Contract

3-5-9. xxxx xx


1장 총 칙


1(목적) 본 xx은 xx가톨릭대학교(이하 본 대학교라 한다.)의 보xxx사항에 xx xxxx xx체계의 xxx을 제시하고, 이를 바탕으로 xx 법규 및 기타 계약xx xx에 xx하며, 비 인가자에 의한 xx의 xxx, 훼손, 변조, xx 등의 위협으로부터 중요 xx 자산을 xx하 여 업무의 연속성을 보장하고, xxxx 사고로 인한 시스템 및 자원의 피해를 xxx하기 위한 기본 방침을 xx하는 것을 목적으로 한다.

2(xx) 이 xx에서 xx하는 용어의 xx는 다음 x x와 같다.

1. “xx라 함은 본 대학교 업무와 xx하여 생성 또는 입수하여 xx하고 있는 지적 자산 등의 자료로서, 컴퓨터나 저장매체에 xx된 자료를 말한다.

2. “xx시스템이라 함은 다양한 서비스 제공을 위해 xx 또는 xx하는 모든 컴퓨터 하드웨어 와 시스템 소프트웨어, xx프로그램 등을 통칭하며, PC를 포함한다.

3. “캠퍼스통신망이라함은 본 대학교 캠퍼스내에 설치한 xxx 전화망, xxx 전산망 및 CATV망 설비를 통칭한다. , 임의로 설치 xx하는 LAN설비, 사xxx기 및 키폰 등은 제외하 며, 만약 이를 캠퍼스통신망에 접속할 xx는 캠퍼스통신망측 접속장치까지만 캠퍼스통신망으로 간주한다.

4. “xx시스템이라함은 xx시스템 및 캠퍼스통신망을 침해사고로부터 xx하기 위해 설치한 각종 하드웨어 및 소프트웨어를 말한다.

5. “xxx산이라 함은 xx와 xx시스템, 캠퍼스통신망, xx시스템 등을 통칭한다.

6. “xx xx 자산이라 함은 xxx산 구축 및 xx에 필요한 인력, xx, 장비, xx 도서(설계 서, 매뉴얼 등) 등을 말한다.

7. “외부자라 함은 본 대학교와 계약에 의해 용역 및 서비스를 제공하는 외부 전문가 및 외부용 역업체, 기타 본 대학교 xxx산에 접근이 허용된 자 및 업체를 말한다.

8. "침해사고"라 함은 외부 또는 내부의 악의적인 사용자에 의한 비인가된 시스템 xx, 사용자 xx의 xx, 악성코드(/바이러스) 유입 및 실행, xx시스템 방해 등 시스템의 서비스를 왜곡 또는 xx시키거나 시스템을 파괴, 데이터를 변조, 삭제하는 등의 행위를 말한다.

9. “취약점이라함은 시스템의 기능xx, 설계 또는 xx단계의 오류나 xx, 설치 또는 xxxx 문제점으로 인하여 시스템이 지니게 되는 xxxx 약한 부분을 말한다.

3(xx자 및 적용xx) 본 xx은 본 대학교 전 xxx 및 외부자를 xx자로 한다.

본 xx은 본 대학교가 xx 및 xx하고 있는 xxx산 및 xx xx자산을 xx으로 한다. 4(xxxx xx사항) 본 대학교의 xxx산은 다음과 같은 xx사항을 충족xxx 한다.

기밀성 : xx가 권한이 없는 사람에게 공개되지 않아야 한다.

무결성 : xx가 권한이 없는 사람에 의해 xx되지 않고, xx하고 완전한 xx로 유지되어야 한다.

가용성 : 권한이 있는 사람이 xx에 xx 접근을 필요로 할 때, 적정한 시간 내에 xx 가능

해야 한다.

준법성 : 공xxx의 개인xxxx에 관한 법률, xx통신 기반보호법, xx통신망 xx촉진 및 xxxx 등에 관한 법률, 저작권법, xxx보의 xx 및 xx에 관한 법률, 금융실xxx 및 비밀보장에 관한 법률 등 xxxx xx 법적 xx사항을 xxxxx 한다.

5(xxxx 기능 xx사항) xxx산에 xx xxxx xx사항을 충족하기 위하여 보xxx는 다음과 같은 기능 xx사항을 충족xxx 한다.

권한 xx : xxx산을 업무특성 및 중요도에 따라 분류하고 사용자별로 업무xx에 따른 역 할에 따라 xxx산에 xx 접근권한을 부여하고 xxxxx 한다.

식별 및 인증 : xxx산에 접근하고자 하는 사용자를 식별하고 확인xxx 한다.

접근 통제 : 식별된 사용자에게 xxx 권한에 따라 xxx산에 xx 접근을 통제xxx 한다.

책임 추적 : xx 및 xx시스템의 소유자, 운영자, 사용자의 xx 및 책임을 명확히 하고 특정 xx의 책임을 추적할 수 있어야 한다.

기타 기능 : xxx산에 따라 기밀성, 무결성, 가용성 및 준법성 xx에 적합한 기능이 제공되고 xx되어야 한다.

6(xxx산 사용자) 인가된 xx 자산만을 이용할 권한을 가지며, 본 xx을 xx할 xx와 불법 xx에 xx xx 책임을 갖는다.

7(xx 확인) xxx산 사용자의 본 xx 위반은 본 대학교 인사xx에 따라 징계되며, 사안에 따라서는 고발 조치 될 수 있다.

xxx산 사용자가 본 xx을 위반하여 본 대학교에 xxxx xx을 입히거나 이미지를 훼손 시킬 xx에는 민·형사상의 모든 책임을 진다.


2장 xxxx 조직


8(xxx위원회) 본 대학교의 xxx 최고 심의 xx로서 xxxx 사안에 관한 xx 심의 를 xx한다.

xxx위원회 xx 및 기능은 xxx위원회 xx에 따른다.

9(xxxx전문위원회) xxx위원회 산하에 xxxx전문위원회를 다음 x x와 같이 둔다.

1. 위원장을 포함하여 6인 내외의 위원으로 xxx다.

2. 위원은 xxxx을 취급하는 xx 주요부서들의 부서장을 당연직으로 한다.

3. 위원장의 역할은 xxxx책임자가 xx하고, 위원장은 사무처장이 xx한다.

4. 위원장을 포함한 각 위원의 xx는 보직xx기간 및 해당업무기간으로 한다.

5. 위원의 임명은 본교 교원 중에서 위원장의 xx으로 총장이 임명한다.

xxxx전문위원회는 다음 각 호의 사항을 전문적으로 심의 및 검토하고 의결안을 xx하여 xxx위원회에 xx한다.

1. xxxx 정책·xx 및 대책 xx에 관한 사항

2. xxxx xx xx 사업 및 연간계획 xx에 관한 사항

3. xxxx 위반자 심사 및 처리 사항

4. 기타 위 xx에 xx되는 제반 사항

10(xxxx 조직) xxxx 조직은 xxxx책임자와 xxxx 담당부서로 xxx다.

xxxx 담당부서는 xx보xxx자(xxxx 실무 책임자) 및 xxxx담당자(xxxx 실무 운영자), 침해사xxx팀(침해사고 예방/탐지/xx 전담)으로 xxx다.

xxxx책임자는 사무처장이 xx한다.

11(xxxx책임자의 역할) xxxx책임자는 xxxx xx업무를 총괄하며, 다음과 같은 업무를 xx한다.

①「공xxx의 개인xxxx에 관한 법률에 따른 개인xxx리책임관으로서의 역할

xxxx전문위원회 위원장으로 참여

xxxx 정책 및 xx의 검토

xxxx 대책의 xx

xxxx 업무의 xx 감독 등

12(xx보xxx자의 역할) xx보xxx자는 xxxx 담당부서의 부서장이 담당한다.

xx보xxx자는 xxxx책임자로부터 위임받은 업무와 적절한 xxxx xx을 xxx기 위하여 다음과 같은 업무를 xx한다.

1. xxxx 정책·xx 및 비상·재난 대책 xx

2. xxx산 신·증설에 따른 xx성 검토

3. xxxx 연간 계획 xx과 집행

4. xxxx xx xx에 관한 xx 감독과 xx 위반자 심사 및 처리

5. xxxx전문위원회 xx

6. 기타 보xxx 대외협력 담당 등

13(xxxx담당자의 역할) xxxx담당자는 xx보xxx자가 xx하며, 다음과 같은 xxxx xx 실무업무를 담당한다.

xxx산목록의 xxx수

xxx산의 xx성 검토

xx시스템의 xx 및 xxx리

xxx산 xx xx 모니터링 및 xx 위배사항에 관한 조치

침해사고 xx 및 xx처리, xxxx 감사업무 처리

xxxx xx 및 xxx 교xxx, 계약xx 지도

기타 위 xx에 xx되는 제반 사항

14(침해사xxx팀의 역할) xx보xxx자는 xxxx 사고를 사전에 탐지하고 예방하며, 침해사고 발생 시 신속하고 효과적으로 사고를 처리하고 xx하기 위해 침해사xxx팀을 xxx여 xx하며, 다음과 같은 업무를 담당한다.

1. 침해사고 예방을 위한 정기적인 취약점 분석

2. 침해사고 예xxx xx 및 교육

3. 침해사고 발생 접수 및 처리

4. 침해사고 xx

5. 외부 xx과의 협력xx 마련

6. 대외 xx 및 법적 xx 방안 마련 등

침해사xxx팀은 대외 유사xx과의 협력체계 유지 및 침해사고에 xx 전문적 xx 확보를 위해 외부 전문인력을 xxx여 별도 조직으로 xx할 수 있다.

침해사xxx팀원은 xxxx담당자를 xx으로 xxx며 필요에 따라 xxxx 업무 이외의 업무담당자를 포함할 수 있다.


3장 xxxx


1절 xxx산xx


15(xxx산 분류) xx : 데이터베이스(DB)나 xx의 xx로 저장된 xxx보 및 xxx산 xx에 필요한 문서 등

소프트웨어 : 운영체제(OS), 시스템소프트웨어(웹서버, 데이터베이스xx시스템 등), 업무용 xx

프로그램, xx소프트웨어, 통신소프트웨어, 기타 개발 및 xx용 소프트웨어 등

하드웨어 : 컴퓨터 및 컴퓨팅자원(서버, PC ), 백업장비, 캠퍼스통신망장비(스위치, 라우터, 허브, 전화교환기 등), xx장비, xx매체 등

부대설비 : 전원공급장치, 출입통제장비, UPS, CCTV 등의 부대설비 자산 등

16(xxx산의 등급) xxx산의 등급은 xxx산의 기밀성, 무결성, 가용성에 대하여 평가하고 침해사고 발생시, 재정적, 이미지xx, 사생활침해, 경쟁력, 업무 xx면에서의 xx을 측정하여 다음과 같이 분류한다.

1등급(VL) : 재정적 xx만이 있으며 그 xx가 xx함

2등급(L) : 재정적, 이미지xx 등의 면에서 약간의 xx은 있으나. 법에 위배되지 않음

3등급(M) : 법에 위배되며, 소규모 재정적 xx과 조직xx과 xx 등에 지장을 xx함

4등급(H) : 법에 위배되며, 중규모 재정적 xx과 xx업무 등에 심각한 xx을 xx함

5등급(VH) : 법에 위배되며, 대규모 재정적 xx과 경쟁력에 심각한 xx을 미처, 조직 자체의 존립에 xx을 xx함

17(xxx산 목록xx) xxxx담당자는 본 대학교 자산목록을 바탕으로 xxx산목록을

작성하여 xxxxx 한다.

xxxx담당자는 xxx산목록에 등록된 자산에 대해 자산 평가를 실시하고 자산의 등급을 파악한다.

xxxx담당자는 해당부서의 xx시스템, xx시스템, 캠퍼스통신망 장비 등의 도입, 설치, xx, xx, 폐기 등의 사유로 xx성 검토 xx 시, xxx산목록도 갱신하여 최신의 xx로 xxx여야 한다.

xx보xxx자는 연 1회 xxx산목록을 토대로 자산xx을 점검하고 xx사항을 갱신 한다. 자산실사 결과 및 xx사항에 대해서는 xxxx책임자에게 보고한다.

18(xxx산의 도입 시 xx성 검토) 안전성 및 침해사고의 방지를 위해 xx시스템, xx 트웨어 등과 같이 xx성 검토가 xx되는 xxx산의 도입 시에는 xx된 구매절차와 더불어

xx성에 xx 검토를 실시한다. , 공신력 있는 xx의 인증된 제품에 대해서는 생략할 수 있다.

xx성 검토는 xxxx담당부서에 의해 xx되어야 하며, 필요 시 외부xx전문가 및 전문 업체를 통한 협력검사를 실시한다.

xx성에 xx 검토 결과를 장비xx에 xx 평가자료에 반영한다.

19(xxx산의 설치 및 xx) xxx산의 설치 및 xx으로 인하여 서비스 연속성에 xx이 있을 xx는 이를 사전에 xxx여야 한다.

xxx산의 설치 및 xx 시에는 보xxx 기술적 xx 조치사항을 고려하여 적용한다.

xxx산의 xx부서는 설치 또는 xx되는 xxx산에 xx 보xxx을 최신의 xx로 유지 xxx 한다.

xx시스템, xx시스템, 캠퍼스통신망 장비 등 보xxx xx되는 xxx산의 설치가 종료된 후에는 xx 담당자는 보xxx 및 xx기능 등이 정상적으로 설치되었는지 확인하고, xxxx 부서에 검토를 xx한다.

xx시스템과 기밀xx를 처리하는 서버, 주요 통신망 장비는 설치 시 다음 사항을 xxxxx 한다.

1. 제한 구역 내에 설치xxx 하며, 7X 24시간 X 365일 모니터링 가능한 곳에 설치 xx 하고 비인가자의 불법접근 및 xxxx xx을 xxx기 위하여 물리적인 출입 통제가 xx되도록 한다.

2. 설치 위치를 xx함에 있어 xx, 침수, xx, xx 등 발생 가능한 다양한 xx의 위험을 고려 xxx 한다.

3. 장비가 위치한 곳에서의 음식물, 인화성물질 등의 반입 및 흡연을 xx한다.

20(xxx산의 xx 및 폐기) 하드웨어의 xxxx 폐기 시 해당 하드웨어 관리자는 반출 전에 하드웨어에 적재된 모든 xxxxxx, 로그xx, 비밀번호 등을 포함한 일체의 xx을 초기화 또는 삭제xxx 한다.

하드디스크 등의 저장장치가 부착된 하드웨어(서버, 스토리지, PC )는 xxxx 폐기 시, 분리하여 별도 파기하거나 xx된 데이터를 삭제하고 포맷xxx 한다.

하드웨어 관리자는 xxxx 폐기장비 반출 전에 xxxx담당부서에 확인을 xxxxx 한다.

백업 미디어 등과 같은 xx매체는 폐기 시 데이터 삭제 및 포맷 후 폐기xxx 하며, 필요한 xx 물리적으로 완파xxx 한다.

xxx산 xx에 필요한 문서 등은 안전하게 파쇄 또는 소각해야 한다.

xxx산의 폐기를 전문 업체를 통해 xx할 xx, xx의 xx과 관련한 xx사항을 계약서에 반영xxx 한다.

21(위험 분석) xxxxx 할 xxx산에 xx 효과적인 xx대책 xx을 위하여 매년 1회 xx감사 xx 시 실시한다. 본 대학교의 위험분석 방안은 다음과 같다. , 위험분석을 위해 외부 xxx관에 의뢰한 xx 해당 xxx관의 위험분석 방법론에 따라 자산분석 및 위험분석을

xx할 수 있다.

자산평가 : 본 xx 제 16조에 따른다.

위협평가 : xx 자산에 피해를 가 할 수 있는 잠재적인 위협 요소를 파악하고 , 이러한 위협의 발생 확률 또는 빈도와 자산에 xx 해를 입는 xx 등을 xx으로 평가한다.

취약성평가 : xxx산xx 조직 목표에 손해를 끼치는 xxx 될 수 있는 각종 시스템, xx 트웨어, 조직, 절차 등의 약점을 확인하고 평가한다.

위험평가 : 자산, 위협, 취약성 평가 결과에 따라 6등급으로 평가한다.

22(xx대책 xx) xx대책 xx의 효과적인 이행을 위하여 xx 가능한 위험의 xx (DoA: Degree of Assurance)을 정하고, DoA 이하의 xxx가 낮은 위험은 xx 가능한 위험으로, DoA를 초과하는 xxx가 높은 위험은 xx 불가능한 위험으로 분류한다.

xx 불가능한 위험에 대하여, 위험을 xx시키기 위한 통제방안을 국내·외 보xxx xx의 통제xx에서 xxx고, 이를 구체적으로 xxx기 위한 xx대책을 xx한다.


2절 인사 xx 및 xx 교육


23(인사 xx) xxxx의 위협과 취약점에 대해 관련자들이 해당 xx을 충분히 이해하고, xxxx 정책에 따라 업무를 xx해야 한다.

본 대학교 xx 시스템을 xx하는 모든 xxx 및 제 3 자에 의한 실수, 사기, 도난, xx 등 으로부터 xx되는 위험을 제거하거나 xxx하기 위한 방안들을 xx해야 한다.

이와 관련된 사항은 xx업무 xx xxxx 제2장 에서 xx 바에 따른다.

24(xx 교육 기본원칙) xxxx 교xx 전 교직원을 xx으로 매년 2회 이상 실시한다.

교직원의 xx/전보(인사이동) 시 xx업무 xx xxxx 의거하여 xxxx 교육을 실시하 xx 하며, 이후에는 연간 xxxx교육계획에 따라 xx한다.

다음과 같은 사항의 발생 시 비정기적인 교육을 실시 할 수 있다.

1. xxxx 정책·xx 또는 직무 등의 xx

2. 새로운 xx위협의 발생

3. 법적 xx사항에 xx 대책xx

4. 기타, 본 대학교의 xxxx xx업무와 관련한 교육의 필요성이 있는 xx

xxxx 교육계획xx은 xxxx 담당부서가 하며, 교육의 xx은 교육전담부서(총무과)가 맡는다.

xxxx 담당부서는 정책 및 xx, xx가이드라인x x·개정 등이 이루어 진 xx, 필요에 따라 비정기 xx교육을 xx할 수 있다.

xxxx 담당부서는 xxxx 교육계획을 충실히 이행하고 교육실적을 xxxxx 한다.

xxxx 담당부서는 전자 게시판 등을 xx하여 직원의 xxxx xx제고를 위한 지속적인 xx를 실시한다.

외부자에 xx 교육은 xxxx 담당부서 및 업무xx부서의 협의에 따라, 업무xx 시작 시점과 업무xx 중 필요 시 xx하며, 교육의 xx은 해당 외부자의 업무에 따라 xx한다.

25(xx 교육 계획 xx) xxxx 담당부서는 전 교직원을 xx으로 연 2회 이상 실시가 가능한 연간 xxxx 교육계획을 xx하여 xxxx책임자의 xx을 득xxx 한다.

xx교육 계획에는 교육 종류, xx, xx, 강사, xx 일시 및 장소 등이 포함되어야 한다.

필요 시 외부 전문가에게 xx하여 해당 xx 교육을 실시할 수 있으며, xx 교육을 실시하

xx 하는 xx 사전에 해당 전문가를 xxx여 교육 계획을 협의xxx 한다.

xx교육 실시 후 피교육자에게 설문을 실시하여 결과를 추후 교육계획 xx에 반영xxx 한다.

xx 교육 xx 여부를 xx하여 누락 및 xx이 발생하지 않도록 한다.

26(xx 교육 평가) xxxx 담당부서는 피교육자에게 작성 받은 설문을 토대로 교육의 효과 및 문제점을 분석하여 추후 xx교육 xx에 반영xxx 한다.

xx교육 xx 결과에는 교육 xx, 일시, 장소, xx, 참석자 명단(미참석자 표시), 설문 결과 등의 xx을 포함한다.

27(xx 교육 xx) xx 및 비정기적인 교육은 피교육자의 업무 영역과 xx에 따라 세부 xx을 xxx고 가능한 최신의 상위 정책 및 xx, xx가이드라인, 보xxx xx 등이 전달될 수 있도록 xxx다.

교직원 xx 시 xx 및 비정기적인 교육은 해당 업무의 특성을 고려하여 다음과 같은 xx으로 xx 할 수 있다.

1. xxxx 정책, xx의 소개 및 xx

2. 정보보안 관련 법률

3. 개인정보보호

4. 업무용 PC관련 보안

5. 기타 보안관련 사항 등

외부자 대상 시, 계약서 상의 보안요구사항, 본 대학교의 보안정책 및 업무수행에 필요한 보안 준수 사항 등을 교육하도록 한다.


3절 외부자 정보보안


28(외부자 보안관리 역할 및 책임) 계약업무담당자는 외부업체와 계약 시 계약서에 정보보안 요구사항을 명시하여 계약 당사자 간에 합의하여야 한다.

업무주관부서는 정보보안 준수 사항 및 사고 시 보고 절차 등을 명확히 외부자에게 공지하여야 하며, 필요 시 외부자에 대해서 정보보안 요구사항의 이행여부를 감사할 수 있다.

정보보안 담당부서는 계약업무담당자 및 업무주관부서에서 요청 시 외부자가 정보보안 요구 사항을 이행하고 있는지 검토하여야 한다.

29(외부용역 추진 시 검토사항) 중요 정보시스템의 개발 및 운영업무를 외부용역으로 대체하는 경우, 업무주관부서는 다음 사항을 충분히 검토하여야 한다.

정보시스템 서비스 외부용역에 따른 정보 관리의 취약점을 최소화하고 정보보안을 위하여 내부 통제방안을 수립 및 운영하여야 한다.

재난상황에서도 최소한의 업무기능 유지를 위해 백업자료를 보존하고, 백업설비를 확보하는 방안을 강구해야 한다.

외부자가 제공하는 서비스의 품질수준을 주기적으로 평가할 수 있다.

30(계약 시 정보보안 요구사항) 외부자의 계약서에는 정보보안을 위한 다음과 같은 요구조 건을 포함하거나 관련사항이 언급된 문서가 명시되어야 하며, 계약은 정보시스템 접근 허가 전에

공식 체결되어야 한다.

1. 법적 요구사항의 충족 여부

2. 모든 계약 당사자들에게 정보보안 책임을 주지시키는 절차

3. 정보자산의 무결성 및 비밀성 유지

4. 전산매체에 저장된 데이터의 보호 및 소유권

5. 중요 정보 사용권한이 없는 자의 접근제한에 관한 사항

6. 재해 발생 시 서비스의 가용성 유지 방법

7. 외부자 장비에 대한 물리적 보안 허용 수준

8. 자료 제출 및 감사 권한

9. 서비스수준협약의 정의

10. 본 대학교와 외부자의 위험 및 의무 등

외부자는 원칙적으로 재 위탁을 금한다. 다만 재 위탁 계약 시 반드시 정보보안 요구사항을 준수하도록 명시하며 이를 관리/감독한다.

본 대학교는 업무와 관련된 사항에 대하여 외부자를 감사할 수 있는 권한을 가지며, 이를 계약서에 명시할 수 있다.

31(비밀유지 서약) 외부자가 법인일 경우는 대표가 서명한 업무 전반에 비밀 보장을 서약하는 정보보안서약서를 작성하여야 한다.

외부자가 법인일 경우 대표의 정보보안서약서 이외에 업무를 수행할 인원 개개인에 대해서도 비밀보장을 위해 정보보안서약서를 작성하여야 한다.

32(외부자의 의무) 외부자는 내부직원과 동일한 정보보안 책임과 의무를 가진다.

업무주관부서는 외부자에게 정보보안 준수 사항 및 사고 시 보고 절차 등을 명확히 공지하고, 외부자는 이를 숙지하여야 한다.

외부자는 다음의 책무을 다 하여야 한다.

1. 계약서에 기술한 정보보안 요구사항을 포함하여 계약사항에 대해 성실히 이행하여야 한다.

2. 업무의 수행 중 발생하는 추가적인 정보보안 요구사항에 대하여 협의 및 합의하고 이를 준수 하여야 한다.

외부자가 법인일 경우는 외부용역인력에 대한 정보보안교육을 정기적으로 실시하여야 한다. 33(외부자 사용자 관리) 본 대학교의 시스템에 접근할 경우, 별도 사용자 계정을 발급받아야

한다.

운영 중인 정보시스템에 대한 작업을 승인한 경우 이용시간과 작업지역을 제한하여 접근통제를 실시할 수 있다.

업무담당 부서는 외부자에게 제공하는 각종 통제 방법 등을 평가하고, 필요 시 추가적인 통제 방안을 요구하여야 한다.

34(외부자 접근통제) 외부자는 직무에 필요한 정보만 접근할 수 있도록 하여야 한다.

시스템의 계정에 적절한 접근권한을 설정하여 필요 이상의 접근이 가능하지 않도록 소프트웨 어적 통제를 실시한다.

외부자가 사용하는 통신망은 캠퍼스통신망과 분리하여 주요시스템의 접근이 제한되도록 한다.

, 업무상 부득이한 경우 예외로 할 수 있다.

35(외부자 업무 완료 시) 외부자는 보유 중인 본 대학교 소유의 모든 정보자산을 반환해야 하며, 특별한 허가를 받지 않는 한, 개인PC/노트북/저장장치 등에 포함된 본 대학교의 지적재산 과 관련된 모든 정보는 삭제한다.

본 대학교로부터 부여받은 물리적, 논리적 권한의 삭제 요청과 정보자산에 대한 반납에 대해 외부자는 외부용역 업무완료 보안 점검표를 작성하여 업무주관부서의 확인을 받아야 한다.

업무주관부서로부터 특별한 허가를 받지 않는 한, 본 대학교에서 취득한 어떤 정보자산도 외부자가 보유해서는 아니 된다.

36(위배사항의 처리) 계약상의 정보보안 요구사항과 관련하여 외부자의 위배사항이 발생할 경우 제도적, 법적 대응책을 강구해야 한다.

경미한 위배사항일 경우, 외부자와의 협의를 통해 피해를 구제한다.

중요한 위배사항일 경우, 계약서 및 관련 법률에 따라 피해보상을 강구해야 한다.

37(외부자 장비 반입/반출) 외부자 소유 정보자산의 반입/반출시는 본 규정 제19,20조에 따른다. 4절 물리적 보안

38(제한구역의 설정) 정보자산 보안을 위한 제한구역의 설정은 정보보안책임자가 지정한다. 39(제한구역 구분) 제한구역에는 그 출입문에 관계자 외 출입금지 같은 표시를 한다. 다만,

중요시설에 대해 외부에 노출 위험이 있을 경우 그 표지를 생략할 수 있다.

제한구역에는 적당한 곳에 관리책임자의 표지를 부착하여야 한다.

40(출입 통제) 제한구역에는 비인가 된 접근이나 손상을 방지하기 위하여 별도의 출입통제 장치를 설치하여야 하며, 필요 시 감시시스템 등을 설치하여 운영한다.

제한구역 출입은 정보보안책임자의 인가를 득한 자에 한 한다.

제한구역에 대해 허가된 자 외의 교직원 및 외부인이 출입하는 경우에는 인가된 직원이 동행 하여야 한다.

제한구역에 출입하는 비인가자는 출입자관리대장에 기입한다.

41(정보자산 보유 시설 기준) 방수, 방화, 방진 및 외부 침입 방지 등 설비 요건에 맞도록 시설을 구비한다.

지진지대, 침수지대, 위험물(폭발물, 가스, 유류 등) 보관 장소 등 재난발생우려 지역이 아닌 곳에 구축한다.

출입사항에 대하여 사후 확인이 가능하도록 기록하여야 하며, 필요한 경우, 무인 감시카메라 또는 출입통제시스템을 설치한다.

재난에 대비하여 열감지기, 연기감지기, 누수감지기 등의 방화시설, 하론가스 등 소화설비, 기타 방재설비를 보유하며, 소방점검 시 작동상태를 점검하여 항시 사용할 수 있는 상태로 유지한다.

일정한 온도 및 습도가 유지되어야 하는 장비 설치장소에는 항온항습장비를 설치·운영한다.

정전 등 비상시에 대비하여 전산실, 통신실 등은 타 사무실용과 분리하여 전원배선을 하여야 하며, 최소 30분간 유지할 수 있는 무정전장비를 설치하여야 한다.

비상사태 발생 시 빠른 복구를 위해 비상 연락망을 비치한다.

42(사무실 보안 기본 원칙) 책상 위에 중요 정보 및 저장매체를 방치하지 않는다.

개인 사물함은 잠금 장치를 설치하고, 퇴근 시 항상 잠금을 확인한다.

중요정보가 담긴 저장매체, 출력된 문서 또는 PC 등은 비인가자의 접근으로부터 보호되어야 한다.

당장 필요하지 않은 중요정보가 담긴 인쇄물, 저장매체, 휴대용 전산장비는 시건 장치가 설치된 캐비닛 또는 서류함에 보관한다.

중요정보가 담긴 출력 문서는 타인이 가져가게 하거나 프린터 주위에 방치되지 않도록 한다.

신원이 파악되지 않은 자에 의해 내부직원의 신상정보, 조직정보, 시스템 정보 등을 묻는 전화를 받았을 경우, 반드시 상대의 신원을 확인하여야 하며, 신원이 불분명한 상대와 통화를 하는 경우는 정보가 유출되지 않도록 한다. .

팩스로 전송된 원본 문서는 즉시 회수하도록 한다.

복사기 사용 후 원본 및 복사본이 복사기에 남겨져 있지 않도록 반드시 회수한다.


5절 보안시스템 보안


43(보안시스템 일반 원칙) 공개 서버로의 접속은 침입차단시스템을 통하도록 한다.

공개서버는 인터넷을 통해 외부에서 내부 망으로의 접속 시 신뢰할 수 있는 호스트 및 통신망으로 제한하며, 서비스를 제공하지 않는 포트와 프로토콜은 차단한다.

44(보안시스템 운영 및 관리) 보안시스템을 운영하는 부서는 보안시스템 담당자를 선임하여야 한다.

보안시스템 룰(Rule)에 의해 허가된 서비스에 대해서만 연결을 허용하며 구성 상황의 변동을 지속적으로 관리한다.

보안시스템의 접근은 규정된 콘솔 또는 경로를 통해서만 접속하여야 한다.

시스템 자체에서 제공하는 모든 불필요한 서비스 및 포트는 관리 상 필요한 경우 외에는 모두 중지 및 차단하며, 보안시스템 외의 어떠한 프로그램이나 소프트웨어의 설치를 금한다.

보안시스템 담당자는 보안시스템의 룰에 대한 유효성 검증을 위해 매 6개월마다 해당 룰에 대한 실제 사용유무/보안상 취약점 등에 대한 분석을 수행한다.

45(인증) 보안시스템에는 관리자 계정 이외의 모든 계정을 삭제한다. , 가상사설망(VPN) 사용자 계정에 대해서는 예외 적용한다.

보안시스템의 관리자 계정 및 비밀번호는 보안시스템 담당자 외에 유출되어서는 안 된다.

보안시스템의 관리자 비밀번호는 6개월 마다 변경하여야 하며, 영문자/숫자가 혼용된 최소

6자리 이상으로 설정한다.

46(접근통제 정책) 외부로부터의 불법적인 트래픽 유입을 차단하고, 명백히 허가되고 인증된 트래픽만을 허용하는 룰(Rule)이 설정되고 적절히 적용되어야 한다.

외부와의 모든 통신은 침입차단시스템을 경유하도록 설정 및 운영되어야 한다.

업무상 필요한 경로를 단계적으로 허용하는 방법으로 접근통제 정책을 구현하여야 한다.

웹 서버와 같이 공개용 서버들이 존재하는 경우에는 외부망과 캠퍼스통신망의 중간영역

(DMZ)에 설치되어야 하고 불필요한 서비스 포트를 차단 설정한다.

업무 목적 상 외부에서 본 대학교 내부망에 위치한 업무용 서버에 원격 접속하고자 할 경우 (Telnet, Windows Terminal Service )VPN을 통한 암호화 통신 채널 형성 및 사용자 인증을 반드시 수행한다.

47(로그 관리 및 분석) 공개용 시스템에 접속하는 모든 시도는 로그를 남기도록 설정한다. , 내부용량의 한계 및 불필요하다고 판단되는 로그에 대해서는 정보보안담당부서의 검토를 걸쳐 제한적으로 선택할 수 있다.

로그는 최소 3개월 보관하며, 필요 시 별도 백업 미디어에 보관할 수 있다.

로그 파일들은 별도의 로그서버를 지정하여 통합 저장하여 운영할 수 있으며, 로그에 대한 매월 정기적인 백업을 실시하여 로그 변조 행위에 대응한다.

보안시스템 담당자는 로그 및 보안 룰을 점검하고, 이상 징후 발생 및 분석 결과 특이 사항을 발견한 경우 정보보안담당부서에 알린다.

48(룰 등록 및 변경 절차) 보안시스템 담당자는 보안시스템 정책 등록 및 변경 요청 신청서를 작성하여 정보보안담당부서에 승인을 요청한다.

정보보안담당부서는 보안시스템 정책 등록 및 변경 요청 신청서를 검토 후 요청 사항의 적정성 평가 후 적용을 허용한다.

보안시스템 담당자는 보안시스템 정책 등록 및 변경 요청 신청서 상에 지정된 기한이 경과하면 해당 룰을 삭제하여야 한다.

49(백업주기 설정) 보안시스템의 장애나 불량, 침입에 의한 설정 소실 등으로부터 보호하기 위 하여 해당 보안시스템의 룰(Rule)을 포함한 주요 설정사항을 매월 백업하여야 하며, 백업된 정보 를 3개월 이상 기간 동안 보관한다.


6절 캠퍼스통신망 보안


50(캠퍼스통신망 관리 및 운영) 캠퍼스통신망 관리 및 운영에 대한 사항은 캠퍼스통신망관리 규정에 따른다.

51(캠퍼스통신망 운영보안) 캠퍼스통신망담당자는 장비 공급업체의 보안관련 패치나 권고안이 발생되는 것을 지속적으로 모니터링하며 사안에 따라 긴급한 대응이 필요한 경우 패치를 적용한다.

캠퍼스통신망담당자는 보안관련 패치를 적용하기 전에 중요정보(접근통제리스트를 포함한 설정 사항 등)에 대한 백업을 수행 후 패치를 적용한다.

정보보안관리자의 허가 없이 본 대학교 캠퍼스통신망의 구성도, 주소, 구성환경, 관련 시스템 정보 등을 무단으로 유출하여서는 안 된다.

캠퍼스통신망 구성도, 현황 자료, 캠퍼스통신망 주소할당자료 및 캠퍼스통신망 관련 모든 자료 는 인가된 자만이 접근 가능하도록 제한한다.

캠퍼스통신망 관련 자료를 폐기하는 경우 폐지는 반드시 파쇄해야 하며 이면지로 활용할 수 없다.

라우팅 테이블이 존재할 경우 주기적(6개월)으로 점검하며 비인가된 라우팅 정보 또는 불필 요한 라우팅 정보는 삭제한다.

캠퍼스통신망담당자는 장애의 원인이 보안관련 사안이라고 판단하는 경우 즉시 해당사항을 관련 로그와 함께 정보보안담당자에게 전달하고 그 대책을 협의해야 한다.

52(캠퍼스통신망 장비 접근 통제 및 사용자 인증) 중요 캠퍼스통신망 장비에 접속을 위한 비밀번호의 인증은 SSH(Secure Shell)을 사용하여 스니핑(Sniffing)의 위험으로부터 보호할 수 있 도록 암호화된 통신 채널을 사용한다.

로그인 화면에서는 로그인 관련 정보만 표시하고, 불법적인 접근을 경고하는 보안 배너를 삽입해야 한다.

캠퍼스통신망 장비에 하나의 사용자 계정으로 여러 터미널에서 동시에 여러 세션을 열어 접속 하는 것을 원칙적으로 통제 한다.

캠퍼스통신망 장비에 접속하기 위한 사용자 계정은 6개월 주기로 비밀번호를 변경하며, 영문/ 숫자를 혼용한 6자리 이상으로 설정한다.

53(취약성 점검) 정보보안담당부서에서는 캠퍼스통신망 취약점 점검을 년 2회 실시 하여야 하며, 필요 시 추가적으로 진단할 수 있다

캠퍼스통신망담당자가 캠퍼스통신망 장비의 보안 취약성 또는 결함을 발견하는 경우 정보보안 담당자에게 즉시 알려야 한다.

54(접근가능 호스트의 제한) 캠퍼스통신망 장비를 관리하기 위한 접근은 본 대학교 내의 접근 가능한 특정 호스트 및 IP를 정의하고 이를 통해서만 로그인 가능하도록 설정한다.

캠퍼스통신망 장비 접근에 필요한 권한의 요청 및 변경, 삭제는 공식적인 문서를 통해 이루어 져야 하고, 처리 결과는 향후 감사나 문제 발생 시의 자료로 사용할 수 있도록 보관해야 한다.

캠퍼스통신망담당자는 캠퍼스통신망 장비의 정상적인 운영을 방해하거나, 다른 사용자의 사용을 저해하는 행위를 발견 했을 때, 정보보안담당자에게 즉시 알리고, 해당 사용자 IP 및 호스트의 접근 권한 및 캠퍼스통신망 사용을 제한 또는 취소할 수 있다.

캠퍼스통신망 장비 접속 후 10분 이상 키보드 입력이 없을 경우(Idle Time) 자동으로 해당 연결이 차단되도록 설정한다. , 장비 모니터 등의 운영 목적상 필요한 경우 예외 적용할 수 있다. 55(구성설정 값의 일관성 유지) 본 대학교 모든 캠퍼스통신망 장비 자산의 구성 설정 값을 일관성 있게 유지하여 보안 수준이 동일하게 적용될 수 있도록 한다. 다만, 특정 세그먼트의 보안을

강화할 필요가 있는 경우 동 세그먼트에 대해서는 설정 값을 다르게 유지할 수 있다.

56(접근제어 리스트 적용) 중요 캠퍼스통신망 장비의 경우 IP, 프로토콜 및 서비스 포트에 대해 접근제어리스트를 관리한다.

캠퍼스통신망담당자는 캠퍼스통신망 장비에 적용된 접근통제리스트를 매 6개월마다 검토하고 재평가 한다.

57(백업주기 설정) 캠퍼스통신망담당자는 캠퍼스통신망 장비의 이상동작 및 장애, 그리고 침해 사고에 의한 설정 정보 및 관련 정보를 보호하기 위하여, 6개월 백업 주기를 설정하여 주요 구성 설정상태를 백업저장 관리하여야 하며 최소 6개월 이상 보관한다.

58(주기적인 모니터링) 캠퍼스통신망담당자는 캠퍼스통신망 장비의 사용 현황 및 이상 유무를

주기적으로 확인하며, 중요 보안 이상 상황 발생 시 신속히 조치한 후 정보보안담당자에게 통보 한다.

59(로그 관리) 캠퍼스통신망담당자는 정보보안 사고 발생 시 추적성을 확보하기 위해 사용자 로그인 및 사용자의 명령어 사용에 대해 중요 캠퍼스통신망 장비 로그를 최소 3개월 이상 기록하 도록 설정하고 저장 관리한다. 이를 위하여 별도 로그서버를 구축할 수 있다.

캠퍼스통신망담당자가 로그대상을 변경하는 경우에는 정보보안담당부서의 의견을 수렴하여 보안에 미치는 영향을 검토한 후에 행한다.

캠퍼스통신망담당자는 승인이 없는 사용자의 접근정보를 반드시 로그에 저장하여 관리 분석한다.

캠퍼스통신망담당자는 캠퍼스통신망 장비의 접속 내역을 기록한 로그에 대해 공식적인 요청이나 법률에 의한 협조 요청에 의하지 않고는 타인에게 공개할 수 없다.


7절 서버 보안


60(서버 보안 일반 원칙) 외부에서 공개서버로의 접속은 침입차단시스템을 통과하도록 한다.

외부에서 내부 망으로의 접속은 신뢰할 수 있는 호스트 및 통신망으로 제한하며, 서비스를 제공하지 않는 포트와 프로토콜은 차단한다.

공개서버 자체 또는 별도 보안제품 등을 이용하여 인터넷을 통한 바이러스, , 트로이 목마 등의 유통을 방지하는 기능을 갖추어야 한다.

61(서버 운영) 정보보안담당부서는 서버의 하드웨어 및 소프트웨어의 지속적인 가용성과 무결성 확보를 위해 년 2회 이상 취약점 점검을 실시한다.

서버 담당자는 서버 공급업체의 보안관련 패치나 권고안이 발생되는 것을 지속적으로 모니터링 하여 보안패치를 적용하여야 한다.

서버 담당자는 보안관련 패치를 적용하기 전에 중요정보에 대한 백업을 수행한다.

서버 담당자는 기존 운영체제의 정보보안 취약점이 보완되고, 향상된 정보보안 기능이 포함되어 있는 새로운 버전의 운영체제가 출시되어 업그레이드의 필요성이 있을 경우 해당 운영체제에 대한 보안성을 검토 한 후에 업그레이드를 실시한다.

서버에는 업무용 목적으로 사용되는 프로그램 이외의 프로그램 설치를 제한한다.

본 대학교의 정보시스템을 침해할 수 있는 Backdoor, Trojan등의 소프트웨어를 테스트 목적 으로도 설치를 제한한다.

원격터미널(Remote Terminal)과 같은 원격접속 소프트웨어 설치를 원칙적으로 금한다. , 업무적으로 필요한 경우 정보보안 담당부서의 승인을 득하여야 한다.

62(사용자 ID관리) 시스템 OS에 대한 사용자 ID의 등록, 변경, 삭제 요청은 사용자계정 신청서를 통하여 이루어져야 한다.

유지보수, 장애처리 등의 목적으로 제3자에게 ID를 부여할 필요성이 있을 경우 서버 담당자는 해당 ID에 대한 생성 및 관리를 수행하며 작업종료 시 삭제한다.

사용자 ID는 개인정보를 포함하고 있지 않도록 한다.

공용 ID는 사용하지 않는 것을 원칙으로 한다. 단 업무 특성 상 사용해야 하는 경우, 해당

부서장의 승인을 득한 후에 사용한다.

서버 설치 시 기본적으로 포함되어 있는 제품 공급 ID 중 업무적으로 불필요한 ID는 삭제 또는 변경한다. 단 삭제가 불가하거나, 서비스 및 업무에 영향을 미치지 않는다고 판단하는 경우에는 제외한다.

서버담당자는 해당 시스템별로 사용자계정에 대한 시스템 계정 관리 대장을 작성한다.

63(비밀번호 관리) 사용자는 비밀번호 생성 시 다음과 같은 추측 가능한 비밀번호를 사용하지 않도록 한다.

1. 사용자 ID와 동일한 비밀번호

2. 생년월일, 전화번호, 이름 및 추측 가능한 비밀번호

3. 주기성 문자 및 키보드상의 연속된 배열로 구성된 비밀번호 등

사용자는 비밀번호의 길이를 최소 6자 이상으로 사용하여야 하며, 6개월 마다 변경하여야 한다. , 데이터베이스관리시스템(DBMS) 및 어플리케이션 등에서 사용되는 비밀번호의 경우 예외 적용할 수 있다.

비밀번호 입력 시 타인이 추측할 수 없도록 화면상에 표시하지 않거나 인식 불가능한 문자로

Marking 하여 표시하도록 설정한다.

서버 설치 또는 소프트웨어 설치 시 기본적으로 제공되는 비밀번호는 설치 후 즉시 변경하여야 한다.

사용자 ID 발급 후 부여된 초기 비밀번호는 사용자가 처음 접속 시에 자신의 비밀번호로 변경을 해야 하며, 서버 담당자는 그러한 기능이 서버에서 강제화 되도록 구성한다. , DBMS 및 어플리 케이션 등에서 사용되는 비밀번호의 경우 예외 적용할 수 있다.

서버 담당자는 서버에 저장된 비밀번호 파일에 대해 서버 담당자의 관리 목적으로 접근하는 경우를 제외하고는 어느 누구도 읽을 수 없도록 제한을 한다.

사용자는 비밀번호가 타인에게 노출되었거나 노출이 의심될 경우 즉시 변경해야 한다. 서버 담당자는 해킹 및 침해사고로 인해 비밀번호가 노출되었다고 판단될 경우 정보보안부서에 통보하고 지시에 따라 처리하여야 한다.

서버 담당자는 사용자 ID의 신규 등록 또는 비밀번호 변경으로 인해 사용자에게 비밀번호를

전달하는 경우 본인임을 확인하는 과정을 거쳐야 하며, 팩스나 전화상으로 비밀번호를 전달하지 않는다.

사용자는 비밀번호를 메모 또는 문서의 형태로 남기지 않는다.

64(로그인 프로세스) 사용자가 서버에 접속할 경우 사용자 ID와 비밀번호 또는 보다 강화 된 인증 방법을 통한 후 접근해야 하며, 사용자 ID 및 비밀번호를 스니핑(Sniffing)으로부터 보호 할 수 있도록 SSH(Secure Shell)와 같은 암호화 된 통신 채널을 사용 한다.

로그인 화면에서는 로그인 관련 정보만 표시한다. 조직이나 운영체제, 캠퍼스통신망 환경, 내부적인 사항과 같은 정보는 제공하지 않는다.

사용자가 시스템에 로그인 실패 시 시스템 침해의 원인이 될 만한 정보를 사용자에게 제공하지 않게 설정한다. 로그인이 실패하면 로그인 절차가 잘못되었다는 정보만 표시하고, 세션을 종료시 킨다.

연속적으로 3회 이상 비밀번호를 잘못 입력할 경우 세션을 차단시키도록 한다.

서버에 접속한 후 사용자나 다른 시스템으로부터 10분 이상 키 입력이 발생하지 않으면 자동 적으로 로그오프 시키거나 세션을 중단시키는 것을 원칙으로 한다. , 서버 모니터링 등 지속적인 연결이 필요할 경우 예외 적용할 수 있다.

하나의 사용자 ID로 여러 장소(터미널)에서 동시에 여러 온라인 세션을 연결하지 않는 것을 원칙으로 한다.

시스템관리자(root ) 계정으로의 직접 원격 접속은 허용하지 않으며, 일반 사용자로 로그인 후 시스템관리자 계정으로 스위치 한다.

65(권한관리 및 접근통제) 특정 수준의 정보에 대한 접근 권한을 부여 받은 사용자는 해당 수준 또는 그 이하의 정보에만 접근 가능하도록 해야 하며, 그 이상의 권한이 필요한 정보에 대해서는 접근을 제한한다.

유지보수, 장애처리 및 기타 업무적인 필요성에 의하여 제3자에게 접근 권한을 부여해야 할 경우, 부서장의 승인을 득한 후 제한된 시간 동안만 사용되도록 관리한다.

서버 담당자는 사용자가 서비스 중지 및 장애를 일으킬 수 있는 시스템 명령어를 사용할 수 없도록 권한을 제한한다.

서버 담당자는 서버의 정상적인 운영을 방해하거나, 다른 사용자의 사용을 저해하는 행위가 발견되거나 의심이 될 때, 부서장의 승인 후 사용자의 권한을 제한 또는 취소한다.

사용자는 서버 담당자 및 정보보안담당부서, 해당 부서장의 사전 승인이 없는 한 운영체제의 접근 통제 기능 또는 접근 통제 도구를 우회할 수 있는 프로그램을 이용한 접근은 차단한다.

서버 담당자는 서버가 정상적으로 동작하지 않을 경우 정상적으로 동작될 때까지 사용자의 접근을 제한할 수 있다.

66(파일시스템 및 네트워크 서비스 관리) 서버 담당자는 파일시스템을 구성할 때 시스템 데 이터와 일반 데이터를 논리적 또는 물리적으로 나누어 설치되도록 한다.

서버 담당자는 비인가자의 불법적인 접근 및 서비스 중지 등을 예방하기 위해 업무적으로 불필요하거나, 침해의 위협이 있는 네트워크 서비스를 제공하지 않도록 한다.

67(웹서버 구축) 웹서버 운영자는 새로운 웹서버 소프트웨어의 신규 업데이트 및 보안패치를 확인하여야 하며, 최신 버전의 보안패치를 유지하도록 하여야 한다.

웹서버는 계획된 서비스만을 제공하도록 구축 및 운영되어야 한다.

데이터베이스 서버의 경우는 웹서버와 분리하여 서로 다른 시스템에서 운영하는 것을 원칙으로 한다.

웹서버에서 사용되지 않는 모든 불필요한 소프트웨어는 반드시 제거한다.

웹서버와 같은 외부 공개서버는 침입차단시스템을 경유하도록 설치, 운영한다.

웹서버를 통하여 개인정보와 같은 민감한 데이터가 전달되는 경우, 암호화 전송을 적용하여야 한다.

68(웹서버 운영) 웹서버 운영자는 웹서버 로그와 OS 로그를 수시로 점검하여 침입, 침입시도, 또는 보안 문제점을 발견하여야 한다.

웹서버 장애로 인하여 시스템의 복구가 필요한 경우를 위해서 설정파일에 대한 백업을 매월

정기적으로 실시한다. , 백업의 필요성이 없다고 판단되는 경우에는 제외한다.

웹서버에서 불특정 다수에게 공개되는 정보를 게시하는 경우, 개인정보 등의 민감한 정보가 공개되지 않도록 하여야 한다.

69(전자우편 보안) 전자우편 시스템은 업무적인 목적을 위하여 사용하는 것을 원칙으로 하며, 불법적인 용도나 불순한 목적으로 사용해서는 안 된다.

내부 사용자는 본 대학교의 대외비 정보를 전자우편을 통하여 외부 전자우편 시스템으로 송신 하여서는 안 된다.

내부 사용자는 본 대학교 및 제3자의 지적재산권을 침해하는 내용, 명예훼손, 사기, 바이러스 등 불법적인 행위에 대한 내용을 포함하는 전자우편을 사용해서는 안 된다.

업무상 중요한 자료를 송수신 할 경우에는 내용의 중요성에 따라 암호를 설정하여 전송하여야 한다.

시스템 자원의 낭비를 초래하는 스팸메일, 반복메일 등의 전송 및 배포를 금지한다.

70(전자우편의 열람 및 정보제공) 전자우편 시스템은 운영담당자를 제외한 비인가자의 접근을 금지하며 업무 목적 이외에 그 누구도 전자우편의 내용 및 비밀번호를 중간에서 전자적으로 열람 해서는 안 된다.

개인의 전자우편은 법적 증거자료로 정부기관으로부터 제출을 요구 받을 경우 법률에서 정하는

기준과 절차에 따라 제출할 수 있다.

71(전자우편 서버 및 데이터 보호) 전자우편의 수신 시 사전에 바이러스 감염여부를 체크해야 한다.

전자우편 시스템의 안정성을 확보하기 위하여 전자우편 시스템에 스팸메일 차단기능을 설치해야 한다. 또한 전자우편 시스템이 허가되지 않은 외부기관의 중계서버로 이용되지 않도록 시스템을 구성한다.

전자우편 시스템은 전자우편 수신 시 발신지의 주소가 확인된 전자우편만 수신하도록 구성 되어야 한다.

전자우편 시스템의 안정성을 위하여 필요 시 계정의 크기와 송수신되는 전자우편의 최대크기를 제한할 수 있다.

72(백업주기 설정) 서버 담당자는 서버의 장애나 저장매체의 불량으로부터 중요정보와 소프트 웨어를 보호하기 위해 해당 서버 운영자와의 협의를 거친 후 최소 월 1회 이상 백업을 실시하고, 저장된 백업 정보를 3개월 이상 보관한다.

73(모니터링 및 로그관리) 서버 담당자는 서버의 사용 현황 및 이상 유무를 매월 정기적으로 모니터링 해야 하며, 다음과 같은 사항에 대하여 이상 상황 발생 시 부서장에게 알리고, 신속히 조치한다.

1. 새로운 계정 및 프로그램

2. 파일 또는 디렉터리 신규생성 및 삭제 여부

3. 서버 사용량 부하

4. 파일시스템 용량 초과

5. 프로세스 Looping

6. 비인가자의 접근 등

서버 담당자는 정보보안 사고 발생 시 추적성을 확보하기 위해 사용자 로그인 및 사용자의 명령어 사용에 대해 로그를 기록하도록 설정한다.

서버 담당자는 로그의 정확한 기록을 위해 캠퍼스통신망에 연결된 본 대학교의 모든 서버의 내부 시간을 일치시키도록 한다.

서버 담당자는 서버의 성능 및 디스크 용량 등을 고려하여 로그를 남길 대상을 선정한다.

중요 서버의 로그 파일들은 별도의 로그서버를 지정하여 통합 저장하여 운영할 수 있으며, 로그에 대한 정기적인 백업을 실시하여 로그 변조 행위에 대응한다.

서버 담당자는 서버 접속 내역을 기록한 로그에 대해 공식적인 요청이나 법률에 의한 협조 요청에 의하지 않고는 타인에게 공개하지 않는다.

서버 담당자는 침해 사고가 의심되는 사건이 발생했을 때 경고 및 적발이 가능하도록 사용자의 로그 기록을 별도로 보관 관리 할 수 있으며, 그 내역을 정보보안 담당부서에게 알려야 한다.


8절 데이터베이스 보안


74(DB 인증정책) 데이터베이스관리자(DBA)는 계정 및 비밀번호 관리에 대한 책임과 권한을 갖는다.

DB의 접근 제한을 위해서는 롤(role) 등을 통해 사용자를 관리하여야 한다.

75(계정의 생성 및 폐기) DB를 사용하고자 하는 자는 DBA에게 사용자(업무) 정보 및 사용 목적, 사용기간, 연락처 등이 포함된 DB사용자 계정 및 권한 신청서를 제출하고, DBA는 타당성 검토를 한 후 부서장의 승인을 득하여 처리한다.

DBADB사용자를 생성한 후 DB 사용자 관리대장에 반영한다.

DBA는 파견자, 휴직자, 퇴직자, 전출자 등 업무에 관계없는 DB 사용자를 삭제하며, DB 사용자 관리대장을 갱신한다.

디폴트 계정은 설치 후 업무에 사용되지 않는다면 삭제하도록 한다.

76(계정 운영) 계정 정보에 관한 사용자 관리대장은 모든 사용자에 대해 작성되어야 한다.

비밀번호가 없는 계정은 사용을 금한다.

DBA 권한을 가지고 있던 사용자가 이/퇴직 등의 사유로 다른 곳으로 옮길 때에는 인수자는

DBA 계정 비밀번호를 신속히 변경한다.

77(비밀번호) 신규 사용자가 DB 사용에 대한 권한을 부여 받을 때 반드시 비밀번호를 받도록 한다.

사용자 비밀번호는 매 6개월마다 주기적으로 변경한다.

모든 사용자는 비밀번호 인증을 통해서만 DB에 접근할 수 있도록 한다.

모든 사용자 비밀번호는 최소 6자리 이상, 영문자/숫자 혼용으로 부여한다.

계정이름과 동일한 비밀번호를 사용하거나 DB서버의 이름을 비밀번호로 사용하는 등의 추측 하기 쉬운 비밀번호는 절대 사용하지 않는다.

DB의 디폴트 비밀번호는 추측하기 어려운 복잡한 비밀번호로 변경하여 사용한다.

78(DB 접근수준 및 권한부여) 사용자가 DB 파일에 접근할 수 있는 수준은 최소한의 접근 권한만 부여하는 원칙에 따라, DBA가 접근 정책을 결정해야 한다.

DBA는 사용자의 시스템 자원 사용 수준을 결정해야 한다.

DBA는 테이블에 입력, 수정, 삭제 등 행위별 권한, 필드 접근 권한 등의 객체 권한을 조정해야 한다.

사용자에게 DB 접근권한을 부여하는 경우, 적절한 롤을 생성하여 필요한 시스템 권한 및 객체 권한을 롤에 부여하고 그러한 롤을 사용자에게 부여한다.

시스템 권한은 DBA에게만 부여한다.

시스템 오브젝트 권한 부여 시 DBA 또는 권한을 부여 받은 사용자가 또 다른 사용자에게 권한을 부여해야 할 업무상의 필요가 있는 경우에만 권한을 부여한다.

업무담당자에 의한 중요 자료 변경은 필요 시 DBA 허가를 통하여 처리할 수 있다.

79(접근제어 설정 갱신 절차) 접근 제어에 대한 설정은 DB관리 부서장의 허가를 득하고서만 변경될 수 있도록 한다.

접근제어에 대한 설정은 환경의 변화 등을 반영하여 주기적으로 갱신한다.

필요 시 접근제어 강화를 위해 별도 보안솔루션(DB모니터링 툴 등)을 이용할 수 있다. 80(암호화) 기밀성이 요구되는 DB 시스템 내의 중요 필드에 대해 암호화되어 있어야 한다.

암호화를 지원할 수 있는 암호화 기술이 DB 시스템에 도입되어야 한다.

필요 시 DB 암호화 강화를 위해 별도 보안솔루션(DB암호화 툴 등)을 이용할 수 있다.

81(로그 관리) 사용자의 로그인 시간 및 로그인 지속 시간이 적절한 범위 내에서 로깅 되어야 한다.

접속에 실패한 접근 시도가 로깅 되어야 한다.

DB 내의 Dead Lock이 로깅 되어야 한다.

모든 사용자의 I/O 통계가 적절한 범위 내에서 로깅 되어야 한다.

System Table에의 접근이 로깅 되어야 한다.

새로운 DB 객체의 생성이 로깅 되어야 한다.

데이터 조작(필요할 경우, 날짜, 시간, 사용자와 함께) 이 적절한 범위 내에서 로깅 되어야 한다. 82(감사) 중요 로그파일은 DBA에 의해서 정기적으로 점검되어야 하며, 특이 사항 발생 시

정보보안담당부서에 통보한다.

로그파일의 조작 및 읽기 권한은 원칙적으로 DBA에게만 부여하며, 필요 시 정보보안담당자에게 부여한다.

로그파일의 무결성을 보장하기 위하여 로그파일 자체에 대한 모니터링을 정기적으로 실시한다.

중요 자료에 대한 정기적 감사를 실시한다.

83(백업주기 설정) 매일 이루어지는 변경사항에 대해 백업하고 최소 2개월 이상 보관한다.

영구 보관할 필요성이 대두되는 자료에 대해서는 영구보관을 할 수 있다.

업무별 자료에 따라 보관 주기를 따로 정할 수 있다.

과거에 사용했던 백업 매체의 사용불가가 예상될 경우 빠른 시일 내에 백업 매체를 변경하여 이관하도록 한다.


9PC 보안


84(PC사용자의 책임) PC의 운용 및 관리에 있어서 고의나 부주의 또는 직접적인 실수에 의한 보안 사고 발생 시 각 PC의 해당 사용자가 그 책임을 지며, 그 세부 사항은 다음과 같다.

개인/업무용 PC의 경우는 PC사용자가 책임을 진다.

실습실 등의 공용 PC는 실제 관리를 수행하는 PC관리부서의 장이 그 책임을 진다.

85(필수 소프트웨어 설치 및 설치 제한) 본 대학교의 캠퍼스통신망 자원을 이용하고자 할 경우에는 바이러스백신 프로그램 및 패치관리시스템(PMS)를 반드시 해당 PC에 설치하여야 한다.

본 대학교의 정보자산을 침해하거나 우회할 수 있는 하드웨어나 소프트웨어를 임의로 설치해 서는 안 된다.

86(PC 변경 및 반출) PC 또는 부착된 하드웨어를 임의로 변경하거나 부서 밖으로 반출해서는 안 된다. , 업무상 필요한 경우, 해당 부서장의 승인을 득한 후 변경 및 반출할 수 있다.

87(불법소프트웨어 사용 제한) PC사용자는 사용이 승인된 소프트웨어만을 사용해야 하며, 불법소프트웨어를 사용한 경우 개인 및 본 대학교가 모두 처벌 받을 수 있음을 양지하여야 한다.

불법 소프트웨어를 관리하기 위해 다음 각 호를 준수해야 한다.

1. 소프트웨어의 기본용도 외에 불법 용도 변경을 금지한다.

2. 캠퍼스통신망 및 인터넷을 통한 불법복제를 금지한다.

3. 소프트웨어 사용권 증명서(라이센스)는 분실되지 않도록 안전한 곳에 보관한다.

4. 시리얼 넘버의 공유, 도용, 배포, 전송 등의 행위를 금지한다.

88(PC 접근제어) PCCMOS 비밀번호와 부팅 비밀번호를 설정하여, PC를 악의적인 제 3 자로부터의 위험으로부터 보호해야 한다. , 공용 PC의 경우는 역할과 특성을 감안하여 예외 적 용할 수 있다.

PC 사용자는 비밀번호 설정 시 6자 이상의 문자/숫자를 사용하며 추측이 어려운 단어를 선택 한다.

부팅 시 사용하는 비밀번호, 로그인 및 화면보호기에 사용하는 비밀번호는 최소 6개월마다 변경한다.

모든 PC는 반드시 비밀번호가 설정된 화면 보호기(5)를 설치하여, 운용하여야 한다. , 공용 PC의 경우는 역할과 특성을 감안하여 예외 적용할 수 있다.

공유 폴더 사용 시 반드시 사용자 ID인증 등을 수행하며, 그 사용이 끝났을 경우 즉시, 공유를 해제한다.

89(비밀정보 및 백업 관리) PC내 하드디스크 및 저장매체에 비밀 정보 저장 시는 암호화해 야 한다.

2인 이상이 공동으로 사용하는 공용PC에 비밀정보를 저장해서는 안 되며, 중요 파일은 비밀번 호를 부여하여 접근을 통제해야 한다.

비밀자료 또는 중요자료의 백업은 자료를 압축하거나 원본 그대로를 CD, 하드디스크, USB

메모리 등에 별도로 저장, 보관한다.

90(바이러스 검사) 다음 각 호의 방법 중 하나를 선택하여 관리 책임이 있는 PC에 대하여 주기적으로 바이러스를 검사해야 한다.

1. 부팅 시 검사

2. 주기적인 예약 검사 등

주기적인 바이러스 검사를 위해 바이러스백신 프로그램이 PC에 설치되어 있어야 한다.

최소 11회 이상 자동엔진 업데이트 기능 등을 이용하여 바이러스 엔진을 업데이트하여 백신 프로그램은 항상 최신 버전으로 유지해야 한다.

다음 각 호의 외부로부터 받은 파일은 실행 또는 열기 전에 반드시 바이러스 검사를 수행해야 한다.

1. 외부에서 받은 CDUSB 메모리 같은 저장매체

2. 인터넷에서 다운로드 받은 파일

3. 외부로부터 수신된 메일의 첨부파일 등

91(바이러스 예방 조치 및 감염 시 조치사항) PC 사용자는 바이러스 예방을 위해 다음 각 호의 예방조치를 실시해야 한다.

1. 실행 전에 중요자료일 경우, 사본을 제작하여 보관하여야 한다.

2. 비 인가된 실행 프로그램(Shareware, Freeware )을 설치하지 않는다.

3. 출처가 분명하지 않은 전자우편은 되도록 열지 않도록 한다.

바이러스 감염 시 캠퍼스통신망 접속을 차단하고 즉시 인가된 바이러스 백신 프로그램으로 바이러스를 치료한다.

92(각종 보안패치 및 서비스 팩의 공지 및 설치) 정보보안담당부서는 지속적으로 업데이트 되고 있는 보안패치 및 서비스 팩 중 사용자가 반드시 설치해야 할 필요가 있는 긴급 보안패치를 공지하여야 한다.

모든 PC 사용자는 공지된 보안패치 및 서비스 팩을 자발적으로 설치해야 한다.

93(인터넷 유해사이트 접속금지) 본 대학교의 인터넷 사용관련 규정이나 기타 문건 등의 공 지를 통해 접속을 제한하는 사이트는 방문하지 말아야 한다.

기본적인 금지 사이트는 다음과 같다.

1. 국가보안에 위배되는 사이트

2. 본 대학교에서 유해하다고 판단되는 사이트

3. 불법음란 사이트

4. 해킹 사이트

5. 채팅 사이트 등

대용량 파일전송이 가능하고, 불필요한 네트워크 트래픽을 양산하는 P2P프로그램의 사용을 가급적 제한하며, 그 이용여부는 정보보안조직의 결정에 따른다.

94(주기적 PC 보안진단 실시) PC 관리부서 및 사용자는 PC 보안을 위해 주기적으로 PC보안 점검을 수행한다.


10절 개인정보보안


95(개인정보보안 정책) 본 대학교의 개인정보보안을 위한 정책은 공공기관의 개인정보보호에 관한 법률(법률 제8871)을 준용하여 적용한다.


4장 침해사고 예방 및 대응


96(침해사고 예방) 정보보안담당자는 보안시스템 로그(방화벽/IPS 등 보안관련 로그)에 대하여 매월 1회 이상 점검하고 문제점 발견 시 정보보안관리자에게 보고하여야 한다.

침해사고대응팀은 서버 및 캠퍼스통신망 장비 등을 대상으로 연 2회 이상 취약점 점검을 실시 한다.

각 시스템/캠퍼스통신망/어플리케이션 운영담당자는 취약점 점검에 따른 결과에 따라 조치를 수행한다.

취약점 점검은 외부 정보보안 전문업체 등을 통하여 수행할 수 있다.

취약점 점검도구를 사용하는 경우의 관리는 다음과 같다.

1. 취약점 점검도구의 사용 및 관리는 정보보안담당자 또는 권한을 위임 받은 자로 제한한다.

2. 정보보안담당자는 취약점 점검도구의 접근통제에 대한 관리를 하여야 하며, 새로운 취약점 점검도구의 룰 업데이트를 실시한다.

정보보안담당자는 PC, 서버 운영체계, 응용프로그램 및 캠퍼스통신망 장비에 대한 최신 보안 업데이트(patch )정보를 수집하고, 다음과 같은 절차에 따라 적용한다.

1. 정보보안담당자는 PC, 서버 OS, 응용프로그램 및 캠퍼스통신망 장비에 대한 최신 버전 및 보안패치 정보를 모니터링 한다.

2. 정보보안담당자는 서버운영담당자 및 어플리케이션 협력업체와 협의하여 보안패치 적용 가능성 여부를 검토한다.

3. 검토된 결과를 바탕으로 서버운영담당자 및 관련 협력업체와 보안패치에 대한 시험적용을 실시한다.

4. 시험적용이 성공한 경우 정보보안관리자의 승인을 거쳐 실제 운영시스템에 반영할 수 있도록 한다.

5. PC에 대한 신규 보안업데이트 발생의 경우, 교직원 및 교내 전 사용자에게 공지하여 적용하도록 한다.

97(침해사고의 탐지) 침해사고의 탐지를 위하여 정보보안담당자 및 침해사고대응팀원, 서버 운영자는 다음과 같은 사항들을 확인하여야 한다.

1. 실패한 로그인 시도

2. 비활성화 된 계정으로의 로그인 정보

3. 업무시간 외 동안의 작업 내역

4. 서버 운영자에 의해 생성된 것이 아닌 새로운 계정

5. 새로이 생성된 파일 및 인스톨 되어 있는 프로그램

6. 웹 서버상의 다른 페이지나 변경된 페이지의 유무

7. 사용자의 업무 이외의 기능이나 명령

8. 시스템 로그의 삭제나 삽입

9. 인가되지 않은 라우터나 침입차단시스템의 규칙

10. 특이할 만큼의 속도 및 성능 저하

11. 시스템 장애 등

98(침해사고 보고) 정보보안담당자 및 침해사고대응팀원은 침해사고의 발생 및 침입 흔적을 인 지한 경우 정보보안책임자 및 정보보안관리자에게 문서로 보고하여야 하며, 침해사고 발생 사실 을 지정된 보고자 이외의 사람에게 유출시켜서는 안 된다.

99(침해사고 대응) 정보보안담당자 및 침해사고대응팀원은 시스템에 대한 침입이 확인되면 다음과 같은 사항에 기초하여 긴급 대응을 실시하여야 한다.

1. 백도어의 확인

2. 스캐닝 및 스니핑 탐지

3. 허가 받지 않은 서비스의 조사

4. 비밀번호 파일의 변경여부

5. 시스템 및 캠퍼스통신망 설정 파일조사 등

정보보안담당자 및 침해사고대응팀원은 다음과 같은 경우 시스템의 폐쇄, 캠퍼스통신망 감시 기능 강화, 캠퍼스통신망 전송의 전면 차단, 사용자 계정의 삭제 등 침해사고의 확산을 방지하기 위한 조치를 취하여야 한다.

1. 분산 서비스 거부 공격을 당하고 있어 정상적인 동작이 불가능한 경우

2. 침입자에 의해 시스템의 중요 파일이 삭제되고 있는 경우

3. 트로이 목마, 백도어 등의 악성 프로그램 실행으로, 정상적인 접근제어를 적용하더라도 다른 경로를 통한 침입자의 지속적 공격시도가 있는 경우

4. 기타 침입자의 공격에 대한 대응수단이 없는 경우 등

각 업무별 운영담당자는 침입자를 식별하기 위한 증거를 수집하여야 하며, 법률적 대응을 할 경우 증거물로 활용될 수 있는 해당 시스템의 백업 데이터, 침입차단 시스템 로그, IPS 로그, 라우 터 로그 등과 같은 로그파일을 안전하게 저장하여야 한다.

침해사고에 대해서 외부 언론매체에 알려지지 않도록 해야 하며, 외부 언론매체에서 피해사건과 관련된 문의를 해 올 경우 직접 대응하지 말고, 홍보 담당자에게 연결하여 언론매체에 대응할 수 있도록 한다.

정보보안 담당부서는 필요할 경우 관련 국가기관의 협조를 받기 위한 절차를 준비한다. 100(침입자 추적 및 연락) 침입자가 시스템 내에 로그인해 있다면, 가능한 도구나 명령어를

이용하여 침입자에 관련된 정보를 수집하여야 한다.

내부 침입의 경우 침해사고대응팀원은 침입한 시스템 위치를 확인 후 조치를 취하여야 한다.

다른 사이트를 거쳐 침입했을 경우 해당 사이트 관리자에게 경고를 통해 필요한 조치를 취할 수 있게 한다.

외부에서 침입한 경우 시스템 및 캠퍼스통신망 운영자는 로그를 유지하고 침해사고대응팀원은 로그를 분석하여 침입자를 추적하여야 한다.

추적에 성공하여 도메인 주소나 IP 주소를 알아낸 경우 관련 사이트의 연락처 정보(e-Mail 또는 전화 등)를 알아내고, 이에 대한 조치를 요청하여야 한다.

101(침해사고 시스템 복구) 침입자에 의해 사용된 시스템 취약점을 수정하고 변경된 정보를

복구 및 삭제하는 것으로는 보안상 완벽한 시스템을 유지하기에는 부적합하므로, 각 업무별 운영 담당자는 침해사고가 발생한 시스템 또는 침입이 의심되는 시스템의 운영체제 및 기타 어플리케

이션의 재설치를 검토하여야 한다.

재설치 시 각 벤더에서 제공하는 최신 보안패치를 적용하여야 한다.

각 업무별 운영담당자는 패치를 적용하기 전에 기존에 운용 중인 어플리케이션 및 서비스에 영향을 미치지는 않는지 검증을 거친 후 적용하여야 한다.

백업에서 데이터를 복구할 경우 침해당하지 않은 시스템에서 데이터에 취약점이나 트로이 목마 프로그램은 없는지 확인 후 복구한다.

시스템에서 보안 취약점이나 설정상의 보안문제를 해결하고 보안 패치를 적용한 후에는 모든 사용자 계정에 대해서 비밀번호를 변경한다. 변경 시에는 추측하기 어려운 비밀번호를 설정하도록 하며, 계정정책에서 옵션들을 설정하여 보안을 강화하도록 한다.

102(침해사고 사후활동) 정보보안담당자 및 침해사고대응팀원은 침해사고에 대한 대응 및 복구가 완료된 경우, 보고서를 작성하여 정보보안관리자에게 보고하여야 하며, 정보보안관리자는 이를 정보보안책임자에게 보고하여야 한다.

필요한 경우, 정보보안담당부서는 침해사고를 방지하는 적절한 기능의 보안도구를 설치하고, 이에 대한 적절한 기준을 적용하여 보안기능을 수용할 수 있도록 한다.

정보보안담당자는 시스템 및 캠퍼스통신망에 대한 취약점 분석도구를 사용하여 보안상 취약점을 수시로 점검·보완하고, 사용자 계정, 사용자 권한, 파일시스템, 환경설정 변수 등에 대한 보안강화를 위한 절차를 수립·배포하여야 한다.

서버운영자는 이벤트 뷰어나 네트워크 모니터, 성능 모니터와 같은 전용 툴을 사용하여 시스템 성능 및 침입시도를 모니터링 한다.

침해사고 대응결과에 대하여 정보보안관리자는 재발방지를 위해 조치사항을 각 업무담당자에게 통보한다.

103(보안관련 교직원 교육 및 훈련) 정보보안관리자는 침해사고의 사전 예방 및 사고발생시 신 속한 대응 및 조치를 위해 침해사고대응팀, 서버운영자 및 관련 교직원에 대하여 연 1회 이상 침 해사고 예방 및 대응 교육을 실시하여야 하며, 교육의 대상자는 이를 숙지하여야 한다.


5장 정보보안감사


104(정보보안감사 영역) 정보보안감사는 정보보안 기준에 규정된 사항을 확인하기 위한 모든 활동을 그 범위로 하며 정보자산, 정보자산 관리인력 및 본 대학교 구성원을 그 대상으로 한다.

정보보안감사는 다음과 같은 부문을 포함하며, 정보보안책임자의 검토에 의해 조정이 가능하다.

1. 관리적, 물리적, 기술적 보안 부문

2. 정보자산에 대한 위험분석 부문 등

105(정보보안감사 구분) 정보보안감사는 정기 정보보안감사, 특별 정보보안감사, 정기 정보 보안진단으로 구분하며 그 내용은 다음과 같다.

정기 정보보안감사는 연간 정보보안감사 계획에 따라 실시하는 계획된 감사를 말하며 매년 1회 실시한다. , KISA ISMS인증 획득 시 이를 정기 정보보안감사로 대치할 수 있으며 또한, ISO27001 인증 획득 시 매 6개월마다 시행되는 재심사로 정기 정보보안감사를 대치할 수 있다.

특별 정보보안감사는 보안사고와 같은 중요 사안의 발생 시 정보보안책임자의 요청에 의해 실시한다.

정기 정보보안진단은 정보시스템 등의 주요 IT자산에 대해 매월 1회씩 자체점검을 통한 보안 진단을 실시한다.

정기 정보보안진단은 매월 셋째 주 수요일에 실시하며, 정기 정보보안진단일이 공휴일인 때에는 익일에 실시한다.

106(정보보안감사 계획) 정보보안책임자는 정보보안감사 계획을 수립 및 공지하여야 한다.

정보보안감사 계획은 정보보안 정책·규정의 제·개정 및 공표와 그에 따른 이행 기간을 모두 고려하여 작성되어야 하며, 검사 실시 범위, 시기 및 방법 등이 기술되어야 한다.

107(정보보안감사 조직 구성) 정보보안책임자는 정보보안감사를 실시하기 위한 조직을 구성 한다.

정보보안감사 조직의 구성이 여의치 않을 경우 외부 전문가에게 용역으로 맡길 수 있다. 108(정보보안감사 목표 설정) 본 대학교의 정보보안 정책, 규정 및 절차 또는 관련 법령에

규정된 사항을 확인하기 위하여 각 항목별로 세부검사목표를 설정하고 검사를 실시한다.

109(정보보안감사 증적 수집) 정보보안정책 및 규정에 정의된 사항이 부정이나 오류 없이 이행되었다는 것을 확신하기 위한 감사 증적을 수집하여야 한다.

효율적인 감사가 되도록 감사를 실시하기 전에 감사계획에 의거 요청할 관련 자료를 담당자에게 서면으로 송부할 수 있다.

감사 증적을 수집하기 위하여 질문, 관찰, 문서검증, 비교 대조, 시사 등의 방법 중에서 단수 또는 복수 개를 선택하여 적용할 수 있다.

정보보안감사 증적의 요건은 다음을 만족하여야 한다.

1. 목표에 적합한 관련 있는 감사 증적을 수집하여야 한다.

2. 목표를 달성하기 위한 충분한 양의 감사 증적을 수집하여야 한다.

110(정보보안감사 결과 기록) 감사결과 수집한 증적을 관리하여야 하며 이를 문서화하여 보관한다.

감사결과는 총장 또는 외부 감독기관의 요청이 있는 경우 이를 제출할 수 있도록 보관하여야 한다.

정보보안감사 결과 보고서에는 다음과 같은 내용이 포함될 수 있다.

1. 보고서는 감사의 목적과 범위, 실시 기간 등을 명시하고 주요 결과를 요약하여 기술한다.

2. 지적사항에 대해서는 관련 업무 담당자와 상위관리자의 의견이나 향후 조치 계획 등이 함께 기술되도록 한다.

3. 정보보안 정책·규정의 미흡한 부분이나, 운영자들의 건의 사항 등을 반영하여, 정보보안 정책· 규정의 제·개정 방향이 반영되도록 한다.

4. 정보보안감사를 외부 전문가를 활용하여 시행한 경우 외부 전문가에 의해 시행된 범위를 명시 하며, 정보보안감사의 전부를 외부에 위탁하여 시행한 경우에는 외부전문가의 감사보고서로 대치 할 수 있다.

111(정보보안감사 결과 보고) 정보보안감사의 결과는 정보보안관리자가 취합하여 정보보안책임 자에게 보고하고, 필요시 정보보안전문위원회 및 정보화위원회의 심의를 거쳐 총장에게 보고한다.

6장 정보보안 규정의 유지관리


112(규정의 검토) 정보보안관리자는 정보보안규정의 타당성을 매년 1회 정기적으로 검토해야 하며, 업무환경의 변화 발생 등과 같은 변화요인 발생 시 추가 검토를 수행할 수 있다.

113(규정의 제·개정) 정보보안과 관련하여 새로운 요구 사항이 도출되거나 정보보안감사 결과 및 정보보안 정책·지침의 검토 결과 개정이 필요한 경우 또는, 사용자에 의해 개선안, 이의, 문제점 등이 제기된 경우에는 정보보안규정을 제·개정해야 한다.

정보보안담당부서는 관련 전문가와 해당 실무자들과 함께 제·개정 사항을 검토 후 제·개정한다.

·개정안은 정보보안관리자의 검토를 거친 후 정보보안책임자의 승인을 받아야 하며, 승인된 정보보안규정에 대하여 정보보안전문위원회 및 정보화위원회 심의를 받아야 한다.

정보보안책임자는 제·개정된 규정 사항을 모든 사용자에게 공지하고 유예 기간을 고려하여 적용해야 한다.


부 칙


1(시행일) 이 규정은 201661일부터 시행한다.

2(예외적용) 다음 각 호에 해당하는 경우에는 본 규정에서 명시한 내용일지라도 정보보안책임자의 승인을 받아 예외 취급할 수 있다.

1. 기술환경의 변화로 적용이 불가능할 경우

2. 기술적, 관리적 필요에 따라 규정의 적용을 보류할 긴급한 사유가 있을 경우

3. 기타 재해 등 불가항력적인 상황일 경우

4. 기관의 특성에 따라 본 규정의 일부적용이 불가능 할 경우 정보보안 조직의 승인을 거쳐 기관용 보안내규를 별도로 제정하여 운영할 수 있다.

3(경과조치) 특별한 사유에 의하여 본 규정에서 정하는 요건을 충족하지 못한 경우에는 시행일 로부터 1년 이내에 개선방안을 강구하여야 한다.

Document Metadata

Filed: October 28th, 2016