출처: 국토교통부
국토교통부 정보보안업무규정 일부개정안 요약한 글입니다. 출처는 국토교통부이며 국토교통부 정보보안업무규정 일부개정안에 대한 글을 다루고 있습니다. 국토교통부 정보보안업무규정 일부개정안 내용에 대한 전문이 필요하신 분은 하단으로 가시면 국토교통부 정보보안업무규정 일부개정안 다운로드 및 확인하실 수 있습니다.
행정규칙(훈령·예규·고시)
1. 개정이유 □ 우리부내 정보보호 업무 소관 부서 신설(‘15. 11. 30) 및 정보시스템 구축 ․ 운영 시 소프트웨어 개발보안 강화 ㅇ 정보보호담당관 신설에 따라 정보화통계담당관 소관 정보보안
www.molit.go.kr
국토교통부 정보보안업무규정 일부개정안
1. 개정이유
□ 우리부내 정보보호 업무 소관 부서 신설(‘15. 11. 30) 및 정보시스템 구축 ․ 운영 시 소프트웨어 개발보안 강화
ㅇ 정보보호담당관 신설에 따라 정보화통계담당관 소관 정보보안 업무를 정보보호담당관실로 조정하고, 정보시스템 구축 ․ 운영 시 사이버 보안위협에 대응할 수 있는 안전한 SW 개발 관련 보안관리 사항을 구체적으로 정하기 위함
2. 주요 개정내용
가. 정보보호담당관 신설에 따른 정보보안 운영사항 반영(제5조제2항)
나. 정보시스템 구축 · 운영 시 소프트웨어 개발 관련 보안관리 강화(제42조제3항)
1. 소프트웨어 개발 또는 변경 시 보안대책 적용 명시(신설)
다. 국토교통부 보안업무 규칙 개정 사항 반영(제63조제2항제10호, 제83조제4항, 제89조제1항, 제89조제1항, 제93조제6항, 제102조제3항, 제127조제5항, 제128조제20호)
3. 참고 사항
가. 관계법령 : 생략
나. 예산조치 : 해당 없음
다. 효력발생 시점 : 동 규정은 개정한 날부터 즉시 시행
라. 기 타 : 개정된 훈령은 우리부 내부망에 등재
붙임 1. 국토교통부 정보보안업무규정 일부개정안
2. 개정안 신․구 조문 대비표
3. 개정안 전문
붙임1
국토교통부 정보보안업무규정 일부개정안
국토교통부 훈령 제 667 호
『국토교통부 정보보안업무규정』(국토교통부훈령 제501호, 2015.3.23) 일부를 다음과 같이 개정한다.
2016년 2월15일
국토교통부장관
국토교통부 정보보안업무규정 일부개정안
국토교통부 정보보안업무규정 일부를 다음과 같이 개정한다.
제5조제2항 중 “정보화”를 “정보보안”으로 한다.
제42조의 제목 “(정보시스템 개발보안)”을 “(정보시스템 및 소프트웨어 개발보안)”으로 한다.
제42조제3항을 제4항으로 하고, 제4항(종전의 제3항) 중 “제1항 및 제2항과”를 “제1항에서 제3항까지와”로, “경우에는”을 “국토교통부 소프트웨어 보안취약점을 포함한”으로 하며, 같은 조에 제3항을 다음과 같이 신설한다.
③ 시스템 개발을 포함한 소프트웨어 개발 또는 변경 시 보안 취약점이 없도록 “국토교통부 소프트웨어 개발보안가이드”를 참고하여 보안대책을 적용하여야 한다.
제63조제2항제10호 중 “제7조제3항”을 “제16조제3항”으로 한다.
제83조제4항 중 “보안업무시행세칙”을 “보안업무규칙”으로 한다.
제89조제1항 중 “보안업무시행세칙”을 “보안업무규칙”으로 한다.
제93조제6항 중 “보안업무 시행세칙”을 “보안업무규칙”으로 한다.
제102조제3항 중 “보안업무시행세칙”을 “보안업무규칙”으로 한다.
제127조제5항 중 “보안업무 시행세칙”을 “보안업무규칙”으로 한다.
제128조에 제10호를 다음과 같이 신설 하고, 같은 조 제20호 중 “보안업무 시행세칙”을 “보안업무규칙”으로 한다.
10. 「행정기관 및 공공기관 정보시스템 구축·운영 지침」
별지 제7호서식을 별지와 같이 한다.
부 칙
이 훈령은 발령한 날로부터 시행한다.
【 별지 제7호 서식 】
서 약 서
본인은 년 월 일부로 국가용 보안시스템과 관련한 업무(연구개발, 제작, 입찰, 그 밖의 업무)를 수행함에 있어 다음 사항을 준수할 것을 엄숙히 서약합니다.
1. 본인은 국가용 보안시스템과 관련된 소관업무가 국가기밀 사항임을 인정하고 제반 보안관계규정 및 지침을 성실히 준수한다.
2. 나는 이 기밀을 누설함이 이적행위가 됨을 명심하고 재직 중은 물론 퇴직 후에도 알게 된 모든 기밀사항을 일절 타인에게 누설하지 아니한다.
3. 나는 기밀을 누설한 때에는 아래의 관계법규에 따라 엄중한 처벌을 받을 것을 서약한다.
가.「국가보안법」 제4조 제1항 제2호 및 제5호(국가기밀 누설 등)
나.「형법」 제99조(일반이적) 및 제127조(공무상 비밀의 누설)
다.「군형법」 제80조(군사기밀 누설)
라.「군사기밀보호법」 제9조(누설) 및 제13조 (업무상 누설)
년 월 일
서약자 소속 직급 생 년 월 일
직위 성 명 인
서 약 소속 직급 생 년 월 일
집행자 직위 성 명 인
붙임2
개정안 신․구 조문 대비표
현 행
개 정 안
제5조(정보보안담당관 운영) ① (생략)
제5조(정보보안담당관 운영) ① (현행과 같음)
② 각급기관의 장은 제1항과 관련한 정보보안 조직을 지휘하고 각급기관에 대한 정보보안 업무를 총괄하기 위하여 정보화담당 부서의 장을 ‘정보보안담당관’으로 임명하여야 한다. 다만, 직제에 정보화분야의 조직이 없을 경우 기관의 여건에 따라 정보보안담당관을 따로 지정할 수 있다.
② ------------------------------------------------------------------------------------------ 정보보안---------------------------------------------------- 정보보안----------------------------------------------------------------.
③~⑤ (생 략)
③~⑤ (현행과 같음)
제42조(정보시스템 개발보안) ①․② (생략)
제42조(정보시스템 및 소프트웨어 개발보안) ①․② (현행과 같음)
<신 설>
③ 시스템 개발을 포함한 소프트웨어 개발 또는 변경 시 보안 취약점이 없도록 ‘국토교통부 소프트웨어 개발보안가이드’를 참고하여 보안대책을 적용하여야 한다.
③ 정보보안담당관은 제1항 및 제2항과 관련하여 보안대책의 적절성을 수시로 점검하고 정보시스템 개발을 완료한 경우에는 정보보안 요구사항을 충족하는지 시험 및 평가를 수행하여야 한다.
④ -------------- 1항에서 제3항까지와------------------------
-----------------------------
---------- 경우에는 국토교통부 소프트웨어 보안취약점을 포함한 -------------------------------------------.
제63조(용역사업 보안관리) ① (생략)
제63조(용역사업 보안관리) ① (현행과 같음)
② 각급기관의 장은 용역사업 추진시 과업지시서·입찰 공고·계약서에 다음 각 호의 누출금지 대상정보를 명시해야 하며 해당 정보 누출 시 「국가를 당사자로 하는 계약에 관한법률(이하 “국가계약법”이라 한다)시행령」제76조제1항 제18호에 따라 사업 책임자를 부정당업자로 등록하여 입찰 참가자격을 제한하여야 한다.
② ---------------------------
-----------------------------
-----------------------------
-----------------------------
-----------------------------
-----------------------------
-----------------------------
-----------------------------
--------------.
1.~9. (생 략)
1.~9. (현행과 같음)
10. 보안업무규정」제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비
10. 보안업무규정」제4조의 비밀 및 동 시행규칙 제16조제3항의 대외비
11. (생 략)
11. (현행과 같음)
③~⑤ (생 략)
③~⑤ (현행과 같음)
제83조(운용관리) ①~③ (생략)
제83조(운용관리) ①~③ (현행과 같음)
④ 암호장비 취급책임자는 설치․운용중인 암호장비의 보관상태 및 정상 작동여부 등 이상 유무를 수시점검하고, 그 결과를 국가용 보안시스템 점검기록부(별지 제10호 서식)에 월1회 기록․유지하여야 하며 국토교통부 보안업무시행세칙 제10조의 보안담당관(보관책임자)이 점검여부를 확인하여야 한다.
④ --------------------------
----------------------------
----------------------------
----------------------------
----------------------------
----------------------------
-- 보안업무규칙 --------------
----------------------------
-------.
⑤ (생 략)
⑤ (현행과 같음)
제89조(인계인수) ① 암호장비 운용관리 정․부 책임자 교체 시에는 인계인수를 실시하여야 하며 국가용 보안시스템 관리기록부(별지 제9호 서식)의 최종 기록 여백에 인계인수 사항을 기록 유지하여야 하며 기록 사항을 「국토교통부 보안업무시행세칙」 제10조의 보안담당관(보관책임자)이 확인하여야 한다.
① --------------------------
----------------------------
----------------------------
----------------------------
----------------------------
----------------------------
----------------- 보안업무규칙
----------------------------
---------------.
② (생 략)
② (현행과 같음)
제93조(등록 및 관리) ①~⑤ (생략)
제93조(등록 및 관리) ①~⑤ (현행과 같음)
⑥ 암호취급자 및 음어취급자는 보안자재에 대해 수시점검을 실시하고 국가용 보안시스템 점검기록부(별지 제10호 서식)에 월1회 기록․유지하여야 하며, 「국토교통부 보안업무 시행세칙」 제10조의 보안담당관(보관책임자)이 점검사항을 확인하여야 한다.
⑥ --------------------------
----------------------------
----------------------------
----------------------------
----------------- 보안업무규칙
----------------------------
------------------------.
제102조(인계인수) ①․② (생략)
제102조(인계인수) ①․② (현행과 같음)
③ 보안자재를 인계인수할 때에는 국가용 보안시스템 관리기록부(별지 제9호 서식)의 최종기록 여백에 인계인수사항(명칭․수량․등록번호 등)을 기록하여야 하며, 「국토교통부 보안업무시행세칙」 제10조의 보안담당관(보관책임자)이 기록을 확인하여야 한다.
③ --------------------------
----------------------------
----------------------------
----------------------------
----------------------------
보안업무규칙 ----------------
------------------------.
제127조(정보보안 사고 조사) ①~④ (생 략)
제127조(정보보안 사고 조사) ①~④ (현행과 같음)
⑤ 각급기관의 장은 규정에 따른 관 련자를 「국토교통부 보안업무 시행세칙」제4조에 따라 보안심사위원회 또는 각급기관의 위원회에 징계 요청할 수 있다.
⑤ --------------------------
---------------- 보안업무규칙
----------------------------
----------------------------
------.
⑥ (생 략)
⑥ (현행과 같음)
제128조(다른 법령과의 관계) 이 규정에 명시되지 않은 사항은 다음 각 호의 법규를 따른다.
제128조(다른 법령과의 관계) ------
-----------------------------
--------.
1.~9. (생 략)
1.~9. (현행과 같음)
10. <신 설>
10. 「행정기관 및 공공기관 정보시스템 구축·운영 지침
11.~19. (생 략)
11.~19. (현행과 같음)
20. 「국토교통부 보안업무 시행세칙」
20. 「---------- 보안업무규칙」
21. (생 략)
21. (현행과 같음)
[별지 제7호 서식] 서약서 내용 중 주민등록번호
[별지 제7호 서식] 서약서 내용 중 생년월일
붙임3
국토교통부 정보보안업무규정 일부개정안
국토교통부 정보보안업무규정
2016. 2.
국 토 교 통 부
목 차
제1장 총 칙
제1조(목적) / 1
제2조(적용범위) / 1
제3조(정의) / 1
제2장 기본활동 및 정보보안위원회 운영
제1절 기본활동
제4조(책무) / 4
제5조(정보보안담당관 운영) / 4
제6조(부서별 보안담당자) / 6
제7조(활동계획 수립 및 심사분석) / 6
제8조(정보보안 내규 제․개정) / 7
제9조(사용자관리) / 7
제10조(시스템 보안책임 범위) / 7
제11조(정보통신시설 보호) / 8
제12조(지도방문) / 8
제13조(모의훈련) / 9
제14조(안전측정) / 9
제15조(정보보안 감사) / 10
제16조(무선도청 탐지) / 11
제17조(정보보안교육) / 11
제18조(사이버보안진단의 날) / 12
제19조(정보보안 위규) / 12
제20조(재난방지) / 12
제21조(연구개발) / 13
제22조(민·관 협력) /13
제2절 정보보안위원회 운영
제23조(정보보안위원회) / 13
제24조(위원회의 운영) / 14
제3장 요소별 보안관리
제1절 비밀의 전자적 관리
제25조(비밀의 전자적 처리) / 14
제26조(비밀의 전자적 처리규격) / 15
제27조(비밀관리시스템) / 15
제2절 전자정보 보안대책
제28조(전자정보 보안조치) / 26
제29조(PC등 단말기 보안관리) / 26
제30조(인터넷전용PC 보안관리) / 27
제31조(서버 보안관리) / 17
제32조(웹서버 등 공개서버 보안관리) / 18
제33조(홈페이지 게시자료 보안관리) / 19
제34조(사용자계정 관리) / 19
제35조(비밀번호 관리) / 20
제36조(업무망 보안관리) / 21
제37조(네트워크장비 보안관리) / 22
제38조(전자우편 보안대책) / 22
제39조(휴대용 저장매체 보안대책) / 23
제40조(악성코드 감염 방지대책) / 24
제41조(접근기록 관리) / 25
제42조(정보시스템 및 소프트웨어 개발보안) / 25
제43조(정보시스템 유지보수) / 26
제44조(전자정보 저장매체 불용처리) / 27
제3절 주요정보통신기반시설 보호
제45조(주요정보통신기반시설 보안대책) / 27
제46조(주요기반시설 지정권고 기준 통보) / 28
제47조(주요기반시설 취약점 분석‧평가 보안관리) / 28
제48조(제어시스템 보안관리) / 28
제4절 주요상황별 보안대책
제49조(무선통신 보안관리) / 29
제50조(전자파 보안대책) / 29
제51조(무선랜 보안관리) / 30
제52조(남북통신 보안관리) / 30
제53조(비상통신 보안관리) / 31
제54조(외교통신 보안관리) / 31
제55조(국제회의 보안관리) / 31
제56조(무선인터넷 보안관리) / 32
제57조(RFID 보안관리) / 32
제58조(인터넷전화 보안관리) / 33
제59조(CCTV 시스템 보안관리) / 33
제60조(디지털복사기 보안관리) / 34
제61조(첨단 정보통신기기 보안관리) / 34
제62조(정보통신망 자료 보안관리) / 35
제63조(용역사업 보안관리) / 36
제64조(정보시스템 위탁운영 보안관리) / 37
제65조(원격근무 보안관리) / 38
제66조(국가비상사태시 보호관리) / 38
제67조(영상회의시스템 보안관리) / 39
제68조(스마트폰 등 모바일 행정업무 보안관리) / 39
제69조(클라우드 시스템 보안관리) / 40
제4장 국가용 보안시스템
제1절 공통
제70조(개발 및 제작) / 40
제71조(사용) / 40
제72조(정부 책임자 운영) / 41
제73조(암호문 보안관리) / 41
제74조(관리실태 점검) / 41
제75조(복제‧복사 금지) / 41
제76조(사용 제한) / 41
제77조(국가암호체계 보안관리) / 41
제2절 암호장비
제78조(사용승인 요청) / 42
제79조(제작) / 42
제80조(설치) / 42
제81조(등록) / 43
제82조(성능개선 등) / 43
제83조(운용관리) / 43
제84조(비밀 소통기준) / 44
제85조(운반 및 전시) / 44
제86조(정비) / 44
제87조(파기) / 44
제88조(현황통보) / 45
제89조(인계인수) / 45
제90조(외국산 암호장비 사용) / 45
제3절 보안자재(암호‧음어‧약호자재)
제91조(제작) / 46
제92조(사용신청) / 46
제93조(등록 및 관리) / 46
제94조(취급‧운용 및 취급자 등록) / 47
제95조(배부‧회수 및 반납) / 47
제96조(소통기준) / 48
제97조(행정공통용 USB 음어자재) / 48
제98조(암호실 설치 및 폐쇄) / 48
제99조(암호실 출입통제) / 49
제100조(암호실의 표지와 경비) / 49
제101조(암호실 점검) / 49
제102조(인계인수) / 49
제103조(파기) / 50
제104조(현황통보) / 50
제4절 암호논리
제105조(개발) / 51
제106조(요청) / 51
제107조(설치 및 운용) / 51
제108조(반납 및 파기) / 52
제5장 안전성 확인
제1절 보안성 검토
제109조(보안성 검토) / 52
제110조(보안성 검토 신청) / 52
제111조(보안성 검토 절차) / 53
제112조(제출 문서) / 54
제113조(결과 조치) / 54
제2절 보안적합성 검증
제114조(보안적합성 검증) / 55
제115조(정보보호시스템의 도입 등) / 55
제116조(보안적합성 검증대상 및 신청) / 55
제117조(제출문서) / 56
제118조(검증시험 및 결과조치) / 57
제119조(사후 관리) / 58
제120조(무단변경 및 오용금지) / 58
제6장 사이버위협 탐지‧대응
제1절 보안관제
제121조(보안관제센터 설치․운영) / 59
제122조(정보공유) / 59
제123조(보안관제 용역업체 선정 및 관리) / 60
제124조(탐지규칙 관리) / 60
제125조(보안관제센터 수행업무) / 60
제2절 사고대응
제126조(사고상황전파) / 60
제127조(정보보안 사고 조사) / 61
제7장 보 칙
제128조(다른 법령과의 관계) / 62
부 칙 / 63
국토교통부 정보보안업무규정
제정 2008.12.02. 국토해양부 훈령 제168호
개정 2011.05.03. 국토해양부 훈령 제701호
개정 2013.05.07. 국토교통부 훈령 제193호
전부개정 2014.07.14. 국토교통부 훈령 제397호
개정 2015.03.23. 국토교통부 훈령 제501호
개정 2016.02.15. 국토교통부 훈령 제667호
제1장 총 칙
제1조(목적) 이 지침은「국가 정보보안 기본지침」에 따라 국토교통부의 정보보안업무에 필요한 사항을 정함을 목적으로 한다.
제2조(적용범위) 이 지침은 다른 법령에 규정된 것을 제외하고는 국토교통부(이하 ‘본부’라고 한다)와 그 소속기관 및 산하기관(이하 ‘각급기관’이라한다), 그 밖에 업무상 국토교통부장관의 조정・감독을 받는 단체에 대하여 적용하되, 각급기관 등의 장은 이 지침이 정한 범위에서 그 운용에 필요한 세부적인 사항을 따로 정할 수 있다.
제3조(정의) 이 지침에서 사용하는 용어의 뜻은 다음과 같다.
1. “소속기관”이란「국토교통부와 그 소속기관 직제」제2조에 따른 소속기관을 말한다.
2. “산하기관”이란 법령에 따라 설립되어 업무상 국토교통부장관(이하“장관”이라 한다)의 지도․감독을 받는 공사 등 공공기관을 말한다.
3. “사용자”란 각급기관의 장으로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 공무원 등을 말한다.
4. “정보통신망”이란「전기통신기본법」제2조제2호에 따른 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송수신하는 정보통신체제를 말한다.
5. “인터넷망”이란 기관의 네트워크 중에서 인터넷을 사용할 수 있도록 연결되어 있는 인터넷 전용망을 말한다.
6. "업무전산망"(이하 "업무망"이라 한다)이라 함은 기관의 네트워크 중에서 업무용으로 사용되는 영역으로, 망 분리기관의 경우 인터넷망과 분리된 내부전산망(이하 "내부망"이라 한다)을 말하고 망 미분리기관은 인터넷서비스도 병행 제공되는 내부전산망을 포함한다.
7. “정보시스템”이란 PC․서버 등 단말기, 보조기억매체, 전산․통신장치, 정보통신기기, 응용프로그램 등 정보의 수집․가공․저장․검색․송수신에 필요한 하드웨어 및 소프트웨어 일체를 말한다.
8. “휴대용 저장매체”란 디스켓․CD․외장형 하드디스크․USB메모리 등 정보를 저장할 수 있는 것으로 PC등의 정보시스템과 분리할 수 있는 기억장치를 말한다.
9. “정보보안”또는 “정보보호”란 정보시스템 및 정보통신망을 통해 수집․가공․저장․검색․송수신 되는 정보의 유출, 위․변조․훼손 등을 방지하기 위하여 관리적․물리적․기술적 수단을 강구하는 일체의 행위로서 국가사이버안전관리규정 제2조제3호의 사이버안전을 포함한다.
10. “전자문서”란 컴퓨터 등 정보처리 능력을 가진 장치에 의하여 전자적인 형태로 송․수신 또는 저장되는 정보를 말한다.
11. “전자기록물”이란 정보처리 능력을 가진 장치에 의하여 전자적인 형태로 송․수신 또는 저장되는 기록정보자료를 말한다.
12. “전자정보”란 각급기관이 업무와 관련하여 취급하는 전자문서 및 전자기록물을 말한다.
13. “RFID(Radio Frequency IDentification) 시스템”이란 대상이 되는 사물 등에 RFID 태그를 부착하고 전파를 사용하여 해당 사물 등의 식별정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집․저장․가공 및 활용하는 시스템을 말한다.
14. “정보통신실”이란 서버․PC 등과 스위치․교환기․라우터 등 네트워크 장치 등이 설치 운용되는 장소를 말하며, 전산실․통신실․전자문서 및 전자기록물(전자정보) 보관실 등을 말한다.
15. “안전측정”이란 정보통신망을 불법침입․교란․마비․파괴하거나 정보를 절취․훼손하는 해킹․컴퓨터바이러스․서비스방해․도청 등으로부터 정보통신망과 정보를 보호하기 위하여 정보보안 취약점을 진단하는 제반활동을 말한다.
16. “국가용 보안시스템”이란 비밀 등 중요자료를 보호하기 위하여 국가정보원장이 개발하거나 안전성을 검증한 암호장비․보안자재․암호논리 등을 말한다.
17. “국가용 보안시스템 제작업체”란 국가용 보안시스템의 제작권을 획득한 업체를 말한다.
18. “암호장비”란 정보통신망으로 처리․저장․송수신되는 정보를 보호할 목적으로 암호논리를 내장하여 제작된 장비를 말한다.
19. “보안자재”란 통신내용 등의 정보를 보호할 목적으로 사용하는 암호․음어․약호자재를 말한다.
20. “암호자재”란 Ⅱ급비밀 이하의 통신내용 등의 정보를 보호할 목적으로 사용하는 문자․숫자․기호 등으로 구성된 환자표와 난수 또는 암호논리 등을 수록한 문서나 도구를 말한다.
21. “음어자재”란 Ⅲ급비밀 이하의 통신내용 등의 정보를 보호할 목적으로 사용하는 문자․숫자․기호 등으로 구성된 환자표 또는 암호논리 등을 수록한 문서나 도구를 말한다.
22. “약호자재”란 대외비 이하의 통신내용 등의 정보를 보호할 목적으로 특정 용어와 그에 대응․변환되는 문자, 숫자, 기호 등을 수록한 문서나 도구를 말한다.
23. “암호논리”란 정보의 유출, 위․변조, 훼손 등을 방지하기 위하여 기밀성․무결성․인증․부인봉쇄 등의 기능을 제공하는 수학적 논리 또는 알고리즘을 말한다.
24. “암호모듈”이란 정보의 유출, 위․변조, 훼손 등을 방지하기 위하여 암호논리를 활용하여 구현한 수단이나 도구를 말한다.
25. “암호취급자”란 암호취급인가를 받아 암호체계를 연구하거나 국가용 보안시스템을 취급 관리하는 자를 말한다.
26. “음어취급자”란 음어취급인가를 받아 음어자재를 취급 관리하도록 임명된 자를 말한다.
27. “정보보호시스템”이란 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.
28. "무선도청 탐지"라 함은 유·무선 도청탐지장비 등을 이용하여 은닉된 무선 도청장치 색출과 각종 도청 위해요소를 제거하는 제반활동을 말한다.
29. "전자파 보안"이라 함은 정보통신기기·시설 등을 대상으로 전자파에 의한 정보유출을 방지하고 파괴·오작동 유발 등의 위협으로부터 정보를 보호하는 행위 일체를 말한다.
30. “고출력전자기파(EMP)”란 전자장비를 물리적으로 파괴시키거나 오작동을 유발시킬 수 있는 정도의 강력한 전자기적 충격파를 말한다.
31. “누설전자파(TEMPEST)”란 PC등 정보통신기기로부터 전도 혹은 방사되는 전자파 신호로서 원격지에서 수신하여 원래 화면 내용을 복원할 수 있는 정보를 포함한다.
32. “사이버공격”이란 해킹․컴퓨터바이러스․논리폭탄․메일폭탄․서비스방해 등 전자적 수단에 의하여 정보통신망을 불법 침입․교란․마비․파괴하거나 정보를 절취․훼손하는 일체의 공격 행위를 말한다.
제2장 기본활동 및 정보보안위원회 운영
제1절 기본활동
제4조(책무) 각급기관의 장은 국가안보 및 국가이익 관련 정보(전자정보를 포함한다. 이하 같다)와 정보통신망을 보호하기 위한 보안대책을 마련하여야 하며 정보보안에 대한 책임을 진다.
제5조(정보보안담당관 운영) ① 각급기관의 장은 효율적․체계적인 정보보안 업무를 수행하기 위하여 정보보안 전문지식을 보유한 인력을 확보하고 관련 전담조직을 구성․운영하여야 한다.
② 각급기관의 장은 제1항과 관련한 정보보안 조직을 지휘하고 각급기관에 대한 정보보안 업무를 총괄하기 위하여 정보보안담당 부서의 장을 ‘정보보안담당관’으로 임명하여야 한다. 다만, 직제에 정보보안분야의 조직이 없을 경우 기관의 여건에 따라 정보보안담당관을 따로 지정할 수 있다.
③ 각급기관의 장이 정보보안담당관을 임면한 경우에는 5일 이내에 소속ㆍ직책ㆍ직급ㆍ성명ㆍ연락처(전자우편 주소 포함) 등을 장관에게 통보하여야 한다.
④ 각급기관의 정보보안담당관은 다음의 업무를 수행한다.
1. 정보보안 정책 및 기본계획 수립․시행
2. 정보보안 관련 규정․지침 등 제․개정
3. 보안심사위원회에 정보보안 분야 안건 심의 주관
4. 정보보안 업무 지도․감독, 정보보안 감사 및 심사분석
5. 정보통신실, 정보통신망 및 정보자료 등의 보안관리
6. 정보보안 관리실태 평가
7. 사이버공격 초동조치 및 대응
8. 사이버위협정보 수집․분석 및 보안관제
9. 정보보안 예산 및 전문인력 확보
10. 정보보안 사고 조사 결과 처리
11. 정보보안 교육 및 정보협력
12. 도청 위해 요소 측정․제거
13. 주요정보통신기반시설 보호활동
14. 국가용 보안시스템 및 암호키의 운용․보안관리
15. 국가정보원장이 개발하거나 안전성을 검증한 암호모듈․정보보호시스템의 운용 및 보안관리
16. 정보통신망 보안대책의 수립․시행
17. ‘사이버보안진단의 날’ 계획 수립․시행
18. 그 밖에 정보보안 관련 사항
⑤ 정보보안담당관은 각급기관의 효율적인 정보보안의 업무를 수행하기 위하여 다음 각 호의 시책을 강구하여야 한다.
1. 정보보안 관련 전문기술인력 확보 및 양성에 관한 사항
2. 신규직원에 대한 정보보안 교육․보안각서 징구 등 보안조치사항에 관한 사항
제6조(부서별 보안담당자) ① 각급기관의 장은 제5조에 따른 정보보안담당관을 보좌하기 위하여 부서별 보안담당자를 임명 운영하여야 한다.
② 부서별 보안담당자는 소관 과 또는 팀의 주무담당자가 되며 정보보안담당관의 업무를 보좌하여 소관 과 또는 팀의 정보보안업무를 총괄한다.
③ 부서별 보안담당자는 정보보안담당관을 보좌하여 소관 과 또는 팀의 효율적인 정보보안업무를 수행하기 위하여 제5조제4항 각 호의 사항과 기본활동을 수행하여야 한다.
1. ‘사이버보안진단의 날’ 이행 및 감독에 관한 사항
2. USB 등 보조기억매체의 등록 등 사용에 관한 사항
3. USB 등 보조기억매체내의 악성코드유무에 대한 주기적 점검에 관한 사항
4. 부서별로 할당된 IP관리에 관한 사항
5. 인터넷전용PC에서 업무자료의 작성․저장 및 소통 등 무단 사용 여부에 대한 부서 사용자 주기적 점검에 관한 사항
6. 그 밖에 정보보안에 관한 사항
제7조(활동계획 수립 및 심사분석) ① 각급기관의 장은 해당 기관의 정보보안업무 세부추진계획(「국가사이버안전관리규정」제9조에 따른 사이버안전대책을 포함한다)을 수립․시행하고 그 추진결과를 심사분석․평가하여야 한다.
② 각급기관의 장은 제1항에 따른 정보보안업무 세부추진계획을 수립할 때에는 세부추진계획 및 심사분석을 별지 제1호 및 별지 제2호 서식에 따라 작성하여 다음 각 호에서 정하는 제출기한까지 장관에게 제출하여야 한다.
1. 보안업무 세부 추진계획 : 1.10까지(해당 연도 추진계획)
2. 보안업무 심사분석 : 7.10까지(전년도 3/4분기~해당 연도 2/4분기 내용 종합)
제8조(정보보안 내규 제․개정) ① 각급기관의 장은 정보 및 정보통신망 보호를 위한 자체 정보보안 내규를 이 지침에 저촉되지 아니하는 범위에서 작성․운용하여야 한다.
② 제1항에 따라 내규를 제․개정할 때에는 장관은 국가정보원장과 사전에 협의하여야 하며, 장관 이외 각급기관의 장은 장관과 사전 협의하여야 한다.
제9조(사용자 관리) ① 각급기관의 장은 소관 정보통신망(정보시스템 포함) 사용과 관련하여 다음 각 호의 사항을 포함한 사용자 보안에 관련된 절차 및 방법을 마련하여야 한다.
1. 직위·임무별 정보통신망 접근 자격부여 심사
2. 비밀 등 중요정보 취급시 비밀취급인가, 보안서약서 징구 등의 보안조치
3. 보직변경, 퇴직 등 인사이동시 관련 정보시스템 접근권한 조정
② 각급기관의 장은 외부 인력을 활용하여 정보시스템의 개발, 운용, 정비 등을 수행할 경우에는 해당 인력의 고의 또는 실수로 인한 정보유출이나 파괴를 방지하기 위하여 보안조치를 수행하여야 한다. 용역사업에 관련된 세부 사항은 제63조(용역사업 보안관리) 또는 「국가 정보보안 기본지침」 (부록 7)‘외부 용역업체 보안관리방안’을 따른다.
제10조(시스템 보안책임 범위) ① 각급기관의 장은 해당 기관에 필요한 정보시스템(PC․서버․네트워크장비, 정보통신기기 등을 포함한다)을 도입․사용할 경우, 사용자와 해당 시스템의 관리자 및 관리책임자를 지정 운용하여야 한다.
② 사용자는 개인PC등 소관 정보시스템 사용 및 본인 계정을 통한 정보통신망 접속과 관련한 보안책임을 가진다.
③ 시스템관리자는 서버․네트워크 장비 등 부서 공통으로 사용하는 정보시스템의 운용과 관련한 보안책임을 가진다.
④ 제1항부터 제3항까지와 관련하여 정보시스템을 실제 운용하는 부서의 장이 정보시스템 관리책임자가 되며, 관리책임자는 정보시스템 관리대장(별지 제4호 서식)을 수기 또는 전자적으로 운용 관리하여야 한다.
⑤ 관리책임자는 해당 부서의 정보시스템 관리대장에 정보시스템의 변경 즉시 반영하여 현황을 유지하여야 한다.
⑥ 정보보안담당관은 제1항부터 제5항까지에 명시된 정보시스템 운용과 관련한 보안취약점을 발견하거나 보안대책 강구가 필요하다고 판단할 경우, 사용자․시스템관리자 및 관리책임자에게 시정을 요구할 수 있다.
제11조(정보통신시설 보호) ① 각급기관의 장은 다음 각 호의 중요 정보통신시설 및 장소를 「보안업무규정」제30조에 따른 보호구역으로 설정 관리하여야 한다.
1. 암호실·통신실·전산실
2. 통합전산센터
3 국가용 보안시스템 개발·설치 장소
4. 국가비상통신 등 중요통신망의 교환국, 회선집중국 또는 중계국
5. 보안관제센터, 백업센터 및 중요한 정보통신시설을 집중 제어하는 국소
6. 그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치 장소
② 각급기관의 장은 제1항에서 지정된 보호구역에 대한 보안대책을 강구할 경우 다음 각 호 사항을 참고하여야 한다.
1. 방재대책 및 외부로부터의 위해(危害) 방지대책
2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치
3. 출입자 인증·식별 등을 위한 출입문 보안장치 설치 및 주야간 감시대책
4. 휴대용 저장매체를 보관할 수 있는 용기 비치
5. 정보시스템 안전지출 및 긴급파기 계획 수립
6. 관리책임자 및 자료·장비별 취급자 지정 운용
7. 정전에 대비한 비상전원 공급, 시스템의 안정적 중단 등 전력관리 대책
8. 비상조명 장치 등 비상탈출 대책
9. 전자파 누설 방지 대책
10. 카메라 장착 휴대폰 등을 이용한 불법 촬영 방지 대책 등
제12조(지도방문) ① 각급기관의 장은 정보통신망 운용 관리에 따른 보안취약성 개선을 위하여 정보보안 지도방문(이하 “지도방문”이라 한다)을 실시하여야 한다.
② 지도방문 실시의 주체 및 대상기관은 제15조제2항의 감사주체 및 대상기관을 준용하고 지도방문 실시 결과는 제7조의 정보보안업무 심사분석에 포함시켜야 한다.
③ 각급기관의 장이 소속․산하기관에 대하여 지도방문을 실시할 경우에는「국가 정보보안 기본지침」 (부록 3)‘정보보안점검 체크리스트’등을 적극 활용한다.
④ 각급기관의 장은 정보통신망의 보안취약성 진단과 보안관리 개선을 위하여 장관에게 지도방문에 필요한 인력 등을 요청할 수 있다.
제13조(모의훈련) ① 각급기관의 장은 자체 정보통신망을 대상으로 매년 정기 또는 수시 사이버위기 대응 모의훈련을 실시하여야 한다. 이 경우, 해당 기관의 장은 훈련 완료일 기준 2개월 이내 훈련결과를 장관에게 통보하여야 한다.
② 장관은 국가차원의 사이버위기 발생에 대비하여 각급기관 정보통신망을 대상으로 사이버위기 대응 모의훈련을 실시할 수 있다. 이 경우, 장관은 특별한 사유가 없는 한 사전에 훈련 일정 등을 해당 기관의 장에게 통보하여야 한다.
③ 장관은 제2항의 모의훈련 결과 시정이 필요하다고 판단하는 경우에는 각급기관의 장에게 필요한 조치를 요청할 수 있다. 이 경우 해당 기관의 장은 특별한 사유가 없는 한 필요한 조치를 이행하여야 하며, 장관은 그 이행여부를 확인할 수 있다.
④ 제2항에서 규정한 훈련은 「비상대비자원 관리법」제14조의 규정에 따른 비상대비훈련과 함께 실시할 수 있다.
제14조(안전측정) ① 장관은 각급기관 정보통신망의 안전성을 확인하기 위하여 다음 각 호의 경우에 안전측정을 실시할 수 있다
1. 「전자정부법」제56조 및「공공기록물 관리에 관한 법률 시행령」제5조 등에 따른 전자정보 보안조치의 이행여부를 확인하고자 하는 경우
2. 「국가사이버안전관리규정」제9조에 따른 사이버안전대책의 이행여부 등 정보통신망에 대한 안전성을 확인하고자 하는 경우
3. 「보안업무규정」 제35조에 따라 보안측정을 실시하는 경우
4. 「국가위기관리기본지침」에 따라 사이버안전대책의 수립․수행 관련 지도 및 안전진단 등을 실시하는 경우
5. 정보보안 사고가 발생하여 정보통신망의 보안취약성 진단이 요구되는 경우
6. 중요 정보통신시설에 대한 사이버공격․도청 등으로부터 보호대책이 필요한 경우
7. 정보통신수단에 의하여 국가기밀 유출 및 암호체계의 누설 우려가 있는 경우
8. 각급기관의 장이 정보통신망에 대한 보안취약성 점검 또는 종합진단이 필요하다고 판단하여 요청할 경우
9. 그 밖에 국가안보상 필요하다고 판단하는 경우
② 장관은 안전측정을 실시하는 경우 사전에 측정항목ㆍ세부일정ㆍ준비사항 등이 포함된 안전측정 계획을 각급기관의 장에게 통보하여야 한다. 다만, 전산망의 안전성을 확보해야 할 급박한 사유가 있는 경우에는 구두 협의를 거쳐 안전측정을 실시하고 측정계획은 사후에 통보할 수 있다.
③ 장관은 안전측정 결과 신속한 시정이 필요하다고 판단하는 경우에는 각급기관의 장에게 필요한 조치를 요청할 수 있다. 이 경우 해당 기관의 장은 특별한 사유가 없는 한 이에 따라야 한다. 이 경우 장관은 해당기관의 장과 일정을 협의하여 그 이행여부를 확인할 수 있다.
제15조(정보보안 감사) ① 각급기관의 장은 제5조에 따라 연1회 이상 자체 정보보안 감사를 실시하여야 한다.
② 정보보안 감사의 감사 주체 및 수감대상기관은 다음 각 호와 같다.
1. 본부가 감사주체인 경우 본부 및 소속기관, 산하기관이 수감 대상기관이 된다.
2. 소속․산하기관이 감사주체인 경우 해당기관 및 이의 예하기관이 수감 대상기관이 된다.
③ 각급기관의 장은 정보통신에 대한 보안감사 실시계획과 감사결과를 다음 각 호의 기간 내에 장관에게 제출하여야 한다. 다만, 불시점검 결과는 심사분석에 포함하여야 한다.
1. 해당 연도의 정보보안감사 실시계획 : 1.20까지
2. 전년도 3분기부터 해당 연도 2분기까지의 정보보안감사 실시결과 : 7.25까지
④ 각급기관의 장은 정보보안감사의 효율적 수행을 위하여 장관에게 감사의 방향, 중점사항, 감사관 지원 등에 대하여 업무협조를 요청할 수 있다.
⑤ 각급기관의 장은 정보보안감사와 불시점검을 병행하거나 별도로 실시할 수 있다.
제16조(무선도청 탐지) ① 각급기관의 장은 무선도청에 따른 정보유출을 방지하기 위하여 다음 각 호의 시설 및 장소에 대해 보안대책을 강구하여야 한다.
1. 청사 신설·이전 또는 증·개축 시설
2. 기관장실·회의실 등 중요시설
3. 중요 협상·회의와 회담장소 또는 도청 의심징후가 있는 장소
② 각급기관의 장은 제1항 각 호의 시설 및 장소에 대하여 국가정보원장에게 무선도청 탐지활동을 요청할 수 있다.
③ 제2항의 요청에 따라 국가정보원장은 전자파 방출 또는 도청장치를 이용한 정보유출 가능성에 대하여 무선도청 탐지활동을 실시하고 그 결과를 해당 기관의 장에게 통보할 수 있다.
④ 각급기관의 장은 제3항에 의한 결과나 자체 무선도청 탐지활동 결과를 외부에 공개하여서는 아니되며, 탐지활동결과 도출된 도청 취약요소 등에 대해서는 개선 대책을 강구하여야 한다.
제17조(정보보안교육) ① 각급기관의 장은 자체 정보보안 교육계획을 수립하여 연 1회 이상 전 직원을 대상으로 관련 교육을 실시하여야 한다.
② 각급기관의 장은 정보보안 교육의 효율성 제고를 위하여 기관별 자체 실정에 맞는 정보보안 교안을 작성 활용하여야 하며 필요시 장관을 경유하여 전문 인력 및 자료 지원을 요청할 수 있다.
③ 각급기관의 장은 정보보안 관련 전문기관 교육 및 기술 세미나 참석을 장려하는 등 정보보안 담당자의 업무 전문성을 제고하기 위하여 노력하여야 한다.
제18조(사이버보안진단의 날) ① 각급기관의 장은 매월 세 번째 수요일을 ‘사이버 보안진단의 날’로 지정ㆍ운영하여야 한다.
② 정보보안담당관은 ‘사이버보안진단의 날’에 소관 정보통신망의 악성코드 감염여부, 정보시스템의 보안 취약여부 등 정보보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하여야 한다.
③ 각급기관의 장은 제1항 및 제2항에 따른 보안진단 결과를 제7조에 따른 정보보안업무 심사분석에 포함하여 장관에게 통보하여야 한다.
제19조(정보보안 위규) ① 정보보안 위규(違規) 사항은 별표 1과 같다.
② 각급기관의 장은 국가안보 및 국가이익에 중대한 영향을 미칠 수 있다고 판단되는 정보보안 위규에 대해서는 가장 신속한 방법으로 장관을 경유하여 국가정보원장에게 통보하여야 한다.
③ 각급기관의 장은 제2항의 경우 위규자, 위규 내용 및 조치 사항을 장관을 경유하여 국가정보원장에게 통보하여야 한다.
제20조(재난방지) ① 각급기관의 장은 인위적 또는 자연적인 원인으로 인한 정보통신망의 장애 발생에 대비하여 정보시스템 이원화, 백업관리, 복구 등 종합적인 재난방지 대책을 수립․시행하여야 한다.
② 각급기관의 장은 재난방지대책을 정기적으로 시험하고 검토해야 하며 업무 연속성에 대한 영향평가를 실시하여야 한다.
③ 각급기관의 장은 정보시스템 장애에 대비한 백업시설을 확보하고 정기적으로 백업을 수행하여야 한다.
④ 각급기관의 장은 제3항에 따라 백업시설을 설치할 경우에는 정보통신실과 물리적으로 일정거리 떨어진 곳에 위치한 안전한 장소에 설치하여야 하며 전력공급원 분리 등 정보시스템의 가용성을 최대화 할 수 있도록 하여야 한다.
제21조(연구개발) ① 장관은 정보보안에 필요한 기술개발과 기술수준의 향상을 위하여 필요한 시책을 추진할 수 있다.
② 각급기관의 장은 공공분야의 정보보안 관련 기술의 확보를 위하여 장관이 지정한 전문 연구기관으로 하여금 관련 연구개발을 수행하게 할 수 있다. 다만, 연구 결과물인 암호장비·보안자재·암호논리·암호모듈·정보보호시스템 등을 도입하고자 하는 경우에는 제70조, 제105조, 제109조, 제114조 규정 등에 따른다.
③ 정보보안에 필요한 기술의 연구개발에 관한 세부사항은 「국가 정보보안기술 연구개발 지침」을 따른다.
제22조(민 ․ 관 협력) ① 장관은 정보보안 업무의 발전을 도모하고 민․관․군 상호교류 협력을 증진하기 위하여 협의회 등 협의기구를 구성․운영할 수 있다.
② 제1항에 따른 협의기구의 구성․운영 등에 관하여 필요한 사항은 따로 정한다.
제2절 정보보안위원회 운영
제23조(정보보안위원회) ① 정보보안업무 및 개인정보보호업무에 대한 주요 사항을 심의하기 위하여 국토교통부 본부에 정보보안위원회를 둔다(이하 “위원회”라 한다).
② 제1항에 따른 위원회는 다음 각 호의 사항을 심의한다.
1. 정보보안에 관한 정책 및 제도개선에 관한 사항
2. 정보보안사고 발생 시 대응조치
3. 개인정보보호에 관한 정책 및 제도개선에 관한 사항
4. 개인정보의 처리이용 및 제공에 관한 사항
5. 다른 기관에서 요구한 개인정보관련 자료 중 위원회에 상정하여야 할 필요성이 있다고 판단되는 사항
6. 그 밖에 국토교통 정보서비스 보안대책과 관련된 주요 정책사항으로 위원장이 부의하는 사항
③ 위원회의 위원장은 제1차관으로 하고, 기획조정실장을 부위원장으로 하며, 5인 이내의 안건 관련 실 또는 국장을 위원으로 구성한다.
④ 위원회의 위원장은 위원회를 대표하며, 위원회의 회무를 통할한다. 위원장이 사고가 있어 회의를 통할 할 수 없는 경우에는 부위원장이 직무를 대행한다.
⑤ 위원회 위원장의 명을 받아 위원회의 사무를 처리하기 위하여 간사를 두며, 회의록을 작성․비치․관리하여야 하며, 간사는 정책기획관으로 한다.
제24조(위원회의 운영) ① 위원회의 회의는 위원장이 소집하며 재적위원 과반수의 출석으로 개의하고, 출석위원 과반수의 찬성으로 의결한다. 이 경우, 위원장은 표결권을 가진다. 다만, 위원회의 소집이 곤란하거나 긴급을 요할 경우에는 서면 의결로 갈음할 수 있다.
② 위원회의 위원장은 심의를 위하여 필요 시 관계인으로 하여금 회의에 출석하여 발언하게 할 수 있다. 또한, 위원회의 위원장은 심의를 위하여 필요시 현장조사를 하거나 관계공무원 또는 관계전문가를 회의에 출석하게 하여 그 의견을 들을 수 있다.
제3장 요소별 보안관리
제1절 비밀의 전자적 관리
제25조(비밀의 전자적 처리) ① 각급기관의 장은 비밀 등 중요 전자정보를 정보통신망을 이용하여 생산․보관․분류․열람․출력․송수신․이관하는 등 전자적으로 처리하기 위해서는 국가용 보안시스템을 사용하여 암호화하는 등 국가정보원장이 안전성을 확인한 보안조치를 수행하여야 한다.
② 업무망이 인터넷망과 분리된 각급기관은 업무망 전용PC에서 비밀 등 중요 전자정보를 처리하고 미분리 기관의 경우에는 다른 전산망과 연동되지 않는 비밀문서 작업 전용 PC에서 처리한다.
③ 비밀을 전자적으로 생산하고자 할 때에는 해당 비밀등급과 예고문을 입력하여 열람 또는 출력 시 비밀등급이 자동으로 표시되도록 하여야 한다.
④ 비밀을 전자적으로 생산․열람․출력․송수신․이관할 때에는 관련 규격에 따른 제반사항을 전자적으로 기록 유지하여야 하며 송수신시에는 정당성 확인 및 부인 방지를 위하여 전자적으로 생성된 영수증을 사용하여야 한다.
⑤ 비밀생산을 완료하면 PC에 입력된 비밀내용을 삭제하여야 한다. 다만, 업무상 필요한 경우에는 비밀 저장용 휴대용 저장매체를 별도로 지정 사용하거나 PC내에 독립된 폴더를 지정, 국가용 보안시스템으로 암호화하여 보관하여야 한다.
⑥ 국방․외교 관련 사항 등 비밀을 주로 취급하는 정보통신망은 인터넷망 등 상용망과 분리하여 운용하여야 한다.
⑦ 전자적으로 처리된 비밀을 종이문서로 출력한 이후의 취급 관리는「보안업무규정」(대통령령)에 따른다.
제26조(비밀의 전자적 처리규격) 각급기관의 장은 비밀(대외비를 포함한다)을 전자적으로 안전하게 처리하기 위하여 다음 각 호의 사항 및 국가정보원장이 별도로 규정한 보안규격을 준수하여야 한다.
1. 비밀의 생산, 등록, 보관, 사용, 유통 및 재분류, 이관, 파기 등 전 처리과정에서 요구되는 보안기능
2. 비밀의 관리를 위한 기능
3. 비밀을 표시하기 위한 양식 및 외형 정의
4. 비밀을 전자적으로 처리하면서 발생하는 각종 이벤트 기록․관리 기능
5, 비밀을 관리하기 위한 각종 대장 및 카드 정의
6. 사용자 및 시스템 관리 기능
7. 그 밖에 비밀을 전자적으로 처리하는 데 필요한 보안․관리기능
제27조(비밀관리시스템) ① 각급기관의 장이 비밀관리시스템을 자체 개발하여 운용하고자 하는 경우에는 제26조의 규정에 따라 국가정보원장이 별도로 정한 규격을 준수하여야 한다.
② 비밀관리시스템을 구축한 기관은 비밀의 생산, 보관, 유통 등 전반에 비밀관리시스템을 활용하여 비밀을 안전하게 관리하여야 한다.
③ 각급기관의 장은 비밀관리시스템을 국가용 보안시스템으로 관리하여야 한다.
제2절 전자정보 보안대책
제28조(전자정보 보안조치) ① 각급기관의 장은 정보통신망을 통하여 보관․유통되는 전자정보의 보안을 위하여 다음 각 호의 조치를 이행하여야 한다.
1. 제5조제4항에 명시된 정보보안 기본활동 수행
2. 제28조부터 제44조까지에 따른 전자정보 보안대책 이행
3. 제4장의 규정에 따른 국가용 보안시스템의 사용
4. 제5장 제2절의 규정에 따른 정보보호시스템의 도입 운용
5. 정보통신망 보안대책의 수립시행
6. 국가정보원장이 발행한 지침․매뉴얼 및 각종 권고사항의 이행
7. 그 밖에 전자정보 보안을 위하여 필요하다고 인정되는 보안대책의 이행
② 국가정보원장은 제1항 제5호에 따른 정보통신망 보안대책 수립․시행에 필요한 별도의 지침․매뉴얼을 작성하여 배포할 수 있다.
제29조(PC등 단말기 보안관리) ① 단말기 사용자는 PC․노트북․스마트폰 등 단말기 (이하 “PC등”이라 한다) 사용과 관련한 일체의 보안관리 책임을 가진다.
② 정보보안담당관은 비인가자가 PC등을 무단으로 조작하여 전산자료를 절취, 위․변조 및 훼손하지 못하도록 단말기 사용자가 다음 각 호의 보안대책을 시행하도록 하여야 한다.
1. 장비(CMOS 비밀번호)․자료(문서자료 암호화 비밀번호)․사용자(로그인 비밀번호)별 비밀번호를 주기적으로 변경 사용하고 지문인식 등 생체인식 기술 적용 권고
2. 10분 이상 PC등의 작업 중단 시 비밀번호 등이 적용된 화면보호 조치
3. PC용 최신 백신 운용․주기적 검사․실시간 감시기능설정, 침입차단․탐지시스템 등을 운용하고 운영체제(OS) 및 응용프로그램(아래아한글, MS Office, Acrobat 등)의 최신 보안 패치 유지
4. 업무상 불필요한 응용프로그램 설치 금지 및 공유 폴더의 삭제
5. 그 밖에 국가정보원장이 안전성을 확인하여 배포 승인한 프로그램의 운용 및 보안권고문
③ 사용자는 PC등을 교체․반납․폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 정보보안담당관과 협의하여 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치 하여야 한다.
④ 관리책임자는 사용자가 PC등을 기관 외부로 반출하거나 내부로 반입할 경우에 최신 백신 등을 활용하여 해킹프로그램 감염 여부를 점검하여야 한다.
⑤ 개인 소유의 PC등을 무단 반입하여 사용하여서는 아니 된다. 다만, 부득이한 경우에는 정보보안담당관의 승인을 받아 사용할 수 있다.
제30조(인터넷전용PC 보안관리) ① 정보보안담당관은 비인가자가 인터넷과 연결된 PC(이하 “인터넷전용PC”라 한다)를 무단으로 조작하여 전산자료를 절취, 위․변조 및 훼손하지 못하도록 사용자가 다음 각 호의 보안 대책을 시행하도록 하여야 한다.
1. 메신저․P2P․웹하드 등 업무와 무관하거나 Active X등 보안에 취약한 프로그램과 비인가 프로그램․장치의 설치 금지
2. 특별한 사유가 없는 한 문서프로그램은 읽기 전용으로 운용
3. 음란․도박․증권 등 업무와 무관한 사이트 접근차단 조치
② 사용자는 인터넷전용PC에서 무단으로 업무자료의 작성․저장 및 소통을 금지하고 최신 백신을 활용하여 주기적으로 점검하여야 한다.
③ 그 밖에 인터넷전용PC의 보안관리에 관련한 사항에 대해서는 제29조(PC등 단말기 보안관리)를 따른다.
제31조(서버 보안관리) ① 서버 관리자는 서버를 도입 운용할 경우, 정보보안담당관과 협의하여 해킹을 통한 자료 절취, 위·변조 등에 대비하여 아래의 보안대책을 수립·시행하여야 한다.
1. 서버 내 저장자료에 대해 업무별·자료별 중요도에 따라 사용자의 접근권한을 차등 부여
2. 사용자별 자료의 접근범위를 서버에 등록하여 인가여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제
3. 서버의 운용에 필요한 서비스 포트 외에 불필요한 서비스 포트 제거 및 관리용 서비스와 사용자용 서비스를 분리 운용
4. 서버의 관리용 서비스 접속시 특정 IP와 MAC 주소가 부여된 관리용 단말을 지정 운용
5. 서버 설정 및 서버에 저장된 자료에 대해서는 정기적으로 백업을 실시하여 복구 및 침해행위에 대비
6. 데이터베이스에 대하여 사용자의 직접적인 접속을 차단하고 개인정보와 같은 중요정보를 암호화하는 등 데이터베이스별 보안조치를 실시
② 정보보안담당관은 제1항에서 수립한 보안대책의 적절성을 수시 확인하되, 연1회 이상 서버 설정 정보 및 저장자료의 절취, 위·변조 가능성 등 보안취약점을 점검하여야 한다.
제32조(웹서버 등 공개서버 보안관리) ① 서버 관리자는 외부인에게 공개할 목적으로 설치되는 웹서버 등 공개서버를 내부망과 분리된 영역(DMZ)에 설치․운용하여야 한다.
② 각급기관의 장은 비인가자의 서버 저장자료 절취, 위․변조 및 분산서비스 거부(DDoS) 공격 등에 대비하기 위하여 국가정보원장이 안전성을 검증한 침입차단․탐지시스템 및 DDoS 공격대응시스템을 설치하는 등 보안대책을 강구하여야 한다.
③ 서버관리자는 비인가자의 공개서버內 비공개 정보에 대한 무단 접근을 방지하기 위하여 서버 접근 사용자를 제한하고 불필요한 계정을 삭제하여야 한다.
④ 공개서버의 서비스에 필요한 프로그램을 개발하고 시험하기 위하여 사용된 도구(컴파일러 등)는 개발 완료 후 삭제하는 것을 원칙으로 한다.
⑤ 공개서버의 보안관리에 관련한 그 밖의 사항에 대해서는 제31조(서버 보안관리)에 따른다.
제33조(홈페이지 게시자료 보안관리) ① 각급기관의 장은 개인정보를 포함한 중요 업무자료가 홈페이지에 무단 게시되지 않도록 홈페이지 게시자료의 범위․방법 등을 명시한 자체 홈페이지 정보공개 보안지침을 수립 시행하여야 한다.
② 사용자는 개인정보, 비공개 공문서 및 민감한 내용 등이 포함된 자료를 홈페이지에 공개하여서는 아니 된다.
③ 홈페이지에 정보를 게시하고자 하는 부서의 장은 정보보안담당관과 협의하여 사전에 자체 보안심사위원회의 심사를 거쳐 비밀 등 비공개 자료가 게시되지 않도록 하여야 한다. 다만, 기존에 게시한 자료 내용 중 단순하게 수치를 변경하는 경우나 경미한 사항은 그러하지 않을 수 있다.
④ 사용자는 인터넷 블로그․카페․게시판․개인 홈페이지 또는 소셜네트워크 서비스 등 일반에 공개된 전산망에 업무관련 자료를 무단 게재하여서는 아니 된다.
⑤ 정보보안담당관은 소속기관의 홈페이지 등에 비공개 내용이 게시되었는지 여부를 주기적으로 확인하고 개인정보를 포함한 비공개 자료가 홈페이지에 공개되지 않도록 보안교육을 주기적으로 실시하여야 한다.
⑥ 각급기관의 장은 홈페이지에 중요정보가 공개된 것을 인지할 경우 이를 즉시 차단하는 등의 보안조치를 시행하여야 한다.
제34조(사용자계정 관리) ① 시스템관리자는 사용자에게 정보시스템 접속에 필요한 사용자계정(ID) 부여 시 비인가자 도용 및 정보통신시스템 불법 접속에 대비하여 다음 각 호의 사항을 반영하여야 한다.
1. 사용자별 또는 그룹별로 접근권한 부여
2. 외부인에게 계정 부여는 불허하되 업무상 불가피할 경우 각급기관의 장의 책임 하에 필요업무에 한해 특정기간 동안 접속토록 하는 등 보안조치 강구 후 허용
3. 비밀번호 등 사용자 식별 및 인증 수단이 없는 사용자계정 사용금지
② 시스템관리자는 사용자가 5회 이상에 걸쳐 로그인 실패 시 정보시스템 접속을 중단시키도록 시스템을 설정하고 비인가자의 침입 여부를 확인․점검하여야 한다.
③ 시스템관리자는 직원의 퇴직 또는 보직변경 발생 시 사용하지 않는 사용자계정을 신속히 삭제하고, 특별한 사안이 없는 한 유지보수 등을 위한 외부업체 직원에게 관리자계정 제공을 금지하여야 한다.
④ 정보보안담당관은 사용자계정의 부여 및 관리가 적절한 지 연2회 이상 점검하여 관련 결과를 시스템관리자에게 통보하여야 한다.
제35조(비밀번호 관리) ① 사용자는 비밀번호 설정 사용 시 정보시스템의 무단사용 방지를 위하여 비밀번호를 다음 각 호와 같이 구분하여야 한다.
1. 비인가자의 정보통신시스템 접근방지를 위한 장비 접근용 비밀번호(1차)
2. 정보시스템 사용자가 서버 등 정보통신망에 접속 인가된 인원인지 여부를 확인하는 사용자 인증 비밀번호(2차)
3. 문서에 대한 열람․수정 및 출력 등 사용권한을 제한할 수 있는 자료별 비밀번호(3차)
② 비밀이나 중요자료에는 자료별 비밀번호를 반드시 부여하되, 공개 또는 열람 자료에 대해서는 부여하지 아니할 수 있다.
③ 비밀번호는 다음 각 호의 사항을 반영하여 숫자와 영문자, 특수문자 등을 혼합하여 9자리 이상으로 정하고, 분기별로 1회 이상 주기적으로 변경하여 사용하여야 한다.
1. 사용자계정(ID)과 동일하지 않을 것
2. 개인 신상 및 부서명칭 등과 관계가 없을 것
3. 일반 사전에 등록된 단어는 사용을 피할 것
4. 동일단어 또는 숫자를 반복하여 사용하지 말 것
5. 사용된 비밀번호는 재사용하지 말 것
6. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것
7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능을 사용하지 말 것
④ 서버에 등록된 비밀번호는 암호화하여 저장하여야 한다.
제36조(업무망 보안관리) ① 각급기관의 장은 업무자료를 송수신하기 위한 전산망 구축 시 인터넷과 분리되도록 망을 설계하여야 한다. 이 경우 다음 각 호의 보안대책을 강구하여 사업 계획단계(사업 공고 전)에서 장관을 경유하여 국가정보원장에게 보안성 검토를 의뢰하여야 한다.
1. 비인가자의 업무망․인터넷 침입 차단대책(침입차단․탐지시스템 등)
2. 비인가 장비의 업무망 접속 차단대책(네트워크 관리시스템 등)
3. 업무PC의 인터넷 접속 차단대책
4. 업무망과 인터넷 간 안전한 자료전송 대책(「국가․공공기관 업무망과 인터넷 간 안전한 자료전송 보안가이드라인」(국가정보원) 참조)
② 각급기관의 장은 제1항에도 불구하고, 부득이한 경우 장관을 경유하여 국가정보원장과 적정 보안대책을 강구한 후 망을 분리하지 아니할 수 있다.
③ 업무망 관리자는 정보시스템에 부여되는 IP주소를 체계적으로 관리하여야 하고, 비인가자로부터 업무망을 보호하기 위하여 사설주소체계(NAT)를 적용하여야 하며, IP주소별로 정보시스템접속을 통제하여 비인가 정보통신기기나 PC등을 이용한 업무망內 정보시스템 접속을 차단하여야 한다.
④ 각급기관의 장은 업무망을 다른 기관의 망 및 인터넷과 연동하고자 할 경우에는 보안관리 책임한계를 설정하고 망 연동에 따른 보안대책을 마련하여 자체 보안 심사위원회 심의 후 장관을 경유하여 국가정보원장에게 보안성 검토를 의뢰하여야 한다.
⑤ 업무망 관리자는 제4항과 관련하여 비인가자의 망 침입을 방지하기 위하여 안전성이 검증된 침입차단․탐지시스템을 운용하는 등 보안대책을 강구하여야 한다.
⑥ 업무망 관리자는 업무망을 인터넷과 연동 시 효율적인 보안관리를 위하여 연결지점을 최소화하여 운용하여야 한다.
⑦ 업무망과 인터넷망 간의 자료교환은 망간자료전송시스템을 사용하여야 하고 전송 로그는 6개월 이상, 원본파일은 3개월 이상 유지하여야 한다.
⑧ 업무망 관리자는 전송 실패기록을 점검하여 악성코드 유입여부 등을 주기적으로 확인 조치하여야 한다.
⑨ 업무망 PC의 자료를 인터넷 PC로 전송시에는 보안담당자 혹은 결재권자의 사전 또는 사후 승인절차를 마련하여 이를 준수하여야 한다.
제37조(네트워크장비 보안관리) ① 시스템관리자는 라우터, 스위치 등 네트워크 장비 운용과 관련하여 다음 각 호의 보안조치를 강구해야 한다.
1. 네트워크 장비에 대한 원격접속은 원칙적으로 금지하되, 불가피할 경우 장비 관리용 목적으로 내부 특정 IP․MAC주소에서의 접속은 허용
2. 물리적으로 안전한 장소에 설치하여 비인가자의 무단접근 통제
3. 네트워크 장비 등 신규 전산장비 도입시 기본(default) 계정을 삭제 또는 변경하고 시스템운영을 위한 관리자 계정 별도 생성
4. FTP 등 불필요한 서비스 포트 및 사용자 계정 차단·삭제
5. 펌웨어 무결성 및 소프트웨어·서버 운영체제 취약점과 최신 업데이트 여부를 주기적으로 확인하여 항상 최신 버전으로 유지
② 시스템관리자는 네트워크장비의 접속기록을 6개월 이상 유지하여야 하고 비인가자의 침투 여부를 주기적으로 점검하여 정보보안담당관에게 관련결과를 제출하여야 한다.
제38조(전자우편 보안대책) ① 시스템관리자는 웜․바이러스 등 악성코드로부터 사용자 PC등 전자우편 시스템 일체를 보호하기 위하여 국가정보원장이 안전성을 확인한 백신, 바이러스 월, 해킹메일 차단시스템을 구축하는 등 보안대책을 강구하여야 한다.
② 각급기관의 장은 수신된 전자우편의 발신지 IP주소와 국가명이 표시되고, 해킹메일 원본을 전송하여 신고할 수 있는 기능을 갖춘 웹메일시스템을 구축하여야 한다. 다만, 웹메일시스템을 직접 구축·운영하지 않은 경우에는 그러하지 아니하다.
③ 사용자는 상용 전자우편을 이용한 업무자료 송·수신 할 수 없으며 기관 전자우편으로 송·수신한 업무자료는 활용 후 메일함에서 즉시 삭제하여야 한다.
④ 사용자는 메일에 포함된 첨부파일이 자동 실행되지 않도록 설정하고 첨부파일 다운로드 시 반드시 최신 백신으로 악성코드 은닉여부를 검사하여야 한다.
⑤ 사용자는 출처가 불분명하거나 의심되는 제목의 전자우편은 열람하지 않아야 하고 해킹메일로 의심되는 메일 수신시에는 즉시 정보보안담당자 및 국토교통사이버안전센터(신고메일 : lcsc@korea.kr)를 경유하여 국가사이버안전센터(신고메일 : cert@ncsc.go.kr)에 신고하여야 한다.
⑥ 사용자는 전자우편을 사용하는 PC에 대하여 제29조(PC등 단말기 보안관리) 및 제35조(비밀번호 관리)에 명시된 보안조치 사항을 따른다.
제39조(휴대용 저장매체 보안대책) ① 휴대용 저장매체 관리책임자는 휴대용 저장매체를 사용하여 업무자료를 보관할 필요가 있을 때에는 위변조, 훼손, 분실 등에 대비한 보안대책을 강구하여 정보보안담당관의 승인을 받아야 한다.
② 휴대용 저장매체 관리책임자는 휴대용 저장매체를 비밀용, 일반용으로 구분하고 주기적으로 수량 및 보관상태를 점검하며 반출․입을 통제하여야 한다.
③ 휴대용 저장매체 관리책임자는 USB 관리시스템을 도입할 경우 국가정보원장이 안정성을 확인한 제품을 도입하여야 한다.
④ 휴대용 저장매체 관리책임자는 사용자가 USB메모리를 PC등에 연결 시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 설정하여야 한다.
⑤ 비밀자료가 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재 관리하여야 한다. 이 경우 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 다만, 휴대용 저장매체가 국가용 보안시스템에 해당될 경우에는 해당 보안시스템의 운용․관리체계에 따라 관리하여야 한다.
⑥ 휴대용 저장매체를 파기 등 불용처리 하거나 비밀용을 일반용 또는 다른 등급의 비밀용으로 전환하여 사용할 경우 저장되어 있는 정보의 복구가 불가능하도록 완전삭제 프로그램을 사용하여야 한다.
⑦ 정보보안담당관은 사용자의 휴대용 저장매체 무단 반출 및 미등록 휴대용 저장매체 사용 여부 등 보안관리실태를 주기적으로 점검하여야 한다.
⑧ 그 밖에 휴대용 저장매체의 보안관리에 관련된 사항은 「국가 정보보안 기본지침」 (부록 5)‘USB메모리 등 휴대용 저장매체 보안관리지침’을 따른다.
제40조(악성코드 감염 방지대책) ① 각급기관의 장은 웜․바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호와 같은 대책을 수립․시행하여야 한다.
1. 사용자는 개인PC에서 작성하는 문서․데이터베이스 작성기 등 응용프로그램을 보안패치하고 백신은 최신상태로 업데이트하고 상시 감시상태로 설정하여 주기적인 점검을 실시하여야 한다.
2. 사용자는 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램을 사용하지 않아야 하고 인터넷 등 상용망으로 자료 입수 시 신뢰할 수 있는 인터넷사이트를 활용하되 최신 백신으로 진단 후 사용하여야 한다.
3. 사용자는 인터넷 파일공유 프로그램과 메신저․대화방 프로그램 등 업무상 불필요한 프로그램을 사용할 수 없으며 시스템관리자는 인터넷 연동구간의 침입차단시스템 등에서 관련 사이트 접속을 차단하도록 보안설정 하여야 한다.
4. 사용자는 웹브라우저를 통해 서명되지 않은(Unsigned) Active-X 등이 PC내에 불법 다운로드 되고 실행되지 않도록 보안 설정하여야 한다.
5. 제1호부터 제4호까지의 보안대책과 관련하여 시스템관리자는 정보보안담당관과 협조하여 사용자가 적용할 수 있는 보안기술을 지원하여야 한다.
② 시스템관리자 또는 PC등의 사용자는 시스템에 악성코드가 설치되거나 감염된 사실을 발견하였을 경우에 다음 각 호의 조치를 하여야 한다.
1. 악성코드 감염원인 규명 등을 위하여 파일 임의삭제 등 감염 시스템 사용을 중지하고 전산망과의 접속을 분리한다.
2. 악성코드의 감염확산 방지를 위하여 정보보안담당관에게 관련 사실을 즉시 통보한다.
③ 각급기관의 장은 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 장관을 경유하여 국가정보원장에게 신속히 통보하여야 한다.
④ 각급기관의 장은 국가정보원장이 해당 기관에 악성코드 감염사실을 확인하여 조치를 권고할 경우, 즉시 이행하여야 한다.