제정 2017.11.15 정보보안업무내규 제1장총칙 제1 조( 목적) 이내규는국무조정실및국무총리비서실정보보안기본지침( 이하 지침 이 라한다) 을준용하여한국조세재정연구원( 이하 연구원 이라한다) 의정보보안업무에 관한내규를정함을목적으로한다. 제2 조( 적용범위) 이지침의적용범위는연구원의임직원으로한다. 제3 조( 정의) 이지침에서사용하는용어의뜻은다음각호와같다. 1. 사용자 란기관의장으로부터정보통신망또는정보시스템에대한접근또는사 용허가를받은자를말한다. 2. 인터넷서비스망 ( 이하 인터넷망 이라한다) 이란기관의네트워크중에서인터넷 을사용할수있도록연결되어있는인터넷전산망을말한다. 3. 업무전산망 ( 이하 업무망 이라한다) 이란기관의네트워크중에서내부업무를 수행할수있도록연결되어있는전산망을말한다. 4. 정보통신망 이란 전기통신기본법 제2조제2호의전기통신설비를활용하거나전 기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검 색 송수신하는정보통신체제를말하며정보시스템일체를포함한다. 5. 정보시스템 이란서버 PC 등단말기, 휴대용저장매체, 네트워크장치, 응용프로 그램등정보의수집 가공 저장 검색 송수신에필요한하드웨어및소프트웨어를말 한다. 6. 휴대용저장매체 란디스켓 CD 외장형하드디스크 USB 메모리등정보를저장할 수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 7. 정보보안 또는 정보보호 란정보시스템및정보통신망을통해수집 가공 저 장 검색 송수신되는정보의유출 위변조 훼손등을방지하기위하여관리적 물리 적 기술적수단을강구하는일체의행위로서사이버안전을포함한다. 8. 전자문서 란컴퓨터등정보처리능력을가진장치에의하여전자적인형태로 송 수신또는저장되는정보를말한다. 9. 전자기록물 이란정보처리능력을가진장치에의하여전자적인형태로송 수신 또는저장되는기록정보자료를말한다. 10. 전자정보 란각급기관이업무와관련하여취급하는전자문서및전자기록물을말 한다. 11. RFID(Radio Frequency Identification) 시스템 이란대상이되는사물등에 RFID 태 그를부착하고전파를사용, 해당사물등의식별정보및주변환경정보를인식하여 각사물등의정보를수집 저장 가공및활용하는시스템을말한다. 12. 정보통신실 이란서버 PC 등과스위치 교환기 라우터등네트워크장치등이설
520 제 편 문서, 정보자료, 보안 치운용되는장소를말하며, 전산실 통신실 전자문서및전자기록물( 전자정보) 보관실 등을말한다. 13. 안전측정 이란정보통신망을불법침입 교란 마비 파괴하거나정보를절취 훼손하 는해킹 컴퓨터바이러스 서비스방해 도청등으로부터정보통신망과정보를보호하기 위하여정보보안취약점을진단하는제반활동을말하며, 대도청( 對盜 ) 측정활동을 포함한다. 14. 국가용보안시스템 이란비밀등중요자료보호를위하여국가정보원장이개발하 거나안전성을검증한암호장비 보안자재 암호논리등을말한다. 15. 암호장비 란정보통신망으로처리 저장 송수신되는정보를보호할목적으로암호 논리를내장하여제작된장비를말한다. 16. 보안자재 란통신내용등의정보를보호할목적으로사용하는암호 음어 약호자 재를말한다. 17. 음어자재 란 III급비밀이하의통신내용등의정보를보호할목적으로사용하는문 자 숫자 기호등으로구성된환자표또는암호논리등을수록한문서나도구를말한 다. 18. 약호자재 란대외비이하의통신내용등의정보를보호할목적으로특정용어와 그에대응 변환되는문자, 숫자, 기호등을수록한문서나도구를말한다. 19. 암호논리 란정보의유출, 위 변조, 훼손등을방지하기위하여기밀성 무결성 인 증 부인봉쇄등의기능을제공하는수학적논리또는알고리즘을말한다. 20. 암호모듈 이란정보의유출, 위 변조, 훼손등을방지하기위해암호논리를활용 하여구현한수단이나도구를말한다. 21. 정보보호시스템 이란정보의수집 저장 검색 송신 수신시정보의유출, 위 변조, 훼손등을방지하기위한하드웨어및소프트웨어를말한다. 22. 무선도청탐지 이란유 무선도청탐지장비등을이용하여은닉된도청장치색출 과각종도청위해요소를제거하는제반활동을말한다. 23. 사이버공격 이란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해등전자 적수단에의하여정보통신망을불법침입 교란 마비 파괴하거나정보를절취 훼손하 는공격행위를말한다. 24. 클라우드컴퓨팅 란논리적인분할또는결합을통해집적 공유된정보통신기기 설비, 소프트웨어등정보통신자원을필요에따라정보통신망을통해신축적으로제 공함으로써정보통신자원의이용효율을극대화하는컴퓨팅을말한다. 25. 클라우드서비스 란클라우드컴퓨팅을이용하여타인의요청에따라정보통신자 원을이용하게하는서비스를말한다. 26. 디지털복사기 란하드디스크등저장매체가내장된복사기, 프린터, 팩스, 스캐너, 복합기등을말한다. 27. VPN(Virtual Private Network) 장비 는인터넷망을전용선을구축한것처럼사용할 수있는장비를말한다. 제2장정보보안기본활동
제4 조( 책무) 원장은전자정보를포함한보유정보와정보통신망을보호하기위한보안대책 을마련하여야하며정보보안에대한책임을진다. 제5 조( 정보보안담당관운영) 1원장은 국가정보보안기본지침 제5조의규정에따라정 보보안업무를총괄하는부서의장을 정보보안담당관 으로임명 운영하여야한다. 2 정보보안담당관은정보보안업무를원활히수행하기위하여각부서의분임정보보안 담당관을둘수있다. 3 정보보안담당관의기본활동은다음각호와같다. 1. 정보보안정책및기본계획수립 시행 2. 정보보안관련규정 지침등제 개정 3. 보안심사위원회정보보안분야안건심의주관 4. 정보보안업무지도 감독, 정보보안감사및심사분석 5. 정보통신실, 정보통신망및정보자료등의보안관리 6. 사이버공격초동조치및대응 7. 사이버위협정보수집 분석및보안관제 8. 정보보안예산및전문인력확보 9. 정보보안사고조사결과처리 10. 정보보안교육및정보협력 11. 주요정보통신기반시설보호활동 12. 정보통신망보안대책의수립 시행 13. 사이버보안진단의날 계획수립 시행 14. 그밖에정보보안관련사항 4 분임정보보안담당관의기본활동은다음각호와같다. 1. 담당부서의정보보안업무의지도 감독 2. 그밖에정보보안담당관으로부터위임받은사항 제6 조( 세부시행계획수립및집행) 정보보안담당관은국무조정실로부터통보받은보안업 무관련지침등을근거로매년초에연구원자체실정에맞는정보보안업무세부시행 계획을수립하여보안심사위원회의심의를거쳐집행하여야한다. 제7 조( 사용자관리) 1정보보안담당관은소관정보통신망( 정보시스템포함) 사용과관련 하여사용자의직위 임무별정보통신망접근자격부여심사등인적보안에관한절차 및방법을마련하여야한다. 2정보보안담당관은사용자가보직변경, 퇴직등인사이동이있을경우관련정보시스 템접근권한을조정하여야한다. 3정보보안담당관은외부인력을활용하여정보시스템의개발, 운용, 정비등을수행할 경우에는해당인력의고의또는실수로인한정보유출이나파괴를방지하기위하여 보안조치를수행하여야한다. 제8 조( 시스템보안책임의범위) 1정보시스템(PC 서버 네트워크장비등포함) 을도입 사 용할경우, 사용자 시스템관리자및관리책임자를지정운용하여야한다.
522 제 편 문서, 정보자료, 보안 2사용자는개인PC 등소관정보시스템을사용하거나본인계정으로정보통신망에접 속하는것과관련한보안책임을진다. 3시스템관리자는서버 네트워크장비등부서공통으로사용하는정보시스템의운용 과관련한보안책임을진다. 4제1항내지제3항과관련하여정보시스템을실제운용하는관리책임자는정보시스템 관리대장< 별지제1 호> 을수기또는전자적으로운용 관리하여야한다. 5 관리책임자는해당부서의정보시스템관리대장에정보시스템의변경최종현황을 유지및관리하여야한다. 6정보보안담당관은제1항내지제5항에명된정보시스템운용과관련한보안취약점을 발견하거나보안대책이필요한경우에는, 사용자 시스템관리자및관리책임자에게시 정을요구할수있다. 제9 조( 정보통신시설의보안) 1원장은다음각호의중요정보통신시설및장소를보호구 역으로설정 관리하여야한다. 1. 암호실 통신실 2. 정보통신실 3. 국가용보안시스템개발 설치장소 4. 경호통신, 국가비상통신등중요통신망의교환국, 회선집중국또는중계국 5. 보안관제센터, 백업센터및중요한정보통신시설을집중제어하는국소 6. 그밖에보안관리가필요하다고인정되는정보시스템설치장소 2정보보안담당관은제1항에서지정된보호구역에대해서는다음각호사항을참고하 여보안대책을강구하여야한다. 1. 방재대책및외부로부터의위해( 危害 ) 방지대책 2. 상시이용하는출입문은한곳으로정하고이중잠금장치설치 3. 출입자인증 식별등을위한출입문보안장치설치및주야간감시대책 4. 정보시스템안전지출및긴급파기계획수립 5. 관리책임자및자료 장비별취급자지정운용 6. 정전에대비한비상전원공급, 시스템의안정적중단등전력관리대책 7. 비상조명장치등비상탈출대책 제10 조( 모의훈련) 1정보보안담당관은자체정보통신망을대상으로매년정기또는수시 사이버위기대응모의훈련을실시하여야한다. 2 정보보안담당관은사이버위기발생에대비하여각급기관정보통신망을대상으로사 이버위기대응모의훈련을실시할수있다. 제11 조( 안전측정) 1정보보안담당관은홈페이지등자체정보통신망을대상으로하여매 년정기적으로보안취약성점검을실시하고점검대상, 점검항목, 조치내용및조치계획 을수립해야한다. 제12 조( 무선도청탐지) 정보보안담당관은도청에따른정보유출을방지하기위하여다음 각호의시설및장소에대한보안대책을강구하여야한다.
1. 기관장실 회의실등중요시설 2. 중요협상 회의와회담장소또는도청의심징후가있는장소 제13 조( 정보보안교육) 1정보보안담당관은자체정보보안교육계획을수립하여연 1회 이상전직원을대상으로관련교육을실시하여야한다. 2정보보안교육의효율성제고를위해자체실정에맞는정보보안교안을작성 활용 하여야한다. 3 정보보안관련전문기관교육및기술세미나참석을장려하는등업무전문성을제 고하기위하여노력하여야한다. 제14 조( 사이버보안진단의날) 1정보보안담당관은매월세번째수요일을 사이버보안진 단의날 로지정 운영하여야한다. 2 사이버보안진단의날 에정보통신망의악성코드감염여부, 정보시스템의보안취 약여부등정보보안업무전반에대하여체계적이고종합적인보안진단을실시하여야 한다. 4연구원은 사이버보안진단의날 실시결과를경제 인문사회연구회를경유하여매월 말일까지국무조정실장에게제출하여야한다. 제15 조( 통신보안위규) 1통신망을통해비인가자에게누설하거나위반할경우발생하는 통신보안위규사항은 [ 별표 1] 과같다. 2 정보보안담당관은국가안보및국가이익에중대한영향을미칠수있다고판단되는 통신보안위규에대해서는유선으로국정원장에게통보하여야한다. 제16 조( 재난방지) 1정보보안담당관은인위적또는자연적인원인으로인한정보통신망의 장애발생에대비하여정보시스템이원화, 백업관리, 복구등종합적인재난방지대책을 수립 시행하여야한다. 2 정보보안담당관은재난방지대책을정기적으로시험하고검토해야하며업무연속성 에대한영향평가를실시하여야한다. 3 정보보안담당관은정보시스템장애에대비한백업시설을확보하고정기적으로백업 을수행하여야한다. 4정보보안담당관은제3항의내규에따른백업시설을설치할경우에는정보통신실과 물리적으로일정거리이상위치한안전한장소에설치하여야하며전력공급원분리등 정보시스템의가용성을최대화할수있도록하여야한다. 제17 조( 불시보안점검) 정보보안담당관은사용자의보안의식제고를위하여불시에보안점 검을실시할수있다. 제18 조( 정보협력) 정보보안담당관은정보보안업무의발전을도모하고상호교류협력을 증진하기위하여각급기관의정보보안담당관이참여하는협의기구를구성 운영할수 있다. 제3장요소별보안관리
524 제 편 문서, 정보자료, 보안 제1절비밀의전자적관리 제19 조( 비밀의전자적처리) 1정보보안담당관은비밀등중요전자정보를정보통신망을 이용하여생산 보관 분류 열람 출력 송수신 이관하는등전자적으로처리하기위해서 는국가용보안시스템을사용하여암호화하는등국가정보원장이안전성을확인한보 안조치를수행하여야한다. 2제1 항의경우, PC 에서비밀등중요전자정보를처리한다. 3비밀생산을완료한경우에는 PC 에입력된비밀내용을삭제하여야한다. 다만, 업무 상계속보관이필요한경우에는비밀저장용휴대용저장매체를별도로지정사용하 거나 PC 내에독립된폴더를지정, 국가용보안시스템으로암호화하여보관하여야한 다. 4 제1항부터제3 항에명시된국가용보안시스템과관련한세부사항은 국가정보보 안기본지침 제4 장국가용보안시스템 에따른다. 제20 조( 비밀의전자적처리규격) 정보보안담당관은비밀을전자적으로안전하게처리하 기위하여국가정보원장이다음각호의사항을포함하여별도로규정한보안규격을 준수하여야한다. 1. 비밀의생산, 등록, 보관, 사용, 유통및재분류, 이관, 파기등전처리과정에서요 구되는보안기능 2. 비밀의관리를위한기능 3. 비밀을표시하기위한양식및외형정의 4. 비밀을전자적으로처리하면서발생하는각종이벤트기록 관리기능 5. 비밀을관리하기위한각종대장및카드정의 6. 사용자및시스템관리기능 7. 그밖에비밀을전자적으로처리하는데필요한보안 관리기능 제21 조( 비밀관리시스템) 1정보보안담당관은비밀관리시스템구축이필요할경우국가정 보원이개발하여보급한시스템을사용하여야한다. 2제1항의규정에도불구하고비밀관리시스템을자체개발하여운용하고자하는경우 에는제20 조의규정에따라국가정보원장이별도로정한규격을준수하여야한다. 3비밀관리시스템을구축한기관은비밀의생산, 보관, 유통등전반에비밀관리시스템 을활용하여비밀을안전하게관리하여야한다. 4비밀관리시스템을국가용보안시스템으로관리하여야하며, 한운영관리를위해국가정보원장이배포한지침을준수하여야한다. 제2절전자정보보안대책 비밀관리시스템의안전 제22 조( 전자정보보안조치) 1정보보안담당관은정보통신망을통하여보관 유통되는전자 정보의보안을위하여다음각호의조치를이행하여야한다. 1. 국가정보보안기본지침 제4장의규정에따른국가용보안시스템의사용 2. 제59조의규정에따른정보보호시스템의도입운용
3. 정보통신망보안대책의수립 시행 4. 국가정보원장이발행한지침 매뉴얼및각종권고사항의이행 5. 국무조정실장이발행한지침 매뉴얼및각종권고사항의이행 6. 그밖에전자정보보안을위하여필요하다고인정되는보안대책의이행 2정보보안담당관은제1항제3호의규정에따라정보통신망보안대책수립 시행에필 요한별도의지침 매뉴얼을작성배포할수있다. 제23 조( 신규정보자산인가) 정보보안담당관은정보( 정보보호) 시스템운용( 도는사용) 이 전시보안취약점을모두제거하여야한다. 제24 조(PC 등단말기보안관리) 1단말기사용자는 PC 노트북 PDA 등단말기( 이하 PC 등 이라한다) 사용과관련한일체의보안관리책임을가진다. 2정보보안담당관은비인가자가 PC 등을무단으로조작하여전산자료를절취, 위 변조 및훼손시키지못하도록다음각호의보안대책을단말기사용자에게지원하며, 사용 자는이를준수하여야한다. 1. 장비(CMOS 비밀번호) 자료( 중요문서자료암호화비밀번호) 사용자( 로그온비밀번 호) 별비밀번호를주기적으로변경사용하고지문인식등생체인식기술적용권고 2. 10분이상 PC작업중단시비밀번호가적용된화면보호조치 3. PC 용최신백신운용 점검, 침입차단 탐지시스템등을운용하고운영체제(OS) 및응 용프로그램( 한컴오피스, MS Office, Acrobat 등) 의최신보안패치유지 4. 업무상불필요한응용프로그램설치금지및공유폴더의삭제 5. 그밖에국가정보원장이안전성을확인하여배포승인한프로그램의운용및보안 권고문 3사용자는 PC 등단말기를교체 반납 폐기하거나고장으로외부에수리를의뢰하고자 할경우에는관리책임자와협의하여하드디스크에수록된자료가유출 훼손되지않도 록보안조치하여야한다. 4사용자는 사이버보안진단의날 에 PC 점검도구( 내PC 지키미) 를이용하여보안진단을 실시하여야한다. 5관리책임자는사용자가 PC 등을기관외부로반출하거나내부로반입할경우에최신 백신등을활용하여해킹프로그램및웜 바이러스감염여부를점검하여야한다. 6개인소유의 PC 등단말기를무단반입하여사용하여서는아니된다. 다만, 부득이한 경우에는정보보안담당관의승인을받아사용할수있다. 제25 조( 서버보안관리) 1서버관리자는서버를도입 운용할경우, 정보보안담당관과협 의하여해킹에의한자료절취, 위 변조등에대비한보안대책을수립 시행하여야한 다. 2서버관리자는서버내저장자료에대해업무별 자료별중요도에따라사용자의접 근권한을차등부여하여야한다. 3 서버관리자는사용자별자료의접근범위를서버에등록하여인가여부를식별토록 하고인가된범위이외의자료접근을통제하여야한다. 4 서버관리자는서버의운용에필요한서비스포트외에불필요한서비스포트를제
526 제 편 문서, 정보자료, 보안 거하며관리용서비스와사용자용서비스를분리운용하여야한다. 5서버관리자는서버의관리용서비스접속시특정 IP와 MAC 주소가부여된관리용 단말을지정운용하여야한다. 6 서버관리자는서버설정정보및서버에저장된자료에대해서는정기적으로백업 을실시하여복구및침해행위에대비하여야한다. 7 서버관리자는데이터베이스에대하여사용자의직접적인접속을차단하고개인정보 등중요정보를암호화하는등데이터베이스별보안조치를실시하여야한다. 8정보보안담당관은제1항내지제7항에서수립한보안대책의적절성을수시확인하 되, 연1 회이상보안도구를이용하여서버설정정보및저장자료의절취, 위 변조가 능성등보안취약점을점검하여야한다. 9그밖에서버의보안관리에관련한사항에대해서는 부록2. 정보시스템도입 운영 보안관리매뉴얼 을따른다. 제26 조( 웹서버등공개서버보안관리) 1서버관리자는외부인에게공개할목적으로설치 되는웹서버등공개서버를내부망과분리된영역(DMZ) 에설치 운용하여야한다. 2비인가자의서버저장자료절취, 위 변조및분산서비스거부(DDoS) 공격등에대비 하기위하여국가정보원장이안정성을검증한침입차단 탐지시스템및 DDoS 템을설치하는등보안대책을강구하여야한다. 대응시스 3 서버관리자는비인가자의공개서버내에비공개정보에대한무단접근을방지하기 위하여서버에접근사용자를제한하고불필요한계정을삭제하여야한다. 4 서버관리자는공개서버의서비스에필요한프로그램을개발하고시험하기위해사 용된도구( 컴파일러등) 는개발완료후삭제를원칙으로한다. 5공개서버의보안관리에관련한그밖에사항에대해서는제25 조( 서버보안관리) 의규 정에따른다. 제27 조( 홈페이지게시자료보안관리) 1정보보안담당관은개인정보를포함한중요업무자 료가홈페이지에무단게시되지않도록해야한다. 2사용자는개인정보, 하여서는아니된다. 비공개공문서및민감자료가포함된문서를홈페이지에공개 3 홈페이지에정보를게시하고자하는부서의장은비밀등비공개자료가게시되지 않도록하여야한다. 다만, 경미한사항은그러하지아니할수있다. 이경우판단은 보안심사위원회의심의를거쳐야한다. 4사용자는인터넷블로그 카페 게시판 개인홈페이지또는소셜네트워크서비스등 일반에공개된전산망에업무관련자료를무단게재하여서는아니된다. 5 홈페이지등을운영하는각부서의분임정보보안담당관은비공개내용이게시되었는 지여부를주기적으로확인하고개인정보를포함한중요정보가홈페이지에공개되지 않도록보안교육을주기적으로실시하여야한다. 6 정보보안담당관은홈페이지에중요정보가공개된것을인지할경우이를즉시차단 하는등의보안조치를시행하여야한다. 제28 조( 사용자계정관리) 1시스템관리자는사용자에게정보시스템접속에필요한사용자
계정(ID) 부여시비인가자도용및정보통신시스템불법접속에대비하여다음각호 의사항을반영하여야한다. 1. 사용자별또는그룹별로접근권한부여 2. 외부인에게계정부여는불허하되업무상불가피시정보보안담당관책임하에필 요업무에한해특정기간동안접속토록하는등보안조치강구후허용 3. 비밀번호등사용자식별및인증수단이없는사용자계정사용금지 2시스템관리자는사용자가 5회이상에걸쳐로그인실패시정보시스템접속을중단 시키도록시스템을설정하고비인가자의침입여부를확인점검하여야한다. 3 시스템관리자는직원의퇴직또는보직변경발생시사용하지않는사용자계정을신 속히삭제하고, 특별한사안이없는한유지보수등을위한외부업체직원에게관리자 계정제공을금지하여야한다. 4시스템관리자는사용자계정의부여및관리가적절한지연2회이상점검하여관 련결과를정보보안담당관에게통보하여야한다. 제29 조( 비밀번호관리) 1사용자는비밀번호설정사용시정보시스템의무단사용방지를 위하여다음과같이구분하여야한다. 1. 비인가자의정보통신시스템접근방지를위한장비접근용비밀번호 2. 정보시스템사용자가서버등정보통신망에접속인가된인원인지여부를확인하 는사용자인증비밀번호 3. 문서에대한열람 수정및출력등사용권한을제한할수있는자료별비밀번호 2비밀이나중요자료에는자료별비밀번호를반드시부여하되, 공개또는열람자료에 대해서는부여하지아니할수있다. 3비밀번호는다음각호사항을반영하여숫자와문자, 특수문자등을혼합하여 9자 리이상으로정하고, 분기 1 회이상주기적으로변경사용하여야한다. 1. 사용자계정(ID) 과동일하지않은것 2. 개인신상및부서명칭등과관계가없는것 3. 일반사전에등록된단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 사용된비밀번호는재사용하지말것 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능사용금지 4 서버에등록된비밀번호는암호화하여저장하여야한다. 제30 조( 네트워크장비및정보보호시스템보안관리) 1시스템관리자는라우터, 스위치등 네트워크장비와침입차단시스템, 다음각호의보안조치를강구해야한다. 1. 원격접속은원칙적으로금지하되, IP MAC 주소에서의접속은허용 침입방지시스템등정보보호시스템운용과관련하여 불가피할경우장비관리용목적으로내부특정 2. 물리적으로안전한장소에설치하여비인가자의무단접근을통제 3. 신규장비도입시생성되는기본(default) 계정을삭제또는변경하고시스템운영을
528 제 편 문서, 정보자료, 보안 위한관리자계정별도생성 4. FTP 등불필요한서비스포트및사용자계정차단 삭제 5. 펌웨어무결성및소프트웨어 서버운영체제취약점과최신업데이트여부를주기 적으로확인하여항상최신버전으로유지 2시스템관리자는장비의접속기록을 6개월이상유지하여야하고비인가자에의한침 투여부를주기적으로점검하여정보보안담당관에게관련결과를제출하여야한다. 제31 조( 전자우편보안대책) 1시스템관리자는웜 바이러스등악성코드로부터사용자PC 등전자우편시스템일체를보호하기위하여국가정보원장이안전성을확인한백신, 바이러스월, 해킹메일차단시스템을구축하는등보안대책을강구하여야한다. 2수신된전자우편의발신지 IP주소와국가명이표시되고해킹메일원본을신고할수 있는기능을갖춘웹메일시스템을구축하여야한다. 다만웹메일시스템을직접구축 운영하지않은경우에는그러하지아니한다. 3사용자는상용전자우편을이용한업무자료송 수신을금지하며기관전자우편으로 송 수신한업무자료는열람등활용후메일함에서즉시삭제하여야한다. 4 사용자는메일에포함된첨부파일이자동실행되지않도록설정하고첨부파일다운 로드시반드시최신백신으로악성코드은닉여부를검사하여야한다. 5 사용자는출처가불분명하거나해킹이의심되는메일수신시즉시국무조정실장및 국가사이버안전센터 (cert@ncsc.go.kr) 에신고하여야한다. 6사용자는전자우편을사용하는 PC에대하여제23 조(PC 등단말기보안관리) 에명시된 단말기보안조치사항을따른다. 제32 조( 휴대용저장매체보안대책) 1휴대용저장매체관리책임자는휴대용저장매체를 사용하여업무자료를보관할필요가있을때에는위변조, 훼손, 분실등에대비한보안 대책을강구하여정보보안담당관의승인을받아야한다. 2휴대용저장매체관리책임자는휴대용저장매체를비밀용, 기적으로수량및보관상태를점검하며반출 입을통제하여야한다. 3휴대용저장매체관리책임자는 USB 성을확인한제품을도입하여야한다. 일반용으로구분하고주 관리시스템을도입할경우국가정보원장이안정 4휴대용저장매체관리책임자는사용자가 USB메모리를 PC등에연결시자동실행되 지않도록하고최신백신으로악성코드감염여부를자동검사하도록보안설정한다. 5 비밀자료가저장된휴대용저장매체는매체별로비밀등급및관리번호를부여하고 비밀관리기록부에등재관리하여야한다. 이경우에는매체전면에비밀등급및관리 번호가표시되도록하여야한다. 다만, 휴대용저장매체가국가용보안시스템에해당될 경우에는해당보안시스템의운용 관리체계에따라관리하여야한다. 6 휴대용저장매체를파기등불용처리하거나비밀용을일반용또는다른등급의비 밀용으로전환하여사용할경우저장되어있는정보의복구가불가능하도록완전삭제 프로그램을사용하여야한다. 7 정보보안담당관은사용자의휴대용저장매체무단반출및미등록휴대용저장매체 사용여부등보안관리실태를주기적으로점검하여야한다.
8사용자는업무와무관한개인자료의반출이필요할경우에는 PC보안일시해제승 인요청서 < 별지제2 호> 를정보보안담당관에게제출하여야하며, 정보보안담당관은해 당사용자의 PC 보안일시해제를승인할수있다. 9 그밖에휴대용저장매체의보안관리에관련한사항은 국가정보보안기본지침 부록 5. USB 메모리등휴대용저장매체보안관리지침 을따른다. 제33 조( 악성코드방지대책) 1정보보안담당관은웜 바이러스, 해킹프로그램, 스파이웨어 등악성코드감염을방지하기위하여다음각호와같은대책을수립 시행하여야한 다. 1. 사용자는개인PC에서작성하는문서 데이터베이스작성기등응용프로그램을보안 패치하고백신은최신상태로업데이트 상시감시상태로설정및주기적인점검을 실시하여야한다. 2. 사용자는출처, 유통경로및제작자가명확하지않은응용프로그램사용을금지하 고인터넷등상용망으로자료입수시신뢰할수있는인터넷사이트를활용하되 최신백신으로진단후사용하여야한다. 3. 사용자는인터넷파일공유프로그램과메신저 대화방프로그램등업무상불필요 한프로그램을사용금지하고, 시스템관리자는인터넷연동구간의침입차단시스템 등에서관련사이트접속을차단하도록보안설정하여야한다. 4. 사용자는웹브라우저를통해서명되지않은(Unsigned) Active-X 등이 PC내에불법 다운로드되고실행되지않도록보안설정하여야한다. 5. 제1호부터제4호까지의보안대책과관련하여시스템관리자는정보보안담당관과협 조하여사용자가적용할수있는보안기술을지원하여야한다. 2시스템관리자또는 PC 등의사용자는시스템에악성코드가설치되거나감염된사실 을발견하였을경우에다음각호의조치를하여야한다. 1. 악성코드감염원인규명등을위하여파일임의삭제등감염시스템사용을중지 하고전산망과의접속을분리한다. 2. 악성코드의감염확산방지를위하여정보보안담당관에게관련사실을즉시통보한 다. 3제2항의조치가완료된후정보보안담당관은감염 PC 등에대하여다음각호의조 치를하여야한다. 1. 최신백신등악성코드제거프로그램을이용하여악성코드를삭제한다. 2. 감염이심각할경우포맷프로그램을사용하여하드디스크를포맷한다. 3. 악성코드감염의확산및재발을방지하기위하여원인을분석하고예방조치를수 행한다. 4 연구원은악성코드가신종이거나감염피해가심각하다고판단할경우에는관련사항 을국무조정실장에게신속히통보하여야한다. 5 연구원은국무조정실장이해당기관에악성코드감염사실을확인하여조치를권고할 경우, 즉시이행하여야한다. 제34 조( 접근기록관리) 1시스템관리자는정보시스템의효율적인통제 관리, 사고발생
530 제 편 문서, 정보자료, 보안 시추적등을위하여사용자의정보시스템접근기록을유지관리하여야한다. 2제 1 항의접근기록에는다음각호의내용이포함되어야한다. 1. 접속자, 정보시스템 응용프로그램등접속대상 2. 로그온 오프, 파일열람 출력등작업종류, 작업시간 3. 접속성공 실패등작업결과 4. 전자우편사용등외부발송정보등 3시스템관리자는접근기록을분석한결과, 비인가자의접속시도, 정보위변조및무 단삭제등의의심스러운활동이나위반혐의가발생한사실을발견한경우정보보안담 당관에게즉시보고하여야한다. 4접근기록은정보보안사고발생시확인등을위하여최소 6개월이상보관하여야하 며접근기록위 변조및외부유출방지대책을강구하여야한다. 제35 조( 정보시스템개발보안) 1시스템개발사업담당자는정보시스템을자체적으로개발 하고자하는경우에는다음각호의사항을고려하여보안대책을수립하고정보보안담 당관의승인을득하여야한다. 1. 독립된개발시설을확보하고비인가자의접근통제 2. 개발시스템과운영시스템의물리적분리 3. 소스코드관리및소프트웨어보안관리 4. 소프트웨어개발보안 ( 시큐어코딩) 2 시스템개발사업담당자는외부용역업체와계약하여정보시스템을개발하고자하는 경우에는다음각호의사항을고려하여보안대책을수립하고정보보안담당관의승인 을얻어야한다. 1. 외부인력대상신원확인, 보안서약서징구, 보안교육및점검 2. 외부인력의보안준수사항확인및위반시배상책임의계약서명시 3. 외부인력의정보시스템접근권한및제공자료보안대책 4. 외부인력에의한장비반입 반출및자료무단반출여부확인 5. 제1항의제1호부터제4호까지의사항 3정보보안담당관은제1항및제2항과관련하여보안대책의적절성을수시로점검하 고, 한다. 정보시스템개발을완료한경우에는정보보안요구사항을충족하는지검토하여야 제36 조( 정보시스템유지보수) 1정보보안담당관은정보시스템유지보수와관련한절차, 주기, 문서화등에관한사항을자체규정에포함하여야한다. 유지보수절차민문서 화수립시고려사항은아래의각호와같다. 1. 유지보수인력에대해보안서약서집행, 정보보안교육등을포함한유지보수인가 절차를마련하고인가된유지보수인력만유지보수에참여한다. 2. 결함이의심되거나발생한결함, 예방및유지보수에대한기록을보관한다. 3. 유지보수를위해원래설치장소외다른장소로정보시스템을이동할경우, 통제수 단을강구한다. 4. 정보시스템의유지보수시에는일시, 담당자인적사항, 출입통제조치, 정비내용등
을기록 유지하여야한다. 2 시스템관리자는자체유지보수절차에따라정기적으로정보시스템정비를실시하고 관련기록을보관하여야한다. 3시스템관리자는정보시스템의변경이발생할경우, 정보시스템의설계 코딩 테스트 구현과정에서의보안대책을강구하며정보보안담당관은관련적절성을주기적으로확 인하여야한다. 4정보보안담당관은시스템관리자등이유지보수와관련된장비 도구등을반출입할 경우, 악성코드감염여부, 자료무단반출여부를확인하는등보안조치하여야한다. 5 시스템관리자는외부에서원격으로정보시스템을유지보수하는것을원칙적으로금 지하여야하며, 부득이한경우에는정보보안담당관의승인을얻어자체보안대책을강 구한후한시적으로허용할수있다. 제37 조( 전자정보저장매체불용처리) 1사용자및시스템관리자는하드디스크등전자정 보저장매체를불용처리( 교체 반납 양여 폐기등) 하고자할경우에는저장매체에수록 된자료가유출되지않도록보안조치하여야한다. 2 자료의삭제는해당정보가복구될수없도록해당기관실정에맞게저장매체별, 자료별차별화된삭제방법을적용하여야한다. 3해당기관내에서정보시스템의사용자가변경된경우, 비밀처리용정보시스템은완 전포맷 3 회이상, 그외의정보시스템은완전포맷 1회이상으로저장자료를삭제하여 야한다. 4 전자정보저장매체의불용처리에관한구체적인사항은 국가정보보안기본지 침 부록6. 정보시스템저장매체불용처리지침 을따른다. 제3절주요상황별보안대책 제38 조( 무선랜보안관리) 1정보보안담당관은무선랜(WIFI 등) 을사용하여업무자료를소 통하고자할경우자체보안대책을수립하여관련사업계획단계( 사업공고전) 에서국 가정보원장에게보안성검토를의뢰하여야한다. 2시스템관리자는제1 항의보안대책수립시, 다음각호의사항을포함하여야한다. 1. 네트워크이름(SSID, Service Set Identifier) 브로드캐스팅중지 2. 추측이어려운복잡한 SSID 사용 3. WPA2 이상(256 비트이상) 의암호체계를사용하여소통자료암호화( 국가정보원장이 승인한암호논리사용 ) 4. MAC 주소및 IP 필터링설정, DHCP 사용금지 5. RADIUS(Remote Authentication Dial-In User Service) 인증사용 6. 무선망을통한정보시스템접근을정보보호시스템등으로차단하는보안대책 7. 그밖에무선단말기 중계기(AP) 등무선랜구성요소별분실 탈취 훼손 오용등에 대비한관리적 물리적보안대책 3정보보안담당관은제1항및제2항과관련한보안대책의적절성을수시로점검하고 보완하여야한다.
532 제 편 문서, 정보자료, 보안 제39 조( 국가비상사태시보안관리) 1정보보안담당관은전시 사변또는이에준하는국가 비상상태발생시에비밀및중요정보시스템의효율적인보안관리를위한대책을강 구하여야한다. 2제1 항의비밀및중요정보시스템에는다음각호의사항을포함한다. 1. 국가비상사태발생시후송하여계속보관해야할비밀(A 급비밀) 2. 암호장비, 음어자재, 비밀관리시스템등국가용보안시스템 3. 비밀이저장된 CD 외장형하드디스크 USB메모리등휴대용저장매체 4. 보관이필요하다고결정한중요자료및중요정보시스템등 3정보보안담당관은제1항의보호관리대책수립시충무사태단계별비밀및중요정 보시스템의소산 이동 파기절차 방법등조치방안일체를포함하여야한다. 4 정보보안담당관은비상사태에따른소관업무지역이동시비밀을정보통신망을통하 여유통 관리하고자할경우에는국가지도통신망등국가정보원장이안전성을확인한 보안조치를하여야한다. 5 비상사태시비밀문서의보안관리에관한기타사항은 국가비상사태시비밀관리지 침 ( 국가정보원) 을따른다. 제40 조( 무선인터넷보안관리) 1정보보안담당관은무선인터넷(WiBro, HSDPA 등) 시스템 을구축하여업무자료를소통하고자할경우자체보안대책을수립하여관련사업계 획단계( 사업공고전) 에서국가정보원장에게보안성검토를의뢰하여야한다. 2 시스템관리자는연구원전역에무선인터넷사용을제한하고민원실등특별히무선 인터넷사용이필요한구역에한해운용한다. 3시스템관리자는업무용PC 에서무선인터넷접속장치(USB 형등) 가작동되지않도록관 련프로그램설치금지등기술적보안대책을강구하여야한다. 4정보보안담당관은개인휴대폰을제외한무선인터넷단말기의사무실무단반입 사 용을금지하는한편제1항부터제3항까지와관련한보안대책의적절성을수시로점검 하고보완하여야한다. 제41 조(RFID 보안관리) 1정보보안담당관은 RFID 시스템을구축하여중요자료등보호할 필요가있는정보를소통하고자할경우자체보안대책을수립하여야한다. 2시스템관리자는 1 항의보안대책수립시, 다음각호의사항을포함하여야한다. 1. RFID시스템의분실 탈취대비보안대책및백업대책 2. 태그정보의최소화대책 3. 장치인증, 사용자인증및기밀등중요정보의암호화대책 3정보보안담당관은제1항및제2항과관련한보안대책의적절성을수시로점검하고 보완하여야한다. 제42 조( 디지털복사기보안관리) 1정보보안담당관은디지털복사기( 이하 복사기 라한 다) 를도입하고자할경우복사기내저장매체에보관된자료유출방지를위해자료의 완전삭제기능이탑재된제품을도입하여야한다. 2 시스템관리자는다음각호의경우에복사기저장매체의저장자료를완전삭제하여
야한다. 1. 복사기의사용연한이경과하여폐기 양여할경우 2. 복사기의무상보증기간중저장매체또는복사기전체를교체할경우 3. 고장수리를위한외부반출등당해기관이복사기의저장매체를보안통제할수 없는환경으로이동할경우 4. 그밖에저장자료삭제가필요하다고판단하는경우 3 시스템관리자는복사기의소모품등을교체하기위한유지보수시정보보안담당자 입회 감독하에작업을실시하여저장매체무단교체등을예방하여야한다. 4 정보보안담당관은저장매체내장복사기현황을파악하고복사기의유지보수및불 용처리시저장매체에대한보안조치를수행하여야한다. 5 복사기의저장자료삭제방법등에관련한구체적인사항은 국가정보보안기본지 침 부록6. 정보시스템저장매체불용처리방안 을따른다. 제43 조( 첨단정보통신기기보안관리) 1정보보안담당관은전자제어장비등첨단정보통신 기기를활용하여업무자료등중요정보를소통 관리하고자할경우에는관련보안대책 을수립 시행하여야한다. 1. 첨단정보통신기기에대한장치인증및사용자인증 2. 제어신호, 통화내용등데이터의암호화 3. 업무자료의무단저장금지및업무용 인터넷 PC에무단연동금지 4. 시스템의분실 훼손 탈취등에대비한관리적 물리적 기술적보안대책 2 정보보안담당관은개인이소지한첨단정보통신기기가업무와무관하더라도업무자 료유출에직 간접악용될소지가있다고판단될경우, 반 출입통제등관련대책을 강구할수있다. 3제2 항과관련, 정보통신기기사용자를대상으로인증및암호화에필요한전자정보 를발급할수없는경우, 정보통신기기암호기술적용지침 (2010.8, 국가정보원) 을준 수하여야한다. 제44 조( 정보통신망자료보안관리) 1정보보안담당관은다음각호에해당하는정보통신 망관련현황 자료관리에유의하여야한다. 1. 정보시스템운용현황 2. 정보통신망구성현황 3. IP 할당현황 4. 주요정보화사업추진현황 2다음각호의자료를대외비로분류하여관리하여야한다. 다만, 국가안보와직결되 는중요한정보통신망관련세부자료는해당등급의비밀로분류관리하여야한다. 1. 정보통신망세부구성현황(IP 세부할당현황포함) 2. 국가용보안시스템운용현황 3. 보안취약점분석 평가결과물 4. 그밖에보호할필요가있는정보통신망관련자료 3제2항에명시되지않은정보통신망관련대외비비밀의분류는국가정보원장이제정
534 제 편 문서, 정보자료, 보안 한 비밀세부분류지침 ( 대외비) 을따른다. 제45 조( 용역사업보안관리) 1정보보안담당관은정보화 정보보호사업및보안컨설팅수행 등을외부용역으로추진할경우사업책임자로하여금다음각호의사항을포함한보 안대책을수립 시행하여야한다. 1. 용역사업계약시계약서에참가직원의보안준수사항과위반시손해배상책임 등명시 2. 용역사업수행관련보안교육 점검및용역기간중참여인력임의교체금지 3. 정보통신망도 IP 현황등용역업체에제공할자료는자료인계인수대장을비치, 보 안조치후인계 인수하고무단복사및외부반출금지 4. 사업종료시외부업체의노트북 휴대용저장매체등을통해비공개자료가유출 되는것을방지하기위해복구가불가능하도록완전삭제 5. 용역업체로부터용역결과물을전량회수하고비인가자에게제공 열람금지 6. 용역업체의노트북등관련장비를반입 반출시마다악성코드감염여부, 자료무단 반출여부를확인 7. 그밖에각급기관의장이보안관리가필요하다고판단하는사항이나국무조정실장 이보안조치를권고하는사항 2용역사업추진시과업지시서 입찰공고 계약서에다음각호의누출금지대상정보를 명시해야하며, 국가를당사자로하는계약에관한법률시행령 제76조제1항제3 호나목의규정에따라해당정보누출시입찰참가자격제한을위한부정당업자로등 록하여야입찰참가자격을제한하여야한다. 1. 기관소유정보시스템의내 외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정 비밀번호등정보시스템접근권한정보 4. 정보통신망취약점분석 평가결과물 5. 정보화용역사업결과물및관련프로그램소스코드( 유출시안보 국익에피해가우 려되는중요용역사업에해당 ) 6. 국가용보안시스템및정보보호시스템도입현황 7. 침입차단시스템 방지시스템(IPS) 등정보보호제품및라우터 스위치등네트워크장 비설정정보 8. 공공기관의정보공개에관한법률 제9조제1항의규정에따라비공개대상정보 로분류된기관의내부문서 9. 개인정보보호법 제2조제1호의개인정보 10. 보안업무규정 제4조의비밀및동시행규칙제16조제3항의대외비 11. 그밖에공개가불가하다고판단한자료 3비밀관련용역사업을수행할경우, 외부인원에대한신원조사 비밀취급인가, 보안 교육등보안조치를수행하여야한다. 4국가안보( 국방, 외교, 통일등) 관련용역자료( 연구, 자문등) 는인터넷이차단된 PC에비밀번호를부여하여별도로저장하거나보안 USB에저장하여유출 5제1항내 지제3항에서규정한보안대책의시행과관련한이행실태를주기적으로점검하고미비
점발견시사업책임자로하여금보완토록조치하여야한다. 6 그밖의사항에대하여는 국가정보보안기본지침 부록7. 외부용역업체보안 관리방안 및 부록4. 정보화용역사업보안관리매뉴얼 을참조한다. 제46 조( 정보시스템위탁운영보안관리) 1정보보안담당관은소관정보시스템에대한외부 업체의위탁운영을최소화하되, 위탁운영과관련한관리적 물리적 기술적보안대책 을수립하여시행하여야한다. 2 정보시스템의위탁운영은업체직원이연구원에상주하여수행하는것을원칙으로 한다. 다만, 해당기관에위탁업무수행직원의상주가불가한타당한사유가있을경 우, 그러하지아니할수있다. 3 정보시스템의위탁운영과관련하여동조문에명시되지않은사항에대해서는제 46 조를따른다. 제47 조( 원격근무보안관리) 1정보보안담당관은재택 파견 이동근무등원격근무를지 원하기위한정보시스템을도입 운영할경우기술적 관리적 물리적보안대책을수 립하고국가정보원장의보안성검토를거쳐시행하여야한다. 2원격근무가능업무및공개 비공개업무선정기준을수립하되대외비이상비밀자 료를취급하는업무는원격근무대상에서원칙적으로제외하되반드시수행해야하는 경우국가정보원장과협의하여수행여부를결정한다. 3VPN 을이용한원격근무자에게보안서약서< 별지제3 호>, VPN 사용신청서< 별지제4 호> 를징구하고원격근무자의업무변경 인사이동 퇴직등상황발생시정보시스템 접근권한재설정등관련절차를수립하여야한다. 4 원격근무자는원격근무시해킹에의한업무자료유출을방지하기위하여작업수행 전백신으로원격근무용 PC 점검 업무자료저장금지등보안조치를수행하여야한다. 5 원격근무자는정보시스템고장시정보유출방지등보안대책을강구한후정보보안 담당관과협의하여정비 반납등조치를취하여야한다. 6 주기적인보안점검을실시하여원격근무보안대책의이행여부를확인하여야한다. 제48 조( 스마트폰등모바일행정업무보안관리) 1정보보안담당관은스마트폰등을활용 하여내부행정업무와현장행정업무및대민서비스업무등모바일업무환경을구축할 경우보안대책을수립 시행하여야한다. 2 기타상세한사항은 국가 공공기관의모바일활용업무에대한보안가이드라인 (2014, 국가정보원) 을준수하여야한다. 제49 조( 클라우드시스템보안관리) 1정보보안담당관은클라우드컴퓨팅시스템을구축할 경우 국가 공공기관의클라우드컴퓨팅보안가이드라인 (2016.5, 국가정보원) 에따 라보안대책을강구하여야한다. 2 상용클라우드컴퓨팅시스템을활용하고자할경우에는국가정보원장에게보안성검 토를요청하여야한다. 제4절사고대응및정보보안관리
536 제 편 문서, 정보자료, 보안 제50 조( 사고상황전파) 1정보보안담당관은사이버공격과관련한정보를확인한경우에는 전화 팩스 이메일등통신수단을활용하여지체없이그사실을국정원장에게통보 하여야한다. 2제1 항에따라통보해야할사항은다음각호와같다. 1. 대규모사이버공격발생시 2. 사이버공격으로인하여피해가발생하거나피해발생이예상되는경우 3. 사이버공격이확산될우려가있는경우 4. 그밖에사이버공격계획등사이버안전에위협을초래할수있는정보를입수한 경우 제51 조( 정보보안사고조사) 1정보보안담당관은 [ 별표 3] 의정보보안사고가발생한때에 는즉시피해확산방지를위한조치를취하고다음각호의사항을국가정보원장에게 통보하여야한다. 이경우, 사고원인규명시까지피해시스템에대한증거를보전하고 임의로관련자료를삭제하거나포맷하여서는아니된다. 1. 일시및장소 2. 사고원인, 피해현황등개요 3. 사고자및관계자의인적사항 4. 조치내용등 2규정에따른관련자징계, 재발방지를위한보안대책의수립 시행등사고조사결과 에따라필요한조치를이행하여야한다. 제52 조( 정보보안사고통보) 연구원은 [ 별표 3] 의정보보안사고가발생할경우즉시피해 확산방지조치를취하고, 제51조제1항의규정에따른조치와사고내용등에대하여 신속하게국무조정실장에게보고하여야한다. 제5절보안성검토및보안적합성검증 제53 조( 보안성검토) 연구원은정보통신망의신 증설등에대하여보안대책을강구하고 적절성확인을위하여사업계획단계에서( 사업공고전) 국무조정실장을경유하여국가 정보원장에게보안성검토를의뢰하여야한다. 국가정보원장또는국무조정실장은하 전협의를통해정보시스템단순교체등사안이경미하다고판단하는경우에는보안 성검토를생략할수있다. 제54 조( 보안성검토신청) 1연구원은다음각호의정보화사업을추진할경우에대하여 자체보안대책을강구하고안전성을확인하기위하여사업계획단계( 사업공고전) 에서 국무조정실장을경유하여국가정보원장에게보안성검토를의뢰하여야한다. 1. 비밀등중요자료의생산, 등록, 보관, 사용, 유통및재분류, 이관, 파기등비밀업 무와관련된정보시스템및네트워크구축 2. 국가용보안시스템과사용암호모듈 정보보호시스템을도입운용하고자할경우 3. 국방 외교등국가안보상중요한정보통신망및정보시스템의구축 4. 대규모정보시스템또는다량의개인정보를처리하는정보시스템구축
5. 전력 교통등국민생활과밀접한정보통신기반시설의중요제어시스템구축 6. 내부정보통신망을인터넷이나타기관전산망등외부망과연동하는경우 7. 업무망과연결되는무선네트워크시스템구축 8. 와이브로 스마트폰등첨단 IT기술을업무에활용하는시스템구축 9. 원격근무시스템구축 10. 업무망과인터넷분리사업 11. 그밖에연구원의보안성검토가필요하다고판단하는정보화사업 2제1항및제2 항의보안성검토대상정보화사업에관련된구체적인사항은 [ 별표 4] 보안성검토대상사업기준을참조한다. 3연구원은제1항에명시된보안성검토대상사업의경우에도국무조정실장의승인을 받아보안성검토를생략할수있다. 4제1항제2 호에명시된국가용보안시스템과암호모듈 정보보호시스템자체에대한 검증은 국가정보보안기본지침 제70 조, 제105조및 국무조정실및국무총리비 서실정보보안기본지침 제75조부터제80 조까지등에따른다. 제55 조( 보안성검토절차) 1연구원은정보통신망보안성검토를의뢰하는업무절차는다 음과같다. 1. 연구원은자체적으로수립한보안대책에대하여자체보안심사위원회심사를거친 후보안성검토를요청하여야한다. 2. 연구원은국무조정실을경유하여국가정보원에보안성검토를요청하여야한다. 2제54조에서명시된사안을제외한경미한사업을추진할경우에는국무조정실에서 보안성검토를수행한다. 제56 조( 제출문서) 1연구원은정보통신망보안성검토를요청할경우에는다음각호의 문서를제출하여야한다. 1. 사업계획서( 사업목적및추진계획포함) 2. 기술제안요청서(RFP) 3. 정보통신망구성도(IP 주소체계포함) 4. 자체보안대책강구사항 2제1항제4 호의자체보안대책강구사항에는다음각호를포함하여야한다. 1. 보안관리수행체계( 조직, 인원) 등관리적보안대책 2. 정보시스템설치장소에대한보안관리방안등물리적보안대책 3. 국가용보안시스템및국가정보원장이개발하거나안전성을검증한암호모듈 정 보보호시스템도입운용계획 4. 국가기관간망연동시해당기관간보안관리협의사항 5. 서버, 휴대용저장매체, 네트워크등정보통신망의요소별기술적보안대책 6. 재난복구계획또는상시운용계획 제57 조( 결과조치) 연구원은보안성검토결과를준수하여보안대책을강구하여야한다. 제58 조( 보안적합성검증) 연구원은국가용보안시스템을제외한정보보호시스템, 네트워
538 제 편 문서, 정보자료, 보안 크장비등보안기능이있는정보통신제품을도입할경우안전성확인을위하여국무 조정실장에게보안적합성검증을의뢰하여야한다. 제59 조( 정보보호시스템의도입등) 1연구원은정보및정보통신망등을보호하기위하여 정보보호시스템, 네트워크장비등보안기능이있는정보통신제품을도입할수있다. 다만, [ 별표 2] 에규정된유형의시스템에대해서는해당도입요건을만족하는경우로 한정한다. 2제1 항의정보보호시스템에중요자료저장 소통을위한암호기능이포함될경우아 래와같은알고리즘및보호함수가포함된검증필암호모듈을탑재하여야하며구체적 인사항은국가정보원장이별도로정한바에따른다. 제60 조( 보안적합성검증대상및신청) 1연구원은제59조에따라정보보호시스템도입할 경우운용전에자체점검을실시하고, 국무조정실장에게그결과를제출하여야한다. 2 보안적합성검증대상은다음각호와같다. 1. 상용정보보호시스템 2. 각급기관의장이자체개발하거나외부업체등에의뢰하여개발한정보보호시스템 3. 저장매체소자장비혹은완전삭제소프트웨어제품 4. 네트워크장비(L3 이상스위치라우터등) 및보안기능이있는 L2스위치 5. 디지털복합기 6. 제53조의보안성검토결과세부검증이필요하다고판단된보안기능이있는정보 시스템및제어시스템등 제61 조( 제출문서) 1보안적합성검증신청에필요한제출문서는다음각호와같다. 1. 상용정보보호시스템 가. < 별지제5 호> 의정보보호시스템도입확인서 1부 나. 정보보호제품국가 공공기관도입 운용가이드 의공통보안기능및운용점 검항목각 1 부. 다. 정보보호제품국가 공공기관도입 운용가이드 의제품별보안기능및운용 점검항목각 1 부( 국내CC 제품도입시는제출생략). 라. CC 인증서사본( 해당되는경우) 2. 네트워크장비 가. < 별지제6 호> 의네트워크도입확인서 1부 나. 네트워크장비검증 운용가이드 의별첨네트워크장비보안기능요구사항 점검표 1부 다. CC 인증서사본( 해당되는경우) 3. 디지털복합기 가. < 별지제5 호> 의정보보호시스템도입확인서 1부 나. CC 인증서사본( 해당되는경우) 다. 디지털복합기보안기능및도입운용점검사항각 1 부( 제출생략) 4. 자체개발하거나외부업체등에의뢰하여개발한시스템 가. < 별지제5 호> 의정보보호시스템도입확인서 1부
나. < 별지제7 호> 의보안적합성검증신청서 1부 다. 기술제안요청서사본 1부 라. 상세설계서 1부 마. 개발완료보고서 1부 바. 사용설명서 1부 2 보안적합성검증과관련된세부사항은 정보보호제품국가 공공기관도입 운용가 이드, 네트워크장비검증 운용가이드 를따른다. 제62 조( 사후관리) 연구원은보안적합성검증완료이후시스템에새로운취약점이발견될 경우에는즉시제거한후그결과를국무조정실장에게통보하고제거가불가능할경우 에는그사실을국무조정실장에게통보하여조치를받아야한다. 제63 조( 무단변경및오용금지) 연구원은보안적합성검증이완료된시스템의형상을무단 변경하거나도입목적이외의용도로운영하여서는아니된다. 제4장보칙 제64 조( 다른법령과의관계) 이지침에명시되지않은사항은국가정보보안기본지침및 국무조정실 국무총리비서실정보보안기본지침을준용한다. 부 칙 1( 시행일) 이내규는원장의승인을받은날(2017.11.15.) 부터시행한다. 2( 다른규정폐지) 이내규시행일부터 USB메모리등보조기억매체보안관리규칙 을 폐지한다.
540 제 편 문서, 정보자료, 보안 [ 별표 1] 통신보안위규사항 조구분항세부내용 1 2 3 4 4 5 6 7 불온통신에관한사항 군사상기밀의누설 외교상기밀의누설 국가정보활동에관한사항누설 국가정보활동에관한사항누설 국가용보안시스템에관한사항 비인가통신시설및통신제원사용에관한사항 허가목적외방법으로사용하는경우 (1) (2) (3) (4) (5) (1) (2) (3) (4) (5) (6) (7) (8) (1) (2) (3) (4) (1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (1) (2) (3) (4) (5) (6) (7) (8) (1) (2) (3) (4) (5) (1) (2) (3) 북한통신소와의불법교신국내침투간첩과의교신적성국( 또는반국가단체 ) 통신소와의불법교신북한및적성국과인터넷을통한불법교신그밖의반국가적인불온통신군사전략, 작전계획및진행사항군편제 임무 시설및기타부대현황병력( 군 경 예비군 ) 현황및이동상황경찰및특수기관의장비( 작전 정보 수사용) 현황과집행사항특수기관 군사시설의위치및이동상황군사장비의구성 성능및발명개량연구사항군사장비 ( 군수품등) 생산및공급사항그밖에국가방위에영향을초래하는사항국가외교방침, 기본계획및재외공관에발하는훈령공개할수없는외교조약또는협약특수임무를수행하는해외주재원의활동 ( 계획 지시 보고) 및신원정보에관한사항그밖의국가외교에영향을초래하는사항대공업무와관련된사항정보( 첩보) 수집활동에관한사항간첩또는대공용의자발견과수사활동정보및특수수사기관의기구또는임무기능에관련된사항국가원수및기타요인의비공개행사불명선박의발견및처리중요물자수송활동테러 마약 밀수및국제범죄조직에관련된정보 수사활동적또는경쟁국에유리한과학기술및산업에관한정보그밖에국가안보및공안유지에불리한영향을초래하는사항국가용보안시스템의연구개발 제작에관한사항누설암호전문을허위로조립하여송신암호를부정한목적에사용하였을때암호문과평문의혼용및이중사용암호문작성시동일난수를 2회이상반복사용사용기간이경과된보안자재를계속사용암호문에평문을삽입하여송신그밖에국가용보안시스템보호체계를손상시킬우려가있는사항누설비인가된무선시설과설치운용비인가된무선시설과교신비인가된호출부호및주파수사용비인가된전파형식사용지정출력의초과사용허가목적업무와관련이없는통신군통신망에서군사업무와관련이없는통신그밖에사회질서를해하는통신
[ 별표 2] 정보보호시스템유형별도입요건 제품유형 도입요건 비고 침입차단시스템 CC 인증(EAL2 이상) 침입탐지시스템 CC 인증(EAL2 이상) 침입방지시스템 CC 인증(EAL2 이상) 통합보안관리제품 CC 인증(EAL2 이상) 웹응용프로그램침입차단제품 CC 인증(EAL2 이상) DDoS대응장비 CC 인증(EAL2 이상) 가상사설망 CC 인증(EAL2 이상) * 검증필암호모듈탑재필요 서버접근통제제품 CC 인증(EAL2 이상) DB 접근통제제품 CC 인증(EAL2 이상) 네트워크접근통제제품 CC 인증(EAL2 이상) 인터넷전화보안제품 CC 인증(EAL2 이상) 무선침입방지시스템 CC 인증(EAL2 이상) 무선랜인증제품 CC 인증(EAL2 이상) 스팸메일차단제품 CC 인증(EAL2 이상) 네트워크자료유출방지제품 CC 인증(EAL2 이상) * 암호화저장기능이존재하는경호스트자료유출방지제품 CC 인증(EAL2 이상) 우검증필암호모듈탑재필요 안티바이러스제품 CC 인증(EAL2 이상) PC 침입차단제품 CC 인증(EAL2 이상) 패치관리시스템 CC 인증(EAL2 이상) 소프트웨어보안 USB 제품 CC 인증(EAL2 이상) * 검증필암호모듈탑재필요 매체제어제품 CC 인증(EAL2 이상) PC가상화제품 CC 인증(EAL2 이상) 서버기반가상화제품 CC 인증(EAL2 이상) 망간자료전송제품 CC 인증(EAL2 이상) 스마트카드 CC 인증(EAL4 이상) 복합기( 완전삭제모듈탑재) CC 인증(EAL2 이상) 소스코드보안약점분석도구 CC 인증(EAL2 이상) * 14.1.1부의무화 스마트폰보안관리재품 CC 인증(EAL2 이상) * 14.1.1부의무화 메일암호화제품 구간암호화제품 PKI 제품 SSO 제품디스크 파일암호화제품문서암호화제품(DRM 등) 키보드암호화제품하드웨어보안토큰 DB 암호화제품기타암호화제품 해당사항없음 검증필암호모듈탑재필수
542 제 편 문서, 정보자료, 보안 [ 별표 3] 정보보안사고유형 조구분항세부내용 1 전자정보 ( 전자문서및 전자기록물 ) (1) (2) (3) (4) 비밀의유출 주전산기( 주요서버등) 대용량전자기록(DB) 손괴 전자정보의위조 변조 훼손및유출 PC 등단말기內비밀의평문보관및유통 (1) 정보통신망에대한해킹 악성코드의유포 (2) 비밀이저장된 PC, 휴대용저장매체등분실 2 정보시스템및 정보통신실 (3) (4) (5) 정보시스템및정보통신실파괴 고의적인중요정보시스템기능장애및정지 상용메일등을통한비밀등중요자료무단소통 (6) 비밀등중요자료의무단반출 (7) 정보통신기기를통한비밀등중요자료무당소통 3 암호장비 (1) (2) (3) (4) (5) (6) 암호장비분실및피탈 암호장비파손및임의파기 암호장비복제 복사 비인가암호장비사용 암호장비비닉체계특성및제원노출 암호장비키운용체계노출 4 보안자재 (1) (2) (3) (4) 암호 음어 약호자재의분실및누설 암호 음어 약호자재의파손및임의파기 암호 음어 약호자재의임의제작사용 세부암호체계노출
[ 별표 4] 보안성검토대상정보화사업 1. 국가정보원보안성검토대상 가. 비밀 국가안보 정부정책과관련되는사업 ㅇ비밀등국가기밀의유통 관리와관련된정보시스템구축 ㅇ외교 국방등국가안보상중요한정보통신망구축 ㅇ재난대비등국가위기관리와관련된정보통신망구축 ㅇ에너지 교통 수자원등국가기반시설의전자제어시스템구축 ㅇ외국정부 기관간정보통신망구축 ㅇ정상회의등국제행사를위한정보통신망구축 ㅇ정부정책을지원하는정보통신망구축 나. 대규모예산투입과다량의 DB자료를처리하는사업 ㅇ대규모정보시스템구축(10 억이상) 정보화사업 ㅇ다량의개인정보(100 만명이상) 를처리하는정보시스템구축 ㅇ지리 환경정보등국가차원의통합DB 구축 다. 외부기관간망연동등보안상취약사업 ㅇ다수기관이공동활용하기위한정보시스템구축및망연동 ㅇ내부전산망또는폐쇄망을인터넷이나타기관의전산망등다른정보통신망과연 동하는경우 ㅇ원격근무지원시스템구축 라. 보안정책과제및최신 IT기술적용 ㅇ업무망 인터넷분리정보화사업 ㅇ업무망 인터넷간자료교환시스템구축 ㅇ보안관제센터( 보안관제시스템) 구축 ㅇ업무망과연결되는무선네트워크시스템구축 ㅇ스마트폰등첨단 2. 국무조정실보안성검토대상 가. 기존정형화된정보화사업 ㅇ홈페이지구축 개선등웹시스템구축 IT기술을업무에활용하는시스템구축 ㅇ민원 기자실등외부인용무선랜구축및무선랜공유기설치 ㅇ민원 기자실내외부인용인터넷PC 및교육장내 PC 설치 ㅇ인사관리 복지관리시스템구축과같이인터넷등다른정보통신망과연결되지않은 단순내부직원전용정보시스템구축 ㅇ주요기반시설취약점분석 평가, 정보보안컨설팅등용역사업 나. 단일기능의정보시스템구축 ㅇ회의용영상통화시스템등원격화상회의시스템구축 ㅇ주 정차단속및하천감시용등 CCTV시스템구축
544 제 편 문서, 정보자료, 보안 ㅇ백업시스템구축 ㅇ대민콜센터시스템구축 ㅇ인터넷전화시스템구축 다. 정보보호제품및전산 통신장비도입 교체 ㅇ침입차단 탐지시스템 가상사설망(VPN) USB 관리시스템등정보보호제품도입(1 식) 교체 (2 식이상) ㅇ스위치 라우터등네트워크장비및서버등전산장비도입(1 식) 교체(2 식이상) 라. 기타국가정보원에서기작성 배포한보안지침으로자체보안대책강구가가능한정 보화사업 ㅇ연구원수탁과제산출물이기관내에설치 운영될경우는국무조정실에보안성검토 를의뢰하여야함 3. 자체( 연구원) 보안성검토대상 가. 반복 정형화된정보화사업 ㅇ정보시스템 네트워크장비등시스템유지보수사업 ㅇ단말기위탁유지보수사업 나. 경미한정보화사업 ㅇ홈페이지디자인등일부기능개선사업 ㅇ내부업무시스템의단순기능추가(2 건이하) 등경미한개선사업 다. 정보보호제품및저산 통신장비단순도입 교체 ㅇ침입차단 탐지시스템 가상사설망(VPN) USB 관리시스템등정보보호제품교체(1 식) ㅇ스위치 라우터등네트워크장비및서버등전산장비교체(1 식) ㅇ전화 무전기및교환기등통신장비도입 교체 라. 기타보안지침으로자체보안대책강구가가능한정보화사업
< 별지제1 호> 정보시스템관리대장 연번 소속 취급자 ( 성명) 종류 ( 서버 PC 등) 관리번호도입일자비고
546 제 편 문서, 정보자료, 보안 < 별지제2 호> 정보보안담당자 정보보안담당관 PC 보안일시해제승인요청서 한국조세재정연구원정보보안업무내규 에따라개인자료등반출을위해 PC 보안일시해제를요청하오니승인하여주시기바라며, 다음사항을준수할것을서약합니다. 1. 유출또는손상되는경우업무수행에장애를초래하거나개인신상에영향을줄수 있는전자정보는반출하지않겠습니다. 2. 공공기관의정보공개에관한법률 제9 조( 비공개대상정보) 제1항의각호와관련된 자료는반출하지않겠습니다. 3. 고의또는과실로인하여관련법규및내규에위배되는사례가발생할경우어떠한 처벌도감수하겠습니다. 목적대상일자 0000.00.00 ~ 00.00 대상 일반 USB 기타 ( ) 년월일 부서 : 사용자 : ( 인)
< 별지제3 호> 보안서약서(VPN 사용자) 본인은 VPN 을통한한국조세재정연구원( 이하 연구원) 의내부정보시스템이용 시해당되는모든업무에대하여연구원의정보보안통제및정책을따르며다음 사항을준수할것을서약합니다. 1. VPN SW 및 VPN 접속아이디/ 비밀번호는타인에게양도하지않는다. 2. VPN 을사용한업무시승인되지않은업무에대한접근을시도하지않는다. 3. VPN 사용목적에따른업무수행전후를불문하고 VPN을사용하여득할수있는일체 의내부정보, 개인정보, 시스템및네트워크정보, 산출물, 각종문서등연구원의정보 자산은절대외부에노출하지않는다. 4. 연구원의정보자산에대한허가되지않은접근, 정보의누설이나공개등이이루어진 경우, 연구원의내규에따라책임을지며이로인해기관의유형또는무형의손해가 발생한경우상기본인은이에대한손해배상책임을진다. 사용목적 수행업무 년월일 서약자부서 : 성명 : ( 서명)
548 제 편 문서, 정보자료, 보안 < 별지제4 호> VPN 사용신청서 접속시간( 소요시간) 사용자( 소속/ 성명) ID 정보시스템( 업무) 명 수행업무 특이사항
< 별지제5 호> 정보보호시스템도입확인서 기관명 담당자 관계중앙행정기관 담당자전화번호 사업명 보안성검토 기관명 관계중앙행정기관 도입제품명 제조사제품유형 CC 인증번호 등급 평가기관 암호모듈명 암호검증번호 비고
550 제 편 문서, 정보자료, 보안 < 별지제6 호> 네트워크장비도입확인서 기관명 담당자 관계중앙행정기관 담당자전화번호 사업명 보안성검토 기관명 관계중앙 행정기관 도입 제품명 제조사제품유형 CC 인증 번호 펌웨어부트롬비고펌웨어해시값
< 별지제7 호> 보안적합성검증신청서 신청 기관 기관명도입목적사업명보안성검토 운용부서기관담당자기관담당자전화번호 유지보수보안적합성검증결과반영여부( 반영하여개선, 반영불가 ) 업체명 주소 대표자 전화번호 CC 인증번호 제품명 * 신청제품이 2 種이상인경우, 신청서추가작성 암호검증번호용역개발여부 예 아니오 신청 제품 제품종류도입수량 방화벽, L3 스위치, 라우터등 OO 대 펌웨어 파일명 해시값 네트워크장비의경우기재네트워크장비의경우기재 평가기간 인증기 관 보증등급 업체실무 전화번호휴대폰번호 담당자 E-mail 암호모듈 없음 있음( 검증 미검증)
552 제 편 문서, 정보자료, 보안 < 별지제8 호> 휴대용저장매체관리대장( 일반용) < 관리책임자 : > 연번 관리번호 (S/N) 매체형태등록일자취급자불용처리일자 불용처리방법 ( 재사용용도) 비고 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
< 별지제9 호> 휴대용저장매체관리대장( 비밀용) < 관리책임자 : > 연번 관리번호 (S/N) 등급매체형태등록일자취급자불용처리 일자 불용처리방법 ( 재사용용도) 비고 ( 사유) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20