기관명 정보주체에의
통지 여부
유출된 개인정보의 항목 및 규모
유출된 시점과 그 경위
유출피해 최소화 대책
·
조치 및결과
정보주체가 할 수 있는 피해 최소화 방법 및
구제절차
담당부서
·
담당자 및 연락처
성명 부서 직위 연락처
개인정보 보호책임자
개인정보 취급자
정보 보안 지침
제정 2012. 09. 19. 지침 제34호
제1장 정보보안 목적 및 관리
제1조(목적) 컴퓨터 사용의 일반화와 연구, 학사 및 행정업무의 전산화 추진 에 따라 많은 자료가 정보화되고 있어 한국학중앙연구원(이하 “연구원” 이 라 한다)의 정보자원과 이와 관련된 정보처리, 보관, 전송되는 자료를 각종 침해로부터 보호하기 위한 세부사항을 규정함을 목적으로 한다.
제2조(적용 대상과 범위 및 의무와 책임) ① 적용 대상은 원내 전산자원을 사용하는 모든 정보시스템 및 구성원으로 한다.
②연구원의 정보자산 보호와 정보운영 환경 및 어플리케이션의 운영과 제 공에 관하여는 따로 규정되는 경우를 제외하고는 이 규정에 따른다.
③정보보호에 대한 의무는 연구원의 전산자원을 사용하는 구성원 모두에 게 있으며, 이에 따라 정보보안지침을 준수할 의무가 있다. 따라서 본 지 침을 준수하지 않아 발생한 사고의 책임은 원칙적으로 사용자 본인에게 있다.
제3조(용어의 정의) 이 지침에서 사용되는 용어의 정의는 다음 각 호와 같다.
1. “유출” 이라 함은 전산자료가 수록된 디스크, 테이프, 등 보조기억매체 또는 그 내용의 복제물이나 출력물을 사전 승인 없이 외부로 반출 시키 는 행위를 말한다.
2. “해킹” 이라 함은 전산망을 통하여 연구원 통신망 및 정보시스템에 무 단으로 접속(침입)하여 자료를 열람, 파괴, 바이러스 침투, 장애 유발 등 을 하는 행위를 말한다.
3. “컴퓨터바이러스” 라 함은 컴퓨터를 작동시키는 기본 소프트웨어에 침 투하여 시스템 자원이나 사용자가 만든 프로그램 파일을 파괴하거나 운 영에 제한을 가하며, 같은 기종의 컴퓨터나 네트워크를 통하여 자료를 복사하거나 자료를 공유할 경우 그 컴퓨터의 저장장치를 감염시키는 소 프트웨어를 말한다.
4. “정보보안사고” 라 함은 보호관리 대상에 속하는 정보시스템의 정보 또 는 정보시스템 장비 및 시설이 무단으로 파괴되거나 유출, 변조되어 업 무 수행에 지장을 초래하는 사고를 말한다.
5. “정보보안조직” 이라 함은 외부로부터의 해커 또는 바이러스의 침입을 예방하고 내부 정보시스템에 대하여 보호 업무를 담당하고 있는 부서를 말한다.
6. “정보보호” 라 함은 정보의 기밀성, 무결성, 가용성을 보장하기 위한 관 리적, 기술적, 물리적 통제 수단 및 이러한 수단으로 이루어지는 행위를 말한다.
7. “백도어” 라 함은 시스템 보안이 제거된 비밀통로로, 서비스 기술자나 유지보수 프로그래머들의 액세스 편의를 위해 시스템 설계자가 고의적 으로 만들어 놓은 것을 말한다.
8. “DOS(Denial of Services) 공격” 이라 함은 일반적으로 공격자의 컴퓨터 로부터 표적 시스템과 그 시스템이 속한 네트워크에 과다한 데이터를 보내어 시스템과 네트워크의 성능을 급격히 저하시켜 표적시스템에서 제공하는 서비스들을 인터넷 사용자들이 이용하지 못하게 하는 기법을 말하며, “DDoS(Distributed Denial of Service) 공격” 이라 함은 해킹 방 식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 ‘서비스 거부 공격(Denial of Service attack;DoS)'을 함으로써 시스템이 더 이상 정 상적 서비스를 제공할 수 없도록 만드는 것을 말한다.
9. “스니핑” 이라 함은 컴퓨터 네트워크상에 송수신하는 데이터를 도청하 는 행위를 말한다.
10. “암호화” 라 함은 중요한 정보의 보안을 유지하기 위해 그 정보를 특정 한 규칙에 따라 변형하여 저장함으로써 해독 방법을 모르는 사람은 그 정보의 내용을 알아볼 수 없도록 하는 것을 의미한다. 이와 반대로 암 호화된 문장으로부터 원래의 정보를 복구하는 것을 복호화라 한다. 11. “정보자산” 이라 함은 연구원이 소유하고 있는 서버, 네트워크, 어플리
케이션, 데이터, PC 등 모든 유․무형의 재산을 말한다.
12. “정보시스템” 이라 함은 사업수행을 위해 정보자산이 유기적으로 결합 되어 업무를 처리하는 체계를 말한다.
13. “정보자산 분류” 라 함은 정보시스템에서의 적절한 보호 통제가 취해질 수 있도록 정보자산을 체계적으로 구분하는 것을 의미한다.
14. “어플리케이션” 이라 함은 연구원 업무에 필요한 각종 업무용 응용프로 그램을 말한다.
15. “DMZ” 라 함은 연구원의 네트워크와 외부의 공중 네트워크 사이의 중 립 지역으로서 컴퓨터 호스트 또는 소형 네트워크를 말한다.
제2장 정보보안 조직 및 임무
제4조(정보보안조직) 정보보안책임자는 정보보안관리팀장, 정보보안담당자는 정보보안실무자로 하고 정보보안조직은 정보보안관리팀이 된다.
제5조(정보보안조직의 임무) 정보보안조직의 임무는 다음과 같다.
1. 정보보안 정책의 수립
2. 시스템실, 전산망, 정보시스템, 전산자료 등의 보안관리 3. 정보보안업무 지도, 감독, 교육
4. 기타 정보보안업무 관련사항
제6조(정보보안 교육) ①정보보안 침해사고로 인한 위험을 최소화 시키고 업 무수행이 원활히 지속될 수 있도록 정보보안 교육을 실시하여야 한다.
②정보보안 교육은 교육대상 및 업무에 따라 적절히 분리되어 수행하여야 한다.
③외부업체 직원에 대해서는 보안교육 후 보안서약서를 징구해야 한다.
제3장 정보보안 대상 및 통제
제7조(보안대상 정보자산) 각종 침해로부터 보호 관리할 정보시스템과 관련 된 정보자산은 다음 각 호와 같다.
1. (서버) 연구원의 주요 업무를 처리하는 시스템
2. (네트워크) 라우터, 스위치 장비 등 네트워크 통신에 필요한 주요장비 3. (어플리케이션) 연구원 업무에 필요한 각종 업무용 프로그램
4. (데이터베이스) 업무수행과 관련이 있는 데이터가 저장된 정보집합체
5. (데이터) 업무수행과 관련이 있는 전산자료
(1) 대외비 이상의 비밀 자료(이하 “비밀자료” 라 한다) (2) 연구원에서 보호되어야 할 정보
6. (PC) 업무수행에 사용되는 개인용 컴퓨터, PDA, 노트북 등 7. (시스템실) 무정전전원장비(UPS), 항온항습기, 하론소화기 등
제8조(접근통제) ① 정보시스템에 대한 접근통제를 위해 해당업무 담당자별 로 필요한 권한만을 허용하고, 기타 정보자원에 대한 접근은 차단하는 것 을 원칙으로 한다.
②전산시스템 사용자 권한은 주기적으로 확인하여 비인가 되거나 불필요 한 권한을 제거해야 한다.
③퇴직자나 사용 목적이 만료된 사용자 ID는 즉시 사용할 수 없도록 하여 야 한다. 다만, 본원의 명예교수 및 정보보안책임자의 사용 승인을 받은 자에게는 그러하지 아니하다.
④각 부서장은 신규입사자 또는 인사이동이 발생하였을 경우 해당 담당자 에게 사용자 ID 및 권한의 부여를 요청하여야 한다.
제4장 정보시스템 보안점검 및 전문분야별 보안
제9조(기본 수칙) ①정보시스템 사용자는 개인별 사용자 계정 및 패스워드의 기밀을 유지해야 하며, 본래의 발급 목적으로만 사용하여야 한다.
②교직원 및 학생은 허가받은 정보시스템의 권한이 부여된 영역에 대하여 본래의 목적으로만 사용할 수 있다.
③정보시스템 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래 할 수 있는 행위를 해서는 아니 된다.
④제3항의 규정에 언급된 행위를 한 자가 발견된 경우에는 소속부서의 장 또는 정보보안조직에게 알려야 한다.
⑤정보자산과 연관된 저작권 ․ 특허권 및 소프트웨어 라이선스의 사용 조건을 숙지하고 이를 준수하여야 한다.
⑥원내 전산망을 신설․변경 및 폐기하고자 하는 경우에는 정보보안조직 의 사전승인을 얻어야 한다.
⑦외부 전산망에서 원내 전산망으로의 접근은 연구원에서 승인한 정보시 스템을 제외하고는 원칙적으로 허용하지 아니 한다. 단, 필요시 적법한 절 차에 의해 요청하며, 승인된 경우 제한적으로 허용 될 수 있다.
⑧업무와 관련해 습득한 정보자산을 연구원의 허가 없이 외부에 누출해서 는 아니 된다.
제10조(정품소프트웨어의 소유권) 연구원의 이름으로 구매 또는 개발된 모든 소프트웨어는 연구원이 그 소유권을 가지며 연구원의 승인 없이는 불법적 으로 복제하거나 사용할 수 없다.
제11조(불법소프트웨어 사용금지) 원내 정보시스템을 이용하거나 업무에 관 련된 소프트웨어 사용 시 연구원에서 사용이 불가한 소프트웨어 또는 사 용권한이 없거나 임의로 복제된 소프트웨어를 사용해서는 안된다.
제12조(서버 보안) ①운영 중인 서버의 안정화를 위해 주기적으로 성능 점검 및 예방 활동을 수행하여야 한다.
②운영 중인 서버는 보안 문제점 및 취약점에 대한 대응책을 마련하여 안 전한 상태로 서비스가 될 수 있도록 하여야 한다.
③서버의 장애 및 비상시를 대비하여 서버의 중요 데이터를 정기적으로 백업하여야 한다.
제13조(네트워크 보안) ①인터넷 등 모든 외부 망과의 접점에는 침입차단시 스템을 사용하여 인가되지 않은 접속을 차단하여야 한다.
②운영 중인 네트워크의 안정화를 위해 주기적으로 성능점검 및 예방활동 을 수행하여야 한다.
③운영 중인 네트워크 보안 문제점 및 취약점에 대한 대응책을 마련하여 안전한 상태로 서비스가 될 수 있도록 하여야 한다.
제14조(어플리케이션 보안) ①어플리케이션 개발 시, 개발 과정에서 업무의 기능 및 사용목적에 따라 사용자 인증, 접근통제, 기밀성, 무결성, 가용성 등에 대한 보안사항을 반영해야 한다.
②어플리케이션 운영 시 모든 사용자는 패스워드 등 인증과정을 거치도록 하고, 사용자 권한에 따라 접근을 통제하여야 한다.
③어플리케이션을 사용하는 교직원은 자신의 ID/패스워드를 안전하게 관 리할 책임을 가진다.
제15조(데이터베이스 보안) ①데이터베이스의 무결성 유지를 위해 데이터베 이스의 수정은 적법한 인가자에 의해서만 이루어져야 한다.
②DBMS는 시스템과 별도로 사용자 인증기능을 수행해야 한다.
③데이터베이스에 대한 모든 접근은 감사기록을 유지한다.
제16조(PC 보안) ①PC사용자는 출처가 분명하지 않거나, 개인적으로 부가적 인 장비 및 소프트웨어를 설치 또는 제거해서는 안되며, 필요시 정보보안 담당자에게 보고하고 설치 및 제거하도록 한다.
②PC사용자는 사용자 패스워드(부팅 패스워드, 윈도우 패스워드, 화면보호 기 패스워드, 공유폴더 패스워드 등)를 안전하게 관리해야 한다.
③PC사용자는 바이러스 감염을 예방하기 위해서 외부로부터 습득한 파일 은 사용하기 전에 바이러스 검사를 실시하고, 최신 바이러스 백신으로 업 데이트하여야 하며, 최신의 윈도우 보안모듈을 업데이트 하여 항상 최신의 상태를 유지하여야 한다.
④노트북은 도난당하기 쉽고 비인가된 자의 접근이 용이하기 때문에 사용 자 책임하에 철저히 관리하여야 한다.
제17조(시스템실 시설기준) ①출입구에 입실자 통제가 가능하도록 출입보안 장치를 설치한다.
②자동화재경보 설비를 설치하고, 하론 가스 등을 사용한 소화시 장비에 피해를 주지 않는 자동 소화 설비를 설치한다.
③정보시스템에 대한 안정적인 전원 공급을 위한 무정전전원장치(UPS)를 설치하고 정전 시 비상발전기로 전원을 공급한다.
④온․습도를 적절히 유지할 수 있는 항온항습기를 설치한다.
제18조(시스템실 운영 및 보안) ①시스템실의 운영 담당자는 시스템실 사용 및 운영에 관한 절차 및 방법을 숙지하도록 한다.
②시스템실의 운영자는 운영일지 및 장애일지를 작성해야 한다.
③시스템실의 운영자는 주기적으로 로그를 분석하여 시스템에 이상이 발 견되면 즉시 조치를 취하고 이를 정보보안책임자에게 보고 한다.
④시스템실에는 출입자 명부를 비치하고 비인가자의 출입을 통제해야 한다.
제5장 정보보안사고 대응