게시물 검색
이동하기 해당기관 규정 목록
  • 전체 목차
개정정보 신/구대비 2단 비교 인쇄

전남복지재단 정보통신 보안업무 관리 규정

제정 2017. 07. 26.




제1장 총칙



제1조(목적) 이 규정은 「국가정보보안 기본지침」에 의거 전남복지재단의  정보통신 보안업무의 기본적인 방침 및 기준을 규정함을 목적으로 한다.


제2조(적용범위) 이 규정은 전남복지재단(이하 “재단”이라 한다) 정보통신 보안업무에 관하여 타 법령에 따로 정한 것을 제외하고는 이 규정이 정하는 바에 의한다.


제3조(용어의 정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다.

  1. “정보통신망”이라 함은 「전기통신사업법」 제2조제2호의 규정에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.

  2. “정보통신보안”이라 함은 정보통신 수단에 의하여 처리ㆍ저장ㆍ소통되는 정보를 보호하거나 도청ㆍ해킹 등 외부 위협으로부터 취약요인을 제거하기 위한 각종 수단과 방법을 말한다.

  3. “정보통신 보안시스템”이라 함은 생산ㆍ처리ㆍ저장 및 송ㆍ수신되는 정보를 유출ㆍ변조ㆍ훼손 등으로부터 보호하기 위한 암호장비, 보안자재, 암호프로그램 등을 말한다.

  4. “전산자료”라 함은 각종 정보자료가 전산설비에 의해 입력 보관되어 있는 자료를 말하며 그 자료가 입력되어 있는 자기테이프, 디스크 등 보조기억매체를 포함한다.

  5. “정보자산”이라 함은 재단이 보유하고 있는 지식재산권과 기술상ㆍ경영상의 내용 그 자체와 이를 포함하고 있는 문서, 정보시스템, 소프트웨어, 시설, 기타 유무형의 모든 자산을 말한다.

  6. “상용망”이라 함은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제3호의 규정에 의한 정보통신서비스 제공자가 인터넷 등의 서비스를 제공하는 정보통신망을 말한다.


제4조(정보통신 보안업무의 원칙) 대표이사는 다음 각 호에 따라 정보통신 보안업무를 수행하여야 한다.

  1. 기밀성과 무결성 보장: 재단 내부정보가 전산망을 통해 내ㆍ외부의 비인가자에 의해 무단유출, 파괴 및 불법 변경되는 것으로부터 안전하게 보호해야 한다.

  2. 가용성 보장: 전산망의 구성 요소인 네트워크, 컴퓨터시스템 및 데이터베이스(DB)를 포함한 정보운영 환경과 응용 프로그램을 안전하게 운영해야 한다.

  3. 인증 및 접근제어의 적정성 보장: 정보시스템에 대한 사용인가를 받은 자는 해당 정보시스템의 접근이 가능해야 하고, 인가받지 않은 자는 언제나 해당 정보시스템의 접근을 차단해야 한다.

  4. 법규준수 보장: 정보보안 관련 법적인 요구사항을 준수해야 한다.



제2장 정보통신보안 기본활동



제5조(기본방침) ① 개인에게 인가된 정보시스템 접속용 사용자계정은 개인이 관리함을 원칙으로 한다.

  ② 재단의 임직원은 정보통신보안 관련 법령을 준수해야 한다.

  ③ 누구든지 재단 내부 시스템이나 정보통신망에 다음 각 호의 해킹 및 침해행위를 금지한다.

  1. 정보통신망을 권한 없이 침입

  2. 악성 프로그램의 전달 및 유포

  3. 대량의 정보전송 등을 통한 정보통신망의 장애 발생


제6조(책임) 재단의 정보통신 보안 전반에 관한 책임은 대표이사에게 있다.


제7조(정보통신보안담당관) ① 재단 정보통신 보안업무 전반에 관한 사무를 관장하기 위하여 정보통신보안담당관(이하 “보안담당관”이라 한다)을 둔다.

  ② 사무처장은 보안담당관으로서 재단 보안업무에 관한 감독의 책임을 진다.


제8조(정보통신보안책임자) ① 보안담당관의 정보통신 보안업무 수행과 관련된 제반 사항을 지원하기 위해 정보통신보안책임자(이하 “보안책임자”이라 한다)을 둔다.

  ② 각 팀의 장은 해당 팀의 보안책임자로서 해당 팀 보안업무를 수행할 책임을 진다.


제9조(정보통신 보안성 검토) 보안책임자는 정보화사업 수행 전에 다음 각 호의 어느 하나의 사업에 대하여 보안담당관에게 보안성 검토를 의뢰하여야 한다.

  1. 비밀ㆍ국가안보ㆍ정부정책과 관련된 사업

  2. 대규모 예산투입과 다량의 데이터베이스(DB)자료를 처리하는 사업

  3. 외부 기관간 망 연동 등 보안상 취약사업

  4. 보안정책 과제 및 최신 IT 기술 적용

  5. 기존 정형화된 정보화 사업

  6. 단일기능의 정보시스템 구축

  7. 정보보호제품 도입 및 전산ㆍ통신장비 도입 및 교체

  8. 기타 대표이사가 보안성 검토가 필요하다고 판단하는 정보화 사업


제10조(사이버ㆍ보안 진단의 날) ① 보안담당관은 매월 세 번째 수요일을 “사이버ㆍ보안 진단의 날”로 지정하여 운영한다.

  ② 보안담당관 및 보안책임자는 “사이버ㆍ보안 진단의 날”에 정보통신망의 악성코드 감염 여부, 정보시스템의 보안 취약여부 등 정보통신 보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하며, 보안취약점을 발견할 경우 즉시 이를 개선해야 한다.


제11조(정보통신 보안교육) 보안담당관은 정보통신 보안관련 전문기관 교육 및 기술 세미나 참석을 장려하는 등 정보통신보안담당자의 업무 전문성 제고를 위해 노력해야 한다.



제3장 인력 보안 관리



제12조(인력 관리) ① 보안담당관은 직원의 정보시스템 접속 계정과 사용권한을 관리해야 한다.

  ② 보안담당관은 직원의 인사 발령 또는 업무 분담 등의 사유로 변동이 발생하였을 때에는 즉시 제1항의 권한을 변경 또는 회수해야 한다.



제4장 정보시스템 보안 관리



제13조(정보시스템의 도입, 변경 및 폐기) ① 보안담당관은 정보시스템을 신규로 설치하거나 기존의 시스템을 대규모로 변경할 경우에는 사전에 보안성 검토를 해야 한다.

  ② 보안담당관은 주요 정보시스템을 폐기하는 때에 대상시스템에 기록되어 있는 주요 데이터를 파기하여야 한다.


제14조(정보시스템의 취약점 점검) ① 보안책임자는 관리적, 기술적, 물리적 취약점에 대해 정기적으로 취약점 점검을 실시해야 한다.

  ② 제1항의 취약점 점검 항목은 자산에 대한 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 잠재적 정보통신보안 취약점으로 한다.

  ③ 보안책임자는 취약점 점검결과를 보안담당관에게 보고해야 한다.


제15조(홈페이지 게시자료 보안관리) ① 보안담당관은 개인정보를 포함한 중요 업무자료가 홈페이지에 무단 게시되지 않도록 홈페이지 게시자료를 보안 관리하여야 한다.

  ② 홈페이지에 정보를 게시하고자 하는 각 부서의 팀장은 보안담당관과 협의하여 비공개 자료가 게시되지 않도록 하여야 한다,

  ③보안담당관은 홈페이지 등에 비공개 내용이 게시되었는지 여부를 주기적으로 확인ㆍ조치하고 개인정보를 포함한 비공개 자료가 홈페이지에 공개되지 않도록 보안교육을 정기적으로 실시하여야 한다.


제16조(사용자계정) ① 보안담당관은 사용자계정 부여에서부터 변경, 폐기까지 일련의 과정을 사용자계정 등록절차에 따라 관리ㆍ운영한다.

  ② 보안담당관은 사용자계정 및 그룹을 생성할 때에는 적절한 권한으로 설정해야 한다.

  ③ 보안담당관은 정보통신보안담당자의 외부인력에 대한 사용자계정 등록 및 삭제를 최종 승인한다.


제17조(백업 및 복구) 재단 업무 관련 데이터와 시스템운영에 관한 중요 파일은 주기적으로 백업 및 보관되어야 한다.



제5장 PC 보안 관리



제18조 (PC 보안) ① 보안담당관은 재단의 PC 보안에 대한 권한과 보호 대책 수립 등 실무 권한을 가진다.

  ② 보안담당관은 PC 보안 문제 발생 시 각 시스템에 대한 접근 통제권한을 가진다.

  ③ 보안담당관은 비인가자가 PC를 무단으로 조작하여 전산자료를 유출하거나 위ㆍ변조 또는 훼손시키지 아니하도록 정보통신 보안대책을 세워야 한다.

  ④ 보안담당관은 PC 보안의 중요성에 대한 인식을 제고시키고 정보통신 보안의식을 높이기 위한 교육과 세미나를 주관할 수 있다.

  ⑤ 보안담당관은 각 PC에 대하여 정보통신보안담당자를 지정하여 PC 사용에 대한 책임성을 부여할 수 있다.


제19조(PC 보안패치 관리) PC 사용자는 개별 PC에 최신 보안패치를 설치하는 것을 원칙으로 한다. 다만, 보안패치로 인해 업무수행에 문제가 발생하는 경우에는 보안담당관의 확인 하에 설치하지 않을 수 있다.


제20조(컴퓨터바이러스 예방 및 조치) ① 모든 PC에는 컴퓨터바이러스에 의한 데이터 및 자원의 손실을 예방하기 위해 바이러스를 탐지하고 치료하는 프로그램을 설치할 수 있다.

  ② 백신프로그램은 항상 최신의 정보를 포함하도록 업데이트해야 한다.



제6장 전산자료 및 전자문서 보안



제21조(전산자료 및 전자문서의 전송 보안) 중요 전산자료나 전자문서가 상용망을 통한 전자적 형태로 전송(FTP, 메신저, 웹, P-to-P, 메일 등)되는 것을 원칙적으로 금하고, 부득이하게 전송할 경우 타인에게 누설되지 않도록 암호화 등의 대책을 적용하여야 한다.


제22조(전산자료 및 전자문서의 저장 보안) ① 중요 전산자료나 전자문서를 저장하는 경우 암호화하여 저장해야 한다. 단, 업무 특성상 암호화가 불가능한 경우 대체 수단을 강구해야 한다.

  ② 중요 전산자료나 전자문서는 PC에 저장할 수 없다. 다만, 부득이한 경우 PC에 저장한 정보는 해당 업무 목적 달성 직후 반드시 삭제하여야 한다.


제23조(전산자료 및 전자문서의 반출 보안) 보안담당관은 다양한 저장매체 및 출력형태(CD-RW, USB 메모리, 하드디스크, 디스켓, 프린트 출력물 등)를 이용한 중요 전산자료와 전자문서의 유출 위험을 감소시키는 대책을 수립하여야 한다.


제24조(전산자료 및 전자문서의 파기) 중요 전산자료와 전자문서는 전자적으로 완전한 파기가 이루어지도록 한다.


제25조(휴대용 저장매체의 관리) ① 휴대용 저장매체는 보안담당관에게 신고, 등록해서 사용해야 한다.

  ② 보안담당관은 자신의 책임 하에 휴대용 저장매체를 관리하고, 필요한 경우 보안책임자에게 지시하여 휴대용 저장매체를 관리할 수 있다.

  ③ 보안담당관은 휴대용 저장매체로 내부 정보가 유출되지 않도록 휴대용 저장매체를 관리ㆍ보관해야 한다.

  ④ 등록된 휴대용 저장매체는 업무목적 이외 사적인 용도로 사용할 수 없다.



제7장 정보통신 보안사고 관리



제26조(정보통신 보안사고) ① 임직원은 다음 각 호의 보안사고의 발생을 인지했을 때는 즉시 보안책임자에게 신고해야 한다.

  1. 정보통신망에 대한 해킹ㆍ악성코드의 유포

  2. 비밀이 저장된 PC, 보조기억매체 등 분실

  3. 중요 정보시스템 기능 장애 및 정지

  4. 정보시스템 암호체계 노출

  5. 주전산기(주요서버 등)ㆍ대용량 전자기록(DB) 손괴

  6. 전자문서ㆍ전자기록물의 위조ㆍ변조ㆍ훼손 및 유출

  7. 비밀의 평문 보관 및 유통 등

  ② 보안책임자는 보안사고 발생 시 다음 각 호의 사항을 보안담당관에게 통보하여야 한다.

  1. 일시, 장소, 사고원인, 피해현황 등 개요

  2. 사고자 및 관계자의 인적사항

  3. 피해 내용 및 원인

  4. 조치내용 및 향후 대책 등

  ③ 보안책임자는 정보보안 사고에 대한 조치를 취해야 하며, 이를 위해 내부 조직을 구성하거나 필요한 경우 외부전문가의 도움을 요청할 수 있다.

  ④ 보안담당관은 사고의 경중을 판단하여 보안책임자에게 자체사고 조사를 위임할 수 있다. 다만, 다음 각 호의 중대한 보안사고는 대표이사에게 보고하고 국정원, 경찰청 등 관련기관에 통보한다.

  1. 정보시스템이 비인가 접근에 의해 변조, 파괴되어 정성적인 서비스를 제공하지 못하는 경우

  2. 중요도 등급이 1등급인 정보자산 또는 비밀문서가 외부로 누출된 경우

  3. 정보자산의 오용으로 인하여 조직의 대외 이미지에 중대한 손상을 끼친 경우

  4. 관련 법규 및 규정 저촉으로 인하여 사회적 물의를 일으키는 경우

  5. 보안 장치의 변경이나 파괴(출입보안, 침입탐지시스템, 잠금장치, 보안 카메라 등) 

  6. 기타 고의 또는 과실에 의해 조직의 정상적 업무에 심각한 지장을 초래하는 경우

  ⑤ 정보통신 보안사고 내용은 사고 조사가 종결될 때까지 공개하지 아니한다.


제27조(사이버공격 대응) ① 보안담당관은 불법침입, 해킹프로그램ㆍ웜ㆍ바이러스 유포 등의 사이버침해에 신속히 대응 및 조치하기 위한 보안관제실을 구축ㆍ운영할 수 있다.

  ② 외부인에 의한 정보시스템 침해사고는 전문기관과 협조하여 원인을 규명하고, 관련법에 따라 조치할 수 있다.



제8장 개인정보 보호



제28조(개인정보보호책임자) ① 대표이사는 개인정보처리에 관한 업무를 효율적으로 수행하기 위해 개인정보보호책임자를 지정한다.

  ② 개인정보보호책임자는 정보보호를 관장하는 팀의 장으로 한다.

  ③ 개인정보보호책임자는 개인정보 취급에 따른 기술적ㆍ관리적ㆍ물리적 보호 조치를 위해 필요한 각종 관련 법률을 준수하고 이를 적용해야 한다.

  ④ 개인정보보호책임자는 개인정보를 수집하는 시점부터 이용 및 파기하는 시점까지 이를 관리하고 보호해야 한다.


제29조(CCTV 관리) ① CCTV 운영팀의 장은 CCTV관리책임자가 된다.

  ② CCTV관리책임자는 「개인정보 보호법」을 준수하여 개인영상정보의 처리, CCTV 설치 및 관리를 총괄한다.

  ③ CCTV관리책임자는 개인영상정보를 수집 목적 외로 이용하거나 제3자에게 제공하여서는 안 된다.

  ④ CCTV 운영 및 관리 방침을 수립하거나 변경하는 경우 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.



제9장 보칙



제30조(준용) 이 규정에 명시되지 않은 사항은 다음 각 호의 법령 등을 준용한다.

  1. 개인정보 보호법

  2. 정보통신기반 보호법

  3. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

  4. 국가 정보보안 기본지침

  5. 경찰 정보통신 운영규칙

  6. 국가 사이버안전 관리규정


제31조(세부시행사항) 이 규정의 시행에 필요한 세부사항은 대표이사가 따로 정하는 바에 따른다.



 부칙 (2017.07.26.)

이 규정은 이사회의 의결을 받은 날부터 시행한다.