국가 정보보안 기본지침 제2조

From IT Wiki
Revision as of 00:05, 8 June 2022 by Maintenance script (talk | contribs) (Imported from text file)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

내용

제2조(정의)
  • 이 지침에서 사용하는 용어의 정의는 다음과 같다.
    • 1. “정보보안”이라 함은 각급기관의 기능 유지를 주 목적으로 정보통신망 및 정보시스템을 통해 수집, 가공, 저장, 검색, 송ㆍ수신되는 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위로서 다음 각 목에 따른 사항을 포함한다. <개정 2021.11.1.>
  • 가. 「국가정보원법」 제4조제1항제4호에 따른 사이버공격 및 위협에 대한 예방 및 대응
  • 나. 「전자정부법」 제56조에 따른 정보통신망과 행정정보 등의 보안
  • 다. 「정보통신기반 보호법 시행령」 제5조제4항제1호 각 목에 해당하는 주요정보통신기반시설의 보호
  • 라. 「공공기록물 관리에 관한 법률 시행령」 제5조에 따른 전자기록물의 보안
  • 마. 「국가사이버안전관리규정」 제2조제3호에 따른 사이버안전
    • 2. “각급기관”이라 함은 헌법과 법률에 의하여 설치된 국가기관ㆍ지방자치단체ㆍ교육청 및 그 소속기관, 공공기관, 국ㆍ공립학교(「초・중등교육법」 및 「고등교육법」에 따른 국ㆍ공립학교를 말한다. 이하 같다) 및 군(軍)기관을 말한다.
    • 3. “상급기관”이라 함은 각급기관 중에서 중앙행정기관(대통령 소속기관 및 국무총리 소속기관을 포함한다. 이하 같다) 및 그 소속기관, 국가인권위원회, 고위공직자범죄수사처, 특별시ㆍ광역시ㆍ특별자치시ㆍ도ㆍ특별자치도(이하 “시ㆍ도"라 한다) 및 그 소속기관, 시ㆍ도 교육청 및 그 소속기관을 말한다. <개정 2021.11.1.>
    • 4. “하급기관”이라 함은 각급기관 중에서 공공기관, 시ㆍ군ㆍ자치구 및 그 소속기관, 교육지원청 및 그 소속기관, 국ㆍ공립학교 및 군(軍)기관을 말한다.
    • 5. “공공기관”이라 함은 다음 각 목의 기관을 말한다. <개정 2021.11.1.>
  • 가. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
  • 나. 「지방공기업법」 에 따른 지방공사 및 지방공단
  • 다. 특별법에 의하여 설립한 특수법인중에서 「사이버안보 업무규정」 제7조제3호에 따른 법인이거나 「공공기록물 관리에 관한 법률 시행령」 제3조제4호에 따른 법인
  • 라. 「지방자치단체 출자ㆍ출연 기관의 운영에 관한 법률」 제2조제1항에 따른 출자ㆍ출연기관중에서 해당 지방자치단체의 조례로 「공공기록물 관리에 관한 법률 시행령」 제5조의 적용 대상이 되는 기관
    • 5의2. “교육현장”이라 함은 다음 각 목의 어느 하나에 해당하는 기관 또는 기관의 정보통신환경을 말한다. <신설 2020.7.1.>
  • 가. 「초・중등교육법」에 따른 국ㆍ공립학교
  • 나. 「고등교육법」에 따른 국ㆍ공립학교의 교육 목적 정보통신환경
  • 다. 「특정연구기관 육성법」 제2조에 따른 특정연구기관에 두는 학교ㆍ학위과정에서의 교육 및 교육행정 목적 정보통신환경
    • 6. “정보보안담당관”이라 함은 각급기관의 정보보안업무를 총괄하기 위하여 각급기관의 장이 임명한 사람을 말한다.
    • 7. “보안담당관”이라 함은 「보안업무규정」 제43조에 따른 보안담당관을 말한다.
    • 8. “정보통신망”이라 함은 「사이버안보 업무규정」 제2조제1호에 따른 정보통신망을 말한다. <개정 2021.11.1.>
    • 9. “내부망”이라 함은 각급기관의 장이 기관의 업무 수행을 위하여 인터넷과 별도로 분리하여 구축한 업무 전용(專用) 정보통신망을 말한다. <개정 2020.7.1.>
    • 10. “기관 인터넷망”이라 함은 각급기관의 장이 소속 공무원등의 업무 활용 또는 공개서버 운용을 주(主) 목적으로 인터넷과 연동하여 구축한 정보통신망을 말한다. <개정 2020.7.1.>
    • 11. “상용 인터넷망”이라 함은 각급기관의 장이 기관 인터넷망과 별개로 소속 공무원등이나 민원인 등의 보편적인 편의성을 위하여 인터넷에 연동하여 구축한 정보통신망을 말한다. <신설 2020.7.1.>
    • 12. “정보시스템”이라 함은 「전자정부법」 제2조제13호에 따른 정보시스템을 말한다.
    • 13. “휴대용 저장매체”라 함은 CDㆍ외장형 하드디스크ㆍUSB메모리 등 정보를 저장할 수 있는 것으로 PCㆍ서버 등의 정보시스템과 분리할 수 있는 기억장치를 말한다. <개정 2021.11.1.>
    • 14. “업무자료”라 함은 다음 각 목의 어느 하나에 해당하는 것을 말한다.
  • 가. 「전자정부법」 제2조제6호에 따른 행정정보 및 같은 법 제2조제7호에 따른 전자문서 <개정 2020.7.1.>
  • 나. 「공공기록물 관리에 관한 법률 시행령」 제2조제2호에 따른 전자기록물
  • 다. 기타 다른 법령에 의하여 공무원등이 직무상 작성ㆍ취득하였거나 보유ㆍ관리하는 자료로서 전자적으로 처리되어 부호ㆍ문자ㆍ음성ㆍ음향ㆍ영상 등으로 표현된 것
    • 15. “비밀”이라 함은 업무자료 중에서 「보안업무규정」 제4조에 따라 분류된 비밀을 말한다.
    • 16. “대외비”라 함은 업무자료 중에서 「보안업무규정 시행규칙」 제16조제3항에 따라 분류된 대외비를 말한다.
    • 17. “비공개 업무자료”라 함은 비밀 및 대외비를 제외한 업무자료 중에서 다음 각 목의 어느 하나에 해당하는 자료 또는 정보를 말한다.
  • 가. 「공공기관의 정보공개에 관한 법률」 제9조제1항에 따른 비공개 대상 정보
  • 나. 국회 소속 공무원( 「국회의원수당 등에 관한 법률」 제9조에 따른 보좌직원을 포함한다) 또는 「지방자치법」 제30조에 따른 지방의회 소속 공무원의 직무상 요구에 따라 작성 또는 취득한 자료
  • 다. 가목에 따른 비공개 대상 정보의 주요 내용이 기술된 문장 또는 문구
    • 18. “공개 업무자료”라 함은 업무자료 중에서 비밀 및 대외비와 비공개 업무자료를 제외한 모든 자료 또는 정보(「공공데이터의 제공 및 이용 활성화에 관한 법률」 제19조에 따라 공표된 공공데이터를 포함한다)를 말한다. <개정 2021.11.1.>
    • 19. “정보통신실”이라 함은 서버ㆍ스위치ㆍ라우터ㆍ교환기 등 전산 및 통신장비 등이 설치ㆍ운용되는 장소 또는 전산실ㆍ통신실ㆍ데이터센터 등을 말한다.
    • 20. “정보보호시스템”이라 함은 「지능정보화 기본법」 제2조제15호에 따른 정보보호시스템을 말한다. <개정 2021.11.1.>
    • 21. “국가용 보안요구사항”이라 함은 「사이버안보 업무규정」 제9조제2항에 따른 정보보호시스템등의 도입ㆍ운영에 관한 보안대책의 일환으로 국가정보원장이 정하는 보안 관련 필수사항을 말한다. <신설 2020.7.1., 2021.11.1.>
    • 22. “국가용 보호프로파일(Protect Profile)"라 함은 「지능정보화 기본법」 제58조제1항 및 같은 법 시행령 제51조에 따라 과학기술정보통신부장관이 고시한 「정보보호시스템 평가ㆍ인증 지침」에 따른 보호프로파일 중에서 국가정보원장이 국가용 보안요구사항을 만족한다고 인정한 것을 말한다. <신설 2020.7.1., 2021.11.1.>
    • 23. “KOLAS 공인시험기관”이라 함은 「국가표준기본법」 제23조, 같은 법 시행령 제16조에 따라 규정된 「KOLAS 공인기관 인정제도 운영요령(국가기술표준원 고시)」 제2조제2항제2호에 따른 KOLAS 공인시험기관을 말한다. <신설 2020.7.1., 2021.11.1.>
    • 24. “국가보안기술연구소”라 함은 「과학기술분야 정부출연연구기관 등의 설립ㆍ운영 및 육성에 관한 법률」 제8조제1항에 따라 설립된 한국전자통신연구원 부설 국가보안기술연구소를 말한다. <신설 2020.7.1.>
    • 25. “안전성 검증필 제품”이라 함은 국가정보원장이 국가용 보안요구사항 만족여부 등 안전성을 확인하여 제21조에 따른 안전성 검증필 제품 목록에 등재한 정보통신제품을 말한다. <신설 2020.7.1.>
    • 26. “보안적합성 검증”이라 함은 제20조제1항제3호의 보안기능이 있는 정보통신제품에 대하여 실제 적용ㆍ운용 이전에 시험 등의 방법으로 안전성을 검증하는 활동을 말한다. <개정 2020.7.1.>
    • 27. “공무원등”이라 함은 각급기관에 근무중인 다음 각 목의 어느 하나에 해당하는 사람을 말한다.
  • 가. 「국가공무원법」 제2조에 따른 국가공무원
  • 나. 「지방공무원법」 제2조에 따른 지방공무원
  • 다. 「교육공무원법」 제2조에 따른 교육공무원
  • 라. 「병역법」 제2조에 따른 상근예비역, 승선근무예비역, 사회복무요원, 공중보건의사, 공익법무관, 병역판정검사전담의사, 공중방역수의사 및 전문연구요원
  • 마. 공공기관 임직원
  • 바. 공무직 근로자 및 기간제 근로자
    • 28. “개별사용자”라 함은 각급기관의 장으로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 공무원등과 각급기관의 장과 계약에 의하여 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 사람을 말한다.
    • 29. “전자파 보안”이라 함은 정보통신시설 및 기기 등을 대상으로 전자파에 의한 정보유출을 방지하고 파괴ㆍ오작동 유발 등의 위협으로부터 정보를 보호하는 일체의 행위를 말한다.
    • 30. “대도청 측정(TSCM)”이라 함은 유ㆍ무선 도청탐지장비 등을 사용하여 은닉된 도청장치를 색출하거나 누설전자파(정보통신기기로부터 자유공간 또는 전도성 경로를 통해 비(非)의도적으로 누출되는 정보를 포함한 전자파) 등 각종 도청 위해(危害)요소를 제거하는 제반활동을 말한다.
    • 31. “고출력 전자파(EMP)”라 함은 지상 30km 이상에서 핵 폭발에 의해 생성되는 고고도(高高度) 핵 전자파와 의도적으로 정보기기 등을 손상시키거나 오동작을 유발할 수 있는 고출력 비핵 전자파를 말한다.
    • 32. “정보보안 관리실태 평가”라 함은 「사이버안보 업무규정」 제13조 및 「전자정부법」 제56조 등에 따라 각급기관의 국가정보보안 정책에 대한 이행여부를 확인하기 위하여 실시하는 평가를 말한다. <개정 2021.11.1.>
    • 33. “암호자재”라 함은 비밀의 보호 및 정보통신 보안을 위하여 사용되는 암호기술이 적용된 장치나 수단으로서 Ⅰ급, Ⅱ급 및 Ⅲ급 비밀 소통용 암호자재로 구분되는 장치나 수단을 말한다. <개정 2020.7.1., 2021.11.1.>
    • 34. “암호장비”라 함은 암호자재 중에서 국가정보원장이 승인하여 개발ㆍ제작ㆍ보급되는 암호자재를 말한다. <신설 2020.7.1., 2021.11.1>
    • 35. “암호알고리즘”이라 함은 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위하여 기밀성ㆍ무결성ㆍ인증ㆍ부인방지 등의 기능을 제공하는 수학적 논리를 말한다.
    • 36. “암호가 주기능인 제품”이라 함은 검증필 암호모듈을 사용해 정보의 암ㆍ복호화를 주된 목적ㆍ기능으로 하는 제품을 말한다. <신설 2020.7.1., 2021.11.1.>
    • 37. “상용 암호모듈”이라 함은 암호알고리즘을 소프트웨어, 하드웨어, 펌웨어 또는 이를 조합한 형태로 구현한 것으로서 비밀이 아닌 업무자료를 보호하기 위하여 민간이 상용(商用)으로 판매하는 것을 말한다. <개정 2021.11.1.>
    • 38. “검증필 암호모듈”이라 함은 「사이버안보 업무규정」 제9조제2항 및 제3항, 「전자정부법 시행령」 제69조와 「암호모듈 시험 및 검증지침」(국가정보원 지침)에 따라 국가정보원장이 안전성을 확인하여 제22조에 따른 목록에 등재한 상용 암호모듈을 말한다. <개정 2020.7.1., 2021.11.1.>
    • 39. “암호장비 제작업체”라 함은 암호장비 연구개발 결과물을 실용화하기 위하여 암호장비의 제작권을 획득한 업체를 말한다. <개정 2020.7.1., 2021.11.1.>
    • 40. “사이버공격”이라 함은 「사이버안보 업무규정」 제2조제2호에 따른 행위를 말한다. <개정 2021.11.1.>
    • 41. “안보위해(危害) 공격”이라 함은 사이버공격 중에서 다음 각 목의 어느 하나에 해당하는 행위 또는 활동을 말한다. <개정 2020.7.1., 2021.11.1.>
  • 가. 국제 및 국가배후 해킹조직의 활동 등 사이버안보 위협 행위
  • 나. 국가안보와 국익에 반하는 북한, 외국 및 외국인ㆍ외국단체ㆍ초국가행위자 또는 이와 연계된 내국인의 활동
  • 다. 「산업기술의 유출방지 및 보호에 관한 법률」 제2조에 따른 국가핵심기술 또는 국가연구개발사업으로 개발한 산업기술 또는 「방위산업기술 보호법」 제2조제1호에 따른 방위산업기술을 부정한 방법으로 취득하는 행위
  • 라. 「북한이탈주민의 보호 및 정착지원에 관한 법률 시행령」 제42조의2에 따른 보호대상자의 개인정보 유출 또는 신변을 위해(危害)할 우려가 있는 해킹
  • 마. 「국민보호와 공공안전을 위한 테러방지법」 제2조제1호에 따른 테러 행위
  • 바. 국제범죄조직에 의한 사이버공격
  • 사. 「형법」 중 내란(內亂)의 죄, 외환(外患)의 죄, 「군형법」 중 반란의 죄, 암호 부정사용의 죄, 「군사기밀 보호법」 에 규정된 죄, 「국가보안법」 에 규정된 죄에 해당되는 행위
  • 아. 국가기밀에 속하는 문서ㆍ자재ㆍ시설 및 지역에 관한 정보를 유출하거나 그 운영을 방해하는 행위
  • 자. 「전자정부법」 제56조제3항에 따른 보안조치 대상 정보통신망에서 전자문서를 위조ㆍ변조ㆍ훼손ㆍ절취하여 국가의 독립, 영토의 보전, 헌법과 법률의 기능, 헌법에 의하여 설치된 국가기관의 유지에 위해를 초래하는 행위
  • 차. 「정보통신기반 보호법」 제3조에 따라 공공분야 실무위원회가 담당하는 주요정보통신기반시설 또는 같은 법 제7조제2항 각 호에 따른 주요정보통신기반시설에 대한 같은 법 제12조에 따른 침해행위
    • 42. “보안관제”라 함은 사이버공격을 실시간으로 즉시 탐지 및 분석, 대응하는 일련의 활동을 말한다. <개정 2021.11.1.>
    • 43. “보안관제센터”라 함은 일정한 수준의 시설 및 장비와 이를 운영하기 위한 전문 또는 전담인력을 갖추고 보안관제업무를 수행하는 조직을 말한다.
    • 44. “국가보안관제체계”라 함은 「사이버안보 업무규정」 제14조제1항에 따른 정부보안관제체계를 포함하여 국가정보원장이 각급기관의 장과 합동으로 보안관제를 실시하거나, 사이버공격 탐지ㆍ대응 조치 이행여부 확인을 위하여 구축ㆍ운영하는 실시간 탐지ㆍ대응체계를 말한다. <개정 2021.11.1.>
    • 45. “부문보안관제센터”라 함은 「사이버안보 업무규정」 제14조제2항에 따라 설치ㆍ운영되는 보안관제센터 중에서 다음 각 목에 해당하는 기구를 말한다. <개정 2021.11.1.>
  • 가. 중앙행정기관의 장이 해당 기관 및 관할 하급기관의 정보통신망을 대상으로 운영하는 보안관제센터
  • 나. 「책임운영기관의 설치ㆍ운영에 관한 법률」 제4조제1항에 따라 설치된 국가정보자원관리원(이하 “정보자원관리원”이라 한다)의 장이 국가기관ㆍ지방자치단체의 공동 활용을 위하여 운영하는 정보통신망(이하 “국가정보통신망”이라 한다) 및 정보자원관리원에 입주한 기관의 정보시스템을 대상으로 운영하는 보안관제센터
  • 다. 행정안전부장관이 지방자치단체의 정보통신망을 대상으로 운영하는 보안관제센터
  • 라. 「전자정부법」 제54조제3항에 따라 행정안전부장관이 지정한 통합관리기관이 운영하는 보안관제센터 <신설 2021.11.1.> [시행일 : 2023.11.1.]
  • 마. 교육부장관이 시ㆍ도 교육청의 정보통신망을 대상으로 운영하는 보안관제센터
  • 바. 한국인터넷진흥원이 운영하는 침해사고대응센터
    • 46. “단위보안관제센터”라 함은 「사이버안보 업무규정」 제14조제2항에 따라 설치ㆍ운영되는 보안관제센터 중에서 시ㆍ도, 시ㆍ도 교육청, 시ㆍ군ㆍ자치구, 교육지원청, 공공기관, 국ㆍ공립학교 및 군(軍)기관의 장이 해당 기관의 정보통신망을 대상으로 운영하는 보안관제센터를 말한다. <개정 2021.11.1.>
    • 47. “취약점”이라 함은 사이버공격에 악용되어 관리자가 설정한 접근 권한外 정보를 열람ㆍ취득하게 하거나 보안기능을 회피 가능하게 하는 정보통신망ㆍ정보시스템의 결함을 말한다. <신설 2021.11.1.>

해설