정보보안관리규정 제 장총칙 제 조 목적 이규정은우송정보대학 이하 본대학 라한다 의전산망이용시내 외부의무단사용자에의해정보자산이불법유출 파괴또는변경되는것으로부터안전하게보호하며 모든정보운영환경과응용프로그램을보다안전하게운영함으로써본대학전산망사용자에게원활한서비스를제공하고자함을그목적으로한다 제 조 적용대상과범위 이규정의적용대상은교내전산자원을사용하는모든정보시스템및그이용자로한다 본대학의정보자산보호와정보운영환경및응용프로그램의운영과제공에관하여는따로규정되는경우를제외하고는이규정에따른다 정보보호에대한의무는본대학의전산자원을사용하는구성원모두에게있으며정보보안관리규정을준수할의무가있으며 본규정을준수하지않아발생한사고의책임은원칙적으로사용자본인에게있다 제 조 용어의정의 전산망 이라함은각종정보시스템을통신회선으로연결하여자료를처리 보관하거나전송하는조직망을말한다 정보시스템 이란정보의수집 가공 저장 검색 송신 수신및그활용과관련되는기기와소프트웨어의조직화된체계를말한다 시스템관리자 라함은각부서에소속되어시스템의관리권한을가지고전자적민원처리및행정업무의원활한수행을위하여정보시스템을운영 관리하는사람을말한다 데이터베이스관리자 라함은데이터베이스를운영 관리하는자를말한다 전산자료 라함은전산장비에의해입력 보관되어있는정보자료를말하며 백업미디어등저장매체를포함한다 정보보안 또는 정보보호 라함은정보통신수단으로수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지하거나정보통신망을보호하기위하여관리적 물리적 기술적수단을강구하는일체행위를말한다 시스템실 이라함은서버 등전산장비와스위치 라우터등통신및전송장비등이설치운용되는장소를말한다 정보이용자 이하 이용자 라한다 란본대학전산망을통하여전자적민원처리또는업무담당자 웹기반서비스를이용하는민원이및시스템관리자를말한다 업무담당자 란전자적민원처리또는행정업무를담당하는사람을말한다
민원인 이란전자적민원처리를신청하는주체로서 개인또는사업자 법인등단체및그기관의담당자등을말한다 본인확인 이란정보통신망을통하여정보시스템또는행정정보를이용하는업무담당자 민원인또는시스템관리자가가지고있거나알고있는정보를이용하여본인임을확인하는것을말한다 접근권한 이란정보시스템에접속하여정보자원을활용할수있는권한과행정정보를생성 변경 열람 삭제등을할수있는권한을말한다 개인정보 라함은생존하는개인에관한정보로서당해정보에포함되어있는성명 주민번호등의사항에의하여당해개인을식별할수있는정보 당해정보만으로는특정개인을식별할수없더라도다른정보와용이하게결합하여식별할수있는것을포함한다 를말한다 침해사고 라함은해킹 컴퓨터바이러스 악성코드 메일폭탄 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다 제 장위원회 제 조 구성 체계적 효율적인보안정책수립 심의및관리를위하여정보보안위원회를둔다 정보보안위원회는정보화추진위원회와통합하여운영한다 제 조 기능 이심사위원회는제 조의목적을달성하기위하여다음각호의사항을심의 결정한다 정보보안정책심의와학내정보보안의총관장 정보보호정책및총괄계획심의 정보보안사고처리의책임을심의 결정 정보보안교육및정보보안준수사항감사 기타정보보안관련제반업무의총괄제 조 실무협의회구성과역할 위원회산하에부서간개인정보보호에관한업무협조를위하여 정보보안실무협의회 이하 협의회 라한다 를다음각호와같이둔다 협의회는의장을포함하여 인내외의위원으로구성한다 위원은개인정보를취급하는관련주요부서업무담당자나권한위임자를당연직으로하고 그밖에우송정보센터장이추천한관련분야약간명을위원으로포함할수있다
의장은우송정보센터장이겸임한다 의장을포함한각위원의임기는보직재임기간및해당업무기간으로한다 본대학의개인정보관리책임관은따로정하지않는한의장이겸임한다 협의회는각부서의담당자들이업무를수행하는데있어개인정보를침해하는일이없도록하기위해다음각호의사항을협의하여결정된사항을정보보안심사위원회에상정한다 각부서업무내역중에개인정보보호시행세칙작성 시행세칙의이행및관리감독 기타위각호에부수되는제반사항 제 장보안 제 조 기본수칙 정보시스템또는행정정보사용자는개인별사용자계정및암호의기밀을유지해야하며 본래의발급목적으로만사용하여야한다 교 직원및학생은허가받은정보시스템또는행정정보의사용권한이부여된영역에대하여본래의목적으로만사용할수있다 정보시스템사용자는정보시스템의성능저하및보안상위험을초래할수있는행위를해서는아니되며위험을초래할수있는행위를한자가발견된경우에는소속부서의장또는정보보안담당부서에게알려야한다 정보시스템또는행정정보와연관된저작권 특허권및소프트웨어라이센스의사용조건을숙지하고이를준수하여야한다 또한교내에서는구매증서가있는합법적인소프트웨어만사용할수있다 학내전산망을신설 변경및폐기하고자하는경우에는정보보안담당부서의사전승인을얻어야한다 외부전산망에서학내전산망으로의접근은학교에서승인한정보시스템을제외하고는원칙적으로허용하지아니한다 단 필요시적법한절차에따라승인된경우에제한적으로허용할수있다 모든정보시스템또는행정정보는보안등급에따란분류 관리한다 정보시스템관리자는주기적인보안점검을통해학내전산망및정보시스템의안전성을점검하고 정보보안정책및규정의준수여부를평가하며학내모든사용자는이에적극협조하여야한다 업무와관련해습득한정보자산을본대학의허가없이외부에누출해서는아니된다 또한교내각종민감정보및주요연구자료의교외이관시인터넷메일과같은사적
을사용할수없다 정보보안사고를예방하기위한목적으로학교의승인을득한정보보안시스템및정보보안활동은즉시시행할수있다 제 조 보안등급기준 보안등급의분류기준은다음의각호에따라정한다 정보의중요도 정보시스템또는행정정보의절취및불법변경시손실가치 정보시스템또는행정정보의파괴시복구비용 행정정보의사용권자 정보시스템또는행정정보의보안등급및사용자인가는전항의기준에따라행정정보를보유한부서의장이별도로정한다 제 조 보안점검 정보보안담당부서는교내주요서버및각연구실의서버에대해필요시수시점검을실시할수있으며다음각호의단계를따른다 보안점검대상및분야를해당부서에통보한다 해당부서에서는보안점검에필요한자료및제반요청사항을준비하여보안점검에대비한다 보안점검을실시한후그결과를위원회위원장에게보고한후해당부서에통보한다 해당부서에서는지적사항을즉각시정하고그결과를위원회위원장에게보고한다 정보보안담당부서는필요시각부서의보안점검지적사항에대한시정여부를확인할수있다 홈페이지침해사고및개인정보노출사고등을예방및대처하기위해다음각호에따라정보보안담당부서는보안점검을실시또는요구할수있다 보안점검대상은본대학모든홈페이지로한다 보안점검은홈페이지를구축할때와점검사유가발생할때실시한다 보안점검은원칙적으로정보보안담당부서에서시행하나 사전협의된경우구축 관리주최에서자체적으로보안점검을진행하고 그점검결과를정보보안담당부서에통보할수있다 위제 항에따라보안점검을실시한다 제 조 보안사고의처리 보안사고가발생할경우정보보안담당부서는다음각호의단계에따라적절한조치를취하여야한다 침입자의침입예방을위하여침입가능성이있는부분을수시로점검하여불법침입자의침입을사전에예방한다 시스템관리자는자신의시스템에비정상적인활동이나징후가보이면무단침입자의
유무를즉각점검해야한다 침입자가현재시스템에침투해해킹을하고있을경우필요한조치를즉각취하고보고하여야한다 침입자를몰아냈거나로그파일의분석을통해침입한흔적이발견된경우즉시보고하고 보안진단도구나체크리스트를이용하여정보자료의이상유무를점검하여야한다 제 조 보안교육 학내의사결정자 데이터베이스관리자 업무담당자및시스템관리자를대상으로정보보안교육을실시한다 보안교육은주제별 대상별필요에따라수시 정기교육을실시한다 제 조 정보보안담당관 본대학의효율적인정보보안업무를수행하기위하여 정보보안담당관 을둔다 정보보안담당관은총장이임명한다 제 조 정보보안기본활동 정보보안담당관은정보보안을위하여다음각호의기본활동을수행하여야한다 정보보안정책및기본계획수립 시행 정보보안관련규정 지침등제 개정 정보보안담당관및보안심사위원회운영 정보보안업무지도 감독 정보보안감사및심사분석 정보보안관리실태평가 사이버공격초동조치및대응 사이버위협정보수집 분석및보안관제 정보보안예산및전문인력확보 정보보안사고조사결과처리 정보보안교육및정보협력 주요정보통신기반시설보호활동 보안시스템및암호키의운용 보안관리 정보통신망보안대책의수립 시행 기타정보보안관련사항 제 장정보시스템관리 제 조 사용자정의 정보시스템또는행정정보를사용할수있는자는다음각호와 같다
본대학교원 직원 재학생및졸업생 연구소및부속기관의장이사용을인정한자제 조 적절성확보 정보시스템또는행정정보이용자는정보시스템사용에있어적절성을유지하여야한다 다만 다음각호에해당하는경우에는부적절한사용으로간주하여제재조치를취할수있다 타사용자의계정및암호를허가없이사용한경우 타사용자의정당한사용을방해한경우 타사용자의자료를허가없이유출하거나읽고쓰는행위 일반사용자가관리계정암호또는타사용자의암호를획득하고자해킹하는행위 내부의중요전산정보를불법으로외부에유출한경우 외부의불법사용자에게계정및암호를제공한경우 사용자계정및암호를상호공유하는행위 시스템관리자가특별한사유없이관리계정암호를일반사용자와공유한경우 허가된보안등급이상의자료를무단유출하거나읽고쓰는행위 인터넷을통해자살또는음란사이트등반사회적인유해사이트에접속 개설 열람하는경우 보안점검의지적사항에대해즉각적인시정을취하지않는경우 정보시스템을이용한개인정보침해사고 불법유출 훼손 갈취 불법열람등 가발생한경우제 조 사용자제재 제 조각호에규정된사항에해당할경우에는사용자의계정을회수 삭제하여정보시스템또는행정정보의사용을제한또는금지하며 그에따른구체적제재사항은위원회에서심의 결정한다 정보시스템또는행정정보의불법사용으로학교에해를끼치거나명예를훼손시켰을경우에는다음각호의제재조치를취할수있다 정보통신망이용촉진및정보보호등에관한법률 부정경쟁방지및영업비밀보호에관한법률 등관련법령에의한법적조치 학칙및관련규정에따른징계조치 공공기관개인정보보호에관란법률에의한조치 정보시스템의손해발생에대한손해배상청구
제 장네트워크관리 제 조 전산망관리 네트워크관리는일관성과기밀성을위해통합관리를원칙으로한다 운영부서의관리자는네트워크신규설치및변경시정보보안담당부서에변경정보를통보해야한다 네트워크 는사용자가임의로변경할수없다 라우터패스워드는제 조에규정된계정관리에따른다 인터넷을이용한모든외부로부터의접근은원칙적으로금지한다 단 다음과같은적절한사유와승인절차를거친경우에한해허용할수도있다 연구를목적으로원격접속이필요한경우 정보시스템과관련한원격업무지원이필요한경우 정보시스템에대한원격접속을허용할경우다음을준수하여야한다 원격접속작업자는보안서약서를제출해야한다 원격접소작업자에게는작업에필요한최소권한만을부여한다 원격접속작업자는해당시스템관리자또는업무담당자의관리 감독하에서만접근하게한다 원격접속은업무시간범위에서만허용한다 서버와같은보안등급최상위정보시스템은원격접속대상에서제외한다 일정횟수접속실패시접속을차단하고관련정보를로그에기록한다 보안상취약한무선통신만의신설또는증설은억제한다 제 조 네트워크의보호 정보보안담당부서는본대학에유해하거나불필요하다고판단되는웹사이트접속을통제할수있다 원격사용자의공중망네트워크를통한접속은인증시스템또는방화벽에의해통제할수있다 신뢰할수없는정보시스템및서버로의접속을보호하기위해네트워크정책을설정하여통제할수있다 네트워크보안담당자는의심스러운활동에대해서는방화벽 침입탐지시스템 및기타보안시스템의로그를분석하여해당내용을확인하여야하며필요시부서장에게보고해야한다 교내네트워크사용시적법한사용자임을인증받아야하며 사용하는정보시스템역시적정무결성수준및보안수준을점검하여본대학정보보안기대수준에미달시네트워크사용을제한할수있다 무선통신네트워크를구축시무선중계기 의전파범위조정 사용자인증 패킷암호화등보안대책을적용하여구축한다
제 장서버관리 제 조 운영및관리 신규임용된교원과직원의계정등록요구시시스템관리자에게사용목적 사용기간및연락처등을제출하도록한다 휴직자의계정은휴직기간동안일부서비스로제한할수있다 퇴직자는사직원제출시사용자계정을일부서비스로제한할수있다 시스템관리자는최소월단위로사용자의패스워드를체크해취약한패스워드가발견될경우당사자에게통보하여변경을요구할수있다 취약한패스워드를사용한계정에대해서는경고를하되 회이상의경고를받고도변경하지않을경우에는 개월동안계정을폐쇄할수있다 시스템개발및운영부서의장은응용프로그램개발계획단계에서보안정책에근거한응용프로그램개발을지시하고 이를위반할경우에는개발을중지시킬수있다 슈퍼유저의권한은정보보안업무담당자 시스템관리자로제한한다 장애복구나점검을위해루트권한을위임할경우에는시스템관리자입회하에작업을실시하고 작업종료후루트계정과패스워드를변경한다 백업지침은별도로정하며 반드시지침에따라주기적인백업을실시한다 각부서는백업미디어별로적절한사용연수를정하여노후된백업미디어에대해서는사용하지아니한다 제 조 보안관리 전체시스템에대한보안관리와전반적인방향설정및주기적인보안점검은정보보안담당부서에서실시한다 개별서버에대한보안관리는각서버의관리자가담당한다 제 조 계정관리 사용자계정분류는그사용목적에따라분류하고그기준은따로정한다 사용자별또는그룹별로접근권한을부여한다 외부사용자의계정은유효기간을설정한다 특별한사유없이 학기이상사용하지않는계정은학기시작일주일이내에말소한다 암호가없는계정은사용을금지한다 일정회수접속실패시사용을금지한다 슈퍼유저는 및특정단말기에서만접속을허용한다 사용자계정절차의등록 변경및폐기는다음을따른다 사용자계정은사용자등록이나변경또는폐기신청서를작성한후에시스템관리자에게통보하되 외부사용자는반드시사용기간및목적등의사유를명확
히해야한다 시스템관리자는내용을검토한후에사용자계정을등록이나변경또는폐기하고사용자에게그사실을통보한다 사용자계정을등록하거나변경또는폐기할경우에일반적인사항은월단위로부서장에게사후보고한다 다만 특별한상황이발생할경우에한하여부서장의허가를받은후에작업을실시한다 제 장전산자료및데이터베이스관리 제 조 자료의관리 데이터베이스로그인계정관리기준은 관리자 응용프로그램개발자및사용자에따라권한을차등부여하고 패스워드는암호화된형태로존재하도록한다 데이터베이스의무결성유지를위해데이터베이스의수정은적법한인가자에의해서만이루어져야하며 물리적인재해로부터의보호를위해주기적으로백업하여야한다 데이터베이스에대한모든접근은감사기록을유지하되 일반사용자의감사기록에대한접근은제한해야한다 데이터베이스관리자 는누가어떤필드 레코드수준에서접근할수있는가를정의해야한다 는시스템과는별도의사용자인증기능을수행해야한다 데이터베이스의데이터는응용프로그램을통해서만접근한다 별도지침에의해중요자료로분류된자료및데이터베이스는데이터의접근정보를기록하여주기적인점검및분석을실시한다 제 조 자료의보관 별도지침에의해중요자료로분류된자료는별도의보호된장소에보관하고 재해및비상시에대비해소산계획을수립하여운영한다 별도지침에의해중요자료로분류된자료의이용및변경은부서장의허가와관리책임자의입회하에이용및변경할수있다 제 조 자료의파기 별도지침에의해중요자료로분류된자료의파기는자료보관책임자의입회하에담당자가파기를실시하고 자료관리대장의파기확인란에입회자는파기확인을한다 자기테이프등의자기매체자료의파기는컴퓨터를이용하여내용을완전히삭제하고 자료접근이불가능해내용을지울수없는자기매체의자료는소각또는용해등의방법으로파기한다 출력된자료는사용목적이완료되어폐기시에는반드시문서파쇄기를이용하여야
한다 제 장응용프로그램관리 제 조 응용프로그램개발 모든응용프로그램은접근하는데이터의정보등급에따라해당응용프로그램의보안등급을설정한다 응용프로그램의계획서및설계서는보안관리규정에근거하여보안대책이마련되어야하며 프로그램개발시에이를반영해야한다 별도지침에의해중요자료로분류된응용프로그램은정보보안을위해사용자계정및암호를설정해야한다 응용프로그램에서사용하는사용자계정 암호및기타전산망접근과관계된중요정보는소스코드로부터분리하여 차인식이불가한암호화된형태로존재해야한다 별도지침에의해중요자료로분류된응용프로그램은개발시시스템사용에대한로그정보를관리함을원칙으로한다 제 조 응용프로그램운영 응용프로그램운영자는응용프로그램사용자계정에대한암호변경을최소 개월에 회이상실시해야한다 응용프로그램운영자는시스템사용에대한로그정보를주기적으로분석하여자료의불법접근및변조에대한위험성을사전에방지해야한다 응용프로그램의버전관리는소스프로그램과실행프로그램의버전이일관성을유지하도록한다 개발된응용프로그램의복제는시스템관리자의사전양해와입회하에실시해야한다 응용프로그램의추가 삭제또는변경은부서장의허가를받는후에시스템관리자에의해실시되어야한다 운영중인시스템에는응용프로그램의소스프로그램을설치하지않는것을원칙으로한다 별도지침에의해중요자료로분류된응용프로그램은가동전정보보안담당부서의보안점검을받아야한다 제 장 관리 제 조 의관리 기동시 에서제공하는패스워드를설정한다 에는화면보호기를작동시켜야하며패스워드를설정한다 장시간자리를비울때는전원을끈다 자신의업무에사용하는응용프로그램은시스템보안관리자의허락없이무단으로
타인에게복사해주어서는아니된다 디스켓을사용할때또는데이터를전송할때에는바이러스검사를한다 중요한정보는 내에보관하지아니하며 별도의디스켓에담아물리적인보안이철저한위치에보관한다 제 조 바이러스예방및조치 정보보안담당부서는컴퓨터바이러스 웜발생으로심각한피해가우려되는경우게시판이나메일등을통해경고메시기게시등의조치를강제할수있다 교내전산망을통해전산자원을사용하는모든 는웜 바이러스감염을예방하기위해아래와같이조치해야하며 정보보안담당부서는필요하다고판단될경우이를강제할수있다 본대학정보보안담당부서에서인증한바이러스백신프로그램을설치하여야한다 설치된바이러스백신프로그램을항상최신버전으로유지해야한다 정기적인바이러스검색을통해예방과치료에노력해야한다 바이러스에의한데이터손상에대비해정기적으로데이터백업을실시한다 정보보안담당부서는알려진바이러스의경우에는해당바이러스를치료할수있는진단프로그램을구비한다 무단 불법복사된프로그램을설치한정보시스템은교내전산망접속을제한한다 바이러스의감염이확인될경우즉각네트워크접속을단절시킨후바이러스백신프로그램으로바이러스를치료한다 외부에서온디스켓 인터넷에서다운로드받은파일 외부로부터전송된메일의첨부파일등은실행또는열기전에반드시바이러스검사를해야한다 제 장시스템실운영 관리 제 조 시스템실시설기준 출입구에입실자를식별및통제가능한출입보안장치를설치한다 자동화재경보설비를설치하고 할로겐가스등소화시장비에피해를주지않는자동소화설비를설치한다 정전에대비하여별도의전원공급시설을둔다 온 습도를적절히유지할수있는항온항습기를설치한다 제 조 시스템실운영및관리 시스템실의운영을담당하고있는부서장은시스템실사용및운영에관한절차및방법을규정하고 담당자들이이를숙지하도록한다 시스템실의운영자는운영일지및장애일지를작성해야한다 시스템운영자는주기적으로로그화일을분석해야하며 시스템에이상이발견
되었을경우에는보안사고처리지침에따라즉시조치를취하고이를정보보안담당부서장및해당부서장에게보고해야한다 시스템실에는출입자명부를비치하고비인가의출입을통제해야한다 시스템실 자료보관실및통신실은관리책임자를지정하고자료또는장비별로취급자를지정운영해야한다 제 장개인정보보호 제 조 개인정보관리 개인정보관리는수집 이용 제공 보관및파기등으로구분되며관련법률을준용하여취급한다 본대학에서업무상개인정보를취급하는사용자는개인정보취급자라하며개인정보보호를위해개인정보취급시본규정과관련법률을준수하여야한다 제 조 개인정보보호 개인정보수집은다음과같이한다 개인정보는법적근거와정보주체의동의획득을통해서만수집될수있다 개인정보는소관업무에필요한최소한의정보만수집되어야하고민감한개인정보는수집하지않는다 개인정보수집시정보주체에게법적근거 수집목적 이용범위 정보주체의권리및보유기간을고지한다 개인정보의이용및제공은다음과같이한다 개인정보는수집목적으로만이용한다 개인정보의이용요청과제공은문서로처리한다 개인정보는법률이정하는경우와본인동의가있는경우에만제 자에게제공한다 개인정보의취급위탁시위탁사실을공개하고본인동의를득한다 개인정보의보유및파기는다음과같이한다 개인정보가분실 도난 누출 변조및훼손되지않도록안정성확보에필요한기술적 관리적보호조치를한다 개인정보가수집목적을다해보유가불필요하게된경우 보유기간이만기된경우는지체없이파기한다 제 장기타 제 조 시행규칙 이규정의운영에필요한세부사항은시행규칙으로따로정할수있다 제 조 준용 기타이규정에명시되지아니한사항은본교의관계규정에준한다
부칙 제 조 시행일 이규정은 년 월 일부터시행한다 부칙 제 조 시행일 이규정은 년 월 일부터시행하되 년 월 일부터적용한다 부칙 제 조 시행일 이규정은 년 월 일부터시행하되 년 월 일부터적용한다