정보보안 규정

제정일 : 2019. 6. 26

개정일 : 2021. 6. 22

제1장 총 칙

제1조(목적) 이 규정은 광운대학교(이하 “본 대학교”라 한다)의 중요 정보자산의 보호와 정보보안 업무수행을 위해 필요한 제반사항을 규정함을 목적으로 한다.

제2조(적용범위) 본 규정은 본 대학교의 교직원 및 외부 협력업체, 본 대학교와 계약관계에 있는 제3자, 기타 본 대학교를 출입하는 모든 사람에게 적용되며, 본 대학교가 보유하고 있는 유·무형의 자산 및 학생정보 등 모든 정보자산을 그 대상으로 한다.

제3조(용어 정의) 이 규정에서 사용하는 용어의 정의는 다음 각 호와 같다.

  1. “정보보호 관리체계”란 정보보안을 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보안관리과정을 통해 구현된 여러 정보보안대책들이 유기적으로 통합된 체계를 말한다.

  2. “정보자산”이란 본 대학교 내·외 서비스를 제공하기 위한 서버·PC 등 단말기, 보조기억매체, 전산？통신장치？정보통신기기, 응용 프로그램 등 정보의 수집·가공·저장·검색·송수신에 필요한 하드웨어 및 소프트웨어 등의 정보시스템과 정보시스템의 운영·관리에 필요한 시설, 전자정보 등 본 대학교 자산을 총칭한다.

  3. “전자문서”란 컴퓨터 등 정보처리 능력을 가진 장치에 의하여 전자적인 형태로 송·수신 또는 저장되는 정보를 말한다.

  4. “전자기록물”이란 정보처리능력을 가진 장치에 의하여 전자적인 형태로 송·수신 또는 저장되는 기록정보자료를 말한다.

  5. “전자정보”란 업무와 관련하여 취급하는 전자문서 및 전자기록물을 말한다.

  6. “인터넷서비스망”(이하 '인터넷망'이라 한다)이란 본 대학교의 네트워크 중에서 인터넷을 사용할 수 있도록 연결되어 있는 인터넷 전산망을 말한다.

  7. “업무전산망”(이하 '업무망'이라 한다)이란 본 대학교의 네트워크 중에서 업무용으로 사용되는 영역으로, 인터넷서비스도 병행 제공되는 내부전산망을 말한다.

  8. “정보통신망”이란 전기통신기본법 제2조제2호의 규정에 따라 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송수신하는 정보통신체제를 말하며 정보시스템 일체를 포함한다.

  9. “정보보안”이란 정보시스템 및 정보통신망을 통해 수집·가공·저장·검색·송수신 되는 정보의 유출·위변조·훼손 등을 방지하기 위하여 관리적·물리적·기술적 수단을 강구하는 일체의 행위로서 사이버안전을 포함한다.

  10. “장애”란 정보시스템의 일시적인 정지, 작동 오류, 유지보수 활동 등으로 인한 부분적 또는 일시적인 기능의 정지 또는 기능의 저하 상태를 말한다.

  11. “침해사고”란 비인가된 접근, 정보시스템의 오남용(비인가된 사용) 등을 말한다.

  12. “기밀성”이란 허가되지 않은 사용자(개체)에게 민감하거나 중요한 정보가 노출되지 않는 것을 말한다.

  13. “무결성”이란 허가되지 않은 사용자(개체)에 의한 정보의 변경, 삭제, 생성 등을 방지하는 것을 말한다.

  14. “가용성”이란 정상적인 사용자(개체)가 시스템을 사용하고자 할 때 거부해서는 안 된다는 것을 말한다.

  15. “인력”이란 본 대학교의 업무를 수행하는 사람 전체를 총칭하는 말로, 교직원, 임시 인력, 외주 인력을 포함하는 개념이다.

  16. “교직원”이란 본 대학교의 업무를 수행하는 자로서 교원, 직원, 계약직, 한시계약직, 업무 위탁자 등 모든 구성원을 포괄하는 개념이다.

  17. “악성프로그램”이란 제작자가 의도적으로 다른 사용자에게 피해를 주기 위해 만든 프로그램 및 실행 가능한 코드를 의미한다.

  18. “형상관리 도구”란 응용프로그램 개발 또는 유지보수 전 과정에 대한 체계적인 관리(변경 이력 및 버전 관리 등)를 수행할 수 있는 소프트웨어를 말한다.

  19. “취약점”이란 정보자산 혹은 정보시스템을 사용하는 환경 등에 내재된 약점으로 위협에 의해서 자산이나 조직의 업무 환경에 피해를 유발할 가능성이 있는 요소이다.

  20. “단말기”란 사용자가 업무 수행을 위해 사용하는 정보자산으로 PC, 노트북, 태블릿 등을 말한다.

  21. “사용자”란 정보통신망 또는 정보시스템 등에 대한 접근 또는 사용 허가를 받은 자를 말한다. 즉, PC 및 노트북 등의 단말기를 이용하여 업무를 수행하는 본 대학교 교직원 및 계약관계에 있는 제3자를 말한다.

  22. “자연재해”란 지진, 화재, 홍수 등으로 업무 기능이 중지되는 재해를 말한다.

제2장 정보보안규정 관리

제4조(정보보안규정의 승인 및 공표) ① 정보보안관리자는 정보보안규정 수립 시 다음의 사항을 고려하여야 한다.

  1. 정보보안의 정의, 목적과 범위, 중요성

  2. 정보보안의 목표와 원칙

  3. 정보보안규정, 원칙, 조직체계, 중요 요구사항

  4. 교직원의 정보보안이행을 위한 책임 및 역할

  5. 법적 준거성을 위한 관련 법령

제5조(정보보안규정의 유지 및 관리) 정보보안담당관는 다음 각 호의 상황이 발생한 경우를 포함하여 주기적으로 정보보안규정 및 관련 시행세칙의 타당성을 검토하고 필요시 제？개정을 통해 관련 규정 및 규칙에 반영하여야 한다.

  1. 중대한 보안사고 발생

  2. 정보보안 및 개인정보보호 등 관련 법률을 검토하여 제？개정

  3. 새로운 위협 또는 취약성의 발견

  4. 정보보안 및 IT 환경의 중대한 변화

  5. 기타 정보보안을 위하여 필요한 경우

제6조(정보보안 책임) ① 교직원은 정보보안을 구현하고 유지할 책임이 있다.

  ② 정보자산을 사용하는 교직원은 정보보안규정을 준수하고, 관련 사고를 보고할 책임이 있다.

  ③ 정보보안담당부서는 정보보안규정에 정의된 바에 따라 정보보안 책임 및 역할을 정의하여야 한다.

  ④ 정보자산을 관리하고 타 사용자에게 제공하는 교직원은 해당 정보자산의 기밀성, 무결성, 가용성에 대한 일체의 책임이 있다.

  ⑤ 본 대학교 내 정보자산에 접근하는 외부 협력업체, 본 대학교와 계약관계에 있는 제3자, 기타 본 대학교를 출입하는 모든 사람은 해당 정보자산을 보호할 책임이 있다.

  ⑥ 정보통신망을 통하여 보관·유통되는 전자정보의 보안을 위하여 본 정보보안규정의 각 조치를 이행하여야 한다.

제7조(위반자 책임) 본 대학교의 교직원 및 계약관계에 있는 제3자가 정보보안규정 및 관련 시행세칙을 위반할 경우 관련 법, 제도와 내부 규정에 따라 민·형사상 또는 규정 위반의 책임은 위반자에게 있다.

제3장 정보보안 조직

제8조(정보보안 조직체계) ① 대학은 효율적·체계적인 정보보안 업무를 수행하기 위하여 정보보안 전문지식을 보유한 인력을 확보하고 관련 전담조직을 구성 운영할 수 있다.

  ② 대학은 제1항과 관련한 정보보안 조직을 지휘하고 본 대학교 정보보안 업무를 총괄하기 위하여 정보보안담당관(교육부 정보보안기본지침의 정보보안관리자의 업무 수행)를 임명하여야 한다. 단, 정보통신처장 보임에 대한 인사발령으로 정보보안담당관의 임명을 갈음할 수 있다.

  ③ <삭제 2021. 6. 22>

  ④ 본 대학교의 정보보안조직의 구성은 다음 각 호와 같다.

  1. 정보보안담당관 : 정보통신처장

  2. 정보보안관리자(어플리케이션 서비스) : 정보운영팀장

  3. 정보보안관리자(정보자산) : 통신운영팀장

  4. 분임정보보안관리자 : 서버, 네트워크, DB 등 정보통신처 소관 정보보안 업무 실무자

  5. 부서별 정보보안관리자 : 각 부서(팀)장 당연직으로 지정하며, 부서(팀)장이 없거나 정보보안관리자가 부서(팀)장일 경우 선임 팀원을 지정한다.

제9조(책임 및 역할) ① 정보보안담당관의 책임 및 역할은 다음 각 호와 같다.

  1. 정보보안 정책 및 기본계획 수립·시행

  2. 정보보안 관련 규정 등 제·개정

  3. 정보보안전문위원회에 정보보안 분야 안건 심의 주관

  4. 정보보안 업무 지도·감독, 정보보안 감사 및 심사분석

  5. 정보통신실, 정보통신망 및 정보자료 등의 보안관리

  6. 정보보안 수준진단

  7. 사이버공격 초동조치 및 대응

  8. 사이버위협정보 수집·분석 및 보안관제

  9. 정보보안 예산 및 전문인력 확보

  10. 정보보안 사고조사 결과 처리

  11. 정보보안 교육 및 정보협력

  12. 주요정보통신기반시설 보호활동

  13. 국가용 보안시스템 및 암호키의 운용·보안관리

  14. 암호모듈·정보보안시스템의 운용 및 보안관리

  15. 정보통신망 보안대책의 수립·시행

  16. 그 밖에 정보보안 강화를 위하여 필요한 사항

  ② 정보보안관리자(정보자산)의 책임 및 역할은 다음 각 호와 같다.

  1. 정보보안담당관의 업무 보좌

  2. 분임정보보안관리자 및 부서정보보안관리자들의 정보자산 관련 업무를 관리감독

  3. 정보자산의 정보보안 관리규정 제·개정 총괄

  4. 정보보안 내·외부 감사 및 보안점검 총괄(교육부, 국가정보원, 행정안전부 등)

  5. 기타 정보보안업무 전반에 관한 지도, 조정 및 기타 감독에 관한 사항

  ③ 정보보안관리자(어플리케이션 서비스)의 책임 및 역할은 다음 각 호와 같다.

  1. 정보보안담당관의 업무를 보좌

  2. 분임정보보안관리자 및 부서정보보안관리자들의 시스템 어플리케이션 및 개발 업무를 관리 감독

  3. 개발 관련 정보보안 관리규정 제·개정

  4. 기타 정보보안업무 전반에 관한 지도, 조정 및 기타 감독에 관한 사항

  ④ 분임정보보안 관리자는 정보보안규정 및 관련 시행세칙에 따른 관리적 및 기술적 보안의 실무활동을 수행하여야 한다.

  ⑤ 부서별 정보보안 관리자는 부서 내 정보보안 활동을 총괄하여 수행 하여야 한다.

  ⑥ 연간 정보보호 활동 보고서(운영현황)를 통해 역할과 책임의 성실한 수행을 평가하여야 한다.

제4장 정보자산관리 및 위험관리

제10조(정보자산 분류) ① 부서별 정보보안관리자는 정보자산을 식별, 분류하고 자산별 소유관계를 정의하여 이를 문서화하여야 한다.

  ② 부서별 정보보안관리자는 주기적으로 본 대학교 내 정보자산을 실사하여 정보자산목록을 갱신하여 정보보안관리자에게 통보해야한다. 단, 업무용PC의 경우 통신운영팀에서 실시하는 재물조사로 갈음한다.

  ③ 정보자산의 분류 기준 및 정의는 정보자산 중요도 산정 및 위험관리기준을 따른다.

제11조(정보통신망 관련 현황 자료 관리) ① 부서별 정보보안관리자는 다음 각 호에 해당하는 정보통신망 관련 현황·자료를 최신으로 유지해야 한다.

  1. 정보시스템 운용현황

  2. IP 할당현황

  3. 주요 정보화사업 추진현황

  ② 부서별 정보보안관리자는 정보통신망 관련 현황의 변동(신규도입, 변동, 폐기 등)이 발생한 경우 정보통신망 관련 변동사항을 정보보안관리자에게 통보하여야 한다.

제12조(중요도 평가 및 등급분류) ① 부서별 정보보안관리자는 제11조에 따라 식별된 정보자산의 중요도를 평가하여 적절한 보호대책을 수립하여야 한다.

  ② 정보자산의 중요도 평가 기준 및 등급은 정보자산 중요도 산정 및 위험관리기준을 따른다.

  ③ 부서별 정보보안관리자는 정보자산의 등급에 따라 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이에 따라 접근통제 등 적절한 보안통제를 이행하여야 한다.

제13조(위험분석 및 평가) ① 부서별 정보보안관리자는 년 1회 이상 또는 신규 정보자산을 도입할 경우 정보자산에 대한 위험분석 및 평가를 수행하고 그 결과를 정보보안관리자에게 통보해야한다. 단 기존 정보자산의 경우 자산등급이 3등급인 경우 예외로 한다.

  ② 부서별 정보보안관리자는 정보자산에 대한 발생 가능한 잠재적 위험 항목을 도출하여 이를 관리하여야 한다.

  ③ 위험도는 발생가능성과 영향도를 고려하여 산정하며 위험도 산정의 세부 기준은 정보자산 위험관리 기준에 따른다.

제14조(위험관리) ① 정보보안담당관는 식별된 위험도 수준에 대한 허용 가능한 위험수준을 정의하고 위험관리 전략을 수립하여야 한다.

  ② 정보보안관리자는 부서별 정보보안관리자와 협의하여 허용 가능한 위험수준 초과 위험에 대하여 보호대책을 선정한다.

  ③ 부서별 정보보안관리자는 위험분석 및 평가에 따른 정보자산별 위험에 대한 정보보안대책의 적용여부를 문서화하여 관리하여야 한다.

제15조(정보보안 추진계획 수립 및 검토) ① 정보보안관리자는 위험관리의 내용을 반영하고 정보보안에 필요한 업무를 수행하기 위한 정보보안 추진계획을 매년 수립하고 정보보안담당관의 승인을 받아야 한다.

  ② 정보보안관리자 및 분임정보보안관리자는 정보보안 추진계획의 추진결과를 심사분석하고 그 결과를 정보보안담당관에게 보고 해야 한다.

제16조(정보자산의 접근통제) ① 정보자산에 대한 접근은 필요 최소한으로 부여되어야 한다.

  ② 부서별 정보보안관리자는 정보자산에 대한 접근권한을 주기적 또는 접근권한의 변경이 발생한 경우 검토하여야 한다.

제17조(정보자산의 보안성 검토) ① 대학에서 도입하는 정보자산 중 서버, 네트워크 장비, 정보보안시스템, 응용프로그램은 보안성 검토를 받아야 한다. 단, 정보보안시스템의 경우 교육부 정보보안기본지침에 따른 정보보호시스템 유형별 도입요건을 충족한 경우 예외로 한다.

  ② 정보자산을 도입하는 부서의 계약 담당자는 정보보안관리자에게 도입 계획 수립 단계에서 보안성 검토 신청을 하여야 한다.

  ③ 정보보안관리자는 각 정보자산의 보안성 검토 결과에 따른 정보보안 대책 이행을 부서별 정보보안관리자에게 요구할 수 있다.

  ④ 부서별 정보보안관리자는 보안성 검토 결과에 따른 정보보안 대책 이행 명세를 문서로 관리하고 보안성 검토를 승인 받지 아니한 정보자산을 도입 및 운영을 하여서는 아니 된다.

제18조(정보자산의 운영 및 폐기) ① 부서별 정보보안관리자는 정보자산이 원래의 목적에 맞게 운영되는지 검토, 관리할 책임이 있다.

  ② 정보자산의 폐기는 자산관리 규정에 따라 폐기하며 물리적, 논리적 방법으로 복구가 불가능하도록 조치하여야 한다.

제5장 인적 보안

제1절 보안 서약

제19조(보안서약서) ① 교직원은 재직 중에 취득한 정보에 대한 보안 유지에 책임이 있으며 보안서약서를 작성하여야 한다.

  ② 부서별 보안관리자는 부서 인원의 변동 발생시(신규채용, 발령, 퇴직 등) 교직원의 보안서약서를 징구하여 부서에 비치하여야 한다.

제2절 인사이동 및 퇴직

제20조(보직변경 등 인사이동 시) ① 보직변경 등 인사이동시 다음 각 호의 정보시스템에 대한 접근권한을 인사발령과 함께 신속하게 변경 또는 조정하여야 한다.

  1. 종합정보시스템 : 분임정보보안관리자

  2. 부서 자체 정보시스템 및 홈페이지 : 부서별 정보보안관리자

  ② 제1항의 접근권한 부여, 변경, 말소 이력은 최소 3년 이상 보관하여야 한다.

  ③ 교직원은 인사이동시 PC에 저장된 업무관련 파일은 삭제하고 부서별 정보보안관리자의 확인을 받아야 한다.

제21조(퇴직 및 계약해지 시) ① 퇴직자는(계약직 포함) 재직 중 보유 한 모든 정보자산(사용PC, 보조기억매체, 업무자료 및 문서, 출입증 등)을 반환해야 할 의무가 있으며, 부서별 정보보안관리자는 퇴직자의 정보자산을 팀에 귀속시켜야 한다.

  ② 분임정보보안관리자는 퇴직 처리된 퇴사자의 계정이 업무시스템에 접근 할 수 없도록 조치하여야 한다.

  ③ 부서별 정보보안관리자는 퇴직자에 의한 정보유출이 의심되거나 위험이 있는 경우 퇴직 처리 전에 사용자의 계정을 회수하는 등 적절한 보안조치를 이행하여야 한다.

제22조(제한조치) ① 본 규정을 위반한 경우 정보자산 이용을 제한할 수 있다.

  ② 제1항의 제한조치는 공공기관 보안관리 기준을 준용한다.

제3절 주요직무자 지정 및 감독

제23조(주요 직무자 지정) ① 부서별 정보보안관리자는 다음 각 호의 업무를 수행하는 교직원을 업무 수행에 필요한 최소한으로 제한하며 주요직무자로 지정하여야 한다.

  1. 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급 업무 중 대량의 개인정보의 다운로드 또는 파기 또는 개인정보처리시스템에 대한 접근권한 설정권한이 있는 자

  2. 특수권한을 부여받은 정보시스템(서버, DB, 응용프로그램 등)을 운영 및 개발하는 자

  3. 정보보안시스템을 운영 하는 자

  4. 정보보안관리업무 수행 하는 자

  ② 부서별 정보보안관리자는 주요 직무자 명단을 관리하고 변경발생 시 주요직무자 명단을 검토하여 정보보안관리자에게 통보하여야 한다.

  ③ 개발과 운영 업무는 분리하여 수행하는 것을 원칙으로 한다. 개발과 운영 업무를 병행하는 경우 사전에 정보보안담당관의 승인을 받도록 한다.

제24조(주요 직무자의 인터넷 접속 제한) ① 주요 직무자의 경우 인터넷 접속 또는 서비스(P2P, 웹하드, 웹메일, 메신저 등)를 제한하여야 한다.

  ② 정보보안담당관는 주요 직무자 중 대량의 개인정보를 처리(다운로드, 파기, 접근권한 설정)하는 개인정보취급자 업무용PC의 외부 인터넷 접속을 차단할 수 있다.

  ③ 제2항의 외부 인터넷 접속 차단과 관련한 세부 사항은 정보보안담당관이 별도로 정한다.

제4절 정보보안 교육 및 훈련

제25조(정보보안 교육 계획 수립) ① 정보보안관리자는 매년 다음 각 호의 사항을 포함하는 정보보안 교육 및 훈련 계획을 수립하고 정보보안담당관의 승인을 받아야 한다.

  1. 교육 목적 및 대상

  2. 교육 일정 및 횟수

  3. 교육 내용 및 방법

제26조(정보보안 교육 실시) ① 정보보안 교육 및 훈련은 전 교직원을 대상으로 년 1회 이상 정기적으로 실시하고, 정보보안규정이나 역할의 변경, 인력 채용 시 수시로 실시하여야 한다.

  ② 정보보안 교육 및 훈련 실시 후 결과를 문서화하여야 하며 이에 대해 검토 후 차기 교육에 반영하여야 한다.

  ③ 정보보안관리자는 정보보안 교육의 효율성, 전문성을 높이기 위해 외부전문가의 지원을 요청하거나 교육부장관에게 전문 인력 및 자료 지원을 요청할 수 있다.

제5절 외부자 보안

제27조(계약시 보안관리 등) 정보화, 정보보안사업, 정보시스템 등을 외부 용역으로 외부업체와 계약할 경우에 계약 담당자는 IT용역업체 보안관리 기준을 안내하고 해당 기준에 따라 계약을 체결하여야 한다.

제28조(참여인원 보안관리) ① 부서별 정보보안관리자는 모든 참여인원에 대하여 보안서약서를 징구해야 한다.

  ② 부서별 정보보안관리자는 용역업체 자체 보안관리 및 직원 관리감독 강화를 독려하고 보안의 중요성 인식제고를 위해 업체대표 명의로 정보보안 확약서를 징구 하여야 한다.

  ③ 부서별 정보보안관리자는 사업 시작 전 참여인원에 대한 보안준수 의무 등의 보안교육을 실시하여야 한다.

제29조(외부자 보안 세부 기준) 기타 본 규정에서 정하지 않은 외부자 보안에 대한 세부 기준은 정보보안담당관이 별도로 정한다.

제6장 물리적 보안

제30조(보호구역 설정) 대학 내 정보보호 상 제한과 통제가 요구되는 지역(시설)은 보호구역으로 설정하며, 중요도에 따라 다음 각 호와 같이 “제한구역” 및 “통제구역”으로 구분 적용하여 관리하여야 한다.

  1. 3단계 통제구역 - 전산장비실, 연구실, 문서고 등 모든 출입자의 통제가 요구되는 구역

  2. 2단계 제한구역 - 사무실 등 대학 건물 내의 중요 사무실 및 장소

  3. 1단계 제한지역 - 회의실, 접견실 등

제31조(보호구역 통제) ① 통제구역은 다음과 같은 접근통제를 시행한다.

  1. 출입통제를 위해 출입자 판독 및 기록이 가능한 출입통제시스템을 설치 운영한다.

  2. 출입감시를 위해 감시 카메라를 설치 운영한다. 단, 전산장비실의 경우 센터 내부에도 감시 카메라를 운영한다.

  3. 비 인가자의 출입이 제한되는 통제구역 표시를 하여야 한다.

  4. 통제구역의 출입권한 등록은 최소한의 인원으로 제한하고, 인가자 외의 인원 출입 시 해당 통제구역 담당자의 허가 후, 담당자 인솔하에 출입하고 작업 중 감독을 원칙으로 한다.

  5. 출입자에 대한 방문일자, 방문목적, 출입시각 등의 기록 또는 로그는 1년 이상 보관한다.

  6. 해당 통제구역 담당자는 통제구역의 출입자 별 접근권한을 주기적으로 점검한다.

  7. 외주인력에 대한 통제구역의 출입 및 업무 수행은 정규 업무시간으로 제한하며, 정규 업무시간 이외에 접근을 위해서는 통제구역 담당자의 승인을 득해야 한다.

  8. 통제구역 출입 시, 출입통제시스템을 통해서만 출입한다.

  ② 제한구역은 다음과 같은 접근통제를 시행한다.

  1. 출입통제를 위해 출입통제시스템(카드열쇠 및 비밀번호 등)을 설치한다.

  2. 제한구역을 출입하는 전 교직원은 반드시 신원을 확인한다.

  3. 교직원과 동행하지 않은 방문자는 출입목적을 확인한 후 해당 업무담당자에게 인도한다.

  4. 퇴직, 전배 된 교직원에 대한 불필요한 접근권한은 즉시 해제되어야 한다.

  5. 제한구역으로 반？출입되는 모든 가방, 서류, 기타 휴대용 전산장비 등은 필요 시 검색할 수 있다.

  6. 외부업체 직원의 제한구역 내 출입은 업무상 필요에 따라 결정되어야 하며, 담당자에 의하여 이들의 제한구역 내 활동은 지속적으로 감독되어야 한다.

제32조(전산장비실 보안) ① 정보보안담당관은 교내 중요 정보자원을 보호하기 위하여 전산장비실을 출입통제구역으로 관리하여야 한다.

  ② 정보시스템의 특성에 따라 분리하여 배치하고 시스템을 외부로부터 보호하여야 한다.

  ③ 전산장비실 내에서의 휴대폰, 디지털카메라 등을 이용한 촬영은 금지 한다. 단, 업무적으로 필요한 경우 부서별 정보보안관리자의 승인을 득해야한다.

  ④ 비인가 행위 적발, 전산장비실 물리적 감시를 위해 CCTV를 설치하여 운영한다.

  ⑤ 통제구역에서의 취식 및 흡연 등 정보시스템의 안정적 운영에 영향을 미칠 수 있는 모 든 행동을 금지한다.

  ⑥ 사고 발생 시 신속한 조치를 위해 시설 단면도와 시스템 배치도, 랙 실장도 등의 도면을 마련하고 변경사항 발생 시마다 갱신하여야 한다.

  ⑦ 제6항의 도면은 안전한 곳에 보관하되 언제든지 확인 가능하도록 하여야 한다.

  ⑧ 전력 및 통신 케이블을 안전하게 유지, 보호할 수 있도록 다음 각 호의 조치를 취한다.

  1. 전용 통로관 설치 및 이용

  2. 전력과 통신 케이블을 물리적으로 구분하여 배선

  3. 라벨링

  4. 약전실, 강전실 등 케이블 통과구역에 대한 접근통제

  ⑨ 전산장비실에서는 휴대용 저장매체의 반출·입 및 사용을 엄격하게 제한하여야 한다. 불가피하게 사용할 경우 정보보안담당관의 허가를 거쳐야 하며 적법한 절차에 따른 사용여부 확인을 위하여 분임정보보안관리자는 주기적인 점검을 수행하여야 한다.

  ⑩ 전산장비실 및 주요 정보통신 시설 관리에 관한 세부사항은 정보보안담당관가 별도로 정한다.

제33조(전산장비실 설비 관리) ① 전산장비실 내부 및 관련 설비에 대해 다음 각 호의 사항을 점검해야 한다.

  1. 전산장비실, 전원설비, 항온항습설비, 소방 및 보안설비 등에 대한 위험을 파악하여 그에 대한 예방 대책을 수립하고 위험 예방 활동을 수행한다.

  2. 전산장비실의 구축 환경을 고려하여 전원 설비를 확인 및 점검한다.

  3. 전산장비실의 구축 환경을 고려하여 공조 및 항온항습설비를 확인 및 점검한다.

  ② 전산장비실 관련 설비에 대해 주기적으로 점검 및 유지 보수 활동을 수행하고 그 결과를 기록으로 명시하고 유지하여야 한다.

제34조(전산장비실 출입통제) ① 전산장비실의 출입 통제는 다음 각 호를 따른다.

  1. 전산시설에는 인가 받은 자만 출입할 수 있고, 작업 등으로 인해 비 인가자가 부득이 출입해야 할 경우는 적절한 승인절차를 거친 후에 출입을 허가하되 기록을 남겨야 한다. 이때 비 인가자가 전산시설 내에서 활동하는 모든 내용은 출입목적에 따른 관련 교직원의 통제 하에 이루어져야 한다.

  2. 전산장비실의 출입자에 대한 출입 및 작업 기록 검토는 주기적으로 실시한다.

  3. 전산장비실 출입을 인가 받은 자의 목록은 주기적으로 점검하여 출입권한의 타당성을 검토하고 불필요한 출입권한은 즉시 삭제한다.

  ② 전산장비실 통제

  1. 통제구역인 전산장비실 방문자는 출입자 관리대장에 입실일시, 방문처 및 목적 등을 반드시 기록하여야 한다.

  2. 방문 후 출입자 관리대장에 퇴실시간을 기록하여야 한다.

  ③ 작업을 위한 출입 시 출입자 관리대장의 정보 외에 관련 교직원과 전산장비실의 출입통제 담당자의 승인을 받아야 한다.

제35조(정보자산 반출？입) ① 전산장비실 내 정보자산의 반출？입은 분임정보보안관리자의 검토 및 사전 승인을 받아야 한다.

  ② 전산장비실 외 정보자산의 반출？입은 부서별 정보보안관리자의 검토 및 사전 승인을 받아야 한다.

  ③ 부서별 정보보안관리자는 정보자산의 반출·입 내용을 기록하여 관리하고 반출·입 이력을 주기적으로 점검하여야 한다.

  ④ 개인적 용도로 본 대학교 정보자산의 반출 및 이용을 금지한다.

제36조(장비보호) ① 전산장비실 외부에 도입하는 정보자산은 별도의 안전한 공간에 설치하여야 한다.

  ② 부서별 정보관리자는 제1항의 정보자산의 운영·관리에 필요한 정보통신장비 및 도구 이외의 사물을 보관하거나 비치하지 않도록 통제, 감독 및 관리하여야 한다.

제7장 개발 보안

제1절 분석 및 설계 단계

제37조(개발과 운영 환경의 분리) ① 개발 및 테스트 환경은 운영 환경과 분리하여 운영하는 것을 원칙으로 한다.

  ② 컴파일러, 편집기 등과 같이 개발에 필요한 도구는 운영 환경에 설치하지 않는 것을 원칙으로 한다.

제38조(보안 요구사항 정의) ① 부서별 정보보안관리자는 응용프로그램 개발 및 유지보수 시 다음의 보안 요구사항을 명확히 정의하여야 한다.

  1. 사용자 인증 방법

  2. 접근통제 방법

  3. 입력 데이터 검증, 내부처리, 출력 데이터 검증

  4. 로그 관리

  5. 암호화

  6. 기타 개발 시 정보보안 통제

  ② 개발자는 응용프로그램 개발 및 유지보수 시 보안 요구사항을 고려하여 응용프로그램을 개발하여야 한다.

  ③ 시스템 개발사업 담당자는 정보시스템을 자체적으로 개발하고자 하는 경우에는 다음 각 호의 사항을 고려하여 보안대책을 수립하고 부서별 정보보안관리자의 검토를 받아야 한다.

  1. 독립된 개발시설을 확보하고 비인가자의 접근 통제

  2. 개발시스템과 운영시스템의 물리적 분리

  3. 소스코드 관리 및 소프트웨어 보안관리

④ 시스템 개발사업 담당자는 원격지에서의 온라인 개발이 필요하다고 판단할 경우 다음 각 호의 보안대책을 수립하고 부서별 정보보안관리자의 검토를 받아야 한다.<신설 2021. 2021. 6. 22>

  1. 지정된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제

  2. 발주기관내 설치된 온라인 용역 통제시스템을 경유하여 개발에 필요한 정보시스템에 접속하는 등 소통구간 보호ㆍ통제

  3. 지정된 단말기는 온라인 용역 통제시스템 접속 전용으로 운용하고 다른 목적의 인터넷 접속은 차단

  4. 접속사실이 기록된 로그기록을 1년 이상 보관

제39조(교육 및 훈련) 부서별 정보보안관리자는 응용프로그램 개발자들에게 응용프로그램의 보안성, 안전성 및 신뢰성을 확보하기 위한 충분한 정보보안 교육 및 훈련을 제공하여야 한다.

제2절 개발 단계

제40조(사용자 인증) 응용프로그램 개발 시 중요 메뉴 또는 기능에 대한 접근은 사용자 인증 후 접속할 수 있도록 해야 한다. 사용자 계정 및 비밀번호 관리를 포함한 사용자 인증에 대한 세부 사항은 제8장 정보시스템 보안관리를 따른다.

제41조(접근통제) 응용프로그램 개발 시 메뉴 또는 기능별로 사용자의 접근권한을 통제하도록 해야 한다. 즉, 응용프로그램에 대한 접근통제 정책을 작성하고 이 정책에 따라 사용자에게 접근권한을 부여하여야 한다.

제42조(개발 로그관리) 응용프로그램 개발 시 사용자가 중요 정보(개인정보 포함)에 접속하여 해당 정보를 처리한 경우 다음의 내용을 포함한 작업 내역을 로그로 남길 수 있도록 해야 한다.

  1. 접속 일시

  2. 사용자 식별 정보

  3. 접속지 정보(IP주소 등)

  4. 사용자의 작업 내역(생성ㆍ변경ㆍ열람ㆍ삭제)

제43조(암호화) 응용프로그램 개발 시 주민등록번호, 외국인등록번호, 비밀번호(일방향) 등과 같은 중요 개인정보는 암호화하여 저장하여야 한다. 암호화 대상 및 방법에 대한 세부 사항은 제8장 정보시스템 보안관리를 따른다.

제44조(소스프로그램 접근통제) ① 승인 받지 않은 교직원이 소스프로그램에 접근할 수 없도록 통제하여야 한다.

  ② 변경 이력 및 버전 관리 등을 위하여 형상관리도구를 사용하여 소스프로그램을 관리할 수 있다.

제45조(기타 개발 시 보안) ① 부서별 정보보안관리자는 파일 및 변수의 명명규칙 등을 포함한 개발 표준(시큐어 코딩 포함)을 수립하여 적용하여야 한다. 시큐어 코딩 표준은 행정안전부의 소프트웨어 개발 보안 가이드를 참조한다.

  ② 응용프로그램 개발 시 정보보안규정 및 관련 기준을 준수하지 않거나 또는 응용프로그램 자체에 위협을 줄 수 있는 악성프로그램을 삽입해서는 안 된다.

  ③ 응용프로그램 개발 시 중요 개인정보 중 일부(비밀번호, 주민등록번호/외국인등록번호 뒷자리 등)는 은폐하여 나타나도록 해야 한다.

  ④ 응용프로그램의 소스코드 내에 비밀번호 및 중요 개인정보가 포함되지 않도록 해야 한다.

  ⑤ 시스템 개발사업 담당자는 외부용역 업체와 계약하여 정보시스템을 개발하고자하는 경우에는 다음 각 호의 사항을 고려하여 보안대책을 수립하고 시스템 개발사업 관리책임자의 검토를 받아야 한다.

  1. 외부인력 대상 신원확인, 보안서약서 징구, 보안교육 및 점검

  2. 외부인력의 보안준수 사항 확인 및 위반 시 배상책임의 계약서 명시

  3. 외부인력의 정보시스템 접근권한 및 제공자료 보안대책

  4. 외부인력에 의한 장비 반입·반출 및 자료 무단반출 여부 확인

  5. 독립된 개발시설을 확보하고 비인가자의 접근 통제

  6. 개발시스템과 운영시스템의 물리적 분리

  7. 소스코드 관리 및 소프트웨어 보안관리

  8. 온라인 개발 및 유지보수가 필요하다고 판단할 경우 제38조 제4항에 따른 보안대책 <신설 2021. 6. 22>

  ⑥ 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 연결을 차단하여야 한다. 단, 세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인을 받아야 한다.

  ⑦ 동일 사용자가 동시 접속할 수 없도록 하는 것을 원칙으로 한다.

  ⑧ 데이터베이스에 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따라 다음 각 호의 내용을 포함한 접근통제 정책을 수립·이행하여야 한다.

  1. DB서버 및 DBMS 접속에 대한 권한은 데이터베이스 관리자(DBA : Database Administrator), 사용자 등으로 구분하고 직무별 접근 통제 정책을 수립하여 이행하여야 한다.

  2. 데이터베이스 관리자(DBA) 및 사용자의 활동을 감사추적할 수 있도록 유일한 식별자를 할당하여야 한다.

  3. 중요정보(개인정보, 인사정보, 급여정도 등)가 포함된 테이블 또는 컬럼에 대해서는 업무상 취급 권한이 있는 자(개인정보취급자 등)만이 사용할 수 있도록 제한하여야 한다.

  4. DBMS 관리를 위한 계정은 데이터베이스 관리자(DBA)만이 사용할 수 있도록 하여야 한다.

  5. 사용하지 않는 계정, 테스트 계정, 기본 계정 등은 삭제 또는 접근이 불가능하도록 조치하여야 한다.

  6. 응용프로그램(웹 등)용으로 부여된 데이터베이스 계정의 경우 데이터베이스 관리자(DBA), 사용자 등이 공용으로 사용하지 않아야 한다.

제3절 테스트 및 운영 이관 단계

제46조(테스트) ① 개발자는 응용프로그램 신규 개발 시 테스트 환경에서 해당 응용프로그램을 충분히 테스트하고 그 결과를 문서화하여야 한다.

  ② 응용프로그램을 테스트할 때는 운영 데이터의 유/노출을 방지하기 위해 임의의 테스트 데이터를 생성하여 활용하거나 운영 데이터를 변경하여 사용하여야 한다.

  ③ 운영 데이터를 테스트 목적으로 사용할 경우 부서별 정보보안관리자는 주기적으로 또는 필요한 경우 테스트 데이터가 적절하게 관리되고 사용 이후에 삭제되었는지를 확인하여야 한다.

  ④ 시스템 개발사업 관리책임자는 정보시스템을 자체적으로 개발하거나 외부용역 업체와 계약하여 정보시스템을 개발하는 경우 이와 관련하여 보안대책의 적절성을 수시로 점검하고 정보시스템 개발을 완료한 경우에는 정보보안 요구사항을 충족하는지 시험 및 평가를 수행하여야 한다.

제47조(사전 보안성 검토) ① 부서별 정보보안관리자는 응용프로그램을 운영단계로 이관하기 전에 정보보안관리자에게 해당 응용프로그램에 대한 사전 보안성 검토를 받아야 한다.

  ② 사전 보안성 검토의 대상은 응용프로그램의 단순 변경을 제외한 모든 변경 및 신규 개발된 응용프로그램으로 한다.

  ③ 응용프로그램에 대한 단순 변경 기준은 다음 각 호와 같다.

  1. HTML/CSS 단순 수정

  2. Client Side Script의 오류 및 기능 개선

  3. 기능상의 버그 수정

  4. 조회 조건의 추가 또는 변경, 삭제

  5. 입력 항목의 변경이 없는 단순 입력 양식의 변경

  6. 민감 정보를 포함하지 않는 단순 통계와 조회기능 추가와 컬럼의 변경

  7. 응용프로그램의 구조 변경이 없는 성능 향상 목적의 유지보수 등

  ④ 보안성 검토를 요청한 부서별 정보보안관리자는 보안성 검토 결과를 바탕으로 내역을 파악하고, 필요시 개선을 위한 이행 계획을 마련하고 계획에 따라 조치하여야 한다.

  ⑤ 부서별 정보보안관리자가 이행활동을 마친 후 정보보안관리자는 재검토를 수행한다.

  ⑥ 최종 결과(이행 결과 포함)는 다시 보안성 검토 계획에 반영하여, 다음 점검 시 개선 및 보완 여부를 검증할 수 있어야 한다.

제48조(운영 이관 관리) ① 응용프로그램의 운영단계로의 이관 시 시스템을 개발하는 부서의 (팀)장의 승인을 받아야 한다.

  ② 개발자는 응용프로그램의 신규 개발 및 성능과 환경에 중요한 변경이 발생한 경우 운영 단계로 이관하기 전에 산출물을 작성하여야 한다. 단, 시스템을 개발하는 부서의 (팀)장의 판단에 따라 시급을 필요로 하는 경우는 이관 후 산출물을 작성할 수 있다.

  ③ 부서별 정보보안관리자는 응용프로그램 이관 시 발생할 수 있는 문제에 대응하기 위하여 다음 각 호의 사항을 문서로 작성하여 관리하여야 한다.

  1. 복구 시점 및 방안

  2. 이전 버전 시스템의 소프트웨어 정보

  3. 이전 버전 시스템의 운영 프로그램 (OS)

  4. 이번 버전 시스템의 기술 관련 문서 (기능, 기술, DB 설계 및 데이터 정의서 등)

제49조(응용프로그램 변경 관리) ① 응용프로그램에 대한 중요 변경사항의 발생 시 변경내역, 일시 등을 기록하여 관리하여야 한다. 응용프로그램에 대한 단순 변경의 경우 응용프로그램 변경 관리 대상에서 제외한다.

  ② 부서별 정보보안관리자는 응용프로그램 변경 내역을 주기적으로 검토하여야 한다.

제8장 정보시스템 보안관리

제1절 정보시스템 운영관리

제50조(정보시스템 도입 및 설치) ① 부서에서 정보시스템을 도입하려는 경우 정보보안관리자의 승인을 득하여야 한다.

  ② 정보시스템 신규 도입 시 반드시 허가된 소프트웨어만 설치하여야 한다.

  ③ 정보시스템 도입을 위한 도입계획 수립 시 다음과 같은 사항을 고려하여야 한다.

  1. 현재의 시스템 자원의 이용율, 사용용량, 능력한계에 대한 분석

  2. 추가 자원의 필요성 및 시기에 대한 예상

  3. 성능, 안전성, 신뢰성, 보안성, 법규 등을 포함한 시스템 자원의 기능적, 운영적 요구사항

  4. 기존 시스템과의 호환성, 상호운영성, 기술표준에 따른 확장성

제51조(바이러스 예방 및 탐지) ① 윈도우 기반 시스템의 경우 바이러스 백신 프로그램을 설치하여야 한다. 단, 시스템 운영 및 유지보수 목적상 필요한 경우 정보보안관리자의 승인을 받아 예외로 할 수 있다.

  ② 바이러스 백신 프로그램이 시스템 부팅 시 자동으로 실행되도록 하고, 정기적으로 업데이트해야 한다.

  ③ 바이러스 백신 프로그램을 이용하여 시스템을 정기적으로 점검해야 한다.

  ④ 시스템 사용 중 바이러스 감염 또는 감염이 우려되는 경우 즉시 정보보안관리자에게 보고하여야 한다.

  ⑤ 악성프로그램관련 경보가 발령된 경우 즉시 이에 따른 업데이트를 실시하여야 한다.

  ⑥ 시스템에 악성코드가 설치되거나 감염된 사실을 발견하였을 경우에 다음 각 호의 조치를 하여야 한다.

  1. 악성코드 감염원인 규명 등을 위하여 파일 임의삭제 등 감염 시스템 사용을 중지하고 전산망과의 접속을 분리한다.

  2. 악성코드의 감염확산 방지를 위하여 정보보안관리자에게 관련 사실을 즉시 보고하여야 한다.

  ⑦ 부서별 정보보안관리자는 악성코드가 신종이거나 감영피해가 심각하다고 판단할 경우에는 관련사항을 정보보안담당관에게 보고해야 한다.

제52조(성능관리) ① 부서별 정보보안관리자는 성능 점검을 위하여 성능 점검 항목을 정의하고, 이에 따라 주기적으로 모니터링 활동을 수행하여야 한다. 성능관리의 대상은 1등급 및 사전 정의된 정보시스템으로 한다.

  1. 서버 : CPU, 메모리, 하드디스크 등에 대한 최대/최소/평균 사용률

  2. 네트워크 장비 : CPU, 네트워크 트래픽 등에 대한 최대/최소/평균 사용률

  3. 침입차단시스템 : CPU, 메모리, 네트워크 트래픽 등에 대한 최대/최소/평균 사용률

  ② 성능 점검 결과 성능 점검 항목이 지속적으로(1주일 이상) 임계치(90% 이상)을 초과하는 경우 용량 증설을 검토하여야 한다.

제53조(장애관리) ① 부서별 정보보안관리자는 정상적인 서비스 제공이 불가능한 경우 정보시스템에서 제공하는 장애 메시지 및 로그 등을 검토하여야 한다. 장애관리의 대상은 1등급 및 사전 정의된 정보시스템으로 한다.

  ② 부서별 정보보안관리자는 장애조치 및 복구가 완료된 후 장애 원인 분석 및 재발 방지 대책을 수립하여야 한다.

제54조(시스템 로그관리) ① 부서별 정보보안관리자는 정보시스템의 효율적인 통제·관리, 사고 발생 시 추적 등을 위하여 사용자의 정보시스템 로그기록을 유지 관리하여야 한다.

  ② 제1항의 로그기록에는 다음 각 호의 내용이 포함되어야 한다.

  1. 접속자, 정보시스템·응용프로그램 등 접속 대상

  2. 로그 온·오프, 파일 열람·출력 등 작업 종류, 작업 시간

  3. 접속 성공·실패 등 작업 결과

  4. 전자우편 사용 등 외부발송 정보 등

  ③ 로그기록은 정보보안 사고발생 시 확인 등을 위하여 최소 3개월 이상 보관하여야 하며 접근기록 위·변조 및 외부유출 방지 대책을 강구하되 다음 각 호의 내용을 포함하여야 한다.

  1. 별도 저장장치를 사용하여 백업하고 소산 보관하여야 한다.

  2. 로그기록에 대한 접근권한부여는 최소화하여야 한다.

  ④ 부서별 정보보안관리자는  핵심자산에 대해서는 로그기록을 주기적으로 검토하여야 한다.

  ⑤ 부서별 정보보안관리자 로그기록을 분석한 결과, 비인가자의 접속 시도, 정보 위·변조 및 무단 삭제 등의 의심스러운 활동이나 위반 혐의가 발생한 사실을 발견한 경우 정보보안관리자에게 즉시 보고하여야 한다.

  ⑥ 개인정보처리시스템의 로그관리에 관한 사항은 개인정보보호내부관리계획을 따른다.

제55조(백업 및 복구) ① 부서별 정보보안관리자는 장애 발생에 대비하여 중요 정보시스템에 대한 백업 및 복구 계획을 수립하여야 한다.

  ② 부서별 정보보안관리자는 장애 발생 시 신속한 복구를 위하여 백업 및 복구 계획에 따라 중요 정보시스템 및 데이터 등을 주기적으로 백업하여 관리하여야 한다.

  ③ 복구는 다음과 같은 단계에 따라 진행한다.

  1. 복구 우선순위 결정

  2. 백업파일 점검 및 복구

  3. 사후 점검 및 원인 분석

  4. 장애 및 복구 처리 결과 기록

  ④ 제2항에 따른 백업시설을 설치할 경우에는 전산장비실과 물리적으로 일정거리 이상 떨어진 안전한 장소에 설치하여야 하며 전력공급원 이원화 분리 등 정보시스템의 가용성을 최대화 할 수 있도록 하여야 한다.

  ⑤ 부서별 정보보안관리자는 제2항에 따른 백업을 정보보안관리자에게 요청할 수 있으며 정보보안관리자는 해당 시스템의 중요도 및 본 대학교 백업시스템의 가용성을 기준으로 백업 실시 여부를 결정 할 수 있다.

  ⑥ 백업과 관련하여 본 규정에서 정하지 않은 사항에 대해서는 정보시스템 재해 복구 시행세칙을 준용한다.

제56조(서비스 팩 및 패치 설치) ① 부서별 정보보안관리자는 제조사 또는 정보보안관리자가 제공하는 최신 서비스 팩 또는 패치를 설치해야 하고 이를 기록하여 관리하여야 한다.

  ② 서비스 팩이나 패치를 설치할 때는 반드시 제공업체에서 제시하는 주의사항을 확인하고 정보시스템의 중요도와 특성을 고려하여 위험도 분석 등 충분하게 영향을 분석한 후 적용하여야 한다.

  ③ 현재 시스템이 운영 중일 때에는 가능한 업무가 이루어지지 않는 시간에 설치하여야 한다.

  ④ 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 정보보안관리자에게 통지하고 그 현황을 관리하여야 한다.

  ⑤ 통제구역(전산장비실 등)에 있는 서버, 네트워크 장비, 정보보호시스템 등에 관련 패치를 적용하여야 할 경우 공개 인터넷 접속을 통한 패치적용은 원칙적으로 금지한다. 다만 불가피한 경우 사전 위험분석을 통해 보호대책을 마련하여 정보보안담당관의 승인 후 적용하여야 한다.

제57조(매체 관리) ① 교직원은 하드디스크 등 전자정보 저장매체를 불용처리(교체·반납·양여·폐기 등) 하고자 할 경우에는 부서별 정보보안관리자의 승인 하에 저장매체에 수록된 자료가 유출되지 않도록 보안조치 하여야한다.

  ② 저장매체 폐기 시 부서별 정보보안관리자는 폐기일자, 폐기 담당자, 확인자명, 폐기방법, 폐기확인증적(사진 등) 등이 포함된 관리대장을 작성하고 상위 책임자가 확인하여야 한다.

  ③ 매체에 저장되어 있는 중요 정보의 파기 시 복원이 불가능한 형태로 영구 삭제하여야 한다. 이 경우 로우레벨 포맷을 하거나 의미 없는 데이터를 여러 번 덮어쓰는 방법(Overwrite) 등으로 파기하여야 한다.

  ④ 아웃소싱등 외부업체를 통해 저장매체를 폐기할 경우, 내부 폐기정책과 절차 내용을 계약서에 명시하고 폐기 시 가능하면 외부업체와 함께 현장에서 함께 폐기현장을 실사하고 폐기증적을 사진, 동영상 등으로 받아 확인하여야 한다.

제58조(정보시스템 변경관리) ① 부서별 정보보안관리자는 정보시스템에 대한 다음과 같은 중요 변경사항 발생 시 변경내역, 일시 등을 기록하여 관리하여야 한다.

  1. 하드웨어의 추가 및 제거

  2. 시스템 소프트웨어의 추가 및 제거

  3. 서버 운영 및 정보보안에 중요 영향을 줄 수 있다고 판단되는 경우

  ② 부서별 정보보안관리자는 정보시스템 변경 내역을 주기적으로 검토하여야 한다.

  ③ 정보시스템을 유지 보수하는 경우 다음 각 호를 고려하여 유지보수 업무를 수행하여야 한다.

  1. 유지보수 인력에 대해 보안서약서 집행, 보안교육 등을 포함한 유지보수 인가절차를 마련하고 인가된 유지보수 인력만 유지보수에 참여한다.

  2. 결함이 의심되거나 발생한 결함, 예방 및 유지보수에 대한 기록을 보관한다.

  3. 유지보수를 위해 원래 설치장소 외 다른 장소로 정보시스템을 이동할 경우, 통제수단을 강구한다.

  4. 정보시스템의 유지보수 시에는 일시, 담당자 인적사항, 출입 통제조치, 정비내용 등을 기록·유지하여야 한다.

  5. 개인정보처리시스템의 유지보수는 개인정보보호 규정, 개인정보 내부관리계획 시행세칙 및 관계법령을 준수하여야 한다.

  ④ 부서별 정보보안관리자는 정기적으로 정보시스템 정비를 실시하고 관련 기록을 보관하여야 한다.

  ⑤ 부서별 정보보안관리자는 정보시스템의 변경이 발생할 경우 정보시스템의 설계·코딩·테스트·구현과정에서의 보안대책을 강구하며 정보보안관리자에게 해당 사실을 통보하여야 한다.

  ⑥ 부서별 정보보안관리자는 유지보수와 관련된 장비·도구 등을 반·출입할 경우, 악성코드 감염여부, 자료 무단반출 여부를 확인하는 등 보안조치를 수행하여야 한다. 이 경우 정보보안관리자는 부서별 정보보안관리자가 수행한 사항이 적절한지 확인하고 시정조치를 권고할 수 있다.

  ⑦ 부서별 정보보안관리자는 외부에서 원격으로 정보시스템을 유지보수 하는 것을 원칙적으로 금지하여야 하며 부득이한 경우에는 정보보안관리자와 협의하여 자체 보안대책을 강구한 후 한시적으로 허용할 수 있다.

제2절 사용자 계정관리 

제59조(사용자 계정 등록) ① 사용자는 사용자 계정 및 비밀번호와 관련한 일체의 보안관리 책임을 가진다.

  ② 부서별 정보보안관리자는 교직원에게 정보시스템 접속에 필요한 사용자계정(ID) 부여 시 비인가자 도용 및 정보통신시스템 불법 접속에 대비하여 다음 각 호의 사항을 반영하여야 한다.

  1. 사용자별 또는 그룹별로 접근권한 부여

  2. 외부인에게 계정 부여는 불허하되 업무상 불가피 시 부서별 정보보안관리자 책임 하에 필요업무에 한해 특정기간 동안 접속토록 하는 등 보안조치 강구 후 허용

  3. 비밀번호 등 사용자 식별 및 인증 수단이 없는 사용자계정 사용 금지

  ③ 부서별 정보보안관리자는 정보시스템의 관리자 계정 발급 현황을‘관리자계정관리대장”에 기록하여 관리하여야 한다. 단, 정보시스템에 관리자계정 목록이 전자문서 형태로 보존？조회되는 경우 관리자계정관리대장의 기록을 생략할 수 있다.

  ④ 부서별 정보보안관리자는 정보시스템에 5회 이상에 걸쳐 로그인 실패 시 정보시스템 접속을 중단시키도록 시스템을 설정하고 비인가자의 침입 여부를 확인 점검하여야 한다.

  ⑤ 부서별 정보보안관리자는 사용자 계정의 부여 및 관리가 적절한지 주기적으로 점검하여야 한다. 이 경우 정보보안관리자는 부서별 정보보안관리자가 수행한 사항이 적절한지 확인하고 시정조치를 권고할 수 있다.

  ⑥ 사용자 계정 등록 시 다음과 같은 사항을 준수하여야 한다.

  1. 비밀번호가 없는 계정 및 계정과 동일한 비밀번호의 사용을 금지한다.

  2. 계정은 1인 1계정을 사용하여야 하며 공유를 금지한다.

  3. 일반 사용자의 계정에 관리자 권한의 부여를 금지한다.

  4. 시스템의 초기 설치 시 제공되는 기본계정이나 유지보수를 위한 업체의 계정은 삭제하는 것을 원칙으로 한다. 단, 부득이한 경우에는 정보보안담당관의 승인을 받아 예외로 취급할 수 있다.

  ⑦ 정보시스템 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 기록, 3년 이상 보관하고 부서별 정보보안관리자는 주기적으로 계정 이력의 적정성 여부를 점검하여야 한다.

  ⑧ 사용자 계정의 적정성 점검 결과 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 즉시 조치하고 원인 분석과 보완책 마련 후 해당 사용자, 소속팀장 및 관련 분임정보보안관리자에게 통지하여야 한다.

제60조(사용자 비밀번호 관리) ① 사용자는 비밀번호 설정？사용 시 정보시스템의 무단사용 방지를 위하여 다음 각 호와 같이 구분하여야 한다.

  1. 비인가자의 정보통신시스템 접근방지를 위한 장비 접근용 비밀번호

  ② 설정되는 모든 비밀번호는 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 한다.

  1. 10자리 이상 : 영문자, 숫자 및 특수문자 중 2종류 이상 적용

  2. 8자리 이상 : 영문자, 숫자 및 특수문자 중 3종류 이상 적용

  ③ 서버에 등록된 비밀번호는 암호화하여 저장하여야 한다.

  ④ 관리자에게 임시 비밀번호를 부여 받은 경우 처음 로그인 시 비밀번호를 변경해야 한다.

  ⑤ 생성된 비밀번호는 최소 6개월 이내에 반드시 1회 이상 변경하여야 하며, 변경 전과 변경 후 비밀번호는 동일할 수 없다.

  ⑥ 제조사의 기본 계정은 삭제하거나 비밀번호 변경 후 사용해야 한다.

  ⑦ 교직원은 자신의 비밀번호를 비밀로 유지하고 타인에게 노출되지 않도록 해야 한다.

  ⑧ 비밀번호를 별도의 문서에 적어 놓거나 보호되지 않은 형태로 PC 및 노트북 등에 저장해서는 안 된다.

  ⑨ 비밀번호가 타인에게 노출되었거나 노출이 우려될 경우 즉시 비밀번호를 변경해야 한다.

제61조(사용자 계정 삭제) ① 부서별 정보보안관리자는 교직원의 퇴직 또는 보직변경 발생 시 사용하지 않는 사용자계정을 신속히 삭제하고, 특별한 사안이 없는 한 유지보수 등을 위한 외부업체 직원에게 관리자계정 제공을 금지하여야 한다.

  ② 휴직, 사용하지 않는 계정 등 일정기간 이상 로그인하지 않은 계정에 대해 다음 각 호의 조치를 이행하여야 한다.

  1. 휴직의 경우 휴직기간동안 주요 정보시스템에 접근을 제한하여야 한다.

제62조(이용자 비밀번호) ① 이용자는 비밀번호 설정사용 시 정보시스템의 무단사용 방지를 위하여 다음 각 호의 사항을 반영하여야 한다.

  1. 영문자, 숫자 및 특수문자 중 두 종류를 포함하여 10자리, 또는 세 종류를 포함하여 8자리 이상으로 생성

  2. 6개월마다 비밀번호 변경

  3. 이전 비밀번호와 동일한 신규 비밀번호 등록 금지

  ② 이용자 계정에 5회 이상 비밀번호 입력 오류 발생 시 정보시스템 접속을 중단시키도록 한다.

제3절 접근통제

제63조(정보시스템 접근통제) ① 정보시스템에 대한 접근권한은 업무상 필요한 최소 범위로 제한하여 부여하여야 한다.

  ② 부서별 정보보안관리자는 서버를 도입·운용할 경우, 정보보안관리자와 협의하여 해킹에 의한 자료 절취, 위·변조 등에 대비하여 다음 각 호의 내용을 포함한 보안대책을 수립·시행하여야 한다.

  1. 서버 내 저장자료에 대해 업무별·자료별 중요도에 따라 사용자의 접근권한을 차등 부여

  2. 사용자별 자료의 접근범위를 서버에 등록하여 인가여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제

  3. 서버 운용에 필요한 서비스 포트 외에 불필요한 서비스 포트 제거 및 관리용 서비스와 사용자용 서비스를 분리 운용

  4. 서버 설정 정보 및 서버에 저장된 자료에 대해서는 정기적으로 백업을 실시하여 복구 및 침해행위에 대비

  5. 데이터베이스에 대하여 사용자의 직접적인 접속을 차단하고 개인정보와 같은 중요정보를 암호화하는 등 데이터베이스별 보안조치를 실시. 단, 개인정보를 처리하는 데이터베이스는 개인정보보호내부관리계획에서 정한 사항도 준수해야 한다.

  6. 서버 사용자 접속 후 일정시간 사용이 없으면 연결을 종료(세션 타임아웃 시간 설정)하여야 한다.

  7. 외부에 서비스를 제공하는 웹, 민감한 정보를 보관 ？ 처리하고 있는 DB와 응용프로그램 등은 공용 장비로 사용하지 않고 독립된 서버를 사용하여야 한다.

  8. 외부와 직접적인 연결이 불필요한 서버(DB서버 등)는 모든 외부 인터넷 접속을 차단하여야 한다.

  ③ 부서별 정보보안관리자는 제1항의 각호에서 수립한 보안대책의 적절성을 수시로 확인하고, 주기적으로 서버 설정 정보 및 저장자료의 절취, 위·변조 가능성 등 보안취약점을 점검하여야 한다. 이 경우 정보보안관리자는 부서별 정보보안관리자가 수행한 사항이 적절한지 확인하고 시정조치를 권고할 수 있다.

  ④ 부서별 정보보안관리자는 정보시스템에 대하여 다음 각 호의 접근통제 방안을 수립하여 적용하여야 한다.

  1. 시스템 접속은 계정과 비밀번호를 이용하고, 필요 시 보다 강화된 인증 방식을 적용할 수 있다.

  2. 관리자 계정(Root 등)을 이용한 시스템에 대한 직접 접근은 제한하고, 일반 사용자 계정으로 접속 후 권한 변경을 통해 이용하여야 한다.

  3. 업무망을 통해 원격으로 정보시스템(서버, 네트워크 장비, 정보보안시스템 등)을 운영하거나 관리자 전용 응용프로그램(관리자 페이지, 관리 콘솔 등)에 접속하는 경우 지정된 단말을 통해서만 접근 할 수 있도록 사전에 승인된 IP 또는 MAC 주소에서만 접근할 수 있어야 한다.

  4. 패드, 스마트폰 등 스마트기기를 통한 정보시스템 원격운영은 원칙적으로 금지한다. 다만 부득이한 경우 스마트기기에 대한 보안대책을 마련하고 정보보안담당관의 승인 후 사용하여야 한다.

  ⑤ 정보시스템에 화면보호기를 사용하여야 하고, 화면보호기에는 비밀번호를 설정하여야 한다. 단, 지속적인 모니터링 등 서비스 운영에 필요한 경우 화면보호기 설정을 하지 않을 수 있다.

 ⑥ 부서별 정보보안관리자는 주기적으로 사용자의 접근권한을 검토하여야 한다.

 ⑦ 정보시스템 관리 및 유지보수 목적상 외부자에게 계정 발급이 필요한 경우 부서별 정보보안관리자의 승인을 받아 발급할 수 있으며 한시적으로 접근을 허용하여야 한다.

제64조(정보시스템 원격접근통제) ① 부서별 정보보안관리자는 관리하고 있는 정보시스템에 대하여 원격접속을 차단하여야 한다. 단, 시스템 유지보수 및 성능 관리를 위한 경우 부서별 정보보안관리자의 승인을 얻어 한시적으로 접근을 허가할 수 있다.

제65조(공개서버 보안) ① 부서별 정보보안관리자는 외부인에게 공개할 목적으로 설치되는 웹서버 등 공개서버를 도입하는 경우 분임정보관리자와 협의하여 내부망과 분리된 영역(DMZ)에 설치·운용할 수 있도록 하여야 한다.

  ② 정보보안담당관는 비인가자의 서버 저장자료 절취, 위·변조 및 분산서비스거부(DDoS) 공격 등에 대비하기 위하여 국가정보원이 안전성을 검증한 침입차단·탐지 시스템 및 DDoS 대응시스템을 설치하는 등 보안대책을 강구하여야 한다.

  ③ 부서별 정보보안관리자는 비인가자의 공개서버 내에 비공개 정보에 대한 무단 접근을 방지하기 위하여 서버에 접근 사용자를 제한하고 불필요한 계정을 삭제하여야 한다.

  ④ 공개서버의 서비스에 필요한 프로그램을 개발하고 시험하기 위해 사용된 도구(컴파일러 등)는 개발 완료 후 삭제를 원칙으로 한다.

  ⑤ 공개서버의 보안관리에 관련한 그 밖에 사항에 대해서는 제8장 정보시스템 보안관리를 따른다.

제66조(홈페이지 게시자료 보안) ① 교직원은 개인정보, 비공개 공문서 및 민감내용 등이 포함된 자료를 홈페이지에 공개하여서는 아니 된다.

  ② 홈페이지에 정보를 게시하고자 하는 경우 교직원은은 부서별 정보보안관리자와 사전 협의하여 비밀 등 비공개 자료가 홈페이지에 게시되지 않도록 하여야 한다.

  ③ 교직원은 인터넷 블로그·카페·게시판·개인 홈페이지 또는 소셜네트워크 서비스(SNS) 등 일반에 공개된 전산망에 업무관련 자료를 무단 게재하여서는 아니 된다.

  ④ 부서별 정보보안관리자는 홈페이지 등에 비공개 내용이 게시되었는지 여부를 주기적으로 확인하여야 하며, 개인정보를 포함한 중요정보가 홈페이지에 공개되지 않도록 보안교육을 주기적으로 실시하여야 한다.

  ⑤ 부서별 정보보안관리자는 홈페이지에 중요정보가 공개된 것을 인지할 경우 이를 즉시 차단하는 등의 보안조치를 강구 시행하고, 신속히 정보보안관리자에게 신고하여야 한다.

제67조(전자우편시스템 보안) ① 정보보안담당관는 웜·바이러스 등 악성코드로부터 사용자 PC 등 업무용 전자우편 시스템 일체를 보호하기 위하여 국가정보원이 안전성을 확인한 백신, 바이러스 월(Wall), 해킹메일 차단시스템을 구축하는 등 보안대책을 강구할 수 있다.

제68조(원격근무 보안) ① 정보보안담당관은 재택·파견·이동근무 등 원격 근무를 지원하기 위한 정보시스템을 도입·운영할 경우 다음 각 호의 사항을 포함한 보안대책을 구축·운영하여야 한다.<개정 2021. 6. 22>

  1. 검증필 암호모듈이 탑재된 정보보호시스템을 사용해 원격근무시스템과 원격근무자의 단말기 간 소통구간 암호화

  2. 문서 암호화제품(DRM) 사용 등 문서 보호대책 강구

  3. 원격근무자를 식별ㆍ인증하기 위하여 공동인증서, 생체인증 기술 및 일회용 비밀번호 생성기(OTP) 등 보안성을 강화한 사용자 인증방식 적용

  4. 원격근무자로 하여금 원격근무시스템 접속과정에서 제1호부터 제3호까지의 보안대책을 준수토록 조치

  5. 원격근무시스템에 대한 보안취약점 정기 점검

  ② 정보보안담당관는 원격근무 가능 업무 및 공개 비공개 업무 선정기준을 수립하되 대외비 이상 비밀자료를 취급하는 업무는 원격근무 대상에서 원칙적으로 제외하되 반드시 수행해야 하는 경우 보안대책 강구 후 수행여부를 결정한다.

  ③ 정보보안담당관는 모든 원격근무자에게 보안서약서를 징구하고 원격근무자의 업무변경·인사이동·퇴직 등 상황 발생 시 정보시스템 접근권한 재설정 등 관련 절차를 수립하여야 한다.

  ④ 교직원은 원격근무 시 해킹에 의한 업무자료 유출을 방지하기 위하여 작업수행 전 백신으로 원격근무용 PC 점검·업무자료 저장금지 등 보안조치를 수행하여야 한다.

  ⑤ 원격근무하는 교직원은 정보시스템 고장 시 정보유출 방지 등 보안대책을 강구한 후 정보보안관리자와 협의하여 정비·반납 등의 조치를 취하여야 한다.

  ⑥ <삭제 2021. 6. 22>

  ⑦ <삭제 2021. 6. 22>

제4절 네트워크 관리

제69조(네트워크 연결 통제 및 제한) ① 모든 네트워크는 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제하여야 한다. 특히 외부(인터넷)로부터의 불법적인 접근 및 침해시도를 방지하기 위해 침입차단 시스템 등을 통하여 내부 네트워크 접근은 더욱 엄격하게 통제하여야 한다.

  ② 외부로부터의 접근이 불가피한 웹서버, 메일서버 등의 공개용 서버는 DMZ 영역에 위치시키고 공개서버를 경유하여 내부 업무망으로의 접근이 이루어지지 않도록 접근통제를 수행하여야 한다.

  ③ 내부 서비스용 서버들이 위치하는 영역은 다른 네트워크 영역과 구분되고 인가받은 내부사용자의 접근만을 허용하도록 접근통제 정책을 적용하여야 한다.

  ④ 조직의 중요정보가 저장된 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리하거나 적절한 보호대책을 적용하여야 한다.

  ⑤ 서버, 보안장비, 네트워크장비 등을 운영하는 인력이 사용하는 네트워크 영역은 별도로 분리하여야 한다.

  ⑥ 개발업무(개발자PC, 개발서버, 테스트서버 등)에 사용되는 네트워크는 별도망으로 구성하여 운영에 사용되는 네트워크와 분리하여야 한다.

  ⑦ 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영하여야 한다.

  ⑧ 주요 정보시스템의 주소 체계는 사설 IP주소 체계를 사용하고 내부 주소체계를 외부에 유출되지 않도록 하여야 하며 외부 네트워크와의 연결지점에 NAT(Network Address Translation) 기능을 적용하여야 한다.

  ⑨ 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 보안성을 강화하여야 한다.

제70조(네트워크 관리) ① 부서별 정보보안관리자는 라우터, 스위치 등 네트워크 장비운용과 관련하여 다음 각 호의 보안조치를 강구해야 한다.

  1. 네트워크 장비에 대한 원격접속은 원칙적으로 금지하되, 불가피할 경우 장비 관리용 목적으로 특정 IP·MAC 주소에서의 접속은 허용

  2. 물리적으로 안전한 장소에 설치하여 비인가자의 무단접근 통제

  3. 네트워크 장비 등 신규 전산장비 도입 시 생성되는 기본(default) 계정을 삭제 또는 변경하고 시스템 운영을 위한 관리자 계정을 별도 생성

  4. FTP 등 불필요한 서비스 포트 및 사용자 계정 차단·삭제

  ② 부서별 정보보안관리자는 라우터 등 중요 네트워크장비의 접속기록을 3개월 이상 유지하여야 한다.

  ③ 비인가자의 불법적인 시스템 접속 및 서비스 중지 등을 방지하기 위해 업무적으로 불필요한 사용자의 네트워크 접속을 금지하여야 한다.

  ④ 네트워크 장비의 도입 및 설치, 성능관리, 장애관리, 로그관리, 변경관리, 계정 등록, 비밀번호 관리 등은 제2절 시스템운영관리와 제3절 사용자 계정관리 내용을 따른다.

제71조(접근통제정책 관리) 부서별 정보보안관리자는 네트워크 장비의 접근통제정책(보안정책)의 등록, 변경, 삭제 내역 등을 문서화하여 관리하여야 한다. 이에 대한 세부 내용은 제5절 정보보안시스템 관리 내용을 따른다.

제72조(무선네트워크 접근통제) ① 부서별 정보보안관리자는 공식적이고 상시적인 무선 네트워크(와이파이 등)을 사용하여 업무자료를 소통하고자 할 경우 자체 보안대책을 수립하여 관련 사업 계획단계(사업 공고 전)에서 자체적으로 보안성 검토를 실시하여야 한다. 임시적 목적의 사용은 예외로 한다.

  ② 부서별 정보보안관리자는 제1항의 보안대책 수립 시, 다음 각 호의 사항을 포함하여야 한다.

  1. WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화(국가정보원장이 승인한 암호논리 사용)

  2. MAC 주소 및 IP 주소 필터링 설정

  3. RADIUS(Remote Authentication Dial-In User Service) 인증 사용

  4. 무선단말기·중계기(AP) 등 무선랜 구성요소별 분실·탈취·훼손·오용 등에 대비한 관리적·물리적 보안대책

  5. 그 밖에 무선랜 보안 대책 강구

  ③ 교육 목적으로 무선인터넷을 사용하는 경우 본 대학교 전역에 무선인터넷 관련 장비 설치가 가능하다.

  ④ 부서별 정보보안관리자는 제3항부터 제6항까지와 관련한 보안관리의 적절성을 수시로 점검·보완하여야 한다. 이 경우 정보보안관리자는 시스템관리자가 수행한 사항이 적절한지 확인하고 시정조치를 권고할 수 있다.

제5절 정보보안시스템 관리

제73조(정보보안시스템 설치 및 관리) ① 인터넷과 같은 외부 네트워크와 연결된 지점에는 침입차단시스템 등을 설치하여 접근통제를 강화해야 한다.

  ② 정보보안시스템의 도입 및 설치, 성능관리, 장애관리, 로그관리, 변경관리, 계정 등록, 비밀번호 관리 등은 제1절 시스템운영관리와 제2절 사용자 계정관리 내용을 따른다.

제74조(접근통제정책 관리) ① 정보시스템을 운영하는 부서에서는 정보보안시스템 보안정책(ACL) 등록 신청서를 작성하여 부서별 정보보안관리자에게 제출하고, 부서별 정보보안관리자는 업무상 필요 여부를 검토하여 신청을 승인하여야 한다.

  ② 정보통신처에서 관리하는 정보보안시스템에 접근통제정책을 등록해야 하는 경우 정보보안시스템 보안정책 등록 신청서를 부서별 정보보안관리자의 승인을 득한 후 분임정보보안관리자에게 제출해야 한다.

제75조(스마트폰 등 모바일 행정업무 보안) 정보보안담당관는 스마트폰 등을 활용하여 내부행정업무와 현장행정업무 및 서비스업무 등 모바일 업무환경을 구축할 경우 보안대책을 수립·시행하여야 한다.

제6절 암호 관리

제76조(암호화 기술 선택 기준) ① 암호화 기술은 기밀 데이터의 보안, 성능, 호환성 및 목적 등을 고려하여 정보보안관리자가 선택 및 검토하고, 정보보안담당관가 최종 승인한다. 시스템 관리 및 기술적 한계 등으로 적용이 불가능한 경우 정보보안관리자의 승인을 받아 예외로 할 수 있다.

  ② 암호화 기술 선정과 관련된 세부사항은 정보보안담당관이 별도로 정한다.

제77조(암호화 기술 적용 대상) 정보보안담당관는 데이터 저장 시 또는 네트워크를 통해 데이터 송수신 시 암호화해야 하는 중요 정보를 정할 수 있다. 단, 개인정보 암호화는 개인정보 내부관리계획 시행세칙에서 정한 사항에 따른다.

제78조(단말기 저장시 암호화) ① PC 또는 노트북 등에 암호화 대상 정보를 저장할 경우 파일을 암호화하여 저장하여야 한다.

  ② 이동식 저장매체에 암호화 대상 정보를 저장할 경우 암호화 기능을 제공하는 보안 USB 등의 저장매체들은 인증 비밀번호를 설정하고 디스크 암호화 프로그램을 사용한다. 단, 보안 기능이 없거나 디스크 암호화 프로그램을 사용하지 않는 경우에는 폴더나 파일을 암호화한 후에 저장하여야 한다.

제79조(송수신시 암호화) ① 네트워크를 통해 암호화 대상 정보를 송수신할 때에는 보안서버 등을 이용하여 암호화해야 한다.

  ② 메일의 경우 이메일 보안 프로토콜(PGP 등)을 사용하거나 메일 암호화 프로그램을 사용한다. 추가적인 프로그램을 사용하지 않는다면 메일 클라이언트 소프트웨어에서 제공하는 메일 암호화 기능을 사용한다.

  ③ 메신저의 경우 기본적으로 제공하는 대화 또는 파일 암호화 기능을 사용하거나, 추가적인 암호화 프로그램을 사용한다.

제80조(암호화 키 관리) ① 중요 정보를 암호화할 경우 정보보안담당관의 승인을 받아 암호화 키를 생성하고 암호 키 관리대장에 기록한다. 암호화 키 관리의 대상은 1등급 데이터를 대상으로 한다.

  ② 승인 받지 않은 사용자의 암호화 키에 대한 접근을 통제해야 하며, 부서별 정보보안관리자가 통제구역 등에 안전하게 관리해야 한다.

  ③ 암호화 키는 노출 위협에 대비 하여 주기적으로 변경해야 한다. 단 정보보안담당관가 암호화 키 변경이 필요 하다고 판단 될 경우 변경 할 수 있다.

  ④ 기타 암호화 키 생성, 운영, 폐기에 관한 세부사항은 정보보안담당관가 별도로 정한다.

제7절 취약점 점검

제81조(취약점 점검 계획 수립) ① 정보보안담당관는 종합정보시스템, 본 대학교 대표홈페이지 등 자체 정보통신망을 대상으로 매년 정기적으로 보안취약성 점검을 실시하기 위하여 정보보안관리자에게 취약점 점검 계획을 수립하도록 하여야 한다.

  ② 정보보보안책임자는 학생 또는 외부고객 대상으로 대외서비스를 제공하는 경우 해당부서의 부서별 정보보안관리자에게 매년 보안감사계획 수립 시 취약점 점검 계획도 수립하도록 요구하여야 한다.

  ③ 정보보안담당관는 보안취약성 진단과 보안관리 개선을 위하여 교육부장관에게 지도방문을 요청할 수 있다.

제82조(취약점 점검) ① 취약점 점검은 정보시스템과 개인정보취급자 단말기를 대상으로 한다.

  ② 정보보안담당관는 취약점 점검 결과를 해당 부서(팀)장 및 부서별 정보보안관리자에게 통보하여 사후조치되도록 하여야 한다.

  ③ 부서별 정보보안관리자는 보완 조치의 이행 여부를 확인하여야 한다.

  ④ 부서별 정보보안관리자는 취약점 점검 후 점검 결과와 보완조치 결과를 정보보안관리자에게 제출하여 정보보안담당관의 승인을 받도록 하여야 한다.

  ⑤ 부서별 정보보안관리자는 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 원인을 찾아 보호대책을 마련하여야 한다.

  ⑥ 자산별 취약점 이력 관리를 하여야 한다.

제9장 PC보안

제83조(PC 사용자 책임) ① 단말기 사용자는 PC·노트북·스마트기기 등 업무수행에 필요한 단말기(이하 "PC 등"이라 한다) 사용과 관련한 일체의 보안관리 책임을 가진다.

제84조(화면보호기) ① 교직원은 모든 PC 및 노트북 등의 단말기에 화면보호기(30분)를 사용하여야 하고, 화면보호기에는 비밀번호를 설정하여야 한다.

  ② 시스템 관리 및 유지보수 목적상 필요한 경우 부서별 정보보안관리자의 승인을 받아 예외로 할 수 있다.

제85조(공유금지) ① 업무상 필요한 경우를 제외하고는 폴더 또는 파일을 공유하지 않아야 하며 부득이 하게 공유할 경우 비밀번호를 설정해야 한다. 단, windows 운영체제(OS)에서 제공하는 공유폴더는 사용하여서는 아니 된다.

  ② 공유는 최소한의 폴더 또는 파일만 공유해야 한다.

제86조(전자메일 보안) ① 교직원은 메일 발송 시 메일 내용에 본 대학교의 비밀정보 또는 중요 개인정보를 포함해서는 아니 된다.

  ② 본 대학교 전자우편으로 송·수신한 업무자료는 열람 등 활용 후 메일함에서 즉시 삭제하여야 한다.

  ③ 교직원은 메일에 포함된 첨부파일이 자동 실행되지 않도록 설정하고 첨부파일 다운로드 시 반드시 최신백신으로 악성코드 은닉여부를 검사하여야 한다.

  ④ 교직원은 출처가 불분명하거나 의심되는 제목의 전자우편은 열람을 금지하고 해킹메일로 의심되는 메일 수신시에는 즉시 정보보안관리자에게 신고하여야 한다.

제87조(바이러스 예방 및 탐지) ① 부서별 정보보안관리자는 웜·바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호와 같은 대책을 수립·시행하여야 한다.

  1. 교직원은 PC에서 작성하는 문서·데이터베이스 작성기 등 응용프로그램을 보안패치하여야 한다.

  2. 교직원은 백신 프로그램이 PC 및 노트북 부팅 시 자동으로 실행되도록 하여야 한다.

  3. 교직원은 백신 프로그램을 최신상태로 유지하기 위해 자동 업데이트 기능을 사용하거나 일 1회 이상을 정기적으로 업데이트하여야 한다.

  4. 교직원은 바이러스 백신 프로그램을 이용하여 PC 및 노트북 등을 주 1회 이상 정기적으로 점검해야 한다.

  5. 교직원은 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램 사용을 금지하고 인터넷 등 상용망으로 자료 입수 시 신뢰할 수 있는 인터넷사이트를 활용하되 최신 백신으로 진단 후 사용하여야 한다.

  6. 교직원은 인터넷 파일공유 프로그램과 메신저·대화방 프로그램 등 업무상 불필요한 프로그램을 사용 금지하고 부서별 정보보안관리자는 인터넷 연동구간의 침입차단시스템 등에서 관련 사이트 접속을 차단하도록 보안설정 하여야 한다.

  7. 교직원은 웹브라우저를 통해 서명되지 않은(Unsigned) Active-X 등이 PC내에 불법 다운로드 되고 실행되지 않도록 보안 설정하여야 한다.

  ② 교직원은 PC에 악성코드가 설치되거나 감염된 사실을 발견하였을 경우에 다음 각 호의 조치를 하여야 한다.

  1. 악성코드 감염원인 규명 등을 위하여 파일 임의삭제 등 감염 시스템 사용을 중지하고 전산망과의 접속을 분리한다.

  2. 악성코드의 감염확산 방지를 위하여 부서별 정보보안관리자에게 관련 사실을 즉시 보고하여야 한다.

  ③ 부서별 정보보안관리자는 제1항 제1호부터 제7호까지의 보안대책과 관련하여 협조가 필요한 경우 정보보안관리자에게 보안기술 지원을 요청할 수 있다.

제88조(보조저장매체 관리) ① 부서별 정보보안관리자는 휴대용 저장매체를 사용하여 중요 업무자료를 보관할 필요가 있을 때에는 위변조, 훼손, 분실 등에 대비한 보안대책을 강구하여 정보보안담당관의 승인을 받아야 한다.

  ② 부서별 정보보안관리자는 휴대용 저장매체를 비밀용, 일반용으로 구분하고 주기적으로 수량 및 보관 상태를 점검하며 반출·입을 통제하여야 한다.

  ③ 부서별 정보보안관리자는 사용자가 USB 메모리를 PC 등에 연결 시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안 설정하여야 한다.

  ④ 부서별 정보보안관리자는 사용자의 휴대용 저장매체 무단 반출 및 미등록 휴대용 저장매체 사용 여부 등 보안관리 실태를 주기적으로 점검하여야 한다. 이 경우 정보보안관리자는 부서별 정보보안관리자가 수행한 사항이 적절한지 확인하고 시정조치를 권고할 수 있다.

  ⑤ 그 밖에 휴대용 저장매체의 보안관리에 관련한 사항은 교육부 정보보안 기본지침의 USB메모리 등 휴대용 저장매체 보안관리 지침을 준용한다.

제89조(불법 소프트웨어 사용금지) ① 교직원은 반드시 허가된 소프트웨어만을 설치하여 사용해야 하며, 비인가 및 불법 소프트웨어의 설치를 금지한다.

  ② 교직원은 정보시스템을 침해하거나 우회할 수 있는 소프트웨어를 임의로 설치하거나 사용해서는 안 된다.

제90조(단말기 반출？입) ① 업무용 PC, 노트북 등에 설치 또는 부착된 하드웨어를 임의로 변경, 제거하거나 교외로 반출해서는 안된다.

  ② 교직원은 PC 등을 본 대학교 외부로 반출하거나 내부로 반입할 경우에 부서별 정보보안관리자와 협의하여 최신 백신 등을 활용하여 해킹프로그램 및 웜바이러스 감염여부를 점검하여야 한다.

  ③ 교직원은 등 단말기를 교체·PC·반납·폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 관리책임자와 협의하여 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치 하여야 한다.

  ④ 개인소유의 스마트폰을 제외한 등 단말기를 무단 반입하여 사용하여서는 아니 된다. 다만, 부득이한 경우에는 부서별 정보보안관리자의 승인을 받아 사용할 수 있다.

제91조(클린데스크) ① 자리 이석 시 책상 위에 중요정보 또는 개인정보가 포함된 문서나 저장매체를 방치해서는 아니된다.

  ② 단말기에 중요 내용이 담긴 화면을 띄워놓고 이석하지 않도록 하여야 한다.

  ③ 공용PC, 복합기, 회의실 등 공용공간에 대하여도 제1항을 준용한다.

제92조(정보보안점검 및 관리) ① 정보보안담당관는 매월 세 번째 수요일을 '사이버보안진단의 날'로 지정·운영하여야 한다.

  ② 정보보안담당관는 '사이버보안진단의 날' 운영에 대하여 계획을 수립하고 소관 정보보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하여야 한다.

  ③ 정보보안담당관는 제1항 및 제2항의 보안진단 결과를 정보보안업무 심사분석에 포함하여야 한다.

제10장 침해사고대응

제1절 침해사고 종류

제93조(침해사고의 종류 및 중요도 평가) ① 침해사고는 사이버 침해사고와 개인정보 침해사고로 구분한다.

  ② 사이버 침해사고 발생으로 간주할 수 있는 적용 범위는 다음 각 호와 같다.

  1. 해킹, 웜바이러스 유포 등 사이버공격으로 인한 학교의 중요자료 유출 등 사이버 위기상황 발생 시

  2. 교육부의 사이버 위기 대응 활동에 부합하는 경우

  3. 사이버 공격이 광범위하게 발생하여 총괄·종합적인 대응이 필요한 경우

  ③ 사이버 침해사고는 그 위기형태에 따라 다음 각 호와 같이 분류할 수 있다.

  1. 인터넷을 통해 교내 전산망에 직접 침투하여 전산망 교란 및 재침투를 위한 백도어를 설치

  2. 홈페이지, 메신저, 전자우편 등을 활용하여 악성코드를 유포하고 교내 정보시스템 및 PC에 저장된 데이터 및 개인정보를 조작·파괴·은닉·절취 및 탈취

  3. 봇넷(Botnet) 구축 등 서비스거부공격을 통해 대량 데이터전송·부정명령 등으로 시스템 및 전산망의 정상동작을 방해

  4. 국가 사이버 위기 경보 발령

제2절 사이버 침해사고 대응

제94조(침해사고 대응팀 구성) ① 정보보안담당관는 중요 침해사고 발생 시 침해사고 대응팀을 구성하여 대응하여야 한다.

  ② 침해사고 대응팀은 전문 지식을 보유한 인원으로 구성하며, 외부 전문가를 참여시킬 수 있다.

  ③ 정보보안관리자는 침해사고 발생 시의 신속한 대응을 위해 비상연락체계를 수립하여야 한다.

  ④ 침해사고 대응과 관련한 구체적인 사안은 정보보안담당관가 별도로 정한다.

제95조(침해사고 예방) 부서별 정보보안관리자는 정보자산에 대한 침해사고 예방을 위해 다음 각 호의 활동을 수행하고 이를 정보보안관리자에게 보고한다.

  1. 정보시스템에 대한 주기적 점검 또는 실시간 모니터링을 수행하여 침해사고 여부를 확인한다.

  2. 정규 시간외의 시스템 사용자를 확인한다.

  3. 관리자 권한 외의 작업 수행 시도가 있었는지 점검한다.

  4. 보안 관련 파일의 수정 및 수정 시도가 불법적으로 이루어졌는지 점검한다.

  5. 허가가 안 된 파일, 서비스 및 기타 자원의 접근 시도를 확인한다.

  6. 네트워크 트래픽을 증가시키는 비정상적인 프로그램의 실행이 있는지 점검한다.

  7. 한 사용자가 동시에 많은 외부 접속을 시도하고 있는지 점검한다.

  8. 시스템의 비정상적인 동작이 있었다면 외부의 불법적인 침입이 있는지의 여부를 점검한다.

제96조(침해사고 보고) ① 부서별 정보보안관리자 및 교직원은 침해사고 발생 시 또는 발생이 의심되는 경우 지체 없이 정보보안관리자에게 보고하여야 한다.

  ② 정보보안관리자는 침해사고 발생 시 그 내용을 기록하고 정보보안담당관에게 보고한다. 

  ③ 정보보안담당관는 중요 침해사고 발생 시 정보보안전문위원회를 긴급 소집할 수 있다. 이 경우 정보보안담당관는 외부 기관에 협조를 요청할 수 있다.

제97조(침해사고 처리 및 복구) ① 부서별 정보보안관리자는 침해사고 대응 활동에 따른 절차 수행 후 정보시스템의 취약점 제거, 피해 시스템 복구, 관련 사항 보고 및 재발 방지를 위한 활동 등을 수행해야 한다.

  ② 부서별 정보보안관리자는 피해 시스템뿐만 아니라 유사 시스템에 대해서도 취약점을 제거해야 한다.

  ③ 부서별 정보보안관리자는 침해사고 처리 결과서를 작성하여 정보보안관리자 및 정보보안담당관에게 보고한다.

  ④ 정보보안관리자는 발생한 보안사고에 대해 적절한 대응 및 복구조치가 완료되었음을 확인하여야 한다.

  ⑤ 정보보안관리자는 사이버공격과 관련한 정보를 확인한 경우에는 피해를 최소화하는 조치를 취한 후 전화·팩스·이메일 등 통신수단을 활용하여 지체 없이 그 사실을 교육부장관 등 관련 기관의 장에게 통보하여야 한다.

  ⑥ 제5항에 따라 통보해야 할 사항은 다음 각 호와 같다.

  1. 대규모 사이버공격 발생시

  2. 사이버공격으로 인하여 피해가 발생하거나 피해 발생이 예상되는 경우

  3. 사이버공격이 확산될 우려가 있는 경우

  4. 그 밖에 사이버공격 계획 등 사이버안전에 위협을 초래할 수 있는 정보를 입수한 경우

  ⑦ 정보보안관리자는 교육부 정보보안기본지침의 정보보안 사고가 발생한 때에는 즉시 피해확산 방지를 위한 조치를 취하고 다음 각 호의 사항을 교육부장관 등 관련 기관의 장에게 통보하여야 한다. 이 경우, 사고원인 규명 시까지 피해 시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포맷하여서는 아니 된다.

  1. 일시 및 장소

  2. 사고 원인, 피해현황 등 개요

  3. 사고자 및 관계자의 인적사항

  4. 조치내용 등

  ⑧ 정보보안관리자는 규정에 의한 관련자 징계, 재발방지를 위한 보안대책의 수립·시행 등 사고조사 결과에 따라 필요한 조치를 이행하고 결과를 교육부장관 및 국가정보원장에게 제출하여야 한다.

제98조(재발방지) ① 정보보안관리자는 자체 정보통신망을 대상으로 주기적으로 사이버위기 대응 모의훈련을 실시하여야 한다.

  ② 정보보안담당관는 침해사고 분석 결과에 따라 필요시 침해사고 대응체계를 개선하여야 한다.

제11장 재해복구

제99조(업무영향분석) ① 부서별 정보보안관리자는 재해 및 재난이 업무에 미칠 수 있는 영향을 고려하여 매년 재해활동에 대한 업무영향평가를 수행하여야 한다.

  ② 업무영향분석 시 IT 서비스 및 시스템 중단시점부터 복구되어 정상가동 될 때까지의 복구목표시간(RTO : Recovery Time Objective)과 데이터가 복구되어야 하는 복구시점(RPO : Recovery Point Objective)을 정의하여야 한다.

제100조(업무절차 우선순위 설정) 정보보안관리자는 재해 발생 시 중요한 업무 기능을 지속적으로 유지하기 위하여 부서별 정보보안관리자와 협의를 통하여 각 업무 절차의 우선순위를 결정한다. 우선순위를 결정하는 기준은 다음과 같다.

  1. 본 대학교 존립에 영향을 미치는 업무

  2. 직접적으로 고객에 대한 서비스를 제공하는 업무

  3. 공공기관으로부터 제재를 유발하는 업무

  4. 과다한 비용을 유발하는 업무

  5. 기타 지원 업무

제101조(재해복구) ① 정보보안담당관는 시나리오, 일정, 방법, 절차 등을 포함하는 재해복구 훈련계획을 수립하여야 한다.

  ② 훈련계획에 따라 매년 정기적인 훈련을 실시하여야 한다.

  ③ 정보보안담당관는 훈련 결과와 정보시스템 환경, 법규 등의 변화를 반영하여 복구전략 및 대책을 매년 보완하여야 한다.

  ④ 정보시스템 재해 복구와 관련한 세부사항은 정보시스템 재해 복구 시행세칙에서 정한다.

제102조(준용) 기타 이 규정에 명시되지 아니한 경우는 개인정보보호법 및 동법 시행령, 정보통신망 이용촉진 및 정보보호에 관한 법률 및 동법 시행령, 교육부 정보보안 기본지침을 준용한다.

부 칙

① (시행일) 이 규정은 2019년 6월 26일부터 시행한다.

부 칙

① (시행일) 이 규정은 2021년 6월 22일부터 시행한다.

(별지 제1호 서식)

(별지 제2호 서식)

단말기 취급자 관리대장

○ 관리번호에는 PC 관리번호 기재

○ 확인란에는 관리책임자 승인 서명

(별지 제3호 서식)

전산장비 반？출입 관리대장

○ 관리번호에는 PC 일련번호 기재

○ 확인란에는 관리책임자의 승인 서명

○ 노트북PC 반？출입시 대장에 기재

○ 보안조치여부는 반입시에는 바이러스 프로그램 설치 등 기록하고, 반출시에는 하드디스크 포맷 등 기록

(별지 제4호 서식)

전산장비(비밀번호) 관리대장

○ 기종성능에는 단말기, PC, 서버 선택 기재

○ 비밀번호는 9자리이상 숫자와 문자, 특수문자 등으로 혼용하고, 분기1회 변경 사용

○ 확인란에는 관리책임자 승인 서명

○ 비밀번호는 사용자계정(id)와 동일하지 않을 것

              개인신상 및 부서명칭 등 관계가 없을 것

              동일단어 반복 및 숫자를 반복하여 사용하지 말 것

              이미 사용한 비밀번호는 재사용하지 말 것

              응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용금지

(별지 제5호 서식)

전산장비실 출입통제 관리대장

(별지 제6호 서식)

전산자료 백업 관리대장

(별지 제7호 서식)

사용자계정 관리대장

○ 업무명 :

(별지 제8호 서식)

보조기억매체 관리대장(일반용)

<관리책임자 :  ○○○>

(별지 제9호 서식)

보조기억매체 관리대장(비밀용)

<관리책임자 :  ○○○>

(별지 제10호 서식)

보조기억매체 관리대장(공인인증서용)

<관리책임자 :  ○○○>

(별지 제11호 서식)

보조기억매체 점검대장

<관리책임자 :  ○○○>

(별지 제12호 서식)

보조기억매체(전산장비 포함) 반출？입 대장

<관리책임자 :  ○○○>

<별지 제13호서식>

보조기억매체 라벨

                                         同 서식을 만들어 보조기억매체 중앙의

                                                 적절한 위치에 부착

            <디스켓, 이동형 HDD 서식>    

[보조기억매체 라벨 사용 像]

(별지 제14호 서식)

보조기억매체 불용처리 확인서

아래와 같이 보조기억매체 불용처리 및 보조기억매체 재사용에

대한 확인을 요청함

                확인일자 :      년     월     일

   요청자 : 소속？직책             성명 :       (인)

   확인자 : 팀장               성명 :       (인)

(별지 제15호 서식)

침입차단시스템 정책 추가/변경 요청서

    아래와 같이 침입차단시스템 정책 (추가/변경)을 요청하오니 조치하여 주시기 바랍니다.

                             요청일자 :         년       월      일

                             요 청 자 : 소속？직책  성명 :        (인)

                             확 인 자 :  소속？직책  성명 :       (인)

(별지 제16호 서식)

(별지 제17호 서식)

서버 패스워드 관리대장

(별지 제18호 서식)

사이버 침해사고 조치 내역

(별지 제19호 서식)

노트북 등 휴대용 단말기(전산장비 포함) 점검 대장

<관리책임자 : 정보운영팀장>

※ 노트북 포함하여 작성 비치

(별지 제20호 서식)

정보보안 위규자 처리기준<신설2021. 6. 22>