기상청정보보안기본지침 제정 2011. 6. 23 기상청훈령제694호일부개정 2013. 5. 28 기상청훈령제749호일부개정 2014. 9. 11 기상청훈령제789호 제1장총칙제1조 ( 목적 ) 이지침은 국가정보보안기본지침 에따라기상청정보보안업무수행을위하여필요한사항을규정하는데목적이있다. 제2조 ( 적용범위 ) 이지침은기상청본청 ( 이하 본청 이라한다 ) 및소속기관과산하공공기관에적용한다. 제3조 ( 정의 ) 이지침에서사용하는용어의정의는다음과같다. 1. 사용자 란기상청의정보통신망, 정보시스템에대한접근또는사용허가를받은공무원등을말한다. 2. 정보통신망 이란 전기통신기본법 제2조제2호의규정에따른전기통신설비를활용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송수신하는정보통신체제를말한다. 3. 인터넷서비스망 ( 이하 인터넷망 이라한다 ) 이란네트워크중에서인터넷을사용할수있도록연결되어있는인터넷전용망을말한다. 4. 업무전산망 ( 이하 업무망 이라한다 ) 이란네트워크중에서내부업무를수행할수있도록연결되어있는전산망을말한다. 5. 정보시스템 이란 PC 서버등단말기, 보조기억매체, 전산 통신장치, 정보통신기기, 응용프로그램등정보의수집 가공 저장 검색
송수신에필요한하드웨어및소프트웨어일체를말한다. 6. 시스템관리자 란정보시스템을운영 관리하는공무원을말한다. 7. 휴대용저장매체 란디스켓 CD 외장형하드디스크 USB메모리등정보를저장할수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 8. 정보보안 또는 정보보호 란정보시스템및정보통신망을통해수집 가공 저장 검색 송수신되는정보의유출, 위 변조, 훼손등을방지하기위하여관리적 물리적 기술적수단을강구하는일체의행위로서국가사이버안전관리규정제2조제3호의사이버안전을포함한다. 9. 전자문서 란컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송수신또는저장되는정보를말한다. 10. 전자기록물 이란정보처리능력을가진장치에의하여전자적인형태로송수신또는저장되는기록정보자료를말한다. 11. 전자정보 란업무와관련하여취급하는전자문서및전자기록물을말한다. 12. 정보통신실 이란 PC 서버등과스위치 교환기 라우터등네트워크장비등이설치 운용되는장소를말하며, 전산실, 통신실, 전자정보 ( 전자문서및전자기록물 ) 보관실등을말한다. 13. 국가용보안시스템 이란비밀등중요자료를보호하기위하여국가정보원장이개발하거나안전성을검증한암호장비 보안자재 암호논리등을말한다. 14. 정보보호시스템 이란정보의수집 저장 검색 송수신시정보의유출, 위 변조, 훼손등을방지하기위한하드웨어및소프트웨어를말한다.
15. 사이버공격 이란해킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스방해 등전자적수단에의하여정보통신망을불법침입 교란 마비 파괴하 거나정보를절취 훼손하는공격행위를말한다. 제 2 장정보보안임무및역할 제4조 ( 정보보안목표 ) 기상청정보보안의목표는각종전자적수단에의한국가안보및국가이익과관련된정보의기밀성 무결성 가용성을확보하고기상청정보통신망및정보시스템을보호하는데있다. 제5조 ( 지휘체계및책임 ) 1 기상청장은본청및소속기관의정보보안업무전반에관한사항을지휘한다. 2 기획조정관 국장 관리관및국립기상연구소장 지방기상청장 국가기상위성센터장 기상레이더센터장 항공기상청장은소관정보보안업무의지휘 감독에관한책임을진다. 3 본청및소속기관의각부서 ( 기상대급이하기관을포함한다, 이하 각부서 라한다 ) 의장은소관정보보안업무의수행에관한책임을진다. 제6조 ( 정보보안담당관운영 ) 1 국가정보보안기본지침 제5조에따라정보통신기술과장을정보보안담당관으로한다. 2 정보보안담당관은정보보안업무를원활히수행하기위하여분임정보보안담당관을둘수있으며, 분임정보보안담당관은본청각부서의장및소속기관정보화업무를담당하는부서의장이된다. 3 정보보안담당관은본청및소속기관의정보보안업무를총괄하고, 분임정보보안담당관은소관각부서의정보보안업무를총괄하며정보보안
담당관의업무를보조한다. 4 정보보안담당관이임면된경우에는 7일이내에소속 직책 직급 성명 연락처 ( 전자우편주소포함 ) 등을국가정보원장에게통보한다. 5 정보보안담당관의기본활동은다음각호와같다. 1. 정보보안정책및기본계획수립 시행 2. 정보보안관련규정 지침등제 개정 3. 정보보안업무의지도 감독, 정보보안감사및심사분석 4. 정보통신실, 정보통신망및정보자료등의보안관리 5. 정보보안관리실태평가 6. 사이버공격초동조치및대응 7. 사이버위협정보수집 분석, 보안관제 8. 정보보안예산및전문인력확보 9. 정보보안사고조사결과처리 10. 정보보안교육및정보협력 11. 도청위해요소측정 제거 12. 정보통신망보안대책의수립 시행 13. 사이버안전센터운영에관한사항 14. 정보보호시스템의운용및보안관리 15. 그밖에정보보안관련사항 6 분임정보보안담당관의기본활동은다음각호와같다. 1. 소관정보보안업무의지도 감독 2. 소관정보통신실, 정보통신망및정보자료등의보안관리 3. 소관정보시스템사이버공격초동조치및대응 4. 소관정보보안교육
5. 소관정보시스템운용및보안관리 6. 그밖에정보보안담당관으로부터위임받은사항제7조 ( 안전측정 ) 1 정보보안담당관은홈페이지등기상청정보통신망을대상으로매년보안취약성점검계획을수립, 시행하여야한다. 2 각부서의장은정보통신망취약성점검결과에따라개선조치를이행하고, 그결과를정보보안담당관에게제출하여야한다. 제8조 ( 정보보안감사 ) 1 정보보안담당관은연 1회이상자체정보보안감사를실시하여야하며그중일부를분임정보보안담당관에게위임할수있다. 2 정보보안감사의대상은다음각호와같다. 1. 본청및소속기관 2. 산하공공기관 3 정보보안담당관은정보보안감사의효율적수행을위하여국가정보원장에게감사방향, 감사중점사항, 감사관지원등의업무협조를요청할수있다. 제9조 ( 정보보안교육 ) 1 정보보안담당관은자체정보보안교육계획을수립하여연 1회이상전직원을대상으로관련교육을실시하여야하며, 그중일부를분임정보보안담당관에게위임할수있다. 2 정보보안담당관은정보보안관련전문기관교육및기술세미나참석을장려하는등정보보안담당자의업무전문성을제고하기위하여노력하여야한다. 제10조 ( 정보보안사고상황전파및조사 ) 1 정보보안담당관은사이버공격과관련한정보를확인한경우에는전화 팩스 이메일등통신수단을활용하여지체없이그사실을국가안보실장및국가정보원장에게통보하여야한다.
2 제1항에따라통보해야할경우는다음각호와같다. 1. 대규모사이버공격발생시 2. 사이버공격으로인하여피해가발생하거나피해발생이예상되는경우 3. 사이버공격이확산될우려가있는경우 4. 그밖에사이버공격계획등사이버안전에위협을초래할수있는정보를입수한경우 3 각부서의장은별표의정보보안사고가발생한경우즉시피해확산방지를위한조치를취하고다음각호의사항을정보보안담당관에게통보하여야한다. 이경우사고원인을규명할때까지피해시스템에대한증거를보전하고임의로관련자료를삭제하거나포맷하여서는아니된다. 1. 일시및장소 2. 사고원인, 피해현황등개요 3. 사고자및관계자의인적사항 4. 조치내용등 4 정보보안담당관은제3항에따른사고조사를실시하고그결과를국가정보원장에게통보해야하며, 조사결과피해가심각하다고판단되는경우에는국가정보원장에게합동조사및복구지원팀을요청할수있다. 5 정보보안담당관은사고조사결과에따라재발방지를위한보안대책의수립 시행, 관련자징계등필요한조치를할수있으며, 제3항의피해시스템을운영하는각부서의장은정보보안담당관이제시한보안대책을이행하여야한다. 제 3 장정보보안관리
제11조 ( 시스템보안책임범위 ) 1 각부서의장은필요한정보시스템을도입 사용할경우, 해당시스템관리자를지정하여운용하여야한다. 2 사용자는개인PC 등소관정보시스템의사용및본인계정에의한정보통신망접속과관련된보안책임을진다. 3 시스템관리자는서버 네트워크장비등부서공통으로사용하는정보시스템의운용과관련된보안책임을진다. 4 제1항부터제3항까지와관련하여정보시스템을실제운용하는부서의장이정보시스템의 관리책임자 가되며, 관리책임자는정보시스템관리대장 ( 별지서식 ) 을수기또는전자적으로운용 관리하여야한다. 5 관리책임자는정보시스템관리대장에정보시스템의변경최종현황을유지하여야하며정보보안담당관요구시이를제출하여야한다. 6 정보보안담당관은제1항부터제5항까지에따른정보시스템운용과관련하여보안취약점을발견하거나보안대책강구가필요하다고판단할경우, 사용자 시스템관리자및관리책임자에게시정을요구할수있다. 제12조 ( 정보통신시설보안 ) 기상청의중요정보통신시설및장소는 기상청보안업무규정시행세칙 제39조에따른보호구역으로지정및관리되어야하고, 보호구역에맞는보안대책이강구되어야한다. 제13조 ( 보안성검토 ) 1 각부서의장은정보통신망의신 증설등에대한보안대책의강구및적절성확인을위하여관련사업의계획단계 ( 사업공고전 ) 에서정보보안담당관에게보안성검토를의뢰하여야한다. 정보보안담당관은사안이경미하다고판단하는경우에는국가정보원장과협의후보안성검토를생략할수있다. 2 보안성검토의대상 절차 제출자료목록, 보안대책에포함해야할
사항등보안성검토에대한구체적인내용은 국가정보보안기본지침 제109 조부터제113 조까지의규정을준용한다. 제14조 ( 보안적합성검증 ) 1 각부서의장은국가용보안시스템을제외한정보보호시스템및네트워크장비등보안기능이있는정보통신제품을도입할경우, 안전성확인을위하여정보보안담당관을경유하여국가정보원장에게보안적합성검증을의뢰하여야한다. 2 보안적합성검증에대한구체적인내용은 국가정보보안기본지침 제116 조부터제120 조까지의규정을준용한다. 제15조 ( 전자정보보안조치 ) 1 각부서의장은정보통신망을통하여보관 유통되는전자정보의보안을위하여다음각호의사항을이행하여야한다. 1. 제6조제6항에따른정보보안기본활동 2. 제15 조부터제31 조까지에따른전자정보보안대책 3. 국가용보안시스템의사용 4. 정보보호시스템의도입 운용 5. 정보통신망보안대책의수립 시행 6. 국가정보원장이발행한지침 매뉴얼및각종권고사항 7. 그밖에전자정보보안을위하여필요하다고인정되는보안대책 2 정보보안담당관은제1항제5호에따른정보통신망보안대책의수립 시행에필요한별도의지침 매뉴얼을작성 배포할수있다. 제16조 (PC 등단말기보안관리 ) 1 단말기사용자는 PC 노트북 스마트폰등단말기 ( 이하 PC 등 이라한다 ) 사용과관련된일체의보안관리책임을진다. 2 정보보안담당관은비인가자가 PC 등을무단으로조작하여전산자료
를절취, 위 변조및훼손시키지못하도록다음각호의보안대책을단말기사용자에게지원하며, 사용자는이를준수하여야한다. 1. 장비 (CMOS 비밀번호 ) 자료 ( 문서자료암호화비밀번호 ) 사용자 ( 로그온비밀번호 ) 별비밀번호의주기적변경사용 2. 10분이상 PC 등의작업중단시비밀번호등이적용된화면보호조치 3. PC용최신백신 침입차단시스템등을운용하고운영체제 (OS) 및응용프로그램 ( 아래아한글, MS Office, Acrobat 등 ) 의최신보안패치유지 4. 업무상불필요한응용프로그램의설치금지및공유폴더의삭제 5. 그밖에정보보안담당관이안전성을확인하여배포한프로그램의운용및보안권고문 3 사용자는 PC 등을교체 반납 폐기하거나고장으로외부에수리를의뢰하고자할경우에는관리책임자와협의하여하드디스크에수록된자료가유출, 훼손되지않도록보안조치를실시하여야한다. 4 관리책임자는사용자가 PC 등을기관외부로반출하거나내부로반입할경우에최신백신등을활용하여해킹프로그램감염여부를점검하여야한다. 5 개인소유의 PC 등을무단반입하여사용하여서는아니된다. 다만, 부득이한경우에는관리책임자의승인을받아사용할수있다. 제17조 ( 인터넷PC 보안관리 ) 1 정보보안담당관은비인가자가인터넷과연결된 PC( 이하 인터넷PC 라한다 ) 를무단으로조작하여전산자료를절취, 위 변조및훼손시키지못하도록다음각호의보안대책을사용자에게지원하며, 사용자는이를준수하여야한다.
1. 메신저 P2P 웹하드등업무에무관하거나 Active-X 등보안에취약한프로그램및비인가프로그램 장치의설치금지 2. 특별한사유가없는한문서프로그램은읽기전용으로운용 3. 음란 도박 증권등업무와무관한사이트접근금지 2 사용자는인터넷PC에서무단으로업무자료의작성 저장및소통을금지하고최신백신을활용하여주기적으로점검하여야한다. 3 정보보안담당관은인터넷PC에서업무자료의저장을금지하기위한기술적ㆍ관리적방안을강구하여야한다. 4 그밖에인터넷PC의보안관리와관련한사항에대해서는제16조 (PC 등단말기보안관리 ) 의규정에따른다. 제18조 ( 서버보안관리 ) 1 서버관리자는서버를도입 운용할경우, 정보보안담당관과협의하여해킹을통한자료절취, 위 변조등에대비한보안대책을수립 시행하여야한다. 2 서버관리자는업무 자료별중요도에따라서버내저장자료에대한사용자의접근권한을차등부여하여야한다. 3 서버관리자는사용자별자료의접근범위를서버에등록하여인가여부를식별하도록하고인가된범위이외에자료접근을통제하여야한다. 4 서버관리자는서버의운용에필요한서비스포트외에불필요한서비스포트를제거하고관리용서비스와사용자용서비스를분리하여운용하여야한다. 5 서버관리자는서버의관리용서비스접속시특정 IP와 MAC 주소가부여된관리용단말을지정하여운용하여야한다. 6 서버관리자는데이터베이스에대하여사용자의직접적인접속을차
단하고개인정보등의중요정보를암호화하는등데이터베이스별보안조치를실시하여야한다. 7 정보보안담당관은제1항부터제6항까지에서수립한보안대책의적절성을수시확인하되, 연 1회이상보안도구를이용하여서버설정정보및저장자료의절취, 위 변조가능성등보안취약점을점검한다. 제19조 ( 웹서버등공개서버보안관리 ) 1 서버관리자는외부인에게공개할목적으로설치되는웹서버등공개서버를업무망과분리된영역 (DMZ) 에설치 운용하여야한다. 2 정보보안담당관은비인가자의서버저장자료절취, 위 변조및분산서비스거부 (DDoS) 공격등에대비하기위하여국가정보원장이안전성을검증한침입차단 탐지시스템및 DDoS 공격대응시스템을설치하는등보안대책을강구하여야한다. 3 서버관리자는비인가자의공개서버내의비공개정보에대한무단접근을방지하기위하여서버접근사용자를제한하고불필요한계정을삭제하여야한다. 4 공개서버의서비스에필요한프로그램을개발하고시험하기위하여사용된도구 ( 컴파일러등 ) 는개발완료후삭제를원칙으로한다. 5 그밖에공개서버의보안관리와관련한사항에대해서는제18조 ( 서버보안관리 ) 의규정에따른다. 제20조 ( 홈페이지게시자료보안관리 ) 1 정보보안담당관은개인정보를포함한중요업무자료가홈페이지에무단게시되지않도록홈페이지게시자료의범위 방법등을명시한기상청홈페이지정보보안지침을수립시행하여야한다. 2 사용자는개인정보, 비공개공문서및민감내용등이포함된자료를
홈페이지에공개하여서는아니된다. 3 홈페이지에정보를게시하고자하는각부서의장은사전에정보보안담당관과협의하여비밀등비공개자료가게시되지않도록하여야한다. 다만, 기존에게시한자료내용중단순한수치를변경하는등의경미한사항에대하여는예외로한다. 4 사용자는인터넷블로그 카페 게시판 개인홈페이지또는소셜네트워크서비스등일반에공개된전산망에업무관련자료를무단게재하여서는아니된다. 5 분임정보보안담당관은소관홈페이지등에비공개내용이게시되었는지여부를주기적으로확인하고개인정보를포함한비공개자료가홈페이지에공개되지않도록보안교육을주기적으로실시하여야한다. 6 정보보안담당관은홈페이지에중요정보가공개된것을인지할경우이를즉시차단하는등의보안조치를강구하여야한다. 제21조 ( 사용자계정관리 ) 1 시스템관리자는사용자에게정보시스템접속에필요한사용자계정 (ID) 부여시비인가자도용및정보통신시스템불법접속에대비하여다음각호의사항을반영하여야한다. 1. 사용자별또는그룹별로접근권한부여 2. 외부인에대한계정부여는불허하되업무상불가피할때에는관리책임자책임하에필요업무에한해특정기간동안의접속을허가하는등보안조치강구후허용 3. 비밀번호등사용자식별및인증수단이없는사용자계정사용금지 2 시스템관리자는사용자가 5회이상에걸쳐로그인실패시정보시스템접속을중단시키도록시스템을설정하고비인가자의침입여부를확인 점검하여야한다.
3 시스템관리자는직원의퇴직또는보직변경발생시사용하지않는사용자계정을신속히삭제하고, 특별한사안이없는한유지보수등을위한외부업체직원에게관리자계정제공을금지하여야한다. 제22조 ( 비밀번호관리 ) 1 사용자는비밀번호설정시정보시스템의무단사용방지를위하여다음각호와같이구분하여사용하여야한다. 1. 비인가자의정보통신시스템접근방지를위한장비접근용비밀번호 (1차) 2. 정보시스템사용자가서버등정보통신망에접속인가된인원인지의여부를확인하는사용자인증비밀번호 (2차) 3. 문서에대한열람 수정및출력등사용권한을제한할수있는자료별비밀번호 (3차) 2 비밀이나중요자료에는자료별비밀번호를반드시부여하되, 공개또는열람자료에대해서는부여하지아니할수있다. 3 비밀번호는다음각호의사항을반영하여숫자와영문자, 특수문자등을혼합하여 9자리이상으로정하고, 분기별로 1회이상주기적으로변경 사용하여야한다. 1. 사용자계정과동일하지않을것 2. 개인신상및부서명칭등과관계가없을것 3. 일반사전에등록된단어는사용을피할것 4. 동일단어또는숫자를반복하여사용하지말것 5. 사용된비밀번호는재사용하지말것 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능을사용하지말것 4 서버에등록된비밀번호는암호화하여저장하여야한다. 제23조 ( 업무망보안관리 ) 1 각부서의장은업무자료를소통하기위한전
산망구축시인터넷과분리하도록망을설계하여야한다. 이경우다음각호의보안대책을강구하여사업계획단계 ( 사업공고전 ) 에서정보보안담당관을경유하여국가정보원장에게보안성검토를의뢰하여야한다. 1. 비인가자의업무망 인터넷침입차단대책 ( 침입차단 탐지시스템등 ) 2. 비인가장비의업무망접속차단대책 ( 네트워크관리시스템등 ) 3. 업무PC의인터넷접속차단대책 4. 업무망과인터넷간안전한자료전송대책 ( 국가 공공기관업무망과인터넷간안전한자료전송보안가이드라인 ) 참조 ) 2 정보보안담당관은정보시스템에부여되는 IP주소 를체계적으로관리하여야하고, 비인가자로부터업무망을보호하기위하여사설주소체계 (NAT) 를적용하여야한다. 또한, IP별로정보시스템접속을통제하여비인가정보통신기기나 PC 등을이용한업무망내의정보시스템접속을차단하여야한다. 3 각부서의장은업무망을다른기관의망및인터넷과연동하고자할경우에는보안관리책임한계를설정하고망연동에따른보안대책을마련하여야하며, 정보보안담당관을경유하여국가정보원장에게보안성검토를의뢰하여야한다. 4 정보보안담당관은제3항의규정에따라비인가자의망침입을방지하기위하여안전성이검증된침입차단 탐지시스템을운용하는등보안대책을강구하여야한다. 5 정보보안담당관은업무망을인터넷과연동하고자할때에는효율적인보안관리를위하여연결지점을최소화하여운용하여야한다. 6 업무망과인터넷망간의자료교환은망간자료전송시스템을사용하여야하고전송로그는 6개월이상, 원본파일은 3개월이상유지하여야한다.
7 정보보안담당관은전송실패기록을점검하여악성코드유입여부등을주기적으로확인조치하여야한다. 8 보안담당자는망간자료전송시스템로그등사용현황을정기적으로점검하여보안사고에대비하여야한다. 제24조 ( 네트워크장비보안관리 ) 1 시스템관리자는라우터, 스위치등네트워크장비운용과관련하여다음각호의보안조치를강구해야한다. 1. 네트워크장비에대한원격접속은원칙적으로금지하되, 불가피할경우장비관리용목적으로내부특정 IP MAC 주소에서의접속은허용 2. 물리적으로안전한장소에설치하여비인가자의무단접속통제 3. FTP 등불필요한서비스포트및사용자계정차단ㆍ삭제 4. 네트워크장비등신규전산장비도입시생성되는기본 (default) 계정을삭제또는변경하고시스템운영을위한관리자계정별도생성 5. 펌웨어무결성및소프트웨어ㆍ서버운영체제취약점과최신업데이트여부를주기적으로확인하여항상최신버전으로유지 2 시스템관리자는비인가자의침투여부를주기적으로점검하여야한다. 제25조 ( 전자우편보안대책 ) 1 사용자는상용전자우편을이용한업무자료송수신을금지하고기관전자우편으로송수신한업무자료는활용후메일함에서즉시삭제하여야한다. 2 사용자는메일에포함된첨부파일이자동으로실행되지않도록설정하고첨부파일다운로드시반드시최신백신으로악성코드은닉여부를검사하여야한다. 3 사용자는출처가불분명하거나의심되는제목의전자우편은열람을금지하고해킹메일로의심되는메일을수신한경우에는즉시정보보안
담당관을경유하여통합보안관제정보공유시스템또는국가사이버안전센터 (cert@ncsc.go.kr) 에신고하여야한다. 4 사용자는전자우편을사용하는 PC에대하여제16조 (PC등단말기보안관리 ) 에규정된보안조치사항을따라야한다. 제26조 ( 휴대용저장매체보안대책 ) 휴대용저장매체보안대책은국가정보원의 USB메모리등휴대용저장매체보안관리지침 을따른다. 제27조 ( 악성코드감염방지대책 ) 1 정보보안담당관은웜 바이러스, 해킹프로그램, 스파이웨어등악성코드감염을방지하기위하여다음각호의사항을고려한방지대책을수립 시행하여야한다. 1. 사용자는개인PC에서작성하는문서 데이터베이스작성기등응용프로그램을보안패치하고백신은최신상태로업데이트및상시감시상태로설정하며주기적인점검을실시하여야한다. 2. 사용자는출처, 유통경로및제작자가명확하지않은응용프로그램은사용하지말아야하며인터넷등상용망으로자료를입수하고자할때에는신뢰할수있는인터넷사이트를활용하되최신백신으로진단후사용하여야한다. 3. 사용자는인터넷파일공유프로그램과메신저 대화방프로그램등업무상불필요한프로그램은사용하지말아야하고시스템관리자는인터넷연동구간의침입차단시스템등에서관련사이트접속을차단하도록보안설정하여야한다. 4. 사용자는웹브라우저를통해서명되지않은 (Unsigned) Active-X 등이 PC 내에불법다운로드되어실행되지않도록보안설정하여야한다. 5. 제1호부터제4호까지의보안대책과관련하여시스템관리자는정보보안담당관과협조하여사용자가적용할수있는보안기술을지원하여야
한다. 2 시스템관리자또는 PC 등의사용자는시스템에악성코드가설치되거나감염된사실을발견하였을경우악성코드의감염원인규명등을위하여사용을중지하고전산망과분리후감염확산방지를위하여정보보안담당관에게관련사실을즉시통보하여야한다. 3 정보보안담당관은악성코드가신종이거나감염피해가심각하다고판단할경우에는관련사항을국가정보원장에게신속히통보하여야한다. 제28조 ( 접근기록관리 ) 1 시스템관리자는정보시스템의효율적인통제 관리와사고발생시추적등을위하여사용자의정보시스템접근기록을유지 관리하여야한다. 2 제1항의접근기록에는다음각호의내용이포함되어야한다. 1. 접속자, 정보시스템 응용프로그램등접속대상 2. 로그온 오프, 파일열람 출력등작업종류, 작업시간 3. 접속성공 실패등작업결과 4. 전자우편사용등외부발송정보등 3 시스템관리자는접근기록을분석한결과, 비인기자의접속시도, 정보의위 변조및무단삭제등의심스러운활동이나위반혐의가발생한사실을발견한경우정보보안담당관에게즉시보고하여야한다. 4 접근기록은정보보안사고발생시확인등을위하여최소 6개월이상보관하여야하며접근기록의위 변조및외부유출방지대책을강구하여야한다. 제29조 ( 정보시스템개발보안 ) 1 각부서의장은정보시스템을자체적으로개발하고자하는경우, 다음각호의사항을고려하여보안대책을수립하고정보보안담당관의승인을받아야한다.
1. 독립된개발시설을확보하고비인가자의접근통제 2. 개발시스템과운영시스템의물리적분리 3. 소스코드관리및소프트웨어보안관리 2 각부서의장은외부용역업체와계약하여정보시스템을개발하고자하는경우, 다음각호의사항을고려하여보안대책을수립하고정보보안담당관의승인을받아야한다. 1. 외부인력대상신원확인, 보안서약서징구, 보안교육및점검 2. 외부인력의보안준수사항확인및위반시배상책임의내용을계약서에명시 3. 외부인력의정보시스템접근권한및제공자료보안대책 4. 외부인력의의한장비반출 반입및자료무단반출여부확인 5. 제1항제1호부터제3호까지의사항 3 정보보안담당관은제1항및제2항에따른보안대책의적절성을수시로점검하고정보시스템개발을완료한경우에는정보보안요구사항을충족하는지의여부를알기위해정보보안취약성점검등을수행할수있다. 제30조 ( 정보시스템유지보수 ) 1 각부서의장은정보시스템의유지보수절차및문서화수립시다음각호의사항을고려한보안대책을포함하여야한다. 1. 유지보수인력에대해보안서약서집행, 보안교육등을포함한유지보수인가절차를마련하고인가된인력만유지보수에참여한다. 2. 의심되거나발생한결함, 예방및유지보수에대한기록을보관한다. 3. 유지보수를위하여원래설치장소외의다른장소로정보시스템이이동될경우, 통제수단을강구한다.
4. 정보시스템의유지보수시에는일시, 담당자인적사항, 출입통제조치, 정비내용등을기록 유지하여야한다. 2 시스템관리자는자체유지보수절차에따라정기적으로정보시스템정비를실시하고관련기록을보관하여야한다. 3 시스템관리자는유지보수인력등이유지보수와관련된장비 도구등을반출 반입할경우악성코드감염및자료무단반출여부를확인하는등보안조치를실시하여야한다. 4 시스템관리자는외부에서원격으로정보시스템을유지보수하는것을원칙적으로금지하여야하며부득이한경우에는정보보안담당관과협의하여자체보안대책을강구한후한시적으로허용할수있다. 제31조 ( 전자정보저장매체불용처리 ) 1 사용자및시스템관리자가하드디스크등전자정보저장매체를불용처리 ( 교체 반납 양여 폐기등 ) 하고자할경우에는정보보안담당관이배포한데이터소거프로그램을이용하여자료를삭제하고그기록을보관하여야한다. 2 데이터소거프로그램을이용하지못할경우에는반드시물리적으로하드디스크를사용하지못하도록파기하여야한다. 제32조 (CCTV 시스템보안관리 ) 1 CCTV 운용에필요한카메라, 중계 관제서버, 관리용PC 등관련시스템은비인가자의임의조작이물리적으로불가능하도록설치되어야한다. 2 CCTV 상황실은보호구역으로지정및관리하고출입통제장치를도입하여야한다. 3 시스템관리자는 CCTV 카메라, 비디오 관제서버등관련전산망설치시업무망및인터넷망과분리하여운영하는것을원칙으로한다. 다만, 부득이하게인터넷망을이용할경우에는전송내용을암호화하여야
한다. 4 CCTV 시스템일체는사용자계정 비밀번호등의시스템인증대책과허용된특정 IP에서만접속을허용하는등비인가자의침입통제대책을강구하여야한다. 5 CCTV 시스템의보안관리에관련된구체적인사항은국가정보원의 CCTV 시스템보안관리방안 을따른다. 제33조 ( 정보통신망자료보안관리 ) 1 각부서의장은다음각호에해당하는정보통신망관련현황 자료관리에유의하여야한다. 1. 정보시스템운용현황 2. 정보통신망구성현황 3. IP 할당현황 4. 주요정보화사업추진현황 2 각부서의장은다음각호의자료를대외비에준하여관리하여야한다. 다만, 국가안보와직결되는중요한정보통신망관련세부자료는해당등급의비밀로분류하여관리하여야한다. 1. 정보통신망세부구성현황 (IP 세부할당현황포함 ) 2. 국가용보안시스템운용현황 3. 보안취약점분석 평가결과물 4. 그밖에보호할필요가있는정보통신망관련자료 3 제2항에명시되지않은정보통신망관련대외비및비밀의분류는국가정보원장이제정한 비밀세부분류지침 ( 대외비 ) 을따른다. 제34조 ( 용역사업보안관리 ) 1 각부서의장은정보화 정보보호사업및보안컨설팅수행등을외부용역으로추진할경우사업책임자로하여금다음각호의사항을포함한보안대책을수립 시행하도록하여야한다.
1. 용역사업계약시계약서에참가직원의보안준수사항과위반시손해배상책임등을명시 2. 용역사업수행과관련된보안교육 점검및용역기간중참여인력의임의교체금지 3. 정보통신망도, IP 현황등용역업체에제공할자료는자료인계인수대장을비치하여보안조치후인계 인수하고무단복사및외부반출금지 4. 사업종료시외부업체에노트북, 휴대용저장매체등을통해비공개자료가유출되는것을방지하기위하여복구가불가능하도록완전삭제 5. 용역업체로부터용역결과물을전량회수하고비인가자에게제공 열람금지 6. 용역업체의노트북등관련장비를반출 반입할때마다악성코드감염및자료무단반출여부를확인 7. 그밖의각부서의장및소속기관의장이보안관리가필요하다고판단하는사항이나국가정보원장이보안조치를권고하는사항 2 각부서의장은용역사업추진시과업지시서 입찰공고 계약서에다음각호의누출금지대상정보를명시해야하며해당정보누출시 국가를당사자로하는계약에관한법률시행령 제76조제 1항제18 호에따라사업책임자를부정당업자로등록하여입찰참가자격을제한하여야한다. 1. 기관소유정보시스템의내 외부 IP주소현황 2. 세부정보시스템구성현황및정보통신망구성도 3. 사용자계정 비밀번호등정보시스템접근권한정보
4. 정보통신망취약점분석 평가결과물 5. 정보화용역사업결과물및관련프로그램소스코드 ( 유출시안보 국익에피해가우려되는중요용역사업에해당 ) 6. 국가용보안시스템및정보보호시스템도입현황 7. 침입차단시스템 방지시스템 (IPS) 등정보보호제품및라우터, 스위치등네트워크장비설정정보 8. 공공기관의정보공개에관한법률 제9조제1항에따라비공개대상정보로분류된기관의내부문서 9. 개인정보보호법 제2조제1호의개인정보 10. 보안업무규정 제4조에따른비밀및동시행규칙제7조제3항에따른대외비 11. 그밖에각부서의장이공개가불가하다고판단한자료 3 각부서의장은비밀관련용역사업을수행할경우, 외부인원에대한신원조사 비밀취급인가 보안교육등보안조치를수행하여야한다. 4 그밖의사항에대하여는국가정보원의 외부용역업체보안관리방안 을참조한다. 제35조 ( 원격근무보안관리 ) 1 정보보안담당관은재택 파견 이동근무등원격근무를지원하기위한정보시스템을도입 운영할경우보안대책을수립하고국가정보원장의보안성검토를거쳐시행하여야한다. 2 정보보안담당관은원격근무가능업무및공개 비공개업무선정기준을수립하여야하며, 대외비이상비밀자료를취급하는업무는원격근무대상에서원칙적으로제외하되반드시수행해야하는경우보안대책강구후국가정보원장과협의하여수행여부를결정한다. 3 정보보안담당관은모든원격근무자에게보안서약서를징구하고원격
근무자의업무변경 인사이동 퇴직등상황발생시정보시스템접근권한재설정등관련절차를수립하여야한다. 4 원격근무자는원격근무시해킹을통한업무자료유출을방지하기위하여작업수행전최신백신으로원격근무용 PC 점검 업무자료저장금지등보안조치를수행하여야한다. 5 정보보안담당관은원격근무자의보안대책불이행또는원격업무활용도가낮다고판단되는경우회수등의조치를취할수있다. 제36조 ( 그밖의보안관리 ) 1 각부서의장은다음각호와관련된업무를수행하고자할때에는반드시사전에정보보안담당관과협의하여야하며 국가정보보안기본지침 을준용하여야한다. 1. 무선 위성 국제 남북 비상등과관련된다양한통신및기기보안관리 2. 주요정보통신기반시설등의보안대책 3. 국가용보안시스템 4. 안정성을위한보안성검토 5. 정보보호시스템보안적합성검증 2 각부서의장은다음각호와관련된업무를수행하고자할때에는 국가정보보안기본지침 에따른각각의보안가이드라인을준수하여야한다. 1. 영상회의시스템구축 2. 스마트폰등모바일행정업무구축 3. 클라우드시스템구축 제 4 장보안관제
제37조 ( 보안관제센터운영및정보공유 ) 1 기상분야사이버안전을위하여기상청사이버안전센터를운영한다. 2 보안관제업무는하루 24시간중단없이수행하여야하며사이버안전센터운영에필요한전담공무원을배치한다. 3 사이버공격정보의신속한수집및전파를위하여국가사이버안전센터등과비상연락체계및협력체계를구축한다. 4 각부서의장은사이버안전센터의효율적운영을위하여정보시스템을최신으로유지하고정보보안담당관요구시정보시스템현황을제출하여야하며, 보안관제에서사이버위협정보전달시이에적극협조하여야한다. 5 사이버안전센터에서수집 탐지한사이버공격정보의공유및자체개발한탐지규칙을적용할경우에는통합보안관제정보공유시스템을통해공유하여야한다. 제38조 ( 보안관제용역업체선정및관리 ) 1 정보보안담당관은미래창조과학부장관이지정하는보안관제전문업체중에서 보안관제용역업체업무수행능력평가기준 등을참고하여보안관제용역업체를선정한다. 2 보안관제용역업체선정을위해작성한각종문서는평가가끝난후에도공개할수없으며 3년간보존하여야한다. 다만관계법규에따라정보공개를요청받은경우에는그러하지아니할수있다. 3 정보보안담당관은보안관제용역업체직원을대상으로매월 1회이상정기또는수시로탐지규칙관리등보안교육및보안점검을실시하여야한다. 제39조 ( 탐지규칙관리 ) 1 정보보안담당관은국가정보원장이제공한탐지
규칙 ( 이하 탐지규칙 ) 전담관리자를지정ㆍ운영하고, 다음각호의조치를이행하여야한다. 1. 대외비에준하여탐지규칙관리 2. 보안관제시스템외부로탐지규칙유출금지 3. 탐지규칙관리시스템원격접근금지 4. 인터넷등외부공개된경우즉시국가사이버안전센터로신고 2 정보보안담당관은탐지규칙보안관리를강화하기위하여자체 보안관제탐지규칙보안관리지침 을마련하여시행하여야한다. 제 5 장보칙 제40조 ( 다른법령과의관계 ) 이지침에명시되지않은사항은다음각호의법규에따른다. 1. 국가정보원법 2. 정보및보안업무기획 조정규정 3. 보안업무규정 및같은시행규칙 4. 전자정부법 및같은법시행령 5. 정보통신기반보호법 및같은법시행령 6. 공공기록물관리에관한법률시행령 7. 국가사이버안전관리규정 ( 대통령훈령 ) 8. 국가위기관리기본지침 ( 대통령훈령, 대외비 ) 9. 국가정보보안기술연구개발지침 ( 대외비 ) 10. 국가사이버안전매뉴얼 및 사이버분야위기관리표준매뉴얼 11. 전자정부암호이용기반시스템운용및관리지침
12. 국가 공공기관암호사용기준 ( 대외비 ) 13. 비밀의전자적처리규격 14. 정보통신기기암호기술적용지침 15. 국가정보보안기본지침 16. 그밖의관계법규 부칙 이지침은발령한날로부터시행한다.
[ 별표 ] 정보보안사고유형 조구분항세부내용 1 전자정보 ( 전자문서및 전자기록물 ) (1) (2) (3) (4) 비밀의유출주전산기 ( 주요서버등 ) 대용량전자기록 (DB) 손괴전자정보의위조 변조 훼손및유출 PC 등단말기내비밀의평문보관및유통 (1) 정보통신망에대한해킹 악성코드의유포 (2) 비밀이저장된 PC, 휴대용저장매체등분실 2 정보시스템및 정보통신실 (3) (4) (5) 중요정보시스템및정보통신실파괴고의적인중요정보시스템기능장애및정지상용메일등을통한비밀등중요자료무단소통 (6) 비밀등중요자료의무단반출 (7) 정보통신기기를통한비밀등중요자료무단소통 3 암호장비 (1) (2) (3) (4) (5) (6) 암호장비분실및피탈암호장비파손및임의파기암호장비복제 복사비인가암호장비사용암호장비비닉체계특성및재원노출암호장비키운용체계노출 4 보안자재 (1) (2) (3) (4) 암호 은어 약호자재의분실및누설암호 은어 약호자재의파손및임의파기암호 은어 약호자재의임의제작사용세부암호체계노출
[ 별지서식 ] 정보시스템관리대장 연번 소속 취급자 ( 성명 ) 종류 (PC 서버등 ) 관리번호도입일자비고 정보시스템사용환경에따라양식변경가능