행정안전부 소관 주요정보통신기반시설 보호지침
출처: 행정안전부
행정안전부 소관 주요정보통신기반시설 보호지침 요약한 글입니다. 출처는 행정안전부이며 행정안전부 소관 주요정보통신기반시설 보호지침에 대한 글을 다루고 있습니다. 행정안전부 소관 주요정보통신기반시설 보호지침 내용에 대한 전문이 필요하신 분은 하단으로 가시면 행정안전부 소관 주요정보통신기반시설 보호지침 다운로드 및 확인하실 수 있습니다.
행정안전부 소관 주요정보통신기반시설 보호지침(행정안전부훈령 제186호, 2021.3.5, 개정) | 행정
행정안전부 홈페이지에 오신것을 환영합니다.
www.mois.go.kr
행정안전부 소관 주요정보통신기반시설 보호지침(행정안전부훈령 제186호, 2021.3.5, 개정)
행정안전부 소관 주요정보통신기반시설 보호지침
행정안전부 소관 주요정보통신기반시설 보호지침
[시행 2021. 3. 5.] [행정안전부훈령 제186호, 2021. 3. 5., 타법개정.]
행정안전부(디지털안전정책과), 044-205-2747
제1장 총칙
제1조(목적) 이 지침은 「정보통신기반 보호법」 제10조에 따라 행정안전부 장관이 관할하는 주요정보통신기반시설을 각종 전자적 침해행위로부터 보호하기 위하여 해당 주요정보통신기반시설 관리기관의 장이 준수하여야 할 구체적 사항을 정함을 목적으로 한다.
제2조(용어의 정의) ① 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "주요정보통신기반시설 보호대책"이라 함은 법 제5조제1항에서 규정에 의하여 각 관리기관의 주요정보통신기반시설 및 관리정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적·기술적 대책을 포함한 관리기관별 관리대책을 말한다.
2. "주요정보통신기반시설 보호계획"이라 함은 법 제5조제2항의 규정에 의하여 관리기관으로부터 제출받은 주요정보통신기반시설보호대책을 종합·조정한 행정안전부 소관 주요정보통신기반시설에 관한 보호계획을 말한다.
3. "정보공유·분석센터"라 함은 법 제16조에 따라 분야별 주요정보통신기반시설을 보호하기 위해 취약점 및 대응방안에 관한 정보 제공, 실시간 경보·분석체계 운영 등을 수행하는 조직을 말한다.
4. "관리기관"이라 함은 법 제8조의 규정에 의하여 지정된 주요정보통신기반시설을 책임과 권한을 가지고 보호대책의 수립 및 시행하는 기관(부서)을 말한다.
② 이 지침에서 사용하는 용어의 정의는 제1항에서 정한 것을 제외하고는 정보통신기반보호법에서 정하는 바에 따른다.
제3조(적용범위) 이 지침은 「정보통신기반 보호법(이하 "법"이라 한다)」 제8조에 따라 행정안전부 장관이 지정 고시한 주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)과 해당 주요정보통신기반시설을 운영하는 기관 또는 부서의 업무종사자에 적용한다.
제2장 정보보호체계 및 관리
제4조(정보보호책임관) ① 법 제6조제5항에 따른 행정안전부 정보보호책임관은 행정안전부 전자정부국의 주요정보통신기반시설 보호업무를 담당하는 과장으로 한다.
② 정보보호책임관은 행정안전부 장관이 관할하는 소관분야 및 지방자치단체의 모든 주요정보통신기반시설의 보호에 관한 업무를 총괄한다.
③ 정보보호책임관은 「정보통신기반보호법 시행령(이하 "시행령"이라 한다)」 제11조제2항에서 규정하는 보호업무를 수행한다.
④ 정보보호책임관은 주요정보통신기반시설 관리의 효율성 및 기반시설 보호의 수행능력 등을 고려하여 해당 주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)을 정하여야한다. 다만, 지방자치단체의 장이 관리·감독하는 주요정보통신기반시설의 관리기관은 광역자치단체와 협의하여 정할 수 있다.
제5조(정보보호책임자) ① 관리기관의 장은 시행령 제9조제1항에 따라 소관 주요정보통신기반시설 보호에 관한 업무를 담당하는 4급·4급상당 공무원, 5급·5급상당 공무원, 영관급장교 또는 임원급 관리자를 정보보호책임자로 지정하여야 한다.
② 정보보호책임자는 시행령 제9조제2항에서 규정하는 업무를 총괄 수행한다.
③ 관리기관의 장은 정보보호책임자를 지정하거나 변동사항이 발생한 경우에는 15일 이내에 행정안전부 장관 및 광역자치단체 정보보호책임자에게 이를 통지하여야 한다.
④ 정보보호책임자는 소관 주요정보통신기반시설 보호를 위하여 정보보호책임관 및 정보보호실무책임자와 긴밀히 협조하여야 한다.
⑤ 정보보호책임자는 소관 주요정보통신기반시설의 보호를 위하여 기반시설의 특성, 운용환경 등을 고려한 자체 기반시설 보안지침을 제정하여야 한다.
⑥ 광역자치단체의 정보보호책임자는 관할구역 내 지방자치단체의 장이 관리·감독하는 주요정보통신기반시설의 보호업무를 총괄하며, 다음 각 호의 업무를 수행한다.
법제처
-1/6-
국가법령정보센터
행정안전부 소관 주요정보통신기반시설 보호지침
1. 법 제8조제4항에 따라 지방자치단체의 장이 관리·감독하는 시설에 대한 주요정보통신기반시설 지정·취소 지원에 관한 업무
2. 법 제5조제3항에 따른 주요정보통신기반시설 보호대책(이하 "보호대책"이라 한다) 제출 및 검토에 관한 업무
3. 주요정보통신기반시설의 침해사고 대응 및 복구 지원에 관한 업무
4. 주요정보통신기반시설의 취약점 분석·평가 지원 및 침해사고 예방·지원 업무
5. 주요정보통신기반시설의 정보보호 조직·체계 구축·운영 지원에 관한 업무
6. 보호대책 이행 등을 위한 정보보호 시설·장비 등의 구축 지원에 관한 업무
7. 주요정보통신기반시설 취약점 분석·평가 등 보호 관련 예산 확보 지원에 관한 업무
8. 주요정보통신기반시설 정보보호 실태 점검 및 개선에 관한 업무
9. 주요정보통신기반시설의 정보보호 활동의 지도 및 감독
10. 주요정보통신기반시설의 외부 보안점검 수검 지원에 관한 업무
11. 그 외에 주요정보통신기반시설 보호를 위하여 행정안전부 정보보호책임관이 협조 요청한 사항 등
⑦ 광역자치단체 정보보호책임자는 주요정보통신기반시설을 보호하기 위해 필요시 행정안전부 장관에게 기술지원을 요청할 수 있다.
제5조의2(정보보호실무책임자) ① 관리기관의 장은 효율적인 보호업무 수행을 위해 주요정보통신기반시설을 운영하는 기관(부서)의 5급·5급상당 이상의 공무원, 부장급 또는 과장급 관리자를 정보보호실무책임자로 지정하여야 한다. 다만, 주요정보통신기반시설이 하나인 관리기관은 정보보호책임자가 정보보호실무책임자를 겸할 수 있다.
② 정보보호책임자는 효율적인 업무수행을 위하여 정보보호실무책임자에게 다음 업무를 수행하게 할 수 있다.
1. 소관 주요정보통신기반시설에 대한 차년도 보호대책 수립의견 제출
2. 소관 주요정보통신기반시설에 대한 당해년도 보호대책 추진과제에 대한 조치 및 과제별 추진실적의 제출
3. 소관 주요정보통신기반시설의 취약점에 대한 조치 및 결과의 제출
4. 소관 주요정보통신기반시설에 대한 보안정책의 적용·관리, 보안점검 및 조치활동 수행, 용역업체 보안관리 활동 수행
5. 그 외에 주요정보통신기반시설 보호를 위하여 정보보호책임자가 협조 요청한 사항 등
③ 관리기관의 장은 정보보호실무책임자를 지정하거나 변동사항이 발생한 경우에는 별표 3의 양식을 활용하여 15일 이내에 행정안전부 장관 및 광역자치단체 정보보호책임자에게 이를 통지하여야 한다.
제6조(세부시설의 지정) ① 관리기관의 장은 주요정보통신기반시설로 지정하기 위한 업무별로 기본단위(이하 "지정단위"라 한다)를 선정하여야 하며, 지정단위별로 전체 시스템을 세부시설로 지정하여야 한다. 이때 별표9에서 정하는 기준을 고려하여야 한다.
② 정보보호책임자는 년 1회 이상 주요정보통신기반시설로 지정된 세부시설의 적정성 여부 등을 검토하여야 한다.
③ 정보보호책임자는 제1항 및 제2항에 따라 변동사항이 발생한 경우 자산 관리대장 에 등록하여 관리해야 하며 기반시설 보호대책 수립시 반영하여야 한다.
제6조의2(자산 관리) ① 정보보호책임자는 주요정보통신기반시설로 지정된 시설의 자산 현황을 총괄 관리하여야 한다. 다만, 운영기관별 세부 자산현황은 정보보호실무책임자가 관리하여야 한다.
② 자치단체 정보공유·분석센터의 장은 정보보호책임자에게 주요정보통신기반시설 세부시설의 자산 및 인력 등의 자료 제출을 요청할 수 있다.
③ 정보보호책임자는 주요정보통신기반시설로 지정된 시설의 자산에 장비현황 라벨을 별표 8의 양식을 활용하여 부착하여야 한다. 다만, 운영기관별 장비현황 라벨은 정보보호실무책임자가 부착하여야 한다.
④ 정보보호책임자는 주요정보통신기반시설의 효율적인 관리를 위하여 장비별 정·부담당자를 지정하여야 한다. 다만, 운영기관별 담당자는 정보보호실무책임자가 지정한다.
제7조(정보보호책임자협의회) ① 행정안전부 장관은 주요정보통신기반시설 보호와 관련된 다음 사항을 협의하기 위해 정보보호책임자협의회(이하 "협의회"라 한다)를 구성·운영할 수 있다.
1. 주요정보통신기반시설 보호계획(이하 "보호계획"이라 한다) 및 보호대책 검토
2. 주요정보통신기반시설의 지정 및 취소, 지정 범위 조정
3. 주요정보통신기반시설 보호 관련 제도 개선
4. 보호대책 이행점검 결과에 따른 후속조치 및 이행률 제고방안
5. 주요정보통신기반시설 점검에 따른 미흡사항 조치방안
6. 주요정보통신기반시설 사이버침해사고 예방 및 대응조치
7. 그 외 주요정보통신기반시설 보호와 관련하여 협의가 필요한 사항 등
법제처
-2/6-
국가법령정보센터
행정안전부 소관 주요정보통신기반시설 보호지침
② 제1항에 따른 협의회의 의장은 행정안전부의 실·국장급 공무원으로 하고, 간사는 제4조에 따른 정보보호책임관으로 하며, 위원은 제5조에 따른 정보보호책임자로 한다. 다만, 의장이 필요하다고 인정하는 경우에는 한국인터넷진흥원 등의 정보보호전문가를 위원으로 위촉할 수 있다.
③ 협의회는 매년 상·하반기 등 년 2회 정기적으로 개최하며, 필요시 수시로 개최할 수 있다.
제8조(전담 조직의 구성) 관리기관의 장은 제5조제2항에 따른 주요정보통신기반시설 보호 업무를 수행하기 위하여 정보보호책임자 소속 하에 별도의 전담 조직을 구성·운영할 수 있다.
제9조(업무종사자의 준수사항) ① 관리기관의 장은 소관 주요정보통신기반시설을 관리·운용하는 업무종사자(계약직을 포함한다)로 하여금 다음 각 호의 사항을 준수하도록 하여야 한다.
1. 주요정보통신기반시설의 보호책임에 관한 사항
2. 비밀유지 및 비밀서약에 관한 사항
3. 주요정보통신기반시설 보호관련 법령 및 지침 등의 준수에 관한 사항
4. 보호관련 지침 및 보호조치 위반에 따른 징계에 관한 사항
② 관리기관의 장은 해당 시설을 관리·운용하는 업무종사자가 보직이 변경되거나 퇴사하는 경우 법 제27조에 따라 소관 주요정보통신기반시설의 관리·운용에 관하여 취득한 비밀을 외부에 유출하지 않도록 주지시켜야 한다. 이 경우 관리기관의 장은 보직이 변경되거나 퇴사하는 자에 대하여 비밀유지에 관한 서약서를 작성하도록 요구할 수 있다.
제10조(보호업무 등의 위탁) 관리기관의 장은 소관 주요정보통신기반시설의 관리·운용 또는 취약점 분석·평가 등 보호에 관한 업무를 전문기관 또는 업체에 위탁하는 때에는 해당 기관 또는 업체의 위탁업무 수행에 참여하는 종사자에게 법 제27조에 따른 비밀유지의무를 준수하도록 비밀유지 서약서의 작성 요구, 업무관련 기록·자료의 안전한 보존 및 폐기 등 필요한 조치를 하여야 한다.
제11조(유관기관과의 협조) 관리기관의 장은 소관 주요정보통신기반시설의 보호를 위하여 행정안전부, 한국인터넷진흥원, 자치단체 정보공유·분석센터 또는 다른 관리기관과 다음 각 호의 사항에 관하여 상호 협조할 수 있다.
1. 주요정보통신기반시설의 보호와 관련된 정보의 공유
2. 침해사고 예방·대응 및 복구를 위한 상호협력 및 지원
3. 취약점 및 침해요인과 관련된 정보의 공유
4. 그 밖에 소관 주요정보통신기반시설의 보호를 위하여 상호협력이 필요한 사항
제12조(정보보호 교육ㆍ모의훈련의 실시) ① 관리기관의 장은 소관 주요정보통신기반시설의 정보보호업무를 수행하는 담당자를 대상으로 해당 시설의 보호를 위하여 필요한 정보보호 교육을 연간 40시간 이상 이수하도록 하여야 하며, 침해사고 모의훈련을 매년 1회 이상 실시하여야 한다.
② 관리기관의 장은 소관 주요정보통신기반시설의 보호를 위한 중요한 절차·방법, 담당인력 등의 변경이 있거나 침해사고가 발생되었을 경우에는 필요한 교육·훈련을 실시하여야 한다.
③ 관리기관의 장은 제22조 및 제23조에 따른 침해사고 대응·복구에 관한 절차 및 방법을 숙지하기 위해 침해사고 모의훈련을 실시하고 필요한 경우 해당 대응·복구절차 및 방법을 수정·보완하여야 한다.
제13조(정보보호 활동 지원) 행정안전부 장관은 주요정보통신기반시설 및 주요정보통신기반시설과 연계된 시설의 안정성 및 신뢰성을 위하여 관리기관에 대하여 다음 각 호의 사항을 지원할 수 있다.
1. 모의 해킹을 통한 취약점 분석 및 그 조치방안에 대한 지원
2. 보호대책 수립·이행에 대한 지원
3. 관계기관 비상연락체계 구축 및 사이버공격 발생 시 대응·복구 지원
4. 그 밖에 주요정보통신기반시설 보호를 위하여 지원이 필요한 사항
제3장 보호대책 수립ㆍ이행
제14조(보호대책의 수립) ① 관리기관의 장은 법 제5조제1항에 따라 수립한 보호대책을 매년 8월말까지 행정안전부 장관에게 제출하여야 한다. 다만, 지방자치단체 관리기관의 보호대책은 광역자치단체의 장이 취합하여 행정안전부 장관에게 제출하여야 한다.
② 관리기관의 장은 보호대책을 수립할 때에 시행령 제10조제2항에 따라 행정안전부 장관으로부터 통보받은 보호대책 수립지침을 준수하여야 하며, 법 제9조에 따라 실시한 취약점 분석·평가 결과를 반영하여야 한다.
③ 행정안전부 장관은 필요할 경우 관리기관으로 하여금 제1항에 따른 보호대책 제출시 취약점 분석·평가 결과를 함께 제출하도록 할 수 있다.
④ 행정안전부 장관은 취약점 분석·평가 결과 등을 고려하여 필요할 경우 관리기관의 장에게 보호대책을 보완하도록 요청할 수 있다.
법제처
-3/6-
국가법령정보센터
행정안전부 소관 주요정보통신기반시설 보호지침
제15조(보호대책 이행) ① 행정안전부 장관은 법 제6조 및 시행령 제10조제3항에 따라 정보통신기반보호위원회에서 심의·확정한 행정안전부 소관 보호계획을 심의일로부터 15일 이내에 소관 관리기관에 통보해야 한다.
② 관리기관의 장은 제1항에 따라 통보받은 보호계획과 제14조에 따라 수립한 보호대책을 이행하여야 한다.
제16조(이행점검) ① 행정안전부 장관은 법 제6조에 따른 보호계획을 수립하기 위해 전년도 보호대책을 제출·이행한 관리기관을 대상으로 해당 보호대책에 대한 이행점검을 실시할 수 있다.
② 행정안전부 장관은 직접 이행점검을 실시하거나 관리기관으로 하여금 자체적으로 이행점검을 한 후 그 결과를 행정안전부 장관에게 제출하도록 할 수 있다. 이 때, 지방자치단체 관리기관에 대해서는 광역자치단체의 장이 이행점검을 실시한 후 그 결과를 행정안전부 장관에게 제출하여야 한다.
③ 행정안전부 장관은 관리기관 보호대책의 이행에 따른 기관별 보호조치의 세부적인 내용을 별도로 확인·점검할 수 있다.
④ 행정안전부 장관은 관리기관별 보호대책의 추진현황, 시스템 운영관리 및 정보보호에 관한 사항을 점검할 수 있다. 이때 행정안전부 장관은 한국인터넷진흥원 및 자치단체 정보공유·분석센터로 하여금 점검을 수행하도록 할 수 있다.
제17조(취약점 분석ㆍ평가) ① 관리기관의 장은 법 제9조 및 시행령 제17조 및 제18조에 따라 소관 주요정보통신기반시설에 대한 취약점 분석·평가를 매년 실시해야 한다.
② 관리기관의 장은 취약점 분석·평가를 실시할 때에는 법 제9조제4항의 기준 등을 고려하여 대상, 기간, 절차, 방법 등 필요한 세부 계획을 수립·이행하여야 한다.
③ 관리기관의 장은 법 제9조제3항에 따라 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 특성 등을 고려하여 취약점 분석·평가를 하게 할 수 있다.
1. 한국인터넷진흥원
2. 지방자치단체 정보공유·분석센터
3. 정보보호 전문서비스기업
4. 한국전자통신연구원
④ 관리기관의 장은 취약점 분석·평가시 발견된 사항의 조치를 위하여 항목별 조치현황을 별표 5의 양식을 활용하여 관리대장에 기록·관리하여야 한다.
⑤ 행정안전부 장관은 소관 정보통신기반시설을 주요정보통신기반시설로 신규 지정한 때에는 최초로 수행하는 취약점 분석·평가에 대해 관리기관을 지원할 수 있다.
제18조(자체 점검 및 수시점검) ① 관리기관의 장은 시행령 제17조제2항에 따라 취약점 분석·평가가 필요하다고 판단되는 경우에는 1년이 되지 아니한 때에도 소관 주요정보통신기반시설에 대한 자체 점검을 실시할 수 있다.
② 관리기관의 장은 다음 각 호의 어느 하나에 해당하는 경우에는 수시로 점검(이하 "수시점검"이라 한다)을 실시할 수 있다.
1. 침해사고의 징후가 있는 경우
2. 시설·장비의 교체 및 보수를 한 경우
3. 침해사고에 따른 복구조치를 한 경우
4. 소관 주요정보통신기반시설의 보호에 관한 절차·방법 및 담당 인력의 변경이 있는 경우
③ 관리기관의 장은 제1항과 제2항에 따른 자체 점검 및 수시점검을 실시할 때에는 다음 각 호의 사항을 고려하여 실시하여야 한다.
1. 법 제9조에 따른 취약점 분석·평가 기준
2. 취약점 분석·평가의 범위 및 항목, 절차, 방법
3. 이전에 실시한 취약점 분석·평가의 결과
④ 관리기관의 장은 자체 점검 및 수시점검을 실시한 때에는 점검 기간, 대상, 방법 및 결과 등 점검에 관한 제반사항을 기록·관리하여야 한다.
⑤ 관리기관의 장은 소관 주요정보통신기반시설의 보안관리 실태를 별표 6의 양식을 활용하여 월 1회 이상 자체점검을 실시하여야 한다.
제19조(보완조치) 관리기관의 장은 제16조에 따른 보호대책 이행실적의 점검, 제17조에 따른 취약점 분석·평가 및 제18조에 따른 점검 결과를 반영하여 다음 각 호의 조치를 하여야 한다.
1. 주요정보통신기반시설보호를 위해 수립된 각종 보호조치, 절차 및 방법 등의 재검토 및 수정·보완
2. 주요정보통신기반시설의 취약항목 개선, 보안장비 구축, 백신설치, 시스템 구조개선 등 보완 조치
3. 그 밖에 취약점 분석·평가 또는 점검 결과를 반영한 보완 조치
제4장 침해사고에 대한 대응 및 복구
법제처
-4/6-
국가법령정보센터
행정안전부 소관 주요정보통신기반시설 보호지침
제20조(연락체계의 구축) ① 관리기관의 장은 소관 주요정보통신기반시설에 대한 전자적 침해사고가 발생한 경우 신속히 대응하고 관계기관에 알리기 위해 필요한 연락체계를 구축하여야 한다.
② 관리기관의 장은 제1항에 따른 연락체계에 있어 행정안전부 정보보호책임관과 국가정보원, 한국지역정보개발원의 자치단체 정보공유·분석센터, 한국인터넷진흥원, 수사기관이 포함되도록 하여야 한다. 이 때, 지방자치단체 관리기관의 경우에는 해당 광역자치단체 정보보호책임자도 포함하여야 한다.
제21조(침해사고의 통지) ① 관리기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란·마비 또는 파괴된 사실을 인지한 때에는 법 제13조제1항에 따라 행정안전부와 국가정보원, 자치단체 정보공유·분석센터, 수사기관 또는 한국인터넷진흥원에 그 사실을 별표 10의 양식을 활용하여 통지하여야 한다. 이 때, 지방자치단체 관리기관의 경우에는 해당 광역자치단체 정보보호책임자에게도 통지하여야 한다.
② 제1항에 의한 침해사고의 통지에는 다음 각 호의 사항이 포함되어야 한다.
1. 침해사고발생 일시 및 시설
2. 침해사고로 인한 피해내역, 조치현황
3. 기타 신속한 대응·복구를 위하여 필요한 사항
제22조(침해사고 대응조치) ① 기반시설을 관리 또는 운영하는 기관의 임직원 및 유지보수업체의 수탁업무 수행에 참여하는 종사자는 전자적 침해사고의 징후가 있거나 전자적 침해사고의 발생을 인지한 때에는 이를 즉시 정보보호책임자에게 보고하고 침해사고대응팀 구성 등 필요한 응급조치를 취하여야 한다.
② 정보보호책임자는 소관 주요정보통신기반시설에 대한 중대한 전자적 침해사고의 발생·징후를 보고 받거나 인지한 때에는 이를 행정안전부에 즉시 보고하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설의 교란, 마비 또는 파괴가 일어나지 아니하는 등 경미한 침해사고의 발생·징후는 조치하고 이를 사후보고할 수 있다.
③ 관리기관의 장은 제1항 및 제2항에 따른 사항을 포함하여 전자적 침해사고 발생에 따른 대응절차 및 방법 등 침해사고 대응체계를 수립하여야 한다. 이 경우 별표 1에서 정하는 사항을 고려하여야 한다.
④ 행정안전부 장관은 관리기관에게 침해사고 대응요령을 권고할 수 있으며, 관리기관은 자체 사이버위기대응매뉴얼을 수립하고 이에 따라 피해사실의 보고 및 긴급대응조치 등을 하여야 한다.
⑤ 행정안전부 장관은 소관 주요정보통신기반시설에 침해사고가 발생한 때에는 자치단체 정보공유·분석센터를 통하여 대응조치를 수행하도록 할 수 있다.
제23조(침해사고 복구조치) ① 관리기관의 장은 소관 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취하여야 한다. 이 때, 행정안전부 장관 또는 자치단체 정보공유·분석센터, 한국인터넷진흥원의 장에게 지원을 요청할 수 있다.
② 관리기관의 장은 제1항의 복구조치를 위하여 필요한 조직, 자원, 외부기관과의 협력 등을 포함하는 복구지원체계를 구축하여야 한다.
③ 관리기관의 장은 제1항 및 제2항의 내용을 포함하여 전자적 침해사고가 발생한 시설에 대한 복구절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 이 경우 별표 2에서 정하는 사항을 고려하여야 한다.
제5장 기술적 보호조치
제24조(침해사고 예방조치) 관리기관의 장은 소관 주요정보통신기반시설을 보호하기 위하여 침해사고 예방대책을 수립·시행하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 시스템·네트워크 관리 및 보호에 관한 대책
2. 정보보호시스템 설치·운용에 관한 대책
3. 전산자료에 대한 백업조치 및 복구대책 등
4. 악성코드 방지 대책
5. 접근통제에 관한 대책
6. 그 밖에 소관 주요정보통신기반시설의 침해사고 예방을 위해 필요한 사항
제25조(정보통신망 보안관리) ① 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 타 정보통신망과 분리·운영, 인터넷 연결이 차단된 관리자PC를 통한 시스템 관리기능 접속, 비인가 단말기 접속차단 등의 기술적 통제수단을 강구하여야 한다.
② 관리기관의 장은 소관 주요정보통신기반시설 관련 서버, 단말기, 네트워크 장비 등에 불필요한 서비스·사용자 계정 등은 제거하고 유지보수를 위한 외부업체의 원격관리를 금지하여야 한다.
법제처
-5/6-
국가법령정보센터
행정안전부 소관 주요정보통신기반시설 보호지침
③ 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 시스템별 사용자접근, 사용내역 등의 로그자료를 6개월 이상 보관하는 등 기록 유지하여야 한다.
제26조(제어시스템 보안관리) ① 관리기관의 장은 주요정보통신기반시설 중 제어시스템의 보호를 위하여 제어시스템이 포함된 정보통신망을 폐쇄망으로 운영하여야 한다. 다만, 업무시스템 등과의 연결이 불가피할 경우 해당 구간에 일방향통신장비 설치 등 제어시스템을 내부 업무망 등과 분리·운영하여야 한다.
② 관리기관의 장은 주요정보통신기반시설 중 제어시스템 관련 서버 및 단말기 등을 대상으로 USB, CD, DVD 등 보조기억매체 사용 통제, 보안패치 적용, 바이러스 백신 설치 등의 악성코드 감염 및 자료 유출 방지대책을 마련·시행하여야 한다.
③ 관리기관의 장은 제어시스템 단말기는 망간 혼용사용을 금지하고, 제어망 내 자료 이동이 불가피할 경우 광디스크(CD/DVD) 사용 등을 통해 백신 검사 후 자료이동을 실시하여야 한다.
제27조(외부 용역사업 보안관리) ① 관리기관의 장은 주요정보통신기반시설 관련 정보화사업 및 보안컨설팅 수행 등 외부 용역사업 계약 시 보안서약서를, 종료 시 보안확약서를 징구하고 다음 각 호의 사항을 계약서에 명시하여야 한다.
1. 중요 정보 취급에 대한 비밀 유지 서약
2. 외주 업체가 준수해야 할 보안준수 사항 및 위반시 손해배상 책임
3. 정보시스템 접근 권한에 대한 승인 절차 준수
4. 보안관리에 대한 감사 권한 등
5. 누출금지 대상정보 및 부정당업자의 제재조치
6. 참여인력의 임의교체 금지
② 관리기관의 장은 용역업체의 전산망을 주요정보통신기반시설망 및 기관 업무망과 분리 구성하여야 하며 용업업체 직원이 사용하는 PC는 인터넷 연결을 금지하여야 한다. 다만, 인터넷 연결이 필요한 경우에는 별도의 PC를 지정하여 제한적으로 이용하도록 관리기관이 통제하여야 한다.
③ 관리기관의 장은 용역업체 직원의 계정을 개인별로 부여하고 계정별로 정보시스템 접근권한을 차등 부여하여야 한다.
④ 관리기관의 장은 주요정보통신기반시설 용역사업에 대해 별표 7의 양식을 활용하여 분기 1회 이상 보안점검을 실시하고 용역사업 참여업체 직원에 대하여 분기 1회 이상 보안교육을 실시하여야 한다.
제6장 기타
제28조(준용) 관리기관의 장은 주요정보통신기반시설 보호 업무를 수행함에 있어 이 지침에 명시되지 않은 사항은 다음 관련 규정 및 지침 등에 따른다.
1. 「전자정부법」 및 같은 법 시행령
2. 「정보시스템 저장매체 불용처리지침」
3. 「보안업무규정」
4. 「국가정보보안기본지침」
5. 「국가사이버안전관리규정」
6. 그 밖에 정보보호 관련 법령 및 지침·가이드·매뉴얼
부칙<제186호, 2021. 3. 5.>
제1조(시행일)이 지침은 발령한 날부터 시행한다.
제2조(재검토 기한)행정안전부 장관은 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 훈령에 대하여 2021년 7월 1일 기준으로 매 3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
법제처
-6/6-
국가법령정보센터