정보보호조치에 관한 지침: Difference between revisions
(새 문서: 정보통신망법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용에 대하여 정하는 것을 목적으로 하는 법률 * 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고...) |
No edit summary |
||
Line 2: | Line 2: | ||
* 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다. | * 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다. | ||
** 다만, ISMS의 기준으로도 사용되므로 정보보호 담당자라면 내용을 숙지할 필요가 있다. | |||
* 실질적인 내용은 대부분 '별표1'에 있다. | * 실질적인 내용은 대부분 '별표1'에 있다. | ||
Line 7: | Line 8: | ||
'''정보통신망법 제45조(정보통신망의 안정성 확보 등)''' ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다 | '''정보통신망법 제45조(정보통신망의 안정성 확보 등)''' ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다 | ||
* 1. 정보통신서비스 제공자 | * 1. [[정보통신서비스 제공자]] | ||
* 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자 | * 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자 | ||
Line 30: | Line 31: | ||
* 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다. | * 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다. | ||
* 5. "[[방화벽|침입차단시스템]]"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다. | * 5. "[[방화벽|침입차단시스템]]"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다. | ||
* 6. "침입탐지시스템"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다. | * 6. "[[침입탐지시스템]]"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다. | ||
* 7. "웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다. | * 7. "[[웹 서버|웹서버]]"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다. | ||
* 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다. | * 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다. | ||
* 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다. | * 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다. | ||
* 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다. | * 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다. | ||
* 11. "라우터"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다. | * 11. "[[라우터]]"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다. | ||
* 12. "스위치"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다. | * 12. "[[스위치 허브|스위치]]"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다. | ||
* 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다. | * 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다. | ||
* 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다. | * 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다. | ||
Line 47: | Line 48: | ||
* '''제4조(정보보호조치 이행여부 점검)''' 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다. | * '''제4조(정보보호조치 이행여부 점검)''' 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다. | ||
* '''제5조(규제의 재검토)''' 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다. | * '''제5조(규제의 재검토)''' 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다. | ||
== 보호조치의 구체적인 내용(별표1) == | |||
{| class="wikitable" | |||
| colspan="3" |'''구 분''' | |||
|'''세 부 조 치 사 항''' | |||
|- | |||
| rowspan="16" |1.관 | |||
리 | |||
적 | |||
보 | |||
호 | |||
조 | |||
치 | |||
| rowspan="3" |1.1. | |||
정보보호 | |||
조직의 구성․운영 | |||
|1.1.1. | |||
정보보호조직의 구성 | |||
| | |||
* 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직을 운영 | |||
|- | |||
|1.1.2. | |||
정보보호 최고 | |||
책임자의 지정 | |||
| | |||
* 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정 | |||
|- | |||
|1.1.3. | |||
정보보호조직 | |||
구성원의 역할 | |||
| | |||
* 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘 | |||
* 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리 | |||
* 정보보호담당자는 정보보호 업무의 분야별 실무를 담당 | |||
|- | |||
| rowspan="4" |1.2. | |||
정보보호 | |||
계획 등의 수립 및 관리 | |||
|1.2.1. | |||
정보보호 방침의 수립․이행 | |||
| | |||
* 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립 | |||
* 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행 | |||
|- | |||
|1.2.2. | |||
정보보호 실행계획의 | |||
수립․이행 | |||
| | |||
* 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립 | |||
* 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검 | |||
|- | |||
|1.2.3. | |||
정보보호 실무지침의 | |||
마련․준수 | |||
| | |||
* 정보통신설비 및 시설에 대한 관리적․기술적․물리적 보호조치의 구체적인 시행 방법․절차 등을 규정한 정보보호 실무지침을 마련 | |||
* 정보보호 최고책임자가 실무지침을 승인하고 관련 법․제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리 | |||
|- | |||
|1.2.4. | |||
정보보호 사전점검 | |||
| | |||
* 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호에 관한 사항을 고려 | |||
|- | |||
| rowspan="3" |1.3. | |||
인적 보안 | |||
|1.3.1. | |||
내부인력 보안 | |||
| | |||
* 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근 권한을 제거 | |||
* 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시 | |||
* 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하는 자에게 정기적으로 정보보호 교육 실시 | |||
|- | |||
|1.3.2. | |||
외부인력 보안 | |||
| | |||
* 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구 | |||
|- | |||
|1.3.3. | |||
위탁운영 보안 | |||
| | |||
* 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무 중단에 따른 비상대책’ 등을 반영 | |||
|- | |||
| rowspan="2" |1.4. | |||
이용자 보호 | |||
|1.4.1. | |||
정보보호 정보 제공 | |||
| | |||
* 이용자에게 침해사고 예․경보, 보안취약점, 계정․비밀번호 관리방안 등의 정보를 지속적으로 제공 | |||
|- | |||
|1.4.2. | |||
정보보호 현황 공개 | |||
| | |||
* 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개 | |||
|- | |||
|1.5. 침해사고 대응 | |||
|1.5.1. | |||
침해사고 대응 | |||
계획의 수립․이행 | |||
| | |||
* 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획을 마련․시행 | |||
|- | |||
|1.6. 정보보호 | |||
조치 점검 | |||
|1.6.1. | |||
정보보호조치의 | |||
자체 점검 | |||
| | |||
* 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침의 기준에 따라 자체적으로 정보보호 현황을 점검 | |||
|- | |||
|1.7. 정보자산 관리 | |||
|1.7.1. | |||
정보통신설비 및 시설의 현황 관리 | |||
| | |||
* 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완․관리 | |||
* 정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네트워크와 분리된 환경에서 안전하게 관리 | |||
|- | |||
|1.8. 정보보호 투자 | |||
|1.8.1. | |||
정보보호 투자계획 수립․이행 | |||
| | |||
* 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기술부문 예산의 5%이상)의 정보보호 예산 편성 및 집행 | |||
|- | |||
| rowspan="18" | | |||
2. | |||
기 | |||
술 | |||
적 | |||
보 | |||
호 | |||
조 | |||
치 | |||
| rowspan="4" |2.1. | |||
네트워크 보안 | |||
|2.1.1. | |||
트래픽 모니터링 | |||
| | |||
* 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링 | |||
|- | |||
|2.1.2. | |||
무선서비스 보안 | |||
| | |||
* 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인증, 데이터암호화 등 보안조치를 마련 | |||
|- | |||
|2.1.3. | |||
정보보호시스템 설치․운영 | |||
| | |||
* 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설치․운영 | |||
|- | |||
|2.1.4. | |||
정보보호를 위한 모니터링 | |||
| | |||
* 주요시스템․네크워크 사용 및 접근이 명확하게 허용된 범위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위탁운영을 통하여 침해사고 탐지․대응 체계 운영 | |||
|- | |||
| rowspan="14" |2.2. | |||
정보통신 | |||
설비 보안 | |||
|2.2.1. | |||
웹서버 보안 | |||
| | |||
* 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치 | |||
|- | |||
|2.2.2. | |||
DNS서버 보안 | |||
| | |||
* 과부하에 대비한 부하분산 대책을 마련 | |||
* 설정파일 백업 실시 | |||
|- | |||
|2.2.3. | |||
DHCP서버 보안 | |||
| | |||
* 과부하에 대비한 부하분산 대책을 마련= | |||
* 설정파일 백업 실시 | |||
* IP 할당 상황 등에 대한 로그기록 유지․관리 | |||
|- | |||
|2.2.4. | |||
DB서버 보안 | |||
| | |||
* 내부망에 설치 | |||
* 외부망에서 직접 접속할 수 없도록 네트워크를 구성 | |||
|- | |||
|2.2.5. | |||
라우터/스위치 보안 | |||
| | |||
* ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용 | |||
|- | |||
|2.2.6. | |||
정보보호시스템 보안 | |||
| | |||
* 이상징후 탐지를 알리는 경고 기능을 설정하여 운영 | |||
* 정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검(월 1회 이상) | |||
|- | |||
|2.2.7. | |||
취약점 점검 | |||
| | |||
* 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완 | |||
|- | |||
|2.2.8. | |||
접근통제 및 보안설정 관리 | |||
| | |||
* 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화 | |||
* 불필요한 프로토콜 및 서비스 제거 등 보안설정 | |||
|- | |||
|2.2.9. | |||
관리자 계정의 | |||
비밀번호 관리 | |||
| | |||
* 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수로 설정 | |||
* 최소 3개월에 1회 이상 비밀번호 변경 | |||
|- | |||
|2.2.10. | |||
로그 관리 | |||
| | |||
* 최소 1개월 이상 로그기록 유지․관리(정보보호시스템은 3개월) | |||
|- | |||
|2.2.11. | |||
보안패치 관리 | |||
| | |||
* 보안패치 정보를 주기적으로 입수하고 적용 | |||
* 주요 보안패치에 대해서는 적용일 등 패치정보를 기록․관리 | |||
|- | |||
|2.2.12. | |||
백업 및 복구 | |||
| | |||
* 주요정보를 주기적으로 백업 | |||
* 백업 담당자, 백업 및 복구 방법․절차․주기 등을 기록․관리 | |||
|- | |||
|2.2.13. | |||
중요정보의 암호화 | |||
| | |||
* 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장 | |||
* 주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리듬으로 암호화하여 저장 | |||
|- | |||
|2.2.14. | |||
관리용 단말 보안 | |||
| | |||
* 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용 | |||
* 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있도록 통제 | |||
* 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소프트웨어 예방․탐지 활동 실시 | |||
|- | |||
| rowspan="2" |3. | |||
물 | |||
리 | |||
적 | |||
보 | |||
호 | |||
조 | |||
치 | |||
|3.1. 출입 및 접근 보안 | |||
|3.1.1. | |||
정보통신시설의 출입․접근 통제 | |||
| | |||
* 비인가자가 출입할 수 없도록 잠금장치를 설치 | |||
* 출입자의 기록을 1개월 이상 유지․보관 | |||
|- | |||
|3.2. | |||
부대설비 및 시설 운영․관리 | |||
|3.2.1. | |||
백업설비 및 시설 설치․운영 | |||
| | |||
* 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치․운영 | |||
|} |
Revision as of 20:25, 11 July 2023
정보통신망법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용에 대하여 정하는 것을 목적으로 하는 법률
- 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다.
- 다만, ISMS의 기준으로도 사용되므로 정보보호 담당자라면 내용을 숙지할 필요가 있다.
- 실질적인 내용은 대부분 '별표1'에 있다.
법률 근거
정보통신망법 제45조(정보통신망의 안정성 확보 등) ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다
- 1. 정보통신서비스 제공자
- 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자
② 과학기술정보통신부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 "정보보호지침"이라 한다)을 정하여 고시하고 제1항 각 호의 어느 하나에 해당하는 자에게 이를 지키도록 권고할 수 있다.
③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.
- 1. 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치
- 2. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
- 3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치
- 4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등 관리적 보호조치
- 5. 정보통신망연결기기등의 정보보호를 위한 기술적 보호조치
④ 과학기술정보통신부장관은 관계 중앙행정기관의 장에게 소관 분야의 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준에 정보보호지침의 내용을 반영할 것을 요청할 수 있다.
정의
이 지침에서 사용하는 용어의 정의는 다음과 같다.
- 1. "정보보호조직"이라 함은 정보통신서비스를 안전하게 제공하고 정보보호 활동을 체계적으로 이행할 수 있도록 하는 업무 조직을 말한다.
- 2. "정보통신설비"라 함은 컴퓨터 장치 등 정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 말한다.
- 3. "서비스수준협약"이라 함은 서비스 제공자가 서비스 가입자와 합의를 통하여 사전에 정의된 수준의 서비스를 제공하기로 맺는 협약을 말한다.
- 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.
- 5. "침입차단시스템"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다.
- 6. "침입탐지시스템"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다.
- 7. "웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.
- 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다.
- 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다.
- 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다.
- 11. "라우터"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다.
- 12. "스위치"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다.
- 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다.
- 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다.
- 15. "취약점 점검"이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다.
- 16. "관리용 단말"이라 함은 네트워크 장비, 웹서버, DB서버 등 주요 정보통신설비 유지·보수 및 관리를 위하여 정보통신설비와 접속되어 있는 장비 등을 말한다.
정보보호조치
- 제3조(정보보호조치의 내용) 법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신망의 안전성 및 정보의 신뢰성을 확보하기 위하여 마련하여야 하는 관리적·기술적·물리적 보호조치의 구체적인 내용은 별표 1과 같다.
- 제4조(정보보호조치 이행여부 점검) 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다.
- 제5조(규제의 재검토) 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
보호조치의 구체적인 내용(별표1)
구 분 | 세 부 조 치 사 항 | ||
1.관
리 적
호 조 치 |
1.1.
정보보호 조직의 구성․운영 |
1.1.1.
정보보호조직의 구성 |
|
1.1.2.
정보보호 최고 책임자의 지정 |
| ||
1.1.3.
정보보호조직 구성원의 역할 |
| ||
1.2.
정보보호 계획 등의 수립 및 관리 |
1.2.1.
정보보호 방침의 수립․이행 |
| |
1.2.2.
정보보호 실행계획의 수립․이행 |
| ||
1.2.3.
정보보호 실무지침의 마련․준수 |
| ||
1.2.4.
정보보호 사전점검 |
| ||
1.3.
인적 보안 |
1.3.1.
내부인력 보안 |
| |
1.3.2.
외부인력 보안 |
| ||
1.3.3.
위탁운영 보안 |
| ||
1.4.
이용자 보호 |
1.4.1.
정보보호 정보 제공 |
| |
1.4.2.
정보보호 현황 공개 |
| ||
1.5. 침해사고 대응 | 1.5.1.
침해사고 대응 계획의 수립․이행 |
| |
1.6. 정보보호
조치 점검 |
1.6.1.
정보보호조치의 자체 점검 |
| |
1.7. 정보자산 관리 | 1.7.1.
정보통신설비 및 시설의 현황 관리 |
| |
1.8. 정보보호 투자 | 1.8.1.
정보보호 투자계획 수립․이행 |
| |
기 술 적
호 조 치 |
2.1.
네트워크 보안 |
2.1.1.
트래픽 모니터링 |
|
2.1.2.
무선서비스 보안 |
| ||
2.1.3.
정보보호시스템 설치․운영 |
| ||
2.1.4.
정보보호를 위한 모니터링 |
| ||
2.2.
정보통신 설비 보안 |
2.2.1.
웹서버 보안 |
| |
2.2.2.
DNS서버 보안 |
| ||
2.2.3.
DHCP서버 보안 |
| ||
2.2.4.
DB서버 보안 |
| ||
2.2.5.
라우터/스위치 보안 |
| ||
2.2.6.
정보보호시스템 보안 |
| ||
2.2.7.
취약점 점검 |
| ||
2.2.8.
접근통제 및 보안설정 관리 |
| ||
2.2.9.
관리자 계정의 비밀번호 관리 |
| ||
2.2.10.
로그 관리 |
| ||
2.2.11.
보안패치 관리 |
| ||
2.2.12.
백업 및 복구 |
| ||
2.2.13.
중요정보의 암호화 |
| ||
2.2.14.
관리용 단말 보안 |
| ||
3.
물 리 적
호 조 치 |
3.1. 출입 및 접근 보안 | 3.1.1.
정보통신시설의 출입․접근 통제 |
|
3.2.
부대설비 및 시설 운영․관리 |
3.2.1.
백업설비 및 시설 설치․운영 |
|