<C1A6C1D6C6AFBAB0C0DAC4A1B5B5BAB828C1A6323932C8A3292E687770>

Similar documents

안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정] 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규

암호내지

- 2 -

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

한국노인인력개발원 규정집(2015ver11).hwp

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

SBR-100S User Manual

좀비PC

CD 2117(121130)

회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제

CR hwp

*2008년1월호진짜

개인정보처리방침_성동청소년수련관.hwp

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

ActFax 4.31 Local Privilege Escalation Exploit


PowerPoint 프레젠테이션

소식지수정본-1

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

USC HIPAA AUTHORIZATION FOR

H3250_Wi-Fi_E.book

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Microsoft PowerPoint - chap01-C언어개요.pptx

¾Æµ¿ÇÐ´ë º»¹®.hwp

Windows 8에서 BioStar 1 설치하기

<BBE7BEF7C1D6B9D7C0E5BED6C0CEB5EEBFA1C0B6C0DAC1F6BFF8B1D4C1A4B0EDBDC328BEC8295B325D5FC7D1B1B9C0E5C3D12E687770>

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

ad hwp


804NW±¹¹®

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

41호-소비자문제연구(최종추가수정0507).hwp

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

동양미래대학교규정집제 8 편정보보안 8-0-8~2 에임의로접근하지않아야한다 타인의패스워드를무단변경하여업무수행을방해하지않는다 업무상취득한본대학의정보또는제 자소유의 관련자료를승인없이누설하지않아야한다 본대학에서비밀로관리하는정보자산은부서별보안담당관의승인없이외부로유출하지않아야한

춤추는시민을기록하다_최종본 웹용

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>


아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Microsoft Word - src.doc

untitled

내지(교사용) 4-6부


저장할수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 8. 저장매체 라함은자기저장장치 광저장장치 반도체저장장치등자료기록이가능한전자장치를말한다. 9. 소자 ( 消磁 ) 라함은저장매체에역자기장을이용해매체의자화값을 0 으로만들어저장자료의복원이불가능하게만드는것을말

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

스마트 교육을 위한 학교 유무선 인프라 구축

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

2016년 신호등 3월호 내지A.indd

게시판 스팸 실시간 차단 시스템

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

2 Journal of Disaster Prevention

Xcovery 사용설명서

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

RHEV 2.2 인증서 만료 확인 및 갱신

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

04 Çмú_±â¼ú±â»ç

CNVZNGWAIYSE.hwp

나하나로 5호

SIGIL 완벽입문

동양미래대학교규정집제 8 편정보보안 8-0-2~2 등을말한다 저장매체라함은자기저장장치광저장장치반도체저장장치보조기억장치 등 등자료기록이가능한전자장치를말한다 보조기억매체라함은디스켓 하드디스크 메모리등자료를저장할수있는것으로정보시스템과분리할수있는기억장치를말한다 정보보안 또는

View Licenses and Services (customer)

2. 서울특별시 성동구 응급의료 제공에 관한 조례안 및 심사보고서.hwp

8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

슬라이드 1

한국의 양심적 병역거부

01¸é¼öÁ¤

( 단위 : 가수, %) 응답수,,-,,-,,-,,-,, 만원이상 무응답 평균 ( 만원 ) 자녀상태 < 유 자 녀 > 미 취 학 초 등 학 생 중 학 생 고 등 학 생 대 학 생 대 학 원 생 군 복 무 직 장 인 무 직 < 무 자 녀 >,,.,.,.,.,.,.,.,.

특허청구의 범위 청구항 1 고유한 USB-ID를 가지며, 강제 포맷이나 프로그램 삭제가 불가능한 CD영역과 데이터의 읽기, 쓰기가 가능한 일 반영역으로 분할되어 있고 상기 CD영역에 임산부 도우미 프로그램이 임산부 PC(200)에 연결되면 자동 설치 및 실행되게 탑재된

온습도 판넬미터(JTH-05) 사양서V1.0

1. 주요시설의출입구에신원확인이가능한출입통제장치를설치할것 2. 집적정보통신시설을출입하는자의신원등출입기록을유지 보관할것 3. 주요시설출입구와전산실및통신장비실내부에 CCTV를설치할것 4. 고객의정보시스템장비를잠금장치가있는구조물에설치할것 2 사업자는제1항에따른보호조치를효율적


2016년 신호등 4월호 내지A.indd

Microsoft PowerPoint - 6.pptx

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

Çʸ§-¾÷¹«Æí¶÷.hwp.hwp

따라 대상 구역에서 본 서비스를 무료로 이용할 수 있다. 이용자가 본 서비스를 이용할 경우, 본 규약에 동의한 것으로 간주한다. 2. 이용할 수 있는 구체적인 시간 및 횟수는 이용 시 이용자 인증 화면 또는 대상 점포 등에서 제시한다. 3. 이용자는 본 서비스 및 대상

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

2020 나주도시기본계획 일부변경 보고서(2009).hwp

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

해설서-앞(웹사이트개발운영을위한개인정보안내서)

5th-KOR-SANGFOR NGAF(CC)

150205(00)(1~3).indd

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

슬라이드 1

ThinkVantage Fingerprint Software


1. 제대혈 및 제대혈제제의 고유번호 2. 폐기 사유 3. 폐기 날짜 제6조(제대혈 채취 및 검사의 위탁) 1 제대혈은행은 법 제14조에 따라 제대혈 채 과 전문의가 상근( 常 勤 )하는 의료기관에 위탁할 수 있다. 2 제대혈은행은 법 제14조에 따라 제대혈의 검사를


CC hwp

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

ºñÁ¤±Ô±Ù·ÎÀÇ ½ÇÅÂ¿Í °úÁ¦.hwp


Transcription:

- 세계가 찾는 제주, 세계로 가는 제주 - 제주특별자치도 도 보 제292호 2011. 7. 27(수) 도보는 공문서로서의 효력을 갖는다. 기 관 의 장 선 결 목 차 예 규 제주특별자치도예규 제39호 제주특별자치도 정보보호관리체계(G-ISMS) 운영 지침 3 입법예고 제주특별자치도공고 제2011-653호 제주특별자치도 도로의 점용허가 및 도로표지에 관한 조례 시행규칙 일부개정규칙안 입법예고 47 제주특별자치도공고 제2011-656호 제주특별자치도설문대여성문화센터 설치 및 운영 조례 일부개정조례안 입법예고 48 제주특별자치도공고 제2011-660호 제주특별자치도 전통상업보존구역 지정및 대규모점포등록 등 득록제한조례 일부개정 조례안 입법예고 51 입법예고 전문을 보고 싶으신 분은 홈페이지(www.jeju.go.kr) 입법/고시/공고란을 참고하시기 바랍니다. 고 시 제주특별자치도고시 제2011-71호 판타스틱 트릭아트뮤지엄조성사업 제주투자진흥지구 지정 고시 53 제주특별자치도고시 제2011-72호 비관리청항만공사(한림수협 수산물 위판장 신축)시행허가 및 실시계획 승인 71 제주특별자치도고시 제2011-73호 성읍지구 다목적농촌용수개발사업 지형도면 고시 72 제주특별자치도고시 제2011-74호 함덕지구 다목적농촌용수개발사업 지형도면 고시 78 제주특별자치도고시 제2011-75호 옹포지구 다목적농촌용수개발사업 지형도면 고시 87 공 고 제주특별자치도공고 제2011-640호 지방어항(사계항) 정비계획 공사 입찰공고(게재생략) 제주특별자치도공고 제2011-641호 정보통신공사업 행정처분 공고 99 제주특별자치도공고 제2011-642호 중소기업기술개발제품 국내전시(박람)회 참가지원사업 공고(게재생략) 제주특별자치도공고 제2011-643호 제주특별자치도 미술장식심의 결과 공고(게재생략) 제주특별자치도공고 제2011-644호 성읍 무형문화재 전수교육관 방범 CCTV 설치에 따른 횅정예고 99 회 람 발행 편집 공보관실 (064)710-2034 제주시 문연로 6(연동 312-1)

공 고 제주특별자치도공고 제2011-645호 국산화 풍력발전 보급사업(토목공사) 폐기물처리용역(게재생략) 제주특별자치도공고 제2011-646호 사단법인 설립 공고 100 제주특별자치도공고 제2011-647호 정보통신공사업 신규등록 공고 100 제주특별자치도공고 제2011-648호 제주평대리 비자나무숲 보호사업 입찰공고(게재생략) 제주특별자치도공고 제2011-649호 국산화 풍력발전 보급사업 토목공사 입찰공고(게재생략) 제주특별자치도공고 제2011-650호 국산화 풍력발전 보급사업 송수전설비 공사 입찰공고(게재생략) 제주특별자치도공고 제2011-651호 국산화 풍력발전 보급사업 통신설비공사 입찰공고(게재생략) 제주특별자치도공고 제2011-652호 3차 제주형 예비사회적기업지정 및 일자리창출사업공모 101 제주특별자치도공고 제2011-654호 성산일출봉 화장실 신축 전기공사 견적안내 공고(게재생략) 제주특별자치도공고 제2011-655호 성산일출봉 화장실 신축공사 입찰공고(게재생략) 제주특별자치도공고 제2011-657호 동물위생시험소 가금전염병 검사센터 신축 전기공사 입찰공고(게재생략) 제주특별자치도공고 제2011-658호 동물위생시험소 가금전염병 검사센터 신축공사 입찰공고(게재생략) 제주특별자치도공고 제2011-659호 제주시연동 차없는거리 조형물(시계탑)및 야외무대 제안설치 공모 당선작 확정 공고 (게재생략) 제주특별자치도공고 제2011-661호 제주시 읍면지역 하수관거정비 임대형민자사업(BTL)전면책임 감리용역 입찰공고 (게재생략) 제주특별자치도공고 제2011-662호 해안도로 도두봉 주변 배수관 확장공사 입찰공고(게재생략) 제주특별자치도공고 제2011-663호 제주수산물 지리적표시 권리화사업 변리업무대행(게재생략) 제주특별자치도공고 제2011-664호 제주특별자치도 제주의료원장 임용후보 공개모집 공고(게재생략) 제주특별자치도공고 제2011-665호 제주특별자치도 CCTV통합관제센터 구축에 따른 행정예고(게재생략) 제 주 시 제주시고시 제2011-64호 개발사업시행계획승인 고시 104 제주시고시 제2011-65호 개간사업시행계획승인 고시 106 제주시고시 제2011-68호 제주도시계획시설사업 실시계획 인가 106 제주시공고 제2011-1083호 건설업 등록사항 신고수리 공고 111 제주시공고 제2011-1084호 전문건설업 등록 공고 111 제주시공고 제2011-1089호 건설업 등록사항 신고수리 공고 111 제주시공고 제2011-1091호 건설업 행정처분 공시송달 공고 112 제주시공고 제2011-1099호 건설업 등록 공고 112 제주시공고 제2011-1100호 전문건설업 등록사항 신고수리 공고 113 제주시공고 제2011-1102호 건설업 폐업신고에 의한 등록말소 공고 113 아라동공고 제2011-32호 담배소매업 폐업 및 지정신청에 관한 공고 114 외도동공고 제2011-14호 담배소매업 폐업 및 지정신청에 관한 공고 114 서귀포시 서귀포시고시 제2011-46호 도시계획시설사업 실시계획(변경) 인가 고시 115 서귀포시고시 제2011-47호 도시계획시설사업 실시계획 작성 고시 116

제주특별자치도 정보보호관리체계 운영 지침을 다음과 같이 발령한다. 제주특별자치도지사 우 근 민 2011년 7월 20일 제주특별자치도예규 제39호 제주특별자치도 정보보호관리체계(G-ISMS) 운영 지침 제1장 총 칙 제1조(목적) 이 지침은 제주특별자치도의 정보보호관리체계의 운영관리를 위하여 정보보호를 위 한 세부적인 사항을 규정하여 정보보호관리체계의 인증을 유지하고 정보자산을 효과적으로 보호 함을 목적으로 한다. 제2조(용어의 정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다. 1. 정보시스템 이란 정보서비스 제공을 위한 서버, 응용시스템, 네트워크, 정보보호시스템, 개인 용 컴퓨터(이하 PC 라 한다), 보조기억매체, 프린터, 및 그 밖의 지원 장비를 말한다. 2. 정보보호관리체계(G-ISMS) 란 정보자산을 효과적으로 보호 관리하고 정보의 기밀성, 무결 성, 가용성을 실현하기 위하여 수립 운영하고 있는 기술적 물리적 보호조치를 포함한 종합적 관리체계를 말한다. 3. 내부심사 란 정보보호 관련 규정과 정보보호관리체계 지침 시행지침의 준수 여부를 확인하 고, 개선사항을 제시하며 이행을 권고하는 활동을 말한다. 4. 침해사고 란 해킹, 컴퓨터 바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태 를 말한다. 5. 정보자산 이란 데이터베이스, 데이터 파일, 정보시스템 관련문서 등 정보시스템에 입력, 처리, 보관, 출력될 수 있는 모든 형태의 정보자료로서 다음 각 목을 말한다. 가. 정보 란 컴퓨터(서버 & PC)에 저장, 처리, 연산되어 있는 기관의 업무와 관련된 전자적 자 산을 말한다. 나. 서버 란 서비스를 제공하기 위해 정보자산 및 소프트웨어가 탑재되어 있는 시스템을 말한다. 다. 소프트웨어(어플리케이션) 란 데이터를 서로 다른 시스템 간에 공유하는 네트워킹 기능을 제공할 수 있는 소프트웨어 자산 또는 컴퓨터 시스템을 문서편집, 정보처리, 계산 등 사용자 가 필요한 특정 분야에 사용하기 위해 작성된 소프트웨어 자산을 말한다. 라. 네트워크 란 서로 다른 시스템 간에 네트워킹 기능을 제공하는 하드웨어 자산(Router, Switch 등)을 말한다. 마. 보안시스템 이란 정보자산을 보호하기 위한 침입차단시스템, 침입방지 시스템 등의 보안시 스템을 말한다. 바. 단말장비 란 업무를 하기 위해 개인들이 사용하는 업무용 PC, 노트북, PDA 등 이동 저장 장치를 말한다. 사. 물리적 시설 이란 업무수행 및 전산장비 보호 등을 위한 물리적 시설 및 장비를 말한다. 6. 제3자 란 제주특별자치도의 직원이 아닌 외부인 또는 계약관계에 있는 조직 및 이에 속하는 직원을 지칭한다. - 3 -

7. 공용 PC 란 업무 등의 목적을 위해 다수의 인원이 공용으로 사용하는 PC(예: 파일서버, 프린 터서버 등)를 말한다. 8. 기밀성(Confidentiality) 이란 정보가 비 인가된 개인, 개체 또는 프로세스들에게 누설되거나 공개되지 않는 특성을 말한다. 9. 무결성(Integrity) 이란 자료가 의도적 또는 비의도적으로 변조, 파괴되지 않는 특성을 말한다. 10. 가용성(Availability) 이란 인가된 개체(entity), 사용자가 정보시스템에 접근하여 정보를 항상 사용할 수 있게 하는 특성을 말한다. 11. 로그(Log) 란 시스템 사용에 관련된 전체의 기록, 입 출력 내용, 프로그램 사용내용, 자료 변경내용, 시작시간, 종료시간 등의 기록정보를 말한다. 12. 인증(Authentication) 이란 제시된 사용자 증명자료의 유효성을 확인하여 사용 가능한 권 한을 부여하는 절차를 말한다. 13. 접근통제(Access control) 란 다른 주체와의 통신 또는 컴퓨터시스템이나 네트워크의 기 능 및 서비스 사용 등에 대한 주체의 권한이나 능력을 제한하는 것을 말한다. 14. 공개용 서버 란 직 간접적으로 외부망과 연결되거나 경로를 제공하는 서버를 말한다. 15. 공개서버구간(DMZ) 이란 불특정 다수에게 일부의 서비스가 개방된 네트워크를 말한다. 16. 개발서버 란 서비스를 운영하지 않고 개발의 용도로만 사용하는 서버를 말한다. 17. 시스템 유틸리티 란 시스템 관리를 위한 소프트웨어를 말한다. 18. 정보보호시스템 이란 침입차단시스템, 침입탐지(방지)시스템을 의미하며, 그 밖에 정보자산 의 보호를 주목적으로 하는 시스템을 말한다. 19. DB(Database) 이란 DBMS 내의 테이블, 뷰, 스토어드 프로시져, 데이터 등의 집합체를 나타내는 구조를 말한다. 20. DBMS(Database Management System) 란 DB를 관리하는 소프트웨어 시스템으로, 다수 의 컴퓨터 사용자들이 DB 안에 데이터를 기록하거나 접근할 수 있도록 해주는 프로그램을 말한다. 21. 응용프로그램 이란 서비스를 목적으로 개발/도입을 통하여 구축한 어플리케이션 프로그램을 말한다. 22. 암호화(Encryption) 란 기밀성을 보장하기 위하여 암호 알고리즘에 의하여 평문을 암호문 으로 바꾸는 과정을 말한다. 23. 암호키(Encryption key) 란 암호학적 변환(즉, 암호화, 복호화, 암호학적 검사 함수 계 산, 서명 계산, 서명 검증 등)의 작동을 조절하는 기호의 열쇠를 말한다. 24. 복호화(Decryption) 란 기밀성을 보장하기 위하여 암호 알고리즘에 의하여 암호화된 암호 문을 다시 평문으로 바꾸는 과정을 말한다. 25. 위협 이란 자산에 해를 줄 수 있는 위험의 원천 또는 잠재적인 공격을 말한다. 26. 취약성 이란 위협에 의해 이용될 수 있는 자산내의 약점을 말한다. 27. 잠재위험 이란 정보자산의 유형 및 속성에 따라 본원적으로 존재하는 위험을 말한다. 28. 노출위험도 란 정보자산에 본원적으로 존재하는 잠재위험에 대응하기 위한 통제의 미흡이나 부재로 인하여, 해당 정보자산에 실제로 존재하는 위험도를 말한다. 29. 보호대책 이란 위험을 감소시키기 위해 수립되는 대책으로서, 향후 기관에서 수행해야 할 대 응방안을 말한다. 30. 위험수용기준(DoA) 이란 식별된 모든 위험에 대해 관리한다는 것은 비경제적이므로, 보호 대책의 적용이 필요하지 않은 최고정도의 위험도 수준을 말한다. 31. 보안감사 증적(Audit Trail) 이란 보안감사를 위한 증거자료를 말한다. 제3조(적용범위) 이 지침은 제주특별자치도 및 소속기관의 모든 직원과 정보시스템을 대상으로 하며, 업무와 관련된 출입자, 방문자, 계약관계에 있는 제3자에게도 적용된다. - 4 -

제2장 정보보호관리체계 운영 제4조(정보보호 조직 및 역할) 1 보안심사위원회( 제주특별자치도 보안업무 규정 운영요강 제5 조에 의한 보안심사위원회를 말한다)의 정보보호관리 체계 유지에 관한 역할은 다음 각 호와 같다. 1. 정보보호관리체계 범위설정 혹은 범위설정 재정의 심의 2. 중대한 정보보호 사고에 대한 심의 3. 정보보호관리체계를 위한 예산 심의 4. 정보보호관리체계 지침에 대한 최종 승인 5. 정보보호관리체계 이행에 필요한 인적, 물적 자원을 지원 2 개인정보보호책임관은 도는 정보화업무 주관부서장, 행정시는 자치행정국장으로 지정하며 역 할은 다음 각 호와 같다. 1. 개인정보보호 계획의 수립 및 관련 업무의 총괄 2. 기관 내 개인정보보호방침 수립 및 이행 3. 개인정보취급자에 대한 교육계획 수립 및 시행 제5조(운영검토) 1 정보통신보안담당관은 정보보호관리체계의 지속적인 효과성을 보장하기 위하 여 연 1회 정보보호관리체계 운영에 대한 검토를 실시한다. 2 정보보호관리체계 운영 검토사항은 다음 각 호와 같다. 1. 정보보호관리체계 내부심사 결과 2. 정보보호 업무계획 및 실적 3. 정보보호시스템 도입에 관한 사항 4. 위험평가 및 조치에 관한 사항 5. 관련기관과의 협의사항 6. 과년도 운영검토 시 조치사항에 관한 사항 등 제6조(기록유지) 1 정보보호관리체계 수립 및 이행에 관련된 문서는 필요한 모든 직원 및 관련 자들이 쉽게 이용할 수 있게 하여야 한다. 2 정보통신보안담당관은 운영지침의 이행에 따른 문서, 대장 등의 모든 기록을 유지하고 체계적 으로 관리한다. 제7조(정보자산 및 위험관리) 1 정보통신보안담당관은 보유자산에 대하여 분류, 등록, 중요도 평가, 보호등급의 부여 등의 정보자산 관리를 수행한다. 2 정보통신보안담당관은 제1항의 정보자산에 대하여 위험분석을 수행한다. 제8조(교육훈련) 1 정보통신보안담당관은 소속 직원이나 외주업체 직원의 보안 사고를 예방하기 위하여 정보보호 교육을 실시한다. 2 정보통신보안담당관은 정보시스템 관리자와 보안업무 담당자의 정보보호 기술습득을 위하여 전 문교육을 실시한다. 제9조(정보보호관리체계의 개선) 1 정보통신보안담당관은 각종 시스템의 모니터링 및 검토 결과를 반 영하여 정보보호계획서를 갱신하고, 정보보호관리체계에 영향을 줄 수 있는 활동 및 사건을 기록한다. 2 정보통신보안담당관은 정보보호 정책과 목적에 맞게 보안 감사, 사건 분석, 시정 및 예방조치, 주기적인 검토 등을 통해 정보보호관리체계를 지속적으로 개선하고 공지한다. 제3장 정보자산 분류 및 관리 제10조(정보자산 식별) 1 각 정보자산에 대한 담당자, 관리자를 지정함으로써 정보자산 보호에 대한 책임성을 확보하고 정보자산에 대한 보안을 지속적으로 유지할 수 있도록 한다. - 5 -

2 정보통신보안담당관은 정보자산을 파악하고 보호되어야 할 정보자산을 식별 관리하여야 한다. 제11조(정보자산 분류) 정보자산의 유형은 아래의 표와 같다. 유형 정보 서버(DBMS) 소프트웨어 (어플리케이션) 네트워크 보안시스템 단말장비 물리적시설 내용 컴퓨터(서버 & PC)에 저장, 처리, 연산되어 있는 기관의 업무와 관련된 전자적 자산 서비스를 제공하기 위해 정보자산 및 S/W가 탑재되어 있는 시스템 데이터를 서로 다른 시스템간에 공유하는 네트워킹 기능을 제공 할 수 있는 소프트웨어 자산 또는 컴퓨터 시스템을 문서편집, 정보처리, 계산 등 사용자가 필요한 특정분야에 사용하기 위해 작성된 소프트웨어 자산 서로 다른 시스템 간에 네트워킹 기능을 제공하는 하드웨어 자산 (Router, Switch 등) 정보자산을 보호하기 위한 침입차단시스템, 침입방지시스템 등의 보안시스템 업무를 하기 위해 개인들의 사용하는 업무용 PC, 노트북, PAD, 이동저장장치 업무수행 및 전산장비 보호 등을 위한 물리적 시설 및 장비 제12조(정보자산 등록) 정보자산 담당자는 정보자산을 새로 도입하거나 생성하는 경우 자산 등록 /변경/폐기 신청서(별지 제1호서식)를 작성하여 정보통신보안담당관의 승인을 얻어, 정보자산 관리대장(별지 제3호서식)에 기록한다. 제13조(정보자산 중요도 평가) 정보자산 중요도는 아래 항의 기밀성, 무결성, 가용성 측면에서 각 정보자산이 보안 위험에 노출되었을 경우 잠재적 손실 규모를 반영하여 측정한다. 1 기밀성 (Confidentiality) : 아래의 표와 같이 정보자산이 적절한 수준의 비밀을 유지하면 서 공개되지 않는 것 가치 산정 기준 안 구분 등급 값 설명 기 밀 성 High 3 Medium 2 Low 1 접근 통제에 따라 이용이 제한되는 민감한 정보, 정보 시스템 및 시스템 자원 업무 필요성에 따라 도청 내에서 사용이 허가되어야 하는 정보, 정보시스템 및 시스템 자원 조직 내 또는 공공이 이용 가능한 민감하지 않은 정보, 공공이 사용 가능해야 하는 정보시스템 및 시스템 자원 2 무결성 (Integrity) : 아래의 표와 같이 정보자산의 고유의 성질이 인가되지 않은 내부 또 는 외부로부터 변경, 변조 또는 삭제되지 않고 정확성과 안전성을 유지하는 것 가치 산정 기준 안 구분 등급 값 설명 무 결 성 High 3 Medium 2 Low 1 정보가 변경되거나 손상되는 경우 복구에 상당한 시간이 소요되고, 업무에 매우 큰 영향을 주며 업무 중단, 재정 적인 피해를 끼침 정보가 변경되거나 손상되는 경우 복구에 시간이 소요되며, 업무에 부분적인 영향을 끼침 정보가 변경되거나 손상되는 경우 복구가 즉시 가능하며, 업무에 주는 영향이 없음 3 가용성 (Availability) : 아래의 표와 같이 서비스가 계속 유지되어 인가된 사용자가 정보 자산을 이용하고자 할 때 해당 정보자산을 이용 하는 것 - 6 -

가치 산정 기준 안 구분 등급 값 설명 매일 95%이상의 시간동안 시스템 및 네트워크와 기타 High 3 가 정보에 정상적인 접근이 가능해야 함. 표준 가동(업무)시간동안 시스템 및 네트워크와 기타 용 Medium 2 정보에 접근이 가능해야 함. 성 표준 가동(업무)시간에 비례하여 50%이상의 시간동안 Low 1 시스템 및 네트워크와 기타 정보에 접근이 가능해야 함. 제14조(정보자산의 등급산정 기준) 정보자산의 등급산정은 아래의 표와 같이 평가된 정보자산의 가치 및 중요도에 따라 정보자산의 가치 등급을 산정한다. 정보자산의 가치 등급(중요도) = 기밀성(C) + 무결성(I) + 가용성(A) 정보자산 가치 값 범위 정보자산의 가치(중요도) 설명 가급 3 8 ~ 9 위험의 노출 시 기관 전반에 중대한 손실이 발생하고 업무 프로세스의 진행이 불가능할 수 있는 정보자산 나급 2 5 ~ 7 위험의 노출 시 심각한 손실 혹은 손해가 발생하고, 업무 프로세스에 약간의 영향을 끼침. 다급 1 3 ~ 4 위험의 노출 시 아주 적은 손실이나 손해가 거의 없는 정보자산 제15조(정보자산의 운용) 1 정보통신보안담당관은 관련 규정에 따라 정보자산이 적절하게 사용 및 운용되고 있는지 관리 감독해야 한다. 2 별도 보관이 필요한 정보자산은 정보자산 중요도 등급이 가급 이상인 경우 잠금장치가 있는 보관함 등에 별도로 관리한다. 제16조(정보자산 분류 및 중요도 평가 주기) 1 정보통신보안담당관은 정보 자산 분류 및 중요도 평가를 연 1회 수행하여야 한다. 2 정보통신보안담당관은 각 정보자산 담당자로 하여금 해당 정보자산의 분류, 중요도의 평가 또는 검토를 요구할 수 있다. 3 정보자산 신규 도입 시 정보자산 식별, 분류, 등록 및 중요도 평가 업무를 즉시 시행한다. 제17조(정보자산의 변경) 1 정보자산 담당자는 정보자산에 변경이 발생하는 경우 자산등록/변경 /폐기 신청서(별지 제1호서식)를 작성하여 정보통신보안담당관의 승인을 얻어, 정보자산 관리대 장(별지 제3호서식)에 기록한다. 2 정보자산 담당자는 정보자산 관리대장(별지 제3호서식)의 기본정보가 변경되는 경우에는, 정 보자산 중요도를 재평가한다. 제18조(정보자산의 폐기) 1 정보자산 담당자는 등록된 정보자산을 폐기하는 경우 자산등록/변경/ 폐기 신청서(별지 제1호서식)를 작성하여 부서장의 승인을 득한 후 정보통신보안담당관에 제출한 다. 2 정보자산 담당자는 PC 등 자료 저장기능이 있는 정보자산을 불용처리 할 때에는 저장자료 복구가 불가능하도록 적절한 조치를 취하고, 정보통신보안담당관에게 보고한다. 제19조(위험분석 원칙) 1 정보통신보안담당관은 정보자산을 도입할 때에는 위험분석을 실시한 다. 2 모든 정보자산에 대한 위험분석은 연 1회 실시하는 것을 원칙으로 한다. 3 정보보호관리체계를 구성하는 환경의 중대한 변화가 발생했을 경우, 정보통신보안담당관의 결정에 따라 위험분석을 실시할 수 있다. - 7 -

4 위험분석 절차 및 기준은 다음 각 호와 같다. 1. G-ISMS 운영 담당자는 관리대상 자산에 존재할 수 있는 위험을 파악하여 위험분석 시트의 위험항목에 반영한다. 2. 잠재위험 : G-ISMS 운영 담당자는 해당 자산이 보유하고 있는 고유한 특성을 고려하여 잠 재위험을 평가한다. 잠재위험 점수 기준 Low 1 취약성을 이용한 위협 발생 가능성이 거의 없는 경우이거나 위협이 발생 하 더라도 효과적인 대책이 있어 그 피해가 경미한 경우 Medium 2 취약성을 이용한 위협 발생 가능성이 있고, 이에 대한 대책이 있음 에도 불 구하고 어느 정도의 피해가 예상되는 경우 High 3 취약성을 이용한 위협 발생 가능성이 크고, 이에 대한 대책이 없거나 또는 적용된 대책이 효과성이 없어, 그 피해가 상당한 경우 3. 위험도 : 위험에 대응하기 위한 통제가 미흡하거나 부재로 인하여 발생할 수 있는 위험으로 다음 수식에 따라 평가한다. 위험도 = 자산 중요도 + 노출위험도 노출위험도 = 2 * (잠재위험 - 잠재위험*보호대책 정도) - 자산중요도 범위 : 1~3(CIA8이상-가, CIA 5이상 8미만-나, CIA 5미만-다) - 잠재위험 범위 : 1~3 - 보호대책 정도 : 0~1 제20조(위험관리) 위험관리 방법은 다음 각 호와 같이 정의한다. 1. 정보자산 관리부서의 장은 위험분석 결과를 바탕으로, 위험수용기준(DoA, Degree Of Assurance, 위험수용기준)에 따라 관리대상 위험을 식별한다. DoA는 6으로 정의한다. 2. 정보자산 관리부서의 장은 위험수용기준(DoA)에 따라 해당 위험을 제거, 수용할 것인지를 결정한다. 3. 정보자산 관리부서의 장은 정보통신보안담당관과 협의하여 위험수용기준(DoA)에 대하여 보 호대책을 선정한다. 4. 정보통신보안담당관은 각 부서의 위험분석 및 단계별 위험관리방안을 참고하여 정보보호 대 책명세서를 작성하여 관리한다. 제4장 내부심사 제21조(내부심사) 1 정보통신보안담당관은 정보보호관리체계에 대한 내부심사 계획을 수립하여 실시한다. 2 내부심사 수행 시 다음 각 호의 사항을 확인한다. 1. 정보보호정책의 업무 요구사항 부합 여부 2. 적절한 위험평가 방법 적용 여부 3. 잔여위험의 적절한 평가 및 수용가능 여부 4. 기술적 통제장치의 적절한 운영 여부 5. 이전 내부감사 수행 시 지적사항에 대한 적용계획의 이행 여부 3 정보통신보안담당관은 내부심사 결과 발견된 취약점 및 부적합 사항에 대해 해당 정보시스템 소관 부서에 조치를 취하도록 권고하며, 그 이행을 감독한다. 제22조(내부심사 수행조직) 1 내부심사는 정보통신보안담당관이 주관하여 실시하며, 시스템 진 단 등 전문적인 기술이 필요한 경우 외부 전문가의 지원을 받을 수 있다. - 8 -

2 내부심사 수행을 담당하는 심사원은 아래와 같이 정의한다. 1. 정보통신보안담당관 2. 보안업무 담당자 3. 각 업무영역의 보안을 담당하는 자 제23조(내부심사 범위) 내부심사의 범위는 아래와 같으며, 각 분야에 대한 점검 항목은 별표 1 G-ISMS 내부심사 점검항목을 기준으로 한다. 1. 관리적 보안관리 2. 물리적 보안관리 3. 네트워크 보안관리 4. 서버시스템 보안관리 5. 보안시스템 보안관리 6. 응용시스템 보안관리 7. PC 보안관리 제24조(G-ISMS 내부심사 계획) 1 정보통신보안담당관은 정보보호관리체계에 대한 연간 내부심 사 계획을 수립하여 실시한다. 이 경우 연간 내부심사 계획에는 목적, 대상, 방법 및 실시 시기 등을 명시한다. 2 내부심사는 연 1회 정보보호관리체계의 전 부문이 포함되도록 계획한다. 3 내부심사 계획에 의한 심사 또는 특별 심사를 실시할 때에는 세부 심사 수행 계획을 수립하 여 실시한다. 4 내부심사의 심사원은 심사 절차의 객관성 및 공정성을 도모하여야 한다. 제25조(특별 내부심사의 실시) 1 정보통신보안담당관은 보안사고의 우려가 있거나 침해사고가 발생한 경우 특별 내부심사를 실시할 수 있다. 2 특별 내부심사의 경우에도 심사 진행 및 결과보고의 절차는 정기적인 내부심사와 동일하게 진 행함을 원칙으로 한다. 단, 특별한 목적을 가지고 수행하는 내부심사는 해당 목적에 적합하도록 변경하여 실시할 수 있다. 제26조(내부심사시 고려사항) 내부심사시 고려할 사항은 다음 각 호와 같다. 1. 업무 프로세스의 중단 위험을 최소화 시킬 수 있도록 운영 시스템에 대한 심사의 필요 요건 과 활동을 신중하게 계획한다. 2. 심사원은 내부심사 수행 중 중대한 업무상 부정, 고의적 정보시스템 위해 행위 등의 사고를 발견한 경우 지체 없이 정보통신보안담당관에게 보고한다. 3. 내부심사 결과는 정보통신보안담당관에게 보고하고 필요 시 관련 부서에 통보한다. 4. 시스템 감사도구에 대한 보호를 이행한다. 5. 취약점 분석도구나 감사전용 소프트웨어와 같이 심사 시 사용되는 도구들은 접근 및 운영 통제 를 철저히 수행하여, 내부심사 수행인력 이외의 자에 의해 오용되거나 손상되는 것을 방지한다. 제27조(내부심사 증적의 확보) 1 심사대상 영역에 대한 보안감사 증적(Audit Trail)을 확보하 고, 증거 자료의 무결성이 보장되도록 조치한다. 2 서버, 네트워크시스템, 응용시스템, 데이터베이스 등에 대하여 내부심사에 필요한 시스템 로그 의 종류와 보존기간을 해당 지침 및 시행지침에 명시하여, 심사 시에 충분한 증거로서 활용한다. 제28조(내부심사 결과에 따른 시정 및 검증) 1 정보통신보안담당관은 내부심사에서 지적된 사항 을 해당 부서의 장에게 통보하여 시정조치 계획을 수립한다. 2 각 부서의 장은 지적사항에 대해 원인분석, 재발방지 대책, 상세 이행계획 등이 포함된 시정 조치계획을 수립하여 이행한다. 3 정보통신보안담당관은 시정조치 계획의 수립 및 이행여부를 주기적으로 점검하고 사후관리를 - 9 -

수행한다. 제29조(내부심사에 대한 인식 확산) 1 정보통신보안담당관은 내부심사의 의의, 실시방법 등에 대한 정보를 관련 직원들에게 제공하여 보안의 중요성 및 내부심사의 필요성에 대하여 공감하도록 한다. 2 정보보호 관련 규정의 위반 및 보안침해에 따른 책임사항을 교육함으로써 직원들의 규정준수 를 유도한다. 제5장 사용자 보안관리 제30조(직무책임) 1 모든 직원은 개인이 관리하는 정보자산에 대하여 아래의 정보보안 수칙을 준수한다. 1. 자동 업데이트 가능한 백신 소프트웨어 설치 및 실시간 감시기능 사용 2. 출처, 첨부파일이 의심스러운 이메일은 열람하지 말고 삭제 3. 정기, 비정기적인 윈도우 보안패치를 실시하고 PC용 방화벽 사용 4. 패스워드는 영문, 순자, 특수기호 등을 조합하여 8자리 이상으로 설정하고 주기적으로 변경 5. 개인 컴퓨터의 부팅, 로그인, 화면보호기의 패스워드를 설정하고 사용 6. 개인 컴퓨터의 공유폴더 사용 금지 7. 웹 사이트 방문 시 설치하는 프로그램은 인증서 및 디지털 서명을 참고하여 신뢰성을 확인 후 설치 8. 중요한 자료는 패스워드를 설정하여 저장하고 주기적으로 백업하며 인터넷이 연결된 PC에 저 장금지 9. 정품 소프트웨어 사용 2 모든 직원은 퇴근할 때 책상 등에 문서나 저장매체를 남겨놓지 않도록 하여야 하며, 다음 각 호 의 사항을 적용한다. 1. 문서나 저장매체를 사용하지 않거나 업무시간 외에는 잠금장치를 한 서류함 또는 다른 형태의 안전성 있는 가구에 보관하여야 한다. 2. 자리를 비울 경우, 컴퓨터 단말기 프린터 등에 로그인 된 상태로 두어서는 아니 되며, 업무종 료 시 전원을 끄고 열쇠 패스워드 및 그 밖의 통제수단에 의해 보호하여야 한다. 3. 보안등급이 분류된 정보를 인쇄할 경우, 인쇄 즉시 프린터에서 수거하여야 한다. 제31조(업무용 PC관리) 모든 업무용 PC 관리는 다음 각 호의 원칙에 의해 관리한다. 1. 모든 PC는 개인사용을 원칙으로 한다. 2. 모든 PC는 패스워드로 보호되는 화면보호기를 운영해야 하며, 작동시간은 10분으로 설정하여 야 한다. 3. 디렉토리 및 파일은 타인과 공유하지 않는다. 4. 모든 PC에는 정품 소프트웨어만이 설치되어야 하며, 불법 소프트웨어 사용에 대한 책임은 본 인에게 있다. 5. P2P, 웹 하드 등 비 인가 프로그램이나 업무와 무관하거나 보안에 취약한 프로그램의 사용을 금지한다. 6. 인터넷을 통한 불법 프로그램 다운로드는 금지한다. 7. 음란 도박 증권 등 업무와 무관한 인터넷 사이트 접근은 금지한다. 제32조(업무용 공용 PC관리) 업무용 공용 PC(파일 공유서버, 프린터 서버 포함한다)는 다음 각 호에 의하여 관리한다. 1. 부서별 보안담당자를 지정 운영하여야 한다. 2. 대외비 및 비밀자료를 저장할 수 없다. 3. 사양 변경, 백업, 사용자 관리 등을 수행하는 관리자 권한은 반드시 지정된 관리자에게만 부여 되어야 한다. - 10 -

4. 불법 소프트웨어를 설치 사용할 수 없다. 5. 사용권한은 사용자별로 지정되어야 하며, 사용 대상자의 변경이 있을 경우 관리자는 즉시 사용 자 변경을 수행해야 한다. 6. 관리자는 실시간 바이러스감시 기능이 활성화되어 있더라도 반드시 주기적인 바이러스 검사를 수행하여 공용 PC를 통한 다수의 바이러스 감염을 예방해야 한다. 7. 민원실, 교육장 등 외부인이 사용하는 공간에 설치된 PC는 내부망과 분리한 후 ADSL 등 별도 의 인터넷 라인을 사용하도록 하여야 한다. 제33조(노트북 관리) 1 노트북의 사용 시 다음 각 호의 보안항목을 준수한다. 1. 노트북의 사용은 업무용 PC관리의 사용 기준에 따르며, 노트북 반/출입 시 보조기억매체(전산 장비 포함) 반/출입대장(정보통신보안업무규정 별지 제5호 서식)에 따라 해당사항을 기록하 고, 분임보안담당관의 승인을 받아야 한다. 2. 정보통신보안담당관은 각 부서의 노트북 보유현황을 파악해야 하며, 정기적으로 보유상태를 점 검한다. 3. 일정시간 이상 노트북을 사용하지 않을 경우에는 시건 장치가 달려 있는 보관함 등 안전한 장 소에 보관하여야 한다. 4. 노트북 내에 대외비, 비밀자료를 저장하지 않음을 원칙으로 한다. 5. 노트북의 사용목적이 종료되었을 경우에는 저장된 문서를 백업한 후 삭제하여야 한다. 2 노트북을 외부에서 사용할 때 사용자는 다음 각 호와 같은 안전대책을 준수해야 한다. 1. 공공장소에서는 노트북을 방치하지 않는다. 2. 반출된 노트북 반입 시, 악성코드 감염여부를 점검한다. 제34조(전자우편 관리) 1 전자우편 사용과 관련된 보안대책은 다음 각 호와 같다. 1. 전자우편 사용자는 보안조치 없이 비밀 및 중요자료 전송을 금지하고 출처가 불분명한 전자우 편의 경우 열람하지 말고 삭제한다. 2. 대외비 또는 비밀로 관리하는 정보는 암호화하여 전송한다. 3. 메일을 확인하는 프로그램(Outlook 등)에서는 미리보기 기능 해지 등 보안설정을 수행한다. 2 전자우편 시스템을 이용한 악성메일(스팸, 피싱메일, 웜, 바이러스, 트로이목마 등)을 차단하기 위해서 바이러스 월 및 스팸 필터링 기능을 적용한다. 3 정보통신보안담당관은 전자우편을 이용한 정보유출 등을 방지하기 위해 첨부 파일 용량을 제한 할 수 있다. 4 전자메일시스템 이외에 상용 전자우편 또는 웹 메일 사용은 원칙적으로 금지 하며, 필요한 경우 정보통신보안담당관의 승인을 받아 사용할 수 있다. 제35조(악성코드 탐지 제거관리) 1 모든 PC에는 정식으로 구매한 정품 바이러스 백신 프로그램 을 설치하여야 한다. 2 PC 부팅 시 항상 백신프로그램이 가동되어 바이러스 감염 여부를 검사할 수 있도록 구성해야 한다. 3 공동으로 사용하는 파일서버에 자료를 저장할 때는 반드시 바이러스 감염 여부를 점검한 후 저 장해야 한다. 4 백신프로그램 설치 시 백신프로그램이 제공하는 실시간 감시기능 및 예약 기능을 설정하여 주 기적으로 점검한다. 5 다운로드한 프로그램이나 첨부파일이 실행되기 전 바이러스감염 여부가 자동적으로 점검되도록 해야 한다. 6 새로운 저장매체나 프로그램은 실행 전 바이러스 감염여부를 검사 후 사용해야 한다. 7 백신프로그램은 항상 최신 패턴으로 업데이트해서 사용해야 한다. - 11 -

8 취약점 개선 패치 프로그램이나 공개 소프트웨어는 신뢰할 수 있는 사이트 및 소프트웨어 제작 업체 홈페이지로부터 받도록 한다. 9 바이러스감염 여부가 검증되지 않은 프로그램이나 소프트웨어를 메일로 타인에게 전송하거나 게시해서는 안 된다. 10 백신 소프트웨어는 주 1회 이상 주기적으로 갱신 점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지가 있는 경우에는 즉시 최신 소프트웨어로 갱신 점 검한다. 11 의심스러운 모바일코드(자바 애플릿, 스크립트, Active X등)는 인터넷 브라우저의 보안설정을 통해 자동 설치를 차단하도록 한다. 제36조(개인PC 안전진단) 1 모든 직원 및 상주중인 외주직원은 사이버 보안 진단의 날 행사에 정보통신보안담당관의 지시에 따라 다음 각 호의 활동에 성실하게 참여하여야 한다. 1. 윈도우 보안 업데이트 실시 2. 개인별 PC 진단프로그램을 통한 PC 점검 3. PC진단 프로그램 실행 후 도출된 취약점 보완 2 부서별 보안담당자는 부서별 PC에 대하여 취약점 점검을 실시하고, 발견된 문제점에 대한 보완 조치를 수행하여야 한다. 3 정보통신보안담당관은 개인 PC 안전진단을 위하여 다음 각 호의 내용을 사용자에게 제공하 고 지원하여야 한다. 1. PC진단 프로그램(내PC 지킴이) 및 사용법 2. 도출된 보안 취약점에 대한 조치법 제37조(불용 PC 조사) 정보통신보안담당관은 불용처리 진행 중에 있는 PC를 대상으로 다음 각 호의 내용을 수행하여 고의 또는 실수로 중요한 정보가 유출되지 않도록 하여야 한다. 1. 불용 PC 저장매체 자료의 완전삭제 여부 및 하드디스크 탈거여부 점검 2. 취약요인에 대한 즉시 조치 및 제도 개선 제38조(보직변경 관리) 1 정보통신보안담당관은 내부직원의 퇴직 또는 보직 변경 등의 사유가 발생한 경우에 정보시스템 관리자로 하여금 해당 직원의 계정삭제, 권한변경 등의 보안조치를 취하도록 해야 한다. 2 보직변경 사유가 발생한 사용자는 사용자 계정 신청서(정보시스템 보안관리 시행지침 별지 제4호서식)를 작성하고 정보통신보안담당관에게 제출하여야 한다. 다만, 인사발령 사항이 내부 게시판에 등록되거나 문서로 통보된 경우에는 생략할 수 있다. 3 정보시스템 관리자는 해당 사용자의 신청서를 검토하여 다음 각 호의 필요한 조치를 신속하 게 실시하여야 한다. 1. 권한변경, 사용중지, ID 삭제 2. 공용서버 및 파일서버에서 사용하는 공용계정에 대한 패스워드 변경 3. 해당 부서에서 사용하는 공용계정 패스워드 변경 요청 및 확인 제6장 서버 보안관리 제39조(서버도입) 1 서버를 도입하고자 하는 경우에는 서버관리자는 자산 등록/변경/폐기 신청 서(별지 제1호서식) 및 보안점검 체크리스트(별지 제2호 서식)를 작성하여, 정보통신보안담당 관의 승인을 얻어야 한다. 2 정보통신보안담당관은 신청된 서버자산을 정보자산 관리대장(별지 제3호 서식)에 기록하여 대 외비로 관리한다. - 12 -

3 정보시스템 및 서버를 도입하고자 하는 부서의 장은 해당 정보시스템 도입계획 및 현황을 파악 할 수 있는 다음 각 호의 서류를 포함하여 정보시스템 보안성 검토 요청서(별지 제12호서식)를 작 성하여 정보통신보안담당관에게 전달하고, 보안성 검토 승인을 득한 이후에 도입하여야 한다. 1. 도입 목적 및 추진계획 2. 구축계획서 3. 기술제안요구서(RFP), 제안서, 제품소개서 4. 정보시스템 구성도(하드웨어 및 소프트웨어) 5. 자체 보안대책 강구사항 가. 관리적/물리적 보안대책 나. 네트워크 및 다른 정보시스템 연동 시 연동기관간 보안관리 협의사항 다. 서버, 단말기, 보조기억매체, 네트워크 등 정보통신망의 요소별 기술적 보안대책 제40조(서버의 설치 등) 1 서버를 설치할 때에는 다음 각 호를 준수하여야 한다. 1. 서버는 물리적 보안이 되어 있는 제한구역 및 통제구역에 설치한다. 2. 개발서버는 운영시스템과 별개의 시스템으로 구축하고 내부망에 연결하지 않는다. 3. 서비스를 제공하고 있는 서버에서 개발 및 테스트를 수행하지 않는다. 4. DB서버는 외부 사용자의 직접 접근을 방지하기 위하여 내부망에 설치하고 접속을 제한한다. 단, 공개 자료만 저장된 DB서버는 효율성을 위하여 DMZ 구간에 설치할 수 있다. 2 서버 관리자는 OS를 설치한 후 패치 및 보안설정을 적용해야 하며, 업무용 목적으로 사용되는 프로그램 이외의 게임이나 업무적으로 불필요한 프로그램의 설치를 금한다. 3 외부계약에 의한 서버관리의 경우 발생할 수 있는 데이터의 손상, 손실 등의 보안위험을 파악하 고 대책을 수립하여 계약서에 반영하도록 한다. 제41조(서버 철수 및 폐기) 1 서버를 철수하거나 폐기할 때에는 서버관리자는 자산 등록/변경/ 폐기 신청서(별지 제1호서식)를 작성하여 정보통신보안담당관의 승인을 얻어야 한다. 2 정보통신보안담당관은 중요 정보보호시스템의 철수 및 폐기 시, 시스템 구성과 관련된 설정 및 저장정보를 완전히 삭제하고, 정보자산 관리대장(별지 제3호서식)에 그 사항을 기록하고 폐기한 다. 제42조(권한부여 및 관리) 1 서버 관리자는 서버 내 보관된 정보에 대한 접근 권한을 설정하고 사용자에게 부여할 때에는 다음 각 호를 준수해야 한다. 1. 시스템 내의 정보에 대한 접근권한은 업무적으로 꼭 필요한 범위에 한하여 부여해야 한다. 2. 일반 사용자가 다른 사용자의 자료에 접근하거나 활동을 방해할 수 없도록 권한을 제한하여 야 한다. 3. 유지보수, 장애처리 등의 업무적인 필요성이 공식적으로 인정될 경우 정보통신보안담당관의 승인 을 득하여 접근권한을 부여하며, 이러한 권한은 승인된 시간 동안만 사용되도록 제한해야 한다. 4. 업무상 불필요한 경우 일반사용자가 서비스 중지 등을 일으킬 수 있는 시스템 명령어를 사용 할 수 없도록 제한해야 한다. 2 서버 관리자는 권한관리를 수행할 때에는 다음 각 호를 준수해야 한다. 1. 슈퍼유저 등의 중요권한을 일반 사용자에게 부여하지 않으며, 사용자에게 부여된 권한(사용자 권한)의 적절성을 반기 1회 점검해야 한다. 2. 특별한 접근권한(관리자 권한)의 적절성을 분기 1회 점검해야 한다. 3. 정상적인 서버의 운영을 방해하거나, 다른 사용자의 사용을 저해하는 행위가 발견되거나 의 심될 때, 해당 사용자의 권한을 제한하거나 취소할 수 있다. 3 서버 관리자는 일반 계정으로 접속한 후에 슈퍼유저 권한을 획득해야 한다. 제43조(계정관리) 1 서버를 관리할 때 시 공용 ID는 사용하지 않는 것을 원칙으로 하며, 업무를 - 13 -

위해 필요한 경우에는 정보통신보안담당관의 승인을 얻은 후 특별히 관리한다. 2 시스템 설치 시 기본적으로 포함되어 있는, 제조사에서 제공하는 ID 중 업무적으로 불필요한 ID는 삭제한다. 3 서버 관리자는 계정을 생성한 후 신청인에게 통보하고, 신청인은 통보를 받은 후 로그온하여 서 버 관리자가 임의로 설정한 초기 패스워드를 변경해야 한다. 4 사용자 ID를 등록, 변경, 삭제하는 경우에 다음 사항을 준수한다. 1. 사용자 ID 신청자는 사용자계정 신청서(별지 제4호서식)를 작성하여 부서장의 승인을 받아 서버 관리자에게 등록을 요청한다. 서버 관리자는 시스템에 ID를 등록하고 사용자계정 관리 대장(정보통신보안업무규정 별지 제4호서식)에 기재한다. 2. 모든 사용자는 구별되는 사용자 ID을 가져야 한다. 5 사용자의 퇴사 또는 업무변경 등으로 ID가 필요 없는 경우에는 서버 관리자는 해당 계정을 즉 시 삭제한다. 6 서버 관리자는 반기 1회 사용자 계정을 점검하여, 90일 이상 사용자 계정이 사용되지 않을 경 우 해당 계정의 사용을 일시 중지시키며, 일시 중지된 후 부터 90일간 사용 신청이 없을 경우 계 정을 삭제한다. 다만, 서버 운영상 필요하지만 자주 사용하지 않는 계정은 예외로 할 수 있다. 제44조(패스워드 생성 및 관리) 1 패스워드의 길이는 최소 8자 이상으로 하며, 반드시 숫자 및 특 수문자를 포함해야 한다. 2 사용자가 패스워드를 사용할 수 있는 최대기간은 90일로 하며, 패스워드 재설정시에 직전 패스워드는 사용할 수 없도록 한다. 3 패스워드는 화면상에 읽을 수 있는 형태로 표시되지 말아야 하며, 암호화된 형태로 저장되어 야 한다. 4 서버관리자에 의하여 부여된 초기 패스워드는 사용자가 처음 접속 시에 자신만의 패스워드로 강제적 변경 하도록 설정할 수 있다. 제45조(서버 로그온 관리) 1 정보서비스에 접근하는 로그온 절차는 인가되지 않은 접근의 기회 를 최소화하도록 설계해야 하며, 다음과 같은 적절한 로그온 절차를 거쳐야 한다. 1. 로그온 과정이 성공적으로 끝날 때까지 시스템 또는 응용프로그램 식별자를 나타내서는 아니 된다. 2. 로그온에 필요한 모든 데이터 입력의 완료시에만 로그온 정보를 확인한다. 로그온에 필요한 데이터의 입력과정에서 오류가 발생 하였을 경우, 시스템은 어느 부분의 데이터가 정확하고 그렇지 않은지를 나타내지 않아야 한다. 3. 허용되는 로그온 실패횟수를 3회로 제한하고 추가의 로그온 시도가 허용되기 전에 시간지연 이 있도록 하여야 한다. 4. 사용자가 10분 이상 시스템을 사용하지 않을 경우에는 자동적으로 시스템이 로그오프 되도 록 설정되어야 한다. 5. 성공적으로 로그온을 완료한 때에는 최종 접속 성공한 로그온의 날짜와 시간과 마지막으로 성공한 로그온 이후 실패한 모든 로그온 시도에 대한 상세내용을 표시한다. 2 관리목적 등으로 서버에 로그온 할 때에는 SSH(Secure Shell) 등의 방법을 사용하여 암호화 된 통신을 하여야 하며, 시스템이나 방화벽의 접근통제 기능을 이용하여 접근 가능한 시스템을 제 한하여야 한다. 제46조(접근통제 원칙) 1 시스템내의 저장된 정보 중 가장 중요한 정보를 기준으로 정보보안 통 제가 이루어져야 한다. 2 사용자는 운영체제(O/S)의 접근통제 기능 또는 접근통제 도구를 우회할 수 있는 방법을 사 용한 접근을 시도해서는 안 되며 이러한 방법의 사용은 엄격하게 통제되어야 한다. - 14 -

3 서비스 제공 서버에 대한 특권 ID(root 계정)로의 직접 로그온은 서버 콘솔에서만 허용한다. 4 시스템별로 필요한 서비스 포트를 사전에 정의하고 불필요한 서비스 포트에 대해서는 모두 제거해야 한다. 5 시스템 관리를 위한 유틸리티는 인가된 사용자 또는 관리자만이 사용하도록 하거나 IP로 접 근제어를 한다. 제47조(파일시스템 관리원칙) 시스템 데이터 및 라이브러리(library)의 정보 보안침해에 따른 문제발생을 최소화하기 위해 관리자 이외의 접근을 통제한다. 제48조(시스템 보안도구 운영) 서버 관리자는 접근제어 솔루션(solution)을 설치하여 지정된 시 스템에서만 인증절차를 통해 접근할 수 있도록 하며, 허용된 서비스를 제외하고 외부에서의 접 근은 차단한다. 제49조(서버 백신 설치 및 운영) 1 서버 관리자는 윈도우 시스템의 경우 최신 버전의 백신을 설 치하고 운영하여 컴퓨터 바이러스 등에 의한 해킹 및 사이버테러에 대응해야 한다. 2 서버 관리자는 정기적으로 일제 점검이 가능하도록 특정일을 지정하여 시스템에 대한 점검 실시를 한다. 3 서버 관리자는 최신의 검색 프로그램을 활용하고 최신 패치(보완) 프로그램 배포 시 즉시 보 정 작업을 실시한다. 제50조(서버 시간동기화) 서버 관리자는 서버에 대해 시간을 동기화하여 로그 생성 시 정확한 시 간이 기록되도록 한다. 제51조(유지보수) 1 서버의 원활한 사용을 위하여 유지보수 계약을 체결함을 원칙으로 한다. 다 만, 유지보수 계약을 체결하지 않을 경우에는 적합한 사유를 기록 관리한다. 2 서버의 원활한 사용을 위하여 필요한 경우 서버관리자는 유지보수업체에 예방 점검을 요청하여 서버의 점검을 실시할 수 있다. 3 서버의 취약점을 패치(보완)하기 위하여 서버 운영체제의 업그레이드, 시스템 설정을 유지보수 업체에 의뢰할 수 있다. 제52조(모니터링) 1 서버 관리자는 상시 혹은 정기적으로 장애 및 침해사고 모니터링을 해야 하 고 이상 발생 시 제12장 재난복구, 제13장 침해사고 대응에 따라 조치한다. 2 서버 관리자는 월 1회 모니터링 결과에 대한 분석 작업을 수행해야 한다. 3 서버 관리자는 관리대상 서버의 현황을 목록으로 관리하여야 하며, 실제의 현황과 일치하도 록 유지 및 관리해야 한다. 제53조(장애보고) 서버 관리자는 서버에 이상이 발생한 경우에는 장애처리 일지(별지 제7호서식) 를 다음 각 호의 사항을 포함하여 기록 관리한다. 1. 장애일시 2. 장애내용 및 장애원인 3. 조치방안 4. 관련 담당자 제54조(취약점 점검) 1 취약점 점검은 연 1회 실시하되 긴급 취약성이 발견된 경우에는 비정기 적인 취약점 분석을 실시한다. 2 서버 관리자는 취약점 분석을 실시하여 취약점 점검 목적, 대상, 기간, 점검항목 및 결과 및 조치계획을 취약점 진단보고서에 작성하고, 정보통신보안담당관에게 보고한다. 3 서버 관리자는 취약점에 대한 이행 조치를 수행하고, 그 결과를 정보통신보안담당관에게 보 고해야 한다. 제55조(웹서버 위치) 1 외부인에게 공개할 목적으로 설치되는 웹 서버 등 각종 공개서버는 내부 망과 분리하여 운영하고, 국가정보원의 보안적합성이 검증된 정보보호시스템을 설치한다. - 15 -

2 웹 서버 등과 같은 공개용 서버를 외부망에 공개할 때에는 서버 관리자는 자체 보안점검을 수행한 후 정보통신보안담당관의 승인을 얻어야 한다. 제56조(웹 서버 구성) 1 웹 서버를 설치할 때 생성되는 샘플 파일이나 매뉴얼 파일은 삭제 한 다. 2 웹 서버에는 HTTP 등 웹 서비스 목적 이외의 다른 네트워크 서비스(FTP, Telnet 서비스 등)는 사용하지 아니한다. 다만, 암호화 통신이 가능한 경우에는 제한적으로 사용할 수 있다. 3 디렉토리 요청 시 디렉토리 내에 존재하는 파일 목록을 보여주지 않도록 자동 디렉토리 리스 팅 기능의 사용을 중지시킨다. 4 홈페이지 절대경로 및 내부시스템 정보가 노출되지 않도록 조치한다. 제57조(웹 서버 운영) 1 웹 서비스 영역과 시스템(OS)영역을 분리시켜 웹 서비스의 침해가 시 스템 영역으로 확장될 가능성을 최소화한다. 2 홈페이지에 제로보드 등 무료 게시판 프로그램은 사용을 금지한다. 3 웹 서버의 보안 취약점을 주기적으로 월 1회 이상 점검하고, 최신 보안패치를 설치한다. 4 웹 서버 종류, 사용 OS, 사용자 계정 이름 등 웹서버와 관련된 불필요한 정보가 노출되지 않도 록 한다. 5 홈페이지 관리자 페이지는 외부에서 접속이 불가능하도록 설정하고, 개발할 때 생성한 계정과 패스워드는 삭제한다. 제7장 네트워크 및 정보보호시스템 보안관리 제58조(네트워크 및 정보보호시스템 도입) 1 네트워크 및 정보보호시스템 관리자는 시스템을 운 영하기 전에 전 자산등록/변경/폐기 신청서(별지 제1호서식) 및 보안점검 체크리스트(별지 제2 호서식)를 작성하고, 정보통신 보안담당관의 승인을 얻어야 한다. 2 네트워크 및 정보보호시스템 관리자는 운영 중인 정보자산을 식별하여, 정보자산 관리대장(별 지 제3호서식)에 기록하여 대외비로 관리한다. 3 네트워크 및 정보보호시스템 관리자는 관련 부서의 네트워크 변경, 증설 등의 네트워크 환경 변 화뿐만 아니라 네트워크의 도입 불용의 요구가 있는지 모니터링 하여야 하며, 적절한 도입시기와 수요를 파악한다. 4 네트워크 및 정보보호시스템 관리자는 장비의 도입이 이루어진 후에 정보통신보안담당관에게 도입완료를 보고해야 한다. 제59조(네트워크 및 정보보호시스템 설치) 1 네트워크 장비 및 정보보호시스템은 물리적 보안이 되어 있는 제한구역 및 통제구역에 설치한다. 2 네트워크 및 정보보호시스템을 설치한 후 관리자는 최신의 보안이슈를 반영하여 패치 및 보안 설정을 적용한다. 3 외부계약에 의하여 네트워크 및 정보보호시스템 관리할 경우, 발생할 수 있는 데이터의 손상, 손실 등의 보안위험을 분석하고 보안대책을 수립하여 계약서에 반영하여야 한다. 제60조(네트워크 및 정보보호시스템 철수 및 폐기) 1 네트워크 및 정보보호 시스템 철수 또는 폐기 시 네트워크 및 정보보호시스템 관리자는 자산등록/폐기 신청서(별지 제1호서식)를 작성 하여 정보통신보안담당관의 승인을 얻어야 한다. 2 중요 정보보호시스템을 철수하거나 폐기할 경우 네트워크 및 정보보호 시스템 관리자는 시스 템 구성과 관련된 설정을 완전히 삭제하고, 정보자산 관리대장(별지 제3호서식)을 정리하여 정 보통신보안담당관에게 결과를 보고한 후 폐기한다. 제61조(권한부여 및 관리) 1 네트워크 및 정보보호시스템 관리자는 네트워크 및 정보보호시스템 - 16 -

에 대한 접근권한 및 시스템 사용상의 권한을 사용자에게 부여할 때에는 다음 각 호를 준수해야 한다. 1. 시스템 내의 정보에 대한 접근권한은 업무적으로 꼭 필요한 범위에 한하여 부여해야 한다. 2. 유지보수 장애처리 등의 업무적인 필요성이 공식적으로 인정될 경우 정보통신보안담당관의 승인 을 득하여 접근권한을 부여하며, 이러한 권한은 승인된 시간 동안만 사용되도록 제한해야 한다. 2 네트워크 및 정보보호시스템 관리자는 접근권한 및 시스템 사용상의 권한을 관리할 때에는 다 음 각 호를 준수하여야 한다. 1. 관리자 권한 등의 중요권한을 일반 사용자에게 부여하지 않으며, 사용자에게 부여된 권한(사 용자 권한)의 적절성을 반기 1회 점검하여야 한다. 2. 특별한 접근권한(관리자 권한)의 적절성을 분기 1회 점검 한다. 3. 정상적인 운영을 방해하거나, 다른 사용자의 사용을 저해하는 행위가 발견되거나 의심될 때 에는 해당 사용자의 권한을 제한하거나 취소할 수 있다. 제62조(계정관리) 1 공용 ID는 사용하지 않는 것을 원칙으로 한다. 다만, 업무를 위하여 필요한 경우에는 정보통신보안담당관의 승인을 얻은 후 특별히 관리 하여야 한다. 2 시스템을 설치할 때 기본적으로 포함되어 있는 제조사에서 제공하는 ID중 업무적으로 불필요한 ID는 삭제한다. 제63조(패스워드 생성 및 관리) 1 패스워드의 길이는 최소 8자 이상으로 하며, 반드시 숫자 또 는 특수문자를 포함하여야 한다. 2 사용자가 패스워드를 사용할 수 있는 최대기간은 90일로 하며, 패스워드 재설정할 경우 직전 패스워드는 사용할 수 없도록 하여야 한다. 3 패스워드는 화면상에 읽을 수 있는 형태로 표시되지 말아야 하며, 암호화된 형태로 저장되어야 한다. 4 네트워크 관리자에 의하여 부여된 초기 패스워드는 사용자가 처음 접속 할 때에 자신만의 패스 워드로 강제적 변경을 하도록 설정할 수 있다. 제64조(물리적 접근통제) 1 정보시스템은 물리적으로 출입이 통제될 수 있는 시설 안에 갖추거 나, 시건장치가 되어 있는 장소에 설치하여 일반인의 접근을 통제해야 한다. 2 전산실은 유지보수 업체 및 정보시스템 관리자를 제외한 사람은 접근 통제되어야 하며, 외부 직 원의 전산실 출입이 필요한 경우 정보시스템 관리자의 동석 하에 출입하여 작업을 진행할 수 있으 며, 전산실 출입관리대장(별지 제11호서식)에 기록한 후 출입하게 하여야 한다. 제65조(원격 접근통제) 1 정보시스템에 대한 접근은 인터넷구간으로부터의 직접 연결을 허용하 여서는 안 되며, 해당 장비에 직접 접속하는 것을 원칙으로 한다. 2 외부 원격접속이 필요한 경우 별도의 보안 대책을 수립하여 정보통신보안 담당관의 승인을 받 고 보안대책을 적용한 후 사용해야 한다. 제66조(터미널 로그온 통제) 1 로그온 화면에서는 단지 로그온 관련 정보만 표시해야 한다. 다 만, 접근제한 경고 문구는 표시될 수 있다. 2 로그온에 실패한 때에는 원인을 사용자에게 표시 하지 말고 단순히 로그온 절차가 잘못 되었 다는 정보만 표시 하거나, 세션을 종료 시켜, 정확한 로그온 정보가 입력되도록 해야 한다. 제67조(장비 로그온 통제) 1 정보시스템의 로그인은 원격 컴퓨터에 안전하게 접근하기 위한 유 닉스 기반의 명령어 SSH(Secure Shell) 및 개인정보를 보호하기 위한 SSL(Secure Socket Layer) 등의 프로토콜을 사용한 암호화된 통신을 하여야 한다. 2 10분 이상 시스템을 사용하지 않을 경우 자동적으로 시스템이 로그오프 되도록 지정되어야 한다. 제68조(네트워크 신규접속, 변경, 해지) 1 네트워크 관리자는 네트워크 신규 접속, 변경, 해지는 정보통신보안담당관의 승인을 얻어야 한다. - 17 -

2 정보통신보안담당관은 내부망 및 외부망에 대한 현황 및 정보통신망 구성도를 작성, 대외비 이 상으로 지정하여 관리하여야 한다. 제69조(LAN주소 사용에 대한 허가) 1 사설/공인 IP의 관리는 네트워크 관리자가 수행하며, 신 규 부여 및 회수/변경 등의 업무를 한다. 2 외부 사용자가 네트워크를 사용하고자 하는 경우, 해당업무 담당자는 LAN 설치 의뢰서(별지 제10호서식)를 작성하여 네트워크 관리자 승인을 얻은 후 사용해야 한다. 3 네트워크 관리자는 최신 IP주소 현황을 항상 유지하고, 사용자는 사설 IP를 사용한다. 제70조(네트워크 구성정보 관리) 1 네트워크의 구성도, 주소, 구성환경, 관련 시스템 정보 등을 무단으로 유출해서는 안되며, 외부로 공개되는 자료는 민감한 내용(IP등)을 삭제하고, 정보통신 보안담당관에게 승인을 얻은 후 공개하여야 한다. 2 네트워크 구성도, 현황 자료, 네트워크 주소 할당자료 등 네트워크 관련 모든 자료는 인가된 사 람만이 접근 가능하도록 안전하게 보관한다. 제71조(네트워크 소프트웨어 보안관리) 1 네트워크 관리자는 장비의 펌웨어, 운영체제(NOS : Network OS)의 각종 버그 또는 취약점을 예방하기 위하여 지속적으로 장비공급업체의 보안메 일링 리스트에 가입하는 등 보안 정보를 수집하여야 한다. 2 네트워크 관리자는 개별 네트워크 및 정보보호시스템에 대하여 자산명, 모델명, 설치일, 설치장 소, IOS 버전 등을 포함하는 정보자산 프로파일을 작성하여 관리하여야 하며 프로파일의 내용이 변경되면 즉시 수정하여야 한다. 제72조(네트워크의 논리분할) 네트워크는 다음 각 호에 기술한 논리적 영역으로 정한다. 1. 인터넷 구간은 인터넷 관련 서비스를 목적으로 하는 네트워크로 불특정 다수의 접속을 허용한다. 2. 공개서버 구간(DMZ)은 공개서비스를 목적으로 하는 네트워크로 불특정 다수의 접속을 허용 한다. 다만, 외부의 불법침입으로 인한 서비스의 장애를 최소화하기 위하여 서버별 Port단위 로 접근통제 하며 일부 보안상 취약한 Port(FTP, TELNET, TFTP, SNMP등)의 노출이 필요한 서버는 Source IP와 Destination IP별로 Port 관리해야 한다. 3. 내부 네트워크는 각종 서버 및 네트워크에 외부로부터의 침입에 대비해 침입차단시스템 또는 침입탐지(방지) 등 정보보호 시스템을 구성한다. 4. 외부와 네트워크 연결은 내부 네트워크는 근본적으로 외부로부터의 접속을 차단함을 원칙으로 한다. 단, 부득이 외부에서 내부로의 접속이 필요한 경우 VPN을 통해 인증을 받아 접속이 가 능하며, 정보통신보안담당관의 승인을 얻어야 한다. 5. 불필요하거나 사용되지 않는 통신장비나 네트워크 세그먼트는 모든 네트워크에서 분리시키거 나 제거한다. 제73조(장비 시간동기화) 네트워크 및 정보보호시스템 관리자는 모든 네트워크 및 정보보호시스 템에 대하여 시간을 동기화하여 로그를 생성할 때 정확한 시간이 기록되도록 한다. 제74조(유지보수) 1 네트워크 및 정보보호시스템은 유지보수 계약을 체결함을 원칙으로 한다. 다만, 유지보수 계약을 체결하지 않을 경우에는 적합한 사유를 기록 관리한다. 2 네트워크 및 정보보호시스템의 취약점을 패치하기 위하여 네트워크 및 정보 보호시스템 운영 체제의 업그레이드, 시스템 설정을 유지보수업체에 의뢰할 수 있다. 제75조(모니터링) 1 네트워크 및 정보보호시스템 관리자는 상시 혹은 정기적으로 모니터링 해야 하고 이상 발생시 제12장 재난복구, 제13장 침해사고 대응 규정에 따라 조치한다. 2 네트워크 및 정보보호시스템 관리자는 월 1회 모니터링 결과를 분석 하여야 한다. 3 네트워크 및 정보보호시스템 관리자는 관리대상 네트워크의 현황을 목록으로 관리하여야 하 며, 실제의 현황과 일치하도록 유지 및 관리하여야 한다. 제76조(장애 보고) 네트워크 및 정보보호시스템 관리자는 이상 발생 시 장애 처리 일지(별지 제7-18 -

호서식)를 다음 각 호의 사항을 포함하여 기록 관리한다. 1. 장애일시 2. 장애내용 및 장애원인 3. 조치방안 4. 관련 담당자 제77조(장비 취약점 점검) 1 취약점 분석은 연 1회 실시하되 긴급 취약성이 발견된 경우 비정기 적인 취약점 분석을 실시한다. 2 취약점 분석을 실시한 경우 취약점 점검 목적, 대상, 기간, 점검항목 및 결과 및 조치계획을 취 약점 진단보고서에 작성하고, 정보통신보안담당관에게 보고한다. 3 네트워크 및 정보보호시스템 관리자는 취약점에 대한 이행조치를 수행하고, 그 결과를 정보통 신보안담당관에게 보고한다. 제78조(무선랜 보안) 1 정보통신보안담당관은 무선랜 등 무선 통신망 구축시 국가용 정보보호시 스템을 설치 운용하거나 국가정보원장이 안정성을 확인한 정보보호시스템을 설치한다. 2 정보통신보안담당관은 인가되지 않은 무선중계기(AP) 사용 여부 및 한시적으로 허가된 무선 랜의 사용여부를 반기 1회 점검한다. 3 무선 랜 및 무선중계기 등 무선통신망 보안을 위해서 다음 각 호의 사항을 준수한다. 1. 무선중계기(AP) 관리용 소프트웨어의 ID, 패스워드를 변경 추측하기 어렵게 설정 2. 무선중계기(AP)에 MAC 주소 필터링 기능을 설정하고 사용할(또는 사용 중인) 무선랜 카드 의 주소를 무선중계기(AP)에 등록 3. 사용자 ID/패스워드 등을 이용해 사용자 인증 실시 4. 무선중계기(AP)는 무선랜 보안 기능(WPA : Wi-Fi Protected Access)을 적용하여 보안 설정 수행 제79조(전자태그(RFID : Radio Frequency Identification) 보안) 1 RFID를 사용할 경우 에는 RFID 시스템 보안관리 담당자를 지정하고, 시스템 관리자 및 사용자에 대한 보안교육을 실시 한다. 2 RFID 태그 발급을 위한 발급기 접근은 인가된 담당자에게만 허용하고, 발급 시스템에 대한 접 근통제를 실시한다. 3 태그의 분실 및 도난, 해킹을 통한 태그정보의 유출로부터 피해를 최소화 하기 위하여 태그에 포함되는 정보를 최소화하여 저장한다. 4 RFID 시스템을 구축 운영하면서 기밀 등 중요정보나 보호할 필요가 있는 정보를 소통하고자 할 경우에는 국가정보원장과 사전협의를 거쳐서 보안성 검토를 의뢰하여야 한다. 제8장 데이터베이스 보안관리 제80조(DB 설치 및 등록) 1 DB관리자는 DB시스템 운영 전 자산등록/변경/폐기 신청서(별지 제1호서식)를 작성하고, 정보통신보안담당관의 승인을 얻은 후, 설치하여 운영한다. 2 DB관리자는 운용중인 정보자산을 식별하여 정보자산 관리대장(별지 제3호서식)에 기록 관리 한다. 제81조(권한부여 및 관리) DB관리자는 운영 단계의 실제 운용 시스템 DB에 대하여, 응용시스템 개발자가 개발 중인 응용시스템을 테스트할 때에 개발과 관련된 실제 운용 정보 이외의 어떠한 실제 운용 정보에도 접근할 수 없도록 해야 하며 필요한 경우 최소한의 권한만 부여되어야 한 다. 이 경우 테스트 도입 완료된 후에는 해당 권한을 즉시 삭제하여야 한다. 제82조(계정관리) 1 공용 ID는 사용하지 않는 것을 원칙으로 한다. 다만, 업무를 위해 필요한 - 19 -

경우에는 DB관리자의 승인을 얻은 후 특별 관리한다. 2 DB를 설치할 때 제조사에서 기본적으로 제공하는 ID 중 업무적으로 불필요한 ID는 삭제한다. 3 DB 접근계정이 필요할 때에는 사용자계정 신청서(별지 제4호서식)를 작성하여 정보통신보안 담당관의 승인을 얻은 후 DB관리자가 생성한다. 4 사용자가 퇴직 또는 인사이동 등으로 계정이 필요 없는 경우에는 DB관리자는 해당 계정을 즉 시 삭제한다. 5 DB관리자는 반기 1회 사용자 계정을 점검하여, 90일 이상 사용자 계정이 사용되지 않을 경우 해당 계정의 사용을 일시 중지시키며, 일시 중지된 후부터 90일간 사용신청이 없을 경우 계정을 삭제한다. 다만, 서버 운영상 필요하나 자주 사용하지 않는 계정은 예외로 할 수 있다. 제83조(패스워드 생성 및 관리) 1 패스워드의 길이는 최소 8자 이상의 숫자 및 영문자를 포함해 야 한다. 2 사용자가 패스워드를 사용할 수 있는 최대기간은 90일로 한다. 3 DBMS의 디폴트 패스워드는 변경하고, OS의 패스워드와 다르게 설정한다. 제84조(접근통제) 1 DBMS 설치 소프트웨어 라이브러리 또는 데이터베이스의 운영체제 파일 (데이터 파일, 환경구성 파일, 로그 파일 등)을 변경할 수 있는 권한은 DB관리자로 제한한다. 2 DB의 재편성 또는 압축과 같은 작업 시에 DB의 정보 파괴를 방지하기 위해 일반 사용자들의 접근을 엄격히 통제한다. 3 제공하는 서비스를 이용하는 회원의 패스워드는 암호화해서 저장하고, 데이터의 유형과 기밀성 에 따라 기밀정보인 경우 데이터를 암호화하여 보관한다. 제85조(DB복구) 1 DB관리자는 중요한 테이블의 목록을 정리하여 복구 우선 순위를 정하여 복 구한다. 2 복구 실패에 대한 정보의 손실을 최소화하기 위해 복구 전 DB의 백업을 실시한다. 제9장 백업 및 변경관리 제86조(백업) 1 정보통신보안담당관은 서버 및 네트워크 특성과 신속한 데이터 복구를 고려한 백 업계획을 수립하여야 하며, 백업계획에는 백업주기, 보관매체, 보관장소 등이 포함되어야 한다. 2 백업매체에는 매체 ID, 데이터 내역, 작업일자, 작업주기 등을 표시하여야 하며, 백업작업 결과 는 백업관리대장(별지 제8호서식)에 백업 대상 데이터별로 기입하여 관리한다. 다만, 백업관리 소 프트웨어를 운영할 경우 이를 대체할 수 있다. 3 백업매체는 비인가자가 접근할 수 없는 격리된 곳에 보관하여, 비인가자에 의한 백업 정보의 유 출이 일어나지 않도록 한다. 4 백업매체가 재난 등으로 인해 원본과 동시에 손실되는 것을 방지하기 위해 원본과 물리적으로 떨어진 장소에 소산백업을 시행하도록 한다. 제87조(주기 및 대상) 백업의 주기 및 대상은 다음의 표와 같다. 구분 백업주기 보관기간 백업대상 비고 일간 매일 1주 메일 및 전자결재 데이터 주간 주 1회 1개월 중요 데이터베이스 데이터 분기 분기 1회 1년 중요 데이터베이스 데이터(풀백업) 웹 어플리케이션 소스 네트워크 configuration 서버 OS 이미지 백업 제88조(로그관리) 1 정보시스템 관리자는 로그관리 대상에 대해 문서화해야 한다. 2 로그관리 업무 중 이상기록을 발견하였을 경우 조치 사항은 다음과 같다. 2본 백업보관 (1본은 소산용) - 20 -

1. 침해사고 등 이상기록을 발생하였을 경우 제13장 침해사고 대응에 기술된 사항을 참고하여 관련 증적(Audit Trail)을 수집한다. 2. 비인가자에 의한 불법 로그 변경에 대비하여 관련 로그기록에 대한 접근제어를 구현한다. 3. 특정 호스트로부터의 이상기록이 지속적으로 발생하는 경우, 해당 서버 관리자에게 신속하게 연락을 취하여 조치가 이루어지도록 한다. 3 정보시스템 관리자는 수시로 장비의 접근기록을 확인하여, 이상 징후 발견 시 정보통신보안담 당관에게 보고해야 한다. 4 정보시스템 관리자는 보안사고가 발생한 경우 추적성을 확보하기 위하여 적절한 로그의 수준을 정의하며, 다음 각 호의 사항을 고려한다. 1. 시스템 운영상의 예외상황 및 오류 내역 로그 2. 장비 접근로그 (접근 시간, 접근 IP, 접근 터미널 등을 포함) 3. 장비 접근실패 로그 4. 패스워드 변경 등과 같은 중요 시스템 명령의 수행 내역 5. 사용자의 접속 가능 수준 이상의 정보를 얻으려는 시도에 관한 로그 5 로그 접근은 엄격히 제한되어야 한다. 1. 로그 접근이 가능한 인가자는 해당 정보시스템 관리자에 한한다. 2. 정보통신보안담당관의 사전 승인이 없는 한 모든 서버와 응용 프로그램의 로그에 비인가 자 가 접근할 수 없도록 한다. 3. 서버 접속내역을 기록한 로그는 문서화된 공식적인 요청이나 법률에 따른 협조 요청에 의하 지 않고는 타인에게 공개할 수 없다. 제89조(정보시스템 변경관리) 1 정보시스템 패치나 시스템 파라미터(IP, 환경 설정 값을 말한 다) 변경 시 아래와 같은 작업을 수행한다. 1. 정보시스템 관리자는 정보시스템 변경작업 계획서(별지 제6호서식)를 작성하여 정보통신보 안담당관의 승인을 얻은 후 변경작업을 수행해야 한다. 2. 정보시스템 관리자는 변경 수행 전 시스템의 현재 설정을 백업하여 이상 상황에 대비한다. 2 응용프로그램 관리자는 응용프로그램을 변경하는 경우, 정보시스템 변경 작업 계획서(별지 제6 호서식)를 작성하여 정보통신보안담당관의 승인을 얻은 후 응용프로그램을 변경한다. 제90조(보안정책 변경관리) 1 정보보호시스템의 보안정책을 변경하는 경우, 아래와 같은 절차로 변경을 수행한다. 1. 보안정책 변경을 요청하는 사용자는 정보시스템 변경작업 신청서(별지 제5호서식)의 양식에 따라 요청내역을 작성하고, 부서장의 승인을 거쳐 정보통신보안담당관에게 요청한다. 2. 정보보호시스템 관리자는 승인내역에 따라 정보보호시스템의 보안정책을 변경한 후 변경내역 을 기록하여 관리한다. 2 정보보호시스템 관리자는 반기 1회 정보보호시스템 정책설정 현황을 자체적으로 확인하여, 기 한이 지난 정책을 삭제해야 한다. 제10장 응용프로그램 보안관리 제91조(환경의 분리) 1 개발 및 테스트시스템과 운영시스템은 분리하는 것을 원칙으로 한다. 다만, 개발 환경이 운영 환경에 영향을 주지 않는 보안 대책이 강구되었을 경우에는 예외로 할 수 있다. 2 컴파일러, 편집기와 같이 개발에 필요한 툴 등은 운영환경에 설치하지 않는다. 다만, 그 필요성이 인정되는 경우 응용프로그램 관리자의 승인을 얻은 후 설치하고, 개발을 완료한 때에 제거해야 한다. 제92조(보안 기능의 설계) 응용프로그램 관리자는 응용프로그램은 설계할 때에는 다음 각 호의 - 21 -

보안 기능을 고려해야 한다. 1. 응용프로그램의 관리자 권한은 일반 사용자 권한과 분리되어야 하며, 별도의 관리자 인증을 수행하는 방식으로 설계한다. 2. 사용자를 인증할 때에는 최대 인증 실패 횟수를 정하고 이를 초과할 경우 사용자 계정을 잠 그는 기능을 포함하도록 하며, 잠금 해제 시에는 본인 확인 절차를 거치도록 한다. 3. 입력 데이터에 대한 유효성 점검 기능을 반영한다. 4. 사용자 화면상에 패스워드와 같은 민감한 데이터가 평문으로 보이지 않도록 한다. 5. 개인정보의 접근은 허가된 관리자만이 가능하도록 하며, 개인 비밀번호와 같은 중요한 정보 는 암호화하여 통신하고 저장한다. 제93조(시스템 개발) 1 응용프로그램 개발 시, 국가정보원에서 발간한 홈페이지 보안관리 매뉴 얼 보안가이드에서 제시하는 보안기능을 고려하여 개발을 수행한다. 2 실제 운용 파일과 테스트용 파일명의 혼선으로 인해 데이터의 무결성이 침해하는 것을 방지하 기 위해 파일명 지침을 수립하고, 실제 운용 파일과 테스트용 파일의 이름을 구분해야 한다. 제94조(응용프로그램 테스트) 1 실제 운용 정보의 노출을 방지하기 위해 응용프로그램을 테스트 할 때에는 실제 데이터가 아닌 테스트 데이터를 생성하여 활용해야 한다. 다만, 실제 데이터를 테스트 데이터로 사용할 경우 정보통신 보안 담당관의 승인을 받아 활용할 수 있다. 2 응용프로그램을 실제 운용 단계로 이관하기 전에 응용프로그램 개발자는 공식화된 접근경로를 제외하고는 모든 접근경로를 제거하여야 하고 불필요한 모든 특별 권한도 취소되어야 한다. 3 중요 응용프로그램은 최초 프로그램 실행 전에 복사본을 별도로 보관해 두어야 한다. 4 응용프로그램 관리자는 개발된 프로그램을 실제 운용으로 이관할 때나, 응용프로그램에 대해 개발 설계할 때, 정의한 보안 요구사항에 대하여 구현이 되었는지 점검한다. 5 시험 데이터는 보호하고 통제되어야 하고, 시험목적을 위해 사용되는 운영데이터를 보호하기 위하여 다음의 통제수단들이 적용되어야 한다. 1. 운영 중인 시스템들에 적용하는 접근통제는 시험 목적의 시스템에도 동일하게 적용되어야 한다. 2. 운영 시스템의 정보가 시험에 사용될 때마다 정보통신보안담당관의 인가가 있어야 한다. 3. 운영 시스템의 정보는 시험이 완결된 즉시 시험할 때 사용된 시스템에서 제거해야 한다. 4. 운영 시스템 정보의 사용 및 복사는 감사를 위해 기록 유지되어야 한다. 제95조(소스 라이브러리 관리 및 통제) 1 소스 프로그램 및 데이터 라이브러리의 정보보안 침해 에 따른 문제 발생을 최소화하기 위해서 엄격한 접근 통제가 이루어져야 하며 소스 프로그램과 데이터 라이브러리의 접근 통제사항은 다음과 같다. 1. 소스 프로그램 및 데이터 라이브러리는 실제 운용 시스템에 저장되어서는 안 된다. 다만, 응 용프로그램 개발자의 요청과 응용프로그램 관리자의 승인을 얻은 후 저장할 수 있다. 2. 소스 프로그램 목록, 소스, 라이브러리는 안전한 장소에 보관해야 한다. 3. 프로그램의 변경사항 발생 시 변경내역, 일시 등을 기록하여 관리하여야 한다. 4. 개발 중이거나 유지보수 중인 프로그램은 운영 중인 프로그램의 소스와는 분리하여 관리한다. 2 개발자나 유지 보수 담당자가 업무적 필요에 의해 자신의 PC에 소스 프로그램을 보관하는 경우 에는 본 시행 지침의 사용자 보안관리 에 관한 규정을 준용하여 PC 보안에 유의하여 관리한다. 제96조(권한관리) 1 응용프로그램에 대한 접근 통제를 위해 다음의 사항을 준수하여 권한 관리 를 실시한다. 1. 응용프로그램 관리자는 운영되는 응용프로그램에 대하여 일반사용자와 특별한 권한을 가진 사용자를 구별하여 반기 1회 그 권한의 적합성을 검토한다. 2. 응용프로그램이 구동되는 서버시스템에 접근이 필요한 경우, 본 시행 지침의 서버보안 관 리 에 관한 규정에 따라 서버관리자를 통해 접근 권한을 부여받도록 한다. - 22 -

3. 응용프로그램 개발자는 응용프로그램 일반사용자가 응용프로그램 관리에 관한 화면, 파일 혹 은 디렉터리 등 해당 응용프로그램의 주요 정보에 직접 접근할 수 없도록 통제하여야 한다. 4. 응용프로그램 관리자는 해당 응용프로그램의 보안관련 기능이 정상적으로 동작하지 않을 경 우, 정상적으로 동작될 때까지 해당 응용프로그램 사용자의 접근을 제한할 수 있다. 제97조(백업) 1 응용프로그램의 소스프로그램, 라이브러리 및 데이터는 변경시마다 백업을 실시 하는 것을 원칙으로 한다. 2 데이터 처리가 중단된 후 바로 이전 단계로 되돌아 올 수 있도록 운영체계나 응용프로그램을 변경하기 전에 전체 시스템에 대해 백업을 실시한다. 제98조(로깅 및 모니터링) 1 응용프로그램 개발자 및 서버관리자 등은 응용프로그램에서 생성되 는 로그 및 감사로그에 대한 비인가자에 의한 접근이 불가능하도록 통제한다. 2 응용프로그램 개발자 및 서버관리자 등은 해당 응용프로그램과 운영 환경에 대한 안전성을 지 속적으로 모니터링 해야 한다. 제11장 암호화 관리 제99조(암호화 기법의 선정기준) 1 암호화 프로그램은 다음의 항목을 고려하여 선정한다. 1. 사용 목적 2. 시스템 구성도 및 동작 프로토콜 3. 시스템 구성요소별 기능 및 제원 4. 보안서비스 요구사항 제100조(암호화 기법의 적용대상) 1 정보시스템의 경우 다음 각 호의 암호화 기법 적용대상이 된다. 1. DB서버에 저장되는 중요정보 (주요 개인정보 및 패스워드 등) 2. 정보시스템에 등록되어 있는 사용자 패스워드 2 정보를 전송할 때 다음의 각호 암호화 기법을 적용하여야 한다. 1. 메일을 이용한 중요정보의 전송 시 데이터 암호화 2. 원격접속 및 개인정보 전송 시 메시지 암호화 3 인증할 때에는 사용자 인증을 위해 인증서를 적용하여야 한다. 제101조(암호화 기법) 1 정보시스템의 경우 다음의 각호 암호화기법을 적용한다. 1. DB서버에 저장되는 중요정보 : 일방향 암호화알고리즘 사용 2. 사용자 패스워드 : 정보시스템의 시스템 계정에 대한 암호화는 시스템 자체 암호화 알고리즘 사용 2 정보를 전송할 때에는 다음의 각호 암호화 기법을 적용하여야 한다. 1. 메일을 통한 중요 정보 전송 시 암호화 : 파일 저장 시 암호 지정, 압축파일 암호 지정 2. 원격접속 및 개인정보 전송 시 메시지 암호화 : SSL 등 보안 프로토콜 사용 제102조(암호화 및 키 관리) 1 정보보안을 위한 암호화 및 키 관리에 관한 지침은 다음 각 호와 같다. 1. 비밀자료와 같이 데이터에 대한 기밀성이 요구되는 경우에는 암호화를 반드시 적용하여야 한다. 2. 암호 알고리즘과 키는 담당자 이외에 정보시스템 관리자를 포함한 어떠한 직원에게도 유출되 어서는 안 된다. 3. 암호화 관련 알고리즘 구현 시, 가능하면 상용제품을 구입하는 것을 원칙으로 하며, 키 관리 시스템이 제공되어야만 한다. 4. 암호화 알고리즘의 공개여부 및 상용제품 여부와 관계없이 검증된 것임을 증명하여야 하며, 사용되는 키의 길이가 적절하고 충분함을 증명해야 한다. 2 자체 개발하거나 제작한 정보보호시스템은 국가정보원장의 보안성 및 신뢰성에 대한 검토 승인 - 23 -

을 받아야 한다. 제103조(승인된 암호화 기법의 사용) 1 암호화 기법을 사용할 경우에는 정보통신보안담당관의 승인을 얻은 암호화 기법(프로그램)만 사용해야 한다. 2 업무의 중요 정보를 네트워크를 통해 전송할 때에는 반드시 암호화를 한다. 1. 중요 정보를 생성 후, 파일 저장 시 암호 사용 (각 문서편집기에서 지원하는 암호 사용) 2. 암호 사용 시 숫자, 문자, 특수 문자 등을 혼합하여 사용 3. 암호 사용한 파일을 압축 4. 압축 시 암호 사용(이중 암호화) 해서 메일 발송 5. 사용한 암호를 별도의 방식(유선전화, SMS 등)으로 발송 3 암호화 기법(프로그램)을 변경 운용하고자 하는 직원은 정보통신보안담당관의 승인을 받은 후 사용한다. 제12장 재난복구 제104조(재난복구 대책수립) 1 정보통신보안담당관은 재난재해 및 사이버 공격에도 기관의 업무 가 지속적으로 수행될 수 있도록 재난과 보안실패(자연재해 사고 장비고장 그리고 고의적인 사 고 등의 결과)로 발생되는 업무중단을 방지하기 위해서 재난 복구대책을 수립한다. 2 정보통신보안담당관이 비상계획 및 재난복구 대책 수립에 포함되어야 하는 내용은 다음 각 호 와 같다. 1. 전산시스템 비상대피 절차 2. 전산시스템 복구계획 및 절차 3. 전산시스템 비상대피 및 복구 훈련 계획 4. 운영관련 최소 필요 장비 또는 설비의 정의와 목록 제105조(재난복구 대책검토) 1 정보통신보안담당관은 재난발생에 대비하여 연 1회 재난복구대 책을 수립하여 시험하고 보안담당관에게 결과를 보고한다. 제106조(전원공급 대책) 1 시설운영 담당자는 지속적인 전원공급을 위한 방안을 강구하고 주기 적으로 위험요소와 고장여부를 점검한다. 2 전원공급 이상이나 그 밖의 전기관련 사고에 대하여 장비를 보호하기 위해 다음의 사항을 확보한다. 1. 장비 제조업체의 사양에 따른 적절한 전원 공급 2. 무정전 전원공급 장치(UPS) 3. 보조발전기 3 안정적인 전원공급과 지속적인 가동을 위하여 UPS 장비 및 발전기는 용량이 적정한지 정기적 으로 확인해야 하며, 제조업자의 권고에 따라 시험 운영한다. 제107조(장비 보호) 1 전산실은 방수, 방화, 방진, 초음파 도청 및 외부 침입방지 등 기계실 요 건에 맞는 건물 또는 사무실에 위치해야 한다. 2 전산실은 지진지대, 침수지대, 위험물(폭발물, 가스, 유류 등 ) 보관장소 등 재난발생 우려 지 역이 아닌 곳에 위치해야 한다. 3 전산실의 출입 사항은 무인 감시카메라 또는 출입 자동기록 시스템에 의해 사후 확인이 가능하 도록 하여야 한다. 4 전산실의 재난에 대비하여 열 감지기, 연기감지기, 누수감지기 등의 방화시설, 하론가스 등 소 화설비, 기타 방재설비를 적절히 보유하고 있으며, 작동 가능한 상태로 유지해야 한다. 5 전산실은 온도, 습도, 청결(방진 제진) 등에 있어 시스템이 운영될 수 있는 적합한 환경을 유지 해야 한다. - 24 -

6 조직의 중요 업무를 수행하는 전산설비(서버, 네트워크 장비 등)는 사용 불가능한 경우(시스템 장애, 네트워크 침입, 바이러스, 사용자 실수 등)신속한 복구를 위하여 장비 이중화 및 백업작업을 수행한다. 제108조(통신회선 보호) 1 정보통신보안담당관은 통신회선의 절단, 도청, 손상을 방지하기 위한 수단을 강구하고, 전화선, 전력선, 정보통신망 회선 등의 설비도면을 최신자료로 관리한다. 2 정보처리 설비로 연결되는 전력 및 통신선로는 매설을 원칙으로 한다. 3 네트워크 케이블은 도관(Conduit)을 이용하거나 공공지역을 통과하는 경로를 회피하여 설치 한다. 4 전력 케이블과 통신 케이블은 전기적 간섭을 방지하기 위하여 분리해야 한다. 제109조(모의훈련 실시) 정보통신보안담당관은 다음과 같은 모의훈련 방법을 고려하여 재난복구 대책에 따라 주기적으로 모의훈련을 실시해야 한다. 1. 사고 시나리오에 의한 사고 테스트 2. 시스템의 효율적 복구를 위한 기술적 복구 테스트 제110조(모의훈련 기록) 모의훈련 실시 후 모의훈련 결과 보고서에는 다음과 같은 내용이 기록되 어야한다. 1. 사건의 신고 접수 시간 2. 업무복구 목표가 성취되는 시간 3. 모의훈련에 영향을 미치는 실제 사건의 세부적인 사항 4. 모의훈련이 종결되는 시간 5. 모의훈련 시 실제 백업자료를 이용한 복구 가능 여부 제111조(모의훈련 결과분석) 1 모의훈련이 종료되고 나면 모의훈련 결과를 분석한다. 2 모의훈련 결과 분석에 따라 도출된 문제점 및 개선방안을 비상대책에 반영하여 수정하고, 필요 에 따라 구성원들에게 교육을 실시한다. 제13장 침해사고 대응 제112조(침해사고의 정의) 1 침해사고의 정의는 일반적으로 관련 법ㆍ규정 등에 위배되는 사건이 나 정보자산에 손실ㆍ절도ㆍ파괴 등이 발생하여 정상적인 업무에 지장을 초래하는 사고를 말한다. 2 다음 각 호에 따라 분류된 사건이 발생할 경우는 침해사고로 정의하며 국가정보원에서 정의한 별표 2 정보보안사고 유형도 침해사고로 정의한다. 1. 비인가자의 정보시스템 접근 2. 정보자산의 유출(하드웨어, 소프트웨어, DATA 등) 3. 중요 정보의 변조ㆍ삭제 4. 정보시스템 자원의 오용 5. 악성 프로그램(바이러스, 백도어 등) 유포 6. 정보시스템의 서비스 거부공격(DOS 공격 등) 7. 정보시스템의 절도ㆍ파괴 8. 네트워크 장비, 서버 및 PC 해킹 9. 어플리케이션에 대한 비 인가된 접근 및 접근시도 10. 중요문서의 분실 및 도난 11. 통제구역에 대한 불법 침입 제113조(침해사고의 구분) 침해사고는 다음 각 호와 같이 중대 보안사고와 일반 보안사고로 구분된다. 1. 중대 보안사고 가. 보안사고 발생시, 핵심 업무에 매우 치명적인 영향을 줄 것이라고 판단되는 경우 - 25 -

나. 보안사고 발생시, 이미지의 손실, 이익의 손실, 손해배상 등을 초래하는 경우 다. 국가사이버안전센터의 사이버 위협경보단계의 경계(Orange) 및 심각(Red)단계 시 2. 일반 보안사고 가. 중대 보안사고를 제외한 보안사고로서 발생시, 핵심 업무에 영향이 없는 경우 나. 사고 발생 시 이미지의 손실, 이익의 손실, 손해배상 등이 미비한 경우 다. 국가사이버안전센터의 사이버 위협경보단계의 정상(Green)단계를 포함한 관심(Blue)ㆍ 주의(Yellow)단계를 포함한다. 제114조(침해사고의 신고) 1 모든 업무관계자는 정보시스템의 비 인가된 접근, 정보자산의 유출 등 침해사고 발생 시 부서장을 경유하여 정보통신보안담당관에게 문서 또는 구두로 보고해야 한다. 2 침해사고 발생 또는 징후 발견 시 증거인멸을 방지하기 위해서 발견자가 임의로 문제해결을 하려고 시도해서는 안 된다. 제115조(비상연락체계) 정보통신보안담당관은 업무별 시스템 담당자 및 관련 업무종사자의 이름 과 연락처를 상시 관리하여야 하며, 정보보호 관련기관, 외부 협력업체, 그 밖의 유관기관에 대 해서 월 1회 비상연락망의 변동 유무를 확인한다. 제116조(침해사고 대응) 1 정보통신보안담당관은 침해사고 발생 또는 이상 징후의 발견 시 이상 트 래픽에 대한 네트워크 속도 추이와 긴급 포트점검, 로그분석 등을 통하여 불법 침입 유무를 확인한다. 2 불법 침입사실을 확인한 경우, 피해확산 방지를 위한 초동 대응과 침입 원인 파악을 위한 제 반 사항을 분석한다. 3 정확한 사고 원인 분석을 위하여 국가정보원, 한국인터넷진흥원, 한국지역정보개발원 등의 전문기관에 원인분석을 의뢰할 수 있다. 4 원인분석 작업을 할 때에는 사고를 당한 해당 시스템의 접속기록 및 공격흔적을 훼손하지 않 도록 주의하고, 침해복구 전에 백업을 실시하여 관련 자료를 보관한다. 5 그 밖에 상세한 대응절차는 제주특별자치도 사이버침해대응 업무 프로세스의 절차를 참고한다. 제117조(침해사고 복구) 1 정보통신보안담당관은 침해 원인, 침해 경로, 피해상황 등을 정리하 여 보안심사위원장에게 보고하고 복구에 필요한 제반사항과 재발방지를 위한 보호대책을 수립 시행하여야 한다. 2 정보통신보안담당관은 신속한 복구가 이루어 질 수 있도록 조치하여야 하며, 각 정보시스템 관리부서의 장은 이에 대한 적극적인 지원과 협조를 해야 한다. 제118조(침해사고의 보고) 1 사이버 침해대응 담당자는 접수된 신고 사항에 대해 기록하고, 시 정 조치가 종료될 때까지 모든 기록을 유지ㆍ관리하며 조치된 내역에 대해 침해사고 처리보고서 를 작성하여 정보통신보안담당관에게 보고해야 한다. 2 정보통신보안담당관은 중대 보안사고가 발생한 때에는 보안담당관에게 보고해야 한다. 제119조(상급기관 보고) 1 보안담당관은 중대 보안사고가 발생한 때에는 행정안전부와 국가정보 원에 보고해야 한다. 2 별표 1 정보보안사고 유형의 보안사고가 발생한 때에는 즉시 피해를 최소화하도록 조치를 취하고 다음 각 호의 사항을 국가정보원장에게 보고해야 한다. 1. 일시 및 장소 2. 사고원인 및 피해현황 등 개요 3. 사고자 및 관계자의 인적사항 4. 조치내용 등 제14장 보 칙 제120조(준용) 이 지침에 명시되지 않은 사항은 다음 각 호의 관련 규정 및 지침이 정하는 바에 - 26 -

따른다. 1. 보안업무규정(대통령령 제21214호) 2. 국가사이버안전관리규정(대통령 훈령 제141호) 3. 국가정보보안기본지침(국가정보원 지침) 4. 국가전산망 보안관제지침(국가정보원 지침) 5. 정보통신보안업무규정(행정안전부 훈령 제147호) 6. USB메모리 등 휴대용 저장매체 보안관리지침(국가정보원 지침) 7. RFID 보안관리 지침(국가정보원 지침) 8. 행정기관 정보시스템 접근권한 관리규정(국무총리 훈령) 부 칙 이 지침은 발령한 날부터 시행한다. 별표 1 G-ISMS 내부심사 점검항목(제23조 관련) No 1 2 3 분야 정보 보호 정책 정보 보호 조직 자산 관리 통제 사항 정보 보호 정책 정보 보호 조직 자산에 대한 책임 정보 자산 분류 No 통제항목 통제내용 1.1.1 정보보호 정책의 정보보호 정책 문서는 장의 결재를 받아 전 직원에게 문서화 공람하여야 한다. 1.1.2 정보보호 정책/대책/계획은 정해진 시기뿐만 아니라 정보보호 정책의 적합성과 타당성 및 효과에 있어 중대한 변화가 발생 검토 된 경우에 검토하여야 한다. 2.1.1 책임자는 정보보호 방향 제시 및 검토, 역할 및 책임 정보보호를 위한 승인, 조직의 협력 및 조정 확인 등의 역할 수행을 통 책임자 역할 하여 정보보호 활동을 능동적으로 지원하여야 한다. 2.1.2 정보보호 활동과 관련이 있는 역할과 직무 기능을 정보보호 관련 위원 갖는 부서의 책임자들은 정보보호 활동에 협조하고 회 구성 및 운영 위원회 활동에 참여하여야 한다. 2.1.3 정보보호 책임의 할당 정보보호 책임은 명확히 지정되어야 한다. 2.1.4 정보시스템 도입에 신규 정보시스템 도입 시 정보보호 요구사항을 반영하 대한 인가절차 는 인가절차를 수립하여야 한다. 2.1.5 보안 서약서 정보보호를 위한 기관의 요구사항을 반영하여 비밀유지 서약서의 내용을 정의하고 정기적으로 검토하여야 한다. 2.1.6 관련기관과의 연계 관련기관과의 상시협조체계를 마련하고 유지하여야 한다. 2.1.7 전문적인 그룹과의 연계 보안관련 전문 그룹과 적절한 연계를 유지하여야 한다. 2.1.8 정보보호에 대한 기관의 활동은 정해진 시기뿐만 아니 정보보호에 대한 라 보안 환경에 중요한 변화가 있을 경우 독립적으로 독립적인 검토 검토하여야 한다. 3.1.1 자산 목록 주요 정보자산에 대한 목록을 작성하고 관리하여야 한다. 3.1.2 자산관리자 정보자산에 대하여 자산관리자를 명시적으로 지정하여 야 한다. 3.1.3 자산의 허가된 사용 정보자산의 사용 규정을 문서화 하고 이에 따라 적용 하여야 한다. 3.2.1 분류 기준 정보자산은업무에대한정보의필요성및중요도등을고려하 여분류하여야한다. 3.2.2 정보처리 규정 기관의 정보자산 분류 기준에 근거하여 정보에 대한 처리 방식을 규정하고 이에 따라 적용하여야 한다. - 27 -

4 5 인적 보안 물리 적 보안 채용시 인적 보안 재직시 인적 보안 퇴직 및 직무 변경 외부자 보안 보호 구역 정보 처리 시설 및 장비 보호 4.1.1 역할과 책임 4.1.2 적격심사 4.1.3 고용계약 4.2.1 정보보호 수행관리 4.2.2 정보보호 교육 및 훈련 4.2.3 징계 규정 4.3.1 퇴직 시 책임사항 4.3.2 자산의 반납 4.3.3 접근권한의 제거 4.4.1 4.4.2 4.4.3 외부자와 관련된 위험파악 민원인 접근에 대한 보안 외주용역 계약에 대한 보안 5.1.1 물리적 보호구역 5.1.2 물리적 출입통제 5.1.3 5.1.4 사무실 및 설비 공간 보호 외부 및 환경 위협에 대한 보호 5.1.5 보호구역 작업 5.1.6 5.2.1 공공장소 및 운송 하역구역 정보처리 시설의 배치 5.2.2 설비 지원 5.2.3 케이블 보호 5.2.4 5.2.5 시설 및 장비 유지보수 외부 반출 장비의 보안 직원의 신규 채용 시 정보보호에 관한 역할 및 책임을 문서화하어야 한다. 관련 법규 및 업무 요구사항에 따라 채용 대상자에 대 한 적격심사가 수행되어야 한다. 채용 대상자는 정보보호에 대한 책임이 포함된 고용 계약서에 동의하고 서명하여야 한다. 내부직원 및 외주용역 인력이 수립된 정책 및 기관의 절 차에 따라 정보보호를 수행할 수 있도록 관리하여야 한다. 내부직원 및 외주용역 인력을 대상으로 주기적인 정보 보호 교육 및 훈련을 실시하여야 한다. 보안을 위반한 직원에 대한 공식적인 징계 규정이 있 어야 한다. 퇴직 및 직무 변경 업무에 관한 책임이 명시적으로 정 의되고 수행되어야 한다. 모든 직원은 퇴직 및 계약 종결 시 소유한 기관의 자 산을 반납하여야 한다. 퇴직, 계약 종결 또는 직무 변경 등의 사유가 발생할 경우 정보시스템에 대한 해당 직원의 접근권한이 제거 되어야 한다. 외부자와 관련된 업무에서의 정보와 정보처리시설에 대한 위험을 파악하고, 접근권한을 부여하기 전에 적 절한 통제를 구현하여야 한다. 기관의 정보 및 자산에 대한 민원인의 접근을 허용하 기 전에 파악된 보안 요구사항에 대한 적절한 조치를 수행하여야 한다. 기관의 정보 또는 정보처리시설에 대하여 외주용역 인 력의 접근을 허용할 경우 기관의 보안 요구사항을 계 약서상에 명시하여야 한다. 정보 및 정보처리시설이 설치된 장소를 보호하기 위 해 물리적 보호구역(제한지역, 제한구역, 통제구역)을 지정하여야 한다. 보호구역은 인가된 사람만 출입이 가능하도록 출입통 제 장치를 설치하고 운영하여야 한다. 사무실 및 설비 공간에 대한 물리적인 보호방안을 수 립하고 적용하여야 한다. 자연재해 및 인재로 인한 피해에 대비하기 위해 물리 적인 보호방안을 수립하고 적용하여야 한다. 보호구역에서의 작업을 위한 물리적인 보호방안을 수 립하고 적용하여야 한다. 공공장소 및 운송 하역을 위한 구역은 내부 정보처 리시설로부터 분리 및 통제하여야 한다. 정보처리시설은 물리적인 위협과 비인가된 접근으로부 터 보호될 수 있도록 배치하여야 한다. 정보처리시설은 전원 장애 및 공조시설의 장애에 따른 중단으로부터 보호되어야 한다. 전원을 공급하는 전력선과 데이터를 전송하는 통신선 은 손상이나 도청으로부터 보호하여야 한다. 정보처리시설은 가용성과 무결성을 지속적으로 보장할 수 있도록 유지보수 하여야 한다. 외부로 반출된 정보시스템 장비는 사용과정에서 발생 할 수 있는 위험에 대한 적절한 대책을 수립 및 적용 하여야 한다. 5.2.6 장비의 폐기 및 재사용 저장매체를 가지고 있는 장비의 폐기 및 재사용 시 정 보 및 소프트웨어가 안전하게 삭제되었는지 점검하여 야 한다. 5.2.7 장비의 반출 입 관리 장비 및 저장매체를 반입 및 반출하기 위한 사전 승인 절차를 마련하여야 한다. - 28 -

6 통신 및 운영 관리 운영 절차 및 책임 위탁 서비스 관리 정보 시스템 도입 유해 소프트 웨어 통제 6.1.1 운영절차의 문서화 정보시스템 운영절차를 문서화하고 관리하여야 한다. 6.1.2 변경관리 정보시스템의 변경에 대한 통제방안을 수립하고 시행 하여야 한다. 6.1.3 직무분리 정보시스템에 대한 고의적 또는 우발적 오용의 위험을 감소시키기 위해 직무가 분리되어야 한다. 6.1.4 정보시스템의 개발, 시험 및 운영환경은 비인가된 접 개발, 시험 및 운영 근 또는 변경의 위험을 최소화하기 위해 분리되어야 환경의 분리 한다. 6.2.1 서비스 계약 보안대책을 포함한 서비스 위탁 계약을 체결하고 이에 따른 계약자의 이행을 확인하여야 한다. 6.2.2 서비스 모니터링 및 위탁 서비스에 대한 보고서 및 기록은 정기적으로 모 검토 니터링 및 검토하여야 한다. 6.2.3 서비스 변경관리 위탁 서비스의 변경은 관련된 업무의 중요도와 정보시 스템의 위험평가를 고려하여 관리되어야 한다. 6.3.1 정보시스템 도입 계획 6.3.2 정보시스템 인수 6.4.1 악성코드 통제 6.4.2 모바일 코드 통제 백업 6.5.1 정보 백업 네트 워크 보안 매체 관리 정보의 교환 전자 상거래 서비스 6.6.1 네트워크 통제 6.6.2 6.7.1 네트워크 서비스 보안 휴대용 저장매체의 관리 6.7.2 매체 폐기 6.7.3 정보 취급 절차 6.7.4 시스템 문서의 보안 6.8.1 정보 교환의 통제 6.8.2 정보 교환 계약 6.8.3 운송중인 매체의 보호 6.8.4 전자적 교환 보안 6.8.5 정보시스템 접속 통제 6.9.1 전자상거래 6.9.2 온라인거래 6.9.3 공개정보 정보시스템의 처리 속도와 용량에 대하여 주기적인 모 니터링을 수행하고 안정성의 확보에 필요한 시스템 도 입 계획을 수립하여야 한다. 새로 도입되는 정보시스템에 대한 인수 기준이 수립되 어야 하며, 인수 전에 테스트가 수행되어야 한다. 악성코드로부터 정보시스템의 보호를 위한 통제 방안 을 수립하고 사용자 교육 및 훈련을 수행하여야 한다. 모바일 코드(자바스크립트, 액티브엑스 등)는 실행을 제한하여야 하고 필요한 경우에 한정하여 사전에 정의 된 정책에 따라 실행하여야 한다. 중요 정보와 소프트웨어의 백업을 위한 규정을 수립하 고 주기적으로 백업을 수행하여야 한다. 네트워크로 전송되는 정보와 네트워크에 연결된 정보 시스템에 대한 보안을 유지하기 위하여 통제방안을 수 립하고 운영하여야 한다. 네트워크 서비스에 대한 보안 기능, 서비스 수준, 관리 요구사항 등을 정의하고 네트워크 서비스 계약을 체결 에 반영하여야 한다. 휴대용 저장매체에 대한 관리 방안이 수립되어야 한 다. 매체의 불용처리 시 저장내용을 식별할 수 없도록 소 각, 파쇄 등의 폐기 방안을 수립하여야 한다. 매체에 포함된 정보의 비인가된 유출, 변경, 손상으로 부터 보호하기 위한 취급 방안을 수립하여야 한다. 시스템 문서를 비 인가된 접근으로부터 보호하기 위한 관리 방안을 수립하여야 한다. 통신설비를 사용한 정보의 교환 시 안전한 절차와 통 제가 수립되어야 한다. 정보 및 소프트웨어를 타 기관과 교환할 경우 공식적 인 계약을 체결하여야 한다. 정보를 포함한 매체는 기관 외부로 운송시 인가되지 않은 접근, 변경, 손상으로부터 보호하여야 한다. 전자 메일, 메신저 및 P2P 통신과 같은 전자적인 교 환에 대한 보호 방안을 수립하여야 한다. 정보시스템 간의 안전한 접속을 보장하고 관련 정보를 보호하기 위한 방안을 수립하여야 한다. 전자상거래 관련 정보는 침탈 행위, 계약 분쟁, 그리고 인가받지 않은 공개와 변경으로부터 보호되어야 한다. 온라인 거래에 관련된 정보는 전송 실패, 라우팅 오류, 인가받지 않은 메시지 변조, 공개, 복제나 재생 등을 방지하도록 보호하여야 한다. 민원인이 사용할 수 있는 시스템에서의 이용 정보를 보호하기 위한 무결성 유지 방안을 수립하여야 한다. - 29 -

7 접근 통제 모 니 터 링 접근 통제에 대한 업무 요구 사항 사용자 접근 관리 사용자 책임 네트 워크 접근 통제 운영 시스템 접근 통제 정보 접근 제어 이동 컴퓨팅 및 원격지 근무 6.10.1 감사 로그 사용자 활동, 예외 처리, 정보보호 사고에 대한 조사와 모니터 링을 지원하기 위해 감사 로그를 기록하고 관리하여야 한다. 6.10.2 정보시스템 사용 정보처리시설의 사용에 대한 모니터링 방안을 수립하여 모니터링 야하고 모니터링 결과를 주기적으로 검토하여야 한다. 6.10.3 로그 정보의 보호 로그기록 장치와 로그정보는 비 인가된 접근 및 변경 으로부터 보호하여야 한다. 6.10.4 관리자 및 운영자 정보시스템 관리자와 운영자의 활동을 기록 및 검토하 로그 여야 한다. 6.10.5 장애 로그 장애 로그를 기록하고 분석하여 적절한 대응 방안을 수립하여야 한다. 6.10.6 시간 동기화 기관 내부의 정보시스템은 정확한 시간으로 동기화하여야 한다. 7.1.1 접근통제 방안 수립 업무와 정보의 접근에 대한 보안 요구사항에 기초하여 접근통제 방안을 수립 및 문서화하고 주기적으로 검토 하여야 한다. 7.2.1 사용자 등록 정보시스템과 서비스에 접근을 허용하거나 취소하기 위 한 공식적인 사용자 등록 및 해지 절차가 있어야 한다. 7.2.2 특수권한 관리 특수권한의 할당이나 사용을 제한하고 통제하여야 한다. 7.2.3 패스워드 관리 패스워드는 승인된 절차에 의해 통제 및 관리되어야 한다. 7.2.4 접근권한의 검토 사용자의 접근권한을 주기적으로 검토하여야 한다. 7.3.1 패스워드 사용 안전한 패스워드 사용 및 관리 지침을 수립하여야 한다. 7.3.2 이석시의 장비 보안 사용자가 자리를 비울 때 비인가된 접근으로부터 장비 를 보호하기 위한 방안을 수립하여야 한다. 7.3.3 클린데스크 중요 문서, 착탈식 저장매체를 책상에 두지 않게 하고 화면을 보호하기 위한 방안을 수립하여야 한다. 7.4.1 네트워크 서비스의 사용자가 인가를 받은 서비스에만 접속할 수 있도록 사용정책 통제하는 방안을 통제하여야 한다. 7.4.2 원격접속 사용자 원격 사용자의 접속을 통제하기 위해 적절한 인증방법 인증 을 사용하여야 한다. 7.4.3 네트워크에서의 장비 특정 위치 및 장비로부터의 접속을 인증하기 위한 자 인식 동식별 도구를 사용하여야 한다. 7.4.4 원격 진단 및 포트 포트를 구성하고 진단하기 위한 물리적 논리적 접속 설정 보호 을 통제하여야 한다. 7.4.5 네트워크 분리 서비스 그룹 및 사용자, 정보 시스템 별로 네트워크를 분리하여 통제하여야 한다. 7.4.6 네트워크 연결 제어 외부의 네트워크 접속은 접근통제 정책과 업무 요구사 항에 따라 제한하여야 한다. 7.4.7 네트워크 경로 제어 업무 응용의 접근통제 정책에 따른 컴퓨터 접속과 정 보 흐름 통제를 위한 경로 제어를 수행하여야 한다. 7.5.1 로그온 절차 운영시스템 접속을 통제하기 위한 보안 접속 절차를 마련하여야 한다, 7.5.2 사용자 식별 및 인증 사용자에 대한 유일한 ID를 부여하고 적절한 인증 방 법을 사용하여야 한다. 7.5.3 패스워드 관리 체계 패스워드를 관리하는 체계는 대화형이어야 하고, 안전 한 패스워드를 유지할 수 있어야 한다. 7.5.4 시스템 유틸리티의 업무통제나 시스템을 무력화 할 수 있는 유틸리티의 사용 사용 은 제한되고 최고로 통제된 상황에서만 허용되어야 한다. 7.5.5 세션 시간 종료 사용되지 않는 세션은 일정시간 경과 후 중지하여야 한다. 7.5.6 연결 시간 제한 중요 정보나 응용시스템을 보호하기 위해 접속 시간을 제한하여야 한다. 7.6.1 정보 접근통제 정보나 서비스의 접근에 대한 통제방안을 수립하여야 한다. 7.6.2 민감 시스템 격리 민감한 장비나 시스템은 격리되어야 한다. 이동 컴퓨팅 도구와 통신설비를 사용하는 위험을 감소 7.7.1 이동 컴퓨팅 및 통신 시키기 위해 적절한 보호방안이 적용되어야 하고 공식 적인 정책이 수립되어야 한다. 7.7.2 원격 작업 원격 작업 활동에 관한 정책, 운영계획과 절차가 개발 되고 적용되어야 한다. - 30 -

8 9 10 정보 시스 템 요구 사항, 개발 및 유지 보수 보안 사고 관리 업무 연속 성 관 리 정보시 스템의 보안 요구사항 응용 프로 그램의 정확한 처리 암호화 통제 시스템 파일의 보안 개발 및 지원 과정 에서의 보안 기술적 취약성 관리 보안 사고 및 취약점 보고 보안 사고 대응 및 사후 관리 업무 연속성 관리 8.1.1 정보시스템 보안 요 구사항 분석과 설계 새로운 정보시스템 설치나 기존의 정보시스템 기능향 상에 관한 업무 요구서에 보안 요구사항을 명시하여야 한다. 8.2.1 입력 데이터의 검증 응용프로그램에 입력되는 데이터는 사전에 적절하고 정확한지 검증되어야한다. 8.2.2 내부 프로세스 통제 처리오류 및 고의적인 장애를 통한 정보의 변조를 탐지 하도록 점검기능을 응용프로그램에 구현하여야 한다. 8.2.3 메시지 무결성 중요 데이터를 포함하는 메시지를 전송하는 경우 메 시지가 변조되거나 훼손되지 않았음을 보장하기 위해 메시지에 대한 무결성 보장 통제를 적용하여야 한다. 8.2.4 출력 데이터의 검증 저장된 정보의 처리가 상황에 맞게 적절히 수행되었는 지 확인하기 위해 응용프로그램에서 출력된 데이터를 검증하여야 한다. 8.3.1 암호화 통제 정보보호를 위한 암호화 적용에 대한 정책을 수립하여 운영하여야 한다. 8.3.2 키 관리 암호화 기법 사용을 지원하는 키 관리 방법을 마련하여야 한다. 8.4.1 운영소프트웨어 운영 시스템에서 소프트웨어를 설치할 시 이에 대한 통제 통제절차를 수립 및 수행하여야 한다. 8.4.2 시스템 테스트 테스트 데이터에 대한 접근을 통제하는 절차가 있어야 데이터의 보호 한다. 8.4.3 프로그램 소스코드에 인가되지 않은 방식으로 소스코드가 변경되지 않도록 대한 접근통제 소스코드에 대한 접근통제를 수행하여야 한다. 8.5.1 변경통제 절차 정형화된 변경통제 절차를 수립하고 이에 따라 변경의 수행을 통제하여야 한다. 8.5.2 운영체제(OS)가 변경되면 중요한 업무용 응용 프로그 운영체제 변경에 램을 검토 및 시험하여 기관의 운영이나 보안에 대한 따른 기술적 검토 영향을 확인하여야 한다. 8.5.3 소프트웨어 패키지 소프트웨어 패키지 수정은 엄격하게 통제하여야 하며 변경 제한 꼭 필요한 변경일 경우로 제한하여야 한다. 8.5.4 정보유출 방지 정보유출을 방지하는 통제를 수행하여야 한다. 8.5.5 외부용역 소프트웨어 외부용역을 통한 소프트웨어 개발을 감독하여야하고 개발 모니터링 하여야 한다. 정보시스템의 기술적인 취약점에 대해 시기적절한 정 8.6.1 기술적 취약성 통제 보를 유지하고 관련된 위험에 대응하기 위해 적절한 방법을 이행하여야 한다. 9.1.1 보안사고 보고 보안사고는 가능한 빨리 적절한 관리 채널을 통해 보 고되어야 한다. 9.1.2 취약점 보고 정보시스템과 서비스의 사용자는 시스템 또는 서비스 의 취약점을 기록하고 보고하여야 한다. 9.2.1 대응 및 복구 보안사고에 빠르고 효과적이며 규정화된 대응을 보장 하도록 관리 책임과 절차가 수립되어야 한다. 9.2.2 보안사고 사후관리 보안사고의 유형, 규모, 비용 등을 정량화하고 모니터 링 할 수 있는 적절한 방안을 수립하여야 한다. 보안사고로 인한 법적 조치가 필요한 경우, 관련법에 9.2.3 근거의 수집 규정된 증거에 관한 법률에 따라 증거를 수집, 보유하 여 제시할 수 있어야 한다. 10.1.1 10.1.2 10.1.3 10.1.4 10.1.5 업무연속성 관리를 위한 정보보호 업무연속성에 대한 영향평가 정보보호를 포함한 연속성 계획 수립 및 구현 업무연속성 계획 체계 업무연속성 계획의 시험, 유지 및 재평가 조직의 업무연속성에 필요한 정보보호 요구사항을 만 족하기 위하여 조직 전반적인 업무연속성에 대한 관리 절차가 수립 및 유지되어야 한다. 업무 중단을 초래할 수 있는 사건은 중단의 가능성 및 영 향과 정보보호에 대한 중요성에 따라 평가되어야 한다. 중요한 업무의 중단 또는 장애 후에 요구된 시간 내로 요구된 수준만큼 운영을 제공 및 복구할 수 있도록 계 획을 수립하고 구현하여야 한다. 모든 계획의 일관성 유지, 정보보호 요구사항의 일관 된 처리, 시험 및 유지보수의 우선순위 판단을 위해 업무연속성 계획의 단일 체계를 관리하여야 한다. 업무연속성 계획은 최신성과 효율성을 보장하기 위하 여 주기적으로 시험 및 갱신되어야 한다. - 31 -

11 12 준 거 성 개인 정보 보호 법적 요구 사항 준수 정보보 호 정책준 수 정보 시스템 감사고 려 사항 개인 정보 관리 CCTV 설치 및 관리 개인 정보의 수집 및 처리 11.1.1 관련 법률 파악 관련 법적 요구사항을 만족하기 위해 법률 및 조직의 정책 등을 최신으로 유지하여야 한다. 11.1.2 지적재산권 지적 재산권에 대한 법적 준수를 위해 지적재산권 확 인 및 계약 등에 대한 절차를 수립하여야 한다. 11.1.3 기관의 기록 보호 법, 정책, 계약 및 업무 요건에 따라 중요 기록을 손상, 파괴, 위조로부터 보호하기 위한 방안을 수립하여야 한다. 11.1.4 정보처리시설의 사용자는 인가되지 않은 목적으로 정보처리시설을 사 오남용 방지 용해서는 안 된다. 11.2.1 정책의 준수 정보보호 규정이 제대로 준수되는지에 대한 점검을 주 기적으로 수행하여야 한다. 11.2.2 기술표준의 준수 정보시스템에 대한 구현이 기술적 보안 표준을 준수하 는지 정기적인 점검을 실시하여야 한다. 11.3.1 감사 활동 감사 활동은 업무의 중단을 최소화하도록 계획 및 수 행되어야 한다. 11.3.2 감사 도구의 보호 정보시스템 감사도구에 대한 오용 및 손상을 방지하기 위한 통제를 수행하여야 한다. 12.1.1 개인정보보호계획 기관 내 개인정보보호 계획(정책)이 수립되어 있어야 한다. 12.1.2 개인정보보호조직 개인정보보호를 위한 조직이 구성되어 있어야 한다. 12.1.3 개인정보관리책임관 개인정보 계획의 수립 및 관련 업무의 총괄 등을 위해 개인정보관리책임관을 지정하여야 한다. 12.1.4 개인정보보호방침 기관 내 개인정보보호방침을 수립하고, 그 내용을 관 보 또는 인터넷 홈페이지 등에 게재하여야 한다. 12.1.5 개인정보취급자 교육 개인정보취급자에 대하여 정기적으로 개인정보보호에 관한 교육을 실시하여야 한다. 12.2.1 CCTV 설치 시 사전 CCTV를 설치하는 경우 관련 전문가 및 이해관계인의 의견 수렴 의견을 수렴하여야 한다. 설치된 CCTV는 설치목적을 넘어 카메라를 임의로 조 12.2.2 개인영상정보의 보호 작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용해서는 아니 된다. 12.2.3 안내판의 설치 CCTV를 설치한 장소에 정보주체가 이를 쉽게 인식할 수 있 도록 안내판을 설치하는 등의 필요한 조치를 취하여야 한다. 12.2.4 CCTV의 설치 및 관리에 관한 사무를 위탁한 경우 개인 설치 관리 사무의 정보보호에 필요한 사항을 위탁계약서 등 관련 서류에 기 위탁 록하고, 안내판에 수탁기관의 명칭 등을 게재하여야 한다. 민감한 개인정보를 수집하여서는 아니 되며, 개인정보 12.3.1 개인정보의 수집 를 수집하는 경우 정보주체가 그 내용을 쉽게 확인할 수 있도록 안내하여야 한다. 12.3.2 개인정보파일의 보유 소관업무를 수행하기 위하여 필요한 범위 안에서만 개 인정보파일을 보유하여야 한다. 12.3.3 개인정보파일 개인정보파일을 신규 보유하게 되거나 다른 기관으로부터 대장의 작성 제공받아 보유할 경우 개인정보 파일대장을 작성해야 한다. 12.3.4 개인정보파일의 보유 개인정보파일을 보유 및 변경하고자 할 때, 행정안전 및 변경시 사전협의 부 장관과 협의하여야 한다. 12.3.5 개인정보파일대장 기관이 보유하고 있는 개인정보파일별 대장을 일반인 이 열람할 수 있도록 하여야 한다. 개인정보의 처리를 위탁하는 경우 관보 또는 인터넷 홈 12.3.6 개인정보의 위탁처리 페이지 등을 통하여 미리 그 사실을 공개하여야 하며, 위탁계약서 상에 개인정보보호에 관한 내용을 포함하고 수탁기관에 대한 관리 실태를 점검하여야 한다. 12.3.7 처리정보의 이용 및 제공의 제한 처리정보를 이용하거나 제공하는 경우 보유목적 범위 내로 제한하고, 처리정보 이용 제공 대장에 기록 관 리하여야 한다. 12.3.8 입출력자료의 관리 12.3.9 개인정보 파일의 파기 개인정보의 입출력 자료가 유출되지 않도록 필요한 조치를 취하고, 입출력자료관리대장에 기록 관리하여야 한다. 개인정보파일의 보유가 불필요하게 된 경우 개인정보 파일을 지체 없이 파기하고, 파기한 사실을 관보 또는 인터넷 홈페이지 등에 공고하여야 한다. - 32 -