정보관리요령 개정(안).hwp
『 미래사회를 만들어가는 국가 지능화 종합 연구기관 』
정보관리요령 개정(안)
1. 개정사유
■ 국가 정보보안 기본지침(국정원, ’20. 7.) 및 과기부 정보보안 기본지침(’21. 1. 과기부 훈령 제140호) 개정에 따라 관련 조항 개정 필요
2. 주요골자
■ 정보통신제품 도입 관련 보안적합성 검증제 개선사항 반영
- CC(Common Criteria)인증 등을 받은 안전성 검증필 제품(26종)은 보안 적합성 검증절차 생략
■ 국회, 민간과 비공개 업무자료 소통 시 통신수단 구체화
- 국회와 비공개 자료 소통 시 ‘의정자료전자유통시스템’ 우선 활용, 비공개 업무자료 수·발신은 기관 전자우편 또는 공직자 통합메일 활용
※ 과기정통부 정보보안 기본지침 개정 내용 중 ’용역업체의 원격 온라인 개발·유지보수를 허용하는 항목‘에 대하여는 ’국가·공공기관 용역업체 보안관리 가이드라인‘ 개정·배포 시 추가 반영 개정
3. 개정내용 : 신구대비표 참조
4. 신구대비표
현 행 |
개 정(안) |
개정사유 |
제99조(검토 기관) ① <생 략> ② 정보보안부서장은 다음 각 호에 해당하는 정보화사업에 대하여 주무부처 장관에 보안성 검토를 요청하여야 한다. 1.~13. <생 략> <신 설> |
제99조(검토 기관) ① <좌 동> ② 정보보안부서장은 다음 각 호에 해당하는 정보화사업에 대하여 주무부처 장관에 보안성 검토를 요청하여야 한다. 1.~13. <좌 동> 14. 기타 해당 기관의 장이 필요하다고 판단하는 정보통신망 또는 정보시스템 구축 |
과기부 지침 제16조 신설 항목 반영 |
제100조(검토 생략) ① 정보보안부서장은 다음 각 호에 해당하는 정보화사업에 대하여는 보안성 검토 절차의 이행을 생략할 수 있다. 이 경우 정보보안부서의 장은 매뉴얼·가이드라인 등을 준수하는 등 자체 보안대책을 수립·시행하여야 한다. 1.~2. <생 략> 가.~나. <생 략> <신 설> |
제100조(검토 생략) ① 정보보안부서장은 다음 각 호에 해당하는 정보화사업에 대하여는 보안성 검토 절차의 이행을 생략할 수 있다. 이 경우 정보보안부서의 장은 매뉴얼·가이드라인 등을 준수하는 등 자체 보안대책을 수립·시행하여야 한다. 1.~2. <좌 동> 가.~나. <좌 동> 다. 기존 운용하던 정보보호시스템을 동일한 보안기능을 보유한 다른 정보보호시스템으로 교체 |
과기부 지침 제17조 신설 항목 반영 |
<신 설> |
제101조의2(정보통신제품 도입) ① 연구원은 정보 및 정보통신망 등을 보호하기 위하여 보안기능이 있는 다음 각 호의 정보통신제품을 도입할 수 있다. 1. 국가정보원장이 공지한 안전성 검증필 제품 목록 등재 기본요건(별표 제5호)을 만족하는 제품 2. 비밀이 아닌 업무자료의 암·복호화를 목적으로 한 경우, 암호가 주기능인 제품 도입요건(별표 제6호)을 만족하는 제품 3. 제1호 및 제2호에 해당하지 않는 정보통신제품 중에서 국가정보원장이 별도로 공지하는 도입요건을 만족하는 제품 ② 제1항제3호에 해당하는 제품은 실제 적용·운용 이전에 정보보안부서에 보안적합성 검증을 의뢰하여야 한다. |
정보통신제품 도입 관련 보안적합성 검증제 개선사항 반영 과기부 지침 제21조 반영 |
제103조(영상회의시스템 보안) ① <생 략> <신 설> |
제103조(영상회의시스템 보안) ① <좌 동> ② 연구원은 민간 클라우드컴퓨팅 서비스 기반의 영상회의 서비스를 이용하고자 할 경우 제102조 제2항을 준수하여야 한다. |
민간 클라우드컴퓨팅 서비스 기반 영상회의 서비스 이용관련 보안준수 사항 필요 과기부 지침 제45조 반영 |
현 행 |
개 정(안) |
개정사유 |
제104조(인터넷 사용제한) ① <생 략> ② 연구원은 기관 인터넷망의 효율적인 운영 관리 및 악성코드 유입 차단을 위하여 게임ㆍ음란ㆍ도박 등 업무와 관련이 없는 인터넷 이용을 차단하여야 한다. |
제104조(인터넷 사용제한) ① <좌 동> ② 연구원은 기관 인터넷망의 효율적인 운영 관리 및 악성코드 유입 차단을 위하여 게임ㆍ음란ㆍ도박 등 업무와 관련이 없는 인터넷 이용을 차단하여야 하며, 악성코드 유입 차단을 위하여 필요할 경우 제108조 제2항에 따른 상용 정보통신서비스의 접속을 제한할 수 있다. |
국가비상사태 및 재해·재난 발생 시 인터넷 사용제한 필요 과기부 지침 제47조 반영 |
제108조(비공개 업무자료 처리) ① 임직원은 비공개 업무자료를 다음 각 호의 어느 하나에 해당하는 방법으로만 처리하여야 한다. 1.~2. <생 략> 3. 연구원 전자우편시스템(이하 “기관 전자우편”이라 한다), 및 연구원이 자료를 공유하거나 소통하기 위하여 사용하는 전용(專用) 소프트웨어를 이용한 수ㆍ발신 4. <생 략> ② <생 략> |
제108조(비공개 업무자료 처리) ① 임직원은 비공개 업무자료를 다음 각 호의 어느 하나에 해당하는 방법으로만 처리하여야 한다. 1.~2. <좌 동> 3. 다음 각 목의 어느 하나에 해당하는 수단 (이하 “업무자료 공식 소통수단”이라 한다)을 이용한 수·발신 또는 등재·열람 가. 연구원 전자우편시스템 나. 공무원등이 공동으로 사용할 목적으로 구축·운용하는 전자우편시스템 다. 연구원이 자료를 공유하거나 소통하기 위하여 사용하는 전용(專用) 소프트웨어 라. 국회사무처가 구축·운용하는 의정자료전자유통시스템 등 기관 간 업무자료의 소통 또는 공동활용을 위해 구축한 정보시스템 4. <좌 동> ② <좌 동> |
국회, 민간과 비공개 업무자료 소통 시 통신수단 구체화 과기부 지침 제66조 반영 |
<신 설> |
제108조의2(특정 상황별 비공개 업무자료 처리) 연구원은 「국회법」, 「국정감사 및 조사에 관한 법률」, 「국회증언감정법」에 따라 국회·정부간 비공개 업무자료를 소통할 경우에는 우선적으로 제108조제1항제3호라목의 의정자료전자유통시스템을 활용하여 처리하여야 하며, 시스템 장애 등 부득이한 사유로 활용이 곤란할 경우에 한해 제108조에 허용된 다른 방법으로 처리할 수 있다. |
국회, 민간과 비공개 업무자료 소통 시 통신수단 구체화 과기부 지침 제66조의2 반영 |
<신 설> |
<별표 5> 안전성 검증필 제품 목록 등재 기본요건 |
보안적합성 검증제 개선사항 반영 |
<신 설> |
<별표 6> 암호가 주기능인 제품 도입요건 |
보안적합성 검증제 개선사항 반영 |
( 부칙 추가 ) 별표 제5호(안전성 검증필 제품 목록 등재 기본요건) 별표 제6호(암호가 주기능인 제품 도입요건) |
부 칙 ① (시행일) 이 요령은 2021년 00월 00일 부터 시행한다. <붙임1> 참조 <붙임2> 참조 |
과기정통부 정보보안 기본지침 반영 |
<붙임1> 【별표 5】
안전성 검증필 제품 목록 등재 기본요건
제품 유형 |
아래 해당되는 항목 중에서 어느 하나 필요 |
검증필 암호모듈 |
|||
CC인증 |
성능평가 |
보안기능 확인서 |
보안적합성 검증 |
||
스마트카드 |
국가용 보안요구사항 또는 국가용 보호프로파일(PP) 준수 |
X |
X |
O |
X |
침입차단시스템 |
X |
국가용 보안요구사항 준수 |
X |
X |
|
침입방지시스템 |
X |
X |
X |
||
통합보안관리제품 |
X |
X |
X |
||
웹 방화벽 |
X |
X |
X |
||
운영체제(서버) 접근통제제품 |
X |
X |
X |
||
DB접근통제제품 |
X |
X |
X |
||
네트워크접근통제제품 |
X |
X |
X |
||
인터넷전화 보안제품 |
X |
X |
X |
||
무선침입방지시스템 |
X |
X |
X |
||
무선랜 인증제품 |
X |
X |
X |
||
가상화제품(Hypervisor) |
X |
X |
X |
||
네트워크 자료유출방지제품 |
X |
X |
X |
||
디지털복합기 |
X |
X |
X |
||
스마트폰 보안관리제품 |
X |
X |
X |
||
스팸메일차단시스템 |
X |
X |
X |
||
패치관리시스템 |
X |
X |
X |
||
망간자료전송제품 |
X |
X |
X |
||
DDoS 대응장비 |
국가용 보안요구사항 준수 |
X |
X |
||
안티바이러스제품 |
X |
X |
|||
소스코드 보안약점 분석도구 |
X |
X |
|||
가상사설망제품 |
X |
X |
탐재 필요 |
||
호스트 자료유출방지제품 |
X |
X |
탐재 필요 |
||
S/W기반 보안USB제품 |
X |
X |
X |
탐재 필요 |
|
가상화관리제품 |
X |
X |
X |
X |
|
네트워크 장비 |
X |
X |
X |
X |
|
1) CC인증: 「지능정보화 기본법」 제58조제1항에 따라 과학기술정보통신부장관이 고시한 「정보보호시스템 평가ㆍ인증 지침」에 따른 인증(국내용 CC 또는 국제용 CC). 다만, 인증범위(TOE)에 각급기관이 사용할 보안기능이 포함되어 있어야 함
2) 성능평가: 「정보보호산업의 진흥에 관한 법률」 제17조에 따른 성능평가
3) 보안기능 확인서: 시험기관이 국가용 보안요구사항을 만족하는 정보보호시스템 또는 보안기능이 있는 정보통신제품의 보안기능 시험결과에 대하여 국가보안기술연구소와 협의하여 발급하는 확인 증서
4) 보안적합성 검증: 본 지침 제2장제5절에 따른 보안적합성 검증
5) 네트워크 장비: 네트워크 장비는 L3 이상 스위치 및 라우터 등을 의미
※ 다수 H/W에 탑재, 배포되는 제품이 “CC인증” 또는 “보안기능 확인서”를 발급받은 경우, 해당 인증서 또는 보안기능 확인서에 H/W 모델명 기재 필요
※ 「소프트웨어산업 진흥법」 제13조에 따른 품질인증(GS인증)을 받은 제품 중에서 국가용 보안요구사항을 준수하는 제품의 목록 등재에 관하여는 국가정보원 홈페이지 참조
<붙임2> 【별표 6】
암호가 주기능인 제품 도입요건
제품 유형 |
도입 요건 |
비 고 |
메일 암호화제품 |
검증필 암호모듈 탑재 |
|
구간 암호화제품 |
||
하드웨어 보안토크 |
||
디스크·파일 암호화제품 |
||
기타 암호화제품 |
||
SSO제품 |
검증필 암호모듈 탐재 및 CC인증 |
(CC인증시) 관련 PP 준수 |
DB 암호화제품 |
||
문서 암호화제품(DRM 등) |
※ 최신 도입요건은 국가정보원 홈페이지(암호모듈 검증)를 참조