현 행

개 정(안)

개정사유

제2조(정의) 1.~6. <생 략> 7. "보조기억매체”라 함은 디스켓･CD/DVD･하드디스크･USB 메모리, 메모리카드 등 자료를 저장할 수 있는 것으로 정보시스템과 분리할 수 있는 기억장치를 말한다. 8.~24. <생 략> <신 설> <신 설> <신 설> <신 설> <신 설>

제2조(정의) 1.~6. <좌 동> 7. “휴대용 저장매체”라 함은 디스켓ㆍCDㆍ외장형 하드디스크ㆍ USB메모리 등 정보를 저장할 수 있는 것으로 PCㆍ서버 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다. 8.~24. <좌 동> 25. “디지털복합기”라 함은 저장매체를 내장하고 네트워크 기능이 포함된 복합기ㆍ복사기ㆍ프린터 등의 복합된 사무용기기를 말한다. 26. “비밀”이라 함은 업무자료 중에서 그 내용이 누설될 경우 국가안전보장에 해를 끼칠 우려가 있는 국가 기밀로서 보안 관계법령 등에서 비밀로 분류된 것을 말한다. 27. “대외비”라 함은 업무자료 중에서 비밀 외에 직무수행상 특별히 보호를 요하는 사항을 말한다. 28. “비공개 업무자료”라 함은 비밀 및 대외비를 제외한 업무자료 중에서 다음 각 목의 어느 하나에 해당하는 자료 또는 정보를 말한다.

가. 「공공기관의 정보공개에 관한 법률」에 따른 비공개 대상 정보 나. 국회 소속 공무원(「국회의원수당 등에 관한 법률」에 따른 보좌직원을 포함한다) 또는「지방자치법」조에 따른 지방의회 소속 공무원의 직무상 요구에 따라 작성 또는 취득한 자료 다. 가목에 따른 비공개 대상 정보의 주요 내용이 기술된 문장 또는 문구

29. “사이버공격”이라 함은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해 등 전자적 수단을 사용하여 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 위조ㆍ변조ㆍ훼손ㆍ절취하는 행위를 말한다.

과기부 지침 제3조 7호 반영 “용어 통일” 과기부 지침 제3조 참조 용어 신설

현 행

개 정(안)

개정사유

제4조(정보보안책임관) ①연구원은 정보보안 추진 및 활동의 총괄 책임자로서 정보보안책임관을 두며, 정보보안부서의 최상위 부서장으로 한다.

② 정보보안책임관은 정보보안 관련 의사결정 과정에 있어서 원장을 보좌하며, 세부적인 임무는 다음 각 호와 같다.

1. 연구원의 관리적, 물리적, 기술적 정보보안 정책 수립

2. 정보보안 규정, 지침 등 제도개선

3. 정보보안 사고 대응 및 정보보안 위반자 조치

4. 기타 정보보안 관련 업무 수행 상 필요한 주요 정책 결정

5. 정보보안 예산 및 전문인력 확보

<신 설> <신 설> <신 설> 6. 그 밖에 정보보안과 관련한 사항

<신 설>

제4조(정보보안담당관) ①연구원은 정보보안 추진 및 활동의 총괄 책임자로서 정보보안담당관을 두며, 정보보안부서의 최상위 부서장으로 한다.

② 정보보안담당관은 정보보안 관련 의사결정 과정에 있어서 원장을 보좌하며, 세부적인 임무는 다음 각 호와 같다. 1. 연구원의 관리적, 물리적, 기술적 정보보안 정책 수립 2. 정보보안 규정, 지침 등 제도개선 3. 정보보안 사고 대응 및 정보보안 위반자 조치 4. 기타 정보보안 관련 업무 수행 상 필요한 주요 정책 결정 5. 정보보안 전담조직 관리, 예산 및 전문인력 확보 6. 사이버공격 대응훈련 및 정보보안 관리실태 평가 총괄 7. 보안관제, 정보보안 사고대응 및 정보협력 업무 총괄 8. 정보보안교육 총괄 및 ‘사이버보안진단의 날’ 계획 수립ㆍ시행 9. 그 밖에 정보보안과 관련한 사항

③ 연구원은 정보보안담당관이 직무를 원활히 수행할 수 있도록 조직, 인력 및 예산을 운영하여야 한다.

과기부 지침 제5조 반영 용어 통일 ‘정보보안담당관’ 정보보안담당관의세부 미션 추가 과기부 지침 제5조 ③항 2호, 6호~8호 반영 정보보안담당관의원활한 직무 수행을 위한 내용 추가과기부 지침 제5조 ④항 반영

<신 설>

제4조의2(정보보안 전담인력) ① 연구원은 효율적이고 체계적인 정보보안 업무를 수행하기 위해 연구원 규모에 적합한 정보보안 전담인력을 확보하고 정보보안 전담조직을 구성·운영하여야 한다. ② 정보보안 전담인력은 정보보안담당관이 직무를 원활히 수행할 수 있는 실무자(정보보안담당관은 제외한다)를 말한다.

정보보안담당관의원활한 직무 수행을 위한 정보보안 전담인력 내용 추가 과기부 지침 제6조 ①항, ③항 반영

제12조(직원 및 상시출입자의 책임) ① <생 략>

② 직원 및 상시출입자는 규정된 절차, 목적, 권한을 벗어나는 연구원내 정보의 처리와 유통을 하지 않아야 하는 의무를 지며, 이를 위반할 경우 징계절차에 따라 징계위원회에 회부할 수 있다.

③~④ <생 략>

제12조(직원 및 상시출입자의 책임) ① <좌 동>

② 직원 및 상시출입자는 규정된 절차, 목적, 권한을 벗어나는 연구원내 정보의 처리와 유통을 하지 않아야 하는 의무를 지며, 이를 위반할 경우 정보보안 위반 처리기준(별표 제4호)에 따라 보안심사위원회의 심의를 거쳐 징계위원회에 회부할 수 있다. ③~④ <좌 동>

현 행

개 정(안)

개정사유

제35조(정보보안대책 수립) ① <생 략> ② 다음 각 호에 해당하는 경우 정보보안부서장의 보안성 검토를 받아야 한다. 1.~2. <생 략>

3. 정보보안 관련 규정을 제정 또는 개정하고자 할 경우 4.~7. <생 략>

③ <생 략> <신 설> <신 설>

제35조(정보보안대책 수립) ① <좌 동> ② 다음 각 호에 해당하는 경우 정보보안부서장의 보안성 검토를 받아야 한다. 1.~2. <좌 동>

3. <삭 제> 4.~7. <좌 동> ③ <좌 동> ④ 정보화사업을 추진하는 부서의 장은 정보화사업에 대한 보안관리 책임을 지고 관리·감독하여야 한다. ⑤ 정보보안담당관은 각종 정보화사업과 관련한 보안대책의 적절성을 평가하고 정보화사업 수행 전반에 대하여 보안대책의 이행여부를 점검하여 필요한 경우 정보화사업을 추진하는 부서의 장에게 시정을 요구할 수 있다.

과기부 지침 제13조 및 제16조 반영 해당 조항 삭제 완료 정보화사업 추진 시 보안대책 수립을 위한 보안성 검토 항목 추가 과기부 지침 제12조 ②~③항 반영

제36조(정보보안 교육) 정보보안부서장은 정보보안에 대한 교육계획을 수립하고 교육을 실시하여야 한다. <신 설> <신 설> <신 설>

제36조(정보보안 교육) ① 정보보안부서장은 정보보안에 대한 교육계획을 수립하여 연 2회 이상 전 직원을 대상으로 교육(온라인 교육을 포함한다)을 실시하여야 한다. ② 제1항에 따라 전 직원은 특별한 사유가 없는 한 정보보안교육을 이수하여야 한다. ③ 연구원은 정보보안 관련 전문기관 교육 및 기술 세미나 참석을 장려하는 등 정보보안 관련 실무자의 전문성을 제고하기 위하여 노력해야 한다. ④ 정보보안부서장은 신규 직원에 대한 교육을 진행할 경우, 직원 PC 및 스마트폰 보안수칙 등을 포함하여 교육하여야 한다.

정보보안 교육 강화 과기부 지침 제10조 ①~②항 반영 정보보안 담당자 전문성 제고 노력, 신입직원 교육 필수사항 등 추가 과기부 지침 제10조 ④, ⑥항 반영

제45조(정보자산의 반출입) ① 정보자산은 허가 없이 외부로 반출하여서는 아니 된다. 정보자산을 외부로 반출할 경우 자산반출시스템을 통해 해당부서장의 승인 후 반출하여야 한다.

② 정보자산의 유지보수 및 수리시 외부로 자료 유출을 방지하기 위하여 저장장치 (HDD)를 분리하여 반출하여야 한다.

③ 정보자산을 수리하는 외부 업체의 수리 인력에 대하여 보안서약서 징구 등 보안대책을 강구하여야 한다. <신 설>

제45조(정보시스템의 반출입) ① 정보시스템은 허가 없이 외부로 반출하여서는 아니 된다. 정보시스템을 외부로 반출할 경우 자산반출시스템을 통해 해당부서장의 승인 후 반출하여야 한다.

② 정보시스템의 유지보수 및 수리시 외부로 자료 유출을 방지하기 위하여 저장장치 (HDD)를 분리하여 반출하여야 한다.

③ 정보시스템을 수리하는 외부 업체의 수리 인력에 대하여 보안서약서 징구 등 보안대책을 강구하여야 한다. ④ 정보시스템 관리자는 용역업체 등이 유지보수와 관련한 장비·도구 등을 반출·입할 경우 악성코드 감염여부 및 자료 무단 반출여부 확인 등 보안조치를 실시하여야 한다.

과기부 지침 참조 용어 통일 <정보자산 → 정보시스템>

정보자산은 정의 제2조 6호에 따라S/W를 포함하는

포괄적인 단어

정보시스템에 대한 반출입 및 불용처리 항목을 참조 하여 용어 통일

현 행

개 정(안)

개정사유

제60조(비공개자료 보호) ① 정보보안부서장은 정보보안과 관련된 행정정보를 비공개로 분류·관리한다.

② <생 략>

제60조(비공개자료 보호) ① 정보보안부서장은 정보통신망 구성현황(IP주소 할당현황을 포함한다), 정보시스템 운용현황, 취약점 분석ㆍ평가 결과물, 주요 정보화사업 추진현황 등을 포함한 정보보안과 관련된 행정정보를 비공개로 분류·관리한다. ② <좌 동>

비공개자료

세부 내용 추가 과기부 지침 제71조 ②항 1호~4호 반영

제62조의2(접근기록 관리) ①~③ <생 략> ④ 접근기록은 정보보안사고 발생 시 확인 등을 위하여 최소 6개월 이상 보관하여야 하며 접근기록 위·변조 및 외부유출 방지대책을 강구하여야 한다. <신 설>

제62조의2(접근기록 관리) ①~③ <좌 동> ④ 접근기록은 정보보안사고 발생 시 확인 등을 위하여 최소 1년 이상 보관하여야 하며 접근기록 위·변조 및 외부유출 방지대책을 강구하여야 한다.

⑤ 시스템관리자는 접속기록을 생성하는 정보시스템의 경우 시간 동기화 프로토콜(NTP) 적용 등을 통해 정확한 기록을 유지하여야 한다.

로그 기록 보관 연장

시간 동기화 프로토콜(NTP) 내용 추가 과기부 지침 제55조 ③항 반영

제63조(디지털OA 기기의 보안관리) ① 정보보안부서장은 프린터, 팩스, 스캐너, 복합기 등 하드디스크가 내장된 디지털OA기기에 대한 현황을 파악하여야 한다.

② 디지털OA기기를 연구원 내부에서 유지 보수하는 경우에는 해당부서 정보보안담당자가 입회하고 이상 유무 등을 기록하여야 한다. ③ 디지털OA기기의 고장수리 또는 불용처리를 위하여 외부로 반출할 경우 하드디스크를 분리하여야 하며, 해당부서 정보 보안담당자는 수리 이력을 기록하여야 한다. ④ 모든 부서장은 디지털복사기(이하 ‘복사기’라 한다)를 도입하고자 할 경우 복사기內 저장매체에 보관된 자료유출 방지를 위하여 자료의 완전삭제 기능이 탑재된 제품을 도입 하여야 한다.

제63조(디지털복합기 보안) ① 정보보안부서장은 프린터, 팩스, 스캐너, 복합기 등 하드디스크가 내장된 디지털복합기(디지털복사기 등도 포함한다. 이하 “복합기“라 한다.)에 대한 현황을 파악하여야 한다. ② 복합기를 연구원 내부에서 유지 보수하는 경우에는 해당부서 정보보안담당자가 입회하고 이상 유무 등을 기록하여야 한다. ③ 복합기의 고장수리 또는 불용처리를 위하여 외부로 반출할 경우 하드디스크를 분리하여야 하며, 해당부서 정보보안담당자는 수리 이력을 기록하여야 한다. ④ 모든 부서장은 복합기를 도입하고자 할 경우 복합기內 저장매체에 보관된 자료유출 방지를 위하여 자료의 완전삭제 기능이 탑재된 제품을 도입하여야 하며, 다음 각 호의 사항을 포함한 보안대책을 수립·시행하여야 한다. 1. 암호화 저장 기능이 있는 경우 해당 기능 사용 2. 정기적으로 저장된 작업 내용(출력ㆍ스캔 등) 완전 삭제 3. 공유 저장소 사용 제한 및 접근 제어 4. 고정 IP주소 설정 및 불필요한 서비스 제거

과기부 지침 참조 용어 통일 <디지털 OA기기 → 디지털복합기>

현 행

개 정(안)

개정사유

제63조(디지털 OA 기기의 보안관리) ⑤ 부서 시스템관리자는 다음 각 호의 경우에 복사기 저장 매체의 저장자료를 완전 삭제하여야 한다.

1. 복사기의 사용연한이 경과하여 폐기·양여할 경우

2. 복사기의 무상 보증기간 중 저장매체 또는 복사기 전체를 교체할 경우

3. 고장수리를 위한 외부반출 등 해당 기관이 복사기의 저장매체를 보안통제 할 수 없는 환경으로 이동할 경우

⑥ 복사기의 소모품 등을 교체하기 위한 유지보수 시 부서 시스템관리자의 감독하에 작업을 실시하여 저장매체 무단 교체 등을 예방하여야 한다. ⑦ 디지털OA기기 사용부서는 정보보안부서장의 정보보안관리 요구사항에 적극 협조하여야 한다.

제63조(디지털복합기 보안) ⑤ 부서 시스템관리자는 다음 각 호의 어느 하나에 해당하는 경우에 복합기 저장 매체의 저장자료를 완전 삭제하여야 한다.

1. 복합기의 사용연한이 경과하여 폐기·양여할 경우

2. 복합기의 무상 보증기간 중 저장매체 또는 복합기 전체를 교체할 경우

3. 고장수리를 위한 외부반출 등 해당 기관이 복합기의 저장매체를 보안통제 할 수 없는 환경으로 이동할 경우

⑥ 복합기의 소모품 등을 교체하기 위한 유지보수 시 부서 시스템관리자의 감독하에 작업을 실시하여 저장매체 무단 교체 등을 예방하여야 한다. ⑦ 복합기 사용부서는 정보보안부서장의 정보보안관리 요구사항에 적극 협조하여야 한다.

복합기 보안대책

세부 사항 명시 과기부 지침 제88조 ②항 반영

제66조(PC 등 단말기 보안관리) ①~⑤ <생 략> ⑥ 단말 사용자는 비인가자가 PC 등을 무단으로 조작하여 전산자료를 절취, 위·변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 준수하여야 한다.

1. <생 략>

2. 10분 이상 PC 작업 중단 시 비밀번호가 적용된 화면보호 조치를 하여야 한다.

3. PC용 최신백신 운용·점검, 침입차단·탐지시스템 등을 운용하고 운영체제(OS) 및 응용프로그램(아래한글, MS Office, Acrobat 등)의 최신 보안패치 유지하여야 한다.

4. <생 략>

<신 설>

<신 설>

<신 설>

<신 설>

5. 그 밖에 국가정보원장이 안전성을 확인하여 배포 승인한 프로그램의 운용 및 보안 권고문울 준수하여야 한다.

<신 설>

제66조(PC 등 단말기 보안관리) ①~⑤ <좌 동> ⑥ 단말 사용자는 비인가자가 PC 등을 무단으로 조작하여 전산자료를 절취, 위·변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 준수하여야 한다.

1. <좌 동>

2. 10분 이상 단말기 작업 중단 시 비밀번호가 적용된 화면보호 조치를 하여야 한다.

3. PC용 최신백신 운용·점검, 침입차단·탐지시스템 등을 운용 및 수시 점검하고 운영체제(OS) 및 응용프로그램(아래한글, MS Office, Acrobat 등)의 최신 보안패치 유지하여야 한다.

4. <좌 동>

5. 출처, 유통경로 및 제작자가 불분명한 응용프로그램의 사용 금지

6. 인터넷을 통해 자료(파일) 획득 시 신뢰할 수 있는 인터넷 사이트를 활용하고 자료(파일) 다운로드 시 최신 백신 소프트웨어로 검사 후 활용

7. 인터넷 파일공유·메신저·대화방 프로그램 등 업무상 불필요한 프로그램의 설치 금지

8. 웹브라우저를 통해 서명되지 않은 액티브-X 등이 다운로드ㆍ실행되지 않도록 보안 설정

9. 그 밖에 국가정보원장이 안전성을 확인하여 배포 승인한 프로그램의 운용 및 보안 권고문을 준수하여야 한다.

⑦ 개별사용자는 업무 상 불가피한 사유로 PC 보안정책에 대하여 예외적인 적용을 받고자 할 경우에는 정보보안부서에서 정하는 절차에 따라 별도의 신청서를 제출하여 예외신청을 하여야 한다.

용어 및 문구 통일 과기부 지침 제76조 ②항 2~3호 반영

개별 사용자 보안 대책 추가 과기부 지침 제74조 ②항 5호~8호 반영

현 행

개 정(안)

개정사유

제66조의2(휴대용 저장매체 보안대책) ①~④ <생 략> ⑤ 휴대용 저장매체를 파기 등 불용처리 하거나 비밀용을 일반용 또는 다른 등급의 비밀용으로 전환하여 사용할 경우 저장되어 있는 정보의 복구가 불가능하도록 완전삭제 프로그램을 사용하여야 한다. ⑥~⑨ <생략> ⑩ 정보보안부서장은 읽고 쓰기 허용된 HDD 및 일반USB에 대해 보안점검을 위해 사용현황을 요구할 수 있다.

제66조의2(휴대용 저장매체 보안대책) ①~④ <좌 동> ⑤ 휴대용 저장매체를 파기 등 불용처리 하거나 비밀용을 일반용 또는 다른 등급의 비밀용으로 전환하여 사용할 경우 저장되어 있는 정보의 복구가 불가능하도록 완전삭제 프로그램을 사용하여야 한다. 다만, 완전삭제가 불가할 경우 파쇄하여야 한다. ⑥~⑨ <좌동> ⑩ 정보보안부서장은 휴대용 저장매체 무단 반출, 미등록 휴대용 저장매체 사용여부 등 에 대해 보안점검을 위해 사용현황을 요구할 수 있다.

완전삭제가 불가능 할 경우 파쇄가 가능하도록 내용 추가

문구 수정 과기부 지침 제78조 ⑧항 반영

제68조(비밀번호 관리) ①~③ <생 략> <신 설>

제68조(비밀번호 관리) ①~③ <좌 동> ④ 공용 정보시스템 관리자는 서버 등 정보시스템에 보관되는 비밀번호가 복호화 되지 아니하도록 일방향 암호화하여 저장하여야 한다.

비밀번호 일방향 암호화 필요 과기부 지침 제76조 ②항 반영

제69조(악성코드 방지대책) ①~② <생 략> ③ 정보관리부서장은 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 주무부처 장관을 경유하여 국가정보원장에게 신속히 통보하여야 한다.

제69조(악성코드 감염 방지대책) ①~② <좌 동> ③ 정보보안담당관은 악성코드가 신종이거나 감염피해가 심각하다고 판단할 경우에는 관련사항을 주무부처 사이버안전센터에 신고하여야 한다.

과기부 지침 제80조 참조 용어 통일

악성코드 신고체계일원화 등

제70조(전자우편 등의 보안관리) ①~③ <생 략> <신 설> <신 설>

제70조(전자우편 보안) ①~③ <좌 동> ④ 사용자는 수신된 전자우편에 포함된 첨부파일을 다운로드할 경우 최신 백신 소프트웨어로 악성코드 은닉여부를 검사하여야 한다.

⑤ 사용자는 출처가 불분명하거나 의심되는 제목의 전자우편은 열람하지 말고 해킹메일로 의심될 경우 즉시 정보보안담당관에게 신고하여야 한다.

과기부 지침 제77조 참조 용어 통일 전자우편 보안관리 내용 추가 과기부 지침 제77조④~⑤항 반영

제71조(사이버보안진단의 날 운영) ① 정보보안부서장은 보안업무요령 제103조에 따라 매월 셋째 주 수요일을 사이버보안진단의 날로 지정·운영하여야 한다.

② <생 략>

제71조(사이버보안진단의 날 운영) ① 정보보안부서장은 보안업무요령 제103조에 따라 매월 셋째 주 수요일을 사이버보안진단의 날로 지정·운영하여야 한다. 다만, 부득이한 사유로 해당 일에 시행하지 못할 경우 같은 달 다른 날에 시행하여야 한다.

② <좌 동>

사이버보안진단의 날 일정 변경 가능 과기부 지침 제11조 ①항 반영

현 행

개 정(안)

개정사유

<신 설>

14. 소속 공무원등이 업무상 목적으로 이용하도록 하기 위한 무선랜, 이동통신망(HSDPA, WCDMA, LTE, 5G 등) 등 구축 15. 원격근무시스템 구축 16. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」에 따라 클라우드컴퓨팅서비스제공자의 클라우드컴퓨팅서비스(이하 “민간 클라우드컴퓨팅서비스”라 한다)를 이용하는 사업 17. 남북 회담 및 협력사업 등을 위한 북한지역 내 정보통신망 또는 정보시스템 구축 18. 외국에 개설하는 사무소 운영을 위한 정보통신망 또는 정보시스템 구축 19. 첨단 정보통신기술을 활용하는 정보화사업으로서 국가정보원장이 해당 기술에 대하여 안전성 확인이 필요하다고 지정하는 사업 ② 정보보안부서장은 다음 각 호에 해당하는 정보화사업에 대하여 주무부처 장관에 보안성 검토를 요청하여야 한다. 1. 제1항 단서에 따라 국가정보원장으로부터 보안성 검토를 위임받은 사업 2. 홈페이지 및 웹메일 등 웹기반 정보시스템 구축 3. 인터넷전화시스템 구축 4. 다른 기관의 정보통신망 또는 정보시스템과 연동하여 정보의 소통 또는 서비스를 제공하는 정보시스템 구축 5. 해당 기관의 정보통신망 또는 정보시스템과 분리된 외부인 전용(專用) 무선랜, 인터넷망 및 교육장 정보통신망 등 구축 6. 인터넷과 분리된 소속 공무원등의 인사ㆍ복지관리 등의 목적을 위한 정보시스템 구축 7. 주요정보통신기반시설 취약점 분석ㆍ평가, 정보보안컨설팅 등 용역사업 8. 기존 분리된 내부망ㆍ기관 인터넷망간 자료전송시스템 구축 등 후속사업 9. 대규모 백업ㆍ재해복구센터 구축 10. 해당 기관의 정보통신망 또는 정보시스템과 분리된 영상회의시스템 구축 11. 인터넷과 분리된 CCTV 등 영상정보처리기기 구축 12. 백업시스템 구축 13. 대민(對民) 콜센터시스템 구축

정보화사업 추진 시

보안성 검토 기관 및 세부항목 추가 과기부 지침 제16조 반영

현 행

개 정(안)

개정사유

<신 설>

제100조(검토 생략) ① 정보보안부서장은 다음 각 호에 해당하는 정보화사업에 대하여는 보안성 검토 절차의 이행을 생략할 수 있다. 이 경우 정보보안부서의 장은 매뉴얼·가이드라인 등을 준수하는 등 자체 보안대책을 수립·시행하여야 한다. 1. 제99조제1항 및 제2항 각 호의 정보화사업에 해당하지 아니하는 단순 장비ㆍ물품 도입 2. 제99조에 따른 보안성 검토를 거쳐 완료한 정보화사업을 대하여 정보통신망 구성을 변경하지 아니하는 범위 내에서 다음 각 목의 사항을 포함한 후속운영·유지보수·컨설팅 (단일 회선의 이중화는 본 호를 적용함에 있어 정보통신망 구성의 변경이 아닌 것으로 본다) 가. 서버·스토리지·네트워크장비 등 장비 노후화로 인한 단순 장비 교체 나. 전화기·무전기·CCTV 등 통신·영상기기의 노후화로 인한 단순 장비 교체 3. 다년도에 걸쳐 계속되는 사업으로써 사업 착수 당시 보안성검토를 완료 한 후 사업 내용의 변동 없이 계속 추진하는 운영·유지사업 4. PCㆍ프린터 및 상용 소프트웨어 등 단순 제품 교체 ② 정보화사업을 추진하는 부서장은 제1항제2호부터 제4호까지에 해당하는 정보화사업을 수행할 경우 기존 보안성 검토결과를 준수하여야 한다.

정보화사업 추진 시

정보보안부서 자체 보안성 검토 수행 내용 추가 과기부 지침 제17조 반영

<신 설>

제101조(제출 문서) 정보화사업을 추진하는 부서장은 제98조제2항에 따라 정보보안부서에 보안성 검토를 의뢰할 경우 다음 각 호의 사항이 포함된 문서를 제출하여야 한다. 1. 사업계획서(사업목적 및 추진계획을 포함한다) 2. 제안요청서 3. 정보통신망 구성도(필요시 IP주소체계를 추가한다) 4. 자체 보안대책

정보화사업 추진 시

보안성 검토 제출 문서 추가 과기부 지침 제18조 반영

현 행

개 정(안)

개정사유

<신 설>

제8절 정보보안 활동

제102조(클라우드컴퓨팅 보안) ① 연구원은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」에 따라 클라우드컴퓨팅을 자체 구축ㆍ운영하고자 할 경우 「국가ㆍ공공기관 클라우드 컴퓨팅 보안 가이드라인」에 명시된 보안대책을 수립ㆍ시행하여야 한다. ② 연구원은 민간 클라우드컴퓨팅서비스를 이용하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다. 1. 국내에 위치한 정보시스템에 데이터가 저장되는 서비스로서 일반 이용자용 서비스 영역과 물리적으로 분리되어 제공되는 서비스 영역(이하 “공공 전용(專用) 클라우드”라 한다)에 한하여 활용 2. 주무부처에서 고시한 「클라우드컴퓨팅서비스 정보보호에 관한 기준」에 부합하는 서비스 선정 3. 국가정보원장이 배포한「국가ㆍ공공기관 클라우드 컴퓨팅 보안 가이드라인」에서 제시하는 민간 클라우드컴퓨팅서비스 이용 보안기준 및 「행정ㆍ공공기관 민간 클라우드 이용 가이드라인」에 따른 절차 이행

클라우드컴퓨팅 이용 관련 보안대책 수립 필요 과기부 지침 제41조 반영

<신 설>

제103조(영상회의시스템 보안) 연구원은 영상회의시스템을 구축ㆍ운용하고자 할 경우 통신망(국가정보통신망ㆍ전용(專用)선ㆍ인터넷 등) 암호화 등 보안대책을 수립ㆍ시행하여야 한다.

영상회의시스템 구축 시 보안대책 필요 과기부 지침 제45조 반영

<신 설>

제104조(인터넷 사용제한) ① 연구원은 국가비상사태 및 대형 재해ㆍ재난의 발생, 사이버공격 등으로부터 정보통신망과 정보시스템의 정상적인 운영을 보장하기 위하여 임직원에 대한 인터넷 사용을 일부 제한할 수 있다. ② 연구원은 기관 인터넷망의 효율적인 운영 관리 및 악성코드 유입 차단을 위하여 게임ㆍ음란ㆍ도박 등 업무와 관련이 없는 인터넷 이용을 차단하여야 한다.

국가비상사태 및 재해·재난 발생 시 인터넷 사용제한 필요 과기부 지침 제47조 반영

<신 설>

제105조(재외사무소 정보보안점검) 연구원은 외국에 사무소를 개설ㆍ운영할 경우 정보보안담당관으로 하여금 해당 사무소의 정보통신망 및 정보시스템에 대한 보안관리 실태를 점검하고 취약요인을 개선하도록 하여야 한다.

재외사무소 보안 관리 및 점검 필요 과기부 지침 제49조 반영

현 행

개 정(안)

개정사유

<신 설>

제109조(빅데이터 보안) ① 연구원은 빅데이터와 관련한 시스템을 구축ㆍ운용하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

1. 데이터의 수집 출처 확인 및 데이터 오⋅남용 방지

2. 데이터 수집을 위한 정보통신망 보안체계 수립

3. 수집된 데이터의 저장 및 보호체계 수립

4. 중요 데이터 암호화

5. 사용자별(데이터 제공자⋅수집자ㆍ분석 요청자 및 분석결과 제공자 등) 권한부여 체계 수립

6. 데이터 파기절차 수립

빅데이터 시스템 구축 시 보안대책 수립 필요 과기부 지침 제72조 반영

<신 설>

제110조(비인가 기기 통제) ① 임직원은 개인 소유의 정보 통신기기(휴대폰 등 이동통신단말기를 제외한다. 이하 본 조 에서 같다)를 소속된 기관으로 무단 반입ㆍ사용하여서는 아니 된다. 다만, 부득이한 경우 정보보안담당관의 승인을 받은 후 사용할 수 있다. ② 정보보안담당관은 개인 소유의 정보통신기기가 업무자료를 외부로 유출하는데 악용될 수 있거나 연구원의 정보통신 망 운영에 위해(危害)가 된다고 판단될 경우 반출ㆍ입 통제를 시행할 수 있다.

비인가 기기 통제 강화 필요 과기부 지침 제79조 반영

<신 설>

제111조(영상정보처리기기 보안) ① 연구원은 업무상 목적으로 불특정 사람 또는 사물을 촬영한 영상을 유ㆍ무선 정보통신망으로 전송ㆍ저장ㆍ분석하는 CCTV 등 영상정보처리기기를 설치ㆍ운용하고자 할 경우 운영자의 계정ㆍ비밀번호 설정 등 인증대책을 수립하고 특정 IP주소에서만 접속 허용 등 비(非)인가자 접근 통제대책을 수립ㆍ시행하여야 한다.

② 영상정보처리기기 관리자는 영상정보처리기기를 인터넷과 분리ㆍ운용하여야 한다. ③ 영상정보처리기기 설치·운영·출입제한·보호조치 등 세부사항은 영상정보처리기기 설치·운영 등에 관한 지침을 따른다.

영상정보처리기기 보안관리 내용 추가 과기부 지침 제86조 반영

구 분

위 반 사 항

처 리 기 준

심 각

1. 비밀 및 대외비 급 정보 유출 및 유출시도

가. 정보시스템에 대한 구조 데이터베이스 등의 정보 유출

나. 개인정보 신상정보 목록 유출

다. 정보통신망 구성현황 등 연구원 비공개 정보 유출

2. 정보시스템에 대한 불법적 행위

가. 관련 시스템에 대한 해킹 및 해킹시도

나. 시스템 구축 결과물에 대한 외부 유출

다. 시스템 내 인위적인 악성코드 유포

ㅇ 위반자 등 중징계

ㅇ 재발방지를 위한 조치계획 제출

ㅇ 위반자 대상 특별 보안교육 실시

중 대

1. 비공개 정보 관리 소홀

가. 비공개 정보를 책상 위 등에 방치

나. 비공개 정보를 휴지통·폐지함 등에 유기 또는 이면지 활용

다. 개인정보 신상정보 목록을 책상 위 등에 방치

라. 기타 비공개 정보에 대한 관리소홀

2. 사무실 보호구역 보안관리 허술

가. 통제구역 출입문을 개방한 채 퇴근 등

나. 인가되지 않은 작업자의 내부 시스템 접근

다. 통제구역 내 장비시설 등 무단 사진촬영

3. 전산정보 보호대책 부실

가. 웹하드 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신

나. 보안관련 프로그램 강제 삭제

다. 사용자 계정관리 미흡 및 오남용 등

ㅇ 위반자 등 중징계

ㅇ 재발방지를 위한 조치계획 제출

ㅇ 위반자 대상 특별 보안교육 실시

구 분

위 반 사 항

처 리 기 준

보 통

1. 기관 제공 중요정책 민감 자료 관리 소홀

가. 주요 현안 보고자료를 책상위 등에 방치

나. 정책·현안자료를 휴지통·폐지함 등에 유기 또는 이면지 활용

2. 보호구역 관리 소홀

가. 통제·제한구역 출입문을 개방한 채 근무

나. 보호구역내 비인가자 출입허용 등 통제 미실시

3. 전산정보 보호대책 부실

가. 보안 USB 방치 등 사용규정 위반

나. 외부용 PC를 업무망에 무단 연결 사용

다. PC 내 보안성이 검증되지 않은 프로그램 사용

ㅇ 위반자 등 경징계

ㅇ 위반자 사유서/경위서 징구

ㅇ 위반자 대상 특별 보안교육 실시

경 미

1. 업무 관련서류 관리 소홀

가. 진행중인 업무자료를 책상 등에 방치 퇴근

나. 복사기·인쇄기 위에 서류 방치

다. 캐비넷 서류함 책상 등을 개방한 채 퇴근

라. 출입키를 책상위 등에 방치

2. 전산정보 보호대책 부실

가. 카카오톡 등 비인가 메신저 무단 사용

나. CMOS 및 윈도우 패스워드 미부여 또는 “1111”등 단순숫자 부여

다. PC 비밀번호를 모니터옆 등 외부에 노출

라. PC 화면보호기 미설정 또는 PC를 켜놓고 퇴근

ㅇ 별도 조치