정보통신보안업무규정
제정 2000. 12. 1. 행정자치부훈령 제 61호
개정 2005. 4. 23. 행정자치부훈령 제135호
개정 2007. 12. 6. 행정자치부훈령 제246호
제 1 장 총 칙
제1조(목적) 이 규정은「보안업무규정」및「보안업무규정 시행규칙」(이하 “‘시행규칙”이라 한다),「보안업무시행요강」(2006.9.8 행정자치부훈령 제205호)제3조 제2항 (이하 “시행요강”이라 한다)에서 위임된 사항과 행정자치부의 정보통신보안업무에 필요한 사항을 규정함을 목적으로 한다.
제2조(적용) 이 규정은 행정자치부와 그 소속기관, 특별시․광역시․도․특별자치도 및 시․군․구와 그 소속기관(이하 “행정기관”이라 한다)에 적용한다.
제3조(정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다.
1. “정보통신보안”이라 함은 정보(Data, Voice, Images 등)를 통신하기 위한 수단으로 수집․가공․저장․검색․송수신되는 정보의 유출․위변조․훼손 및 기밀 등을 방지(防止)하거나 정보통신망 및 정보통신시스템을 보호하기 위하여 관리적․물리적․기술적 수단을 강구하는 일체의 행위를 말한다.
2. “정보통신망”이라 함은 유․무선, 광선, 위성 등을 매개로 하는 다양한 정보통신수단에 의하여 부호, 문자, 음향, 영상 등의 정보를 수집․가공․저장․검색․송수신하는 정보 전달체계를 말한다.
3. “정보통신시스템”(이하 “정보시스템”이라 한다)이라 함은 정보통신망을 매개로 하는 다양한 정보를 수집․가공․저장․검색․송수신하는 각종 정보를 관리적․물리적․기술적 수단으로 관리하는 정보통신 일체의 기술(소프트웨어 등)이나 장치(하드웨어 등)를 말하며 정보통신보안시스템을 포함한다.
4. “정보통신보안시스템”(이하 “보안시스템”이라 한다)이라 함은 정보통신 수단으로 생산․처리․저장․송신되는 정보의 유출․위변조․훼손 및 기밀 등 중요자료를 보호하기 위해 국가정보원장이 승인한 암호장비, 암호논리, 암호자재․음어자재․약호자재와 사이버안전기술이 적용된 일체의 기술(소프트웨어 등)이나 장치(하드웨어 등)(이하 “정보보호시스템”이라 한다) 등을 말한다.
5. “정보통신보안측정”(이하 “보안측정”라 한다)이라 함은 정보통신보안진단도구(이하 “진단도구”라 한다)를 통해 정보통신망과 정보시스템 및 보안시스템에 대한 보안관리 실태와 해킹, 도청 등 각종 위협요소에 대해 보안취약성을 진단하기 위한 제반 보안활동을 말하며 대도청(對盜聽) 측정활동을 포함한다.
6. “대도청(對盜聽) 측정”이라 함은 도청탐색장비 등을 이용하여 은닉된 도청장치 색출 등 각종 도청위해 요소를 제거하는 제반 보안활동을 말한다.
7. “진단도구”라 함은 정보통신망과 정보시스템 및 보안시스템에 대한 보안취약성을 분석하고 점검할 수 있는 기술이나 장치를 말한다.
8. “정보통신실”이라 함은 전산장비(서버 등), 전송장비(교환기 등), 통신장비(라우터 등), 보안장비(방화벽 등) 등 정보통신망과 정보시스템 및 보안시스템이 종합적으로 설치․운용되는 장소를 말하며, 전산실과 통신실 및 관제실 등이 있다.
9. “전산실”이라 함은 각종 전산장비(서버)를 설치․운용하는 곳으로 정보를 입력․보관하고 보조기억매체를 종합 관리․보관하는 장소로써 자료보관실을 포함한다.
10. “통신실”이라 함은 각종 전송장비의 운용과 음성․영상 등을 입력․보관하고 있는 보조기억매체를 종합 관리․보관하는 장소를 말한다.
11. “관제실”이라 함은 정보통신망이나 정보시스템의 운용과 통신하기 위한 수단으로 수집․가공․저장․검색․송수신되는 각종 정보를 종합 관리․감시․분석․대응하는 장소를 말한다.
12. “전산자료”라 함은 전산장비에 의하여 전자기적인 형태로 입력․보관되어 있는 각종 정보(data)를 말하며, 그 자료가 입력되어 있는 보조기억매체를 포함한다.
13. “보조기억매체”라 함은 디스켓(FD), 이동형 하드디스크(HDD), USB메모리, 플레쉬메모리, CD(Compact Disk), DVD(Digital Versatile Disk), IC칩 등 자료를 저장할 수 있는 일체의 것으로 PC 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다.
14. “암호논리”라 함은 자료의 누설, 위․변조, 훼손방지를 위하여 기밀성․무결성․인증․부인봉쇄 등의 기능을 제공하는 프로그램을 말한다.
15. “암호장비”라 함은 정보통신수단으로 처리․저장․송수신 되는 정보를 보호할 목적으로 암호논리를 내장하여 제작된 장비나 장치를 말한다.
16. “암호자재”라 함은 Ⅱ급비밀 이하의 통신내용 및 정보자료를 비닉할 목적으로 사용하는 문자․숫자․기호 등으로 구성된 환자표와 난수 또는 암호논리 등을 저장한 문서나 도구를 말한다.
17. “음어자재”라 함은 Ⅲ급비밀 이하의 통신내용 및 정보자료를 비닉할 목적으로 사용하는 문자․숫자․기호 등으로 구성된 환자표 또는 암호논리 등을 저장한 문서나 도구를 말한다.
18. “약호자재”라 함은 대외비 이하의 통신내용을 비닉할 목적으로 특정 용어를 문자․숫자․기호 등으로 변환하여 수록한 문서나 도구를 말한다.
19. “암호취급자”라 함은 암호취급인가를 받아 암호체계를 연구․제작․수발 및 보안시스템을 취급관리하는 자를 말한다.
20. “보안시스템 제작업체”(이하 “제작업체”라 한다)“라 함은 보안시스템의 제작권을 획득한 업체를 말한다.
제 2 장 기본방향 및 체계
제4조(기본방향) 행정기관의 장은 정보통신수단에 의한 각종 정보의 누설(漏泄)을 방지하고 보호(保護)하여야 하며 다음과 각 호의 정보통신보안 기본활동을 수행하여야 한다.
1. 정보통신보안 정책 및 활동 세부계획 수립․시행
2. 정보통신보안 감사․지도점검 실시
3. 취약 정보통신망 및 정보시스템의 보안대책 수립 추진
4. 보안시스템 개발․운용
5. 정보통신보안 위규 적발 및 사고조사 처리
6. 소관 분야 정보통신보안 업무조정 및 감독
7. 사이버위협정보 수집․분석․전파 및 보안관제
8. 사이버공격 관련 경보 발령시 대응활동
9. 사이버침해사고 대응․복구
10. 정보통신보안 수준 평가․관리
11. 정보통신보안 교육계획 수립․시행
12. 정보통신보안업무 심사분석 시행
13. 도청(盜聽) 위해(危害)요소 제거
14. 정보통신보안 관련 규정․지침 등 제․개정
15. 기타 정보통신보안 관련 사항
제5조(책임) 행정기관의 정보통신보안에 관한 책임은 행정기관의 장에게 있다.
제6조(정보통신보안담당관 제도운영) ①행정기관의 장은 효율적인 정보통신보안업무를 수행하기 위하여 “시행요강 제3조제2항”에 의거 정보통신보안담당관을 임명․운영하여야 한다.
②정보통신보안담당관은 정보통신업무를 관장하는 부서에 발령과 동시에 소관기관의 정보통신보안담당관이 된다.
③정보통신보안담당관이 교체되었을 때에는 “시행요강 제3조제6항”에 의거 통보하여야 한다.
④정보통신보안담당관은 “시행요강 제3조제1항”에서 정한 보안담당관의 지휘감독을 받아 제4조의 기본활동 임무를 수행한다.
⑤정보통신보안담당관은 행정기관의 효율적인 정보통신보안의 업무를 수행하기 위하여 다음 각호의 시책을 강구하여야 한다.
1. 정보통신보안 관련 전문기술인력 확보 및 양성에 관한 사항
2. 정보통신보안 교육 및 홍보 등에 관한 사항
제7조(세부추진계획 수립 및 심사분석) ①행정기관의 장은 제4조의 규정에 따라 정보통신보안에 대한 세부추진계획을 수립․시행하고 이에 대한 심사분석을 실시하여야 한다.
②행정기관의 장은 정보통신보안업무 세부추진계획 및 심사분석을 별지 제1호 및 제2호서식에 작성하여 다음 각 호의 기간 내에 행정자치부장관에게 제출하여야 한다.
1. 연간 정보통신보안업무 세부추진계획 : 익년도 1. 31한
2. 정보통신보안업무 심사분석 : 당해년도 10. 31한
③행정자치부장관은 제2항의 규정에 따라 제출된 세부추진계획 및 심사분석 결과를 종합하여 국가정보원장에게 통보하여야 한다. 다만, 제출기한은 매년도 보안업무 수행지침의 제출기한을 우선 적용한다.
제8조(보안감사) ①행정기관의 장은 “시행규칙 제64조” 및 “시행요강 제3조제4항”에 의거 본청 및 소속기관의 정보통신에 대한 보안감사와 불시점검을 병행하거나 별도로 실시할 수 있다.
②행정기관의 장은 보안감사 또는 불시점검은 제도적인 문제점 발굴에 중점을 두고 실시하여야 하며 도출된 취약요인은 근본적인 대책을 수립하여 시행하여야 한다.
③행정기관의 장은 정보통신에 대한 보안감사 실시계획과 감사결과를 다음 각호의 기간內에 행정자치부장관에게 제출하여야 한다.(단, 불시점검 결과는 심사분석에 포함하여야 한다)
1. 연도 정보통신보안감사 실시계획 : 익년도 1.31한
2. 정보통신보안감사 결과 : 감사결과 강평서 작성 완료시
④행정기관의 장은 보안감사의 효율적 수행을 위하여 행정자치부장관에게 감사의 방향, 중점사항, 감사관 지원 등 업무협조를 요청할 수 있다.
제9조(보안지도방문) ①행정기관의 장은 “시행요강 제3조제4항”에 의거 정보통신의 운영에 관하여 보안에 취약분야를 개선하기 위한 보안지도방문(이하 “지도방문”이라 한다)을 실시하여야 한다.
②행정기관의 장은 본청 및 소속기관 등에 지도방문을 실시할 경우에는 별표1의 “정보통신보안 점검표” 및 “국가사이버안전매뉴얼 보안점검항목”을 적극 활용하여야 한다.
③행정기관의 장은 정보통신의 운영에 관하여 보안취약성 진단과 보안관리 개선을 수행하기 위해 행정자치부장관 또는 국가정보원장에게 지도방문을 요청할 수 있다.
제10조(보안성 검토) ①행정기관의 장은 다음 각 호의 사유가 발생한 경우에 자체 보안대책을 강구하고, 국가정보원장에게 보안성검토를 의뢰하여야 한다. 다만, 국가정보원장과 사전 협의를 통해 사안이 경미하다고 판단된 경우 보안성검토를 생략할 수 있다.
1. 정보통신망을 신․증설하거나 서버 등 정보시스템을 교체하는 경우
2. 내부 정보통신망을 외부망과 연결하고자 하는 경우
3. 정보통신보안 관련법규을 제정 또는 개정하고자 할 경우
4. 보안시스템을 도입 운용하고자 할 경우
5. 외부기관 및 업체의 보안감리 또는 보안컨설팅(보안취약성 분석․평가 포함)을 받거나 정보처리․보안관제 등의 업무를 위탁할 경우
6. 무선랜 등 무선망을 사용하여 업무를 처리하거나 원격근무 지원등을 위해 정보시스템을 도입하고자 하는 경우
7. 기타 정보통신 운용환경 변화로 인하여 보안성검토가 필요하다고 인정되는 경우
②보안성검토 업무절차는 다음과 같다.
1. 정보통신망을 신․증설하거나 정보화 용역개발 등 추진하고자 하는 사업계획에 대하여 “시행요강 제4조․제5조․제6조”의 의거 보안심사위원회 심의를 거친 후 국가정보원장에게 요청하여야 한다. 다만, 계획수립 단계에서 보안대책을 판단하기가 곤란한 경우에는 미리 국가정보원장과 사전 협의하여야 한다.
2. 행정자치부는 국가정보원 본부에 지방자치단체는 해당지역을 관할하는 국가정보원 지부에 요청한다.
③행정기관의 장은 보안성검토를 요청할 경우에는 다음 각 호의 서류를 제출 하여야 한다.
1. 사업 목적 및 추진계획
2. 사업계획서(신규사업에만 적용)
3. 기술제안요구서
4. 정보통신망 구성도
5. 자체 보안대책 강구사항
가. 보안관리 수행체계(조직, 인원) 등 관리적 보안대책
나. 정보통신망이나 정보시스템 설치장소에 대한 보안관리방안 등 물리적 보안대책
다. 보안시스템 도입 및 운용계획
라. 망 연동시 행정기관과 연동기관간 보안관리 협의사항
마. 정보시스템의 요소별 기술적 보안대책
바. 전산자료 보호대책
사. 재난복구 계획 또는 상시 운용계획
6. 암호논리 지원을 요청할 경우에는 제84조제2항에 근거한 자료
7. 상용 보안시스템의 보안적합성 검증을 병행하고자 할 경우에는 제45조제3항에 근거한 자료
④제1항에 의거 보안성을 검토를 요청할 경우에는 행정자치부 정보통신 보안업무 시책(施策)과 상충(相衝)할 소지가 있는지에 대하여 행정자치부장관과 사전 협의하여야 한다. 이 경우 행정자치부장관이 관련자료 요청시 해당기관의 장은 특별한 사유가 없는 한 이에 협조하여야 한다.
제11조(보안교육) ①행정기관의 장은 다음과 같이 정보통신에 대한 보안교육계획(외부전문기관 위탁교육 포함)을 수립․시행하여야 한다.
1. 본청 및 소속기관 : 년 1회 이상
2. 공무원교육기관 : 3일 이상 교육과정 연 1회 이상
②행정기관의 장은 정보통신에 대한 보안교육의 효율성을 제고시키기 위하여 행정기관별 자체 실정에 맞는 보안교육 교안 및 교재를 작성․활용하여야 한다.
제12조(비상통신 보안대책) 전시 또는 비상사태 발생에 대비하여 비상 정보통신망을 운용하고 있거나 중요한 정보통신시설을 관리 감독하는 행정기관의 장은 평상시 비상통신 보안대책을 강구하여야 한다.
제 3 장 정보통신 보안관리
제13조(주요 정보통신 기반시설 등의 보호구역 설정) ①행정기관의 장은 “시행요강 제43조”에 의거 다음 각 호에 해당하는 경우 주요 정보통신 기반시설 및 장소(이하 “기반시설”이라 한다)를 보호구역으로 설정하여야 한다.
1. 암호실
2. 정보통신실(기관내 통합전산센터 포함)
3. 전산자료 보관실
4. 보안시스템 개발․설치 장소
5. 경호통신, 국가비상통신 등 중요통신망의 교환국, 회선집중국 또는 중계국
6. 백업센터 및 중요한 정보통신 기반시설을 집중 제어하는 장소
7. 기타 보안관리가 필요하다고 인정되는 정보시스템 설치 장소
②행정기관의 장은 기반시설에 대해 보안취약 요인을 발굴․개선하거나 외부의 위협요소(카메라, 카메라폰, 켐코더 등 영상저장용 장비 포함)로부터 보호대책을 강구하기 위하여 정기적으로 보안점검을 실시하여야 한다.
③국방․외교 관련 사항 등 비밀을 주로 취급하는 기반시설 또는 공항․전략․가스․원자력 등 국가안보상 중요한 기반시설과 연결하고자 할 경우에는 상용망과 분리 운용함을 원칙으로 한다.다만, 국가정보원장이 승인한 경우에는 그러하지 아니할 수 있다.
제14조(무선통신 보안관리) ①행정기관의 무선통신망(이하 “무선망”이라 한다) 운용을 위한 보안관리 방침은 다음과 같다.
1. 보안상 취약한 무선망의 신설 또는 증설 억제
2. 내륙 지역 취약 무선망의 유선화 및 다원화 추진
3. 국가 및 공공기관의 무선망으로 중요자료 및 비밀 소통시에는 보안시스템을 사용한다. 이 경우, 무선망을 신규 도입 및 운용환경 변경시 보안시스템을 개발 적용할 수 있도록 입찰 조건에 명시하여야 한다.
4. 도서 무선망의 보안대책 수립추진
5. 관공서 통신시설(MTS 및 SSB 등)에 대한 보안대책 수립추진
②무선망을 운용하는 행정기관의 장은 다음 각호에 대하여 보안대책을 강구하여야 한다.
1. 전파월경 방지대책 강구
2. 무선망에 보안시스템 설치 운용
3. 무선국의 현황 관리와 보안지도 점검
4. 정보통신보안 위규 및 보안취약성 근절을 위한 전파감시 및 전파측정
5. 공중통신망 이용시 보안시스템 활용
제15조(해외 정보통신 보안관리) ①행정기관의 장은 해외 순방행사 관련 사항은 국제전화, 전자우편, 일반팩스 등 보안성이 없는 정보통신 수단의 이용을 금지한다. 다만, 해외공관과 비밀 등 중요자료를 소통하고자 할 때에는 국가정보원장이 승인한 보안대책을 시행하여야 한다.
②행정기관의 장은 인터넷 및 현지 고용원 PC와 연결을 차단하여야 하며 국가정보원장이 승인한 보안대책 없이 인터넷에 연결된 PC를 이용하여 해외전문 등 비밀․중요자료의 작성․보관․소통을 금지하여야 한다. 다만, 부득이한 경우에는 외교정보통신망을 이용하여야 한다.
③행정기관의 장은 해외에 직원을 파견하고자 할 경우에는 파견 직원에 대하여 정보통신망 및 정보시스템의 운용시 보안관리 방안 등 정보통신 보안교육을 실시하여야 하며 정보통신 보안업무에 대하여 인계인수를 철저히 하여야 한다.
제16조(국제통신 보안관리) 행정기관의 장은 국제통신망에 의한 국가기밀 및 중요자료의 누설을 방지하기 위하여 다음 각호의 보안대책을 강구하여야 한다.
1. 비밀 및 중요사항에 대한 통신내용 보호대책
2. 보안성, 안전성을 고려한 정보통신망 활용
제17조(경호통신 보안관리) ①국가원수 행사 및 경호와 관련된 사항은 경호통신망 이외의 다른 통신수단을 이용하여 송수신할 수 없다. 다만, 부득이한 경우에는 대통령경호실과 협의한 후 그러하지 아니할 수 있다.
②경호업무를 수행하는 기관의 장은 다음 각 호의 사항을 소통할 경우 국가용 보안시스템을 사용하여야 한다. 다만, 행주 중인 국가원수 동정이나 행사동향 등은 어떠한 통신장비를 이용해서도 송수신을 금지하여야 한다.
1. 행사 준비단계에서 준비사항
2. 관련 기관간 행사관련 협조사항
3. 대통령 행차 및 환차와 관련한 일체의 사항
4. 행사 종료후 지휘 보고사항
제18조(남북통신 보안관리) ①행정기관의 장은 본청 및 소속기관이 남북회담 또는 남북경협사업 등을 위하여 북한지역에 정보시스템을 반출하거나 정보통신망을 구축할 경우에는 국가정보원장과 협의를 거쳐 자체 보안대책을 강구하여야 한다. 다만, 행정자치부는 국가정보원 본부에 지방자치단체는 해당기관을 관할하는 국가정보원 지부에 협의 한다.
②남북경협사업 등에 참가한 사업자를 관할하는 행정기관의 장은 사업자가 북한 현지에서 운영하는 정보통신망이나 정보시스템이 도청(盜聽) 등에 악용되지 않도록 주기적인 정보통신 보안교육 등 보안지도 활동을 강화하여야 한다.
③남․북한 지역간 정보통신망을 연결하거나 정보시스템을 설치할 경우에는 정보통신의 경로 및 시설을 임의로 변경하거나 인가받지 않은 다른 정보통신망과 연결하지 말아야 한다.
제19조(정보통신시설 보안관리) ①행정기관의 장은 제13조에 의거 기반시설을 운용하는 경우에는 기반시설의 관리책임자를 지정하여야 한다. 이 경우 기반시설의 관리책임자는 기반시설을 관리하고 있는 부서에 발령과 동시에 관리책임자가 된다.
②기반시설의 관리책임자는 다음 각 호와 같은 보안대책을 강구하여야 한다.
1. 방재대책 및 외부로부터의 위해(危害) 방지대책
2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치
3. 출입문 보안장치 설치 및 주야간 감시대책
4. 보조기억매체를 보관할 수 있는 용기 비치
5. 보조기억매체에 대한 안전지출 및 긴급파기 계획 수립
6. 관리책임자 및 자료․장비별 취급자 지정 운용
7. 전산자료별로 접근권한을 제한
8. 작업은 소관업무에 따라 입력․출력․열람 등으로 제한
9. 열람은 필요에 따라 기본항목․전항목 등으로 제한
제20조(정보통신망 보안관리) ①행정기관의 장은 다음 각 호에 해당하는 자료는 대외비(對外秘)로 분류하여 관리하여야 한다. 다만, 국가안보와 직결되는 중요한 정보통신망 관련 세부자료는 “보안업무규정” 및 “시행규칙” 및 “시행요강”에 의거 비밀로 분류 관리하여야 한다.
1. 정보통신망 세부 구성현황(IP 세부 할당현황 포함)
2. 보안시스템 운용현황
3. 보안취약성 분석․평가 결과물
4. 기타 보호할 필요가 있는 정보통신망 관련 자료
②제1항에 명시되지 않은 정보통신망 관련 자료의 분류 관리는 국가정보원장이 제정한 “비밀 세부분류지침”을 따른다.
제21조(정보시스템 보안관리) ①행정기관의 장은 정보시스템의 효율적인 보안관리를 위하여 정보시스템별로 관리책임자(이하 ‘시스템관리자’라 한다)를 지정 운영하여야 한다.
②시스템관리자는 각종 서버․PC․정보통신장비․보안장비 등 정보시스템이 비인가자에게 불필요한 서비스를 허용하지 않도록 보안기능을 설정하여야 한다.
③시스템관리자는 보안도구를 이용하여 정보시스템의 보안취약성을 진단하여야 하며 이 경우 해당 정보시스템에 대한 접속․접근기록(일시, 사용자, 대상, 제목, 방법 등)을 관리하여야 한다.
④시스템관리자는 다음 각 호와 같이 자동 수록된 접근자료(Log Data)를 관리하여야 한다.
1. 접근자료는 접속의 성공여부와 무관하게 기록 유지
2. 정보시스템 접근기록은 매일 점검하고, 분석내용을 분기별 관리책임자에게 보고
3. 자동 수록된 자료는 보안사고 발생시 확인 등을 위하여 3개월 이상 보관(백업자료 포함)
4. 접근자료의 외부유출 방지를 위한 보안대책 강구
5. 3회 이상 접속시도의 오류가 발생하는 경우 경보 발생 및 시스템관리자에 통보기능 부여
⑤시스템관리자는 정보시스템의 보유자료에 대해 업무별, 자료별 중요도에 따라 접근권한을 차등 부여하여야 한다. 이 경우 사용자별 자료 접근범위는 등록하여 인가여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제하여야 한다.
⑥시스템관리자가 비인가자의 정보시스템에 침입한 사실을 인지한 경우에는 정보시스템의 보호를 위한 접속차단 등 초동 조치를 취하고 지체 없이 정보통신보안담당관을 경유하여 행정자치부장관에게 보고하여야 한다. 이 경우 행정자치부장관은 국가정보원장에게 지원을 요청할 수 있다.
⑦시스템관리자는 정보시스템에 대하여 외부업체의 원격 유지보수 작업을 허용하여서는 아니 된다. 다만, 부득이한 경우에는 제26조 및 제31조에 따라 필요한 보안대책을 강구한 후 허용할 수 있다.
⑧시스템관리자는 정보시스템을 운영하기 위한 업무대행자(이하 “업무대행자”이라 한다)를 지정하여서는 아니 된다. 다만, 부득이한 경우에는 제32조제2항에 근거한 보안조치를 수행하여야 한다.
제22조(전산자료 보안관리) ①행정기관의 장은 전산자료에 대한 유출이나 파괴 또는 위․변조 등에 대비하여 다음 각 호에 정하는 보안대책을 강구하여야 한다.
1. 자료 복사본(예비) 확보 및 타 행정기관 또는 다른 안전한 지역에 별도 보관
2. 전산자료(보조기억매체 포함) 보유현황 관리
3. 전산자료 및 장비의 반출 또는 반입 통제
4. 불법접근 및 해킹프로그램․웜․바이러스 감염 피해 예방
5. 전산자료 접근권한 구분․통제
6. 예비(Back up)체계 수립․시행
②행정기관의 민감한 보고서나 주요 자료를 입력․가공․저장․검색하기 위해 사용하는 보조기억매체는 제39조에 따라 보조기억매체를 관리하여야 한다. 다만, 외부에 공개되어도 무방한 자료는 그러하지 아니한다. 이 경우 “시행요강 제3조제3항”에 의거 지정된 행정기관의 분임보안담당관의 승인 하에 사용할 수 있다.
제23조(PC 등 보안관리) ①행정기관의 분임보안담당관은 PC, 단말기(업무용), 노트북 등(이하 “개인용장비”라 한다)을 사용할 경우에 취급자 또는 관리책임자(이하 “관리책임자”라 한다)를 지정하여야 한다. 이 경우 사용자를 별지 제4호(전산장비 관리대장)서식에 등재하여야 하며 제40조(사용자계정) 내지 제41조(비밀번호 관리)의 규정을 준용하여야 한다.
②관리책임자는 비인가자가 무단으로 개인용장비 등을 조작하여 전산자료를 유출하거나 위․변조 및 훼손시키지 못하도록 다음 각 호에 정한 보안대책을 강구하여야 한다.
1. 장비별․자료별․사용자별 비밀번호 사용
2. 10분 이상 작업 중단시 화면보호 설정 및 비밀번호 조치
3. 백신 및 PC용 침입차단시스템 등의 운용
4. P2P 등 업무와 무관하거나 보안에 취약한 프로그램의 사용금지
③관리책임자는 개인용장비를 공유하여 사용하는 것을 금지하여야 한다. 다만, 부득이한 경우에는 분임보안담당관의 책임 하에 제40조 내지 제42조의 보안조치를 한 후 사용여야 한다.(단, 그 사유가 소멸 시에는 즉시 해지하여야 한다)
④관리책임자는 개인용장비 등을 교체․반납․폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치를 강구하여야 한다.
⑤관리책임자는 개인용장비를 각급기관 내부로 반입하거나 외부로 반출하여 사용하여서는 아니 된다. 다만, 부득이한 경우에는 분임보안담당관의 승인을 받아 제41조 내지 제42조의 보안조치를 한 후 반입 또는 반출하여야 하며 현황(일시, 취급자, 용도, 보안조치 여부 등)을 비치하여야 한다.
제24조(전자우편 등 보안관리) ①행정기관의 시스템관리자는 전자우편 사용자가 보안조치 없이 전자우편을 이용한 비밀 및 중요자료 전송을 금지하고 출처가 불분명한 전자우편의 경우 열람하지 말고 삭제하여야 한다.
②시스템관리자는 E-mail서버를 내부망에 설치하는 내부용 서버와 침입차단시스템 외부에 설치하는 외부용 서버를 분리하여 운용하거나 이에 상응하는 적절한 보안대책을 수립한 후 설치하여야 한다.
③행정기관의 장은 침입차단시스템을 운영할 경우에는 별표5의 “침입차단시스템 점검표”에 의한 점검을 실시하여야 한다.
제25조(웹서버 등 보안관리) ①행정기관의 시스템관리자는 외부인에게 공개할 목적으로 설치되는 웹서버 등 각종 공개서버는 내부망과 외부망을 분리하여 운영하고 보안적합성이 검증된 보안시스템을 설치하는 등 보안대책을 강구하여야 한다.
②시스템관리자는 서버에 접근할 수 있는 사용자계정을 제한하고 불필요한 계정은 삭제하여야 한다. 이 경우 제40조에 따라 사용자계정을 관리하여야 한다.
③시스템관리자는 홈페이지 게재내용은 자체 보안심사위원회의 심의를 거쳐 비밀내용 등 비공개 자료가 포함되지 않도록 하여야 한다. 다만, 수치변경 및 동일 제목의 내용 수정 등 경미한 내용은 분임보안담당관의 승인으로 갈음 할 수 있다.
④제3항의 경우 공개서버는 업무서비스를 제외한 모든 서비스 및 시험․개발도구 등의 사용을 제한하도록 보안기능을 설정하여야 하며 보안측정을 통해 보안취약성을 수시로 점검하고 자료의 위․변조, 훼손 여부를 확인하여야 한다.
⑤시스템관리자는 보안사고에 대비하여 서버에 저장된 자료의 철저한 백업체계를 구축하여야 하며 공개서버를 통해 개인정보가 유출, 위․변조되지 않도록 보안대책을 수립․시행하여야 한다.
제26조(원격근무 보안관리) ①행정기관의 장은 재택․파견․이동근무 등 원격근무를 지원하기 위한 정보시스템을 도입․운영하고자 할 경우에는 행정자치부장관과 사전 협의하여야 한다.
②제1항의 경우 원격근무를 지원하고 있는 행정기관의 장은 원격근무 이용자에 대하여 제27조에 따른 보안대책을 강구하여야 한다.
제27조(원격관리 제한) ①행정기관의 장은 보안시스템을 원격으로 관리하여서는 아니 된다. 다만, 부득이한 경우는 정보통신보안담당관의 승인 하에 원격으로 관리하되, 다음 각 호의 사항을 준수하여야 한다.
1. 원격관리 시간 최소화
2. 원격관리자의 접속비밀번호 임시 부여 및 소통내용 암호화 등 보안대책 적용
3. 인가되지 않은 원격관리가 수행되는지 주기적 확인점검
②정보통신보안담당관은 제1항에 의하여 원격근무를 승인한 경우에는 다음 각 호의 사항을 확인하는 등 보안조치를 수행하여야 한다.
1. 원격 접속할 사용자, 사용자계정, 비밀번호
2. 접속주소, 접속시간
3. 원격접속 사유(재택, 파견, 이동근무, 출장, 전산망 유지보수 등)
4. 원격접속 후 사용자계정 및 비밀번호 회수 등 조치사항
5. 별지 제21호(정보보호시스템 운용현황)․제22호(원격근무 보안서약서)․제23호(원격근무 보안관리대장)서식 작성 비치
6.「별표4」“원격근무 보안점검표”의 점검사항에 따른 점검
제28조(상용망 등 외부망 연동) ①행정기관의 장은 중앙행정기관이나 소속기관 등과 정보통신망을 연결하여 사용하고자 할 경우에는 보안관리 책임한계 설정과 전산자료 제공범위 및 이용자 접근제한 등 정보통신망에 대한 보안대책을 수립․시행하여야 한다.
②행정기관의 장은 외부망과 연결에 따른 보안취약성 해소를 위하여 접속자료를 주기적으로 분석하고 보안도구를 이용한 정보통신망 보안측정을 통해 취약성을 수시 점검하여야 한다.
③행정기관의 장은 정보통신망을 상용망(인터넷 포함)이나 다른 기관과 정보통신망을 연계하기 위한 보안관리 연결지점을 운용할 경우에는 비인가자의 무단침입(불법접속)이나 악성코드 및 사이버공격을 방지하기 위하여 국가정보원장이 검증한 보안시스템의 설치․운용 등 보안대책을 강구하여야 한다.
④행정기관의 장은 정보통신망 및 정보시스템에 사용되는 “IP주소”를 체계적으로 관리하여야 한다. 이 경우 내부 정보시스템을 보호하기 위하여 사설주소체계(NAT:Network Address Translation)를 사용한다.
⑤행정기관의 장은 행정자치부의 종속망인 자체 정보통신망을 소속․민간기관(상용망 포함)․인터넷 등에 연계하여 내부망과 외부망을 연동하고자 할 경우에는 행정자치부장관과 사전 협의하여야 한다. 다만, 원격접속을 위하여 연계가 필요할 경우에는 제27조제2항에 따른 보안조치를 하고 행정자치부장관과 협의하여야 한다.
⑥행정기관의 장은 개인용장비를 이용하여 상용망(인터넷 포함)을 통해 자료 또는 정보의 교환을 위하여 송수신할 경우에는 사전에 분임보안담당관의 승인을 받아 중요 정보자료의 무단유출을 방지하여야 한다.
⑦행정기관의 장은 같은 청사를 사용하는 유관기관 등에서 상용망(인터넷 포함)을 이용하기 위해 정보통신망 이용요청이 있을 경우 내부망에 접근할 수 있는 IP부여를 금해야 한다.
⑧행정기관의 장은 인터넷을 통한 불법 사이트 접속이나 프로그램 다운로드를 금지하여야 하며 개인용장비에서 음란․도박․증권 등 업무와 무관한 인터넷 사이트 접근에 대한 통제대책을 강구하여야 한다.
⑨행정기관의 장은 비밀을 취급하는 정보통신망 또는 국방․외교 등 국가안보상 중요하거나 경제․사회적 재난이 우려되는 국가 주요 기반시설에 대해서는 상용망과 분리․운용하여야 한다.
제29조(운용현황 관리) 행정기관의 장은 다음 각 호에 해당하는 정보통신 운용현황을 관리하여야 한다.
1. 정보시스템 운용현황
2. 정보통신망 세부 구성도
3. IP 할당현황
4. 주요 정보화사업 추진현황
제30조(재난복구 대책) ①행정기관의 장은 인위적 또는 자연적인 원인으로 인한 정보시스템(정보통신망 포함)의 장애(障碍) 발생에 대비하여 해당 정보시스템(정보통신망 포함)의 이원화, 백업관리, 복구 등 종합적인 재난복구 대책을 수립․시행하여야 한다.
②행정기관의 장은 정보시스템(정보통신망 포함)에 대한 재난복구 대책을 정기적으로 시험하고 검토해야 하며 업무 연속성에 대한 영향평가를 실시하여야 한다.
③행정기관의 장은 정보시스템(정보통신망 포함)의 장애에 대비한 백업시설을 확보하고 정기적으로 백업을 수행하여야 하며 백업시설을 설치할 경우에는 정보통신실과 물리적으로 일정거리 이상 위치한 안전한 장소에 설치하여 재난에 대비하여야 한다.
④제3항에 의하여 별도의 백업시설을 구축 운영하고자 할 경우에는 사전에 국가정보원장에게 보안성검토를 의뢰하여야 한다.
제31조(외부용역사업 보안관리) ①행정기관의 장은 정보화사업 및 보안컨설팅 수행 등 외부 용역사업을 추진할 경우에는 제10조에 따른 보안조치를 실시하여야 한다.
②제1항에 의한 용역사업 계약시 해당 계약서에 용역사업 참여직원의 보안준수 사항과 위반시 손해배상 책임 등을 명시하여야 한다.
③행정기관의 장은 정보통신망도․IP현황 등 용역업체에 제공할 자료는 자료 인계인수대장을 비치하고 보안조치 후 인계인수하여야 하며 무단 복사․외부반출을 금지한다.
④행정기관의 장은 용역 참여직원이 개인용장비를 반출 또는 반입할 때마다 제41조 내지 제42조에 의한 조치사항 및 자료 무단반출 여부를 확인하는 등 보안조치를 하여야 한다.
⑤행정기관의 장은 용역사업 종료시 외부업체의 개인용장비나 보조기억매체 등을 통해 기관 내부자료 및 용역 결과물이 유출되는 것을 방지하기 위하여 복구가 불가능하도록 완전 소거하는 등 보안조치를 하여야 한다.
⑥행정기관의 장은 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공․대여․열람을 금지하는 등 보안조치를 하여야 한다.
⑦행정기관의 장은 용역사업을 수행할 경우, 용역 참여 직원을 대상으로 보안교육 및 보안점검을 실시하여야 하며, 비밀관련 용역사업을 수행할 경우 외부인원에 대한 비밀취급인가 등 보안조치를 수행하여야 한다. 또한, 외부 용역사업에 대한 보안측정․보안교육․보안점검 등이 필요할 경우 국가정보원장에게 지원을 요청할 수 있다.
제32조(업무대행자 보안관리) ①행정기관의 장은 정보시스템을 관리하기 위하여 계약직, 일용직, 고용직, 청원경찰, 공익근무요원 등을 업무대행자로 지정하여서는 아니 된다. 다만, 부득이한 경우에는 분임보안담당관의 승인 하에 지정하되, 다음 각 호의 사항을 준수하여야 한다.
1. 정보시스템 접속시간 최소화
2. 정보시스템의 접속비밀번호 임시 부여 및 소통내용 암호화 등 보안대책 적용
3. 인가되지 않은 정보시스템 접속 여부의 주기적 확인점검
②행정기관의 장이 제1항에 의하여 특정 정보시스템에 대해 업무대행자를 지정한 경우에는 다음 각 호의 사항을 확인하는 등 보안조치를 수행하여야 하며, 그 사유가 소멸 시에는 즉시 해지하여야 한다.
1. 접속할 사용자, 사용자계정, 비밀번호
2. 접속주소, 접속시간, 접속사유(자료입력, 통계작성 등)
3. 접속 종료후 사용자계정 및 비밀번호 회수 등 조치사항
4. 서약서(별지 제7호 서식) 징구 및 사용자계정 관리대장(별지 제8호 서식) 작성 비치
5. “시행요강”에 의한 신원조사 결과 또는 사본 비치
제33조(감리) 행정기관의 장은 정보시스템에 대한 감리(監理)를 감리인에게 의뢰하고자 할 때에는 비밀 및 중요자료의 유출방지를 위하여 다음 각 호의 사항을 국가정보원장과 사전에 협의하여야 한다.
1. 감리인 및 보조 참여인원
2. 감리 일정 및 감리대상․영역
3. 감리 중점사항 및 보안점검 대상항목
4. 비밀 및 중요자료 보호대책 등
제 4 장 보호등급 및 보안관리
제34조(보호등급 분류) ①행정기관의 장은 전산자료의 보호를 위하여 다음 각 호에 해당하는 경우에는 자체 실정에 맞는 “전산자료 보호등급”을 정하여 분류하여야 한다.
1. 최초로 정보통신망을 신설하여 전산자료의 보호등급 구분이 필요한 경우
2. 현재 운용중인 정보통신망을 재구성할 경우(단, 국가정보원장과 사전 협의를 통해 사안이 경미하다고 판단된 경우 기존 보호등급 적용)
3. 행정기관의 장이 필요하다고 인정하는 경우
②제1항의 규정에 의한 전산자료의 보호등급 분류는 다음 각 호와 같이 구분한다.
1. ‘가’급 자료
유출 또는 손상되는 경우 각급기관의 업무수행에 중대한 장애를 초래하거나 개인 신상에 심각한 영향을 줄 수 있는 전산자료
2. ‘나’급 자료
유출 또는 손상되는 경우 각급기관의 업무수행에 장애를 초래하거나 개인신상에 영향을 줄 수 있는 전산자료
3. ‘다’급 자료
유출 또는 손상되는 경우 각급기관의 업무수행 및 기관의 신뢰도에 경미한 영향을 줄 수 있는 전산자료
제35조(보호등급 분류기준) ①행정기관의 장은 제34조에 따른 보호등급을 분류하기 위한 자체 기준을 수립하여 행정자치부장관과 협의한 후 시행하여야 한다. 다만, 소속기관에 대한 분류기준은 행정기관의 장이 수립한다.
②행정기관의 장이 보호등급 분류기준을 정하고자 할 경우에는 국가정보원이 제정한 지침이나 다른 법령에서 규정하고 있는 보호등급 분류기준을 참고할 수 있다.
제36조(보호등급별 보안대책) ①행정기관의 장은 ‘가’급 보호등급으로 분류된 전산자료를 보호하기 위해서는 다음 각 호의 보안대책을 강구하여야 한다.
1. K4등급 또는 EAL4 등급 이상의 인증을 받고 국가정보원장이 국가기관용으로 보안적합성을 검증한 보호시스템을 설치 사용
2. 자료별 비밀번호의 사용과 시스템 접근권한을 설정 관리
② ‘나’급 보호등급으로 분류된 전산자료 보호하기 위해서는 다음 각호의 보안대책을 강구하여야 한다.
1. K3등급 또는 EAL3 등급 이상의 인증을 받고 국가정보원장이 국가기관용으로 보안적합성을 검증한 보호시스템을 설치 사용
2. 정보시스템 접근권한을 설정 관리
③ ‘다’급 보호등급 자료를 보호하기 위해서는 K2등급 또는 EAL2 등급 이상의 인증을 받고 국가정보원장이 국가기관용으로 보안적합성을 검증한 정보보호시스템을 설치 사용하여야 한다.
④서로 다른 보호등급의 전산자료를 보호하고자 할 경우에는 가장 높은 보호 등급에 따른 보안대책을 강구하여야 한다. 다만, 위 항에서 규정하지 않은 사항은 제23조의 전산자료 보안관리에 따른 보안대책을 준용한다.
제37조(비공개 정보의 보호) 행정기관의 장은 정보통신보안과 관련된 정보를 비공개로 분류․관리하여야 하고, 소속직원 중 비밀 및 중요업무 담당자의 인적사항, 세부 담당업무와 전자우편 주소 등을 인터넷 등에 공개하여서는 아니 된다. 다만, 국가정보원장과 사전 협의하여 공개범위․요건 등 관련내용을 공개할 수 있으며, 이 경우 다른 법령에서 규정하고 있는 사항은 해당 법령이 정하는 바에 따른다.
제38조(비밀자료 등의 전자적 처리) ①행정기관의 장은 비밀 등 중요자료를 정보통신 수단을 이용하여 생산․보관․분류․열람․출력․송수신․이관하는 등 전자적으로 처리하기 위해서는 보안시스템을 사용하여 암호화하는 등 국가정보원장이 안전성을 확인한 보안조치를 수행하여야 한다.
②비밀자료를 전자적으로 생산하고자 할 때에는 해당 비밀등급과 “시행요강 제24조의2”에 따른 예고문을 입력하여 열람 또는 출력시 비밀등급이 자동으로 표시되도록 하여야 한다.
③비밀자료 생산을 완료한 경우에는 PC에 입력된 비밀내용을 즉시 삭제하여야 한다. 다만, 업무상 계속 보관할 경우에는 관리책임자의 승인 하에 저장할 보조기억매체를 별도로 지정하거나 PC내에 독립된 폴더를 지정하여 사용할 수 있다. 이 경우 보안시스템을 이용하여 암호화하는 등 적절한 보안대책을 강구하여야 한다.
④비밀자료를 전자적으로 생산․열람․출력․송수신․이관시에는 작업내용을 전자적으로 기록 유지하여야 하며 송수신시에는 정당성 확인 및 부인을 봉쇄하기 위하여 전자적으로 생성된 영수증을 사용하여야 한다. 다만, 전자적으로 처리된 비밀자료를 종이문서로 출력한 이후의 취급관리는「보안업무규정」및「공공기관의 개인정보보호에 관한법률」을 따른다.
⑤제1항에 의한 보안조치 중 이 지침에 명시되지 않은 세부사항은 「전자문서 보안조치 수행지침」을 준용한다.
제39조(보조기억매체 관리) ①행정기관의 장은 중요한 정보를 보관 관리하기 위하여 보조기억매체 관리책임자(이하 “관리책임자”라 한다)를 지정하여 운영하여야 한다.
②관리책임자는 비밀 등 중요 정보를 평문 또는 암호화 저장되어 있는 보조기억매체를 사용하고자 할 경우에는 유출, 훼손, 비인가자 접근 및 내용 위변조 등에 대비한 보안대책을 강구하여야 한다.
③관리책임자는 비밀(기관용 행정전자서명인증서 포함) 등 중요자료를 저장.보관하기 위해서는 매체별로 해당 비밀등급 및 관리번호를 부여하고 “시행규칙”의 비밀관리기록부 서식 및 보조기억매체 관리대장(별지 제3호 서식)서식에 등재하여 이중캐비닛 또는 금고에 보관하여야 하며, 이 경우 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 다만, 비밀자료가 보안시스템으로 암호화되어 저장된 보조기억매체는 그러하지 아니할 수 있다.
④비밀문서를 많이 취급하는 부서나 실과에서는 제3-1호, 제3-2호 서식으로 관리할 수 있다.
⑤행정기관의 장은 비밀 등 중요자료가 아닌 내부 업무용 자료를 저장하거나 보관을 위하여 보조기억매체를 사용하고자 할 경우에는 사전에 관리책임자에게 승인을 받아 사용하도록 조치하여야 하며, 제3-2호 서식으로 관리하여야 한다.
제40조(사용자계정 관리) ①행정기관의 시스템관리자는 사용자계정(ID)의 비인가자 도용 및 정보시스템 불법접속에 대비하여야 하며, 다음 각 호의 사항을 반영하여 관리하여야 한다.
1. 사용자별 또는 그룹별로 접근권한 부여
2. 외부 사용자의 계정부여는 불허하되 부득이한 경우에는 행정기관장의 책임 하에 유효기간을 설정하는 등 보안조치를 강구한 후 허용
3. 비밀번호가 없는 사용자계정 사용 금지
②시스템관리자는 사용자계정의 등록․변경․폐기 시 시스템관리자의 승인 하에 수행하고, 그 결과를 사용자계정 관리대장(별지 제8호 서식)에 등재하여 관리하여야 한다.
③시스템관리자는 3회에 걸쳐 사용자인증 실패시 정보시스템 접속을 중지시키고 비인가자 침입 여부를 확인 점검하여야 한다.
④시스템관리자는 사용자의 퇴직 또는 보직변경 등으로 사용하지 않는 사용자계정이 발생할 경우 이를 신속히 삭제하여야 한다.
제41조(비밀번호 관리) ①행정기관의 시스템관리자는 정보시스템 비밀번호의 무단사용 방지를 위하여, 다음 각호와 같이 구분하여 사용하여야 한다.
1. 비인가자의 정보시스템 접근방지를 위한 접근용 비밀번호(1차)
2. 사용자가 정보시스템 접속시 인가된 인원인지 여부를 확인하는 사용자인증(2차)
3. 문서에 대한 열람․수정 및 출력 등 사용권한을 제한할 수 있는 자료별 비밀번호(3차)
②시스템관리자는 비밀이나 중요자료에는 반드시 자료별 비밀번호를 부여하여야 한다. 다만, 공개 또는 열람 자료에 대하여는 그러하지 아니할 수 있다.
③시스템관리자는 비밀번호를 다음 각 호의 사항을 반영하여 숫자와 문자, 특수문자 등을 혼합하여 8자리 이상으로 정하고 분기1회 이상 주기적으로 변경 사용하여야 한다.
1. 사용자계정(ID)과 동일하지 않은 것
2. 개인 신상 및 부서명칭 등과 관계가 없는 것
3. 일반 사전에 등록된 단어는 사용을 피할 것
4. 이미 사용된 비밀번호는 재사용하지 말 것
5. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것
7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지
④시스템관리자는 정보시스템에 등록되어 있는 비밀번호를 암호화하여 보관하여야 하며 주요 전산자료에 접속하는 개인용장비 등의 비밀번호를 기록 관리하여야 한다. 이 경우에는 전산장비 관리대장(별지 제4호 서식)에 등재하여 대외비 이상으로 분류 관리하여야 한다.
제42조(악성코드 방지) ①행정기관의 시스템관리자 및 개인용장비 사용자(이하 “시스템운영자”이라 한다)는 웜․바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호에 따라 정보시스템을 운영 관리하여야 한다.
1. 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램은 사용을 자제하고 불가피할 경우에는 백신 등 관련 검색프로그램으로 진단 후 사용
2. 업무상 불필요한 서비스를 제한
3. 실행파일은 읽기 전용으로 속성 변경
4. 인터넷 등 상용망으로 입수한 자료는 필히 악성코드 여부 검색 후 사용
5. 악성코드 조기 발견을 위하여 최신 백신프로그램 활용 및 보안 업데이트 실행
6. 정보통신시스템이 작동할 때마다 컴퓨터 하드디스크의 부트섹터 또는 메모리 등에 악성코드가 감염되었는지 점검
②시스템운영자는 악성코드 감염이 발견되었을 경우 다음 각 호의 조치를 하여야 한다.
1. 악성코드 감염피해를 최소화하기 위하여 감염된 시스템의 사용 중지 및 내부망과 접속 분리
2. 최신 백신 등 악성코드 제거 프로그램을 이용하여 퇴치
3. 악성코드의 감염확산 방지를 위하여 정보통신보안담당관에게 관련내용 및 보안조치 사항을 즉시 보고
4. 악성코드 감염의 재발을 방지하기 위하여 원인 분석 및 예방 조치 수행
③시스템운영자는 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 정보통신담당관을 경유하여 행정자치부장관에게 신속히 보고하여야 한다.
④행정자치부장관 또는 국가정보원장이 악성코드 감염사실을 확인하여 조치를 권고할 경우 시스템운영자는 즉시 이행하여야 한다.
제43조(‘정보통신보안진단의 날’운영) ①행정기관의 장은 매월 “정보통신보안진단의 날”을 지정하여 운용하여야 한다.
②행정기관의 장은 “정보통신보안진단의 날”을 이용하여 악성코드 감염여부를 진단하여야 한다. 다만, 정보통신망에 연결되어 자동으로 악성코드를 점검․치료하거나 파일 업데이트(패치)가 되고 있는 PC는 그러하지 아니하다.
③행정기관의 장은 “정보통신보안진단의 날”에 소관 정보통신망을 대상으로 악성코드 감염여부와 정보시스템의 보안 취약여부 등을 진단하여 문제점을 발굴 개선하여야 한다.
④제2항 내지 제3항에 따른 보안취약성 발굴․개선 실적을 심사분석에 포함하여야 한다.
제 5 장 보안시스템 관리
제 1 절 공 통
제44조(개발 및 제작) ①행정기관이 보안시스템을 사용하고자 할 경우에 국가정보원장이 개발하거나 제작한 보안시스템을 해당기관에 공급한다. 다만, 국가정보원장이 필요하다고 인정할 때에는 중앙행정기관 또는 정부출연 연구기관으로 하여금 개발하게 하거나 제작하게 할 수 있다.
②제1항에 의거 중앙행정기관 또는 정부출연 연구기관이 개발하거나 제작한 보안시스템은 국가정보원장의 승인을 받아야 한다.
③보안시스템 연구개발 절차 등은「국가 정보보안기술 연구개발 지침」이 정하는 바에 따른다.
제45조(보안적합성 검증요청) ①행정기관의 장은 보안시스템으로 등재되지 아니한 정보를 보호하기 위한 보안시스템을 도입할 경우 국가정보원장에게 보안적합성 검증을 요청하여야 한다.
②보안적합성 검증대상 상용 보호시스템은「정보화촉진기본법」또는 정보보호제품 국제상호인정협정(CCRA)에 의해 인증서가 발급된 것이어야 한다.
③행정기관의 장은 보안적합성 검증 요청시 다음 각 호의 자료를 국가정보원장에게 제출하여야 한다.
1. 별지 제19호서식에 의거한 검증 신청서 1부
2. 별지 제20호서식에 의거한 사용자 보안요구사항
3. 정보통신망 및 정보시스템 구성도 등 운용환경
4.「정보화촉진기본법」또는 국제상호인정협정(CCRA)에 의해 발행된 인증서 사본, 보안 목표명세서, 평가보고서 1부
5. 암호논리가 포함된 경우「암호모듈 시험 및 검증지침」에 의해 발행된 검증서 사본 1부 또는 암호기능 검증에 필요한 문서
제46조(사용) 행정기관의 장이 암호장비․암호논리․보안자재․사이버안전기술이 적용된 보안시스템을 사용하고자 할 때에는 국가정보원장이 개발․제작하거나 검토․승인된 제품을 사용하여야 한다.
②행정기관의 장은 암호장비․암호논리․보안자재․사이버안전기술이 적용된 보안시스템을 운용할 경우 관리를 담당하는 정․부책임자를 지정하여야 한다.
제47조(암호취급인가) ①행정기관의 장은 암호체계를 연구 개발하거나 보안시스템을 취급하고자 하는 자에 대해서 사전에 암호취급 인가를 받도록 하여야 한다.
②암호취급인가는 대한민국 국적소유자로서 비밀취급인가를 받은 자에 한하여 별도로 지정하여야 한다.
③행정기관의 장은 암호취급을 인가한 경우에는 별지 제14호(암호취급자 인감등록서)서식에 의거 암호취급인가자를 행정자치부장관에게 통보하여야한다.
제48조(암호취급인가 해제) ①행정기관의 장은 암호취급인가를 받은 자가 타부서로 전출하거나 휴직, 퇴직 등으로 암호체계 관련 업무를 수행하지 않는 경우에는 즉시 암호취급인가를 해제하여야 한다.
②행정기관의 장이 암호자재 취급인가를 해제하고자 할 때에는 취급인가증을 첨부하여 해제를 행정자치부장관에게 요청하여야 한다.
제49조(암호전문의 보안관리) ①행정기관의 장은 암호전문을 일반문서로 분류한다. 다만, 암호전문상에 암호해독 작업을 실시하였을 때에는 비밀로 분류하되 90일 이내에 파기하여야 한다.
②행정기관의 장은 암호전문과 평문전문은 별도 보관하여야 하며 암호 작업지는 작업후 즉시 파기하여야 한다.
③행정기관의 장은 암호전문의 내용을 공개할 경우에는 그 전문내용을 통신문형식으로 작성하지 아니하고 백지 등을 사용하되 수신 일․시․분 등을 표시하여서는 아니 된다.
제50조(암호체계의 보안관리) ①암호개발 업무를 수행하는 자는 이를 비인가자에게 공개하거나 비인가자에게 노출된 장소에서 국가 암호체계 및 운용 등에 대한 토의하거나 발설을 하여서는 아니 된다. 다만, 국가정보원장의 승인하에 서약서(별지 제7호 서식) 징구 등 보안조치를 한 경우에는 그러하지 아니한다.
②암호체계와 관련된 사항을 알고 있는 자는 이를 학술․논문지, 간행물, 전시회 및 공개된 정보통신망 등을 통해 공개하여서는 아니된다. 다만, 국가정보원장의 승인을 받은 내용은 공개할 수 있다.
③행정기관의 장은 암호(외국의 암호를 포함한다) 또는 이와 관련된 정보를 획득․습득하거나 불법암호의 사용과 암호의 부정사용을 인지한 경우에는 지체 없이 그 내용을 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
제51조(암호관리 점검) ①행정자치부장관이 임명한 암호실 점검관은 행정자치부 및 지방자치단체의 암호실을 점검 할 수 있다.
②암호실의 점검관은 암호취급인가를 받은자에 한하여 임명될 수 있으며, 점검관으로 임명된 자는 그 임무를 제3자에게 위임하거나 대행하게 할 수 없다.
③암호실 점검관은 불법암호의 사용과 암호자재의 위규사용 등을 조사하기 위하여 암호취급기관의 암호관리 실태를 점검할 수 있다.
④행정자치부장관으로부터 통보된 점검결과 위규사항에 대하여는 적절한 대책을 강구하여야 하며, 보안위규를 범한자에 대하여는 위법 조치하고 그 결과를 행정자치부장관에게 통보하여야 한다.
제52조(보안시스템 관리실태 점검) 행정자치부장관은 행정기관의 장과 협조하여 보안시스템 관리실태 등을 점검할 수 있다. 이 경우 점검결과 드러난 문제점을 행정기관에 통보하고 행정기관의 장은 이에 대한 보안대책을 강구하여야 한다.
제53조(복제․복사 금지) 보안시스템은 어떠한 경우에도 복제․복사할 수 없으며 다른 기관이나 개인에게 임의 대여할 수 없다.
제54조(사용제한)행정기관의 장은 국가정보원장이 승인하지 아니한 보안시스템이나 외국에서 생산한 보안시스템을 무단으로 사용하여서는 아니 되며, 보안시스템을 주한 외국인 및 주한 외국기관(대사관, 외국군 등)에 제공할 수 없고, 외국으로 반출할 수 없다. 다만, 부득이하다고 판단되는 경우에는 사전에 행정자치부장관을 경유하여 국가정보원장의 승인을 받아 사용할 수 있다.
제 2 절 암호장비
제55조(제작) 행정기관의 장은 암호장비를 제작할 경우에는 다음 각호의 사항에 따라야 한다.
1. 암호장비는 지정된 제작업체에서 제작하여야 한다.
2. 제작된 암호장비의 외부에 일반적인 운용상의 기능, 형식승인 번호, 기관번호 및 일련번호를 제외한 어떠한 표지도 하여서는 아니 된다.
3. 제작된 암호장비의 검사는 제작을 의뢰한 행정기관장의 책임 하에 행하여야 한다. 다만, 비닉부분에 대한 검사는 국가정보원장에게 요청하여 실시하여야 한다.
제56조(사용승인 요청) 행정기관의 장이 정보통신보안을 위하여 암호장비를 사용하고자 할 경우에는 다음 각 호에 정하는 사항을 구비하여 국가정보원장의 승인을 받아야 한다.
1. 사용목적
2. 사용기관
3. 암호장비의 종류, 소요량 및 산출근거
4. 관련 보안시스템 제원
5. 대상 정보통신망 구성도
6. 보안대책
7. 기타 참고자료
제57조(설치) ①행정기관의 장은 암호장비 설치장소를 선정할 경우 보안사고(분실, 도난, 피탈 등)를 방지하기 위하여 다음 각 호의 제반 보안대책을 강구하여야 한다. 다만, 부득이한 경우에는 행정자치부장관과 협의하여야 한다.
1. 보호구역 설정
2. 이중 잠금장치가 된 보관함 설치 운용
3. 사진 촬영금지
4. 비인가자 출입통제
5. 화재예방 대책 등
②제1항에 불구하고 암호장비에 대한 별도 운영체계가 수립된 경우에는 이를 따른다.
제58조(등록)암호장비 사용기관의 장은 암호장비 설치 후 30일 이내에 행정자치부장관에게 암호장비 운용관리현황(별지 제9호 서식)에 의거 통보하여야 하며, 행정자치부장관은 지체없이 이를 국가정보원장에게 등록하여야 한다.
제59조(성능개선 등) 암호장비 사용기관의 장은 암호장비의 성능개선이나 운용 편의성 제고 등이 필요하다고 판단되는 경우에는 그 사유서를 작성하여 행정자치부장관에게 요청하여야 한다.
제60조(운용관리) ①암호장비를 설치 운용하고 있는 행정기관의 장은 보안시스템 관리기록부(별지 제10호 서식)를 비치하고 기록․유지하여야 한다.
②암호장비의 비닉체계 및 키 운용체계와 관련된 서류 등 결과물(암호논리, 보안모듈, 키 주입기 등)은 비밀로 분류하여야 한다.
③암호장비의 고유명칭, 제원, 대상국소 및 수량 등 운용현황이 기록된 문서는 대외비 이상으로 분류하여야 한다.
④암호장비 취급책임자는 설치 운용중인 암호장비의 보관상태 및 정상 작동여부 등 이상 유무를 수시로 점검하고 그 결과를 월 1회 보안시스템 점검기록부(별지 제11호 서식)에 기록 유지하여야 하며 관리책임자는 점검여부를 확인하여야 한다.
제61조(비밀소통 기준) 암호장비의 비밀소통 기준은 기종 및 운용하고자하는 정보통신망의 특성을 고려하여 장비 개발 완료시 기종별로 국가정보원장이 기준을 정한다.
제62조(운반 및 전시) ①암호장비는 취급책임자가 직접 운반하여야 하며 이를 확인하기 위하여 보안시스템 증명서(별지 제12호 서식)을 사용한다.
②암호장비를 운반하거나 전시하고자 할 경우에는 보안사고(분실, 도난, 피탈 등)를 방지하기 위한 보안대책을 강구하여야 한다.
③암호장비 운반이나 전시(展示)도중 보안조치가 필요할 경우에는 가까운 경찰서나 군부대에 암호장비의 보호를 요청할 수 있다. 이 경우 요청받은 기관은「국가 정보보안 기본지침」제66조에 의거 운반 및 전시에 필요한 조치를 지원하여야 한다.
④암호장비의 운반이나 전시 중에 사고가 발생한 경우에는 즉시 행정자치부장관을 경유하여 국가정보원장에게 통보하여 필요한 후속 조치를 행(行)할 수 있도록 하여야 한다.
제63조(정비) ①암호장비 사용기관에서의 정비는 비닉부분을 제외한 일반부분으로 제한하며 비닉부분의 정비는 암호장비 제작업체에서 행하여야 한다. 다만, 비닉부분이 완전 밀폐된 별개의 구성품으로 되어 있을 경우에는 사용기관에서 예비용으로 교체할 수 있다.
②암호장비 정비장소는 보호구역으로 설정하여야 하며, 정비절차는 암호장비 사용기관의 장이 정한다.
③암호장비 사용기관의 정비요원은 암호취급인가를 받아야 한다.
제64조(파기) ①암호장비 사용기관의 장이 암호장비를 파기하고자 할 때에는 다음 각 호의 사항을 행정자치부장관을 경유하여 국가정보원장에게 제출하고 승인을 받아야 하며, 긴급 파기계획은 평시에 수립하여야 한다.
1. 파기사유
2. 장비명칭, 수량 및 등록번호
3. 파기일시 및 장소
4. 파기방법
5. 파기자
②암호장비 사용기관의 장은 긴급사태 발생 등으로 암호장비를 안전하게 보호할 수 없을 때에는 긴급 파기할 수 있으며, 파기 후 제1항 각 호의 사항을 행정자치부장관을 경유하여 국가정보원장에게 지체 없이 통보하여야 한다.
제65조(인계인수) ①행정기관의 장은 암호장비 운용관리 정․부 책임자가 교체시에는 인계인수를 실시하여야 하며 보안시스템 관리기록부(별지 제10호 서식)의 최종 기록 여백에 인계인수 사항을 기록 유지하여야 한다.
②인계인수를 할 경우에는 다음 각 호의 사항을 확인하여야 한다.
1. 암호장비의 종류와 수량
2. 납봉 또는 봉인표지의 이상유무
3. 암호장비의 정상 작동여부
4. 암호논리․키 수록매체(메모리카드 포함) 및 운용법 등 관련자료 이상 유무
제66조(외국산 암호장비 사용) ①외국군 또는 외국기관과의 합동통신망에 설치 운용되는 외국산 암호장비는 당해 국가와의 협정에 의거 행정기관 장의 책임 하에 운용 관리하여야 한다.
②제1항에 의한 암호장비를 설치 운용하고자 할 경우에는 사전에 보안대책을 강구하여야 하며 운용추진 경위 및 그 현황을 행정자치부장관에게 통보하여야 한다.
제67조(현황통보) 암호장비 사용기관의 장은 다음해 6월 30일 까지 암호장비 운용관리현황(별지 제9호 서식)을 작성하여 행정자치부장관에게 제출하여야 한다.
제 3 절 암호 및 음어․약호자재
제68조(제작) 행정기관의 장은 암호자재를 제작할 경우 다음 각호의 사항에 따른다.
1. 국가정보원장은 암호자재를 제작하여 필요한 기관에 배부한다. 다만, 필요시 사용기관에 암호자재 제작을 위임할 수 있다.
2. 암호자재 제작을 위임받은 행정기관의 장은 암호 및 비닉 체계에 대하여 국가정보원장의 인가를 받아야 한다.
제69조(암호자재 취급기관) ①암호자재를 취급하는 기관은 등록 암호자재 취급기관(이하 "등록기관"이라 한다)과 위임암호자재 취급기관(이하 "위임기관"이라 한다)으로 구분한다.
②국가정보원장이 지정한 등록기관과 행정자치부장관이 지정한 위임기관은 다음 각호와 같다.
1. 등록기관 : 행정자치부 전자정부본부
2. 위임기관 : 시․도․특별자치도
제70조(취급기관의 임무) 암호자재 취급기관의 임무는 다음 각호와 같으며 경상북도는 울릉군의 자재운영관리를 지도․감독하여야 한다.
1. 등록기관의 임무
가. 암호자재의 운영관리 및 지도감독
나. 암호취급 인가자에 대한 암호교육 훈련
다. 위임기관에 대한 자재 및 암호취급소의 지도조정 및 검열
라. 암호자재 보안에 관한 업무의 발전책 연구
마. 암호자재 수령․배포 반납에 관한 사항
2. 위임기관의 임무
가. 암호자재의 운영관리
나. 암호취급인가자의 숙달훈련
다. 암호실의 관리
제71조(사용신청) ①암호 및 음어자재를 사용하고자 하는 행정기관의 장은 다음해의 연간 소요량(소속기관용 포함)을 파악하여, 매년 10월 31일까지 별지 제13호(암호 및 음어자재 신청서)서식에 의거 행정자치부장관에게 신청하여야 한다.
②직제개편 및 특별한 요인발생 등으로 암호 및 음어자재가 추가 소요되는 행정기관의 장은 다음 각 호의 사항을 반영하여 즉시 행정자치부장관에게 신청하여야 한다.
1. 사용대상 및 용도
2. 자재명 및 수량
3. 자재형태 및 사용주기
4. 정보통신망도
5. 암호실 설치여부
제72조(등록 및 관리) ①행정기관의 장은 자체 제작한 암호 및 음어․약호자재(이하 ‘보안자재’라 한다.)를 행정자치부장관에게 등록하여야 한다.
②보안자재를 보유하고 있는 행정기관의 장은 보안시스템 관리기록부(별지 제10호 서식)을 비치하고 용도별로 구분하여 기록 관리하여야 한다. 다만, 비밀관리기록부에는 등재하지 아니한다.
③보안자재는 사용완료(이하 “반납용”이라 한다)․현용․미래용으로 구분하여 보관하되, 현용을 제외하고는 이를 포장한 후 봉인하여 보관함에 보관하여야 한다.
④암호자재는 암호실내 금고에 보관하고 음어․약호자재는 평시 사용이 가능하도록 별도 관리하되 일과 후에는 이중 캐비닛 또는 금고에 보관하여야 한다.
⑤보안자재 보관함에는 보안자재 이외의 비밀 또는 문건을 혼합 보관하여서는 아니 된다.
⑥보안자재는 수시점검을 실시하고 그 결과를 보안시스템 점검기록부(별지 제11호 서식)에 기록 관리하여야 하며 행정기관의 보안담당관은 월1회 점검사항을 확인하여야 한다.
⑦보안자재 보관함은 그 개봉방법을 2통 작성 밀봉하여 보관책임자와 소속기관장이 관할하는 보관함에 보관하여야 한다. 다만, 보관함 번호가 다이얼식인 경우에는 주기적으로 번호를 변경하여야 한다.
제73조(배부 또는 회수) ①행정자치부장관은 암호 및 음어자재를 정기적으로 행정기관에 배부하되 암호취급자 인감등록서(별지 제14호서식)에 의한 인감등록이 되어 있는 자 또는「국가기관 음어자재 운용매뉴얼」에 규정된 체계에 의해 신분확인이 가능한 자에 한하여 직접 배부하거나 회수한다. 다만, 직접 배부 또는 회수가 불가능할 때에는 비밀취급인가를 받은 사람 중 정책임자의 위임장을 소지한 자에게 배부 또는 회수할 수 있다.
②행정기관이 소관분야에 대해 보안자재를 배부 또는 회수하는 경우에도 인감등록이 되어 있는 자 또는 각급기관이 규정한 체계에 의해 신분확인이 가능한 자에 한하여 직접 배부 또는 회수하여야 한다.
③보안자재를 배부 또는 회수할 경우에는 등록번호가 보안시스템 증명서(별지 제12호 서식)의 기재내용과 일치여부 등을 확인하여야 하며 제63조제2항 내지 제4항의 보안조치를 하여야 한다.
④사용기간이 만료된 보안자재는 지체 없이 배부기관의 장에게 반납 하여야 한다.
제74조(취급 및 운용) ①행정기관의 장은 암호자재 취급 필요성이 있는 자에 대하여 암호취급을 인가한 후 취급하도록 하여야 한다.
②암호취급인가를 대한민국 국적소유자로서 비밀취급인가를 받은 자에 한하여 별도로 임명하여야 한다.
③보안자재의 변경․운용지시는 제작기관의 장이 대외비로 하달한다.
④비밀을 정보통신 수단으로 수발할 경우나 비밀이 아니더라도 국가이익을 해할 우려가 있는 내용이 있는 경우에는 보안자재 사용을 원칙으로 한다.
⑤같은 내용의 전문을 암호문과 평문으로 이중 송신하거나 평문으로 문의하거나 암호문과 평문을 혼용하여서는 아니 된다.
⑥비밀이 아닌 일반문서 내용을 암호자재로 소통한 경우에는 전문우측 상단에 암호송신, 암호수신을 표시하여 관리하여야 한다.
⑦지편식 암호자재 사용시 사용현황을 지편자재 사용기록부(별지 제15호서식)에 기록하여 이중 또는 미사용이 발생하지 않도록 하여야 한다.
제75조(소통 기준) ①암호자재는 Ⅱ급비밀 이하의 내용을 소통하는데 사용할 수 있다.
②음어자재는 Ⅲ급비밀 이하의 내용을 소통하는데 사용할 수 있다.
③약호자재는 대외비 이하의 내용을 소통하는데 사용할 수 있다.
④보안자재는 비밀이 아니더라도 국가이익을 해할 우려가 있는 내용을 정보통신수단으로 송수신할 경우에 사용할 수 있다.
제76조(암호실 설치 및 폐쇄) ①행정기관의 장은 암호자재를 활용하여 암호작업을 할 경우에는 다음 각 호의 구비요건을 갖춘 암호실을 설치 운용하여야 한다.
1. 통신소와 인접하고 비인가자 출입통제가 용이한 곳에 설치
2. 출입문 이중 잠금장치(자동잠금)와 창문에 철제 보호망 및 외부 투시 차단장치 설치
3. 출입문외 천장 등을 통한 외부통로 차단
4. 암호자재 보관용 금고 구비
5. CCTV, 지문인식기 등 과학보안장비 운용 등 경계대책 및 안전지출 계획 수립
②암호실의 폐쇄는 행정기관의 장 책임 하에 행하고 암호실을 폐쇄할 경우에는 암호자재를 지체 없이 배부기관의 장에게 반납하여야 한다.
③암호실을 설치하거나 폐쇄한 경우에는 행정자치부장관에게 그 내용을 통보하여야 한다.
제77조(암호실 출입통제) ①암호실에는 행정기관의 장, 암호취급자 및 국가정보원장이 인가한 자 이외에는 출입할 수 없다.
②암호실에는 암호실 및 암호취급자 현황(별지 제5호 서식) 및 암호실 출입자 기록부(별지 제6호 서식)에 의거 암호실 출입자를 통제하고 그 내용을 기록 유지하여야 한다.
제78조(암호실의 표지와 경비) ①암호실에는 “출입제한” 표지 이외의 암호취급을 나타내는 어떠한 표지도 하여서는 아니 된다.
②암호실은 무장경비원에 의하여 경비되어야 한다. 다만, 군(軍) 이외의 기관으로서 무장 경비원을 둘 수 없는 경우에는 이에 상당하는 특별 경비조치를 취하여야 한다.
제79조(암호실 검열) ①국가정보원장이 임명한 암호실 검열관은 모든 암호취급기관에 대한 검열을 할 수 있다.
②암호실 검열관은 암호취급인가를 받은 자에 한하여 임명될 수 있다. 단, 검열관으로 임명된 자는 그 임무를 제3자에게 위임하거나 대행하게 할 수 없다.
제80조(인계인수) ①보안자재를 취급하는 정․부 책임자가 교체 또는 해임되거나 1개월 이상 부재중인 경우에는 암호자재 등을 인계인수하여야 한다.
②암호자재 정책임자가 1개월 이상 부재중인 때에는 부책임자가 직무를 수행할 수 있도록 암호자재를 인계인수하여야 한다.
③보안자재를 인계인수할 때에는 보안시스템 관리기록부(별지 제10호서식)의 최종기록 여백에 인계인수사항(명칭, 수량, 등록번호 등)을 기록 확인하여야 한다.
제81조(파기) ①보안자재의 파기는 일반파기와 긴급파기로 구분한다.
②일반파기는 반납용 보안자재를 파기하는 것으로서 회수한 자재는 제작기관의 장이 지정하는 자가 파기한다.
③긴급파기는 긴급사태 발생으로 보안자재의 보안관리가 곤란한 경우에 파기하는 것으로 당해 사용기관의 장의 책임 하에 다음 각 호의 순서에 따라 파기한다.
1. 긴급한 사태가 발생하였을 때에는 상황 악화정도에 따라 반납용․미래용․현용 순으로 파기한다.
2. 현용 보안자재를 계속 보유할 수 없을 때에는 공통용․단독용 순으로 파기한다.
3. 암호문과 평문 및 그 관련서류는 보안자재의 파기에 앞서 파기 하거나 이와 병행하여 파기한다.
④제2항 내지 제3항에 따라 보안자재를 파기한 경우에는 다음 각 호의 사항을 지체 없이 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
1. 파기일시 및 장소
2. 보안자재 수량 및 등록번호
3. 파기이유 및 방법
4. 파기자 및 참여자의 직책, 성명
5. 긴급 파기계획은 평시 수립해야 한다.
제82조(현황통보) 행정기관의 장은 보안자재의 운용결과 및 보유실태를 별지 제5호(암호실 및 암호취급자 현황)․제15호(지편자재 사용기록부)․제16호(암호 개발요원 현황)․제17호(암호 및 음어․약호자재 보유현황)서식에 의거 종합 작성하여 다음해 1월 31일까지 행정자치부장관에게 통보하여야 한다.
제 4 절 암호논리
제83조(개발) ①행정기관의 장은 암호논리를 개발할 경우 다음 각호의 기준에 따라 개발한다.
1. 행정기관이 사용하는 암호논리는 국가정보원장이 개발하여 보급한다. 다만, 필요시 자체적으로 암호논리를 개발하여 사용할 수 있으며, 이 경우 행정자치부장관을 경유하여 국가정보원장의 안전성 평가․승인을 받아야 한다.
2. 암호논리를 개발하는 행정기관의 장은 제19조 및 제22조 및 제44조에 따라 개발실 보안대책을 강구 시행하여야 한다.
②암호논리를 개발하는 행정기관의 장이 국가정보원장에게 안전성 평가․승인을 요청하고자 할 경우에는 다음 각 호의 사항을 첨부하여 행정자치부장관에게 신청하여야 한다.
1. 암호알고리즘, 소스프로그램 등 최종 비닉방식 및 체계설명서
2. 안전성 평가 등 관련자료
제84조(요청) ①암호논리를 제공받고자 하는 행정기관의 장은 운용하고 있는 보안자재의 적합성여부 검토와 키 관리방안 등 보안대책을 강구한 후 행정자치부장관에게 암호논리를 요청하여야 한다.
②암호논리를 요청할 경우에는 다음 각 호의 자료를 첨부하여야 한다.
1. 사용 목적
2. 보안시스템 구성도 및 동작 프로토콜
3. 암호키 관리방안
4. 보안시스템 구성요소별 기능 및 제원
5. 보안서비스 요구사항
제85조(설치 및 운용) ①암호논리의 키 주입과 운용은 행정기관의 장 책임 하에 행하여야 하고, 행정자치부장관은 키 운용현황을 국가정보원장에게 통보하여야 한다.
②암호논리의 키 주입 절차와 방법은 행정자치부장관이 정한다.
③암호논리를 운용하는 행정기관의 장은 암호논리와 관련된 키를 안전하게 관리하여야 하며 주기적으로 키를 변경 운용하여야 한다.
제86조(보안관리) ①승인된 암호논리의 세부구조를 알 수 있는 설계도, 소스코드 등은 비밀로 분류하고 암호논리를 개발하고자 하는 자는 제47조의 규정에 의거 암호취급인가를 받아야 한다.
②암호논리가 내장된 보안시스템이 설치된 장소는 보호구역으로 설정하고, 암호장비에 준하여 관리하거나 이에 상응한 보안대책을 강구하여야 한다
제87조(반납 및 파기) 실용성이 상실되거나 유효기간이 만료된 암호논리는 행정자치부장관에게 반납하여야 하며, 행정자치부장관의 책임 하에 파기(소자)하고 국가정보원장에게 그 결과를 통보하여야 한다.
제88조(현황통보) 암호논리를 사용하는 행정기관의 장은 매년 12월말을 기준으로 암호논리 운용현황(별지 제18호 서식)에 의거 암호논리 운용현황을 작성하여 다음해 6월 30일까지 행정자치부장관에게 통보하여야 한다.
제 5 절 정보보호시스템
제89조(도입) ①행정기관의 장은 소관 정보를 보호하기 위하여 정보보호 기능이 탑재되었거나 사이버안전기술이 적용된 상용 보안시스템을 도입하고자 할 경우에는 보안적합성 검증된 제품이어야 한다.
②보안적합성 검증되지 않은 제품을 도입하고자 하는 행정기관은 제11조의 보안성검토 요청시 제45조의 보안적합성 검토를 병행하여야 한다.
제90조(운용실태 확인) 행정자치부장관은 보안시스템의 정상적인 운영 및 보안수준 유지 등을 보장하기 위해 도입한 행정기관의 장과 협조하여 운용실태 확인을 위한 조치를 수행할 수 있다.
제91조(관리자 지정) ①행정기관의 장은 보안시스템을 관리하는 보안관리책임자(이하 ‘보안책임자’라 한다)를 지정․운용하여야 한다.
②행정기관의 장은 보안시스템 관리자 및 운용요원을 임명할 때에는 정보통신망 및 정보통신시스템의 안전․신뢰성 및 보안관리를 위하여 확인절차 및 선발기준을 수립 시행하여야 한다.
제92조(운용 및 보안관리) ①행정기관의 보안책임자는 보안시스템을 비인가자의 출입통제가 용이한 장소에 설치하여야 한다.
②보안책임자는 보안시스템 선정시 다음 각호의 사항을 반영하여야 한다.
1. 행정기관에 적용 가능한 평가등급을 획득하고 인증서를 받은 제품
2. 행정기관의 소관업무 및 정보시스템(정보통신망 포함) 특성을 지원할 수 있는 제품
3. 지속적인 유지보수 및 정보보호 운용기술 지원능력을 구비한 업체의 제품
4. 보안적합성 검증필한 제품이거나 행정자치부장관이 인정한 행정정보보호용시스템으로 등록된 제품
③보안책임자는 운용요원에 대하여 다음 각 호의 사항에 대한 교육․훈련계획을 체계적으로 수립․시행하여야 한다.
1. 운용관리 직무지식
2. 시스템 취약성 분석 및 보안진단 방법
3. 보안사고 발생시 긴급 대응능력 등
④보안책임자는 보안시스템 설치시 요구되는 시험절차와 보안관리 기준을 사전에 수립․시행하고, 설치 결과에 대해서는 행정자치부장관에게 승인을 받아야 한다.
⑤보안책임자는 보안시스템에서 P2P 등 업무에 불필요한 서비스 사용을 금지하고 관련서비스 포트를 차단하도록 패킷 필터링 정책을 설정하여야 한다.
⑥분임보안담당관은 주기적으로 다음 각 호의 사항을 점검하여 결과를 정보통신보안담당관에게 통보하여야 한다.
1. 정보보호시스템에 일반사용자 계정이 있는지 여부
2. 정보보호시스템 사용자 권한 설정의 적절성 여부
3. 정보보호시스템 기능에 영향을 줄 수 있는 프로그램 설치 및 은닉 여부
4. 정보보호시스템에 대한 비인가자의 물리적․기술적 접근 차단 대책
5. 주기적인 보안패치 및 업그레이드 여부
6. 비인가자의 침입여부를 확인하기 위한 시스템 접근기록 등
⑦행정기관의 장은 정보보호시스템을 설치할 때에 보안기능 설정을 위하여 국가정보원장에게 기술지원을 요청할 수 있다.
제93조(목적이외 사용제한) 행정기관의 장은 보안시스템을 사용할 경우 설치 목적이외 사용 및 보안기능의 임의변경 등을 하여서는 아니 된다.
제94조(사용자 관리) 행정기관의 보안책임자는 복수의 사용자가 보안시스템을 공동 사용하는 경우에 사용자에 대한 효율적 관리를 위하여, 다음 각 호의 사항을 반영하여 사용자관리대장을 작성 비치하여야 한다.
1. 소속기관 및 부서, 사용자이름, 사용자계정, 비밀번호
2. 사용자계정 부여일자 및 유효기간
3. 사용자의 현재 상황(근무, 휴가, 출장, 사용중지 등)
제95조(긴급사태 관리) 행정기관의 보안책임자는 인위적․자연적으로 발생되는 보안시스템 장애, 가동 중지 등 긴급사태에 대비하기 위하여 제33조 “재난복구 대책”을 참조하여 다음 각 호의 백업 및 복구 절차 등을 수립․시행하여야 한다.
1. 긴급사태에 대비한 조직, 임무 및 업무처리 절차
2. 백업시설 구성, 백업방법 및 절차
3. 정상상태로의 복구절차
4. 긴급사태에 대비한 정기적 훈련과 교육실시 등
제96조(현황작성 비치) 행정기관의 장은 정보보호시스템 운용현황(별지 제21호서식)에 의거 보안시스템 설치 및 운용현황 등을 작성 비치하여야 한다.
제 6 장 사이버공격 대응 및 조치
제97조(관제) ①행정기관의 장은 불법침입, 해킹프로그램․웜․바이러스 유포 등의 사이버공격에 신속히 대응 및 조치하기 위하여 사이버침해를 대응하기 위한 관제실(이하 “보안센터”이라 한다)을 구축․운영하여야 한다.
②제1항에 따라 구축된 보안센터는 다음 각 호의 역할을 수행한다.
1. 사이버위협 관련 정보의 탐지 및 정보공유체계의 구축․운영
2. 사이버공격 관련 경보 발령시 대응활동
3. 사이버침해 사고 대응․복구
4. 사이버침해 대응 보안시스템 개발․운용
5. 사이버공격 기법 분석 및 공격차단 등 대응방안
6. 긴급사태에 대비한 정기적 훈련과 교육실시
7. 그 밖에 경보의 수준별 세부 대응조치 등 필요한 사항
③행정기관의 장은 보안센터의 업무 수행과 관련하여 필요하다고 인정하는 경우에는 행정자치부장관에게 지원을 요청할 수 있다.
제98조(초동조치) ①행정기관의 장은 소관 정보시스템 및 정보통신망에 대하여 사이버공격 인지시 피해실태를 파악하고 관련 로그자료 보존하여야 하며, 필요시 정보시스템을 정보통신망과 분리하는 등 초동조치를 취하여야 한다.
②행정기관의 장은 단순 웜․바이러스 감염 등 경미한 사항은 행정기관이 자체 처리 후 관련사항을 정보통신담당관을 경유하여 행정자치부장관에게 보고하여야 한다.
③행정기관의 장은 정보통신망 마비 또는 중요 정보자료 유출 등 중대사고 발생시에는 초동조치하고, 즉시 행정자치부장관을 경유하여 국가정보원장의 지원을 받아야 한다. 이 경우 해당 피해시스템은 사고원인 규명시까지 증거보전을 의무화하고 임의 자료삭제 또는 포맷을 하여서는 아니된다.
제99조(경보발령) ①행정자치부장관은 사이버공격에 대한 체계적인 대응 및 대비를 위하여 사이버공격의 파급영향, 피해규모 등을 고려하여 관심․주의․경계․심각 등 수준별 경보를 발령할 수 있다.
②행정자치부장관은 국가정보원장과 협조하여 제1항의 경보 발령에 필요한 정보를 행정기관의 장에게 요청할 수 있다. 이 경우 행정기관의 장은 특별한 사유가 없는 한 이에 협조하여야 한다.
제100조(대응활동) ①행정기관의 장은 소관분야의 사이버공격 대응절차를 수립․시행하고 이행실태를 지속적으로 확인․점검하여야 한다.
②행정기관의 장은 행정자치부장관이 경보를 발령하였을 경우 소관분야 직원을 대상으로 관련사항을 전파하고 대응조치를 이행하여야 하며, 진행상황을 예의주시하는 등 대응절차에 따라 신속하게 대처하여야 한다. 이 경우에는 경보 단계별 조치결과를 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
③행정자치부장관은 사이버공격에 대하여 소관분야의 정보시스템 및 정보통신망에 대한 안전성을 확인할 수 있다.
④행정기관의 장은 사이버안전을 위한 대응절차 기준을 정하고자 할 경우에는 국가정보원장이 제정한「국가사이버안전매뉴얼」을 적극 활용하여야 한다.
제101조(사고통보 및 복구) ①행정기관의 장은 사이버공격으로 인한 사고의 발생 또는 징후를 발견한 경우에는 피해를 최소화하는 조치를 취하고 지체 없이 그 사실을 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
②행정자치부장관은 사이버공격으로 인한 사고의 발생 또는 징후를 발견하거나 통보를 받은 때에는 관계 행정기관의 장에게 사고복구 및 피해의 확산방지에 필요한 조치를 요청할 수 있다. 이 경우 요청받은 관계 행정기관의 장은 특별한 사유가 없는 한 이에 협조하여야 한다.
제 7 장 보안측정
제102조(정보통신보안 측정) ①행정자치부장관이 행정기관의 정보시스템(정보통신망 포함)에 대한 보안취약성을 진단하기 위하여 협의할때 해당기관의 장은 보안측정에 관한 제반 사항에 적극 협조하여야 한다.
②보안측정은 다음 각 호의 경우에 실시한다.
1. 정보보안 사고가 발생하여 정보통신시스템의 보안취약성 진단이 요구될 때
2. 제19조에 의거 지정된 중요 정보통신시설에 대해 사이버공격이나 도청(盜聽)등으로부터의 보호대책이 필요한 경우
3. 정보통신수단에 의하여 국가기밀 유출 및 암호체계의 누설 우려가 있는 경우
4. 정보통신시스템에 대한 보안성 검토와 보안시스템 설치 등과 관련하여 보안대책 확인이 요구되는 경우
5. 행정기관의 장이 정보통신시스템에 관한 보안취약성 점검 또는 종합진단이 필요하다고 판단하여 요청할 경우
6. 기타 국가안보상 필요하다고 판단하는 경우
③제1항에 의거 행정기관의 보안측정을 위하여 행정자치부장관이나 국가정보원장에게 요청하여 실시하는 경우에는 적극 협조하여야 한다.
제103조(대도청(對盜聽) 측정 활동) ①행정기관의 장은 청사(해외공관 포함)를 신설․이전 또는 증․개축하고자 할 때에는 도청방지 대책을 강구하여야 한다.
②행정기관의 장은 전자파 방출 또는 도청장치에 의한 정보 유출을 방지하기 위하여 다음 각 호를 대상으로 대도청(對盜聽)측정 계획을 수립․시행할 수 있다.
1. 보안업무규정에 의한 행정기관의 주요시설, 지역, 정보통신망
2. 기관장 및 주요간부 사무실, 주요회의실
3. 행정기관의 해외공관 및 해외무역관 등
③행정기관의 장은 도청징후를 포착하였거나 중요한 협상이나 회의 또는 회담을 개최하는 장소 및 공사가 진행중인 주요시설 등에 대하여 도청으로부터 위해요소 발굴 제거를 위하여 국가정보원장에게 대도청(對盜聽) 측정을 요청할 수 있다.
④카메라 장착 휴대폰 등을 이용하여 불법적으로 내부 중요자료나 제13조제1항의 중요시설에 대한 사진촬영을 금지토록 하는 등 보안대책을 강구하여야 한다.
⑤디지털․레이저 등 첨단도청장치에 의한 불법도청을 방어하기 위한 보안시스템의 도입․운용할 경우에는 국가정보원장과 사전 협의하여 성능이 검증된 제품을 사용하여야 한다.
⑥정보시스템 사용시 비의도적인 전자파 발생에 의한 기밀유출 방지를 위해 전자파 차폐실을 구축하거나 관련장비를 사용하고자 할 경우에는 국가정보원장이 제정한「전자파 차폐실 구축 및 측정기준」에 근거한 보안성 검토를 의뢰하여야 한다.
⑦주요 사무실에 차폐유리․도료 등 차폐재료 설치를 권장하고 정보시스템은 전자파장애(EMI)․전자파적합성(EMC) 검증을 받은 제품을 사용하여야 한다.
⑧행정기관의 장은 대도청(對盜聽) 보안활동의 중요성과 전자파보안 의식제고 등을 위하여 국가정보원장에게 관련사항의 시연 및 보안교육을 요청할 수 있다.
제104조(대도청(對盜聽)측정 결과조치) ①대도청(對盜聽)측정 결과를 통보받은 행정기관의 장은 도출된 문제점에 대하여 행정자치부장관과 협의하여 필요한 보안방책을 수립․시행하여야 한다.
②행정기관의 장은 대도청(對盜聽) 측정계획 및 결과에 관한 내용을 외부에 공개 하여서는 아니 된다.
제105조(정보통신보안관리 수준평가) 행정기관의 장은「국가사이버안전매뉴얼」을 참고하여 매년 자체 정보통신보안관리 수준을 평가하여야 하며, 그 평가 결과를 심사분석에 포함하여야 한다.
제 8 장 사고처리
제106조(위규) ①정보통신보안 위규사항은「별표2」와 같다.
②행정기관의 장은 정보통신보안 위규를 적발했을 때는 위규자, 위규내용 및 조치사항을 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
③행정기관의 장은 국가안보 및 국가이익에 중대한 영향을 미칠 수 있다고 판단되는 정보통신보안 위규에 대해서는 가장 신속한 방법으로 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
제107조(처리 및 조사) ①행정기관의 장은「별표3」의 정보통신 보안사고가 발생한 때에는 즉시 피해를 최소화하도록 조치를 취하고, 다음 각 호의 사항을 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
1. 일시 및 장소
2. 사고원인, 피해현황 등 개요
3. 사고자 및 관계자의 인적사항
4. 피해내용 및 원인
5. 조치내용
6. 향후대책 등
②행정자치부장관이 사고발생 기관에 대한 사고조사를 실시할 때에는 적극 협조하여야 한다. 다만, 경미한 사고발생에 대해 행정자치부장관이 행정기관의 장에게 사고조사를 위임한 경우에 행정기관의 장은 자체 사고조사를 실시하고 제반 보안조치를 취하여야 하며 그 결과를 행정자치부장관에게 통보하여야 한다.
④행정기관의 장은 정보통신 보안사고 관련자를 관련규정의 징계기준에 의거 처벌토록 하며 사고조사 및 징계결과에 대해 행정자치부장관을 경유하여 국가정보원장에게 통보하여야 한다.
제 9 장 보 칙
제108조(시행세칙) 행정기관의 장은 정보통신보안 업무수행을 위하여 이 지침에 저촉되지 아니하는 범위 내에서 자체적으로 세부규칙을 정할 수 있다.
제109조(준용) 이 지침에 명시되지 않은 사항은 다음 각 호의 관련규정 및 지침에 따른다.
1.「보안업무규정」
2.「보안업무규정시행규칙」
3.「보안업무규정시행요강」
4. 전자문서보안조치수행지침
5. 국가정보보안기술연구개발지침
6. 연도보안업무수행지침
7. USB메모리 등 보조기억매체 보안관리지침
8. 국가사이버안전관리매뉴얼
9.「전자정부보안관리실무매뉴얼」
10. 기타 정보통신 보안관련 법령 및 지침․가이드․매뉴얼
부 칙
①(시행일) 이 규정은 2000.12.1일부터 효력을 발생한다.
②(규정, 지침 등의 폐지) 본 규정의 시행과 동시에 아래 규정과 지침 등은 각각 이를 폐지한다.
1. 행정전산업무보안관리세부지침(총무처, ‘88)
2. 지방행정전산화사업 보안관리 추가지침(내무부, ‘90)
3. 워드프로세서 및 디스켓보안관리지침(내무부, ‘92)
4. 사무용컴퓨터 및 디스켓관리요령(총무처, ‘93)
5. 통신보안업무규정(Ⅲ급비밀, 내무부예규 제675호, ‘87.11)
부 칙
(시행일) 이 규정은 공포한 날로부터 시행한다.
부 칙
(시행일) 이 규정은 발령된 날부터 시행한다.
Comments List