강원랜드 정보보안 기본지침 제 정 / 2016-06-01 제1장 총칙 제1조(목적) 이 지침은 국가정보보안 기본지침 및 산업통상자원부 정보보안 세부지침 에 따라 강원랜드(이하 회사 라 한다)의 정보보안 업무에 필요한 세부사항 규정을 목적으로 한다. 제2조(적용범위) 이 지침은 회사의 임직원 및 용역 계약 등에 따른 상주 협력업체 임직원 등에 적용한다. 제3조(정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다. 1. 사용자 라 함은 회사로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 자 등을 말한다. 2. 정보통신망 이라 함은 전기통신기본법 제2조제2호의 규정에 따른 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집 ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보통신체제를 말하며 정보시스템 일체를 포함한다. 3. 인터넷서비스망 (이하 인터넷망 이라 한다)이라 함은 회사의 네트워크 중에서 인터넷을 사용할 수 있도록 연결되어 있는 인터넷 전용망을 말한다. 4. 업무전산망 (이하 업무망 이라 한다)이라 함은 회사의 네트워크 중에서 내부 업무를 수행할 수 있도록 연결되어 있는 전산망을 말한다. 5. 정보시스템 이라 함은 PCㆍ서버 등 단말기, 보조기억매체, 전산ㆍ통신장치, 정보통신 기기, 응용프로그램 등 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신에 필요한 하드웨어 및 소프트웨어 일체를 말한다. 6. 휴대용 저장매체 라 함은 디스켓ㆍCDㆍ외장형 하드디스크ㆍUSB 메모리 등 정보를 저장할 수 있는 것으로 PC 등의 정보시스템과 분리할 수 있는 기억장치를 말한다. 7. 정보보안 또는 정보보호 라 함은 정보시스템 및 정보통신망을 통해 수집ㆍ가공ㆍ 저장ㆍ검색ㆍ송수신 되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하기 위하여 관리적 ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위로서 사이버안전을 포함한다. 8. 전자문서 라 함은 컴퓨터 등 정보처리 능력을 가진 장치에 의하여 전자적인 형태로 송ㆍ수신 또는 저장되는 정보를 말한다. 9. 전자기록물 이라 함은 정보처리 능력을 가진 장치에 의하여 전자적인 형태로 송ㆍ 수신 또는 저장되는 기록정보자료를 말한다. - 1 -
10. 전자정보 라 함은 회사의 업무와 관련하여 취급하는 전자문서 및 전자기록물을 말한다. 11. RFID(Radio Frequency IDentification) 시스템 이라 함은 대상이 되는 사물 등에 RFID 태그를 부착하고 전파를 사용, 해당 사물 등의 식별정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집ㆍ저장ㆍ가공 및 활용하는 시스템을 말한다. 12. 정보통신실 이라 함은 서버ㆍPC 등과 스위치ㆍ교환기ㆍ라우터 등 네트워크 장치 등이 설치 운용되는 장소를 말하며, 전산실ㆍ통신실ㆍ전자문서 및 전자기록물(전자정보) 보관실 등을 말한다. 13. 안전측정 이라 함은 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 절취 ㆍ훼손하는 해킹ㆍ컴퓨터바이러스ㆍ서비스방해ㆍ도청 등으로부터 정보통신망과 정보를 보호하기 위하여 정보보안 취약점을 진단하는 제반활동을 말한다. 14. 정보보호시스템 이라 함은 정보의 수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다. 15. 무선도청 탐지 라 함은 유ㆍ무선 도청탐지장비 등을 이용하여 은닉된 무선도청장치 색출과 각종 도청 위해요소를 제거하는 제반활동을 말한다. 16. 전자파 보안 이라 함은 유ㆍ무선 탐지장비 등을 이용하여 은닉된 도청장치 색출 등 각종 도청 위해요소를 제거하고 정보통신기기ㆍ시설 등을 대상으로 누설전자파에 의한 정보유출 방지 및 고출력전자기파 침해 위협으로부터 정보를 보호하는 활동을 말한다. 17. 누설전자파 (TEMPEST)라 함은 PC 등 정보통신기기로부터 전도 혹은 방사되는 전자파 신호로서 원격지에서 수신하여 원래 화면 내용을 복원할 수 있는 정보를 포함한다. 18. 사이버공격 이라 함은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해 등 전자적 수단에 의하여 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 절취 ㆍ훼손하는 공격 행위를 말한다. 제2장 정보보안 기본활동 제4조(책무) 사장은 전자정보 및 정보통신망을 보호하기 위한 보안대책을 마련하여야 하며 정보보안에 대한 책임을 진다. 제5조(정보보안책임자 운영) 1 정보보안책임자는 IT실장으로 임명한다. 2 정보보안책임자를 임면한 경우에는 7일 이내에 소속ㆍ직책ㆍ직급ㆍ성명ㆍ연락처 등 을 산업통상자원부장관에게 통보하여야 한다. 제6조(정보보안 기본활동) 정보보안책임자는 다음 각 호의 기본활동을 수행하여야 한다. 1. 정보보안 정책 및 기본계획 수립ㆍ시행 2. 정보보안 관련 규정ㆍ지침 등 제ㆍ개정 3. 보안심사위원회에 정보보안 분야 안건 심의 주관 - 2 -
4. 정보보안 업무 지도ㆍ감독, 정보보안 감사 및 심사분석 5. 정보통신실, 정보통신망 및 정보자료 등의 보안관리 6. 정보보안 관리실태 평가 7. 사이버공격 초동조치 및 대응 8. 사이버위협정보 수집ㆍ분석 및 보안관제 9. 정보보안 예산 및 전문인력 확보 10. 정보보안 사고조사 결과 처리 11. 정보보안 교육 및 정보협력 12. PC, 정보통신시스템의 해킹위해 요소 측정ㆍ제거 13. 주요 정보통신설비 보호활동 14. 국가정보원장이 개발하거나 안전성을 검증한 암호모듈ㆍ정보보호시스템의 운용 및 보안관리 15. 정보통신망 보안대책의 수립ㆍ시행 16. 사이버보안진단의 날 계획 수립ㆍ시행 17. 그 밖에 정보보안 관련 사항 제7조(활동계획 수립 및 심사분석) 1 정보보안책임자는 정보보안업무 세부추진계획( 국가 사이버안전관리규정(대통령훈령) 제9조에 따른 사이버안전대책을 포함한다)을 수립ㆍ시행하고 그 추진결과를 심사분석ㆍ평가하여야 한다. 2 정보보안책임자는 별지 제1호 서식의 정보보안업무 세부 추진계획 및 별지 제2호 서식의 정보보안업무 심사분석을 작성하여 다음 각 호의 기간 내에 산업통상자원부장관에게 제출하여야 한다. 1. 보안업무 세부 추진계획 : 1.25 限 (해당 연도 추진계획) 2. 보안업무 심사분석 : 7.31 限 (전년도 3/4분기 해당 연도 2/4분기 내용 종합) 제8조(정보보안 내규 제ㆍ개정) 1 정보보안책임자는 정보 및 정보통신망 보호를 위한 정보보안 내규(지침ㆍ시행세칙 등)를 국가정보보안기본지침 및 산업통상자원부 정보 보안 세부지침 에 저촉되지 아니하는 범위에서 작성 운용하여야 한다. 단, 회사의 업무와 무관한 사항에 대하여서는 반영하지 아니할 수 있다. 2 정보보안책임자는 정보보안 내규를 제ㆍ개정하고자 하는 경우 산업통상자원부장관과 협의하여야 한다. 제9조(사용자 관리) 1 정보보안책임자는 소관 정보통신망(정보시스템 포함) 사용과 관련하여 다음 각 호의 사항을 포함한 사용자 보안에 관련된 절차 및 방법을 마련하여야 한다. 1. 직위ㆍ업무별 정보통신망 접근 자격부여 심사 2. 비밀 등 중요정보 취급시 비밀취급인가, 보안서약서 징구 등의 보안조치 3. 보직변경, 퇴직 등 인사이동시 관련 정보시스템 접근권한 조정 2 용역 계약 체결 등 외부 인력을 활용하여 정보시스템의 개발, 운용, 정비 등을 수행할 경우, 외부인력을 관리하는 부서의 장은 해당 인력의 고의 또는 실수로 인한 정보유출이나 - 3 -
파괴를 방지하기 위하여 보안조치를 수행하여야 한다. 용역사업에 관련된 세부 사항은 제46조(용역사업 보안관리)에 따른다. 제10조(시스템 보안책임 범위) 1 정보시스템(PCㆍ서버ㆍ네트워크장비, 정보통신기기 등 포함)을 운용하는 부서의 장은 정보시스템을 도입ㆍ사용할 경우, 사용자와 해당 시스템의 관리자를 지정 운용하여야 한다. 2 사용자는 개인PC 등 소관 정보시스템을 사용하거나 본인 계정으로 정보통신망에 접속 하는 것과 관련한 보안책임을 가진다. 3 시스템관리자는 서버ㆍ네트워크 장비 등 부서 공통으로 사용하는 정보시스템의 운용과 관련한 보안책임을 가진다. 4 제1항부터 제3항까지와 관련하여 정보시스템을 실제 운용하는 부서의 장이 정보시스템 관리책임자 가 되며, 관리책임자는 별지 제3호 서식의 정보시스템 관리대장을 수기 또는 전자적으로 운용 관리하여야 한다. 5 관리책임자는 정보시스템 관리대장에 정보시스템의 변경 최종 현황을 유지하여야 하며 사본 1부를 정보보안책임자에게 제출하여야 한다. 6 정보보안책임자는 제1항부터 제5항까지에 명시된 정보시스템 운용과 관련한 보안취약점을 발견하거나 보안대책 강구가 필요하다고 판단할 경우, 사용자ㆍ시스템 관리자 및 관리책임자에게 시정을 요구할 수 있다. 제11조(정보통신시설 보호) 1 다음 각 호의 시설을 담당하는 부서의 장은 해당 장소를 보호구역운영 및 출입관리지침 제6조에 따른 보호구역으로 설정 관리하여야 한다. 1. 통신실ㆍ전산실 2. 백업센터 및 중요한 정보통신시설을 집중 제어하는 국소 3. 그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치 장소 2 제1항에서 지정된 보호구역에 대한 보안대책을 강구할 경우 다음 각 호 사항을 참고 하여야 한다. 1. 방재대책 및 외부로부터의 위해( 危 害 ) 방지대책 2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치 3. 출입자 인증ㆍ식별 등을 위한 출입문 보안장치 설치 및 주야간 감시대책 4. 휴대용 저장매체를 보관할 수 있는 용기 비치 5. 정보시스템 안전지출 및 긴급파기 계획 수립 6. 관리책임자 및 자료ㆍ장비별 취급자 지정 운용 7. 정전에 대비한 비상전원 공급, 시스템의 안정적 중단 등 전력관리 대책 8. 비상조명 장치 등 비상탈출 대책 9. 전자파 누설 방지 대책 10. 카메라 장착 휴대폰 등을 이용한 불법 촬영 방지 대책 등 - 4 -
제12조(지도방문) 정보보안책임자는 정보통신망의 보안취약성 진단과 보안관리 개선을 위하여 국가정보원장에게 지도방문에 필요한 인력 등을 요청할 수 있다. 제13조(모의훈련) 1 정보보안책임자는 회사의 정보통신망을 대상으로 사이버위기 발생 시 체계적이고 효율적인 대응을 위해 매년 정기 또는 수시 사이버위기 대응 모의훈련을 실시하여야 한다. 이 경우, 훈련 완료일 기준 2개월 이내 훈련결과를 산업통상자원부장관에게 통보하여야 한다. 2 정보보안책임자는 국가정보원, 산업통상자원부 등 관계 중앙행정기관에서 실시한 모의훈련 결과에 따른 시정을 요청받은 경우, 특별한 사유가 없는 한 필요한 조치를 이행하여야 한다. 제14조(안전측정) 1 정보보안책임자는 국가정보원, 산업통상자원부 등 관계 중앙행정 기관에서 실시한 안전측정 결과에 따른 시정을 요청받은 경우, 특별한 사유가 없는 한 필요한 조치를 이행하여야 한다. 2 정보보안책임자는 국가정보원, 산업통상자원부 등 관계 중앙행정기관에서 실시한 안전 측정과는 별도로 홈페이지 등 회사의 정보통신망을 대상으로 하여 정기적으로 보안취약성 점검을 실시하고 점검대상, 점검항목, 조치내용 및 조치계획 등을 3개월 이내에 산업통상자원부 장관 및 국가정보원장에게 통보하여야 한다. 다만, 외부 용역을 통해 보안취약성을 점검하고자 하 는 경우 국가정보원장과 사전에 협의하여야 한다. 제15조(정보보안 감사) 1 정보보안책임자는 연1회 이상 자체 정보보안 감사를 실시하여야 한다. 2 정보보안책임자는 제7조에 따른 정보보안업무 세부추진계획 및 심사분석 결과제출시 정보보안감사 실시계획과 감사 결과를 포함하여야 한다. 1. 정보보안감사 실시계획 : 1.25 限 (해당 연도 계획) 2. 정보보안감사 실시결과 : 7.31 限 (전년도 3/4분기 해당 연도 2/4분기 종합) 3 정보보안책임자는 정보보안감사 실시 계획을 수립하는 경우, 감사규정 시행세칙 제2조에 따라 감사위원회의 사전 승인을 득하여야 한다. 4 정보보안책임자는 정보보안 감사의 효율적 수행을 위하여 산업통상자원부장관에게 감사 방향, 감사 중점사항, 감사관 지원 등 업무협조를 요청할 수 있다. 제16조(무선도청 탐지) 1 정보보안책임자는 무선도청에 따른 정보유출을 방지하기 위하 여 중요 시설 및 장소에 대한 보안대책을 강구하여야 한다. 2 정보보안책임자는 제1항의 시설에 대한 무선도청 탐지활동 결과를 외부에 공개하여서 는 아니되며, 탐지활동결과 도출된 도청 취약요소 등에 대해서는 개선 대책을 강구하여야 한다. 제17조(정보보안 교육) 1 정보보안책임자는 자체 정보보안 교육계획을 수립하여 연 1회 이상 전 직원을 대상으로 정보보안 교육을 실시하여야 한다. 2 정보보안책임자는 정보보안 교육의 효율성 제고를 위해 회사의 실정에 맞는 정보보안 교안을 작성 활용하여야 하며 필요시 산업통상자원부장관에게 전문 인력 및 자료 지원을 - 5 -
요청할 수 있다. 3 정보보안책임자는 정보보안 관련 전문기관 교육 및 기술 세미나 참석을 장려하는 등 정보보안 실무 담당자의 업무 전문성을 제고하기 위하여 노력하여야 한다. 제18조(사이버보안진단의 날 운영) 1 정보보안책임자는 매월 세 번째 수요일을 사이버 보안진단의 날 로 지정ㆍ운영하여야 한다. 2 정보보안책임자는 사이버보안진단의 날 에 소관 정보통신망의 악성코드 감염여부, 정보 시스템의 보안 취약여부 등 정보보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하여야 한다. 3 정보보안책임자는 제1항 및 제2항에 따른 보안진단 결과를 제7조에 규정한 정보보안 업무 심사분석에 포함하여 산업통상자원부장관에게 통보하여야 한다. 제19조(재난방지) 1 정보시스템(PCㆍ서버ㆍ네트워크장비, 정보통신기기 등 포함)을 관리 하는 부서의 장(이하 정보시스템 관리책임자 라 한다)은 인위적 또는 자연적인 원인으로 인한 정보통신망의 장애 발생에 대비하여 정보시스템 이원화, 백업관리, 복구 등 종합적인 재난방지 대책을 수립 시행하여야 한다. 2 정보시스템 관리책임자는 소관 정보시스템의 재난방지대책을 정기적으로 시험하고 검토해야 하며 업무 연속성에 대한 영향평가를 실시하여야 한다. 3 정보시스템 관리책임자는 소관 정보시스템의 장애에 대비한 백업시설을 확보하고 정기적으로 백업을 수행하여야 한다. 4 정보시스템 관리책임자는 제3항에 따라 백업시설을 설치할 경우에는 정보통신실과 물리적으로 일정거리 이상 위치한 안전한 장소에 설치하여야 하며 전력공급원 이원화 분리 등 정보시스템의 가용성을 최대화 할 수 있도록 하여야 한다. 제3장 요소별 보안관리 제1절 전자정보 보안대책 제20조(전자정보 보안조치) 정보보안책임자는 정보통신망을 통하여 보관ㆍ유통되는 전자 정보의 보안을 위하여 다음 각 호의 조치를 이행하여야 한다. 1. 제6조의 규정에 의한 정보보안 기본활동 수행 2. 전자정보의 보호등급 및 처리 규격 등에 의한 전자정보 보안대책 이행 3. 제4장 규정에 의한 정보보호시스템의 도입 운용 4. 정보통신망 보안대책의 수립ㆍ시행 - 6 -
5. 산업통상자원부장관 또는 국가정보원장이 발행한 지침ㆍ매뉴얼 및 각종 권고사항의 이행 6. 그 밖에 전자정보 보안을 위하여 필요하다고 인정되는 보안대책의 이행 제21조(PC 등 단말기 보안관리) 1 단말기 사용자는 PCㆍ노트북ㆍPDA 등 단말기(이하 PC 등 이라 한다) 사용과 관련한 일체의 보안관리 책임을 가진다. 2 정보보안책임자는 비인가자가 PC 등을 무단으로 조작하여 전산자료를 절취, 위ㆍ변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 단말기 사용자에게 지원하며, 사용자는 이를 준수하여야 한다. 1. 장비(CMOS 비밀번호)ㆍ자료(문서자료 암호화 비밀번호)ㆍ사용자(로그온 비밀번호)별 비밀번호를 주기적으로 변경 사용하고 지문인식 등 생체인식 기술 적용 권고 2. 10분 이상 PC 등의 작업 중단시 비밀번호 등이 적용된 화면보호 조치 3. PC용 최신백신 운용ㆍ점검, 침입차단ㆍ탐지시스템 등을 운용하고 운영체제(OS) 및 응용프로그램(아래아한글, MS Office, Acrobat 등)의 최신 보안패치 유지 4. 업무와 무관하거나 보안에 취약한 응용프로그램 설치 금지 및 공유 폴더의 삭제 5. 그 밖에 국가정보원장이 안전성을 확인하여 배포 승인한 프로그램의 운용 및 보안권고문 3 사용자는 PC 등을 교체ㆍ반납ㆍ폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 정보보안책임자와 협의하여 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치 하여야 한다. 4 정보시스템 관리책임자는 사용자가 PC 등을 회사 외부로 반출하거나 내부로 반입할 경우에 최신 백신 등을 활용하여 해킹프로그램 감염 여부를 점검하여야 한다. 5 누구든지 개인소유의 PC 등을 무단 반입하여 사용하여서는 아니 된다. 다만, 부득이한 경우에는 정보보안책임자의 승인을 받아 사용할 수 있다. 제22조(인터넷PC 보안관리) 1 정보보안책임자는 인터넷과 연결된 PC(이하 인터넷PC 라 한다)에 대하여 비인가자가 무단으로 조작하여 전산자료를 절취, 위ㆍ변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 사용자에게 지원하며, 사용자는 이를 준수하여야 한다. 1. 메신저ㆍP2Pㆍ웹하드 등 업무에 무관하거나 Active-X 등 보안에 취약한 프로그램과 비인가 프로그램ㆍ장치의 설치 금지 2. 특별한 사유가 없는 한 문서프로그램은 읽기 전용으로 운용 3. 음란ㆍ도박ㆍ증권 등 업무와 무관한 사이트 접근차단 조치 2 사용자는 인터넷을 이용하여 업무자료를 무단으로 소통하여서는 아니되며 최신 백신을 활용하여 인터넷PC를 주기적으로 점검하여야 한다. 3 그 밖에 인터넷 PC의 보안관리에 관련한 사항에 대해서는 제21조(PC 등 단말기 보안 대책)를 따른다. 제23조(서버 보안관리) 1 서버관리자는 서버를 도입ㆍ운용할 경우, 정보보안책임자와 협의하여 해킹에 의한 자료 절취, 위ㆍ변조 등에 대비하여 다음 각 호의 보안대책을 수립 - 7 -
ㆍ시행하여야 한다. 1. 서버관리자는 서버 내 저장자료에 대해 업무별ㆍ자료별 중요도에 따라 사용자의 접근 권한을 차등 부여 2. 사용자별 자료의 접근범위를 서버에 등록하여 인가여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제 3. 서버의 운용에 필요한 서비스 포트 외에 불필요한 서비스 포트를 제거 및 관리용 서비스와 사용자용 서비스를 분리 운용 4. 서버의 관리용서비스 접속시 특정 IP와 MAC 주소가 부여된 관리용 단말을 지정 운용 5. 서버 설정 정보 및 서버에 저장된 자료에 대해서는 정기적으로 백업을 실시하여 복구 및 침해행위에 대비 6. 데이터베이스에 대하여 사용자의 직접적인 접속을 차단하고 개인정보와 같은 중요 정보를 암호화하는 등 데이터베이스별 보안조치를 실시 2 정보보안책임자는 제1항에서 수립한 보안대책의 적절성을 수시 확인하되, 연1회 이상 서버 설정 정보 및 저장자료의 절취, 위ㆍ변조 가능성 등 보안취약점을 점검하여야 한다. 제24조(웹서버 등 공개서버 보안관리) 1 서버관리자는 외부인에게 공개할 목적으로 설치 되는 웹서버 등 공개서버를 내부망과 분리된 영역(DMZ)에 설치ㆍ운용하여야 한다. 2 정보보안책임자는 비인가자의 서버 저장자료 절취, 위ㆍ변조 및 분산서비스거부 (DDoS) 공격 등에 대비하기 위하여 국가정보원장이 안전성을 검증한 침입차단ㆍ탐지시스템 및 DDoS 대응시스템을 설치하는 등 보안대책을 강구하여야 한다. 3 서버 관리자는 비인가자의 공개서버내 비공개 정보에 대한 무단 접근을 방지하기 위하여 서버 접근 사용자를 제한하고 불필요한 계정을 삭제하여야 한다. 4 서버관리자는 공개서버의 서비스에 필요한 프로그램을 개발하고 시험하기 위해 사용된 도구(컴파일러 등)는 개발 완료 후 삭제를 원칙으로 한다. 5 공개서버의 보안관리에 관련한 그 밖에 사항에 대해서는 제23조(서버 보안관리)에 따른다. 제25조(홈페이지 게시자료 보안관리) 1 회사의 홈페이지를 관리하는 부서의 장(이하 홈페이지 관리책임자 라 한다)은 개인정보를 포함한 중요 업무자료가 홈페이지에 무단 게시되지 않도록 홈페이지 게시자료의 범위ㆍ방법 등을 명시한 자체 홈페이지 정보공개 보안지침을 수립 시행하여야 한다. 2 사용자는 개인정보, 비공개 공문서 및 민감내용 등이 포함된 자료를 홈페이지에 공개 하여서는 아니 된다. 3 사용자는 인터넷 블로그ㆍ카페ㆍ게시판ㆍ개인 홈페이지 또는 소셜네트워크 서비스 등 일반에 공개된 전산망에 업무관련 자료를 무단 게재하여서는 아니 된다. 4 정보보안책임자는 회사의 홈페이지 등에 비공개 내용이 게시되었는지 여부를 주기적으로 확인하고 개인정보를 포함한 비공개 자료가 홈페이지에 공개되지 않도록 보안교육을 주기적으로 실시하여야 한다. - 8 -
5 홈페이지 관리책임자는 홈페이지에 중요정보가 공개된 것을 인지할 경우 이를 즉시 차단하는 등의 보안조치를 강구 시행하여야 한다. 제26조(사용자계정 관리) 1 시스템관리자는 사용자에게 정보시스템 접속에 필요한 사용자 계정(ID) 부여시 비인가자 도용 및 정보통신시스템 불법 접속에 대비하여 다음 각 호의 사항을 반영하여야 한다. 1. 사용자별 또는 그룹별로 접근권한 부여 2. 외부인에게 계정부여는 불허하되 업무상 불가피 시 시스템관리자 책임 하에 필요업무에 한해 특정기간 동안 접속토록 하는 등 보안조치를 강구한 후 허용 3. 비밀번호 등 사용자 식별 및 인증 수단이 없는 사용자계정 사용 금지 2 시스템관리자는 사용자가 5회 이상에 걸쳐 로그인 실패시 정보시스템 접속을 중단시키도록 시스템을 설정하고 비인가자의 침입 여부를 확인 점검하여야 한다. 3 시스템관리자는 직원의 퇴직 또는 보직변경 사용자의 사용기간 중단 등으로 사용하지 않는 사용자계정을 신속히 삭제하고, 특별한 사안이 없는 한 유지보수 등을 위한 외부업체 직원에게 관리자계정 제공을 금지하여야 한다. 4 정보보안책임자는 사용자계정의 부여 및 관리가 적절한 지 연2회 이상 점검ㆍ관리하여야 한다. 제27조(비밀번호 관리) 1 사용자는 비밀번호 설정 사용시 정보시스템의 무단사용 방지를 위하여 다음 각 호와 같이 구분하여야 한다. 1. 비인가자의 정보통신시스템 접근방지를 위한 장비 접근용 비밀번호(1차) 2. 정보시스템 사용자가 서버 등 정보통신망에 접속 인가된 인원인지 여부를 확인하는 사용자인증 비밀번호(2차) 3. 문서에 대한 열람ㆍ수정 및 출력 등 사용권한을 제한할 수 있는 자료별 비밀번호(3차) 2 비밀이나 중요자료에는 자료별 비밀번호를 반드시 부여하되, 공개 또는 열람 자료에 대해서는 부여하지 아니할 수 있다. 3 비밀번호는 다음 각 호 사항을 반영하여 숫자와 문자, 특수문자 등을 혼합하여 9자리 이상으로 정하고, 분기별로 1회 이상 주기적으로 변경 사용하여야 한다. 1. 사용자계정(ID)과 동일하지 않은 것 2. 개인 신상 및 부서명칭 등과 관계가 없는 것 3. 일반 사전에 등록된 단어는 사용을 피할 것 4. 동일단어 또는 숫자를 반복하여 사용하지 말 것 5. 사용된 비밀번호는 재사용하지 말 것 6. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것 7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지 4 서버에 등록된 비밀번호는 암호화하여 저장하여야 한다. 제28조(업무망 보안관리) 1 정보시스템 관리책임자는 업무자료를 소통하기 위한 전산망 (이하 업무망 이라 한다) 구축시 정보보안책임자와 협의하여 인터넷과 분리하도록 망을 - 9 -
설계하여야 한다. 이 경우 정보보안책임자는 다음 각 호의 보안대책을 강구하여 사업 계획 단계(사업공고 전)에서 산업통상자원부장관에게 보안성 검토를 의뢰하여야 한다. 1. 비인가자의 업무망ㆍ인터넷 침입 차단대책(침입차단ㆍ탐지시스템 등) 2. 비인가 장비의 업무망 접속 차단대책(네트워크 관리시스템 등) 3. 업무PC의 인터넷 접속 차단대책 4. 업무망과 인터넷망간 안전한 자료전송 대책( 국가ㆍ공공기관 업무망과 인터넷간 안전한 자료전송 보안가이드라인 참조) 2 정보보안책임자는 제1항에도 불구하고, 부득이 한 경우 산업통상자원부장관과 협조하여 적정 보안대책을 강구한 후 망 분리를 하지 아니할 수 있다. 3 업무망 관리자는 정보시스템에 부여되는 IP주소 를 체계적으로 관리하여야 하고, 비 인가자로부터 업무망을 보호하기 위하여 사설주소체계(NAT)를 적용하여야 한다. 또한 IP주소별로 정보시스템 접속을 통제하여 비인가 정보통신기기나 PC등을 이용한 업무망내 정보시스템 접속을 차단하여야 한다. 4 정보시스템 관리책임자는 업무망을 여타 기관의 망 및 인터넷과 연동하고자 할 경우에는 정보보안책임자와 협의하여 보안관리 책임한계를 설정하고, 망 연동에 따른 보안대책을 마련하여 보안심사위원회의 심의 후 산업통상자원부장관에게 보안성 검토를 의뢰하여야 한다. 5 업무망 관리자는 제4항과 관련하여 비인가자의 망 침입을 방지하기 위하여 안전성이 검증된 침입차단ㆍ탐지시스템을 운용하는 등 정보보안책임자와 협의하여 보안대책을 강구 하여야 한다. 6 업무망 관리자는 업무망을 인터넷과 연동시 효율적인 보안관리를 위하여 연결지점을 최소화하여 운용하여야 한다. 7 업무망과 인터넷망 간의 자료교환은 망간자료전송시스템을 사용하여야 하고 전송로그는 6개월 이상, 원본파일은 3개월 이상 유지하여야 한다. 8 업무망 관리자는 전송 실패기록을 점검하여 악성코드 유입여부 등을 주기적으로 확인 조치하여야 한다. 9 정보보안책임자는 업무망 PC의 자료를 인터넷 PC로 전송시 보안담당자 혹은 결재권자의 사전 또는 사후 승인절차를 마련하여야하며, 사용자는 이를 준수하여야 한다. 제29조(네트워크장비 보안관리) 1 시스템관리자는 라우터, 스위치 등 네트워크 장비 운용과 관련하여 다음 각 호의 보안조치를 강구해야 한다. 1. 네트워크 장비에 대한 원격접속은 원칙적으로 금지하되, 불가피할 경우 장비 관리용 목적으로 내부 특정 IPㆍMAC 주소에서의 접속은 허용 2. 물리적으로 안전한 장소에 설치하여 비인가자의 무단접근 통제 3. 네트워크 장비 등 신규 전산장비 도입시 기본(default) 계정을 삭제 또는 변경하고 시스템 운영을 위한 관리자 계정 별도 생성 4. FTP 등 불필요한 서비스 포트 및 사용자 계정 차단ㆍ삭제 5. 펌웨어 무결성 및 소프트웨어ㆍ서버 운영체제 취약점과 최신 업데이트 여부를 주기적으로 - 10 -
확인 2 시스템관리자는 네트워크장비의 접속기록을 6개월 이상 유지하여야 하고 비인가자의 접근여부를 주기적으로 점검하여 정보보안책임자에게 관련결과를 제출하여야 한다. 제30조(전자우편 보안대책) 1 정보보안책임자는 웜ㆍ바이러스 등 악성코드로부터 사용자 PC 등 전자우편 시스템 일체를 보호하기 위하여 국가정보원장이 안전성을 확인한 백신, 바이러스 월, 해킹메일 차단시스템을 구축하는 등 보안대책을 강구하여야 한다. 2 시스템관리자는 수신된 전자우편의 발신지 IP주소와 국가명이 표시되고, 해킹 메일 원본을 전송하여 신고할 수 있는 기능을 갖춘 웹메일시스템을 구축하여야 한다. 3 사용자는 상용 전자우편을 이용한 업무자료 송ㆍ수신 할 수 없으며 회사 전자우편으로 송ㆍ수신한 업무자료는 활용 후 메일함에서 즉시 삭제하여야 한다. 4 사용자는 메일에 포함된 첨부파일이 자동 실행되지 않도록 설정하고 첨부파일 다운로드시 반드시 최신백신으로 악성코드 은닉여부를 검사하여야 한다. 5 사용자는 출처가 불분명하거나 의심되는 제목의 전자우편은 열람을 금지하고 해킹메일로 의심되는 메일 수신시에는 즉시 정보보안책임자에게 신고하여야 하며, 정보보안책임자는 해당 전자우편의 이상 유무를 점검한 후 산업통상자원 사이버안전센터(cert@csc.motie.go.kr)를 경유하여 통합보안관제 정보공유시스템 또는 전자우편(cert@ncsc.go.kr)을 통해 국가사이버안전센터에 신고하 여야 한다. 6 사용자는 전자우편을 사용하는 PC에 대하여 제21조(PC 등 단말기 보안관리) 및 제27조 (비밀번호 관리)에 명시된 보안조치 사항을 따른다. 제31조(휴대용 저장매체 보안대책) 1 사용자는 휴대용 저장매체를 사용하여 업무자료를 보관할 필요가 있을 때에는 위ㆍ변조, 훼손, 분실 등에 대비한 보안대책을 강구하여 정보 보안책임자의 승인을 받아야 한다. 2 정보보안책임자는 휴대용 저장매체를 비밀용, 일반용으로 구분하고 주기적으로 수량 및 보관 상태를 점검하며 반출ㆍ입을 통제하여야 한다. 3 정보보안책임자는 USB 관리시스템을 도입할 경우 국가정보원장이 안정성을 확인한 제품을 도입하여야 한다. 4 정보보안책임자는 사용자가 USB메모리를 PC 등에 연결시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안 설정하여야 한다. 5 비밀자료가 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하여 관리하여야 한다. 이 경우에는 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 6 휴대용 저장매체를 파기 등 불용처리 하거나 비밀용을 일반용 또는 다른 등급의 비밀용으로 전환하여 사용할 경우 저장되어 있는 정보의 복구가 불가능하도록 완전삭제 프로그램을 사용하여야 한다. 7 정보보안책임자는 사용자의 휴대용 저장매체 무단 반출 및 미등록 휴대용 저장매체 사용 여부 등 보안관리실태를 주기적으로 점검하여야 한다. 제32조(악성코드 감염 방지대책) 1 정보보안책임자는 웜ㆍ바이러스, 해킹프로그램, 스파이웨어 - 11 -
등 악성코드 감염을 방지하기 위하여 다음 각 호와 같은 대책을 수립ㆍ시행하여야 한다. 1. 사용자는 개인PC에서 작성하는 문서ㆍ데이터베이스 작성기 등 응용프로그램을 보안 패치하고 백신은 최신상태로 업데이트ㆍ상시 감시상태로 설정 및 주기적인 점검을 실시하여야 한다. 2. 사용자는 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램 사용할 수 없으며 인터넷 등 상용망으로 자료 입수시 신뢰할 수 있는 인터넷사이트를 활용하여야 하며 최신백신으로 진단 후 사용하여야 한다. 3. 사용자는 인터넷 파일공유 프로그램과 메신저ㆍ대화방 프로그램 등 업무상 불필요한 프로그램의 사용을 금지하고 정보보안책임자는 인터넷 연동구간의 침입차단시스템 등에서 관련 사이트 접속을 차단하도록 보안설정 하여야 한다. 4. 사용자는 웹브라우저를 통해 서명되지 않은(Unsigned) Active-X 등이 PC 내에 불법 다운로드 되고 실행되지 않도록 보안 설정하여야 한다. 5. 제1호부터 제4호까지의 보안대책과 관련하여 정보보안책임자는 사용자가 적용할 수 있는 보안기술을 지원하여야 한다. 2 시스템관리자 또는 PC 사용자는 시스템에 악성코드가 설치되거나 감염된 사실을 발견 하였을 경우에 다음 각 호의 조치를 하여야 한다. 1. 악성코드 감염원인 규명 등을 위하여 파일 임의삭제 등 감염 시스템 사용을 중지하고 전산망과의 접속을 분리한다. 2. 악성코드의 감염확산 방지를 위하여 정보보안책임자에게 관련 사실을 즉시 통보한다. 3 정보보안책임자는 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 산업통상자원부장관에게 신속히 통보하여야 한다. 4 정보보안책임자는 산업통상자원부장관 또는 국가정보원장이 회사 내 정보시스템의 악 성코드 감염사실을 확인하여 조치를 권고할 경우, 즉시 이행하여야 한다. 제33조(접근기록 관리) 1 시스템관리자는 정보시스템의 효율적인 통제ㆍ관리, 사고 발생시 추적 등을 위해 사용자의 정보시스템 접근기록을 유지 관리하여야 한다. 2 제1항의 접근기록에는 다음 각 호의 내용이 포함되어야 한다. 1. 접속자, 정보시스템ㆍ응용프로그램 등 접속 대상 2. 로그 온ㆍ오프, 파일 열람ㆍ출력 등 작업 종류, 작업 시간 3. 접속 성공ㆍ실패 등 작업 결과 4. 전자우편 사용 등 외부발송 정보 등 3 시스템관리자는 접근기록을 분석한 결과, 비인가자의 접속 시도, 정보 위변조 및 무단 삭제 등의 의심스러운 활동이나 위반 혐의가 발생한 사실을 발견한 경우 정보보안책임자에게 즉시 보고하여야 한다. 4 접근기록은 정보보안사고 발생시 확인 등을 위하여 최소 6개월 이상 보관하여야 하며 접근기록 위ㆍ변조 및 외부유출 방지 대책을 강구하여야 한다. 제34조(정보시스템 개발보안) 1 시스템 개발사업을 관리하는 부서의 장(이하 개발사업 - 12 -
관리책임자 라 한다)은 정보시스템을 자체적으로 개발하고자 하는 경우에는 다음 각 호의 사항을 고려하여 보안대책을 수립하고 정보보안책임자의 승인을 받아야 한다. 1. 독립된 개발시설 확보및 비인가자의 접근 통제 2. 개발시스템과 운영시스템의 물리적 분리 3. 소스코드 관리 및 소프트웨어 보안관리 2 개발사업 관리책임자는 외부용역 업체와 계약하여 정보시스템을 개발하고자 하는 경우에는 다음 각 호의 사항을 고려하여 보안대책을 수립하고 정보보안책임자의 승인을 받아야 한다. 1. 외부인력 대상 보안서약서 징구, 보안교육 및 점검 2. 외부인력의 보안준수 사항 확인 및 위반시 배상책임의 계약서 명시 3. 외부인력의 정보시스템 접근권한 및 제공자료 보안대책 4. 외부인력에 의한 장비 반입ㆍ반출 및 자료 무단반출 여부 확인 5. 제1항제1호부터 제3호까지의 사항 3 정보보안책임자는 제1항 및 제2항과 관련하여 보안대책의 적절성을 수시로 점검하고 정보시스템 개발을 완료한 경우에는 정보보안 요구사항을 충족하는지 시험 및 평가를 수행 하여야 한다. 제35조(정보시스템 유지보수) 1 정보시스템 관리책임자는 정보시스템 유지보수와 관련한 절차, 주기, 문서화 등에 관련된 사항을 자체 내규(규정, 시행세칙, 절차 등)에 포함하여야 한다. 유지보수 절차 및 문서화 수립시 고려사항은 아래의 각 호와 같다. 1. 유지보수 인력에 대해 보안서약서 집행, 보안교육 등을 포함한 유지보수 인가 절차를 마련하고 인가된 유지보수 인력만 유지보수에 참여한다. 2. 결함이 의심되거나 발생한 결함, 예방 및 유지보수에 대한 기록을 보관한다. 3. 유지보수를 위해 원래 설치장소 외 다른 장소로 정보시스템을 이동할 경우, 통제수단을 강구한다. 4. 정보시스템의 유지보수시에는 일시, 담당자 인적사항, 출입 통제조치, 정비내용 등을 기록ㆍ유지하여야 한다. 2 시스템관리자는 자체 유지보수 절차에 따라 정기적으로 정보시스템 정비를 실시하고 관련 기록을 보관하여야 한다. 3 시스템관리자는 정보시스템의 변경이 발생할 경우, 정보보안책임자와 협조하여 정보 시스템의 설계ㆍ코딩ㆍ테스트ㆍ구현과정에서의 보안대책을 강구하며 정보보안책임자는 관련 적절성을 주기적으로 확인하여야 한다. 4 정보보안책임자는 시스템관리자 등이 유지보수와 관련된 장비ㆍ도구 등을 반ㆍ출입할 경우, 악성코드 감염여부, 자료 무단반출 여부를 확인하는 등의 보안조치 하여야 한다. 5 시스템관리자는 외부에서 원격으로 정보시스템을 유지보수하는 것을 원칙적으로 금지 하여야 하며 부득이한 경우에는 정보보안책임자와 협의하여 자체 보안대책을 강구한 후 한시적으로 허용할 수 있다. 제36조(전자정보 저장매체 불용처리) 1 사용자 및 시스템관리자는 하드디스크 등 전자 - 13 -
정보 저장매체를 불용처리(교체ㆍ반납ㆍ양여ㆍ폐기 등) 하고자 할 경우에는 정보보안책임자의 승인하에 저장매체에 수록된 자료가 유출되지 않도록 보안조치 하여야 한다. 2 자료의 삭제는 해당 정보가 복구될 수 없도록 회사의 실정에 맞게 저장매체별, 자료별 차별화된 삭제방법을 적용하여야 한다. 3 회사 내에서 정보시스템의 사용자가 변경된 경우, 완전포맷 1회 이상으로 저장자료를 삭제하여야 한다. 제2절 주요상황별 보안대책 제37조(전자기파 보안대책) 1 정보보안책임자는 중요 정보통신기기ㆍ시설을 대상으로 전 자파에 의한 중요정보 외부유출 방지 및 파괴ㆍ오작동 유발 등의 위협을 방어하기 위한 보안 대책을 강구하여야 한다. 2 보안업무를 총괄하는 부서의 장은 제1항에 따른 대책 강구시 국가정보원장과 사전 협의하여야 한다. 제38조(무선랜 보안관리) 1 정보시스템 관리책임자는 무선랜(와이파이 등)을 사용하여 업무자료를 소통하고자 할 경우 정보보안책임자와 협의하여 자체 보안대책을 수립하여야 하며, 정보보안책임자는 관련 사업 계획단계(사업 공고 전)에서 산업통상자원부장관에게 보안성 검토를 의뢰하여야 한다. 2 시스템관리자는 제1항의 보안대책 수립시, 다음 각 호의 사항을 포함하여야 한다. 1. 네트워크 이름(SSID, Service Set Identifier) 브로드캐스팅 중지 2. 추측이 어려운 복잡한 SSID 사용 3. WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화(국가정보원장이 승인한 암호논리 사용) 4. MAC 주소 및 IP 필터링 설정 5. RADIUS(Remote Authentication Dial-In User Service) 인증 사용 6. 그 밖에 무선단말기ㆍ중계기(AP) 등 무선랜 구성요소별 분실ㆍ탈취ㆍ훼손ㆍ오용 등에 대비한 관리적ㆍ물리적 보안대책 3 정보보안책임자는 제1항 내지 제2항과 관련한 보안대책의 적절성을 수시로 점검하고 보완하여야 한다. 제39조(무선인터넷 보안관리) 1 정보시스템 관리책임자는 무선인터넷(WCDMA, WiBro, HSDPA 등) 시스템을 구축하여 업무자료를 소통하고자 할 경우 정보보안책임자와 협의하여 자체 보안대책을 수립하여야 하며, 정보보안책임자는 관련 사업 계획단계(사업 공고 전)에서 산업통상자원부장관을 경유하여 국가정보원장에게 보안성 검토를 의뢰하여야 한다. 2 정보보안책임자는 회사 전역에 무선인터넷 사용을 제한하고 고객동선 등 특별히 무선 인터넷 사용이 필요한 구역에 대해서는 시스템 관리부서의 장 책임 하에 운용한다. - 14 -
3 정보보안책임자는 업무용PC에서 무선인터넷 접속장치(USB형 등)가 작동되지 않도록 관련 프로그램 설치 금지 등 기술적 보안대책을 강구하여야 한다. 4 정보보안책임자는 개인휴대폰을 제외한 무선인터넷 단말기의 사무실 무단 반입ㆍ사용을 금지하는 한편 제1항과 제3항의 보안대책이 적절한지 수시로 점검하고 보완하여야 한다. 제40조(RFID 보안관리) 1 정보시스템 관리책임자는 RFID 시스템을 구축하여 중요자료 등 보호할 필요가 있는 정보를 소통하고자 할 경우 정보보안책임자와 협의하여 자체 보안대책을 수립하여야 한다. 2 시스템관리자는 제1항의 보안대책 수립시, 다음 각 호의 사항을 포함하여야 한다. 1. RFID시스템(태그 및 리더기 포함)의 분실ㆍ탈취 대비 보안대책 및 백업대책 2. 태그정보의 최소화 대책 3. 장치 인증, 사용자 인증 및 기밀 등 중요정보의 암호화 대책 3 정보보안책임자는 제1항 및 제2항과 관련한 보안대책의 적절성을 수시로 점검하고 보완하여야 한다. 제41조(인터넷전화 보안관리) 1 정보시스템 관리책임자는 인터넷전화 시스템을 구축하거나 민간 인터넷전화 사업자망(070)을 사용하고자 할 경우, 사업 계획단계에서 정보보안책임자와 협의하여 자체 보안대책을 수립ㆍ시행하여야 한다. 2 시스템관리자는 제1항의 보안대책 수립시, 다음 각 호의 사항을 포함하여야 한다. 1. 인터넷전화기에 대한 장치 인증 및 사용자 인증 2. 제어신호 및 통화내용의 암호화 3. 인터넷전화망(음성 네트워크)과 일반 전산망(데이터 네트워크)의 분리 4. 인터넷전화 전용 방화벽 등 정보보호시스템 5. 백업체제 구축 3 시스템관리자는 인터넷전화 시스템 구축을 위해 민간 사업자망을 이용할 경우, 해당 사업자로 하여금 서비스 제공 구간에 대한 보안대책을 강구하도록 하여야 한다. 제42조(CCTV운용 보안관리) 1 CCTV 시스템 관리책임자는 CCTV운용에 필요한 카메라, 중계ㆍ관제서버, 관리용PC 등 관련 시스템을 비인가자의 임의 조작이 물리적으로 불가능하도록 설치하여야 한다. 2 CCTV 상황실은 보호구역운영 및 출입관리지침 제6조에 따른 보호구역으로 지정 관리하고 출입통제장치를 도입하여야 한다. 3 시스템관리자는 CCTV 카메라, 비디오서버, 관제서버 및 관련 전산망을 설치할 경우 업무망 및 인터넷망과 분리 운영하는 것을 원칙으로 한다. 다만, 부득이하게 인터넷망을 이용할 경우에는 전송내용을 암호화하여야 한다. 4 CCTV 시스템 일체는 사용자계정ㆍ비밀번호 등 시스템 인증대책을 강구하고 허용된 특정IP에서만 접속을 허용하는 등 비인가자의 침입에 대비한 통제대책을 강구하여야 한다. - 15 -
5 정보보안책임자는 제1항부터 제4항까지와 관련하여 보안대책의 적절성을 수시로 점검하고 보완하여야 한다. 제43조(디지털복사기 보안관리) 1 디지털복사기(이하 복사기 라 한다) 시스템 관리책임자는 복사기를 도입하고자 할 경우 복사기내 저장매체에 보관된 자료유출 방지를 위해 자료의 완전삭제 기능이 탑재된 제품을 도입하여야 한다. 2 시스템관리자는 다음 각 호의 경우에 복사기 저장매체의 저장자료를 완전 삭제하여야 한다. 1. 복사기의 사용연한이 경과하여 폐기ㆍ양여할 경우 2. 복사기의 무상 보증기간중 저장매체 또는 복사기 전체를 교체할 경우 3. 고장수리를 위한 외부반출 등 복사기의 저장매체를 보안통제할 수 없는 환경으로 이동할 경우 4. 기타 정보보안책임자가 저장자료의 삭제가 필요하다고 판단하는 경우 3 시스템관리자는 복사기의 소모품 등을 교체하기 위한 유지보수시 부서 정보보안담당자 입회ㆍ감독하에 작업을 실시하여 저장매체 무단 교체 등을 예방하여야 한다. 4 정보보안책임자는 회사의 저장매체 내장 복사기 현황을 파악하고 복사기의 유지보수 및 불용처리시 저장매체에 대한 보안조치를 수행하여야 한다. 제44조(첨단 정보통신기기 보안관리) 1 정보시스템 관리책임자는 전자제어장비 등 첨단 정보통신기기를 활용하여 업무자료 등 중요정보를 소통ㆍ관리하고자 할 경우에는 정보보안 책임자와 협의하여 관련 보안대책을 수립ㆍ시행하여야 한다. 2 시스템관리자는 제1항의 보안대책 수립시, 다음 각 호의 사항을 포함하여야 한다. 1. 첨단 정보통신기기에 대한 장치 인증 및 사용자 인증 2. 제어신호, 통화내용 등 데이터의 암호화 3. 업무자료의 무단 저장 금지 및 업무용ㆍ인터넷 PC에 무단 연동금지 4. 시스템의 분실ㆍ훼손ㆍ탈취 등에 대비한 관리적ㆍ물리적ㆍ기술적 보안대책 3 정보보안책임자는 개인이 소지한 첨단 정보통신기기가 업무와 무관하더라도 업무자료 유출에 직ㆍ간접 악용될 소지가 있다고 판단될 경우, 반출ㆍ반입 통제 등 관련 대책을 강구 할 수 있다. 4 정보보안책임자는 제3항과 관련한 대책 수립ㆍ시행을 위해 산업통상자원부장관에게 해당 첨단 정보통신기기 도입에 따른 보안취약점과 대책 등 기술지원을 요청할 수 있다. 5 시스템관리자는 제3항과 관련, 정보통신기기 사용자를 대상으로 인증 및 암호화에 필요한 전자 정보를 발급할 수 없는 경우, 정보통신기기 암호기술 적용지침 (국가정보원)을 준수하여야 한다. 제45조(정보통신망 자료 보안관리) 1 정보시스템 관리책임자는 다음 각 호에 해당하는 정보통신망 관련 현황ㆍ자료 관리에 유의하여야 한다. 1. 정보시스템 운용현황 2. 정보통신망 구성현황 - 16 -
3. IP 할당현황 4. 주요 정보화사업 추진현황 2 시스템관리자는 다음 각 호의 자료를 대외비로 분류하여 관리하여야 한다. 1. 정보통신망 세부 구성현황(IP 세부 할당현황 포함) 2. 보안취약점 분석ㆍ평가 결과물 3. 그 밖에 보호할 필요가 있는 정보통신망 관련 자료 3 제2항에 명시되지 않은 정보통신망 관련 대외비 및 비밀의 분류는 국가정보원장이 제정한 비밀 세부분류지침 (대외비)을 따른다. 제46조(용역사업 보안관리) 1 정보시스템 관리책임자는 정보화ㆍ정보보호사업 및 보안 컨설팅 수행 등을 외부용역으로 추진할 경우 사업 책임자로 하여금 다음 각 호의 사항을 포함한 보안대책을 수립 시행하여야 한다. 1. 용역사업 계약시 계약서에 참가직원의 보안준수 사항과 위반시 손해배상 책임 등 명시 2. 용역사업 수행 관련 보안교육ㆍ점검 및 용역기간중 참여인력 임의교체 금지 3. 정보통신망도ㆍIP현황 등 용역업체에 제공할 자료는 자료 인계인수대장을 비치, 보안 조치 후 인계ㆍ인수하고 무단복사 및 외부반출 금지 4. 사업 종료시 외부업체의 노트북ㆍ휴대용 저장매체 등을 통해 비공개 자료가 유출되는 것을 방지하기 위해 복구가 불가능하도록 완전삭제 5. 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공ㆍ열람 금지 6. 용역업체의 노트북 등 관련 장비를 반출ㆍ반입시마다 악성코드 감염여부, 자료 무단 반출 여부를 확인 7. 그 밖에 정보보안책임자가 보안관리가 필요하다고 판단하는 사항이나 국가정보원장이 보안조치를 권고하는 사항 2 정보시스템 관리책임자는 용역사업 추진시 과업지시서ㆍ입찰 공고ㆍ계약서에 다음 각 호의 누출금지 대상정보를 명시해야 하며 해당정보 누출시 국가를 당사자로 하는 계약에 관한 법률(이하 국가계약법 이라 한다)시행령 제76조제1항 제18호에 따라 사업책임자를 부정당업자로 등록하여 입찰 참가자격을 제한하여야 한다. 1. 회사 소유 정보시스템의 내ㆍ외부 IP주소 현황 2. 세부 정보시스템 구성 현황 및 정보통신망 구성도 3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보 4. 정보통신망 취약점 분석ㆍ평가 결과물 5. 정보화 용역사업 결과물 및 관련 프로그램 소스코드(유출시 안보ㆍ국익에 피해가 우려되는 중요 용역사업에 해당) 6. 정보보호시스템 도입 현황 7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보 8. 공공기관의 정보공개에 관한 법률 제9조제1항에 따라 비공개 대상 정보로 분류된 - 17 -
기관의 내부문서 9. 개인정보보호법 제2조제1호의 개인정보 10. 보안업무규정 제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비 11. 그 밖의 정보보안책임자가 공개가 불가하다고 판단한 자료 3 정보시스템 관리책임자는 비밀 및 중요외주 용역사업을 수행할 경우에는 외부인원에 대한 신원조사ㆍ비밀취급인가, 보안교육 및 외부유출 방지 등 보안조치를 강구하여야 한다. 4 정보보안책임자는 제1항부터 제3항까지에서 규정한 보안대책의 시행과 관련한 이행 실태를 주기적으로 점검하고 미비점 발견시 사업 책임자로 하여금 보완토록 조치하여야 한다. 5 정보보안책임자는 용역사업 보안특약, 보안 위규 처리 기준 및 보안위약금 부과 기준 등을 포함하는 외부 용역업체 보안관리 방안 을 마련하여야 하며, 정보시스템 관리책임자는 이를 준수하여야 한다. 제47조(정보시스템 위탁운영 보안관리) 1 정보시스템 관리책임자는 소관 정보시스템에 대한 외부업체의 위탁 운영을 최소화하되, 위탁 운영과 관련한 관리적ㆍ물리적ㆍ기술적 보안대책을 수립하여 시행하여야 한다. 2 정보시스템의 위탁 운영은 여타기관 또는 업체 직원이 회사에 상주하여 수행하는 것을 원칙으로 한다. 다만, 회사에 위탁업무 수행 직원의 상주가 불가한 타당한 사유가 있을 경우, 정보보안책임자와 협의하여 관련 보안대책을 수립 시행하는 조건으로 그러하지 아니할 수 있다. 3 정보시스템의 위탁운영과 관련하여 동 조문에 명시되지 않은 사항에 대해서는 제46조 (용역사업 보안관리) 등을 참조한다. 제48조(원격근무 보안관리) 1 정보시스템 관리책임자는 회사의 업무망 접속이 불가한 지역에서 재택ㆍ파견ㆍ이동근무 등 원격 근무를 지원하기 위한 정보시스템을 도입ㆍ운영할 경우 정보보안책임자와 협의하여 기술적ㆍ관리적ㆍ물리적 보안대책을 수립하고 산업통상자원부 장관을 경유하여 국가정보원장의 보안성 검토를 거쳐 시행하여야 한다. 2 정보시스템 관리책임자는 원격근무 가능 업무 및 공개ㆍ비공개 업무 선정기준을 수립하되 대외비 이상 비밀자료를 취급하는 업무는 원격근무 대상에서 원칙적으로 제외하되 반드시 수행해야 하는 경우 정보보안책임자와 협의하여 보안대책 강구 후 국가정보원장과 협의하여 수행여부를 결정 한다. 3 정보시스템 관리책임자는 모든 원격근무자에게 보안서약서를 징구하고 원격근무자의 업무변경ㆍ인사이동ㆍ퇴직 등 상황 발생시 정보시스템 접근권한 재설정 등 관련 절차를 수립하여야 한다. 4 원격근무자는 원격근무시 해킹을 통한 업무자료 유출을 방지하기 위하여 작업수행 전 최신 백신으로 원격근무용 PC 점검ㆍ업무자료 저장금지 등 보안조치를 수행하여야 한다. 5 원격근무자는 정보시스템 고장시 정보유출 방지 등 보안대책을 강구한 후 정보보안 책임자와 협의하여 정비ㆍ반납 등 조치를 취하여야 한다. 6 정보보안책임자는 주기적인 보안점검을 실시하여 원격근무 보안대책의 이행 여부를 - 18 -
확인하여야 한다. 제49조(영상회의시스템 보안관리) 정보시스템 관리책임자는 영상회의시스템을 구축할 경우에 정보보안책임자와 협의하여 통신망(전용선, 인터넷 등)에 따른 암호화 등 보안대책을 수립ㆍ시행 하여야 한다. 제50조(스마트폰 등 모바일 행정업무 보안관리) 정보시스템 관리책임자는 스마트폰 등을 활용 하여 내부행정업무와 현장행정업무 및 고객서비스업무 등 모바일 업무환경을 구축할 경우 정보보안책 임자와 협의하여 보안대책을 수립ㆍ시행하여야 한다. 제51조(클라우드 시스템 보안관리) 1 정보시스템 관리책임자는 클라우드 컴퓨팅시스템을 구축할 경우 정보보안책임자와 협의하여 국가ㆍ공공기관 클라우드 컴퓨팅 보안가이드라인 (2013.1, 국가정보원)을 준용한 보안대책을 강구하여야 한다. 2 정보시스템 관리책임자는 상용 클라우드 컴퓨팅시스템을 활용하고자 하는 경우에는 정보보안책임자와 협의하여 산업통상자원부장관을 경유 국가정보원장에게 보안성 검토를 요청하여야 한다. 제4장 안전성 확인ㆍ평가 제1절 보안성 검토 제52조(보안성 검토 신청) 1 정보시스템 관리책임자는 다음 각 호의 정보화사업을 추진할 경우에 대하여 정보보안책임자와 협의하여 자체 보안대책을 강구하고 정보보안책임자는 안전성을 확인하기 위하여 사업 계획단계(사업 공고 전)에서 산업통상자원부장관을 경유하여 국가정보원장 에게 보안성 검토를 의뢰하여야 한다. 1. 비밀 등 중요자료의 생산, 등록, 보관, 사용, 유통 및 재분류, 이관, 파기 등 비밀 업무와 관련된 정보시스템 및 네트워크 구축 2. 정보보호시스템을 도입 운용하고자 할 경우 3. 대규모 정보시스템(10억 이상 사업) 또는 다량의 개인정보(100만명 이상)를 처리하는 정보시스템 구축 4. 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우 5. 업무망과 연결되는 무선 네트워크 시스템 구축 6. 스마트폰ㆍ클라우드 등 첨단 IT기술을 업무에 활용하는 시스템 구축 7. 원격근무시스템 구축 8. 업무망과 인터넷 분리 사업 - 19 -
9. 그 밖에 정보보안책임자 또는 국가정보원장이 보안성검토가 필요하다고 판단하는 정보 화사업 2 정보보안책임자는 제1항에 명시된 보안성 검토 대상 사업의 경우에도 국가정보원장의 승인을 받아 보안성 검토를 생략할 수 있다. 3 제1항 제2호에 명시된 정보보호시스템 자체에 대한 검증은 제4장제2절 보안적합성검증에 따른다. 4 정보보안책임자는 해당연도의 정보통신망 보안성검토 대상사업 현황을 1.25까지 산업 통상자원부장관에게 제출하여야 한다. 이 경우 제7조의 규정에 따른 추진계획을 활용하거나 별도로 제출할 수 있다. 제53조(보안성 검토 절차) 정보시스템 관리책임자는 정보보안책임자와 협의하여 수립한 보안대책에 대하여 보안심사위원회 심사를 거친 후 산업통상자원부 장관 또는 국가정보 원장에게 보안성 검토를 요청한다. 제54조(제출 문서) 1 정보시스템 관리책임자는 정보통신망 보안성 검토를 요청할 경우에는 다음 각 호의 문서를 정보보안책임자와 협의하여 산업통상자원부장관에게 제출하여야 한다. 1. 사업계획서(사업목적 및 추진계획 포함) 2. 기술제안요청서(RFP) 3. 정보통신망 구성도(필요시, IP주소체계 추가) 4. 자체 보안대책 강구사항 2 제1항제4호의 자체 보안대책 강구사항에는 다음 각 호를 포함하여야 한다. 1. 보안관리 수행체계(조직,인원) 등 관리적 보안대책 2. 정보시스템 설치장소에 대한 보안관리방안 등 물리적 보안대책 3. 정보보호시스템 도입 운용 계획 4. 국가기관간 망 연동시 해당 기관간 보안관리 협의사항 5. 서버, 휴대용 저장매체, 네트워크 등 정보통신망의 요소별 기술적 보안대책 6. 재난복구 계획 또는 상시 운용계획 제55조(결과 조치) 정보시스템 관리책임자는 산업통상자원부장관 또는 국가정보원장의 보안성 검토 결과를 준수하여 보안대책을 보완하여야 한다. 이 경우, 산업통상자원부장관이 신 속한 시정을 요청하는 경우에는 정보시스템관리책임자는 특별한 사유가 없는 한 이에 따라야 한다. 제2절 보안적합성 검증 제56조(보안적합성 검증) 정보시스템 관리책임자는 정보보호시스템, 네트워크 장비 등 - 20 -
보안기능이 있는 정보통신제품을 도입할 경우 안전성 확인을 위하여 산업통상자원부장관을 경유 국가정보원장에게 보안적합성 검증을 의뢰하여야 한다. 제57조(정보보호시스템의 도입 등) 정보시스템 관리책임자는 정보 및 정보통신망 등을 보호하기 위해 정보보호시스템, 네트워크 장비 등 보안기능이 있는 정보통신제품을 도입 할 수 있다. 다만 별표 2에 규정된 유형의 시스템에 대해서는 해당 도입요건을 만족하는 경우로 한정한다. 제58조(보안적합성 검증대상 및 신청) 1 정보시스템 관리책임자는 제57조에 따라 정보 보호시스템, 네트워크 장비 등 보안기능이 있는 정보통신제품을 도입할 경우 운용 전에 산업통상자원부장관을 경유 국가정보원장에게 보안적합성 검증을 신청하여야 한다. 2 보안적합성 검증대상 시스템은 다음 각 호와 같다. 1. 상용 정보보호시스템 2. 정보시스템 관리책임자가 자체 개발하거나 외부업체 등에 의뢰하여 개발한 정보보호 시스템 3. 저장매체 소자장비 혹은 완전삭제 소프트웨어 제품 4. 네트워크 장비(L3 이상 스위치ㆍ라우터 등) 및 보안기능이 있는 L2 스위치 5. 제52조의 보안성 검토 결과 세부 검증이 필요하다고 판단된 보안기능이 있는 정보시스템 등 3 제2항에도 불구하고, 다음 각 호의 경우에는 검증을 생략할 수 있다. 1. 국내용 CC 인증제도에 따라 인증을 받은 정보보호시스템 2. 검증필 제품목록에 등재된 저장매체 소자장비 혹은 완전삭제 소프트웨어 제품 3. 암호모듈 검증제도를 통해 국가정보원장이 안전성을 확인한 제품 4. 그 밖에 국가정보원장이 보안적합성 검증이 불요하다고 인정한 시스템 4 제3항제1호 제품은 보안적합성 검증을 생략할 수 있으나 별지 제7호 서식의 정보보호 시스템 도입 확인서, 별지 11호 운영 점검사항을 시스템 도입 후 3주 내에 산업통상자원부 장관을 경유 국가정보원장에게 제출하여야 한다. 제59조(제출문서) 1 보안적합성 검증 신청에 필요한 제출문서는 다음 각 호와 같다. 1. 상용 정보보호시스템 가. 별지 제4호 서식의 정보보호시스템 도입시 확인사항 1부 나. 별지 제5호 서식의 보안적합성 검증 신청서 1부 다. 기술제안요청서 사본 1부 라. 제품설명서(기능ㆍ운용 설명서 등) 1부 마. CC 인증서 사본(해당되는 경우) 1부 바. 별지 제10호 서식의 보안기능 점검표 1부 사. 별지 제11호 서식의 운영 점검사항 1부 2. 자체 개발하거나 외부업체 등에 의뢰하여 개발한 시스템 가. 별지 제4호 서식의 정보보호시스템 도입시 확인사항 1부 - 21 -
나. 별지 제5호 서식의 보안적합성 검증 신청서 1부 다. 기술제안요청서 사본 1부 라. 제품설명서(기능ㆍ운용 설명서 등) 1부 마. 기본 및 상세 설계서(검증기관 또는 시험기관 요청시) 1부 바. 개발완료 보고서 1부 사. 자체 시험결과 1부 3. 네트워크 장비 가. 별지 제4호 서식의 정보보호시스템 도입시 확인사항 1부 나. 별지 제8호 서식의 네트워크 장비 보안적합성 검증 신청서 1부 다. 장비 설명서(기능ㆍ운용설명서, Private MIB 등 포함) 1부 라. 기본 및 상세 설계서(검증기관 또는 시험기관 요청시) 1부 마. 장비 펌웨어 이미지 및 해시값 1부 바. 별지 제6호 서식의 네트워크 장비 도입 최소 보안 요구사항 1부 사. 별지 제9호 서식의 변경내용 분석서 (도입장비 펌웨어 업데이트 경우) 1부 아. CC 인증서 사본(해당되는 경우) 1부 2 정보보호책임자는 국가정보원장 또는 산업통상자원부장관으로부터 보안적합성 검증에 필요한 추가 자료를 요청받은 경우, 특별한 사유가 없는 한 15일 이내에 추가 자료를 제출하여야 한다. 제60조(검증시험 및 결과조치) 정보시스템 관리책임자는 보안적합성 검증 결과 취약점을 통보받았을 때에는 30일 이내에 보완대책을 수립하여 조치하고 그 결과를 산업통상자원부 장관을 경유 국가정보원장에게 통보하여야 한다. 다만, 기간 내 조치하기 어려울 경우 사 전에 협의하여야 한다. 제61조(사후관리) 1 정보시스템 관리책임자는 보안적합성 검증 완료 이후 시스템에 새로운 취약점이 발견될 경우에는 즉시 제거한 후 그 결과를 산업통상자원부장관을 경유 국가정보원장 에게 통보하고, 제거가 불가능할 경우에는 그 사실을 산업통상자원부장관 및 국가정보원장에게 통보하여 조치를 받아야 한다. 2 정보시스템 관리책임자는 국가정보원장으로부터 취약점 제거를 요청받은 경우, 특별한 사유가 없는 한 30일 이내에 이를 제거하고 그 결과를 산업통상자원부장관을 경유 국가정보 원장에게 통보하여야 한다. 제62조(무단변경 및 오용금지) 정보시스템 관리책임자는 보안적합성 검증이 완료된 시스템의 형상을 무단 변경하거나 도입 목적 이외의 용도로 운용하기 위해서는 국가정보원장에게 보안적 합성 검증 여부를 확인하여야 한다. - 22 -
제5장 사이버위협 탐지ㆍ대응 제1절 보안관제 제63조(보안관제센터 설치ㆍ운영) 정보보안책임자는 소관 정보통신망에 대한 사이버공격 정보의 수집ㆍ분석ㆍ대응을 위해 산업통상자원부장관이 설치ㆍ운영하는 보안관제센터(이하 산업통상자원 사이버안전센터 라 한다)에 그 업무를 위탁할 수 있다. 제64조(정보공유) 정보보호책임자는 관계 법규에 저촉되지 않은 범위 내에서 수집ㆍ탐지한 사이버공격 정보를 산업통상자원부장관에게 제공하여야 한다. 제2절 사고대응 제65조(사고상황전파) 정보보안책임자는 사이버공격과 관련한 다음 각 호의 정보를 확인한 경우에는 전화ㆍ팩스ㆍ이메일 등 통신수단을 활용하여 지체없이 그 사실을 국가안보실장, 국가정보원장 및 산업통상자원부장관에게 통보하여야 한다. 1. 대규모 사이버공격 발생시 2. 사이버공격으로 인하여 피해가 발생하거나 피해 발생이 예상되는 경우 3. 사이버공격이 확산될 우려가 있는 경우 4. 그 밖에 사이버공격 계획 등 사이버안전에 위협을 초래할 수 있는 정보를 입수한 경우 제66조(정보보안 사고조사) 1 정보보안책임자는 별표 1의 정보보안사고가 발생한 때에는 즉시 피해확산 방지를 위한 조치를 취하고 다음 각 호의 사항을 산업통상자원부장관 및 국 가정보원장에게 통보하여야 한다. 이 경우, 사고원인 규명시까지 피해 시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포맷하여서는 아니 된다. 1. 일시 및 장소 2. 사고 원인, 피해현황 등 개요 3. 사고자 및 관계자의 인적사항 4. 조치내용 등 2 정보보안책임자는 규정에 따른 관련자 징계 요구, 재발방지를 위한 보안대책의 수립 ㆍ시행 등 사고 조사 결과에 따라 필요한 조치를 하여야 한다. 3 정보보안 사고 및 강원랜드 정보보안 기본지침 세부 규정에 대한 위반사항이 발견 되는 경우, 별표 3 보안위규 처리기준에 따른다. - 23 -
제6장 보칙 제67조(다른 법령과의 관계) 이 지침에 명시되지 않은 사항은 다음 각 호의 법령 및 지침 등을 따른다. 1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 동법 시행령, 시행규칙 2. 개인정보보호법 및 동법 시행령, 시행규칙 3. 전자정부법 및 동법 시행령 4. 국가정보보안 기본지침 5. 산업통상자원부 정보보안 세부지침 6. 국가사이버안전관리규정 (대통령훈령) 7. 국가사이버안전매뉴얼 및 사이버분야 위기관리 표준매뉴얼 8. USB메모리 등 휴대용 저장매체 보안관리지침 9. 정보시스템 저장매체 불용처리지침 10. 인터넷전화 구축시 보안준수사항 11. CCTV 시스템 보안관리방안 12. 외부 용역업체 보안관리방안 13. 부처 영상회의시스템 보안가이드라인 14. 국가ㆍ공공기관 모바일 활용업무에 대한 보안가이드라인 15. 정보화사업 보안성 검토 처리기준 16. 그 밖의 관계 법령 부 칙 이 지침은 2016년 6월 1일부터 시행한다. - 24 -
[별표 1] 정보보안 사고 유형 조 구 분 항 세 부 내 용 1 전자정보 (전자문서 및 전자기록물) (1) (2) (3) (4) 비밀의 유출 주전산기(주요 서버 등)ㆍ대용량 전자기록(DB) 손괴 전자정보의 위조ㆍ변조ㆍ훼손 및 유출 PC 등 단말기 內 비밀의 평문 보관 및 유통 (1) 정보통신망에 대한 해킹ㆍ악성코드의 유포 (2) 비밀이 저장된 PC, 휴대용 저장매체 등 분실 2 정보시스템 및 정보통신실 (3) (4) (5) 중요 정보시스템 및 정보통신실 파괴 고의적인 중요 정보시스템 기능 장애 및 정지 상용메일 등을 통한 비밀 등 중요자료 무단 소통 (6) 비밀 등 업무자료의 무단 반출 (7) 정보통신기기를 통한 비밀 등 중요자료 무단 소통 - 25 -
[별표 2] 정보보호시스템 유형별 도입요건 제품 유형 도입 요건 비 고 침입차단시스템 침입탐지시스템 침입방지시스템 통합보안관리제품 웹응용프로그램 침입차단제품 DDoS대응장비 가상사설망 * 검증필 암호모듈 탑재필요 서버접근통제 제품 DB접근통제 제품 네트워크접근통제 제품 인터넷전화 보안제품 무선 침입방지시스템 무선랜 인증제품 스팸메일차단제품 네트워크 자료유출방지제품 호스트 자료유출 방지제품 안티바이러스 제품 PC 침입차단제품 패치관리시스템 *암호화 저장기능이 존재하는 경우 검증필 암호모듈 탑재필요 소프트웨어기반 보안USB제품 * 검증필 암호모듈 탑재필요 - 26 -
제품 유형 도입 요건 비 고 매체제어제품 PC가상화 제품 서버기반 가상화 제품 망간자료전송제품 스마트카드 복합기(완전삭제모듈탑재) 소스코드 보안약점 분석도구 CC인증(EAL4이상) 14. 1. 1부 의무화 스마트폰 보안관리 제품 14. 1. 1부 의무화 메일 암호화 제품 구간 암호화 제품 PKI 제품 SSO 제품 디스크 파일 암호화 제품 문서암호화 제품(DRM 등) * 검증필 암호모듈 탑재필수 키보드 암호화 제품 하드웨어 보안토큰 DB암호화 제품 기타 암호화 제품 최신 정보보호시스템 유형별 도입 요건은 국가사이버안전센터 홈페이지에서 확인 가능 - 27 -
[별표 3] 보안위규 처리기준 구 분 위 규 사 항 처 리 기 준 1. 비밀 및 대외비 급 정보 유출 및 유출시도 심 각 가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출 나. 개인정보 신상정보 목록 유출 다. 기타 도면, 영상정보 등 비공개 정보 유출 2. 정보시스템에 대한 불법적 행위 가. 관련 시스템에 대한 해킹 및 해킹시도 나. 시스템 구축 결과물에 대한 외부 유출 다. 시스템 내 인위적인 악성코드 유포 징계시행세칙 별표1 징계심의기준에 따른 징계 요구 재발 방지를 위한 조치계획 제출 1. 비공개 정보 관리 소홀 가. 비공개 정보를 책상 위 등에 방치 나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 다. 개인정보 신상정보 목록을 책상 위 등에 방치 라. 기타 비공개 정보에 대한 관리소홀 마. 용역사업 참여인원에 대한 보안서약서 미징구 및 교육 미실시 중 대 2. 사무실(작업장) 보안관리 허술 가. 출입문을 개방한 채 퇴근 등 나. 인가되지 않은 작업자의 내부 시스템 접근 다. 통제구역 내 장비 시설 등 무단 사진촬영 3. 전산정보 보호대책 부실 가. 업무망 인터넷망 혼용사용, USB 등 보조기억매체 기술적 통제 미흡 나. 웹하드 P2P 등 인터넷 자료공유사이트를 활용하여 용 역사업 관련 자료 수발신 다. 개발 유지보수 시 원격작업 사용 라. 저장된 비공개 정보 패스워드 미부여 마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장 바. 외부용 PC를 업무망에 무단 연결 사용 사. 보안관련 프로그램 강제 삭제 아. 제공된 계정관리 미흡 및 오남용(시스템 불법접근 시도 등) 자. 바이러스 백신 정품 S/W 미설치 위규자 및 직속 감독자 사유서 / 경위서 징구 위규자 대상 특별 보안교육 실시 - 28 -
구 분 위 규 사 항 처 리 기 준 1. 회사 중요ㆍ민감 자료 관리 소홀 가. 주요 현안ㆍ보고자료를 책상위 등에 방치 나. 현안ㆍ보고자료를 휴지통ㆍ폐지함 등에 유기 또는 이 면지 활용 다. 중요정보에 대한 자료 인수 인계 절차 미 이행 2. 사무실 보안관리 부실 가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근 나. 출입키를 책상위 등에 방치 3. 보호구역 출입 소홀 가. 통제ㆍ제한구역 출입문을 개방한 채 근무 나. 보호구역내 비인가자 출입허용 등 통제 불순응 위규자 사유서 / 보 통 4. 전산정보 보호대책 부실 경위서 징구 가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근 나. 네이트온 등 비인가 메신저 무단 사용 다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근 라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순 숫자 부여 마. PC 비밀번호를 모니터옆 등 외부에 노출 바. 비인가 보조기억매체 무단 사용 사. 정보시스템 반입시 바이러스 백신 미검사 또는 반출시 자료 삭제 미확인 아. 바이러스 백신 최신 업데이트 또는 정밀점검 미실시 경 미 1. 업무 관련서류 관리 소홀 가. 진행중인 업무자료를 책상 등에 방치, 퇴근 나. 복사기ㆍ인쇄기 위에 서류 방치 2. 근무자 근무상태 불량 가. 각종 보안장비 운용 미숙 나. 경보ㆍ보안장치 작동 불량 3. 전산정보 보호대책 부실 가. PC내 보안성이 검증되지 않은 프로그램 사용 나. 보안관련 소프트웨어의 주기적 점검 위반 다. PC 월1회 보안 점검 미이행 위규자 서면ㆍ구두 경고 등 문책 - 29 -
[별지 제1호 서식] 정보보안업무 세부 추진계획 < 작성 요령 > 1. 활동 목표 2. 기본 방침 3. 세부 추진계획 분야별 사업명 세부 추진계획 주관ㆍ관련부서 비고 * 보안성 검토 대상여부 표기 4. 전년도 보안감사ㆍ지도방문시 도출내용과 조치내역 도 출 내 용 조 치 내 역 담당부서 * 형식적인 계획수립을 지양하고 소속 및 산하기관의 추진계획을 종합, 자체 실정에 맞 게 작성 - 30 -
[별지 제2호 서식] 정보보안업무 심사분석 1. 총 평 2. 주요 성과 및 추진사항 3. 세부 사업별 실적 분석 추 진 계 획 추 진 실 적 문 제 점 개 선 대 책 * 추진실적은 목표량과 대비하여 성과달성도를 계량화 4. 부진(미진)사업 부 진 사 업 원인 및 이유 익년도 추진계획 5. 애로 및 건의사항 6. 첨부(정보통신망 및 정보보호시스템 운용현황 등) - 31 -
[별지 제3호 서식] 정보시스템 관리대장 연번 소속 취급자 (성명) 종류 (서버ㆍPC 등) 관리번호 도입일자 비고 - 32 -
[별지 제4호 서식] 정보보호시스템 도입시 확인사항 항목명 점검 항목 결과 EAL 2 이상 CC인증서 획득 여부 인증여부 CC 인증을 받지 않은 경우, 국가용 암호제품 지정여부 국가정보원장이 검증한 암호모듈 탑재 여부 일치성 인증보고서 또는 운용정책문서와 도입제품 보안기능 일치성 여부 기술제안서(RFP)에서 요구하는 보안기능 구현 여부 도입기관의 시스템관리자 지정여부 운용환경 감사기능 지원 여부 네트워크 성능 요구사항 지정여부 시스템 장애시 대책 수립 여부 보안적합성 검증결과 반영 가능 여부 업체 기술지원 전담조직 운영 여부 작동중단 등 긴급상황에 대비한 지원절차 마련 여부 유지보수 업체의 유지보수 매뉴얼 제공 여부 한글 관리자 설치ㆍ운영 매뉴얼 제공 여부 업체의 제품운용교육 제공 여부 신규취약성에 대한 통보 및 처리절차 마련 여부 점검결과는 O, X로 표기 - 33 -
[별지 제5호 서식] 보안적합성 검증 신청서 기관명 운용부서 도입목적 신청기관 운용환경 사용자 수 망 구성 유선 무선 속도(대역폭) 운용형태 단독 설치 운용 타 보안제품과 연동 대 국민 배포용 연동 시스템 ERP KMS CRM 전자결재 기타 그룹웨어 사업명 업체명 주소 대표자 전화번호 CC 인증번호 제품명 암호 검증번호 신청제품 * 신청제품이 2 種 이상인 경우, 추가기재 용역개발 여부 예 평가기관 인증기관 등급 아니오 전화번호 담당자 휴대폰번호 E-mail 암호모듈 없음 있음 ( 검증 미검증) - 34 -
[별지 제6호 서식] 네트워크 장비도입 최소 보안 요구사항 대분류 소항목 내용 점검결과 식별 및 인증 정보흐름 통제 보안관리 자체시험 디폴트 관리자 패스워드 강제변 경기능 안전한 패스워드 설정기능 인증실패 대응기능 인증 피드백 보호기능 관리자/사용자 인증 정보의 안전한 저장 여부 별도서버를 통한 사용자 인증기능 * 별도 인증서버 연동을 제공하는 경우 관리자가 설정한 ACL 규칙에 따라 트래픽을 제어하는 기능제공여부 SNMP를 이용한 시스템 모니터링 및 관리기능 제공여부 관리콘솔 접속기능 IP제한 기능 제품 구동시, 정규 운영동안 주기적 으로 관리자 요청시 자체시험을 실행하는 기능 제공여부 관리자에게 제품 설정값 및 실행 코드의 무결성을 검사하는 기능 펌웨어 업데이트시 펌웨어 파일의 안전한 무결성 검증방법 여부 o 제품출고시 디폴트 관리자 패스워드 설정 금지 o 디폴트 관리자 패스워드 설정된 경우 최초 관리자접속시 패스워드 재설정 요청 o 최소 9자리이상, 영문 대/소문자, 숫자, 특수문자 중 3가지이상 규칙조합 사용 o 설정된 횟수(기본값 5회이하) 이상인증 실패시 일정시간(기본값 5분이상) 접속 제한 등의 대응기능 제공 o 입력한 패스워드 정보를 화면에서 볼 수 없도록 마스킹 하는 기능 o 평문(Base64와 같은 단순인코딩 포함) 저장 금지 o 제품에 하드코딩 금지 o IEEE 802.1x 지원 o RADIUS, TACACS + 서버등 지원 o ACL규칙(MAC, IP, 포토 등)을 통한 트 래픽 제어지원 o IEEE 802.1Q VLAN, VLAN Trunking 지원 o 초기설정은 SNMP서비스 비활성(Disable) 상태유지 o 최신 SNMP버전(V3)지원 o Private MIB정보 문서화 제공 o IP지정(2개 이하로 제한) o 제품관련 H/W(메모리, 플래시 등) 등의 자체검사 지원 o 제품관련 S/W(커널, 운영프로그램 등) 등의 자체검사 지원 o 전자서명 생성/검증 메커니즘 이용 등 검증 기능 여부 - 35 -
대분류 소항목 내용 점검결과 일정시간 관리자 활동이 없는 경 우 세션감금 또는 세션종료 기능 o 기본값 10분 이하 안전한 세션관리 관리자의 동시 원격접속세션을 제한하는 기능 o 하나의 관리자 세션 유지 * 제품 운영상황 등 단순 모니터링 만 수행하는 경우 에는 예외적으로 허용 관리자의 인증정보 재사용 방지 대응 기능 * 웹 UI를 제공하는 경우 o 타임스탬프 등 대응기능 제공 다중사용자/그룹생성지원 및 사용 자/그룹별 접근권한 설정기능 o 사용자별 이름(ID), 패스워드, 접근권한 설정 지원 접근 통제 제품모니터링, 설정 변경/삭제, 엔지니어링 진단, 목구모드 등 운영모드의 안전한 제공 o 제품이 제공하는 운영모드 명시 o 각 모드변경시 명시적 인증확인 o 운영 모드별 필요한 최소한의 명령만 사용 허용 전송데이터 보호 제품과 원격 연결된 모든 통신수단간 안전한 암호통신 프로토콜 사용 o 관리자 PC에서 원격으로 관리 콘솔 접속 시 SSL/TLS, HTTPS, SSH, IPSEC 등 사용지원 o 제품과 외부 서버와의 원격으로 연동시 SSL/TLS, HTTPS, SSH, IPSEC 등 사용 지원 감사기록 감사 데이터를 생성하는 기능 감사 데이터에 해당 정보포함 여부 감사증적의 크기가 디스크 용량 초과시 대응 행동 o 감사 기능의 시작/종료 o 관리자에 대한 식별 및 인증 성공/실패 o 제품 설정 변경내역, 보안기능 수행내역 o 사건발생 일시, 사건유형 o 사전을 발생시킨 주체의 신원(가능한 경 우) o 작업내역 및 결과(성공/실패) o 오래된 감사레코드 덮어쓰기 등 대응 내용 - 36 -
[별지 제7호 서식] 정보보호시스템 도입 확인서 기 관 명 관계중앙행정기관 담 당 자 담당자 전화번호 사 업 명 보안성 검토 보안성 검토 문서표시( 보안성 검토결과( -, 2014.. ) 기관명 관계중앙행정기관 도입제품명 제조사 제품유형 CC인증번호 등급 평가기관 암호모듈명 암호검증번호 비고 무선랜인증 NSS-000-000 EAL2 CM-00-000 수량등 - 37 -
[별지 제8호 서식] 네트워크 장비 보안적합성 검증 신청서 운영부서 기관명 기관담당자 신청기관 담 당 자 전화번호 도입목적 사업명 업체명 대 표 자 주 소 전화번호 CC인증번호 제품명 암호검증번호 제품종류 L3스위치, 라우터 등 펌웨어 파일명 신청제품 도입수량 대 해 시 값 평가기관 인증기관 등급 전 화 번 호 업체실무 담당자 휴대폰번호 E-mail 암호모듈 없음 있음 ( 검증 미 검증) * 제조사에서 제공하는 펌웨어 파일에 대해 해시값을 생성하여 기록하고 해당 펌웨어를 도 입제품에 설치 - 38 -
[별지 제9호 서식] 네트워크 변경내용 분석서 1. 제품개요 가. 작성자 정보 : 업체명, 작성일, 작성자 등 도 입 기 관 테스트 기관 개 발 업 체 (주) 테스트 업체 작 성 일 2013. 9.10 작 성 자 김 나. 검증제품 : 제품명, 버전, 펌웨어 해시값 등 제 품 명 테스트 스위치 버 전 3.1 펌웨어 파일명 (해 시 값) XXX.img (97BA3B7AAFSDXCFFFSD4AWERQWWQER4AFASD5ASDFAS3 ASFCCGRDFGDF3ZSGDZXV3FAS34) 검 증 일 2012년 5월 다. 이전 변경승인 에 관련된 내용 제 품 명 버 전 변경승인일 변경승인내용 테스트 스위치 3.1 2013. 2 하드웨어 스펙 변경에 따른 모델추가 2. 변경내역 가. 변경 전/후 시스템 구성 제 품 명 Router XX Appliance Router XX Management Console 소프트웨어 하드웨어 변경전 변경후 변경전 변경후 나. 검증제품 : 제품명, 버전, 펌웨어 해시값 등 - 39 -
변경된 기능 로그인 변경내용 관리자 로그인시 비밀통신을 수행하도록 제품 변경 * 필요시 화면 캡처 다. 변경이 제품 설계에 미치는 영향 항 목 영향분석 로그인 기능 변경을 위해 관리자 인증과 관련된 일부코드가 변경됨에 따라 펌웨어 변경됨 펌웨어 변경유무 변경전 test 1.1.img 97BA3B7AAFSDXCFFFSD4AWE 3B7AAFSDXCFFFSD4AWE 변경후 test 1.2.img 97BA3B7AAFSDXCFFFSD4AWE SDXCFFFSD4AWE 펌웨어 변경유무 로그인 기능 변경을 위해 내부코드가 변경되었으며 제품UI 변경은 없음 * 필요시 화면 캡처 라. 변경부문에 대한 자체시험 테스트 결과 변경된 기능 변경내용 시험결과 로그인 관리자 로그인시 비밀통신을 수행여부 확인 정상동작 확인 * 필요시 화면 캡처 - 40 -
[별지 제10호 서식] 정보보호시스템 보안기능 점검표 대분류 보안기능 요구사항 점검결과 비고 감사기록 식별 및 기능 감사의 시작/종료, 관리자 또는 사용자에 대한 식별 및 인증성공/실패, 제품 설정 변경내역, 보안기능 수행내역 등 감사데이터 생성 * 네트워크 차단기능이 있는 경우 허용 및 차단된 모든 트래픽에 대한 감사데이타 생성 감사데이터는 사건 발생일시, 사건유형, 사건을 발생시킨 주체의 신원(가능 경우), 작업 내역 및 결과(성공/실패)를 상세히 포함 인가된 관리자가 제품구성요소로부터 생성된 모든 감사데이터를 검토할 수 있는 기능 제공 인가된 관리자 또는 인가된 사용자가 AND, OR 등 논리적 관계기준에 기초하여 감사레코드를 선택적으로 검토 감사 증적내 저장된 감사레코드에 대해 비인가된 삭제 또는 변경이 발생하지 않도록 보호 - 인가된 관리자라 할지라도 삭제 또는 변경할 수 없도록 삭제 변경 관련 유저인터페이스(UI)가 제공되지 않아야 함 - 감사레코드에 대한 보호대책을 제품의 보안기능으로 완전히 구현할 수 없는 경우, 운용환경의 지원을 받을 수 있음 감사 증적의 크기가 지정된 한도를 초과할 경우, 사전 정의한 방식에 따라 관리자에게 통보 감사 증적의 포화시 적절한 방법(예 : 오래된 감사레코드 덮어쓰기 등) 으로 저장 실패에 대응 주요 사건에 대한 정확한 시각 정보생성을 위해 신뢰된 OS 등을 이용하여 시간 정보를 생성 잠재적인 보안위반을 탐지한 경우, 인가된 관리자가 설정한 대응 (예 : 경보메시지 발송 등)을 수행 관리자 또는 사용자 신원을 검증하기 위해 식별 및 인증기능 제공 관리자 인증실패가 설정된 횟수(기본값 5회 이하)에 도달하면, 인가된 관리자가 설정한 시간(기본값 5분 이상)동안 식별 및 인증기능이 비활성 패스워드 등록시 보안성 기준(영문대문자/영문소문자/숫자/특수문자 중 3가지 이상의 규칙조합 및 9자리 이상으로 구성)을 만족하는지 검증 인증이 진행되는 동안 관리자 또는 사용자에게 패스워드가 마스킹 (예 : **** 등)되어 보이도록 해야 함 식별 및 인증 실패시, 실패이유에 대한 피드백(예 : ID오류, 패스 워드 오류 등)을 제공하지 않아야 함 관리자가 제품에 최초 접속시 제품이 기본적(예 : 설치시 등)으로 제공하는 ID 및 패스워드의 변경을 강제화하는 기능 제공 관리자의 패스워드가 제품에 하드코딩되거나 평문(단순 인코딩 포함) 으로 저장되지 않아야 함 인증정보가 재사용되는 것을 방지(타임스탬프 사용 등)해야 함 - 41 -
대분류 보안기능 요구사항 점검결과 비고 보안관리 전송데이터 보호 자체시험 안전한 세션관리 정보흐름 통제 인가된 관리자가 보안기능, 보안정책 및 중요데이터 등을 설정 및 관리할 수 있는 보안기능 제공 사전 등록된 IP주소의 관리콘솔(관리자 IP주소 등록은 2개 이하로 제한)만 제품에 접속할 수 있도록 해야 함. 물리적으로 분리된 제품구성요소간 전송데이터(보안정책, 제어명 령, 감사기록 등)에 대한 암호화를 통해 기밀성 및 무결성 보장 - 에이전트와 관리서버간 전송되는 데이터에 대한 기밀성 및 무 결성 보장을 위해 상호 인증을 수행 - 암호모듈 검증제도에서 검증대상으로 지정된 안전한 암호 알고 리즘 사용을 권고 - 관제대상 시스템으로부터 로그를 Syslog 형태로 수신하는 것은 본 요구사항은 적용되지 않음. 단 전송과정에서 로그정보가 훼 손될 수 있으므로 동일 로컬네트워크 내에서만 Syslog 사용 등 보호대책을 마련해야 함. 관리자가 웹브라우저를 이용한 접속 등 제품과 원격으로 연결된 모든 통신수단은 안전한 암호통신 프로토콜을 이용 제품의 정확한 운영을 보장하기 위해 시동시와 정규 운영동안 주 기적으로 자체 시험을 시행 인가된 관리자에게 제품의 설정값 및 제품 자체의 무결성을 검증 하는 기능 제공 로그인 이후 일정시간(기본값 10분 이하)동안 동작이 없을 경우 세션 잠금 또는 세션 종료 기능을 수행 로그인 이후 다른 단말에서 동일 계정 또는 동일 권한으로 로그인을 다 시 수행하는 경우, 신규 접속을 차단하거나 이전 접속을 종료 * 제품 운영상화 등에 대한 모니터링만 수행하는 관리자 계정에 대해 서는 중복 로그인 허용 가능 인가된 관리자에 의해 설정된 규칙에 따라 인입 및 인출 트래픽을 차단 - 정보흐름통제 규칙은 개별 또는 특정 대역의 출발지/목적지 주소 및 포트 등 다양한 정보에 의해 구성 - 3,000개 이상의 차단 규칙 생성 * 관리(IPS 에 한함) - 기본적으로 모든 트래픽을 차단한 뒤, 규칙에 따라 특정서비스/포트 및 출발지/목적지 주소기반은 화이트리스트방식이, 시그니처 또는 유 해 사이트 목록기반은 블랙리스트 방식을 적용을 권고하나 장애시 모든 트래픽을 통과시킬 수 있는 기능은 제공되지 않아야 함 제품 설정 등을 통해 다음의 정보흐름 차단 기능 - 외부로부터 들어오는 트래픽 중 내부 IP주소가 출발지인 트래픽 - 내부에서 나가는 트래픽 중 외부 IP주소가 출발지인 트래픽 - 외부로부터 들어오는 트래픽 중 브로드캐스트 주소가 목적지인 트래픽 - 외부로부터 들어오는 트래픽 중 루프백 주소가 목적지인 트래픽 - 외부로부터 들어오는 트래픽 중 비정상적인 패킷 형식을 가지는 트래픽 * 별표 2의 CC인증 의무화 도입 제품군은 해당 제품군 양식을 허용 - 42 -
[별지 제11호 서식] 운영 점검사항 항목명 운영 점검사항 점검결과 비고 보안정책 설정 도입기관의 보안정책에 근거하여 제품의 보안기능 정책 을 설정 우회 방지 SSH 터널링을 통한 제품의 차단기능 우회를 방지 인증서 운영 제품의 관리콘솔에 설정된 서버 인증서는 기관에 설치시 발급된 유일한 인증서이어야 하며 인증서 공개키는 RSA 2048비트 이상 또는 그와 동등한 안전성을 보장하는 키 길이 이어야 한다. 인증서 서명 알고리즘 및 해쉬 알고리즘은 암호모듈 검 증제도에서 명시된 검증대상 암호 알고리즘이어야 한다. - 발급자 : 도입기관에서 지정한 신뢰기관 확인 - 유효기간 : 유효기간 만료 여부 확인 - 주체 : 인증서 발급 대상자 확인 - 공개키 : 제품별로 상이한 공개키가 사용되는지 다른 제품 인증서의 공개키 값과 비교 - 공개키 길이 : RSA 2048비트 이상 - 해쉬함수 : SHA 224, SHA 256등(224비트 이상 출력 알고리즘) 최신버전 스프트웨어 설치 도입제품에서 사용되는 SNMP, OpenSSL, OpenSSH, DBMS모듈이 최신버전이 아닌 경우 취약성을 가지고 있을 수 있으므로 해당 버전을 확인 - SNMP V3 사용 - 최신 버전의 OpenSSL, OpenSSH 버전 사용 불필요한 서비스제거 제품에 불필요한 서비스가 동작하지 않아야 함 - 43 -
대분류 보안기능 요구사항 점검결과 비고 안전한 업데이트 적용 안전한 업데이트 적용 백업 관리자 운영 업데이트 대상 및 방식을 참조하여 업데이트 정책을 수립 [업데이트 대상] - 공격 패턴 파일, 차단 엔진, 기타 실행파일/설정파일 등 제품 주요 업데이트 파일 [업데이트 방식] - 온라인 업데이트 : 제품 개발업체 업데이트 서버를 통한 온라인 업데이트 방식의 경우 업데이트 서버에 대한 인증과 업데이트 데이터에 대한 기밀성 및 무결성 검증 기능이 제공되어야 함 - 오프라인 업데이트 : 제품 개발업체로부터 오프라인 방식으로 업데이트 데이터를 제공받고 업데이트 적용시 데이터에 대한 무결성 검증 기능이 제공되어야 함 [업데이트 관리] - 제품이 제공하는 업데이트 방식을 확인하여 업데이트 정책을 수립하고 적절한 업데이트가 이루어질 수 있도록 해야 함 - 업데이트 시 제품의 주요 엔진을 변경하는 경우 도입된 CC 인증제품에 대한 형상변경을 가져올 수도 있음. 업데 이트 정책 수립 시 업체와 업데이트되는 내용을 협의하여 도입 제품에 대해 무단 형상변경이 발생하지 않도록 유 의해야 함 관리자는 감사기록 유실에 대비하여 감사데이터 저장소의 여유 공간을 주기적으로 확인하고 감사기록이 소진되지 않도록 감사기 록 백업 등을 수행 관리서버는 인가된 관리자만이 접근 가능한 물리적으로 안전한 환 경에 설치 운영되어야 하며 외부 원격관리를 허용하지 않아야 함. 원격관리는 원칙적으로 금지하나 불가피한 경우 내부망의 지정된 단말기에서만 접속하도록 통제하여야 함 관리콘솔에 접근 가능한 관리자 IP주소는 화이트리스트 방식으로 설정 * 별표 2의 CC인증 의무화 도입 제품군은 해당 제품군 양식을 허용 - 44 -