출처: 행정안전부
행정기관 및 공공기관 정보자원 통합기준 제정(행정안전부고시 제2020-31호, 2020.6.16.) 요약한 글입니다. 출처는 행정안전부이며 행정기관 및 공공기관 정보자원 통합기준 제정(행정안전부고시 제2020-31호, 2020.6.16.)에 대한 글을 다루고 있습니다. 행정기관 및 공공기관 정보자원 통합기준 제정(행정안전부고시 제2020-31호, 2020.6.16.) 내용에 대한 전문이 필요하신 분은 하단으로 가시면 행정기관 및 공공기관 정보자원 통합기준 제정(행정안전부고시 제2020-31호, 2020.6.16.) 다운로드 및 확인하실 수 있습니다.
행정기관 및 공공기관 정보자원 통합기준 제정(행정안전부고시 제2020-31호, 2020.6.16.)
행정기관 및 공공기관 정보자원 통합기준 제정안
1. 제정이유
「전자정부법」제54조 및 같은 법 시행령 제66조에 따라 행정기관 및 공공기관(이하 ’행정기관등‘)의 정보자원을 통합적으로 구축·관리하기 위한 통합기준 및 원칙 등을 정하기 위함
2. 주요내용
가. 통합계획 수립, 정보자원통합심의위원회 심의(안 제5조 및 제6조)
- 행정기관등의 장은 보유한 정보시스템의 규모‧용량, 활용도, 내용연수 및 통합방법 등을 포함하여 정보자원 통합계획을 수립
- 행안부장관은 정보자원통합심의위원회 구성, 정보자원 통합 등을 심의
나. 통합대상 및 통합방법 등 통합기준(안 제8조 및 제9조)
- 행정기관등이 구축‧운영 중인 정보자원 중 특정 장소에 설치‧운영이 불가피한 경우를 제외한 모든 정보자원이 통합대상임
- 신규 도입, 교체할 때에는 민간클라우드센터 또는 공공클라우드센터를 이용하고, 운영 중인 정보자원은 내용연수를 고려하여 이전
다. 민간클라우드센터 및 공공클라우드센터 이용(안 제10조~제16조)
- 국가안보, 수사‧재판, 내부업무 등 주요시스템은 공공클라우드센터로 이전하고 그 밖의 시스템은 민간클라우드센터를 이용
- 공공클라우드센터는 행안부장관이 지정‧취소, 민간클라우드센터는 행정기관등의 장이 「클라우드컴퓨팅서비스 정보보호에 관한 기준」 준수 여부를 확인
3. 참고사항
가. 관계법령 :「전자정부법」제54조 및 같은 법 시행령 제66조
나. 예산조치 : 별도 조치 필요 없음
다. 합 의 : 해당 없음
행정기관 및 공공기관 정보자원 통합기준
제정 2020. 6. 16. 행정안전부고시 제2020-31호
제1장 총 칙
제1조(목적) 이 기준은 「전자정부법」제54조 및 같은 법 시행령 제66조에 따라 행정기관 및 공공기관(이하 “행정기관등”이라 한다)의 정보자원을 통합적으로 구축·관리하기 위한 기준 및 원칙 등을 정함을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 정의는 다음과 같다.
1. “행정기관”이란 「전자정부법」제2조제2호에 따른 행정기관을 말한다.
2. “공공기관”이란 「전자정부법」제2조제3호에 따른 공공기관(「초‧중등교육법」 제3조제3호 및 「고등교육법」 제3조에 따른 사립학교는 제외)을 말한다.
3. “데이터센터”란 정보통신서비스의 제공을 위하여 다수 기관의 정보자원을 일정한 공간에 집적시켜 통합 운영·관리하는 시설을 말한다.
4. “민간클라우드센터”란 과학기술정보통신부장관이 고시한 「클라우드컴퓨팅서비스 정보보호에 관한 기준」에 부합하는 서비스를 제공하는 민간데이터센터를 말한다.
5. “공공클라우드센터”란 국가안보, 수사, 재판, 내부업무처리 등 중요도가 높은 정보시스템을 통합 관리하기 위해 행정기관등의 장이 설치‧운영 중인 데이터센터 중에서 행정안전부장관이 지정한 데이터센터를 말한다.
6. “정보자원”이란 전자정부법 제2조제11호에서 정한 정보자원의 정의 중에서 전자적 수단에 의하여 행정정보의 수집‧가공‧검색을 하기 쉽게 구축한 정보시스템을 말한다.
제3조(적용범위) 행정기관등의 정보자원 통합에 관하여는 다른 법령에 특별한 규정이 있는 경우를 제외하고는 이 기준에서 정하는 바에 따른다.
제4조(기본원칙) ① 행정기관등의 장은 다른 행정기관등의 장으로부터 안전하고 신뢰할 수 있는 정보자원을 제공 받아 이용할 수 있는 경우에는 별도의 데이터센터를 구축‧운영하여서는 아니된다.
② 행정기관등의 장은 다음 각 호의 기본원칙에 따라 정보자원을 통합적으로 구축‧관리하여야 한다.
1. 침해‧위협으로부터 안전하고 신뢰할 수 있는 통합보안환경 구축
2. 정보자원의 효율적 구축‧관리를 위한 표준화 및 공동활용 관리
3. 소규모 전산실 통폐합 및 정보자원의 연계‧통합운영환경 구축
4. 산업 생태계 활성화를 위한 민간클라우드센터 이용 우선 고려
제2장 정보자원 통합 추진
제5조(정보자원 통합계획의 수립) ① 행정기관등의 장은 다음 연도의 정보자원 통합계획(보유하고 있는 정보자원의 현황 및 통계자료를 포함한다)을 수립하여 매년 12월 31일까지 행정안전부장관에게 제출하여야 한다.
② 제1항에 따른 정보자원 통합계획에는 정보시스템의 규모‧용량, 적용기술, 활용도, 내용연수 및 제9조에서 정한 통합방법이 포함되어야 한다.
③ 행정안전부장관은 제1항에 따라 제출된 자료가 미흡하다고 판단할 경우 해당 행정기관등의 장에게 추가 자료 제출 및 보완을 요청할 수 있다.
④ 제3항에 따른 요청을 받은 행정기관등의 장은 특별한 사유가 없으면 이에 따라야 한다.
제6조(정보자원통합심의위원회) ① 행정안전부장관은 정보자원 통합에 관한 다음 각 호의 사항을 심의하기 위하여 관계부처, 학계, 연구기관 등의 전자정부 관련 학식과 경험이 풍부한 전문가로 정보자원통합심의위원회(이하 ’위원회‘라 한다)를 구성·운영할 수 있다.
1. 행정기관등의 정보자원 통합에 관한 사항
2. 정보자원 통합대상 심의‧조정에 관한 사항
3. 행정기관등의 민간클라우드센터 이용에 관한 사항
4. 제14조에 따른 공공클라우드센터 지정 및 취소에 관한 사항
5. 그 밖에 행정안전부장관이 정보자원의 통합적 구축‧관리를 위하여 필요하다고 인정하여 위원회 심의에 부치는 사항
② 행정안전부장관은 위원회를 효율적으로 운영‧지원하기 위하여 관계부처, 학계, 연구기관 등의 실무 전문가로 실무검토반을 구성·운영할 수 있다.
제7조(전문기관) ① 행정안전부장관은 정보자원 통합업무를 효율적으로 수행하기 위하여 「국가정보화기본법」제14조에 따라 설립된 한국정보화진흥원장과 협약을 체결하고 소요비용을 출연할 수 있다.
② 행정안전부장관은 지방자치단체, 「지방공기업법」에 따른 지방공사 및 지방공단의 정보자원 통합지원업무를「전자정부법」제72조에 따라 설립된 한국지역정보개발원에 위탁할 수 있다.
③ 제1항 및 제2항에 따른 전문기관은 다음 각 호의 업무를 수행한다.
1. 행정기관등의 정보자원 통합업무 지원
2. 행정기관등의 민간클라우드센터 이용 지원
3. 공공클라우드센터 지정 및 취소에 관한 업무지원
4. 그 밖에 제6조에 따른 위원회 지원에 관한 사항
④ 행정안전부장관은 전문기관의 업무수행에 필요한 경비의 전부 또는 일부를 지원할 수 있다.
제3장 정보자원 통합기준
제8조(통합대상) ① 정보자원 통합의 대상은 행정기관등의 장이 구축‧운영‧관리하고 있는 모든 정보자원으로 한다.
② 제1항에도 불구하고 다음 각 호와 같이 제도적‧기술적 제약이 있어서 자체 전산실 또는 특정 장소에 설치‧운영이 불가피한 정보자원의 경우에는 통합대상에서 제외한다.
1. 법령상 특정 장소에 설치‧운영하도록 규정된 정보자원
2. 원자력, 상수도, 가스 등 시설제어와 관련한 정보자원
3. 센서, CCTV 등 현장자료를 실시간으로 수집‧전송하는 정보자원
4. 행정기관등의 내부운영을 위한 보안‧통신, 보안관제 등 현장설치가 필요한 정보자원
5. 출입통제, 현장장비제어 등 통신 성능 및 안정성의 사유로 현장에 위치해야 하는 정보자원
제9조(통합방법) ① 행정기관등의 장은 정보자원을 신규로 도입하거나 교체할 때에는 민간클라우드센터 또는 공공클라우드센터를 이용하여야 한다.
② 행정기관등의 장은 운영하고 있는 정보자원의 내용연수를 고려하여 민간클라우드센터 또는 공공클라우드센터로 이전하여야 한다.
③ 행정기관등의 장은 자체 전산실을 설치하여 정보자원을 따로 구축‧운영할 수 없다. 다만 제8조제2항에 따라 통합대상에서 제외되는 경우에는 그러하지 아니하다.
제4장 민간클라우드센터
제10조(민간클라우드센터 이용) ① 행정기관등의 장은 정보자원을 통합할 경우 다음 각 호의 경우를 제외하고는 민간클라우드센터를 이용할 수 있다.
1. 국가 안보와 관련된 비밀, 국가안전, 국방, 통일, 외교·통상 등 국가의 중대 이익에 관련된 정보를 처리하는 경우
2. 범죄 수사, 진행 중인 재판, 형의 집행, 보안처분 등 수사와 재판에 관련된 정보를 처리하는 경우
3. 행정기관의 내부 업무처리를 목적으로 하는 경우
② 제1항에도 불구하고 행정기관등의 장은 민간클라우드센터를 이용할 필요가 있다고 판단할 경우에는 제6조에 따른 위원회의 심의‧조정을 거쳐 민간클라우드센터를 이용할 수 있다.
③ 민간클라우드센터의 이용절차 및 이용계약에 관한 구체적인 사항은 행정안전부장관이 별도로 정한다.
제11조(클라우드 보안) ① 제10조에 따라 민간클라우드센터를 이용하려는 행정기관등의 장은 정보보호 및 소요비용 등을 고려하여 이용계획을 수립하여야 하며, 과학기술정보통신부장관이 고시한 「클라우드컴퓨팅서비스 정보보호에 관한 기준」준수 여부를 확인하여야 한다.
②「초‧중등교육법」제2조 및 「고등교육법」제2조에 따른 학교의 장이 학생들의 수업, 실습 등의 교육 목적으로 민간클라우드센터를 이용하려는 경우에는 제1항의 규정을 적용하지 아니한다.
③ 침해사고의 예방 및 대응 등에 관한 책임은 행정기관등의 장에게 있으며, 행정기관등의 장은 다른 법령에서 정한 침해사고의 예방 및 대응에 필요한 모든 조치를 하여야 한다.
제12조(민감정보의 처리) ① 행정기관등의 장은 다음 각 호와 같이 정보자원에 대한 침해사고 발생 시 업무처리를 곤란하게 하거나 개인의 이익을 침해할 우려가 있는 경우에는 민간클라우드센터의 안전성을 충분히 검토하여야 한다.
1. 공공기관의 전자결재, 인사, 회계관리 등 중요한 내부정보를 처리하는 경우
2. 「개인정보보호법시행령」제35조에 따라 개인정보영향평가의 대상이 되는 개인정보 파일을 처리하는 경우
3. 침해사고의 예방 및 대응 등 보안과 관련된 서비스를 이용하는 경우
② 행정기관등의 장은 제1항에 따라 민감정보를 민간클라우드센터를 통해 처리하기 부적절하다고 판단할 경우에는 제13조에 따른 공공클라우드센터를 이용할 수 있다.
제5장 공공클라우드센터
제13조(공공클라우드센터 이용) ① 행정기관등의 장은 정보자원을 통합하기 위하여 제10조에 따라 민간클라우드센터를 이용하는 경우를 제외하고는 공공클라우드센터를 이용하여야 한다.
② 제1항에 따라 공공클라우드센터를 이용하려는 행정기관등의 장은 공공클라우드센터의 장에게 정보자원의 이전 및 통합에 대한 협의를 요청할 수 있다. 이 경우 공공클라우드센터의 장은 특별한 사유가 없으면 이에 따라야 한다.
제14조(공공클라우드센터 지정 및 취소) ① 행정안전부장관은 행정기관등이 설치‧운영 중인 데이터센터 중에서 정보자원의 수용 규모, 정보보호 전문성 등을 고려하여 다수의 행정기관등의 정보자원을 통합 운영할 수 있는 기관을 공공클라우드센터로 지정할 수 있다.
② 제1항에 따라 공공클라우드센터로 지정을 받고자 하는 기관은 별표 1의 지정요건을 갖추어 행정안전부장관에게 신청하여야 한다.
③ 행정안전부장관은 공공클라우드센터가 다음 각 호의 어느 하나에 해당하는 경우에는 그 지정을 취소하거나 6개월 이내의 기간을 정하여 그 업무의 전부 또는 일부의 정지를 명할 수 있다.
1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우
2. 별표 1의 지정요건에 적합하지 아니하게 된 경우
3. 제1항에 따라 공공클라우드센터로 지정받은 행정기관등의 장이 지정 취소를 요청한 경우
제15조(공공클라우드센터의 책무) ① 공공클라우드센터는 다음 각 호의 업무를 수행한다.
1. 정보자원의 통합 및 유지ㆍ관리
2. 사이버침해에 대비한 보안관제 및 침해 대응
3. 정보통신망 구축 및 관리
4. 정보시스템 재해복구 등에 관한 계획의 수립 및 시행
5. 행정기관등의 정보서비스를 지원하기 위해 별표 2로 정한 사항
6. 그 밖에 정보자원의 안정적인 운영․관리에 필요한 사항
② 공공클라우드센터의 장은 침해사고 발생 시 국가 안보 및 사회‧경제에 파장을 일으킬 우려가 있는 소관 정보자원을 따로 구분하여 안전하고 효율적으로 운영하여야 한다.
③ 공공클라우드센터의 장은 공공클라우드센터로 통합된 정보자원에 대하여 침해사고의 예방 및 대응에 관한 모든 책임을 진다. 다만, 행정기관등의 고의 또는 과실이 분명한 경우에는 그러하지 아니하다.
④ 공공클라우드센터 운영에 필요한 재원은 다음 각 호의 방법으로 마련한다.
1. 공공클라우드센터 운영에 필요한 시설 및 운영비용의 전부 또는 일부를 자체 예산으로 확보
2. 공공클라우드센터를 이용하는 행정기관등의 장에게 소관 정보자원의 구축‧운영에 소요되는 비용을 징수
제16조(공공클라우드센터 관리) ① 행정안전부장관은 제14조에 따라 지정된 공공클라우드센터를 관리한다.
② 행정안전부장관은 정보자원 통합을 위해 필요한 경우에는 다음 각 호의 정보자원을 조사할 수 있다.
1. 행정기관 및 그 소속기관이 구축‧운영하고 있는 정보자원
2. 「공공기관의 운영에 관한 법률」 제5조제3항에 따른 준정부기관이 수탁 운영 중인 중앙행정기관의 정보자원
3. 행정기관등의 장이 민간기관에 위탁 운영 중인 정보자원 중에서 중요도가 높고 침해사고 발생시 국가안보 및 사회‧경제에 파장을 일으킬 우려가 있는 정보자원
③ 행정안전부장관은 제2항에 따른 정보자원 조사 결과를 해당 기관의 장에게 통보하고 정보자원 통합에 필요한 조치를 요구할 수 있다. 이 경우 해당 기관의 장은 특별한 사유가 없으면 이에 따라야 한다.
④ 행정안전부장관은 제1항 및 제2항에 관한 사항을 행정안전부 소속의 국가정보자원관리원의 장에게 위임할 수 있다.
제6장 보칙
제17조(재검토기한) 행정안전부장관은 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 7월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 법령이나 현실 여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 한다.
부 칙
제1조(시행일) 이 기준은 발령한 날로부터 적용한다.
[별표1]
공공클라우드센터 지정요건(제14조제2항 관련)
구 분
세 부 조 치 사 항
1.
전력
1.1
전산운영
1.1.1.
전산실
서버, 스토리지 등의 정보통신장비와 함께 소방설비, CCTV 등을 구비하여 물리적 안정성이 보장되어야 하며, 외부와 공간이 분리되어 접근 통제가 가능하여야 한다.
1.1.2. 전력공급시설
정전, 전압 변동 등의 상황이 발생하더라도 센터에 안정적인 전력을 공급하기 위한 수·배전, 무정전전원장치 등을 구비해야 한다.
1.1.3.
공조시설
전산실 내부를 일정한 온도 및 습도로 유지하기 위한 시설 또는 외기 냉방시설 등을 구비해야 한다.
1.1.4.
비상발전시설
장시간 정전이 발생할 경우 센터 전체부하를 감당할 수 있도록 비상발전기 등 자체 전력공급 능력을 구비해야 한다.
1. 정보보호 정책 및 조직
1.1.
정보보호 정책
1.1.1.
정보보호 정책 수립
정보보호 정책을 문서화하고, 정보보호 최고책임자의 승인 후 정책에 영향을 받는 모든 업무 관련자에게 제공하여야 한다.
1.1.2.
정보보호 정책 검토 및 변경
정보보호 정책의 타당성 및 효과를 연 1회 이상 검토하고, 관련 법규 변경 및 내·외부 보안사고 발생 등의 중대한 사유가 발생할 경우에는 추가로 검토하고 변경하여야 한다.
1.1.3.
정보보호 정책문서 관리
정보보호 정책 및 정책 시행문서의 이력관리 절차를 수립‧시행하여야 한다.
1.2.
정보보호 조직
1.2.1.
조직 구성
정보보호 활동을 계획‧실행‧검토하는 정보보호 전담조직을 구성하고 정보보호 최고책임자를 임명하여야 한다.
1.2.2.
역할 및 책임 부여
정보자산과 보안에 관련된 모든 업무 관련자의 정보보호 역할과 책임을 명확하게 정의하여야 한다.
1.2.3.
보안에 관한 책무
센터는 보안침해사고에 대한 무한책임을 지고 침해사고의 예방‧ 대응‧복구활동을 수행하여야 한다. 다만, 응용프로그램 또는 콘텐츠의 취약점, 이용자의 계정정보 관리 미흡 등 입주기관의 보안정책 미준수로 인해 발생하는 사고의 책임은 입주기관에게 있다.
2. 인적보안
2.1.
내부인력 보안
2.1.1.
주요 직무자 지정 및 감독
정보시스템 운영‧개발 및 정보보호 등에 관련된 부서장의 경우 주요 직무자로 지정하여 관리하고, 직무 지정 범위는 최소화하여야 한다.
2.1.2.
직무 분리
권한 오남용 등 내부 부서장의 고의적인 행위로 발생할 수 있는 잠재적인 위협을 줄이기 위하여 직무분리 기준을 수립하고 적용하여야 한다.
2.1.3.
비밀유지서약서
정보보호와 개인정보보호 등을 위해 필요한 사항을 비밀유지서약서에 정의하고 주기적으로 갱신하여야 한다.
2.1.4.
퇴직 및 직무변경
직원의 퇴직 또는 직무 변경에 관한 책임을 명시적으로 정의하고 수행하여야 한다. 또한 이에 대한 접근권한도 제거하여야 한다.
2.2.
외부인력 보안
2.2.1.
외부인력 계약
외부인력(외부유지보수직원, 외부용역자 포함)에 의한 정보자산 접근 등과 관련된 보안요구사항을 계약에 반영하여야 한다.
2.2.2.
외부인력 보안 이행 관리
계약서에 명시한 보안요구사항 준수 여부를 주기적으로 점검하고 위반사항이나 침해사고 발생 시 적절한 조치를 수행하여야 한다.
2.2.3.
계약 만료 시 보안
외부인력과의 계약 만료 시 자산 반납, 접근권한의 회수, 중요정보 파기, 업무 수행 시 알게 된 정보에 대한 비밀 유지서약 등을 확인하여야 한다.
2.3.
정보보호 교육
2.3.1
교육 프로그램 수립
모든 직원 및 외부 업무 관련자를 포함하여 연간 정보보호 교육 프로그램을 수립하여야 한다.
2.3.2.
교육 시행
모든 직원 및 외부 업무 관련자를 대상으로 연 1회 이상 정보보호 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 내·외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생하면 추가 교육을 실시하여야 한다.
2.3.3.
평가 및 개선
정보보호 교육 시행에 대한 기록을 남기고 결과를 평가하여 개선하여야 한다.
3. 자산관리
3.1.
자산 식별 및 분류
3.1.1.
자산 식별
정보자산(시설, 장비, 소프트웨어 등)에 대한 자산분류기준 수립하고 식별된 자산의 목록을 작성하여 관리하여야 한다.
3.1.2.
자산별 책임할당
식별된 자산마다 책임자 및 관리자를 지정하여 책임소재를 명확히 하여야 한다.
3.1.3.
보안등급 및 취급
기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 자산의 보안등급을 부여하고, 보안등급별 취급 절차에 따라 관리하여야 한다.
3.2.
자산 변경관리
3.2.1.
변경관리
정보자산(시설, 장비, 소프트웨어 등)의 변경이 필요한 경우 보안 영향 평가를 통해 변경 사항을 관리하여야 한다. 또한 이용자에게 큰 영향을 주는 변경에 대해서는 사전에 공지를 하여야 한다.
3.2.2.
변경 탐지 및
모니터링
정보자산(시설, 장비, 소프트웨어 등)의 변경을 지속적으로 모니터링하여 허가 받지 않은 변경을 탐지하고 최신의 변경 이력을 유지하여야 한다.
3.2.3.
변경 후
작업검증
정보자산(시설, 장비, 소프트웨어 등)의 변경 후에는 보안성 및 호환성 등에 대한 작업검증을 수행하여야 한다.
3.3.
위험관리
3.3.1.
위험관리계획
수립
관리적, 기술적, 물리적, 법적 분야 등 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법과 계획을 사전에 수립하여야 한다.
3.3.2.
취약점 점검
취약점 점검 정책에 따라 주기적으로 기술적 취약점(예 : 유·무선 네트워크, 운영체제 및 인프라, 응용 프로그램 취약점 등)을 점검하고 보완하여야 한다.
3.3.3.
위험분석 및 평가
위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 수용 가능한 위험수준을 설정하여 관리하여야 한다.
3.3.4.
위험처리
법규 및 계약관련 요구사항과 위험수용 수준을 고려하여 위험평가 결과에 따라 통제할 수 있는 방법을 선택하여 처리하여야 한다.
4. 침해사고관리
4.1.
침해사고 대응 절차 및 체계
4.1.1.
침해사고 대응
절차 수립
침해사고에 대한 효율적이고 효과적인 대응을 위해 신고절차, 유출 금지 대상, 사고 처리 절차 등을 담은 침해사고 대응절차를 마련하여야 한다. 침해사고 대응절차는 센터와 입주기관의 책임과 절차가 포함되어야 한다.
4.1.2.
침해사고 대응
체계 구축
침해사고 정보를 수집·분석·대응할 수 있는 보안관제 시스템 및 조직을 구성·운영하고, 침해사고 유형 및 중요도에 따라 보고 및 협력체계를 구축하여야 한다.
4.1.3.
침해사고 대응
훈련 및 점검
침해사고 대응과 관련된 역할 및 책임이 있는 담당자를 훈련시켜야 하고, 주기적으로 침해사고 대응 능력을 점검하여야 한다.
4.2.
침해사고 대응
4.2.1.
침해사고 보고
침해사고 발생 시 침해사고 대응절차에 따라 법적 통지 및 신고 의무를 준수하여야 한다. 또한 입주기관에게 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.
4.2.2.
침해사고
처리 및 복구
침해사고 발생 시 침해사고 대응절차에 따라 처리와 복구를 신속하게 수행하여야 한다
4.3.
사후관리
4.3.1.
침해사고
분석 및 공유
침해사고가 처리 및 종결된 후 발생 원인을 분석하고 그 결과를 입주기관에게 알려야 한다. 또한 유사한 침해사고에 대한 신속한 처리를 위해 침해사고 관련 정보 및 발견된 취약점을 행정안전부, 국가정보원 등 사이버 보안 유관기관과 공유하여야 한다.
4.3.2.
재발방지
침해사고 관련 정보를 활용하여 유사한 침해사고가 반복되지 않도록 침해사고 재발방지 대책을 수립하고, 필요한 경우 침해사고 대응 체계도 변경하여야 한다.
5. 서비스연속성관리
5.1.
장애대응
5.1.1.
장애 대응절차
수립
업무 연속성을 보장하기 위해 백업, 복구 등을 포함하는 장애 대응 절차를 마련하여야 한다.
5.1.2.
장애 보고
서비스 중단이나 피해가 발생 시 장애 대응절차에 따라 법적 통지 및 신고 의무를 준수하여야 한다. 또한 입주기관에게 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.
5.1.3.
장애
처리 및 복구
서비스 중단이나 피해가 발생할 경우, 서비스 수준 협약(SLA)에 명시된 시간 내에 장애대응절차에 따라 해당 서비스의 장애를 처리하고 복구시켜야 한다.
5.1.4.
재발방지
장애 관련 정보를 활용하여 유사한 서비스 중단이 반복되지 않도록 장애 재발방지 대책을 수립하고, 필요한 경우 장애 대응 절차도 변경하여야 한다.
5.2.
서비스 가용성
5.2.2.
이중화 및 백업
서버, 스토리지, 네트워크 장비, 통신 케이블, 접속 회선 등의 장애로 서비스가 중단되지 않도록 이중화하고, 장애 및 재난재해 발생 시 신속하게 복구를 수행하도록 백업체계를 구축하여야 한다.
6. 준거성
6.1.
법 및 정책 준수
6.1.1.
법적요구사항
준수
정보보호 관련 법적 요구사항을 식별하고 준수하여야 한다.
6.1.2.
정보보호 정책
준수
정보보호 정책 및 서비스 수준 협약에 포함된 보안 요구사항을 식별하고 준수하며 이용자가 요구하는 경우 관련 증거를 제공하여야 한다.
6.2.2.
감사기록 및
모니터링
보안감사 증적(로그)은 식별할 수 있는 형태로 기록 및 모니터링 되어야 하고 비인가된 접근 및 변조로부터 보호되어야 한다.
7. 물리적
보안
7.1.
물리적 보호구역
7.1.1.
물리적 보호구역 지정
중요 정보 및 정보처리시설을 보호하기 위한 물리적 보안 구역(예 : 주요 정보처리 설비 및 시스템 구역, 사무실, 외부인 접견실 등)을 지정하고, 각 보안 구역에 대한 보안 대책을 마련하여야 한다.
7.1.2.
물리적 출입통제
물리적 보안 구역에 인가된 자만이 접근할 수 있도록 출입을 통제하는 시설(예 : 경비원, 출입 통제 시스템 등)을 갖추어야 하고, 출입 및 접근 이력을 주기적으로 검토하여야 한다.
7.1.3.
물리적 보호구역 내 작업
유지보수 등 주요 정보처리 설비 및 시스템이 위치한 보호구역 내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토하여야 한다.
7.1.4.
사무실 및 설비 공간 보호
사무실 및 설비 공간에 대한 물리적인 보호방안을 수립하고 적용하여야 한다.
7.1.5.
운송·하역구역 보호
공공장소 및 운송․하역을 위한 구역은 내부 정보처리시설로부터 분리 및 통제하여야 한다.
7.1.6.
모바일 기기 반출·입
노트북 등 모바일 기기 미승인 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방을 위하여 보호구역 내 직원 및 외부인력 모바일 기기 반출입 통제절차를 수립하고 기록·관리하여야 한다
7.2.
정보처리
시설 및 장비보호
8.2.1.
정보처리시설의 배치
물리적 및 환경적 위험으로부터 잠재적 손상을 최소화하고 비인가 된 접근 가능성을 최소화하기 위하여, 정보처리시설 내 장비의 위치를 파악하고 배치하여야 한다.
8.2.2.
보호설비
각 보안 구역의 중요도 및 특성에 따라 화재, 누수, 전력 이상 등 자연재해나 인재에 대비하여 화재 감지기, 소화 설비, 누수 감지기, 항온 항습기, 비상발전기, 무정전 전원 장치(UPS), 이중 전원선 등의 설비를 갖추어야 한다.
8.2.3.
케이블 보호
데이터를 송수신하는 통신케이블이나 전력을 공급하는 전력 케이블은 손상이나 도청으로부터 보호하여야 한다.
8.2.4.
시설 및 장비 유지보수
정보처리시설은 가용성과 무결성을 지속적으로 보장할 수 있도록 유지보수 하여야 한다.
8.2.5.
장비 반출·입
장비의 미승인 반출·입을 통한 중요 정보 유출, 악성코드 감염 등의 침해사고 예방을 위하여, 보안 구역 내 직원 및 외부 업무 관련자에 의한 장비 반출·입 절차를 수립하고, 기록 및 관리하여야 한다.
8.2.6.
장비 폐기 및 재사용
정보처리시설 내의 저장 매체를 포함하여 모든 장비를 파악하고, 민감한 데이터가 저장된 장비를 폐기하는 경우 복구 불가능하도록 하여야 한다. 또한 재사용하는 경우에도 복구 불가능 상태에서 재사용하여야 한다.
8. 접근통제
8.1.
접근통제 정책
8.1.1.
접근통제 정책 수립
비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다.
8.1.2.
접근기록 관리
접근기록 대상을 정의하고 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 수 있는 형태로 기록되고 유지하여야 한다.
8.2.
접근 권한 관리
8.2.2.
사용자 등록 및 권한부여
시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.
8.2.3.
관리자 및 특수 권한관리
시스템 및 중요정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제하여야 한다.
8.2.4.
접근권한 검토
시스템 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검하여야 한다.
8.3.
사용자 식별 및 인증
8.3.1.
사용자 식별
시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
8.3.2.
사용자 인증
시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하여야 한다.
8.3.3.
패스워드 관리
법적 요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 패스워드 관리절차를 수립·이행하여야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리하여야 한다.
9. 네트워크 보안
9.1. 네트워크 보안
9.1.1.
보안 정책 수립
서비스와 관련된 내·외부 네트워크에 대해 보안 정책과 절차를 수립하여야 한다.
9.1.2.
네트워크 모니터링 및 통제
DDoS, 비인가 접속 등으로 인한 서비스 중단 및 중요 정보 유출 등을 막기 위해 네트워크를 모니터링하고 통제하여야 한다.
9.1.3.
네트워크 정보보호
서비스와 관련된 내·외부 네트워크를 보호하기 위하여 정보보호시스템(방화벽, IPS, IDS, VPN 등)을 운영하여야 한다.
9.1.4.
네트워크 암호화
시스템에서 중요 정보가 이동하는 구간에 대해서는 암호화된 통신채널을 사용하여야 한다.
9.1.5.
네트워크 분리
시스템관리 영역과 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리하여야 한다. 행정기관의 경우 행정업무망과 인터넷의 망분리를 유지하여야 한다.
9.1.6.
무선 접근통제
시스템은 무선망과 분리하고 무선접속에 대한 접근을 통제하여야 한다. 무선접속을 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다
10.
가상화 보안
10.1.
가상화 인프라
10.1.1.
가상자원 관리
가상화기술을 적용한 경우 가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등)의 생성, 변경, 회수 등에 대한 관리 방안을 수립하여야 한다.
10.1.2.
가상자원 모니터링
가상화기술을 적용한 경우 가상자원에 대한 무결성을 보장하기 위한 보호조치 및 가상자원의 변경(수정, 이동, 삭제, 복사)에 대해 모니터링 하여야 한다. 또한, 가상자원에 손상이 발생한 경우 이를 입주기관에게 알려주어야 한다.
10.1.3.
하이퍼바이저 보안
가상화기술을 적용한 경우 가상자원을 관리하는 하이퍼바이저의 기능 및 인터페이스에 대한 접근 통제 방안을 마련하여야 한다. 또한 하이퍼바이저에 대한 소프트웨어 업데이트 및 보안패치를 최신으로 유지하여야 한다.
10.1.4.
공개서버 보안
가상화기술을 적용한 경우 가상자원을 제공하기 위한 웹사이트와 가상소프트웨어(앱, 응용프로그램)를 배포하기 위한 공개서버에 대한 물리적, 기술적 보호대책을 수립하여야 한다.
10.1.5.
상호 운용성 및 이식성
가상화기술을 적용한 경우 표준화된 가상화 포멧, 이식성이 높은 가상화 플랫폼, 공개 API 등을 이용하여 서비스 간의 상호 운용성 및 이식성을 높여야 한다.
11.
데이터 보호 및 암호화
11.1
보안인증
11.1.1
CC인증
서비스 구축을 위해 도입되는 서버·PC 가상화 솔루션 및 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용하여야 한다.
11.1.2
검증필 암호화
정보시스템을 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 국가표준암호화 기술을 제공하여야 한다.
12.2
매체 보안
12.2.1.
저장매체 관리
중요정보를 담고 있는 하드디스크, 스토리지 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제하여야 한다.
12.2.2.
이동매체 관리
중요정보 유출을 예방하기 위해 외장하드, USB, CD 등 이동매체 취급, 보관, 폐기, 재사용에 대한 절차를 수립하여야 한다. 또한 매체를 통한 악성코드 감염 방지 대책을 마련하여야 한다.
12.3.
암호화
12.3.1.
암호 정책 수립
저장 또는 전송 중인 데이터를 보호하기 위해 암호화 대상, 암호 강도(복잡도), 키관리, 암호 사용에 대한 정책을 마련하여야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영하여야 한다.
12.3.2.
암호키 관리
암호키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고, 암호키는 별도의 안전한 장소에 보관하여야 한다.
[별표2]
공공클라우드센터 서비스수준협약 기준(제15조제1항 관련)
1. 서버관리
서비스 종류
내 용
서버 모니터링
서버 자원의 운영상태 및 관련 로그를 감시하고 발생된 이벤트의 수집 및 분석을 통해 서버 운영 상태 최적화
서버 성능/용량관리
서버 자원의 성능 및 용량 정보수집, 자원사용 추이분석을 통해 서버 개선
서버 변경관리
서버의 변경에 대한 계획, 검토, 승인, 구현, 검증, 변경이력의 관리활동 수행
서버 장애관리
서버의 장애를 조치하고, 장애 예방점검을 정기적으로 수행
2. 시스템소프트웨어 관리
서비스 종류
내 용
시스템소프트웨어 모니터링
시스템소프트웨어의 운영상태 및 관련 로그를 모니터링 하고, 발생된 이벤트 수집 및 분석을 통해 운영 상태 최적화
시스템소프트웨어
패치 및 업그레이드
시스템소프트웨어에 대해 확인된 오류 수정, 성능개선 등이 요구되는 경우, 안정성이 검증된 패치 적용 및 업그레이드 수행
시스템소프트웨어
장애관리
시스템소프트웨어의 장애 조치, 예방점검의 정기적 수행 및 이에 대한 결과분석과 개선활동 수행
DBMS 운영
DBMS 환경구성, 공간관리, 성능관리 등을 통해 최적의 가동상태 유지ㆍ관리
3. 스토리지 관리
서비스 종류
내 용
스토리지 모니터링
스토리지의 운영상태 및 관련 로그 확인ㆍ분석을 통해 운영상태 최적화
스토리지
성능/용량관리
스토리지의 성능/용량 정보 수집 및 분석을 통해 개선활동 수행
스토리지 장애관리
스토리지의 장애를 조치 및 장애 예방점검을 정기적으로 수행
4. 백업 및 복구 관리
서비스 종류
내 용
백업관리
백업정책 및 지침에 따라 백업 수행
백업 모니터링
백업장비 운영상태 및 관련 로그 확인ㆍ분석을 통해 운영상태 최적화
백업 성능/용량 관리
백업장비의 성능/용량 정보 수집 및 분석을 통해 개선활동 수행
복구관리
데이터 유실로부터 데이터의 일관성 유지
5. 보안관리
서비스 종류
내 용
보안정책 운영∙관리
체계적이고 일관성 있는 침입차단, 침입탐지, 접근제어에 대한 보안정책 운영, 관리
보안관제(모니터링)
사이버위협으로부터 센터 내 정보시스템을 안전하게 보호하기 위해 24시간 실시간 보안관제 및 초동대응 수행
보안 이벤트 로깅/분석
유해 트래픽을 분석하여 보안취약점을 보완하고 이를 보안정책에 반영
정보보호시스템 운영
정보보호시스템의 운영관리 및 정책관리 수행
원격접근관리
이용기관에 안전한 원격접근을 허용함
계정관리
정보시스템의 계정관리를 통해서 정보유출 방지
웹 보안관제
HTTP 포트를 통해 유입되는 트래픽 감시 및 차단
웹 보안 취약점
점검 및 제거 (지원)
웹 응용프로그램에 대한 취약점 점검 및 제거를 수행 함
취약점 분석
서버 및 네트워크에 잠재되어 있는 취약점 분석 및 제거
정밀진단
(해킹훈련지원)
정보시스템에 의도적으로 해킹을 시도하여 보안상 허점을 발견하고 제거 방안 수립
6. 센터 통신망관리
서비스 종류
내 용
통신망 모니터링
센터 내 통신망 상태 및 관련 로그를 감시하고 발생된 이벤트 수집 및 분석
통신망 성능/용량관리
센터 내 통신망의 성능/용량 정보 수집 및 추이분석을 통해 개선활동 수행
통신망 변경관리
센터 내 통신망 변경수행 및 변경이력 관리
통신망 장애관리
센터 내 통신망에 대한 장애 조치 및 장애 예방 점검의 정기적 수행
7. 재해복구관리
서비스 종류
내 용
재해복구시스템 운영∙관리
재해복구시스템의 운영․관리
원격지 데이터
소산 및 보관
소산대상으로 선정된 정보시스템의 백업매체를 정해진 주기에 따라 원격장소로 이송하여 보관
8. 시스템 현황 공유
서비스 종류
내 용
시스템 구조진단
개별 운영업무 시스템의 전체 영역(서버, 네트워크, 보안, AP 등) 대상으로 종합 진단하고 개선방안을 도출・조치하여 서비스 가용성 및 안정성 제고
운영현황보고서 제공
센터가 운영ㆍ관리하는 정보시스템 대한 월간운영 현황보고서
웹 로그 분석 및 보고
웹서버 로그파일을 기반으로 웹사이트 운영에 필요한 정보 제공