정보보안사고 라함은보호관리대상에속하는전산자료또는정보통신시 스템 시설이무단으로파괴되거나유출 변조되어업무수행에지장을초래하는사고를말한다 6. 사용자 라함은정보통신망또는정보시스템에대한접근또는사용허 가를받은자등을말한다. 7. 인터넷서비스망 이하 인터넷망 이라한다 ) 이라함은네트

Similar documents
동양미래대학교규정집제 8 편정보보안 ~2 을도입할경우보안적합성검증제품을도입하여야한다. 2 도입할휴대용저장매체관리시스템은다음각호에해당하는필수보안기능을포함하여야한다. 1. 사용자식별 인증기능 2. 지정데이터암 복호화기능 3. 저장된자료의임의복제방지기능 4. 분실

<555342B8DEB8F0B8AE20B5EE20BAB8C1B6B1E2BEEFB8C5C3BC20B0FCB8AEC1F6C4A72E687770>

메모리등휴대용저장매체보안관리지침 제정 목 차 제 조목적 제 조적용범위 제 조용어의정의 제 조휴대용저장매체의사용 제 조휴대용저장매체사용제한 제 조관리책임자 제 조정보보안담당관의책무 제 조휴대용저장매체의구분및관리요령 제 조휴대용저장매체불용처리및재사용 제 조휴대용저장매체의분

1 사업개요 가. 추진배경및필요성 (124) (20 ) ICT ICT R&D % % ) *, **

저장할수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 8. 저장매체 라함은자기저장장치 광저장장치 반도체저장장치등자료기록이가능한전자장치를말한다. 9. 소자 ( 消磁 ) 라함은저장매체에역자기장을이용해매체의자화값을 0 으로만들어저장자료의복원이불가능하게만드는것을말

24ffca36-7c00-4cd0-8fb2-7ae740806ae4.hwp

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상

Microsoft PowerPoint - 컴퓨터보안09

활용하여정보를수집 가공 저장 검색 송수신하는정보통신체제를말한다. 6. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 7. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 8.


<30375FC1A4BAB8BAB8BEC8B1E2BABBC1F6C4A728C1A6C1A E31322E32382E292E687770>

(\261\324\301\244\301\37525\( \300\333\276\367\277\353\).hwp_EEBjAgGIfXV4Yx7ba0vV)

2018년 10월 12일식품의약품안전처장

120330(00)(1~4).indd

목 차 제 1 장개요 1 제1조 ( 목적 ) 1 제2조 ( 적용범위 ) 1 제3조 ( 용어정의 ) 1 제4조 ( 책무 ) 3 제5조 ( 정보보안담당관운영 ) 3 제6조 ( 활동계획수립및심사분석 ) 4 제7조 ( 정보보안내규제 개정 ) 4 제8조 ( 정보보안수준진단 )

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>


포함한다 ) 를말한다. 9 침해사고 라함은해킹, 컴퓨터바이러스, 악성코드, 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다. 제 2 장정보보안조직 제4조 ( 정보보안조직구성 ) 1 학교내정보보호활동을관리하

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

한국노인인력개발원 규정집(2015ver11).hwp

동양미래대학교규정집제 8 편정보보안 8-0-2~2 등을말한다 저장매체라함은자기저장장치광저장장치반도체저장장치보조기억장치 등 등자료기록이가능한전자장치를말한다 보조기억매체라함은디스켓 하드디스크 메모리등자료를저장할수있는것으로정보시스템과분리할수있는기억장치를말한다 정보보안 또는

한마루 - 국고보조금통합관리시스템 연계구축용역제안요청서

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

개인정보처리방침_성동청소년수련관.hwp


개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-


2015

- 1 -

동양미래대학교규정집제 8 편정보보안 8-0-8~2 에임의로접근하지않아야한다 타인의패스워드를무단변경하여업무수행을방해하지않는다 업무상취득한본대학의정보또는제 자소유의 관련자료를승인없이누설하지않아야한다 본대학에서비밀로관리하는정보자산은부서별보안담당관의승인없이외부로유출하지않아야한

보안규정

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

- 2 -

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

[ 목차 ]



좀비PC

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하


PowerPoint 프레젠테이션

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

_서울특별시_강서구_자활기금_설치_및_운용_조례_일부개정조례안[1].hwp

제3조 ( 시스템보안책임 ) 1 학교에필요한일체의정보시스템 (PCㆍ서버ㆍ네트워크장비등포함 ) 을도입ㆍ사용할경우, 사용자ㆍ시스템관리자및관리책임자를지정운용하여야한다. 2 사용자는개인PC 등소관정보시스템을사용하거나본인계정으로정보통신망에접속하는것과관련한일체의보안및관리책임을가진

m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共

지능형전력망의구축및이용촉진에관한법률시행 지능형전력망의구축및이용촉진에관한법률시행령 [ 시행 ] [ 대통령령제25840호, , 타법개 산업통상자원부 ( 전력진흥과 ) 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의

암호내지

Ⅰ Ⅱ Ⅲ Ⅳ

<312E20C8A3C8EDB1E2C3BCC7E8B0FC20C0FCBBEAC0E5BAF120B1B8C0D420BDC3B9E6BCAD2E687770>

CD 2117(121130)

별지 제10호 서식

농업정책보험금융원임직원행동강령 제정 개정 개정 개정 개정 개정 개정 제1장총칙

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

PowerPoint 프레젠테이션

<28C0DABFAC29BDC0C1F6BAB8C8A3B9FDC0D4B9FDBFB9B0ED2E687770>

- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유

슬라이드 1

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

안전확인대상생활화학제품지정및안전 표시기준 제1조 ( 목적 ) 제2조 ( 정의 )

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

CNVZNGWAIYSE.hwp

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

외교부(0106).indb

민원인 이란전자적민원처리를신청하는주체로서 개인또는사업자 법인등단체및그기관의담당자등을말한다 본인확인 이란정보통신망을통하여정보시스템또는행정정보를이용하는업무담당자 민원인또는시스템관리자가가지고있거나알고있는정보를이용하여본인임을확인하는것을말한다 접근권한 이란정보시스템에접속하여정보

1. 주요시설의출입구에신원확인이가능한출입통제장치를설치할것 2. 집적정보통신시설을출입하는자의신원등출입기록을유지 보관할것 3. 주요시설출입구와전산실및통신장비실내부에 CCTV를설치할것 4. 고객의정보시스템장비를잠금장치가있는구조물에설치할것 2 사업자는제1항에따른보호조치를효율적

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

BN H-00Kor_001,160

. ( ). 4. ( ) ( ) ( ). 7..( ) (, ). 12.,.( ) 13..( ) 14.

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

여수신북항(1227)-출판보고서-100부.hwp

Microsoft PowerPoint - 6.pptx

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널


산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회

최종보고서-2011년_태양광등_FIT_개선연구_최종.hwp

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

( 제 20-1 호 ) '15 ( 제 20-2 호 ) ''16 '15 년국제개발협력자체평가결과 ( 안 ) 16 년국제개발협력통합평가계획 ( 안 ) 자체평가결과반영계획이행점검결과 ( 제 20-3 호 ) 자체평가결과 국제개발협력평가소위원회


<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>



전력기술인 7월 내지일

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

[11하예타] 교외선 인쇄본_ver3.hwp

SBR-100S User Manual

목 차 Ⅰ. 감사실시개요 1. 감사배경및목적 감사범위및대상부서 감사인원및기간 감사중점및시행

경상북도와시 군간인사교류활성화방안

내부정보관리규정

제 KI011호사업장 : 서울특별시구로구디지털로26길 87 ( 구로동 ) 02. 공산품및소비제품 생활용품검사검사종류검사품목검사방법 안전확인대상생활용품 생활 휴대용레이저용품 안전확인대상생활용품의안전기준부속서 46 ( 국가기술표준원고시제 호 (

사용자중심의강력한렌터카관리솔루션 렌트업 RENTUP 서비스사용매뉴얼

804NW±¹¹®

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta


공기구비품 회의용의자 ,078 37,117 51,961 총무시설팀 활용 공기구비품 회의용의자 ,078 37,117 51,961 총무시설팀 활용 공기구비품 회의용의자 ,078 37,117 51,961

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

Transcription:

보안요령 제 정 차개정 차개정 차개정 차개정 차개정 차개정 제 장총 칙 제 조 목적 이요령은정보통신시스템과정보통신망운용에따른정보보안관리업무에필요한세부사항에대해규정함을목적으로한다 제 조 용어의정의 이요령에서사용하는용어의정의는다음과같다 보안적합성검증필정보보호시스템 이하 검증필정보보호시스템 이라한다 이라함은상용정보보호시스템중국가정보원장이기관에서사용하는것이적합하다고승인한것을말한다 휴대용저장매체 라함은디스켓 이동형하드디스크 USB 메모리등자료 를저장할수있는것으로 PC 등의정보통신시스템과분리할수있는기억장치 를말한다. 전산자료 라함은 장비에의하여전자기적인형태로입력 보관되어있는 각종정보 를말하며 그자료가입력되어있는자기테이프 디스크등보조기억매체를포함한다 정보보안 또는 정보보호 라함은정보통신수단으로수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지하거나정보통신망을보호하기위하여관리적 물리적 기술적수단을강구하는일체의행위를말한다 - 1 -

정보보안사고 라함은보호관리대상에속하는전산자료또는정보통신시 스템 시설이무단으로파괴되거나유출 변조되어업무수행에지장을초래하는사고를말한다 6. 사용자 라함은정보통신망또는정보시스템에대한접근또는사용허 가를받은자등을말한다. 7. 인터넷서비스망 이하 인터넷망 이라한다 ) 이라함은네트워크중에서 인터넷을사용할수있도록연결되어있는인터넷전용망을말한다. 8. 업무전산망 ( 이하 업무망 이라한다 ) 이라함은네트워크중에서업무용 으로사용되는영역으로, 망분리를한경우인터넷망과분리된내부전산망 ( 이하 내부망 이라한다 ) 을말한다. 9. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자 적인형태로송ㆍ수신또는저장되는정보를말한다. 10. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태 로송ㆍ수신또는저장되는기록정보자료를말한다. 11. 전자정보 라함은업무와관련하여취급하는전자문서및전자기록물을 말한다. 12. 국가용보안시스템 이라함은비밀등중요자료보호를위하여국가정 보원장이개발하거나안전성을검증한암호장비ㆍ보안자재ㆍ암호논리등을 말한다. 13. 암호모듈 이라함은정보의유출, 위ㆍ변조, 훼손등을방지하기위해 암호논리를활용하여구현한수단이나도구를말한다. 14. 정보보호시스템 이라함은정보의수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시정보의 유출, 위ㆍ변조, 훼손등을방지하기위한하드웨어및소프트웨어를말한다. 15. 사이버공격 이라함은해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비 스방해등전자적수단에의하여정보통신망을불법침입ㆍ교란ㆍ마비ㆍ파 - 2 -

괴하거나정보를절취ㆍ훼손하는공격행위를말한다. 16. 정보통신실 이라함은서버 PC 둥과스위치 교환기 라우터등네트워크 장치등이설치운용되는장소를말하며, 전산실 통신실 전자문서및전 자기록물 ( 전자정보 ) 보관실등을말한다. 17. 정보시스템 이라함은 PC 서버등단말기, 보조기억매체, 전산, 통신장 치, 정보통신기기, 응용프로그램등정보의수집 가공 저장 검색 송수신에 필요한하드웨어및소프트웨어일체를말한다. 무선도청탐지 라함은유 무선도청탐지장비등을이용하여은닉된무선도청장치색출과각종도청위해요소를제거하는제반활동을말한다 제 3 조 ( 세부사항 ) 이요령에서정하지아니한정보보안관리에필요한세부사 항은 정보보안관리세부기준 에서정한바에따른다. 2 이요령의시행에필요한서식의제정및개폐는 IT 담당부서장에게위임한 다. 3 별지서식은필요시정보통신시스템으로구성하여운영할수있다. 제 장정보보안기본활동 제 조 정보보안책임 사장은정보 ( 전자정보를포함한다. 이하같다 ) 와정보통신망 을보호하기위한보안대책을마련하여야하며정보보안에대한책임을진다. 제 조 정보보안담당관 효율적 체계적인정보보안업무를수행하기위하여정 보보안전문지식을보유한인력을확보하고관련전담조직을구성운영하여야 하며, 정보보안업무를수행하기위하여 IT 담당부서장을정보분임보안담당관 이하 정보보안담당관 이라한다 으로한다 정보보안담당관의기본활동은다음과같다 - 3 -

정보보안정책및기본계획수립 시행 정보통신망보안대책의수립 시행 정보통신실 정보통신망및정보자료등의보안관리 정보보안업무지도 감독및정보보안심사분석 정보보안사고조사및처리 사이버위협정보수집 분석및보안관제 사이버공격초등조치및대응 사이버보안진단의날계획수립시행 정보보안교육및정보협력 정보보안관련규정지침등제개정 정보보호시스템의운용및보안관리 정보보안예산및전문인력확보 정보보안관리실태평가 도청위해요소측정제거 기타정보보안관련업무 제 조 활동계획수립및심사분석 정보보안업무세부추진계획및심사분석을실 시하고, 별지제 1 호및제 2 호서식에의거다음각호의기간내에산업통상자 원부장관을경유하여국가정보원장에게제출하여야한다. 1. 정보보안세부추진계획 : 해당년도추진계획 2. 정보보안업무심사분석 : 전년도 분기 해당년도 분기내용종합 제 7 조 ( 정보보안내규제ㆍ개정 ) 정보및정보통신망보호를위한자체정보보안 내규 ( 지침ㆍ시행세칙등 ) 를산업통상자원부정보보안세부지침에저촉되지아니 하는범위에서작성운용하여야한다. 제 8 조 ( 사용자관리 ) 1 정보통신망 ( 정보시스템포함 ) 사용과관련하여다음각호 의사항을포함한사용자보안에관련된절차및방법을마련하여야한다. 직위 임무별정보통신망접근자격부여심사 비밀등중요정보취급시비밀취급인가 보안서약서징구등의보안조치 보직변경 퇴직등인사이동시관련정보시스템접근권한조정 ➁ 외부인력을활용하여정보시스템의개발, 운용, 정비등을수행할경우에는 - 4 -

해당인력의고의또는실수로인한정보유출이나파괴를방지하기위하여보 안조치를수행하여야한다. 제 9 조 ( 시스템보안책임범위 ) 정보시스템 (PC 서버 네트워크장비, 정보통신기 기등포함 ) 을도입 사용할경우, 사용자와해당시스템의관리자및관리책임 자를지정운용하여야한다. 사용자는개인 PC 등소관정보시스템을사용하거나본인계정으로정보통신 망에접속하는것과관련한보안책임을가진다. 시스템관리자는서버네트워크장비등부서공통으로사용하는정보시스템 의운용과관련한보안책임을가진다. 제 1 항부터제 3 항까지와관련하여정보시스템을실제운용하는부서의장이 정보시스템 관리책임자 가되며, 관리책임자는정보시스템관리대장 ( 별지제 4 호 서식 ) 을운용관리하여야한다. 관리책임자는해당부서의정보시스템관리대장에정보시스템의변경최종 현황을유지하여야하며사본 l 부를정보보안담당관에게제출하여야한다. 정보보안담당관은제 1 항부터제 5 항까지에명시된정보시스템운용과관련한 보안취약점올발견하거나보안대책강구가필요하다고판단할경우, 사용자 시 스템관리자및관리책임자에게시정을요구할수있다. 제 조 정보통신시설보호 다음각호의중요정보통신시설및장소를보호구역으로설정관리하여야한다 정보통신실 전산자료보관실 기타보안관리가필요하다고인정되는정보통신시스템설치장소 제 항에서지정된보호구역에대한보안대책을강구할경우다음각호의 사항을참고하여야한다 - 5 -

방재대책및외부로부터의위해방지대책 상시이용하는출입문은한곳으로정하고이중잠금장치설치 출입문보안장치설치및주야간감시대책 휴대용저장매체를보관할수있는용기비치 정보시스템안전지출및긴급파기계획수립 관리책임자및자료 장비별취급자지정운용 비인가자에대한출입기록유지 8. 카메라장착휴대폰등을이용한불법촬영방지대책 정전에대비한비상전원공급 시스템의안정적중단등전력관리대책 제 11 조 ( 모의훈련 ) 정보보안담당관은자체정보통신망올대상으로매년정기또 는수시사이버위기대옹모의훈련을실시하고훈련완료일기준 2 개월이내 훈련결과를산업통상자원부장관을경유하여국가정보원장에게통보하여야한다. 제 조 지도방문 정보보안담당관은정보통신망운용관리에따른보안취약성개선을위하여정보보안지도방문을실시하여야한다 지도방문실시결과에대해서는정보보안업무심사분석에포함시켜야한다 정보보안담당관은정보통신망의보안취약성진단과보안관리개선을위하여국가정보원장에게지도방문을요청할수있다 제 13 조 ( 정보보안감사 ) 1 정보보안담당관은연 l 회이상자체정보보안감사를 실시하고제 6 조에따른정보보안업무세부추진계획및심사분석결과제출시 정보보안감사실시계획과감사결과를포함하여야한다. 1. 정보보안감사실시계획 : 1.25 限 ( 해당연도계획 ) 2. 정보보안감사실시결과 : 7.31 限 ( 전년도 3/4 분기 해당연도 2/4 분기종합 ) 정보보안담당관은정보보안위반사항발생시위반사항에대하여감사할수 있다. 정보보안담당관은정보보안감사결과정보보안위반자에대하여인사부서에 - 6 -

징계를의뢰할수있다 단 징계에해당하지않는사안에대해서는 별표 의기준에따라경고등의조치를할수있다 제 조 무선도청탐지 정보보안담당관은무선도청에따른정보유출을방지하기위하여다음각호의시설및장소에대한보안대책을강구하여야한다 기관장실 회의실등중요시설 중요협상 회의와회담장소등도청의심징후가있는장소 정보보안담당관은제 항각호의시설및장소에대하여국가정보원장에게무선도청탐지활동을요청할수있다 제 15 조 정보보안교육 정보보안담당관은자체정보보안교육계획을수립하고연 회이상전직원을대상으로정보보안교육을실시하여야한다 정보보안담당관은정보보안교육의효율성을제고시키기위하여정보보안교안및교재를작성활용하여야한다 정보보안담당관은정보보안관련전문기관교육및기술세미나참석을장려하는등정보보안담당직원의업무전문성을제고하기위해노력하여야한다 제 조 사이버보안진단의날 운영 매월셋째주수요일을 사이버보안진단의날 로지정 운용하여야한다 정보보안담당관은 사이버보안진단의날 에소관정보통신망을대상으로바 이러스감염여부와정보통신시스템의보안취약여부등을진단 문제점을발굴개선하여야한다 제 항및제 항에따라보안취약성을발굴 개선한실적을제 6 조에의거정 보보안업무심사분석에포함하여산업통상자원부장관을경유하여국가정보원장에게통보하여야한다 제 조 통신보안위규 통신보안위규사항은 별표 과같다 - 7 -

통신보안위규를적발하였을경우위규자 위규내용및조치사항을산업통상자원부장관을경유하여국가정보원장에게통보하여야한다 국가안보및국가이익에중대한영향을미칠수있다고판단되는통신보안 위규에대해서는가장신속한방법으로산업통상자원부장관및국가정보원장에게통보하여야한다 제 조 재난방지 인위적또는자연적인원인으로인한정보통신시스템의장 애발생에대비하여시스템이원화 백업관리 복구등종합적인재난복구대책을수립시행하여야한다 재난복구대책은정기적으로시험하고검토해야하며업무연속성에대한영향평가를실시하여야한다 정보통신망장애에대비한백업시설을확보하고정기적으로백업을수행하여야한다 제 항에의거백업시설을설치할경우에는정보통신실과물리적으로일정거리이상위치한안전한장소에설치하여재난에대비하여야한다 제 장정보보안관리 제 절전자정보보안대책 제 조 개인용컴퓨터보안관리 개인용컴퓨터를이용하여자료를입출력하거나문서편집등을하고자할때에는사용자및관리책임자를지정하여야한다 이경우에관리책임자는사용자를 장비관리대장에등재하여관리하여야한다 정보보안담당관은비인가자가 를무단으로조작하여전산자료를열람 출 력 변조및훼손시키지못하도록다음각호에정한보호대책을사용자에게지원하며, 사용자는이를준수하여야한다 장비별 (CMOS 비밀번호 ), 자료별 ( 문서자료암호화비밀번호 ), 사용자별 ( 로 - 8 -

그온비밀번호 ) 비밀번호를사용하고주기적으로변경사용 분이상단말기의작업중단시비밀번호가적용된화면보호조치 용최신백신운용 점검 용침입차단시스템등을운용하고운영체제 (OS) 및응용프로그램 ( 아래아한글, MS Office, Acrobat 등 ) 의최신보안 패치유지 등업무와무관하거나보안에취약한프로그램의설치 사용금지및 공유폴더의삭제 인터넷포털메일발신및인터넷파일업로드기능사용금지 개인정보를포함하는자료및문서를 에저장할경우암호화조치 정보보안담당관은 를교체 반납 폐기하거나고장으로외부에수리를의뢰 하고자할경우에는하드디스크에수록된자료가유출 훼손되지않도록보안조치를하여야한다 에적용되는사용자계정 및비밀번호의취급관리는제 24 조및제 25 조의규정을준용한다 업무용노트북 등휴대용전산기기의운용현황을파악하여관리하고 반출또는반입시최신백신을활용하여해킹프로그램및바이러스감염여부를점검하여야한다 개인소유의컴퓨터 노트북등 는무단으로반출또는반입하여사용하여서는 아니된다 다만 부득이한경우에는정보보안담당관의승인을받아보안조치한후반출또는반입할수있다 제20조 ( 인터넷PC 보안관리 ) 1 정보보안담당관은비인가자가인터넷과연결된 PC( 이하인터넷PC) 를무단으로조작하여전산자료를절취, 위ㆍ변조및훼손시키지못하도록다음각호의보안대책을사용자에게지원하며, 사용자는이를준수하여야한다. 1. 메신저ㆍP2Pㆍ웹하드등업무에무관하거나 Active-X 등보안에취약한프로그램과비인가프로그램ㆍ장치의설치금지 2. 특별한사유가없는한문서프로그램은읽기전용으로운용 3. 음란ㆍ도박ㆍ증권등업무와무관한사이트접근차단조치 - 9 -

2 사용자는인터넷 PC 에서무단으로업무자료의작성ㆍ저장및소통을금지하 고최신백신을활용하여주기적으로점검하여야한다. 정보보안담당관은인터넷 PC 에서업무자료의저장을금지하기위한기술적 관리적방안을강구하여야한다. 4 그밖에인터넷 PC 의보안관리에관련한사항에대해서는제 19 조를준용한 다. 제 21 조 ( 서버보안관리 ) 1 서버관리자는서버를도입ㆍ운용할경우, 정보보안담 당관과협의하여해킹에의한자료절취, 위ㆍ변조등에대비하여아래의보안 대책을수립 시행하여야한다. 1. 서버내저장자료에대해업무별ㆍ자료별중요도에따라사용자의접근권한을차등부여 2. 사용자별자료의접근범위를서버에등록하여인가여부를식별토록하고인가된범위이외의자료접근을통제 3. 서버의운용에필요한서비스포트외에불필요한서비스포트제거및관리용서비스와사용자용서비스를분리운용 4. 서버의관리용서비스접속시특정 IP와 MAC 주소가부여된관리용단말을지정운용 5. 서버설정정보및서버에저장된자료에대해서는정기적으로백업을실시하여복구및침해행위에대비 6. 데이터베이스에대하여사용자의직접적인접속을차단하고개인정보등중요정보를암호화하는등데이터베이스별보안조치를실시 정보보안담당관은제 1 항에서수립한보안대책의적절성을수시확인하되, 연 1 회이상보안도구를이용하여서버설정정보및저장자료의절취, 위ㆍ변 조가능성등보안취약점을점검하여야한다. 제 조 웹서버등공개서버관리 외부인에게공개할목적으로설치되는웹서버등각종공개서버는내부망과분리하여설치 운영하여야한다 서버관리자는서버에접근할수있는사용자를제한하며불필요한계정을삭제하여야한다 - 10 -

공개서버는웹서비스를제외한모든서비스및시험 개발도구등의사용을제한하도록보안기능을설정하여야한다 공개서버의보안취약성을수시로점검하고보안사고에대비하여서버에저장된자료의철저한백업체계를수립 시행하여야한다 비인가자의서버저장자료절취, 위 변조및분산서비스거부 (DDoS) 공격등 에대비하기위하여검증필침입차단 탐지시스템및 DDoS 공격대응시스템을설 치하는등보안대책을강구하여야한다. 공개서버의보안관리에대한그밖의사항에대해서는제 조를준용한다 제 23 조 ( 홈페이지게시자료보안관리 ) 개인정보를포함한중요업무자료가홈페 이지에무단게시되지않도록 [ 별표 8] 에서정한홈페이지정보공개보안지침을 시행하여야한다. 제 조 사용자계정관리 사용자계정 은비인가자도용및정보통신시스템불법접속에대비하여다음각호의사항을반영하여관리하여야한다 사용자별또는그룹별로접근권한부여 외부사용자의계정부여는불허하되업무상불가피한경우에는정보보안담 당관의책임하에유효기간을한정하는등보안조치강구한후허용 비밀번호및인증수단이없는사용자계정사용금지 시스템관리자는사용자계정의등록 변경 폐기등을정보보안담당관에게보고하여야한다 시스템관리자는사용자가 회이상에걸쳐로그인실패시정보시스템접속을중지시키고비인가자의침입여부를확인점검하여야한다 시스템관리자는직원의퇴직또는보직변경발생시사용하지않는사용자계 정및비밀번호를즉시삭제하고 유지보수등을위한외부업체직원에게관리 자계정제공을금지하여야하며 업무상불가피할경우정보보호담당관의승인을득하여야한다 - 11 -

5 정보보안담당관은사용자계정의부여및관리가적절한지연 2 회이상점검 하여관련결과를시스템관리자에게통보하여야한다. 제 조 비밀번호관리 사용자는비밀번호설정시정보통신시스템의무단사용방지를위하여다음과같이구분사용하여야한다 비인가자의정보통신시스템접근방지를위한장비접근용비밀번호 정보통신시스템사용자가서버등정보통신망접속시인가된인원인지여 부를확인하는사용자인증비밀번호 문서에대한열람 수정및출력등사용권한을제한할수있는자료별비 밀번호 비밀이나중요자료에는반드시자료별비밀번호를부여하되 공개또는열람자료에대해서는그러하지아니할수있다 비밀번호는다음각호사항을반영하여숫자와문자 특수문자등으로 9 자리이상으로정하고 분기 회이상주기적으로변경사용하여야한다 사용자계정 과동일하지않은것 개인신상및부서명칭등과관계가없는것 일반사전에등록된단어는사용을피할것 동일단어또는숫자를반복하여사용하지말것 사용된비밀번호는재사용하지말것 동일비밀번호를여러사람이공유하여사용하지말것 응용프로그램등을이용한자동비밀번호입력기능사용금지 4 서버에등록되어있는비밀번호는암호화하여보관하여야한다 제 26 조 ( 업무망보안관리 ) 1 업무망구축시인터넷과분리운영하도록망을설계 하여야한다. 이경우다음각호의보안대책을강구하여야한다. 1. 비인가자의업무망 인터넷침입차단대책 ( 침입차단 탐지시스템등 ) 2. 비인가장비의업무망접속차단대책 ( 네트워크관리시스템등 ) 3. 업무 PC 의인터넷접속차단대책 - 12 -

4. 업무망과인터넷망간안전한자료전송대책 2 제 1 항에도불구하고, 부득이한경우국가정보원장과협조하여적정보안대 책을강구한후망분리를하지아니할수있다. 3 업무망관리자는정보시스템에부여되는 IP주소 를체계적으로관리하여야하고, 비인가자로부터업무망을보호하기위하여사설주소체계 (NAT) 를적용하여야한다. 또한 IP주소별로정보시스템접속을통제하여비인가정보통신기기나 PC등을이용한업무망정보시스템접속을차단하여야한다. 4 업무망을여타기관의망및인터넷과연동하고자할경우에는보안관리책 임한계를설정하고망연동에따른보안대책을마련하여산업통상자원부장관을 경유하여국가정보원장에게보안성검토를의뢰하여야한다. 5 업무망을여타기관의망및인터넷과연동하고자할경우업무망관리자는 비인가자의망침입을방지하기위하여안전성이검증된침입차단 탐지시스템 을운용하는등보안대책을강구하여야한다. 6 업무망관리자는업무망을인터넷과연동시효율적인보안관리를위하여연 결지점을최소화운용하여야한다. 7 업무망과인터넷망간의자료교환은망간자료전송시스템을사용하여야하 고전송로그는 6 개월이상, 원본파일은 3 개월이상유지하여야한다. 8 업무망관리자는전송실패기록올점검하여악성코드유입여부등을주기적 으로확인조치하여야한다. 9 업무망 PC 의자료를인터넷 PC 로전송시에는보안담당자혹은결재권자의 사전또는사후승인절차를마련하여이를준수하여야한다. 10 정보보안담당관은제 1 항부터 9 항까지와관련하여망분리환경점검리스트 에따라보안대책의적절성을수시로점검하고보완하여야한다. 제 27 조 ( 네트워크장비보안관리 ) 1 시스템관리자는라우터, 스위치등네트워크 - 13 -

장비운용과관련하여다음각호의보안조치를강구해야한다. 1. 네트워크장비에대한원격접속은원칙적으로금지하되, 불가피할경우장비관리용목적으로내부특정 IPㆍMAC 주소에서의접속은허용 2. 물리적으로안전한장소에설치하여비인가자의무단접근통제 3. 네트워크장비등신규전산장비도입시기본 (default) 계정을삭제또는변경하고시스템운영을위한관리자계정별도생성 4. FTP 등불필요한서비스포트제거및사용자계정차단 삭제 5. 펌웨어무결성및소프트웨어 서버운영체제취약점과최신업테이트여부를주기적으로확인하여항상최신버전으로유지 2 시스템관리자는네트워크장비의접속기록을 6 개월이상유지하여야하고비 인가자에의한침투여부를주기적으로점검하여정보보안담당관에게관련결과 를제출하여야한다. 제 조 전자우편등의보안관리 1 시스템관리자는웜 바이러스등악성코드로 부터사용자PC 등전자우편시스템일체를보호하기위하여국정원장이안전성을확인한백신, 방화벽, 해킹메일차단시스템등을구축하여보안대책을강구하여야한다. 2 사용자는출처가불분명하거나의심되는제목의전자우편은열람을금지하 고해킹메일로의심되는메일수신시에는즉시정보보안담당자등을경유하여 산업통상자원사이버안전센터및국가사이버안전센터에신고하여야한다. 3 사용자는메일에포함된첨부파일이자동실행되지않도록설정하고첨부파 일다운로드시반드시최신백신으로악성코드은닉여부를검사하여야한다. 사용자는상용전자우편을이용하여업무자료를송 수신할수없으며사내 전자우편으로송 수신한업무자료는활용후메일함에서즉시삭제하여야한다. 제 29 조 ( 휴대용저장매체보안대책 ) 1 모든사용자 PC 에서는보안 USB 이외의 휴대용저장매체사용을금지하는것을원칙으로한다. 2 보안 USB 이외의휴대용저장매체사용이필요한사용자는소속팀의휴대용 - 14 -

저장매체관리책임자와정보보안담당부서의정보보안책임자의승인을받아보 안 USB 시스템에해당휴대용저장매체를등록하여사용할수있다. 업무자료를입력 저장하기위한휴대용저장매체는비밀용 일반용으로구분하 여매체별로관리번호를부여관리하고주기적으로수량및보관상태를점검하며반출 입을통제하여야한다 휴대용저장매체를활용하는부서의보안담당자는월 회이상보유현황및 관리실태를점검하고관리책임자의확인을받아정보보안담당관에게통보하여야한다 민감한보고서나자료에대해서는자료별비밀번호를사용하고 휴대용저장 매체를적극활용하여야한다 다만 공개또는회람되거나일반으로분류된전산자료에대해서는그러하지아니하다 정보보안담당관은사용자의휴대용저장매체무단반출및미등록휴대용저장매체사용여부등보안관리실태를주기적으로점검하여야한다 휴대용저장매체를파기등불용처리하거나비밀용을일반용또는다른등 급의비밀용으로전환하여사용할경우저장되어있는정보의복구가불가능하도록완전삭제프로그램을사용하여야한다 휴대용저장매체보안관리에필요한세부사항은 별표 의 메모리등휴대용저장매체보안관리지침 에서정한바에따른다 제 조 악성코드방지대책 웜ㆍ바이러스, 해킹프로그램, 스파이웨어등악성코 드감염을방지하기위하여다음각호와같은대책을수립ㆍ시행하여야한다. 1. 사용자는개인PC에서작성하는문서ㆍ데이터베이스작성기등응용프로그램을보안패치하고백신은최신상태로업데이트ㆍ상시감시상태로설정및주기적인점검을실시하여야한다. 2. 사용자는출처, 유통경로및제작자가명확하지않은응용프로그램은사용을금지하고인터넷등상용망으로자료입수시신뢰할수있는인터넷사이트를활용하여야하며최신백신으로진단후사용하여야한다. - 15 -

3. 사용자는인터넷파일공유프로그램과메신저ㆍ대화방프로그램등업무상불필요한프로그램을사용하지않아야하고시스템관리자는인터넷연동구간의침입차단시스템등에서관련사이트접속을차단하도록보안설정하여야한다. 4. 사용자는웹브라우저를통해서명되지않은 (Unsigned) Active-X 등이 PC내에불법다운로드되고실행되지않도록보안설정하여야한다. 시스템관리자또는 PC 사용자는시스템에악성코드가설치되거나감염된사 실을발견하였을경우에다음각호의조치를하여야한다. 1. 악성코드감염원인규명등을위하여파일임의삭제등감염시스템사용을중지하고전산망과의접속분리 2. 악성코드의감염확산방지를위하여정보보안담당관에게관련내용및보안조치사항을즉시보고 3. 최신백신등악성코드제거프로그램을이용하여악성코드를삭제 4. 감염이심각할경우포맷프로그램을사용하여하드디스크를포맷 5. 악성코드감염의확산및재발을방지하기위하여원인을분석하고예방조치를수행 악성코드가신종이거나감염피해가심각하다고판단될경우에는관련사항을산업통상자원부장관및국정원장에게신속히통보하여야한다 국정원장이악성코드감염사실을확인하여조치를권고할경우즉시이행하여야한다 제 31 조 ( 접근기록관리 ) 1 시스템관리자는정보시스템의효율적인통제ㆍ관리, 사고발생시추적등을위해사용자의정보시스템접근기록을유지관리하여야 한다. 2 제 1 항의접근기록에는다음각호의내용이포함되어야한다. 1. 접속자, 정보시스템ㆍ응용프로그램등접속대상 2. 로그온ㆍ오프및접속성공ㆍ실패등작업결과 3. 전자우편사용등외부발송정보등 - 16 -

3 시스템관리자는접근기록을분석한결과, 인가자및비인가자의접속시도, 정보위변조및무단삭제등의의심스러운활동이나위반혐의가발생한사실 을발견한경우정보보안담당관에게즉시보고하여야한다. 4 접근기록은정보보안사고발생시확인등을위하여최소 6 개월이상보관하 여야하며접근기록위ㆍ변조및외부유출방지대책을강구하여야한다. 제 32 조 ( 정보시스템개발보안 ) 1 정보시스템개발책임자는다음각호의사항을 고려하여보안대책을수립하여야한다. 1. 비인가자의접근통제 2. 개발시스템과운영시스템의분리 3. 소스코드관리및소프트웨어보안관리 4. 테스트데이터의보안관리 2 정보시스템개발책임자는외부용역업체와계약하여정보시스템을개발하고 자하는경우에는다음각호의사항을고려하여보안대책을수립하여야한다. 1. 보안서약서징구및보안교육 2. 외부인력의보안준수사항확인및위반시배상책임의계약서명시 3. 외부인력의정보시스템접근권한및제공자료보안대책 4. 외부인력에의한장비반입 반출및자료무단반출여부확인 정보보안담당관은제 항및제 항과관련하여보안대책의적절성을수시로 점검하고정보시스템개발을완료한경우에는정보보안요구사항을충족하는지 개발보안체크리스트 별지제 호서식 에의거시험및평가를수행하여야한다 제 33 조 ( 정보시스템유지보수 ) 1 정보시스템유지보수절차및문서화수립시 고려사항은아래의각호와같다. 1. 유지보수인력에대해보안서약서집행, 보안교육등을포함한인가절차를 마련하고인가된유지보수인력만유지보수에참여한다. - 17 -

2. 결함이의심되거나발생한결함, 예방및유지보수에대한기록을보관한다. 3. 정보시스템의유지보수시에는일시, 담당자인적사항, 출입통제조치, 정비 내용등을기록 유지하여야한다. 2 시스템관리자는자체유지보수절차에따라정기적으로정보시스템정비를 실시하고관련기록을보관하여야한다. 3 정보보안담당관은시스템관리자등이유지보수와관련된장비 도구등을반 출 입할경우, 악성코드감염여부, 자료무단반출여부를확인하는등의보안조 치를하여야한다. 4 시스템관리자는외부에서원격으로정보시스템을유지보수하는것을원칙적 으로금지하여야하며부득이한경우에는정보보안담당관과협의하여한시적으 로허용할수있다. 제34조 ( 전자정보저장매체불용처리 ) 1 사용자및시스템관리자는하드디스크등전자정보저장매체를불용처리 ( 교체ㆍ반납ㆍ양여ㆍ폐기등 ) 하고자할경우에는정보보안담당관의승인하에저장매체에수록된자료가유출되지않도록보안조치하여야한다. 2 자료의삭제는해당정보가복구될수없도록실정에맞게저장매체별, 자료별 차별화된삭제방법을적용하여야한다. 제 절주요상황별보안대책 제 조 무선통신보안관리 무선망을운용할경우다음사항을시행하여야한다 전파월경방지대책강구 무선망에국가용보안시스템설치운용 정보보안위규및보안취약성근절활동 공중통신망이용시국가용보안시스템활용 제 36 조 ( 무선랜보안관리 ) 1 무선랜 ( 와이파이등 ) 을사용하여업무자료를소통 하고자할경우자체보안대책을수립하여관련사업계획단계 ( 사업공고전 ) - 18 -

에서산업통상자원부장관을경유하여국가정보원장에게보안성검토를의뢰하 여야한다. 시스템관리자는제 1 항의보안대책수립시, 다음각호의사항을포함하여야 한다. 1. 네트워크이름 (SSID, Service Set Identifier) 브로드캐스팅중지 2. 추측이어려운복잡한 SSID 사용 3. WPA2 이상 (256비트이상 ) 의암호체계를사용하여소통자료암호화 4. MAC 주소및 IP 필터링설정, DHCP 사용금지 5. RADIUS(Remote Authentication Dial-In User Service) 인중사용 6. 그밖에무선단말기 중계기 (AP) 등무선랜구성요소별분실 탈취 훼손 오용등에대비한관리적 물리적보안대책 정보보안담당관은제 1 항및제 2 항과관련한보안대책의적절성을수시로점 검하고보완하여야한다. 제37조 ( 무선인터넷보안관리 ) 무선인터넷 (WCDMA, WiBro, HSDPA 등 ) 시스템을구축하여업무자료를소통하고자할경우자체보안대책을수립하여관련사업계획단계 ( 사업공고전 ) 에서산업통상자원부장관을경유하여국가정보원장에게보안성검토를의뢰하여야한다. 시스템관리자는건물전역에무선인터넷사용을제한하고, 특별히무선인터넷사용이필요한구역에대해서는정보보안담당관의책임하에운용하며, 업무용PC에서무선인터넷접속장치 (USB형등 ) 가작동되지않도록관련프로그램설치금지등기술적보안대책을강구하여야한다. 정보보안담당관은개인휴대폰을제외한무선인터넷단말기의사무실무단 반입 사용을금지하는한편제 1 항과제 2 항의보안대책이적절한지수시로점검 하고보완하여야한다. 제 38 조 ( 인터넷전화보안관리 ) 인터넷전화시스템을구축하거나민간인터넷 전화사업자망 (070) 을사용하고자할경우에는사업계획단계에서자체보안대 책을수립 시행하여야한다. - 19 -

시스템관리자는제 1 항의보안대책수립시, 다음각호의사항을포함하여야 한다. 1. 인터넷전화기에대한장치인증및사용자인증 2. 제어신호및통화내용의암호화 3. 인터넷전화망 ( 음성네트워크 ) 과일반전산망 ( 데이터네트워크 ) 의분리 4. 인터넷전화전용방화벽등정보보호시스템 5. 백업체제구축 시스템관리자는인터넷전화시스템구축을위하여민간사업자망을이용할 경우, 해당사업자로하여금서비스제공구간에대한보안대책을강구하도록 하여야한다. 제 39 조 (CCTV 시스템보안관리 ) CCTV 운용에필요한카메라, 중계, 관제서 버, 관리용 PC 등관련시스템을비인가자의임의조작이물리적으로불가능하 도록설치하여야한다. CCTV 상황실은보호구역으로지정관리하고출입통제장치를도입하여야한 다. 시스템관리자는 CCTV 카메라, 비디오서버, 관제서버및관련전산망을설 치할경우업무망및인터넷망과분리운영하는것을원칙으로한다. 다만, 부 득이하게인터넷망을이용할경우에는전송내용을암호화하여야한다. CCTV 시스템일체는사용자계정 비밀번호등시스템인증대책을강구하고 허용된특정 IP 에서만접속을허용하는등비인가자의침입에대비한통제대책 을강구하여야한다. 정보보안담당관은제 1 항부터제 4 항까지와관련하여보안대책의적절성을수 시로점검하고보완하여야한다. 제 40 조 ( 디지털복사기보안관리 ) 디지털복사기 ( 이하 복사기 라한다 ) 를도 입하고자할경우복사기內저장매체에보관된자료유출방지를위하여자료의 - 20 -

완전삭제기능이탑재된제품을도입하여야한다. 시스템관리자는다음각호의경우에복사기저장매체의저장자료를완전삭 제하여야한다. 1. 복사기의사용연한이경과하여폐기 양여할경우 2. 복사기의무상보증기간중저장매체또는복사기전체를교체할경우 3. 고장수리를위한외부반출등복사기의저장매체를보안통제할수없는환경으로이동할경우 4. 그밖에저장자료삭제가필요하다고판단하는경우 시스템관리자는복사기의소모품등을교체하기위한유지보수시정보보안 담당자입회 감독하에작업을실시하여저장매체무단교체등을예방하여야한 다. 정보보안담당관은저장매체내장복사기현황을파악하고복사기의유지보 수및불용처리시저장매체에대한보안조치를수행하여야한다. 제 41 조 ( 정보통신망자료보안관리 ) 1 정보보안담당관은다음각호에해당하 는정보통신망관련현황 자료관리에유의하여야한다. 1. 정보시스템운용현황 2. 정보통신망구성현황 3. IP 할당현황 4. 주요정보화사업추진현황 2 정보보안담당관은다음각호의자료를대외비로분류하여관리하여야한다. 1. 정보통신망세부구성현황 (IP 세부할당현황포함 ) 2. 국가용보안시스템운용현황 3. 보안취약점분석 평가결과물 4. 그밖에보호할필요가있는정보통신망관련자료 제 조 외부용역사업보안관리 정보화ㆍ정보보호사업및보안컨설팅수행 - 21 -

등외부용역사업을추진하는사업책임자는다음각호의사항을포함한보안 대책을수립 시행하여야한다. 1. 용역사업계약시계약서에참가직원의보안준수사항과위반시손해배상책임등명시 2. 비인가자의작업금지및대표자및참여자에대한보안서약서 ( 별지제3호서식 ) 징구 3. 용역사업수행관련보안교육 점검및용역기간중참여인력임의교체금지및사전협의 4. 정보통신망도 IP현황등용역업체에제공할자료는자료인계인수대장 ( 별지제12호서식 ) 을비치, 보안조치후인계 인수하고무단복사및외부반출금지 5. 용역업체의노트북등관련장비를반입ㆍ반출시마다악성코드감염여부, 자료무단반출여부를확인 6. 사업종료시외부업체의노트북 휴대용저장매체등을통해비공개자료가유출되는것을방지하기위해복구가불가능하도록완전삭제 7. 용역업체로부터용역결과물을전량회수하고비인가자에게제공 열람금지 8. 용역사업관련자료회수및삭제조치후용역업체복사본등용역사업관련자료를보유하고있지않다는용역업체대표자및참여자의보안확약서 ( 별지제13호서식 ) 징구 2 용역사업추진시과업지시서 입찰공고 계약서에보안특약조항 ( 별표 3~ 별표 6) 을 명시하고누출금지대상정보누출시입찰참가자격제한을위한부정당업자로 등록하여야한다. 용역사업에투입되는자료 장비에대한대외보안이필요할경우사업수행계약 서와별도로비밀정보의범위, 보안준수사항, 위반시손해배상책임등을명시한 비밀유지계약서 ( 별지제 14 호서식 ) 를작성하여야한다. 4 정보보안담당관은제1항부터제3항까지에서규정한보안대책의시행과관련한이행실태를주기적으로점검하고미비점발견시사업책임자로하여금보완토록조치하여야한다. 동점검을실시할경우용역사업단계별체크리스트점검및용역업체점검체크리스트를구분하여사용한다 ( 별지제15호서식 ) - 22 -

그밖에사항에대하여는공사정보보안관리세부기준을따른다 제43조 ( 정보시스템위탁운영보안관리 ) 정보시스템의위탁운영은여타기관또는업체직원이공사에상주하여수행하는것을원칙으로한다. 다만, 해당기관에위탁업무수행직원의상주가불가한타당한사유가있을경우, 관련보안대책을수립시행하는조건으로그러하지아니할수있다. 2 정보시스템의위탁운영과관련하여동조문에명시되지않은사항에대해서는 제 42 조를준용한다. 제 조 원격근무보안관리 재택 파견 이동근무등원격근무를지원하기위한 시스템을도입 운용할경우 국가정보보안기본지침 의 원격근무보안관리방 안 을참고하여보안대책을수립 시행하여야한다. 2 원격근무가능업무및공개, 비공개업무선정기준을수립하되대외비이상비밀자료를취급하는업무는원격근무대상에서원칙적으로제외하되반드시수행해야하는경우보안대책강구후산업통상자원부장관을경유국가정보원장과협의하여수행여부를결정한다. 3 모든원격근무자에게보안서약서를징구하고원격근무자의업무변경 인사이 동 퇴직등상황발생시정보시스템접근권한재설정등관련절차를수립하여 야한다. 4 원격근무자는원격근무시해킹을통한업무자료유출을방지하기위하여작 업수행전최신백신으로원격근무용 PC 점검 업무자료저장금지등보안조치 를수행하여야한다. 5 원격근무자는정보시스템고장시정보유출방지등보안대책을강구한후 정보보안담당관과협의하여정비 반납등조치를취하여야한다. 6 정보보안담당관은주기적인보안점검을실시하여원격근무보안대책의이행 여부를확인하여야한다. - 23 -

제 45 조 ( 국가비상사태시보호관리 ) 1 정보보안담당관은전시 사변또는이에준 하는국가비상사태발생시에중요정보시스템의효율적인보호관리를위한대 책을강구하여야한다. 2 제 1 항의중요정보시스템에는다음각호의사항을포함한다. 1. 국가용보안시스템 2. 비밀이저장된 CD 외장형하드디스크 USB 메모리등휴대용저장매체 3. 기타보관이필요하다고결정한중요자료및중요정보시스템등 3 제 l 항의보호관리대책수립시충무사태단계별중요정보시스템의소산 이 동 파기절차 방법등조치방안일체를포함하여야한다. 제 46 조 ( 영상회의시스템보안관리 ) 영상회의시스템을구축할경우에통신망 ( 국 가정보통신망, 전용선 인터넷등 ) 에따른암호화등보안대책을수립 시행하여 야한다. 제 47 조 ( 모바일업무보안관리 ) 스마트폰등을활용하여내부업무와현장업무및 대민서비스업무등모바일업무환경을구축할경우보안대책을수립 시행하여 야한다. 제 48 조 ( 클라우드시스템보안관리 ) 1 클라우드컴퓨팅시스템을구축할경우 국가공공기관클라우드컴퓨팅보안가이드라인 (2013.1, 국가정보원 ) 올준 용한보안대책을강구하여야한다. 2 상용클라우드컴퓨팅시스템을활용하고자하는경우에는산업통상자원부장 관을경유하여국가정보원장에게보안성검토를요청하여야한다. 제 장안전성확인 평가 제 절보안성검토 제 조 보안성검토및신청 별표 의정보화사업을추진할경우에자체보 안대책을강구하고안전성을확인하기위하여사업계획단계 ( 사업공고전 ) 에서 - 24 -

[ 별표 9] 에서정한바에따라각해당기관으로보안성검토를의뢰하여야한다. 다만 사안이경미할경우국가정보원장과사전협의만으로보안성검토를생략할수있다 제 항에명시된보안성검토대상사업의경우에도산업통상자원부장관또 는국가정보원장의승인을받아보안성검토를생략할수있으며 그외사업의경우자체보안성검토 별지제 호서식 를실시하여야한다 제 조 보안성검토절차 1 정보통신망보안성검토를의뢰하는업무절차는다음과같다 정보통신망신 증설등추진하고자하는사업의계획에따른보안대책을수립하고자체심의를거친후보안성검토를요청한다 계획수립단계에서보안대책을판단하기가곤란한경우에는미리국가정보원장과사전협의한후보안성검토를요청한다 국가정보원에보안성검토를의뢰하고자할경우에는산업통상자원부를경유하여장관이요청한다 보안성검토절차와관련한세부사항은 별표 를따른다 제 조 제출문서 1 보안성검토를요청할경우에는다음각호의서류를제출하여야한다 사업계획서 사업목적및추진계획포함 기술제안요구서 정보통신망구성도 자체보안대책강구사항 제 항제 호의자체보안대책강구사항에는다음각호를포함하여야한다 보안관리수행체계 조직 인원 등관리적보안대책 정보통신시스템설치장소에대한보안관리방안등물리적보안대책 국가용보안시스템및검증필정보보호시스템도입및운용계획 국가기관간망연동시당해기관간보안관리협의사항 - 25 -

서버 휴대용저장매체 네트워크등정보통신시스템의요소별기술적보안 대책 재난복구계획또는상시운용계획 제 52 조 ( 결과조치 ) 정보보안담당관은산업통상자원부장관및국가정보원장의 보안성검토결과를준수하여보안대책을보완하여야한다. 제 2 절보안적합성검증 제53조 ( 보안적합성검증 ) 국가용보안시스템을제외한정보보호시스템, 네트워크장비등보안기능이있는정보통신제품을도입할경우안전성확인을위하여운용전에산업통상자원부장관을경유하여국가정보원장에게보안적합성검증을의뢰하여야한다. 제 54 조 ( 보안적합성검증대상및신청 ) 1 보안적합성검증대상시스템은다음 각호와같다. 1. 상용정보보호시스템 2. 자체개발하거나외부업체등에의뢰하여개발한정보보호시스템 3. 저장매체소자장비혹은완전삭제소프트웨어제품 4. 네트워크장비 (L3 이상스위치 라우터등 ) 및보안기능이있는 L2 스위치 5. 제47조의보안성검토결과세부검증이필요하다고판단된보안기능이있는정보시스템및제어시스템등 2 제 1 항에도불구하고, 다음각호의경우에는검증을생략할수있다. 1. 국내용 CC 인증제도에따라인증을받은정보보호시스템 2. 검증필제품목록에등재된저장매제소자장비혹은완전삭제소프트웨어제품 3. 암호모듈검증제도를통해국가정보원장이안전성을확인한제품 4. 그밖에국가정보원장이보안적합성검증이불요하다고인정한시스템 제 55 조 ( 제출문서 ) 보안적합성검증신청에필요한제출문서는다음각호와같다. - 26 -

1. 상용정보보호시스템가. 국가정보보안지침별지제16호서식의정보보호시스템도입시확인사항 l부나. 국가정보보안지침별지제17호서식의보안적합성검증신청서 1부다. 기술제안요청서사본 1부라. 제품설명서 ( 기능 운용설명서등 ) 마. CC 인증서사본 ( 해당되는경우 ) 바. 국가정보보안지침별지제24호서식의보안기능점검표 1부사. 국가정보보안지침별지제25호서식의운영점검사항 1부 2. 자체개발하거나외부업체등에의뢰하여개발한시스템가. 국가정보보안지침별지제16호서식의정보보호시스템도입시확인사항 1부나. 국가정보보안지침별지제17호서식의보안적합성검증신청서 l부다. 기술제안요청서사본 l부라. 제품설명서 ( 기능 운용설명서등 ) 마. 기본및상세설계서 ( 검증기관또는시험기관요청시 ) 바. 개발완료보고서 l부사. 자체시험결과 1부 3. 네트워크장비가. 국가정보보안지침별지제16호서식의정보보호시스템도입시확인사항 l부나. 국가정보보안지침별지제22호서식의네트워크장비보안적합성검중신청서다. 장비설명서 ( 기능운용설명서 Private MIB 등포함 ) 라. 기본및상세설계서 ( 검증기관또는시험기관요청시 ) 마. 장비펌웨어이미지및해시값 1부바. 국가정보보안지침별지제20호서식의네트워크장비도입최소보안요구사항사. 국가정보보안지침별지제23호서식의변경내용분석서 1부 ( 도입장비펌웨어업데이트경우 ) 아. CC 인중서사본 ( 해당되는경우 ) - 27 -

제56조 ( 검증시험및결과조치 ) 보안적합성검증결과취약점이발견되어이를통보받았을때에는 30일이내에보완대책을수립하여조치하고그결과를산업통상자원부장관을경유하여국가정보원장에게통보하여야하며기간내에조치하기어려울경우사전에협의하여야한다. 제57조 ( 사후관리 ) 1 보안적합성검증완료이후시스템에새로운취약점이발견될경우에는즉시제거한후그결과를산업통상자원부장관을경우하여국가정보원장에게통보하고제거가불가능할경우에는그사실을산업통상자원부장관을경유하여국가정보원장에게통보하고조치를받아야한다. 2 신규취약점이발견된시스템에대해국가정보원장으로부터취약점제거를 요청받은경우특별한사유가없는한 30 일이내에이를제거하고그결과를 산업통상자원부장관을경유하여국가정보원장에게통보하여야한다. 제 58 조 ( 무단변경및오용금지 ) 보안적합성검증이완료된시스템의형상을무단 변경하거나도입목적이외의용도로운용하기위해서는산업통상자원부장관을 경유하여국가정보원장에게보안적합성검증여부를확인하여야한다. 제 절정보보안관리실태평가 제59조 ( 정보보안관리실태평가 ) 전자정부법 제56조및동법시행령제69조 제70조, 공공기록물관리에관한법률시행령 제5조등의규정에의한정보보안정책이행여부를국가정보원장이매년정하는평가대상, 일정, 지표등에따라자체평가하고그결과를국가정보원장에게통보하여야한다. 제 60 조 ( 자체평가 ) 1 국가정보원이구축한온라인평가시스템의계정을부여받 아정해진기간동안평가지표에따라자체평가를실시한다. 2 자체평가의적절성을입증할수있도록평가지표별증빙자료를준비하여야 하며온라인평가시스템에첨부할수있다. 제 61 조 ( 현장실사 ) 정보보안담당관은국가정보원의현장실사시자체평가를증빙 할수있는자료및면담을위한직원을배치하여신속한현장실사가이루어질 수있도록하여야한다. - 28 -

제 62 조 ( 평가결과및개선대책강구 ) 1 기관별정보보안관리실태평가결과는 평가대상기관및관계기관에통보되고정부업무평가에반영할수있다. 2 정보보안담당관은국가정보원장이통보한평가결과를자체정보보안대책 등의수립시에반영하고취약요소를개선 보완하여정보보안수준을제고하여 야한다. 제 장사이버위협대응 제 절보안관제 제 63 조 ( 보안관제센터 ) 1 소관정보통신망에대한사이버공격정보를수집 분석 대응할수있는자체보안관제센터를설치하거나여타국가 공공기관이운영하 는보안관제센터에관련업무를위탁할수있다. 2 사이버공격정보를수집할경우, 피해유무를파악하고공격 IP차단, 로그자료보존등초동조치를신속하게취하여야한다. 이경우, 사고원인규명시까지피해시스템에대한증거를보전하고임의로관련자료를삭제하거나포맷하여서는아니된다. 3 초동조치가끝난경우에산업통상자원부장관을경유국가사이버안전센터장 과협의하여보안대책을수립 시행하여야한다. 4 사이버공격정보의신속한수집및전파를위하여산업통상자원사이버안전 센터등과비상연락체계를구축하여야한다. 제 64 조 ( 정보공유 ) 관계법규에위배되지않는범위내에서수집ㆍ탐지한사이버공 격정보를산업통상자원부장관및국가사이버안전센터장에게제공하여야한다. 제 절사고대응 제 65 조 ( 사고상황전파 ) 사이버공격과관련한정보를확인한경우에는전화 팩 - 29 -

스 이메일등통신수단올활용하여지체없이그사실을산업통상자원부장관및국가정보원장에통보하여야한다 제 항에따라통보해야할사항은다음각호와같다. l. 대규모사이버공격발생시 2. 사이버공격으로인하여피해가발생하거나피해발생이예상되는경우 3. 사이버공격이확산될우려가있는경우 4. 그밖에사이버공격계획등사이버안전에위협을초래할수있는정보를입수한경우 제 조 정보보안사고조사 별표 의정보보안사고가발생한때에는즉시 피해를최소화하도록조치를취하고다음각호의사항을산업통상자원부장관및국가정보원장에게통보하여야한다 일시및장소 사고개요 사고자및관계자의인적사항 조치내용등 정보보안사고사고자및관련자에대해규정에따른징계, 재발방지를위한 보안대책의수립 시행등사고조사결과에따라필요한조치를하여야한다. 부칙 ( 제정 ) 시행일 이요령은 년 월 일부터시행한다 지침의폐지 본요령의시행과동시에 전산업무보안관리지침 은폐지한다 부 칙 시행일 이요령은 년 월 일부터시행한다 - 30 -

부 칙 시행일 이요령은 년 월 일부터시행한다 부 칙 시행일 이요령은 년 월 일부터시행한다 부 칙 시행일 이요령은 년 월 일부터시행한다 부 칙 시행일 이요령은 년 월 일부터시행한다 부 칙 시행일 이요령은 년 월일부터시행한다 - 31 -

[ 별표 1] 통신보안위규사항 조내용항세부내용 1 불법통신에관한사항 (1) (2) (3) (4) 북한통신소와의불법교신국내침투간첩과의교신적성국 ( 또는반국가단체 ) 통신소와의불법교신기타반국가적인불법통신 (1) 군사전략, 작전계획및진행사항 (2) 군편제 임무 시설및기타부대현황 (3) 병력 ( 군 경 예비군 ) 현황및이동상황 2 군사상기밀의누설 (4) (5) 경찰및특수기관의장비 ( 작전 정보 수사용 ) 현황과집행사항특수기관 군사시설의위치및이동상황 (6) 군사장비의구성 성능및발명개량연구사항 (7) 군사장비 ( 군수품등 ) 생산및공급사항 (8) 기타국가방위에영향을초래하는사항 (1) 국가외교방침, 기본계획및재외공관에발하는훈련 3 외교상기밀의누설 (2) (3) 공개할수없는외교조약또는협약특수임무를수행하는해외주재원의활동 ( 계획 지시 보고 ) 및신원정보에관한사항 (4) 기타국가외교에영향을초래하는사항 (1) 대공업무와관련된사항 (2) 정보 ( 첩보 ) 수집활동에관한사항 (3) 간첩또는대공용의자발견과수사활동 4 국가정보활동에관한사항누설 (4) (5) (6) (7) 정보및특수수사기관의기구또는임무기능에관한사항국가원수및기타요인의비공개행사불명선박의발견및처리중요물자수송활동 (8) 테러 마약 밀수및국제범죄조직에관한정보 수사활동 (9) 적또는경쟁국에유리한과학기술및산업에관한정보 (10) 기타국가안보및공안유지에불리한영향을초래하는사항 - 32 -

조내용항세부내용 국가용보안시스 (1) 국가용보안시스템의연구개발및제작에관한사항 5 템에관한사항 (2) 기타국가용보안시스템보호체계를손상시킬우려 누설 가있는사항 6 비인가통신시설및통신제원사용에관한사항누설 (1) (2) (3) (4) (5) 비인가된무선시설의설치운용비인가된무선시설과교신비인가된호출부호및주파수사용비인가된전파형식사용지정출력의초과사용 허가목적외방법 (1) 허가목적업무와관련이없는통신 7 으로 사용하는 (2) 군통신망에서군사업무와관련이없는통신 경우 (3) 기타사회질서를해하는통신 - 33 -

[ 별표 2] 정보보안사고유형 조구분항세부내용 전자정보 전자문서및 전자기록물 비밀의유출 주전산기 주요서버등대용량전자기록 손괴전자정보의위조변조 훼손및유출 등단말기 비밀의평문보관및유통 정보통신망에대한해킹 악성코드의유포 비밀이저장된 휴대용저장매체등분실 정보시스템및 정보통신실 중요정보시스템및정보통신실파괴고의적인중요정보시스템기능장애및정지상용메일등을통한비밀등중요자료무단소통 비밀등업무자료의무단반출 정보통신기기를통한비밀등중요자료무단소통 암호장비분실및피탈 암호장비파손및임의파기 암호장비 암호장비복제복사비인가암호장비사용 암호장비비닉체계특성및제원노출 암호장비키운용체계노출 암호 음어 약호자재의분실및누설 보안자재 암호음어 약호자재의파손및임의파기암호음어 약호자재의임의제작사용 세부암호체계노출 - 34 -

[ 별표 3] 외부용역사업보안특약조항 1 사업자는보안정책을위반하였을경우 별표 의위규처리기준에따라위규자및관리자를행정조치하고 별표 의보안위약금을납부한다 2 사업자는사업수행에사용되는문서 인원 장비등에대하여물리적 관리적 기술적보안대책및 별표 의 누출금지대상정보 에대한보안 관리계획을사업제안서에기재하여야하며 해당정보누출시국가를 당사자로하는계약에관한법률시행령제 조에따라사업자를부정당업체로등록한다 3 사업수행과정에서취득한자료와정보에관하여사업수행중은물론사업 완료후에도이를외부에유출해서는안되며 사업종료시정보보안담당자의입회하에완전폐기또는반납해야한다 4 사업자는사업최종산출물에대해정보보안전문가또는전문보안점검 도구를활용하여보안취약점을점검 도출된취약점에대한개선을완료하고그결과를제출해야한다 - 35 -

[ 별표 4] 사업자보안위규처리기준 구분위규사항처리기준 심각 1. 비밀및대외비급정보유출및유출시도 가. 정보시스템에대한구조, 데이터베이스등의정보유출 나. 개인정보 신상정보목록유출 다. 비공개항공사진 공간정보등비공개정보유출 2. 정보시스템에대한불법적행위 가. 관련시스템에대한해킹및해킹시도 나. 시스템구축결과물에대한외부유출 다. 시스템내인위적인악성코드유포 1. 비공개정보관리소홀 가. 비공개정보를책상위등에방치 나. 비공개정보를휴지통ㆍ폐지함등에유기또는이면지활용 다. 개인정보 신상정보목록을책상위등에방치 라. 기타비공개정보에대한관리소홀 사업참여제한 재발방지를위한조치계획제출 위규자대상특별보안교육실시 위규자교체 중대 2. 사무실ㆍ보호구역보안관리허술 가. 통제구역출입문을개방한채퇴근등 나. 인가되지않은작업자의내부시스템접근 다. 통제구역내장비 시설등무단사진촬영 3. 전산정보보호대책부실 가. 업무망인터넷망혼용사용, 보안 USB 사용규정위반 나. 웹하드 P2P 등인터넷자료공유사이트를활용하여용역 사업관련자료수발신 다. 개발 유지보수시원격작업사용 라. 저장된비공개정보패스워드미부여 마. 인터넷망연결 PC 하드디스크에비공개정보를저장 바. 외부용 PC 를업무망에무단연결사용 사. 보안관련프로그램강제삭제 아. 사용자계정관리미흡및오남용 ( 시스템불법접근시도등 ) 재발방지를위한조치계획제출 위규자대상특별보안교육실시 위규자교체 - 36 -

구분위규사항처리기준 1. 기관제공중요정책ㆍ민감자료관리소홀가. 주요현안ㆍ보고자료를책상위등에방치나. 정책ㆍ현안자료를휴지통ㆍ폐지함등에유기또는이면지활용 보통 2. 사무실보안관리부실 가. 캐비넷ㆍ서류함ㆍ책상등을개방한채퇴근 나. 출입키를책상위등에방치 3. 보호구역관리소홀 가. 통제ㆍ제한구역출입문을개방한채근무 나. 보호구역내비인가자출입허용등통제미실시 4. 전산정보보호대책부실 가. 휴대용저장매체를서랍ㆍ책상위등에방치한채퇴근 나. 네이트온등비인가메신저무단사용 다. PC 를켜놓거나보조기억매체 (CD, USB 등 ) 를꽂아놓고퇴근 라. 부팅ㆍ화면보호패스워드미부여또는 "1111" 등단순숫자부여 마. PC 비밀번호를모니터옆등외부에노출 바. 비인가보조기억매체무단사용 위규자및직속감독자사유서 / 경위서징구 위규자대상특별보안교육실시 위규자교체 경미 1. 업무관련서류관리소홀가. 진행중인업무자료를책상등에방치, 퇴근나. 복사기ㆍ인쇄기위에서류방치 2. 근무자근무상태불량가. 각종보안장비운용미숙나. 경보ㆍ보안장치작동불량 3. 전산정보보호대책부실가. PC내보안성이검증되지않은프로그램사용나. 보안관련소프트웨어의주기적점검위반 위규자서면ㆍ구두경고등문책 위규자사유서 / 경위서징구 - 37 -

[ 별표 5] 보안위약금부과기준 1. 위규수준별로 A~D 등급으로차등부과 구분 위규수준 A 급 B 급 C 급 D 급 위규심각 1 건중대 1 건보통 2 건이상경미 3 건이상 위약금비중 부정당업자등록계약금액의 * % 계약금액의 % 계약금액의 % (* 위약금규모는사업규모에따라조정가능 ) 2. 보안위약금은다른요인에의해상쇄, 삭감이되지않도록부과 * 보안사고는 1회의사고만으로도그파급력이큰것을감안하여타항목과별도부과 3. 사업종료시지출금액조정을통해위약금정산 - 38 -

[ 별표 6] 누출금지대상정보 1. 정보시스템의내 외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정ㆍ비밀번호등정보시스템접근권한정보 4. 정보통신망취약점분석 평가결과물 5. 용역사업결과물및프로그램소스코드 6. 국가용보안시스템및정보보호시스템도입현황 7. 침입차단시스템ㆍ방지시스템 (IPS) 등정보보호제품및라우터ㆍ스위치등네트워크장비설정정보 8. 공공기관의정보공개에관한법률 제9 조제1항에따라비공개대상정보로분류된기관의내부문서 9. 개인정보보호법 제 2조제1호의개인정보 10. 보안업무규정 제 4조의비밀및동시행규칙제16 조제3 항의대외비 11. 그밖에공개가불가하다고판단한자료 - 39 -

[ 별표 7] USB 메모리등휴대용저장매체보안관리지침 제 1 조 ( 목적 ) 이지침은제 28 조제 8 항에따라 USB(Universal Serial Bus) 메모리 등휴대용저장매체보안관리에필요한세부사항을규정함을목적으로한다. 제 2 조 ( 정의 ) 이지침에서사용하는용어의정의는다음과같다. 1. 휴대용저장매체 라함은디스켓, 외장형하드디스크 (HDD), USB 메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등자료를저장할수있는일체의것으로 PC 등의정보통신시스템과분리할수있는기억장치를말한다. 2. 휴대용저장매체관리책임자 ( 이하 관리책임자 라한다 ) 라함은각부서별휴대용저장매체관리상의책임을맡은부서의장을말한다. 3. 휴대용저장매체사용자 ( 이하 사용자 라한다 ) 라함은해당휴대용저장매체를사용하는자를말한다. 4. 휴대용저장매체관리시스템 ( 이하 관리시스템 이라한다 ) 이라함은휴대용저장매체의등록, 파기, 재사용, 반출ㆍ입, 불용처리현황등에관하여전자적으로처리하는시스템을말한다. 5. 휴대용저장매체관리번호 ( 이하 관리번호 라한다 ) 라함은사용중인휴대용저장매체의식별및관리를용이하게하기위하여부여한번호를말한다. 제3조 (USB메모리및관리시스템도입절차 ) 1 USB 메모리를도입할경우그제품의안전성을검증하기위하여 전자정부법 제56조제3항및同法시행령제69조등에따라산업통상자원부장관을경유하여국가정보원장에게보안적합성검증을의뢰하여야한다. 2 국가정보원장은보안적합성검증시다음각호에해당하는필수보안기능의 유무를검토한후그결과를적합성검증결과에반영한다. - 40 -

1. 사용자식별ㆍ인증기능 2. 지정데이터암 복호화기능 3. 저장된자료의임의복제방지기능 4. 분실시저장데이터의보호를위한삭제기능 3 제2항제2호의지정데이터암 복호화기능은자료를 USB메모리에보관하는경우로한하며, 비밀자료를 PC에보관하거나소통하고자할경우에는국가정보원이개발ㆍ보급한암호장비ㆍ자재등국가용보안시스템을사용하여야한다. 4 운용중인휴대용저장매체를안전하게관리하기위하여관리시스템을구축 할수있다. 이경우별지제 5 호내지별지제 10 호서식에갈음할수있다. 제 4 조 ( 휴대용저장매체사용 ) 1 사용자는휴대용저장매체를등록한후사용하 여야한다. 2 휴대용저장매체의등록방법은제 6 조의규정에따라별지제 5 호및별지제 6 호서식을이용하여휴대용저장매체관리대장 ( 이하 관리대장 이라한다 ) 에 등재하는것을말한다. 제 5 조 ( 휴대용저장매체사용제한 ) 1 등록된휴대용저장매체만사용할수있으 며업무목적이외사적인용도로사용할수없다. 2 정보보안담당관은직원이국제회의참가시출장전회의대상국이제공한 USB 메모리등휴대용저장매체를사용하지않도록보안교육을실시하여야한다. 다만불가피하게사용할경우최신백신으로악성코드감염여부를확인하는등보안조치후사용토록하여야한다. 3 정보보안담당관은직원에게공지 교육을통하여휴대용저장매체의임의사 용을제한하여야하고이에대하여주기적인점검을실시하여야한다. 제 6 조 ( 관리책임자 ) 1 휴대용저장매체는각부서장책임하에관리하는것을원 칙으로하며그부서장을 관리책임자 라칭하며, 보안 USB 이외의휴대용저장매 체사용승인과관련한팀별관리책임자는팀장으로한다. - 41 -

2 관리책임자는소관부서에서휴대용저장매체를사용할경우별지제 5 호및 별지제 6 호서식의일반용, 비밀용휴대용저장매체관리대장 ( 이하 관리대장 이 라한다 ) 을각각비치하여야한다. 3 관리책임자는관리대장에최종변경된휴대용저장매체의등록현황을등재하 여야하며사본 1 부를정보보안담당관에게제출하여야한다. 4 관리책임자는월 1 회이상휴대용저장매체수량및보관상태를점검하고별 지제 7 호서식에따라확인 서명하여야한다. 5 관리책임자는휴대용저장매체의반 출입을통제하여야하며별지제8호서식에따라기록하여야한다. 이때반ㆍ출입은업무상목적 ( 별지제8호서식의 용도 참조 ) 에한한다. 다만, 보안강화를위하여중앙에서휴대용저장매체의반 출입통제가필요하다고판단하는경우에는정보보안담당관이그역할을수행할수있다. 6 관리책임자는소속직원이미등록휴대용저장매체를사용하거나공인인증서 용휴대용저장매체에업무자료를보관하지않도록감독하여야하며이를위반한 사실을발견또는확인하는즉시정보보안담당관에게통지하여야한다. 제 7 조 ( 정보보안담당관의책무 ) 1 정보보안담당관은소속기관내에서사용하는 휴대용저장매체등록현황을파악하여야한다. 이경우각부서별관리대장사 본을비치ㆍ관리하는것으로갈음할수있다. 2 정보보안담당관은각부서별관리책임자가별지제 9 호서식에따라휴대용 저장매체라벨작성및별지제 10 호서식에따라불용처리확인을요청하는경 우에는확인한후날인하여야한다. 3 정보보안담당관은휴대용저장매체를일괄구입하여필요한부서에보급할 수있다. 4 정보보안담당관은미등록또는공인인증서용보조기억매체에업무자료를 보관하는것을인지한경우에는수록된자료현황을파악하는등의경위조사를 - 42 -

실시하여야한다. 5 정보보안담당관은대외비이상비밀이보관된휴대용저장매체를무단반출 분실하거나미등록휴대용저장매체에비밀을보관하고있는경우에는경위조사 를실시하여야한다. 6 정보보안담당관은제 4 항및제 5 항에따라조사를실시한결과, 비밀유출이 우려되거나유출징후가있는경우에는지체없이산업통상자원부장관을경유 하여국가정보원장에게보안사고조사를의뢰하여야한다. 제 8 조 ( 휴대용저장매체의구분및관리요령 ) 1 휴대용저장매체는일반용, 비밀 용 ( 대외비포함 ) 으로구분한다. 2 일반용휴대용저장매체 ( 이하 일반용 이라한다 ) 의관리요령은다음과같다. 1. 일반용에는업무관련일반자료 ( 공인인증서포함 ) 만보관하여야하며별지제5호서식의관리대장에기록하여야한다. 2. 일반용은개인서랍, 캐비넷등에안전하게보관하여야한다. 3. 일반용에는별지제9호서식과같이기입ㆍ표시하여야한다. 4. 관리번호는부서명, 일반, 연번으로한다. 이경우부서명은약칭을사용할수있다.( 예 : 총무부-일반-01, 총무부-일반-02, 총무-일반-03 등 ) 3 대외비이상자료를보관하는비밀용휴대용저장매체 ( 이하 비밀용 이라한 다 ) 관리요령은다음과같다. 1. 비밀용을사용할경우에는별지제6호서식의관리대장에기록하여야하며대외비이상의기밀자료가수록되어있는경우에는비밀관리기록부에도등재ㆍ관리하여야한다. 2. 비밀용은비밀자료와동일하게이중캐비넷또는금고에보관하여야한다. 3. 비밀용에는별지제10호서식과같이기입ㆍ표시하여야한다. 4. 비밀용을사용하여비밀작업을하는경우그작업을완료하거나일시중단할때에는 PC에서즉시분리하여야한다. 5. 비밀용은해당비밀을생산하거나보관할필요가있는경우비밀등급별로각각휴대용저장매체를마련해야하며, 하나의휴대용저장매체에등급이 - 43 -

다른비밀또는대외비를혼합보관해서는아니된다. 6. 관리번호는부서명, 비밀등급, 연번으로한다. 이경우부서명은약칭을사용할수있다.( 예 : 총무부-Ⅱ급-01, 총무부-Ⅲ급-01, 총무-대외비-01 등 ) 4 제 3 항과관련된비밀의전자적처리와관련한그밖의사항에대해서는 산업통 상자원부정보보안세부지침 제 30 조 ( 비밀의전자적처리 ) 를준용한다. 제 9 조 ( 휴대용저장매체불용처리및재사용 ) 1 업무상목적으로사용한휴대용 저장매체는불용처리시물리적파기를원칙으로하며그사실을관리대장에기 록하여야한다. 2 일반용을타부서이전또는용도를전환하여사용하고자할경우에는수록된 자료를완전히삭제ㆍ포맷후사용하여야한다. 3 비밀용을일반용또는다른등급의비밀용으로전환하여사용할경우또는 일반용을외부기관에이전하여사용하는경우에는파일삭제ㆍ포맷및필요한 경우자성소거등의파일복원방지대책을강구하여야한다. 4 휴대용저장매체를불용처리하거나재사용하는경우에는별지제 6 호서식에 따라정보보안담당관의확인을받아야하며확인서를보관하여야한다. 제 10 조 ( 휴대용저장매체의분실, 소각시대처방안 ) 1 사용자는휴대용저장매 체의분실또는소각등의사유가발생한즉시관리책임자에게그사실을보고 하여야한다. 2 관리책임자는휴대용저장매체의분실또는소각사실을보고받은즉시정보 보안담당관에게통지하여야한다. 3 정보보안담당관은일반용의분실또는소각사실을통지받거나인지한경우 에는자체조사를실시하고재발방지대책을강구하여야한다. 4 정보보안담당관은비밀용의분실또는소각사실을통지받거나인지한경우 에는지체없이산업통상자원부장관을경유하여국가정보원장에게그사실을 - 44 -

통보하여야한다. 제11조 ( 휴대용저장매체고장ㆍ훼손, 오인삭제ㆍ포맷시대처방안 ) 1 휴대용저장매체의고장, 자료의훼손또는자료의오인삭제, 포맷시제9조의규정에따라불용처리를원칙으로한다. 다만, 자료의복구가필요한경우상용소프트웨어활용및민간업체에의뢰할수있다. 2 제1항에따라민간업체에의뢰하는경우에는정보보안담당관과협조하여보안서약서징구등적절한보안대책을강구하여야한다. 다만, 비밀자료가포함된경우에는정보보안담당관을경유하여산업통상자원부장관및국가정보원장에게통보하여야한다. - 45 -

[ 별표 8] 홈페이지정보공개보안지침 홈페이지관리부서장은대외에자료공개시불필요한자료가홈페이지에게재되지 않도록주의하여야하며 공개대상자료는자료공개절차를준수하여홈페이지콘텐츠별담당부서의사전검토거치도록한다 홈페이지관리부서장은홈페이지에자료게재시다음사항을확인하여중요정보가인터넷에노출되지않도록주의하여야한다 대외비이상비밀자료 제목포함 및관련지침 을지연습 충무계획등비밀과관련된업무계획이담겨있는기관상세업무추진 계획 대외주의 보안 등대외비가편법표기된문서 문서 보안에주의하라는문구가담겨진경우도포함됨 기관소유정보시스템의내 외부 주소및정보통신망구성도등 누출금지대상정보 별표 의누출금지대상정보참조 홈페이지이용자 기관보유개인정보 이름 주민번호등 및공무원개인정보 이메일 인터넷검색사이트의 저장된페이지 상기 해당되는자료 저장된페이지 는검색엔진에의해자동저장되는웹페이지로해당검색사이트관리자에게별도삭제요청이필요 홈페이지관리부서장은홈페이지콘텐츠별담당부서의사전검토를거친자 료에한해홈페이지게재하고민감내용은반드시정보보안담당관과협의후게재하여야한다 - 46 -

홈페이지관리부서장은홈페이지콘텐츠별담당자대상보안조치사항교육 및 홈페이지점검주간 매월둘째주 을통해민감자료게재여부등을점검하여야한다 충무계획 을지연습관련사항등비공개대상정보의홈페이지게재여부수시확인 홈페이지관리부서장은비밀 민감자료및비공개대상정보등이홈페이지 게재된사실을발견한경우에는즉시삭제하고정보보안담당관에게통보하여야한다 정보보안담당관은침입차단시스템등정보보호제품의보안정책설정등을통 해서버관리자접근및자료게시권한을인가된인원에게만부여하여야한다 정보보안담당관은유지보수업체에의한시스템원격관리금지하고홈페이지관 리자페이지에대한접근은인가된관리자단말기에서만접속토록통제하여야한다 정보보안담당관은홈페이지시스템의운영체제와탑재된운용프로그램에대한최신보안패치를적용하고최신백신프로그램으로주기적점검하여야한다 - 47 -

[ 별표 9] 정보화사업보안성검토처리기준 [ 보안성검토대상정보보호사업구분 ] 국가정보원보안성검토대상정보화사업 비밀 국가안보 정부정책과관련되는사업 비밀등국가기밀의유통 관리와관련된정보시스템구축 재난대비둥국가위기관리와관련된정보통신망구축 외국정부 기관간정보통신망구축 정부정책올지원하는정보통신망구촉 대규모예산투입과다량의 자료를처리히는사업 대규모정보시스탱구축 억이상 정보화사업 다량의개인정보 만명이상 를처리하는정보시스템구축 지리 환경정보등국가차원의통합 구축 외부기관간망연동등보안상취약사업 다수기관이공동활용하기위한정보시스템구축및망연동 내부전산망또는폐쇄망올인터넷이나타기관의전산망등다른정보통 신망과연동하는경우 원격근무지원시스템구축 보안정책과제및최신 기술적용 업무망 인터넷분리정보화사업 업무망 인터넷간자료교환시스템구축 보안관제센터 보안관제시스템 구축 업무망과연결되는무선네트워크시스댐구축 스마트폰등첨단 기술올업무에활용하는시스템구축 - 48 -

➎ 그밖에국가정보원장및산업통상자원부장관이보안성검토가필요하다고 판단하는정보화사업 국가정보원보안성검토대상사업의경우에는산업통상자원부를경유하여요청 산업통상자원부보안성검토대상정보화사업 기존정형화된정보화사업 홈페이지구축 개선등웹시스템구축 민원둥외부인용무선랜구축및무선랜공유기설치 민원등외부인용인터넷 및교육장내 설치 인사관리복지관리시스템구축둥인터넷등다른정보통신망과연결되지 않은단순내부직원전용정보시스템구축 주요기반시설취약점분석평가 정보보안컨설팅등용역사업 단일기능의정보시스템구축 회의용영상통화시스템등원격화상회의시스템구축 주정차단속및하천감시용등 시스템구축 백업시스템구축 대민콜센터시스템구축 인터넷전화시스템구축 정보보호제품도입및전산 통신장비도입 교체 침입차단 탐지시스템 가상사설망장비 관리시스템둥정보 보호제품도입 교체 스위치 라우터둥네트워크장비및서버둥전산장비도입 교체 전화 무전기및교환기등통신장비도입 교체 그밖에국가정보원에서 작성 배포한보안지침으로자체보안대책강 구가가능한정보화사업 - 49 -

[ 별표 10] 정보보안위반처리기준 구분위반사항처리기준 심각 1. 정보시스템에대한불법적행위가. 관련시스템에대한해킹및해킹시도나. 시스템구축결과물에대한외부유출다. 시스템내인위적인악성코드유포 2. 휴대용저장매체관리부실가. 비인가보조기억매체의무단사용나. 업무용보안 USB 의무단방치 3. 외부상용메일을이용한업무수발신 경고 보통 1. 비인가프로그램무단사용가. 웹하드 P2P등자료공유프로그램무단사용나. 외부비인가메신저무단사용 2. 인터넷망 PC(VDI 포함 ) 내업무자료방치 3. 보안관련프로그램강제삭제 회위반시주의 회이상위반시경고 경미 1. 부팅및화면보호패스워드미부여 2. 보안관련소프트웨어의주기적점검위반 3. 의심스런외부메일의첨부파일열람금지위반 ( 모의훈련결과포함 ) 회위반시주의 회이상위반시경고 - 50 -

[ 별표 11] 정보화사업단계별보안조치사항 공사 산업부 ( 국가정보원 ) 1. 정보화사업계획수립 2. 자체보안대책수립 3. 보안성검토문서작성 7. 검토결과반영 8. 사업공고ㆍ입찰 4. 보안성검토의뢰 6. 검토결과통보 5. 보안성검토 9. 시스템ㆍ용역업체선정 10. 시스템도입ㆍ용역개시 13. 사업진행 15. 최종검수 16. 정보화사업완료 정보보호제품은도입요건을만족하는제품선정 11. 보안적합성검증의뢰 14. 적합성검증결과통보 12. 보안적합성검증 19. 이행여부확인결과통보 18. 이행여부의확인 ( 필요시 ) 17. 시스템운영 ( 유지보수 ) 20. 안전측정의뢰 ( 필요시 ) 22. 측정결과통보 21. 안전측정 ( 필요시 ) - 51 -

[ 별지제 1 호서식 ] 정보보안업무세부추진계획 1. 활동목표 2. 기본방침 3. 세부추진계획 분야별사업명세부추진계획주관 관련부서비고 4. 전년도보안감사 지도방문시도출내용과조치계획 도출내용조치계획담당부서 - 52 -

[ 별지제 2 호서식 ] 정보보안업무심사분석 1. 총평 2. 주요성과및추진사항 3. 세부사업별실적분석추진계획 추진실적 문제점 개선대책 * 추진실적은목표량과대비하여성과달성도를계량화 4. 부진 ( 미진 ) 사업 부진사업원인및이유익년도추진계획 5. 애로및건의사항 6. 첨부 ( 정보통신망및검증필정보보호시스템운용현황등 ) - 53 -

[ 별지제 3 호서식 ] 보안서약서 대표자 수신 : 한국무역보험공사 본인은년월일부터한국무역보험공사의업무 를수행함에있어제반보안관계규정및지침을성실히수행하고다음사항을준 수할것을엄숙히서약합니다. 1. 상기업무와관련한사항에대하여외부에누설또는무단유출하지않겠습니다. 2. 동사업기간중습득한업무내용에대해서는공사의사전서면동의없이는 어떠한경우에도외부기관에제공하지않겠습니다. 3. 개인정보의보호를위해공사에서정하는일체의개인정보보호관련규정을 준수하고, 적정한절차없이개인정보를무단으로조회, 누출하지않겠습니다. 4. 상기사항을위반한경우에는손해배상등모든민 형사상의책임및불이익을 감수하겠습니다. 5. 하도급업체를통한사업수행시하도급업체로인해발생하는위반사항에대하 여모든책임을부담하겠습니다. 년월일 - 54 -

보안서약서 참여자 수신 : 한국무역보험공사 본인은년월일부터한국무역보험공사의업무 를수행함에있어제반보안관계규정및지침을성실히수행하고다음사항을준 수할것을엄숙히서약합니다. 1. 상기업무와관련한사항에대하여외부에누설또는무단유출하지않겠습니다. 2. 동사업기간중습득한업무내용에대해서는공사의사전서면동의없이는 어떠한경우에도외부기관에제공하지않겠습니다. 3. 개인정보의보호를위해공사에서정하는일체의개인정보보호관련규정을 준수하고, 적정한절차없이개인정보를무단으로조회, 누출하지않겠습니다. 4. 상기사항을위반한경우에는손해배상등모든민 형사상의책임및불이익을 감수하겠습니다. 5. 하도급업체를통한사업수행시하도급업체로인해발생하는위반사항에대하 여모든책임을부담하겠습니다. 년월일 - 55 -

[ 별지제 4 호서식 ] 정보시스템관리대장 연번소속취급자 ( 성명 ) 종류 ( 서버ㆍ PC 등 ) 관리번호도입일자비고 - 56 -

[ 별지제 5 호서식 ] 휴대용저장매체관리대장 일반용 관리책임자 부 실 장 연번 고유번호 관리번호 (S/N) 매체형태 등록일자 부서사용자보안정책 불용처리일자 불용처리방법 ( 재사용용도 ) 비고 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20-57 -

[ 별지제 6 호서식 ] 휴대용저장매체관리대장 비밀용 관리책임자 부 실 장 연번고유번호관리번호 (S/N) 매체형태등록일자사용자 불용처리일자 불용처리방법 ( 재사용용도 ) 비고 ( 사유 ) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20-58 -

[ 별지제 7 호서식 ] 휴대용저장매체점검대장 관리책임자 부 실 장 점검일시 현보유수량이상점검자 Ⅱ급 Ⅲ급대외비일반인증유무성명서명 비고 ( 서명 ) - 59 -

[ 별지제 8 호서식 ] 휴대용저장매체 전산장비포함 반출 입대장 관리책임자 부 실 장 장비명 관리번호 ( 시리얼번호 ) 사용자 용도 전출입일시 ( 입 출구분 ) 확인 - 60 -

[ 별지제 9 호서식 ] 휴대용저장매체라벨 2.5cm 정 일반 / 비밀용 ( 인 ) 관리번호표기부 5cm < 디스켓, 이동형 HDD 서식 > 1cm 일반 / 비밀용 ( 인 ) 관리번호표기 5cm <USB CD 서식 > 가 서식을만들어휴대용저장매체중앙의적절한위치에부착 나 첫번째줄에는일반 비밀용 인 란에정보보안담당관의직인을 날인 다 두번째줄에는보조기억매체관리번호표기 라 세번째줄의 정 란에관리책임자 부 란에사용자표기 메모리및 의경우생략가능 마 보조기억매체의크기를고려하여서식 글자크기조정가능 - 61 -

[ 별지제 9 호서식예시 ] 일반용 ( 인 ) 총무부 - 일반 -01 정이순신부홍길동 대외비용 ( 인 ) 총무부 - 대외비 -01 정이순신부홍길동 일반용 ( 인 ) 총무부 - 일반 -01 Ⅱ 급비밀용 ( 인 ) 총무부 -Ⅱ 급 -01-62 -

[ 별지제 10 호서식 ] 휴대용저장매체불용처리확인서 아래와같이휴대용저장매체 종점 불용처리및휴대용저 장매체 종점 재사용에대해확인을요청함 연번 1 2 3 4 5 6 7 8 9 10 관리번호 (S/N) 총무부 -일반 -01 (E-D900-04-3705B) 총무부 -Ⅲ 급-01 (5101-53RA-12567) 총무부 -Ⅱ 급-01 (610-RURQ-61750) 매체형태 사유 불용처리 재사용 USB 고장 물리적파기 CD 고장 물리적파기 USB 용도전환 자성소거 총무부-일반-092 확인일자 년월일 요청자 소속직책 급성명 인 확인자 정보보안담당관 급성명 인 - 63 -

[ 별지제 11 호서식 ] 개발보안체크리스트 - 64 -

- 65 -

- 66 -

- 67 -

- 68 -

[ 별지제 12 호서식 ] 용역사업자료인계인수대장 대상 누출금지대상정보 - 69 -

- 70 -

- 71 -

[ 별지제 13 호서식 ] 보안확약서 대표자 수신 : 한국무역보험공사 년월일 - 72 -

보안확약서 참여자 수신 : 한국무역보험공사 본인은년월일부터년월일까지수행한한국무역보험공사의사업에대해종료후에도제 3자에게공개하거나누설하지아니하며제반보안관계규정에따라다음사항을준수할것을엄숙히서약합니다. 1. 보안관리자에게출입증을반납하였습니다. 2. 사업기간중사용한모든전산매체초기화및서류문서를폐기하였습니다. 3. 상기업무와관련한사항에대하여외부에누설또는무단유출하지않겠습니다. 4. 동사업기간중습득한업무내용에대해서는귀사의동의없이는어떠한경우에도외부기관에제공하지않겠습니다. 5. 상기사항을위반한경우에는손해배상등모든민 형사상의책임을감수하겠습니다. 년월일 - 73 -

[ 별지제 14 호서식 ] 한국무역보험공사 사업 비밀유지계약서 - 74 -

한국무역보험공사 이하 발주자 이라한다 와 이하 계약상대자 는다음과같이비밀유지계약을체결한다 제 조 계약의목적 발주자는 사업과관련하여자료 장비등에대한내용 신규포함 을계약상대자에게제공하는바 발주자가제공한자료 장비등에대한대 외보안이필요함에계약상대자에게비밀유지의무를부과하고자본계약을체결한다 제 조 정의 발주자 라함은한국무역보험공사또는그위임을받은자를말한다 계약상대자 라함은발주자와용역계약을체결한 를말한다 비밀정보 란발주자가비밀및대외비로분류된자료와본계약에표기된중요한자료 장비를말한다 정보시스템 은발주자의업무처리및의사결정을지원하기위한정보를수집 검색 처리 저장하는관련요소들의집합을말한다 제 조 비밀정보의범위 발주자의 사업수행을위한비밀정보의범위는다음과같다 공사소유전산시스템의내 외부 주소현황 세부정보시스템구성현황및정보통신망구성도 사용자계정및패스워드등정보시스템접근권한정보 정보시스템및정보통신망취약점분석 평가결과물 사업수행결과물및프로그램소스코드 국가용보안시스템및정보보호시스템도입현황 침입차단시스템 방지시스템 등정보보호제품및라우터 스위치 등네트워크장비설정정보 공공기관의정보공개에관한법률 제 조제 항에따라비공개 대상정보로분류된공사의내부문서 개인정보보호법 제 조제 호의개인정보 보안업무규정 제 조의비밀및동시행규칙제 조제 항의대외비 - 75 -

정보시스템운용현황 기타공사 사업부서 에서공개가불가하다고판단한자료 사업기간중공개불가자료가발생시상호협의하여추가할수 있음 제 조 비밀정보의사용용도제한 계약상대자는사업을수행하기위해발주자가제공하거나생성된비밀정보에대하여발주자의 사업을위해서만사용되어야한다 제 조 비밀정보의제공 사업수행을위해계약상대자가발주자로부터제공받은비밀정보를 제 자에게제공해야할경우반드시발주자의사전서면동의를얻어야한다 제 조 비밀정보의비밀유지의무 계약상대자는당해계약을통하여얻은비밀정보를계약이행의전후를막 론하고외부에누출 누설 할수없다 단본계약 조의비밀정보의제공에의한경우는아니한다 제 조 손해배상의책임 계약상대자는본계약상의비밀정보의비밀유지의무를위반함으로써발주 자에게손해를가한경우에는발주자는손해금액및법정비용을계약상대자에게손해배상을청구할수있다 제 조 정보의소유권 사업의이행에의해발생한산출물및결과물 개발된 모듈포함 의소유권은발주자에있다 제 조 정보의회수 발주자가제공한자료 장비등에대한정보의반환을요청하는경우계약상대자는정보의사본을남기지않고모두발주자에게돌려주어야한다 - 76 -

제 조 계약의변경 본계약의내용은발주자와계약상대자간의서면합의에의해서만유효하게변경될수있다 제 조 준용규칙 본계약서에명시되지아니한사항은발주자와계약상대자의 사업관련계약서및계약관련법령및규정을준용한다 제 조 계약의효력 본계약은당사자가계약서에적법하게서명또는기명 날인하여계약을체결한날 이하 계약체결일 로부터발효된다 - 77 -

[ 별지제 15 호서식 ] 용역사업보안점검체크리스트 용역사업입찰및계약체크리스트 - 78 -

용역사업수행체크리스트 - 79 -

- 80 -

- 81 -

- 82 -

용역사업완료체크리스트 - 83 -

용역업체보안점검체크리스트 - 84 -

[ 별지제 16 호서식 ] 보안성검토결과 검토 일자 사업명 작성자 사업개요 보안성검토내역 - 85 -

- 86 -

[ 별지제 16 호서식예시 ] 정보화기획팀장 정보보안전담반장 보안성검토결과 검토일자 작성자 사업명 무정전전원장비노후배터리교체및정보통신실확장 사업개요 안정적인 시스템운영을위한 노후배터리교체 정보통신실장비수용공간부족에따른확장공사추진 보안성검토내역 - 87 -

- 88 -