정보보안규정 2016. 9. 23. 제정 제1조 ( 목적 ) 이규정은이화여자대학교 ( 이하 본교 라한다 ) 정보통신망의안정성과정보보안을위해필요한사항을규정함을목적으로한다. 제2조 ( 용어의정의 ) 이규정에서사용하는용어의정의는다음각호와같다. 1. 정보통신서비스 라함은정보통신설비및시설을이용하여정보를제공하거나정보의제공을매개하는것을말한다. 2. 정보통신설비 라함은정보통신서비스를제공하기위한기계, 기구, 선로등의설비를말한다. 3. 정보통신시설 이라함은정보통신설비가집적되어있는시설및부대시설을말한다. 4. 주요자산 이라함은정보통신설비중정보통신서비스에중요한역할을하는라우터, 스위치, 웹서버, DNS서버, DB서버, PC 등의설비와관련 S/W를말한다. 5. 정보통신서비스제공자 라함은정보통신설비및정보통신시설을이용하여정보를제공하거나정보의제공을매개하는자를말한다. 6. 이용자 라함은정보통신서비스제공자가제공하는정보통신서비스를이용하는자를말한다. 7. 정보보안담당관 이라함은정보통신서비스의안정성확보및정보보안업무를총괄하는자를말한다. 8. 정보보안담당자 라함은정보통신서비스의안정성확보및정보보안실무업무를담당하는자를말한다. 9. 시스템관리자 라함은정보통신서비스에이용되는정보통신설비와정보통신시설을관리 운영하는자를말한다. 10. 사이버침해사고 라함은해킹및컴퓨터바이러스의유포등에의해정보통신시스템이정상적으로운영되지않거나정보의유출 파괴또는정보의위조 변조등이발생한사태를말한다. 제3조 ( 보안책임 ) 1 본교의교원, 직원및보조인력 ( 용역인력포함 ) ( 이하 " 구성원 " 이라한다 ) 에게는학교내에서자신이속하는기관의정보자산, 시설과기기에대하여이규정과이규정에따른지침을준수할의무가있다. 2 모든구성원에게는교내게시판및전자메일등을통한정보보안규정의제 개정내용, 보안취약점안내, 계도사항등보안공지를열람후숙지할의무가있다. 3 각기관의장 ( 이하 " 기관장 " 이라한다 ) 에게는관할기관에서생산, 가공, 유통, 관리, 파기되는정보자산및다른기관또는외부에접근이허용된정보자산에대하여보안책임이있다. 5-77 - 1
4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정보보안담당관은정보보안업무를효과적으로수행하기위하여기관별정보보안담당자를지정할수있다. 제5조 ( 내부지침의수립및시행 ) 정보보안담당자는업무수행에필요한내부지침을수립하여시행할수있다. 제6조 ( 정보보안담당관의책무 ) 1 정보보안담당관은정보보안담당자, 시스템관리자의업무를관리 감독하여야한다. 2 정보보안담당자나시스템관리자의업무수행과관련해오류또는불법행위가있을경우정보보안담당관은이를즉시총장에게보고하여야한다. 3 정보보안담당관은정보화추진위원회에정보보안업무에필요한심사및자문을의뢰할수있다. 제7조 ( 정보보안담당자의책무 ) 1 정보보안담당자는시스템관리자의업무를관리 감독하여야한다. 2 정보보안담당자는시스템관리자가타기관으로전보되거나퇴직할경우계정삭제등정보보안을위한적절한조치를취하여야한다. 3 정보보안담당자는사이버침해사고발생에대비하여비상연락망, 응급조치절차및복구대책을포함하는사이버침해사고대응절차를수립하고이를시행하여야한다. 4 정보보안담당자는정기적으로정보시스템의보안취약점을점검 분석하여그결과를정보보안담당관에게보고하여야한다. 5 정보보안담당자는정기적으로이용자접속기록을분석하여사이버침해사고를예방하고, 사이버침해사고가발생한경우에는즉시필요한조치를취하여야한다. 6 정보보안담당자는정보통신설비및정보통신시설에대한부정한접근을방지하기위한적절한조치를취하여야한다. 제8조 ( 시스템관리자의책무 ) 1 시스템관리자는정보통신망에운용되는데이터를그중요도에따라분류하고적절한관리기준및절차를수립 시행하여야한다. 2 시스템관리자는중요데이터는암호화하거나파일잠금기능을사용해관리하여야하며필요한경우이용자접근을통제하여야한다. 3 시스템관리자는사이버침해사고, 시스템장애, 정전등으로부터정보를보호하기위해정기적으로데이터백업등적절한조치를취하여야한다. 4 시스템관리자는주요자산이정상적인가동상태로운영되도록노력하여야하며, 사이버침해사고나시스템장애가발생했을경우이를즉시정보보안담당자에게보고하여야한다. 제9조 ( 사이버침해사고대응관리 ) 1 정보보안담당관은긴급한사이버침해사고가발생하였을 5-77 - 2
경우모든이용자에게대응책을신속하게알릴수있는체계를마련하여야한다. 2 정보보안담당관은사이버침해사고나이상징후가감지되었을때에는제7조제3항의사이버침해사고대응절차에따라즉각적인대응조치를취하고, 이용자접속기록등적절한증거자료를수집 보관하여야한다. 제10조 ( 정보보안교육 ) 1 정보보안담당관은정보보안담당자, 시스템관리자등정보보안과관련된업무에종사하는자에게정기적으로정보보안교육을실시하여야한다. 2 정보보안담당관은필요한경우정보보안교육을외부의정보보안관련전문교육기관에위탁할수있다. 제11조 ( 인적보안 ) 1 정보보안담당관은구성원에게정보보안및보안에대한서약서를징구할수있으며필요한경우관련기관에징구를위임할수있다. 2 정보보안담당관은교원및직원이전보되거나퇴직한경우해당자의개인계정및공용계정에대한권한을즉시제거하여야한다. 3 정보보안담당관은정보통신설비및정보통신시설의관리운영을외부에위탁할경우계약서또는 SLA( 서비스수준협약 ) 에정보보안관련사항 ( 보안사고책임범위, 비밀준수의무, 위탁업무중단시비상대책 ) 을반영하여야한다. 4 정보보안담당관은정보보안담당자와시스템관리자가정보보안업무수행에필요한정보보안자격증을취득할수있도록지원한다. 제12조 ( 시스템실운영관리 ) 정보보안담당관은다음각호와같은조치를강구하고시스템실을운영, 관리하여야한다. 1. 시스템실내장비의도난, 파손, 변경, 불법사용등에대한예방대책 2. 데이터백업등중요데이터의손상및손실을방지하기위한대책 3. 시스템실출입통제장치설치 4. 출입내역을기록하는시스템실출입대장비치제13조 ( 정보보안시스템등의운영관리 ) 1 정보보안담당관은다음각호와같은조치를강구하고정보보안시스템을운영, 관리하여야한다. 1. 침입차단시스템등정보보안시스템의설치 운영및이에상응하는정보보안조치 2. 라우터의접근제어기능또는침입차단시스템의필터링기능등을이용한정보시스템의외부네트워크와의분리조치 2 정보보안담당관은정보보안시스템의보안취약점이발견된때에는필요한대책을강구하여야한다. 제14조 ( 이용자계정등의관리 ) 1 정보보안담당관은이용자계정신청, 해지, 변경및분실등에대비한신원확인절차를마련하여야한다. 2 정보보안담당관은이용자의패스워드를보호하여야한다. 제15조 ( 이용제한 ) 정보보안담당자는다음각호에해당하는행위를한이용자에대하여정보통신서비스이용을제한할수있다. 1. 부당한방법으로정보통신망의타인정보를훼손하거나침해 도용또는누설하는행위 5-77 - 3
2. 컴퓨터바이러스등악성프로그램유포행위 3. 음란 폭력물등불건전한자료의게재 유포행위 4. 전자우편시스템의장애유발을목적으로다량의전자우편을전송하는행위 5. 수신자의거부의사에도불구하고광고성전자우편을전송하는행위 6. 불명확한사유로교내업무처리를방해하거나중단시키는행위 7. 기타정보보안에해가되는행위제16조 ( 이용제한고지 ) 1 정보보안담당자는제15조의이용제한사유로인해정보통신서비스이용을제한하고자할경우그사실을즉시이용자에게고지하여야한다. 다만, 이용제한과동시에시스템안정성확보를위한신속한조치가필요한경우사후고지할수있다. 2 이용제한고지는학내정보망에이용제한사유와내역을게시하는것으로한다. 제17조 ( 이용자개인정보이용 ) 정보보안담당관이이용자의개인정보를수집 이용할경우에는홈페이지에게시된 개인정보처리방침 을따른다. 제18조 ( 이용자개인정보관리 ) 1 이용자가개인정보를제공할경우에는홈페이지에게시된 개인정보처리방침 에서정하는개인정보의수집목적, 관리방법등을확인하여야한다. 2 이용자가정보공유가가능하고다양한이용자가공동으로이용하는전기통신설비를이용하는경우에는개인정보, 사생활정보등의보호를위하여공유해지등필요한조치를하여야한다. 제19조 (PC 등단말기보안관리 ) 1 이용자는 PC 노트북 PDA 등단말기 ( 이하 PC 등 ) 사용과관련한일체의보안관리책임을가진다. 2 이용자는비인가자가 PC 등을무단으로조작하여전산자료를절취, 위 변조및훼손시키지못하도록다음각호의보안대책을준수하여야한다. 1. 장비 (CMOS 비밀번호 ) 자료 ( 중요문서자료암호화비밀번호 ) 사용자 ( 로그온비밀번호 ) 별비밀번호를주기적으로변경사용 2. 10분이상 PC 작업중단시비밀번호가적용된화면보호조치 3. 운영체제 (OS) 및응용프로그램 ( 한컴오피스, MS Office 등 ) 의최신보안패치유지 4. PC에최신바이러스방지프로그램을설치하여침투여부를수시로점검하고, 침투한경우에는이를제거 복구 5. 업무상불필요한응용프로그램설치금지및공유폴더의삭제 6. 업무에무관한메신저 P2P 웹하드, 불필요한 Active-X 등보안에취약한프로그램과비인가프로그램 장치의설치금지 3 이용자는 PC 등단말기를교체 반납 폐기하거나고장으로외부에수리를의뢰하고자할경우에는정보보안담당자와협의하여하드디스크에수록된자료가유출되지않도록보안조치하여야한다. 4 이용자는사용이승인된소프트웨어만을사용해야하며, 검증되지않은불법소프트웨어의사용으로인한피해는본인이책임을져야한다. 5 이용자는발송자를확인할수없는전자우편또는제공자가불확실한컴퓨터프로그램 5-77 - 4
등에대해안전성여부를확인하고실행하여야한다. 6 이용자는업무상필요한 PC내의데이터는별도의저장장치를통해서백업을하여만일의사태에대비해야하며, 이저장매체는시건장치가되어있는장소에보관한다. 제20조 ( 휴대용저장매체보안관리 ) 1 정보보안담당관은휴대용저장매체를사용하여중요업무자료를보관할필요가있을때에는위변조, 훼손, 분실등에대비한보안대책을강구하여야한다. 2 기관장은휴대용저장매체에업무자료보관을원칙적으로금지하여야하며부득이한경우에는기관장의승인을얻어한시적으로허용할수있다. 3 이용자는 USB 메모리를 PC 등에연결시자동실행되지않도록하고최신백신으로악성코드감염여부를자동검사하도록보안설정한다. 제21조 ( 네트워크보안관리 ) 1 이용자는보안지침및절차에따라네트워크서비스를요청한다. 인가된정보만을취급하며, 보안침해사고의발생시정보보안담당자및시스템관리자에게연락한다. 2 이용자는 PC의 IP 주소를임의로변경할수없다. 3 네트워크진단 관리도구들은관리담당자에의해서만사용되고일반적인이용자들에게는사용이허가되지않는다. 4 이용자는침입차단시스템등보안시스템의경로를우회하는경로를설정해서는아니된다. 원칙적으로내부사용자는모뎀을통하여인터넷에접속할수없으며, 부득이한경우기관장과정보보안담당관의승인을받은후사용한다. 5 이용자는보안문제를발생시킬수있는개인소유의컴퓨터, 주변장치또는소프트웨어를조직내로가져와서네트워크에연결해서는아니된다. 6 이용자는인터넷과같은개방된네트워크를통해전송하는비밀정보를암호화적용해야한다. 제22조 ( 이메일보안관리 ) 1 이용자는상용전자우편을이용한업무자료송수신을하여서는아니된다. 2 외부인은원칙적으로본교 E-mail을사용할수없으며, 예외의경우그이유를문서화한다. 3 고의로 E-mail을오용하는경우상응하는징계등의조치를취할수있다. 4 특별히기밀성을요하는정보가있을경우 E-mail을통해전송되어야한다면본교에서승인한소프트웨어와알고리즘을사용하여지정수신인만읽을수있도록암호화한다. 제23조 ( 아이디및패스워드관리 ) 1 이용자는자신의아이디및패스워드가외부로노출되지않도록관리에유의하여야한다. 2 비밀번호는다음각호사항을반영하여숫자와문자, 특수문자등을혼합하여 8자리이상으로정하고, 분기 1회이상주기적으로변경사용하여야한다. 1. 사용자계정 (ID) 과동일하지않은것 2. 개인신상및기관명칭등과관계가없는것 5-77 - 5
3. 일반사전에등록된단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 사용된비밀번호는재사용하지말것 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능을사용하지말것 3 서버에등록된비밀번호는암호화하여저장하여야한다. 제24조 ( 홈페이지게시자료보안관리 ) 1 이용자는개인정보, 비공개공문서및민감정보가포함된문서를홈페이지에공개하여서는아니된다. 2 이용자는인터넷블로그 카페 게시판 개인홈페이지또는소셜네트워크서비스등일반에공개된전산망에업무관련자료를무단게재하여서는아니된다. 3 정보보안담당자는각기관의홈페이지등에비공개내용이게시되었는지여부를주기적으로확인하고개인정보를포함한중요정보가홈페이지에공개되지않도록보안교육을주기적으로실시하여야한다. 4 기관장은홈페이지에중요정보가공개된것을인지할경우이를즉시차단하는등의보안조치를강구시행하여야한다. 제25조 ( 홈페이지구축및운영보안관리 ) 1 기관장은홈페이지를구축및운영하고자하는경우, 웹취약점의존재에의한사이버침해사고가발생하지않도록교육부및신뢰할수있는기관의웹취약점대응가이드를참조하여홈페이지를구축및운영하여야한다. 2 정보보안담당관은각기관의홈페이지구축이완료되고서비스가개시되기이전에보안진단을실시하고, 취약점이존재하는경우이를수정한후서비스를할수있도록제한하여야한다. 3 기관장은각기관의홈페이지에서취약점이존재함을인지하였거나통보받았을경우, 정보보안담당관과협의하여초동조치를취하고이를즉시수정하여야하며, 그렇지아니한경우에정보보안담당관은해당서비스를차단할수있다. 4 각기관의홈페이지관리자는홈페이지관리자페이지에대하여내부망의 IP MAC 주소에서만접근이가능하도록제한을하여야하며, 제23조제2항을참조하여비밀번호의보안성을강화하여야한다. 5 기관장은홈페이지를더이상운영하지않을경우, 정보보안담당관과협의하여홈페이지를즉시폐기하고서비스를차단하여야한다. 제26조 ( 정보시스템개발보안 ) 1 각기관의시스템개발사업담당자는정보시스템을자체적으로개발하고자하는경우에는다음각호의사항을고려하여보안대책을수립하고정보보안담당관의확인을받아야한다. 1. 독립된개발시설을확보하고비인가자의접근통제 2. 개발시스템과운영시스템의물리적분리 3. 소스코드관리및소프트웨어보안관리 2 각기관의시스템개발사업담당자는외부용역업체와계약하여정보시스템을개발하고 5-77 - 6
자하는경우에는다음각호의사항을고려하여보안대책을수립하고정보보안담당자의확인을받아야한다. 1. 외부인력대상신원확인, 보안서약서징구, 보안교육및점검 2. 외부인력의보안준수사항확인및위반시배상책임의계약서명시 3. 외부인력의정보시스템접근권한및제공자료보안대책 4. 외부인력에의한장비반입 반출및자료무단반출여부확인 5. 제1항제1호부터제3호까지의사항 3 정보보안담당자는제1항및제2항과관련하여보안대책의적절성을수시로점검하고정보시스템개발을완료한경우에는정보보안요구사항을충족하는지검토하여야한다. 제27조 ( 정보시스템유지보수 ) 1 기관장이정보시스템유지보수절차및문서화수립시고려사항은다음각호와같다. 1. 유지보수인력에대해보안서약서집행, 보안교육등을포함한유지보수인가절차를마련하고인가된유지보수인력만유지보수에참여한다. 2. 결함이의심되거나발생한결함, 예방및유지보수에대한기록을보관한다. 3. 유지보수를위해원래설치장소외다른장소로정보시스템을이동할경우, 통제수단을강구한다. 4. 정보시스템의유지보수시에는일시, 담당자인적사항, 출입통제조치, 정비내용등을기록 유지하여야한다. 2 시스템관리자등이유지보수와관련된장비 도구등을반출입할경우, 악성코드감염여부, 자료무단반출여부를확인하는등보안조치하여야한다. 3 시스템관리자는외부에서원격으로정보시스템을유지보수하는것을원칙적으로금지하여야하며부득이한경우에는정보보안담당자와협의하여자체보안대책을강구한후한시적으로허용할수있다. 제28조 ( 용역사업보안관리 ) 1 기관장은정보화 정보보안사업수행등을외부용역으로추진할경우사업책임자로하여금다음각호의사항을포함한보안대책을수립. 시행하여야하며, 이를계약서에명시해야한다. 1. 용역사업계약시계약서에참가직원의보안준수사항과위반시손해배상책임등명시 2. 용역사업수행관련보안교육 점검및용역기간중참여인력의보안서약서징구및임의교체금지 3. 사업종료시외부업체의노트북 휴대용저장매체등을통해비공개자료가유출되는것을방지하기위해복구가불가능하도록완전삭제 4. 용역업체로부터용역결과물을전량회수하고비인가자에게제공 열람금지 5. 용역업체의노트북등관련장비를반입 반출시마다악성코드감염여부, 자료무단반출여부를확인 6. 그밖에기관장이보안관리가필요하다고판단하는사항이나정보보안담당관이보안조치 5-77 - 7
를권고하는사항 2 기관장은용역사업추진시과업지시서 입찰공고 계약서등에다음각호의누출금지대상정보를명시해야한다. 1. 기관소유정보시스템의내 외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정 비밀번호등정보시스템접근권한정보 4. 정보통신망취약점분석 평가결과물 5. 정보화용역사업결과물및관련프로그램소스코드 6. 개인정보보호법 제2조제1항의개인정보 3 용역업체가보안관련사항을위반하였을경우다음각호의사항을조치해야한다. 1. 보안관련위반시경위확인 2. 보안위규처리기준에따라조치 3. 재발방지대책강구요구 4. 보안조치이행여부점검 4 용역업체가정보시스템개발및유지보수를시행할때원칙적으로원격작업을금지한다. 제29조 ( 정보시스템위탁운영보안관리 ) 1 기관장은소관정보시스템에대한외부업체의위탁운영을최소화하되, 위탁운영과관련한관리적 물리적 기술적보안대책을수립하여시행하여야한다. 2 정보시스템의위탁운영은여타기관또는업체직원이당해기관에상주하여수행하는것을원칙으로한다. 다만, 해당기관에위탁업무수행직원의상주가불가한타당한사유가있을경우, 그러하지아니할수있다. 제30조 ( 다른법령과의관계 ) 이규정에명시되지않은사항은다음각호의법령등에따른다. 1. 정보통신망이용촉진및정보보호등에관한법률 및동법시행령 2. 정보보호조치에관한지침 3. 교육부정보보안기본지침 4. 교육부사이버분야위기대응실무매뉴얼 5. 그밖의관계법규 부칙 <2016. 9. 23. 제정 > 제 1 조 ( 시행일 ) 이규정은공포일부터시행한다. 제 2 조 ( 폐지규정 ) 이규정의시행과동시에 정보보호규정 은폐지한다. 5-77 - 8