• 텍스트크게
  • 기본크기
  • 텍스트작게
  • 프린트
홈
인천대학교 정보전산원 Incheon National University Computing & Information Center 서브비주얼
로그인
사이트맵 인천대학교
정보보안 기본 방침

제정 2015. 01. 05

제 1장 총 칙

제1조(목적)

이 방침은 인천대학교의 정보보안활동에 필요한 세부사항을 정함을 목적으로 한다.

제2조(적용범위)

① 이 방침은 인천대학교 내의 모든 기관(부서)(이하 "소속기관"이라 한다)에 적용한다.
② 이 방침에 없는 사항에 대해서는 교육부 정보보안 기본지침을 적용한다.

제 2장 정보보안 기본활동

제3조(정보보안 책임)

인천대학교 정보보안의 책임은 총장에게 있으며, 소속기관의 정보보안에 관한 책임은 소속기관의 장에게 있다.

제4조(정보보안담당관 운영)

① 인천대학교 관련규정에 의거 임용된 정보분임보안담당관(이하 “정보보안담당관”이라 한다)은 인천대학교의 정보보안 업무를 총괄 한다.
② 정보보안담당관의 임무는 다음과 같다.
  1. 정보보안 기본계획 수립ㆍ시행
  2. 정보보안 관련 규정ㆍ지침 등 제ㆍ개정
  3. 정보보안 업무 지도ㆍ감독, 교육, 정보보안 감사 및 심사분석
  4. 사이버위협정보 수집ㆍ분석ㆍ대응 및 보안관제
  5. 기타 정보보안업무 관련 사항

제5조(활동계획 수립 및 심사분석)

① 정보보안담당관은 정보보안업무 세부 추진계획을 수립ㆍ시행하고 이에 대한 심사분석을 실시 할 수 있다.

제6조(지도방문)

① 정보보안담당관은 정보통신망 운용 관리에 따른 보안취약성 개선을 위하여 소속기관을 지도방문을 할 수 있다.
② 소속기관의 장은 정보통신망의 보안취약성 개선을 위하여 정보보안담당관에게 지도방문을 요청할 수 있다.

제7조(정보보호 수준 자가진단)

① 정보보안담당관은 교육부장관이 매년 정하는 진단 대상ㆍ기준, 진단항목 및 기간에 따라 자체 진단하고 그 결과를 교육부장관에게 통보
    하여야 한다.

제8조(정보보안감사)

① 정보보안담당관은 연1회 이상 자체 정보보안 감사를 실시하거나, 대학 자체 행정감사 시 정보보안 감사를 포함하여 실시 할 수 있다.
② 정보보안담당관은 정보보안감사 결과를 보안담당관을 경유하여 총장에게 보고하거나, 대학 자체 행정감사 시 정보보안 감사를 하였을 경
    우에는 행정감사 보고로 대체 할 수 있다.

제9조(정보보안 교육)

① 정보보안담당관은 정보보안 교육을 직원 직장교육을 통하여 연1회 이상 전 직원을 대상으로 실시하여야 한다.

제10조(사이버보안진단의 날)

① 각 소속기관 장은 매월 세 번째 수요일을 '사이버보안진단의 날'로 지정ㆍ운영하여야 한다.
② 각 소속기관의 장은 '사이버보안진단의 날'에 자체점검(내PC지키미 실행 등)을 통한 보안진단을 실시하고 결과에 따른 조치를 신속히 하
    여야 한다.

제11조(정보보안 사고조사)

① 소속기관의 장은 정보보안 사고가 발생한 때에는 즉시 피해확산 방지를 위한 조치를 취하고 다음 각 호의 사항을 정보보안 담당관에게 통
    보하여야 한다. 이 경우, 사고원인 규명 시까지 피해 시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포맷하여서는 아니
    된다.
  1. 일시 및 장소
  2. 사고 원인, 피해현황 등 개요
  3. 사고자 및 관계자의 인적사항
  4. 조치내용 등

제12조(재난방지)

① 정보시스템을 운영하는 소속기관의 장은 인위적 또는 자연적인 원인으로 인한 정보통신망의 장애 발생에 대비하여 정보시스템 이원화,
    백업관리,복구 등 종합적인 재난방지 대책을 수립·시행하여야 한다.

제 3장 정보보안 관리

제13조(인적 보안)

① 정보시스템을 운영하는 소속기관의 장은 외부 인력을 활용하여 정보시스템의 개발, 운용, 정비 등을 수행할 경우에는 해당 인력의 고의
    또는 실수로 인한 정보유출이나 파괴를 방지하기 위하여 보안조치를 수행하여야 한다. 용역사업에 관한 세부 사항은 제34조(용역사업 보
    안관리)를 따른다.
② 정보시스템을 운영하는 소속기관의 장은 정보보안 우수자 및 위반자에 대하여 총장에게 포상 추천 및 징계를 요청할 수 있다.

제14조(정보시스템 보안)

① 정보시스템을 운영하는 소속기관의 장은 당해 기관에 필요한 일체의 정보시스템(PCㆍ서버ㆍ네트워크장비 등 포함)을 도입ㆍ이용할 경
    우, 이용자ㆍ시스템관리자 및 관리책임자를 지정 운용하여야 한다.

제15조(정보통신시설 보안)

① 정보시스템을 운영하는 소속기관의 장은 다음 각 호의 중요 정보통신시설 및 장소를 「보안업무규정」(대통령령) 제30조에 따른 보호구
    역으로 설정 관리하여야 한다.
  1. 주전산기실ㆍ정보통신실ㆍ통신실
  2. 그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치 장소
② 정보시스템을 운영하는 소속기관의 장은 제1항에서 지정된 보호구역에 대한 보안대책을 강구할 경우 다음 각 호 사항을 참고하여야 한다.
  1. 방재대책 및 외부로부터의 위해(危害) 방지대책
  2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치
  3. 관리책임자 및 자료ㆍ장비별 취급자 지정 운용
  4. 정전에 대비한 비상전원 공급, 시스템의 안정적 중단 등 전력관리 대책

제16조(보안성 검토)

① 정보시스템을 운영하는 소속기관의 장은 정보통신망의 신ㆍ증설 등에 대하여 보안대책을 강구하고 적절성 확인을 위하여 사업 계획단계
    에서 보안심사위원회의 심의를 받은 후 , 교육부장관에게 보안성 검토를 의뢰하여야 한다. 단 정보시스템의 단순 교체 등 사안이 경미하
    다고 판단되는 경우에는 보안성 검토를 생략할 수 있다.

제17조(보안적합성 검증)

정보시스템을 운영하는 소속기관의 장은 국가용 보안시스템을 제외한 정보보호시스템을 도입할 경우, IT보안인증사무국에서 인증한 제품을 도입한다.

제18조(PC 등 단말기 보안관리)

① 단말기 이용자는 PCㆍ노트북ㆍPDA 등 단말기(이하 "PC 등"이라 한다) 이용과 관련한 일체의 보안관리 책임을 가진다.
② PC 등을 무단으로 조작하여 전산자료를 절취, 위ㆍ변조 및 훼손시키지 못하도록 이용자는 이를 준수하여야 한다.
  1. 장비(CMOS 비밀번호)ㆍ자료(중요문서자료 암호화 비밀번호)ㆍ이용자(로그온 비밀번호)별 비밀번호를 주기적(3개월)으로 변경 이용한
    다.
  2. 10분 이상 PC 작업 중단 시 비밀번호가 적용된 화면보호 조치
  3. PC용 최신백신 운용ㆍ점검 운영체제 및 응용프로그램 등의 최신 보안패치 유지
  4. 업무상 불필요한 응용프로그램 설치 금지 및 공유 폴더의 삭제
③ 이용자는 PC 등 단말기를 교체ㆍ반납ㆍ폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 관리책임자와 협의하여 하드디스크
    에 수록된 자료가 유출, 훼손되지 않도록 보안조치 하여야 한다.

제19조(인터넷 PC 보안관리)

① 인터넷과 연결된 PC를 비인가자가 무단으로 조작하여 전산자료를 절취, 위ㆍ변조 및 훼손시키지 못하도록 이용자는 이를 준수하여야 한
    다.
  1. 메신저ㆍP2Pㆍ웹하드 등 업무에 무관하거나 불필요한 Active-X 등 보안에 취약한 프로그램과 비인가 프로그램ㆍ장치의 설치 금지
  2. 음란ㆍ도박 등 업무와 무관한 사이트 접근차단 조치

제20조(서버 보안관리)

① 정보시스템을 운영하는 소속기관의 서버 관리자는 서버를 도입ㆍ운용할 경우, 해킹에 의한 자료 절취, 위ㆍ변조 등에 대비한 보안대책을
    수립ㆍ시행하여야 한다.
② 정보시스템을 운영하는 소속기관의 서버 관리자는 서버의 운용에 필요한 서비스 포트 외에 불필요한 서비스 포트를 차단하여 운영한다.
③ 정보시스템을 운영하는 소속기관의 서버 관리자는 서버에 저장된 자료에 대해서는 정기적으로 백업을 실시하여 복구 및 침해사고에 대비
    하여야 한다.
④ 정보시스템을 운영하는 소속기관의 서버관리자는 데이터베이스에 대하여 이용자의 직접적인 접속을 차단하고 개인정보 등 중요정보를
    암호화하는 등 데이터베이스별 보안조치를 실시하여야 한다.

제21조(웹서버 등 공개서버 보안관리)

① 정보시스템을 운영하는 소속기관의 장은 비인가자의 서버 저장자료 절취, 위ㆍ변조 및 분산서비스거부(DDoS) 공격 등에 대비하기 위하
    여침입차단ㆍ탐지시스템 및 DDoS 대응시스템을 설치하는 등 보안대책을 강구하여야 한다.
② 정보시스템을 운영하는 소속기관의 서버 관리자는 비인가자의 공개서버 내에 비공개 정보에 대한 무단 접근을 방지하기 위하여 서버에
    접근 이용자를 제한하고 불필요한 계정을 삭제하여야 한다.

제22조(홈페이지 게시자료 보안관리)

① 정보시스템을 운영하는 소속기관의 장은 개인정보를 포함한 중요 업무자료가 홈페이지에 무단 게시되지 않도록 홈페이지 게시자료의 범
    위ㆍ방법 등 자체 보안 대책을 시행하여야 한다.
② 이용자는 개인정보, 비공개 공문서 및 민감 자료가 포함된 문서를 홈페이지에 공개하여서는 아니 된다.

제23조(이용자계정 관리)

① 정보시스템을 운영하는 기관의 시스템관리자는 이용자에게 정보시스템 접속에 필요한 이용자계정(ID) 부여 시 비인가자 도용 및 정보통
    신시스템 불법 접속에 대비하여 다음 각 호의 사항을 반영하여야 한다.
  1. 이용자별 또는 그룹별로 접근권한 부여
  2. 외부인에게 계정 부여는 불허하되 업무상 불가피 시 소속기관의 장의 책임 하에 필요업무에 한해 특정기간 동안 접속토록 하는 등
    보안조치 강구 후 허용

제24조(비밀번호 관리)

① 비밀번호는 다음 각 호 사항을 반영하여 숫자와 문자, 특수문자 등을 혼합하여 9자리 이상으로 정하고, 분기 1회 이상 주기적으로 변경 이
    용하여야 한다.
  1. 이용자계정(ID)과 동일하지 않은 것
  2. 개인 신상 및 부서 명칭 등과 관계가 없는 것
  3. 동일단어 또는 숫자를 반복하여 이용하지 말 것
  4. 이용된 비밀번호는 재이용하지 말 것

제25조(전자우편 보안대책)

① 정보시스템을 운영하는 기관의장은 시스템 일체를 보호하기 위하여 백신, 해킹메일 차단시스템을 구축하는 등 보안대책을 강구하여야 한
    다.

제26조(휴대용 저장매체 보안대책)

① 휴대용 저장매체는 비밀용, 일반용으로 구분하고 중요정보는 비밀용 USB에 저장하여 금고 속에 보관한다.
② 일반용 USB를 이용할 경우 PC 등에 연결 시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안
    설정한다.

제27조(악성코드 방지대책)

① 소속기관의 장은 웜ㆍ바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호를 시행한다.
    1. 이용자는 PC 등에서 작성하는 문서ㆍ데이터베이스 작성기 등 응용프로그램을 보안패치하고, 백신은 최신상태로 업데이트ㆍ상시 감시
      상태로 설정 및 주기적인 점검을 실시하여야 한다.
    2. 이용자는 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램 이용을 금지하고 인터넷 등 상용망으로 자료 입수 시 신뢰할 수 있
      는 인터넷사이트를 활용하되 최신 백신으로 진단 후 이용하여야 한다.
② 이용자는 감염 PC 등에 대하여 다음 각 호의 조치를 하여야 한다.
    1. 최신 백신 등 악성코드 제거 프로그램을 이용하여 악성코드를 삭제한다.
    2. 감염이 심각할 경우 포맷 프로그램을 이용하여 하드디스크를 포맷한다.
③ 소속기관의 장은 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 정보보안담당관에게 신속히 통보하여야 한
    다.

제28조(접근기록 관리)

① 정보시스템을 운영하는 기관의 시스템관리자는 정보시스템의 효율적인 통제ㆍ관리, 사고 발생 시 추적 등을 위하여 이용자의 정보시스템
    접근기록을 유지 관리하여야 한다.
② 제1항의 접근기록에는 다음 각 호의 내용이 포함되어야 한다.
  1. 접속자, 정보시스템ㆍ응용프로그램 등 접속 대상
  2. 로그 온ㆍ오프, 파일 열람ㆍ출력 등 작업 종류, 작업 시간
  3. 접속 성공ㆍ실패 등 작업 결과
③ 접근기록은 정보보안 사고발생 시 확인 등을 위하여 6개월 이상 보관 하여야 한다.

제29조(정보시스템 개발 보안)

① 정보시스템을 운영하는 소속기관의 시스템개발사업 담당자는 정보시스템을 자체적으로 개발하고자 하는 경우에는 다음 각 호의 사항을
    고려하여 보안대책을 수립하여야 한다.
  1. 독립된 개발시설을 확보하고 비인가자의 접근 통제
  2. 개발시스템과 운영시스템의 물리적 분리
  3. 소스코드 관리 및 소프트웨어 보안관리
② 정보시스템을 운영하는 기관의 시스템 개발사업 담당자는 외부용역 업체와 계약하여 정보시스템을 개발하고자 하는 경우에는 다음 각 호
    의 사항을 고려하여 보안대책을 수립 하여야 한다.
  1. 외부인력 대상 보안서약서 징구(서식 3호 및 4호) 및 보안교육
  2. 외부인력의 보안준수 사항 확인 및 위반 시 배상책임의 계약서 명시
  3. 외부인력의 정보시스템 접근권한 및 제공자료 보안대책
  4. 외부인력에 의한 장비 반입ㆍ반출 및 자료 무단반출 여부 확인

제30조(정보시스템 유지보수)

① 정보시스템을 운영하는 소속기관의 장은 정보시스템 유지보수와 관련한 절차를 수립 하여야 한다.
  1. 유지보수 인력에 대해 보안서약서 집행, 보안교육 등을 포함한 유지보수 인가 절차를 마련하고 인가된 유지보수 인력만 유지보수에 참여
    한다.
  2. 결함이 의심되거나 발생한 결함, 예방 및 유지보수에 대한 기록을 보관한다.
  3. 정보시스템의 유지보수 일시, 담당자 인적사항, 정비내용 등을 기록ㆍ유지하여야 한다.
② 시스템관리자는 외부에서 원격으로 정보시스템을 유지보수 하는 것을 원칙적으로 금지하여야 하며 부득이한 경우에는 정보보안담당관과
    협의하여 자체 보안대책(보안서약서 집행 등)을 강구한 후 한시적으로 허용할 수 있다.

제31조(전자정보 저장매체 불용처리)

① 이용자 및 시스템관리자는 하드디스크 등 전자정보 저장매체를 불용처리 하고자 할 경우에는 저장매체에 수록된 자료가 유출되지 않도록
    보안조치 하여야 한다.
② 자료의 삭제는 해당 정보가 복구될 수 없도록 해당 기관 실정에 맞게 저장매체별, 자료별 차별화된 삭제방법을 적용하여야 한다.

제32조(무선랜 보안관리)

① 정보시스템을 운영하는 소속기관의 장은 무선랜을 설치할 경우 자체 보안대책을 수립하여 관련 사업 계획단계에서 보안심사위원회의 심
    의를 받은 후, 교육부장관에게 보안성 검토를 의뢰하여야 한다. 단, 사안이 경미하다고 판단되는 경우에는 생략할 수 있다.
② 정보시스템을 운영하는 소속기관의 시스템관리자는 제1항의 보안대책 수립 시, 다음 각 호의 사항을 포함하여야 한다.
  1. 네트워크 이름(SSID, Service Set Identifier) 브로드캐스팅 중지
  2. 추측이 어려운 복잡한 SSID 이용
  3. RADIUS(Remote Authentication Dial-In User Service) 인증 이용
③ 문제가 발생할 경우 정보보안담당관에게 즉시 통보하여 대책을 강구하여야 한다.

제33조(정보통신망 자료 보안관리)

① 정보시스템을 운영하는 소속기관의 장은 다음 각 호에 해당하는 정보통신망 관련 현황ㆍ자료 관리에 유의하여야 한다.
  1. 정보시스템 운용 및 구성 현황
  2. IP 할당현황 및 주요 정보화사업 추진현황
② 정보시스템을 운영하는 소속기관의 장은 다음 각 호의 자료를 대외비로 분류하여 관리하여야 한다.
  1. 정보통신망 세부 구성현황(IP 세부 할당현황 포함)
  2. 국가용 보안시스템 운용 현황
  3. 보안취약점 분석ㆍ평가 결과물
  4. 그 밖에 보호할 필요가 있는 정보통신망 관련 자료

제34조(용역사업 보안관리)

① 정보시스템을 운영하는 소속기관의 장은 정보화ㆍ정보보호 사업 을 외부용역으로 추진할 경우 사업 책임자로 하여금 다음 각 호의 사항
    을 포함한 보안대책을 수립․시행하여야 한다.
  1. 용역사업 계약 시 계약서에 참가직원의 보안준수 사항과 위반 시 손해배상 책임 등 명시
  2. 용역사업 수행 관련 보안교육ㆍ점검 및 용역기간 중 참여인력 임의교체 금지
  3. 용역업체에 제공할 중요 자료는 인계인수대장을 비치, 보안조치 후 인계ㆍ인수하고 무단 복사 및 외부반출 금지
  4. 사업 종료 시 외부업체의 노트북ㆍ휴대용 저장매체 등을 통해 비공개 자료가 유출되는 것을 방지하기 위해 복구가 불가능하도록 완전삭
    제
  5. 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공ㆍ열람 금지
  6. 그 밖에 소속기관의 장이 보안관리가 필요하다고 판단하는 사항
② 정보시스템을 운영하는 소속기관의 장은「국가계약법」시행령 제76조 제1항 제18호에 따라 용역사업 추진 시 과업지시서ㆍ입찰공고ㆍ계
    약서에 다음 각 호의 누출금지 대상정보를 명시해야 하며 해당정보 누출 시 입찰 참가자격 제한을 위한 부정당업자로 등록하여야 한다.
  1. 소속기관의 소유 정보시스템의 내ㆍ외부 IP주소 현황
  2. 세부 정보시스템 구성 현황 및 정보통신망 구성도
  3. 이용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보
  4. 그 밖에 소속기관의 장이 공개가 불가하다고 판단한 자료

제 4장 안정성 확인

제35조(보안성 검토 신청)

① 정보시스템을 운영하는 소속기관의 장은 다음 각 호의 정보화사업을 추진할 경우에 대하여 자체 보안대책을 강구하고 안전성을 확인하기
    위하여 사업 계획단계에서 보안심사위원회의 심의를 받은 후, 교육부장관에게 보안성 검토를 의뢰하여야 한다. 단 정보시스템의 단순 교
    체 등 사안이 경미하다고 판단되는 경우에는 이를 생략할 수 있다.
  1. 비밀 업무와 관련된 정보시스템 및 네트워크 구축
  2. 국가용 보안시스템을 도입 운용하고자 할 경우
  3. 대규모 정보시스템 또는 다량의 개인정보를 처리하는 정보시스템 구축
  4. 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우
  5. 업무망과 연결되는 대규모의 무선 네트워크 시스템 구축
  6. 와이브로ㆍ스마트폰 등 첨단 IT기술을 업무에 활용하는 시스템 구축
  7. 업무망과 인터넷 분리 사업
  8. 그 밖에 소속기관의 장 또는 국가정보원장이 보안성 검토가 필요하다고 판단하는 정보화사업

제36조(보안성 검토 절차)

① 정보시스템을 운영하는 소속기관의 장이 정보통신망 보안성 검토를 의뢰하는 업무 절차는 다음과 같다.
  1. 소속기관의 장은 자체적으로 수립한 보안대책에 대하여 보안심사위원회 심의를 거친 후 교육부 장관에게 보안성검토를 요청한다.
  2. 정보통신망 보안성 검토는 서면 검토를 원칙으로 하되 필요하다고 판단하는 경우에는 현장 확인을 병행 실시할 수 있다.

제37조(제출 문서)

① 정보시스템을 운영하는 소속기관의 장은 정보통신망 보안성 검토를 요청할 경우에는 다음 각 호의 문서를 제출하여야 한다.
  1. 사업계획서(사업목적 및 추진계획 포함)
  2. 기술제안요청서(RFP)
  3. 정보통신망 구성도(IP주소체계 포함)
  4. 자체 보안대책 강구사항
② 제1항 제4호의 자체 보안대책 강구사항에는 다음 각 호를 포함하여야 한다.
  1. 보안관리 수행체계(조직, 인원) 등 관리적 보안대책
  2. 정보시스템 설치장소에 대한 보안관리 방안 등 물리적 보안대책
  3. 서버, 휴대용 저장매체, 네트워크 등 정보통신망의 요소별 기술적 보안대책
  4. 재난복구 계획 또는 상시 운용계획

제38조(정보보호시스템의 도입 등)

① 정보시스템을 운영하는 소속기관의 장은 정보 및 정보통신망 등을 보호하기 위해 정보보호시스템을 도입할 수 있다. 다만, 별표1에 규정
    된 유형의 시스템에 대해서는 해당 도입요건을 만족하는 경우로 한정한다.

제39조(보안적합성 검증대상)

① 보안적합성 검증대상은 다음 각 호와 같다.
  1. 상용 정보보호시스템
  2. 소속기관의 장이 자체 개발하거나 외부업체 등에 의뢰하여 개발한 정보보호시스템
② 제1항에도 불구하고, 다음 각 호의 경우에는 검증을 생략할 수 있다.
  1. 국가정보원장이 정한 국내용 CC 인증제도에 따라 인증을 받은 정보보호시스템
  2. 국가정보원장이 안정성을 확인한 암호제품
  3. 그 밖에 국가정보원장이 보안적합성 검증이 불요하다고 인정한 시스템

제40조(다른 법령과의 관계)

이 방침에 명시되지 않은 사항은 다음 각 호의 법령에 따른다.
  1.「국가정보보안 기본지침」 및 「교육부 정보보안 기본지침」
  2.「전자정부법」및 동법 시행령
  3.「정보통신기반보호법」및 동법 시행령
  4. 그 밖의 관계 법규

부 칙

이 방침은 발령한 날로부터 시행한다.

정보보안업무 세부 추진 계획정보보안업무 심사분석보안서약서정보보호시스템 유형별 도입요건
하단배경영역