정보보호조치에 관한 지침 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
2번째 줄: 2번째 줄:


* 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다.
* 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다.
** 다만, ISMS의 기준으로도 사용되므로 정보보호 담당자라면 내용을 숙지할 필요가 있다.
* 실질적인 내용은 대부분 '별표1'에 있다.
* 실질적인 내용은 대부분 '별표1'에 있다.


8번째 줄: 7번째 줄:
'''정보통신망법 제45조(정보통신망의 안정성 확보 등)''' ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다
'''정보통신망법 제45조(정보통신망의 안정성 확보 등)''' ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다


* 1. [[정보통신서비스 제공자]]
* 1. 정보통신서비스 제공자
* 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자
* 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자


31번째 줄: 30번째 줄:
* 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.  
* 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.  
* 5. "[[방화벽|침입차단시스템]]"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다.  
* 5. "[[방화벽|침입차단시스템]]"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다.  
* 6. "[[침입탐지시스템]]"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다.  
* 6. "침입탐지시스템"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다.  
* 7. "[[웹 서버|웹서버]]"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.  
* 7. "웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.  
* 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다.  
* 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다.  
* 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다.  
* 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다.  
* 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다.  
* 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다.  
* 11. "[[라우터]]"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다.  
* 11. "라우터"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다.  
* 12. "[[스위치 허브|스위치]]"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다.  
* 12. "스위치"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다.  
* 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다.  
* 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다.  
* 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다.  
* 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다.  
48번째 줄: 47번째 줄:
* '''제4조(정보보호조치 이행여부 점검)''' 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다.
* '''제4조(정보보호조치 이행여부 점검)''' 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다.
* '''제5조(규제의 재검토)''' 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
* '''제5조(규제의 재검토)''' 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
== 보호조치의 구체적인 내용(별표1) ==
{| class="wikitable"
| colspan="3" |'''구  분'''
|'''세 부 조 치 사 항'''
|-
| rowspan="16" |1.관
| rowspan="3" |1.1.
정보보호
조직의 구성․운영
|1.1.1.
정보보호조직의 구성
|
* 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직을 운영
|-
|1.1.2.
정보보호 최고
책임자의 지정
|
* 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정
|-
|1.1.3.
정보보호조직
구성원의 역할
|
* 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘
* 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리
* 정보보호담당자는 정보보호 업무의 분야별 실무를 담당
|-
| rowspan="4" |1.2.
정보보호
계획 등의 수립 및 관리
|1.2.1.
정보보호 방침의 수립․이행
|
* 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립
* 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행
|-
|1.2.2.
정보보호 실행계획의
수립․이행
|
* 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립
* 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검
|-
|1.2.3.
정보보호 실무지침의
마련․준수
|
* 정보통신설비 및 시설에 대한 관리적․기술적․물리적 보호조치의 구체적인 시행 방법․절차 등을 규정한 정보보호 실무지침을 마련
* 정보보호 최고책임자가 실무지침을 승인하고 관련 법․제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리
|-
|1.2.4.
정보보호 사전점검
|
* 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호에 관한 사항을 고려
|-
| rowspan="3" |1.3.
인적 보안
|1.3.1.
내부인력 보안
|
* 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근 권한을 제거
* 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시
* 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하는 자에게 정기적으로 정보보호 교육 실시
|-
|1.3.2.
외부인력 보안
|
* 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구
|-
|1.3.3.
위탁운영 보안
|
* 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무 중단에 따른 비상대책’ 등을 반영
|-
| rowspan="2" |1.4.
이용자 보호
|1.4.1.
정보보호 정보 제공
|
* 이용자에게 침해사고 예․경보, 보안취약점, 계정․비밀번호 관리방안 등의 정보를 지속적으로 제공
|-
|1.4.2.
정보보호 현황 공개
|
* 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개
|-
|1.5. 침해사고  대응
|1.5.1.
침해사고 대응
계획의 수립․이행
|
* 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계),  대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획을 마련․시행
|-
|1.6. 정보보호
조치 점검
|1.6.1.
정보보호조치의
자체 점검
|
* 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침의 기준에 따라 자체적으로 정보보호 현황을 점검
|-
|1.7. 정보자산 관리
|1.7.1.
정보통신설비 및 시설의 현황 관리
|
* 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완․관리
* 정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네트워크와 분리된 환경에서 안전하게 관리
|-
|1.8. 정보보호 투자
|1.8.1.
정보보호 투자계획 수립․이행
|
* 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기술부문 예산의 5%이상)의 정보보호 예산 편성 및 집행
|-
| rowspan="18" |
2.
| rowspan="4" |2.1.
네트워크 보안
|2.1.1.
트래픽 모니터링
|
* 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링
|-
|2.1.2.
무선서비스 보안
|
* 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인증, 데이터암호화 등 보안조치를 마련
|-
|2.1.3.
정보보호시스템 설치․운영
|
* 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설치․운영
|-
|2.1.4.
정보보호를 위한 모니터링
|
* 주요시스템․네크워크 사용 및 접근이 명확하게 허용된 범위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위탁운영을 통하여 침해사고 탐지․대응 체계 운영
|-
| rowspan="14" |2.2.
정보통신
설비 보안
|2.2.1.
웹서버 보안
|
* 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치
|-
|2.2.2.
DNS서버 보안
|
* 과부하에 대비한 부하분산 대책을 마련
* 설정파일 백업 실시
|-
|2.2.3.
DHCP서버 보안
|
* 과부하에 대비한 부하분산 대책을 마련=
* 설정파일 백업 실시
* IP 할당 상황 등에 대한 로그기록 유지․관리
|-
|2.2.4.
DB서버 보안
|
* 내부망에 설치
* 외부망에서 직접 접속할 수 없도록 네트워크를 구성
|-
|2.2.5.
라우터/스위치 보안
|
* ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용
|-
|2.2.6.
정보보호시스템 보안
|
* 이상징후 탐지를 알리는 경고 기능을 설정하여 운영
* 정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검(월 1회 이상)
|-
|2.2.7.
취약점 점검
|
* 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완
|-
|2.2.8.
접근통제 및 보안설정 관리
|
* 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화
* 불필요한 프로토콜 및 서비스 제거 등 보안설정
|-
|2.2.9.
관리자 계정의
비밀번호 관리
|
* 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수로 설정
* 최소 3개월에 1회 이상 비밀번호 변경
|-
|2.2.10.
로그 관리
|
* 최소 1개월 이상 로그기록 유지․관리(정보보호시스템은 3개월)
|-
|2.2.11.
보안패치 관리
|
* 보안패치 정보를 주기적으로 입수하고 적용
* 주요 보안패치에 대해서는 적용일 등 패치정보를 기록․관리
|-
|2.2.12.
백업 및 복구
|
* 주요정보를 주기적으로 백업
* 백업 담당자, 백업 및 복구 방법․절차․주기 등을 기록․관리
|-
|2.2.13.
중요정보의 암호화
|
* 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장
* 주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리듬으로 암호화하여 저장
|-
|2.2.14.
관리용 단말 보안
|
* 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용
* 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있도록 통제
* 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소프트웨어 예방․탐지 활동 실시
|-
| rowspan="2" |3.
|3.1. 출입 및 접근 보안
|3.1.1.
정보통신시설의 출입․접근 통제
|
* 비인가자가 출입할 수 없도록 잠금장치를 설치
* 출입자의 기록을 1개월 이상 유지․보관
|-
|3.2.
부대설비 및 시설 운영․관리
|3.2.1.
백업설비 및 시설 설치․운영
|
* 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치․운영
|}
비고
* 1. 2.2.7~2.2.14의 사항은 2.2.1~2.2.6에 해당하는 설비에 적용된다.
* 2. 2.1.1.의 규정에 따른 주요회선에 대한 트래픽 소통량 모니터링은 관리자 등이 모니터링 현장에 상주하지 않는 방법으로 실시할 수 있다. 
* 2.2.11.의 규정에 따른 보안패치 정보의 입수․적용 주기는 정보보호관리자의 판단에 따라 정한다.
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/정보보호조치에_관한_지침"