정보보안기본지침 정 2017. 12. 28. 1 장총칙 1 조 ( 목적 ) 이지침은 국가정보보안기본지침 에의거한국콘텐츠진흥원 ( 이하 " 진흥원" 이라한다) 의 보안업무규칙 에서위임한사항과그 시행에필요한절차와세부사항을규정함을목적으로한다. 2 조 ( 적용범위 ) 이지침은전산장비또는정보통신망을운용하고있는진흥원및그부설기관전부서에적용된다. 3 조 ( 용어의정의 ) 이지침에서정하는용어의정의는다음각호와같다. 1. 사용자 라함은원장으로부터정보통신망또는정보시스템에대한 접근또는사용허가를받은자를말한다. 2. 정보통신망 이란 전기통신기본법 2조2호의규정에따른 전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터의이용 기술을활용하여정보를수집 가공 저장 검색 송수신하는정보통신 체를말한다. 3. 인터넷서비스망 ( 이하 인터넷망 이라한다) 이란진흥원의네트 워크중에서인터넷을사용할수있도록연결되어있는인터넷전용 망을말한다. 4. 업무전산망 ( 이하 내부망 이라한다) 이란진흥원의네트워크 중에서내부업무를수행할수있도록연결되어있는전산망을 말한다.
5. 정보시스템 이란 PC 서버등단말기, 보조기억매체, 전산 통신장치, 정보통신기기, 응용프로그램등정보의수집 가공 저장 검색 송수신에 필요한하드웨어및소프트웨어일체를말한다. 6. 저장매체 라함은자기저장장치 광저장장치 반도체저장장치 등자료기록이가능한전자장치를말한다. 7. 휴대용저장매체 라함은디스켓, 이동형하드디스크(HDD), USB 메모리, Flash 메모리, CD, DVD 또는 IC 칩등에정보를저장할수있는 모든것으로정보통신망과분리할수있는기억장치를말한다. 8. 정보보안 또는 정보보호 란정보시스템및정보통신망을통해 수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지 하기위하여관리적 물리적 기술적수단을강구하는일체의행위로서 사이버안전을포함한다. 9. 전자문서 란컴퓨터등정보처리능력을가진장치에의하여전자 적인형태로송 수신또는저장되는정보를말한다. 10. 전자기록물 이란정보처리능력을가진장치에의하여전자적인 형태로송 수신또는저장되는기록정보자료를말한다. 11. 전자정보 란업무와관련하여취급하는전자문서및전자기록물을 말한다. 12. 정보자산 이란하드웨어( 서버, 워크스테이션, 개인용컴퓨터, 통신 장비, 보안장비, 저장매체, 프린터등), 소프트웨어, 응용프로그램, 개발산출물, 운영산출물등을말한다. 13. 정보보안시스템 이란정보의수집 저장 검색 송신 수신시정보의 유출, 위 변조, 훼손등을방지하기위한하드웨어및소프트웨어를 말한다. 14. 사이버공격 이란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해등전자적수단에의하여정보통신망을불법침입 교란 마비 파괴하거나전자정보를절취 훼손하는공격행위를말한다. 15. 완전포맷 이란저장매체자료저장전체의위치에새로운자료(0 또는 1) 를중복하여저장하는것을말한다. 16. 정보보안담당관 이라함은전산분야의보안계획및운용등의 기능을수행하는자로전산업무담당실장( 본부장) 을말한다.
17. 정보보안관리자 라함은정보보안담당관의임무를위임받아원내 정보보안업무실무를총괄적으로수행하는부서의팀장을말한다. 18. 분임정보보안관리자 라함은정보시스템을운영하는소관부서의 팀장을말한다. 2 장정보보안기본활동 4 조 ( 기본원칙 ) 1 원내사업추진시발생된정보자산은진흥원소유이며, 관리는각팀단위로한다. 2 진흥원정보자산은업무상필요한최소한의접근권한이부여되어야한다. 3 인가된사용자는전자정보를사용함과동시에보호할책임을가지며, 비인가자는자신의업무와무관한어떠한정보자산에도접근을시도해서는아니된다. 4 진흥원직원은정보보안기본지침을준수할의무가있으며이를위반할시에는주의, 경고등을포함한인사규정에따라징계의사유가될수있다. 5 조 ( 정보보안조직의운영 ) 1 정보보안담당관은 보안업무규칙 8조 4 항의임무를수행하기위하여정보보안관리자, 분임정보보안관리자, 정보보안담당자를지정하여운영할수있다. 2 정보보안담당관은다음각호의정보보안기본활동을수행하여야한다. 1. 정보보안정책및세부추진계획수립 시행 2. 정보보안관련규정 지침등 개정 3. 보안심사위원회에정보보안분야안건심의주관 4. 정보보안업무지도 감독, 정보보안감사및심사분석 5. 정보보안보안관리실태에대한자체조사 평가 6. 사이버공격초동조치및대응 7. 사이버위협정보수집 분석및보안관 8. 정보보안예산및전문인력확보
9. 정보보안사고조사결과처리 10. 정보보안교육및정보협력 11. 정보통신망보안대책의수립 시행 12. 사이버보안진단의날 수립 시행 13. 그밖에정보보안관련사항 3 정보보안관리자는정보보안담당관의업무를위임하여수행하며, 보안업무실무를수행하고현황을주기적으로보고하여야한다. 정보 4 분임정보보안관리자는소관부서정보시스템의보안대책을수립 이행 하고현황을주기적으로보고하여야한다. 6 조 ( 활동계획수립및심사분석 ) 1 정보보안담당관은진흥원의정보 보안업무세부추진계획( 국가사이버안전관리규정 9조에따른사이버 안전대책을포함한다) 을수립 시행하고그추진결과를심사분석및평가 하여야한다. 2 정보보안담당관은세부추진계획및심사분석을별지1호및2호 서식에따라다음각호의기한내에작성하여야한다. 1. 당해연도보안업무추진계획을 1월 25 일까지수립한다. 2. 전년도하반기및당해연도상반기보안업무심사분석을 7월 31일 까지실시한다. 7 조 ( 정보보안내규 개정 ) 주기적으로검토하고 개정하여야한다. 정보보안관리자는정보보안관련내규를 8 조 ( 정보보안감사 ) 1 정보보안관리자는연 1회이상자체정보보안감사를실시할수있다. 2 정보보안관리자는효율적인정보보안감사수행을위하여감사방향, 중점사항등에대하여분임정보보안관리자와협의하여시행할수있다. 9 조 ( 정보보안교육 ) 1 정보보안관리자는정보보안교육계획을수립하여 연 1 회이상전직원을대상으로관련교육을실시하여야한다.
2 정보보안관리자는정보보안관련전문기관교육및기술세미나 참석을장려하는등정보보안담당자의전문성을고하기위하여노력 하여야한다. 10 조 ( 사이버보안진단의날 ) 1 정보보안관리자는정보보호를위해매월 셋째주수요일전임직원이참여하는 사이버보안진단의날 을운영 하여야한다. 2 분임정보보안관리자는 사이버보안진단의날 에소관정보통신망 악성코드감염여부, 정보시스템보안취약점점검등정보보안업무 전반에대하여보안진단을실시하여야한다. 3 분임정보보안관리자는1항및2항에따른보안진단결과를정보 보안관리자에게통보하여야한다. 11 조 ( 정보보안사고조사 ) 1 정보보안관리자는정보보안사고발생시 즉시피해확산방지조치를취하여야한다. 이경우, 사고원인규명시까지 피해시스템에대한증거를보전하고임의로관련자료를삭하거나 포맷하여서는아니된다. 1. 일시및장소 2. 사고원인및피해현황등개요 3. 사고자및관계자의인적사항 4. 조치내용등 2 정보보안관리자는사고원인및피해현황을파악하고, 재발방지대책 의수립 시행등사고조사결과에따라보호대책을마련하고조치하여야 한다. 12 조 ( 정보통신망현황 자료관리 ) 분임정보보안관리자는다음각호에해당하는정보통신운용현황을관리하여야하며, 정보보안관리자의요청시관련자료를출하여야한다. 1. 정보시스템운용현황 2. 정보통신망구성현황
3. IP 주소할당현황 4. 주요정보화사업추진현황 3 장정보통신시설및정보시스템보안관리 1 절기본사항 13 조 ( 정보보안활동 ) 정보보안관리자는진흥원의정보보안강화를위하여다음각호의사항을수행할수있다. 1. 모의사이버테러훈련( 모의해킹, 모의침투훈련등) 2. 정보보안대책수립 이행에대한점검 3. 사이버침해사고발생시대응 복구현황점검 4. 그밖에정보보안을위하여필요한사항 14 조 ( 정보통신시설보안 ) 1 정보보안관리자는 보안업무규칙 15조에 따라정보통신시설및장소를보호구역으로지정하여관리하여야한다. 2 정보보안관리자는1항에서지정된보호구역에대한보안대책을 강구할경우다음각호의사항을조치하여야한다. 1. 정보통신시설에대한방호및방재대책 2. 상시이용하는출입문은한곳으로정하고이중잠금장치설치 3. 출입자인증 식별등을위한출입문보안장치설치 4. 정전에대비한비상전원공급, 대책 시스템의안정적중단등전력관리 5. 비인가자에대한출입및정보자산의반 출입통 15 조 ( 정보시스템보안 ) 1 직원은 PC 등정보시스템을사용하거나본인 계정으로정보통신망에접속하는것과관련한보안책임을가진다. 2 분임정보보안관리자는서버 네트워크장비등부서공통으로사용하는 정보시스템의운용과관련한보안책임을가진다. 3 분임정보보안관리자는해당부서정보시스템의변경현황을유지하여야 하며정보보안관리자요청시사본을출하여야한다.
4 분임정보보안관리자는정보시스템이비인가자에게불필요한서비스를 허용하지않도록보안기능을설정하여야하며, 있는다음각호의프로그램설치를한하여야한다. 1. P2P, 웹하드등파일공유프로그램 2. 비인가프로그램 3. 출처가불분명한응용프로그램 4. 업무상불필요한프로그램 보안취약점을공할수 5 분임정보보안관리자는소관시스템의안정적운영을위해다음각 호에따라관리해야한다. 1. 신규로설치되는시스템의취약점점검및조치 2. 시스템의운영체등최신패치실행 3. 설치 운영중인시스템의수시보안취약점점검및조치 6 정보보안관리자는1항부터5항까지에명시된정보시스템운용과 관련한보안취약점을발견하거나보안대책강구가필요하다고판단할 경우, 분임정보보안관리자에게개선을요구할수있다. 16 조 ( 보안성검토 ) 1 분임정보보안관리자는다음각호에해당하는 경우에자체보안대책을강구하고사업계획단계에서정보보안관리자와 협의를거쳐보안성검토를요청하여야한다. 1. 유 무선네트워크를신 증설하거나서버등정보시스템을구축 하는경우 2. 내부정보통신망을외부망과연결하고자하는경우 3. 암호장비 보안자재 암호논리 암호모듈을도입운용하고자하는경우 4. 원격근무지원등을위해시스템을도입하는경우 5. 외부기관에보안감리또는보안컨설팅을의뢰하거나정보처리 보안 관등의업무를위탁하는경우 6. 그밖에정보통신망및정보시스템운용환경변화로인하여별도의 보안대책수립이필요하다고인정되는경우 2 그밖에규정하지않은사항은 국가정보보안기본지침 에따른다.
2 절전자정보보안대책 17 조 (PC 등단말기보안관리 ) 1 단말기사용자는 PC 노트북 스마트기기 등단말기( 이하 PC 등 이라한다) 사용과관련한일체의보안관리 책임을가진다. 2 PC 등에적용되는사용자계정(ID) 및비밀번호의취급관리는21조 ( 사용자계정관리) 와22 조( 비밀번호관리) 의사항을준용한다. 3 한다. 사용자는 PC 1. 부팅시 CMOS 등의보안관리를위해다음각호의사항을준수하여야 비밀번호설정 2. 컴퓨터명은성명으로설정하고작업그룹명은부서명으로설정 3. 최대 10분을초과하지않도록화면보호기설정 4. IP 주소임의변경금지 5. 최신보안업데이트, 및주기적검사 4 정보보안관리자는비인가자가 바이러스치료프로그램등보안프로그램설치 PC 등을무단으로조작하여전자정보를 유출하거나, 위 변조및훼손시키지못하도록다음각호에따른보호 대책을강구하여야한다. 1. 21 조에따라장비별 사용자별비밀번호설정관리 2. 백신프로그램등의운용 3. P2P 등업무와무관하거나보안에취약한프로그램의사용금지 5 분임정보보안관리자는 PC 등을교체 반납 폐기하거나고장으로 외부에수리를의뢰하고자할경우에는하드디스크에수록된자료가 유출, 훼손되지않도록완전삭등보안조치를수행하고, 정보보안관리자 요청시결과를출하여야한다. 6 PC 등의외부반출을한하며, 외부업무용으로사용하는 PC 등에 한하여분임정보보안관리자의책임하에반출할수있다. 7 분임정보보안관리자는 PC 등의반출 입통조치를수행하여야한다. 8 정보보안관리자요청시분임정보보안관리자는반출 입현황을공 하여야한다.
18 조 ( 서버보안관리 ) 1 분임정보보안관리자는서버도입시, 정보보안 관리자와협의하여다음각호의보안대책을수립하고시행하여야한다. 1. 저장자료의절취, 위 변조등에대한대비 2. 업무별 자료별중요도에따른접근권한차등부여 3. 인가된범위이외의접근통 4. 서버운용에필요한서비스포트외에불필요한서비스포트차단 5. 운영 관리목적으로접속시내부망 IP 주소가부여된관리용단말기 지정 6. 서버설정정보및저장된자료의정기적백업 2 분임정보보안관리자는데이터베이스에대하여사용자의직접적인 접속을차단하고개인정보및중요정보를안전하게저장할수있는 암호화기술의적용또는이에상응하는조치를하여야한다. 19 조 ( 웹서버등공개서버보안관리 ) 1 분임정보보안관리자는외부인에게 공개할목적으로설치하는공개서버에대해홈페이지위변조, 분산서비스 거부(DDoS) 공격등으로부터보호하기위한다음각호의보안대책을수립 하여시행하여야한다. 1. 내부망과분리된영역(DMZ) 에설치 운용 2. 접근할수있는사용자계정을한하고불필요한계정삭 3. 비공개자료및개인정보가유 노출, 위 변조되지않도록보안조치 4. 프로그램개발 시험에사용된도구( 컴파일러등) 는개발완료후 사용이한되도록보안기능설정또는삭 2 정보보안관리자는공개서버의보안취약점을수시로점검하고, 홈페 이지위변조, 분산서비스거부(DDoS) 공격, 악성코드, 민감정보의위 변조 및훼손여부를주기적으로확인하여야한다. 3 신규홈페이지구축시에는행정안전부등국가기준에준하는홈페 이지개발보안가이드에따라웹취약점보안점검을실시한후점검 결과를정보보안관리자에출하여야한다.
4 만약신규홈페이지시스템에서개인정보를취급할경우에는개인정보내부관리규칙에따라개인정보처리시스템에대한자체점검을실시하고점검결과를정보보안관리자에출하여야한다. 5 정보보안관리자는보안점검결과의취약점에대해개선조치를요구할수있으며, 조치결과확인후신규개설을승인하여야한다. 20 조 ( 홈페이지게시자료보안관리 ) 1 분임정보보안관리자는개인정보를 포함한중요업무자료가홈페이지에무단게시되지않도록정보공개 절차를마련하여시행하여야한다. 2 분임정보보안관리자는개인정보, 비공개문서, 민감정보등이포함된 자료를홈페이지에공개하여서는아니된다. 3 직원은인터넷블로그 카페 게시판 개인홈페이지또는소셜네트워크 서비스등공개된전산망에업무관련자료를무단게재하여서는아니 된다. 4 정보보안관리자는홈페이지등에비공개내용이게시되었는지여부를 주기적으로확인하여야한다. 5 정보보안관리자는홈페이지에중요정보가공개된것을인지할경우 이를즉시삭하는등의보안조치를강구하여야한다. 21 조 ( 사용자계정관리 ) 1 정보보안관리자는사용자계정(ID) 의비인가자 도용및정보시스템불법접속등을방지하기위해다음각호의사항을 조치하여야한다. 1. 신규사용자계정생성시별지5 호에따라신청서작성, 등의절차를거쳐발급 신원확인 2. 직무변경, 퇴직등인사이동이있을경우관련정보시스템접근권한을 조정 3. 사용자별 그룹별접근권한부여및사용자계정공용금지 4. 외부사용자의계정부여는불허하되, 부득이한경우유효기간을설정 하는등의보안조치후허용 5. 비밀번호등사용자식별 인증수단이없는사용자계정사용금지
6. 장기간사용하지않는휴면계정을점검하여불필요시삭 7. 사용자계정을주기적( 관리자계정 3 개월, 사용자계정 6 개월) 으로점검 하여접근권한재검토 2 정보시스템의계정은사용목적및권한에따라관리자계정과사용자 계정으로구분하여관리하여야한다. 3 관리자계정은관리자로지정된자만이사용할수있으며, 타인에게 대여할수없다. 다만, 업무상필요에의해타인에게대여한경우에는 회수후즉시비밀번호를변경하여야한다. 4 분임정보보안관리자는별지6 호에따라소관정보시스템별계정발급 현황을관리하여야한다. 22 조 ( 비밀번호관리 ) 1 비밀번호는다음각호의사항을반영하여숫자와 영문자, 특수문자등을혼합하여 9 자리이상으로정하여야한다. 다만, 정보시스템에서기능을지원하지않는경우는예외로한다. 1. 사용자계정(ID) 과동일하지않을것 2. 개인신상및부서명칭등과관계가없을것 3. 일반사전에등록된단어또는추측하기쉬운단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 사용된비밀번호는재사용하지말것 6. 비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능사용금지 8. 비밀번호에유효기간을선정하여주기적으로변경할것 2 서버에등록된비밀번호는암호화하여저장하여야한다. 3 비밀이나중요자료는자료별비밀번호를부여하여야한다. 23 조 ( 네트워크장비보안관리 ) 1 분임정보보안관리자는라우터, 스위치등네트워크장비운용과관련하여다음각호의보안조치를강구하여야한다. 1. 네트워크장비에대한원격접속은원칙적으로금지하되불가피할경우장비관리용목적으로접근어솔루션(NAC) 의통에따라내부에지정된단말기 IP 주소에서만접속허용
2. 물리적으로안전한장소에설치하여비인가자의무단접근통 3. 최초설치시보안취약점을점검하여거하고주기적으로보안패치 실시 4. 불필요한서비스포트거 2 네트워크장비의접근기록은 6개월이상보관하고비인가자의침투 여부를주기적으로점검하여야한다. 3 분임정보보안관리자는임직원의원격접근을허용하는경우사용시간, 접속자, 수행업무등을검토하여야한다. 4 업무망과용역망의경우분리하여운영하여야한다. 24 조 ( 전자우편보안대책 ) 1 정보보안관리자는웜 바이러스등악성코드로부터직원의전자우편시스템일체를보호하기위하여백신, 방화벽, 악성메일차단시스템등의보안대책을강구하여야한다. 2 사용자는메일에포함된첨부파일이자동실행되지않도록설정하고첨부파일다운로드시반드시최신백신으로악성코드은닉여부를검사하여야한다. 3 직원은출처가불분명하거나의심되는목의전자우편은열람하지않고악성메일로의심되는전자우편은즉시정보보안관리자에게신고하여야한다. 4 사용자는상용전자우편을이용한업무자료를송 수신및저장을할수없으며기관전자우편으로송 수신한업무자료는활용후메일함에서즉시삭하여야한다. 25 조 ( 휴대용저장매체보안대책 ) 1 휴대용저장매체관리책임자( 이하 관리책임자 라한다) 라함은각팀별휴대용저장매체관리상의임무를 맡은팀장을말한다. 2 관리책임자는휴대용저장매체를사용하여업무자료를보관할필요가 있을때에는위변조, 훼손, 분실등에대비한보안대책을강구하여야한다. 3 관리책임자는휴대용저장매체를비밀용, 일반용으로구분하고주기 적으로수량및보관상태를점검하며반출 입을통하여야한다.
4 관리책임자는 USB 확인한품을도입하여야한다. 관리시스템을도입할경우국가정보원장이안전성을 5 관리책임자는사용자가 USB 메모리를 PC 등에연결시자동실행되지 않도록하고최신백신으로악성코드감염여부를자동검사하도록보안 설정하여야한다. 6 정보보안담당관은비밀자료가저장된휴대용저장매체는매체별로 비밀등급및관리번호를부여하고비밀관리기록부에등재관리하여야 한다. 여야한다. 이경우에는매체전면에비밀등급및관리번호가표시되도록하 7 관리책임자는휴대용저장매체를파기등불용처리하거나비밀용을 일반용또는다른등급의비밀용으로전환하여사용할경우저장되어 있는정보의복구가불가능하도록완전삭프로그램을사용하여야한다. 8 관리책임자는사용자의휴대용저장매체무단반출및미등록휴대용 저장매체사용여부등보안관리실태를주기적으로점검하여야한다. 9 그밖에명시되지않은사항은국가정보보안기본지침의 USB메모리 등휴대용저장매체보안관리지침 에따른다. 26 조 ( 악성코드감염방지대책 ) 1 PC 등의사용자는웜 바이러스, 해킹프로 그램, 스파이웨어등악성코드감염을방지하기위하여다음각호의보안 조치를강구하여야한다. 1. PC 등에서사용하는응용프로그램에대한보안패치실시 2. 백신은최신상태로업데이트및상시감시상태로설정 3. 출처가불분명한응용프로그램사용금지 4. 업무상불필요한비인가프로그램사용금지 2 분임정보보안관리자또는직원은악성코드가설치되거나감염된 사실을발견하였을경우에다음각호의조치를취하여야한다. 1. 악성코드감염원인규명등을위하여파일임의삭등감염시스템 사용을중지하고전산망과접속분리 2. 악성코드의감염확산방지를위하여정보보안관리자에게관련사실 즉시통보
3 정보보안관리자는악성코드에감염되어피해가심각한경우문화체육 관광부( 정보화담당관, 사이버안전센터), 국가정보원등유관기관에게통보 하여야한다. 27 조 ( 접속기록관리 ) 1 분임정보보안관리자는정보시스템의효율적인 통 관리, 사고발생시추적등을위하여접속기록을유지 관리하 여야한다. 2 1 항의접속기록에는다음각호의내용이포함되어야한다. 1. 접속자, 정보시스템 응용프로그램등접속대상 2. 로그인 아웃, 파일열람 출력등작업종류, 작업시간 3. 접속성공 실패등작업결과 4. 전자우편외부발송정보등 3 접속기록분석시, 비인가자의접속시도, 정보위변조및무단삭 등의의심스러운활동사실을발견한경우정보보안관리자에게즉시 보고하여야한다. 4 접속기록은최소 6개월이상보관하여야하며위 변조및외부유출 방지대책을강구하여야한다. 28 조 ( 정보시스템개발환경보안 ) 1 분임정보보안관리자는정보시스템을 자체적으로개발하고자하는경우다음각호의보안대책을수립하여야 한다. 1. 독립된개발시설을확보하고비인가자의접근통 2. 개발시스템과운영시스템의물리적분리 3. 소스코드관리및소프트웨어보안관리 2 외부용역업체와계약하여정보시스템을개발하는경우36 조, 37 조, 38 조, 39 조, 40조에따라보안대책을강구하여야한다. 29 조 ( 데이터베이스보안 ) 1 데이터베이스의추가, 변경, 삭권한은소수의인가자로만한되도록운영하여야한다.
2 분임정보보안관리자는정보의중요도에따라사용자접근권한을부여 하고, 모니터링하여야한다. 3 분임정보보안관리자는사용자별접속기록을관리하여야하며27조 ( 접속기록관리) 에따라보안대책을강구하여야한다. 4 정보보안관리자는주기적으로보안점검을수행하여야한다. 30 조 ( 정보시스템유지보수 ) 1 분임정보보안관리자는정보시스템유지보수 수행업체에대하여다음각호의보호대책을강구하여야한다. 1. 투입인력보안서약서, 2. 물리적출입통 3. 정보시스템접근통 4. 주기적인정보보안점검등 교육등인적보안관리 2 분임정보보안관리자는유지보수절차에따라정기점검을수행하고 기록하여야한다. 3 분임정보보안관리자는유지보수와관련된장비 도구등을반 출입할 경우, 악성코드감염여부, 자료무단반출여부를확인하는등의보안 조치를하여야한다. 4 외부에서원격으로유지보수를수행할경우에는별지 5호에따라접근 어시스템등보안대책( 별지 16 호보안서약서징구) 을강구한후한시적 으로허용한다. 31 조 ( 전자정보저장매체불용처리 ) 1 분임정보보안관리자는하드디스크등 전자정보저장매체를불용처리( 교체ㆍ반납ㆍ양여ㆍ폐기등) 할경우저장 매체에수록된자료가유출되지않도록보안대책을강구하여야한다. 2 자료의삭는해당정보가복구될수없도록저장매체별, 자료별차별 화된삭방법을적용하여야한다. 3 PC 등의사용자가변경된경우, 비밀처리용은완전포맷 3 회이상, 그 외는완전포맷 1 회이상으로저장자료를삭하여야한다. 4 정보시스템저장자료의삭를외부업체에의뢰할경우작업장소에 입회하여삭절차및방법의준수여부등을확인 감독하여야한다.
5 정보시스템을외부로반출시다음각호의보안조치를하여야한다. 1. 불용처리등을위해정보시스템을외부로반출할경우현황을기록유지 2. 저장매체의고장수리 저장자료복구등을외부에의뢰할경우저장매체에저장된자료의유출방지를위해수리또는복구참여자에대해보안서약서징구, 교육등필요한보안조치수행 3. 정보시스템을불용처리할경우당해시스템의부서 사용자등을인식할수있는표시를모두거 32 조 ( 무선인터넷보안관리 ) 1 정보보안담당관은무선인터넷 (NESPOT, Wibro, HSDPA 등) 시스템을구축하여업무자료를소통하고자할경우 자체보안대책을수립하여관련사업계획단계( 사업공고전) 에서문화 체육관광부장관을통해국정원장에게보안성검토를의뢰하여야한다. 2 정보보안관리자는기관전역에무선인터넷사용을한하고민원실 등외부인에게특별히무선인터넷사용이필요한구역에한해정보보안 담당관책임하에운용한다. 3 정보보안관리자는업무용PC 에서무선인터넷접속장치(USB 형등) 가 작동되지않도록관련프로그램설치금지등기술적보안대책을강구 하여야한다. 4 정보보안담당관은개인휴대폰을외한무선인터넷단말기의사무실 무단반입 사용을금지하는한편1항부터3항까지와관련한보안 대책의적절성을수시로점검하고보완하여야한다. 33 조 ( 보안프로그램설치 운영 ) 정보보안관리자는사용자 PC 등의안정성을강화하기위하여다음각호의보안프로그램설치및운용방안을강구할수있다. 1. 바이러스백신소프트웨어 2. 패치관리소프트웨어 3 절주요상황별보안대책
34 조 ( 정보시스템위탁운영보안관리 ) 1 분임정보보안관리자는정보시스템 위탁운영시관리적 물리적 기술적보안대책을수립하여시행하여야한다. 2 정보시스템의위탁운영은외주업체직원이진흥원에상주하여수행 하여야한다. 다만, 진흥원위탁업무수행직원의상주가불가한사유가 있을경우, 관련보안대책을수립 시행하는조건으로그러하지아니할 수있다. 3 분임정보보안관리자는정보화용역사업보안대책에대한이행실태를 주기적으로점검하고미비점발견시보완조치하여야한다. 35 조 ( 원격근무보안관리 ) 1 분임정보보안관리자는재택 파견 이동근무 등원격근무를지원하기위한정보시스템을도입 운영할경우정보보안 관리자와협의하여기술적 관리적 물리적보안대책을수립하여야한다. 2 원격근무자는해킹을통한업무자료유출방지를위하여최신백신으로 원격근무용 하여야한다. PC 등을점검하고업무자료저장금지등보안조치후사용 4 절정보화용역사업관리 36 조 ( 용역사업계획단계 ) 1 분임정보보안관리자는 국가계약법 시행령 76조1항18 호에따라용역사업추진시과업지시서 입찰공고 계약서에다음각호의누출금지대상정보를명시하며해당정보누출 시입찰참가자격한을위한부정당업자로등록하여야한다. 1. 진흥원소유정보시스템의내ㆍ외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정ㆍ비밀번호등정보시스템접근권한정보 4. 정보통신망취약점분석ㆍ평가결과물 5. 정보화용역사업결과물및관련프로그램소스코드( 유출시안보ㆍ 국익에피해가우려되는중요용역사업에해당 ) 6. 정보보호시스템도입현황
7. 침입차단시스템ㆍ방지시스템 (IPS) 등정보보호품및라우터ㆍ스위치 등네트워크장비설정정보 8. 공공기관의정보공개에관한법률 9조1항에따라비공개대상 정보로분류된기관의내부문서 9. 개인정보보호법 2조1호의개인정보 10. 기타정보보안담당관이공개가불가하다고판단한자료 2 분임정보보안관리자는 사업수행을위한안요청서및계약서에 참가직원의보안준수사항과보안위규자처리기준및위약금부과 기준을명시할수있다. 3 분임정보보안관리자는안평가요소에자료 장비 네트워크보안 대책등보안관리계획의평가항목및배점기준을마련하여야한다. 37 조 ( 용역사업입찰 계약단계 ) 1 분임정보보안관리자는입찰공고시 누출금지대상정보, 부정당업자재조치, 기밀유지의무및위반시불 이익등보안준수사항을공지하여야한다. 2 분임정보보안관리자는안업체가시한보안관리계획의타당성을 검토하여사업자선정시반영하여야한다. 3 분임정보보안관리자는사업에투입되는자료 장비등에대해대외 보안이필요한경우보안의범위 책임을명확히하기위하여사업수행 계약서와별도로비밀유지계약서를작성하여야한다. 비밀유지계약서 에는비밀정보의범위, 보안준수사항, 위반시손해배상책임, 지적재산권 문, 자료의반환등이포함되도록명시하여야한다. 4 분임정보보안관리자는외부용역을추진할경우사업책임자로하여금 다음각호의사항을포함한보안대책을수립 시행하여야한다. 1. 용역사업계약서에참가직원의보안준수사항과위반시손해배상책임 등명시 2. 용역사업수행관련보안교육 점검및용역기간중참여인력임의 교체금지 3. 정보통신망도 IP주소현황등용역업체에공할자료는인계인수 대장을비치, 보안조치후인계 인수하고무단복사및외부반출 금지
4. 사업종료시외부업체의노트북 휴대용저장매체등을통해비공개 자료가유출되는것을방지하기위하여복구가불가능하도록완전 삭 5. 용역업체로부터용역결과물을전량회수하고비인가자에게공 열람금지 6. 용역업체의노트북등관련장비를반출 반입시마다악성코드감염 여부, 7. 기타, 자료무단반출여부를확인 정보보안담당관이보안관리가필요하다고판단하는사항이나 국정원장이보안조치를권고하는사항 5 분임정보보안관리자는용역업체가사업의일부또는전부에대하여 하도급계약을체결하는경우에용역업체로하여금하도급계약서에본 사업계약수준의비밀유지조항을포함하도록조치하여야한다. 6 분임정보보안관리자는용역사업에대한보안관리를위하여사업관리 담당과보안관리담당을분리하여야한다. 다만, 사업규모가작아분리가 곤란한경우에는사업관리담당이병행할수있다. 38 조 ( 용역사업수행단계 ) 1 분임정보보안관리자는참여인원에대하여 다음각호에따라관리하여야한다. 1. 용역사업의참여인력에대하여보안서약서징구 2. 용역업체참여인원에대해법적또는발주기관규정에따른비밀유지 의무준수및위반시처벌내용등에대한보안교육 3. 사업수행중업체인력에대한보안점검실시 4. 36조1 항의 누출금지대상정보 외부유출여부확인 5. 비밀관련용역사업을수행할경우, 참여인원에대한비밀취급인가 등보안조치를수행하고정보보안관리자에게보안측정을요청 2 정보보안관리자는용역업체에게자료를공하거나용역사업수행중에 생산된산출물에대하여다음각호에따라관리하여야한다. 1. 계약서등에명시한누출금지대상정보를업체에공할경우별지 15 호에의한인수자료관리대장을작성, 인계자 인수자가직접 서명한후공하고사업완료시관련자료회수
2. 용역사업관련자료및사업과정에서생산된산출물은발주기관의파일 서버에저장하거나사업의보안담당이지정한 PC 에저장 관리 3. 용역사업관련자료는인터넷웹하드 P2P 등인터넷공유사이트및 개인메일함에저장을금지하고용역발주기관과용역업체간전자우편을 이용해자료전송이필요한경우에는자체전자우편을이용, 암호화수발신 4. 진흥원사무실에서용역사업을수행할경우, 첨부자료 공한비공개자료는 매일퇴근시반납하고비밀문서를외한일반문서는시건장치가 된보관함에보관 5. 용역사업수행으로생산된산출물및기록은정보보안담당관이인가 하지않은비인가자에게공 대여 열람금지 3 분임정보보안관리자는용역사업을수행하는사무실과장비에대하여 다음각호에따라관리하여야한다. 1. 시건장치가구비되고비인가자출입통가가능한사무실사용 2. 용역업체의사무실과인원 장비를대상으로정기적으로보안점검 실시 3. 진흥원내부에서용역사업을수행하는경우용역참여직원이노트북 등관련장비를외부에반출 입시마다악성코드감염여부및자료 무단반출여부확인 4. 인가받지않은 USB 등휴대용저장매체사용을금지하며산출물저장을 위하여휴대용저장매체가필요한경우사업보안관리담당의승인 하에사용 4 분임정보보안관리자는용역업체가이용하는전산망에대하여다음 각호에따라관리하여야한다. 1. 용역업체사용전산망은방화벽등을활용하여내부망과분리하고 업무상필요한서버에만한적접근 2. 사업참여인원에대한사용자계정은하나의그룹으로등록하고계정 별로정보시스템접근권한을차등부여하되진흥원내부문서접근 금지하고불필요시곧바로권한을해지하거나계정을폐기 3. 참여인원에게부여한비밀번호는사업보안관리담당이별도로기록 관리하고수시로해당계정에접속하여저장된자료와작업이력확인
4. 용역사업보안관리담당은서버및장비운영자로하여금내부서버및 네트워크장비에대한접근기록을매일확인하여이상유무보고 5. 용역업체에서사용하는 PC 등은인터넷연결을금지하되, 사업수행상 연결이필요한경우에는발주기관의보안통하에한적허용 6. 발주기관및용역업체전산망에서 P2P, 사이트로의접속을방화벽등을이용해원천차단 웹하드등인터넷자료공유 39 조 ( 용역사업종료단계 ) 1 분임정보보안관리자는최종용역산출물중 대외보안이요구되는자료는대외비이상으로작성 관리하고불필요한 자료는반드시삭및폐기하여야한다. 2 분임정보보안관리자는용역업체에공한자료 장비 문서및중간 최종산출물등사업관련반자료를확인하여전량회수하며, 복사본등별도보관을금지시켜야한다. 3 분임정보보안관리자는사업완료후업체소유 업체에 PC 서버의하드디스크 휴대용저장매체등전자기록저장매체는국가정보원장이안전성을검증한 삭 4 S/W 로완전삭후반출하여야한다. 분임정보보안관리자는2항의용역사업관련자료회수및삭조치 후에용역업체가용역산출물의복사본등용역사업관련자료를보유 하고있지않다는용역업체대표명의보안확약서를징구하여야한다. 40 조 ( 용역사업보안관리실태점검 ) 정보보안담당관은정보화용역사업관련규정에서정한보안대책에대한이행실태를주기적으로점검하여야한다. 부 칙 이지침은원장의승인을받은날부터시행한다.
< 별지1 호> 정보보안업무세부추진계획 1. 활동목표 2. 기본방침 3. 세부추진계획 분야별사업명세부추진계획주관 관련부서 비고 보안성검토대상여부표기 4. 전년도보안감사 지도방문시도출내용과조치내역 도출내용조치내역담당부서 형식위주의계획수립을지양하고소속기관의추진계획을종합, 자체실정에 맞게작성
< 별지2 호> 정보보안업무심사분석 1. 총평 2. 주요성과및추진사항 3. 세부사업별실적분석 추진계획추진실적문점개선대책 추진실적은목표량과대비하여성과달성도를계량화 4. 부진( 미진) 사업 부진사업원인및이유익년도추진계획 5. 애로및건의사항 6. 첨부( 정보통신망및정보보호시스템운용현황등)
< 별지3 호> 정보시스템 (PC 노트북등 ) 관리대장 < 관리책임자 : 각팀장> 연번 소속 취급자 ( 성명) 종류 (PC 노트북등) 관리번호도입일자 IP
< 별지4 호> 정보시스템 (PC 노트북등 ) 반출 입대장 < 관리책임자 : 각팀장> 장비명 관리번호 ( 시리얼번호) 사용자 용도 전출입일시 ( 입 출구분) 확인
< 별지5 호> 계정발급 ( 삭 ) 신청서 ( 접근어신청서 ) 작성자 팀장 정보보안담당자 정보보안관리자 [ 신청정보] 소속사 성명 e-mail 부서/ 팀명 전화번호 신청일자 신청근거 [ 세부내역] 구분 내용 신청구분 신규 연장 삭요청 작업자 서버접근허용대상 사용자 ID 목적지주소 (Destination IP Address) 접근서버 포트 신청기간 사용용도 조치사항
< 별지6 호> 사용자계정관리대장 ( 접근어사용자관리대장 ) No. 회사명 사용자그룹 사용자명사용자 ID 사용자권한 등록일자 계정사용만료일자
< 별지7 호> 관리자계정 ( 비밀번호 ) 관리대장 담당자 관리자 No. 시스템명분류위치 ID Password 관리자( 성명)
< 별지8 호> VPN 허용신청서 작성자 팀장 정보보안담당자 정보보안관리자 [ 신청정보] 소속부서/ 팀명 성명전화번호 신청일자 [ 세부내역] 구분내용 신청구분 신규 재발급 기간연장 삭 사용기간 접속대상 VPN VPN (http://vpn.kocca.kr) win8 이상미지원 VPN2 (https://vpn2.kocca.kr:10443) 아이디 신청사유 [ 조치결과] 조치사항 ( IDC 담당자가기재 )
< 별지9 호> 상용메일허용신청서 작성자 팀장 정보보안담당자 정보보안관리자 [ 신청정보] 소속 KOCCA 부서/ 팀명 성명전화번호 신청일자 [ 세부내역] 구분내용 신청구분 신규 기간연장 삭 사용기간... ~... 상용메일 네이버 네이트 다음 지메일 기타 ( ) 신청 IP ( 사용자IP) 신청사유 [ 조치결과] 조치사항 ( IDC 담당자가기재 )
< 별지10 호> 네임서버도메인등록 ( 변경 ) 신청서 작성자 팀장 정보보안담당자 정보보안관리자 [ 신청정보] 서비스명 성명 신청일자 부서/ 팀명 전화번호 서비스담당자 [ 세부내역] 구분 내용 신청구분 신규 서비스수정 일시중단 서비스종료 서비스 URL 서비스 WEB WAS DBMS SSL IPIN 본인인증 공인인증 DNS 휴대폰본인인증 서버위치 IDC 문화정보원 기타외부( ) 서비스운영조직 IDC 운영팀 외부 ( ) 서비스기간 백업보존기간 1 년 2 년 기타 ( ) 개인정보보유여부 X 조치사항
< 별지11 호> 방화벽정책등록신청서 작성자팀장 정보보안담당자 정보보안관리자 [ 신청정보] 소속사 성명 e-mail 부서/ 팀명 전화번호 신청일자 신청근거 [ 세부내역] 구분 내용 신청구분 IP 신규 Port 허용 삭요청 작업 IP 포트허용대상 출발지주소 (Source IP Address) 목적지주소 (Destination IP Address) 요청포트 TCP Port UDP Port 신청기간 사용용도 조치사항
< 별지12 호> 휴대용저장매체관리대장 ( 일반용 ) < 관리책임자 : 각팀장> 연번 관리번호 ( S / N ) 매체형태등록일자취급자불용처리일자불용처리방법 ( 재사용용도) 비고
< 별지13 호> 연번 관리번호 ( S / N ) 휴대용저장매체관리대장 ( 비밀용 ) < 관리책임자 : 각팀장> 등급매체형태등록일자취급자불용처리일자불용처리방법 ( 재사용용도) 비고 ( 사유)
< 별지14 호> 휴대용저장매체반출 입대장 < 관리책임자 : 각팀장> 장비명 관리번호 ( 시리얼번호) 사용자 용도 전출입일시 ( 입 출구분) 비고
< 별지15 호> 인수자료관리대장 No. 인수자료목록인수일자구분담당자 용역업체담당자... 문서 파일
< 별지16 호> 보안서약서 본인은년월일부로과관련한업무연구개발작입찰기타를수행함에있어다음사항을준수할것을엄숙히서약합니다나는과관련된소관업무가기밀사항임을인정하고반보안관계규정및지침을성실히수행한다나는이기밀을누설함이국가이익을침해할수도있음을인식하고재직중은물론퇴직후에도알게된모든기밀사항을일체타인에게누설하지아니한다나는기밀을누설한때에는아래의관계법규에따라엄중한처벌을받을것을서약한다가전자정부법조금지행위및조벌칙년월일 서약자 소 속 직 급 직 위 생 년 월 일 성 명 날인또는서명 한국콘텐츠진흥원귀하
< 별지17 호> 보안확약서 본인은귀기관과계약한의수행을완료함에있어다음각호의보안사항에대한준수책임이있음을서약하며이에확약서를출합니다 본업체는업체및사업참여자가사업수행중취득한모든자료를반납및파기하여복사본등용역사업관련자료를보유하지않으며취득한정보에대한유출을절대금지하겠습니다본업체는하도급업체에대해상기항과동일한보안사항준수책임을확인하고보안확약서를징구하였으며하도급업체가위의보안사항을위반할경우에주사업자로서이에동일한법적책임을지겠습니다본업체는상기보안사항을위반할경우에귀기관의사업에참여한또는기타관련법규에따른책임과손해배상을감수하겠습니다 년월일 상 호 서약자 대표자 사업자등록번호 생년월일 성명날인또는서명 한국콘텐츠진흥원귀하