조달청 정보보안 세부지침

조달청 정보보안 세부지침

조달청훈령 제1120호 2000.12.30. 제 정

조달청훈령 제1319호 2005.08.24. 개 정

조달청훈령 제1403호 2007.10.18. 개 정

조달청훈령 제1726호 2015.12.23. 전문개정

제 1 장 총 칙

제 1 조(목적) 이 지침은 국가정보원의 「국가 정보보안 기본지침」과 조달청의 「조달청 보안업무 시행세칙」등에 따라 조달청 정보보안활동에 필요한 세부사항 규정을 목적으로 한다.

 

제 2 조(용어의 정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.

1. “전산설비”라 함은 전산업무운영에 관련되는 시설 및 장비로서 주 전자계산조직(이하 “주전산기”라 한다), 개인용 컴퓨터, 전산단말기(이하 “단말기“라 한다), 데이터통신 전용장비(이하 ”통신장비“라 한다), 정보통신망, 정보통신실 등을 말한다.

2. “주전산기”라 함은 입력, 기억, 연산, 제어 및 출력의 기능을 가지고 프로그램에 의하여 정보자료를 산술적, 논리적으로 처리하는 하드웨어와 그 하드웨어의 효과적 작동을 위한 소프트웨어로서 조달청 운영 전산 업무를 총괄 관장하는 전산설비를 말한다.

3. “정보통신망”이라 함은 전기통신기본법 제2조 제2호의 규정에 의한 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․ 저장․검색․송수신하는 정보통신체제를 말한다.

4. “단말기”라 함은 정보통신망을 통하여 주전산기에 자료를 입력하거나 주전산기에 저장된 자료를 조회 또는 출력하기 위하여 사용되는 장치를 말한다.

5. <삭제>

6. “비밀자료”라 함은 대외비 이상의 비밀내용이 포함된 자료를 말한다.

7. “정보보안” 또는 “정보보호”라 함은 정보시스템 및 정보통신망을 통해 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신 되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위로서 사이버안전을 포함한다.

8. “국가용 보안시스템”이라 함은 비밀 등 중요자료 보호를 위하여 국가정보원장이 개발하거나 안정성을 검증한 암호장비․보안자재․암호논리 등을 말한다.

9. “정보보안사고(이하 ”보안사고“라 한다)”라 함은 보호관리 대상에 속하는 전산자료 또는 전산장비․시설이 무단으로 파괴되거나 유출․변조되어 업무수행에 지장을 초래하는 사고를 말한다.

10. “암호프로그램”이라 함은 암호장비․암호자재에 적용되거나 자체적으로 자료를 암․복호화하기 위하여 작성된 프로그램을 말한다.

11. “보안적합성 검증필 정보보호시스템(이하 ”정보보호시스템“이라 한다)”이라 함은 상용 정보보호시스템 중 국정원장이 각급 기관에서 사용하는 것이 적합하다고 승인한 것으로 보안관리기능을 지원하는 기술(소프트웨어)이나 장치(하드웨어)를 말한다.

12. “보안진단도구(이하 ”보안도구”라 한다)“라 함은 정보통신시스템의 취약성을 분석하고 점검 할 수 있는 기술(소프트웨어)이나 장치(하드웨어)를 말한다.

13. “정보통신실”이라 함은 서버․PC 등과 스위치․교환기․라우터 등 네트워크 장치 등이 설치 운용되는 장소를 말하며, 전산실․통신실․전자문서 및 전자기록물(전자정보) 보관실 등을 말한다.

14. "정보보안담당자"라 함은 조달청의 정보보안업무를 담당하는 인원으로서 정보보안담당관의 업무를 보좌하여 수행하는 담당자를 말한다.

15. "개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보를 말한다.

16. “사용자”라 함은 각 부서의 장으로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 공무원 등을 말한다.

17. “인터넷서비스망”(이하 “인터넷망”이라 한다)이라 함은 기관의 네트워크 중에서 인터넷을 사용할 수 있도록 연결되어 있는 인터넷 전용망을 말한다.

18. “업무전산망”(이하 “업무망”이라 한다)이라 함은 기관의 네트워크 중에서 내부 업무를 수행할 수 있도록 연결되어 있는 전산망을 말한다.

19. “정보시스템”이라 함은 서버․PC․노트북 등 단말기, 보조기억매체, 네트워크 장치, 응용 프로그램 등 정보의 수집․가공․저장․검색․송수신에 필요한 하드웨어 및 소프트웨어를 말한다.

20. “휴대용 저장매체”라 함은 디스켓․CD(Compact Disk)/DVD(Digital Versatile Disk)․이동형(외장형) 하드디스크(HDD)․USB 메모리 등 전자정보를 저장할 수 있는 것으로 정보통신망과 분리할 수 있는 기억장치를 말한다.

21. “전자문서”라 함은 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 송․수신 또는 저장되는 정보를 말한다.

22. “전자기록물”이라 함은 정보처리능력을 가진 장치에 의하여 전자적인 형태로 송․수신 또는 저장되는 기록정보자료를 말한다.

23. “전자정보”라 함은 업무와 관련하여 취급하는 전자문서 및 전자기록물을 말한다.

24. “안전측정”이라 함은 정보통신망을 불법침입․교란․마비․파괴하거나 정보를 절취․ 훼손할 가능성이 있는 해킹ㆍ컴퓨터바이러스․서비스방해․도청 등으로부터 정보통신망과 정보를 보호하기 위하여 정보보안 취약점을 진단하는 제반활동을 말하며, 대도청측정 활동을 포함한다.

25. “정보보호시스템”이라 함은 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.

26. “사이버공격”이라 함은 해킹, 컴퓨터바이러스, 서비스방해 등 전자적 수단에 의하여 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 절취ㆍ훼손하는 공격 행위를 말한다.

27. “암호논리”라 함은 정보의 유출, 위·변조, 훼손 등을 방지하기 위하여 기밀성·무결성·인증·부인봉쇄 등의 기능을 제공하는 수학적 논리 또는 알고리즘을 말한다.

28. “시스템 관리자”라 함은 정보통신실에 있는 서버급 이상의 정보시스템 및 기타 전산 장비를 담당하는 공무원 및 위탁운영업체 담당자를 말한다.

 

 

 

제 2 장 기본활동

 

제 3 조(적용범위) 이 지침은 조달청 본청 및 조달품질원, 조달교육원, 각 지방조달청(이하 “품질원 등 지방청”이라 한다)의 전 부서에 적용한다.

 

제 4 조(정보보안책임관) 조달청장은 정보통신 총괄 업무 수행을 위해 전자조달국장을 정보보안책임관으로 두며, 정보보안책임관은 정보통신망 및 정보시스템을 보호하기 위한 보안대책을 마련하여야 하며 정보보안에 대한 책임을 진다.

 

제 5 조(정보보안담당관) ①정보보안책임관은 효율적인 정보보안업무를 수행하기 위하여 정보보안담당관을 두며 정보기획과장을 정보보안담당관으로 임명한다.

②정보보안담당관을 임명한 경우에는 7일 이내에 소속ㆍ직책ㆍ직급ㆍ성명ㆍ연락처(전자우편 주소포함) 등을 국정원장에게 통보하여야 한다.

③정보보안담당관은 본청 및 품질원 등 지방청에 대한 정보보안 업무를 총괄하며 정보보안담당자를 임명하여 정보보안과 관련한 실무업무를 담당하게 한다.

④ <삭제>

⑤ <삭제>

⑥ <삭제>

⑦ <삭제>

⑧각 부서의 장은 분임정보보안담당자를 임명하여 정보보안 실무업무를 원활하게 지원한다. 단, 품질원 등 지방청은 해당 기관 사정에 따라 총괄 분임정보보안담당자를 두어 업무를 수행 할 수 있다.

⑨정보보안담당관은 정보시스템 보안실무협의회를 구성 운영할 수 있으며 보안실무협의회는 정보관리과장, 정보보안담당자, 시스템담당자, 응용시스템 위탁업체, 정부통합전산센터 시스템담당자, 기반시스템 위탁업체로 구성한다.

 

제 6 조(정보보안담당관의 기본활동) 조달청의 정보보안을 위하여 정보보안담당관은 다음 각 호의 기본활동을 수행하여야 한다.

1. 정보보안 정책 및 기본계획 수립ㆍ시행

2. 정보보안 관련 규정ㆍ지침 등 제ㆍ개정

3. 정보보안 업무 지도ㆍ감독

4. 정보보안 감사 및 심사분석

5. 정보보안수준 평가ㆍ관리

6. 정보보안 교육계획 수립ㆍ시행

7. 정보보안 위규 적발 및 사고조사 처리

8. 정보통신망 신ㆍ증설시 보안대책 수립

9. 정보시스템, 정보통신망 및 전자자료 등의 보안관리

10. 사이버위협정보 수집ㆍ분석ㆍ전파 및 보안관제

11. 사이버공격 관련 경보 발령시 대응활동

12. 사이버침해사고 대응ㆍ복구

13. 소관분야 정보보안 업무조정 및 감독

14. 정보통신망 취약성 진단 및 보안대책 수립

15. 기타 정보보안 관련 사항

 

제 7 조(업무담당) ①정보보안업무의 관리적ㆍ물리적ㆍ기술적 정보보안분야 중에서 정보보안 기획, 정책 및 예산수립, 정보보안 관련 대외기관 대응 등 관리적 보안분야와 정보보안업무 총괄은 정보기획과에서 담당한다.

②기타 물리적ㆍ기술적 정보보안분야에 해당되는 전반적인 내용은 정보시스템 운용부서인 정보관리과 및 해당 업무부서에서 담당한다.

③각 부서의 개인용 컴퓨터, 사무기기, 휴대용 저장매체 등의 정보시스템 운영에 따른 정보보안관리 업무는 해당 부서의 부서장이 총괄 담당한다.

 

제 8 조(정보보안 교육) ①정보보안담당관은 전 직원 및 상주 용역업체 인원을 대상으로 교육계획을 수립, 연 2회 이상 자체교육을 실시하여야 하며 서버, 정보통신망 등을 운영하는 직원을 대상으로 정보보안교육을 실시하고 직원의 신규 채용 및 전입자가 발생되었을 경우는 수시로 실시하여야 한다.

②교육내용은 아래 각호로 한다.

1.조달청 정보보안 정책․지침 착안사항

2.정보보안 사고사례

3. 정보시스템 사용 시 지켜야 할 사용자 유의사항

4.바이러스 감염 시 사용자 조치사항

5.해킹․사이버 테러 시 사용자 조치사항

6. 기타 정보보안 관련 사항

③정보보안담당관은 정보보안 교육의 효율성을 제고시키기 위하여 자체 실정에 맞는 정보보안 교안을 작성 활용하여야 하며 필요시 국정원장에게 전문 인력 및 자료 지원을 요청할 수 있다.

④정보보안담당관은 주전산기, 네트워크 장비 등 정보시스템을 운영하는 직원 및 정보보안담당자를 대상으로 전문기관의 교육 및 기술세미나 참석을 장려하는 등 전문성을 제고하기 위하여 노력하여야 한다.

 

제 9 조(정보보안 감사) ①정보보안담당관은 제6조의 규정에 따라 본청 각 과, 품질원 등 지방청에 대해 연 1회 이상 자체 정보보안감사를 실시하여야 한다.

②자체 정보보안감사 또는 불시점검은 제도적․관리적인 문제점 발굴에 중점을 두고 실시하여야 하며, 도출된 취약요인은 근본적인 대책을 수립하여 보완하여야 한다.

③정보보안담당관은 보안담당관에게 정보보안감사 실시계획과 감사결과를 다음 각 호 2주전까지 제출한다.

1. 정보보안감사 실시계획 : 1.25까지(해당 연도 계획)

2. 정보보안감사 실시결과 : 7.31까지(전년도 3/4분기 ~ 해당 연도 2/4분기 종합)

 

제 10 조(정보보안 지도방문) ①정보보안담당관은 정보시스템 운용관리에 따른 보안취약성 개선을 위하여 정보보안 지도방문(이하 “지도방문”이라 한다)을 실시할 수 있으며 필요시 정보보안감사와 병행하여 실시할 수 있다.

②본청 각 과 및 품질원 등 지방청에 지도방문을 실시할 경우에는 정보보안 점검표(별표1), 정보통신보안 점검표(별표2)를 활용한다.

③지도방문결과에 대해서는 정보보안업무 심사분석에 포함시켜야 한다.

④정보보안담당관은 정보시스템의 보안취약성 진단과 보안관리 개선을 위하여 국정원장에게 지도방문을 요청할 수 있다.

 

제 11 조(활동계획 수립 및 심사분석) ①정보보안담당관은 정보보안업무 세부 추진계획(「국가사이버안전 관리규정」제9조에 따른 사이버안전대책을 포함한다)을 수립ㆍ시행하고 그 추진결과를 심사분석ㆍ평가하여야 한다.

②정보보안담당관은 세부추진계획 및 심사분석을 별지 제2호 및 별지 제3호 서식에 따라 작성하여 다음 각 호 2주전까지 조달청 보안담당관에게 제출해야 한다.

1. 정보보안 추진계획 : 1.25까지

2. 정보보안 심사분석 : 7.31까지(전년도 3/4분기 ~ 해당 연도 2/4분기 종합)

 

제 12 조(정보보안 내규 제ㆍ개정) ①각 부서의 장은 정보시스템 및 정보통신망 보호를 위한 자체 정보보안 내규(지침ㆍ시행세칙 등)를 이 지침에 저촉되지 아니하는 범위내에서 작성 운영할 수 있다.

②제1항의 경우 부서의 장은 정보보안담당관과 협의를 거쳐 국정원장에 검토를 의뢰하여야 한다.

 

제 13 조(시스템 보안책임 범위) ①정보보안담당관은 정보시스템(PCㆍ서버ㆍ네트워크장비, 정보통신기기 등 포함)을 도입ㆍ사용할 경우, 사용자와 해당 시스템의 관리자 및 관리책임자를 지정 운용하여야 한다.

②사용자는 개인PC 등 소관 정보시스템을 사용하거나 본인 계정으로 정보통신망에 접속하는 것과 관련한 보안책임을 가진다.

③시스템관리자는 서버ㆍ네트워크 장비 등 공통으로 사용하는 정보시스템의 운용과 관련한 보안책임을 가진다.

④제1항부터 제3항까지와 관련하여 정보시스템을 실제 운용하는 부서의 장이 정보시스템 ‘관리책임자’가 되며, 관리책임자는 정보시스템 관리대장(별지 제1호 서식)을 수기 또는 전자적으로 운용 관리하여야 한다.

⑤관리책임자는 정보시스템 관리대장에 정보시스템의 변경 최종 현황을 유지하여야 하며 정보보안담당관 요구시 제출하여야 한다.

⑥정보보안담당관은 제1항부터 제5항까지에 명시된 정보시스템 운용과 관련한 보안취약점을 발견하거나 보안대책 강구가 필요하다고 판단될 경우, 사용자ㆍ시스템 관리자 및 관리책임자에게 시정을 요구할 수 있다.

 

제 14 조(모의훈련) ①정보보안담당관은 자체 정보통신망을 대상으로 매년 정기 또는 수시 사이버위기 대응 모의훈련을 실시하여야 한다. 이 경우, 정보보호담당관은 훈련 완료일 기준 2개월 이내 훈련결과를 국가정보원장에게 통보하여야 한다.

②정보보안담당관은 국가차원의 사이버위기 발생에 대비하여 국가정보원장이 조달청 정보통신망을 대상으로 사이버위기 대응 모의훈련을 실시하고 시정 조치를 요청하는 경우에는 특별한 사유가 없는 한 필요한 조치를 이행하여야 한다.

③제2항에서 규정한 훈련은 「비상대비자원 관리법」제14조의 규정에 따른 비상대비훈련과 함께 실시될 수 있다.

 

제 15 조(사이버보안진단의 날) ①정보보안담당관은 매월 셋째 수요일을 ‘사이버보안진단의 날’로 지정․운영한다.

②정보보안담당관은 ‘사이버보안진단의 날’에 소관 정보통신망의 악성코드 감염여부, 정보시스템의 보안 취약여부 등 정보보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하여야 한다.

③제1항 및 제2항에 따른 보안진단 결과를 제11조에 규정한 정보보안업무 심사분석에 포함하여 국정원장에게 통보하여야 한다.

 

제 16 조(정보보안 위규) ①통신망을 통해 비인가자에게 누설하거나 위반할 경우 발생하는 통신보안 위규사항은 별표3과 같다.

②각 부서의 장은 국가안보 및 국가이익에 중대한 영향을 미칠 수 있다고 판단되는 정보보안 위규에 대해서는 가장 신속한 방법으로 정보보안담당관 및 국정원장에게 통보하여야 한다.

 

 

 

제 3 장 요소별 보안관리

 

제 17 조(사용자관리) ①정보보안담당관은 소관 정보통신망(정보시스템 포함) 사용과 관련하여 다음 각 호의 사항을 포함한 사용자 보안에 관련된 절차 및 방법을 마련하여야 한다.

1. 직위ㆍ임무별 정보통신망 접근 자격부여 심사

2. 비밀 등 중요정보 취급시 비밀취급인가, 보안서약서 징구 등의 보안조치

3. 보직변경, 퇴직 등 인사이동시 관련 정보시스템 접근권한 조정

②비밀자료의 전산업무 개발, 입력, 처리, 출력 등 전산처리는 당해 비밀자료 등급 이상의 비밀취급인가를 받은 자가 담당해야 한다.

③정보보안담당관은 외부 인력을 활용하여 정보시스템의 개발, 운용, 정비 등을 수행할 경우에는 해당 인력의 고의 또는 실수로 인한 정보유출이나 파괴를 방지하기 위하여 보안조치를 수행하여야 한다. 용역사업에 관련된 세부사항은 제32조(용역사업 보안관리) 또는 「외부 용역업체 보안관리방안」(국가 정보보안 기본지침 부록 7)을 따른다.

 

제 18 조(정보통신시설 보호) ①정보보안담당관은 다음 각 호의 중요 정보통신시설 및 장소를 「보안업무규정」제30조에 따른 보호구역으로 설정 관리하여야 한다.

1. 전산실ㆍ통신실

2. 통합전산센터, 백업센터, 보안관제센터

3. 그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치 장소

②전산실에는 전산실 출입대장(별지 제14호 서식)을 비치하고 비인가자의 출입을 제한하여야 한다. 장비 설치 및 변경 등의 작업을 위해 외부인이 출입할 경우 전산실 출입대장에 등재하여 관리책임자의 사전승인을 득한 후 담당자의 안내를 받도록 하며, 보안위해 물품 소지여부 등을 점검한다.

③외부인이 정보통신실에서 장비 관련 작업을 할 경우, 보안서약서를 징구하고, 정보시스템 접근 권한을 제한키 위해 해당 계정 등의 로그인을 시스템 담당자가 대행하여 작업하는 등의 보안조치를 해야한다.

④정보통신실 출입권한은 주기적으로 검토해야 한다.

⑤정보보안담당관은 제1항에서 지정된 보호구역에 대한 보안대책을 강구할 경우 다음 각 호 사항을 참고하여야 한다.

1. 방재대책 및 외부로부터의 위해(危害) 방지대책

2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치

3. 출입자 인증ㆍ식별 등을 위한 출입문 보안장치 설치 및 주야간 감시대책

4. 휴대용 저장매체를 보관할 수 있는 용기 비치

5. 정보시스템 안전지출 및 긴급파기 계획 수립

6. 관리책임자 및 자료ㆍ장비별 취급자 지정 운용

7. 정전에 대비한 비상전원 공급, 시스템의 안정적 중단 등 전력관리 대책

8. 비상조명 장치 등 비상탈출 대책

9. 전자파 누설 방지 대책

10. 카메라 장착 휴대폰 등을 이용한 불법 촬영 방지 대책 등

제 19 조(전산자료 보호등급 분류 및 관리) ①정보보안담당관은 보유 관리하고 있는 전산자료의 중요도를 고려하여 자료를 체계적으로 분류․관리하여야 한다.

②정보통신실에 보관되어 있는 각종 전산자료는 다음의 분류기준에 따라 보호등급을 분류하여 관리하여야 한다. 다만, 비밀자료는 보안업무규정에 정하는 바에 따른다.

1. ‘가’급 보호등급 자료 : 유출 또는 손상되는 경우 각급기관의 업무수행에 중대한 장애를 초래하거나 개인 신상에 심각한 영향을 줄 수 있는 전산자료

2. ‘나’급 보호등급 자료 : 유출 또는 손상되는 경우 각급기관의 업무수행에 장애를 초래하거나 개인 신상에 영향을 줄 수 있는 전산자료

3. ‘다’급 보호등급 자료 : 유출 또는 손상되는 경우 각급기관의 업무수행 및 기관의 신뢰도에 경미한 영향을 줄 수 있는 전산자료

③전산자료의 보호등급 분류 세부기준 및 관리요령은 '자산분류 및 관리지침'에 따른다.

 

제 20 조(비밀의 전산처리) ①비밀자료를 전산 입력할 때에는 미리 비밀자료만 입력할 보조기억매체를 별도로 지정하여 사용하고 그 보조기억매체에는 비밀자료만을 입력하여야 한다. 다만, 컴퓨터 등 정보통신시스템에 직접 입력하여 사용하고자 할 때에는 암호화 등 적절한 보안대책을 강구하여야 하며, 독립된 영역(디렉토리)을 지정 사용하여야 한다.

②비밀자료를 전산 입력할 때에는 반드시 해당 비밀등급과 예고문을 입력하여 열람 또는 출력시 화면 또는 출력자료에 비밀등급과 예고문이 표시되도록 하여야 한다.

③비밀자료 보관을 위한 보조기억매체는 비밀등급이나 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재 관리하여야 한다. 이 경우에는 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다.

④비밀자료를 출력(생산)한 경우에는 입력된 비밀내용을 소자하여야 한다. 다만, 업무상 계속 보관이 필요한 경우에는 관리책임자의 승인 하에 소자하지 아니할 수 있다. 이 경우에 비밀자료 보관용 보조기억매체는 보관함에 넣어 비밀에 준하여 보관함에 관리한다.

⑤정보통신수단을 이용하여 비밀 및 중요자료를 송수신하고자 할 경우에는 보안시스템을 사용하여 이를 암호화하여야 한다.

⑥비밀문서를 송수신한 경우에는 오착 및 비밀 분실을 방지하기 위하여 발송 후 즉시 수신 여부를 확인하여야 한다.

 

제 21 조(원격근무 보안관리) ①정보보안담당관은 재택ㆍ파견ㆍ이동근무 등 원격 근무를 지원하기 위한 정보시스템을 도입ㆍ운영할 경우 기술적ㆍ관리적ㆍ물리적 보안대책을 수립하고 국가정보원장의 보안성 검토를 거쳐 시행하여야 한다.

②정보보안담당관은 원격근무 가능 업무 및 공개ㆍ비공개 업무 선정기준을 수립하되 대외비 이상 비밀자료를 취급하는 업무는 원격근무 대상에서 원칙적으로 제외하되 반드시 수행해야 하는 경우 보안대책 강구 후 국가정보원장과 협의하여 수행여부를 결정한다.

③정보보안담당관은 모든 원격근무자에게 보안서약서를 징구하고 원격근무자의 업무변경ㆍ인사이동ㆍ퇴직 등 상황 발생시 정보시스템 접근권한 재설정 등 관련 절차를 수립하여야 한다.

④원격근무자는 원격근무시 해킹을 통한 업무자료 유출을 방지하기 위하여 작업 수행 전 최신 백신으로 원격근무용 PC 점검ㆍ업무자료 저장금지 등 보안조치를 수행하여야 한다.

⑤원격근무자는 정보시스템 고장시 정보유출 방지 등 보안대책을 강구한 후 정보보안담당관과 협의하여 정비ㆍ반납 등 조치를 취하여야 한다.

⑥비공개 원격업무인 경우에는 국가용 보안시스템을 사용하여 소통자료를 암호화하고 행정전자서명체계를 이용하여 인증하며 인증강화를 위하여 일회용 비밀번호ㆍ생체인증 등 보안기술을 사용하여야 한다.

⑦정보보안담당관은 주기적인 보안점검을 실시하여 원격근무 보안대책의 이행 여부를 확인하여야 한다.

 

제 22 조(재난복구 대책) ①정보보안담당관은 인위적 또는 자연적인 원인으로 인한 전산설비의 장애 발생에 대비하여 시스템 이원화, 백업관리, 복구 등 종합적인 재난복구 대책(연속성 계획)을 수립ㆍ시행하여야 한다.

②재난복구 대책은 정기적으로 시험하고 검토되어야 하며, 업무 연속성에 대한 영향평가를 실시하여야 한다.

③정보통신망 장애에 대비하여 백업시설을 확보하고 정기적으로 백업을 수행하여야 한다.

④제3항에 따라 백업시설을 설치할 경우에는 정보통신실과 물리적으로 일정거리 이상 위치한 안전한 장소에 설치하여 재난에 대비하여야 한다.

 

제 23 조(사용자계정 관리) ①시스템 관리자는 정보시스템 접속에 필요한 사용자계정(ID)에 대해 비인가자의 도용 및 정보시스템 불법접속에 대비하여 다음 각 호의 사항을 반영하여야 한다.

1. 사용자별 또는 그룹별로 접근권한 부여

2. 외부인에게 계정부여는 불허 하되 업무상 불가피시 각 부서장 책임하에 필요업무에 한해 특정기간 동안 접속 허용은 가능. 이 경우에는 보안서약서, 계정신청서 등의 보안 조치를 강구한 후 허용하되 기간 만료시 외부인 사용자 계정은 즉시 삭제

3. 비밀번호 등 사용자 식별 및 인증 수단이 없는 사용자 계정 사용 금지

②시스템 담당자는 사용자계정의 등록․변경․폐기 등을 수행하고 정보보안담당관에 그 결과를 통보하여야 한다.

③시스템관리자는 직원의 퇴직 또는 보직변경 발생시 사용하지 않는 사용자 계정을 신속히 삭제하고, 특별한 사안이 없는 한 유지보수 등을 위한 외부업체 직원에게 관리자계정 제공을 금지하여야 한다.

④정보보안담당관은 사용자계정의 부여 및 관리가 적절한지 점검하고 보안대책 강구가 필요 하다고 판단될 경우 시스템 관리자에게 시정을 요구할 수 있다.

⑤개인소유의 PC(노트북 PC 등)는 조달청 내부로 반출ㆍ입하여 사용을 금한다. 다만, 부득이한 경우에는 정보보안담당관의 승인을 받아 보안조치를 한 후 반출ㆍ입할 수 있다.

⑥시스템관리자는 사용자가 5회에 걸쳐 로그인 실패시 정보시스템 접속을 중단시키도록 시스템을 설정하고 비인가자의 침입 여부를 확인 점검하여야 한다.

 

제 24 조(비밀번호 관리) ①사용자는 비밀번호 설정 사용시 정보시스템의 무단사용 방지를 위하여 다음 각 호와 같이 구분하여야 한다.

1. 비인가자의 정보통신시스템 접근방지를 위한 장비 접근용 비밀번호(1차)

2. 정보시스템과 사용자가 서버 등 정보통신망에 접속 인가된 인원인지 여부를 확인하는 사용자인증 비밀번호(2차)

3. 문서에 대한 열람ㆍ수정 및 출력 등 사용권한을 제한할 수 있는 자료별 비밀번호(3차)

②비밀이나 중요자료에는 자료별 비밀번호를 반드시 부여하되, 공개 또는 열람 자료에 대해서는 부여하지 아니할 수 있다.

③비밀번호는 다음 각 호 사항을 반영하여 숫자와 영문자, 특수문자 등을 혼합하여 9자리 이상으로 설정하고, 분기별로 1회 이상 주기적으로 변경 사용하여야 한다.

1. 사용자 계정(ID)과 동일하지 않을 것

2. 개인 신상 및 부서명칭 등과 관계가 없을 것

3. 일반 사전에 등록된 단어는 사용을 피할 것

4. 동일단어 또는 숫자를 반복하여 사용하지 말 것

5. 사용된 비밀번호는 재사용하지 말 것

6. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것

7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지

8. 키보드상 연속되는 문자, 숫자를 사용하지 말 것

④ <삭제>

⑤각 시스템에 저장되어 있는 데이터베이스 중 비밀번호 영역(field)는 암호화하여 보관하여야 하고, 서버에 등록된 비밀번호는 암호화하여 저장하여야 한다.

 

제 25 조(휴대용 저장매체 보안대책) ①정보보안담당관은 휴대용 저장매체를 사용하여 업무자료를 보관할 필요가 있을 때에는 위․변조, 훼손, 분실 등에 대비한 보안대책을 강구하여야 한다.

②각 부서의 장은 휴대용 저장매체를 비밀용, 일반용으로 구분하고 주기적으로 수량 및 보관 상태를 점검하며 반출ㆍ입을 통제하여야 한다.

③정보보안담당관은 USB 관리시스템을 도입할 경우 국가정보원장이 안정성을 확인한 제품을 도입하여야 한다.

④정보보안담당관은 사용자가 USB메모리를 PC 등에 연결시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안 설정한다.

⑤비밀자료가 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재 관리하여야 한다. 이 경우에는 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 다만, 휴대용 저장매체가 국가용 보안시스템에 해당될 경우에는 해당 보안시스템의 운용ㆍ관리체계에 따라 관리하여야 한다.

⑥휴대용 저장매체를 파기 등 불용처리 하거나 비밀용을 일반용 또는 다른 등급의 비밀용으로 전환하여 사용할 경우 저장되어 있는 정보의 복구가 불가능하도록 완전삭제 프로그램을 사용하여야 한다.

⑦정보보안담당관은 사용자의 휴대용 저장매체 무단 반출 및 미등록 휴대용 저장매체 사용 여부 등 보안관리실태를 주기적으로 점검하여야 한다. 휴대용 저장매체를 통해 정보보안사고가 일어날 경우 책임은 사용자 및 해당 부서장에게 있다.

⑧그 밖에 휴대용 저장매체의 보안관리에 관련된 사항은 국가정보원 “국가 정보보안 기본지침” 「USB 메모리 등 휴대용 저장매체 보안관리지침」(부록 5)을 따른다.

 

제 26 조(악성코드 감염 방지대책) ①정보보안담당관은 웜․바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호와 같은 대책을 수립․시행하여야 한다.

1. 사용자는 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램을 사용할 수 없으며 인터넷 등 상용망으로 자료 입수시 신뢰할 수 있는 인터넷사이트를 활용하되 최신 백신으로 진단 후 사용하여야 한다.

2. 사용자는 인터넷 파일공유 프로그램과 메신저․대화방 프로그램 등 업무상 불필요한 프로그램의 사용을 금지하고 시스템관리자는 인터넷 연동구간의 침입차단시스템 등에서 관련 사이트 접속을 차단하도록 보안설정 하여야 한다.

3. 사용자는 웹브라우저를 통해 서명되지 않은(Unsigned) Active-X 등이 PC 내에 불법 다운로드 되고 실행되지 않도록 보안설정하여야 한다.

4. 인터넷 등 상용통신망으로 입수한 자료는 반드시 악성코드 검색 후 사용

5. 사용자는 개인PC에서 작성하는 문서․데이터베이스 작성기 등 응용프로그램을 보안패치하고 백신은 최신상태로 업데이트․상시 감시상태로 설정 및 주기적인 점검을 실시하여야 한다.

6. 시스템이 작동할 때마다 컴퓨터 하드디스크의 부트섹터 및 메모리에 악성코드가 감염되었는지 검색

7. 제1호부터 제6호까지의 보안대책과 관련하여 시스템관리자는 정보보안담당관과 협조하여 사용자가 적용할 수 있는 보안기술을 지원하여야 한다.

②시스템관리자 또는 PC 등의 사용자는 시스템에 악성코드가 설치되거나 감염된 사실을 발견하였을 경우에 다음 각 호의 조치를 하여야 한다.

1. 악성코드 감염원인 규명 등을 위하여 파일 임의삭제 등 감염 시스템 사용을 중지하고 전산망과의 접속을 분리한다.

2. 악성코드의 감염확산 방지를 위하여 정보보안담당관에게 관련 사실을 즉시 통보한다.

3. 악성코드 감염확산 방지를 위하여 사용자에게 관련 사실 및 보안조치사항을 즉시 전달

4.악성코드 감염의 재발을 방지하기 위하여 원인 분석 및 예방 조치수행

③정보보안담당관은 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 국가정보원장에게 신속히 통보하여야 한다.

④정보보안담당관은 국가정보원장이 해당 기관에 악성코드 감염사실을 확인하여 조치를 권고할 경우, 즉시 이행하여야 한다.

 

제 27 조(전자우편 보안대책) ①전자우편은 문화체육관광부에서 운영하는 전자우편(이하 ‘공직자통합 메일’이라 한다) 사용을 원칙으로 한다.

②사용자는 상용 전자우편을 이용한 업무자료 송ㆍ수신을 할 수 없으며 공직자통합 메일로 송ㆍ수신한 업무자료는 활용 후 메일함에서 삭제하여야 한다.

③사용자는 메일에 포함된 첨부파일이 자동 실행되지 않도록 설정하고 첨부파일 다운로드시 반드시 최신 백신으로 악성코드 은닉여부를 검사하여야 한다.

④사용자는 전자우편을 통한 업무자료 송․수신시 중요한 내용 또는 개인정보(주민등록번호, 계좌번호, 신용카드 번호 등)가 포함된 파일로 첨부될 경우 반드시 파일 비밀번호를 설정한 후 송․수신하여야 한다.

⑤사용자는 출처가 불분명하거나 의심되는 제목의 전자우편 열람을 금지하고 해킹메일로 의심되는 메일 수신시에는 즉시 정보보안담당관에게 신고한다.

⑥사용자는 전자우편을 사용하는 PC에 대하여 제36조(PC 등 단말기 보안관리)에 명시된 보안조치 사항을 따른다.

 

제 28 조(서버 보안관리) ①시스템 관리자는 서버를 도입할 경우, 정보보안담당관과 협의하여 해킹을 이용한 자료 절취, 위ㆍ변조 등에 대비하여 아래의 보안대책을 수립ㆍ시행하여야 한다.

1. 시스템 관리자는 서버내 저장자료에 대해 업무별ㆍ자료별 중요도에 따라 사용자의 접근권한을 차등 부여

2. 사용자별 자료의 접근범위를 서버에 등록하여 인가여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제

3. 서버의 운용에 필요한 서비스 포트 외의 불필요한 서비스 포트를 제거하며 관리용 서비스와 사용자용 서비스를 분리 운용

4. 서버의 관리용서비스 접속시 특정 IP와 MAC 주소가 부여된 관리용 단말을 지정 운용

5. 서버 설정 정보 및 서버에 저장된 자료에 대해서는 정기적으로 백업을 실시하여 복구 및 침해에 대비

6. 데이터베이스에 대하여 사용자의 직접적인 접속을 차단하고 개인정보 등 중요정보를 암호화하는 등 데이터베이스별 보안조치를 수행

②정보보안담당관은 전산자료의 유출․파괴 등에 대비하여 다음 각 호에서 정한 보안대책을 수립ㆍ시행하여야 한다.

1. 자료복사본(예비) 확보 및 안전지역 별도 보관

2. 전산자료(보조기억매체) 보유현황 관리

3. 전산자료 및 장비의 반․입출 통제

4. 불법접근 및 컴퓨터 악성코드(이하 “악성코드”라 한다) 피해 예방

5. 전산자료 접근권한 구분

6. 백업체계 수립 시행

③정보보안담당관은 제1항부터 제2항에서 수립한 보안대책의 적절성을 수시 확인하고 서버 설정 정보 및 저장자료의 절취, 위․변조 가능성 등 보안취약점을 발견하거나 보안대책 강구가 필요하다고 판단될 경우 시스템 관리자에게 시정을 요구할 수 있다.

 

제 29 조(접근기록 관리) ①시스템관리자는 정보시스템의 효율적인 통제ㆍ관리, 사고 발생시 추적 등을 위하여 사용자의 접근기록을 유지 관리하여야 한다.

②제1항의 접근기록에는 다음 각 호의 내용이 포함되어야 한다.

1. 접속자, 정보시스템ㆍ응용프로그램 등 접속 대상

2. 로그 온ㆍ오프, 파일 열람ㆍ출력 등 작업 종류, 작업 시간

3. 접속 성공ㆍ실패 등 작업 결과

4. 전자우편 사용 등 외부발송 정보 등

③시스템관리자는 접근기록을 분석한 결과 비인가자의 접속 시도, 정보 위변조 및 무단 삭제 등의 의심스러운 활동이나 위반 혐의가 발생한 사실을 발견한 경우 정보보안담당관에게 즉시 보고하여야 한다.

④접근기록은 정보보안 사고 발생시 확인 등을 위하여 최소 6개월 이상 보관하여야 하며 위변조 및 외부유출 방지 대책을 강구하여야 한다.

 

제 30 조(웹서버 등 공개서버 보안관리) ①시스템 관리자는 외부인에게 공개할 목적으로 설치되는 웹서버 등 공개서버를 내부망과 분리된 영역(DMZ)에 설치․운용하여야 한다.

②정보보안담당관은 비인가자의 서버 저장자료 절취, 위․변조 및 분산서비스거부(DDoS) 공격 등에 대비하기 위하여 국가정보원장이 안전성을 검증한 침입차단․탐지시스템 및 DDoS 대응시스템을 설치하는 등 보안대책을 강구하여야 한다.

③시스템 관리자는 비인가자가 공개서버의 비공개 정보에 대한 무단 접근을 방지하기 위하여 서버 접근 사용자를 제한하고 불필요한 계정을 삭제하여야 한다.

④시스템 관리자는 공개서버의 서비스에 필요한 프로그램을 개발하고 시험하기 위하여 사용된 도구(컴파일러 등)는 개발 완료 후 삭제하여야 한다.

⑤공개서버의 보안관리에 관련한 그 밖에 사항에 대해서는 제28조(서버 보안관리)에 따른다.

 

제 31 조(홈페이지 게시자료 보안관리) ①사용자는 개인정보, 비공개 공문서 및 민감내용 등이 포함된 자료를 홈페이지에 공개하여서는 아니된다.

②홈페이지에 정보를 게시할 때에는 비밀 등 비공개 자료가 게시되지 않도록 하여야 한다.

③사용자는 인터넷 블로그․카페․게시판․개인 홈페이지 또는 소셜네트워크 서비스 등 일반에 공개된 전산망에 업무관련 자료를 무단 게재하여서는 아니된다.

④정보보안담당관은 홈페이지 등에 비공개 내용이 게시되었는지 여부를 주기적으로 확인하고 개인정보를 포함한 비공개 자료가 홈페이지에 공개되지 않도록 보안교육을 주기적으로 실시하여야 한다.

⑤정보보안담당관은 홈페이지에 중요정보가 공개된 것을 인지할 경우 이를 즉시 차단하는 등의 보안조치를 강구 시행하여야 한다.

 

제 32 조(용역사업 보안관리) ①정보보안담당관은 정보화ㆍ정보보호사업 및 보안컨설팅 수행 등을 외부용역으로 추진할 경우 사업 책임자로 하여금 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

1. 용역사업 계약시 계약서에 참가직원의 보안준수 사항과 위반시 손해배상 책임 등 명시

2. 용역사업 수행 관련 보안교육ㆍ점검 및 용역기간중 참여인력 임의교체 금지

3. 정보통신망도ㆍIP현황 등 용역업체에 제공할 자료는 자료인계인수대장을 비치, 보안조치 후 인계ㆍ인수하고 무단 복사 및 외부반출 금지

4. 사업 종료시 외부업체의 노트북ㆍ휴대용 저장매체 등을 통해 비공개 자료가 유출되는 것을 방지하기 위하여 복구가 불가능하도록 완전삭제

5. 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공ㆍ열람 금지

6. 용역업체의 노트북 등 관련 장비를 반출ㆍ반입시마다 악성코드 감염여부, 자료 무단반출 여부를 확인

7. 그 밖에 보안관리가 필요하다고 판단되는 사항이나 국가정보원장이 보안조치를 권고하는 사항

②정보보안담당관은 용역사업 추진시 과업지시서․입찰 공고․계약서에 다음 각 호의 누출금지 대상정보를 명시해야 하며 해당 정보 누출시 「국가를 당사자로 하는 계약에 관한법률(이하 “국가계약법”이라 한다)시행령」제76조 제1항 제18호에 따라 사업 책임자를 부정당업체로 등록하여 입찰 참가자격을 제한하여야 한다.

1. 정보시스템의 내ㆍ외부 IP주소 현황

2. 세부 정보시스템 구성 현황 및 정보통신망 구성도

3. 사용자 계정ㆍ비밀번호 등 정보시스템 접근권한 정보

4. 정보통신망 취약점 분석ㆍ평가 결과물

5. 정보화 용역사업 결과물 및 관련 프로그램 소스코드(유출시 안보ㆍ국익에 피해가 우려되는 중요 용역사업에 해당)

6. 국가용 보안시스템 및 정보보호시스템 도입 현황

7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보

8. 「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부 문서

9. 「개인정보보호법」에 따른 비공개 대상 개인정보

10. 「보안업무규정」제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비

11. 그 밖에 각 부서의 장이 공개가 불가하다고 판단한 자료

③각 부서의 장은 비밀 및 중요외주 용역사업을 수행할 경우에는 외부인원에 대한 신원조사ㆍ비밀취급인가ㆍ보안교육 및 외부유출 방지 등 보안조치를 수행하여야 한다.

④정보보안담당관은 제1항부터 제3항까지에서 규정한 보안대책의 시행과 관련한 이행실태를 주기적으로 점검하고 미비점 발견시 사업 책임자로 하여금 보안토록 조치하여야 한다.

⑤그 밖의 사항에 대하여는 국가정보원 「외부 용역업체 보안관리방안」(국가 정보보안 기본지침 부록 7)을 참조한다.

 

제 33 조(정보시스템 개발보안) ①정보시스템 개발사업 담당자는 정보시스템을 자체적으로 개발하고자 하는 경우 다음 각 호의 사항을 고려하여 보안대책을 수립·시행하여야 한다.

1. 독립된 개발시설을 확보하고 비인가자의 접근 통제

2. 개발시스템과 운영시스템의 물리적 분리

3. 소스코드 관리 및 소프트웨어 보안관리

②정보시스템 개발사업 담당자는 외부용역 업체와 계약하여 정보시스템을 개발하고자 하는 경우에는 다음 각 호의 사항을 고려하여 보안대책을 수립·시행하여야 한다.

1. 외부인력 대상 신원확인, 보안서약서 징구, 보안교육 및 점검

2. 외부인력의 보안준수 사항 확인 및 위반시 배상책임의 계약서 명기

3. 외부인력의 정보시스템 접근제한 및 제공자료 보안대책

4. 외부인력에 의한 장비 반입ㆍ반출 및 자료 무단반출 여부 확인

5. 제1항제1호부터 제3호까지의 사항

③정보보안담당관은 제1항 및 제2항과 관련하여 보안대책의 적절성을 수시로 점검하고 추가 보안대책 강구가 필요하다고 판단될 경우 정보시스템 개발사업 담당자에게 시정을 요구할 수 있으며, 정보시스템 개발을 완료한 경우에는 정보보안 요구사항을 충족하는지 시험 및 평가를 수행하여야 한다.

 

제 34 조(정보시스템 유지보수 보안) ①정보시스템 유지보수사업 담당자는 외부용역 업체와 계약하여 정보시스템을 유지보수하고자 하는 경우에는 다음 각 호의 사항을 고려하여 보안대책을 수립·시행하여야 한다.

1. 유지보수 인력에 대해 보안서약서 집행, 보안교육 등을 포함한 유지보수 인가 절차를 마련하고 인가된 유지보수 인력만 유지보수에 참여한다.

2. 결함이 의심되거나 발생한 결함, 예방 및 유지보수에 대한 기록을 보관한다.

3. 유지보수를 위하여 원래 설치장소 외 다른 장소로 정보시스템을 이동할 경우, 통제수단을 강구한다.

4. 정보시스템의 유지보수시에는 일시, 담당자 인적사항, 출입 통제조치, 정비내용 등을 기록 ㆍ유지하여야 한다.

②정보시스템 유지보수사업 담당자는 자체 유지보수 절차에 따라 정기적으로 정보시스템 정비를 실시하고 관련 기록을 보관하여야 한다.

③정보시스템 유지보수사업 담당자는 정보시스템의 변경이 발생할 경우 정보시스템의 설계ㆍ코딩ㆍ테스트ㆍ구현과정에서의 보안대책을 강구하며 정보보안담당관은 관련 적절성을 주기적으로 확인하여야 한다.

④정보보안담당관은 정보시스템 유지보수사업 담당자 등이 유지보수와 관련된 장비ㆍ도구 등을 반출입할 경우, 악성코드 감염여부, 자료 무단반출 여부를 확인하는 등 보안조치 하여야 한다.

⑤정보시스템 유지보수사업 담당자는 외부에서 원격으로 정보시스템을 유지보수하는 것을 원칙적으로 금지하여야 하며 부득이한 경우에는 정보보안담당관과 협의하여 자체 보안대책을 강구한 후 한시적으로 허용할 수 있다.

 

제 35 조(정보시스템 위탁운영 보안관리) ①정보보안담당관은 소관 정보시스템에 대한 외부업체의 위탁운영을 최소화하되, 위탁 운영 필요시 관련 관리적ㆍ물리적ㆍ기술적 보안대책을 수립하여 시행하여야 한다.

②정보시스템의 위탁 운영은 상주하여 수행하는 것을 원칙으로 한다. 다만, 위탁업무 수행 직원의 상주가 불가한 타당한 사유가 있을 경우, 관련 보안대책을 수립 시행하는 조건으로 그러하지 아니할 수 있다.

③정보시스템의 위탁운영과 관련하여 동 조문에 명시되지 않은 사항에 대해서는 제32조(용역사업 보안관리)를 준용한다.

 

제 36 조(PC 등 단말기 보안관리) ①단말기 사용자는 PCㆍ노트북 등 단말기(이하 “PC 등”이라 한다) 사용과 관련된 일체의 보안관리 책임을 가진다

②정보보안담당관은 비인가자가 PC 등을 무단으로 조작하여 전산자료를 절취, 위ㆍ변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 단말기 사용자에게 지원하며, 사용자는 이를 준수하여야 한다.

1. 장비(CMOS 비밀번호)ㆍ자료(문서자료 암호화 비밀번호)ㆍ사용자(로그온 비밀번호)별 비밀번호를 주기적으로 변경 사용하고 지문인식 등 생체인식 기술 적용 권고

2. 10분 이상 PC 등의 중단시 비밀번호 등이 적용된 화면보호 조치

3. PC용 최신 백신 운용ㆍ점검, 침입차단ㆍ탐지시스템 등을 운용하고 운영체제(OS) 및 응용프로그램(아래아한글, MS Office, Acrobat 등)의 최신 보안 패치 유지

4. P2P 등 업무상 불필요한 응용프로그램 설치 금지 및 공유 폴더의 삭제

5. 그 밖에 정보보안담당관이 안전성을 확인하여 배포한 프로그램의 운용 및 보안권고문 준수

③사용자는 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 다음 각 호의 보안조치를 수행 하여야 한다.

1. PC 등을 교체․반납하거나 고장으로 외부에 반출하고자 할 경우에는 정보보안담당관과 협의

2. 동일 PC를 이용하여 업무망과 인터넷망의 사용을 겸하지 않도록 조치

3. 그 밖에 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안 조치

④사용자는 PC 등을 기관 외부로 반출하거나 내부로 반입할 경우에 최신 백신 등을 활용하여 해킹프로그램 감염 여부를 점검하여야 한다.

⑤누구든지 개인 소유의 PC 등을 무단 반입하여 사용하여서는 아니된다. 다만, 부득이한 경우에는 정보보안담당관의 승인을 받아 사용할 수 있다.

⑥정보보안담당관은 업무용 노트북 운용현황을 파악하여 관리하고, 각 부서장은 외부로 반출․입시 저장내용에 대한 보안취약성 여부를 점검하고 반출․입 현황을 별지 제16호 서식에 등재하여 관리하여야 한다.

 

제 37 조(인터넷PC 보안관리) ①정보보안담당관은 인터넷과 연결된 PC(이하 “인터넷PC"라 한다)에 대하여 비인가자가 무단으로 조작하여 전산자료를 절취, 위ㆍ변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 사용자에게 지원하며, 사용자는 이를 준수하여야 한다.

1. 메신저ㆍP2Pㆍ웹하드 등 업무에 무관하거나 Active-X 등 보안에 취약한 프로그램과 비인가 프로그램ㆍ장치의 설치 금지

2. 특별한 사유가 없는 한 문서프로그램은 읽기 전용으로 운용

3. 음란ㆍ도박ㆍ증권 등 업무와 무관한 사이트 접근차단 조치

②사용자는 인터넷PC에서 무단으로 업무자료의 작성ㆍ저장 및 소통을 금지하고 최신 백신을 활용하여 주기적으로 점검하여야 한다. 다만 부득이하게 문서 작성 프로그램을 사용해야 하는 경우에는 정보보안담당관의 승인을 받아 한시적으로 사용 할 수 있다.

③정보보안담당관은 인터넷PC에서 업무자료의 저장을 금지하기 위한 기술적ㆍ관리적 방안을 강구하여야 한다.

④그 밖에 인터넷 PC의 보안관리에 관련한 사항에 대해서는 제36조(PC 등 단말기 보안관리)를 따른다.

 

제 38 조(업무망 보안관리) ①정보보안담당관은 업무자료를 소통하기 위한 전산망 구축시 인터넷과 분리하도록 망을 운영하여야 한다. 이 경우 다음 각 호의 보안대책을 강구하여야 한다.

1. 비인가자의 업무망ㆍ인터넷 침입 차단대책(침입차단ㆍ탐지시스템 등)

2. 비인가 장비의 업무망 접속 차단대책(네트워크 관리시스템 등)

3. 업무망PC의 무선인터넷 접속장치에 대한 보안대책 등 인터넷 접속 차단대책

4. 업무망과 인터넷간 안전한 자료전송 대책(「국가ㆍ공공기관 업무망과 인터넷간 안전한 자료전송 보안가이드라인」(2010. 8. 국가정보원) 참조)

②업무망 관리자는 정보시스템에 부여되는 ‘IP주소’를 체계적으로 관리하여야 하고, 비인가자로부터 업무망을 보호하기 위하여 사설주소체계를 적용하여야 한다. 또한, IP주소별로 정보시스템 접속을 통제하여 비인가 정보통신기기나 PC 등을 이용한 업무망내 정보시스템 접속을 차단하여야 한다.

③정보보안담당관은 업무망을 여타 기관의 망 및 인터넷과 연동하고자 할 경우에는 보안관리 책임한계를 설정하고 망 연동에 따른 보안대책을 마련한 후 국가정보원장에게 보안성 검토를 의뢰하여야 한다.

④업무망 관리자는 제3항과 관련하여 비인가자의 망 침입을 방지하기 위하여 안정성이 검증된 침입차단ㆍ탐지시스템을 운용하는 등 보안대책을 강구하여야 한다.

⑤업무망 관리자는 업무망을 인터넷과 연동시 효율적인 보안관리를 위하여 연결지점을 최소화하여 운용하여야 한다.

⑥업무망과 인터넷망 간의 자료교환은 망간자료전송시스템을 사용하여야 하고 전송로그는 6개월 이상, 원본파일은 3개월 이상 유지하여야 한다

⑦업무망 관리자는 전송 실패기록을 점검하여 악성코드 유입여부 등을 주기적으로 확인 조치하여야 한다.

⑧업무망 PC의 자료를 인터넷 PC로 전송시에는 보안담당자 혹은 결재권자의 사전 또는 사후 승인절차를 마련하여 이를 준수하여야 한다.

 

제 39 조(네트워크 보안관리) ①시스템관리자는 라우터, 스위치 등 네트워크 장비 운용과 관련하여 다음 각 호의 보안조치를 강구해야 한다.

1. 네트워크 장비에 대한 원격접속은 원칙적으로 금지하되, 불가피할 경우 장비관리용 목적으로 내부 특정 IPㆍMAC 주소에서의 접속은 허용

2. 물리적으로 안전한 장소에 설치하여 비인가자의 무단접근 통제

3. 네트워크 장비 등 신규 전산장비 도입시 생성되는 기본(default) 계정을 삭제 또는 변경하고 시스템 운영을 위한 관리자 계정 별도 생성

4. 네트워크 운영에 불필요한 서비스 포트 및 사용자 계정 차단ㆍ삭제

5. 펌웨어 무결성 및 소프트웨어ㆍ운영체제 취약점과 최신 업데이트 여부를 주기적으로 확인하여 항상 최신 버전으로 유지

②시스템관리자는 네트워크장비의 접속기록을 6개월 이상 유지하여야 하고 비인가자의 침투 여부를 주기적으로 점검하여야 하며 특이사항 발견 즉시 정보보안담당관에게 보고하여야 한다.

③인터넷 등 상용망과 연동하고자 할 경우에는 비인가자의 무단침입을 방지하기 위하여 보안적합성이 검증된 침입차단ㆍ탐지시스템 설치 운용 등 보안대책을 강구하여야 하며 보안적합성이 검증된 정보보호시스템의 설치 및 운용관리에 대해서는 제5장제1절(보안적합성 검증)의 규정을 따른다.

 

제 40 조(전자정보 저장매체 불용처리 보안) ①사용자 및 시스템관리자는 하드디스크 등 전자정보 저장매체를 불용처리(교체ㆍ반납ㆍ양여ㆍ폐기 등) 하고자 할 경우에는 정보보안담당관의 승인하에 저장매체에 수록된 자료가 유출되지 않도록 보안조치 하여야 한다.

②자료의 삭제는 해당 정보가 복구될 수 없도록 저장매체별, 자료별 차별화된 삭제방법을 적용하여야 한다.

③정보시스템의 사용자가 변경된 경우, 비밀처리용 정보시스템은 완전포맷 3회 이상, 그 외의 정보시스템은 완전포맷 1회 이상으로 저장자료를 삭제하여야 한다.

④전자정보 저장매체의 불용처리에 관련된 구체적인 사항은 국가정보원 「정보시스템 저장매체 불용처리 지침」(국가 정보보안 기본지침 부록6)을 따른다.

 

제 41 조(무선랜 보안관리) ①각 부서의 장은 조달청에서 운영하는 무선랜(WIFI) 이외의 무선랜을 구축하고자 할 경우 자체 보안대책을 수립하여 관련 사업 계획단계(사업 공고 전)에서 정보보안담당관의 검토를 거쳐 국가정보원장에게 보안성 검토를 의뢰하여야 한다.

②무선랜 담장자는 운영과 관련하여 다음 각 호의 보안조치를 강구하여야 한다.

1. 네트워크 이름(SSID, Service Set Identifier) 브로드캐스팅 중지

2. 추측이 어려운 복잡한 SSID 사용

3. WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화

4. MAC 주소 및 IP 필터링 설정, DHCP 사용 금지

5. RADIUS(Remote Authentication Dial-In User Service) 인증 사용

6. 그 밖에 무선단말기ㆍ중계기(AP) 등 무선랜 구성요소별 분실ㆍ탈취ㆍ훼손ㆍ오용 등에 대비한 관리적ㆍ물리적 보안대책

③정보보안담당관은 제1항 및 제2항과 관련한 보안대책의 적절성을 수시로 점검하고 보완하여야 한다.

 

제 42 조(RFID 보안관리) ①각 부서의 장은 RFID 시스템을 구축하여 중요자료 등 보호할 필요가 있는 정보를 소통하고자 할 경우 자체 보안대책을 수립하여 관련 사업 계획단계(사업 공고 전)에서 정보보안담당관의 검토를 거쳐 국가정보원장에게 보안성 검토를 의뢰하여야 한다.

②RFID 담당자는 시스템 구축 및 운영시 다음 각 호의 사항을 포함하여 보안대책을 수립한다.

1. RFID시스템의 분실ㆍ탈취 대비 보안대책 및 백업대책

2. 태그정보의 최소화 대책

3. 장치 인증, 사용자 인증 및 기밀 등 중요정보의 암호화 대책

③정보보안담당관은 제1항 및 제2항과 관련된 보안대책의 적절성을 수시로 점검하고 보완하여야 한다.

 

제 43 조(인터넷전화 보안관리) ①인터넷전화는 조달청에서 운영하는 인터넷전화시스템을 사용함을 원칙으로 한다.

②인터넷전화 담당자는 운영과 관련하여 다음 각 호의 보안조치를 강구하여야 한다.

1. 인터넷전화기에 대한 장치 인증 및 사용자 인증

2. 제어신호 및 통화내용의 암호화

3. 인터넷전화망(음성 네트워크)과 일반 전산망(데이터 네트워크)의 분리

4. 인터넷전화 전용 방화벽 등 정보보호시스템 설치

5. 백업체제 구축

③인터넷전화 보안관리에 관한 구체적인 사항은 국가정보원 「인터넷전화 구축시 보안준수사항」(국가 정보보안 기본지침 부록 8)을 따른다.

 

제 44 조(CCTV 시스템 보안관리) ①각 부서의 장은 CCTV를 운용하고자 할 경우 CCTV 운용에 필요한 카메라, 중계 관제서버, 관리용PC 등 관련 시스템을 비인가자의 임의 조작이 물리적으로 불가능하도록 설치하여야 한다.

②CCTV 상황실은 보호구역으로 지정 관리하고 출입통제장치를 도입하여야 한다.

③CCTV 운영 담당자는 CCTV 카메라, 비디오 서버, 관제서버 및 관련 전산망 설치시 업무망 및 인터넷망과 분리 운영하는 것을 원칙으로 한다. 다만, 부득이하게 인터넷망을 이용할 경우에는 전송내용을 암호화하여야 한다.

④CCTV 시스템 일체는 사용자계정 비밀번호 등 시스템 인증대책을 강구하고 허용된 특정 IP에서만 접속 허용하는 등 비인가자의 침입 통제대책을 강구하여야 한다.

⑤정보보안담당관은 제1항부터 제4항까지와 관련하여 보안대책의 적절성을 수시로 점검하고 보완하여야 한다.

⑥조달청 평가장 등 불특정 다수에게 영상정보 제공을 목적으로 설치한 CCTV 시스템은 제1항부터 제5항까지의 보안관리 대상에서 제외한다.

⑦CCTV 시스템의 보안관리에 관한 구체적인 사항은 국가정보원 「CCTV 시스템 보안관리방안」(국가 정보보안 기본지침 부록 9)을 따른다.

 

제 45 조(디지털복사기 보안관리) ①각 부서의 장은 디지털복사기(이하 “복사기”라 한다)를 도입하고자 할 경우 복사기내 저장매체에 보관된 자료유출 방지를 위하여 자료의 완전삭제 기능이 탑재된 제품을 도입하여야 한다.

②각 부서의 장은 다음 각 호의 경우에 복사기 저장매체의 저장자료를 삭제 하여야 한다.

1. 복사기의 사용연한이 경과하여 폐기ㆍ양여할 경우

2. 복사기의 무상 보증기간중 저장매체 또는 복사기 전체를 교체할 경우

3. 고장수리를 위한 외부반출 등 복사기의 저장매체를 보안 통제할 수 없는 환경으로 이동할 경우

4. 그 밖에 저장자료 삭제가 필요하다고 판단되는 경우

③복사기의 소모품 등을 교체하기 위한 유지보수시 부서 분임정보보안담당자 입회ㆍ감독하에 작업을 실시하여 저장매체 무단 교체 등을 예방하여야 한다.

④정보보안담당관은 기관의 저장매체 내장 복사기 현황을 파악하고 복사기의 유지보수 및 불용처리시 저장매체에 대한 보안조치를 수행하여야 한다.

⑤복사기의 저장자료 삭제방법 등에 관련한 구체적인 사항은 국가정보원 「정보시스템 저장매체 불용처리지침」(국가 정보보안 기본지침 부록 6)을 따른다.

 

제 46 조(정보통신망 자료 보안관리) ①정보보안담당관은 다음 각 호에 해당하는 정보통신망 관련 현황․자료 관리에 유의하여야 한다.

1. 정보시스템 운용현황

2. 정보통신망 구성현황

3. IP 할당현황

4. 주요 정보화사업 추진현황

②정보보안담당관은 다음 각 호의 자료를 대외비로 분류하여 관리하여야 한다. 다만, 국가 안보와 직결되는 중요한 정보통신망 관련 세부자료는 해당 등급의 비밀로 분류 관리하여야 한다.

1. 정보통신망 세부 구성현황(IP 세부 할당 현황 포함)

2. 국가용 보안시스템 운용 현황

3. 보안취약점 분석․평가 결과물

4. 정보시스템 관리대장(별지 제1호 서식)

5. 기타 보호할 필요가 있는 정보통신망 관련 자료

③제2항에 명시되지 않은 정보통신망 관련 대외비 및 비밀의 분류는 국정원장이 제정한 「비밀 세부분류지침」(대외비)를 따른다.

 

제 47 조(영상회의시스템 보안관리) ①정보보안담당관은 영상회의시스템을 국가정보통신망, 전용선, 인터넷 등으로 구축할 경우 통신망에 따른 암호화 등 보안대책을 수립ㆍ시행하여야 한다.

②영상회의시스템의 보안관리에 관한 구체적인 사항은 「부처 영상회의시스템 보안가이드라인」(2013.4, 국가정보원)을 준수하여야 한다.

 

제 48 조(스마트폰 등 모바일 행정업무 보안관리) ①정보보안담당관은 스마트폰 등을 활용하여 내부행정업무, 현장행정업무 및 대민서비스업무 등 모바일 업무환경을 구축할 경우 보안대책을 수립 시행하여야 한다.

②스마트폰 등 모바일 행정업무의 보안관리에 관한 구체적인 사항은 「국가ㆍ공공기관의 모바일 활용업무에 대한 보안가이드라인」(2014, 국가정보원)을 준수하여야 한다.

 

제 49 조(클라우드 시스템 보안관리) ①정보보안담당관은 클라우드 컴퓨팅시스템 구축시「국가ㆍ공공기관 클라우드 컴퓨팅 보안가이드라인」(2013.1, 국가정보원)에 따른다.

②각 부서의 장은 상용 클라우드 컴퓨팅시스템을 활용하고자 하는 경우에는 정보보안담당관의 검토를 거쳐 국가정보원장에게 보안성 검토를 요청하여야 한다.

 

추가적인 내용은 첨부문서를 확인 바랍니다.

www.promas.co.kr