. 2 상용클라우드컴퓨팅시스템을활용하고자할경우에는보안성검토를자체적으로실시하여야한다. 제 9 장백업및복구처리지침 제78조 ( 서버시스템의재난복구 ) 1 시스템의 OS 장애를대비하기위하여시스템의백업기능을이용하여 OS백업이미지를구성하여원격지 ( 타전산실 ) 에보관한다. 2 시스템 OS 백업은다음각호에따라실시한다. 1. 백업대상 : 정보서비스를제공하는서버시스템의 OS 및설정파일을백업한다.( 대상서버는가감될수있다.) 2. 백업주기 : 자동백업관리시스템의스케줄에등록하여실시한다. 3. 백업방법 : 자동백업관리시스템과카트리지 DAT Tape을사용한다. 4. 이동방법 : 인편에의한 OS백업이미지를안정한보관장소까지이동한다. 5. 보관방법 : 백업 Tape를원격지에이동보관한다

23 3 유지보수계약을통해장애발생가능성이있는파트에대한예비부품을확보한다. 4 원격지 ( 타전산실 ) 에사전백업보관된 OS이미지를사용하여복구한다. 5 시스템 OS 복구는다음순서에따라실시한다. 1. 백업받아두었던 OS백업이미지 Tape을준비한다. 2. 백업 OS 이미지 tape을시스템에삽입하고해당 tape을이용하여시스템을부팅한다. 3. 부팅후시스템복구메뉴를이용하여 OS백업이미지를이용하여 OS를복구한다. 4. 복구가완료되면시스템의이상유무를확인한후서비스를구동한다. 6 서버시스템의하드웨어장애가발생했을경우유지보수계약업체는대체하드웨어를조달하여신속히교체복구한다. 제79조 ( 네트워크시스템의재난복구 ) 1 소프트웨어백업대상은인터넷관문라우터, 백본 L3 스위치, 각건물의주요 L3 스위치의펌웨어 (IOS, AOS) 와설정파일로한다. 2 월 1회 ( 정기백업 ), 설정변경시 ( 수시백업 ) 실시하며, 자동백업시스템를이용하여백업한다. 3 전산실에위치한백업파일서버에보관한다. 4 하드웨어백업은유지보수계약을통해장애발생가능성이있는파트에대한예비부품을확보한다. 5 소프트웨어복구는백업파일서버에백업된이미지를사용하여복구하며, 복구절차는다음과같다. 1. 백업받아두었던펌웨어 (IOS, AOS) 와설정파일을준비한다. 2. 펌웨어를시스템에적용하고재부팅한다. 3. 부팅후백업된설정파일을적용하여시스템의설정을복구한다. 4. 복구가완료되면시스템의이상유무를확인및통신상태를점검한다. 6 복구우선순위는재난에의거다수지역에서장애가동시발생했을경우는다음순서에따라복구를시행한다. 1. 인터넷관문 2. 백본 L3스위치 3. 주요건물 L3/L2 스위치제80조 ( 데이터, 어플리케이션의재난복구 ) 1 백업솔루션을이용한백업을수행시각주요서버에대해서일별 Online백업, 월별소산백업을진행하며, 중요데이터, 어플리케이션은백업솔루션을이용하여다음과같이일별 Online 백업을실시한다. 1. 백업대상은정보서비스를제공하는서버로별도로정하며, 대상은가감될수있다. 2. 백업방법은백업솔루션의스케줄러기능을이용하여각대상시스템에 Client 스케줄러를탑재하여일별백업을수행하며, Crontab을이용하여주기적으로백업명령을자동으로수행한다. 3. 백업주기는별도로정한다. 2 월 1회주기로백업시스템을이용하여백업된데이터들에대해서다음과같이소산백

24 업을실시한다. 1. 백업대상은백업장비에보관중인모든백업데이터로한다. 2. 백업방법은백업시스템의백업데이터복사기능을이용하여소산용백업미디어에백업데이터를복사한다. 3. 소산방법은백업장비에서백업데이터복사본을배출하여소산한다. 3 산백업한백업데이터복사본은인편으로안전한장소로이동보관하며다음과같이처리한다. 1. 이동방법은인편을이용한미디어이동을한다. 2. 보관방법은본교의안전한장소에보관한다. 3. 보관주기는 6개월로한다. 4 사용자실수에의한데이터손실복구는백업솔루션에의해백업된데이터를사용하여다음과같이복구를실시한다. 1. 주기적인백업을수행한백업본을이용한데이터복구를수행한다. 2. 데이터가소실된대상서버에서복구명령교직원또는 GUI 매니저를이용하여손실된데이터 ( 파일또는파일시스템 ) 를복구한다. 3. 복구된데이터에대한정합성및활용성테스트를진행한다. 5 재난에의한데이터손실복구는백업솔루션의백업데이터를사용하여복구한다. 6 유지보수계약업체를통해파손된하드웨어의대체하드웨어를신속하게준비한다. 7 시스템 OS 복구는서버시스템의재난복구계획을참고한다. 8 데이터, 어플리케이션의복구는준비된시스템에백업솔루션을사용하여백업데이터를다음순서에따라복구한다. 1. 소산된백업미디어를준비한다. 2. 백업솔루션을사용하여백업시스템을구성한다. 3. 백업시스템을이용하여소산된백업미디어에서데이터를복구한다. 9 데이터복구완료시해당시스템에대한어플리케이션서비스를재개한다. 제 10 장정보시스템유지보수 제81조 ( 정보시스템유지보수 ) 1 정보시스템유지보수절차 주기 문서화수립시고려사항은아래의각호와같다. 1. 유지보수인력에대한보안서약서집행, 보안교육등을포함한유지보수인가절차를마련하고인가된유지보수인력만유지보수에참여한다. 2. 결함이의심되거나발생한결함, 예방및유지보수에대한기록을보관한다. 3. 유지보수를위해원래설치장소외다른장소로정보시스템을이동할경우, 통제수단을강구한다. 4. 정보시스템유지보수시에는일시, 담당자인적사항, 출입통제조치, 정비내용등을기록 유지하여야한다. 2 시스템관리자는자체유지보수절차에따라정기적으로정보시스템정비를실시하고

25 관련기록을보관하여야한다. 3 시스템관리자는정보시스템의변경이발생할경우, 정보보안담당관과협조하여정보시스템의설계 코딩 테스트 구현과정에서의보안대책을강구하며정보보안담당관은관련적절성을주기적으로확인하여야한다. 4 정보보안담당관은시스템관리자등이유지보수와관련된장비 도구등을반출입할경우, 악성코드감염여부, 자료무단반출여부를확인하는등보안조치하여야한다. 5 시스템관리자는외부에서원격으로정보시스템을유지보수하는것을원칙적으로금지하여야하며부득이한경우에는정보보안담당관과협의하여자체보안대책을강구한후한시적으로허용할수있다. 제 11 장침해사고대응지침 제82조 ( 침입자발견요령 ) 1 보안담당자는로그점검혹은실시간모니터링을수행할때다음사항에주의하여침입흔적을확인한다. 1. 같은사용자이름으로두명이상동시로그인이되고있는지확인한다. 2. 정규시간외의시스템사용자를확인한다. 3. 관리자권한외의작업수행시도가있었는지점검한다. 4. 보안관련파일의수정및수정시도가불법적으로이루어졌는지점검한다. 5. 허가가되지않은파일, 서비스및기타자원의접근시도를확인한다. 6. 일반사용자의홈디렉토리에시스템파일이존재하는지확인한다. 7. 계정관련시스템파일에관리자이외의접근시도가있었는지점검한다. 8. 네트워크전송량을증가시키는비정상적인프로그램실행작업이있는지점검한다. 9. 한사용자가많은외부접속을시도하고있는지점검한다. 10. 허가된모뎀사용자가아닌데모뎀으로로그인을하려는시도및접속을점검한다. 11. 시스템의비정상적인동작이있다면외부의불법적인침입이있는지의여부를점검한다. 2 침입흔적을발견시그원인이 IT운영및개발담당부서의관리담당자나프로그래머의실수때문인지확인한다. 제83조 ( 침입자의시스템내활동시처리절차 ) 1 보안담당자는침입자가시스템내에서활동하고있는것으로판단될때보안관리자에게즉시보고를한다. 2 보안관리자는필요시관련국가기관 (KISA, CERT) 의협조를받기위한절차를준비한다. 이때, 협조의뢰의최종결정은 IT담당부서장이한다. 3 침입자의시스템내활동발견시세부처리절차는다음과같다. 1. 내부단말기에서침투한경우현재의단말위치를확인한다. 2. 현재침입자가시스템내에있다면가능한도구나명령어를이용하여침입자에관련된정보를수집한다

26 3. 침입자가수행하고있는명령어를파일로저장하거나기록한다. 4. 침입자가중요한데이터에접근을할경우또는침입자를추적할자신이없을경우침입자의연결을끊는다. 4 보안담당자는침입자의시스템내활동에대한절차적용후보안사고및대응결과를문서로작성하여보안관리자에게보고를한다. 제84조 ( 침입흔적발견시처리절차 ) 1 로그파일의분석등을통해침입한흔적이발견된경우보안진단도구나체크리스트를이용하여다음과같은사항을점검한다. 1. 새로운계정이생성되어있는지확인한다. 2. 패스워드파일이변경되었는지확인한다. 3. 주요설정및실행파일등이변경되었는지확인한다. 4. 특정파일의접근모드가변경되었는지확인한다. 5. 시스템유틸리티가변경및수정되었는지확인한다. 2 데이터의변조나불법접근의흔적이있을경우해당서비스를중지시킨다. 3 침입자를식별하기위한증거수집을한다. 4 백업등을이용하여복구한다. 5 보안담당자는침입자의시스템내활동에대한절차적용후보안사고및대응결과서를작성하여보안관리자에게보고를한다. 제85조 ( 침입사고발생시보안관리자의처리절차 ) 1 침해사고발생시보안관리자의세부처리절차는다음과같다. 1. 침해사고의피해상황을파악한다. 2. 침입자를식별하기위한증거를수집한다. 3. 시스템의복구를지원한다. 4. 문제점을파악하여대책을제시한다. 5. 필요시교육과학기술부및보안관련수사기관에침해사고에대한수사를의뢰한다. 2 보안사고및대응결과서 ( 양식 2) 및보안사고발견및조치대장 ( 양식 3) 을작성한다. 3 보안사고기록은비밀로분류하고 1년이상보관한다. 4 교육및홍보를강화하고동일문제가재발하지않도록한다. 제86조 ( 보안취약성발견대응 ) 1 보안담당자는보안취약성발견시다음과같이대응한다. 1. 화면상의메시지들또는로그결과들에대하여기록한다. 2. 컴퓨터를고립시키고작업을중지한다. 3. 보안관리자와취약성에대해점검한다. 4. 보안관리자의허가가이루어지기전까지는의심스런소프트웨어를제거하지않는다. 5. 보안사고및대응결과서 ( 양식 2) 를작성한뒤보안관리자에게즉시보고한다. 2 보안관리자는처리결과를보안사고및대응결과와보안사고발견및조치로나누어서별도로문서화한다

27 제 12 장위탁업체보안지침 제87조 ( 외주용역보안지침 ) 1 시스템개발사업담당자는외부용역업체와계약하여정보시스템을개발하고자하는경우에는다음각호의사항을고려하여보안대책을수립하고정보보안담당관의승인을득하여야한다. 1. 외부인력대상신원확인, 보안서약서징구, 보안교육및점검 2. 외부인력의보안준수사항확인및위반시배상책임의계약서명시 3. 용역기간중참여인력임의교체금지 4. 외부인력의정보시스템접근권한및제공자료보안대책 5. 외부인력에의한장비반입 반출및자료무단반출여부확인 6. 정보통신망도, IP현황등용역업체에제공할자료는자료인계인수대장을비치, 보안조치후인계 인수하고무단복사및외부반출금지 7. 사업종료시외부업체의노트북 휴대용저장매체등을통해비공개자료가유출되는것을방지하기위해복구가불가능하도록완전삭제 8. 용역업체로부터용역결과물을전량회수하고비인가자에게제공 열람금지 9. 용역업체의노트북등관련장비를반입 반출시마다악성코드감염여부, 자료무단반출여부를확인 10. 용역업체에서사용하는 PC는인터넷연결을금지. 단, 사업수행상연결이필요한경우에는발주기관의보안통제하에제한적이용가능 11. 원격작업은원칙적으로금지하나, 부득이한경우 IP 사용서비스 접근계정제한, 암호화통신등필요한보안대책마련후한시적으로허용하여야하며, 반드시정보보안담당관의승인후수행함 12. 그밖의보안관리가필요하다고판단되는사항이나교육부장관이보안조치를권고하는사항 2 용역사업추진시과업지시서ㆍ입찰공고ㆍ계약서에다음의누출금지대상정보를명시해야하며해당정보누출시입찰참가자격제한을위한부정당업자로등록하여야한다. 1. 학교소유정보시스템의내ㆍ외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정ㆍ비밀번호등정보시스템접근권한정보 4. 정보통신망취약점분석ㆍ평가결과물 5. 정보화용역사업결과물및관련프로그램소스코드 6. 보안시스템및정보보호시스템도입현황 7. 침입차단시스템ㆍ방지시스템교직원등정보보호제품및라우터ㆍ스위치등네트워크장비설정정보 8. 비공개대상정보로분류된기관의내부문서 9. 교직원및학생개인정보 10. 그밖에학교의장이공개가불가하다고판단한자료

28 3 정보보안담당관은비밀및중요외주용역사업을수행할경우, 외부인원에대한신원조사 비밀취급인가, 보안교육및외부유출방지등보안조치를수행하여야한다. 4 사업관리책임자는제1항부터제3항까지규정한보안대책의시행과관련한이행실태를주기적으로점검하고미비점발견시사업담당자로하여금보완토록조치하여야한다. 제88조 ( 정보시스템위탁운영보안관리 ) 1 정보시스템에대한외부업체의위탁운영을최소화하되, 위탁운영과관련한관리적 물리적 기술적보안대책을수힙하여시행하여야한다. 2 정보시스템의위학운영은여타기관또는업체직원이당해기관에상주하여수행하는것을원칙으로한다. 다만, 해당기관에위탁업무수행직원의상주가불가한타당한사유가있을경우, 그러하지아니할수있다. 3 정보시스템위탁운영과관련하여동조문에명시되지않은사항에대하서는 외주용역보안지침 을준용한다. 제 13 장휴대용저장매체보안지침 제89조 ( 휴대용저장매체보안지침 ) 1 휴대용저장매체관리책임자는휴대용저장매체를사용하여중요업무자료를보관할필요가있을때에는위변조, 훼손, 분실등에대비한보안대책을강구하여정보보안담당관의승인을받아야한다. 2 휴대용저장매체관리책임자는휴대용저장매체를비밀용, 일반용으로구분하고주기적으로수량및보관상태를점검하며반출 입을통제하여야한다. 3 휴대용저장매체관리책임자는 USB 관리시스템을도입할경우국가정보원장이안정성을확인한제품을도입하여야한다. 4 휴대용저장매체관리책임자는사용자가 USB 메모리를 PC 등에연결시자동실행되지않도록하고최신백신으로악성코드감염여부를자동검사하도록보안설정한다. 5 비밀자료가저장된휴대용저장매체는매체별로비밀등급및관리번호를부여하고비밀관리기록부에등재관리하여야한다. 이경우에는매체전면에비밀등급및관리번호가표시되도록하여야한다. 다만, 휴대용저장매체가국가용보안시스템에해당될경우에는해당보안시스템의운용 관리체계에따라관리하여야한다. 6 휴대용저장매체를파기등불용처리하거나비밀용을일반용또는다른등급의비밀용으로전환하여사용할경우저장되어있는정보의복구가불가능하도록보안조치를하여야한다. 7 정보보안담당관은사용자의휴대용저장매체무단반출및미등록휴대용저장매체사용여부등보안관리실태를주기적으로점검하여야한다. 제 14 장전산실운영 관리보안지침 제 90 조 ( 전산실시설기준 )

29 1 통신장비, 정보시스템이설치되어있는전산실은보호구역으로설정관리한다. 2 출입구는반드시 2중으로설치하며또한입실자를식별가능한출입보안장치를설치하여 6개월간내용을보관한다. 3 자동화재경보설비를설치하고, 할로겐가스등소화시장비에피해를주지않는자동소화설비를설치한다. 4 정전에대비하여별도의전원공급시설을둔다. 5 온 습도를적절히유지할수있는항온항습기를설치한다. 제91조 ( 전산실운영및관리 ) 1 전산실의운영을담당하고있는부서장은시스템실사용및운영에관한절차및방법을규정하고, 담당자들이이를숙지하도록한다. 2 전산실의운영자는운영일지및장애일지를작성해야한다. 3 시스템운영자는주기적으로로그파일을분석해야하며, 시스템에이상이발견되었을경우에는보안사고처리지침에따라즉시조치를취하고이를정보보안전담팀및부서장에게보고해야한다. 4 전산실에는출입자명부를비치하고비인가자의출입을통제해야한다. 5 휴대용전자매체를보관할수있는용기를비치한다. 6 전산실의불법촬영방지를위하여카메라, 휴대전화의반입을금지하며, 반입필요시관리자책임자의승인을득한다. 7 전산실의관리책임자를지정하고자료또는장비별로취급자를지정운영해야한다. 제 15 장정보통신망자료보안지침 제92조 ( 정보통신망관련형황자료 ) 1 다음각호에해당하는정보통신망관련현황 자료관리에유의하여야한다. 1. 정보시스템운용현황 2. 정보통신망구성현황 3. IP 할당현황 4. 주요정보화사업추진현황제93조 ( 정보통신망대외비자료 ) 1 다음각호의자료를대외비로분류하여관리하여야한다. 1. 정보통신망세부구성현황 (IP 세부할당현황초함 ) 2. 보안시스템운용현황 3. 보안취약점분석 평가결과물 4. 그밖에보호할필요가있는정보통신말관련자료 제 16 장접근기록관리

30 제94조 ( 접근기록관리 ) 1 시스템관리자는정보시스템의효울적인통제 관리, 사고발생시추적등을위하여이용자의정보시스템접근기록을유지관리하여야한다. 2 접근기록에는다음각호의내용이포함되어야한다. 1. 접속자, 정보시스템 응용프로램등접속대상 2. 로그온 오프, 파일열람 출력등작업종류, 작업시간 3. 접속성공 실패등작업결과 4. 전자우편사용등외부발송정보등 3 시스템관리자는접근기록을분석한결과, 비안가자의접속시도, 정보위 변조및무단삭제등의의심스러운활동이나위반혐의가발생한사실을발견한경우정보보안담당관에게즉시보고하여야한다. 4 접근기록은정보보안사고발생시확인등을위하여 6개월이상보관하여야한다. 제 17 장정보보호시스템도입관리 제95조 ( 정보보호시스템의도입등 ) 1 정보및정보통신망등을보호하기위해정보보호시스템, 네트워크장비등보안기능이있는정보통신제품을도입시보안접합성검증을해야한다. 단, 시스템단순교체등사안이경미하다고판단하는경우에는보안접합성검증을생략할수있다. 2 정보보호시스템에중요자료저장ㆍ소통을위한암호기능이포함될경우아래와같은알고리즘및보호함수가포함된검증필암호모듈을탑재하여야하며구체적인사항은국가정보원장이별도로정한다. 제 18 장무선랜보안관리 제96조 ( 무선랜보안관리 ) 1 무선랜 ( 와이파이등 ) 을사용하여업무자료를소통하고자할경우자체보안대책을수립하여야한다. 2 시스템관리자는제1항의보안대책수립시, 다음사항을포함하여야한다. 1. WPA2 이상 (256비트이상 ) 의암호체계를사용하여소통자료암호화 ( 국가정보원장이승인한암호논리사용 ) 2. MAC 주소및 IP 주소필터링설정 3. RADIUS(Remote Authentication Dial-In User Service) 인증사용 4. 무선망을통한업무망정보시스템접근을정보보호시스템등으로차단하는보안대책 5. 무선단말기ㆍ중계기 (AP) 등무선랜구성요소별분실ㆍ탈취ㆍ훼손ㆍ오용등에대비한관리적ㆍ물리적보안대책 6. 그밖에학교의장이정하는무선랜보안대책강구

31 3 정보보안담당관은제1항및제2항과관련한보안대책의적절성을수시로점검하고보완하여야한다. 제97조 ( 무선인터넷보안관리 ) 1 무선인터넷 (WiBro, HSDPA 등 ) 시스템을구축하여업무자료를소통하고자할경우자체보안대책을수립하여관련사업계획단계 ( 사업공고전 ) 에서보안성검토를자체적으로실시한다. 2 시스템관리자는업무용PC에서무선인터넷접속장치 (USB형등 ) 가작동되지않도록관련프로그램설치금지등기술적보안대책을강구하여야한다. 3 사용자는개인휴대폰을제외한무선인터넷단말기의사무실무단반입 사용을금지하여야한다. 제98조 ( 스마트폰등모바일행정업무보안관리 ) 1 스마트폰등을활용하여내부행정업무와현장행정업무및대민서비스업무등모바일업무환경을구축할경우보안대책을수립 시행하여야한다. 제 19 장원격근무보안관리 제99조 ( 원격근무보안관리 ) 1 재택ㆍ파견ㆍ이동근무등원격근무를지원하기위한정보시스템을도입ㆍ운영할경우기술적ㆍ관리적ㆍ물리적보안대책을수립하여야한다. 2 원격근무가능업무및공개 비공개업무선정기준을수립하되대외비이상비밀자료를취급하는업무는원격근무대상에서원칙적으로제외하되반드시수행해야하는경우보안대책강구후교육부장관과협의하여수행여부를결정한다. 3 모든원격근무자에게원격근무보안서약서를징구하고원격근무자의업무변경ㆍ인사이동ㆍ퇴직등상황발생시정보시스템접근권한재설정등관련절차를수립하여야한다. 4 원격근무자는원격근무시해킹에의한업무자료유출을방지하기위하여작업수행전백신으로원격근무용 PC 점검 업무자료저장금지등보안조치를수행하여야한다. 5 원격근무자는정보시스템고장시정보유출방지등보안대책을강구한후정보보안담당관과협의하여정비 반납등조치를취하여야한다. 6 비공개원격업무인경우에는국가용보안시스템을사용하여소통자료를암호화하고행정전자서명체계를이용하여인증하며인증강화를위해일회용비밀번호 생체인증등보안기술을사용하여야한다. 7 정보보안담당관은주기적인보안점검을실시하여원격근무보안대책의이행여부를확인하여야한다. 부 칙

32 이규정은 2011 년 10 월 1 일부터시행한다. 이규정은 2013 년 10 월 1 일부터시행한다. 이규정은 2016 년 4 월 1 일부터시행한다. 이규정은 2017 년 1 월 1 일부터시행한다