본 정책은 「행정원 및 각 산하기관의 정보 보안 관리 취지」, 「행정원 및 각 산하기관의 정보 보안 관리 규범」, 「내무부 건설기획처의 정보 보안 정책」에 근거하며, 화롄 현정부(이하 본처)의 업무 수요를 고려하여 제정합니다. 본처에서는 정보 보안 관리, 정보의 기밀성 확보, 완전성 및 가용성, 정보 기기(컴퓨터 하드웨어, 소프트웨어, 주변기기 포함)와 네트워크 시스템의 신뢰성 및 관계자의 정보 보안에 대한 인식을 강화하고, 이러한 리소스가 어떠한 요소로부터 간섭, 파괴, 침입이나 불리한 행위 및 시도에 의해 침해당하는 일이 없도록 본 정책을 특별히 제정합니다. 본처에서는 정보 보안 관리 등에 관한 사항의 조정, 기획, 감사 및 추진을 총괄하기 위해 전 부서를 아우르는 정보팀(이하 본팀)을 조직하며, 본팀의 보좌 업무는 본처의 기획관리과에서 담당하고 팀원은 본처의 각 부서에서 차출한 후 처장의 승인을 받아 태스크포스 조직을 완성합니다.
아래의 분업 원칙에 근거하여 관련 부서 및 인원에 권력과 책임을 분배합니다.
- 정보 보안 정책, 기획 및 기술 규범의 연구·토론, 설치 및 평가 등의 사항은 본처 기획관리과에서 담당합니다.
- 데이터 및 정보 시스템의 보안 필요한 연구·토론, 관리 및 보호 등의 사항은 본처의 각 업무 담당 부서에서 처리합니다.
- 정보 기밀 유지 및 보안 점검 등에 관한 사항은 본처 인사실 겸 윤리감사 담당 부서에서 처리합니다.
본 정책의 범위는 다음과 같으며, 관련 기관 및 인원은 다음 사항에 대하여 관련 관리 범 또는 시행 계획을 수립하고 정기적으로 시행 실적을 평가하여야 합니다.
- 인력 관리 및 정보 보안 교육 훈련
- 컴퓨터 시스템 보안 관리
- 네트워크 보안 관리
- 시스템 액세스 제어
- 시스템 개발 및 보안 유지 관리
- 정보 자산 보안 관리
- 실체 및 환경 안전 관리
- 사업의 영속적 운영 계획의 기획 및 관리
인력 관리 및 정보 보안 교육 훈련
- 정보 관련 직무 및 업무에 대해서는 보안 평가를 실시하고 인력 채용, 업무 및 임무 지정 시 인력의 적임성을 신중하게 평가해 필요한 심사를 하여야 합니다. 각 업무 책임자는 불법 및 부당 행위를 방지하기 위해 소속 직원의 정보 작업 시 보안을 감독해야 합니다.
- 관리, 업무 및 정보 등 업무별 필요에 따라 정기적으로 정보 보안 교육 및 지도를 실시해 담당 인력의 정보 보안 인식을 구축하고 정보 보안 수준을 향상해야 합니다.
컴퓨터 시스템 보안 관리
- 정보 처리 업무를 아웃소싱할 경우 반드시 사전에 정보 보안 수요에 대한 연구·토론을 거쳐야 하며, 공급업체의 정보 보안 책임 및 비밀 유지 규정을 명시하고 계약에 포함해 공급업체가 이를 준수하고 정기적으로 심사하도록 요구해야 합니다.
- 관련 법규나 계약에 따라 소프트웨어의 복제 및 사용을 규정하고 소프트웨어 사용 관리 제도를 수립해야 합니다.
- 시스템이 정상적으로 작동할 수 있도록 필요한 사전 예방 및 보호 조치를 실행하고 컴퓨터 바이러스 및 기타 악의적인 소프트웨어를 탐지 및 방지해야 합니다.
- 각종 시스템 변경 작업 시 추후 조사와 고찰에 대비해 반드시 통제 제도를 수립하고 기록해야 합니다.
- 정보 처리 하드웨어 및 소프트웨어 기기 구매 시, 국가 표준 또는 주관 기관이 정한 정부 정보 보안 규범에 따라 정보 보안 수요에 대해 연구·토론하고 이를 구매 규격에 포함해야 합니다.
네트워크 보안 관리
- 외부 링크 개방 작업 시 정보 시스템에 대해서는 정보 및 시스템의 중요성과 가치에 따라 데이터 암호화, 신분 감별, 전자서명, 방화벽 및 보안 취약점 탐지 등 각 보안 등급의 기술이나 조치를 채택하여 데이터 및 시스템에 대한 침입, 파괴, 변조, 삭제 및 미승인 액세스를 방지해야 합니다.
- 외부 네트워크와 연결된 서비스망은 방화벽 및 그 외 필요한 보안 설비로 외부 및 내부 네트워크의 데이터 전송과 리소스 액세스를 통제해야 합니다.
- 인터넷 및 글로벌 인터넷망을 이용해 정보를 게시하거나 유통하려면, 데이터 보안 등급 평가를 실시하여야 하며, 기밀성, 민감성 데이터와 당사자의 동의를 얻지 않은 개인 정보 및 문건은 인터넷에 게시할 수 없습니다.
- 이메일 사용 규정을 정해야 하며, 기밀성 데이터 및 문건은 이메일이나 그 외 전자 방식으로 전송할 수 없습니다.
- 네트워크 이용자의 부주의로 본처의 관련 네트워크 보안 규정을 위반하는 것을 방지하기 위해 네트워크 관리자는 정상적인 네트워크 사용에 지장을 주지 않는다는 원칙하에 관련 네트워크 기술을 이용해 본처 관련 네트워크 규정을 위반한 이용자를 적극적으로 단속합니다.
시스템 액세스 제어
- 시스템 액세스 정책 및 수권 규정을 정하고 서면, 전자 또는 그외 방식으로 임직원 및 이용자에게 관련 권한 및 책임을 고지해야 합니다.
- 관련 인력이 이직/휴직할 경우 즉시 각종 정보 및 리소스에 관한 모든 권한을 취소하고, 이를 이직/휴직의 필수 절차에 포함해야 합니다. 관련 인력의 직무 조정 및 이동 시, 시스템 액세스 수권 규정에 따라 해당 권한을 기한 내에 조정해야 합니다.
- 시스템 사용자 등록 관리 제도를 구축해 사용자 비밀번호 관리를 강화하고, 사용자 비밀번호의 갱신 주기는 최장 6개월을 넘지 않는 것을 원칙으로 합니다.
- 시스템 서비스 업체가 원격 접속 방식으로 시스템을 점검할 경우 보안 통제를 강화하고 인력 명부를 작성해 그에 관한 보안 책임을 부여해야 합니다.
- 정보 보안 감사 제도를 수립해 정기 또는 비정기적으로 정보 보안 감사 작업을 실시해야 합니다.
시스템 개발 및 보안 유지 관리
- 자체 개발 또는 아웃소싱 개발 시스템 시 반드시 시스템 라이프 사이클의 초기 단계에서 정보 보안 수요를 고려 대상에 포함해야 하며 시스템 유지, 업데이트, 온라인 실행 및 버전 이동 작업 시 부적절한 소프트웨어, 백도어 및 컴퓨터 바이러스 등이 시스템 보안을 해치지 않도록 보안을 통제해야 합니다.
- 공급업체의 소프트웨어 및 하드웨어 시스템 구축 및 유지 보수 인력은 반드시 접근 가능한 시스템과 데이터 범위를 규범화하고 제한해야 하며, 장기적인 시스템 인증 코드 및 비밀번호 발급을 엄금해야 합니다. 실제 작업상 필요에 따라 단기적 또는 임시적인 시스템 인증 코드 및 비밀번호를 공급업체가 사용할 수 있도록 발급해야 하나, 사용 완료 후 즉시 해당 사용 권한을 취소해야 합니다.
- 위탁 공급업체의 시스템 구축 및 유지 보수에 중요한 소프트웨어 및 하드웨어 설비는 본처 관련 인력의 감독 및 배석 하에 시작하여야 합니다.
정보 자산 보안 관리
- 정보 시스템과 관련된 정보 자산 목록을 구축하고 정보 자산의 항목, 보유자 및 보안 등급 분류 등을 정해야 합니다.
- 국가 기밀 보호, 컴퓨터 개인정보처리 및 정부 정보 공개 등에 관한 법규에 따라 정보 보안 등급의 분류 기준 및 그에 상응하는 보호 조치를 수립해야 합니다.
- 보안 등급 분류에 이미 포함된 정보 및 시스템의 전송 데이터에 대해서는 이용자가 이에 따를 수 있도록 적절한 보안 등급을 표시해야 합니다.
사업의 영속적 운영 계획의 기획 및 관리
- 사업의 영속적 운영 계획을 수립하고 각종 인위적 요소 및 천재지변이 사업에 미치는 영향을 평가해야 하며, 긴급 대응과 복구 작업 절차, 관련 인력의 권한과 책임을 정하고 이에 대해 정기적으로 훈련하고 계획을 조정 및 갱신해야 합니다.
- 정보 보안 사건의 긴급 처리 체제를 구축하여 정보 보안 사건 발생 시 정해진 처리 절차에 따라 즉시 정보기관 또는 담당자에게 통보해 대응 조치를 취하고 검·경 수사기관에 연락해 수사에 협조해야 합니다.
- 관련 법규에 따라 데이터 보안 등급을 제정하고 보안 등급별로 적절하고 충분한 정보 보안 조치를 취해야 합니다. 본 정책은 정보 보안 실무 작업의 유효성을 확보하기 위해 정부 법령, 기술 및 사업 등의 최신 발전 현황을 반영하여 최소 연 1회 이상 평가하여야 합니다. 본 정보 보안 정책은 처장 승인 후 시행되며 수정 시에도 동일한 절차를 따릅니다.