국가 정보보안 기본지침 제97조

IT 위키

내용

제97조(정보통신망 보안진단)
  • ① 각급기관의 장은 「사이버안보 업무규정」 제12조제1항에 따른 진단ㆍ점검 또는 그 밖의 법규에 따라 정보통신망 보안진단ㆍ점검을 실시할 경우, 국가정보원장이 배포하는 다음 각 호의 가이드라인 등을 참고하여야 하며, 이에 필요한 관련예산 확보 등을 위하여 노력하여야 한다. <개정 2020.7.1., 2021.11.1.>
    • 1. 사이버보안 강화를 위한 길라잡이(정보통신시스템 보안진단 및 대응방법)
    • 2. 홈페이지ㆍ네트워크ㆍ시스템ㆍDBMS 취약점 점검매뉴얼
    • 3. 정보보안점검 체크리스트
  • ② 국가정보원장은 중앙행정기관, 지방자치단체 및 공공기관의 정보통신망 안전성을 확인하기 위하여 다음 각 호의 어느 하나에 해당하는 경우 보안진단을 실시할 수 있다.
    • 1. 「사이버안보 업무규정」 제9조제1항 후단에 따른 보안성 검토 결과의 이행여부 확인 또는 같은 조 제5항에 따른 보안컨설팅을 수행하는 경우 <개정 2021.11.1.>
    • 2. 「전자정부법」 제56조제3항 및 「공공기록물 관리에 관한 법률 시행령」 제5조 등에 따른 보안조치 이행여부를 확인하고자 하는 경우 <개정 2021.11.1.>
    • 3. 「보안업무규정」 제35조에 따른 보안측정을 실시하는 경우
    • 4. 삭제 <2021.11.1.>
    • 5. 삭제 <2021.11.1.>
    • 6. 삭제 <2021.11.1.>
    • 7. 각급기관의 장이 정보통신망에 대한 보안취약점 점검 또는 종합진단이 필요하다고 판단하여 요청하는 경우
    • 8. 그 밖에 국가정보원장이 국가안보상 필요하다고 판단하는 경우
  • ③ 국가정보원장은 제2항에 따라 보안진단을 실시할 경우 해당 기관의 장에게 진단항목ㆍ일정ㆍ준비사항 등이 포함된 진단 계획을 사전 통보하여야 한다. 다만, 정보통신망의 안전성을 확보하여야 할 긴급한 사유가 발생한 경우 사전 통보를 생략할 수 있다.
  • ④ 국가정보원장은 제2항에 따라 보안진단을 실시한 결과 개선이 필요하다고 판단하는 경우 해당 기관의 장에게 개선 조치를 요청할 수 있다. 이 경우 해당 기관의 장은 정당한 사유가 없으면 다음 각 호의 사항을 포함한 조치를 취하여야 하며 국가정보원장은 그 이행여부를 확인할 수 있다. <개정 2021.11.1.>
    • 1. 기존에 알려지지 않은 새로운 취약점일 경우, 취약점 제거를 위한 관리적ㆍ물리적ㆍ기술적 조치
    • 2. 해당 보안취약점이 소속 공무원등의 고의 또는 중과실로 인하여 발생한 경우, 해당 공무원등에 대한 징계검토 및 개선 조치의 지시
    • 3. 제2호의 경우 유사 보안위규행위 방지를 위한 소속 공무원등에 대한 교육 실시

해설