정보보호 관리규정
제정 : 2018. 11. 1
개정 : 2024. 3. 27
제1조(목적) |
|
이 규정은 단국대학교(이하"우리 대학교"라 한다.)의 정보자산을 안전하게 보호하기 위한 정보보호 활동의 지속적인 운영 및 관리를 위해 필요한 사항을 규정함을 목적으로 한다.
제2조(적용범위) |
|
이 규정은 우리 대학교의 정보자산과 이를 이용하는 교직원 및 외부자 등에 적용한다.
제3조(용어정의) |
|
이 규정에서 사용하는 용어의 정의는 다음과 같다.
① | "정보보호 관리체계"라 함은 우리 대학교의 정보자산에 대한 안정성⦁신뢰성 확보를 위하여 관리적⦁기술적⦁물리적⦁법적 보호조치를 포함한 종합적 관리체계로서 영문약자로 ISMS (Information Security Management System)로 표기한다. |
② | "정보자산"이라 함은 우리 대학교가 소유하고 있는 가치를 지닌 것으로서 데이터, 문서, 정보시스템 등을 포함한다. |
③ | "정보시스템"이라 함은 정보를 처리하는 하드웨어 및 소프트웨어로서 서버, 네트워크장비, 정보보호시스템, 데이터베이스, 응용프로그램 등을 포함한다. |
제4조(정보보호 표준문서 구성) |
|
정보보호 표준문서는 정보보호정책, 관련 지침 및 이에 포함된 서식 등으로 구성한다.
제5조(정보보호정책 준용) |
|
① | 정보보호정책이라 함은 이 정보보호 관리규정을 의미한다. |
② | 정보보호정책은 다음의 법령 등을 준용한다. |
③ | 정보보호정책의 내용이 제2항의 법령에 위배되거나 누락된 경우에는 해당 법령을 우선적으로 적용한다. |
④ | 정보보호정책은 제2항의 법령을 준수하도록 개정하여 시행하여야 한다. |
제6조(정보보호정책 유지관리) |
|
① | 정보보호조직은 정보보호정책 및 지침의 적정성⦁타당성을 정기적으로 검토하여야 하며, 정보보호 관련 법령의 제⦁개정, 우리 대학교 환경의 변화 등 필요 시 추가 검토한다. |
② | 정보보호정책 및 지침의 제⦁개정 및 폐기는 관련 부서와 협의하여 시행한다. |
제7조(정보보호정책 승인) |
|
① | 정보보호 정책 및 지침을 제ㆍ개정할 경우에는 '제규정 관리규정'에 따라 제정권자의 승인을 받아야 한다. <개정 2022.8.19.> |
제8조(정보보호정책 공표) |
|
승인을 받은 정보보호정책 및 지침은 포털, 그룹웨어 등 적절한 방법을 통해 우리 대학교의 모든 구성원이 인지할 수 있도록 공표되어야 한다.
|
제9조(정보보호 최고책임자 지정) |
|
① | 정보보호 최고책임자는 디지털정보원장으로 정한다. <개정 2019.12.2., 2024.3.27.> |
② | 정보보호 최고책임자는 정보보호정책 수립, 정보보호조직 구성, 위험관리, 정보화위원회 운영 등 우리 대학교의 정보보호에 관한 업무를 총괄하여 관리한다. |
제10조 (정보보호 실무조직 구성) |
|
① | 우리 대학교의 정보보호 활동을 체계적으로 수행하고 정보보호 최고책임자의 역할을 원활히 지원하기 위하여 정보보호 실무조직을 구성한다. |
② | 정보보호 실무조직은 분야별 정보보호 전문성을 고려하여 구성한다. |
③ | 위와 관련한 세부적인 사항은 「정보보호 관리체계 운영 지침」에서 별도로 정한다. <개정 2022.8.19.> |
제11조(정보화위원회 운영) |
|
① | 우리 대학교의 정보보호와 관련된 중요사항을 심의 및 의결하기 위해 정보화위원회를 운영한다. |
② | 정보화위원회의 구성 및 운영에 관한 사항은 「정보화위원회 규정」을 따른다. |
제12조(인적보안 일반) |
|
① | 우리 대학교의 업무를 수행하는 모든 교직원 및 외부자는 우리 대학교의 정보자산이 분실⦁도난⦁유출⦁위조⦁변조 또는 훼손되지 아니하도록 노력하여야 한다. |
② | 위와 관련한 세부적인 사항은 「인적보안 지침」에서 별도로 정한다. |
제13조(교직원 보안) |
|
① | 우리 대학교의 교직원은 정보보호정책을 성실히 준수하도록 노력하여야 한다. |
② | 채용 및 퇴직 시 해당 교직원은 보안서약서의 내용을 숙지하고 서명한 후 우리 대학교에 제출하여야 한다. |
제14조(외부자 보안) |
|
① | 우리 대학교의 업무를 외부자에게 위탁하거나 우리 대학교의 정보자산에 대대 외부자의 접근을 허용하는 경우에는 보안서약서, 계약서 등 공식적인 문서에 보안요구사항을 명시하여야 한다. |
② | 보안요구사항에 대한 외부자의 이행 여부를 지속적으로 파악하고 점검하여야 한다. |
제15조(정보보호교육) |
|
① | 정보보호교육 계획을 수립하고 정기적으로 정보보호교육을 시행한다. |
③ | 정보보호교육 시행과 관련한 기록을 남기고 평가하며, 평가결과는 교육계획에 반영한다. |
제16조(상벌에 관한 사항) |
|
① | 정보보호 관련 법령 등 위반에 따른 조치는 「상벌규정」을 따른다. 이와 관련한 세부적인 사항은 「인적보안 지침」에서 별도로 정한다. <개정 2022.8.19.> |
② | 우리 대학교는 교직원이 정보보호 활동을 성실히 이행한 경우 공정하게 평가하고 적절하게 보상하는 방안을 마련한다. |
제17조(사용자보안 일반) |
|
① | 대학에서 PC를 이용하는 모든 사용자는 침해사고 예방 및 안전한 이용 등을 위하여 백신설치, 비밀번호 설정 등 PC 보안강화 설정을 적용하고 보안사고 예방을 위하여 노력하여야 한다. <개정 2022.8.19.> |
② | PC 사용과 관련한 일체의 보안관리 책임은 해당 PC의 사용자가 부담한다. |
제18조(PC 사용 보안) |
|
① | 정보보호를 위해 우리 대학교가 설치를 요구하는 보안프로그램은 반드시 설치하여야 한다. |
② | 불법적인 소프트웨어 또는 사용권을 득하지 아니한 소프트웨어는 설치하지 아니한다. |
③ | 고유식별정보가 포함된 파일은 반드시 암호화하여 저장하여야 한다. |
제19조(인터넷 사용 보안) |
|
① | 업무와 무관하거나 유해한 웹사이트는 접속하지 아니한다. |
② | 출처가 불분명하거나 의심되는 전자우편은 열람을 금지하고 수신 즉시 삭제하여야 한다. |
제20조(사무실 보안) |
|
① | PC를 사용하지 않는 경우에는 중요한 자료가 유출되지 아니하도록 PC 화면보호기 설정, 로그오프 등 안전한 조치를 취하여야 한다. |
② | 중요한 자료는 공용으로 사용하는 사무기기, 파일서버 등에 방치되지 아니하도록 서랍 등 잠금 장치가 있는 안전한 장소에 보관한다. <개정 2022.8.19.> |
제21조(정보자산 분류 및 위험관리) |
|
① | 우리 대학교의 정보자산을 식별하고 책임소재를 명확히 하여야 한다. |
② | 우리 대학교의 정보자산에 대해 기밀성⦁무결성⦁가용성을 고려하여 중요도를 평가하고 그 중요도에 따라 보안등급을 부여하여야 한다. |
③ | 정보자산을 포함한 우리 대학교의 정보보호 전 영역에 대한 위협과 취약점을 분석하여 위험을 식별하고 평가하여야 하며, 위험을 수용 가능한 수준으로 감소시키기 위해 적정한 정보보호대책을 선정하고 이행하여야 한다. |
④ | 위와 관련한 세부적인 사항은 「위험관리지침」에서 별도로 정한다. <개정 2022.8.19.> |
제22조(보호구역) |
|
① | 비인가자의 접근 및 각종 재해 등으로부터 우리 대학교의 중요한 정보시스템을 물리적으로 보호하기 위해 출입통제가 요구되는 장소를 보호구역으로 지정하고 보호대책을 수립하여 이행하여야 한다. |
② | 통제구역은 이중전원⦁항온항습⦁출입감시 등 보호설비를 갖추고 운영하여야 한다. <개정 2022.8.19.> |
③ | 위와 관련한 세부사항은 「물리보안 지침」에서 별도로 정한다. <개정 2022.8.19.> |
제23조(출입 및 반⦁출입 통제) |
|
① | 통제구역에서는 비인가자에 대한 출입과 비인가장비에 대한 반⦁출입을 통제하여야 한다. <개정 2022.8.19.> |
② | 외부자가 통제구역 내에서 작업하는 경우에는 출입 및 작업내역을 기록하고 모바일기기 또는 휴대용 저장매체 등의 반입을 통제하여야 한다. <개정 2022.8.19.> |
제24조(정보시스템 운영보안 일반) |
|
① | 정보시스템의 정상적인 운영을 위한 절차를 수립하고 관련 정보자산의 변경내역을 관리함으로써 정보시스템을 안전하게 운영하여야 한다. |
② | 정보시스템은 보안 설정, 취약점 제거 등 안전한 조치를 취한 후 운영하여야 한다. |
③ | 위와 관련한 세부사항은 「정보시스템 운영보안 지침」에서 별도로 정한다. |
제25조(보안성 검토) |
|
① | 정보시스템의 도입⦁변경 등 정보시스템 환경에 중대한 변화가 있는 경우 보안성 검토를 통하여 정보자산에 대한 위험 및 영향을 분석하고 보호대책을 강구하여야 한다. |
② | 정보시스템을 도입하는 경우에는 신뢰할 수 있는 검증을 받은 제품을 선정하여야 한다. |
제26조(계정 및 접근권한) |
|
① | 정보시스템의 사용자 계정은 식별되어야 하며, 1인 1계정 사용을 원칙으로 한다. |
② | 정보시스템의 사용자 계정은 업무 수행에 필요한 최소한의 접근권한만 부여되어야 한다. |
③ | 정보시스템의 사용자 계정 및 접근권한의 적정성 여부를 정기적으로 점검하여야 한다. |
제27조(비밀번호) |
|
① | 비밀번호는 유출되지 아니하도록 안전하게 관리하고 주기적으로 변경하여야 한다. |
② | 비밀번호는 일방향 암호화하여 저장하여야 한다. |
제28조(성능 및 용량) |
|
정보시스템에 대한 자원의 오용을 방지하고 가용성을 보장하기 위해 정보시스템의 성능 및 용량을 지속적으로 점검하여야 한다.
제29조(로그기록 및 시각동기화) |
|
① | 정보시스템에 대한 로그 대상 및 주기는 법적 요건이 있는 경우 그 기준을 따라야 한다. |
② | 침해사고 발생 시 책임추적성 확보를 위해 정보시스템의 로그를 기록⦁보관하여야 한다. |
③ | 정보시스템의 표준시각을 정확하게 동기화하여 정보시스템의 로그기록에 대해 정확성을 보장하고 침해사고 발생에 따른 법적 효력을 갖출 수 있도록 하여야 한다. |
제30조(백업 관리) |
|
① | 정보시스템 가용성 및 데이터 무결성 유지를 위해 백업 및 복구계획을 수립하여야 한다. |
② | 백업 대상 및 주기는 정보시스템의 중요도 및 관련부서의 요구사항을 반영하여 결정한다. |
③ | 백업 미디어는 비인가자가 접근할 수 없는 장소에 보관하며, 복사본은 일정 거리가 떨어진 장소에 소산 보관하여야 한다. |
제31조(취약점 점검) |
|
① | 중요 정보시스템에 대한 취약점 점검을 정기적으로 실시하여야 한다. |
② | 취약점 점검 시 발견된 취약점에 대해 적정한 보호대책을 강구하여야 한다. |
제32조(정보전송) |
|
① | 외부기관에 개인정보 등 중요정보를 전자적으로 전송할 경우에는 암호화, 비밀번호 설정 등 안전한 방법으로 전송하여야 한다. <개정 2022.8.19.> |
[제목개정 2022.8.19.]
제33조(보안요구사항 정의 및 구현) |
|
① | 응용프로그램을 설계하는 경우 사용자 인증, 접근권한, 접속기록 등 보안요구사항을 정의하고, 중요한 데이터는 무결성과 비밀성 보장을 위해 암호화 여부를 정하여야 한다. |
② | 응용프로그램을 신규 개발하거나 기존 응용프로그램에 중대한 변경을 하는 경우 해당 응용프로그램에 대한 보안요구사항을 파악하고 적정하게 구현하여야 한다. |
③ | 위와 관련한 세부적인 사항은 「응용프로그램 개발보안 지침」에서 별도로 정한다. |
제34조(개발 및 테스트) |
|
① | 응용프로그램의 개발 및 테스트 시스템과 운영 시스템은 분리하여야 한다. |
② | 개인정보 등 중요한 정보는 테스트 데이터로 사용할 수 없음을 원칙으로 한다. 단, 실제 데이터를 변조해서 사용하는 경우는 예외로 한다. |
제35조(변경관리) |
|
① | 소스코드에 대한 변경관리는 통제절차에 따라 인가자에 의해서만 수행되어야 한다. |
② | 소스코드는 운영 시스템에 보관하지 아니한다. |
제36조(암호통제) |
|
① | 고유식별정보, 바이오정보, 비밀번호는 반드시 암호화하여 저장하여야 한다. |
② | 암호키 관리는 인가자에 의해서만 수행되어야 하며 비인가자의 접근을 통제하여야 한다. |
제37조(침해사고 대응체계 구축) |
|
① | 침해사고에 대한 신속하고 효율적인 대응을 위해 조직⦁절차⦁방법 등을 포함한 침해사고 대응체계를 구축하여야 한다. |
② | 위와 관련한 세부적인 사항은 「침해사고대응 지침」에서 별도로 정한다. |
제38조(침해사고 대응절차) |
|
① | 침해사고의 징후 또는 발생 등을 감시하고 인지 즉시 정보보호 실무조직에 신속히 보고하여야 한다. |
② | 정보보호 실무조직은 침해사고의 원인을 분석하고 결과를 보고하거나 공유하여야 한다. |
③ | 침해사고의 법적 대응에 대비하여 증적을 확보하고 관리하여야 한다. |
④ | 침해사고의 처리를 위해 공동 작업이 필요한 경우에는 관련 부서 또는 기관에 지원을 요청하거나 협력하여야 한다. |
제39조(재발방지대책) |
|
침해사고 대응을 통해 얻은 정보는 정보보호교육 자료로 활용하거나 향후 정보보호대책에 반영하여 유사 사고가 재발되지 아니하도록 노력하여야 한다.
제40조(재해복구체계 구축) |
|
① | 재해로 인해 우리 대학교의 정보시스템 운영에 중대한 위기가 발생할 경우를 대비하여 비상 시 비상연락망⦁복구절차⦁복구방법 등을 포함하는 재해복구체계를 구축하여야 한다. |
② | 위와 관련한 세부적인 사항은 「재해복구지침」에서 별도로 정한다. <개정 2022.8.19.> |
제41조(재해복구계획 수립) |
|
재해 유형별 예상 피해규모 및 영향을 분석하고 핵심 업무의 연속성이 확보될 수 있도록 정보시스템에 대한 복구전략 및 대책을 포함하는 재해복구계획을 수립하여야 한다.
제42조(재해복구계획 시험 및 유지관리) |
|
재해복구계획의 적정성을 검토하기 위해 시험계획을 수립하여 시행하고, 시험결과에 따른 문제점 및 개선방안 등을 반영하여 재해복구계획을 지속적으로 보완하여야 한다.
제43조(점검계획 수립 및 시행) |
|
① | 우리 대학교의 정보보호 관리체계가 법적 요구사항 및 정보보호정책에 따라 적정하게 운영되고 있는지를 점검하기 위하여 정기적으로 점검계획을 수립하여 시행하여야 한다. <개정 2022.8.19.> |
② | 점검에서 발견된 문제점에 대해서는 보완조치 여부를 확인한 후 정보보호 최고책임자에게 보고한다. <개정 2022.8.19.> |
③ | 위와 관련한 세부사항은 「정보보호 관리체계 운영 지침」에서 별도로 정한다. <개정 2022.8.19.> |
[제목개정 2022.8.19.]
제44조(감사조직) |
|
① | 점검을 수행하는 조직은 독립성과 공정한 태도를 유지하여야 한다. <개정 2022.8.19.> |
② | 점검의 객관성과 전문성을 확보하기 위해 외부 전문기관에 의뢰하여 감사를 수행하는 것을 원칙으로 한다. 단, 독립성에 위배되지 않는 범위에서 정보보호 실무조직의 구성원을 포함하여 점검을 수행할 수 있다. <개정 2022.8.19.> |
[제목개정 2022.8.19.]
부칙(2018.11.1.)
부칙(2019.12.2.)
이 개정 규정은 2019.12.2.부터 시행한다.
부칙(2022.8.19.)
부칙(2024.3.27.)
제1조(시행일)
이 규정은 2024.3.27.부터 시행한다.
제2조(경과조치)
이 규정의 시행일 이전에 시행한 사항에 대하여는 해당 직제의 조정 승인일로부터 이 규정에 의하여 이루어진 것으로 본다.