출처: 행정안전부
행정기관 및 공공기관 정보자원 통합기준 요약한 글입니다. 출처는 행정안전부이며 행정기관 및 공공기관 정보자원 통합기준에 대한 글을 다루고 있습니다. 행정기관 및 공공기관 정보자원 통합기준 내용에 대한 전문이 필요하신 분은 하단으로 가시면 행정기관 및 공공기관 정보자원 통합기준 다운로드 및 확인하실 수 있습니다.
행정기관 및 공공기관 정보자원 통합기준(행정안전부고시 제2023-69호, 2023.9.27.) | 행정안전부>
행정안전부 홈페이지에 오신것을 환영합니다.
www.mois.go.kr
행정기관 및 공공기관 정보자원 통합기준(행정안전부고시 제2023-69호, 2023.9.27.)
행정안전부고시 제2023-69호
행정기관 및 공공기관 정보자원 통합기준
제1조(목적) 이 고시는 「전자정부법」 제54조 및 같은 법 시행령 제66조, 「지능정보화 기본법」 제40조제3항 및 같은 법 시행령 제26조제2항, 제28조제3호에 따라 행정기관 및 공공기관(이하 “행정기관등”이라 한다)의 정보시스템을 통합적으로 구축·관리하기 위한 기준 및 원칙을 정하고 통합관리기관 지정‧운영 및 행정기관등의 데이터센터 구축·운영, 정보시스템 운영시설의 안정적인 운영에 필요한 사항을 정함을 목적으로 한다.
제2조(정의) 이 고시에서 사용하는 용어의 정의는 다음과 같다.
1. “행정기관”이란 「전자정부법」(이하 “법”이라 한다) 제2조제2호에 따른 행정기관을 말한다.
2. “공공기관”이란 법 제2조제3호에 따른 공공기관(「초·중등교육법」 제3조제3호 및 「고등교육법」 제3조에 따른 사립학교는 제외)을 말한다.
3. “데이터센터”란 행정기관등이 전자정부서비스를 제공하기 위해 정보시스템을 일정한 공간에 집적시켜 통합 운영·관리하는 시설을 말한다.
4. “통합관리기관”이란 행정안전부장관이 법 제54조제3항에 따라 행정기관등의 정보시스템을 통합적으로 구축·관리하기 위해 지정한 전담기관을 말한다.
5. “정보시스템”이란 법 제2조제13호에 따른 정보시스템을 말한다.
6. “정보시스템 등급”은 「행정기관 및 공공기관 정보시스템 구축·운영 지침」제48조의2에 따른 정보시스템 등급을 말한다.
7. “정보시스템 운영시설”이란 행정기관등이 정보시스템을 운영하기 위해 보유한 건축물 및 건축설비를 말한다.
8. “범정부 정보기술아키텍처 지원시스템”(이하 “범정부 EA 포털”이라 한다)이란 법 제47조제3항에 따라 행정안전부장관이 행정기관등에서 정보기술아키텍처 관련 정보를 공동으로 등록·관리·활용할 수 있도록 구축·운영하는 시스템을 말한다.
제3조(적용범위) 이 고시는 행정기관등의 정보시스템 통합과 통합관리기관의 지정·운영 및 데이터센터 구축‧운영, 정보시스템 운영시설의 안정적인 운영에 대하여 적용한다.
제4조(기본원칙) 행정기관등의 장은 다음 각 호의 기본원칙에 따라 정보시스템을 통합적으로 구축·관리해야 한다.
1. 정보시스템의 효율적 구축·관리를 위한 표준화 및 공동 이용
2. 침해·위협으로부터 안전하고 신뢰할 수 있는 보안환경 구현
3. 소규모 데이터센터 통합 및 정보시스템의 연계·통합 운영환경 구현
4. 정보시스템의 에너지 및 비용 효율성 향상
5. 정보시스템 운영시설의 안정적인 운영
제5조(정보자원통합실무협의회 구성‧운영) 행정안전부장관은 「전자정부법 시행령」(이하 “영”이라 한다) 제66조의2에 따른 정보자원통합심의위원회(이하 “정보자원통합심의위원회”라 한다)에 상정될 안건을 미리 검토하고 정보자원통합심의위원회의 운영을 지원하기 위하여 정보자원통합실무협의회를 구성․운영할 수 있다.
제6조(전문기관) ① 법 제71조제1항에 따라 행정안전부장관이 지정한 전문기관의 장은 영 제86조제3항제4호에 따라 다음 각 호의 업무 중 일부 또는 전부를 위탁받아 수행한다.
1. 행정기관등의 정보시스템 통합
2. 통합관리기관 지정, 업무 정지 및 취소 지원
3. 행정기관등의 통합관리기관 이용 지원
4. 정보자원통합심의위원회 운영 지원
5. 정보시스템 운영시설의 안정적인 운영 지원
6. 그 밖에 정보시스템 통합과 관련하여 행정안전부장관이 정하는 업무
② 행정안전부장관은 전문기관의 업무수행에 필요한 경비의 전부 또는 일부를 지원할 수 있다.
제7조(통합 대상) ① 정보시스템 통합 대상은 행정기관등의 장이 신규로 구축하거나 운영·관리하고 있는 모든 정보시스템으로 한다.
② 제1항에도 불구하고 다음 각 호 중 어느 하나의 정보시스템에 해당하는 경우에는 통합대상에서 제외한다.
1. 다른 법령에 따라 특정 장소에 설치·운영하도록 규정된 정보시스템
2. 원자력, 상수도, 가스 등 시설제어와 관련한 정보시스템
3. 센서, CCTV 등 현장자료를 실시간으로 수집·전송하는 정보시스템
4. 행정기관등의 내부운영을 위한 보안·통신, 보안관제 등 현장설치가 필요한 정보시스템
5. 출입통제, 현장장비 제어 등 통신 성능 및 안정성의 사유로 현장에 위치해야 하는 정보시스템
6. 슈퍼컴퓨터 등 정보시스템의 특성상 통합이 불가능한 정보시스템
7. 그 밖에 행정안전부장관이 정보자원통합심의위원회의 심의를 거쳐 정보시스템의 통합이 곤란하다고 인정한 정보시스템
제8조(통합관리기관 지정) ① 행정안전부장관은 법 제54조제3항에 따른 통합관리기관을 지정하려는 경우에는 통합관리기관 지정 계획을 수립해야 한다.
② 행정기관등의 장은 제1항의 통합관리기관 지정 계획에 따라 통합관리기관으로 지정받고자 하는 경우 별표 1의 지정요건을 갖추어 행정안전부장관에게 신청해야 한다.
③ 행정안전부장관은 제1항에 따라 통합관리기관 지정신청을 받은 경우 관계부처, 학계, 연구기관 등의 실무전문가로 구성된 검토반을 구성‧운영하여 심의 대상에 대한 서류 검토 또는 현장 실사를 할 수 있다.
④ 행정안전부장관은 통합관리기관을 지정할 경우에는 정보자원통합심의위원회의 심의를 거쳐야 한다.
제9조(통합관리기관 지정 취소 및 정지) ① 행정안전부장관은 제8조에 따라 지정된 통합관리기관이 다음 각 호의 어느 하나에 해당하는 경우에는 그 지정을 취소하거나 6개월 이내의 기간을 정하여 그 업무의 전부 또는 일부의 정지를 명할 수 있다.
1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우
2. 별표 1의 지정요건에 적합하지 아니하게 된 경우
3. 통합관리기관으로 지정받은 행정기관등의 장이 지정 취소를 요청한 경우
② 행정안전부장관은 제1항에 따라 통합관리기관 지정을 취소하거나 업무 정지를 명하고자 할 경우에는 정보자원통합심의위원회 심의를 거쳐야 한다.
제10조(통합관리기관의 책무) 통합관리기관은 다음 각 호의 업무를 수행한다.
1. 정보시스템의 통합 및 유지·관리
2. 사이버침해에 대비한 보안관제 및 침해 대응
3. 정보통신망의 구축 및 관리
4. 정보시스템 재해복구 등에 관한 계획의 수립 및 시행
5. 행정기관등에 제공하는 별표 2의 서비스 품질 수준의 측정, 평가 및 개선
6. 그 밖에 정보시스템의 안정적인 통합 운영·관리에 필요한 사항
제11조(통합관리기관의 점검) ① 행정안전부장관은 통합관리기관에 대하여 통합관리기관 지정요건 충족 여부 및 서비스 품질 수준 등을 점검할 수 있다.
② 행정안전부장관은 통합관리기관에 대하여 정보시스템 통합 현황, 운영현황 및 운영성과 등의 자료 제출을 요구할 수 있다.
제12조(통합관리기관의 이용료 징수 등) ① 통합관리기관의 장은 소관 정보시스템의 통합‧구축을 요청하는 행정기관등의 장(이하 “이용기관의 장”이라 한다)에게 해당 정보시스템의 구축·운영에 소요되는 비용을 징수할 수 있다.
② 통합관리기관의 장은 이용기관의 장에게 비용을 징수할 경우에는 비용 산정기준 및 부과방식 등을 정하여 이용기관의 장에게 사전에 통지하고 정보통신망을 통하여 공개해야 한다.
제13조(통합방법) ① 행정안전부장관이 법 제54조제2항에 따라 행정기관등의 정보시스템을 통합적으로 구축‧운영하려는 경우에는 정보시스템 소관 행정기관등의 장의 의견을 청취하여 통합할 대상 정보시스템을 정하고 해당 행정기관의 장에게 통지해야 한다.
② 행정기관등의 장은 소관 정보시스템을 효율적으로 관리할 수 있도록 통합적으로 구축‧관리해야 한다.
제14조(데이터센터 신규 구축 등) ① 행정기관등의 장이 다음 각 호의 어느 하나에 해당하는 경우에는 데이터센터를 신규로 구축할 수 있다.
1. 다른 법령에서 데이터센터를 구축할 수 있도록 정한 경우
2. 제8조에 따라 통합관리기관으로 지정된 경우
3. 제7조제2항에 따른 정보시스템을 구축‧운영하는 경우
4. 법 제55조에 따른 지역정보통합센터를 설립‧운영하는 경우
5. 제13조제2항에 따라 자체적으로 정보시스템을 통합하는 경우
② 행정기관등의 장은 제1항의 경우를 제외하고는 데이터센터를 신규로 구축할 수 없다.
③ 행정기관등의 장이 제1항에 따라 데이터센터를 신규로 구축하려는 경우에는 행정안전부장관과 사전에 협의해야 한다.
제15조(정보시스템 운영시설의 점검 등) ① 행정기관등의 장은 해당 기관 및 그 소속 기관이 보유한 정보시스템 운영시설을 매년 별표 3에 따라 점검하고 그 결과를 3월 31일까지 범정부 EA 포털에 등록해야 한다.
② 행정안전부장관은 제1항에 따른 점검 결과를 검토하고, 필요시 현장점검을 실시할 수 있다.
제16조(정보시스템 운영시설의 개선 등) ① 행정안전부장관은 제15조제2항에 따른 검토 결과 정보시스템 운영시설이 다음 각 호를 충족시키지 못하는 경우 관계 기관의 장 및 해당 정보시스템 운영시설을 관리·운영하는 자(이하 “정보시스템 운영시설을 관리·운영하는 자등”이라 한다)에게 개선권고 등 필요한 조치를 요청할 수 있다.
1. 정보시스템 등급 1등급 및 2등급은 별표 3의 운영시설 안정성 기준 “상”을 충족
2. 정보시스템 등급 3등급은 별표 3의 운영시설 안정성 기준 “중” 이상을 충족
3. 정보시스템 등급 4등급 및 5등급은 별표 3의 운영시설 안정성 기준 “하” 이상을 충족
② 제1항에 따른 개선권고를 받은 정보시스템 운영시설을 관리·운영하는 자등은 그 요청을 받은 때로부터 1개월 이내에 정보시스템 운영시설의 보강, 정보시스템 이전 등 조치계획을 행정안전부장관에게 제출해야 한다.
③ 행정안전부장관은 제2항에 따라 제출된 조치계획을 검토하고, 정보시스템 운영시설을 관리·운영하는 자등에게 수정을 요청할 수 있다.
④ 제3항에 따라 요청을 받은 정보시스템 운영시설을 관리·운영하는 자등은 정당한 사유 없이 그 요청을 거부할 수 없으며, 제2항의 조치계획에 따른 조치결과를 행정안전부장관에게 제출해야 한다.
⑤ 행정안전부장관은 제4항에 따른 조치결과를 확인하기 위하여 현장점검을 추가로 실시할 수 있다.
제17조(재검토기한) 행정안전부장관은 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 2024년 1월 1일 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 해야 한다.
부칙
제1조(시행일) 이 고시는 2023년 12월 27일부터 시행한다.
제2조(경과조치) 본 고시 시행 이전에 「행정기관 및 공공기관 정보자원 통합기준(행정안전부 고시, 2020-31호, 2020.6.16.)」 제14조에 따라 공공클라우드센터로 지정된 데이터센터를 보유한 기관을 이 고시에 따른 통합관리기관으로 본다.
[별표1]
통합관리기관 지정요건(제8조제2항 관련)
구 분
세 부 조 치 사 항
1.
기반시설
1.1
전산운영
1.1.1.
데이터센터 공간
서버, 스토리지 등의 정보통신장비와 함께 소방설비, CCTV 등을 구비하여 물리적 안정성이 보장되어야 하며, 외부와 공간이 분리되어 접근 통제가 가능해야 한다.
1.1.2. 전력공급시설
정전, 전압 변동 등의 상황이 발생하더라도 통합관리기관에 안정적인 전력을 공급하기 위한 수·배전, 무정전전원장치 등을 구비해야 한다.
1.1.3.
공조시설
데이터센터 내부를 일정한 온도 및 습도로 유지하기 위한 시설 또는 외기 냉방시설 등을 구비해야 한다.
1.1.4.
비상발전시설
장시간 정전이 발생할 경우 통합관리기관 전체부하를 감당할 수 있도록 비상발전기 등 자체 전력공급 능력을 구비해야 한다.
1.2
에너지
효율
1.2.1
고효율기기
신규 또는 교체ㆍ개체 수요 발생 시 특별한 사유가 없는 한 「고효율에너지기자재 보급촉진에 관한 규정」(산업통상자원부고시)에 따른 고효율에너지기자재 인증제품, 「효율관리기자재 운용규정」(산업통상자원부고시)에 따른 에너지소비효율 1등급 제품 또는 「대기전력저감프로그램 운용규정」(산업통상자원부고시)에 따른 에너지절약마크가 표시된 제품을 우선 적용해야 한다. 다만, 고효율에너지기자재 인증제품 또는 에너지소비효율 1등급 제품이 없는 경우에는 차상위 에너지효율등급 제품을 적용할 수 있다.
1.2.2.
에너지효율
관리
데이터센터를 신축하거나 별동으로 증축하는 경우 에너지 효율을 최대화하고 환경에 미치는 영향을 최소화하여 운영되도록 설계해야 하며, 「에너지이용 합리화법」 제2조에 따른 에너지관리시스템을 구축·운영해야 한다.
태양광 등 신·재생에너지 설비 도입을 통해 데이터센터의 에너지자립률 향상을 위해 노력해야 한다.
한국산업표준(KS) X ISO/IEC 30134-2에 따른 전력사용효율지수(PUE*)를 설정하여 측정·관리하고, 데이터센터의 지속적인 에너지효율 개선을 위해 노력해야 한다.
* PUE(Power Usage Effectiveness, 전력사용효율지수)
2. 정보보호 정책 및 조직
2.1.
정보보호 정책
2.1.1.
정보보호 정책 수립
정보보호 정책을 문서화하고, 정보보호 최고책임자의 승인 후 정책에 영향을 받는 모든 업무 관련자에게 제공해야 한다.
2.1.2.
정보보호 정책 검토 및 변경
정보보호 정책의 타당성 및 효과를 연 1회 이상 검토하고, 관련 법규 변경 및 내·외부 보안사고 발생 등의 중대한 사유가 발생할 경우에는 추가로 검토하고 변경해야 한다.
2.1.3.
정보보호 정책문서 관리
정보보호 정책 및 정책 시행문서의 이력관리 절차를 수립‧시행해야 한다.
2.2.
정보보호 조직
2.2.1.
조직 구성
정보보호 활동을 계획‧실행‧검토하는 정보보호 전담조직을 구성하고 정보보호 최고책임자를 임명해야 한다.
2.2.2.
역할 및 책임 부여
정보자산과 보안에 관련된 모든 업무 관련자의 정보보호 역할과 책임을 명확하게 정의해야 한다.
2.2.3.
보안에 관한 책무
통합관리기관과 이용기관의 보안에 관한 책임범위는 업무별 특성 등을 고려하여 양 기관이 협약으로 정한 책임과 역할에 따라 정해지며, 정해진 소관 업무범위에 따라 침해사고의 예방‧대응‧복구활동을 수행해야 한다.
3. 인적보안
3.1.
내부인력 보안
3.1.1.
주요 직무자 지정 및 감독
정보시스템 운영‧개발 및 정보보호 등에 관련된 부서장의 경우 주요 직무자로 지정하여 관리하고, 직무 지정 범위는 최소화해야 한다.
3.1.2.
직무 분리
권한 오남용 등 내부 부서장의 고의적인 행위로 발생할 수 있는 잠재적인 위협을 줄이기 위하여 직무분리 기준을 수립하고 적용해야 한다.
3.1.3.
비밀유지서약서
정보보호와 개인정보보호 등을 위해 필요한 사항을 비밀유지서약서에 정의하고 주기적으로 갱신해야 한다.
3.1.4.
퇴직 및 직무변경
직원의 퇴직 또는 직무 변경에 관한 책임을 명시적으로 정의하고 수행해야 한다. 또한 이에 대한 접근권한도 제거해야 한다.
3.2.
외부인력 보안
3.2.1.
외부인력 계약
외부인력(외부유지보수직원, 외부용역자 포함)에 의한 정보자산 접근 등과 관련된 보안요구사항을 계약에 반영해야 한다.
3.2.2.
외부인력 보안 이행 관리
계약서에 명시한 보안요구사항 준수 여부를 주기적으로 점검하고 위반사항이나 침해사고 발생 시 적절한 조치를 수행해야 한다.
3.2.3.
계약 만료 시 보안
외부인력과의 계약 만료 시 자산 반납, 접근권한의 회수, 중요정보 파기, 업무 수행 시 알게 된 정보에 대한 비밀 유지서약 등을 확인해야 한다.
3.3.
정보보호 교육
3.3.1
교육 프로그램 수립
모든 직원 및 외부 업무 관련자를 포함하여 연간 정보보호 교육 프로그램을 수립해야 한다.
3.3.2.
교육 시행
모든 직원 및 외부 업무 관련자를 대상으로 연 1회 이상 정보보호 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 내·외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생하면 추가 교육을 실시해야 한다.
3.3.3.
평가 및 개선
정보보호 교육 시행에 대한 기록을 남기고 결과를 평가하여 개선해야 한다.
4. 자산관리
4.1.
자산 식별 및 분류
4.1.1.
자산 식별
정보자산(시설, 장비, 소프트웨어 등)에 대한 자산분류기준 수립하고 식별된 자산의 목록을 작성하여 관리해야 한다.
4.1.2.
자산별 책임할당
식별된 자산마다 책임자 및 관리자를 지정하여 책임소재를 명확히 해야 한다.
4.1.3.
보안등급 및 취급
기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 자산의 보안등급을 부여하고, 보안등급별 취급 절차에 따라 관리해야 한다.
4.2.
자산 변경관리
4.2.1.
변경관리
정보자산(시설, 장비, 소프트웨어 등)의 변경이 필요한 경우 보안 영향 평가를 통해 변경 사항을 관리해야 한다. 또한 이용자에게 큰 영향을 주는 변경에 대해서는 사전에 공지를 해야 한다.
4.2.2.
변경 탐지 및
모니터링
정보자산(시설, 장비, 소프트웨어 등)의 변경을 지속적으로 모니터링하여 허가받지 않은 변경을 탐지하고 최신의 변경 이력을 유지해야 한다.
4.2.3.
변경 후
작업검증
정보자산(시설, 장비, 소프트웨어 등)의 변경 후에는 보안성 및 호환성 등에 대한 작업검증을 수행해야 한다.
4.3.
위험관리
4.3.1.
위험관리계획
수립
관리적, 기술적, 물리적, 법적 분야 등 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법과 계획을 사전에 수립해야 한다.
4.3.2.
취약점 점검
취약점 점검 정책에 따라 주기적으로 기술적 취약점(예 : 유·무선 네트워크, 운영체제 및 인프라, 응용 프로그램 취약점 등)을 점검하고 보완해야 한다.
4.3.3.
위험분석 및 평가
위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 수용 가능한 위험수준을 설정하여 관리해야 한다.
4.3.4.
위험처리
법규 및 계약관련 요구사항과 위험수용 수준을 고려하여 위험평가 결과에 따라 통제할 수 있는 방법을 선택하여 처리해야 한다.
5. 침해사고관리
5.1.
침해사고 대응 절차 및 체계
5.1.1.
침해사고 대응
절차 수립
침해사고에 대한 효율적이고 효과적인 대응을 위해 신고절차, 유출 금지 대상, 사고 처리 절차 등을 담은 침해사고 대응절차를 마련해야 한다. 침해사고 대응절차는 통합관리기관과 이용기관의 책임과 절차가 포함되어야 한다.
5.1.2.
침해사고 대응
체계 구축
침해사고 정보를 수집·분석·대응할 수 있는 보안관제 시스템 및 조직을 구성·운영하고, 침해사고 유형 및 중요도에 따라 보고 및 협력체계를 구축해야 한다.
5.1.3.
침해사고 대응
훈련 및 점검
침해사고 대응과 관련된 역할 및 책임이 있는 담당자를 훈련시켜야 하고, 주기적으로 침해사고 대응 능력을 점검해야 한다.
5.2.
침해사고 대응
5.2.1.
침해사고 보고
침해사고 발생 시 침해사고 대응절차에 따라 이용기관에게 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.
5.2.2.
침해사고
처리 및 복구
침해사고 발생 시 침해사고 대응절차에 따라 처리와 복구를 신속하게 수행해야 한다
5.3.
사후관리
5.3.1.
침해사고
분석 및 공유
침해사고가 처리 및 종결된 후 발생 원인을 분석하고 그 결과를 이용기관에게 알려야 한다. 또한 유사한 침해사고에 대한 신속한 처리를 위해 침해사고 관련 정보 및 발견된 취약점을 행정안전부, 국가정보원 등 사이버 보안 유관기관과 공유해야 한다.
5.3.2.
재발방지
침해사고 관련 정보를 활용하여 유사한 침해사고가 반복되지 않도록 침해사고 재발방지 대책을 수립하고, 필요한 경우 침해사고 대응 체계도 변경해야 한다.
6. 서비스연속성관리
6.1.
장애대응
6.1.1.
장애 대응절차
수립
업무 연속성을 보장하기 위해 백업, 복구 등을 포함하는 장애 대응 절차를 마련해야 한다.
6.1.2.
장애 보고
서비스 중단이나 피해가 발생한 경우, 장애 대응절차에 따라 이용기관에게 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.
6.1.3.
장애
처리 및 복구
서비스 중단이나 피해가 발생한 경우, 서비스 수준 협약(SLA)에 명시된 시간 내에 장애대응절차에 따라 해당 서비스의 장애를 처리하고 복구시켜야 한다.
6.1.4.
재발방지
장애 관련 정보를 활용하여 유사한 서비스 중단이 반복되지 않도록 장애 재발방지 대책을 수립하고, 필요한 경우 장애 대응 절차도 변경해야 한다.
6.2.
서비스 가용성
6.2.1.
이중화 및 백업
서버, 스토리지, 네트워크 장비, 통신 케이블, 접속 회선 등의 장애로 서비스가 중단되지 않도록 이중화하고, 장애 및 재난재해 발생 시 신속하게 복구를 수행하도록 백업체계를 구축해야 한다.
7. 준거성
7.1.
법 및 정책 준수
7.1.1.
법적요구사항
준수
정보보호 관련 법적 요구사항을 식별하고 준수해야 한다.
7.1.2.
정보보호 정책
준수
정보보호 정책 및 서비스 수준 협약에 포함된 보안 요구사항을 식별하고 준수하며 이용자가 요구하는 경우 관련 증거를 제공해야 한다.
7.1.3.
감사기록 및
모니터링
보안감사 증적(로그)은 식별할 수 있는 형태로 기록 및 모니터링 되어야 하고 비인가된 접근 및 변조로부터 보호되어야 한다.
8. 물리적
보안
8.1.
물리적 보호구역
8.1.1.
물리적 보호구역 지정
중요 정보 및 정보처리시설을 보호하기 위한 물리적 보안 구역(예 : 주요 정보처리 설비 및 시스템 구역, 사무실, 외부인 접견실 등)을 지정하고, 각 보안 구역에 대한 보안 대책을 마련해야 한다.
8.1.2.
물리적 출입통제
물리적 보안 구역에 인가된 자만이 접근할 수 있도록 출입을 통제하는 시설(예 : 경비원, 출입 통제 시스템 등)을 갖추어야 하고, 출입 및 접근 이력을 주기적으로 검토해야 한다.
8.1.3.
물리적 보호구역 내 작업
유지보수 등 주요 정보처리 설비 및 시스템이 위치한 보호구역 내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토해야 한다.
8.1.4.
사무실 및 설비 공간 보호
사무실 및 설비 공간에 대한 물리적인 보호방안을 수립하고 적용해야 한다.
8.1.5.
운송·하역구역 보호
공공장소 및 운송ㆍ하역을 위한 구역은 내부 정보처리시설로부터 분리 및 통제해야 한다.
8.1.6.
모바일 기기 반출·입
노트북 등 모바일 기기 미승인 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방을 위하여 보호구역 내 직원 및 외부인력 모바일 기기 반출입 통제절차를 수립하고 기록·관리해야 한다
8.2.
정보처리
시설 및 장비보호
8.2.1.
정보처리시설의 배치
물리적 및 환경적 위험으로부터 잠재적 손상을 최소화하고 비인가 된 접근 가능성을 최소화하기 위하여, 정보처리시설 내 장비의 위치를 파악하고 배치해야 한다.
8.2.2.
보호설비
각 보안 구역의 중요도 및 특성에 따라 화재, 누수, 전력 이상 등 자연재해나 인재에 대비하여 화재 감지기, 소화 설비, 누수 감지기, 항온 항습기, 비상발전기, 무정전 전원 장치(UPS), 이중 전원선 등의 설비를 갖추어야 한다.
8.2.3.
케이블 보호
데이터를 송수신하는 통신케이블이나 전력을 공급하는 전력 케이블은 손상이나 도청으로부터 보호해야 한다.
8.2.4.
시설 및 장비 유지보수
정보처리시설은 가용성과 무결성을 지속적으로 보장할 수 있도록 유지보수해야 한다.
8.2.5.
장비 반출·입
장비의 미승인 반출·입을 통한 중요 정보 유출, 악성코드 감염 등의 침해사고 예방을 위하여, 보안 구역 내 직원 및 외부 업무 관련자에 의한 장비 반출·입 절차를 수립하고, 기록 및 관리해야 한다.
8.2.6.
장비 폐기 및 재사용
정보처리시설 내의 저장 매체를 포함하여 모든 장비를 파악하고, 민감한 데이터가 저장된 장비를 폐기하는 경우 복구 불가능하도록 해야 한다. 또한 재사용하는 경우에도 복구 불가능 상태에서 재사용해야 한다.
9. 접근통제
9.1.
접근통제 정책
9.1.1.
접근통제 정책 수립
비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립해야 한다.
9.1.2.
접근기록 관리
접근기록 대상을 정의하고 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 수 있는 형태로 기록되고 유지해야 한다.
9.2.
접근 권한 관리
9.2.1.
사용자 등록 및 권한부여
시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여해야 한다.
9.2.2.
관리자 및 특수 권한관리
시스템 및 중요정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제해야 한다.
9.2.3.
접근권한 검토
시스템 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검해야 한다.
9.3.
사용자 식별 및 인증
9.3.1.
사용자 식별
시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한해야 한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
9.3.2.
사용자 인증
시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제해야 한다.
9.3.3.
패스워드 관리
법적 요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 패스워드 관리절차를 수립·이행해야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리해야 한다.
10. 네트워크 보안
10.1. 네트워크 보안
10.1.1.
보안 정책 수립
서비스와 관련된 내·외부 네트워크에 대해 보안 정책과 절차를 수립해야 한다.
10.1.2.
네트워크 모니터링 및 통제
DDoS, 비인가 접속 등으로 인한 서비스 중단 및 중요 정보 유출 등을 막기 위해 네트워크를 모니터링하고 통제해야 한다.
10.1.3.
네트워크 정보보호
서비스와 관련된 내·외부 네트워크를 보호하기 위하여 정보보호시스템(방화벽, IPS, IDS, VPN 등)을 운영해야 한다.
10.1.4.
네트워크 암호화
시스템에서 중요 정보가 이동하는 구간에 대해서는 암호화된 통신채널을 사용해야 한다.
10.1.5.
네트워크 분리
시스템관리 영역과 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리해야 한다. 행정기관의 경우 국가정보원의 행정업무망과 인터넷망의 분리 정책을 유지해야 한다.
10.1.6.
무선 접근통제
시스템은 무선망과 분리하고 무선접속에 대한 접근을 통제해야 한다. 무선접속을 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다
11.
가상화 보안
11.1.
가상화 인프라
11.1.1.
가상자원 관리
가상화기술을 적용한 경우 가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등)의 생성, 변경, 회수 등에 대한 관리 방안을 수립해야 한다.
11.1.2.
가상자원 모니터링
가상화 기술을 적용한 경우 가상자원에 대한 무결성을 보장하기 위한 보호조치 및 가상자원의 변경(수정, 이동, 삭제, 복사)에 대해 모니터링 해야 한다. 또한, 가상자원에 손상이 발생한 경우 이를 이용기관에게 알려주어야 한다.
11.1.3.
하이퍼바이저 보안
가상화 기술을 적용한 경우 가상자원을 관리하는 하이퍼바이저의 기능 및 인터페이스에 대한 접근 통제 방안을 마련해야 한다. 또한 하이퍼바이저에 대한 소프트웨어 업데이트 및 보안패치를 최신으로 유지해야 한다.
11.1.4.
공개서버 보안
가상화 기술을 적용한 경우 가상자원을 제공하기 위한 웹사이트와 가상소프트웨어(앱, 응용프로그램)를 배포하기 위한 공개서버에 대한 물리적, 기술적 보호대책을 수립해야 한다.
11.1.5.
상호 운용성 및 이식성
가상화기술을 적용한 경우 표준화된 가상화 포멧, 이식성이 높은 가상화 플랫폼, 공개 API 등을 이용하여 서비스 간의 상호 운용성 및 이식성을 높여야 한다.
12.
데이터 보호 및 암호화
12.1
보안인증
12.1.1
CC인증
서비스 구축을 위해 도입되는 서버·PC 가상화 솔루션 및 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용해야 한다.
12.1.2
검증필 암호화
정보시스템을 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 국가표준암호화 기술을 제공해야 한다.
12.2
매체 보안
12.2.1.
저장매체 관리
중요정보를 담고 있는 하드디스크, 스토리지 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제해야 한다.
12.2.2.
이동매체 관리
중요정보 유출을 예방하기 위해 외장하드, USB, CD 등 이동매체 취급, 보관, 폐기, 재사용에 대한 절차를 수립해야 한다. 또한 매체를 통한 악성코드 감염 방지 대책을 마련해야 한다.
12.3.
암호화
12.3.1.
암호 정책 수립
저장 또는 전송 중인 데이터를 보호하기 위해 암호화 대상, 암호 강도(복잡도), 키관리, 암호 사용에 대한 정책을 마련해야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영해야 한다.
12.3.2.
암호키 관리
암호키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고, 암호키는 별도의 안전한 장소에 보관해야 한다.
[별표2]
통합관리기관 서비스수준협약 기준(제10조 관련)
1. 서버관리
서비스 종류
내 용
서버 모니터링
서버 자원의 운영상태 및 관련 로그를 감시하고 발생된 이벤트의 수집 및 분석을 통해 서버 운영 상태 최적화
서버 성능/용량관리
서버 자원의 성능 및 용량 정보수집, 자원사용 추이분석을 통해 서버 개선
서버 변경관리
서버의 변경에 대한 계획, 검토, 승인, 구현, 검증, 변경이력의 관리활동 수행
서버 장애관리
서버의 장애를 조치하고, 장애 예방점검을 정기적으로 수행
2. 시스템소프트웨어 관리
서비스 종류
내 용
시스템소프트웨어 모니터링
시스템소프트웨어의 운영상태 및 관련 로그를 모니터링 하고, 발생된 이벤트 수집 및 분석을 통해 운영 상태 최적화
시스템소프트웨어
패치 및 업그레이드
시스템소프트웨어에 대해 확인된 오류 수정, 성능개선 등이 요구되는 경우, 안정성이 검증된 패치 적용 및 업그레이드 수행
시스템소프트웨어
장애관리
시스템소프트웨어의 장애 조치, 예방점검의 정기적 수행 및 이에 대한 결과분석과 개선활동 수행
DBMS 운영
DBMS 환경구성, 공간관리, 성능관리 등을 통해 최적의 가동상태 유지ㆍ관리
3. 스토리지 관리
서비스 종류
내 용
스토리지 모니터링
스토리지의 운영상태 및 관련 로그 확인ㆍ분석을 통해 운영상태 최적화
스토리지
성능/용량관리
스토리지의 성능/용량 정보 수집 및 분석을 통해 개선활동 수행
스토리지 장애관리
스토리지의 장애를 조치 및 장애 예방점검을 정기적으로 수행
4. 백업 및 복구 관리
서비스 종류
내 용
백업관리
백업정책 및 지침에 따라 백업 수행
백업 모니터링
백업장비 운영상태 및 관련 로그 확인ㆍ분석을 통해 운영상태 최적화
백업 성능/용량 관리
백업장비의 성능/용량 정보 수집 및 분석을 통해 개선활동 수행
복구관리
데이터 유실로부터 데이터의 일관성 유지
5. 보안관리
서비스 종류
내 용
보안정책 운영∙관리
체계적이고 일관성 있는 침입차단, 침입탐지, 접근제어에 대한 보안정책 운영, 관리
보안관제(모니터링)
사이버위협으로부터 통합관리기관 내 정보시스템을 안전하게 보호하기 위해 24시간 실시간 보안관제 및 초동대응 수행
보안 이벤트 로깅/분석
유해 트래픽을 분석하여 보안취약점을 보완하고 이를 보안정책에 반영
정보보호시스템 운영
정보보호시스템의 운영관리 및 정책관리 수행
원격접근관리
이용기관에 안전한 원격접근을 허용함
계정관리
정보시스템의 계정관리를 통해서 정보유출 방지
웹 보안관제
HTTP 포트를 통해 유입되는 트래픽 감시 및 차단
웹 보안 취약점
점검 및 제거 (지원)
웹 응용프로그램에 대한 취약점 점검 및 제거를 수행 함
취약점 분석
서버 및 네트워크에 잠재되어 있는 취약점 분석 및 제거
정밀진단
(해킹훈련지원)
정보시스템에 의도적으로 해킹을 시도하여 보안상 허점을 발견하고 제거 방안 수립
6. 통신망관리
서비스 종류
내 용
통신망 모니터링
통합관리기관 내 통신망 상태 및 관련 로그를 감시하고 발생된 이벤트 수집 및 분석
통신망 성능/용량관리
통합관리기관 내 통신망의 성능/용량 정보 수집 및 추이분석을 통해 개선활동 수행
통신망 변경관리
통합관리기관 내 통신망 변경수행 및 변경이력 관리
통신망 장애관리
통합관리기관 내 통신망에 대한 장애 조치 및 장애 예방 점검의 정기적 수행
7. 재해복구관리
서비스 종류
내 용
재해복구시스템 운영∙관리
재해복구시스템의 운영ㆍ관리
원격지 데이터
소산 및 보관
소산대상으로 선정된 정보시스템의 백업매체를 정해진 주기에 따라 원격장소로 이송하여 보관
8. 시스템 현황 공유
서비스 종류
내 용
시스템 구조진단
개별 운영업무 시스템의 전체 영역(서버, 네트워크, 보안, AP 등) 대상으로 종합 진단하고 개선방안을 도출・조치하여 서비스 가용성 및 안정성 제고
운영현황보고서 제공
통합관리기관이 운영ㆍ관리하는 정보시스템 대한 월간운영 현황보고서
웹 로그 분석 및 보고
웹서버 로그파일을 기반으로 웹사이트 운영에 필요한 정보 제공
[별표3]
정보시스템 운영시설 안정성 기준(제15조 관련)
대분류
중분류
소분류
기준
운영시설 안정성 수준
상
중
하
1. 건물
(9항목)
1.1
구조 안정성
1.1.1
내진 및 면진 적용 여부
지진, 폭발 등 진동 발생으로부터 건물의 붕괴·파괴를 막기 위해 내진설계 1등급 이상의 건물 구조이거나, 진동 발생으로부터 전산 장비와 전산 랙의 전도를 방지하기 위한 면진을 적용해야 한다.
필수
필수
권고
1.1.2
바닥 하중 안정성
UPS*, 변압기, 배전반, 자가발전설비 등이 설치된 장소의 바닥 또는 이중마루는 장비하중(운전하중)에 견디도록 필요한 조치를 해야 한다.
* UPS(Uninterruptible Power System, 무정전전원장치)
필수
필수
권고
1.1.3
건축 구조
화재 및 물리적 충격에 견디기 위해 철골조, 철근 콘크리트를 사용한 건축물이어야 한다.
필수
필수
필수
1.1.4
건축 재료
바닥재, 내벽, 천장 등의 건물 내부에 사용하는 자재는 화재 발생 시에도 잘 연소 되지 않는 불연재료·준불연재료 또는 난연재료를 사용해야 한다.
필수
필수
권고
1.1.5
내화벽체·방화문
운영시설 중 전기실(UPS실 포함), 전산 및 통신장비실은 내화벽체로 구분되어야 하며, 방화문을 설치해야 한다.
필수
필수
권고
1.1.6
벽면구성
전산실, 통신실 등은 천장, 바닥을 통하여 외부와의 왕래가 불가능하도록 벽면과 접한 천장, 바닥을 차단하는 조치를 해야 한다.
필수
필수
필수
1.1.7
유리 창문
주요시설(전기실, 전산실, 통신실 등)에는 창문이 없어야 한다. 부득이 창문이 설치되어 있는 경우, 창문은 강화유리로 제작하고, 개폐가 되지 않도록 설치한다.
필수
필수
필수
1.2
수해방지
1.2.1
방수 시공
운영시설의 천장(상부층 바닥) 및 바닥(주요시설이 지하에 위치한 경우 벽을 포함)은 방수 시공을 해야 한다.
필수
필수
권고
1.2.2
누수탐지기
운영시설 중 전기관련실, 정보시스템 및 통신장비관련실에는 누수탐지기를 설치하여 누전·감전 등으로 인한 장비 손상 또는 인명사고를 예방해야 한다.
필수
권고
권고
2. 방호
및 출입
통제
(17항목)
2.1
외곽 방호
2.1.1
정문 출입
통제
운영시설이 설치된 건물에는 외부인의 출입을 통제해야 한다.
필수
권고
-
2.1.2
차량 출입
통제
차량의 출입을 통제하기 위한 방안을 수립·운영해야 한다.
* 통제 방안 예시
- 차단기 또는 바리케이드
- 차량 돌진방지 장치(로드블로커 등)
- 차량번호 인식기, 카드 인식기
- 차량하부 검색 장치
필수
권고
-
2.1.3
외부 CCTV
운영시설의 건물 외부, 울타리, 출입구에 방범 및 화재 감시를 위해 CCTV를 설치해야 한다.
필수
필수
권고
2.1.4
상근
경비원
운영시설이 설치된 건물의 출입자를 통제하기 위하여 24시간 경비업무를 수행하는 상근 경비원을 두어야 한다.
필수
필수
권고
2.1.5
경비초소
운영시설의 주차장 차량 출입 통제 및 외부 울타리 감시를 위한 감시 초소를 설치‧운영해야 한다.
필수
권고
-
2.1.6
순찰관리
외곽 울타리, 건물 외부, 건물 내부의 이상 유무를 확인하기 위해 순찰하고, 순찰 기록을 유지·관리해야 한다.
필수
필수
권고
2.2
현관 출입
통제
2.2.1
검색대 및 탐지기
운영시설 출입 현관에는 휴대품 엑스레이 검색대와 금속 탐지기를 설치‧운영해야 한다.
필수
권고
-
2.2.2
방문자 안내
방문자의 신원확인, 방문목적, 방문장소 및 담당자 등을 확인하여 출입증을 교부하는 절차와 업무를 수행해야 한다.
필수
필수
필수
2.2.3
반출입 물품 통제
방문자가 사전에 승인되지 않은 반입·반출금지품을 반입·반출하지 않도록 관리해야 한다.
* 반입금지물품
- 법정 유해물품 : 「총포·도검·화약류 등의 안전관리에 관한 법률」 제2조 및 11조 규정에 따른 총포류, 도검류, 화약류 등
- 기타 위해물품 : 총기류, 칼, 곤봉류, 폭발물 및 탕약, 인화물질, 가스 및 화학물질, 그 밖의 무기로 사용 가능한 물품
- 정보통신시스템 : 정보통신기기(노트북, 스마트폰 등), 보조기억매체(CD, USB 등 전산자료를 저장할 수 있는 보조기억장치) 등
- 기록장치 : 캠코더, 카메라폰, 녹음기능이 있는 무선통신기기 등
※ 단, 카메라폰의 렌즈부, 휴대용 저장매체의 메모리 카드 입·출력 부분, USB 충전단자, 스마트폰충전기 등에 보안스티커 부착 후 반입 허용 가능
* 반출금지물품
- 정보통신시스템 : 정보통신기기(노트북, 스마트폰 등), 보조기억매체(CD, USB 등 전산자료를 저장할 수 있는 보조기억장치) 등
- 기록장치 : 캠코더, 카메라폰, 녹음기능이 있는 무선통신기기 등
- 종이 출력물 : 운영기관과 관련된 비밀, 대외비, 비공개 자료, 정보통신보호자료 및 그 밖의 용역사업 관련 산출물이 포함된 종이 출력물
※ 단, 보안스티커 부착 후 반입한 스마트폰은 반출 가능
필수
필수
권고
2.2.4
스피드 게이트
방문·출입 절차를 지키지 않고 무단출입하는 사람을 통제하기 위한 스피드게이트를 설치‧운영해야 한다.
필수
권고
-
2.3
접근 통제
및 감시
2.3.1
보호구역 설정
운영시설은 중요도에 따라 “통제구역”, “제한구역”, “일반구역”으로 구분하고, 중앙감시실, 전산실, 전기실(UPS포함), 전력감시실, 통신장비실, 방재센터 등은 통제구역으로 설정해야 한다.
필수
필수
필수
2.3.2
내부
출입통제
출입자별로 역할에 따라 차등적인 출입 권한을 부여하고 운영시설 중 통제구역의 경우 출입자의 신원확인을 통해 개폐되는 잠금장치를 설치해야 한다.
필수
필수
필수
2.3.3
출입기록
운영시설에 대한 출입기록(모든 출입자의 신원과 방문목적 및 방문일시에 대한 기록, 출입통제장치의 로그기록)은 출입일로부터 1년 이상, CCTV 영상은 30일 이상 유지되도록 보관해야 한다.
필수
필수
필수
2.3.4
내부 CCTV
운영시설의 각 출입구에 방범 및 화재 감시를 위해 CCTV를 설치해야 한다.
운영시설 중 전산실, 통신실, 전기실(UPS실 포함)은 내부에도 CCTV를 설치해야 한다.
필수
필수
필수
2.3.5
무선침입
차단
불법 AP, Ad-hoc 연결, 단말기 피싱 공격 등 무선 보안위협을 차단하기 위한 보호 대책을 수립‧이행해야 한다.
필수
필수
권고
2.3.6
휴대용 단말기기 통제
내부자와 외부자의 휴대폰 등 개인 휴대단말기를 통한 촬영, 근거리 통신 등의 기능을 막기 위해 휴대단말기에 통제시스템을 설치하거나 보안 스티커 부착 등의 조치를 취해야 한다.
필수
필수
권고
2.4
장비 반출입
보안 구역 내 직원 및 외부 업무 관련자에 의한 장비 반출입 절차를 수립해야 하고, 수립된 절차에 따라 반출입 신고, 반출입 대장 작성, 미승인 장비 반출입 제한 등 장비 반출입을 관리해야 한다.
필수
필수
필수
3. 전기
(22항목)
3.1
수변전 설비
3.1.1
한전 전원 이중화
배전선로, 전기공급 변전소 등의 장애에 대비하여 한전 전원을 이중화해야 한다.
필수
권고
-
3.1.2
수배전반
백업
변압기
건물 내부 수배전반 장비의 고장 등에 대비하여 백업 변압기를 보유해야 한다.
필수
권고
-
3.1.3
무순단 절체
전원 중단을 방지하기 위해 발전기 전원을 부하에 투입할 때 폐쇄형 전원절환절체개폐기(CTTS*)·자동절체개폐기(ATS**) 등을 이용하여 무순단으로 절체해야 한다.
* CTTS(Closed Transition Transfer Switch, 전원절환절체개폐기)
** ATS(Automatic Transfer Switch, 자동절체개폐기)
필수
필수
권고
3.1.4
누전차단기·경보기
배전반에 단락, 지락 및 과전류를 방지할 수 있도록 계전기(Relay)를 설치하고 누전이 발생하였을 때 이를 차단할 수 있도록 누전차단기 또는 누전경보기를 설치해야 한다.
필수
필수
권고
3.2
비상 전원
(발전기)
3.2.1
발전기
발전 용량
전산실 및 통신실 내의 정보시스템 장비, 항온항습 관련 기기와 출입통제시설, 방재실(중앙감시실, 전기기계감시실 포함), 승강기, 시설 내에 설치된 유도등 등의 3개월간 평균 순간사용 전력의 130% 이상의 발전용량을 구비해야 한다.
필수
필수
권고
3.2.2
발전기 구성
발전기를 통해 전원을 공급하고자 할 때의 발전기 장애(발전기 기동 실패, 가동 중단 등)에 대비하여 발전기를 구성해야 한다.
필수
필수
권고
3.2.3
연료탱크
용량(시간)
발전기를 12시간 이상 가동할 수 있도록 연료 공급 저장시설을 구비하거나 이에 상응하는 별도의 방안을 마련해야 한다.
필수
권고
-
3.2.4
연료탱크
구성
연료탱크의 균열 등으로 인한 유지보수 동안에도 발전기 기동이 가능하도록 연료탱크를 구성하거나 이에 상응하는 별도의 방안을 마련해야 한다.
필수
권고
-
3.2.5
연료 공급
배관 구성
연료 공급 배관의 이상 발생 등으로 인한 유지보수 동안에도 발전기 기동이 가능하도록 연료 배관을 구성하거나 이에 상응하는 별도의 방안을 마련해야 한다.
필수
권고
-
3.2.6
발전기
연도 구성
발전기 가동 시 연소가스의 원활한 배출이 가능하도록 발전기 연도를 구성해야 하며, 화재에 대비해야 한다.
필수
필수
필수
3.2.7
발전기 기동 시험
발전기는 불시의 정전에 대비하여 주기적인 가동시험(월 1회 이상 무부하 시험 및 연 1회 이상 부하시험)을 실시해야 한다.
필수
필수
필수
3.3
무정전 전원 장치
(UPS)
3.3.1
UPS 용량
산정
UPS 전원을 공급하는 운영시설의 3개월 평균 부하의 130% 이상의 UPS 용량을 구비해야 한다.
필수
필수
필수
3.3.2
UPS 구성
UPS는 일부 장애에도 정보시스템 등에 중단없이 전원을 공급할 수 있도록 구성해야 한다.
필수
필수
권고
3.3.3
축전지
용량
축전지를 사용하는 UPS는 발전기의 전원이 공급될 때까지 안정적인 전원을 20분 이상 공급할 수 있도록 총 부하(100%)에 대한 축전지의 용량을 설치‧운영해야 한다.
필수
필수
필수
3.3.4
UPS·
축전지실
축전지는 화재 및 폭발에 대비해 내화벽으로 구분된 별도의 공간에 설치해야 한다.
필수
권고
-
3.4
정보시스템
전원
3.4.1
전산장비
전원공급
정보시스템의 전원공급은 2중으로 구성해야 한다.
필수
필수
권고
3.4.2
STS 구성
정보시스템의 전원공급장치가 하나일 경우를 대비하여 UPS 전원을 이중으로 공급할 수 있도록 STS*를 구성해야 한다.
* STS(Static Transfer Switch, 무순단절체스위치)
필수
권고
-
3.4.3
전원공급
경로
정보시스템에 대한 전원은 이중화된 공급경로를 통하여 전원을 공급해야 한다.
필수
필수
권고
3.5
동력 전원
3.5.1
항온항습
설비 전원 공급
항온항습을 위한 설비의 전원은 한전 정전 시 발전기 전원을 공급하고, 전원공급 경로(분전반, 배선용차단기, 전원케이블 등)의 장애에도 신속한 전원 공급이 될 수 있도록 백업 경로를 구비해야 한다.
필수
권고
-
3.5.2
각종 제어
감시설비
전원
운영시설의 제어 및 감시를 위한 설비의 전원은 UPS 전원을 공급하며, 정전에 대비하여 발전기 전원을 공급할 수 있어야 한다.
필수
필수
필수
3.6
전기 접지
운영시설의 전기 사용 설비는 누전, 정전기 등으로 인한 장비 및 인명 손상을 방지하기 위하여 접지하고, 연 1회 이상 접지저항을 측정해야 한다.
필수
필수
필수
3.7
비상조명 및 유도등 설비
운영시설에는 기존 조명설비의 작동이 멈추는 경우에 바닥 또는 작업면의 조도가 최소 10룩스(lux)이상이 유지되도록 비상조명을 설치해야 한다.
운영시설 전 지역에 유도등 및 유도표지를 설치해야 한다.
필수
필수
필수
4. 항온
항습
(5항목)
4.1
항온항습기
4.1.1
적정 온습도
유지관리
원활한 운영을 위하여 정보시스템 및 운영시설 장비는 적정한 온도와 습도가 유지되도록 운영·관리해야 한다.
필수
필수
필수
4.1.2
항온항습기
용량
항온항습기는 장비의 장애, 유지보수, 냉방효율 저하 등을 고려하여 냉방부하 대비 냉방용량이 상회하도록 설치‧운영해야 한다.
필수
필수
필수
4.2
항온항습관련 설비
4.2.1
예비장비
항온항습을 위한 설비는 장비의 장애, 유지보수, 교대운전 등을 고려하여 예비장비를 설치해야 한다.
필수
필수
권고
4.2.2
예비배관
항온항습을 위한 배관의 장애, 유지보수 등을 고려하여 예비배관을 설치하거나, 이에 상응하는 별도의 방안을 마련해야 한다.
필수
권고
-
4.2.3
예비펌프
항온항습을 위해 펌프의 장애, 유지보수 등을 고려하여 예비펌프를 설치하거나 이에 상응하는 별도의 방안을 마련해야 한다.
필수
권고
-
5. 소방·방재
(6항목)
5.1
화재 감지 설비
운영시설에는 화재 감지를 위해 열 감지 또는 연기 감지기를 설치해야 한다. 특히 주요시설(전기실, 전산실, 통신실 등)에는 2종 이상으로 교차 회로를 구성해야 하며, 이중마루가 설치된 경우 이중마루에 대한 화재감지가 가능하도록 화재 감지 설비를 설치해야 한다.
※ 단, 「자동화재탐지설비 및 시각경보장치의 화재안전기술기준(NFTC 203)」의 2.4.1 단서의 각 감지기로 설치한 경우 교차회로를 적용하지 아니할 수 있다.
필수
필수
권고
5.2
화재 소화
설비
5.2.1
소화 설비
운영시설에는 화재 진압을 위한 소화설비를 설치해야 한다. 특히, 주요시설(전기실, 전산실, 통신실 등)에는 소화 시 장비에 피해를 주지 않는 소화 장비를 설치해야 하며, 이중마루가 설치된 경우 이중마루에 대한 화재진압이 가능하도록 소화설비를 설치해야 한다.
필수
필수
필수
5.2.2
휴대용
소화기
주요시설(전기실, 전산실, 통신실 등)에는 가스 소화설비 외에 보조적으로 휴대용 소화가스기를 비치해야 한다.
필수
필수
필수
5.3
소방 화재
진압
5.3.1
소방차 진입
및 위치
내부 소화가스 등으로 초기 화재 진압 실패 시 소방차량 진입 및 화재 진압을 위한 공간을 확보해야 한다.
필수
필수
필수
5.3.2
외부 소화전
내부 소화가스 등으로 초기 화재 진압 실패 시 소방차량이 사용할 수 있는 외부 소화전을 확보해야 한다.
필수
필수
필수
5.4
화재 경보 장치
방재실에는 화재감시센서의 작동상황이 실시간으로 파악되도록 하고, 화재 발생 시에 경보 신호를 통해 상황을 알 수 있도록 화재감지센서와 연동된 경보장치를 설치해야 한다. 단, 방재실은 중앙감시실(또는 전기기계감시실)과 통합하여 운영할 수 있다.
필수
필수
필수
6. 통신
(2항목)
6.1
통신선 인입 및 경로 이중화
운영시설로의 통신선 인입은 관로 침수, 파손 등에 대비하여 이격된 다른 관로를 통해 이중으로 인입하거나, 통신실(또는 주배선반)에서 정보시스템에 연결하는 주요 통신선의 경로를 이중화해야 한다.
필수
권고
-
6.2
통신 접지
운영시설의 통신장비·설비는 노이즈에 대비하여 접지를 하고, 연 1회 이상 접지저항을 측정해야 한다.
필수
필수
필수
7. 관리
체계
(6항목)
7.1
중앙감시실
(종합상황실)
운영시설 중 전산실 및 통신장비실, 전기실에 대하여 각 시설의 기능별 작동상황 및 사고 발생여부를 확인하기 위하여 중앙감시실(종합상황실)을 두며, CCTV가 촬영한 영상을 24시간 감시 및 제어할 수 있도록 모니터를 설치해야 한다.
필수
필수
필수
7.2
운영
조직
7.2.1
관리책임자
운영시설 내의 모든 보호조치를 계획, 감독, 통제하는 관리책임자를 두어야 한다.
필수
필수
필수
7.2.2
운영시설
관리인력
분야별(건물, 소방·방재, 전기, 통신) 전문 관리인력을 두어야 한다.
필수
필수
필수
7.3
평상시
운영
7.3.1
운영 및 유지관리 매뉴얼
운영시설의 각종 설비에 대한 운영 및 유지관리 매뉴얼을 마련하고, 운영시설 관리인력은 그 내용을 숙지해야 한다.
필수
필수
필수
7.3.2
재난대비
평시점검
재난 발생으로 운영시설의 각종 설비 피해를 예방하거나 최소화하기 위하여 평상시 재난대비 점검 체크리스트를 구비하고, 주기적으로 점검해야 한다.
필수
필수
권고
7.4
업무연속성계획
(BCP)
재난 발생으로 운영시설의 중단, 파손 등 비상상황에 대한 예방·대비·대응·복구 활동을 위한 업무연속성계획(BCP)을 구비하고, 주기적으로 모의훈련을 실시해야 한다.
필수
필수
권고