CNVZNGWAIYSE.hwp
|
|
- 욱철 영
- 8 years ago
- Views:
Transcription
1 외주인력 보안통제 안내서
2 목 차 제1장 소개 1 제1절 개요 1 제2절 구성 및 활용방안 2 제2장 외주용역의 분류 및 특성 정의 3 제1절 외주용역 유형 3 제2절 유형별 외주용역 세부 운영방식 6 제3장 외주용역 유형별 사고사례 및 보안 위협 13 제1절 외주용역 유형별 사고사례 14 제2절 외주용역 사고원인 및 보안위협 26 제4장 외주용역 단계별 보안 강화 방안 30 제1절 입찰 및 계약 단계 30 제2절 개발 및 구축단계 33 제3절 사업 완료 단계 37 제4절 유지보수 단계 39 제5장 외주인력 통제 강화 대책 41 제1절 물리적 대책 41 제2절 인적 보안관리 대책 47 제3절 관리적 대책 51 제4절 기술적 대책 57 [ 부록] 64 외주용역 유형별 보호대책 64 외주용역 정보보호 관리지침( 샘플) 65 외주용역 보안관리 서식 75
3 표 목차 [ 표 1-1] 보안안내서 구성 2 [ 표 1-2] 보안안내서 활용방안 2 [ 표 2-1] 외주용역 유형 분류표 3 [ 표 2-2] 외주용역 유형별 예 9 [ 표 3-1] 외주용역 정보유출 사례 및 피해 건수 10 [ 표 3-2] 내부자 보안사고 피해사례 및 특징 23 [ 표 3-3] 물리적 접근영역 보안위협 24 [ 표 3-4] 기술적 접근영역 보안위협 24 [ 표 3-5] 관리적 접근영역 보안위협 25 [ 표 3-6] 용역 발주시 정보보호 고려사항 26 [ 표 4-1] 외주용역 통제 기준 28 [ 표 4-2] 외주용역 보안관리 평가 기준 29 [ 표 4-3] 사업추진시 정보보호 고려사항 29 [ 표 4-4] 외주용역 시스템 접근시 보안요구사항 30 [ 표 4-5] 자료관리대장 샘플 31 [ 표 4-6] 용역업체 사무실 보안 점검항목 33 [ 표 4-7] 외주업체 전산망 접근시 보안요구사항 33 [ 표 4-8] 원격 접속 관리 대장 샘플 34 [ 표 4-9] 정보시스템 저장매체 불용처리 지침 35 [ 표 4-10] 정보시스템 위탁운영계획서 포함사항 37 [ 표 4-11] 위탁 정보시스템 보안성점검 항목 37 [ 표 5-1] 접근통제 절차에 포함되는 사항 39 [ 표 5-2] 외주인력의 보안구역 출입시 고려사항 40 [ 표 5-3] 출입이력 관리방안 41 [ 표 5-4] 출입이력 관리대장 41
4 표 목차 [ 표 5-5] 내부 사용 이동매체의 관리 방안 42 [ 표 5-6] USB 에 의한 웜 바이러스 감염대책 42 [ 표 5-7] USB 등 이동매체 반출입 절차 43 [ 표 5-8] 보안서약서 주요내용 45 [ 표 5-9] 보안서약서 샘플 46 [ 표 5-10] 정보시스템 접근 레벨 50 [ 표 5-11] PC 보안점검 주요내용 51 [ 표 5-12] 외주용역 교육컨텐츠 52 [ 표 5-13] 보안관리 계획 53 [ 표 5-14] 보안요구 기준 53 [ 표 5-15] 접근이력 관리시스템 기능 55 [ 표 5-16] 시스템 접속기기 검증 내역 56 [ 표 5-17] 출력물 관리 대장 57 그림 목차 ( 그림 2-1) 자원에 대한 운영용역 유형 접근 5 ( 그림 2-2) 자원에 대한 유지보수 용역 유형 접근 6 ( 그림 2-3) 자원에 대한 SI 용역 유형 접근 7 ( 그림 2-4) 자원에 대한 데이터 처리 용역 유형 접근 7 ( 그림 2-5) 자원에 대한 오프라인 지원 용역 유형 접근 8 ( 그림 3-1) 검색사이트에 노출된 관리자정보 위치(URL) 18 ( 그림 3-2) 노출된 기관별 홈페이지 관리자 정보 18 ( 그림 3-3) 노출된 기관별 홈페이지 관리자 정보 19
5 제1장 소개 제1절 개요 현황 최근 정보통신서비스의 일반화로 인해 다양한 산업 및 서비스 분야의 기반환경이 정보시스템을 기반으로 운영 이러한 환경의 또 다른 특성은 정보시스템의 구축 및 운영에 대한 외주용역의 활용 증가 문제점 외주인력을 포함한 내부자에 의한 정보유출 및 보안 사고가 급증하고 있으나, 기업의 보안시스템은 외부자 공격대응 위주로 구축 외주용역에 참여하고 있는 인력에 대한 적절한 기술적 관리적 보안대책을 마련하지 않아 발생하는 보안사고로 인하여 기업의 막대한 피해가 발생한 사례 등장 최근 발생한 농협 전산사고, 네이트 개인정보 해킹 등의 보안 사고는 조직의 소홀한 내부인력 통제 관리부실이 원인 민간기업의 외주인력 보안통제를 위해 필수적으로 준수해야 할 보호대책을 제시하는 안내서 개발 방향 안내서는 환경의 개발 구축 및 운영에 대한 외주용역을 추진하고자 하는 기업들이 외주용역의 형태를 이해하고, 유형별 적용가능한 기술적 관리적 대응방안을 제시 각 특히, 현재 운영 중인 자원을 직접적으로 접근하는지에 대한 구분과 기업 내의 물리적 공간 이용여부에 따라, 유형별 차별화된 대응체계 수립에 대한 안내서 제공 - 1 -
6 제2절 구성 및 활용방안 1. 구성 [ 표 1-1] 보안안내서 구성 구분 2장 내용 전체적인 외주용역의 유형을 분류하고, 본 안내서가 다루는 외주용역의 유형을 정의 3장 외주용역 유형별 사고사례를 제시하고 외주용역의 문제점 및 보안위협에 대해 제시 4장 입찰 계약, 개발 구축, 사업완료, 운영 유지보수 단계 등 외주용역 추진 단계별 보안 고려사항 도출 외주인력 통제 강화를 위한 전략, 보안대책 및 적용가능 솔루션 제시 5장 - ( 물리적) 인력 출입통제 및 이동장비 반출입 통제 방안 - ( 기술적) 계정관리, 접근권한 차등화 등 외주인력 접근통제 및 내부 중요정보 유출방지 방안 - ( 관리적) 시스템 작업내역 관리감독 강화 등 내부통제 감시 체계 구축 방안 외주인력 보안강화를 위한 체크리스트 부록 외주인력 보안 관리지침( 샘플) 외주인력 보안 관련 서식 2. 활용방안 [ 표 1-2] 보안안내서 활용방안 활용방안 해당기업이 수행하고자 하는 외주용역의 유형을 판단하여, 본 안내서에서 제시되는 기술적 관리적 보호대책을 선택적으로 적용 - 2 -
7 제 2 장 외주용역의 분류 및 특성 정의 이번 장에서는 전체적인 외주용역의 유형을 분류하고, 외주용역 유형별 특성을 정의한다. 본 안내서에서는 외주용역의 유형을 외주용역이 접근할 수 있는 기업의 자원유형 및 사용권한, 자원에 대한 온라인 또는 오프라 인을 통한 접근경로에 따라 분류하고, 에서 제시한다. 상세한 유형의 분류 및 특성은 각 절 제1절 외주용역 유형 본 안내서에서는 외주용역 유형을 [ 표 2-1] 과 같이 접근 자원, 자원 사용권한, 접근경로에 따라 5 개의 유형으로 정의한다. [ 표 2-1] 외주용역 유형 분류표 외부용역 유형 접근 용역 특성 자원 자원 사용 권한 접근경로 유형1 운영 용역 내부 데이터 o 읽기 o 온라인 시스템 o 쓰기 o 유형2 유지보수 용역 내부 데이터 시스템 o o 읽기 ( 내부직원 동행) 쓰기 ( 내부직원 동행) x (0) x (0) 온라인 유형3 SI 용역 내부 데이터 o 읽기 o 시스템 o 쓰기 x 온라인 유형4 데이터 처리 용역 내부 데이터 o 읽기 o 시스템 x 쓰기 x 온라인 유형5 오프라인 지원 내부 데이터 o 읽기 o 시스템 x 쓰기 x 오프라인 - 3 -
8 외주용역이 접근할 수 있는 기업의 자원유형은 기업 내부의 중요 데 이터에 대한 접근인지 시스템에 대한 접근인지에 따른 구분이며, 용역 수 행원별로 자원의 갱신 가능여부에 따라 권한을 분리하여 읽기/ 쓰기 권한을 차등 부여한다. 또한, 접근 경로를 온라인 또는 오프라인으로 구분하고 있는 데 이것은 각각 네트워크 보안 및 물리적 보안을 좀 더 고려해야하는 특성 을 갖는다. 본 안내서에서 제시하는 외주용역 유형들은 업무수행 시 발생할 수 있 는 기업의 정보유출 방지를 위하여, 5장에서 제시하는 외주인력 통제를 위한 물리적/ 관리적/ 기술적 대책을 만족시켜야 하며, 특히, 유형2와 유형5의 경 우, 각각 4장 2절 및 4 절에서 제시하는, 개발 구축단계, 유지 보수단계에서 의 보안 요구사항 및 보안대책을 반영하여 업무를 수행해야 한다. 제2절 유형별 외주용역 세부 운영방식 1. 자원 운영 용역( 유형 1) 기업 내의 자원을 전담운영하는 외주용역 유형으로서 기업내의 모든 시스템 및 내부 데이터에 온라인으로 접근할 수 있다. 높은 권한을 부여받는 유형으로서 모든 접근하여 업무를 수행할 수 있다. 이 유형에서 외주용역 중 가장 자원에 읽기 및 쓰기 권한으로 용역 수행원은 내부직원과 동일한 권한으로 온라인 상으 로 자원에 접근하기 때문에 용역수행원은 NAC(Network Access Control) 1) 에이전트가 설치된 PC 를 이용하여 업무를 수행해야하며, ( 그림 2-1) 은 유형 1의 용역 수행원이 자원에 접근하는 방법을 보여준다. 1) 사전에 인가되지 않은 사용자 및 보안문제를 가지고 있는 사용자의 장치에 대해 네트워크 접근 을 차단 또는 제어해주는 보안 솔루션 - 4 -
9 ( 그림 2-1) 자원에 대한 운영용역 유형 접근 2. 자원 유지보수 용역 ( 유형 2) 기업의 자원에 대한 유지 보수 업무를 수행하는 유형으로서 유지보수 업무수행을 위해서는 유형 1과 같이 모든 자원에 대한 접근이 가능하고, 모든 업무를 수행할 수 있는 권한이 필요하다. 그러나 유지보수 업무의 경 우, 외주용역 업체 내에서 업무를 수행하거나 요청에 의해 단기간 동안만 작 업을 할 수 있기 때문에 높은 권한을 부여할 수 없다. 따라서 용역 수행원은 자원 사용에 대한 모든 권한을 부여 받지는 못하고, 업의 내부직원과 동행함으로써 필요한 권한을 획득하게 한다. 업무수행 시에는 기 유형 2 는 다른 유형과 달리, 외주용역 수행원의 물리적 위치에 따라 상주 및 비상주 유형으로 세분화될 수 있지만, 자원에 접근하고, 두 개 세부 유형 모두 온라인으로 내부직원에 의해 읽기 및 쓰기 권한을 획득할 수 있다는 공통된 특성을 갖는다. ( 그림 2-2) 는 유형 2의 용역 수행원이 자원에 접 근하는 방법을 보여준다
10 ( 그림 2-2) 자원에 대한 유지보수 용역 유형 접근 3. 자원 SI 용역 ( 유형 3) 기업의 자원을 구축하는 업무를 수행하는 용역 유형으로서 현재 기업 의 환경에 적합한 시스템을 구축하기 위해서는 모든 자원에 접근할 수 있어야 한다. 그러나 개발용역 수행 중, 내부 데이터를 수정 또는 삭제하는 등의 오류를 범하는 것을 예방하기 위하여 쓰기 권한을 부여하지 않는다. 대신, 외주용역 수행원은 모든 시스템 및 내부 데이터에 접근하여 읽기 권한을 통해 원하는 정보를 획득할 수 있기 때문에 내부 데이터의 복사본을 이용하여 개발된 시스템의 검증을 수행할 수 있다. ( 그림 2-3) 은 유형 3의 용 역 수행원이 SI 자원에 접근하는 방법을 보여준다. 용역 유형은 개발 및 구축단계에서 발생할 수 있는 기업의 정보유출을 방지하기 위하여 기업에서 정한 보안 요구사항 및 보안대책을 반영하여 업 무를 수행해야 하며, 이와 관련된 자세한 사항은 4장 2 절에서 다룬다
11 ( 그림 2-3) 자원에 대한 SI 용역 유형 접근 4. 자원 데이터 처리 용역 ( 유형 4) 기업의 내부 데이터를 활용하여 업무를 수행하는 용역 유형으로서 헬프데스 크 또는 대리점이 이 유형에 속한다. ( 그림 2-4) 는 유형 4의 용역 수행원이 자원에 접근하는 방법을 보여준다. ( 그림 2-4) 자원에 대한 데이터 처리 용역 유형 접근 - 7 -
12 유형 1, 2, 3과 달리 시스템에 대한 접근은 불가능하고, 온라인 접속을 통해 내부 데이터에 접근할 수 있다. 단, 내부 데이터의 수정 및 삭제를 방지 하기 위하여 읽기 권한 만 부여받게 된다. 기업의 자원에 대한 로그를 유 지하고, 관리하는 데이터보안 용역업체 또한 이 유형에 속한다. 5. 자원 오프라인 지원 용역 ( 유형 5) 유형 4와 같이 기업의 내부 데이터를 활용하여 업무를 수행하지만 오프라 인으로만 접근 가능하다는 특성을 갖는다. 따라서 오프라인으로 출력된 산출 물을 관리하는 용역업체가 이 유형에 해당되고, 출력된 내부 데이터에 대해 읽기 권한 을 부여받아 면담 및 상담을 통해 컨설팅을 수행하는 회계 또는 보안컨설팅 등도 이 유형에 속할 수 있다. ( 그림 2-5) 는 유형 5의 용역 수 행원이 자원에 접근하는 방법을 보여준다. ( 그림 2-5) 자원에 대한 오프라인 지원 용역 유형 접근 6. 외주용역 유형의 용역 예 외주용역의 각 유형별 용역의 예는 아래 [ 표 2-2] 와 같이 분류된다
13 [ 표 2-2] 외주용역 유형별 예 외주용역 유형 외주용역 예 1 운영 용역 업무망 내 시스템 네트워크 및 보안 장비 운영 기업 내부망에 대한 취약점점검 및 모의해킹 업무망에 온라인 접속권한으로 수행된 업무에 대한 유 지보수 기업 내 온라인으로 진행되는 시스템 네트워크 및 2 유지 보수 용역 보안장비 유지보수 외주업체 내에서 운영되는 시스템 네트워크 및 보안장비 유지보수 원격시스템 네트워크 및 보안장비 유지보수 3 SI 용역 원격 유지보수 및 장애 관리 업무지원 시스템 개발 구축 4 데이터 처리 용역 기업 내의 헬프데스크 운영 기업 내부데이터를 활용한 대리점 운영 5 오프라인 지원 오프라인으로 출력된 산출물을 관리하는 용역업체 오프라인으로 출력된 내부데이터를 활용하여 면담으로 진행되는 정보보호컨설팅 오프라인으로 출력된 내부데이터를 활용하여 진행되는 기업 회계감사 및 보안컨설팅 - 9 -
14 제3장 외주용역 유형별 사고사례 및 보안 위협 이번 장에서는 외주용역 유형별 사고사례를 제시하고 외주용역의 문제점 및 보안위협에 대해 제시함 외주용역을 활용하여 시스템을 운영하는 기업 중 외주용역기관의 과실 등 의 이유로 정보유출 등의 사고가 발생한 주요사례를 보면 아래 [ 표 3-1] 과 같다. [ 표 3-1] 외주용역 정보유출 사례 및 피해 건수 일시 위치( 기업) 유출 피해건수 시스템 운영방법 정보유출 방법 '10.9 OO교육 관리기관 630만명 외 주 업 체 에 서 시스템 전반을 위탁 관리 서버 유지보수 업체 직원이 서버에 해킹 프로그램을 설치해 개인 정보를 빼돌림 '11.3 OO캐피탈 175만명 외 주 업 체 에 서 보안업무 위탁 관리 업무성격상 불필요한 권한 부여 및 퇴직자 계정정보 미삭제 등의 시스템 접근권한관리 미흡 '11.5 OO증권사 2.7만명 외 주 업 체 에 서 전산망관리 외주업체에서 공격 탐지 후 모 기업에 알렸으나, 안일하게 대처 '11.4 OO은행 - 외 주 업 체 에 서 서버관리 외주업체 직원 노트북을 통한 해킹으로 전산망 마비 '11.9 OO 국가기관 92만명 전자여권 발급 기 시스템 운 영을 외주업체 에 맡김 여권발급기 부품교체 주기를 파악한다는 명목으로 신상정보를 매주 본사로 보내 여권발급에 필요한 개인의 신상정보가 무단 으로 유출 '11.9 OO구청 60만명 구청 호적등본 자료의 전산화 작업을 외주업 체에 맡김 문서고에서 호적등본을 전산화 하는 과정에서 외주업체 직원이 주민정보를 스캔한 파일이 저장된 외장하드를 분실
15 제1절 외주용역 유형별 사고사례 2장에서는 외주용역 업체가 점근하는 자원과 자원에 대한 권한을 기 준으로 하여 자원 운영 용역( 유형 1), 자원 유지보수 용역( 유형 2), 자원 SI 용역( 유형 3), 자원 데이터처리 용역( 유형 4), 자원 오프라인 지원 용역( 유형 5) 등 총 5 개의 유형으로 분류하였다. 이번 절에서는 각 유형별로 존재할 수 있는 보안위협과 이에 따른 사고 사례 및 시나리오를 제시하고자 한다. 1. 자원 운영 용역 ( 유형 1) 유형 1은 기업내의 자원을 운영하는 외주용역을 위탁하는 경우이다. 따 라서 외주용역은 업무지원 시스템 운영 또는 네트워크 및 보안장비 운영시 업무망에 대한 온라인 접속권한을 이용하여 개인정보를 탈취할 수 있다. 즉, 온라인 업무망 접속권한을 가진 외주용역 수행자가 업무목적 이외에 기 업 내부정보를 열람하거나 쓰기권한을 사용하여 기업내부의 정보를 조작 또 는 설정을 변경하여 외부 유출하는 형태와, 백도어 구축 또는 해킹 프로그램 설치를 통해 무단으로 정보를 유출시키는 형태의 보안위협이 존재한다. 또한 보안관리 업무수행 시, 의도/ 비의도적인 보안 공격에 의해 업무망 마비 또는 데이터 손실을 발생시키는 형태의 위협 등이 존재한다. 세부 유형 업무망 내 시스템 네트워크 및 보안장비 운영 기업 내부망에 대한 취약점점검 및 모의해킹
16 ( 보안위협1) 외주용역 수행자의 기업 내부정보 조작 <시나리오> 포털게임 외주업체 직원, 1 억 빼돌려... 사고 개요 - 포털게임 업체 A사의 고객 정보관련 DB업무를 위탁관리하고 있는 외주 용역 업체 직원이 업무 외의 목적으로 고객정보를 무단으로 열람하고 조 작 및 로그 등을 삭제하는 행위를 함 - 해당직원은 DB접근 권한을 이용하여 수백 명에 달하는 회원들의 조작하고 로그를 삭제하여 1억 원 상당의 부당이득을 얻음 게임머니를 사고 원인 - 고객정보를 다루는 외주업체 직원의 보안인식 미흡 및 외주용역 직원의 행위에 대한 감사기능 미비 ( 보안위협2) 외주직원의 보안관리 업무수행시, 의도/ 비의도적인 공격 < 시나리오> 인가되지 않은 USB 이용으로 전산망 장애 사고 개요 - OO기관은 보안관리를 위해 A보안업체에 취약점 점검 및 모의 해킹을 의뢰하여 업무종료 후 작업에 들어갔으나 알 수 없는 악성코드로 인해 작업이 지연되어 다음 날까지 전산망에 문제 발생 - 취약점 점검툴을 설치하기 위해 보안업체 직원은 USB를 이를 통해 OO기관 전산망에 악성코드가 감염됨 이용하였고 사고 원인 - 외부에서 반입된 인가되지 않은 USB 의 사용과 같이, 이동저장매체에 대한 관리적 기술적 통제대책 미흡
17 ( 보안위협3) 외주용역 수행자의 보안관리 용역 업무수행 시, 의도/ 비의 도적인 보안 공격 < 시나리오> 보안관리 업체 직원의 원격접속 PC 관리소홀로 시스템 장애유발 사고 개요 - 원격 취약점점검 및 모의해킹을 수행하는 외주용역 직원의 PC가 DoS공 격과 관련된 악성코드에 감염되어 있었고, 원격접속된 OO기관 시스템 에도 퍼져 좀비PC로 이용 - 특정 IP로 과도한 요청을 지속적으로 전송하여 OO기관 시스템에 장애가 발생함 사고 원인 - 외주직원의 보안인식 및 원격접속 허용된 PC에 대한 관리 소홀 ( 보안위협4) 외주용역 업체 내 자원 접근권한 이 없는자에 의한 기 업 내부정보 무단열람 및 외부 유출 < 시나리오> 외부인의 부탁을 받고 개인정보를 무단 열람 사고 개요 - OO기관 시스템 운영업무를 담당하는 외주업체 직원이 특정인의 개 인정보를 업무목적과는 다른 용도로 열람, 제 3자에게 제공함 사고 원인 - 외주용역 직원의 기업 내 온라인 접속 및 개인정보 DB 접속 권한에 대한 통제 미흡 - 외주용역 직원의 업무목적과는 다른 용도로 열람한 사실은 개인정보취급자 가 권한 없이 처리하지 못하도록 되어 있는 법률에 위반됨
18 ( 보안위협5) 외주용역 업체 내 취약한 시스템에 의한 기업 내 시스템의 감염 위협 < 사례> 시스템 계정관리 부실 취약점을 악용한 전산망 마비 사고 개요 - 지난 4월 11일 발생한 OO은행 전산 장애로 창구거래 등 전반적인 금융 서비스가 마비되는 사건이 발생하여 은행 고객의 카드 결제, 사용, 체크카드 사용내역 조회 등에 불편함을 겪음 교통카드 - OO은행의 서버관리 협력업체인 기업 직원의 노트북을 통해 OO은행 서버에 삭제명령이 입력됨 - OO은행이 전산망 마비 사고로 입은 경제적 피해는 최소 80억원 규모로 추정 사고 원인 - 금융감독원의 OO은행 감사 결과 OO은행은 시스템 계정의 비밀번호 변경 관리 부실, 단순 비밀번호 사용 - 외주직원의 보안인식 및 관리감독 미흡, 정보시스템 접근관리 미흡 - 외주용역 직원이 보유한 노트북 등 이동저장매체에 대한 통제 미흡 ( 보안위협6) 외주용역 수행자에 의한 기업 시스템 설정변경 및 시 스템 내 정보유출 < 시나리오> 업체 내 개인정보를 자신의 PC로 무단저장 사고 개요 - OO 업체에서 서비스 운영( 개인정보 포함) 을 담당하던 외주업체 직원이 원격으로 관리자 권한을 부여받아 업무를 수행하고 있으며, 고객들의 개 인정보를 몰래 자신의 PC로 전송하여, 이를 대부광고업체에 팔아 넘김 사고 원인 - 외주직원의 핵심정보에 대한 원격접근 허용 및 관리적 기술적 통제대 책 수립, 감사기능 미흡
19 2. 자원 유지 보수 용역( 유형 2) 유형 2는 시스템과 내부 데이터 모두 접근할 수 있는 권한을 가지고 있으나 내부 직원과 동행시에 해당 자원에 대한 읽기 및 쓰기 권한을 획득 할 수 있다. 따라서 시스템 접근 권한이 제대로 관리되지 않는 경우, 보 안인식이 미흡하거나 사적인 목적달성을 위하여 시스템 접근권한을 소유 한 외주용역 수행자가 기업 내부 시스템에 무분별하게 접근하여 기업 시스템의 설정 변경할 수 있다. 또한 이를 통해 업무수행 불능 시스템으 로 유도할 가능성이 존재하며 시스템 내 정보 유출의 가능성도 배제 할 수 없다. 한편, 외주업체 직원의 USB 등의 외부 장치를 통해 악성 프로그램을 유포시켜 시스템에 장애를 발생시키거나 해킹 프로그램 설치를 통한 개인 및 기업 정보 유출 가능성도 존재한다. 업무망 온라인 접속 권한으로 수행된 용역 업무에 대한 유지보수 기업 내 온라인으로 진행되는 시스템 네트워크 및 보안 장비 세부 유형 유지보수 외주업체 내에서 운영되는 유지보수 시스템 네트워크 및 보안 장비 원격 시스템 네트워크 및 보안 장비 유지보수 원격 유지보수 및 장애 관리 ( 보안위협1) 업무수행 시 기업의 내부 직원과 동행하지 않고 자원 접근권한 획득 < 사례> OO 기관, 외부업체 직원에게 승인 없이 개인정보 열람 허용 ( ) 사고 개요 - OO기관은 외주용역업체 업무수행을 위해 기관 승인하에 담당직원과 함 께 관련 정보에 접근토록 하고 있으나, 부처 감사결과 외주용역직원에게 기관 직원 ID를 공동으로 사용할 수 있도록 허용 - 외주용역업체 직원은 기관 직원 ID를 이용하여 종합전산망에 접속 총
20 1,066회의 개인정보에 접근한 것으로 확인됨 사고 원인 - 외주용역 직원에 의한 기업 내부 시스템 접근은 책임자 승인하에 담당직원과 함께 화면조회가 가능하나 외주직원의 무분별한 접근에 대 한 관리적 기술적 통제대책 수립 및 감사기능 미흡 ( 보안위협2) 업무 목적 외 기업 내부 정보 열람, 외부 유출 < 사례1> OO 교육기관 해킹당해 만 학생 개인정보 유출( ) 사고 개요 - 서버 유지보수 업체 직원 등 업체 대표와 개발자 등이 OO기관이 관 리하는 전자도서관 서버에 해킹 프로그램을 설치해 학생들의 개인정보를 탈취하고, 이를 독서통장 사업자에게 팔아 부당이득을 챙김 독서통장은 책을 빌리고 반납한 기록을 통장 형태로 보여주는 것으로 많은 초, 중, 고등학교 학생들이 사용 - 전자도서관 서버에 대한 유지보수를 위탁받은 외주업체 직원들은 서버 점검시 방화벽이 해제된 틈을 타 불법 프로그램을 설치하여 개인정보 를 유출 사고 원인 - 유지보수 업체 작업에 대한 관리 감독 및 기술적인 통제 부족 < 사례2> 전자여권 92 만명 정보 유출 ( ) 사고 개요 - 전자여권 신청자의 주민번호와 여권번호 등 개인 신상정보 92만여건이 여권발급기 운용업체 직원들에 의해 무단 유출 - 조폐공사 보안규정에 따르면 여권 신청자의 신상정보는 여권제작 후 조 폐공사 전산서버에서 곧바로 삭제되어야 하지만, 해당 외주사 직원들은 여 권발급기 부품 교체주기를 파악한다는 명목으로 신상정보를 매주 본사 로 전송 사고 원인 - 외주직원에 대한 보안인식 교육 및 관리감독이 미흡함
21 - 기관의 보안규정에 맞게 개인정보 데이터가 제대로 관리되지 않음 ( 보안위협 3) 외주직원의 업무 목적 외 기업 내부정보 열람 및 변조, 외부 유출 < 시나리오> 외주직원, 서버 접근계정 공유하여 부당이득 취해.. 사고 개요 - A업체 서버 유지보수를 담당하고 있는 외주업체 직원이 A업체에 상주하지 않고 본사에서 원격으로 A업체 서버에 접근하기 위한 계정을 소유함 - 외주직원은 A업체 서버에 접근하기 위한 관리자 계정을 제 3자에게 유 출하여 A 업체 서버내 정보가 유출되고, 서버접근 계정을 공유한 댓가로 부당이득을 취함 사고 원인 - 외주용역 직원에 대해 관리자 계정, 적절한 시스템 접속권한 관리 미흡 암호 공유 및 원격접속 허용 등 ( 보안위협4) 외주용역 직원에 의한 기업 시스템 설정 변경 및 시스템 내 정보 유출 < 시나리오> 시스템 유지보수 직원이 백도어 설치, 외부로 개인정보 전송 사고 개요 - 외주용역 업체 직원이 전산망 구성도와 개인정보가 저장된 서버의 관리자 권한을 소유한 내부 담당자에게 악성코드가 포함된 이메일을 전송, 일을 열어본 내부 담당자의 PC에 백도어가 설치됨 메 - 설치된 백도어를 이용하여 외주직원은 외부의 특정서버로 개인정보 전 송 사고 원인 - 외주용역 직원에 대한 신원조회, 보안교육 등 관리가 소홀하며, 이메일에 대한 보안통제 대책 미흡
22 ( 보안위협5) 부 정보 유출 외주용역 업체 내 용역 수행자 외의 인력에 의한 기업 내 < 사례> 홈페이지 유지보수 업체 홈페이지 취약점을 이용하여 205개 공 공ㆍ민간업체 정보 노출 ( ) 사고 개요 - 홈페이지 유지보수 업체의 홈페이지에 취약점이 존재하여 홈페이지에 저장 되어 있던 205개 공공ㆍ민간업체의 홈페이지 관리자 IDㆍ패스워드 등의 정보가 검색사이트에 노출 ( 그림 3-1) 검색사이트에 노출된 관리자정보 위치(URL) ( 그림 3-2) 노출된 기관별 홈페이지 관리자 정보
23 사고 원인 - 외주용역 업체의 고객사 홈페이지 계정정보 관리 부실 ( 보안위협6) 외주용역 수행자에 의한 기업 내부 정보 외부 유출 < 사례> 기업자료의 무단반출 및 관리부실로 정보노출 ( ) 사고 개요 - OO社 유지보수담당 직원이 9개 정부부처 정보화사업 자료를 OO기관의 유지보수 프로젝트에 활용키 위해 자택PC에 보관 - 해당 자료들이 공유폴더로 설정된 폴더에 저장되어 있어 P2P에 접속 하자 자택PC에 저장되어있던 자료들이 노출됨 사고 원인 - 기밀자료에 대한 무단 반출 및 P2P 공유 프로그램 사용으로 자료 유출 - 기밀자료에 대한 접근통제, 보안 교육 미흡 보안관리 강화 및 외주용역 직원에 대한 3. 자원 SI 용역( 유형 3) 유형 3은 시스템 및 내부 데이터 모두에 대한 접근권한을 가지고 있는 경우로서 기업 내부 데이터에 대한 수정을 방지하기 위하여 읽기 권한만 부 여한다. 본 유형에서는 외주용역 수행자가 의도적인 목적을 가지고 외부로 유출할 가능성이 존재한다. 기업 내부정보를 분실하거나 세부 유형 업무지원 시스템 개발 구축 ( 보안위협1) 외주용역 수행자에 의한 기업 내부 정보 외부 유출 < 사례1> OO 부처 비공개 자료 웹하드에 보관 중 노출 ( )
24 사고 개요 - OO부처 정보화사업을 담당하는 하도급업체 직원이 IP할당내역 등 전산망 이전 관련 자료를 웹하드에 보관 네트워크 구성도, - 인터넷 웹하드의 비밀번호를 설정하지 않아 해당 웹하드 가입자들이 제한 없이 자료에 대한 검색은 물론 다운로드 가능하여 정보 유출 사고 원인 - 외주용역 직원이 기업 핵심정보를 인가받지 않은 방식으로 관리 < 사례2> OO구청 주민정보 60만건을 담은 외장하드 분실로 인한 중요 사고 개요 정보 노출 ( ) - 구청 호적등본 자료 전산화 업무를 맡고 있는 외주업체 직원이 호적등본을 전산화하는 과정에서 주민정보를 스캔한 파일 하드 분실 60여만 건이 저장된 외장 - 조사결과 OO구청 공익요원이 종합문서고에 방치된 외장 하드디스크를 보고 충동적으로 가지고 나온 것으로 밝혀짐 사고 원인 - 외주직원의 보안인식 및 관리감독이 미흡하고, 문서고의 출입문은 이중 통제가 적용되어 있으나 제대로 운용하지 않아 비인가 직원의 출입 가능 4. 자원 데이터 처리 용역( 유형 4) 유형 4는 기업 내부 데이터 자원을 읽을 수 있는 권한을 가지고 온라인으 로 접근이 이루어지는 경우를 말한다. 접근 권한을 소유한 용역 업무수행을 위해 온라인 업무망 외주용역 수행자는 기업 내부정보를 분실하거나 의 도적인 목적을 가지고 외부로 유출할 가능성이 존재한다
25 세부 유형 기업내의 헬프데스크 운영 기업 내부 데이터를 활용하여 대리점 운영 ( 보안위협1) 외주용역 수행자에 의한 기업 내부 정보 외부 유출 < 사례> 대형 포털사이트 고객상담 내용 일부 유출 ( ) 사고 개요 - 해커는 외주업체가 운영관리하는 국내 포털사이트의 고객상담 관리시스템을 해킹 후 이를 볼모로 금품을 요구 - 고객상담 관리를 맡은 외주업체는 적절한 보안시스템을 구축하지 않아 시스템이 외부 IP 에서의 접근이 가능하였고, 이를 이용해 고객상담 관리자의 아이디와 비밀번호를 알아내 관리자 페이지에 접근 사고 원인 - 외주업체의 보안관리 감독 미흡 5. 자원 오프라인 지원 용역( 유형 5) 유형5는 자원에 대한 간접접근이 이루어지며, 면담/ 상담이 주 업무가 되 어 노트북 컴퓨터 등을 내부에 도입하여 진행하는 경우이다. 회계감사 또는 컨설턴트 등 용역업무 수행을 위해 오프라인 업무망 접근 권한을 소유한 외주용역 수행자는 기업 내부 정보를 분실하거나 의도적인 목적을 가지고 외부로 유출할 가능성이 존재한다. 한편, 용역 수행자가 기업체에 비상주하 는 경우에는 외주용역 업체 내 용역 수행자 외의 인력 즉, 권한을 가지지 않은 자에 의해 기업 내부 정보가 열람되거나 유출될 수 있다
26 오프라인으로 출력된 산출물을 관리하는 용역 업체 세부 유형 오프라인으로 출력된 내부 데이터를 활용하여 면담으로 진행되 는 정보보호컨설팅 오프라인으로 출력된 내부 데이터를 활용하여 진행되는 기업 회계감사 및 보안컨설팅 ( 보안위협1) 부 정보 유출 외주용역 업체 내 용역 수행자 외의 인력에 의한 기업 내 < 사례> 고객사의 내부정보 무단유출로 부당이익 취득 ( ) 사고 개요 - 세계적인 컨설팅 회사인 OOO의 선임 파트너가 내부 정보를 헤지펀드로 넘긴 혐의로 미국 검찰에 체포됨 고객사인 반도체 회사 - 관련자 들은 고객 회사의 내부정보에 대한 비밀을 유출하여 이를 이용 해 사고 원인 2500만 달러의 부당 이익을 취한 혐의를 받음 - - 기업 내에서 진행되는 기업 경영 컨설팅 자료에 대한 통제 부재 외주용역 사업 종료시 자료 반납 및 폐기 절차 미이행 제2절 외주용역 사고원인 및 보안위협 1. 외주용역 사고원인 분석 해킹 등 외부자 공격대응 위주의 대책 및 투자로 외주용역 직원을 포함한 내부자에 대한 보안위협 예방대응 관련 보안 인프라 투자는 매우 미흡 - 최근 발생한 농협 전산사고(4.12), 네이트 해킹(7.12) 등의 보안사고는 조 직의 소홀한 외주용역 인원의 통제 관리부실이 원인 - 업무 특성 상 아웃소싱 의존도가 높은 반면, 내부자 보안에는 소홀 외주용역에 의한 정보유출 및 보안사고는 급증하고 있으나, 기업의 보
27 안시스템은 외부자 공격대응 위주로 구축 보안사고의 60% 이상이 내부자에 의해 발생(IDC 조사, 2009 년) 07년 이후 내부자에 의한 자료유출 사건이 3 배 이상 증가(KPMG, 2010 년) 외부자 대응 : 침입방지(90%), 웹방화벽(85%) 내부자 대응 : 서버보안(18%)( 전자정부 대민서비스 실태조사, 2011 년) 출입통제, 보안서약서 징구, 관리대장 기록 등 기본적인 수준의 보안 활 동 점검은 이루어지고 있으나, - 내부자 보안위협에 대한 인식 미흡, 시스템적 관리환경 취약, 형식적인 점검 등으로 접근통제 및 모니터링, 사후추적 등이 취약 사례 OOO 해킹 ( ) OO 전산사고 ( ) OO 정보유출 사건( ) OO부처 서버 해킹( ) [ 표 3-2] 내부자 보안사고 피해사례 및 특징 유출경로 원인 및 내용 비고( 대응방안) - 중국해커 악성코드 제작 이스트 - 정보시스템 접속 시 악성코드 감염 소프트 서버감염 알집 다운받은 직원 여부 확인 PC 감염 DB 접속 3500 만 정보 유출 협력업체 직원이 악성코드에 감염된 - 반출입 매체에 대한 악성코드 노트북 반입 삭제명령 실행 주요서버 공격 및 전산마비 사태 -인천의 OO기관 직원이 공모하여 내부망의 개인정보 유출 부당이득 - OO부처 협력업체 직원이 서버에 해킹 프로그램 설치 정보 유출 630만 개인 불법판매로 부당이득 감염여부 검증 - 금지명령어 차단을 위한 기술적 조치 - 내부자간 감시체제 강화 및 작업내역 모니터링 - 협력업체 직원의 작업내역 - 기록 및 관리감독 강화 반출입 매체의 자료검증 영역별 보안위협 물리적 영역 물리적 접근영역의 보안위협은 아래와 같음
28 [ 표 3-3] 물리적 접근영역 보안위협 - ( 접근통제) 인가받은 자가 기업 내부의 중요정보가 보관된 장소에 접근 하여 업무외의 목적으로 정보를 열람하는 경우 또는 비 인가자가 침입 하는 경우에 의한 중요 정보 유출 - ( 출입탐지) 비 인가자 출입탐지를 위한 CCTV의 사각지대 존재 - ( 출입관리) 기업 내부의 중요정보가 존재하는 장소에 출입통제 내역을 관리하지 않아 중요정보에 불법적인 접근 위협 - ( 정보 시스템 접근 관리) 발생했을 때, 책임에 대한 배상을 요구할 수 없음 중요정보가 유출되거나 중요시스템에 피해가 - ( 반입 매체통제) 허가되지 않은 매체 반 출입으로 인한 악성코드 감염 또는 정보유출의 위협 2.2 기술적 영역 기술적 접근영역의 보안위협은 아래와 같음 [ 표 3-4] 기술적 접근영역 보안위협 - ( 인증수단) 정보시스템 접근시 ID/PW 만을 사용할 경우, 노출 또는 낮은 패스워드 설정 등으로 인한 침해요소 - ( 인증정보) 외주 개별 인력에 내부시스템 사용자 인증 정보를 제공해 주지 않아 사후 관리 불가 및 중요정보에 대한 접근, 유출 위협 - ( 네트워크 통제) 업무수행 중 공개망에 접속하여 악성코드 감염, 취약점이 발생하여 시스템 파괴 또는 공개망을 통해 내부정보를 외부로 유출할 위협이 존재 - ( 반출 매체 통제) 직원출입시 노트북, USB 등에 대한 바이러스 점검 부 재시 악성코드 감염 등 위험 - ( 출력물 통제) 개인정보, 내부 네트워크 구성도 등 중요문서를 출력하여 유출할 위험 2.3 관리적 영역 관리적 접근영역의 보안위협은 아래와 같음
29 [ 표 3-5] 관리적 접근영역 보안위협 - ( 작업내역) 작업 중 불필요한 저장 또는 중요 정보 유출을 목적으로 작 업 수행의 결과물을 저장/ 보관함으로써 중요정보 유출 - ( 접근권한) 중요 정보 접근에 대한 관리가 이루어지지 않아 허가받지 않 은 정보에 접근을 시도하거나, 접근허가가 만료된 계정을 처리하지 않아 시스템에 접근을 시도하여 중요정보 유출 - ( 접근이력 및 작업내용에 대한 보안감사) 정보시스템 유지보수 및 관리시 접근이력 및 작업내용에 대한 보안감사 기록 부재로 보안사고 원인 추적불가 - ( 악성코드) USB, 악성코드 감염 등과 같은 사전 검열 작업을 수행하지 않아 외장하드 등을 사용하는 장비를 통해 악성코드가 내부 망에 침입 하여 중요정보를 유출하거나 내부 시스템에 치명적 오류를 발생 - ( 체계적 인력관리 계획) 체계적인 인력 관리 계획이 존재하지 않아 정보 시스템 불법접근, 한 빠른 파악이 불가능 - ( 인력배치) 정보유출을 시도하여도 인력의 이동 및 행동 등에 대 업무에 적합하지 않은 상주 유지보수 인력배치로 인한 내부 시스템의 취약점 발생 및 중요정보 유출 - ( 인력감사 ) 인력에 대한 감사를 실시하지 않아 중요 정보 유출의 가능성 존재 3. 외주용역 발주시 정보보호 고려사항 외주용역 업체와의 서비스계약 진행 시 외주 직원의 보안을 위한 정보보 호를 위해 아래 사항을 포함 하여야 함
30 [ 표 3-6] 용역 발주시 정보보호 고려사항 기관 정보보호에 대한 일반 정책 준수 정보자산에 대한 보호 데이터 및 소프트웨어를 포함하는 기관의 정보자산을 보호 - 정보자산 변경( 데이터 손실 또는 수정) 이 발생하는지를 판별 정보자산의 회수 및 파기를 확인할 수 있는 통제 사용 가능한 서비스에 대한 설명 법적 문제에 대한 책임 다음을 포함하는 접근통제 협의 사용자 인증( 사용자 ID 및 비밀 번호) 의 사용 및 통제 사용자 접근 및 권한에 대한 허가 절차 서비스의 사용이 허가된 개인들의 명단과 서비스 사용에 있어서의 권 리와 특권이 무엇인지를 규정하는 목록 협력업체 직원의 행위를 모니터링하고 권한을 해지할 수 있는 권리 방법, 절차에서의 사용자 및 관리자 교육 정보보호 사고 및 정보보호 침해에 대한 보고 및 통지, 조사에 대한 합의 - 협력업체 직원의 내부/ 외부 접속 업무상 필요에 의해 협력업체 직원의 기관 정보시스템에 대한 접속 및 외부로의 접속이 요구되는 경우 정보보호 담당자의 사전 승인 획득
31 제4장 외주용역 단계별 보안 강화 방안 이번 장에서는 외주용역 추진시 담당자 관점에서 단계별 정보보호 고려사항 및 대응지침을 제시함 이번 장에서는 용역 추진 담당자가 고려해야할 정보보호 고려사항 및 대 응지침을 제시하되, 크게 ➀입 찰 및 계 약 단계 완료 단계, 4 운영 유지보수 단계 등 4단계로 구분한다. ➁개발 및 구축 단계, ➂사업 제1절 입찰 및 계약 단계 외주용역 선정 및 계약 단계는 용역 환경에 대한 사업계획서 작성 단계에서부터 사전 보안 요구사항 도출 및 계약서에 보안대책을 반영 입 찰 및 계 약 단 계 에 서 는 외 주 용 역 사업의 보안요구사항을 정의하여 제안서 상에 반영하고, 실제 사업계획서 및 계약서상에 법적 기술적 보안 요구사항을 반영함 입찰시 보안 요구사항에 대한 자체적인 보안성 점검기준을 마련하고, 이를 바탕으로 입찰 평가시 사업계획서를 검토하고 필요한 보안대책을 마련해야 함 정보보호 활동 세부 내용 1. 보안 요구 기준 마련 외주용역 추진에 있어서 제도, 정책, 지침 등에 따라 요구되는 정보보호 요구사항, 수준 등 기준을 마련하 고 확인 정보보호 요구사항이 반영된 사업자를 선정하고 미흡 2. 보안을 고려한 계약 체결 한 경우에는 기술협상 과정에서 정보보호 요구사항을 명 확히 반영하여 계약 체결
32 1. 보안 요구 기준 마련 외주용역과 관련된 정보 및 시스템에 대한 보안위험을 파악하고, 적절한 통제 방안을 구상 [ 표 4-1] 외주용역 통제 기준 - 외부자가 접근 가능한 정보 및 정보처리 시설 식별, 접근 형태의 분석 - 접근 가능한 정보의 중요 가치, 사업에 미치는 영향 비 인가된 정보에 대한 접근제한을 위한 통제 방안 인가된 외부자의 식별 방법 및 승인 사항의 재확인 필요한 외부자의 접근 요구가 불가능할 경우 미치는 영향 침해사고 및 잠재적인 손실 발생시 외부자 접근 방안 - 외부자에게 제공하는 정보통신망 구성도, 세부 IP 현황, 개인정보 등 중요 정보 보안대책 - 용역 직원의 노트북 등 장비 반출 입에 대한 보안조치 - 업무과정에서 생산되는 산출물 및 최종 산출물 보안 관리 - 위탁서비스 운영시 발생하는 보안사항의 위반 또는 침해사고 조치 방안 입찰공고 이전에 투입이 예상되는 자료, 장비 가운데 보안이 요구되는 사 항에 대하여 관련법령 및 자체 규정이 정하는 바에 따라 등급을 분류하고 필요한 보안요구기준을 마련 정보시스템을 위탁운영시에는 해킹에 대비해 관련 보안시스템이 구비되어 있는지 여부와 단순 운영 이외 보안관리가 가능한지 여부를 심층 검토 입찰공고시에 용역사업 관련 기밀유지 의무 및 위반시 불이익 등의 내용 사 전 고지 제안서의 평가요소에 문서ㆍ시설ㆍ 장비 등 보안관리 계획에 대한 평가항 목 및 배점기준 마련
33 [ 표 4-2] 외주용역 보안관리 평가 기준 - 기밀보안 체계의 적정성 기밀이 요구되는 정보에 대한 관리계획, 보안책임자의 의무사항 등이 정의된 문서에 대한 평가 - 기밀보안 대책의 확신성 기밀이 요구되는 정보 관리시 비밀유지 의무조항, 책에 대한 평가 책임소재 등 보안 대 - 보안통제를 위한 제반사항 기술 기밀이 요구되는 정보를 관리하기 위한 통제시스템 등 용역업체의 제반 사항에 대한 평가 외주업체가 입찰제안서에 제시한 용역사업 전반에 대한 보안관리 계획이 타당한지를 검토하여 사업자 선정시 이를 반영 사업추진에 적용되는 법 제도, 정책, 지침의 정보보호 요구사항 분석 [ 표 4-3] 사업추진시 정보보호 고려사항 - 정보화사업 추진목표 및 사업 특성분석을 통해 정보보호 적용여부 결정 - 정보화사업 추진에 관련된 법령, 훈령, 예규, 고시, 지침, 조직의 정책 등 에서 정보보호 요구사항 도출 - 정보보호 요구사항 만족을 위한 정보보호 현황, 조직, 활용가능 자원 등 의 정보보호 수행능력 점검 2. 보안을 고려한 계약 체결 용역사업 자체 또는 투입되는 자료ㆍ장비 등에 대한 대외보안이 필요한 경우 보안의 범위 및 책임을 명확히 하기 위해 사업수행 계약서와 별도로 비밀유지계약서를 작성 비밀유지계약서에는 비밀정보의 범위, 보안 준수사항, 위반시 손해배상
34 책임, 지적재산권 문제, 자료의 반환 등이 포함되도록 명시 용역사업 참여인원은 용역업체 임의로 교체할 수 없도록 명시하고 신상 변동사항 발생시 발주업체에 즉시 보고 발주업체의 요구사항을 사업자에게 명확히 전달하기 위해 작성하는 과 업지시서에 자료 보안관리 방법, 인원ㆍ장비ㆍ시설 등에 대한 보안점검 ㆍ교육 등 보안관련 제반사항을 상세히 기술 용역업체가 사업에 대한 하도급 계약을 체결할 경우 본 사업계약 수준의 비밀유지 조항을 포함토록 조치 기관의 정보 또는 정보처리시설에 대하여 외주용역 직원의 접근을 허용 할 경우 기관의 보안 요구사항을 계약서 상에 명시 [ 표 4-4] 외주용역 시스템 접근시 보안요구사항 - 정보보호에 대한 절차 및 책임 명시 기관의 자산에 대한 접근 절차 기밀성, 무결성, 가용성에 대한 정보보호 방안 계약 종료 시점의 정보자산의 반납 및 폐기 외주용역 직원의 적격성 및 교육 훈련 보장 정보시스템의 설치 및 유지보수에 대한 책임 변경관리 절차 및 보고 체계 정보시스템 접근방법, 권한 승인 절차의 통제 계약 불이행 또는 침해사고 발생시 해결방안 - 발주업체의 용역업체에 대한 감사 권한 및 용역업체의 협조의무 명시 - 계약위반, 만기 전 해지 등에 따른 위약금 명시
35 제2절 개발 및 구축단계 외주용역 과정 중에 발생할 수 있는 정보 유출 등 보안 위협 요소에 대한 보안 요구사항 도출 및 보안대책을 반영 개발 및 구축단계에서는 내부 중요정보 유출 방지를 위한 기술적 조치와 외주인력의 정보유출 방지를 위한 인력관리 대책을 마련해야 함 정보보호 활동 세부 내용 1. 자료에 대한 보안 관리 내부자료 관리 계획을 수립하여 내부정보 유출 방지 2. 사무실장비에 대한 보안 관리 외주업체 사무실의 물리적 보안조치에 대해서 확인하고 외주인력이 반 출입하는 장비에 대한 보안관리 계획을 수립하고 이행 3. 내 외부망 접근 관리 외주인력의 내부시스템 접근에 대한 관리 및 외부망 접근 제어 4. 외주인력 신원조회 외주인력을 통한 정보유출을 막기 위해 보안서약서 작성 및 사전 신원조사 실시 1. 자료에 대한 보안관리 네트워크 구성도, IP 현황, 개인정보 등 용역업체에 제공하는 비공개자료는 자료 관리대장을 작성하여 인계자( 보안 책임자) 와 인수자( 용역업체 관리 책임자) 가 직접 서명한 후 인계ㆍ인수 [ 표 4-5] 자료관리대장 샘플 관리 번호 자 료 명 접수 일자 발행처 보관팀 배 포 폐 기 배포처 확인 내용 승인 비고 용역사업 관련자료 및 사업과정에서 생산된 모든 산출물은 발주업체의 파일서버에 저장하거나 보안책임자가 지정한 PC에 저장ㆍ관리
36 용역사업 관련자료는 인터넷 웹하드 등 인터넷 자료공유사이트 및 개인 메일함에 저장을 금지하고 전자우편을 이용해 자료전송이 필요한 경우 자체 전자우편을 이용, 첨부자료는 암호화 후 수 발신( 단, 대외비 이상의 비밀은 전자우편으로 수발신 금지) 발주업체가 제공한 사무실에서 사업을 수행할 경우 제공한 비공개자료는 매일 퇴근시 반납토록 하며 비밀문서를 제외한 일반문서는 용역업체에 제공된 사무실에 시건장치가 된 보관함이 있을 경우 이에 보관 가능 용역사업 수행으로 생산되는 산출물 및 기록은 보안책임자가 인가하지 않은 비인가자에게 제공ㆍ대여ㆍ열람을 금지 정보시스템은 사용자별, 업무별 접근권한을 설정 입 출력 및 수정사항, 관련자의 시스템 데이터 접근 내역 등에 대한 기 록 관리 2. 사무실ㆍ장비에 대한 보안관리 용역사업 수행 장소는 발주업체가 시건장치와 통제가 가능한 공간을 제 공하거나 협의를 통해 동일한 환경이 구축된 외부 사무실을 사용 용역업체 사무실 또는 용역업무를 수행하는 공간에 대한 보안점검을 정 기적으로 실시 발주업체 사무실에서 용역사업을 수행할 경우 용역 참여직원이 노트북 등 관련 장비를 반출 또는 반입시 악성코드 감염여부 및 자료 무단반출 여부를 확인 인가받지 않은 USB 등의 보조기억매체 사용을 금지하며 산출물 저장을 위해 보조기억매체가 필요한 경우 보안책임자의 관리하에 사용
37 [ 표 4-6] 용역업체 사무실 보안 점검항목 - 방재대책 및 외부로부터의 위해 방지대책 - 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치 - 출입문 보안장치 설치 및 주야간 감시대책 - 보조기억매체를 보관할 수 있는 용기 비치 - 보조기억매체에 대한 안전지출 및 긴급파기 계획 수립 - 관리책임자 및 자료 장비별 취급자 지정 운용 - 전산 자료별로 접근권한을 제한 - 산출물 등 각종 자료는 업무에 따라 입력 출력 열람 등으로 제한 - 각종 자료의 열람은 필요에 따라 기본항목 전항목 등 범위를 제한 3. 내외부망 접근 시 보안관리 용역사업 수행시 발주업체 전산망 이용이 필요한 경우 각 호의 사항을 준수 [ 표 4-7] 외주업체 전산망 접근시 보안요구사항 사업 참여인원에 대한 사용자 계정(ID) 은 하나의 그룹으로 등록하고 계정 별로 정보시스템 접근권한을 부여 계정별로 부여된 접속권한은 불필요시 곧바로 권한을 해지하거나 계정을 폐기 참여인원에게 부여한 패스워드는 보안책임자가 별도로 기록 관리하고 수시로 해당 계정에 접속하여 저장된 자료와 작업이력 확인 보안책임자는 서버 및 장비 운영자로 하여금 내부서버 및 네트워크 장비에 대한 접근기록을 매일 확인하여 이상유무 보고 용역업체에서 사용하는 노트북PC 는 인터넷 연결을 금지, 다만 사업 수행상 필요한 경우에는 용역업체의 관리책임자가 직접 요청하고 보안책임자는 필요성이 인정될 경우 접속할 노트북을 지정하고 필요한 사이트에만 접속 토록 방화벽 등을 통해 통제 후 사용
38 [ 표 4-8] 원격접속 관리 대장 샘플 사용 자명 서버명 원격접속 계정(ID) 접속시 관리자 비밀번호 접속주소 접속사유 접속시간 조치사항 확인 [ 부록 4-3] 외주인력 ID 신청서 참조 발주업체 및 용역업체 전산망에서 P2P, 웹하드 등 인터넷 자료공유 사이트 로의 접속을 방화벽 등을 이용해 원천 차단 4. 외주인력 신원확인 용역사업 참여인원에 대해서는 각 개인의 친필 서명이 들어간 보안서약서를 징구 [ 부록 4-4] 영업비밀보호 서약서 참조 용역사업 수행전 참여인원에 대해 법적 또는 발주업체 규정에 의한 비밀 유지 의무 준수 및 위반시 처벌내용 등에 대한 보안교육 실시 제3절 사업 완료 단계 외주용역 사업 완료 시 발생 하는 보안 위협 요소에 대한 보안 요구사항 도출 및 보안대책을 반영 사업 완료 시 최종결과물 및 사업 중 사용된 장비, 자료의 외부 유출 을 방지하기 위하여 자료의 수거 및 처리 방법에 대한 대책을 마련함
39 정보보호 활동 세부 내용 1. 사업 완료 시 보안 대책 사업 완료 후 최종 산출물 중 보안이 요구되는 자료의 유 출방지를 위해 보호 조치를 실시 1. 사업 완료 시 보안 대책 사업완료 후 생산되는 최종 산출물 중 대외보안이 요구되는 자료는 대외 비로 작성ㆍ관리하고 불필요한 자료는 삭제 및 세단 후 폐기 용역업체에 제공한 제반자료, 장비, 서류와 중간ㆍ최종 산출물 등 용역과 관련된 제반자료는 전량 회수하고 업체에 복사본 등 별도보관을 금지 노트북ㆍ보조기억매체 등 전자적으로 기록된 자료는 정보시스템 저장매체 불용처리 지침 에 따라 보안조치 [ 표 4-9] 정보시스템 저장매체 불용처리 지침 저장매체 저장자료 공개자료 민감자료 ( 개인정보 등) 비밀자료 ( 대외비 포함) 플로피디스크 가 가 가 광디스크 가 가 가 자기 테이프 가, 나 중 택일 가, 나 중 택일 가, 다 중 택일 반도체메모리 (EEPROM 등)) 가, 다 중 택일 가, 다 중 택일 가, 다 중 택일 완전포맷이 되지 않는 저장매체는 가방법 사용 하드디스크 라 가, 나, 다 가, 나
40 가 완전파괴( 소각. 파쇄. 용해) 비밀이 저장된 플로피디스켓. 0.25mm 이하가 되도록 조치 광디스크 파쇄시에는 파쇄조각의 크기가 나 전용 소자장비 이용 저장자료 삭제 소자장비는 반드시 저장매체의 자기력보다 큰 자기력 보유 다 완전포맷 3회 수행 저장매체 전체를 난수 로 각각 중복 저장하는 방식으로 삭제 라 완전포맷 1회 수행 저장매체 전체를 난수 로 중복 저장하는 방식으로 삭제 용역사업 관련자료 회수 및 삭제조치 후 업체에게 복사본 등 용역사업관 련 자료를 보유하고 있지 않다는 대표 명의 확약서 징구 [ 부록4-5] 투입 종료 확인서 참조 제4절 유지 보수 단계 외주용역을 통한 유지 보수 단계에서 발생할 수 있는 위협 요소에 대한 보안 요구사항 도출 및 보안대책을 반영 정보시스템 운영위탁 및 유지보수 단계에서 발생할 수 있는 시스템 불 법 접근 등에 대한 대책마련과 접근방법에 대한 대책을 마련함 1. 정보보호 활동 정보시스템 위탁 운영시 보안 대책 세부 내용 정보시스템을 위탁운영 시 발생할 수 있는 사고에 대한 보호 조치를 실시
41 1. 정보시스템 위탁 운영 시 보안 대책 위탁업체에게 정보시스템을 위탁하여 운영할 때에 위탁업체에게 다음 사항이 포함된 정보시스템 위탁운영계획서를 제출하여 받아 사전 검토 [ 표 4-10] 정보시스템 위탁운영계획서 포함사항 - 위탁개요( 위탁내용, 위탁업체 비용 기간, 운영인력 등) - 정보통신망 구성현황 및 보안대책( 보안체계의 세부내역 포함) - 위탁시스템의 개인정보 보유현황 및 보호대책 - 운영효율 향상 및 서비스 개선 방안( 기반시스템 공동활용, 약서 등) 서비스수준협 - 위탁운영비 세부산출 내역 - 위탁시스템에 대한 향후 추진계획( 시스템 고도화 등) - 기타 보안 대책 위탁업체가 위탁 받아 운영하고 있는 정보시스템의 보안성 점검을 위한 다음 사항의 시행을 정기적 감사 실시 [ 표 4-11] 위탁 정보시스템 보안성점검 항목 - 위탁시스템에 대한 정보통신 보안 및 개인정보보호 관리 실태 - 기반시스템 공동 활용현황, 및 서비스 개선상태 서비스수준협약서 준수사항 등 효율적 운영 - - 위탁비용의 적절성 기타 위탁계약의 이행사항 등 위탁에 따른 전반적인 사항
42 제 5 장 외주인력 통제 강화 대책 1. 외주인력 통제 강화 대책 이번 장에서는 외주인력 통제 강화를 위한 물리적, 관리적, 기술적 대책을 제시함 이번 장에서는 외주인력으로 인한 내부정보 유출 등 보안위협을 통제하기 위 해 고려해야할 정보보호 실행지침을 제시하되, 크게 ➀ 물 리 적 대 책, 안관리, 3관리적 대책, 4기술적 대책 등 4단계로 구분한다. ➁인적보 제1절 물리적 대책 외주인력이 중요정보가 보관된 장소에 대한 접근 통제와 같은 물리적 보안 대책 정보보호 활동 1. 물리적 접근통제 세부 내용 외주인력의 정보시스템, 정보보관소 접근 통제 필요시 접근 유형 및 접근 사유 파악 제한구역, 접견구역, 장비출하구역 등을 구분하여 보안조치 와 절차 수립 2. 출입이력 관리 출입이력 관리대장 사용 접근통제의 방법과 범위 등을 문서화 3. 이동매체 반 출입통제 반 출입되는 이동매체에 대한 파악 이동매체 반 출입 과정의 문서화 반 출입되는 이동매체의 보안검사
43 1. 물리적 접근 통제 외주인력이 중요정보 보관장소에 접근시 접근통제 등 물리적 보호대책 적용 외주인력의 업무에 불필요한 곳에 접근하거나, 정보시스템이 운영되 고 있는 곳에 침입하여 중요 정보 유출 외주인력이 정보유출을 목적으로 허가받지 않은 장소에 접근하거나, 중요한 시스템이 운영되고 있는 장소 혹은 정보시스템이 운영되고 있 는 장소에 침입하여 중요정보 유출 가능성이 존재 o 실행 지침 - 보호 필요 시설 및 장비에 대한 권한 없는 자의 물리적 접근 및 각종 물 리적, 환경적 재난으로부터 보호하기 위한 보호구역 정의 및 이에 따른 보안대책 수립 - 제한구역, 접견구역, 장비출하구역 등을 별도로 지정하여 각각에 적합한 보안 조치와 절차 수립 [ 표 5-1] 접근통제 절차에 포함되는 사항 - 물리적 보호구역의 중요도에 따라 접근통제 정도의 명시 - 접근통제 방법 명시( 카드 센서 장치, IC 카드, 광카드, 출입관리장치, 암호 입력장치, 생체인식장치 등) - 정보시스템 및 중요시설에 대한 물리적 접근통제 방법 기록 - 외주인력의 정보시스템 혹은 정보 보관소에 대한 접근을 통제하고 업 무상 불가피한 접근 허용 시 접근 유형 및 접근 사유를 파악하고 위험 요소를 고려하여 출입을 허가
44 [ 표 5-2] 외주인력의 보안구역 출입시 고려사항 - - 보안구역 출입시 책임자의 사전승인 내부 직원이 동행하여 출입 및 작업내용을 직접 관리감독 - 출입내역( 출입목적, 출입자, 입 퇴실 시각, 작업내용 등) 의 기록 - 출입내역 기록의 책임자에 의한 정기적 또는 비정기적 점검 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 보호구역 정의 및 이에 따른 보안대책 수립 및 이행 O 제한구역, 접견구역, 장비출하구역 등을 별도 지정 외주인력의 정보시스템 혹은 정보 보관소에 대한 접근 통제 O O 2. 출입이력 관리 외주인력의 출입통제지역 출입시 이력관리와 같은 물리적 보호대책 적용 외주인력의 출입통제 내역을 관리하지 않아 중요정보에 불법적인 접근 위협 외주인력이 중요정보 및 정보시스템에 접근하는 내역을 관리하지 않아 중요정보가 유출되거나 중요시스템에 피해가 발생했을 때, 책임에 대한 배상을 요구할 수 없음
45 o 실행 지침 - 외주인력이 업무수행을 목적으로 보안구역에 출입할 때 출입내역 관리 대장과 같은 출입내역을 확인한 수 있는 대책 수립 - 접근통제가 요구되는 업무를 정의하고, 이 업무에 대한 접근통제의 방법 과 범위 등을 문서화 - 외부인 출입 시 출입자, 출입시간, 출입목적에 대한 내용을 기록하고 관리 - 출입자 기록의 재검토( 시설 보안등급에 따른 출입자 권한, 출입 목적, 출입 시간의 적정성) [ 표 5-3] 출입이력 관리방안 [ 표 5-4] 출입이력 관리대장 연월일 출입 시간 용무 출입자 입회자 소속 성명 직급 성명 비고 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 접근통제 요구 업무의 정의 및 접근통제 방법과 범위 문서화 O 출입자, 출입시간, 출입목적의 기록 관리 및 재검토 O O 3. 이동매체 반출입 통제 외주인력이 반출입하는 이동매체에 대한 물리적 보호대책 적용 외주인력이 반입하는 이동매체의 악성코드 감염 및 중요정보를 이 동매체에 저장하여 반출하여 중요정보의 유출 위협 외주인력이 반입하는 이동매체에 악성코드가 감염되어 내부 시스템 에 피해를 입히거나, 경우 중요정보가 유출되는 위협이 존재 내부 중요정보를 이동매체에 저장하여 반출하는
46 o 실행 지침 - 내부에서 사용중인 이동매체의 관리 방안 마련 [ 표 5-5] 내부 사용 이동매체의 관리 방안 - ( 관리자 지정) 보조기억매체 관리책임자 및 정보보안담당관 지정 관리책임자 : 관리대장 등록현황 유지, 수량 및 보관상태 점검, 반출입 통제, 사용 감독 등 정보보안담당관 : 관리기관의 보조기억매체 등록 현황 파악, 보조기억 매체 라벨 작성, 단반출 인지시 경위조사 조치 미등록 매체에 업무자료 보관 및 비밀보관 매체의 무 - ( 매체 도입절차) 보조기억매체 도입시 국정원 보안적합성 검증을 거친 제품을 도입 검증기준 : 사용자 식별 인증, 저장데이터 암 복호화, 임의 복제 방지, 분 실에 대비한 삭제 기능 - ( 매체 관리) 보조기억매체는 관리대장에 등재후 사용 보조기억매체는 일반용, 비밀용( 대외비용), 공인인증서 보관용으로 구분 하여 사용 관리 - ( 사용제한) 보조기억매체는 업무목적 이외 사적인 용도로 임의 사용을 제한 하고 주기적인 점검 실시 - ( 불용처리 및 재사용) 불용처리시 물리적 파기후 관리대장에 기록 관리 하고, 용도를 전환하여 재사용시 파일 삭제, 포맷 및 파일복원 방지대책 강구 - ( 분실시 대처 방안) 관리책임자 및 정보보안담당관에게 즉시 통지하고, 경위 조사를 통해 재발방지 대책 강구 - ( 고장 훼손, 오인 삭제시 대처방안) 불용처리를 원칙으로 하나, 자료 필요시 전문업체 의뢰 가능 전문업체 의뢰시 보안서약서 징구 등 보안대책 강구 복구
47 [ 표 5-6] USB 에 의한 웜 바이러스 감염대책 - ( 접속포트 봉인) 저장 매체 사용이 필요없는 경우 매체 접속 포트를 봉 인하여 바이러스 등 악성코드의 원천 차단 - ( 백신프로그램 사용) 저장매체 사용시 최신 패치된 백신 프로그램으로 웜 바이러스 유무를 검사 - ( 악성코드 자동실행 차단) USB 저장매체에서 악성코드 자동 실행 차단 용 보안프로그램 설치 사용 국가정보원에서 'USB Guard' 배포('07.12) - 외주 인력이 반출입하는 이동매체 제한 및 관리를 위한 절차 수립 외주 인력이 반출입하는 이동매체의 보안 검사 수행 이동매체의 반 출입이 요구되는 업무가 정의되어 있고, 반출입의 방법과 범위 등을 문서화 이 업무에 대한 [ 표 5-7] USB 등 이동매체 반출입 절차 업무용 물품 반입 시 개인용 물품 반입 시 사내 물품 반츨 시
48 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 반 출입 이동매체 관리 O O 외주 인력 반 출입 이동매체 제한 및 관리절차 수립 O 제2절 인적보안관리 외주인력 통제를 위한 외주인력 신원확인 등과 같은 인적보안관리 정보보호 활동 세부 내용 1. 상주 유지보수 인력 신원확인 외주인력의 사전 신원확인 보안서약서 작성 보안의식 강화를 위한 보안교육 실시 2. 현장 동행 보안구역 출입관리 대장 외부인이 출입제한 구역에 출입할 경우 보안관리자와 동행
49 1. 상주유지보수 인력 신원확인 정보시스템의 안정성과 보안성이 유지될 수 있도록 하기 위한 상주유지보수 인력의 신원확인과 같은 인적보안관리 대책 적용 업무에 적합하지 않은 상주유지보수 인력배치로 인한 내부시스템의 취 약점 발생 및 중요정보 유출 외주인력 중 업무에 적합하지 않은 인력이 상주유지보수 인력으로 배치되어 내부시스템에 취약점을 발생시키거나 내부 중요정보 유출 위협 존재 o 실행 지침 - 상시유지보수 인력으로 배치되는 인력에 대한 사전 신원확인을 시행하 여 업무를 수행하는데 적합한 인력인지를 사전에 확인 - 상시유지인력의 보안인식 강화와 내부 중요정보에 대한 보호를 위해 보안서약서 작성 및 보안교육 실시 [ 표 5-8] 보안서약서 주요내용 - 정보보호 관리유지를 위한 협조 - 정보보호규정 및 세칙준수 - 비밀분류기준에 의거한 연구관련 자료관리/ 보관 - 비밀자료관리 및 유출금지 - 전산저장매체 관리 - 개인전산저장매체 반입금지 - 정보보호 및 비밀유지에 관한 제반사항 서약
50 보 안 서 약 서 ( 이하 ' 회사') 의 업무를 수행하는 협력회사, 상주파견 업체, 기타 외부업체 직원들은 본 서약서가 근무기간뿐 아니라 파견해제 후에도 일정기간 적용될 수 있음을 인식하고 숙독하신 후 서 명하기 바랍니다. [ 표 5-9] 보안서약서 샘플 1. 나는 회사로부터 취득한 모든 정보를 회사 관련 업무에 한해 이용할 것이며, 정보를 회사 내 보관치 않겠다. 타기업의 보호대상 2. 나는 회사로부터 제공받은 정보자산( 서류, 사진, 전자파일, 저장매체, 전산장비 등) 을 무단변조, 복 사, 훼손, 분실 등으로부터 안전하게 관리하겠다. 3. 나는 상대가 누구이건 간에( 회사직원, 고객 혹은 계약직 사원 등) 알 필요가 없는 자에게 회사 혹 은 제3 자의 소유정보를 누설하지 않겠다. 4. 나는 명백히 허가 받지 않은 정보나 시설에 접근하지 않으며, 회사관련 업무를 수행할 때만 사내 데이터 처리시설을 이용하고, 이 시설 내에 사적 정보를 보관치 않겠다. 5. 나는 회사에서 승인 받지 않은 프로그램, 정보저장 매체(USB, Zip Drive, CD-ROM, 외장 HDD 등) 을 회사 내에서 사용치 않겠다. 6.나는 회사소유 정보자산을 외부로 발신 시 회사의 통제절차를 준수할 것이며, 회사가 정보 자산을 보 호하기 위해 회사통신망을 통해 수 발신되는 전자문서를 점검할 수 있음을 알고 있다. 7.나는 업무와 관련한 문서의 생성, 사용, 폐기시 문서권한 관리 규칙에 의거 규정을 준수하겠다 8.나는 나에게 할당된 사용자 9. 나는 회사의 정보보호 정책 및 지침, 절차를 준수하겠다. ID, 패스워드, 출입증을 타인과 공동사용 또는 누설치 않겠다. 10. 나는 회사에서 나의 수행 업무와 관련되어 감사를 시행하는 경우 이에 적극 협조하겠다. 11. 나는 퇴직( 프로젝트 종료, 파견 해제) 시 회사에서 제공받은 회사소유 모든 정보자산을 반드시 반 납할 것이며, 이후에도 회사의 모든 영업비밀은 물론이고 기타 누설됨으로 인하여 회사에 손해가 될 수 있는 각종 정보에 대하여는 이를 일절 누설치 않겠다. 상기사항을 숙지하고 이를 성실히 준수할 것을 동의하며 서약서의 보안사항을 위반하였을 경우에는 부정경쟁방지 및 영업비밀보호에 관한 법률 정보통신망이용촉진 및 정보보호 등에 관한 법률 등 관련법령에 의한 민/ 형사상의 책임이외에도, 회사의 사규나 관련 규정에 따른 징계조치 등 어떠한 불 이익도 감수할 것이며 회사에 끼친 손해에 대해 지체 없이 변상/ 복구할 것을 서약합니다. 20 년 월 일 관 리 부 서 : 소 속 : 부 서 장 : ( 서명) 주 민 번 호 : 이 름 : ( 서명)
51 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 상시유지보수 인력에 대한 사전 신원조회를 시행 O O 보안서약서 작성 O O 보안의식 강화를 위한 보안교육 실시 O 2. 현장 동행 외주인력의 이동 및 행동에 대한 인적 보호대책 적용 외주인력의 업무에 불필요한 곳에 접근하거나, 정보시스템이 운영되 고 있는 곳에 침입하여 중요 정보를 유출 외주인력이 정보유출을 목적으로 허가받지 않은 장소에 접근하거나, 중요한 시스템이 운영되고 있는 장소 혹은 정보시스템이 운영되고 있는 장소에 침입하여 중요정보를 유출 o 실행 지침 - 유지보수를 위한 외주업체 직원의 출입 또는 기타 부득이한 사유로 출 입이 필요할 경우 내부 인가자의 동행 하에 출입 - 출입자는 보안구역 출입관리 대장에 신분, 목적 및 입실/ 퇴실 시간을 기록
52 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 인가자의 동행 하에 출입 O O 출입관리 대장에 신분, 목적 및 입실/ 퇴실 시간을 기록 O O 제3절 관리적 대책 정보시스템과 연관되어 있는 인원, 조직, 기술상에 대한 전반적이고 총 체적인 보안대책 정보보호 활동 세부 내용 1. 작업내역 관리 외주인력의 내부시스템 접근 기록 상시 감독 저장매체 사용 방지를 위한 조치 실시 2. 시스템 관리 접근권한 시스템 접근 라벨 정의 및 접근권한 개별 부여 3. 정보 시스템 관리 PC 등과 같은 장비의 반입 전 초기화 / 점검 실시 보안SW 설치 외주인력에 대한 보안정책 수립 및 이행 4. 조직체계 정비 및 검사 용역업체의 보안 관리 계획 평가 입찰공고 이전에 투입 예상 자료장비의 보안 요구기준 마련
53 1. 작업내역 관리 외주인력의 작업 결과물과 같은 작업내역 관리 외주인력의 작업 중 불필요한 저장 등을 통한 중요정보 유출 위협 외주인력이 중요정보 유출을 목적으로 작업 수행의 결과물을 저장/ 보관함으로써 중요정보가 외부로 유출 될 가능성이 존재 o 실행 지침 - 외주인력이 외주업무의 목적을 달성하기 위해 내부시스템 접근을 득한 경우 외주인력의 내부시스템 접근기록을 상시 감독하여 불법적인 접근 을 방지 - 외주인력이 인허가 받지 않은 저장매체를 이용하여 내부정보를 외부 로 유출하는 것을 방지하기 위해 저장매체 반입을 제한하고, 장치를 봉인 매체기록 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 외주인력의 내부시스템 접근 기록 상시 감독 O O 저장매체 반입 제한 O O 매체기록장치를 봉인 O O
54 2. 시스템 접근권한 관리 외주인력의 시스템 접근권한 관리와 같은 관리적 보호대책 적용 외주인력이 시스템에 접근권한이 없는 정보에 접근 및 중요정보 유 출 위협 외주인력이 중요 정보 유출을 목적으로 허가받지 않은 정보에 접근 을 시도하거나, 접근에 성공하여 중요정보를 유출 o 실행 지침 - 정보시스템에 접근할 수 있는 레벨을 사전에 설정하고 정보시스템 접근 목적에 따라서 접근권한을 개별 부여 [ 표 5-10] 정보시스템 접근 레벨 - 단순방문 : 담당자 면담 등 단순 방문으로 정보시스템 반입을 사전 차단 - 네트워크 접근 필요 : 단기간의 업무수행을 위해 네트워크 접속이 필요한 경우로써 보안이 되어있는 내부 장비 및 장소를 통해 업무 수행 유도 - 장기간 상주 : 내부 직원과 동일한 보안 조건으로 보안 정책 적용, 업무완료 후 자료 유출 위험이 존재하므로 자료 삭제 절차 수행
55 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 정보시스템 접근목적에 따른 접근레벨 정의 O O 3. 정보시스템 관리 외주인력이 사용하는 정보 시스템에 악성코드 감염 예방 등 관리적 보호대책 적용 외주인력이 악성코드에 감염된 장비 사용으로 인해 중요정보 유출 외주인력이 사용하는 장비에 대해서 악성코드 감염 등과 같은 사전 검열 작업을 수행하지 않아 악성코드를 통해 내부 망에 침입하여 중요 정보를 유출하거나 내부 시스템에 치명적 오류를 발생 o 실행 지침 - (정보 시스템 통제) PC 등과 같은 장비의 반입 전 초기화( 포맷) 를 원칙 으로 하나, 초기화가 어려운 경우 외주인력은 반드시 PC점검 실시 후 사용 - 외주인력이 사용하는 PC에 사내표준 보안SW를 설치하며 외주인력 임의 로 삭제 및 기능 종료 금지 - 백신 프로그램은 주기적으로 업데이트하여 최신 버전을 유지하며, 정보 시스템 가동 시 백신 프로그램이 자동으로 실행 - 외주인력에 대한 보안정책을 수립하고 업무에 의해 보안정책 변경이 필 요한 경우 이를 보안담당자가 확인 [ 표 5-11] PC 보안점검 주요내용
56 [ 부록 5-2] PC 보안점검표 참조 [ 부록 5-3] 보안 정책변경 요청서 참조 - 보안교육 실시 [ 표 5-12] 외주용역 교육컨텐츠 - PC 등과 같은 장비의 보안 정책을 설명하고 주지시켜 안전한 장비 사용 도모 - 비인가 PC 사용 금지 - 보안 설정 준수 - 비인가 소프트웨어 설치 금지 - 비인가 사이트 접속 금지 - 외부 반출입 절차 - 공유폴더 설정 금지 등 공유정책 준수 - 반출시 노트북 자료 완전 삭제( 포맷 등) o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 정보 시스템 통제 O O 보안 교육 O
57 4. 조직체계 정비 및 감사 외주인력에 대한 관리와 감사를 통한 관리적 보호대책 적용 외주인력에 대한 감사를 실시하지 않아 중요정보 유출의 가능성 존재 외주인력에 대한 체계적인 관리 계획이 존재하지 않아 외주인력 의 정보시스템 불법접근, 정보유출을 시도하여도 빠른 파악이 불가능 o 실행 지침 - 보안 관리 계획 마련 [ 표 5-13] 보안관리 계획 - 제안서의 평가요소에 문서ㆍ시설ㆍ장비 등 보안관리계획에 대한 평가항 목 및 배점기준 마련하고 제안요청서 작성 시 용역( 아웃소싱) 업체에 프 로젝트 과정에 대한 보안 관리 계획을 요구 - 프로젝트 보안관리 계획은 계약서 상에 명시되거나 첨부 - 보안 요구 기준 마련 - 입찰공고 이전에 투입이 예상되는 자료, 장비 가운데 보안이 요구되는 정보에 대하여 적정 보호등급으로 분류하여 보안요구기준 마련 - 웹호스팅 등 정보시스템을 위탁운영 시에는 해킹에 대비해 웹방화벽 등 관련 보안시스템이 구비되어 있는지 여부와 단순 운영 이외 보안관리가 가능한지 여부를 검토 [ 표 5-14] 보안요구 기준 - 내부시스템 이용시간, 작업지역을 제한하여 접근통제를 실시 - 용역( 아웃소싱) 업체가 제시하는 자체 통제방법에 대하여 소속업체는 이를 평가하고 채택여부 등을 결정하며 필요시 추가적인 통제방안을 요구
58 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 보안관리 계획 수립 O 보안 요구기준 마련 O 제4절 기술적 대책 대책 외주인력 통제를 위한 접근 통제와 저장 매체 통제 등의 기술적인 정보보호 활동 세부 내용 내부시스템에 접근하여 수행한 작업 등을 확인할 수 있는 접근이 1. 접근관리 력 관리시스템 운영 내부 시스템에 접근 시 두 가지 이상의 방법으로 사용자 인증 내부 시스템에 접근하는 기기에 대해 사전 점검 2. 출력물 유출방지 비공개 자료 출력 시 출력자, 출력일시 등을 기록 외부망과 물리적 분리 3. 네트워크 제한 내부 운영 시스템 별 논리적 망 분리 운영 네트워크를 통한 통신 시 암호화 적용 4. 반출입 매체관리 반출입매체의 악성코드 검사 외주업무의 특성에 따라 반출입매체의 제한/ 점검
59 1. 접근관리 접근이력 관리를 통한 외주인력이 불법적인 접근여부를 감시 외주인력이 허가받지 않은 시스템 혹은 접근허가가 만료된 이후에 시스템에 접근하여 중요정보 유출 위협 외주인력이 허가받지 않은 방법 혹은 기기로 내부시스템에 접근하 여 중요정보 유출 위협 o 실행 지침 - 접근이력 관리시스템 운영 - 내부시스템에 접근하여 수행한 작업 등을 확인할 수 있는 접근이력 관리 시스템의 감사기록은 다음항목을 포함 - 사용자 ID - 핵심 이벤트 일자, 시간, 기타 상세 정보 - 시스템 접근 시고의 성공과 거부 기록 - 데이터 및 기타 자원 접근 시도의 성공과 거부 기록 - 시스템 구성의 변경 - 권한의 사용 - 시스템 유틸리티와 어플리케이션의 사용 - 접근된 파일의 접근 유형 - 네트워크 주소와 프로토콜 - 접근이력 관리시스템에 의해 제기된 경고 - 바이러스 탐지 시스템 및 침입탐지시스템과 같은 보호시스템의 활성화 및 비활성화 [ 표 5-15] 접근이력 관리시스템 기능
60 - 내부 시스템에 접근하는 사용자에 대한 인증을 위해 두 가지 이상의 방법으로 사용자 인증을 수행 - 시스템 접속기기 검증 - 내부 시스템에 무분별한 접근을 방지하기 위하여 시스템 접속기기에 대 한 검증을 수행 - 외부에서 내부 시스템에 접근하는 경우 접근목적에 따라서 내부 감독자 의 허가를 득하고, 접근하는 IP를 통제하는 등과 같은 시스템 접속기기 에 대한 검증을 수행 [ 표 5-16] 시스템 접속기기 검증 내역 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 접근이력 관리시스템 운영 O O 사용자 인증 관리 O 시스템 접속기기 검증
61 2. 출력물 유출 방지 중요정보가 인쇄된 출력물을 외주인력이 불법적으로 반출하는 것을 방지하기 위한 보호대책 적용 외주인력이 중요정보가 인쇄된 출력물을 외부로 유출 외주인력이 내부 중요정보가 인쇄되어 있는 출력물을 외부로 유출 시켰을 때, 워터마크 등과 같은 유출방지 시스템이 미적용되어 유출경 로 파악 및 사후대책이 불가능 o 실행 지침 - 외주인력에게 제공한 출력물 관리 - 비공개자료 출력 시에는 출력물에 출력자, 출력일시 등을 표시 [ 표 5-17] 출력물 관리 대장 번호 자료명 제공형태 Hard Soft 제공자 ( 부서/ 담당자) 수령자 수령 일자 반납 기한 반납 일자 용도 비고 - 외주인력의 데이터 출력물에 대한 자동화 된 시스템에 의한 로그 및 감사 기능 구축 o 필수/ 선택사항 세부 지침 ( : 필수사항, : 선택사항 ) 용역유형 상주 비상주 외주인력에게 제공한 출력물 관리 O O
62 3. 네트워크 제한 외주인력의 네트워크 접근 제한 등과 같은 보안 대책 외주인력의 업무수행 중 불필요한 네트워크 접속으로 인한 악성코 드 감염 및 중요정보 외부 유출 등의 위협 외주인력이 업무수행 중 공개망에 접속하여 악성코드에 감염되어 내부 시스템의 취약점 발생 및 악의적 목적으로 내부정보를 공개망을 통해 외부에 유출되는 위협이 존재 o 실행 지침 - 물리적 망 분리 운용 네트워크관리자는 비밀을 취급하는 네트워크를 외부망과 분리 운용 내부망과 외부망 연동 시 효율적인 보안관리를 위하여 연결지점을 최 소화 운용 - 논리적 망 분리 운용 DMZ, 인터넷서비스망, 업무전산망, PC 영역 등의 영역으로 분리 PC, 서버, 데이터 등 정보시스템을 물리적으로 분리된 인터넷 서비스 망과 업무전산망 영역으로 분리 홈페이지 및 공개 서버의 경우는 내부 네트워크와 분리하여 구성 DMZ에 외주인력 등을 활용할 경우에는 내부 네트워크와 분리된 네트워크로 구성 - 데이터 통신 보안 네트워크상에서 이루어지는 통신을 안전하고 신뢰할 수 있도록 하기
63 위하여 통신 내용에 대한 암호화 적용 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 물리적 망 분리 운용 O 논리적 망 분리 운용 O 데이터 통신 보안 O 4. 반출입 매체관리 외주인력이 반출입하는 장비 및 매체에 대한 보호대책 적용 외주인력이 반출입하는 매체에 악성코드 감염되어 내부시스템에 오류 발생 및 취약점 발생 위협 외주인력이 내부 정보를 허가 없이 저장매체에 저장하여 외부로 반출 o 실행 지침 - 반출입매체의 악성코드 검사 외주인력이 내부에 반출입하는 매체의 악성코드 감염 여부를 검사 - 반출입매체의 통제
64 외주 인력의 업무에 불필요한 매체에 대한 압수 보관 외주 인력이 반출하는 저장매체의 내부에 저장된 자료 검사 - 이동매체 제한 및 관리를 위한 자동화 된 시스템 도구의 도입 o 필수/ 선택사항 ( : 필수사항, : 선택사항 ) 세부 지침 용역유형 상주 비상주 반출 입매체의 악성코드 검사 O O 반출 입매체의 통제 O O 이동매체 제한 관리를 위한 자동화 된 시스템 도입 O O
65 부 록 외주용역 유형별 보호대책( 필수 :, 옵션 :, 해 당사항 없음 : ) 인적 물리적 대책 보안 관리적 대책 기술적 대책 외부용역의 유형 접 근 통 제 출 입 이 력 관 리 이 동 매 체 통 제 신 원 조 회 관리 현 장 동 행 작 업 내 역 관 리 접 근 권 한 관 리 정 보 시 스 템 관 리 조 직 체 계 관 리 접 근 관 리 출 력 물 관 리 네 트 워 크 제 한 매 체 관 리 1 운영 용역 2 유지 보수 용역 3 SI 용역 4 데이터 처리 용역 5 오프라인 지원
66 외주용역 정보보호 관리지침( 샘플) 외주용역 정보보호관리지침( 샘플)
67 제1장 총 칙 제1 조( 목적) 이 지침은 OOOO 정보자산을 용역에 의해 개발 및 관리 운영할 경우 정보보호에 필요한 체계적 지침 및 표준을 제시하는 것을 목적으로 한다. 제2 조( 적용범위) 1이 지침은 OOOO 의 용역( 아웃소싱) 관리 및 보안관리 업무와 관련된 업무종사자에 적용함을 원칙으로 하며, OOOO와 계약관계에 있는 업체 및 기타 업무상 조정 통제를 받는 단체의 임직원에게도 적용할 수 있다. 2이 지침에서 정하는 용역( 아웃소싱) 의 범위는 정보시스템 개 발 및 컨설팅 및 운영 용역( 아웃소싱) 에 적용한다. 제2장 프로젝트 보안관리 제3 조( 프로젝트관리자의 역할 및 권한) 1프로젝트관리자의 역할 은 다음 각호와 같다. 1. 프로젝트의 기본사항 파악 및 정의 2. 프로젝트 관리에 대한 계획 수립 3. 업체선정을 위한 제안요청서 발송 및 제안서 접수 4. 단계별 점검항목 선정 5. 일정 및 산출물 관리 6. 인원관리 7. 프로젝트계획서에 대한 변경 및 통제작업 2프로젝트관리자의 권한은 다음 각호와 같다
68 1. 프로젝트 구성원 선임 2. 용역( 아웃소싱) 업체에서 제출한 프로젝트계획서 검토 및 조정 3. 프로젝트에 대한 필요사항 자료요청 제4 조( 제안요청 및 계약) 1 제안서의 평가요소에 문서ㆍ시설ㆍ장 비 등 보안관리계획에 대한 평가항목 및 배점기준 마련하고 제 안요청서 작성시 용역( 아웃소싱) 업체에 프로젝트 과정에 대한 보안관리계획을 요구하여야 한다. 2용역( 아웃소싱) 업체에서 제출한 제안서의 보안관리계획이 타 당한지를 검토하여 사업자 선정시 이를 반영하고 필요시 추가 적인 방안을 요구하여야 한다. 3프로젝트 보안관리계획은 계약서 상에 명시되거나 첨부되어 야 한다. 4입찰공고 이전에 투입이 예상되는 자료, 장비 가운데 보안이 요구되는 정보에 대하여 적정 보호등급으로 분류하여 보안요구 기준을 마련해야 한다. 5입찰공고시에 프로젝트 관련 기밀유지 의무 및 위반시 불이 익 등의 내용을 사전에 고지하여야 한다. 6정보시스템을 위탁운영시에는 해킹에 대비해 관련 보안시스 템이 구비되어 있는지 여부와 단순 운영 이외 보안관리가 가능 한지 여부를 검토해야 한다. 제5 조( 계약체결시 정보보호 고려사항) 1용역( 아웃소싱) 계약서에 는 다음 각호의 사항이 적절히 포함되어야 한다 제공되는 서비스의 구체적인 내용 정보보호에 대한 책임
69 3. 발주기관의 용역( 아웃소싱) 업체에 대한 검사( 감사) 용역( 아웃소싱) 업체의 협조의무 명시 권한 및 4. 용역( 아웃소싱) 제공업체의 재난복구계획을 소속기관에 제공 5. 용역( 아웃소싱) 제공업체의 재난복구계획에 대한 테스트결과 를 발주기관이 확인할 수 있는 권리 6. 발주기관과 용역( 아웃소싱) 업체간에 원시데이타가 이동되는 경우 동 원시데이타에 대한 보안책임 오류나 누락에 의한 데이터 손실 보험 가입 데이터 비밀 유지 ( 보험 가입 필요) 9. 서비스대가의 변경, 계약 해제/ 해지시 적절한 사전 통지 10. 용역( 아웃소싱) 업체의 재무제표를 발주기관에게 매년 제출 11. 용역( 아웃소싱) 업체가 도산하는 경우 발주기관의 조치 방안 12. 계약위반, 만기전 해지 등에 따른 위약금 2프로젝트 자체 또는 투입되는 자료ㆍ장비 등에 대한 대외보 안이 필요한 경우 보안의 범위 및 책임을 명확히 하기 위해 사 업수행 계약서와 별도로 비밀유지계약서를 작성한다. 3비밀유지계약서에는 비밀정보의 범위, 보안준수 사항, 위반시 손해배상 책임, 지적재산권 문제, 자료의 반환 등을 포함해야 한다. 4프로젝트 참여인원은 용역( 아웃소싱) 업체 임의로 교체할 수 없도록 명시하고 신상변동( 해외여행 포함) 관에 즉시 보고하도록 한다. 사항 발생시 발주기 5발주기관의 요구사항을 사업자에게 명확히 전달키 위해 작성 하는 과업지시서( 또는 과업내용서) 에 자료 보안관리 방법, 인원 ㆍ장비ㆍ시설 등에 대한 보안점검ㆍ교육 등 보안관련 제반사항 을 상세히 기술한다
70 6용역( 아웃소싱) 업체가 사업에 대한 하도급 계약을 체결할 경 우 본 사업계약 수준의 비밀유지 조항을 포함토록 조치한다. 제6 조( 근무장소 및 부대시설) 1용역( 아웃소싱) 업체는 프로젝트 수행장소를 프로젝트 착수전에 관리부서와 사전협의하여 관리 부서가 지정한 장소에서 수행해야 한다. 단, 프로젝트 수행 장 소는 시건장치와 통제가 가능한 공간이어야 한다. 2발주기관 내부에서 근무할 경우 전원, 통신시설 등 사무실 부 대시설 공사비용은 용역( 아웃소싱) 업체가 부담함을 원칙으로 한 다. 3프로젝트관리자는 용역( 아웃소싱) 업체 사무실 또는 용역업무 를 수행하는 공간에 대한 보안점검을 정기적으로 실시해야 한 다. 제7 조( 전산시스템) 1프로젝트에 필요한 서버, 네트워크 장비, 프 린터 등의 전산기기는 용역( 아웃소싱) 업체에서 자체적으로 확보 하여 사용함을 원칙으로 한다. 단, 관리부서에서 필요하다고 판 단되는 경우 관련 부서와 협의하여 지원할 수 있다. 2용역( 아웃소싱) 업체는 발주기관의 네트워크를 사용할 수 없으 며 자체적인 폐쇄망이나 별도의 인터넷망을 이용하여 네트워크 를 사용해야 한다. 단, 정보보호 심의를 득한 후 사용할 수 있 다. 3발주기관 내부에서 근무할 경우 용역 참여직원이 노트북 등 관련장비를 반출 또는 반입할 때마다 악성코드 감염여부 및 자 료 무단반출 여부를 확인해야 한다
71 제8 조( 인력관리) 1용역( 아웃소싱) 업체는 프로젝트 투입인력( 이하 인력이라 한다) 의 이력사항을 계약체결직후 관리부서로 제출하 여야 하며 제출서류는 다음 각호와 같다 재직증명서 및 최종학력증명서 경력증명서 자격증명서류 2관리부서는 제1항의 서류가 접수되면 인력의 등급 및 자격을 확인한다. 3관리부서는 확인결과 프로젝트 수행에 부적합할 경우 용역 ( 아웃소싱) 업체에 통보하고, 용역( 아웃소싱) 업체는 즉시 적정인 력으로 교체 투입하여야 한다. 4추가 또는 교체 투입되는 인력에 대해서도 동일한 절차를 적 용한다. 5관리부서는 인력에게 각 개인의 친필 서명이 들어간 보안서 약서를 징구하고 프로젝트 수행 전 인력에 대해 비밀유지 의무 준수 및 위반시 처벌내용 등에 대한 보안교육을 실시하여야 한 다. 제9 조( 출입관리) 용역( 아웃소싱) 업체는 발주기관 내에서 근무할 인력의 출입증 발급 및 신원조회에 필요한 다음 각호의 서류를 관리부서에 제출하여야 한다. 1. 출입증발급신청서 1부 2. 보안서약서 1부 3. 신원진술서 1부 제10 조( 직무의 분리) 용역( 아웃소싱) 업체는 현재 사용중인 업무시
72 스템에 대한 입력 및 정정 업무를 수행할 수 없는 것을 원칙으 로 한다. 만약 입력 및 정정 업무를 수행한다면 프로젝트관리자 의 서면승인을 득해야 한다. 제11 조( 내부시스템 사용자 인증 및 접근통제) 1용역( 아웃소싱) 업 체에서 발주기관 내부 시스템( 이하 내부시스템이라 한다) 을 사 용해야 할 경우 다음 각 호의 사항을 준수해야 한다. 1. 용역( 아웃소싱) 업체 인력에 대한 사용자 계정은 하나의 그룹 으로 등록하고 계정별로 정보시스템 접근권한을 부여한다. 2.계정별로 부여된 접속권한은 불필요시 곧바로 권한을 해지하 거나 계정을 폐기해야 한다. 3.인력에게 부여한 패스워드는 프로젝트관리자가 별도로 기록 관리하고 수시로 해당 계정에 접속하여 저장된 자료와 작업 이력을 확인한다. 4.프로젝트관리자는 서버 및 장비 운영자로 하여금 내부서버 및 네트워크 장비에 대한 접근기록을 매일 확인하여 이상 유 무를 정보보호담당자에게 보고해야 한다. 5. 용역( 아웃소싱) 업체에서 사용하는 노트북PC는 인터넷 연결을 금지한다. 단, 프로젝트 수행상 필요한 경우에는 용역( 아웃소 싱) 업체의 관리책임자가 직접 요청하고 정보보호담당자는 접 속할 노트북을 지정하여 필요한 사이트에만 접속토록 방화벽 등을 설치하도록 해야 한다. 2내부시스템 이용시간, 한다. 작업지역을 제한하여 접근통제를 실시 3용역( 아웃소싱) 업체가 제시하는 자체 통제방법에 대하여 소속 기관은 이를 평가하고 채택여부 등을 결정하며 필요시 추가적
73 인 통제방안을 요구해야 한다. 4용역( 아웃소싱) 해당 업무에 필요한 정보 및 시스템 이외에 대한 접근은 허용하지 않는다. 5일정시간 경과 후 자동 접속차단(Automatic Timeout) 방식 적용을 검토하여야 한다. 6내부 전산망에서 P2P, 웹하드 등 인터넷 자료공유사이트로의 접속은 금하며 방화벽 등을 이용해 이를 원천 차단해야 한다. 제12 조( 내부시스템 관련 활동 및 예외보고서) 용역( 아웃소싱) 업체 가 내부시스템을 사용할 경우 사용자는 내역을 작성하여 프로 젝트관리자의 승인과 시스템 관리부서의 승인을 득한 후 사용 한다. 제13 조( 기타 운영상의 통제) 1용역( 아웃소싱) 업체의 개발 및 운 영과 관련한 서비스에 대해 발주기관은 자체감사 기능을 가져 야 한다. 2자체 정보시스템 감사전문가 양성, 종합적인 감사를 검토한다. 외부 정보시스템 감사인의 제14 조( 프로젝트 중단에 대비한 비상대책) 1용역( 아웃소싱) 업체 의 프로젝트 중단은 소속기관에 심각한 영향을 미치므로 철저 한 대비책을 마련한다. 마련해여 위험관리를 하여야 한다. 서비스 중단 형태별로 별도의 대비책을 2재해등에 해당하는 비상시에도 용역( 아웃소싱) 업체는 최소한 가장 중요한 응용업무를 처리할 수 있도록 비상계획을 마련해 야 한다
74 3용역( 아웃소싱) 업체의 재무건전성을 모니터링하여 도산에 대 비하여야 하며, 지속적인 프로젝트의 진행이 어렵다고 판단되는 경우 용역( 아웃소싱) 업체의 교체계획을 수립해야 한다. 제15 조( 자료 보안) 1네트워크구성도, IP 현황, 개인정보 등 용역( 아 웃소싱) 업체에 제공하는 중요자료는 자료관리대장 을 작성하여 인계자( 프로젝트 관리자) 와 인수자( 용역( 아웃소싱) 업체 관리책 임자) 가 직접 서명한 후 인계ㆍ인수한다. 2관련자료 및 사업과정에서 생산된 모든 산출물은 부내 파일 서버에 저장하거나 프로젝트 관리자가 지정한 PC에 저장ㆍ관 리한다. 3프로젝트 관련자료는 인터넷 웹하드 등 인터넷 자료공유사이 트 및 개인메일함에 저장하는 것을 금지하고 전자우편을 이용 해 자료전송이 필요한 경우에는 자체 전자우편을 이용하여 첨 부자료를 암호화 후 수발신해야 한다. 단, 대외비 이상의 비밀 은 전자우편으로 수발신을 금지한다. 4발주기관이 제공한 사무실에서 사업을 수행할 경우 제공한 비공개자료는 매일 퇴근시 반납토록 하며 비밀문서를 제외한 일반문서는 용역( 아웃소싱) 업체에 제공된 사무실에 시건장치가 된 보관함이 있을 경우 이에 보관 가능하다. 5프로젝트 수행으로 생산되는 산출물 및 기록은 정보보호담당 자가 인가하지 않은 비인가자에게 제공ㆍ대여ㆍ열람을 금지한 다. 6인가받지 않은 USB 등의 보조기억매체 사용을 금지하며 산 출물 저장을 위해 보조기억매체가 필요한 경우 프로젝트관리자 의 관리하에 사용하도록 한다
75 제16 조( 사업완료시 보안관리)1사업완료 후 생산되는 최종 산출물 중 대외보안이 요구되는 자료는 대외비로 작성ㆍ관리하고 불필 요한 자료는 삭제 및 세단 후 폐기한다. 2용역( 아웃소싱) 업체에 제공한 제반자료, 장비, 서류와 중간ㆍ 최종 산출물 등 용역과 관련된 제반자료는 전량 회수하고 용역 ( 아웃소싱) 업체에 복사본 등 별도 보관을 금지한다. 3노트북ㆍ보조기억매체 등 전자적으로 기록된 자료는 정보시 스템 저장매체 불용처리 지침 에 따라 보안조치한다. 4용역사업 관련자료 회수 및 삭제조치 후 업체에게 복사본 등 용역사업 관련 자료를 보유하고 있지 않다는 대표 명의 확약서 를 징구한다
76 외주용역 보안관리 서식 [ 부록 4-1] 자료관리대장 자 료 관 리 대 장 관리 번호 자 료 명 배 포 폐 기 접수 일자 발행처 보관팀 배포처 확인 내용 승인 비고
77 [ 부록 4-2] 원격 접속 관리 대장 원격 접속 관리 대장 사용 자명 서버명 원격접속 계정(ID) 접속시 관리자 비밀번호 접속주소 접속사유 접속시간 조치사항 확인
78 [ 부록 4-3] 외주인력 ID 신청서 외 주 인 력 ID 신 청 서 승 부 서 장 인 신 청 자 소 속 이 름 ( 인 또는 서명) 신 청 일 20 년 월 일 신청기간 20 년 월 일 ~ 20 년 월 일 용 도 신규등록 권한변경 사용중지 재사용 ID삭제 시 스 템 이 름 ID 이름 초기 패스워드 사 내 및 유 용 1. 최초 로그온 시 반드시 패스워드를 변경하셔야 합니다. 2. 패스워드는 최소8 자리 이상이며, 영문자, 숫자는 반드시 포함하고, 특수문자 $,\,',!,& 는 사용할 수 없습니다. 정보보호 담당자 시스템 담당자 부 서 명 이 름 ( 인 또는 서명) 처 리 일 20 년 월 일 부 서 명 이 름 ( 인 또는 서명) 처 리 일 20 년 월 일
79 [ 부록 4-4] 영업비밀보호 서약서 영업비밀보호 서약서 성 명 주민등록번호 주 소 본인은 이번 귀사의 OOO 프로젝트에 그 일원으로 래와 같은 사항을 준수할 것을 서약합니다. 참여하게 되었으며 이에 아 1. 본 프로젝트 추진의 사실, 그 성과 및 본 프로젝트를 수행하는 과정에서 알 수 있는 귀사의 영업비밀을 유지하고 회사 밖은 물론 귀사의 종업원이라고 하여도 프로젝트에 직접 관여하지 않는 자에 대해서는 이것을 공개 또는 누설하지 않을 것을 서약합니다. 2. 본 프로젝트 추진의 사실 및 그 성과가 귀사에 의하여 적법하게 공개된 경 우라고 하여도 미공개 부문에 대해서는 앞에서와 같은 비밀유지의무를 부담 할 것을 서약합니다. 3. 본 프로젝트가 완료된 경우 및 프로젝트 진행중에 어떠한 사유로든 본인이 본 프로젝트를 수행할 수 없게 된 경우, 그 시점에서 본인이 보유하고 있는 모 든 영업비밀을 포함한 관련자료를 즉시 귀사에 반납하며 앞에서와 같은 비밀유 지의무를 부담할 것을 서약합니다. 4. 본 프로젝트 추진의 사실, 그 성과 및 본 프로젝트를 수행하는 과정에서 알 수 있었던 귀사의 영업비밀을 재직중은 물론 퇴직후에도 O년간 자신을 또는 귀사와 경업하는 사업자 그외 제3자를 위해 사용하지 않을 합니다. 위해 것을 서약 년 월 일 서약인 인 주식회사 귀중
80 [ 부록4-5] 투입 종료 확인서 투입 종료 확인서 1.기본정보 2. 이름 소속회사 연 락 처 근무기간 ~ 담 당 업 무 투입 종료 프로세스 안내 1. 아래 점검 사항의 1~6 단계 절차를 모두 이행한후, 확인란에 표시를 합니다. 2. 출입 ID 카드와 투입종료확인서를 보안담당자에게 제출합니다. 3. 보안담당자는 각 단계별 이행점검을 하고 서명란에 서명을 합니다. 1. 점검사항 산출물 및 업무 인수 인계 최종 산출물을 제출해 주시기 바랍니다 내용 담당자 서명 수행하던 업무가 완료되지 않은 경우 후임자에게 인수인계 합니 다. 2. 근태 확인 근무기간 PM Tool 의 근태등록 및 승인을 받았는지 확인합니다. 3. 봉인스티커 부착 개인사물함의 내용을 비우고 열쇠를 서랍장 안에 넣어두시기 바 랍니다. 4. 시스템 계정 삭제 요청 1) 서버: 2)DB: 3)Application: 4) 형상관리: 5) 기타( ) 5. PC 포맷 반드시 PC 를 포맷해 주시기 바랍니다. 담당자로부터 PC포맷S/W 를 제공받아 포맷합니다. 6. 출입 ID 카드 반납 3. 투입시 교부 받았던 ID카드를 PM 에게 제출하시기 바랍니다. 담당자는 반드시 특이사항 ID카드 해지를 해야 함 PL/ PM PL/ PM PL/ PM PL/ PM PL/ PM PL/ PM 년 월 일 작성자 성명: ( 인)
81 [ 부록 5-1] 출력이력 관리 대장 출력이력 관리 대장 연월일 출입시간 용무 출입자 입회자 소속 성명 직급 성명 비고
82 [ 부록 5-2] 보안 정책변경 요청서 보안 정책변경 요청서 1.정책 변경 대상자 정보 이름 소속회사 연 락 처 2. 점검사항 매체 권한 선택 PC 반출신청 유형 생성자 문서 권한 선택 신 청 사 유 신 청 일 자 FDD USB 쓰기허용 쓰기허용 모뎀 쓰기허용 CD-RW/DVD-RW IEEE1394 Serial Port 쓰기허용 쓰기허용 적외선 포트 쓰기허용 당일반출 회의용 외근 사내 오프라인 기타( ) 읽기 가능 편집 가능 해제 가능 쓰기허용 반출 가능 ( 외부전송보안파일생성) 출력 가능 외부전송 보안파일 생성이란, 문서보안 미사용 외부인에게 열람이 가능하도록 보안문서를 실행파일로 만드는 기능 ( 편집불가, 열람, 인쇄 가능) 신청사유는 가급적 상세히 작성바랍니다. 사용기간 4. 특이사항 다음 각 항에 해당하는 자료유출, 변조 복사, 훼손, 분실 등으로부터 안전하게 회사 정보자산을 보호하고, 이를 충분히 숙지하여 성실히 이행하겠습니다. 1. 컴퓨터, 네트워크, 모뎀 등을 통한 회사정보를 유출하지 않는다. 2. 회사 정보가 수록된 기록매체( 하드디스크, 디스켓 등) 를 무단으로 공유하거나 반출하지 않는 다. 3. 정보시스템의 업무용도外 사용하지 않으며 정보사용권( 시스템 사용승인) 을 준수한다. 4. 사용자 ID 및 Password 의 불법사용, 대여하지 않는다. 5. 통신이나 불법S/W의 사용 등을 통해 Virus 유포 등을 하지 않는다. 6. 기타 컴퓨터를 통한 정보의 무단취득, 유출, 손실, 파괴 등의 행위를 하지 않는다. 7. 외부업체 직원의 반출신청시 업무 담당자( 신청자) 는 외부인( 사용자) 으로 하여금 상기 사항을 준수하도록 조치하고 이행 여부를 점검한다. 8. 본인은 상기 사항을 충분히 숙지하였음을 인정하고 성실히 준수할 것을 동의하며, 이행하지 못하였을 경우 사규 및 관련 법률에 따라 민 형사상 책임을 지고, 회사의 어떠한 처벌도 감수할 것이며, 회사에 끼친 손해에 대해 지체없이 변상, 복구할 것을 서약합니다. 년 월 일 작성자 성명: ( 인) 담당자 성명: ( 인)
83 [ 부록 5-3] 출력물 관리 대장 출력물 관리 대장 제공형태 제공자 번호 자료명 ( 부서/ 수령자 수령일자 반납기한 반납일자 용도 비고 Hard Soft 담당자)
354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information- 2 -
- 1 - - 2 - - - - 4 - - 5 - - 6 - - 7 - - 8 - 4) 민원담당공무원 대상 설문조사의 결과와 함의 국민신문고가 업무와 통합된 지식경영시스템으로 실제 운영되고 있는지, 국민신문 고의 효율 알 성 제고 등 성과향상에 기여한다고 평가할 수 있는지를 치 메 국민신문고를 접해본 중앙부처 및 지방자 였 조사를 시행하 였 해 진행하 월 다.
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More information춤추는시민을기록하다_최종본 웹용
몸이란? 자 기 반 성 유 형 밀 당 유 형 유 레 카 유 형 동 양 철 학 유 형 그 리 스 자 연 철 학 유 형 춤이란? 물 아 일 체 유 형 무 아 지 경 유 형 댄 스 본 능 유 형 명 상 수 련 유 형 바 디 랭 귀 지 유 형 비 타 민 유 형 #1
More information안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규
발행일 : 2013년 7월 25일 안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규정]--------------------------------------------
More information회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제
회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제 KR000****4 설 * 환 KR000****4 송 * 애 김 * 수 KR000****4
More information<312E20C0AFC0CFC4B3B5E55F5352444320C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>
페이지 2 / 6 첨부 1. 공급품 목록 및 납기일정 번호 품명 모델명/사양 Vendor 단위 수량 납기 비고 1 (샘플기판) 6Layer, FR-4, 1.6T, 1온스, 2 (샘플기판) 3 (샘플기판) 4 (샘플기판) 5 (샘플기판) FRONT PANEL BOARD 3종 1. 샘플기판은 Board 별 성능시험용 2. 샘플 기판 후 Board 별 육안점검 및
More informationCD 2117(121130)
제품보증서 품질 보증기간은 구입일로부터 1년간이며, 애프터서비스용 부품의 보증기간은 5년간 입니다. 애프터서비스용 부품이란 외장을 제외한 회로, 기능 부품을 말합니다. (당사 규정에 따른 것임) 제 품 명 모 년 구 입 일 구 입 자 판 매 자 월 일 주소 성명 주소 대리점명 델 명 SERIAL NO. TEL. TEL. 제품보증조건 무상 서비스: 보증기간내의
More information<352831292E5FBBEABEF7C1DFBAD0B7F9BAB02C5FC1B6C1F7C7FCC5C25FB9D75FB5BFBAB05FBBE7BEF7C3BCBCF65FA1A4C1BEBBE7C0DABCF62E786C73>
5. 산업중분류, 조직형태 및 동별 사업체수, 종사자수 단위 : 개, 명 금정구 서1동 서2동 서3동 Geumjeong-gu Seo 1(il)-dong Seo 2(i)-dong Seo 3(sam)-dong TT전 산 업 17 763 74 873 537 1 493 859 2 482 495 1 506 15 519 35 740 520 978 815 1 666 462
More information한국노인인력개발원 규정집(2015ver11).hwp
유연근무제 운영지침 Ⅳ-10. 유연근무제 운영지침 유연근무제 운영지침 제정 2012.09.03 한국노인인력개발원 제139호 개정 2012.12.31 한국노인인력개발원 제152호 개정 2013.08.01 한국노인인력개발원 제165호 개정 2014.04.09 한국노인인력개발원 제188호 개정 2014.06.27 한국노인인력개발원 제194호 제 1 장 총 칙 제1조(목적)
More information개인정보처리방침_성동청소년수련관.hwp
서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고
More information좀비PC
1. 수집 단계 1.1 개요 공공기관이 당 기관의 업무 수행을 위해 특정 목적으로 정보주체의 동의 및 법률적 근거로 를 적법하고 정당하게 수집하는 과정 및 절차를 의미 웹사이트에 회원 가입 시 주민등록번호, 이름, 주소, 직장, 이메일 등을 입력하는 과정은 의 수집 단계에 해당됨 1.2 침해유형 및 보호조치의 필요성 수집 단계에서의 대표적 침해유형은 본인 확인시
More information범정부서비스참조모형 2.0 (Service Reference Model 2.0)
범정부서비스참조모형 2.0 (Service Reference Model 2.0) 2009. 12 - 1 - - 2 - - 3 - - 4 - < - 5 - - 6 - 1) 별첨 2 공유자원현황목록참조 - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 -
More information<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>
여 48.6% 남 51.4% 40대 10.7% 50대 이 상 6.0% 10대 0.9% 20대 34.5% 30대 47.9% 초등졸 이하 대학원생 이 0.6% 중졸 이하 상 0.7% 2.7% 고졸 이하 34.2% 대졸 이하 61.9% 직장 1.9% e-mail 주소 2.8% 핸드폰 번호 8.2% 전화번호 4.5% 학교 0.9% 주소 2.0% 기타 0.4% 이름
More information¾Æµ¿ÇÐ´ë º»¹®.hwp
11 1. 2. 3. 4. 제2장 아동복지법의 이해 12 4).,,.,.,.. 1. 법과 아동복지.,.. (Calvert, 1978 1) ( 公 式 的 ).., 4),. 13 (, 1988 314, ). (, 1998 24, ).. (child welfare through the law) (Carrier & Kendal, 1992). 2. 사회복지법의 체계와
More informationºñ»óÀå±â¾÷ ¿ì¸®»çÁÖÁ¦µµ °³¼±¹æ¾È.hwp
V a lu e n C F = t 1 (1 r ) t t = + n : 평 가 자 산 의 수 명 C F t : t 기 의 현 금 흐 름 r: 할 인 율 또 는 자 본 환 원 율 은 행 1. 대 부 금 5. 대 부 금 상 환 E S O P 2. 주 식 매 입 3. 주 식 4. E S O P 기 여 금 기 업 주인으로 쌍방향의 투명
More information내지(교사용) 4-6부
Chapter5 140 141 142 143 144 145 146 147 148 01 02 03 04 05 06 07 08 149 활 / 동 / 지 2 01 즐겨 찾는 사이트와 찾는 이유는? 사이트: 이유: 02 아래는 어느 외국계 사이트의 회원가입 화면이다. 국내의 일반적인 회원가입보다 절차가 간소하거나 기입하지 않아도 되는 개인정보 항목이 있다면 무엇인지
More information2. 4. 1. 업무에 활용 가능한 플러그인 QGIS의 큰 들을 찾 아서 특징 설치 마 폰 은 스 트 그 8 하 이 업무에 필요한 기능 메뉴 TM f K 플러그인 호출 와 TM f K < 림 > TM f K 종항 그 중에서 그 설치 듯 할 수 있는 플러그인이 많이 제공된다는 것이다. < 림 > 다. 에서 어플을 다운받아 S or 8, 9 의 S or OREA
More information( 단위 : 가수, %) 응답수,,-,,-,,-,,-,, 만원이상 무응답 평균 ( 만원 ) 자녀상태 < 유 자 녀 > 미 취 학 초 등 학 생 중 학 생 고 등 학 생 대 학 생 대 학 원 생 군 복 무 직 장 인 무 직 < 무 자 녀 >,,.,.,.,.,.,.,.,.
. 대상자의속성 -. 연간가수 ( 단위 : 가수, %) 응답수,,-,,-,,-,,-,, 만원이상 무응답평균 ( 만원 ) 전 국,........,. 지 역 도 시 지 역 서 울 특 별 시 개 광 역 시 도 시 읍 면 지 역,,.,.,.,.,. 가주연령 세 이 하 - 세 - 세 - 세 - 세 - 세 - 세 세 이 상,.,.,.,.,.,.,.,. 가주직업 의회의원
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationCR2006-41.hwp
연구책임자 가나다 순 머 리 말 2006년 12월 한국교육학술정보원 원장 - i - - ii - - iii - 평가 영역 1. 교육계획 2. 수업 3. 인적자원 4. 물적자원 5. 경영과 행정 6. 교육성과 평가 부문 부문 배점 비율(%) 점수(점) 영역 배점 1.1 교육목표 3 15 45점 1.2 교육과정 6 30 (9%) 2.1 수업설계 6 30 2.2
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More information..............16..
제 2 차 발 간 등 록 번 호 11-1490100-000057-14 고 령 자 고 용 촉 진 기 본 계 획 2 0 1 2 제2차 고령자 고용촉진 기본계획(2012-2016) M i n i s t r y o f E m p l o y m e n t a n d L a b o r 2012-2016 제2차 고령자 고용촉진 기본계획 Basic Plan for Promoting
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information01¸é¼öÁ¤
16면 2012.7.25 6:14 PM 페이지1 2012년 8월 1일 수요일 16 종합 고려대장경 석판본 판각작업장 세계 최초 석판본 고려대장경 성보관 건립 박차 관계기관 허가 신청 1차공사 전격시동 성보관 2동 대웅전 요사채 일주문 건립 3백여 예산 투입 국내 최대 대작불사 그 동안 재단은 석판본 조성과 성보관 건립에 대해서 4년여 동안 여러 측면에 서 다각적으로
More information4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정
정보보안규정 2016. 9. 23. 제정 제1조 ( 목적 ) 이규정은이화여자대학교 ( 이하 본교 라한다 ) 정보통신망의안정성과정보보안을위해필요한사항을규정함을목적으로한다. 제2조 ( 용어의정의 ) 이규정에서사용하는용어의정의는다음각호와같다. 1. 정보통신서비스 라함은정보통신설비및시설을이용하여정보를제공하거나정보의제공을매개하는것을말한다. 2. 정보통신설비 라함은정보통신서비스를제공하기위한기계,
More information동양미래대학교규정집제 8 편정보보안 ~2 을도입할경우보안적합성검증제품을도입하여야한다. 2 도입할휴대용저장매체관리시스템은다음각호에해당하는필수보안기능을포함하여야한다. 1. 사용자식별 인증기능 2. 지정데이터암 복호화기능 3. 저장된자료의임의복제방지기능 4. 분실
동양미래대학교규정집제 8 편정보보안 8-0-19~1 휴대용저장매체보안관리지침 규정번호 8-0-19 제정일자 2018.07.02 개정일자 - 개정번호 Ver.0 총페이지 10 제 1 장총칙 제 1 조 ( 목적 ) 이지침은 정보보안규칙 제 40 조 ( 휴대용저장매체보안 ) 에따라 USB(Universal Serial Bus) 메모리등휴대용저장매체보안관리에필요한세부사항을규정함을목적
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationUSC HIPAA AUTHORIZATION FOR
연구 목적의 건강정보 사용을 위한 USC HIPAA 승인 1. 본 양식의 목적: 건강보험 이전과 책임에 관한 법(Health Insurance Portability and Accountability Act, HIPAA)이라고 알려진 연방법은 귀하의 건강정보가 이용되는 방법을 보호합니다. HIPAA 는 일반적으로 귀하의 서면 동의 없이 연구를 목적으로 귀하의
More information<555342B8DEB8F0B8AE20B5EE20BAB8C1B6B1E2BEEFB8C5C3BC20B0FCB8AEC1F6C4A72E687770>
USB 메모리등보조기억매체 보안관리지침 2007. 1 월 국가정보원 목 차 USB메모리등보조기억매체보안관리지침 제 1 조 ( 목적) 1 제 2 조 ( 적용범위) 1 제 3 조 ( 정의) 1 제제제제제제제제제 4 조 ( USB 메모리및관리시스템도입절차) 2 5조 ( 보조기억매체사용) 3 6조 ( 보조기억매체사용제한) 3 7조 ( 관리책임자) 3 8조 ( 정보보안담당관의책무)
More informationÇʸ§-¾÷¹«Æí¶÷.hwp.hwp
비위면직자 취업제한 업무편람 2004 부 패 방 지 위 원 회 편람이용안내 비위면직자 취업제한 제도 - 1 - 1. 제도개요 가. 제도의의 나. 법적근거 - 3 - 2. 적용대상공직자 및 부패행위의 정의 가. 공공기관(부패방지법 제2조제1호) - 4 - 나. 공직자(부패방지법 제2조제2호) - 5 - - 6 - 다. 부패행위(부패방지법 제2조제3호)
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information41호-소비자문제연구(최종추가수정0507).hwp
소비자문제연구 제41호 2012년 4월 해외 소셜 네트워크 서비스이용약관의 약관규제법에 의한19)내용통제 가능성* : Facebook 게시물이용약관의 유효성을 중심으로 이병준 업 요약 업 규 규 논 업 쟁 때 셜 네트워 F b k 물 규 았 7 계 건 됨 규 규 업 객 계 규 므 받 객 드 객 규 7 말 계 률 업 두 않 트 접속 록 트 른징 볼 규 업 내
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가
www.kdnetwork.com 특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가능할 삭제할 건전지 사용자를 위한 개별 비밀번호 및 RF카드
More information<4D6963726F736F667420576F7264202D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F323031362E30332E3239>
피델리티자산운용 개인정보처리방침(채용/인사) 제정: 2013.09.01 개정: 2016.02.01 개정: 2016.03.29 1. 총칙 본 방침은 예비, 현재 및 과거 직원들(이하 "직원들")의 개인정보를 보호하고 불법적인 정보 의 유출로 인하여 발생되는 직원들의 피해를 방지하기 위하여 피델리티자산운용 (이하 "회 사")이 취하고 있는 개인정보의 처리(수집,
More information804NW±¹¹®
Copyright Samsung SDS All rights Reserved. 1 2 3 4 센트에서 빼낸 다음 삼성 S D S 고객센터 기사에게 연락합니다. 5 6 삼성 고객센터 기사에게 이지온 영상 전화기가 작동하는 상태에서 안전점검을 수행토록 요구해야 합니다 7 8 반드시 삼성 에서 승인된 부품만을 사용해야 합니다 삼성 에서 승인된 부품을 사용하지 않을
More information< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>
IT&Law 상담사례집 - 제 2 권 - IT&Law 상담사례집제2권 - 1 - 제 1 장프로그램저작권일반 - 2 - IT&Law 상담사례집제2권 - 3 - 제 1 장프로그램저작권일반 - 4 - IT&Law 상담사례집제2권 - 5 - 제 1 장프로그램저작권일반 - 6 - IT&Law 상담사례집제2권 - 7 - 제 1 장프로그램저작권일반 - 8 -
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information09³»Áö
CONTENTS 06 10 11 14 21 26 32 37 43 47 53 60 임금피크제 소개 1. 임금피크제 개요 2. 임금피크제 유형 3. 임금피크제 도입절차 Ⅰ 1 6 7 3) 임금피크제 도입효과 임금피크제를 도입하면 ① 중고령층의 고용안정성 증대 연공급 임금체계 하에서 연봉과 공헌도의 상관관계 생산성 하락에 맞추어 임금을 조정함으로써 기업은 해고의
More informationPowerPoint 프레젠테이션
목차 1. AirSCAN 제안배경 2. AirSCAN 소개 3. AirSCAN 레퍼런스 4. AirSCAN Case Study AirSCAN 제안배경 무선을 통한 해킹의 급증 스마트기기의 증가 = 무선 보안 Hole의 증가 비인가 스마트폰 테더링을 통한 악성코드 감염 스마트폰 테더링을 통한 핵심기술 정보 유출 AirSCAN 제안배경 정부차원의 무선보안 가이드라인
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More information< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>
Jeju Community Welfare Center Annual Report 2015 성명 남 여 영문명 *해외아동을 도우실 분은 영문명을 작성해 주세요. 생년월일 E-mail 전화번호(집) 휴대폰 주소 원하시는 후원 영역에 체크해 주세요 국내아동지원 국외아동지원 원하시는 후원기간 및 금액에 체크해 주세요 정기후원 월 2만원 월 3만원 월 5만원 )원 기타(
More information저장할수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 8. 저장매체 라함은자기저장장치 광저장장치 반도체저장장치등자료기록이가능한전자장치를말한다. 9. 소자 ( 消磁 ) 라함은저장매체에역자기장을이용해매체의자화값을 0 으로만들어저장자료의복원이불가능하게만드는것을말
정보보안업무시행세칙 제정 2014. 12. 15 개정 2015. 6. 19 개정 2017. 5. 18 제 1 장총 칙 제1조 ( 목적 ) 이세칙은 정보화관리규정, 국가정보보안기본지침 등에의거, 성남도시개발공사정보보안업무수행에필요한세부사항규정을목적으로한다.( 개정 17.5.18) 제2조 ( 적용범위 ) 이세칙은성남도시개발공사전부서에적용한다. 제3조 ( 용어의정의
More information- 1 -
차세대정보시스템구축개발사업 을위한 제안요청서 ( 안 ) < > - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 -
More information1 9 9 2년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정
1993년 2월 24일 발효 1994년 1월 11일 개정 1998년 11월 6일 개정 2001년 11월 2일 개정 2003년 10월 31일 개정 2013년 11월 15일 개정 2014년 5월 16일 개정 제목 규칙 페이지 적용 1 110 회계연도 2 110 예산 3-9 110-111 분담금 10-11 111 계상예산의 지출대상 12-13 111 전용 14 111
More information정부3.0 국민디자인단 운영을 통해 국민과의 소통과 참여로 정책을 함께 만들 수 있었고 그 결과 국민 눈높이에 맞는 다양한 정책 개선안을 도출하며 정책의 완성도를 제고할 수 있었습니다. 또한 서비스디자인 방법론을 각 기관별 정부3.0 과제에 적용하여 국민 관점의 서비스 설계, 정책고객 확대 등 공직사회에 큰 반향을 유도하여 공무원의 일하는 방식을 변화시키고
More information01-02Àå_»ç·ÊÁýb74öÁ¤š
C O N T E N T S 7 13 35 44 44 62 65 76 92 121 131 138 151 163 174 180 185 193 199 204 206 209 228 256 287 296 318 321 322 344 348 354 357 359 364 367 399 410 428 446 투명한 법, 공정사회로! 2010 부패영향평가 사례집 부패영향평가는
More information메모리등휴대용저장매체보안관리지침 제정 목 차 제 조목적 제 조적용범위 제 조용어의정의 제 조휴대용저장매체의사용 제 조휴대용저장매체사용제한 제 조관리책임자 제 조정보보안담당관의책무 제 조휴대용저장매체의구분및관리요령 제 조휴대용저장매체불용처리및재사용 제 조휴대용저장매체의분
메모리등휴대용저장매체보안관리지침 메모리등휴대용저장매체보안관리지침 제정 목 차 제 조목적 제 조적용범위 제 조용어의정의 제 조휴대용저장매체의사용 제 조휴대용저장매체사용제한 제 조관리책임자 제 조정보보안담당관의책무 제 조휴대용저장매체의구분및관리요령 제 조휴대용저장매체불용처리및재사용 제 조휴대용저장매체의분실 소각시대체방안 제 조휴대용저장매체고장훼손 오인삭제포맷시대처방안
More information조교 임용 규정
창업동아리운영규정 관리번호 7-0-12 관리부서 산학처 제정일자 2014.04.21 개정일자 2016. 6.14 제1장 총 칙 제1조 (목적) 이 규정은 김포대학교(이하 본 대학 이라 한다.) 학생들에게 창업분위기 조성을 통하여 시대적 흐름 변화에 대한 도전의식과 창의력을 갖춘 기업가 양성을 목표로 한다. ➀체계적 창업 및 기업경영 교육 ➁창업 및 경영을 위한
More informationView Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More information<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>
인권보호수사준칙개정안에 대한 국가인권위원회의 의견 국가인권위원회는 국가인권위원회법 제20조 제1항에 따른 법무부의 인권보호 수사준칙개정안에 대한 국가인권위원회의 의견 요청에 대하여 검토한 결과 국가인권위원회법 제19조 제1호에 의하여 아래와 같이 의견을 표명한다. 1. 개정안 제12조의 체포 등에 대한 신속한 통지조항에서 지체없이 라는 용어는 명확성의 원칙을
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More information8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상
제 1 장총칙 제1조 ( 목적 ) 이규정은국가정보원 국가정보보안기본지침, 서울특별시정보통신보안업무처리규칙 및 개인정보보호법 등에의거공사의정보보안업무전반에관한사항을규정함을목적으로한다. 제2조 ( 정의 ) 이규정에서사용하는용어의정의는다음과같다. 1. 정보보안 또는 정보보호 라함은정보시스템및정보통신망을통해수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지하기위하여관리적
More informationRed Dot Award: Communication Design 에 참 하기 결정해 주셔서 기쁩니다. "성공을 위한 안내서"는 등 절 에 대해 안내 니다. 지체 말고 언 든지 연 해 주 오. Red Dot 은 등 절 또는 등 후 절 를 기꺼 와드 겠습니다. 01 Int
Your Guide to Success Interface Design Red Dot Award: Communication Design 에 참 하기 결정해 주셔서 기쁩니다. "성공을 위한 안내서"는 등 절 에 대해 안내 니다. 지체 말고 언 든지 연 해 주 오. Red Dot 은 등 절 또는 등 후 절 를 기꺼 와드 겠습니다. 01 Interface Design
More information소식지수정본-1
2010. 7 통권2호 2 CONTENTS Korea Oceanographic & Hydrographic Association 2010. 7 2010년 한마음 워크숍 개최 원장님께서 손수 명찰을 달아주시면서 직원들과 더욱 친숙하게~~ 워크숍 시작! 친근하고 정감있는 말씀으로 직원들과 소통하며 격려하여 주시는 원장님... 제12차 SNPWG 회의에 참석 _ 전자항해서지
More information- 2 -
남우창 김재웅 2012.01 하영식최남철 - 2 - 1. 2. - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - Ⅱ. 1.. - 9 - . IT - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - -
More information60
광복60년기념전 시련과 전진 주 최 : 광복60년기념사업추진위원회 주 관 : 민주화운동기념사업회, 중앙일보 후 원 : SK Telecom, (주)부영, 다음 일 정 : 2005.8.14(일) ~ 8.23(일) 장 소 : 대한민국 국회 1. 내용의 일부 혹은 전체를 인용, 발췌하는 경우에는 반드시 저자와 출처를 밝혀 주셔야 합니다. 2. 본 자료는 http://www.kdemocracy.or.kr/kdfoms/에서
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More information....pdf..
Korea Shipping Association 조합 뉴비전 선포 다음은 뉴비전 세부추진계획에 대한 설명이다. 우리 조합은 올해로 창립 46주년을 맞았습니다. 조합은 2004년 이전까 지는 조합운영지침을 마련하여 목표 를 세우고 전략적으로 추진해왔습니 다만 지난 2005년부터 조합원을 행복하게 하는 가치창출로 해운의 미래를 열어 가자 라는 미션아래 BEST
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information3Â÷ ³»Áö »ý¸íº¸ÇèÇùȸ-¼ºÇâÁ¶»çº¸°í¼Ł-14Â÷ 2015³â.PDF
8. 생활과생명보험 8-1. 생활불안의유무 생활불안의유무 ( 단위 : 가구수, %) 예 아니오 연간가구소득 가구연령 가 구 직 업 자가여부 택 형 태 가구최종학력 전 체 (2000) 926 1074 100.0% 46.3 53.7 1,200만원 미만 (110) 49 61 1,200-2,400만원 미만 (317) 185 132 2,400-3,600만원미만 (350)
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More information포함한다 ) 를말한다. 9 침해사고 라함은해킹, 컴퓨터바이러스, 악성코드, 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다. 제 2 장정보보안조직 제4조 ( 정보보안조직구성 ) 1 학교내정보보호활동을관리하
정보보안관리규정 제정 : 2011. 10. 01. 개정 : 2013. 10. 01. 개정 : 2016. 04. 01. 개정 : 2017. 01. 01. 개정 : 2017. 05. 01. 제 1 장총칙 제1조 ( 목적 ) 이규정은수원대학교 ( 이하 학교 라한다 ) 정보자산이불법유출ㆍ파괴ㆍ변경되는것으로부터안전하게보호하며, 네트워크및각종정보시스템등정보운영환경과응용프로그램을보다안전하고신뢰성있게운영하여학교전산망사용자에게원활한서비스를제공하고자함을그목적으로한다.
More informationXcovery 사용설명서
ㄱ 센티리온 프리미엄 사용설명서 목 차 Chapter 1 프로그램 소개 및 기본개념 1) 시스템 복구 2) 시스템백업 3) 시스템 백업 및 시스템 복구 활용하기 4) 폴더보호 Chapter 2 프로그램 설치하기 1) 프로그램 설치 방법 2) Centillion 설치 소프트웨어 사용권 계약서 3) 제품 인증 키 입력 4) Centillion 폴더보호 5) Windows
More information*12월영상 내지<265턁
영상물등급위원회는 등급분류에 관한 문의 대표전화 : 02-2272-8560 ( ) 안은 내선번호 월간 KOREA MEDIA RATING BOARD MAGAZINE 은 위원회 홈페이지를 통해서도 볼 수 있습니다. 특 집 B 시상식 및 송년회 영상 칼럼 B제한상영가에 대한 소견 이 달에 만난 사람 BPC게임물
More information개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하
우송정보대학개인정보보호내부관리계획 제 장총칙 제정 제 조 목적 개인정보보호내부관리계획은개인정보보호법제 조 안전조치의무 내부관리계획의수립및시행의무에따라제정된것으로우송정보대학이취급하는개인정보를체계적으로관리하여개인정보가분실 도난 누출 변조 훼손 오 남용등이되지아니하도록함을목적으로한다 제 조 적용범위 본계획은홈페이지등의온라인을통하여수집 이용 제공또는관리되는개인정보뿐만아니라오프라인
More information<30375FC1A4BAB8BAB8BEC8B1E2BABBC1F6C4A728C1A6C1A E31322E32382E292E687770>
정보보안기본지침 정 2017. 12. 28. 1 장총칙 1 조 ( 목적 ) 이지침은 국가정보보안기본지침 에의거한국콘텐츠진흥원 ( 이하 " 진흥원" 이라한다) 의 보안업무규칙 에서위임한사항과그 시행에필요한절차와세부사항을규정함을목적으로한다. 2 조 ( 적용범위 ) 이지침은전산장비또는정보통신망을운용하고있는진흥원및그부설기관전부서에적용된다. 3 조 ( 용어의정의 )
More information한국의 양심적 병역거부
한국의 양심적 병역거부 2 목차 편집자의 말 ------------------------------------------------------------------------------------- 3 한국의 * 상1 개괄 한국의 병역거부운동 -------------------------------------------------------------------------
More informationc5d5485d-80bb-4dc6-b207-1dda32078bc7.hwp
한국기상산업진흥원 사업공고 제 2015-16호 2015년도 기상기후산업 청년창업 지원사업 추가모집 공고 기상청과 한국기상산업진흥원은 기상기후산업분야의 참신한 사업아이템을 발굴하고 청년창업 활동을 지원하기 위한 2015년도 기상기후산업 청년창업 지원사업 참가자를 다음과 같이 추가모집합니다. 2015년 3월 19일 한국기상산업진흥원장 Ⅰ. 모집개요 1. 사업 목적
More information동양미래대학교규정집제 8 편정보보안 8-0-8~2 에임의로접근하지않아야한다 타인의패스워드를무단변경하여업무수행을방해하지않는다 업무상취득한본대학의정보또는제 자소유의 관련자료를승인없이누설하지않아야한다 본대학에서비밀로관리하는정보자산은부서별보안담당관의승인없이외부로유출하지않아야한
동양미래대학교규정집제 8 편정보보안 8-0-8~1 PC 보안관리지침 규정번호 8-0-8 제정일자 2013.03.01 개정일자 개정번호 Ver.0 총페이지 9 제 장총칙 제 조 목적 이지침은 정보보안규칙 제 조에의거동양미래대학교 이하 본대학 이라한다 의 보안및운용방법에관한필요사항을규정함을목적으로한다 제 조 적용범위 이지침은본대학의전교직원및본대학을위해종사하는외부인모두에게적용
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (
More informationwtu05_ÃÖÁ¾
한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의
More information24ffca36-7c00-4cd0-8fb2-7ae740806ae4.hwp
기상청정보보안기본지침 제정 2011. 6. 23 기상청훈령제694호일부개정 2013. 5. 28 기상청훈령제749호일부개정 2014. 9. 11 기상청훈령제789호 제1장총칙제1조 ( 목적 ) 이지침은 국가정보보안기본지침 에따라기상청정보보안업무수행을위하여필요한사항을규정하는데목적이있다. 제2조 ( 적용범위 ) 이지침은기상청본청 ( 이하 본청 이라한다 ) 및소속기관과산하공공기관에적용한다.
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information메뉴얼41페이지-2
데이터 기반 맞춤형 성장관리 솔루션 스마트빌 플러스 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여 등록합니다. 금융정보 자동수집을 위하여 인증서이름, 아이디, 비밀번호를 등록합니다. 통합 자동 수집 금융정보 통합 자동수집을 실행합니다 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여
More informationThinkVantage Fingerprint Software
ThinkVantage 지문 인식 소프트웨어 First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS RESTRICTED RIGHTS:
More information2018년 10월 12일식품의약품안전처장
2018년 10월 12일식품의약품안전처장 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 - - 26 - - 27
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1
디지털 사진 프린터 P-S100 프린터 드라이버 설치 가이드 사용하는 컴퓨터에 따라 제공된 프린터 드라이버를 설치합니다. 설치 절차 에 대한 자세한 내용은 CD-ROM의 Readme 파일을 참조하십시오. 작동 환경 Windows 호환 모델: IBM PC/AT 및 호환품 운영 체제: Windows 98 SE/Me/2000/XP (Windows 98 SE/Me/2000/XP
More information< B3E2B5B5204B2D BDC3BDBAC5DB20B8C5B4BABEF328C3D6C1BE292E687770>
< K-apt 기초자료구성편 > 1 < 관리비등록등관련정보구성편 > 24 고 고 고 < 전자입찰및수의계약구성편 > 53 고 고 고 < 공동주택관리내역등록편 > 103 < 통계등기타화면구성편 > 111 K-apt 기초자료구성편 고 1 2 3 4 5 6 7 고 - :,. (.) 6 3. 4.. 고 고 고 고 고 고 고 고 고 고 1 2 한국감정원
More information120330(00)(1~4).indd
도시개발법시행규칙 [ 별지제 5 호서식 ] 색상이어두운란은가작성하지않습니다. 접수번호 접수일자 성명 ( 법인의명칭및대표자성명 ) 주민등록번호 ( 법인등록번호 ) 전화번호 구역명 동의내용 구역면적 ( m2 ) 사업방식 시행자에관한사항 본인은 도시개발법 제4조제4항및영제6조제6항에따라환지방식의도시개발계획에대하여시행자등에게설명을듣고위내용 ( 개발계획수립과정에서관계기관협의및도시계획위원회의심의결과등에따라개발계획이변경되는경우를포함합니다
More information- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유
결혼중개업의 관리에 관한 법률 일부개정법률안 (한선교의원 대표발의) 의 안 번 호 9899 발의연월일 : 2010. 11. 15. 발 의 자 : 한선교 손범규 이인기 유성엽 이애주 이한성 안홍준 김태원 안형환 정갑윤 의원(10인) 제안이유 최근 국제결혼의 상당수가 국제결혼중개업체를 통해 이루어지고 있 으나, 일부 국제결혼중개업자가 이윤만을 추구하기 위하여 사실과
More information어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -
어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 - 어린이집영상정보처리기기설치 운영가이드라인 Ⅰ 총칙 - 2 - - 3 - Ⅱ 영상정보처리기기의설치시준수사항 고해상도 (HD, High Definition - 4 - 구분가로픽셀 (A) 세로픽셀 (B) 값 (A*B) 해상도 640 480 307,200 30만화소 SD 1024 768 786,432
More informationROK-WhitePaper(2000).hwp
특수전 : 25 (14%) 기계화 : 24 (14%) 전차 : 15 (9%) 총170여개 사/여단 미사일/포병 : 30여개 (17%) 보병 : 80 (45%) (단위 : 명) 해병대 : 76 해군 : 396 공군 : 8,459 육군 : 28,100 경상운영비
More information04 Çмú_±â¼ú±â»ç
42 s p x f p (x) f (x) VOL. 46 NO. 12 2013. 12 43 p j (x) r j n c f max f min v max, j j c j (x) j f (x) v j (x) f (x) v(x) f d (x) f (x) f (x) v(x) v(x) r f 44 r f X(x) Y (x) (x, y) (x, y) f (x, y) VOL.
More information810 & 820 810 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을
목적에 맞게 설계된 어플라 이언스 원격 용도로 최적화된 어플라이언스 관리 및 에너지 효율성 향상 원격 관리 LOM(Lights Out Management), IPMI 2.0 장치 식별 버튼/LED 실시간 시스템 환경 및 오류 모 니터링 Infoblox MIBS를 통한 SNMP 모니터링 고가용성 공급 장치 예비 디스크 예비 냉각 팬 전원 공급 장치 현장 교체
More information동양미래대학교규정집제 8 편정보보안 8-0-2~2 등을말한다 저장매체라함은자기저장장치광저장장치반도체저장장치보조기억장치 등 등자료기록이가능한전자장치를말한다 보조기억매체라함은디스켓 하드디스크 메모리등자료를저장할수있는것으로정보시스템과분리할수있는기억장치를말한다 정보보안 또는
동양미래대학교규정집제 8 편정보보안 8-0-2~1 정보보안규칙 규정번호 8-0-2 제정일자 2013.03.01 개정일자개정번호 Ver.0 총페이지 17 제 장총칙 제 조 목적 이규칙은동양미래대학교 이하 본대학 이라한다 의 보안규칙 에따라정보보안 을위하여수행하여야할기본활동규정을목적으로한다 제 조 적용범위 이규칙은본대학의전교직원및본대학을위해종사하는외부업체직원모두에게
More information<B3EDB9AEC0DBBCBAB9FD2E687770>
(1) 주제 의식의 원칙 논문은 주제 의식이 잘 드러나야 한다. 주제 의식은 논문을 쓰는 사람의 의도나 글의 목적 과 밀접한 관련이 있다. (2) 협력의 원칙 독자는 필자를 이해하려고 마음먹은 사람이다. 따라서 필자는 독자가 이해할 수 있는 말이 나 표현을 사용하여 독자의 노력에 협력해야 한다는 것이다. (3) 논리적 엄격성의 원칙 감정이나 독단적인 선언이
More information가가 (MILK) (MILK) 게 게 동 게 가 원 게 게 가가 가가 라 가가 라 로 빠르게 로 빠르게 동 검색가 원 가르로 원 르로 검색 가가 게 르 가가 르 라 라 가 원 동 동 가 게 게 (Papergarden) (Papergarden) 검색 검색 2 2 바깥 원
제 제 215. 215. 매 성 매 니 14 제 사용 서비스 사 무매 ( p:// a. e. a ng. L a / e /dp / pma n.d ) 로 원 사 / 동 시 는 용 다 으 S 어 1 의 의 색 1 삼성 서비스 운 시 : 월 토 : 18:(일 일/공 일 33 (원 서비스 무) 3 가고 진단, 서비스) u 지 SS 41 3 33 S프라 삼성 바 게 제
More information³»Áö_10-6
역사 속에서 찾은 청렴 이야기 이 책에서는 단순히 가난한 관리들의 이야기보다는 국가와 백성을 위하여 사심 없이 헌신한 옛 공직자들의 사례들을 발굴하여 수록하였습니다. 공과 사를 엄정히 구분하고, 외부의 압력에 흔들리지 않고 소신껏 공무를 처리한 사례, 역사 속에서 찾은 청렴 이야기 관아의 오동나무는 나라의 것이다 관아의 오동나무는 나라의 것이다 최부, 송흠
More informationÈ޴ϵåA4±â¼Û
July 2006 Vol. 01 CONTENTS 02 Special Theme 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Beautiful Huneed People 03 04 Special Destiny Interesting Story 05 06 Huneed News Huneed
More information산하조직 관리내규_20160301_이경호.hwp
2016.03.01 산하조직 관리내규 제1장 총 칙 제1조(목적) 이 내규는 가톨릭관동대학교(이하 학교 라 한다) 산학협력단(이하 산학협력단 이라 한다) 소속의 산하조직 운영에 필요한 기본사항을 규정함을 목적으로 한다. 제2조(적용범위) 이 내규는 산학협력단 산하조직에 한하여 적용한다. 제3조(용어의 정의) 이 내규에서 사용하는 용어의 정의는 다음의 각 호와
More information< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>
과학영재의창의적탐구능력배양을위한 R&E 프로그램기획 운영핸드북 Handbook of Annual Planning and Implementing R&E Program for the Talented 2017 과학영재창의연구 (R&E) 지원센터 이핸드북은과학고와과학영재학교의연간 R&E 프로그램기획 운영을효과적으로지원하기위해개발된것으로, 한국과학창의재단지정과학영재창의연구
More information3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우
개인정보처리방침 ( 주 ) 아프리카티비 ( 이하 회사 라한다 ) 는개인정보보호법에따라이용자의개인정보보호및 권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같이 개인정보처리지침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법에따라별도의동의를받는등필요한조치를이행할예정입니다.
More information