출처: 국가철도공단
정보보안업무지침 요약한 글입니다. 정보보안업무지침 파일 전체가 필요하신 분은 페이지 하단으로 이동하여 정보보안업무지침 pdf를 다운로드 해주시기 바랍니다.
정보보안업무지침
제1장 총 칙
조항 인쇄
제1조 (목적) 이 지침은 국가정보원「국가 정보보안 기본지침」, 국토교통부 「정보보안 업무규정」에 따라 국가철도공단(이하 "공단"이라 한다)이 수행하여야 할 정보보안과 관련된 기본업무를 규정함을 목적으로 한다. <개정 2020.08.27>
조항 인쇄
제2조 (적용범위) 공단 정보보안업무에 관하여 다른 법령이나 규정에서 정한 것을 제외하고는 이 지침에서 정하는 바에 따른다.
조항 인쇄
제3조 (정의) ① 이 지침에서 사용하는 용어의 뜻은 다음과 같다.
1. "정보보안" 또는 "정보보호"란 정보통신망 및 정보시스템을 통해 수집, 가공, 저장, 검색, 송ㆍ수신되는 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위로서「국가사이버안전관리규정」제2조제3호의 사이버안전을 포함한다.
2. "소속기관"이란「직제규정」제8조에 따른 소속기관을 말한다.
3. "정보보안담당관"이란 공단의 정보보안업무를 총괄하기 위하여 이사장이 임명한 사람을 말한다.
4. "보안담당관"이란 「보안업무취급규정」제6조에 따른 보안담당관을 말한다.
5. "정보통신망"이란「국가정보화 기본법」제3조제11호에 따른 정보통신망을 말한다.
6. "내부망"이란 공단이 운영하는 정보통신망 중에서 인터넷과 분리된 업무 전용(專用) 정보통신망을 말한다.
7. "공단인터넷망"이란 공단이 운영하는 정보통신망 중에서 임직원의 이용을 위한 인터넷과 연동된 정보통신망을 말한다.
8. "정보시스템"이란「전자정부법」제2조제13호에 따른 정보시스템을 말한다.
9. "휴대용 저장매체"란 디스켓ㆍCDㆍ외장형 하드디스크ㆍUSB메모리 등 정보를 저장할 수 있는 것으로 PCㆍ서버 등의 정보시스템과 분리할 수 있는 기억장치를 말한다.
10. "업무자료"란 다음 각 목의 어느 하나에 해당하는 것을 말한다.
가. 「전자정부법」제2조제6호에 따른 행정정보 및 동법 제2조제7호에 따른 전자문서
나. 「공공기록물 관리에 관한 법률 시행령」제2조제2호에 따른 전자기록물
다. 그 밖에 다른 법령에 의하여 임직원이 직무상 작성ㆍ취득하였거나 보유ㆍ관리하는 자료로서 전자적으로 처리되어 부호ㆍ문자ㆍ음성ㆍ음향ㆍ영상 등으로 표현된 것
11. "비밀"이란 업무자료 중에서 국가정보원「보안업무규정」제4조에 따라 분류된 비밀을 말한다.
12. "대외비"란 업무자료 중에서 국가정보원「보안업무규정 시행규칙」제16조제3항에 따라 분류된 대외비를 말한다.
13. "비공개 업무자료"란 비밀 및 대외비를 제외한 업무자료 중에서 다음 각 목의 어느 하나에 해당하는 자료 또는 정보를 말한다.
가. 「공공기관의 정보공개에 관한 법률」제9조제1항에 따른 비공개 대상 정보
나. 가목에 따른 비공개 대상 정보의 주요 내용이 기술된 문장 또는 문구
다. 그 밖에 이사장이 비공개 대상 대상정보라고 판단하는 자료
14. "공개 업무자료"란 업무자료 중에서 비밀 및 대외비와 비공개 업무자료를 제외한 모든 자료 또는 정보를 말한다.
15. "정보통신실"이란 서버ㆍ스위치ㆍ라우터ㆍ교환기 등 전산 및 통신장비 등이 설치ㆍ운용되는 장소 또는 전산실ㆍ통신실ㆍ데이터센터 등을 말한다.
16. "정보보호시스템"이란「국가정보화 기본법」제3조제6호에 따른 정보보호시스템을 말한다.
17. "보안적합성 검증"이란 정보보호시스템ㆍ네트워크장비 등 보안기능이 있는 정보통신제품에 대하여「전자정부법 시행령」제69조제1항 및 제3항에 따라 안전성을 검증하는 활동을 말한다.
18. "개별사용자"란 이사장으로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 사용자를 말한다.
19. "전자파 보안"이란 정보통신시설 및 기기 등을 대상으로 전자파에 의한 정보유출을 방지하고 파괴ㆍ오작동 유발 등의 위협으로부터 정보를 보호하는 일체의 행위를 말한다.
20. "대도청 측정(TSCM)"이란 유ㆍ무선 도청탐지장비 등을 사용하여 은닉된 도청장치를 색출하거나 누설전자파(정보통신기기로부터 자유공간 또는 전도성 경로를 통해 비(非)의도적으로 누출되는 정보를 포함한 전자파) 등 각종 도청 위해(危害)요소를 제거하는 제반활동을 말한다.
21. "고출력 전자파(EMP)"란 지상 30km 이상에서 핵 폭발에 의해 생성되는 고고도(高高度) 핵 전자파와 의도적으로 정보기기 등을 손상시키거나 오동작을 유발할 수 있는 고출력 비핵 전자파를 말한다.
22. "정보보안 관리실태 평가"란「전자정부법」제56조 등에 따라 국가정보보안 정책에 대한 이행여부를 확인하기 위하여 실시하는 평가를 말한다.
23. "암호자재"란 비밀을 소통ㆍ보호하기 위한 목적으로 암호기술을 적용하여 만들어진 장치나 수단을 말한다.
24. "암호알고리즘"이란 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위하여 기밀성ㆍ무결성ㆍ인증ㆍ부인방지 등의 기능을 제공하는 수학적 논리를 말한다.
25. "상용 암호모듈"이란 암호알고리즘을 소프트웨어, 하드웨어, 펌웨어 또는 이를 조합한 형태로 구현한 것으로서 중요자료를 보호하기 위하여 민간이 상용(商用)으로 판매하는 것을 말한다.
26. "암호자재 제작업체"란 암호자재의 제작권을 획득한 업체를 말한다.
27. "검증필 암호모듈"이란 전자정부법 시행령 제69조와 암호모듈시험 및 검증지침 에 따라 국가정보원장이 안전성을 확인한 상용 암호모듈을 말한다.
28. "사이버공격"이란 해킹ㆍ컴퓨터바이러스ㆍ논리폭탄ㆍ메일폭탄ㆍ서비스방해 등 전자적 수단을 사용하여 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 위조ㆍ변조ㆍ훼손ㆍ절취하는 행위를 말한다.
29. "안보위해(危害) 공격"이란 사이버공격 중에서 다음 각 목의 어느 하나에 해당하는 행위를 말한다.
가. 군사분계선 이북(以北)지역에 기반을 두고 있는 반(反)국가단체의 구성원 또는 그 지령을 받은 자에 의한 사이버공격
나. 「방첩업무규정」제2조제2호에 따른 외국의 정보활동
다. 「산업기술의 유출방지 및 보호에 관한 법률」제2조에 따른 국가핵심기술 또는 국가연구개발사업으로 개발한 산업기술을 부정한 방법으로 취득하는 행위
라. 「방위산업기술 보호법」제2조제1호에 따른 방위산업기술을 부정한 방법으로 취득하는 행위
마. 「국민보호와 공공안전을 위한 테러방지법」제2조제1호에 따른 테러행위
바. 국제범죄조직에 의한 사이버공격
사. 「형법」중 내란(內亂)의 죄, 외환(外患)의 죄,「군형법」중 반란의 죄, 암호 부정사용의 죄,「군사기밀 보호법」에 규정된 죄,「국가보안법」에 규정된 죄에 해당되는 행위
아. 국가기밀에 속하는 문서ㆍ자재ㆍ시설 및 지역에 관한 정보를 유출하거나 그 운영을 방해하는 행위
자. 「전자정부법」제56조제3항에 따른 보안조치 대상 정보통신망에서 전자문서를 위조ㆍ변조ㆍ훼손ㆍ절취하여 국가의 독립, 영토의 보전, 헌법과 법률의 기능, 헌법에 의하여 설치된 국가기관의 유지에 위해를 초래하는 행위
차. 「정보통신기반 보호법」제3조에 따라 공공분야 실무위원회가 담당하는 주요정보통신기반시설 또는 동법 제7조제2항 각 호에 따른 주요 정보통신기반시설에 대한 동법 제12조에 따른 침해행위
30. "보안관제"란 사이버공격 정보를 실시간으로 탐지 및 분석, 대응하는 일련의 활동을 말한다.
31. "보안관제센터"란 일정한 수준의 시설 및 장비와 이를 운영하기 위한 전문 또는 전담인력을 갖추고 보안관제업무를 수행하는 조직을 말한다.
32. "국가보안관제체계"란 국가정보원「국가사이버안전관리규정」제10조의2제2항에 따라 국가정보원장이 각급기관의 보안관제센터와 사이버공격에 관한 정보를 수집ㆍ배포하기 위하여 구축ㆍ운영하는 실시간 탐지ㆍ대응체계를 말한다.
33. "부문보안관제센터"란 국가정보원「국가사이버안전관리규정」제10조의2제1항에 따라 장관이 본부 및 그 소속기관, 산하기관의 정보통신망을 대상으로 설치ㆍ운영하는 보안관제센터를 말한다.
34. "단위보안관제센터"란 국가정보원「국가사이버안전관리규정」제10조의2제1항에 따라 설치ㆍ운영되는 보안관제센터 중에서 산하기관 장이 해당 기관의 정보통신망을 대상으로 운영하는 보안관제센터를 말한다.
조항 인쇄
제4조 (책무) ① 이사장은 국가안보 및 국익과 관련된 정보(업무자료를 포함한다. 이하 같다)와 정보통신망을 보호하기 위하여 보안대책을 수립ㆍ시행하여야 하며 정보보안에 대한 책임을 진다.
② 이사장은 임직원에 대한 근무성적 또는 성과 평가를 실시할 경우 정보보안내규 준수여부 등을 반영할 수 있다.
조항 인쇄
제5조 (정보보안담당관 운영) ① 이사장은 정보보안업무를 효율적이고 체계적으로 수행하기 위하여 정보보안 전문지식을 보유한 적정인력을 확보하여 정보보안 전담조직을 구성ㆍ운영하여야 한다.
② 이사장은 다음 각 호에 해당하는 업무를 전담할 정보보안담당관을 임명하여야 한다. 이 경우「정보통신기반 보호법 시행령」제9조제1항에 따라 지정한 정보보호책임자를 정보보안담당관으로 임명할 수 있다.
1. 정보보안 정책ㆍ계획의 수립ㆍ시행 및 정보보안내규 제ㆍ개정
2. 정보보안 전담조직 관리, 전문인력 및 관련예산 확보
3. 정보화사업 보안성 검토 및 보안적합성 검증 총괄
4. 정보통신실, 정보통신망 현황자료 등에 관한 보안관리 총괄
5. 소관 주요정보통신기반시설 보호
6. 사이버공격 대응훈련 및 정보보안 관리실태 평가 총괄
7. 보안관제, 사고대응 및 정보협력 업무 총괄
8. 정보보안교육 총괄 및 ‘사이버보안진단의 날’ 계획 수립ㆍ시행
9. 정보보안감사 및 정보보안업무 감독
10. 부서 분임정보보안담당관 업무 감독
11. 그 밖에 정보보안과 관련한 사항
③ 이사장은 정보보안담당관이 직무를 원활히 수행할 수 있도록 조직, 인력 및 예산을 운영하여야 한다.
④ 정보보안 업무를 수행하기 위하여 다음 각 호의 자가 정보보안업무를 담당한다.
1. 정보보안담당관 : 정보관리처장
2. 분임정보보안담당관 : 「보안업무취급규정」 제8조에 따른 분임보안담당관. 다만, 주요정보통신기반시설은 소관 주요정보통신기반시설 정보보호책임자.
3. 분임정보보안담당자 : 분임정보보안담당관이 정보보안업무를 수행할 수 있도록 임명한 자
⑤ 정보보안담당관은 제2항 각 호에 해당하는 업무를 수행함에 있어 필요한 경우 해당 업무의 일부를 부서 분임정보보안담당관에게 위임할 수 있다.
⑥ 정보보안담당관과 분임정보보안담당관의 업무에 관하여는 이 지침에 저촉되지 아니하는 범위 내에서 이사장이 정보보안내규로 정한다.
조항 인쇄
제5조의2 (정보보호전문가 지정 및 가점) ① 정보보호전문가는 정보보안 부서에서 전담인력으로 근무하면서 다음 각 호 중 하나 이상의 자격요건을 보유한 자로 지정한다.
1. 정보보안 관련학과(석사 이상) 졸업자
2. 3년이상 정보보안 업무경력
3. 국내·외 공인자격증(정보보안기사, CISA, CISSP 등) 소지자
② 제1항에 의해 지정된 정보보호전문가에게는 0.3점 가점을 부여한다.
조항 인쇄
제6조 (연도 추진계획 수립) ① 이사장은 매년 해당 기관에 대한「연도 정보보안업무 추진계획」( 국가정보원「국가사이버안전관리규정」제9조에 따른 사이버안전대책을 포함한다. 이하 같다)을 수립ㆍ시행하여야 한다.
② 정보보안담당관은 보안대책 수립 및 정보통신망 안전성 확인 등을 위하여 분임 정보보안담당관에게 연도 정보보안업무 추진계획과 관련된 자료 제출을 요청 할 수 있다.
조항 인쇄
제7조 (정보보안내규 제정) ① 이사장은 해당 기관의 정보보안업무를 규정한 정보보안내규(또는 지침ㆍ시행세칙 등)를 국토교통부 정보보안업무규정에 저촉되지 아니하는 범위 내에서 제정ㆍ시행하여야 한다. 다만, 다른 기관의 행정규칙을 준용하는 경우 별도로 제정하지 아니할 수 있다.
② 제1항에 따라 정보보안내규를 제·개정하는 경우 이사장은 국토교통부장관과 사전 협의하여야 한다.
조항 인쇄
제8조 (정보보안감사 등) ① 이사장은 공단의 정보보안업무 및 활동을 조사ㆍ점검하기 위하여 연1회 이상 정보보안감사를 실시하여야 하며, 이를 위하여 필요한 경우 정보보호전문가를 감사 또는 감찰업무를 수행하는 부서에 배속하여 정보보안감사를 수행하도록 할 수 있다.
② 정보보안 감사 주체는 정보보안담당관이며 공단 전소속이 수감 대상이 된다.
③ 정보보안담당관은 제1항에 따른 정보보안감사를 실시할 경우 국가정보원장이 배포한 정보보안점검 체크리스트 등을 활용할 수 있다.
④ 이사장은 정보보안감사 담당자를 다음 각 호의 법규를 준용하여 우대하여야 한다.
1. 「공공감사에 관한 법률」 제18조에 따른 근무성적평정, 임용 등에서 우대
2. 「중앙행정기관 등의 자체감사 역량 강화에 관한 규정」 (국무총리훈령) 제7조에 따른 전문역량 강화 및 제9조에 따른 근무성적평정ㆍ전보ㆍ수당 등에서 우대
3. 「자체감사활동의 지원 및 대행ㆍ위탁감사에 관한 규칙」 (감사원규칙) 제4조제4호에 따른 근무여건 개선 및 사기제고
4. 「공기업ㆍ준정부기관 감사기준」 (기획재정부) 제16조에 따른 감사수당 지급, 인사기준 별도 적용, 전보시 희망보직 우선 고려
⑤ 정보보안담당관은 정보보안감사 이외 정보보안업무에 필요한 경우 정보보안 점검방문을 실시할 수 있으며, 점검방문의 대상, 주관 및 방식은 제2항부터 제4항까지를 준용한다.
조항 인쇄
제9조 (정보보안교육) ① 정보보안담당관은 정보보안에 대한 경각심을 제고하기 위하여 정보보안 교육계획을 수립하여 연1회 이상 모든 임직원을 대상으로 교육(온라인 교육을 포함한다)을 실시하여야 한다.
② 제1항에 따라 모든 임직원은 특별한 사유가 없는 한 연1회 이상 정보보안교육을 이수하여야 한다.
③ 정보보안담당관은 제1항에 따라 정보보안교육을 실시할 경우 해당 기관의 실정에 맞는 교육자료를 작성 활용하여야 하며 필요한 경우 국가정보원장에게 자료 또는 강사 지원 등 협조를 요청할 수 있다.
④ 이사장은 정보보안담당관, 분임정보보안담당관 및 정보보안 담당 직원의 업무 전문성을 제고하고 임직원의 정보보안 지식을 함양하기 위하여 전문기관의 교육 이수나 학술회의 참가 등을 장려하여야 한다.
조항 인쇄
제10조 (사이버보안진단의 날) ① 정보보안담당관은 해당 기관의 실정에 맞게 매월 세 번째 수요일을 ‘사이버보안진단의 날’로 지정ㆍ시행하여야 한다. 다만, 부득이한 사유로 해당 일에 시행하지 못할 경우 같은 달 다른 날에 시행하여야 한다.
② 분임정보보안담당관은 정보보안담당관 총괄 하에 ‘사이버보안진단의 날’에 소속 부서의 정보통신망과 정보시스템의 보안취약 여부 확인 등 보안진단을 실시하여야 한다.
제2장 정보화사업 보안
제1절 사업 계획
조항 인쇄
제11조 (보안책임) ① 공단에서 정보통신망 또는 정보시스템을 개발ㆍ구축ㆍ운용ㆍ유지보수하는 사업(이하 "정보화사업"이라 한다)을 담당하는 정보화사업담당관은 해당 정보화사업에 대한 보안관리를 수행하여야 한다.
② 정보화사업을 추진하는 부서의 장은 정보화사업에 대한 보안관리 책임을 지고 관리ㆍ감독하여야 한다.
③ 정보보안담당관 및 보안담당관은 각종 정보화사업과 관련한 보안대책의 적절성을 평가하고 정보화사업 수행 전반에 대하여 보안대책의 이행여부를 점검하여 필요한 경우 정보화사업을 추진하는 부서의 장에게 시정을 요구할 수 있다.
조항 인쇄
제12조 (보안대책 수립) ① 정보화사업을 추진하는 부서의 장은 정보통신망 또는 정보시스템을 구축ㆍ운용하기 위한 정보화사업 계획을 수립할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 보안관리체계(조직, 인원 등) 구축 등 관리적 보안대책
2. 설치ㆍ운용장소 보안관리 등 물리적 보안대책
3. 정보통신망 또는 정보시스템의 구성요소별 기술적 보안대책
4. 국가정보원장이 개발하거나 안전성을 확인한 암호자재, 상용 암호모듈 및 정보보호시스템 도입ㆍ운용계획
5. 긴급사태 대비 및 재난복구 계획
6. 용역업체 작업장소에 대한 보안대책
7. 기존 운용중인 정보통신망 및 정보시스템에 대한 용역업체 접근 통제대책
8. 누출금지정보 보안관리 방안
조항 인쇄
제13조 (제안요청서 기재사항) ① 정보화사업을 추진하는 부서의 장은 용역업체에 정보화사업을 발주하기 위하여 제안요청서를 작성할 경우 다음 각 호의 사항을 포함하여야 한다.
1. 용역업체 작업 장소에 대한 보안요구사항
2. 온라인 개발 또는 온라인 유지보수가 필요하다고 판단할 경우, 제28조의2 또는 제51조에 따른 보안 준수사항 <개정 2020.12.22>
3. 누출금지정보 목록
4. 용역업체가 누출금지정보를 제외한 소프트웨어 산출물을 제3자에게 제공하고자 할 경우 발주자의 승인절차
② 제1항제3호에 따른 누출금지정보 목록을 작성할 경우 다음 각 호의 사항을 포함하여야 한다.
1. 해당 기관의 정보시스템 내ㆍ외부 IP주소 현황
2. 정보시스템 구성 현황 및 정보통신망 구성도
3. 개별사용자의 계정ㆍ비밀번호 등 정보시스템 접근권한 정보
4. 정보통신망 또는 정보시스템 취약점 분석ㆍ평가 결과물
5. 정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)
6. 암호자재 및 정보보호시스템 도입ㆍ운용 현황
7. 정보보호시스템 및 네트워크장비 설정 정보
8. 「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 해당 기관의 내부문서
9. 「개인정보보호법」제2조제1호에 따른 개인정보
10. 국가정보원「보안업무규정」제4조에 따른 비밀 및 동규정 시행규칙 제16조제3항에 따른 대외비
11. 그 밖에 이사장이 공개가 불가하다고 판단한 자료
제2절 보안성 검토
조항 인쇄
제14조 (검토 시기 및 절차) ① 정보화사업을 추진하는 부서의 장은 정보화사업을 수행하고자 할 경우 정보화사업과 관련한 보안대책의 적절성을 평가하기 위하여 사업 계획단계(사업 공고 전)에서 보안성 검토 절차를 이행하여야 한다.
② 정보보안담당관은 제1항에 따른 보안성 검토를 위하여 제15조제1항 및 제2항에 따른 보안성 검토 기관의 장에게 검토를 의뢰하거나 자체적으로 실시하여야 한다. 정보보안담당관은 제15조제1항 각 호에 해당하는 정보화사업에 대하여 국가정보원장에게 보안성 검토를 의뢰하고자 할 경우 국토교통부장관을 거쳐 의뢰하여야 한다.
③ 보안성 검토는 서면 검토를 원칙으로 하며 정보보안담당관이 필요하다고 판단하는 경우 현장 확인을 병행 실시할 수 있다.
조항 인쇄
제15조 (검토 기관) ① 정보보안담당관은 공단이 추진하는 다음 각 호에 해당하는 정보화사업에 대하여 국토교통부장관을 경유하여 국가정보원장에게 보안성 검토를 의뢰하여야 한다.
1. 비밀ㆍ대외비를 유통ㆍ관리하기 위한 정보통신망 또는 정보시스템 구축
2. 국가정보원장이 개발하거나 안전성을 확인한 암호자재를 적용하는 정보통신망 또는 정보시스템 구축
3. 외교ㆍ국방 등 국가안보상 중요한 정보통신망 또는 정보시스템 구축
4. 100만명 이상의 개인에 대한「개인정보보호법」상 민감정보 또는 고유 식별정보를 처리하는 정보시스템 구축
5. 주요정보통신기반시설로 지정이 필요한 정보통신기반시설 구축
6. 제24조제1항에 따른 제어시스템 도입
7. 재난관리ㆍ국민안전ㆍ치안유지ㆍ비상사태 대비 등 국가위기 관리와 관련한 정보통신망 또는 정보시스템 구축
8. 국가정보통신망 등 여러 기관이 공동으로 활용하기 위한 정보통신망 또는 정보시스템 구축
9. 행정정보, 국가지리, 환경정보 등 국가 차원의 주요 데이터베이스 구축
10. 정상회의, 국제회의 등 국제행사를 위한 정보통신망 또는 정보시스템 구축
11. 내부망 또는 폐쇄망을 인터넷 또는 다른 정보통신망과 연동하는 사업
12. 내부망과 인터넷망을 분리하는 사업
13. 통합데이터센터ㆍ보안관제센터 구축
14. 임직원이 업무상 목적으로 이용하도록 하기 위한 무선랜, 이동통신망(HSDPA, WCDMA, LTE, 5G 등) 등 구축
15. 원격근무시스템 구축
16. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」제20조에 따라 클라우드컴퓨팅서비스제공자의 클라우드컴퓨팅서비스(이하 "민간 클라우드컴퓨팅서비스"라 한다)를 이용하는 사업
17. 남북 회담 및 협력사업 등을 위한 북한지역 내 정보통신망 또는 정보시스템 구축
18. 외국에 개설하는 사무소 운영을 위한 정보통신망 또는 정보시스템 구축
19. 첨단 정보통신기술을 활용하는 정보화사업으로서 국가정보원장이 해당기술에 대하여 안전성 확인이 필요하다고 지정하는 사업
② 정보보안담당관은 다음 각 호에 해당하는 정보화사업에 대하여 국토교통부장관에게 보안성 검토를 의뢰하여야 한다. 다만, 공단에서 추진하는 제10호부터 제14호까지에 해당하는 정보화사업에 대한 보안성 검토를 국토교통부장관이 공단에서 실시하도록 위임한 경우 자체보안성 검토를 수행할 수 있다.
1. 제1항 단서에 따라 국가정보원장으로부터 보안성 검토를 위임받은 사업
2. 홈페이지 및 웹메일 등 웹기반 정보시스템 구축
3. 인터넷전화시스템 구축
4. 다른 기관의 정보통신망 또는 정보시스템과 연동하여 정보의 소통 또는 서비스를 제공하는 정보시스템 구축
5. 해당 기관의 정보통신망 또는 정보시스템과 분리된 외부인 전용(專用)무선랜, 인터넷망 및 교육장 정보통신망 등 구축
6. 인터넷과 분리된 소속 공무원등의 인사ㆍ복지관리 등의 목적을 위한 정보시스템 구축
7. 주요정보통신기반시설 취약점 분석ㆍ평가, 정보보안컨설팅 등 용역사업
8. 기존 분리된 내부망ㆍ인터넷망간 자료전송시스템 구축 등 후속사업
9. 대규모 백업ㆍ재해복구센터 구축
10. 해당 기관의 정보통신망 또는 정보시스템과 분리된 영상회의시스템 구축
11. 인터넷과 분리된 CCTV 등 영상정보처리기기 구축
12. 백업시스템 구축
13. 대민(對民) 콜센터시스템 구축
14. 그 밖에 이사장이 필요하다고 판단하는 정보통신망 또는 정보시스템 구축
조항 인쇄
제16조 (검토 생략) ① 정보보안담당관은 다음 각 호에 해당하는 정보화사업에 대하여는 보안성 검토 절차의 이행을 생략할 수 있다. 이 경우 정보화사업을 추진하는 부서의 장은 관련 매뉴얼ㆍ가이드라인 등을 준수하는 등 자체 보안대책을 수립ㆍ시행하여야 한다.
1. 제15조제1항 및 제2항 각 호의 정보화사업에 해당하지 아니하는 단순장비ㆍ물품 도입
2. 제15조에 따른 보안성 검토를 거쳐 완료한 정보화사업에 대하여 정보통신망 구성을 변경하지 아니하는 범위 내에서 다음 각 목의 사항을 포함한 후속운영ㆍ유지보수ㆍ컨설팅(단일 회선의 이중화는 본 호를 적용함에 있어 정보통신망 구성의 변경이 아닌 것으로 본다)
가. 서버ㆍ스토리지ㆍ네트워크장비 등 장비 노후화로 인한 단순 장비 교체
나. 전화기ㆍ무전기ㆍCCTV 등 통신ㆍ영상기기의 노후화로 인한 단순 장비 교체
3. 다년도에 걸쳐 계속되는 사업으로써 사업 착수 당시 보안성 검토를 완료한 후 사업 내용의 변동 없이 계속 추진하는 운영ㆍ유지사업
4. PCㆍ프린터 및 상용 소프트웨어 등 단순 제품 교체
② 정보화사업을 추진하는 부서의 장은 제1항제2호부터 제4호까지에 해당하는 정보화사업을 수행할 경우 기존 보안성 검토결과를 준수하여야 한다.
조항 인쇄
제17조 (제출 문서) 정보화사업을 추진하는 부서의 장은 제14조제2항에 따라 보안성 검토를 의뢰할 경우 다음 각 호의 사항이 포함된 문서를 정보보안담당관에게 제출하여야 한다.
1. 사업계획서(사업목적 및 추진계획을 포함한다)
2. 제안요청서
3. 정보통신망 구성도(필요시 IP주소체계를 추가한다)
4. 자체 보안대책
5. 그 밖에 장관이 보안성 검토를 위해 요청하는 자료
조항 인쇄
제18조 (검토결과 조치) ① 정보화사업을 추진하는 부서의 장은 제15조에 따라 보안성 검토결과를 통보받은 경우 검토결과를 반영하여 보안대책을 보완하여야 한다.
② 정보보안담당관은 제1항에 따른 보안성 검토결과 반영여부를 확인하기 위하여 현장 점검을 실시할 수 있다.
조항 인쇄
제19조 (현황 제출) 정보보안담당관은 전년도에 실시한 정보화사업에 대한 보안성 검토결과 현황을 매년 국토교통부장관에게 제출하여야 한다.
제3절 사업 수행
조항 인쇄
제20조 (정보통신제품 도입) ① 정보화사업을 추진하는 부서의 장은 정보 및 정보통신망 등을 보호하기 위하여 보안기능이 있는 다음 각 호의 정보통신제품을 도입할 수 있다. <신설 2020.12.22>
1. [별표1] 안전성 검증필 제품 목록 등재 기본요건을 준수하는 제품과 국가정보원장이 개발하고 안전성을 확인하여 기술 이전한 정보통신제품 <신설 2020.12.22>
2. 비밀이 아닌 업무자료의 암·복호화를 목적으로 한 경우 [별표 2] 암호가 주기능인 제품 도입요건을 만족하는 제품 <신설 2020.12.22>
3. 제1호 및 제2호에 해당하지 않는 정보통신제품 중에서 국가정보원장이 별도로 공지하는 도입요건을 만족하는 제품 <신설 2020.12.22>
② 제1항제3호에 해당하는 제품은 실제 적용ㆍ운용 이전에 제2장제4절에 따른 보안적합성 검증을 받아야 한다. <신설 2020.12.22>
[제목개정 2020.12.22]
조항 인쇄
제21조 (암호가 주기능인 제품 도입요건) 정보화사업을 추진하는 부서의 장은 정보통신망을 이용하여 유통ㆍ보관되는 중요자료를 보호하기 위하여 암호가 주기능인 제품을 도입ㆍ운용하고자 할 경우 [별표 2]에 따른 암호가 주기능인 제품 도입요건을 준수하여야 한다.
조항 인쇄
제22조 (상용 암호모듈 도입시 고려사항) 정보화사업을 추진하는 부서의 장은 국가정보원장이 안전성을 확인한 상용 암호모듈을 도입하여 정보시스템 등에 적용하고자 할 경우 실제 적용 이전에 해당 상용 암호모듈의 정상 동작여부, 정보시스템 적용단계에서 구동과정상 오류 발생여부 등을 점검하여야 한다.
조항 인쇄
제23조 (영상정보처리기기 도입시 고려사항) 정보화사업을 추진하는 부서의 장은 제86조제1항에 따른 영상정보처리기기를 도입ㆍ운용하고자 할 경우 한국정보통신기술협회(TTA)의 공공기관용 보안 성능품질 인증 등 일정한 보안성능이 확인된 제품을 우선적으로 도입할 수 있다.
조항 인쇄
제24조 (제어시스템 도입시 고려사항) ① 정보화사업을 추진하는 부서의 장은 철도 설비 등을 중앙에서 감시ㆍ제어하기 위한 정보시스템(이하 "제어시스템"이라 한다)을 도입ㆍ운용하고자 할 경우 사업 계획 단계(사업 공고 전)에서 국가정보원장이 배포한「국가ㆍ공공기관 제어시스템 보안가이드라인」에 따른 보안대책을 수립ㆍ시행하여야 한다.
② 정보화사업을 추진하는 부서의 장은 제어시스템을 도입ㆍ운용할 경우 최신 백신 소프트웨어설치, 응용프로그램 보안패치 및 침해사고 대응방안 등 보안대책을 수립ㆍ시행하고 정기적으로 취약점을 점검하여야 한다. 다만, 제어시스템에 백신 소프트웨어 등 보안소프트웨어를 설치함으로써 제어시스템의 정상 운영에 차질을 초래할 경우 국토교통부장관을 경유하여 국가정보원장과 협의하여 설치하지 아니할 수 있다.
③ 정보화사업을 추진하는 부서의 장은 국가안보상 중요한 제어시스템을 운용할 경우 인터넷 및 일반사무용 내부망과 분리ㆍ구축하여야 한다.
④ 정보화사업을 추진하는 부서의 장은 제3항에도 불구하고 제어시스템을 인터넷망과 연동 할 필요가 있을 경우 연동 구간에 일방향 전송장비 설치 등 안전한 망 연동 수단을 설치ㆍ운용하여야 한다.
조항 인쇄
제25조 (계약 특수조건) ① 정보화사업을 추진하는 부서의 장은「국가를 당사자로 하는 계약에 관한 법률 시행령」제76조제1항제3호다목에 따른 정보통신망 또는 정보시스템 구축 및 유지보수 등의 계약 이행과정에서 정보통신망 또는 정보시스템에 허가 없이 접속하거나 무단으로 정보를 수집할 수 있는 비인가 프로그램을 설치하거나 그러한 행위에 악용될 수 있는 정보통신망 또는 정보시스템의 약점을 고의로 생성 또는 방치하는 행위 등을 금지하는 내용의 계약 특수조건을 계약서에 명시하여야 하며 계약기간(하자 보증기간을 포함한다) 내에 발생한 보안 약점 등에 대해서는 계약업체로 하여금 개선 조치하도록 하여야 한다.
② 정보화사업을 추진하는 부서의 장은 필요한 경우 계약업체로부터 제1항과 관련한 행위가 없다는 대표자 명의의 확약서를 요구할 수 있다.
조항 인쇄
제26조 (용역업체 보안) ① 정보화사업을 추진하는 부서의 장은 용역업체에 정보화사업을 발주할 경우 다음 각 호의 보안사항을 준수하도록 계약서에 명시하여야 한다.
1. 제13조제1항 각 호에 따른 제안요청서에 포함된 사항, 제28조에 따른 원격지 개발, 제28조의2에 따른 원격지에서의 온라인 개발, 제51조에 따른 온라인 유지보수를 허용할 경우 보안 준수사항 <개정 2020.12.22>
2. 소프트웨어 개발보안에 필요한 사항
3. 사업 참여인원의 보안관련 준수사항과 위반할 경우 손해배상 책임에 관한 사항
4. 사업 수행과 관련한 보안교육, 보안점검 및 사업기간 중 참여인원 임의교체 금지
5. 정보통신망 구성도ㆍIP주소 현황 등 업체에 제공하는 자료는 자료 인계인수대장을 비치하여 보안조치 후 인계ㆍ인수하고 무단 복사 및 외부반출 금지
6. 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비는 반출ㆍ입시마다 악성코드 감염여부, 누출금지정보 무단 반출여부 등 점검
7. 사업 종료시 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비는 저장자료복구가 불가하도록 완전 삭제
8. 사업 종료 시 누출금지정보 전량 회수
9. 그 밖에 이사장이 보안관리가 필요하다고 판단하는 사항 또는 국가정보원장이 보안조치를 권고하는 사항
② 정보화사업을 추진하는 부서의 장은 비밀 및 중요 용역사업을 수행할 경우 용역업체 참여인원이 다음 각 호에 해당되는 사실을 알게 된 경우 교체를 요구하여야 한다.
1. 「국가공무원법」제33조제3호부터 제6의4호까지에 해당하는 사람 <개정 2020.12.22>
2. 「국가를 당사자로 하는 계약에 관한 법률」제27조제1항 각 호의 행위를 한 사람
③ 정보화사업을 추진하는 부서의 장은 다음 각 호에 따른 보안 준수사항 및 [별지 제13호 서식] 에 따른 준수사항의 이행여부를 정기 또는 수시로 점검(불시 점검을 포함한다)하고 미비점을 발견한 경우 용역업체로 하여금 시정 조치하도록 하여야 한다. 이 경우 정보화사업을 추진하는 부서의 장은 점검 결과를 정보보안담당관에게 통보하여야 한다. <개정 2020.12.22>
1. 제1항에 따라 계약서에 명시된 보안 준수사항 <신설 2020.12.22>
2. 제27조의2에 따른 공단 내 작업장소 보안 준수사항 <신설 2020.12.22>
3. 제28조에 따른 원격지 개발보안 및 제28조의2에 따른 원격지에서의 온라인 개발시 보안 준수사항 <신설 2020.12.22>
4. 제50조에 따른 정보시스템 유지보수 및 제51조에 따른 온라인 유지보수시 보안 준수사항 <신설 2020.12.22>
④ 정보보안담당관은 용역업체 보안관리 실태 점검을 실시할 수 있으며, 필요한 경우 국가정보원장에게 지원을 요청할 수 있다 <개정 2020.12.22>
⑤ 정보보안담당관은 제3항 및 제4항에 따른 점검 결과, 용역업체 보안대책 준수가 미흡하고 시정조치가 어렵다고 판단할 경우 제28조에 따른 원격지 개발, 제28조의2에 따른 원격지에서의 온라인 개발 또는 제51조에 따른 온라인 유지보수 허가를 취소할 수 있다. <신설 2020.12.22>
⑥ 정보화사업을 추진하는 부서의 장은 제28조의2에 따른 원격지에서의 온라인 개발, 제51조에 따른 온라인 유지보수를 허용하고자 할 경우에는 용역업체의 온라인 접속을 통제하기 위한 온라인 용역 통제시스템을 구축ㆍ운영하여야 한다. <신설 2020.12.22>
⑦ 그 밖에 용역업체 보안과 관련한 사항은 국가정보원장이 배포한「국가ㆍ공공기관 용역업체 보안관리 가이드라인」을 준수하여야 한다. <신설 2020.12.22>
조항 인쇄
제27조 (소프트웨어 개발보안) 정보화사업을 추진하는 부서의 장은 정보시스템을 개발할 경우 「전자정부법」제45조 및「행정기관 및 공공기관 정보시스템 구축ㆍ운영지침」(행정안전부 고시)제50조부터 제53조까지에 따라 보안약점이 발생하지 아니하도록 개발(이하 "소프트웨어 개발보안"이라 한다)하고 정보시스템 감리 등을 통해 보안약점을 진단하여야 한다.
조항 인쇄
제27조의2 (발주기관내 작업장소 보안) ① 정보화사업을 추진하는 부서의 장은 공단내(공단이 임차한 외부 사무실을 포함한다) 용역업체 작업장소를 설치할 경우 보안 통제가 가능한 공간을 마련, 운영하여야 한다.
② 공단 내 용역업체 작업장소에 설치 운영하는 정보통신망은 공단의 정보통신망과 분리 구성하여야 한다. 다만, 용역업체가 사업 수행을 위하여 공단 정보시스템 이용이 불가피할 경우에는 필요한 정보시스템에 한해 지정된 단말기로부터의 제한적 접근을 허용하는 등 보안대책을 수립ㆍ시행하여야 하며, 이 경우 내부망 정보시스템에 대한 접근 허용에 관하여는 정보보안담당관과 사전 협의하여야 한다.
③ 작업장소 내 정보시스템은 용역사업 수행을 위해 필요한 경우 해당 정보화사업을 추진하는 부서장의 보안통제 하에 인터넷에 연결할 수 있다. 다만, 제2항 단서에 따른 공단 정보시스템 접근용 단말기의 경우에는 인터넷 연결을 금지한다.
④ 정보화사업을 추진하는 부서의 장은 용역업체가 공단 내 작업장소에서 개발 작업을 수행하더라도 개발용 서버가 민간 클라우드컴퓨팅서비스를 이용하는 등으로 원격지에 위치할 경우 제28조에 따른 원격지 개발로 간주하고 제28조제1항에 따른 보안대책을 수립ㆍ시행하여야 한다.
[본조신설 2020.12.22]
조항 인쇄
제28조 (원격지 개발보안) ① 정보화사업을 추진하는 부서의 장은 용역업체가 발주기관 이외 장소(이하 "원격지"라 한다)에서 개발 작업(유지보수는 제외한다)을 수행하고자 요청할 경우 제13조제1항제1호에 따른 용역업체 작업장소에 대한 보안요구사항 등을 포함한 관리적ㆍ기술적 보안대책을 수립ㆍ시행하여야 한다. 이 경우 정보화사업을 추진하는 부서의 장은 보안대책을 수립한 후 정보보안담당관의 승인을 받아야 한다.
② 원격지내 정보시스템은 개발 작업을 위하여 필요한 경우 해당 정보화사업을 추진하는 부서의 장의 보안통제에 따라 인터넷에 연결할 수 있다. <신설 2020.12.22>
조항 인쇄
제28조의2 (원격지에서의 온라인 개발) 제28조에 따른 원격지 개발에서 정보화사업을 추진하는 부서의 장이 필요하다고 판단하고 용역업체가 다음 각 호에 따른 보안대책에 서면으로 동의하는 경우에 한하여, 정보화사업을 추진하는 부서의 장은 정보보안담당관의 보안성검토 이후 용역업체에게 원격지에서 인터넷을 통해 공단 정보시스템에 온라인 접속한 상태의 개발 작업을 허용할 수 있다.
1. 지정된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제
2. 지정 단말기는 제3호에 따른 온라인 용역 통제시스템 접속 전용(專用)으로 운용하고 다른 목적의 인터넷 접속은 차단
3. 공단 내 온라인 용역 통제시스템을 경유하여 개발에 필요한 정보시스템에 접속하는 등 소통구간 보호ㆍ통제
4. 접속사실이 기록된 로그기록을 1년 이상 보관
5. 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중에 공단, 국토교통부 및 국가정보원장의 정기 또는 수시 보안점검(불시 점검을 포함한다) 수검
6. 기타 국가정보원장이 배포한「국가ㆍ공공기관 용역업체 보안관리 가이드라인」에서 제시된 온라인 개발에 관련된 보안대책의 준수
[본조신설 2020.12.22]
조항 인쇄
제29조 (소프트웨어 산출물 제공) ① 정보화사업을 추진하는 부서의 장은 용역업체가「용역계약일반조건」(기획재정부 계약예규) 제56조에 따른 지식재산권을 행사하기 위하여 소프트웨어 산출물의 반출을 요청할 경우 제안요청서 또는 계약서에 명시된 누출금지정보에 해당하지 아니하면 제공하여야 한다.
② 정보화사업을 추진하는 부서의 장은 제1항에 따라 소프트웨어 산출물을 용역업체에 제공할 경우 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비에 저장되어 있는 누출금지정보를 완전 삭제하여야 하며 업체로부터 누출금지정보가 완전 삭제되었다는 대표자 명의의 확약서를 받아야 한다.
③ 정보화사업을 추진하는 부서의 장은 용역업체가 소프트웨어 산출물을 제3자에게 제공하고자할 경우 제공하기 이전에 승인을 받도록 하여야 한다.
④ 그 밖에 소프트웨어 산출물 제공과 관련한 사항은「소프트웨어사업 관리감독에 관한 일반기준(과학기술정보통신부 고시)」을 준수하여야 한다.
조항 인쇄
제30조 (누출금지정보 유출시 조치) ① 정보화사업을 추진하는 부서의 장은 용역업체가 제안요청서 또는 계약서에 명시된 누출금지정보를 유출한 사실을 알게 된 경우 업체를 대상으로 계약 위반에 따른 조치를 취하여야 한다. 이 경우 용역업체의 누출금지정보 유출 사실을 알게 된 정보화사업을 추진하는 부서의 장 또는 사업과 관계된 임직원은 즉시 정보보안담당관에게 보고하여야 한다.
② 제1항에 따라 용역업체의 누출금지정보 유출 사실을 알게되거나 보고를 받은 이사장은 그 사실을 국토교통부장관 및 국가정보원장에게 통보하여야 하고 직접 또는 국토교통부장관을 통하여 「국가를 당사자로 하는 계약에 관한 법률 시행령」제76조 및「지방자치단체를 당사자로 하는 계약에 관한 법률 시행령」제92조에 따라 입찰 참가자격 제한 등 관련조치를 취하여야 한다.
제4절 보안적합성 검증
조항 인쇄
제31조 (대상 제품) 정보화사업을 추진하는 부서의 장은 제20조제1항제3호에 따른 보안기능이 있는 정보통신제품을 도입하는 경우 실제 적용ㆍ운용 이전에 안전성을 확인하기 위하여 보안적합성 검증을 받아야 한다. <개정 2020.12.22>
[제목개정 2020.12.22]
조항 인쇄
제32조 (검증기관 및 신청) ① 정보화사업을 추진하는 부서의 장은 제31조에 따른 보안적합성 검증을 받고자 할 경우 정보보안담당관에게 검증을 신청하여야 한다. <개정 2020.12.22>
② 정보보안담당관은 자체 검토 후 국토교통부장관에게 검증을 신청하여야 한다. <개정 2020.12.22>
③ 정보보안담당관은 필요하다고 판단하는 경우 국토교통부장관의 승인하에 자체적으로 검증을 실시할 수 있다. <개정 2020.12.22>
[제목개정 2020.12.22]
조항 인쇄
제33조 (검증 신청시 제출물) 정보화사업을 추진하는 부서의 장은 제32조에 따라 보안적합성 검증을 신청할 경우 정보보안담당관에게 [별표 3] 의 보안적합성 검증 신청시 제출물에 해당하는 문서 등을 제출하여야 한다. <개정 2020.12.22>
[제목개정 2020.12.22]
조항 인쇄
제34조 (안전성 시험) ① 검증기관의 장은 보안적합성 검증을 효율적으로 수행하기 위하여 제33조에 따라 제출된 문서 내용의 적절성을 검토하여야 한다.
② 검증기관의 장은 검증신청 제품에 대하여 보안기능의 정상 동작여부 등 안전성을 시험하여야 한다. 이 경우 검증기관의 장은 시험에 필요한 추가 자료 및 장비를 요청할 수 있다.
③ 이사장은 제2항에 따른 안전성 시험 등 관련 업무를 국토교통부장관을 경유하여 한국인정기구에 의해 국제표준(ISO/IEC 17025)에 따라 인정받은 시험기관에게 의뢰할 수 있다.
④ 검증기관의 장은 검증대상 제품의 제출 지연 등의 사유로 시험을 진행할 수 없을 경우 검증 절차를 중단할 수 있다.
조항 인쇄
제35조 (검증결과 통보 및 조치) ① 검증기관의 장은 제34조에 따른 제품의 안전성 시험을 완료한 경우 적합여부ㆍ개선방안 등 검증 결과를 검증을 신청한 부서의 장에게 통보하여야 한다.
② 제1항에 따라 제품의 보안기능 보완 등 개선 조치가 필요하다고 통보받은 부서의 장은 해당 조치를 실시하고 그 결과를 정보보안담당관에게 제출하여야 한다.
조항 인쇄
제36조 (취약점 조치) 정보화사업을 추진하는 부서의 장은 보안적합성 검증이 완료된 제품에서 새로운 취약점이 발견된 경우 이를 제거 또는 보완하고 그 결과를 정보보안담당관 및 국토교통부장관을 경유하여 국가정보원장에게 통보하여야 한다.
조항 인쇄
제37조 (형상변경 및 용도변경시 조치) 정보화사업을 추진하는 부서의 장은 보안적합성 검증이 완료된 제품의 보안기능 등 형상 변경이 필요하거나 도입 목적 이외 용도로 운용이 필요한 경우 검증 기관의 장과 협의하여 추가 검증 등 필요한 조치를 취하여야 한다.
조항 인쇄
제38조 (도입현황 제출) ① 정보화사업을 추진하는 부서의 장은 해당 분기 내 도입한 제20조에 해당하는 정보통신제품에 대하여 [별지 제3호 서식]에 따른 정보통신제품 도입확인서(현황)를 매 분기 말에 정보보안담당관에게 제출하여야 한다. <개정 2020.12.22>
② 정보보안담당관은 제1항에 따라 정보화사업을 추진하는 부서의 장으로부터 제출받은 현황 등을 국토교통부장관에게 제출하여야한다. <개정 2020.12.22>
제3장 정보통신망 및 정보시스템 보안
제1절 정보통신망 보안
조항 인쇄
제39조 (내부망ㆍ인터넷망 분리) ① 정보보안담당관은 내부망과 인터넷망을 분리ㆍ운영하여야 한다.
② 정보보안담당관은 내부망과 인터넷망을 분리ㆍ운영하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 침입차단ㆍ탐지시스템 설치 등 비(非)인가자 침입 차단대책
2. 네트워크 접근관리시스템 설치 등 비(非)인가 장비의 내부망 접속 차단대책
3. 내부망 정보시스템의 인터넷 접속 차단대책
4. 내부망과 인터넷망간 안전한 자료전송 대책
5. 기타 국가정보원장이 배포한 국가ㆍ공공기관 업무전산망 분리 및 자료전송 보안가이드라인 에서 제시하는 보안대책
③ 정보보안담당관은 정보시스템에 부여되는 IP주소를 체계적으로 관리하여야하며 비(非)인가자로부터 내부망을 보호하기 위하여 네트워크주소변환기(NAT)를 이용하여 사설 IP주소체계를 구축ㆍ운영하여야 한다. 또한 IP주소별로 정보시스템 접속을 통제하여 비(非)인가 기기에 의한 내부망 접속을 차단하여야 한다.
④ 정보보안담당관은 분리된 내부망과 인터넷망간 자료전송을 위한 접점이 불가피한 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 침입차단ㆍ탐지시스템 설치ㆍ운용
2. 내부망과 인터넷망간 접점 최소화
3. 내부망과 인터넷망간 일방향 전송장비 등을 이용한 자료전송체계를 구축ㆍ운영하고 원본파일은 3개월 이상, 전송기록은 6개월 이상 유지
4. 정기적으로 전송실패 기록을 확인하고 악성코드 유입여부 등 점검
5. 내부망 자료를 인터넷망으로 전송할 경우 부서 분임정보보안담당관 또는 결재권자의 사전 또는 사후 승인절차 마련
⑤ 정보보안담당관은 제1항에도 불구하고 예산 부족 등 사유로 부득이한 경우 장관 및 국가정보원장과 협의하여 내부망과 인터넷망을 분리하지 아니할 수 있다. 이 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 정보시스템 및 개별사용자 PC 영역 등에 대한 접근 통제대책
2. 인터넷 PC의 악성코드 감염 최소화를 위한 인터넷 사용 통제대책
3. 인터넷 PC의 악성코드 감염에 따른 내부망으로의 피해확산 차단대책
4. 사이버공격 탐지ㆍ대응 등 안전한 업무환경을 위한 보호대책
⑥ 정보보안담당관은 공단 내부망과 인터넷망의 IP주소 현황을 정기적으로 확인하고 갱신하여야 한다.
조항 인쇄
제40조 (클라우드컴퓨팅 보안) ① 정보화사업을 추진하는 부서의 장은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제12조에 따라 클라우드컴퓨팅을 자체 구축ㆍ운영하고자 할 경우 국가정보원장이 배포한「국가ㆍ공공기관 클라우드 컴퓨팅 보안가이드라인」에 명시된 기관 자체 클라우드컴퓨팅 구축 보안기준에 따라 보안대책을 수립ㆍ시행하여야 한다.
② 정보화사업을 추진하는 부서의 장은 민간 클라우드컴퓨팅서비스를 이용하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.
1. 국내에 위치한 정보시스템에 데이터가 저장되는 서비스로서 일반 이용자용 서비스 영역과 물리적으로 분리되어 제공되는 서비스 영역(이하 "공공 전용(專用) 클라우드"라 한다)에 한하여 활용
2. 과학기술정보통신부장관이 고시한 「클라우드컴퓨팅서비스 정보보호에 관한 기준」에 부합하는 서비스 선정
3. 국가정보원장이 배포한「국가ㆍ공공기관 클라우드 컴퓨팅 보안 가이드라인」에서 제시하는 민간 클라우드컴퓨팅서비스 이용 보안기준 및 행정안전부장관이 배포한「행정ㆍ공공기관 민간 클라우드 이용 가이드라인」에 따른 절차 이행
③ 공단의 내부망과 연동된 공공 전용(專用) 클라우드는 이 지침을 적용함에 있어 공단의 내부망으로 본다.
④ 공단 인터넷망과 연동된 공공 전용(專用) 클라우드는 이 지침을 적용함에 있어 공단의 인터넷망으로 본다.
⑤ 제2항에 따라 민간 클라우드컴퓨팅서비스를 이용하는 정보화사업을 추진하는 부서의 장은 클라우드컴퓨팅서비스제공자에 의하여 누출금지정보가 유출된 경우 제30조에 따른 조치를 취하여야 한다.
조항 인쇄
제41조 (보안ㆍ네트워크장비 보안) ① 정보화사업을 추진하는 부서의 장은 침입차단ㆍ탐지시스템, 스위치ㆍ라우터 등 공단 정보통신망 구성 또는 정보보안 정책 전반에 영향을 미치는 보안ㆍ네트워크장비를 설치ㆍ운용하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다. <개정 2020.12.22>
1. 물리적으로 안전한 장소에 설치하여 비(非)인가자의 무단접근 통제
2. 콘솔에서 관리함을 원칙으로 하되, 다음 각 목의 경우 공단 내 지정 단말기로부터의 접속ㆍ관리 허용 <개정 2020.12.22>
가. 장비 관리자의 접속 <신설 2020.12.22>
나. 제27조의2제2항 단서에 따른 공단 내 용역업체 작업장소에서의 접속 <신설 2020.12.22>
3. 최초 설치할 경우 디폴트(default) 계정은 삭제하거나 변경 사용하고 장비 관리를 위한 관리자 계정을 별도로 생성ㆍ운영
4. 불필요한 서비스 포트와 개별사용자 계정은 차단 및 삭제
5. 펌웨어 무결성과 컴퓨터 운영체제ㆍ소프트웨어의 취약점 및 버전 업데이트 여부를 정기적으로 점검하고 최신 버전으로 유지
② 보안ㆍ네트워크장비 관리자는 로그기록을 1년 이상 유지하여야 하고 비(非)인가자의 접속여부를 정기적으로 점검하여 그 결과를 정보보안담당관에게 통보하여야 한다. <개정 2020.12.22>
③ 보안ㆍ네트워크장비 관리자는 침입차단ㆍ탐지시스템의 침입차단ㆍ탐지규칙(rule)의 생성근거를 유지하고 정기적으로 필요성 여부를 점검ㆍ갱신하여야 한다. <개정 2020.12.22>
[제목개정 2020.12.22]
조항 인쇄
제42조 (무선랜 보안) ① 분임정보보안담당관은 내부망을 제외한 정보통신망에서 다음 각 호의 경우와 같이 청사 내에 무선랜(WiFi)을 구축ㆍ운용할 수 있다.
1. 공단인터넷망에 중계기(AP)를 설치하여 제72조제1항에 따라 해당 기관의 장이 지급한 단말기의 접속만을 허용하는 업무용 무선랜
2. 상용 인터넷망에 중계기(AP)를 설치하여 제77조제1항에 따라 반입한 직원등의 개인 소유 이동통신단말기의 접속만을 허용하는 무선랜
3. 상용 인터넷망에 중계기(AP)를 설치한 외부인 전용(專用) 무선랜
② 분임정보보안담당관은 제1항에 따라 무선랜을 구축ㆍ운용하고자 할 경우 국가정보원장이 배포한 「국가ㆍ공공기관의 무선랜 구축 보안가이드라인」을 준수하여 보안대책을 수립ㆍ시행하여야 한다.
③ 제2항에 따른 보안대책을 수립할 경우 제1항제1호 및 제2호에 따른 무선랜에 대하여는 다음 각 호의 사항을 포함하여야 한다.
1. 네트워크 이름(SSID) 브로드캐스팅(broadcasting) 금지
2. 추측이 어렵고 복잡한 네트워크 이름(SSID) 사용
3. WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화
4. 비(非)인가 단말기의 무선랜 접속 차단 및 무선랜 이용 단말기를 식별하기 위한 IP주소 할당기록 등 유지
5. IEEE 802.1X, AAA(Authentication Authorization Accounting) 등의 기술에 따라 상호 인증을 수행하는 무선랜 인증제품 사용
6. 무선침입방지시스템 설치 등 침입 차단대책
7. 기관의 내부망 정보시스템 또는 인접해 있는 다른 기관의 정보시스템이 해당 무선랜에 접속되지 아니하도록 하는 기술적 보안대책
8. 그 밖에 무선랜 단말기ㆍ중계기(AP) 등 구성요소별 분실ㆍ탈취ㆍ훼손ㆍ오용 등에 대비한 관리적ㆍ물리적 보안대책
④ 부서 분임정보보안담당관은 제2항 및 제3항에 따른 보안대책의 적절성을 수시로 점검ㆍ보완하여야 한다.
조항 인쇄
제43조 (이동통신망 보안) ① 정보화사업을 추진하는 부서의 장은 이동통신망(HSDPAㆍWCDMAㆍLTEㆍ5G 등)을 이용하여 시스템을 구축하거나 중요자료를 소통하고자 할 경우 암호화 및 비인가 단말기의 이동통신망 접속 차단 등 기술적 보안대책을 수립ㆍ시행하여야 한다.
② 정보화사업을 추진하는 부서의 장은 제1항에 따라 이동통신망을 이용한 시스템을 구축ㆍ운용할 경우 해당 기관의 정보통신망과 혼용되지 않도록 하여야 한다.
조항 인쇄
제44조 (영상회의시스템 보안) ① 정보화사업을 추진하는 부서의 장은 영상회의시스템을 구축ㆍ운용하고자 할 경우 통신망(국가정보통신망ㆍ전용(專用)선ㆍ인터넷 등) 암호화 등 보안대책을 수립ㆍ시행하여야 한다.
② 기타 영상회의시스템 보안과 관련한 사항은 국가정보원장이 배포한「안전한 정보통신 환경 구현을 위한 네트워크 구축 가이드라인」을 준수하여야 한다.
③ 민간 클라우드컴퓨팅서비스 기반의 영상회의 서비스를 이용하고자 할 경우 제40조제2항을 준수하여야 한다. <신설 2020.12.22>
④ 기타 영상회의 보안과 관련한 사항은 국가정보원장이 배포한 「원격업무 통합보안매뉴얼」을 준수하여야 한다. <신설 2020.12.22>
조항 인쇄
제45조 (인터넷전화 보안) ① 정보화사업을 추진하는 부서의 장은 인터넷전화시스템을 구축ㆍ운용하거나 민간 인터넷전화 사업자망을 이용하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 한국정보통신기술협회(TTA) verified ver.4 이상 보안규격으로 인증받은 행정기관용 인터넷전화시스템 설치ㆍ운용
2. 인터넷전화기에 대한 장치 및 사용자 인증
3. 제어신호 및 통화내용 등 데이터 암호화
4. 인터넷전화망과 다른 정보통신망과의 분리
5. 인터넷전화 전용(專用) 침입차단시스템 등 정보보호시스템 설치ㆍ운용
6. 백업체제 구축
② 정보화사업을 추진하는 부서의 장은 민간 인터넷전화 사업자망을 이용할 경우 해당 사업자로 하여금 서비스 제공 구간에 대한 보안대책을 수립하도록 하여야 한다.
③ 기타 인터넷전화 보안과 관련한 사항은 국가정보원장이 배포한「국가ㆍ공공기관 인터넷전화 보안 가이드라인」을 준수하여야 한다.
조항 인쇄
제46조 (인터넷 사용제한) ① 정보보안담당관은 국가비상사태 및 대형 재해ㆍ재난의 발생, 사이버공격 등으로부터 정보통신망과 정보시스템의 정상적인 운영을 보장하기 위하여 임직원에 대한 인터넷 사용을 일부 제한할 수 있다.
② 정보보안담당관은 인터넷망의 효율적인 운영 관리 및 악성코드 유입차단을 위하여 게임ㆍ음란ㆍ도박 등 업무와 관련이 없는 인터넷 이용을 차단하여야 한다.
조항 인쇄
제47조 (외교통신 보안) ① 이사장은 재외공관과 비밀 등 중요자료를 소통하고자 할 경우 국가정보원장이 개발하거나 안전성을 확인한 암호자재를 사용하는 외교정보통신망을 사용하여야 한다.
② 이사장은 재외사무소에 직원을 파견하고자 할 경우 해당 직원에 대하여 파견 이전에 정보시스템 보안관리 방법 등 정보보안교육을 실시하여야 하며 파견 후에는 정보보안업무에 대한 인계인수를 철저히 하여야 한다.
③ 이사장은 주요인사의 외국방문 행사와 관련한 자료 및 장비 등을 수발하고자 할 경우 외교정보통신망 또는 외교행낭 등 안전한 수단을 이용하여야 하며 일반 국제전화ㆍ팩스ㆍ인터넷 등 보안성이 없는 정보통신수단을 이용하여서는 아니 된다.
④ 재외사무소 직원은 업무자료 등 중요정보를 처리·유통하고자 하는 경우에 암호화 등 보안조치를 하여야 한다.
⑤ 기타 외교통신 보안과 관련한 세부사항은 국가정보원장이 제시하는 보안대책을 준수하여야 한다.
조항 인쇄
제48조 (재외사무소 정보보안점검) ① 이사장은 외국에 사무소를 개설ㆍ운영할 경우 정보보안담당관으로 하여금 해당 사무소의 정보통신망 및 정보시스템에 대한 보안관리 실태를 점검하고 취약요인을 개선하도록 하여야 한다.
② 이사장은 제1항에 따른 보안관리 실태 점검을 위하여 필요한 경우 국가정보원장에게 중점 점검사항, 전문인력 지원 등 협조를 요청할 수 있다.
제2절 정보시스템 보안
조항 인쇄
제49조 (정보시스템 보안책임) ① 정보보안담당관은 정보시스템(PCㆍ서버ㆍ네트워크장비ㆍ정보통신기기 등을 포함한다)을 도입ㆍ운용할 경우 해당 정보시스템에 대하여 관리자 및 관리책임자를 지정ㆍ운영 할 수 있다.
② 정보시스템 관리자 및 관리책임자는 서버ㆍ네트워크장비 등 부서가 공동으로 사용하는 정보시스템의 운용ㆍ관리에 대한 보안책임을 진다.
③ 정보시스템 관리책임자는 정보시스템을 실제 운용하는 부서의 장이 되며 관리책임자는 [별지 제4호 서식]에 따른 정보시스템 관리대장을 수기 또는 전자적으로 작성ㆍ관리하여야 한다.
④ 정보시스템 관리책임자는 해당 부서의 [별지 제4호 서식]에 따른 정보시스템관리대장에 정보시스템의 최종 변경 현황을 유지하여야 하며 사본 1부를 분임정보보안담당관을 경유하여 정보보안담당관에게 제출하여야 한다.
⑤ 정보보안담당관은 정보시스템 운용과 관련하여 보안취약점을 발견하거나 보안대책 수립이 필요하다고 판단하는 경우 개별사용자, 정보시스템 관리자 및 관리책임자에게 개선 조치를 요구할 수 있으며 조치가 완료될 때까지 정보시스템의 운용을 일시 제한할 수 있다.
조항 인쇄
제50조 (정보시스템 유지보수) ① 정보시스템 관리책임자는 정보시스템의 유지보수와 관련한 절차, 주기, 문서화 등과 관련한 사항을 자체 내규(또는 지침 등)에 포함하여야 한다. 정보시스템의 유지보수 절차 및 문서화를 수립할 경우 고려사항은 다음 각 호와 같다.
1. 유지보수 인원에 대한 보안서약서 집행, 보안교육 등을 포함한 유지보수인가 절차를 마련하고 인가된 인원만 유지보수에 참여
2. 결함이 의심되거나 발생한 결함, 예방 및 유지보수에 대한 기록 유지
3. 유지보수를 위하여 정보시스템을 원래 설치장소에서 다른 장소로 이동할 경우 통제수단 마련
4. 유지보수 일시 및 담당자 인적사항, 출입통제 조치사항, 작업수행 내용등 기록 유지
② 정보시스템 관리자는 용역업체 등이 유지보수와 관련한 장비ㆍ도구 등을 제27조의2제1항에 따른 공단 내 용역업체 작업장소로 반출ㆍ입할 경우 악성코드 감염여부 및 자료 무단 반출여부 확인 등 보안조치를 실시하고 그 결과를 분임정보보안담당관에게 제출하여야 한다. <개정 2020.12.22>
③ 정보시스템 관리자는 직접 또는 용역업체를 활용하여 정보시스템을 유지보수할 경우 콘솔 또는 지정된 단말기로부터의 접속만을 허용하여야 한다. <개정 2020.12.22>
④ 삭제 <2020.12.22>
⑤ 정보시스템 관리책임자는 소관 정보시스템에 대하여 중요도ㆍ가용성 등에 따라 등급을 분류하고 해당 등급에 맞게 정보 보존 및 관리, 장애관리, 보안관리 등을 수행하여야 한다.
조항 인쇄
제51조 (지정 단말기를 통한 온라인 유지보수) ① 제50조제3항에 따른 지정된 단말기를 통해 유지보수를 함에 있어 정보화사업을 추진하는 부서의 장이 필요하다고 판단하고 용역업체가 다음 각 호에 따른 보안대책에 서면으로 동의하는 경우에 한하여, 정보화사업을 추진하는 부서의 장은 정보보안담당관의 보안성검토 이후 용역업체에게 소관 정보시스템(제41조제1항에 따른 보안ㆍ네트워크장비는 제외한다)에 대하여 인터넷을 통한 온라인 유지보수를 허용할 수 있다. <개정 2020.12.22>
1. 지정된 장소에 설치된 지정된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제 <신설 2020.12.22>
2. 지정 단말기는 제3호에 따른 온라인 용역 통제시스템 접속 전용(專用)으로 운용하고 다른 목적의 인터넷 접속은 차단 <신설 2020.12.22>
3. 공단내 설치된 온라인 용역 통제시스템을 경유하여 유지보수 대상 정보시스템에 접속하는 등 소통구간 보호ㆍ통제 <신설 2020.12.22>
4. 접속사실이 기록된 로그기록을 1년 이상 보관 <신설 2020.12.22>
5. 유지보수 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중에 공단, 국토교통부 및 국가정보원장의 정기 또는 수시 보안점검(불시 점검을 포함한다) 수검 <신설 2020.12.22>
6. 기타 국가정보원장이 배포한 「국가ㆍ공공기관 용역업체 보안관리 가이드라인」에서 제시된 온라인 유지보수에 관련된 보안대책의 준수 <신설 2020.12.22>
② 기타 정보시스템 온라인 유지보수 보안과 관련한 사항은 제26조(용역업체 보안)를 준용한다. <개정 2020.12.22>
[제목개정 2020.12.22]
조항 인쇄
제52조 (서버 보안) ① 정보화사업을 추진하는 부서의 장은 서버를 도입ㆍ운용하고자 할 경우 사이버공격으로 인한 자료 절취 및 위ㆍ변조 등에 대비하여 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 서버 내 저장자료에 대하여 업무별ㆍ자료별 중요도에 따라 개별사용자의 접근권한 차등 부여
2. 개별사용자별 자료 접근범위를 서버에 등록하여 인가여부를 식별하도록 하고 인가된 범위 이외 자료 접근통제
3. 서버 운용에 필요한 서비스 포트 이외 불필요한 서비스 포트 제거 및 관리자용 서비스와 개별사용자용 서비스 분리ㆍ운용
4. 관리자용 서비스 접속시 특정 IP주소가 부여된 관리용 단말기 지정ㆍ운용
5. 서버 설정 정보 및 저장자료에 대한 정기적 백업 실시
6. 데이터베이스에 대하여는 개별사용자의 직접 접속 차단, 개인정보 등 중요정보 암호화 등 데이터베이스별 보안조치 실시
② 서버 관리자는 제1항에 따른 보안대책의 적절성을 수시 확인하여야 하며 연1회 이상 서버 설정 정보와 저장자료의 절취 및 위ㆍ변조 가능성 등 보안취약점을 점검ㆍ보완하여야 한다.
조항 인쇄
제53조 (공개서버 보안) ① 정보화사업을 추진하는 부서의 장은 외부인에게 공개할 목적으로 웹서버 등 공개서버를 구축ㆍ운용하고자 할 경우 내부망과 분리된 영역(DMZ)에 설치하여야 한다.
② 정보시스템 관리책임자는 비(非)인가자의 공개서버 저장자료 절취 및 위ㆍ변조, 분산서비스거부(DDoS) 공격 등에 대비하여 침입차단ㆍ탐지시스템 및 DDoS 대응장비 설치 등 보안대책을 수립ㆍ시행하여야 한다.
③ 공개서버 관리자는 비(非)인가자의 공개서버 내 비공개 정보에 대한 무단접근을 방지하기 위하여 서버에 접근할 수 있는 개별사용자를 제한하고 불필요한 계정은 삭제하여야 한다.
④ 공개서버 관리자는 공개서버 서비스에 필요한 프로그램을 개발ㆍ시험하기 위하여 사용한 도구(컴파일러 등) 및 서비스와 관계가 없는 산출물은 개발 완료 후 삭제하여야 한다.
⑤ 기타 공개서버 보안과 관련한 사항은 제52조(서버 보안)를 준용한다.
조항 인쇄
제54조 (로그기록 유지) ① 정보시스템 관리책임자는 정보시스템의 효율적인 통제ㆍ관리 및 사고 발생시 추적 등을 위하여 로그기록을 유지ㆍ관리하여야 한다.
② 제1항에 따른 로그기록에는 다음 각 호의 사항이 포함되어야 한다.
1. 접속자, 정보시스템ㆍ응용프로그램 등 접속대상
2. 로그온ㆍ오프, 자료의 열람ㆍ출력 등 작업 종류 및 시간
3. 접속 성공ㆍ실패 등 작업 결과
4. 전자우편 사용 등 외부발송 정보 등
③ 정보시스템 관리자는 로그기록을 생성하는 정보시스템의 경우 시간 동기화 프로토콜(NTP) 적용 등을 통해 정확한 기록을 유지하여야 한다.
④ 정보시스템 관리자는 로그기록을 정기적으로 점검하고 점검 결과 비(非)인가자의 접속 시도, 자료의 위ㆍ변조 및 삭제 등 의심스러운 정황이나 위반한 사실을 발견한 경우 즉시 정보보안담당관에게 통보하여야 한다.
⑤ 정보시스템 관리자는 로그기록을 1년 이상 보관하여야 하며 로그기록의 위ㆍ변조 및 외부유출 방지대책을 수립ㆍ시행하여야 한다.
조항 인쇄
제55조 (업무용 통신단말기 보안) ① 정보시스템 관리책임자는 업무용 통신단말기를 이용하여 업무자료 등 중요정보를 소통ㆍ관리하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 통신단말기에 대한 장치 및 개별사용자 인증
2. 제어신호 및 통화내용 등 데이터 암호화
3. 분실ㆍ탈취ㆍ훼손 등에 대비한 관리적ㆍ물리적ㆍ기술적 보안대책
② 정보시스템 관리책임자는 제1항에 따른 보안대책을 수립하기 위하여 정보보안담당관에게 취약점 점검 및 기술 지원을 요청할 수 있다.
③ 정보시스템 관리책임자는 제1항제1호에 따른 통신단말기 개별사용자를 대상으로 인증 및 암호화에 필요한 디지털정보를 발급할 수 없을 경우 국가정보원장이 배포한「정보통신기기 암호기술 적용지침」을 준수하여야 한다.
④ 정보시스템 관리책임자는 주요 보직자가 안전한 통화를 위하여 사용하는 공용(公用) 휴대폰(이하 "보안폰"이라 한다)이 도입된 경우 보안폰이 분실ㆍ훼손되지 않도록 현황을 관리하여야 한다. 이 경우 정보보안담당관은 데이터 암호화 등을 위하여 필요한 소프트웨어의 설치ㆍ유지보수 등을 지원할 수 있다.
조항 인쇄
제56조 (모바일 업무 보안) ① 정보시스템 관리책임자는 휴대폰ㆍ태블릿 PC 등을 이용한 모바일 업무환경(내부 행정업무, 현장 행정업무 및 대민서비스 업무 등)을 구축ㆍ운용하고자 할 경우 보안대책을 수립ㆍ시행하여야 한다.
② 기타 모바일 업무 보안과 관련한 사항은 국가정보원장이 배포한「국가ㆍ공공기관 모바일 활용업무에 대한 보안가이드라인」을 준수하여야 한다.
조항 인쇄
제57조 (사물인터넷 보안) ① 정보화사업을 추진하는 부서의 장은 사물인터넷을 이용한 시스템을 구축ㆍ운용하고자 할 경우 사물인터넷 기기 및 중요 데이터 등을 보호하기 위하여 보안대책을 수립ㆍ시행하여야 한다.
② 정보화사업을 추진하는 부서의 장은 사물인터넷을 이용한 시스템을 구축ㆍ운용하고자 할 경우 내부망과 분리하여야 한다. 다만, 내부망과 연동이 필요한 경우에는 망간 자료전송제품 설치 등 보안대책을 수립하여야 한다.
③ 정보화사업을 추진하는 부서의 장은 사물인터넷 서비스를 위한 소프트웨어를 개발할 경우 제27조(소프트웨어 개발보안)를 준수하여야 한다.
④ 기타 사물인터넷 보안과 관련한 사항은 국가정보원장이 배포한 「국가ㆍ공공기관 사물인터넷(IoT) 보안가이드라인」을 준수하여야 한다.
조항 인쇄
제58조 (원격근무 보안) ① 정보보안담당관은 임직원의 재택근무, 출장지 현장 근무, 또는 파견 근무시 인터넷을 통해 본인 인증을 거쳐 공단 정보시스템에 접속하여 온라인상으로 업무를 수행(이하 "원격근무"라 한다)하게 할 수 있다. <개정 2020.12.22>
② 제1항에 따른 원격근무를 위해 접속할 수 있는 공단 정보시스템은 다음 각 호와 같다. <개정 2020.12.22>
1. 공단 인터넷망에 위치한 서버 <신설 2020.12.22>
2. 제39조제2항제4호에 따른 방법을 통해 접속할 수 있는 공단 내부망 서버 <신설 2020.12.22>
③ 제1항에 따른 원격근무로 취급할 수 있는 업무자료의 범위는 공개 및 비공개 업무자료로 한다. <개정 2020.12.22>
④ 정보보안담당관은 원격근무를 시행하고자 할 경우 다음 각 호의 사항을 포함한 보안대책이 강구된 정보시스템(이하 "원격근무시스템"이라 한다)을 구축ㆍ운영하여야 한다. <개정 2020.12.22>
1. 검증필 암호모듈이 탑재된 정보보호시스템을 사용해 원격근무시스템과 원격근무자의 단말기 간 소통구간 암호화 <신설 2020.12.22>
2. 문서 암호화제품(DRM) 사용 등 문서 보호대책 강구 <신설 2020.12.22>
3. 원격근무자를 식별ㆍ인증하기 위하여 공인인증서, 생체인증 기술 및 일회용 비밀번호 생성기(OTP) 등 보안성을 강화한 사용자 인증방식 적용 <신설 2020.12.22>
4. 원격근무자로 하여금 원격근무시스템 접속과정에서 제1호부터 제3호까지의 보안대책을 준수토록 조치 <신설 2020.12.22>
5. 원격근무시스템에 대한 보안취약점 정기 점검 <신설 2020.12.22>
⑤ 원격근무자는 원격근무용 단말기(개인 소유의 정보통신기기를 포함한다)의 보안을 위하여 취하는 다음 각 호의 조치에 적극 협조하여야 한다. <개정 2020.12.22>
1. 제4항에 따라 제공되는 보안소프트웨어 설치ㆍ운영 <신설 2020.12.22>
2. 사이버공격 등으로 인한 자료유출 사고 발생 시 정보보안담당관이 요청하는 점검 및 제134조제3항에 따른 자료제출 요청 협력 <신설 2020.12.22>
3. 공단에서 지급받은 단말기의 경우 제72조에 따른 단말기 보안대책 준수 <신설 2020.12.22>
⑥ 정보보안담당관은 원격근무자에게 제5항에 따른 보안조치 등이 포함된 보안서약서를 징구하고 직위ㆍ임무에 부합한 정보시스템 접근권한 부여 및 보직변경ㆍ퇴직 등 변동사항이 발생시 접근권한 조정 등의 절차를 마련ㆍ시행하여야 한다. <개정 2020.12.22>
⑦ 기타 원격근무 보안과 관련한 사항은 국가정보원장이 배포한 「원격업무 통합보안매뉴얼」을 준수하여야 한다. <개정 2020.12.22>
조항 인쇄
제59조 (국제회의 보안) ① 정보시스템 관리책임자는 국제협상 등 중요 국제회의를 위하여 PCㆍ노트북 등 정보시스템을 국외 현지에서 설치ㆍ운용하고자 할 경우 관련 정보ㆍ자료가 유출되지 아니하도록 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 설치장소에 대한 물리적 접근통제
2. 정보시스템 접근 통제 및 분실 방지 등 보안관리
3. 정보시스템 저장자료 암호화 등 자료 접근통제
4. 전화기ㆍ팩스 등 통신장비에 대한 도청방지
② 국제회의 참가자는 회의 상대방이 제공한 PCㆍ노트북ㆍ휴대용 저장매체등 정보시스템을 사용하여서는 아니 된다.
조항 인쇄
제60조 (저장매체 불용처리) ① 정보시스템 관리책임자는 정보시스템 또는 저장매체(하드디스크ㆍ반도체 기반 저장장치(SSD) 등)를 외부수리ㆍ교체ㆍ반납ㆍ양여ㆍ폐기ㆍ불용 처리하고자 할 경우 정보시스템 및 저장매체에 저장된 자료가 외부에 유출되지 않도록 자료 삭제 등 보안조치를 실시하여야 한다. 이 경우 정보시스템 관리자 및 개별사용자는 분임정보보안담당관과 협의하여야 한다.
② 제1항에 따라 자료를 삭제할 경우 해당 기관의 실정에 맞게 저장매체별ㆍ자료별 차별화된 삭제 방법을 적용할 수 있다.
③ 비밀ㆍ대외비를 저장하거나 암호화 키를 저장한 저장매체는 소각ㆍ파쇄ㆍ용해 등의 방법으로 완전 파괴하여야 한다.
④ 기타 정보시스템 및 저장매체의 불용처리와 관련한 사항은 국가정보원장이 배포한 「정보시스템 저장매체 불용처리지침」을 준수하여야 한다.
제3절 자료 보안
조항 인쇄
제61조 (비밀의 전자적 처리) ① 이사장은 국가정보원「보안업무규정」에 따라 비밀의 생산, 분류, 보관, 열람, 출력, 송ㆍ수신, 이관, 파기 등을 전자적으로 처리할 수 있다.
② 이사장은 비밀을 전자적으로 처리하는 전(全) 과정에서 기밀성, 무결성, 인증, 부인방지 등 보안성을 확보하여야 하며 이를 위하여 국가정보원장이 개발하거나 안전성을 확인한 암호자재를 사용하여야 한다.
③ 제1항에 따라 비밀을 전자적으로 처리할 경우 내부망과 인터넷망이 물리적으로 분리된 기관은 내부망 PC에서 비밀을 전자적으로 처리할 수 있으며 그 밖의 기관은 내부망 및 인터넷망과도 분리된 별도의 비밀 작업용 PC에서 처리하여야 한다.
④ 종이문서로 출력된 비밀의 관리에 관하여는 국가정보원 「보안업무규정」을 준수하여야 한다.
조항 인쇄
제62조 (비밀관리시스템 운용) ① 이사장은 비밀을 전자적으로 안전하게 처리하기 위하여 국가정보원장이 개발ㆍ보급한 비밀관리시스템을 도입ㆍ운용할 수 있다.
② 비밀관리시스템을 구축한 경우 이사장은 비밀의 생산ㆍ보관ㆍ유통 등 전반에 대하여 비밀관리시스템을 활용하여 비밀을 안전하게 관리하여야 한다.
③ 이사장은 비밀관리시스템을 자체적으로 개발ㆍ운용하고자 할 경우 제63조에 따른 비밀의 전자적 처리 규격을 준수하여 개발하여야 한다.
조항 인쇄
제63조 (대외비의 전자적 처리) ① 분임정보보안담당관은 전자적으로 처리하고자 할 경우 보호기간이 만료되지 않은 대외비는 국가정보원장이 안전성을 확인한 상용 암호모듈을 사용하여 위조·변조·훼손 및 유출 등을 방지하기 위한 보안대책을 강구하여야 하며, 보호기간이 만료된 대외비는 제64조에 따른 비공개 업무자료의 처리 기준을 준용하여야 한다.
② 분임정보보안담당관은 업무와 관계되지 아니한 사람이 대외비를 열람, 복제ㆍ복사, 배부할 수 없도록 보안대책을 수립ㆍ시행하여야 한다.
조항 인쇄
제64조 (비공개 업무자료 처리) ① 임직원은 비공개 업무자료를 다음 각 호의 어느 하나에 해당하는 방법으로만 처리하여야 한다.
1. 소속 또는 근무 중인 공단의 내부망 PC 및 서버에 작성 및 저장ㆍ보관
2. 공단이 지급한 휴대용 저장매체에 작성 및 저장ㆍ보관
3. 공단에서 자체적으로 구축ㆍ운용하는 전자우편시스템(이하 "공단 전자우편"이라 한다), 공단 직원이 다른 직원등과 자료를 공유하거나 소통하기 위하여 사용하는 전용(專用) 소프트웨어(이하 "공단 전용(專用) 메신저"라 한다), 국회사무처가 구축ㆍ운영하는 의정자료전자유통시스템 등 기관간 업무자료의 소통을 이용한 수ㆍ발신 <개정 2020.12.22>
4. 그 밖에 다른 법규에 따라 허용되는 처리방법
② 임직원은 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우 공단이 지급한 인터넷 PC 또는 출장용 노트북을 이용하여 비공개 업무자료를 처리할 수 있다.
1. 공단 전자우편, 공단 전용(專用) 메신저의 발신 기능을 이용하여 제3조제1항제13호나목의 문장 또는 문구 작성 <개정 2020.12.22>
2. 공단 전자우편, 공단 전용(專用) 메신저로 수ㆍ발신하는 과정에서의 일시적 저장
3. 제39조제5항에 따른 인터넷망 PC에 작성ㆍ저장 <개정 2020.12.22>
4. 「감염병의 예방 및 관리에 관한 법률」 제34조제1항에 따른 감염병 위기관리 조치 등 대규모 질병ㆍ재난 발생 등 특별한 사정으로 재택근무를 명받았으나 소속 또는 근무중인 기관에 제58조제4항에 따른 원격근무시스템이 구축되지 아니한 경우 <신설 2020.12.22>
5. 제44조제3항에 따른 민간 클라우드컴퓨팅서비스 기반의 영상회의 서비스 이용을 위한 일시적 저장ㆍ공유 <신설 2020.12.22>
③ 임직원은 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우 개인이 소유한 PCㆍ휴대용 저장매체ㆍ휴대폰 등을 이용하여 비공개 업무자료를 처리할 수 있다.
1. 공단 전자우편, 공단 전용(專用) 메신저의 발신 기능을 이용하여 제3조제1항제13호나목의 문장 또는 문구 작성 <개정 2020.12.22>
2. 공단 전자우편, 공단 전용(專用) 메신저로 수ㆍ발신하는 과정에서의 일시적 저장
3. 국가정보원장이 안전성을 확인한 원격근무시스템에 접속하여 작성
4. 국민의 생명ㆍ신체, 국가안보 및 공공의 안전 등을 위하여 긴급히 작성, 저장, 수ㆍ발신이 필요하다고 소속 부서의 장이 인정하는 경우 <개정 2020.12.22>
④ 임직원은 제3항제4호에 해당하는 경우를 제외하고는「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제2호에 따른 정보통신서비스(전자우편ㆍ메신저 등을 포함한다) 또는 국외에서 제공하는 이와 유사한 서비스(이하 "상용 정보통신서비스"라 한다)를 이용하여 비공개 업무자료를 처리하여서는 아니 된다.
⑤ 임직원은 제2항부터 제4항까지에 따라 작성ㆍ저장한 비공개 업무자료는 활용 후 즉시 삭제하여야 한다.
조항 인쇄
제65조 (행정전자서명 인증서 등 관리) ① 임직원은 비공개 업무자료를 처리하기 위하여「전자정부법」제29조에 따른 행정전자서명의 인증서(이하 "행정전자서명 인증서"라 한다)를 인터넷 PC 또는 개인이 소유한 PCㆍ휴대용 저장매체ㆍ휴대폰 등에 저장ㆍ보관할 수 있다.
② 임직원은 행정전자서명 인증서 및 인증서의 비밀번호, 공단 전자우편 비밀번호 등을 상용 정보통신서비스를 이용하여 수ㆍ발신하거나 저장ㆍ보관하여서는 아니 된다.
조항 인쇄
제66조 (비공개 업무자료 유출방지) ① 정보보안담당관은 제64조에 따른 비공개업무자료 처리 절차 준수여부를 관리ㆍ통제할 수 있는 보안체계를 구축ㆍ운영하여야 한다.
② 정보보안담당관은 임직원이 공단 전용(專用) 메신저 이용을 활성화할 수 있도록 노력하여야 한다.
조항 인쇄
제67조 (공개 업무자료 처리) 임직원은 관계 법규에 위배되지 않는 범위 내에서 인터넷 PC나 개인이 소유한 PCㆍ휴대용 저장매체ㆍ휴대폰, 상용 정보통신서비스 등을 이용하여 공개 업무자료를 처리할 수 있다.
조항 인쇄
제68조 (홈페이지 등 게시자료 보안) ① 정보시스템 관리책임자는 비공개 업무자료가 홈페이지 또는 외부 웹사이트(이하 "홈페이지 등"이라 한다.)에 무단 게시되지 않도록 게시자료의 범위, 자료의 게시방법 등을 규정한 자체 홈페이지 정보공개 보안지침을 수립ㆍ시행하여야 한다.
② 분임정보보안담당관은 해당 부서에서 홈페이지 등에 업무자료를 게시하고자 할 경우 자료 내용을 사전 검토하여 비공개 업무자료가 게시되지 아니하도록 하여야 한다.
③ 분임정보보안담당관은 소속 부서에서 운용하는 홈페이지에서 비공개업무자료가 무단 게시되었는지 여부를 정기적으로 점검하여야 한다.
④ 정보보안담당관은 홈페이지 등에 비공개 업무자료가 무단 게시된 사실을 알게 된 경우 즉시 삭제 또는 차단 등 보안조치를 취하여야 한다.
조항 인쇄
제69조 (정보통신망 현황자료 관리) ① 정보보안담당관은 정보통신망과 관련한 다음 각 호에 해당하는 자료를 국가정보원「보안업무규정 시행규칙」제17조에 의거 국가정보원장이 배포한 비밀세부분류지침 에 따라 비밀로 분류ㆍ관리하여야 한다.
1. 국방 연구개발 및 정보통신 관련자료
2. 암호자재 운용현황
3. 국가보안시설(보호장비를 포함한다)의 운영ㆍ관리에 필요한 정보통신망구성현황(IP주소 할당현황을 포함한다) 및 그에 대한 취약점 분석ㆍ평가결과물(「정보통신기반 보호법」제9조에 따른 취약점 분석ㆍ평가결과를 포함한다)
4. 그 밖에 제2항 각 호에 해당하는 자료 중에서 국가정보원장이 비밀로 분류할 것을 요청한 자료
② 정보보안담당관은 제1항 각 호에 해당하는 자료를 제외한 다음 각 호에 해당하는 자료를「공공기관의 정보공개에 관한 법률」제9조제1항에 따른 비공개 대상 정보로 지정ㆍ관리하여야 한다.
1. 정보통신망 구성현황(IP주소 할당현황을 포함한다)
2. 정보시스템 운용현황
3. 취약점 분석ㆍ평가 결과물(「정보통신기반 보호법」제9조에 따른 취약점분석ㆍ평가결과를 포함한다)
4. 주요 정보화사업 추진현황
③ 정보보안담당관은 제1항 및 제2항에도 불구하고 다른 기관과 협력하여 정보통신망 및 정보시스템 운용 또는 정보보안업무를 수행할 필요가 있는 경우 제1항 및 제2항 각 호에 해당하는 자료를 다른 기관의 장에게 제공할 수 있다.
조항 인쇄
제70조 (빅데이터 보안) ① 정보화사업을 추진하는 부서의 장은 빅데이터와 관련한 시스템을 구축ㆍ운용하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 데이터의 수집 출처 확인 및 데이터 오.남용 방지
2. 데이터 수집을 위한 정보통신망 보안체계 수립
3. 수집된 데이터의 저장 및 보호체계 수립
4. 중요 데이터 암호화
5. 사용자별(데이터 제공자ㆍ수집자ㆍ분석요청자 및 분석결과 제공자 등) 권한부여 체계 수립
6. 데이터 파기절차 수립
② 그 밖에 빅데이터 보안과 관련한 사항은 행정안전부장관이 고시한「개인정보의 안전성 확보조치 기준」및 국가정보원장이 배포한「국가ㆍ공공기관 빅데이터 보안 가이드라인」을 준수하여야 한다.
제4절 사용자 보안
조항 인쇄
제71조 (개별사용자 보안) ① 정보시스템 관리책임자는 소관 정보통신망 또는 정보시스템의 사용과 관련하여 다음 각 호의 사항을 포함한 개별사용자 보안에 관한 절차 및 방법을 마련하여야 한다.
1. 직위ㆍ임무별 정보통신망 접근권한 부여 심사
2. 비밀 등 중요자료 취급시 비밀취급 인가, 보안서약서 징구 등 보안조치
3. 보직변경, 퇴직 등 변동사항 발생시 정보시스템 접근권한 조정
② 개별사용자는 본인이 PC 등 정보시스템을 사용하거나 정보통신망에 접속하는 행위와 관련하여 스스로 보안책임을 진다.
조항 인쇄
제72조 (단말기 보안) ① 개별사용자는 공단에서 지급받은 PCㆍ노트북ㆍ휴대폰ㆍ스마트패드 등 단말기(이하 "단말기"라 한다) 사용과 관련한 일체의 보안관리 책임을 진다.
② 개별사용자는 단말기에 대하여 다음 각 호에 해당하는 보안대책을 준수하여야 한다.
1. CMOSㆍ로그온ㆍ자료 암호화 비밀번호의 정기적 변경 사용
2. 단말기 작업을 10분 이상 중단시 비밀번호 등을 적용한 화면보호 조치
3. 최신 백신 소프트웨어 설치
4. 운영체제 및 응용프로그램에 대한 최신 보안패치 유지
5. 출처, 유통경로 및 제작자가 불분명한 응용프로그램의 사용 금지
6. 인터넷을 통해 자료(파일) 획득시 신뢰할 수 있는 인터넷사이트를 활용하고 자료(파일) 다운로드 시 최신 백신 소프트웨어로 검사 후 활용
7. 인터넷 파일공유ㆍ메신저ㆍ대화방 프로그램 등 업무상 불필요한 프로그램의 설치 금지 및 공유 폴더 삭제
8. 웹브라우저를 통해 서명되지 않은 액티브-X 등이 다운로드ㆍ실행되지 않도록 보안 설정
9. 공단 인터넷 PC에서는 특별한 사유가 없는 한 문서프로그램을 읽기 전용(專用)으로 운용
10. 그 밖에 국가정보원장이 안전성을 확인하여 배포한 프로그램의 운용 및 보안권고문 이행
③ 부서 분임정보보안담당관은 정보보안담당관 총괄 하에 개별사용자의 제2항 각 호에 해당하는 보안대책의 준수여부를 정기적으로 점검하고 개선 조치하여야 한다.
조항 인쇄
제73조 (계정 관리) ① 정보시스템 관리책임자는 개별사용자에게 소관 정보통신망 또는 공용(公用) 정보시스템의 접속에 필요한 사용자 계정(아이디)을 부여하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.
1. 개별사용자별 또는 그룹별 접근권한 부여
2. 외부인에게 계정을 부여하지 아니하되 업무상 불가피한 경우 분임정보보안담당관 책임 하에 보안조치 후 필요한 업무에 한하여 일정기간 동안 접속 허용
3. 특별한 사유가 없는 한 용역업체 인원에게 관리자 계정 부여 금지
4. 비밀번호 등 식별 및 인증 수단이 없는 사용자 계정은 사용 금지
② 공용(公用) 정보시스템 관리책임자는 개별사용자가 시스템 접속(로그온)에 5회이상 실패할 경우 접속이 중단되도록 시스템을 설정하고 비(非)인가자의 침입여부를 점검하여야 한다.
③ 공용(公用) 정보시스템 관리책임자는 개별사용자의 보직변경, 퇴직, 계약종료등 변동사항이 발생할 경우 신속히 사용자 계정을 삭제하거나 부여된 접근권한을 회수하여야 한다.
④ 공용(公用) 정보시스템 관리책임자는 사용자 계정 부여 및 관리의 적절성을 연2회 이상 점검하고 그 결과를 분임정보보안담당관에게 통보하여야 한다.
⑤ 공용(公用) 정보시스템 관리책임자는 제1항 및 제3항에 의한 접근권한 부여,변경, 회수 또는 삭제 등에 대한 내역을 기록하고 3년 이상 보관하여야 한다.
조항 인쇄
제74조 (비밀번호 관리) ① 개별사용자 및 공용(公用) 정보시스템 관리자는 각종 비밀번호를 다음 각 호에 해당하는 사항을 반영하고 숫자ㆍ문자ㆍ특수문자등을 혼합하여 안전하게 설정하고 정기적으로 변경ㆍ사용하여야 한다.
1. 사용자 계정(아이디)과 동일하지 않은 것
2. 개인 신상 및 부서 명칭 등과 관계가 없는 것
3. 일반 사전에 등록된 단어의 사용을 피할 것
4. 동일한 단어 또는 숫자를 반복하여 사용하지 말 것
5. 사용된 비밀번호는 재사용하지 말 것
6. 동일한 비밀번호를 여러 사람이 공유하여 사용하지 말 것
7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능을 사용하지 말 것
② 공용(公用) 정보시스템 관리자는 서버 등 정보시스템에 보관되는 비밀번호가 복호화 되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 공용(公用) 정보시스템 관리책임자는 공용(公用) 정보시스템에서 개별사용자를 식별 또는 인증하기 위하여 비밀번호에 갈음하거나 병행하여 지문인식 등 생체인증 기술 및 일회용 비밀번호 생성기(OTP) 등을 안전성 확인 후 사용할 수 있다. 이 경우 생체인증 정보는 안전하게 보관하여야 한다.
조항 인쇄
제75조 (전자우편 보안) ① 정보보안담당관은 전자우편을 컴퓨터바이러스ㆍ트로이목마 등 악성코드로부터 보호하기 위하여 백신 소프트웨어 설치, 해킹메일차단시스템 구축 등 보안대책을 수립ㆍ시행하여야 한다.
② 정보보안담당관은 공단 전자우편을 구축ㆍ운용할 경우 다른 전자우편과 자료를 안전하게 소통하기 위하여 전자우편시스템에 암호화 기술을 적용하여야 한다.
③ 정보보안담당관은 공단 전자우편을 구축ㆍ운용할 경우 수신된 전자우편의 발신지 IP주소 및 국가명이 표시되고 해킹메일로 의심될 경우 해킹메일 원본을 전송하여 신고할 수 있는 기능을 갖추어야 한다.
④ 개별사용자는 수신된 전자우편에 포함된 첨부파일이 자동 실행되지 아니하도록 기능을 설정하고 첨부파일을 다운로드할 경우 최신 백신 소프트웨어로 악성코드 은닉여부를 검사하여야 한다.
⑤ 개별사용자는 출처가 불분명하거나 의심되는 제목의 전자우편은 열람하지 말고 해킹메일로 의심될 경우 즉시 정보보안담당관에게 신고하여야 한다. 정보보안담당관은 해킹메일로 판단될 경우 장관 및 국가정보원장에게 통보하여야 한다.
⑥ 정보보안담당관은 전자우편 발신자 조작 등을 통한 공단 사칭 전자우편의 유포를 차단하기 위하여 보안대책을 수립ㆍ시행하여야 한다.
조항 인쇄
제76조 (휴대용 저장매체 보안) ① 분임정보보안담당관은 휴대용 저장매체를 사용하여 업무자료를 보관하고자 할 경우 자료의 위ㆍ변조, 저장매체의 훼손ㆍ분실등에 대비한 보안대책을 수립ㆍ시행하여야 한다.
② 정보보안담당관은 휴대용 저장매체 관리시스템을 운용하고자 할 경우 국가정보원장이 안전성을 확인한 제품을 도입하여야 한다.
③ 정보보안담당관은 개별사용자가 휴대용 저장매체를 PCㆍ서버 등에 연결 할 경우 자동 실행되지 아니하고 최신 백신 소프트웨어로 악성코드 감염여부를 자동 검사하는 등의 보안 정책을 수립ㆍ시행하도록 관리하여야 한다.
④ 분임정보보안담당자는 휴대용 저장매체를 비밀용ㆍ일반용으로 구분ㆍ관리하고 수량 및 보관 상태를 정기적으로 점검하며 외부 반출ㆍ입을 통제하여야 한다.
⑤ 휴대용 저장매체 관리자는 비밀이 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재ㆍ관리하여야 한다. 이 경우 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 휴대용저장매체가 암호자재에 해당될 경우에는 제6장의 암호자재 운용ㆍ관리체계에 따라 관리하여야 한다.
⑥ 휴대용 저장매체 관리자는 비밀용 휴대용 저장매체를 다른 등급의 비밀용 또는 일반용으로 변경 사용하고자 할 경우 저장자료가 복구 불가하도록 완전삭제 소프트웨어 등을 이용하여 삭제하여야 한다. 다만, 완전삭제가 불가할 경우 변경 사용하여서는 아니 된다.
⑦ 휴대용 저장매체 관리자는 휴대용 저장매체를 폐기ㆍ불용 처리하고자 할 경우 저장자료가 복구 불가하도록 완전삭제 소프트웨어 등을 이용하여 삭제하여야 한다. 다만, 완전삭제가 불가할 경우 파쇄하여야 한다.
⑧ 부서 분임정보보안담당관은 정보보안담당관 총괄 하에 소속 부서에 대하여 개별사용자의 휴대용 저장매체 무단 반출, 미(未)등록 휴대용 저장매체 사용여부 등 보안관리 실태를 정기적으로 점검하여야 한다.
⑨ 그 밖에 휴대용 저장매체 보안과 관련한 사항은 「휴대용 저장매체 보안관리」프로세스를 준수하여야 한다.
조항 인쇄
제77조 (비인가 기기 통제) ① 임직원은 개인 소유의 정보통신기기(휴대폰 등 이동통신단말기를 제외한다. 이하 본 조에서 같다)를 공단으로 무단반입ㆍ사용하여서는 아니 된다. 다만, 부득이한 경우 소속 부서의 분임정보보안담당관을 거쳐 정보보안담당관의 승인을 받은 후 사용할 수 있다.
② 임직원은 개인 소유의 이동통신단말기 또는 이동통신망 접속장치(USB형 등)를 소속된 기관의 내부망 및 공단 인터넷망(제42조제1항제1호에 따른 무선랜을 포함한다)에 연결하여서는 아니 되며, 내부망 및 공단인터넷망 정보시스템을 상용 인터넷망에 연결하는 수단으로 사용하여서는 아니 된다. 부서 분임정보보안담당관은 이에 대하여 수시로 점검하여야 한다.
③ 정보보안담당관은 개인 소유의 정보통신기기가 업무자료를 외부로 유출하는데 악용될 수 있거나 공단의 정보통신망 운영에 위해(危害)가 된다고 판단될 경우 반출ㆍ입 통제 등 보안대책을 수립ㆍ시행하여야 한다.
조항 인쇄
제78조 (위규자 처리) ① [별표 4]에 해당하는 정보보안 위규사항이 확인되거나 통보받은 경우 해당부서 장은 즉시 필요한 조치를 취하고 정보보안담당관에게 통보하고, 감사담당 부서에 감사 및 처분 등의 조치를 의뢰하여야 한다. <개정 2020.12.22>
② 감사담당 부서는 제1항에 따른 정보보안 조사를 효율적으로 수행하기 위하여 정보보안담당관에게 협조를 요청할 수 있다.
③ 제2항에 따른 조사결과를 통보받은 해당부서의 장은 재발 방지를 위한 보안대책을 포함한 조치 계획과 결과를 정보보안담당관에게 제출하여야 한다.
④ 정보보안담당관은 제1항의 위규사항을 먼저 확인한 경우 해당 부서의 장에게 즉시 통보하고 감사담당 부서에 조치를 의뢰할 수 있다.
⑤ 정보보안담당관은 「인사규정 시행세칙」 제8장 및 국가정보원장이 배포한「정보보안 사고(위규) 처리기준(안)」을 참고하여 정보보안 위규자에 대한 처리기준을 마련하여야 한다.
제5절 주요정보통신기반시설 보호
조항 인쇄
제79조 (보호대책 수립) ① 「정보통신기반 보호법」제5조에 따른 주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)의 소관 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 자(이하 "정보보호책임자"라 한다)는 동법 제5조 및 동법 시행령 제8조에 따라 주요정보통신기반시설(이하 "주요기반시설"이라 한다)에 대한 보호대책을 수립ㆍ시행하여야 한다.
② 정보보호책임자는 제1항에 따른 보호대책을 수립할 경우 다음 각 호에 해당하는 사항을 포함하고 전년도 추진실적 평가 및 개선사항을 다음 연도의 보호대책에 반영하여야 한다.
1. 소관 주요기반시설별 시스템 현황 및 기능
2. 전년도 보호업무 추진실적 및 해당 연도 추진계획
3. 취약점 분석ㆍ평가 결과 및 도출된 문제점에 대한 개선사항
4. 「정보통신기반 보호법」제2조제2호에 따른 전자적 침해행위 예방을 위한관리적ㆍ물리적ㆍ기술적 보안대책
5. 「정보통신기반 보호법」제2조제3호에 따른 침해사고가 발생할 경우 대응 및 복구대책
③ 정보보호책임자는 매년 소관 주요기반시설의 지정 범위 및 기능변경 여부를 평가하여 변경사항을 보호대책에 반영하여야 한다.
④ 국가정보원장은「정보통신기반 보호법」제5조의2에 따른 보호대책 이행여부의 확인이 필요하다고 판단하는 경우 정보보호책임자가 수립한 보호대책을 사전 제출받아 그 적절성을 검토할 수 있다.
조항 인쇄
제80조 (지정기준 준수) 정보보호책임자는 국토교통부장관이 수립한 공공분야 주요기반시설에 대한 지정권고 기준을 준수 하여야 한다.
조항 인쇄
제81조 (지정 및 취소) ① 이사장은「정보통신기반 보호법」제8조제1항에 따라 주요기반시설을 신규 지정하거나 동법 제8조제2항에 따라 취소하고자 할 경우 국토교통부장관에게 심사를 요청하여야 한다.
② 제1항에 따른 주요기반시설의 지정 및 취소를 위한 심의 관련 자료에는 다음 각 호에 해당하는 사항이 포함되어야 한다.
1. 지정번호
2. 주요기반시설 명칭
3. 관리기관 명칭
4. 수행 업무
5. 지정 또는 취소 사유
조항 인쇄
제82조 (보호지침 수립) ① 정보보안담당관은「정보통신 기반보호법」제10조에 따른 보호지침의 제ㆍ개정 업무에 국가정보원장이 배포한 공공분야 주요기반시설 보호지침 기준을 활용 할 수 있다.
② 정보보안담당관은 제1항에 따라 국가정보원장이 통보한 보호지침 기준을 반영하여 소관분야 주요기반시설에 대한 보호지침을 수립하여야 한다.
조항 인쇄
제83조 (취약점 분석ㆍ평가 결과물 관리) ① 정보보호책임자는「정보통신기반보호법」제9조제3항 각 호의 기관에 소관 주요기반시설의 취약점 분석ㆍ평가를 의뢰하고자 할 경우 정보통신망 구성도 등 중요자료의 유출 방지를 위한 보안대책을 수립ㆍ시행하여야 한다.
② 정보보호책임자는 제1항에 따른 취약점 분석ㆍ평가를 완료한 경우 취약점분석ㆍ평가 결과물에 대하여 적절성을 검증하여야 한다.
③ 정보보호책임자는 제2항에 따른 취약점 분석ㆍ평가 결과물을 중요성 및 가치의 정도를 평가하여 비밀 또는 비공개 대상 정보로 지정ㆍ관리하고 인터넷ㆍ학회지 등 외부에 공개하거나 발표하여서는 아니 된다. 다만, 기술 교류나 학문 연구 등을 목적으로 하는 비공개 회의 등의 경우에는 자체 보안성 검토 후 발표할 수 있다.
④ 정보보호책임자는 취약점 분석ㆍ평가의 효율적인 수행을 위하여 필요한 경우, 정보보안담당관을 경유하여 국가정보원장에게 평가 방향 및 중점사항, 평가 결과물의 적절성 검증, 취약점 분석ㆍ평가기관 보안점검 등의 지원을 요청할 수 있다.
제4장 융합 보안
제1절 정보통신시설 및 기기 보호
조항 인쇄
제84조 (정보통신시설 보호대책) ① 이사장은 다음 각 호의 어느 하나에 해당하는 정보통신시설 및 장소를 국가정보원「보안업무규정」제32조에 따른 보호구역으로 지정ㆍ관리하여야 한다.
1. 암호실ㆍ정보통신실
2. 통합데이터센터
3. 암호자재 개발ㆍ설치 및 정비 장소
4. 국가비상통신 등 중요통신망의 교환국, 회선집중국 또는 중계국
5. 보안관제센터, 백업센터 및 중요 정보통신시설을 집중 제어하는 국소
6. 그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치장소
② 「보안업무취급규정」 제62조제1항에 따라 지정된 보호구역 관리책임자(이하 "보호구역 관리책임자"라 한다)는 보호구역으로 지정된 정보통신시설 및 장소에 대한 보안대책을 수립하고자 할 경우 다음 각 호에 해당하는 사항을 포함하여야 한다.
1. 방재대책 및 외부로부터의 위해(危害) 방지대책
2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치
3. 출입자 식별ㆍ인증 등을 위한 출입문 보안장치 설치 및 주ㆍ야간 감시대책
4. 휴대용 저장매체를 보관할 수 있는 용기 비치
5. 정보시스템의 안전지출 및 긴급파기 계획 수립
6. 관리책임자 및 자료ㆍ장비별 취급자 지정ㆍ운영
7. 정전에 대비한 비상전원 공급 및 시스템의 안정적 중단 등 전력관리 대책
8. 비상조명 장치 등 비상탈출 대책
9. 카메라 장착 휴대폰 등을 이용한 불법 촬영 방지대책
③ 정보자원을 구축ㆍ운영하는 분임정보보안담당관은 제2항 사항을 반영하여 보안대책을 수립한 후 이를 정보보안담당관과 협의 후 시행하여야 한다.
조항 인쇄
제85조 (정보통신시설 출입관리) ① 보호구역 관리책임자는 외부인이 정보통신시설을 방문할 경우 반드시 신원을 확인하고 보안교육 및 보안검색 후 출입을 허용하여야 한다.
② 보호구역 관리책임자는 불가피한 경우를 제외하고는 정보통신시설에 대한 관람 및 견학은 지양하고 외국인의 출입은 금지한다. 다만, 외국인의 출입이 꼭 필요한 경우 국가정보원장과 사전 협의하여 출입을 허용할 수 있다.
조항 인쇄
제86조 (영상정보처리기기 보안) ① 정보시스템 관리책임자는 업무상 목적으로 불특정사람 또는 사물을 촬영한 영상을 유ㆍ무선 정보통신망으로 전송ㆍ저장ㆍ분석하는 CCTVㆍIP카메라ㆍ이동형 영상촬영장비ㆍ중계서버ㆍ관제서버ㆍ관리용 PC 등의 기기ㆍ장비(이하 "영상정보처리기기"이라 한다)를 설치ㆍ운용하고자 할 경우 운영자의 계정ㆍ비밀번호 설정 등 인증대책을 수립하고 특정 IP주소에서만 접속 허용 등 비(非)인가자 접근 통제대책을 수립ㆍ시행하여야 한다.
② 이사장은 영상정보처리기기를 통합ㆍ운용하는 시설(이하 "영상관제상황실"이라 한다)을 운영하고자 할 경우 영상관제상황실을 국가정보원 「보안업무규정」제32조에 따른 보호구역으로 지정ㆍ관리하고 출입통제 장치를 운용하여야 한다.
③ 영상정보처리기기 관리자는 영상정보처리기기를 인터넷과 분리ㆍ운용하여야 한다. 다만, 부득이하게 인터넷과 연결ㆍ사용하여야 할 경우 전송내용을 암호화하여야 한다.
④ 영상정보처리기기 관리자는 제1항부터 제3항까지와 관련한 보안대책의 적절성을 수시 점검ㆍ보완하여야 한다.
⑤ 기타 영상정보처리기기 보안과 관련한 사항은 국가정보원장이 배포한「CCTV 시스템 보안관리방안」및「안전한 정보통신 환경 구현을 위한 네트워크 구축 가이드라인」을 준수하여야 한다.
조항 인쇄
제87조 (RFID 보안) ① 정보시스템 관리책임자는 RFID시스템(대상이 되는 사물 등에RFID 태그를 부착하고 전파를 사용하여 해당 사물 등의 식별정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집ㆍ저장ㆍ가공 및 활용하는 시스템을 말한다)을 구축하여 중요정보를 소통하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. RFID시스템(태그 및 리더기를 포함한다) 분실ㆍ탈취 대비 및 백업 대책
2. 태그정보 최소화 대책
3. 장치 및 운용자 인증, 중요정보 암호화 대책
② RFID시스템 관리자는 제1항과 관련한 보안대책의 적절성을 수시 점검ㆍ보완하여야 한다.
③ 기타 RFID 보안과 관련한 사항은 국가정보원장이 배포한「RFID 보안관리실무매뉴얼」을 준수하여야 한다.
조항 인쇄
제88조 (디지털복합기 보안) ① 정보시스템 관리책임자는 디지털복합기(디지털복사기 등도 포함한다. 이하 "복합기"라 한다)를 설치ㆍ운용하고자 할 경우 복합기 내 저장매체가 있거나 장착이 가능한 경우 자료유출을 방지하기 위하여 자료 완전삭제 또는 디스크 암호화 기능이 탑재된 복합기를 도입하여야 한다.
② 복합기 관리자는 제1항에 따라 복합기를 설치ㆍ운용할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 암호화 저장 기능이 있는 경우 해당 기능 사용
2. 정기적으로 저장된 작업 내용(출력ㆍ스캔 등) 완전 삭제
3. 공유 저장소 사용 제한 및 접근 제어
4. 고정 IP주소 설정 및 불필요한 서비스 제거
③ 복합기 관리자는 다음 각 호의 어느 하나에 해당하는 경우 복합기의 저장매체에 저장된 자료를 완전 삭제하여야 한다.
1. 복합기 사용연한이 경과하여 폐기ㆍ양여할 경우
2. 복합기 무상 보증기간 중 저장매체 또는 복합기 전체를 교체할 경우
3. 고장 수리를 위한 외부 반출 등의 사유로 해당 기관이 복합기의 저장매체를 통제 관리할 수 없는 장소로 이동할 경우
4. 그 밖에 저장자료의 삭제가 필요하다고 판단되는 경우
④ 복합기 관리자는 소모품 교체 등 복합기 유지보수를 할 경우 부서 분임정보보안담당관의 입회ㆍ감독 하에 실시하고 저장매체의 무단 교체 등을 예방하여야 한다.
⑤ 복합기 관리자는 복합기를 통해 내부망과 인터넷망간 접점이 발생하지 않도록 보안대책을 수립ㆍ시행하여야 한다.
⑥ 분임정보보안담당관은 부서의 저장매체가 장착되어 있는 복합기 운용과 관련한 보안대책의 적절성을 수시 점검ㆍ보완하여야 한다.
⑦ 그 밖에 복합기 보안과 관련한 사항은 국가정보원장이 배포한「정보시스템 저장매체 불용처리지침」을 준수하여야 한다.
조항 인쇄
제89조 (재난 방지대책) ① 정보시스템 관리책임자는 인위적 또는 자연적인 원인으로 인한 정보통신망의 장애 발생에 대비하여 정보시스템의 이중화, 백업관리 및 복구 등 종합적인 재난 방지대책을 수립ㆍ시행하여야 한다.
② 정보시스템 관리책임자는 재난 방지대책을 정기적으로 시험ㆍ검토하고 업무 연속성에 대한 영향평가를 실시하여야 한다.
③ 정보시스템 관리책임자는 정보통신망의 장애 발생에 대비하여 정보시스템 백업시설을 확보하고 정기적으로 백업을 실시하여야 한다.
④ 정보시스템 관리책임자는 제3항에 따른 백업시설을 구축ㆍ운영하고자 할 경우 정보통신실ㆍ통합데이터센터와 물리적으로 일정거리 이상 떨어진 안전한 장소에 설치하여야 하며 전력공급원 이중화 등 정보시스템의 가용성을 최대화 할 수 있도록 하여야 한다.
제2절 전자파 보안
조항 인쇄
제90조 (대도청 측정) ① 정보보안담당관은 다음 각 호의 어느 하나에 해당하는 시설ㆍ장소에 대하여 각종 수단에 의한 도청으로부터 정보유출을 방지하기 위한 보안대책(TSCM)을 수립ㆍ시행하여야 한다.
1. 기관 청사(신축, 이전 또는 증축, 개축, 대규모 수선 등)
2. 기관장실, 회의실 등 중요업무 장소
3. 중요회의ㆍ회담ㆍ협상ㆍ행사 장소
4. 기타 대도청 측정이 필요하다고 판단되는 시설ㆍ장소ㆍ장비
② 정보보안담당관은 제1항에 따른 시설ㆍ장소에 대하여 자체 또는「통신비밀보호법」제10조의3에 따른 불법감청설비탐지업자 활용 등을 통해 대도청 측정을 실시하여야 한다. 다만, 다음 각 호에 해당하는 시설ㆍ장소에 대하여는 국가정보원장에게 대도청 측정을 요청할 수 있다.
1. 국가기관의 장 또는 상급기관의 장이 관리하는 시설ㆍ장소
2. 이사장이 관리하는 시설ㆍ장소 중에서 국토교통부장관이 국가안보 및 국익 보호를 위하여 필요하다고 판단하는 시설ㆍ장소
③ 제2항에 따라 자체 또는 불법감청설비탐지업자 등을 활용하여 측정을 실시한 정보보안담당관은 측정결과 취약요인이 발견된 경우 그 결과를 국토교통부 장관을 거쳐 국가정보원장에게 통보하고 기술 지원 및 추가 측정을 요청할 수 있다.
④ 제2항에 따라 국가정보원장이 측정을 실시한 결과 취약요인이 발견된 경우 정보보안담당관은 개선대책을 수립ㆍ시행하여야 한다.
⑤ 정보보안담당관은 대도청 측정 결과를「공공기관의 정보공개에 관한 법률」제9조제1항에 따른 비공개 대상 정보로 지정ㆍ관리하여야 한다.
⑥ 그 밖에 대도청 측정과 관련한 사항은 국가정보원장이 배포한「도청 탐지ㆍ방어활동 가이드라인」을 준수하여야 한다.
조항 인쇄
제91조 (무선통신망 보안) ① 무선통신망(제42조에 따른 무선랜(WiFi)을 제외한다. 이하 본 조에서 같다)을 구축ㆍ운영하거나 이동통신망을 이용하여 관련 시스템을 구축ㆍ운용하는 정보시스템 관리책임자는 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 접경 지역의 경우 무선통신망의 유선화 추진 또는 전파 차단시설 정책시행
2. 비밀 등 중요자료를 소통하고자 할 경우 국가정보원장이 개발하거나 안전성을 확인한 암호자재 사용
② 제1항에 따른 정보시스템 관리책임자는 연간 전파측정 계획을 수립하여 연1회 전파측정을 실시하여야 한다.
③ 제1항에 따른 정보시스템 관리책임자는 정보보안담당관을 경유하여 국가정보원장에게 제2항에 따른 연간 전파측정계획서를 매년 1월25일까지 제출하고 전파측정 실시 후 20일 이내에 [별지 제5호 서식]에 따른 전파측정 결과보고서를 제출하여야 한다.
조항 인쇄
제92조 (고출력 전자파 보안) ① 정보보호책임자는 소관 주요기반시설을 고출력 전자파(EMP)로부터 안전하게 보호하기 위한 예방ㆍ백업ㆍ복구등 물리적ㆍ기술적 대책을 포함한 보호대책을 수립ㆍ시행할 수 있다.
② 정보보호책임자는 제1항에 따른 보호대책을 수립하기 위하여 취약점 분석ㆍ평가를 실시할 수 있으며 이를 위하여 담당자 지정 또는 전담반을 구성할 수 있다.
③ 정보보호책임자는 제1항에 따른 보호대책을 수립할 경우 정보보안담당관 및 국토교통부 장관을 경유하여 국가정보원장에게 기술 지원을 요청할 수 있다.
제5장 훈련 및 평가
제1절 훈련 및 진단
조항 인쇄
제93조 (사이버공격 대응훈련) ① 정보보안담당관은 해당 기관의 정보통신망을 대상으로 매년 정기 또는 수시로 사이버공격 대응훈련을 실시하여야 한다.
② 정보보안담당관은 국가차원의 사이버위기 발생에 대비하여 공단 정보통신망을 대상으로 사이버위기 대응 모의훈련을 실시할 수 있다. 이 경우, 정보보안담당관은 특별한 사유가 없는 한 사전에 훈련 일정 등을 해당 정보시스템 관리책임자에게 통보하여야 한다.
③ 정보보안담당관은 제2항의 모의훈련 결과 시정이 필요하다고 판단하는 경우에는 정보시스템 관리책임자에게 필요한 조치를 요청할 수 있다. 이 경우 정보시스템 관리책임자는 특별한 사유가 없는 한 필요한 조치를 이행하여야 하며, 정보보안담당관은 그 이행여부를 확인할 수 있다.
④ 제2항에 따른 대응훈련은「비상대비자원 관리법」제14조에 따른 비상대비훈련과 함께 실시할 수 있다.
조항 인쇄
제94조 (정보통신망 보안진단) ① 정보보안담당관은 해당 공단의 정보통신망을 대상으로 취약점을 진단하는 제반활동(이하 "보안진단"이라 한다)을 매년 정기적으로 실시하거나 관련예산 확보 등을 위하여 노력하여야 한다.
② 정보보안담당관은 공단의 정보통신망 안전성을 확인하기 위하여 다음 각 호의 어느 하나에 해당하는 경우 보안진단을 실시할 수 있으며, 해당 정보시스템 관리책임자에게 진단 계획을 사전 통보하여야 한다. 다만, 정보통신망의 안전성을 확보하여야 할 긴급한 사유가 발생한 경우 사전 통보를 생략할 수 있다.
1. 「전자정부법」제56조 및「공공기록물 관리에 관한 법률 시행령」제5조등에 따른 보안조치 이행여부를 확인하고자 하는 경우
2. 국가정보원「국가사이버안전관리규정」제9조에 따른 사이버안전대책의 이행여부 등 정보통신망에 대한 안전성을 확인하고자 하는 경우
3. 국가정보원「보안업무규정」제35조에 따른 보안측정을 실시하는 경우
4. 정보보안 사고가 발생하여 정보통신망의 보안취약점 진단이 요구되는 경우
5. 사이버공격으로부터 중요 정보통신시설에 대한 보호대책이 필요한 경우
6. 정보통신수단에 의하여 비밀 등 중요자료 유출 또는 암호체계 누설이 우려되는 경우
7. 각급기관의 장이 정보통신망에 대한 보안취약점 점검 또는 종합진단이 필요하다고 판단하여 요청하는 경우
8. 그 밖에 국가정보원장이 국가안보상 필요하다고 판단하는 경우
③ 제2항에 따라 보안진단을 실시한 결과 개선이 필요하다고 판단하는 경우 해당 정보시스템 관리책임자 또는 분임정보보안담당관은 개선 조치하여야 한다.
제2절 정보보안 관리실태 평가
조항 인쇄
제95조 (자체 평가) ① 정보보안담당관은「전자정부법」제56조,「국가사이버 안전관리규정」제9조 등에 따라 국가정보원장이 배포한 정보보안 관리실태 평가지표에 따라 자체 평가를 실시하여야 한다.
② 정보보안담당관은 자체 평가의 적절성을 입증하기 위하여 필요하다고 판단하는 경우 평가지표별 증빙자료를 국가정보원장에게 제출할 수 있다.
조항 인쇄
제96조 (평가결과) 정보보안담당관은 국가정보원장으로부터 통보받은 정보보안 관리실태 평가 결과에 따른 미비점을 개선ㆍ보완하여 정보보안 수준을 제고하여야 한다.
제6장 암호자재 및 암호알고리즘
제1절 기본사항
조항 인쇄
제97조 (사용 원칙) ① 이사장은 비밀을 소통ㆍ보호하고자 할 경우 국가정보원장이 개발하거나 안전성을 확인한 암호자재를 사용하여야 한다. 또한 비밀이 아닌 중요자료를 보호하고자 할 경우에도 암호자재를 사용할 수 있다.
② 이사장은 제1항에 따라 암호자재를 사용하고자 할 경우 국가정보원장에게 암호자재 사용에 대한 승인 또는 암호자재 지원을 요청하여야 한다.
③ 이사장은 국가정보원장이 승인하지 아니한 암호자재나 외국에서 생산된 암호기능 탑재 시스템을 무단으로 사용하여서는 아니 된다.
조항 인쇄
제98조 (취급인가자 지정) ① 보안담당관은 암호자재를 개발ㆍ배부ㆍ운용ㆍ반납 등 취급하는 인원을 암호자재 취급인가자(이하 "암호취급자"라 한다)로 지정ㆍ관리하여야 한다.
② 제1항에 따른 암호취급자는 대한민국 국적 소유자로서 비밀취급 인가자에 한하여「보안업무규정」제9조에 따른 암호자재 취급 인가권자에 의하여 지정된다.
③ 보안담당관은 [별지 제6호 서식]에 따라 암호취급자 현황을 관리하여야 한다.
조항 인쇄
제99조 (정ㆍ부책임자 운영) 보안담당관은 각 암호자재에 대하여 운용ㆍ관리를 담당하는 정ㆍ부책임자 및 실무 담당자를 임명하여야 한다.
조항 인쇄
제100조 (암호자재 설치ㆍ운영 장소) ① 이사장은 국가정보원「보안업무규정」제32조에 따른 보호구역으로 지정된 장소에서 암호자재를 설치ㆍ운영하여야 한다. 다만, ⅠㆍⅡ급 비밀 소통용 암호자재 중 국가정보원장이 지정한 암호자재는 제102조에 따른 암호실에서 설치ㆍ운용하여야 한다.
② 이사장은 제1항에도 불구하고 국가정보원장과 사전 협의를 거쳐 승인된 장소 및 운영방식에 따라 암호자재를 설치ㆍ운영할 수 있다.
조항 인쇄
제101조 (암호실 관리) ① 암호실을 운영하는 경우, 이사장은 암호실을 보안업무규정」제32조에 따른 보호구역으로 지정하여야 하며 암호취급자 및 국가정보원장이 인가한 자 이외에는 암호실 출입을 허용하여서는 아니 된다.
② 보안담당관은 [별지 제6호 서식]에 따른 암호실 및 암호취급자 현황 및 [별지 제11호 서식]에 따른 암호실 출입자 기록부에 따라 암호실 출입을 통제하고 그 내용을 기록ㆍ유지하여야 한다.
③ 보안담당관은 암호실에 출입제한표시 이외 암호취급을 나타내는 어떠한 표시도 하여서는 아니 되며 무장 경비원을 두어 암호실을 경비하여야 한다. 다만, 무장 경비원을 둘 수 없을 경우에는 이에 준하는 보안대책을 수립ㆍ시행하여야 한다.
④ 보안담당관은 연1회 이상 암호실에 대한 보안점검을 실시하여야 한다. 이 경우 국가정보원장에게 지원을 요청할 수 있다.
⑤ 이사장은 암호실을 자체 절차에 따라 폐쇄할 수 있다. 이 경우 암호실 폐쇄로 인하여 더 이상 사용하지 않는 암호자재는 즉시 배부기관의 장에게 반납하여야 한다.
⑥ 이사장은 암호실을 설치하거나 폐쇄한 경우 그 내용을 국가정보원장에게 통보하여야 한다.
조항 인쇄
제102조 (암호문 관리) ① 보안담당관은 암호문을 평문과 분리 보관하여야 한다.
② 보안담당관은 동일 내용을 암호문과 평문으로 이중 송신하거나 암호문을 전송한 후 이를 다시 평문으로 문의하는 등 암호문과 평문을 혼용하여서는 아니 된다.
조항 인쇄
제103조 (제공 및 반출) ① 이사장은 어떠한 경우에도 암호자재를 복제ㆍ복사하거나 다른 기관이나 개인에게 임의로 대여하여서는 아니 된다.
② 이사장은 암호자재를 외국인ㆍ외국기관(주한 외국인ㆍ외교공관 및 외국군을 포함한다)에 제공하거나 외국으로 무단 반출하여서는 아니 된다. 다만, 불가피한 경우 국가정보원장에게 사전 승인을 받은 후 제공하거나 반출할 수 있다.
조항 인쇄
제104조 (관련사항 공개 및 토의) ① 보안담당관은 암호자재와 관련한 사항을 비(非)인가자에게 공개하거나 공개된 장소에서 토의하여서는 아니 된다.
② 보안담당관은 암호자재와 관련한 사항을 학술ㆍ논문지, 간행물, 전시회 또는 공개된 정보통신망 등을 통해 공개하여서는 아니 된다.
③ 보안담당관은 제1항 및 제2항에도 불구하고 관련사항 공개나 토의가 필요한 경우에는 국가정보원장에게 사전 승인을 받은 후 참석자들로 하여금 [별지 제7호 서식]에 따른 서약서 징구 등 보안조치를 실시하여야 한다.
조항 인쇄
제105조 (관련문서 생산) 보안담당관은 암호자재의 사용승인 및 지원, 운용관리 등에 관한 문서를 생산하고자 할 경우 국가정보원「보안업무규정 시행규칙」제17조에 따른 기본분류지침표에 따라 Ⅲ급 비밀로 생산하여야 한다. 다만, ⅠㆍⅡ급 비밀로 분류된 내용이 포함될 경우 ⅠㆍⅡ급 비밀로 생산할 수 있다.
제2절 개발 및 제작
조항 인쇄
제106조 (개발 및 제작) ① 공단에서는 국가정보원「보안업무규정」제7조에 따라 국가정보원장이 개발ㆍ제작한 암호자재를 사용한다. 다만, Ⅲ급 비밀 소통용 암호자재에 대하여는 국가정보원장이 필요하다고 인정되는 경우 공단에게 자체적으로 개발ㆍ제작하게 할 수 있다.
② 보안담당관은 신규 암호자재의 개발 또는 기존 암호자재의 성능개선 등이 필요하다고 판단하는 경우 국가정보원장에게 개발 또는 성능 개선을 요청할 수 있다.
③ 보안담당관은 제1항에 따라 Ⅲ급 비밀 소통용 암호자재를 자체적으로 개발ㆍ제작할 경우 사전에 다음 각 호의 사항을 포함한 개발 계획을 국가정보원장에게 제출하여야 한다.
1. 필요성
2. 용도 및 보호대상
3. 개발 계획 및 추진 일정
4. 개발 관련 보안대책
④ 보안담당관은 제3항에 따라 암호자재를 자체적으로 개발할 경우 최종완료 이전에 다음 각 호의 사항을 포함한 개발 결과를 국가정보원장에게 제출하여 안전성 확인 및 승인을 받아야 한다. 국가정보원장이 안전성을 확인한 결과 미비점이 발견된 경우 보안담당관은 이를 개선 조치하여야 한다.
1. 암호자재 명칭
2. 개발 업체
3. 암호알고리즘
4. 설계서 및 소스코드
5. 그 밖에 국가정보원장이 요청하는 자료
⑤ 보안담당관은 제4항에 따라 Ⅲ급 비밀 소통용 암호자재를 개발 완료하거나 개발된 암호자재를 변경하는 경우 국가정보원장에게 해당 결과물을 제출하여야 한다.
⑥ 기타 암호자재의 개발 및 제작과 관련한 절차는「국가사이버안전관리규정」제15조제3항 및 국가정보원장이 배포한「국가정보보안기술 연구개발 지침」을 준수하여야 한다.
제3절 사용승인 및 지원요청
조항 인쇄
제107조 (사용 승인) ① 보안담당관은 암호자재 제작업체로부터 암호자재를 도입ㆍ사용하고자 할 경우 다음 각 호의 사항을 포함한 문서를 국가정보원장에게 제출하고 사용 승인을 받아야 한다.
1. 사용목적 및 보호대상
2. 암호자재 종류 및 명칭
3. 소요량 및 산출근거
4. 설치장소, 사용(운용)자 직책ㆍ성명
5. 정보통신시스템 제원
6. 정보통신망 구성도
7. 보안대책
② 제1항에 따라 암호자재 사용 승인을 받은 보안담당관은 암호자재 사용목적 및 보호대상 변경 등 변동사항이 발생할 경우 국가정보원장에게 변경사용 승인을 받아야 하며 승인받은 후 6개월 이내에 설치하지 아니할 경우 관련내용을 국가정보원장에게 통보하여야 한다.
조항 인쇄
제108조 (지원 요청) ① 보안담당관은 국가정보원장이 제작ㆍ지원하는 암호자재가 필요할 경우 다음 각 호의 사항을 포함한 문서를 제출하고 지원을 요청할 수 있다.
1. 사용목적 및 보호대상
2. 암호자재 종류 및 명칭
3. 소요량 및 산출근거
4. 사용기간 및 장소
5. 사용(운용)자 직책ㆍ성명
6. 보안대책
② 국가정보원장이 제작ㆍ지원하는 암호자재를 매년 반복하여 지원받는 경우, 보안담당관은 [별제 제8호 서식]에 따른 암호자재 신청서를 매년 1월25일까지 국가정보원장에게 제출하여야 한다. 이 경우 제1항의 절차를 생략할 수 있다.
조항 인쇄
제109조 (검사) 보안담당관은 제107조에 따라 암호자재를 도입하는 과정에서 검사가 필요할 경우 이사장의 책임 하에 실시할 수 있다. 다만, 암호처리부에 대한 검사는 국가정보원장에게 요청하여야 한다.
조항 인쇄
제110조 (외국산 암호자재 사용) ① 보안담당관은 외국기관 또는 외국군(軍)과의 통신을 위하여 외국산 암호자재를 사용하고자 할 경우 사전 국가정보원장과 추진 경위ㆍ현황 및 보안대책에 대하여 협의하여야 한다.
② 제1항에 따라 외국산 암호자재를 설치ㆍ사용할 경우 해당 국가와의 협정에 따라 보안담당관 책임 하에 운용ㆍ관리한다.
조항 인쇄
제111조 (목적 외 사용금지) 보안담당관은 제107조 및 제108조에 따라 암호자재를 사용할 경우 국가정보원장이 사용 승인 또는 지원한 목적 이외 교육ㆍ시험 등 다른 목적으로 사용하여서는 아니 된다. 다만, 국가정보원장이 필요하다고 인정하는 경우에는 그러하지 아니할 수 있다.
제4절 운용 및 관리
조항 인쇄
제112조 (운용 및 관리) ① 보안담당관은 암호자재를 운용할 경우 국가정보원「보안업무규정 시행규칙」[별지 제3호 서식]에 따른 암호자재 관리기록부 및 [별지 제4호 서식]에 따른 암호자재 점검기록부, 이 지침 [별지 제9호 서식]에 따른 지편자재 사용기록부를 작성ㆍ유지하고 암호자재를 배부ㆍ반납 등 취급할 경우에는 국가정보원「보안업무규정 시행규칙」[별지 제2호 서식]에 따른 암호자재 증명서를 작성하여야 한다.
② 보안담당관은 제1항에 따른 암호자재 관리기록부, 암호자재 점검기록부, 지편자재 사용기록부 및 암호자재 증명서를 해당 암호자재의 반납 또는 파기 후 최소 5년간 보관하여야 한다.
③ 보안담당관은 암호자재 외부에 운용상의 기능, 형식승인 번호, 기관번호 및 일련번호를 제외한 어떠한 표지도 하여서는 아니 된다. 다만, 암호자재가 다른 장비에 내장되어 오인 파기나 관리 소홀이 우려되는 경우 경고 문구 등 표지를 부착할 수 있다.
④ 보안담당관은 암호자재의 암호체계 및 키 운용체계와 관련된 문서와 암호자재의 고유명칭, 제원, 대상국소 및 수량 등 운용 현황이 기록된 문서를 비밀로 분류ㆍ관리하여야 한다.
⑤ 보안담당관은 암호자재를 업무 시간에 사용 가능하도록 별도 관리하되 업무 종료 이후에는 이중 캐비닛 또는 금고에 보관하여야 한다. 다만, 국가정보원장과 사전 협의를 통해 승인된 장소 및 운영 방식에 따라 설치ㆍ운용하는 암호자재는 그러하지 아니할 수 있다.
⑥ 보안담당관은 암호자재를 보관함에 보관할 경우 암호자재 이외 비밀 또는 문건을 혼합 보관하여서는 아니 되며 현용 암호자재는 예비용 및 운용 기간이 만료된 암호자재와 구분ㆍ보관하여야 한다.
조항 인쇄
제113조 (기록부 등의 전자적 관리) ① 보안담당관은 제112조제1항에 따른 각종 기록부 및 증명서를 전자적 방법으로 작성ㆍ관리할 수 있다.
② 보안담당관은 제1항에 따라 기록부 및 증명서를 전자적 방법으로 관리할 경우 내용의 위조ㆍ변조ㆍ훼손 및 유출 등을 방지하기 위하여 암호화 등 보안대책을 수립ㆍ시행하여야 한다.
③ 국가정보원장은 국가정보원「보안업무규정」에 따라 제2항에 따른 보안대책의 적절성을 확인할 수 있다.
조항 인쇄
제114조 (배부ㆍ반납 및 운반) ① 보안담당관은 암호자재를 배부ㆍ반납할 경우 암호취급자가 직접 취급하도록 하여야 한다. 다만, 부득이한 경우 국가정보원장이 지정하는 방법으로 배부ㆍ반납할 수 있다.
② 보안담당관은 암호취급자가 직접 배부ㆍ반납할 수 없을 경우 비밀취급인가자 중 정책임자의 위임장을 소지한 자에게 이를 대행하게 할 수 있다.
③ 보안담당관은 암호자재를 운반ㆍ전시 등을 하고자 할 경우 분실ㆍ피탈등을 방지하기 위한 보안대책을 수립ㆍ시행하여야 한다.
④ 암호취급자는 암호자재를 배부ㆍ반납하고자 할 경우 암호자재 증명서 2부를 작성하여 배부(반납)자 및 수령자가 각각 서명한 후 1부씩 보관하여야 한다.
⑤ 암호자재 배부(반납)자 및 수령자는 암호자재 증명서상의 명칭ㆍ수량ㆍ등록번호 등이 실물과 일치하는지를 반드시 확인하여야 한다.
⑥ 보안담당관은 암호자재의 운반ㆍ전시 도중 보호조치가 필요할 경우 가까운 경찰서나 군(軍)부대에 지원을 요청할 수 있으며 요청받은 기관의 장은 이를 지원하여야 한다.
⑦ 보안담당관은 암호자재의 운반ㆍ전시 도중 사고가 발생한 경우 즉시 국가정보원장에게 통보하여 필요한 조치를 취할 수 있도록 하여야 한다.
조항 인쇄
제115조 (변경 사용) ① 암호자재를 제작한 경우, 보안담당관은 정기적인 교체, 사고발생 등의 사유로 예비용 암호자재를 현용으로 변경ㆍ사용하고자 할 경우 관련내용을 Ⅲ급 비밀로 작성하여 해당 암호자재를 사용하는 기관의 장에게 통보하여야 한다.
② 제1항에 따라 변경 내용을 통보받은 기관의 장은 해당 암호자재를 사용하는 부서 및 소속ㆍ산하기관에 신속히 전달하고 운용 기간이 만료된 암호자재는 제작기관의 보안담당관에게 반납하여야 한다.
조항 인쇄
제116조 (인계인수) ① 보안담당관은 암호자재를 운용ㆍ관리하는 정ㆍ부책임자 및 실무 담당자를 교체할 경우 다음 각 호의 사항을 포함한 운용 현황에 대하여 인계인수를 실시하여야 하며 암호자재 관리기록부의 최종 기록 여백에 인계인수 사항을 기록ㆍ유지하여야 한다.
1. 암호자재 종류 및 수량
2. 납봉 또는 봉인표지 이상(異常) 유무
3. 암호자재 정상 작동여부
4. 암호자재 운용법 등 관련자료 이상(異常) 유무
② 보안담당관은 암호자재를 운용ㆍ관리하는 정ㆍ부책임자 및 실무 담당자가 1개월 이상 직무를 수행할 수 없을 경우 암호취급자 중에서 그 직무를 대행할 정ㆍ부책임자 및 실무 담당자를 별도로 지정하고 제1항에 따른 인계인수를 실시하여야 한다.
③ 제1항 및 제2항에 따른 인계인수 관련 사항은 해당 기관의 실정에 따라소속 부서의 장 또는 소속된 기관의 장이 확인하여야 한다.
조항 인쇄
제117조 (운용현황 통보) 암호자재를 운용하는 경우, 보안담당관은 [별지 제10호 서식]에 따른 암호자재 운용관리 현황을 작성하여 매년 1월25일까지 국가정보원장에게 제출하여야 한다.
조항 인쇄
제118조 (관리실태 점검) ① 보안담당관은 공단의 암호자재 운용ㆍ관리실태에 대하여 점검할 수 있다.
② 보안담당관은 제1항에 따라 점검한 결과 취약요인을 발견한 경우 관련사항을 암호자재를 운용ㆍ관리하는 정ㆍ부책임자 및 실무 담당자에게 통보하여야 하며, 암호자재를 운용ㆍ관리하는 정ㆍ부책임자 및 실무 담당자는 이에 대하여 개선 조치하여야 한다.
조항 인쇄
제119조 (사고발생시 조치) 보안담당관은 암호자재의 분실ㆍ유출 및 오인파기 등 사고 발생을 알게 된 경우 관련사실을 즉시 국가정보원장에게 통보하여 암호자재 사용 중지 등 조치방법을 지원받아야 한다.
제5절 정비 및 파기
조항 인쇄
제120조 (정비) ① 보안담당관은 암호자재를 정비하고자 할 경우 암호자재제작업체를 통해 정비하여야 한다. 다만, 국가정보원장이 제작ㆍ지원한 암호자재의 경우 예비용 암호자재로 교체하거나 국가정보원장에게 교체를 요청하여야 한다.
② 보안담당관은 암호자재 중에서 암호처리부가 아닌 일반 부분에 대하여는 자체적으로 정비할 수 있다. 이 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 정비 장소는 보안업무규정 제32조에 따른 보호구역으로 지정
2. 암호취급자에 의한 정비 실시
3. 자체 정비절차 수립
조항 인쇄
제121조 (파기) ① 보안담당관은 암호자재 운용이 불필요하거나 폐기하고자할 경우 자체 파기하지 아니하고 암호자재 제작기관의 장 또는 국가정보원장에게 반납하여야 한다.
② 보안담당관은 제1항에도 불구하고 자체 파기를 하고자 할 경우 다음 각 호의 사항을 포함한 문서를 국가정보원장에게 제출하고 승인을 받은 후 파기할 수 있다.
1. 파기일시 및 장소
2. 암호자재의 명칭ㆍ수량 및 등록번호
3. 파기사유 및 방법
4. 파기자 및 참여자의 직위(직급)ㆍ성명
③ 보안담당관은 제2항에 따라 암호자재를 자체 파기할 경우 각 파기대상 암호자재의 실물사진, 안전한 이송, 완전한 융해여부 확인 등 파기 전(全) 과정을 채증하여 국가정보원장에게 통보하여야 한다.
④ 보안담당관은 긴급사태 발생 등 사유로 암호자재를 안전하게 관리할 수 없을 경우 국가정보원「보안업무규정 시행규칙」제7조에 따라 긴급 파기할 수 있다. 이를 위하여 다음 각 호의 사항을 포함한 긴급파기 계획을 평상시 수립하여야 한다.
1. 긴급파기 지시 전달체계
2. 파기 담당관 및 채증 담당관
3. 암호자재별 반드시 파기하여야 할 부품 또는 위치ㆍ방법
제6절 암호알고리즘
조항 인쇄
제122조 (개발 및 지원요청) ① 정보보안담당관은 비밀이 아닌 중요자료를 소통ㆍ보호하고자 할 경우 국가정보원장이 개발하거나 안전성을 확인한 암호알고리즘을 사용하여야 한다. 다만, 필요한 경우 국가정보원장의 승인 하에 자체적으로 개발ㆍ사용할 수 있다.
② 정보보안담당관은 암호알고리즘이 필요한 경우 다음 각 호의 사항을 포함한 문서를 국가정보원장에게 제출하고 지원을 요청할 수 있다.
1. 사용 목적
2. 정보통신시스템 구성도, 기능 및 제원
3. 암호키 운용관리 방식
4. 개발 고려사항
5. 그 밖에 국가정보원장이 요청하는 자료
③ 정보보안담당관은 제1항에 따라 암호알고리즘을 자체적으로 개발ㆍ사용하고자 할 경우 다음 각 호의 사항을 포함한 문서를 국가정보원장에게 제출하여 안전성 확인 및 승인을 받아야 한다. 국가정보원장이 안전성을 확인한 결과 미비점이 발견될 경우 해당 기관의 장은 이를 개선 조치하여야 한다.
1. 개발 배경 및 적용대상 시스템
2. 암호체계
3. 암호 알고리즘 소스코드 및 관련 설명서
4. 안전성 평가 등 관련자료
5. 그 밖에 국가정보원장이 요청하는 자료
조항 인쇄
제123조 (적용 및 운용) 정보보안담당관은 제122조에 따라 국가정보원장으로부터 지원받거나 자체 개발한 암호알고리즘을 정보통신시스템 등에 적용ㆍ운용하고자 할 경우 적절한 보안대책을 수립ㆍ시행하고 운용 시험을 통한 정상 동작여부 등을 확인하여야 한다.
조항 인쇄
제124조 (반납 및 파기) 정보보안담당관은 제122조에 따라 국가정보원장으로부터 지원받거나 자체 개발한 암호알고리즘의 실효성이 상실되거나 유효기간이 만료된 경우 지원받은 암호알고리즘은 국가정보원장에게 반납하고 자체 개발한 암호알고리즘은 이사장의 책임 하에 파기(소자)하고 그 결과를 국가정보원장에게 통보하여야 한다.
제7장 사이버위협 탐지 및 대응
제1절 보안관제
조항 인쇄
제125조 (보안관제센터 설치ㆍ운영) ① 국가정보원 「국가사이버안전관리규정」 제10조의2제1항에 따라 부문보안관제센터 또는 단위보안관제센터를 설치ㆍ운영하여야하는 경우, 이사장은 해당 보안관제센터를 국가보안관제체계와 연계 운영하여야 한다. 이 경우 연계 방법은 국토교통부 장관을 경유하여 국가보안관제체계를 운영하는 국가정보원장과 사전 협의하여 정한다.
② 제1항에 따라 보안관제센터를 운영하는 경우, 이사장과 국가정보원장은 보안관제에 필요하다고 판단하는 경우 상호간 기술ㆍ인력ㆍ장비 등의 지원을 요청할 수 있다.
③ 보안관제센터를 운영하는 경우, 이사장은 야간시간대 근무자 관리 등을 위하여 필요하다고 판단하는 경우 관계 부서의 장과 협의하여 근무자 일일 당직보고를 실시할 수 있다.
조항 인쇄
제126조 (보안관제 인원) ① 보안관제센터를 운영하는 경우, 정보보안담당관은 보안관제업무를 24시간 중단없이 수행하여야 하며 이를 담당할 전문 또는 전담인력을 배치하고 교대근무 체계를 운영하여야 한다. 다만, 단위보안관제센터의 경우 보안관제 대상기관의 범위 및 중요성, 보안관제센터의 규모 등을 고려하여 그러하지 아니할 수 있다.
② 국가정보원「국가사이버안전관리규정」제10조의2제4항에 따라 보안관제전문업체의 인원을 활용하고자 하는 경우, 정보보안담당관은 다음 각 호에 해당하는 사항을 준수하여야 한다.
1. 업체를 선정할 경우 과학기술정보통신부장관이 고시하는「보안관제 전문기업 지정 등에 관한 공고」에 따른 업무수행능력 평가기준 등 준수
2. 보안관제업무의 책임 있는 수행 및 보안관리 등을 위하여 적정한 수의 정규직원 상시 배치
3. 업체 인원에 대하여 제26조(용역업체 보안) 및 제30조(누출금지정보 유출시 조치) 준용
4. 업체 인원을 대상으로 매월 1회 이상 탐지규칙정보 관리 등에 관한 보안교육 및 점검 실시
조항 인쇄
제127조 (탐지규칙정보 개발 및 배포) ① 보안관제센터를 운영하는 경우, 정보보안담당관은 사이버공격을 탐지할 수 있는 기술정보(이하 "탐지규칙정보"라 한다)를 개발하여 보안관제업무에 활용할 수 있다.
② 제1항에 따라 탐지규칙정보를 개발한 경우, 정보보안담당관은 해당 탐지규칙정보를 국가보안관제체계를 이용하여 다른 보안관제센터를 운영하는 기관의 장과 공유할 수 있다.
③ 안보위해(危害) 공격에 대한 탐지규칙정보를 국가정보원장으로부터 배포받은 정보보안담당관은 이를 전 소속 분임정보보안담당관에게 다시 배포할 수 있다.
④ 보안관제센터를 운영하는 경우, 정보보안담당관은 제1항에 따른 탐지규칙정보를「공공기관의 정보공개에 관한 법률」제9조제1항에 따른 비공개 대상 정보 및 국가정보원「국가정보자료규정」제2조제1호에 따른 국가정보자료로서 취급ㆍ관리하여야 한다.
⑤ 제3항에 따라 탐지규칙정보를 배포받은 정보보안담당관은 탐지규칙정보를 다음 각 호에 해당하는 방법으로 관리하고 매월 1회 이상 보안관리 실태를 점검하여야 한다.
1. 암호화 저장ㆍ전송
2. 인터넷을 통한 평문 송ㆍ수신 금지
3. 인터넷 등 외부유출 금지
4. 탐지규칙정보 관리시스템의 원격 접속 금지
⑥ 제3항에 따라 탐지규칙정보를 배포받은 정보보안담당관은 탐지규칙정보가 유출된 경우 즉시 그 사실을 국토교통부 장관을 경유하여 국가정보원장에게 통보하여야 한다.
조항 인쇄
제128조 (공격정보 탐지ㆍ수집) ① 보안관제센터를 운영하는 경우, 정보보안담당관은 보안관제 대상소속에 대한 사이버공격에 관한 정보를 탐지ㆍ수집하여야 한다.
② 보안관제센터를 운영하는 경우, 정보보안담당관은 제1항의 업무를 수행하기 위하여 보안관제 대상소속의 분임정보보안담당관과 협의하여 사이버공격에 관한 정보를 실시간 수집하는 장비를 보안관제 대상소속의 정보통신망에 설치ㆍ운용하거나 탐지규칙정보를 제공하여 관련 정보를 실시간 수집할 수 있다.
③ 제125조제1항에 따라 보안관제센터를 운영하는 경우, 정보보안담당관은 탐지ㆍ수집한 사이버공격에 관한 정보 중 안보위해(危害) 공격에 관한 정보는 국가정보원장 및 장관에게 실시간 제공하여야 한다.
④ 제125조제2항에 따라 보안관제센터를 운영하는 경우, 정보보안담당관은「전자정부법 시행령」제69조에 따른 보안조치에 필요하다고 판단하는 경우 안보위해(危害)공격에 관한 정보를 국가정보원장 및 장관에게 실시간 제공할 수 있다.
⑤ 보안관제센터를 운영하는 경우, 정보보안담당관은 사이버공격에 관한 정보를 탐지ㆍ수집하거나 안보위해(危害) 공격에 관한 정보를 탐지ㆍ수집하기 위하여 불가피한 경우 다음 각 호에 해당하는 정보를 처리할 수 있다.
1. 공격 주체 및 피해자를 식별하기 위한 IP주소 및 MAC주소, 전자우편 주소, 정보통신서비스 이용자 계정 정보, 피해자의 성명 및 연락처
2. 사이버공격의 방법 및 피해 확인에 필요한 정보
조항 인쇄
제129조 (초동 조치) ① 정보보안담당관은 사이버공격으로 인한 피해 최소화 및 확산 방지를 위하여 다음 각 호의 사항을 포함한 조치를 취하여야 한다.
1. 사이버공격 경유지(사이버공격에 악용되거나 악용될 우려가 있는 웹사이트 주소, IP주소, 전자우편 주소를 말한다) 및 공격 IP주소 차단
2. 피해 시스템을 정보통신망으로부터 분리하거나 악성프로그램의 동작을 정지시키는 조치
3. 사고 조사를 위한 피해 시스템 및 로그 기록의 보전
② 정보보안담당관은 사이버공격으로 인한 피해를 최소화하기 위하여 필요한 경우 정보시스템 관리책임자에게 피해시스템과 사용자에 관한 정보 제공을 요청할 수 있다.
조항 인쇄
제130조 (조치결과 통보) ① 사이버공격에 관한 정보를 제공받은 정보시스템 관리책임자는 제공받은 날로부터 5일 이내에 대응조치결과를 정보보안담당관에게 제출하여야 한다.
② 정보보안담당관은 국가정보원장이 별도로 요청한 안보위해(危害) 공격을 최초 탐지하거나 초동 조치한 경우 관련내용을 즉시 국가정보원장 및 장관에게 통보하여야 한다.
조항 인쇄
제131조 (운영현황 통보) ① 제125조제1항에 따라 보안관제센터를 운영하는 경우, 정보보안담당관은 [별지 제12호 서식]에 따른 보안관제센터 운영현황을 작성하여 매년 1월25일까지 국가정보원장에게 통보하여야 한다.
② 제1항에 따라 작성되거나 통보받은 자료는 보안관제와 관련한 목적으로만 사용하여야 한다.
조항 인쇄
제132조 (직원 교육) ① 보안관제센터를 운영하는 경우, 정보보안담당관은 보안관제업무 담당직원에 대한 교육 계획을 수립ㆍ시행하여야 한다.
② 보안관제센터를 운영하는 경우, 정보보안담당관은 보안관제업무 담당직원이 격년 20시간 이상 보안관제 관련 교육을 이수하도록 하여야 한다.
제2절 사고 대응
조항 인쇄
제133조 (사이버공격으로 인한 사고) ① 국가정보원「국가사이버안전관리규정」제13조제1항에 따라 사고조사를 실시할 경우 국가정보원장은 안보위해(危害) 공격으로 인한 사고에 대하여 조사를 실시하며, 정보보안담당관은 안보위해(危害) 공격을 제외한 사이버공격으로 인한 사고에 대하여 조사를 실시한다.
② 제1항에 따라 정보보안담당관은 사이버공격으로 인한 사고의 원인 분석 및 재발 방지를 위하여 정보시스템 관리책임자 및 분임정보보안담당관에게 다음 각 호에 해당하는 자료 제출을 요청할 수 있다. 사이버공격으로 인하여 국가정보원「보안업무규정」제38조 및 제45조에 따른 보안사고가 발생한 경우에도 같다.
1. 공격 주체 및 피해자를 식별하기 위한 IP주소 및 MAC주소, 전자우편 주소, 정보통신서비스 이용자 계정 정보, 피해자의 성명 및 연락처
2. 사이버공격에 사용된 악성프로그램 및 공격 과정에서 생성ㆍ변경 또는 복제된 디지털정보
3. 공격 주체가 절취한 디지털정보
4. 공격 주체의 행위가 기록된 내역 또는 로그기록
③ 제2항에 따른 자료 제출을 요청받은 정보시스템 관리책임자 및 분임정보보안담당관은 관계 법규에 저촉되지 않는 범위 내에서 해당 자료를 제출하여야 하며 정보보안담당관은 제출받은 자료를 사고원인 분석, 공격자 의도 파악, 피해영향 평가 등 사이버공격에 대한 예방 및 대응과 관련한 목적으로만 사용하여야 한다.
④ 피해 정보시스템 관리책임자 및 분임정보보안담당관은 사고 원인을 규명할 때까지 피해 시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포맷하여서는 아니 된다.
⑤ 민간 클라우드컴퓨팅서비스의 공공 전용(專用) 클라우드를 이용중에 사고가 발생한 경우 정보보안담당관은 조사 기관의 장과 합동으로 조사반을 구성하여 클라우드컴퓨팅서비스제공자에 대하여 계약의 범위 내에서 자료의 보전 및 제출 요구, 현장 조사 등 필요한 조치를 취하여야 한다.
조항 인쇄
제134조 (정보통신보안 규정 위반 및 자료유출 사고) ① 이사장은 국가정보원 「보안업무규정 시행규칙」[별표 2]에 따른 정보통신보안규정 위반사항에 대한 사실을 통보받은 경우 즉시 필요한 조치를 취하고 위규자, 위규 내용 및 조치 결과를 국토교통부 장관을 경유하여 국가정보원장에게 통보하여야 한다. <개정 2020.12.22>
② 이사장은 비밀ㆍ대외비 등 국가 기밀에 속하는 업무자료가 유출되거나 비공개 업무자료가 유출된 사고 중 대공ㆍ방첩ㆍ테러ㆍ국제범죄조직과 관련된 사안일 경우 즉시 국토교통부 장관을 경유하여 국가정보원장에게 통보하여 합동 조사를 실시하여야 한다.
③ 임직원의 과실로 인하여 개인 소유의 정보통신기기 및 이동통신단말기, 상용 정보통신서비스에서 제2항에 따른 유출사고가 발생한 경우 조사 기관의 장은 이사장을 통해 해당 임직원에게 저장자료ㆍ이용내역 등의 자료 제출을 요청할 수 있다.
④ 임직원은 제3항에 따른 요청이 위법하다고 판단하는 경우 그 사유를 소명하고 자료 제출을 거부할 수 있다.
⑤ 이사장은 제1항 및 제2항에 따른 조사를 통해 유출이 확인된 자료에 대하여 관계 기관의 장과 합동으로 국가안보 및 국익, 정부정책에 미치는 영향을 평가하여 필요한 조치를 취하여야 한다.
⑥ 이사장이 제1항 및 제2항에 따라 국가정보원장에게 통보하는 경우에는 국토교통부 장관에게 함께 통보하여야 한다.
조항 인쇄
제135조 (재발방지 조치) ① 이사장은 제133조 및 제134조에 따른 조사 결과 및 재발방지를 위한 보안조치 사항을 해당 부서의 장에게 통보하여야한다.
② 제1항에 따라 조사 결과를 통보받은 부서의 장은 관계 법규에 따른 관련자 징계, 개선대책 수립ㆍ시행 등 필요한 조치를 취하여야 한다.
조항 인쇄
제136조 (특례) 본 장에서 국가정보원 「국가사이버안전관리규정」 제12조 및 제13조에 따라 규정된 사항을 적용함에 있어서는 「국가사이버안전관리규정」 제18조를 준수한다.
제8장 정보 협력
조항 인쇄
제137조 (정보협조 요청) ① 이사장은 사이버공격에 관한 정보를 종합ㆍ분석하거나 관련 현황을 작성하기 위하여 국토교통부 장관 또는 국가정보원장이 제133조제2항 각 호의 자료 제출 및 관련 지원 요청 시 관계 법규에 저촉되지 않는 범위내에서 해당 자료를 제출하거나 필요한 지원을 할 수 있다. <개정 2020.12.22>
② 제1항 중 「형사소송법」,「군사법원법」또는「통신비밀보호법」에 따른 절차는 해당 법률이 정하는 바에 따른다.
조항 인쇄
제138조 (기관간 정보공유 협력) 정보보안담당관은 사이버공격의 예방 및 신속한 대응을 위하여 다음 각 호에 해당하는 정보(이하 "사이버위협정보"라 한다)를 기관간 상호 공유하도록 노력하여야 한다.
1. 사이버공격의 방법 및 대응조치에 관한 정보
2. 사이버공격에 사용된 악성프로그램 및 이와 관련된 정보
3. 정보통신망, 정보통신기기, 정보보호시스템 및 소프트웨어의 보안취약점에 관한 정보
4. 그 밖에 사이버공격 예방 및 대응에 필요한 정보
조항 인쇄
제139조 (정보공유시스템 이용) ① 정보보안담당관은 사이버위협정보를 체계적이고 효율적으로 배포ㆍ공유하기 위하여 국가정보원장이 구축ㆍ운영한 국가사이버위협 정보공유시스템(이하 "정보공유시스템"이라 한다)을 이용할 수 있다.
② 정보보안담당관은 정보공유시스템 이용 시 접근권한을 부여할 수 있으며 다음 각 호에 해당하는 사항을 준수하여야 한다.
1. 정보공유시스템 전용(專用) 통신망 구축 및 전용(專用) 단말기 운용
2. 정보공유시스템 접근ㆍ활용 및 관련 장비를 운영할 담당자 지정ㆍ운영
3. 담당자가 변경될 경우 국가정보원장에게 통보
조항 인쇄
제140조 (정보공유시스템의 정보 관리) ① 정보공유시스템을 이용하는 정보보안담당관은 정보공유시스템에 등록된 정보를「공공기관의 정보공개에 관한 법률」제9조제1항에 따른 비공개 대상 정보 및 국가정보원「국가정보자료규정」제2조제1호에 따른 국가정보자료로서 취급ㆍ관리하여야 한다.
② 정보공유시스템에 정보를 등록하는 정보보안담당관은 사이버위협정보의 보안성ㆍ민감성 등을 고려하여 열람권한 및 보안등급을 부여할 수 있다.
부 칙 (2020.01.31)
이 지침은 2020년 2월 10일부터 시행한다.
부 칙 (2020.8.27., 내규의 관리 및 운용에 관한 규정)
제1조 (시행일) 이 규정은 2020년 9월 10일부터 시행한다.
제2조 (다른 내규의 개정) 이 규정 시행 당시 제6조에 따라 제정되어 시행중인 다른 내규의 내용 중 "한국철도시설공단법"은 "국가철도공단법"으로, "한국철도시설공단"은 "국가철도공단"으로 한다.
부 칙 (2020.12.22)
이 지침은 2021년 1월 4일부터 시행한다.
별표 및 서식
<별표1> (정보보호시스템 유형별 도입요건)
<별표2> (암호가 주기능인 제품 도입요건)
<별표3> (보안적합성 검증 신청시 제출물)
<별표4> (정보보안 위규자 처리기준(제78조제1항 관련))
<별지1> (보안적합성 검증 신청서)
<별지2> (네트워크장비 변경내용 분석서)
<별지3> (정보통신제품 도입확인서(현황))
<별지4> (정보시스템 관리대장)
<별지5> (전파측정 결과보고서)
<별지6> (암호실 및 암호취급자 현황)
<별지7> (서약서)
<별지8> (암호자재 신청서)
<별지9> (지편자재 사용기록부)
<별지10> (암호자재 운용관리 현황)
<별지11> (암호실 출입자 기록부)
<별지12> (보안관제센터 운영현황)
<별지13> (외주 용역 정보보안 준수 사항)
<별지14> (저장매체 완전삭제 관리대장)
::: 국가철도공단 열린법무정보시스템 :::
law.kr.or.kr
댓글