제 2강
2012학년도 1학기
컴퓨터보안
제 1조 (목적) 본 지침은 건국대학교 (이하 “글로컬캠퍼스”라 한 다 ) 개인정보보호법 제33조(개인정보의 안전성 확보 조치)에 의거 하여 정보전산원과 기타 단위 부서의 시설 및 전산장비에 대한 물 리적 , 관리적 보안을 강화하는 것을 그 목적으로 한다.
제 2조 (적용범위) 본 지침은 본교 정보정산원과 기타 단위 부서의 전산시스템 운영자를 대상으로 한다 .
정보보안지침
(건국대학교, 2012)
제3조 (용어정의)
1. “사용자”라 함은 대학으로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 자를 말한다.
2. “정보통신망”이라 함은 전기통신기본법 제2조제2호의 규정에 의한 전기 통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보통신체제를 말하며 정보시스템 일체를 포함한다.
3. “정보시스템”이라 함은 서버ㆍPC 등 단말기, 보조기억매체, 네트워크 장 치, 응용 프로그램 등 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신에 필요 한 하드웨어 및 소프트웨어를 말한다.
4. “휴대용 저장매체”라 함은 디스켓ㆍCDㆍ외장형 하드디스크ㆍUSB 메모 리 등 정보를 저장할 수 있는 것으로 PC 등의 정보시스템과 분리할 수 있는 기억장치를 말한다.
5. “정보보안” 또는 “정보보호”라 함은 정보시스템 및 정보통신망을 통해 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신 되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위로 서 사이버안전을 포함한다.
용어 정의
(정보보안지침, 건국대학교 2012)
제 3조 (용어정의)
6.
“전자문서”라 함은 컴퓨터 등 정보처리 능력을 가진 장치에 의하여 전 자적인 형태로 송ㆍ수신 또는 저장되는 정보를 말한다 .
7.
“전자기록물”이라 함은 정보처리능력을 가진 장치에 의하여 전자적인 형태로 송ㆍ수신 또는 저장되는 기록정보자료를 말한다 .
8.
“전자정보”라 함은 각급기관이 업무와 관련하여 취급하는 전자문서 및 전자기록물을 말한다 .
9.
“RFID(Radio Frequency IDentification) 시스템”이라 함은 대상이 되 는 사물 등에 RFID 태그를 부착하고 전파를 사용, 해당 사물 등의 식별 정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집ㆍ저장ㆍ 가공 및 활용하는 시스템을 말한다 .
10.
“정보통신실”이라 함은 서버ㆍPC 등과 스위치ㆍ교환기ㆍ라우터 등 네트워크 장치 등이 설치 운용되는 장소를 말하며 , 전산실ㆍ통신실ㆍ 전자문서 및 전자기록물 (전자정보) 보관실 등을 말한다.
용어 정의
(정보보안지침, 건국대학교 2012)
제 3조 (용어정의)
11.“안전측정”이라 함은 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하
거나 정보를 절취ㆍ훼손하는 해킹ㆍ컴퓨터바이러스ㆍ서비스방해ㆍ도 청 등으로부터 정보통신망과 정보를 보호하기 위하여 정보보안 취약점 을 진단하는 제반활동을 말하며 , 대도청(對盜聽)측정 활동을 포함한다.
12.
“국가용 보안시스템”이라 함은 비밀 등 중요자료 보호를 위하여 국가 정보원장이 개발하거나 안전성을 검증한 암호장비ㆍ보안자재ㆍ암호 논리 등을 말한다 .
13.
“국가용 보안시스템 제작업체(이하 ‘제작업체’라 한다)”라 함은 국 가용 보안시스템의 제작권을 획득한 업체를 말한다 .
14.
“암호장비”라 함은 정보통신망으로 처리ㆍ저장ㆍ송수신되는 정보를 보호할 목적으로 암호논리를 내장하여 제작된 장비를 말한다 .
15.
“보안자재”라 함은 통신내용 등의 정보를 보호할 목적으로 사용하는 암호ㆍ음어ㆍ약호자재를 말한다 .
용어 정의
(정보보안지침, 건국대학교 2012)
제 3조 (용어정의)
16.
“암호자재”라 함은 Ⅱ급비밀 이하의 통신내용 등의 정보를 보호할 목적으로 사용하는 문자ㆍ숫자ㆍ기호 등으로 구성된 환자표와 난수 또 는 암호논리 등을 수록한 문서나 도구를 말한다 .
17.
“음어자재”라 함은 Ⅲ급비밀 이하의 통신내용 등의 정보를 보호할 목 적으로 사용하는 문자ㆍ숫자ㆍ기호 등으로 구성된 환자표 또는 암호논 리 등을 수록한 문서나 도구를 말한다 .
18.
“약호자재”라 함은 대외비 이하의 통신내용 등의 정보를 보호할 목적 으로 특정 용어와 그에 대응ㆍ변환되는 문자 , 숫자, 기호 등을 수록한 문서나 도구를 말한다 .
19.
“암호논리”라 함은 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위하 여 기밀성ㆍ무결성ㆍ인증ㆍ부인봉쇄 등의 기능을 제공하는 수학적 논 리 또는 알고리즘을 말한다 .
20.
“암호모듈”이라 함은 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위 해 암호논리를 활용하여 구현한 수단이나 도구를 말한다 .
용어 정의
(정보보안지침, 건국대학교 2012)
제3조 (용어정의)
21.“암호취급자”라 함은 암호취급인가를 받아 암호체계를 연구하거나 국가용 보안 시스템을 취급 관리하는 자를 말한다.
22. “음어취급자”라 함은 음어취급인가를 받아 음어자재를 취급 관리하도록 임명된 자를 말한다.
23. “정보보호시스템”이라 함은 정보의 수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시 정보의 유 출, 위ㆍ변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.
24. “전자파보안”이라 함은 유ㆍ무선 탐지장비 등을 이용하여 은닉된 도청장치 색출 등 각종 도청 위해요소를 제거하고 정보통신기기ㆍ시설 등을 대상으로 누설전자파 에 의한 정보유출 방지 및 고출력전자기파 침해 위협으로부터 정보를 보호하는 활동 을 말한다.
25. “고출력전자기파”(EMP)라 함은 전자장비를 물리적으로 파괴시킬 정도의 강력한 전자기적 충격파를 말한다.
26. “누설전자파”(TEMPEST)라 함은 PC 등 정보통신기기로부터 전도 혹은 방사되는 전자파 신호로서 원격지에서 수신하여 원래 화면 내용을 복원할 수 있는 정보를 포 함한다.
27. “사이버공격”이라 함은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해 등 전자적 수단에 의하여 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 절 취ㆍ훼손하는 공격 행위를 말한다.
용어 정의
(정보보안지침, 건국대학교 2012)
제 4조(책무) 대학은 대학의 관련 정보(전자정보를 포함한다. 이하 같 다)와 정보통신망을 보호하기 위한 보안대책을 마련하여야 하며 정보 보안에 대한 책임을 진다 .
제 5조(정보보안담당관 운영)
① 대학은 효율적ㆍ체계적인 정보보안 업무를 수행하기 위하여 정보보안 전문 지식을 보유한 인력을 확보하고 관련 전담조직을 구성 운영하여야 한다.
② 대학은 제1항과 관련한 정보보안 조직을 지휘하고 소속 및 산하기관에 대 한 정보보안 업무를 총괄하기 위하여 ‘정보보안담당관’을 임명하여야 한다.
③ 정보보안담당관을 임면한 경우에는 7일 이내에 소속ㆍ직책ㆍ직급ㆍ성명ㆍ 연락처(전자우편 주소 포함) 등을 지도감독기관의 장에게 통보하여야 한다.
④ 대학이 정보보안담당관에 부여하는 기본활동은 다음 각 호와 같다.
1. 정보보안 정책 및 기본계획 수립ㆍ시행 2. 정보보안 관련 규정ㆍ지침 등 제ㆍ개정
3. 보안심사위원회에 정보보안 분야 안건 심의 주관
4. 정보보안 업무 지도ㆍ감독, 정보보안 감사 및 심사분석 5. 정보통신실, 정보통신망 및 정보자료 등의 보안관리
개요 : 정보보안지침, 건국대학교 2012
제5조(정보보안담당관 운영)
④ 대학이 정보보안담당관에 부여하는 기본활동은 다음 각 호와 같다. 6. 정보보안 관리실태 평가
7. 사이버공격 초동조치 및 대응
8. 사이버위협정보 수집ㆍ분석 및 보안관제 9. 정보보안 예산 및 전문인력 확보
10. 정보보안 사고조사 결과 처리 11. 정보보안 교육 및 정보협력 12. 도청 위해 요소 측정ㆍ제거
13. 주요 정보통신기반시설 보호활동
14. 국가용 보안시스템 및 암호키의 운용ㆍ보안관리
15. 국가정보원장이 개발하거나 안전성을 검증한 암호모듈ㆍ정보보호시스템의 운용 및 보안관리
16. 정보통신망 보안대책의 수립ㆍ시행
17. ‘사이버보안진단의 날’ 계획 수립ㆍ시행 18. 그 밖에 정보보안 관련 사항
개요 : 정보보안지침, 건국대학교 2012 (계속)
제 6조(활동계획 수립 및 심사분석)
① 대학은 해당기관의 정보보안업무 세부추진계획(「교육과학기술부 사이버 안전센터운영규정」제8조에 따른 사이버안전대책을 포함한다)을 수립ㆍ시행 하고 그 추진결과를 심사분석ㆍ평가하여야 한다.
②제1항의 경우 대학은 세부추진계획 및 심사분석을 별지 제1호 및 별지 제2 호 서식에 따라 작성,「연도 보안업무 수행목표 및 중점 추진방향」에서 규정 한 기한까지 완료하여 보관한다.
1. 보안업무 추진계획 : 1.25까지
2. 보안업무 심사분석 : 7.31까지(전년도 3/4분기∼해당 연도 2/4분기 내용 종합)
제 7조(정보보안 내규 제ㆍ개정)
① 대학 보 및 정보통신망 보호를 위한 자체 정보보안 내규(지침ㆍ시행세칙 등) 를 작성 운용할 수 있다.
② 대학은 교육과학기술부 정보보안 기본지침 제11조 2항을 준용하여 교육
개요 : 정보보안지침, 건국대학교 2012 (계속)
제 8조(정보보호 수준진단)
① 대학은「전자정부법」제 56조 및 같은 법 시행령 제69조ㆍ제70조,
「공공기록물 관리에 관한 법률 시행령」제 5조 등의 규정에 의한 보안대 책의 수립․시행 등을 교육과학기술부장관이 매년 정하는 진단 대상ㆍ기준 , 진단항목 및 기간에 따라 자체 진단하고 그 결과를 교육과학기술부장관에 게 통보하여야 한다 .
② 교육과학기술부장관은 제 1항의 규정에 의한 자체 진단결과에 대한 객 관성 확보를 위하여 해당 기관을 방문하여 진단결과를 검증할 수 있다 .
③ 교육과학기술부장관은 제 1항의 규정에 의한 자체 진단결과를 종합 분 석하여 그 결과를 관계기관에 배포할 수 있다 .
④ 제 3항의 규정에 따라 교육과학기술부장관이 결과를 배포할 경우 최종 결과에 보안관리체계 개선방안을 포함하여야 하며 필요한 경우 전문인력 자문 또는 기술 제공 등을 지원 할 수 있다 .
개요 : 정보보안지침, 건국대학교 2012 (계속)
제9조(정보보안 감사)
① 대학은 연1회 이상 자체 정보보안 감사를 실시하여야 한다.
② 대학은 제6조에 따른 정보보안업무 세부추진계획 및 심사분석 결과 제출 시 정보보안 감사 실시계획과 감사 결과를 포함하여야 한다.
③ 대학은 정보보안 감사의 효율적 수행을 위하여 교육과학기술부장관에게 감 사 방향, 감사 중점사항, 감사관 지원 등 업무협조를 요청할 수 있다.
제10조(정보보안 교육)
① 대학은 자체 정보보안 교육계획을 수립하여 연 1회 이상 전 직원을 대상으 로 관련 교육을 실시하여야 한다.
② 대학은 정보보안 교육의 효율성 제고를 위해 기관별 자체 실정에 맞는 정보 보안 교안을 작성 활용하여야 하며 필요 시 교육과학기술부장관에게 전문인력 및 자료 지원을 요청할 수 있다.
③ 대학은 정보보안 관련 전문기관 교육 및 기술 세미나 참석을 장려하는 등 정보보안 담당자의 업무 전문성을 제고하기 위하여 노력하여야 한다.
개요 : 정보보안지침, 건국대학교 2012 (계속)
제 11조(사이버보안진단의 날)
① 대학은 당해 기관 실정에 맞게 매월 세 번째 수요일을 ‘사이버보안진단의 날’로 지정ㆍ운영하여야 한다.
② 정보보안담당관은 ‘사이버보안진단의 날’에 소관 정보보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하여야 한다.
제12조 (통신보안 위규)
① 통신망을 통해 비인가자에게 누설하거나 위반할 경우 발생하는 통신보안 위규사항은 별표 1과 같다.
② 대학은 국가안보 및 국가이익에 중대한 영향을 미칠 수 있다고 판단되는 통 신보안 위규에 대해서는 가장 신속한 방법으로 교육과학기술부장관에게 통보 하여야 한다.
③ 대학은 제2항의 경우 통신보안 위규자, 위규 내용 및 조치 사항을 교육과학 기술부장관에게 통보하여야 한다.
개요 : 정보보안지침, 건국대학교 2012 (계속)
제13조 (정보보안 사고조사)
① 대학은 별표 2의 정보보안 사고가 발생한 때에는 즉시 피해확산 방지를 위한 조치를 취하고 다음 각 호의 사항을 교육과학기술부장관에게 통보하여야 한다. 이 경우, 사고원 인 규명 시까지 피해 시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포 맷하여서는 아니 된다.
1. 일시 및 장소
2. 사고 원인, 피해현황 등 개요 3. 사고자 및 관계자의 인적사항 4. 조치내용 등
② 교육과학기술부장관 은 보안사고 조사결과를 해당기관의 장에게 통보하고 동일유형 의 사고가 발생하지 않도록 제반 보안조치를 해당기관에 권고할 수 있다.
③ 교육과학기술부장관은 제2항에도 불구하고, 필요하다고 인정할 경우 대학에게 사고 조사에 관한 권한의 일부를 위임할 수 있다. 다만, 권한을 위임받은 대학은 교육과학 기 술부장 관에게 조사결과를 통보해야 한다.
④ 교육과학기술부장관은 사고조사 결과 피해가 심각하다고 판단되는 경우 대학과 협의 하여 사고대책본부를 구성ㆍ운영할 수 있다.
⑤ 대학은 규정에 의한 관련자 징계, 재발방지를 위한 보안대책의 수립ㆍ시행 등 사고조 사 결과에 따라 필요한 조치를 이행하고 결과를 교육과학기술부장관에게 제출하여야 한다.
개요 : 정보보안지침, 건국대학교 2012 (계속)
제14조(재난방지)
① 대학은 인위적 또는 자연적인 원인으로 인한 정보통신망의 장애 발생에 대비하여 정 보시스템 이원화, 백업관리, 복구 등 종합적인 재난방지 대책을 수립․시행하여야 한다.
② 대학은 재난방지대책을 정기적으로 시험하고 검토해야 하며 업무 연속성에 대한 영 향평가를 실시하여야 한다.
③ 대학은 정보시스템 장애에 대비한 백업시설을 확보하고 정기적으로 백업을 수행하여 야 한다.
④ 대학은 제3항에 의거 백업시설을 설치할 경우에는 정보통신실과 물리적으로 일정거 리 이상 위치한 안전한 장소에 설치하여야 하며 전력공급원 분리 등 정보시스템의 가용 성을 최대화 할 수 있도록 하여야 한다.
제15조(표준적용) 대학은 정보보안 대책을 강구하는 경우 정보보안에 필요 한 기술의 호환성 유지 및 안전성 확보를 위하여 국가정보원장이 제정한
「국가표준기본법」의 표준을 우선 적용하여야 한다.
제16조(정보협력) 대학은 정보보안 업무의 발전을 도모하고 상호 교류협력 을 증진하기 위하여 협의기구를 구성ㆍ운영할 수 있다.
