정 보 보 안 규 정

 

제 1 조 (목적) 이 규정은 인제대학교(이하 “본교”라 한다) 내에서 정보통신서비스의 제공에 사용되는 네트워크·정보시스템 및 정보운영환경과 응용프로그램의 안정성 및 신뢰성 있게 운영하기 위한 보호조치 등의 구체적 내용을 정하는 것을 목적으로 한다.

 

제 2 조 (정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다.
        ① “정보통신서비스”라 함은 정보통신설비(정보통신서비스를 제공하기 위한 기계,기구, 선로 등의 설비) 및 시설(정보통신설비가 집적되어 있는 시설 및 부대시설)을 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
        ② “주요자산”이라 함은 정보통신설비 중 라우터, 스위치, 웹서버, DNS, DB서버, 컴퓨터, 무선AP 등의 H/W 및 S/W를 포함한 정보통신서비스 제공에 중대한 영향을 미치는 설비를 말한다.
        ③ “정보통신서비스제공자”라 함은 정보통신설비 및 시설을 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
        ④ “이용자”라 함은 정보통신서비스제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
        ⑤ “전산자료”라 함은 전산장비에 의해 입력·보관·출력되어 있는 자료를 말하며, 그 자료가 입력·출력되어 있는 자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등 보조기억매체를 포함한다
        ⑥ “정보보호시스템”이라 함은 정보시스템내의 정보를 유출, 변조, 파괴 등으로부터 보호하기 위한 장비 및 프로그램을 말한다.
        ⑦ “침해사고”라 함은 해킹 및 컴퓨터바이러스의 유포 등으로 인하여 정보시스템의 정상적인 운영에 대한 방해, 정보의 유출, 파괴, 위조 및 변조 등이 발생한 사태를 말한다.

제 3 조 (정보보안조직의 구성) ① 정보보안담당관은 정보통신서비스의 안정성과 정보의 신뢰성을 확보하는데 관련된 업무를 총괄하는 자로 디지털정보원장이 겸한다
         ② 정보보안담당관은 주요자산의 정보보안을 총괄 관리하는 자(이하 “정보보안관리자”라 한다)를 임명하여 운영할 수 있다.
         ③ 정보보안담당관은 주요자산을 관리, 운영하는 자(이하 “시스템관리자”라 한다)를 임명하여 운영할 수 있다.


제 4 조 (내부방침의 수립 및 시행) ① 정보보안담당관은 본교의 정보통신서비스의 안정성과 정보의 신뢰성을 확보하는데 필요한 정보보호조치를 내용으로 하는 정보보안내부지침(이하 “내부지침”이라 한다)을 다음과 같이 수립·시행하여야 한다.
        1. 캠퍼스망운영지침
        2. PC사용관리보안지침
        3. 이메일 보안지침
        4. 데이터베이스 보안지침
        5. 응용프로그램 보안지침
        6. 침해사고 대응지침
        ② 정보보안담당관은 제①항의 내부지침을 년 1회 이상 검토 및 보완하여 최신의 내용으로 유지하여야 한다.


제 5 조 (정보보안심사위원회) ① 체계적이고 효율적인 보안정책 수립, 심의 및 관리를 위하여 정보보안심사위원회(이하 “위원회”라 한다)를 둔다.
        ② 위원회의 운영에 관하여 필요한 사항은 ‘정보보안심사위원회 규정’으로 정한다.


제 6 조 (정보보안담당관의 책무) ① 정보보안담당관은 정보보안관리자 및 시스템관리자의 업무를 관리·감독하여야 한다.
        ② 정보보안업무의 수행과 관련한 사항을 총장에게 보고한다.


제 7 조 (정보보안관리자의 책무) ① 정보보안관리자는 시스템관리자 업무를 관리·감독하여야 한다.
        ② 시스템관리자의 인사이동이나 퇴직 시 계정삭제 등 적절한 보안조치를 취하여야 한다.
        ③ 침해사고의 발생에 대비하여 다음 각 호의 사항을 포함하는 대응·복구계획을 수립·시행하여야 한다.
        1. 비상연락망
        2. 응급조치 절차
        3. 복구대책
        ④ 주기적으로 정보시스템의 보안취약점을 점검·분석하여 그 결과를 정보보안담당관에게 보고하여야 한다.
        ⑤ 주기적으로 접속기록을 분석하여 침해사고를 예방하고, 침해사고를 발견한 경우에는 지체 없이 필요한 조치를 취하여야 한다.
        ⑥ 정보시스템에 대한 부정한 접근을 방지하기 위한 제반 보호조치를 취하여야 한다.
        ⑦ 정보통신서비스의 제공에 필요한 정보시스템 및 라우터 등의 정보통신망 설비가 설치·운영되는 장소(이하 “전산실”이라 한다)에 대한 부정한 접근을 방지하기 위하여 적절한 조치를 취하여야 한다.


제 8 조 (시스템관리자의 책무) ① 시스템관리자는 데이터의 중요도에 따라 분류하여 적절한 관리기준 및 절차를 수립·시행하여야 한다.
        ② 제1항의 규정에 의하여 분류된 중요 데이터는 다음 각호와 같이 관리하여야 한다.
        1. 암호화하거나 파일 잠금 기능을 사용할 것
        2. 제4조 제1항의 지침에 정한 바에 따라 접근을 통제할 것
        ③ 침해사고, 시스템의 장애 또는 정전 등으로부터 정보를 보호하기 위하여 주기적으로 데이터의 백업 등 적절한 조치를 취하여야 한다.
        ④ 제4조 1항의 각종 지침을 성실히 수행하며, 이상이나 변동사항이 발생할 경우 즉시 정보보안관리자에게 보고하여야 한다.
        ⑤ 제2조 제2항의 주요자산을 항상 정상적인 가동 상태로 운영하도록 노력하며, 이상이 발생할 경우 정보보안관리자에게 보고하여야 한다.


제 9 조 (침해사고 대응관리) ① 정보보안담당관은 긴급한 침해사고가 발생하였을 때에는 모든 이용자에게 대응책을 신속하게 알릴 수 있는 체계를 마련하여야 한다.
        ② 정보보안담당관은 불법행위나 이상 징후가 탐지되었을 때에는 제7조 제3항의 규정에 의하여 수립된 대응·복구계획에 따라 즉각적인 대응조치를 취하고, 침해사고와 관련한 접속기록 등 적절한 증거자료를 수집·보관하여야 한다.


제 10조 (정보보안 교육) ① 정보보안담당관은 정보보안관리자 및 시스템관리자 등 정보보안과 관련된 업무에 종사하는 자에게 정기적으로 정보보안교육을 실시하여야 한다.
        ② 정보보안담당관은 제1항의 규정에 의한 교육을 실시하는 때에는 외부의 정보보안관련 전문기관에 이를 위탁하여 실시할 수 있다.


제 11조 (인적보안) ① 정보보안담당관은 교원 및 직원의 전보 또는 퇴직 발생 시 인사자에 대한 계정 및 공용계정에 대한 접근 권한을 즉시 제거한다.
        ② 정보보안담당관은 아웃소싱으로 인한 제3자의 인력 활용 시 보안서약서를 수령하여 보관하게 한다.
        ③ 정보보안담당관은 정보통신설비 및 시설의 관리 운영을 외부 위탁 시 계약서에 정보보안관련 사항(보안사고 책임범위, 비밀준수 의무, 위탁업무 중단시 비상대책)을 반영한다.


제 12조 (전산실 운영관리) 정보보안담당관은 다음 각 호와 같이 전산실을 운영·관리하여야 한다.
1. 전산실에 위치한 장비에 대한 도난, 파손, 변경, 불법적인 사용 등의 방지 대책수립
2. 정전 등으로 인해 제8조 제3항의 규정에 의한 중요 데이터의 손상 및 손실을 방지하기 위하여 데이터 백업 등 필요한 대책 수립
3. 비인가자/외부인의 출입은 엄격히 제한되며, 부득이하게 출입하는 경우에는 통제구역 출입자관리대장에 등재하고 정보보안담당관의 사전 또는 사후 승인을 받아야 한다.
4. 전산실의 출입은 정보보안담당자 및 허가된 유지보수업체 담당자 외에는 출입을 금한다.
5. 정보보안담당관은 보안담당, 전산요원 등 업무상 필요하다고 인정하는 자를 상시출입인가자로 지정하여 업무를 원활히 수행하도록 할 수 있다.
6. 전산실의 출입은 보안담당자 및 허가된 유지보수업체 담당자 외에는 출입을 금한다.


제 13조 (정보보안시스템 등의 운영관리) ① 정보보안담당관은 다음 각호와 같이 정보통신서비스의 안정성과 정보의 신뢰성 확보를 위한 관리적·기술적 수단을 갖추고 이를 운영, 관리하여야 한다.
        1. 침입차단시스템 등의 정보보안시스템을 설치하여 운영하거나 이에 상응하는 정보보호조치 수립
        2. 라우터의 접근제어기능 또는 접근제어시스템 설치등을 이용하여 외부 접근에 대한 시스템 보호조치 수립
        ② 정보보안담당관은 프로그램의 보안취약점을 발견한 때에는 필요한 대책을 수립 하여야 한다.

제 14조 (이용자 계정 등의 관리) ① 정보보안관리자는 이용자 계정 신청 및 해지, 변경, 분실 등이 있을 경우에 대비한 신원확인 절차를 마련하여야 한다.
        ② 정보보안관리자는 이용자의 패스워드 누출을 위한 보호조치를 하여야 한다.

제 15조 (이용자 제한조치 고지) ① 정보보안관리자는 다음에 해당하는 행위를 한 이용자에 대하여 계정해지, 접속제한 등 정보통신서비스를 제한할 수 있다.
        1. 부당한 방법으로 정보통신망에 의하여 처리·보관·전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하는 행위
        2. 트로이목마, 컴퓨터바이러스 등 악성 프로그램의 유포행위
        3. 음란·폭력물 등의 불건전한 자료의 게재·유포행위
        4. 전자우편시스템에 장애를 유발시킬 목적으로 다량의 전자우편을 전송하는 행위
        5. 수신자의 명시적인 수신거부 의사에 반하는 광고성 전자우편을 전송하는 행위
        6. 기타 정보보호에 해가 되는 행위
        ② 정보보안관리자는 제1항에 의한 제한을 하고자 하는 경우에는 사전에 이를 이용자에게 고지하거나 학내 정보망에 게시하여야 한다.

제 16조 (이용자 고지) 정보보안관리자는 제15조 각호의 1에 해당하는 행위가 발생하였을 때에는 그 사실을 이용자에게 고지하여야 한다. 다만, 이용자에게 경미한 영향을 미치거나, 신속히 처리해야 하는 등의 긴급한 상황일 경우에는 고지하지 아니할 수 있다.

제 17조 (이용자 제재) ① 제15조에 규정된 사항에 해당할 경우에는 사용자의 계정을 회수∙삭제하여 정보시스템의 사용을 제한 또는 금지하며, 그에 따른 구체적 제재사항은 위원회에서 심의∙결정한다.
        ② 정보시스템의 불법사용으로 본교에 해를 끼치거나 명예를 훼손시켰을 경우에는 다음 각 호의 제재 조치를 취할 수 있다.
        1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의한 법적 조치
        2. 정보시스템의 손해발생에 대한 손해배상 청구

제 18조 (이용자 구제조치) 정보보안관리자는 이용자의 불만사항 및 침해사고 피해발생 시 처리절차 등을 홈페이지 등에 고지하여야 한다.

제 19조 (이용자 개인정보 보안) 정보보안담당관이 이용자의 개인정보를 수집·이용 또는 제공하는 경우에는 홈페이지에 게시된 '개인정보보호정책'을 따른다.

제 20조 (계정 관리) 이용자는 자신의 계정 및 패스워드가 외부로 노출되지 않도록 유의하고 주기적으로 이를 변경하여야 한다.

제 21조 (개인정보 관리) ① 이용자가 개인정보를 제공할 경우에는 본교 홈페이지에 게시된 '개인정보보호정책'에서 규정하는 개인정보의 수집목적, 관리방법 등을 확인하여야 한다.
        ② 이용자는 정보공유가 가능하고 다양한 이용자가 공동으로 이용하는 전기통신설비를 이용하는 경우에는 개인정보 및 사생활정보 등의 보호를 위하여 공유해지 등 필요한 조치를 하여야 한다.

제 22조 (홈페이지 정보게시) ① 정보보안담당관은 본교 소속의 홈페이지 등에 비공개내용이 있는지 주기적 확인 및 보안교육을 실시하여야 한다.
        ② 사용자는 홈페이지에 비공개 자료나 민감정보 자료를 홈페이지에 게시하여서는 안된다. 홈페이지에 업무상 부득이 하게 정보를 게시 하고자 하는 경우 담당 부서의 장은 정보보안담당관과 협의 및 보안심사위원회의 심사 후 게시를 하여야 한다.

제 23조 (컴퓨터바이러스 등 주의) ① 이용자는 발송자를 확인할 수 없는 전자우편 또는 제공자가 불확실한 컴퓨터프로그램 등에 대해 안전성여부를 확인하고 실행하여야 한다.
        ② 이용자는 자신의 컴퓨터에 최신의 컴퓨터바이러스 방지프로그램을 설치하여 침투여부를 수시로 점검하고, 침투한 경우에는 이를 제거·복구하여야 한다.
        ③ 이용자는 자신의 컴퓨터에 최신의 윈도우 업데이트를 주기적으로 실행하며 필요한 보안패치를 반드시 적용하여야 한다.

제 24조 (사이버 보안진단의 날) ① 이용자는 매월 세번째 수요일에 실시하는 사이버 보안진단의 날의 시행에 협조해야 한다.
        ② 이용자는 사이버 보안진단을 수행해야 하며 그 결과를 정보보안담당관에게 통보하여야 한다.
        ③ 사이버 보안진단을 수행하지 않는 이용자의 전산망 접속을 제한 할 수 있다.

 

부 칙

 

이 규정은 2013년 5월 13일부터 시행한다.