시스템 보안규정

시스템 보안규정

 

 

제1조 (목적)

이 규정은 회사의 정보시스템과 정보통신의 보안에 관한 필요한 사항을 정하여 회사의 발전을 도모함을 목적으로 한다.

 

제2조 (용어의 정의)

이 규정에서 사용하는 용어의 정의는 다음 각 호와 같다.

“전산실”이란 업무용 전산장비와 공용 네트워크장비가 보관되는 장소를 말한다.

“시스템관리자“란 업무 및 연구목적으로 보유하고 있는 정보통신시스템의 운용 및 관리 책임이 있는 해당부서의 부서장을 말한다.

“홈페이지”란 회사의 대표홈페이지 및 회사의 업무와 관련하여 제작하여 대외 서비스하는 모든 것을 말한다

“정보보안, 정보보호”란 정보통신 수단에 의하여 처리, 저장, 소통되는 정보를 보호하거나 해킹 등 외부 위협으로부터 취약요인을 제거하기 위한 각종 수단과 방법을 말한다.

“정보통신시스템”이란 업무처리 혹은 연구목적 수행을 위해 네트워크에 연결하여 다수 인원이 이용하는 서버 및 정보통신장비를 말한다

“보조기억매체”란 디스켓, 이동형 하드디스크(HDD), USB메모리, CD (Compact Disk), DVD(Digital Versatile Disk), 휴대폰 등 자료를 저장할 수 있는 일체의 것으로 개인용 컴퓨터 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다.

 

제3조 (시스템보안 범위)

시스템 보안 관리는 다음 각 호와 같다.

1. 전산실 보안

2. 정보자료

3. 개인용 컴퓨터(데스크톱, 노트북, 태블릿, 스마트폰 등)

4. 이메일 및 유무선 통신망

5. 홈페이지 등 공개용 웹서버, SNS(블로그 등) 관리

6. 무선랜

7. 정보통신망 신․증설 및 정보시스템교체 등을 실시할 경우 보안성 검토

8. 그 밖의 시스템 보안업무에 관한 사항

 

제4조 (전산실 보호대책)

전산실 운영부서장은 전산실을 제한구역으로 하고 다음 각 호의 대책을 강구하여야 한다.

1. 방재대책 및 외부로부터의 위해 방지

2. 전산자료 또는 장비 별 취급자 지정운영

3. 항시 이용하는 출입문은 한 곳으로 정하고 이중문과 보안 장치 설치

4. 그 밖의 전산업무 비관련자 출입 제한 등

 

제5조 (정보자료 보안관리)

① 시스템관리자는 전산자료 및 보안이 요구된다고 판단되는 전산자료의 유출, 파괴 또는 변조 등에 대비하여 다음 각 호와 같이 보호대책을 강구한다.

1. 전산자료 보유현황 관리

2. 장비 반·출입 통제

3. 정보통신망 불법접근 및 컴퓨터바이러스 피해 예방

4. 중요자료의 백업체계 수립 시행

5. 최신 소프트웨어 보안 패치(patch) 적용

② 시스템관리자는 인위적 또는 자연적인 원인으로 인한 정보통신시스템의 장애 발생에 대비하여 시스템 이원화, 백업관리, 복구 등 종합적인 재난복구 대책을 수립ㆍ시행하여야 하며 재난복구 시스템은 다음 각호와 같다.

1. 중요자료의 이중화 백업 시스템 구축

2. 서버와 물리적으로 이격된 공간에 별도의 백업 시스템 구축

3. 실시간 백업시스템 구축

③ 시스템관리자는 정보통신시스템을 이용하기 위한 사용자계정을 발급하고 비인가자에게 불필요한 서비스를 허용하지 않도록 보안기능을 설정하여야 한다.

④ 시스템관리자는 비밀번호 등 사용자 식별 및 인증이 없는 사용자계정은 사용하지 못하게 하며 퇴직 시 사용자 계정을 즉시 폐쇄한다.

⑤ 주요 정보통신시스템의 운영체제에 직접 접근할 수 있는 권한은 시스템관리자에게만 허용하고 일반 사용자계정 부여는 제한 한다.

⑥ 일반사용자의 정보통신시스템 보유자료 이용은 시스템관리자가 허용한 응용프로그램을 통해 이용함을 원칙으로 하며 업무별, 자료 별 중요도에 따라 사용자 별 접근권한을 차등 부여하여야 한다.

⑦ 시스템관리자는 비인가자의 정보통신시스템 침입 사실을 인지한 경우에는 시스템 보호를 위한 접속차단 등 초동조치를 취하고 전산부서장에게 연락하며 전산담당부서장은 대표이사 및 보안관리책임자에게 보고하여야 한다.

⑧ 시스템관리자는 정보통신시스템에 대하여 외부업체의 원격 유지보수 작업을 허용하여서는 아니 된다. 다만, 부득이한 경우에는 필요한 보안대책을 강구 후 허용할 수 있으며, 이때에도 원격 유지보수 내용을 확인 감독하여 반드시 기록으로 유지하여야 한다.

⑨ 주요 정보통신시스템은 시스템관리자에 의거 일일 점검하여야 하며 점검내용은 다음 각 호와 같다

1. 장비의 전반적인 운영 상태 점검

2. 장비 장애발생의 사전 방지를 위한 예방 점검

3. 장비 로그 분석 및 그 결과에 따른 적절한 대처

4. 소프트웨어의 적정한 활용여부, 불법소프트웨어 설치여부, 보안 패치 적용, 버전의 업그레이드를 수행 및 점검

5. 장애가 발생하였거나 장애 발생이 우려될 경우 적절한 대처 또는 전문 정비업체 의뢰

 

제6조(보조기억매체 보안관리)

① 보조기억매체의 관리책임자는 사용자의 소속부서장이 되며 관리책임자는 업무용 보조기억매체를 별지 제1호 서식을 이용하여 관리(등록, 파기, 반출, 반입)하여야 하며, 등록되지 않은 매체는 사용할 수 없다.

② 중요 자료는 반드시 암호가 설정되거나 보안프로그램이 적용된 보조기억매체에 저장한다.

③ 암호가 설정되거나 보안프로그램이 적용된 보조기억매체를 사용할 경우공인기관 등의 보안적합성 검증을 받은 제품을 사용한다.

④ 보조기억매체 분실 시 사용자는 즉시 관리책임자에게 보고한다.

⑤ 전산담당부서에서는 필요 시 각 부서의 관리대장을 점검을 할 수 있다

⑥ 연구원은 보조기억매체를 관리하기 위하여 관리시스템을 활용할 수 있으며 보안정책 및 운영기준은 다음 각 호와 같다.

1. 이 시스템의 목적을 위해 전 직원은 회사에서 사용하고자 하는 개인용컴퓨터는 보조기억매체 관리를 위한 클라이언트 프로그램을 설치해야 한다.

2. 회사에서 유출되는 모든 자료에 대하여 동 시스템을 이용하여 조사할 수 있다.

3. 이 시스템을 이용하여 회사에서 외부로 유출(전송)되는 모든 자료는 일정기간 보관할 수 있다.

4. 이 시스템에 등록되지 않은 보조기억매체의 사용은 통제될 수 있다.

⑦ 제6항의 관리시스템을 이용하여 수집한 자료는 정보유출의 확인 작업등 회사의 정보보안 목적 이외에 어떤 목적으로도 공개하면 안 된다.

 

제7조(개인용 컴퓨터 보안관리)

① 소속 부서장은 회사 소유의 개인용 컴퓨터(데스크톱, 노트북, 일체형, 태블릿, 그 밖의 형태의 정보처리기기를 포함하여 이하 이 조에서 같다)의 취급자 및 보안 관리책임자를 지정하여야 한다.

② 회사 소유의 개인용 컴퓨터로 전산망을 사용하고자 하는 직원은 전산부서에 등록요청을 하여야 하며 전산부서의 등록에 의하여 사용한다. 또한 이미 사용 중인 개인용 컴퓨터를 교체하는 경우에도 이와 같다.

③ 개인 소유의 개인용 컴퓨터를 주요정보가 처리, 보관되는 연구원 내부에 반입하여 사용할 수 없다. 다만, 부득이한 경우에는 소속 부서의 장의 승인을 받아 반입할 수 있다.

④ 회사 소유의 개인용 컴퓨터를 수리 또는 교체하는 경우 정보자료를 모두 삭제하거나 하드디스크를 분리 제거 후 수리의뢰 하여야 한다.

⑤ 개인용 컴퓨터 사용자는 암호 설정 및 백신프로그램을 설치하여 보안에 만전을 기한다

⑥ 소속부서장은 이동 가능한 개인용 컴퓨터(노트북, 태블릿, 일체형 등)의 반출입에 대해 별지 제2호 서식을 이용하여 관리(등록, 이관, 반출, 반입)한다.

⑦ 연구원은 전체 개인용 컴퓨터의 전산보안을 강화하기 위하여 패치관리시스템 및 보안관리 클라이언트 프로그램을 이용할 수 있고, 업무용 모든 개인용 컴퓨터는 보안관리 클라이언트 프로그램을 의무적으로 설치해야 하며 미설치 개인용 컴퓨터는 외부망 접속을 차단할 수 있다.

 

제8조(이메일 및 통신망 이용)

① 시스템관리자(전산부서)는 기술정보 보안을 위하여 내부통신망을 이용하여 대내외로 수발신하는 이메일 등을 통해 전송되는 자료에 대해서는 일정기간(3년 이내) 내역을 보존하여야 한다.

② 시스템관리자(전산부서)는 직원 및 근무자의 업무용 이메일 사용을 위한 개인별 이메일계정(ID)을 부여하여야 하며 직원이 퇴직할 경우 즉시 이를 폐쇄하여야 한다. 다만, 업무협력 등 특별한 사유가 있을 경우 소속 부서장의 요청이 있을 때는 3개월 범위에서 폐쇄를 유보할 수 있다.

③ 시스템관리자(전산부서)는 스팸메일, 바이러스메일 등을 차단하기 위하여 스팸 메일차단시스템을 운영한다.

④ 시스템관리자(전산부서)는 저장된 자료를 정보유출의 확인 작업 등 회사의 정보보안 목적 이외에 어떠한 명목으로도 공개하여서는 안 된다.

⑤ 인터넷의 사용은 연구원 업무와 관련된 것들에 한정되어야 하며, 시스템관리자(전산부서)는 업무와 관련이 없는 사이트 접속 및 프로그램에 대해서는 사용을 제한할 수 있다.

⑥ 내부통신망에 접속하여 개인용 컴퓨터 등의 자료를 복사(다운로드) 하고자 하는 경우 보안관리책임자 또는 소속부서장의 승인을 받아야 한다.

⑦ 내부 직원은 회사에서 제공하는 통신망 사용을 원칙으로 하고 별도의 통신망 사용이 필요한 경우 별지 제3호 서식을 이용하여 전산담당부서에 신청한 후 사용한다.

 

제9조(홈페이지 등 공개용 웹 서버 관리)

① 시스템관리자는 홈페이지 등 공개용 웹 서버는 방화벽 등 침입차단시스템을 설치하여 내부망의 전산자원을 보호하여야 한다.

② 시스템관리자는 서버에 접근할 수 있는 사용자계정을 제한하며 불필요한 계정들은 삭제한다.

③ 시스템관리자는 홈페이지 구축·운영 시 자체 보안성 검토를 거쳐 내용을 구성하며 이후 개인정보와 같은 중요 자료가 공개되지 않도록 한다.

④ 시스템관리자는 보안사고에 대비하여 서버에 저장된 자료의 철저한 백업체계를 구축한다.

 

제10조(무선 랜 관리)

① 무선 랜 사용은 제한함을 원칙으로 한다.

② 무선통신장치 설치 시 전산담당부서의 승인을 받은 후 설치하며 비인가자의 무선 랜 접속을 방지하기 위해 시스템인증 및 암호화 등의 보안설정을 한다.

 

제11조(정보보안의 책임)

① 개인이 보유하고 있는 자료 등의 정보의 보안에 관한 책임은 사용자 및 소속부서장에게 있다.

② 서버 및 공용 정보통신기기에 대한 보안의 책임은 시스템관리자에게 있다.

③ 소속부서장은 정보보안 업무수행을 위하여 이 규정의 범위 내에서 부서 실정에 적합한 별도의 대책을 마련하여 시행할 수 있다.

 

부칙

 

이 규정은 대표이사가 승인한 날로부터 시행한다.

 

[규정]시스템보안 규정.hwp

0.02MB

[규정]시스템보안 규정.pdf

0.17MB