주요정보통신기반시설 보호요령 제정(안).hwp
주요정보통신기반시설 보호요령 제정(안)
1. 제정 사유
■ 정보통신기반보호법 제8조, 동법 시행령 제13조 및 제15조에 의거 지정된 연구원 주요정보통신기반시설에 대해 법령 및 과기정통부 관련 지침에서 규정한 주요사항의 이행을 위한 근거를 마련하고자 함
■ 주요정보통신기반시설의 안정적 운영을 위해 관련 업무 수행에 따른 책임과 이행을 위한 세부사항을 요령으로 제정하고자 함
※ 연구원 과제관리시스템 등은 2014년 주요정보통신기반시설로 지정된 이후 법 및 시행령에서 요구하고 있는 정보보호책임자 지정 등 주요사항이 제외된 상태로 취약점 분석·평가 등 필수적인 업무를 연간 계획(보안업무 계획)에 반영하여 기반시설 보호 업무를 수행함
2. 주요 골자
■ (정보보호책임자 지정) 연구원 주요정보통신기반시설의 정보보호를 총괄하는 책임자 지정 및 과학기술정보통신부 장관에게 통지
■ (보호대책의 수립 및 제출) 정기적인 취약점 분석·평가 등의 결과를 반영하여 연구원 주요정보통신기반시설 및 관제정보를 보호하기 위한 대책을 수립하고, 과학기술정보통신부 장관에게 제출
■ (취약점 분석·평가 및 보완조치) 주요정보통신기반시설에 대해 1년 주기로 취약점 분석·평가를 실시하고, 취약점 분석·평가에 관한 기준(대상, 기간, 방법, 절차, 예산 등)을 고려하여 구체적인 시행계획을 수립·시행하고, 그 결과를 반영하여 보완조치 이행
■ (침해사고 예방, 대응 및 복구 조치) 책임자를 중심으로 침해사고 예방대책을 수립·시행하고, 침해사고 발생 시 수립된 대응절차에 따라 응급조치를 취하고 관계기관에 전파하여야 하며, 시설의 정상 가동을 위해 복구조치
■ (대응·복구 훈련의 실시) 침해사고 발생시 소속 임직원 및 관련 업무 종사자가 대응복구에 관한 절차 및 방법을 정확히 숙지할 수 있도록 ‘대응·복구 훈련’ 실시
3. 주요정보통신기반시설 보호요령 제정(안)
주요정보통신기반시설 보호요령
<최종공포일 2022. 00. 00.>
제1장 총칙
제1조(목적) 이 요령은 보안관리규정 제8조의2에 따라 한국전자통신연구원(이하 "연구원"이라 한다)에서 관리하는 주요정보통신기반시설을 각종 전자적 침해행위로부터 보호하기 위해 필요한 사항을 정함을 목적으로 한다.
제2조(적용범위) 이 요령은 「정보통신기반 보호법」(이하 "법"이라 한다)」 제8조에 따라 중앙행정 기관의 장이 지정한 연구원 주요정보통신기반시설의 관리·운용에 적용하고, 법령 및 관련 고시에서 특별히 정한 것을 제외하고는 이 요령에 따른다.
제3조(용어의 정의) 이 요령에서 사용하는 용어의 정의는 다음과 같다.
1. "정보통신기반시설"이란 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 말한다.
2. "주요정보통신기반시설"이란 법 제8조에 따라 중앙행정기관의 장이 정보통신기반시설 중 전자적 침해행위로부터 보호가 필요하다고 인정하여 지정한 정보통신기반시설을 말한다.
3. "전자적 침해행위"란 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 말한다.
4. "침해사고"란 전자적 침해행위로 인하여 발생한 사태를 말한다.
제2장 주요정보통신기반시설 보호체계
제4조(주요정보통신기반시설 정보보호책임자 지정 등) ① 원장은 연구원 주요정보통신기반시설 정보보호 업무를 총괄하는 책임자(이하 "정보보호책임자"라 한다)를 지정하여야 한다.
② 정보보호책임자는 다음 각호의 업무를 수행한다.
1. 연구원 주요정보통신기반시설 보호대책의 수립에 관한 업무
2. 연구원 주요정보통신기반시설의 설치 및 관리·운영에 대한 보호 측면의 지도·감독에 관한 업무
3. 취약점 분석·평가 및 침해사고 예방에 관한 업무
4. 침해사고 대응 및 복구에 관한 업무
5. 소요 예산 및 시설·장비 등 자산의 확보에 관한 업무
6. 그 밖에 연구원 주요정보통신기반시설의 보호를 위하여 원장이 지시하는 업무
③ 원장은 정보보호책임자를 지정한 때에는 그 사실을 과학기술정보통신부 장관에게 통지하여야 한다.
④ 정보보호책임자는 연구원 주요정보통신기반시설과 다른 주요정보통신기반시설의 보호를 위하여 과학기술정보통신부 소관 주요정보통신기반시설 보호지침 제5조의 정보보호책임관과 긴밀히 협조하여야 한다.
제5조(보호대책의 수립 등) ① 원장은 법 제9조에 따른 취약점 분석·평가의 결과에 따라 연구원 주요정보통신기반시설 및 관리정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적·기술적 대책을 포함한 보호대책을 수립하고, 과학기술정보통신부 소관 주요정보통신기반시설 보호지침 제3조제1항에 따라 과학기술정보통신부 장관에게 제출하여야 한다.
② 제1항의 보호대책에는 다음 각 호의 사항이 포함되어야 한다.
1. 연구원 주요정보통신기반시설 보호의 목적 및 대상시설
2. 정보보호체계 및 관리 대책
3. 취약점 분석·평가 및 점검 대책
4. 침해사고 예방 대책
5. 침해사고 대응 및 복구 대책
6. 그 밖에 연구원 주요정보통신기반시설의 보호를 위하여 필요한 사항
③ 정보보호책임자는 법 제9조에 따라 실시한 취약점 분석·평가의 결과를 반영하여 보호대책을 수립하여야 하고, 제13조제1항 및 제3항에 따른 분석·평가를 실시한 경우에도 그 결과를 함께 반영할 수 있다.
제6조(전담 조직의 구성 등) ① 원장은 정보보호에 관한 다음 각 호의 업무를 수행하기 위하여 필요하다고 인정하는 때에는 정보보호책임자 소속 하에 별도의 전담 조직을 구성·운영할 수 있다.
1. 제13조에 따른 점검
2. 제17조와 제18조에 따른 침해사고의 대응 및 복구
② 원장은 연구원에 소속되지 아니한 자로서 정보보호에 관한 전문지식이 있는 인력을 전담 조직에 참여하게 할 수 있다.
③ 원장은 제1항에 따른 전담 조직의 구성 및 운영에 필요한 사항을 정하여야 한다.
④ 전담 조직 구성기준은 별표 1을 따른다
제7조(업무종사자의 준수사항) ① 원장은 주요정보통신기반시설을 관리·운용하는 업무종사자(계약직을 포함한다)가 다음 각 호의 사항을 준수하도록 하여야 한다.
1. 주요정보통신기반시설의 보호책임에 관한 사항
2. 비밀유지 및 비밀서약에 관한 사항
3. 주요정보통신기반시설 보호관련 법령 및 지침 등의 준수에 관한 사항
4. 보호관련 지침 및 보호조치 위반에 따른 징계에 관한 사항
② 원장은 연구원 주요정보통신기반시설을 관리·운용하는 업무종사자가 보직이 변경되거나 퇴사하는 경우 법 제27조에 따라 소관 주요정보통신기반시설의 관리·운용에 관하여 취득한 비밀을 외부에 유출하지 않도록 하여야 하며, 별지 제1호 서식으로 주요정보통신기반시설을 관리∙운용하는 업무종사자에게 비밀유지에 관한 서약서를 작성하도록 요구할 수 있다.
제8조(보호업무등의 위탁) 정보보호책임자는 연구원 주요정보통신기반시설의 관리·운용 또는 제13조에 따른 점검 등 보호에 관한 업무 일부와 법 제9조제3항에 따른 취약점 분석·평가 업무를 다음 각 호의 기관 또는 업체에 위탁하는 때에는 해당 기관 또는 업체의 위탁업무 수행에 참여하는 종사자에게 법 제27조에 따른 비밀유지의무를 준수하도록 비밀유지 서약서의 작성 요구, 업무관련 기록·자료의 안전한 보존 및 폐기 등 필요한 조치를 하여야 한다.
1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원
2. 법 제16조에 따른 정보공유·분석센터
3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업
4. 그 밖에 주요정보통신기반시설의 관리·운영 또는 보호 관련 업무(취약점 분석·평가에 관한 업무를 제외한다)를 영위하는 기관 또는 업체
제9조(유관기관과의 협조) 원장은 주요정보통신기반시설의 보호를 위하여 과학기술정보통신부, 한국인터넷진흥원 또는 다른 관리기관과 다음 각 호의 사항에 관하여 연구원 연구 업무 지원을 최우선으로 고려하면서 상호 협조할 수 있다.
1. 주요정보통신기반시설의 보호와 관련된 정보의 공유
2. 침해사고 예방·대응 및 복구를 위한 상호협력 및 지원
3. 그 밖에 연구원 주요정보통신기반시설의 보호를 위하여 상호협력이 필요한 사항
제10조(정보보호 교육·훈련의 실시) ① 정보보호책임자는 연구원 주요정보통신기반시설을 관리·운용하는 업무종사자를 대상으로 해당 시설의 보호를 위하여 필요한 교육·훈련을 매년 1회 이상 실시하여야 한다. 다만, 소관 주요정보통신기반시설의 보호를 위한 중요한 절차 및 방법 등의 변경이 있거나 신규로 직원을 채용한 때에는 지체 없이 필요한 교육·훈련을 실시하여야 한다.
② 제1항에 따른 훈련을 실시하는 때에는 외부의 정보보호관련 전문기관에 이를 위탁하여 실시할 수 있다.
③ 제1항에 따른 교육·훈련을 실시하기 위하여 다음 각 호의 사항을 정하여야 한다.
1. 교육·훈련의 내용 및 방법
2. 교육·훈련에 관한 기록유지 및 인사관리에 관한 사항
3. 그 밖에 교육·훈련을 위하여 필요한 사항
제3장 주요정보통신기반시설 취약점 분석·평가
제11조(취약점 분석·평가의 실시) ① 정보보호책임자는 연구원 주요정보통신기반시설에 대한 취약점 분석·평가를 1년 주기로 실시하여야 한다.
② 정보보호책임자는 법 제9조제5항에 따른 취약점 분석·평가에 관한 기준을 고려하여 취약점 분석·평가의 대상, 기간, 방법, 절차, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.
제12조(취약점 분석·평가 방법 및 절차) ① 원장은 연구원 주요정보통신기반시설의 취약점 분석·평가를 위해 전담반을 구성하는 때에는 정보보호책임자를 반장으로 하고, 주요정보통신기반시설 관리·운용 업무종사자와 정보보호에 관한 전문성을 가진 자로 구성하여야 한다. 이 경우 정보보호책임자는 연구원 주요정보통신기반시설의 특성 및 취약점 분석·평가 기준을 고려하여 필요한 전문인력을 확보하여야 한다.
② 연구원 주요정보통신기반시설의 취약점 분석·평가를 외부에 위탁하여 실시하는 때에는 소속 전담반이 함께 참여하도록 할 수 있다.
제13조(자체점검 및 수시점검) ① 정보보호책임자는 주요정보통신기반시설에 중대한 변화가 발생하였거나, 추가로 취약점 분석·평가가 필요하다고 판단되는 경우에는 1년이 되지 아니한 때에도 자체 점검을 실시할 수 있다.
② 정보보호책임자는 제1항에 따른 자체 점검을 실시하는 때에는 다음 각 호의 사항을 고려하여 실시하여야 한다.
1. 법 제9조에 따른 취약점 분석·평가의 기준, 절차 및 방법
2. 이전에 실시한 취약점 분석·평가의 결과
3. 점검 기간 및 소요예산
③ 정보보호책임자는 다음 각 호의 어느 하나에 해당 하는 경우에는 수시로 점검(이하 "수시점검"이라 한다)을 실시할 수 있다.
1. 침해사고의 징후가 있는 경우
2. 시설·장비의 교체 및 보수를 한 경우
3. 침해사고에 따른 복구조치를 한 경우
4. 연구원 주요정보통신기반시설의 보호에 관한 절차·방법 및 담당 인력의 변경이 있는 경우
④ 정보보호책임자는 제1항부터 제3항까지의 요령에 따른 점검을 실시한 때에는 점검 기간, 대상, 방법 및 결과 등 점검에 관한 제반사항을 기록·관리하여야 한다.
제14조(보완조치) ① 정보보호책임자는 제12조에 따른 취약점 분석·평가 및 제13조에 따른 점검을 실시한 결과를 반영하여 다음 각 호의 조치(이하 "보완조치"라 한다)를 하여야 한다.
1. 각종 보호조치, 절차 및 방법 등의 재검토 및 수정·보완
2. 시설·장비의 개축·보수 또는 설치
3. 그 밖에 분석·평가 또는 점검 결과를 반영한 보완 조치
② 정보보호책임자는 보완조치가 필요 시 관련 정보화 또는 보안사업 관련 예산을 활용하여 경비를 우선 집행하여야 하고, 추가적으로 보완조치가 필요한 때에는 관련부서와 협의하여 다음 연도 예산에 반영하여야 한다.
제4장 주요정보통신기반시설 침해사고 예방 및 대응
제15조(침해사고 예방조치) 정보보호책임자는 주요정보통신기반시설을 보호하기 위하여 다음 각 호의 사항을 포함하는 예방조치를 하여야 한다.
1. 관리·운영절차의 수립
2. 제한구역의 설정
3. 장비·시설의 설치·유지 및 보수
4. 정보보호시스템 구축에 관한 대책
5. 컴퓨터바이러스 방지 대책
6. 접근통제에 관한 대책
7. 기타 소관 주요정보통신기반시설의 보호에 필요한 사항
제16조(연락체계의 구축) ① 정보보호책임자는 연구원 주요정보통신기반시설에 대하여 전자적 침해사고가 발생 시 신속한 대응을 위해 관계 정부기관 등의 필요한 연락체계를 구축하여야 한다.
② 정보보호책임자는 제1항에 따른 연락체계에 있어 과학기술정보통신부 및 한국인터넷진흥원이 포함되도록 하여야 한다.
③ 정보보호책임자는 제15조와 관련하여 과학기술사이버안전센터 연계 장비 변동이 있는 경우 별표 2의 절차에 따라 사전 협의를 할 수 있다.
제17조(침해사고 대응조치) ① 연구원 임직원과 제8조에 따른 위탁기관·업체의 위탁업무 수행에 참여하는 종사자는 전자적 침해사고의 징후가 있거나 전자적 침해사고의 발생을 인지한 때에는 이를 즉시 정보보호책임자에게 보고하여야 한다.
② 정보보호책임자는 연구원 주요정보통신기반시설에 대하여 중대한 전자적 침해사고의 발생·징후를 보고 받거나 인지한 때에는 이를 제16조의 연락체계에 따라 즉시 보고하고 필요한 응급조치를 하여야 한다. 다만, 교란, 마비 또는 파괴가 일어나지 아니하는 경미한 침해사고의 발생·징후는 보고하지 아니할 수 있다.
③ 정보보호책임자는 제1항 및 제2항에 따른 사항을 포함하여 전자적 침해사고 발생 시 별표 3에서 정하는 사항을 고려하여 대응절차 및 방법에 관하여 필요한 사항을 정하여야 한다.
④ 정보보호책임자는 과학기술정보통신부가 권고하는 침해사고 대응요령에 따라 피해사실의 보고 및 긴급대응조치 등을 하여야 한다.
제18조(복구조치) ① 정보보호책임자는 연구원 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 시설이 정상적으로 가동될 수 있도록 필요한 복구조치를 신속히 취하여야 하며, 과학기술정보통신부 또는 법 제13조에 따른 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 복구에 필요한 지원을 요청할 수 있다.
② 정보보호책임자는 제1항의 복구조치를 위하여 필요한 조직, 자원, 외부기관과의 협력 등을 포함하는 복구지원체계를 구축하여야 한다.
③ 정보보호책임자는 제1항 및 제2항의 내용을 포함하여 전자적 침해사고가 발생한 시설에 대한 복구절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 이 경우 별표 3에서 정하는 사항을 고려하여야 한다.
제19조(대응·복구 훈련의 실시) ① 정보보호책임자는 소속 임직원과 제8조에 따른 기관 또는 업체의 위탁업무 수행에 참여하는 종사자에게 제17조제3항 및 제18조제3항에 따른 침해사고 대응·복구에 관한 절차 및 방법을 정확히 숙지할 수 있도록 필요한 훈련(이하 "대응·복구 훈련"이라 한다)을 정기적으로 실시하여야 한다. 필요하다고 인정하는 때에는 다른 관리기관과 공동으로 훈련을 실시할 수 있다.
② 정보보호책임자는 대응·복구 훈련을 실시한 결과 필요하다고 인정하는 때에는 해당되는 대응·복구 절차 및 방법을 수정·보완하여야 한다.
부칙 (2022.00.00)
이 요령은 2022년 00월 00일부터 시행한다.
<별표 1>
주요정보통신기반시설 운용관리 전담반 구성기준(제6조관련)
구성원 |
역할 또는 경력·자격기준 |
반장(정보보호책임자) |
기반시설 운영 관리 조직 및 업무 총괄 |
관리 기술 담당 |
관리적·물리적 정보보호등 조직의 정보보호관리체계의 관리·운영 경력자 |
응용프로그램 담당 |
주요정보통신기반시설에 대한 업무 프로그램 개발·유지보수 경력자 |
서버 담당 |
유닉스, 리눅스, Windows 운영체제 등 서버관련 기술 경력자 |
정보보호 담당 |
정보보호시스템 운영관리 또는 취약점 점검·평가 등 보안관리기술 경력자 |
네트워크 담당 |
WAN, LAN, NMS 및 무선통신 등에 관한 기술 경력자 |
비고 : 소관주요정보통신기반시설을 안정적이고 효율적으로 운용관리가 가능한 전문인력을 확보하여야 한다. |
|
<별표 2>
유관 기관과의 협조 관련 사항(제16조 관련)
구 분 |
주요 협조 사항 |
장비 도입 |
o 교체 또는 도입 예정 장비 규격 o 교체 또는 도입 장비 운영 일정 |
<별표 3>
침해사고 대응 및 복구 조치시 고려사항(제17조 및 제18조 관련)
구 분 |
주요 고려 사항 |
침해사고 대응ㆍ복구 절차 및 방법 |
o 침해사고에 대한 복구 절차 및 방법 수립시 고려 사항 - 침해사고의 정의 및 범위 - 긴급연락체계 구축 - 침해사고 발생시 대응 요령 및 절차 - 침해사고 복구조직 구성 - 침해사고 복구 장비 및 자원 조달 - 침해사고 대응 및 복구 훈련 실시 사항 |
침해사고 보고 |
o 침해사고 보고시 고려 사항 - 침해 날짜와 시간 - 침해 사고 보고자 및 보고 일시 - 침해 사고 내용 - 침해 사고 대응 내역 |
침해사고 발생시 응급 조치 |
o 침해사고 발생후 응급 조치시 고려사항 - 손상된 시스템은 동작을 즉시 정지 - 내부망의 외부 접속을 즉시 차단 - 긴급복구가 즉시 수행되어야 하는 곳은 정보보호전문가에 의한 침입탐지 및 복구 |
침해사고 복구 |
o 침해사고 복구시 고려사항 - 사고원인의 분석 및 정의 - 필요한 경우, 재발을 방지하기 위한 대책의 수립 및 시행 - 정보자원 및 시스템 백업을 통한 시스템 재구축 방법 - 시스템 및 정보통신망에 대한 취약점 제거 |
<별지 1>
주요정보통신기반시설 업무 전담자 서약서(제7조 관련)
보안 서약서 본인은 연구원 주요정보통신기반시설 관리·운용 업무 수행함에 있어서 다음 사항을 준수할 것을 서약합니다. 1. 본인은 업무 중 알게될 일체의 내용이 직무상 기밀 사항임을 인정하고 제반 보안 관계규정, 지침, 보안사항 및 보안대책을 성실히 준수한다. 2. 본인은 이 기밀을 누설함이 국가안전보장 및 국가이익에 위해가 될 수 있음을 인식하여 업무 수행중 취득한 모든 기밀사항을 일절 타인에게 누설하거나 공개하지 아니한다. 3. 본인이 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다. 년 월 일 서 약 자 업 체 명 : 직 위 : 성 명 : (서명) |
etri.re.kr |