포함한다 ) 를말한다. 9 침해사고 라함은해킹, 컴퓨터바이러스, 악성코드, 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다. 제 2 장정보보안조직 제4조 ( 정보보안조직구성 ) 1 학교내정보보호활동을관리하

Size: px

Start display at page:

Download "포함한다 ) 를말한다. 9 침해사고 라함은해킹, 컴퓨터바이러스, 악성코드, 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다. 제 2 장정보보안조직 제4조 ( 정보보안조직구성 ) 1 학교내정보보호활동을관리하"

경환 전
5 years ago
Views:

1 정보보안관리규정 제정 : 개정 : 개정 : 개정 : 개정 : 제 1 장총칙 제1조 ( 목적 ) 이규정은수원대학교 ( 이하 학교 라한다 ) 정보자산이불법유출ㆍ파괴ㆍ변경되는것으로부터안전하게보호하며, 네트워크및각종정보시스템등정보운영환경과응용프로그램을보다안전하고신뢰성있게운영하여학교전산망사용자에게원활한서비스를제공하고자함을그목적으로한다. 제2조 ( 적용대상과범위 ) 이규정은학교교직원, 업무위탁회사의임직원및내방객등교내를출입하는모든사람에게적용되며, 학교가보유하고있는모든유무형의정보자산을대상으로한다. 제3조 ( 용어의정의 ) 1 전산망 이라함은각종정보시스템을통신회선으로연결하여자료를처리ㆍ보관하거나전송하는조직망을말한다. 2 정보시스템 이라함은 PC, 노트북 PC, PDA, 서버시스템, 네트워크시스템, 정보보호시스템등정보통신에이용되는컴퓨터기능을보유한모든시스템을말한다. 3 시스템관리자 라함은각부서에소속되어시스템의루트 (root) 권한을가지고시스템을운영ㆍ관리하는자를말한다. 4 데이터베이스관리자 라함은데이터베이스를운영ㆍ관리하는자를말한다. 5 전산자료 라함은전산장비에의해입력ㆍ보관되어있는정보자료를말하며, 백업미디어등저장매체를포함한다. 6 정보보안 또는 정보보호 라함은정보통신수단으로수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신되는정보의유출ㆍ위변조ㆍ훼손등을방지하거나정보통신망을보호하기위하여관리적ㆍ물리적ㆍ기술적수단을강구하는일체의행위를말한다. 7 시스템실 이라함은서버ㆍPC 등전산장비와스위치ㆍ교환기ㆍ라우터등통신및전송장비등이설치운용되는장소를말하며, 정보전산원서버실, 전산자료보관실등을말한다. 8 개인정보 라함은생존하는개인에관한정보로서당해정보에포함되어있는성명 주민등록번호등의사항에의하여당해개인을식별할수있는정보 ( 당해정보만으로는특정개인을식별할수없더라도다른정보와용이하게결합하여식별할수있는것을 - 1 -

2 포함한다 ) 를말한다. 9 침해사고 라함은해킹, 컴퓨터바이러스, 악성코드, 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다. 제 2 장정보보안조직 제4조 ( 정보보안조직구성 ) 1 학교내정보보호활동을관리하기위한정보보호조직을구성및운영하며, 각구성원은본인에게부여된정보보호책임과역할을성실히이행하여야한다. 2 정보보안을담당하는부서는정보보호센터로하며정보보안에관한업무를진행하는정보보안담당관은정보보호센터장으로한다. 3 정보보호관리자는정보보안담당관의업무를보좌하며, 정보보안전문지식을보유한자로정보보안담당관이임명하여운영할수있다. 4 정보보안담당관은주요자산을관리 운영하는자 ( 이하 시스템관리자 라한다 ) 를임명하여운영할수있다. 제5조 ( 정보보안심사위원회 ) 1 체계적ㆍ효율적인보안정책수립ㆍ심의및관리를위하여정보보안심사위원회 ( 이하 위원회 라한다 ) 를둔다. 2 위원회의운영에관하여필요한사항은 정보보안세부관리지침 으로정한다. 제 3 장정보보안 제6조 ( 기본수칙 ) 1 정보시스템사용자는개인별사용자계정및패스워드의기밀을유지해야하며, 본래의발급목적으로만사용하여야한다. 패스워드는 9자리이상영문자, 숫자, 특수문자를혼용해야하고다음각호사항을반영하여쉽게유추할수없는문자순으로구성해야함을원칙으로하며분기 1회변경해야한다. 1. 사용자계정 (ID) 과동일하지않은것 2. 개인신상및부서명칭등과관계가없는것 3. 일반사전에등록된단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 사용된비밀번호는재사용하지말것 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능사용금지 2 학교교ㆍ직원및학생은허가받은정보시스템의권한이부여된영역에대하여본래의목적으로만사용할수있으며직원의경우보안서약서를작성해야한다. 3 정보시스템사용자는정보시스템의성능저하및보안상위험을초래할수있는행위를해서는아니된다

3 4 제3항의규정에언급된행위를한자가발견된경우에는소속부서의장또는정보보안담당부서에게알려야한다. 5 정보자산과연관된저작권ㆍ특허권및소프트웨어라이선스의사용조건을숙지하고이를준수하여야한다. 또한교내에서는구매증서가있는합법적인소프트웨어만사용할수있다. 또한불법적인소프트웨어의사용을방지하기위하여각부서의장은연간 1회이상부서내의시스템을점검해야한다. 6 학내전산망을신설ㆍ변경및폐기하고자하는경우에는정보보안담당부서의사전승인을얻어야한다. 7 외부전산망에서학내전산망으로의접근은학교에서승인한정보시스템을제외하고는원칙적으로허용하지아니한다. 8 모든정보자산은보안등급에따라분류ㆍ관리한다. 9 학교는주기적인보안점검을통해학내전산망및정보시스템의안전성을점검하고, 정보보안정책및규정의준수여부를평가하며학내모든사용자는이에적극협조하여야한다. 10 학교정보자산및업무와관련해습득한정보자산을본교의허가없이외부에유출해서는아니된다. 11 교내각종민감정보및주요연구자료의교외이관시인터넷메일과같은사적 을사용할수없다. 12 정보보안사고를예방하기위한목적으로학교의승인을득한정보보안시스템및정보보안활동은즉시시행할수있다. 13 비인가 IT기기에대하서는원칙적으로사용을금지하며, 전산장비나휴대용저장매체는각부서장의사전승인에의하여사용을하고, 사용후폐기및재사용여부를반드시승인받는다. 제7조 ( 이용자제한조치 ) 1 정보보호관리자는다음각호에해당하는행위를한이용자에대하여계정해지, 접속제한등정보통신서비스를제한할수있다. 1. 부당한방법으로정보통신망에의하여처리 보관 전송되는타인의정보를훼손하거나타인의비밀을침해 도용또는누설하는행위 2. 트로이목마, 컴퓨터바이러스등악성프로그램을유포하는행위 3. 음란물, 폭력물등의불건전한자료를게재 유포하는행위 4. 전자우편시스템장애를유발시킬목적으로다량의전자우편을전송하는행위 5. 수신자의명시적수신거부의사에반하는광고성전자우편을전송하는행위 6. 기타정보보호에해가되는행위 2 정보보호관리자는제1항에의한제한을하고자하는경우에는사전에이를이용자에게고지하거나학내정보망에게시하여야한다. 제8조 ( 이용자고지 ) 1 정보보호관리자는제7조제1항의각호에해당하는행위가발생하였을때에는그사실을이용자에게고지하여야한다. 다만, 이용자에게경미한영향을미치거나신속히처리해야하는등의긴급한상황일경우에는고지하지아니할수있다

4 제9조 ( 이용자제재 ) 1 제7조에규정된사항에해당할경우에는이용자의계정을회수 삭제하여정보시스템의이용을제한또는금지하며, 그에따른구체적제재사항은위원회에서심의 결정한다. 2 정보시스템의불법이용으로본교에해를끼치거나명예를훼손시켰을경우에는다음각호의제재조치를취할수있다. 1. 개인정보보호법, 정보통신망이용촉진및정보보호등에관한법률 등에의한법적조치 2. 학칙따른징계조치 3. 정보시스템의손해발생에대한손해배상청구제10조 ( 이용자구제조치 ) 1 정보보호관리자는이용자의불만사항및침해사고피해발생시처리절차등을홈페이지등에고지하여야한다. 제 4 장정보보안교육 제11조 ( 교직원교육 ) 1 교직원의보안역량을강화를위해적절한교육프로그램을개발하고, 필요한정보보호교육및홍보계획을매년수립하여시행하여야한다. 2 정보보호교육담당부서는정보보호관련규정의변경이발생한경우해당교직원을대상으로전달교육및공지를실시한다. 3 교육내용은최근정보보호에이슈화되고있는사항들과교육받은대상자들의설문평가를통하여차기교육에반영한다. 4 정보보안담당관, 정보보안관리자는연간 15시간이상정보보안교육 ( 개인정보보호법제 28조제2항의교육등포함 ) 을이수하여야한다 5 정보보안담당관은정보보안관련전문기관교육및기술세미나참석을장려하는등정보보호관리자, 시스템관리자등정보보안담당자의업무전문성을제고하기위하여노력하여야한다. 6 정보보안담당관은필요한경우정보보안교육을외부의정보보안관련전문교육기관에위탁할수있다. 제12조 ( 위탁업체교육 ) 1 위탁업체임직원에대하여계약서상의보안요구사항과학교의보안규정, 지침, 절차의준수및보안책임을주지시기위해필요한교육을실시한다. 제 5 장인원보안 제 13 조 ( 교직원보안 ) 1 모든교직원은입사시정보보호서약서를제출하여야하며, 업무상취득한학교또는 제 3 자소유의정보를학교의사전승인없이누설해서는아니된다

5 2 정보보안와관련된교직원은본규정, 지침, 절차서를준수하며해당담당업무에적용한다. 3 정보보안담당관는본규정, 지침, 절차서를정보보호활동에필요한교직원에게전달하여정보보호관리체계가원활히이루어지도록한다. 4 담당업무의변경및퇴직시에는해당교직원의물리적 기술적접근권한을즉시변경한다. 5 정보보안담당관은교직원에게정보보호및보안에대한서약서를징구할수있으며필요한경우관련부서에징구를위임할수있다. 6 직무변경및정보자산회수등세부사항에대하여 정보보안세부관리지침 을따른다. 제14조 ( 외주인력보안 ) 1 위탁업체와계약을체결하고자할경우, 위탁업체의임직원이준수해야할보안요구사항과위반시책임을부과하는사항을계약서에명시하고보안서약서를징구한다. 2 위탁업체인력의투입및수행, 종료시보안관리를위한세부사항은 정보보안세부관리지침 을따른다. 제 6 장물리적보안 제15조 ( 보호구역접근통제 ) 1 학교정보자산의중요도와고유특성에적합한보호를위하여보호구역을별도로구분 지정하여관리하고, 인가받은사용자만이출입할수있도록제한한다. 2 보호구역은비인가된접근이나손상을방지하기위하여별도의출입통제장치및감시시설, 재해방지시설등을갖추워야한다. 3 비자격자의보호구역출입이필요할경우출입은반드시자격자와동행하여비자격자의작업을종료시까지감시하며, 장비의반출입은통제및관리되어야한다. 제16조 ( 전산실운영 ) 1 전산실은보호구역으로지정하여출입을통제하고인가된출입자에대한 전산실출입대장 기록관리해야한다. 제 7 장보안사고관리 제17조 ( 침해사고대응 ) 1 학교의업무활동을방해하는침해사고가발생했을때이에대한효율적인처리및복구를위한대응체계를갖추어피해를최소화하고, 업무수행및서비스제공의연속성을확보하여야한다. 2 침해사고대응은 사이버위기대응매뉴얼 을따른다. 제18조 ( 보안사고방지 ) 1 보안에영향을줄수있는다양한취약점에대해적시에보고하고신속하게교정조치가취해질수있도록한다

6 제 8 장사이버보안진단의날 제19조 ( 사이버보안진단의날 ) 1 정보보안담당관은 사이버보안진단의날 에소관정보보안업무전반에대하여체계적이고종합적인보안진단을실시하여야한다. 2 이용자는매월세번째수요일에실시하는사이버보안진단의날시행에협조해야한다. 3 이용자는지정된정보보호소프트웨어를사용하여사이버보안진단을수행해야하며, 그결과를정보보안담당관에게통보하여야한다. 4 사이버보안진단을수행하지않는이용자의전산망접속을제한할수있다. 제 9 장시스템운영및관리 제20조 ( 직무분리 ) 1 정보자산과서비스에대한비인가된변조또는남용의발생가능성을줄이기위하여시스템운영과정보보호활동직무는분리하도록한다. 2 중요한시스템및프로세스에대한직무는분리하도록한다. 3 정보시스템에대한사용자의접근권한은연1회이상정기적으로검토되어야한다. 제21조 ( 서버보안 ) 1 서버를도입 운용할경우, 해킹에의한정보유출및위 변조등에대비한보안대책을수립한다. 2 바이러스를진단 치료할수있는백신프로그램을설치하여운영해야한다. 3 주관부서장은서버시스템운영관리, 로그관리, 유지보수등세부사항에대해별도로마련한다. 제22조 ( 네트워크보안 ) 1 비인가자의불법적인접근및서비스중지등을예방하기위해불필요한서비스포트제거, 보안시스템우회차단등의보안조치를한다. 2 주관부서장은네트워크시스템접근통제, 로그관리, 운영관리등세부사항에대해별도로마련한다. 제23조 ( 데이터베이스보안 ) 1 사용자의직접적인접속을차단하고, 개인정보등중요정보를암호화하는등보안조치를실시한다. 2 DBMS 접근권한은업무권한에따라사용자그룹또는개별사용자단위로부여하고, 사용자의업무별로접근권한을통제한다. 3 주관부서장은데이터베이스접근통제, 로그관리, 운영관리등세부사항에대해별도로마련한다. 제24조 ( 일반에게공개된시스템 ) 1 일반인에게공개되는전자적인정보에대한무결성확보방안이적용되어야한다. 2 일반인에게공개되는전사적형태의정보 ( 회사홈페이지등에수록된정보 ) 는관련법 - 6 -

7 규에준하여보호하여야한다. 3 정보를일반인에게공개할경우정보보호관리자의승인을득한후공개하여야한다. 4 민감한정보의경우정보수집및전송시또는저장시에도보호되어야한다. 제 10 장시스템개발보안 제25조 ( 응용시스템설계및개발보안 ) 1 중요응용프로그램의신규개발또는변경을위한업무요구사항내에보안통제사항을포함한다. 2 응용프로그램의설계및개발시, 다음각호의사항을고려하여보안대착을수립한다. 1. 화면및메뉴별로접근권한을통제한다. 2. 응용프로그램을테스트할때는임의의테스트데이터를생성하여활용하고, 실제운영데이터의사용을금지한다. 3. 독립된개발시설을확보하고비인가자의접근을통제한다. 4. 개발시스템과운영시스템을물리적으로분리한다. 5. 소스코드및소프트웨어를보안관리한다. 3 외부용역업체와계약하여정보시스템을개발하고자하는경우에는다음각호의사항을고려하여보안대책을수립하고시스템개발사업관리책임자의검토를받아야한다. 1. 외부인력대상신원확인, 보안서약서징구, 보안교육및점검 2. 외부인력의보안준수사항확인및위반시백상책임의계약서명시 4 정보보안담당관은제2항및제3항과관련하여보안대책의적절성을수시로점검하고정보시스템개발을완료한경우에는정보보안요구사항을충족하는지시험및평가를수행하여야한다. 제26조 ( 암호적용및관리 ) 1 정보보안담당관은정보자산의형태, 등급및관련법령에서요구하는사항을고려하여정보자산보호에적합한방법으로암호화기술을적용해야한다. 2 암호화기술의안전한관리및운영을위하여 ' 암호화기술승인절차 ( 이용 변경포함 )', ' 예외사항및오류발생시조치절차및내용 ' 등을기록하고비인가자의접근을통제한다. 제 11 장보안점검 제27조 ( 보안점검 ) 1 정보보안담당부서는교내주요서버및각연구실의서버에대해필요시수시점검을실시할수있으며다음각호의단계를따른다. 1. 보안점검대상및분야를해당부서에통보한다. 2. 해당부서에서는보안점검에필요한자료및제반요청사항을준비하여보안점검에대비한다. 3. 보안점검을실시한후그결과를위원회위원장에게보고한후해당부서에통보한다

8 4. 해당부서에서는지적사항을즉각시정하고그결과를위원회위원장에게보고한다. 5. 정보보안담당부서는필요시각부서의보안점검지적사항에대한시정여부를확인할수있다. 2 홈페이지침해사고및개인정보노출사고등을예방및대처하기위해다음각호에따라정보보안담당부서는보안점검을실시또는요구할수있다. 1. 보안점검대상은본교모든홈페이지로한다. 2. 보안점검은홈페이지를구축할때와점검사유가발생할때실시한다. 3. 보안점검은원칙적으로정보보안담당부서에서시행하나, 사전협의된경우구축ㆍ관리주최에서자체적으로보안점검을진행하고, 그점검결과를정보보안담당부서에통보할수있다. 4. 위 1항에따라보안점검을실시한다. 제 12 장기타 제 28 조 ( 시행세칙 ) 이규정의운용에필요한세부사항은시행세칙으로따로정할수있다. 제 29 조 ( 준용 ) 기타이규정에명시되지아니한사항은학교의관계규정및교육부정보보안 기본지침에준한다. 교육부정보보안기본지침개정시교육부규정을우선준용한다. 부 칙 이규정은 2011 년 10 월 1 일부터시행한다. 이규정은 2013 년 10 월 1 일부터시행한다. 이규정은 2016 년 4 월 1 일부터시행한다. 이규정은 2017 년 1 월 1 일부터시행한다. 이규정은 2017 년 5 월 1 일부터시행한다

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정 정보보안규정 2016. 9. 23. 제정 제1조 ( 목적 ) 이규정은이화여자대학교 ( 이하 본교 라한다 ) 정보통신망의안정성과정보보안을위해필요한사항을규정함을목적으로한다. 제2조 ( 용어의정의 ) 이규정에서사용하는용어의정의는다음각호와같다. 1. 정보통신서비스 라함은정보통신설비및시설을이용하여정보를제공하거나정보의제공을매개하는것을말한다. 2. 정보통신설비 라함은정보통신서비스를제공하기위한기계,