최신판 |
당신의 편집 |
2번째 줄: |
2번째 줄: |
|
| |
|
| * 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다. | | * 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다. |
| ** 다만, ISMS의 기준으로도 사용되므로 정보보호 담당자라면 내용을 숙지할 필요가 있다.
| |
| * 실질적인 내용은 대부분 '별표1'에 있다. | | * 실질적인 내용은 대부분 '별표1'에 있다. |
|
| |
|
8번째 줄: |
7번째 줄: |
| '''정보통신망법 제45조(정보통신망의 안정성 확보 등)''' ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다 | | '''정보통신망법 제45조(정보통신망의 안정성 확보 등)''' ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다 |
|
| |
|
| * 1. [[정보통신서비스 제공자]] | | * 1. 정보통신서비스 제공자 |
| * 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자 | | * 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자 |
|
| |
|
31번째 줄: |
30번째 줄: |
| * 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다. | | * 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다. |
| * 5. "[[방화벽|침입차단시스템]]"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다. | | * 5. "[[방화벽|침입차단시스템]]"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다. |
| * 6. "[[침입탐지시스템]]"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다. | | * 6. "침입탐지시스템"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다. |
| * 7. "[[웹 서버|웹서버]]"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다. | | * 7. "웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다. |
| * 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다. | | * 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다. |
| * 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다. | | * 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다. |
| * 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다. | | * 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다. |
| * 11. "[[라우터]]"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다. | | * 11. "라우터"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다. |
| * 12. "[[스위치 허브|스위치]]"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다. | | * 12. "스위치"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다. |
| * 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다. | | * 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다. |
| * 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다. | | * 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다. |
48번째 줄: |
47번째 줄: |
| * '''제4조(정보보호조치 이행여부 점검)''' 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다. | | * '''제4조(정보보호조치 이행여부 점검)''' 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다. |
| * '''제5조(규제의 재검토)''' 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다. | | * '''제5조(규제의 재검토)''' 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다. |
|
| |
| == 보호조치의 구체적인 내용(별표1) ==
| |
| {| class="wikitable"
| |
| | colspan="3" |'''구 분'''
| |
| |'''세 부 조 치 사 항'''
| |
| |-
| |
| | rowspan="16" |1.관
| |
|
| |
| 리
| |
|
| |
| 적
| |
|
| |
|
| |
| 보
| |
|
| |
| 호
| |
|
| |
| 조
| |
|
| |
| 치
| |
| | rowspan="3" |1.1.
| |
|
| |
| 정보보호
| |
|
| |
| 조직의 구성․운영
| |
| |1.1.1.
| |
|
| |
| 정보보호조직의 구성
| |
| |
| |
| * 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직을 운영
| |
| |-
| |
| |1.1.2.
| |
|
| |
| 정보보호 최고
| |
|
| |
| 책임자의 지정
| |
| |
| |
| * 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정
| |
| |-
| |
| |1.1.3.
| |
|
| |
| 정보보호조직
| |
|
| |
| 구성원의 역할
| |
| |
| |
| * 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘
| |
| * 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리
| |
| * 정보보호담당자는 정보보호 업무의 분야별 실무를 담당
| |
| |-
| |
| | rowspan="4" |1.2.
| |
|
| |
| 정보보호
| |
|
| |
| 계획 등의 수립 및 관리
| |
| |1.2.1.
| |
|
| |
| 정보보호 방침의 수립․이행
| |
| |
| |
| * 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립
| |
| * 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행
| |
| |-
| |
| |1.2.2.
| |
|
| |
| 정보보호 실행계획의
| |
|
| |
| 수립․이행
| |
| |
| |
| * 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립
| |
| * 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검
| |
| |-
| |
| |1.2.3.
| |
|
| |
| 정보보호 실무지침의
| |
|
| |
| 마련․준수
| |
| |
| |
| * 정보통신설비 및 시설에 대한 관리적․기술적․물리적 보호조치의 구체적인 시행 방법․절차 등을 규정한 정보보호 실무지침을 마련
| |
| * 정보보호 최고책임자가 실무지침을 승인하고 관련 법․제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리
| |
| |-
| |
| |1.2.4.
| |
|
| |
| 정보보호 사전점검
| |
| |
| |
| * 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호에 관한 사항을 고려
| |
| |-
| |
| | rowspan="3" |1.3.
| |
|
| |
| 인적 보안
| |
| |1.3.1.
| |
|
| |
| 내부인력 보안
| |
| |
| |
| * 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근 권한을 제거
| |
| * 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시
| |
| * 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하는 자에게 정기적으로 정보보호 교육 실시
| |
| |-
| |
| |1.3.2.
| |
|
| |
| 외부인력 보안
| |
| |
| |
| * 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구
| |
| |-
| |
| |1.3.3.
| |
|
| |
| 위탁운영 보안
| |
| |
| |
| * 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무 중단에 따른 비상대책’ 등을 반영
| |
| |-
| |
| | rowspan="2" |1.4.
| |
|
| |
| 이용자 보호
| |
| |1.4.1.
| |
|
| |
| 정보보호 정보 제공
| |
| |
| |
| * 이용자에게 침해사고 예․경보, 보안취약점, 계정․비밀번호 관리방안 등의 정보를 지속적으로 제공
| |
| |-
| |
| |1.4.2.
| |
|
| |
| 정보보호 현황 공개
| |
| |
| |
| * 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개
| |
| |-
| |
| |1.5. 침해사고 대응
| |
| |1.5.1.
| |
|
| |
| 침해사고 대응
| |
|
| |
| 계획의 수립․이행
| |
| |
| |
| * 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획을 마련․시행
| |
| |-
| |
| |1.6. 정보보호
| |
|
| |
| 조치 점검
| |
| |1.6.1.
| |
|
| |
| 정보보호조치의
| |
|
| |
| 자체 점검
| |
| |
| |
| * 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침의 기준에 따라 자체적으로 정보보호 현황을 점검
| |
| |-
| |
| |1.7. 정보자산 관리
| |
| |1.7.1.
| |
|
| |
| 정보통신설비 및 시설의 현황 관리
| |
| |
| |
| * 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완․관리
| |
| * 정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네트워크와 분리된 환경에서 안전하게 관리
| |
| |-
| |
| |1.8. 정보보호 투자
| |
| |1.8.1.
| |
|
| |
| 정보보호 투자계획 수립․이행
| |
| |
| |
| * 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기술부문 예산의 5%이상)의 정보보호 예산 편성 및 집행
| |
| |-
| |
| | rowspan="18" |
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
| 2.
| |
|
| |
| 기
| |
|
| |
| 술
| |
|
| |
| 적
| |
|
| |
|
| |
| 보
| |
|
| |
| 호
| |
|
| |
| 조
| |
|
| |
| 치
| |
| | rowspan="4" |2.1.
| |
|
| |
| 네트워크 보안
| |
| |2.1.1.
| |
|
| |
| 트래픽 모니터링
| |
| |
| |
| * 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링
| |
| |-
| |
| |2.1.2.
| |
|
| |
| 무선서비스 보안
| |
| |
| |
| * 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인증, 데이터암호화 등 보안조치를 마련
| |
| |-
| |
| |2.1.3.
| |
|
| |
| 정보보호시스템 설치․운영
| |
| |
| |
| * 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설치․운영
| |
| |-
| |
| |2.1.4.
| |
|
| |
| 정보보호를 위한 모니터링
| |
| |
| |
| * 주요시스템․네크워크 사용 및 접근이 명확하게 허용된 범위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위탁운영을 통하여 침해사고 탐지․대응 체계 운영
| |
| |-
| |
| | rowspan="14" |2.2.
| |
|
| |
| 정보통신
| |
|
| |
| 설비 보안
| |
| |2.2.1.
| |
|
| |
| 웹서버 보안
| |
| |
| |
| * 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치
| |
| |-
| |
| |2.2.2.
| |
|
| |
| DNS서버 보안
| |
| |
| |
| * 과부하에 대비한 부하분산 대책을 마련
| |
| * 설정파일 백업 실시
| |
| |-
| |
| |2.2.3.
| |
|
| |
| DHCP서버 보안
| |
| |
| |
| * 과부하에 대비한 부하분산 대책을 마련=
| |
| * 설정파일 백업 실시
| |
| * IP 할당 상황 등에 대한 로그기록 유지․관리
| |
| |-
| |
| |2.2.4.
| |
|
| |
| DB서버 보안
| |
| |
| |
| * 내부망에 설치
| |
| * 외부망에서 직접 접속할 수 없도록 네트워크를 구성
| |
| |-
| |
| |2.2.5.
| |
|
| |
| 라우터/스위치 보안
| |
| |
| |
| * ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용
| |
| |-
| |
| |2.2.6.
| |
|
| |
| 정보보호시스템 보안
| |
| |
| |
| * 이상징후 탐지를 알리는 경고 기능을 설정하여 운영
| |
|
| |
| * 정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검(월 1회 이상)
| |
| |-
| |
| |2.2.7.
| |
|
| |
| 취약점 점검
| |
| |
| |
| * 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완
| |
| |-
| |
| |2.2.8.
| |
|
| |
| 접근통제 및 보안설정 관리
| |
| |
| |
| * 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화
| |
| * 불필요한 프로토콜 및 서비스 제거 등 보안설정
| |
| |-
| |
| |2.2.9.
| |
|
| |
| 관리자 계정의
| |
|
| |
| 비밀번호 관리
| |
| |
| |
| * 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수로 설정
| |
| * 최소 3개월에 1회 이상 비밀번호 변경
| |
| |-
| |
| |2.2.10.
| |
|
| |
| 로그 관리
| |
| |
| |
| * 최소 1개월 이상 로그기록 유지․관리(정보보호시스템은 3개월)
| |
| |-
| |
| |2.2.11.
| |
|
| |
| 보안패치 관리
| |
| |
| |
| * 보안패치 정보를 주기적으로 입수하고 적용
| |
| * 주요 보안패치에 대해서는 적용일 등 패치정보를 기록․관리
| |
| |-
| |
| |2.2.12.
| |
|
| |
| 백업 및 복구
| |
| |
| |
| * 주요정보를 주기적으로 백업
| |
| * 백업 담당자, 백업 및 복구 방법․절차․주기 등을 기록․관리
| |
| |-
| |
| |2.2.13.
| |
|
| |
| 중요정보의 암호화
| |
| |
| |
| * 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장
| |
| * 주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리듬으로 암호화하여 저장
| |
| |-
| |
| |2.2.14.
| |
|
| |
| 관리용 단말 보안
| |
| |
| |
| * 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용
| |
| * 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있도록 통제
| |
| * 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소프트웨어 예방․탐지 활동 실시
| |
| |-
| |
| | rowspan="2" |3.
| |
|
| |
| 물
| |
|
| |
| 리
| |
|
| |
| 적
| |
|
| |
|
| |
| 보
| |
|
| |
| 호
| |
|
| |
| 조
| |
|
| |
| 치
| |
| |3.1. 출입 및 접근 보안
| |
| |3.1.1.
| |
|
| |
| 정보통신시설의 출입․접근 통제
| |
| |
| |
| * 비인가자가 출입할 수 없도록 잠금장치를 설치
| |
| * 출입자의 기록을 1개월 이상 유지․보관
| |
| |-
| |
| |3.2.
| |
|
| |
| 부대설비 및 시설 운영․관리
| |
| |3.2.1.
| |
|
| |
| 백업설비 및 시설 설치․운영
| |
| |
| |
| * 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치․운영
| |
| |}
| |
| 비고
| |
|
| |
| * 1. 2.2.7~2.2.14의 사항은 2.2.1~2.2.6에 해당하는 설비에 적용된다.
| |
| * 2. 2.1.1.의 규정에 따른 주요회선에 대한 트래픽 소통량 모니터링은 관리자 등이 모니터링 현장에 상주하지 않는 방법으로 실시할 수 있다.
| |
| * 2.2.11.의 규정에 따른 보안패치 정보의 입수․적용 주기는 정보보호관리자의 판단에 따라 정한다.
| |