정보보안업무규칙 제정 2012.02.22. 개정 2012.07.01. 국제식물검역인증원규칙제 08 호 개정 2013.04.01. 국제식물검역인증원규칙제 15 호 제1장총칙제1조 ( 목적 ) 이규칙은국제식물검역인증원 ( 이하 인증원 이라한다.) 이보유하고있는정보자산의유출및파괴를예방하고내 외부위험요소로부터정보화시스템의안정적운영과업무영속성유지에필요한세부사항을규정함을목적으로한다. 제 2 조 ( 적용범위 ) 인증원의정보보안업무에관하여관계법령및인증원의 다른규정에서정하는것을제외하고는이규칙이정하는바에따른다. 제3조 ( 용어의정의 ) 이규칙에서사용하는용어의정의는다음과같다. 1. 정보통신망 이라함은유 무선을매개로하는다양한정보통신수단에의하여부호 문자 음향 영상등의정보를수집 가공 저장 검색 송수신하는정보통신체제를말한다. 2. 정보보안 또는 정보보호 라함은정보시스템및정보통신망으로수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지하거나정보통신망을보호하기위하여관리적 물리적 기술적수단을강구하는일체의행위를말한다. 3. 정보보호시스템 이라함은정보의수집 저장 검색 송신 수신시정보의유출, 위 변조, 훼손등을방지하기위한기술적수단을말한다. 4. 정보시스템 이라함은서버 PC 등단말기, 보조기억매체, 네트워크장치, 응용프로그램등정보의수집 가공 저장 검색 송수신에필요한하드웨어및소프트웨어를말한다. 5. 정보통신망 이라함은전기통신기본법제2조규정에의한전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을 - 1 -
활용하여정보를수집 가공 저장 검색 송수신하는정보통신체제를말한다. 6. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 7. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 8. 전자정보 라함은전산장비에의하여전자기적인형태로입력 보관되어있는각종정보 (data) 를말하며, 그자료가입력되어있는자기테이프, 디스크등보조기억매체를포함한다. 9. 안전측정 이라함은해킹 컴퓨터바이러스, 서비스방해, 도청등각종위협요소로부터정보통신망에대한정보보안취약점을진단하기위한제반활동을말한다. 10. 국가용보안시스템 이라함은중요자료의보호를위하여국가정보원장이개발하거나안전성을검증한정보보호시스템을말한다. 11. 국가용보안시스템제작업체 ( 이하 제작업체 라한다 ) 라함은국가용보안시스템의제작권을획득한업체를말한다. 12. 보조기억매체 라함은이동형하드디스크 (HDD), USB 메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등자료를저장할수있는일체의것으로 PC 등의정보통신시스템과분리할수있는기억장치를말한다. < 개정 2012.07.01.> 13. 보조기억매체관리책임자 ( 이하 관리책임자 라한다 ) 라함은인증원직제규정제4조에의거각팀 사무소의보조기억매체관리상의책임을맡은팀 사무소장을말한다. < 개정 2012.07.01.> 14. 보조기억매체취급자 ( 이하 취급자 라한다 ) 라함은해당보조기억매체를사용하는자를말한다. 15. 보조기억매체관리시스템 ( 이하 관리시스템 이라한다 ) 이라함은보조기억매체의등록, 파기, 재사용, 반출 입, 불용처리현황등에관하여전자적으로처리하는시스템을말한다. 16. 보조기억매체관리번호 ( 이하 관리번호 라한다 ) 라함은사용중인보조기억매체의식별및관리를용이하게하기위하여부여한번호를말한다. 17. 공인인증서보관용보조기억매체중 업무용 이라함은업무와관련하여신분확인등에활용되는것을말한다. - 2 -
18. 공인인증서보관용보조기억매체중 개인용 이라함은인터넷뱅킹 등사적인목적으로활용되는것을말한다. 제 4 조 ( 다른법령과의관계 ) 이규칙에명시되지아니한사항은 국가정보 보안기본지침 에따른다. < 개정 2012.07.01.> 제2장정보보안기본활동제5조 ( 정보보안기본활동 ) 인증원은정보보안을위하여다음각호의기본활동을수행하여야한다. 1. 정보보안기본계획수립 시행 2. 정보보안관련규정 규칙등제 개정 3. 정보보안담당관및담당자지정 4. 정보보안업무지도 감독 5. 정보보안감사및심사분석 6. 정보보안관리실태평가 7. 사이버공격초동조치및대응 8. 정보보안예산및전문인력확보 9. 정보보안사고조사결과처리 10. 정보보안교육및정보협력 11. 정보통신망보안대책의수립 시행 12. 안전센터운영및관련규정제 개정 13. 기타정보보안관련사항 제6조 ( 정보보안담당관 ) 1 인증원의정보보안담당관은운영지원팀장으로한다. 2 정보보안담당관은인증원내정보보안업무를총괄한다. 3 정보보안담당관은인증원의효율적정보보안의업무를수행하기위하여다음각호의시책을강구하여야한다. 1. 정보보안관련전문기술인력확보및양성에관한사항 2. 정보보안교육및홍보등에관한사항 5 각사무소장은사무소정보보안업무담당자를지정하여효율적인정보보안업무를수행하여야한다. - 3 -
제7조 ( 정보보안점검 ) 1 인증원은제5조에따라정보보안업무에대한정보보안점검을수시로실시하여야한다. 2 정보보안지도점검은제도적인문제점발굴에중점을두고실시하여야하며도출된취약요인은근본적인대책을수립 시행하여야한다. 제8조 ( 재난방지 ) 1 인증원은인위적또는자연적인원인으로인한정보통신망의장애발생에대비하여정보시스템이원화, 백업관리, 복구등종합적인재난방지대책을수립 시행하여야한다. 2 인증원은재난방지대책을정기적으로시험하고검토해야하며업무연속성에대한영향평가를실시하여야한다. 3 인증원은정보시스템장애에대비한백업시설을확보하고정기적으로백업을수행하여야한다. 4 인증원은제3항에의거백업시설을설치할경우에는서버와물리적으로일정거리이상위치한안전한장소에설치하여야하며전력공급원분리등정보시스템가용성을최대화할수있도록하여야한다. 제9조 ( 사이버보안진단의날 운영 ) 1 인증원은매월세번째수요일을 사이버보안진단의날 로지정 운용한다. 2 정보보안담당관은 사이버보안진단의날 에소관정보통신망을대상으로악성코드감염여부와정보시스템의보안취약여부등정보보안업무전반에대하여별표1 서식에의거체계적이고종합적인보안진단을실시하여야한다. 제10조 ( 정보보안위규 ) 1 정보보안위규사항은별표 2와같다. 2 인증원은국가안보및국가이익에중대한영향을미칠수있다고판단되는정보보안위규에대해서는가장신속한방법으로관련기관에통보하여야한다. 3 제2항에따라정보보안위규를통보하는경우에는위규자, 위규내용및조치사항을포함하여야한다. 제11( 보안사고처리및조사 ) 1 인증원은별표 3의정보보안사고가발생한때에는즉시피해를최소화하도록조치하고다음각호사항을기록하여야한다. - 4 -
1. 일시및장소 2. 사고원인, 피해현황등개요 3. 사고자및관계자의인적사항 4. 조치내용 2 인증원은사고조사결과피해가심각하다고판단되는경우관련기관에합동조사및복구지원팀을요청할수있다. 3 인증원은규정에의한관련자징계, 재발방지를위한보안대책의수립 시행등사고조사결과에따라필요한조치를하여야한다. 제12조 ( 보안담당자 ) 1 보안담당자는정보보안담당관을보좌하여효율적인정보보안업무를수행하기위하여제5조및다음각호의기본활동을수행하여야한다. 1. 사이버보안진단의날 이행및감독에관한사항 2. 보안 USB내의악성코드유무에대한주기적점검에관한사항 3. 외부로부터파견된직원에대한침입차단시스템포트허용신청에대한사항 4. 망분리의경우인터넷전용 PC내의자료저장및편집기능이있는소프트웨어의설치여부에대한주기적점검에대한사항 5. 업무용 PC 및인터넷전용 PC내비인가불법소프트웨어설치및사용유무에대한주기적점검에대한사항 6. USB 등보조기억매체의등록등사용에관한사항 제3장교육제13조 ( 정보보안교육 ) 1 인증원은정보보안교육계획을수립하고시행하여야한다. 2 인증원은정보보안교육의효율성제고를위해자체실정에맞는교육교안을작성활용한다. 3인증원은정보보안관련전문기관교육및기술세미나참석을장려하는등정보보안담당자의업무전문성을제고하기위하여노력하여야한다. 제 4 장정보보안 - 5 -
제14조 ( 정보통신망보안성검토 ) 1 인증원은다음각호의경우에대하여는자체보안대책을강구하여야한다. 1. 유 무선네트워크를신 증설하거나서버등정보시스템을구축또는교체하고자하는경우 2. 내부정보통신망을외부망과연결하고자하는경우 3. 국가용보안시스템또는국가정보원장이개발하거나안전성을검증한정보보호시스템을도입운용하고자할경우 4. 원격근무지원등을위해시스템을도입하는경우 5. 외부기관및업체의보안감리또는보안컨설팅 ( 보안취약점분석 평가포함 ) 을받거나정보처리 보안관제등의업무를위탁할경우 6. 기타정보통신운용환경변화로인하여보안성검토가필요하다고인정되는경우 2 정보통신망보안성검토는다음각호의서류에대하여실한다. 1. 사업목적및추진계획 2. 사업계획서 3. 기술제안요청서 (RFP) 4. 정보통신망구성도 5. 자체보안대책강구사항 3 제2항제5호의자체보안대책강구사항에는다음각호를포함하여야한다. 1. 보안관리수행체계 ( 조직, 인원 ) 등관리적보안대책 2. 정보시스템설치장소에대한보안관리방안등물리적보안대책 3. 국가용보안시스템또는검증필정보보호시스템도입및운용계획 4. 국가기관간망연동시해당기관간보안관리협의사항 5. 서버, 단말기, 보조기억매체, 네트워크등정보통신망의요소별기술적보안대책 6. 재난복구계획또는상시운용계획 4 인증원은정보통신망보안성검토결과신속한시정이필요하다고인정되는경우에는지체없이조치하여야한다. 제15조 ( 전자정보보안조치 ) 1 인증원은정보통신망을통하여보관 유통되는전자정보의보안을위하여다음각호의조치를이행하여야한다. 1. 제5조의규정에의한정보보안기본활동수행 - 6 -
2. 전자정보보안대책이행 3. 정보보호시스템의도입운용 4. 정보통신망보안대책의수립 시행 5. 국가정보원장이발행한규칙 매뉴얼및각종권고사항의이행 6. 기타전자정보보안을위하여필요하다고인정되는보안대책의이행 2 인증원은제1항제4호의규정에의한정보통신망보안대책수립 시행에필요한별도의규칙 매뉴얼을작성배포한다. 제16조 ( 일반전자정보보호등급분류 ) 1 인증원은중요전자정보의효율적보호를위하여다음각호에해당하는경우에는보호등급으로분류하여야한다. 1. 최초로정보통신망을신설하여전자정보의보호등급구분이필요한경우 2. 현재운용중인정보통신망을재구성할경우 3. 기타보호등급이필요하다고인정되는경우 2 제1항의규정에의한전자정보의보호등급분류는다음각호와같이구분한다. 1. 가 급보호등급자료유출또는손상되는경우인증원의업무수행에중대한장애를초래하거나개인신상에심각한영향을줄수있는전자정보 2. 나 급보호등급자료유출또는손상되는경우인증원의업무수행에장애를초래하거나개인신상에영향을줄수있는전자정보 3. 다 급보호등급자료유출또는손상되는경우인증원의업무수행및기관의이미지에경미한영향을줄수있는전자정보 3 인증원은제2항의규정에따라전자정보보호등급을분류하기위한자체기준을수립하여야한다. 제17조 ( 비밀전자정보보안대책 ) 1 비밀등중요전자정보를정보통신망을이용하여생산 보관 분류 열람 출력 송수신 이관하는등전자적으로처리하기위해서는국가용보안시스템을사용하여암호화하는등운영지원팀장이안전성을확인한보안조치를수행하여야한다. - 7 -
2 비밀을전자적으로생산하고자할때에는해당비밀등급과예고문을입력하여열람또는출력시비밀등급이자동으로표시되도록하여야한다. 3 비밀을전자적으로생산 열람 출력 송수신 이관시에는관련사항을전자적으로기록유지하여야하며송수신시에는정당성확인및부인을방지하기위하여전자적으로생성된영수증을사용하여야한다. 4 비밀생산을완료한경우에는 PC에입력된비밀내용을삭제하여야한다. 다만, 업무상계속보관이필요한경우에는관리책임자의승인하에삭제하지아니할수있다. 이경우에는비밀을저장할보조기억매체를별도로지정사용하거나 PC 내에독립된폴더를지정, 국가용보안시스템을사용하여암호화하는등적절한보안대책을강구하여야한다. 5 전자적으로처리된비밀을종이문서로출력한이후의취급관리는 보안업무취급요령 을따른다. 6 제1항에의한보안조치중이규칙에명시되지않은세부사항은국가정보원장이제정한 전자문서보안조치수행지침 을따른다. 제18조 ( 전자정보보안관리 ) 1 인증원은전자정보에대한유출이나파괴또는변조등에대비하여다음각호에정하는보호대책을강구하여야한다. 1. 자료복사본 ( 예비 ) 확보및안전지역별도보관 2. 전자정보및장비의반출또는반입통제 3. 불법접근및컴퓨터바이러스 ( 이하 악성코드 라한다 ) 피해예방 4. 전자정보접근권한구분 통제 5. 예비 (Back up) 체계수립 시행 2 전자정보를입력저장하기위한보조기억매체는각매체별로별개의관리번호를부여관리하여야하며, 비밀등중요자료가입력된보조기억매체는제31조내지제32조를준용관리하여야한다. 3 보조기억매체를활용하는팀 사무소의관리담당자는분기1회이상보유현황및관리실태를점검하고관리책임자의확인을받아야한다. < 개정 2012.07.01.> 4 비밀로분류하지않더라도민감한보고서나자료에대해서는자료별접근비밀번호를사용한다. - 8 -
제19조 ( 정보통신망현황 자료관리 ) 1 인증원은다음각호에해당하는정보통신망관련현황 자료관리에유의하여야한다. 1. 정보시스템운용현황 2. 정보통신망구성현황 3. IP 할당현황 4. 주요정보화사업추진현황 2 인증원은다음각호의자료를대외비로분류하여관리하여야한다. 1. 정보통신망세부구성현황 (IP 세부할당현황포함 ) 2. 국가용보안시스템운용현황 3. 보안취약점분석 평가결과물 4. 정보시스템관리대장 ( 별지제3호서식 ) 5. 기타보호할필요가있는정보통신망관련자료 3 정보통신망에비밀번호를저장하고자할경우에는암호화하여보관하여야하고, 서버등주요정보시스템의비밀번호를종합기록관리하고자할경우에는정보시스템관리대장에등재하여분류관리하여야한다. 4 제2항에명시되지않은정보통신망관련사항은농림축산식품부정보보안업무규정에따른다. < 개정 2013.04.01.> 제20조 ( 용역사업보안관리 ) 1 인증원은정보화 정보보호사업및보안감리 보안컨설팅수행등을외부용역으로추진할경우사전보안성검토를거친보안대책을수립 시행하여야한다. 2 인증원은제1항과관련용역사업계약시계약서에용역사업참가직원의보안준수사항과위반시손해배상책임등을명시하여야한다. 3 정보통신망도 IP현황등용역업체에제공할자료는자료인계인수대장을비치, 보안조치후인계 인수하고무단복사 외부반출을금지한다. 4 정보보안담당관은용역업체의노트북등관련장비를반입 반출시마다악성코드감염여부, 자료무단반출여부를확인하는등보안조치를취하여야한다. 5 용역사업종료시외부업체의노트북 보조기억매체등을통해기관내부자료및용역결과물이유출되는것을방지하기위해복구가불가능하도록완전삭제 포맷및필요시자성소거등보안조치를확행하여야한다. 6 인증원은용역업체로부터용역결과물을전량회수하고비인가자에게 - 9 -
제공 대여 열람을금지하는등관리를철저히하여야한다. 제21조 ( 위탁운영보안관리 ) 1 원장은업무용시스템이나홈페이지운영을웹호스팅등으로외부에위탁하는경우위탁기관 ( 업체 ) 에대하여계약서또는서비스수준협약등에보안대책 ( 별지제 4호비밀유지서약서 ) 및책임범위, 비상대책을명시하는등의보안조치를수행하여야한다. 2 원장은위탁기관 ( 업체 ) 의보안관련위반사항이나침해사고발생시경위를확인하고, 재발방지대책을강구하여야하며이를확인하여야한다. 제22조 ( 정보시스템보안관리 ) 1 인증원은정보시스템의효율적인보안관리를위하여정보시스템별로관리책임자 ( 이하 시스템관리자 라한다 ) 를지정 운영하여야한다. 2 시스템관리자는각종서버 PC 정보통신장비등정보시스템이비인가자에게불필요한서비스를허용하지않도록보안기능을설정하여야한다. 3 시스템관리자는보안도구를이용하여정보시스템의보안취약성을진단하여야하며이경우해당정보시스템에대한접속 접근기록 ( 일시, 사용자, 대상, 제목, 방법등 ) 을관리하여야한다. 4 시스템관리자는다음각호와같이자동수록된접근자료 (Log Data) 를관리하여야한다. 1. 접근자료는접속의성공여부와무관하게기록유지 2. 정보시스템접근기록은매일점검하고, 분석내용을분기별관리책임자에게보고 3. 자동수록된자료는보안사고발생시확인등을위하여 1년이상보관 ( 백업자료포함 ) 4. 접근자료의외부유출방지를위한보안대책강구 5. 3회이상접속시도의오류가발생하는경우경보발생및시스템관리자에통보기능부여 5 시스템관리자는정보시스템의보유자료에대해업무별, 자료별중요도에따라접근권한을차등부여하여야한다. 이경우사용자별자료접근범위는등록하여인가여부를식별토록하고인가된범위이외의자료접근을통제하여야한다. 6 시스템관리자가비인가자의정보시스템에침입사실을인지한경우에는정보시스템의보호를위한접속차단등초동조치를취하고지체없이 - 10 -
정보보안담당관에게통보하여야한다. 7 시스템관리자는정보시스템에대하여외부업체의원격유지보수작업을허용하여서는아니된다. 다만, 부득이한경우에는제21조에따라필요한보안대책을강구한후허용할수있으며, 이때에도원격유지보수내용을확인감독하여반드시기록을남겨야한다. 8 시스템관리자는정보시스템을운영하기위한업무대행자를지정하여서는안된다. 다만, 부득이한경우에는필요한보안조치를수행하여야한다. 제23조 (PC 등보안관리 ) 1 정보보안담당관은단말기를포함한 PC, 노트북등 ( 이하 개인용장비 이라한다 ) 을사용할경우에는사용자또는관리책임자를지정하여야한다. 이경우사용자를별지제3호서식의정보시스템관리대장에등재하고전산장비관리책임자표시를장비우측에부착하며제28조 ( 사용자계정 ) 내지제29조 ( 비밀번호관리 ) 의규정을준용하여야한다. 2 관리책임자는비인가자가무단으로개인용장비등을조작하여전자정보를유출하거나위 변조및훼손시키지못하도록다음각호에정한보호대책을강구하여야한다. 1. 장비별 자료별 사용자별비밀번호사용 2. 10분이상 PC 작업중단시화면보호설정및비밀번호조치 ( 비밀번호가있는화면보호기사용 ) 3. 백신및 PC용침입차단시스템등운용 4. P2P 등업무와무관하거나보안에취약한프로그램의사용금지 3 관리책임자는개인용장비를공유하여사용하는것을금지하여야한다. 4 관리책임자는개인용장비등을교체 반납 폐기하거나고장으로외부에수리를의뢰할필요가있을경우에는하드디스크에수록된자료가유출, 훼손되지않도록보안조치를강구하여야한다. 5 인증원은정보보안업무세부규칙별지제8호서식에따라인증원의업무용노트북 PC, PDA 등휴대용단말기의운용현황을파악하여관리하여야하며, 해당팀 사무소장은반출또는반입시최신백신을활용하여해킹프로그램및웜 바이러스감염여부를점검하여야한다. 6 개인소유의기기는인증원내부로반출또는반입하여사용하여서는안된다. 다만, 부득이한경우에는정보보안담당관의승인을받아보안조치를한후반출또는반입할수있다. - 11 -
제24조 ( 전자우편등보안관리 ) 1 시스템관리자는전자우편사용자가보안조치없이전자우편을이용한비밀및중요자료전송을금지하고출처가불분명한전자우편의경우열람하지말고삭제하여야한다. 2 인터넷을통한불법프로그램다운로드를금지한다. 3 인증원은 PC 등에서음란 도박 증권등업무와무관한인터넷사이트접근에대한통제대책을강구하여야한다. 4 시스템관리자는이메일서버의내 외부용구분등적절한보안대책을수립후설치 운영하여야한다. 5 인증원은전자우편시스템에악성메일 ( 스팸메일, 피싱메일, 웜바이러스등 ) 을차단하기위하여바이러스월, 스팸필터링등기술적장치를도입 활용하여야한다. 6 인증원은전자우편을자택등외부에서사용하지못하도록하여야하며, 부득이한경우원격근무로간주하여 VPN 등별도의보안조치를수행하여야한다. 제25조 ( 웹서버등보안관리 ) 1 시스템관리자는외부인에게공개할목적으로설치되는웹서버등각종공개서버는내부망과분리하여운영하고보안적합성이검증된보안시스템을설치하는등보안대책을강구하여야한다. 2 시스템관리자는서버에접근할수있는사용자계정을제한하며불필요한계정은삭제하여야한다. 3 공개서버는업무서비스를제외한모든서비스및시험 개발도구등의사용을제한하도록보안기능을설정하여야하며보안측정을통해보안취약성을수시로점검하고자료의위 변조, 훼손여부를확인하여야한다. 4 시스템관리자는보안사고에대비하여서버에저장된자료의철저한백업체계를구축하여야하며공개서버를통해개인정보가유출, 위 변조되지않도록보안대책을수립 시행하여야한다. 제26조 ( 홈페이지보안관리 ) 1 인증원은홈페이지게시자료에대하여자료게시담당자를지정하고, 자체보안심사심의를거치는등의보안대책을수행하여야한다. 다만, 사안이경미하다고판단하는경우에는심의등의절차를생략할수있다 - 12 -
2 인증원은홈페이지개통이나서비스를개시하기전에서비스운용목표 방침, 게시물공개범위, 담당자등을지정 관리하여야한다. 3 인증원은홈페이지를통한개인정보노출차단을위하여필터링시스템도입, 담당자지정모니터링, 교육, 주기적취약점점검등의대책을수립시행하여야한다. 4 인증원은한시적홈페이지 ( 행사용홈페이지등 ) 및개발용홈페이지등불필요한홈페이지에대하여관리하여야한다. 5 인증원은홈페이지관리자권한에대하여관리자페이지외부접속차단, 인증등의보안대책을수립시행하여야한다. 제27조 ( 상용망등외부망연동 ) 1 인증원은중앙행정부처또는다른기관과의정보통신망과연결사용하고자할경우에는보안관리책임한계설정과전자정보제공범위및이용자접근제한등정보통신망에대한보안대책을수립 시행하여야한다. 2 인증원은외부망과연결에따른보안취약성해소를위하여접속자료를주기적으로분석하고보안도구를이용한정보통신망보안측정을통해취약성을수시점검하여야한다. 3 인증원은정보통신망을상용망 ( 인터넷포함 ) 등외부망과접속하고자할경우에는비인가자의무단침입을방지하기위하여보안적합성이검증된침입차단 탐지시스템설치운용등보안대책을강구하여야한다. 4 인증원은정보통신망및정보시스템에사용되는 IP주소를체계적으로관리하여야한다. 이경우내부정보시스템을보호하기위하여사설주소체계 (NAT : Network Address Translation) 를사용한다. 5 인증원은직원이외의이용자가상용망을이용하기위해정보통신망이용요청이있을경우에는내부망에접근할수있는 IP부여를금해야한다. 6 인증원은인터넷을통한불법사이트접속이나프로그램다운로드를금지하여야하며개인용장비에음란 도박 증권등업무와무관한인터넷사이트접근에대한통제대책을강구하여야한다. 제28조 ( 사용자계정관리 ) 1 시스템관리자는사용자계정 (ID) 의비인가자도용및정보시스템불법접속에대비하여다음각호의사항을반영하여관리하여야한다. - 13 -
1. 사용자별또는그룹별로접근권한부여 2. 외부사용자의계정부여는불허하되부득이한경우에는정보보안담당관책임하에유효기간을설정하는등보안조치를강구한후허용 3. 비밀번호가없는사용자계정은사용금지 2 시스템관리자는사용자계정의등록 변경 폐기시정보보안담당관에게그결과를보고하여야한다. 3 시스템관리자는 3회에걸쳐사용자인증실패시정보시스템접속을중지시키고비인가자침입여부를확인점검하여야한다. 4 시스템관리자는퇴직또는보직변경발생시사용하지않는사용자계정및비밀번호를신속히삭제하여야한다. 제29조 ( 비밀번호관리 ) 1 시스템관리자는정보시스템의무단사용방지를위하여다음과같이구분사용하여야한다. 1. 비인가자의정보시스템접근방지를위한장비접근용비밀번호 (1차) 2. 사용자가정보시스템접속시인가된인원인지여부를확인하는사용자인증 (2차) 3. 문서에대한열람 수정및출력등사용권한을제한할수있는자료별비밀번호 (3차) 2 시스템관리자는보안이필요한중요자료에는반드시자료별비밀번호를부여하여야한다. 3 시스템관리자는비밀번호를다음각호사항을반영하여숫자와문자, 특수문자등으로 8자리이상으로정하고분기1회이상주기적으로변경사용하여야한다. 1. 사용자계정 (ID) 과동일하지않은것 2. 개인신상및팀 사무소의명칭등과관계가없는것 < 개정 2012.07.01.> 3. 일반사전에등록된단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 이미사용된비밀번호는재사용하지말것 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능사용금지 4 서버에등록되어있는비밀번호는암호화하여보관하여야하며주요 - 14 -
전자정보에접속하는개인용장비등의비밀번호는종합기록관리하여야 한다. 이경우에는별지제 3 호서식의정보시스템관리대장대외비이상 으로분류관리하여야한다. 제30조 ( 로그인관리 ) 1 원장은업무용시스템및홈페이지등정보시스템로그인시정보통신망으로소통되는사용자계정및비밀번호등에대하여암호화등보안대책을수립 시행하여야한다. 2 원장은개인정보, 비공개정보를처리하는중요업무용시스템에대하여로그인시실패횟수를제한하고, 로그인시최종접속기록표시, 사용시주의사항 표시, 일정시간미사용시시스템자동로그아웃등의보안조치를수행하여야한다. 3 원장은업무용시스템, 홈페이지등정보시스템로그인에대한접근자료 ( 일시, 접근주소 (IP), 사용자, 서비스등 ) 를기록관리하여야한다. 제5장 USB메모리등보조기억매체보안관리제31조 (USB메모리및관리시스템도입절차 ) 1 원장은 USB 메모리를도입할경우그제품의안전성을위하여다음각호에해당하는필수보안기능의유무를검증한다. 1. 사용자식별 인증기능 2. 지정데이터암 복호화기능 3. 저장된자료의임의복제방지기능 4. 분실시저장데이터의보호를위한삭제기능 2 제1항제2호의지정데이터암 복호화기능은자료를 USB메모리에보관하는경우로한하며, 비밀자료를 PC에보관하거나소통하고자할경우에는국가정보원이개발 보급한암호장비 자재등국가용보안시스템을사용하여야한다. 3 원장은운용중인보조기억매체를안전하게관리하기위하여관리시스템을구축할수있다. 이경우별지제9호내지별지제15호서식에갈음할수있다. 제 32 조 ( 보조기억매체사용 ) 1 인증원은보조기억매체를등록한후사용하 - 15 -
여야한다. 2 보조기억매체의등록방법은제34조의규정에따라별지제9호내지별지제11호서식을이용하여보조기억매체관리대장 ( 이하 관리대장 이라한다 ) 에등재하는것을말한다. 제33조 ( 보조기억매체사용제한 ) 1 인증원은등록된보조기억매체만사용할수있으며업무목적이외사적인용도로사용할수없다. 다만, 공인인증서용 ( 업무용, 개인용 ) 에한하여등록후개인소지및사용을하게할수있다. 2 원장은그소속직원에게공지 교육을통하여보조기억매체의임의사용을제한하여야하고이에대하여주기적인점검을실시하여야한다. 제34조 ( 관리책임자 ) 1 인증원은보조기억매체는각팀 사무소장책임하에관리하는것을원칙으로하며그팀 사무소장을 관리책임자 라칭한다. 2 관리책임자는별지제8호내지별지제11호서식의일반용, 비밀용그리고공인인증서용보조기억매체관리대장 ( 이하 관리대장 이라한다 ) 을각각비치하여야한다. 3 관리책임자는관리대장에최종변경된보조기억매체의등록현황을등재하여야하며사본 1부를정보보안담당관에게제출하여야한다. 4 관리책임자는월 1회이상보조기억매체수량및보관상태를점검하고별지제11호서식에따라확인 서명하여야한다. 5 관리책임자는보조기억매체의반 출입을통제하여야하며별지제13호서식에따라기록하여야한다. 이때반 출입은업무상목적 ( 별지제13호서식의 용도 참조 ) 에한한다. 다만, 사적소지가허용된공인인증서용은제외한다. 6 관리책임자는소속직원이미등록보조기억매체를사용하거나공인인증서용보조기억매체에업무자료를보관하지않도록감독하여야하며이를위반한사실을발견또는확인하는즉시정보보안담당관에게통지하여야한다. 제35조 ( 정보보안담당관의책무 ) 1 정보보안담당관은각팀 사무소에서사용하는보조기억매체등록현황을파악하여야한다. 이경우각팀 사무소별관리대장사본을비치 관리하는것으로갈음할수있다. - 16 -
2 정보보안담당관은각팀 사무소별관리책임자가별지제14호서식에따라보조기억매체라벨작성및별지제15호서식에따라불용처리확인을요청하는경우에는확인한후날인하여야한다. 3 정보보안담당관은보조기억매체를일괄구입하여필요한팀 사무소에보급할수있다. 4 정보보안담당관은미등록또는공인인증서용보조기억매체에업무자료를보관하는것을인지한경우에는수록된자료현황을파악하는등의경위조사를실시하여야한다. 5 정보보안담당관은대외비이상비밀이보관된보조기억매체를무단반출하거나미등록또는공인인증서용보조기억매체에비밀을보관하고있는경우에는경위조사를실시하여야한다. 6 정보보안담당관은제5항에따라조사를실시한결과, 비밀유출이우려되거나유출징후가있는경우에는지체없이보안사고조사를하여야한다. 제36조 ( 보조기억매체의구분및관리요령 ) 1 보조기억매체는일반용, 비밀용 ( 대외비포함 ) 그리고공인인증서보관용으로구분한다. 2 일반용보조기억매체 ( 이하 일반용 이라한다 ) 의관리요령은다음과같다. 1. 일반용에는일반자료만보관하여야하며별지제8호서식의관리대장에기록하여야한다. 2. 일반용은캐비넷등에안전하게보관하여야한다. 3. 일반용에는별지제14호서식과같이기입 표시하여야한다. 4. 관리번호는팀 사무소, 일반, 연번으로한다. 이경우팀 사무소은약칭을사용할수있다.( 예 : 기획-일반-01, 기획-일반-02, 기획-일반-03 등 ) 3 대외비이상자료를보관하는비밀용보조기억매체 ( 이하 비밀용 이라한다 ) 관리요령은다음과같다. 1. 비밀용을사용할경우에는별지제10호서식의관리대장에기록하여야하며대외비이상의기밀자료가수록되어있는경우에는비밀관리기록부에도등재 관리하여야한다. 2. 비밀용은비밀자료와동일하게이중캐비넷또는금고에보관하여야한다. - 17 -
3. 비밀용에는별지제14호서식과같이기입 표시하여야한다. 4. 비밀용을사용하여비밀작업을하는경우그작업을완료하거나일시중단할때에는 PC에서즉시분리하여야한다. 5. 비밀용은해당비밀을생산하거나보관할필요가있는경우비밀등급별로각각보조기억매체를마련해야하며, 하나의보조기억매체에등급이다른비밀또는대외비를혼합보관해서는아니된다. 6. 관리번호는팀 사무소, 비밀등급, 연번으로한다. 이경우팀 사무소은약칭을사용할수있다.( 예 : 기획-Ⅱ급-01, 기획-Ⅲ급-01, 기획-대외비-01 등 ) 4 공인인증서보관용보조기억매체 ( 이하 공인인증서용 이라한다 ) 의관리요령은다음과같다. 다만, 공인인증서를 CD-R 형태의매체에보관하고있는경우에는아래의관리요령준수대상에서제외할수있다. 1. 공인인증서용에는공인인증서이외의자료를저장할수없으며별지제11호서식의관리대장에기록하여야한다. 2. 공인인증서용은소지 사용에유의하여야한다. 3. 공인인증서용에는별지제14호서식과같이기입 표시하여야한다. 4. 관리번호는팀 사무소, 인증, 연번으로한다. 이경우팀 사무소은약칭을사용할수있다.( 예 : 기획-인증-01, 기획-인증-02, 기획-인증-03 등 ) 제37조 ( 보조기억매체불용처리및재사용 ) 1 업무상목적으로사용한보조기억매체는불용처리시물리적파기를원칙으로하며그사실을관리대장에기록하여야한다. 2 일반용을타팀 사무소로이전또는용도를전환하여사용하고자할경우에는수록된자료를완전히삭제 포맷후사용하여야한다. < 개정 2012.07.01.> 3 비밀용을일반용또는다른등급의비밀용으로전환하여사용할경우또는일반용을외부기관에이전하여사용하는경우에는파일삭제 포맷및필요한경우자성소거등의파일복원방지대책을강구하여야한다. 4 공인인증서용을타팀 사무소로이전또는퇴직후사용하고자할경우업무용은그기록의삭제 변경등적절한조치후사용할수있고개인용은그등록의해지를요한다. < 개정 2012.07.01.> - 18 -
5 보조기억매체를불용처리하거나재사용하는경우에는별지제 15 호서식에 따라정보보안담당관의확인을받아야하며확인서를보관하여야한다. 제38조 ( 보조기억매체의분실, 소각시대처방안 ) 1 취급자는보조기억매체의분실또는소각등의사유가발생한즉시관리책임자에게그사실을보고하여야한다. 2 관리책임자는보조기억매체의분실또는소각사실을보고받은즉시정보보안담당관에게통지하여야한다. 다만, 공인인증서용은등록을해지하고취급자에게사용상의주의를환기시켜야한다. 3 정보보안담당관은일반용의분실또는소각사실을통지받거나인지한경우에는자체조사를실시하고재발방지대책을강구하여야한다. 제39조 ( 보조기억매체고장 훼손, 오인삭제 포맷시대처방안 ) 1 보조기억매체의고장, 자료의훼손또는자료의오인삭제, 포맷시제조의규정에의거불용처리를원칙으로한다. 다만, 자료의복구가필요한경우상용소프트웨어활용및민간업체에의뢰할수있다. 2 제1항에따라민간업체에의뢰하는경우에는정보보안담당관과협조하여보안서약서징구등적절한보안대책을강구하여야한다. 제6장사이버공격대응및조치제40조 ( 관제 ) 1 인증원은불법침입, 해킹프로그램 웜 바이러스유포등의사이버공격에신속히대응및조치하기위하여사이버침해를대응하기위한관제실 ( 이하 안전센터 라한다 ) 을구축 운영하거나이에준하는조치를취하여야한다. 2 제1항에따라구축된안전센터또는관제업무는다음각호의역할을수행한다. 1. 사이버위협관련정보의탐지및정보공유체계의구축 운영 2. 사이버공격관련경보발령시대응활동 3. 사이버침해사고대응 복구 4. 사이버침해대응보안시스템개발 운용 5. 사이버공격기법분석및공격차단등대응방안 - 19 -
6. 긴급사태에대비한정기적훈련과교육실시 7. 그밖에경보의수준별세부대응조치등필요한사항 제41조 ( 사이버공격초동조치 ) 1 인증원은소관정보시스템및정보통신망에대하여사이버공격인지시피해실태를파악하고관련로그자료를보존하여야하며, 필요시정보시스템을정보통신망과분리하는등초동조치를취하여야한다. 2 인증원은단순웜 바이러스감염등경미한사항은자체처리후별지제7호서식의사이버침해기록대장에기록하고, 중대한사항은초동조치후관련기관에통보하여야한다. 3 인증원은정보통신망마비또는중요정보자료유출등중대사고발생시초동조치를취하고, 즉시농림축산검역본부식물검역부장을경유하여국가정보원장의지원을받아야한다. < 개정 2012.07.01., 2013.04.01.> 4 제3항과관련하여해당피해시스템은사고원인규명시까지증거보전을의무화하고임의자료삭제또는포맷을하여서는안된다. 제42조 ( 사이버공격대응활동 ) 1 인증원은사이버공격대응절차를수립 시행하고이행실태를지속적으로확인 점검하여야한다. 이경우국가정보원장이제정한 국가사이버안전매뉴얼 을활용하여야한다. 2 인증원은농림축산검역본부식물검역부장이경보를발령하였을경우소관분야직원을대상으로관련사항을전파하고대응조치를이행하여야하며, 진행상황을예의주시하는등대응절차에따라신속하게대처하여야한다. < 개정 2013.04.01.> 이경우에는경보단계별조치결과를농림축산검역본부식물검역부장에게통보하여야한다. < 개정 2012.07.01., 개정 2013.04.01.> 3 제1항에구체적으로명시되지않은사항은 국가사이버안전관리규정 과 국가사이버안전매뉴얼 에따른다. 제 43 조 ( 사고통보및복구 ) 1 인증원은사이버공격으로인한사고의발생 또는징후를발견한경우에는피해를최소화하는조치를취하고지체없이 그사실을농림축산검역본부식물검역부장에게통보하여야한다. < 개정 2012.07.01., 2013.04.01.> 2 인증원은농림축산검역본부식물검역부장이사고복구및피해확산의방지를위해필요한조치를요청한경우특별한사유가없는한이에협조 - 20 -
하여야한다. < 개정 2012.07.01., 2013.04.01.> 제 7 장보칙 제 44 조 ( 다른법령과의관계 ) 이규칙에명시되지않은사항은다음각호의법령에따른다. 1. 전자정부법 및동법시행령 2. 정보통신기반보호법 및동법시행령 3. 정보및보안업무기획 조정규정 4. 보안업무규정 5. 보안업무규정시행규칙 6. 농림축산식품부정보보안기본지침 < 개정 2013.04.01.> 7. 국가사이버안전관리규정 8. 국가정보보안기술연구개발지침 9. USB 메모리등보조기억매체보안관리지침 10. RFID 보안관리지침 11. USB 형음어자재운용관리지침 12. 전자정부암호이용기반시스템운용및관리지침 13. 정보보호시스템평가 인증지침 14. 정보보호제품평가 인증수행규정 15. 연도보안업무수행지침 16. 농림축산식품부보안업무시행세칙 < 개정 2013.04.01.> 17. 기타관계법령 부 칙 이규칙은 2012 년 2 월 22 일부터시행한다. 부 칙 이규칙은 2012 년 7 월 1 일부터시행한다. 부 칙 이규칙은 2013 년 4 월 1 일부터시행한다. - 21 -
별표 1 보안진단체크리스트 번호구분점검항목결과 (o x) 1 2 pc 보안 진단실시 pc 진단프로그램 ( 내 pc 지키미 ) 가 pc 에설치되어있는가? pc 진단프로그램을 진단의날 에실행하였는가? pc 진단프로그램실행후파악된취약점을보안조치하였는가? 3 1) 바이러스백신의살치및실행여부 4 2) 바이러스백신의최신업데이트여부 5 3) 운영체제, ms offfic 의최신보안패치설치여부 6 7 진단결과 보완 4) 로그인패스워드안전성여부 5) 로그인패스워드의분기 1 회이상변경여부 8 6) 화면보호기설정여부 9 7) 사용자공유폴더설정여부 10 8) Usb 바이러스감염예방프로그램 (Usb Guard) 설치여부 11 정보화시스템저장매체불용처리규칙을알고있는가? 12 13 14 저장매체 불용처리 완전포멧의의미를알고있는가? 저장자료삭제책임범위를알고있는가? ( 개인지급장비 : 사용자책임하삭제 ) 보유비밀에대한전수조사및안전지출을실시하였는가? 15 일반보안 사무실복도, 복사기 팩스사용후문건방치여부를점검하였는가? 16 폐휴지저장소에비밀 중요문건무단유기여부를점검하였는가? - 22 -
[ 별표 2] 정보보안위규사항 조내용항세부내용 (1) 북한통신소와의불법교신 1 불법통신에 관한사항 (2) 국내침투간첩과의교신 (3) 적성국 ( 또는반국가단체 ) 통신소와의불법교신 (4) 기타반국가적인불법통신 (1) 군사전략, 군사작전계획및진행사항 (2) 군편제 임무 시설및기타부대현황 2 군사상기밀의 누설 (3) 병력 ( 군 경 예비군 ) 현황및이동상황 (4) 경찰및특수기관의장비 ( 작전 정보 수사용 ) 현황과집행사항 (5) 특수기관 군사시설의위치및이동상황 (6) 군사장비의구성 성능및발명개량연구사항 (7) 군사장비 ( 군수품등 ) 생산및공급사항 (8) 기타국가방위에영향을초래하는사항 (1) 국가외교방침, 기본계획및재외공관에발하는훈령 (2) 공개할수없는외교조약또는협약 3 외교상기밀의누설 (3) 특수임무를수행하는해외주재원의활동 ( 계획 지시 보고 ) 및신원정보에관한사항 (4) 기타국가외교에영향을초래하는사항 4 국가정보활동에 관한사항누설 (1) 대공업무와관련된사항 (2) 정보 ( 첩보 ) 수집활동에관한사항 (3) 간첩또는대공용의자발견과수사활동 (4) 정보및특수수사기관의기구또는임무기능에관한사항 - 23 -
조내용항세부내용 (5) 국가원수및기타요인의비공개행사 (6) 불명선박의발견및처리 4 국가정보활동에 관한사항 (7) 중요물자수송활동 (8) 테러, 마약, 밀수및국제범죄조직에관한정보 수사활동 (9) 적또는경쟁국에유리한과학기술및산업에관한정보 (10) 기타국가안보및공안유지에불리한영향을초래하는사항 (1) 국가용보안시스템의연구개발및제작에관한사항 (2) 암호전문을허위로조립하여송신 5 국가용보안시스템에 관한사항누설 (3) 암호를부정한목적에사용하였을때 (4) 암호문과평문의혼용및이중사용 (5) 암호문작성시동일난수를 2회이상반복사용 (6) 사용기간이경과된암호자재를계속사용 (7) 암호문에평문을삽입하여송신 (8) 기타암호자재의보호체계를손상시킬우려가있는사항 (1) 비인가된무선시설의설치운용 6 비인가통신시설및통신제원사용에관한사항누설 (2) 비인가된무선시설과교신 (3) 비인가된호출부호및주파수사용 (4) 비인가된전파형식사용 (5) 지정출력의초과사용 7 허가목적외 방법으로사용하는 경우 (1) 허가목적업무와관련이없는통신 (2) 군통신망에서군사업무와관련이없는통신 (3) 기타사회질서를해하는통신 - 24 -
[ 별표 3] 정보보안사고유형 조내용항세부내용 (1) 정보통신망에대한해킹 악성코드의유포 1 정보통신시스템및정보통신실 (2) 비밀이저장된 PC 분실 (3) 승인없이정보통신시스템내비밀저장 (4) 정보통신시스템및정보통신실파괴 (1) 암호장비분실및피탈 (2) 암호장비파손및임의파기 2 암호장비 (3) 암호장비의복제 복사 (4) 비인가암호장비사용 (5) 암호장비비닉체계특성및제원노출 (6) 암호장비키운용체계노출 (1) 암호 음어 약호자재의분실및누설 3 암호및음어 약호자재 (2) 암호 음어 약호자재의파손및임의파기 (3) 암호 음어 약호자재의임의제작사용 (4) 세부비닉체계노출 (1) 주전산기 대용량전자기록 (DB) 손괴 4 정보자료 (2) 비밀자료의유출 파괴 변조및평문소통 (3) 전자공문서위조 - 25 -
[ 별지제 1 호서식 ] 정보보안업무세부추진계획 1. 활동목표 2. 기본방침 3. 세부추진계획 분야별사업명세부추진계획 주관 관련팀 사무소 비고 4. 전년도보안감사 지도방문시도출내용과조치내역 도출내용조치내역담당팀 사무소 * 형식위주의계획수립을지양하고본원각팀및각사무소의추진계획을종합, 자체 실정에맞게작성 - 26 -
[ 별지제 2 호서식 ] 1. 총평 정보보안업무심사분석 2. 주요성과및추진사항 3. 세부사업별실적분석 추진계획추진실적문제점개선대책 * 추진실적은목표량과대비하여성과달성도를계량화 4. 부진 ( 미진 ) 사업 부진사업원인및이유익년도추진계획담당팀 사무소 5. 애로및건의사항 6. 첨부 ( 정보통신망및검증필정보보호시스템운용현황등 ) - 27 -
[ 별지제 3 호서식 ] 정보시스템관리대장 소속 취급자 ( 성명 ) 관리 ( 자산 ) 번호 종류 ( 서버 PC 등 ) 모델명 인증비밀번호인증번호부여일자 인증해제일자 관리책임자표시 정 부 〇〇 〇〇〇 - 28 -
[ 별지제 4 호서식 ] 비밀유지서약서 성명 : 소속 : 주소 : 연락처 : 본인은국제식물검역인증원의비밀보호를위하여다음사항을준수할 것을서약합니다. 1. 본인은인증원에서업무를수행함에있어알게된개인정보및비밀정보를제3자에게제공, 공개또는누설하지않겠습니다. 2. 본인은인증원으로부터업무수행을위하여명시적으로접근을허가받은시설과정보만을이용하겠습니다. 또한, 평가원이업무를위하여제공한인터넷, E-mail, Fax, 전화등에대해서는비밀보호를위하여인증원이일정한제한이나통제를할수있음을인정하고, 이에동의합니다. 3. 본인은인증원의사전승인없이는인증원의비밀정보를외부로반출하지않겠습니다. 4. 본인은업무가종결되거나, 인증원의요청이있는경우인증원이제공한모든자료와자산을인증원에즉시반납하겠습니다. 5. 본인은업무수행의결과산출된모든결과물 ( 보고서, 컴퓨터프로그램, 장치, 기타업수행중산출된문서등 ) 에대한권리가인증원에귀속됨을인정하고소유하지않겠으며, 인증원이이에대한권리를행사하는데협조하겠습니다. 6. 만일서약사항을위반하였을경우에본인은법령이정한바에따라민 형사상의모든책임을부담하겠으며, 이로인하여인증원에발생한모든손해를배상하겠습니다. 년월일 서약자 : ( 인 ) 국제식물검역인증원장귀하 - 29 -
[ 별지제 5 호서식 ] 정보보호제품자체점검결과 항목명점검항목결과 EAL 2 이상 CC 인증서획득여부 인증여부 CC 미인증의경우, 검증필제품목록등재여부 국정원장이검증한암호모듈탑재여부 일치성 CC 인증보고서와도입제품보안기능일치성여부 기술제안서 (RFP) 에서요구하는보안기능구현여부 운용환경설치에따른제품기능등형상변경가능여부 운용환경 도입기관의시스템관리자지정여부 감사기능지원여부 도입기관주요업무및최대사용자등에대한가용성보장여부 보안적합성검증결과반영가능여부 업체기술지원전담조직운영여부 작동중단등긴급상황에대비한지원절차구비여부 유지보수 업체유지보수매뉴얼제공여부 한글관리자설치 운영매뉴얼제공여부 업체의제품운용교육제공여부 신규취약성에대한통보및처리절차구비여부 점검결과는, Ⅹ 로표기 - 30 -
[ 별지제 6 호서식 ] 보안적합성검증신청서 기관명 운용팀 사무소 도입목적 운용환경 사용자수망구성 유선 무선 속도 ( 대역폭 ) 운용형태 단독설치 운용 타보안제품과연동 대국민배포용 연동시스템 ERP KMS CRM 전자결재 기타그룹웨어 사업명 업체명 대표자 주소 전화번호 신청제품 제품명 CC 인증번호 암호검증번호 용역개발 여부 예 아니오 평가기관인증기관등급 전화번호 담당자 휴대폰번호 E-Mail 암호모듈 없음 있음 ( 검증 미검증 ) - 31 -
[ 별지제 7 호서식 ] 사이버침해기록대장 연번일시공격유형 ( 피해원인 ) 침해대상피해현황조치내용비고 [ 별지제 8 호서식 ] 업무용노트북운용현황 출장복귀후보관팀 보유기종출장자주요자료출장기사무소간출장지 ( 국제협상자료 ) 자료삭제확인제조사모델구입일수량소속성명보안성검토여부일자서명 - 32 -
[ 별지제 9 호서식 ] < 관리책임자 : > 보조기억매체관리대장 ( 일반용 ) 연번 관리번호 (S/N) 매체형태등록일자취급자불용처리일자불용처리방법 ( 재사용용도 ) 비고 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20-33 -
[ 별지제 10 호서식 ] < 관리책임자 : > 보조기억매체관리대장 ( 비밀용 ) 연번 관리번호 (S/N) 등급 매체 형태 등록일자취급자불용처리일자 불용처리방법 ( 재사용용도 ) 비고 ( 사유 ) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20-34 -
[ 별지제 11 호서식 ] < 관리책임자 : > 보조기억매체관리대장 ( 공인인증서용 ) 연번 1 관리번호 (S/N) 매체형태등록일자취급자용도해지일자해지사유 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20-35 -
[ 별지제 12 호서식 ] 보조기억매체점검대장 < 관리책임자 : > 점검일시 현보유수량점검자이상 Ⅱ급 Ⅲ급대외비일반인증유무성명서명 비고 ( 서명 ) - 36 -
[ 별지제 13 호서식 ] < 관리책임자 : > 보조기억매체 ( 전산장비포함 ) 반출 입대장 장비명 관리번호 ( 시리얼번호 ) 사용자 용도 전출입일시 ( 입 출구분 ) 확인 - 37 -
[ 별지제 14 호서식 ] 보조기억매체라벨 2.5cm 정 일반 / 비밀용 ( 인 ) 관리번호표기 부 5cm 1cm 일반 / 비밀용 ( 인 ) 관리번호표기 3cm 가. 同서식을만들어보조기억매체중앙의적절한위치에부착나. 첫번째줄에는일반 / 비밀용은정보보안담당관의직인을날인하고공인인증서용은관리책임자의직인을날인다. 두번째줄에는보조기억매체관리번호표기라. 세번째줄의 정 란에관리책임자ㆍ 부 란에취급자표기 (USB메모리및 CD의경우생략가능 ) 마. 보조기억매체의크기를고려하여서식 글자크기조정가능 - 38 -
[ 별지제 15 호서식예시 ] 일반용 ( 인 ) 기획 - 일반 -01 정이순신부홍길동 대외비용 ( 인 ) 기획 - 대외비 -01 정이순신부홍길동 공인인증서용 ( 인 ) 기획 - 인증 -01 정이순신부홍길동 일반용 ( 인 ) 기획 - 일반 -01 Ⅱ 급비밀용 ( 인 ) 기획 -Ⅱ 급 -01 공인인증서용 ( 인 ) 기획 - 인증 -01-39 -
[ 별지제 16 호서식 ] 보조기억매체불용처리확인서 아래와같이보조기억매체 ( 종점 ) 불용처리및보조기억매체 ( 종 점 ) 재사용에대해확인을요청함 연번 1 관리번호 (S/N) 매체형태사유불용처리재사용 2 3 4 5 6 7 8 9 10 확인일자 : 년월일 요청자 : 소속ㆍ직책 O 급성명 : ( 인 ) 확인자 : 정보보안담당관 O 급성명 : ( 인 ) - 40 -