모바일 메뉴 닫기
 

정보화업무에관한지침

충남대학교 정보화업무에 관한 지침



[2020.2. 3. 규정제1937호]

                        


1장 총칙 

1(목적) 이 규정은 충남대학교 대학행정 정보화의 체계적 추진과 각종 정보자원을 효율적으로 관리하는 것을 목적으로 한다.

제2조(적용범위) 이 규정은 충남대학교와 그 소속기관에 대하여 적용한다.

3(정의) 이 규정에서 사용되는 용어의 정의는 다음과 같다.

 1.“정보란 행정업무의 수행과정에서 작성 또는 취득한 자료로서 전자적 방식으로 처리하여 부호문자음향영상 등으로 표현한 모든 종류의 자료 또는 지식을 말한다.

 2.“정보화란 정보를 수집생산하고 체계적으로 가공축적하여 이를 유통 또는 활용함으로써 교육연구행정업무의 효율성을 도모하는 것을 말한다.

 3.“정보자원이란 정보시스템을 구성하는 최종사용자 및 컴퓨터 운영요원 등의 인적자원컴퓨터 및 주변장치통신망 등의 하드웨어자원운영프로그램 등의 소프트웨어자원데이터베이스 등의 전산자료자원정보화교육 등을 위해 구축된 정보화 시설자원정보시스템 구축과정에서 생산된 설계서 등의 문서자원을 말한다.

 4.“정보시스템이란 하드웨어자원소프트웨어자원인적자원 등 정보자원을 사용하여 정보를 수집가공저장검색 및 분석하기 위한 기기 및 소프트웨어의 조직화된 체제를 말한다.

 5.“주관부서(기관)”는 정보화사업을 기획하여 추진하는 충남대학교의 각 부서 또는 기관으로서정보화사업의 결과물을 활용하는 주된 부서를 말한다.

 6. "사전협의"란 학내 정보화사업에 대하여 다른 시스템과의 상호연계공동이용표준 등 관련 제도의 준수여부 및 중복여부 등을 검토하고 사업내용을 조정하는 업무를 말한다.

 7. "보안성검토"란 학내 정보화사업과 관련된 보안대책의 적절성을 평가하여 정보보안의 취약점을 사전에 제거하고 보다 체계적인 보안 관리를 하기 위한 선행적 일련의 과정을 말한다.

 8.“정보기술아키텍처(정보화통합관리체제 또는 EA)”란 일정한 기준과 절차에 따라 업무응용데이터기술보안 등 조직 전체의 정보화 구성요소들을 통합적으로 분석한 뒤이들 간의 관계를 구조적으로 정리한 체제 및 이를 바탕으로 정보시스템을 효율적으로 구성하기 위한 방법을 말한다.

 9.“사업관리란 정보화업무를 추진하기 위한 계획 수립 및 계약진도관리산출물관리품질관리감리검수결과보고정산결과의 대외표시 등의 일련의 절차를 수행하는 것을 말한다.

 10.“개인정보”란 살아있는 개인에 관한 정보로서 성명․주민등록번호 및 영상을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.(개인정보보호법)

 11.“공용소프트웨어”란 학내에서 일반적, 공통적으로 사용되는 PC용 또는 서버용 소프트웨어를 말한다.

2장 정보화 업무체계 및 역할

4(정보화 업무체계) 정보화 업무 추진을 위한 체계는 다음과 같다.

 1. 정보화책임관”은「충남대학교 학칙제13조 5항에 따라 정보통신원장이 겸무한다.

 2. “정보보안담당관”은 충남대학교 보안업무 처리규정」제3조 2항에 의거 정보통신원 정보화담당관이 겸무한다.

 3. 정보화추진위원회충남대학교 정보화추진위원회 규정3조 1항에 따라 정보화책임관을 위원장으로 한다.

제5조(정보화책임관의 임무) ①충남대학교의 정보화사업과 정보자원을 종합적으로 기획·조정 및 총괄 관리하는 정보화책임관은 다음의 업무를 총괄한다.

 1. 정보화기본계획 및 시행계획 수립

 2. 정보화사업의 사전협의총괄조정지원 및 평가

 3. 정보화예산의 집행계획 타당성검토 

 4. 정보자원의 종합조정관리 및 공동 활용 촉진

 5. 정책의 계획수립추진 시 정보화정책과의 연계 조정

 6. 정보기술을 이용한 행정업무의 지원

    7. 「정보시스템의 효율적 도입 및 운영 등에 관한 법률2조 2호에 따른 정보기술 아키텍처의 도입활용

 8. 그 밖의 다른 규정에서 정보화책임관의 업무로 정한 사항

 정보화책임관은 제1항의 임무 중 충남대학교 전반에 해당하는 정보화사업 또는 중대한 사항으로 판단될 경우충남대학교 정보화추진위원회」를 소집하여 심의 한다. 

제6조(정보보안담당관의 임무) 정보보안담당관은충남대학교 보안업무 처리규정」제3조 5항에 의거 다음의 임무를 수행한다. 

 1. 정보보안 정책 및 기본계획 수립·시행

 2. 정보보안 업무 지도·감독 및 교육지원

 3. 전산실정보통신망 및 정보자료 등의 보안관리

 4. 사이버공격 초동조치 및 대응

 5. 정보통신망 보안대책의 수립·시행

 6. 교육부 정보보안기본지침에 따른 정보화사업 보안성 검토

 7. 그 밖의 정보보안 관련 사항

3장 정보화사업 사전협의

7(사전협의주관부서(기관)의 장은 제8조에 해당하는 정보화사업을 추진하고자 하는 경우 사업 계획단계(사업 공고 전)에서 정보화책임관에게 사전협의를 공문으로 요청하여야 한다.

8(대상사업사전협의의 대상이 되는 정보화사업은 다음 각 호의 사업을 말한다.

 1. 대학정보화 예산사업으로 분류되어 예산 심의를 받는 사업

 2. 정보시스템의 구축에 관한 사업

 3. 학내 구성원의 공동사용이 가능한 상용소프트웨어 도입 사업

 4. 정보통신망의 설치 및 유지관리에 관한 사업

 5. 소프트웨어의 개발․제작․생산․유통 등과 이에 관련된 서비스를 위한 사업

 6. 정보화전략계획 수립에 관한 사업

 ② 다만, 다음 각 호에 해당하는 정보화사업에 대하여는 사전협의 절차의 이행을 생략할 수 있다.

 1. 정보화사업 사전협의를 거쳐 완료한 시스템의 운영 및 유지보수

 2. 정보화사업 사전협의를 거쳐 완료한 시스템의 계속 사업

 3. 개인정보보호 및 정보시스템 보안 강화를 위한 사업

 4. 단순 통상적인 정보화기기(PC, 프린터 등)를 도입하는 사업

 5. 학내 단일 기관(부서, 학과)만 사용 가능한 상용 소프트웨어 도입 사업

 6. 기타 정보화책임관이 예외로 판단하는 사업

9(신청서류 등주관부서(기관)의 장은 다음 각 호의 서류를 첨부하여 정보화책임관에게 사전협의를 신청하여야 한다.

 1. 사전협의 신청서[별표1]

 2. 사업계획서(추진배경목표사업비 산출근거사업내용추진일정 등)

 3. 제안요청서 또는 과업지시서(상세 사업내용)

 ②정보화책임관은 사업계획서 및 제안요청서의 내용이 불충분하여 중복성 등의 검토가 곤란한 때에는 보완을 요청할 수 있으며, 주관부서(기관)의 장은 보완하여 7일 이내에 제출하여야 한다.

 ③제2항의 보완요청에도 불구하고 주관부서(기관)의 장이 보완을 하지 아니한 경우에는 해당 사전협의 신청이 철회된 것으로 본다.

 ④주관부서(기관)의 장은 사전협의 결과와 달리 새로운 사업내용의 추가 등 사업범위의 변경이 발생하는 경우, 지체 없이 변경된 사업계획서 등 제1항 각 호의 서류를 첨부하여 사전협의를 다시 신청하여야 한다. 다만 사업추진 일정 등 경미한 사항이 변경된 때에는 그러하지 아니하다. 

10(사전협의 절차 등정보화책임관은 정보화사업 사전협의 신청이 있을 때에는 다음 각 호의 사항에 대하여 종합적으로 검토한다

 1. 타 정보화사업과의 중복 여부

 2. 현재 운영 시스템과의 연계방안에 대한 검토

 3. 충남대학교 정보화 표준 규격의 준수여부

 4. 충남대학교 중장기 정보화 추진계획과 연계 여부

 5. 기타 사업수행과 관련된 사항 등

 정보화책임관은 사전협의 신청 사업 중 다음 각 호에 해당하는 사업에 대해서는 특별한 사유가 없는 한 신청을 받은 날로부터 15일 이내로충남대학교 정보화추진위원회」를 소집하여 심의하여야 한다.

 1. 총 사업비가 1억 원을 초과하는 정보화 사업

 2. 일반사업에 포함된 정보화부문 사업비가 1억 원을 초과하는 정보화사업

 3. 기타 정보화책임관이 필요하다고 인정하는 정보화 사업

 ③정보화책임관은 사전협의 신청 사업으로 인해 다른 부서의 정보화사업 수행에 지장이 예상될 경우 부서 상호간의 의견을 듣고 이를 조정할 수 있다.

11(사전협의 결과의 통보정보화책임관은 특별한 사유가 없는 한 신청한 날로부터 15일 이내에 주관부서(기관)의 장에게 사전협의 결과[별표2]를 통보하여야 한다다만10조 2항의 정보화추진위원회의 심의대상이 되는 정보화사업은 10일을 연장할 수 있다.

 정보화책임관은 주관부서(기관)에서 사전협의를 신청한 날로부터 제1항의 기간 내에 사전협의 결과를 통보할 수 없는 불가피한 사유가 있을 경우그 사유 및 결과통보 예정일을 지체 없이 주관부서(기관)의 장에게 통보하여야 한다.

 주관부서(기관)의 장은 특별한 사정이 없는 한 사전협의 결과를 사업내용에 반영하여야 하며그 사전협의 결과를 통보 받은 날로 부터 7일 이내에 반영결과를 정보화책임관에게 제출하여야 한다

12(사전협의에 대한 이의제기주관부서(기관)의 장은 사전협의 결과에 이의가 있는 때에는 그 결과를 통보받은 날부터 15일 이내에 소명자료를 첨부하여 정보화책임관에게 이의를 제기할 수 있다

 정보화책임관은 특별한 사정이 없는 한 이의 제기된 날로부터 15일 이내에 재검토한 결과를 주관부서(기관)의 장에게 통보하여야 한다

13(정보화사업 결과 송부주관부서(기관)의 장은 정보화사업 종료 후 즉검수 후 15일 이내에 사전협의 검토결과를 반영한 사업의 이행결과를 정보화책임관에게 통보하여야한다

14(이행실태 점검정보화책임관은 사전협의 모니터링 및 이행결과를 점검한 결과 다음 각 호에 해당하는 경우에는 감사관련 부서 등에 통보할 수 있다.

 1. 사전협의 대상 정보화사업의 사전협의 미 신청

 2. 사전협의 결과 통보 전 사업 발주

 3. 사전협의 결과 미반영

제15조(사전협의의 효력) 사전협의는 학내 정보화사업 추진 시 중복투자방지, 표준화방안 등 대학 정보화사업의 효율적 추진을 지원하고자 하는 사전 검토의 기능을 수행하는 바, 주관부서(기관)의 장은 사전협의를 거쳤다는 이유로 각종 대·내외적 감사 시 각종 위법과 부당한 사항이 면책되는 것은 아니다.

4장 정보화사업 보안성 검토

제16조(보안성 검토) 주관부서(기관)의 장은 정보화사업을 수행하고자 할 경우 충남대학교 보안업무 처리규정」,「교육부 정보보안 기본지침」에 따라 정보화사업과 관련된 보안대책의 적절성을 평가하기 위해 사업 계획단계(사업 공고 전)에서 보안성검토를 정보보안담당관에게 공문으로 요청하여야 한다.

제17조(대상사업) 보안성 검토의 대상이 되는 정보화사업은 「교육부 정보보안 기본지침」에 따르며 「교육부 정보보안 기본지침」에 따른 자체 보안성 검토 대상 정보화 사업은 다음 각 호와 같다.

 1. 인터넷과 분리된 CCTV 등 영상정보처리기기 구축

 2. 백업시스템 구축 사업

 3. 개인정보가 5만 건 미만인 정보화 사업

 4. 예산이 5억 원 미만인 정보화 사업

 5. 정보보안담당관이 필요하다고 판단하는 정보통신망 또는 정보시스템 구축사업

 ② 정보보안담당관은 1항의 각 호에 해당되지 않는 사업에 대해서는 교육부로 보안성 검토를 의뢰하여야 한다. 

 ③ 다만, 다음 각 호에 해당하는 정보화사업에 대하여는 보안성 검토 절차의 이행을 생략할 수 있다.

 1. 장비 노후화로 인한 단순 장비 교체

 2. 이미 보안성 검토를 거쳐 완료한 정보화사업의 운영 및 유지보수

 3. 사업 착수 당시 보안성 검토를 완료한 후 사업내용의 변동 없이 계속 추진하는 다년도 정보화사업의 운영 및 유지보수 사업

 4. PC·프린터 및 상용 소프트웨어 등 단순 제품 교체

제18조(신청서류 등) ①주관부서(기관)의 장은 정보화사업 보안성 검토를 위하여 다음 각 호의 사항이 포함된 문서를 제출하여야 한다.

 1. 정보화 사업 보안성 검토 신청서 [별표3호]

 2. 사업계획서(추진배경목표사업비 산출근거사업내용추진일정 등)

 3. 제안요청서 또는 과업지시서(상세 사업내용)

 4. 정보화사업 보안성 검토 체크리스트[별표4호]

 5. 자체 보안대책(관리적, 물리적, 기술적 보안대책을 포함)

 6. 정보통신망 구성도(충남대학교 정보통신망과 별도 운영 시 제출)

 ②정보보안담당관은 보안성 검토를 위해 제출한 서류의 내용이 불충분하여 검토가 곤란한 때에는 보완을 요청할 수 있으며, 주관부서(기관)의 장은 보완하여 7일 이내에 제출하여야 한다.

 ③제2항의 보완요청에도 불구하고 주관부서(기관)의 장이 보완을 하지 아니한 경우에는 해당 보안성 검토 신청이 철회된 것으로 본다.

 ④주관부서(기관)의 장은 보안성 검토의 결과와 달리 보안대책의 새로운 변경사항이 발생하는 경우, 지체 없이 변경된 사업계획서 등 제1항의 각 호의 서류를 첨부하여 보안성검토를 다시 신청하여야 한다. 

19(보안성 검토 절차정보보안담당관은 신청된 정보화사업에 대하여 「교육부 정보보안 기본지침」에 따라 보안성 검토를 수행하되 교육부 검토 대상 사업인 경우에는 제17조 2항에 따라 교육부 장관에게 즉시 보안성 검토를 요청하여야 한다.

 자체 보안성검토는 서면검토를 원칙을 하며 정보보안담당관이 필요하다고 판단하는 경우 현장방문 및 추가 자료를 주관부서(기관)의 장에게 요청할 수 있다.

제20조(검토결과 통보) ①정보보안담당관은 특별한 사유가 없는 한 의뢰한 날로부터 15일 이내에 주관부서(기관)의 장에게 보안성검토 결과[별표5호]를 통보하여야 한다. 다만 「교육부 정보보안 기본지침」에 따른 교육부 보안성 검토 대상의 사업은 교육부 보안성 검토 일정에 따른다.

 정보보안담당관은 주관부서(기관)에서 보안성검토를 신청한 날로부터 제1항의 기간 내에 보안성 검토 결과를 통보할 수 없는 불가피한 사유가 있을 경우그 사유 및 결과통보 예정일을 지체 없이 주관부서(기관)의 장에게 통보하여야 한다.

 ③주관부서(기관)의 장은 특별한 사정이 없는 한 검토결과를 통보 받은 경우 검토결과를 반영하고 통보받은 날로부터 7일 이내에 그 결과를 정보보안담당관에게 송부하여야 한다. 

 ④정보보안담당관은 제1항에 따른 보안성 검토결과 반영여부를 확인하기 위하여 현장점검을 실시 할 수 있다.

21(보안성 검토에 대한 이의제기주관부서(기관)의 장은 교육부 보안성 검토 대상이 아닌 자체 보안성 검토 결과에 이의가 있는 때에는 그 결과를 통보받은 날부터 15일 이내에 소명자료를 첨부하여 정보보안담당관에게 이의를 제기할 수 있다

 정보보안담당관은 특별한 사정이 없는 한 이의 제기된 날로부터 15일 이내에 재검토한 결과를 주관부서(기관)의 장에게 통보하여야 한다

22(정보화사업 결과 송부주관부서(기관)의 장은 정보화사업이 종료 후 즉검수 후 15일 이내에 보안성 검토결과를 반영한 사업의 이행결과를 정보보안담당관에게 통보하여야한다

23(이행실태 점검정보보안담당관은 보안성 검토 모니터링 및 이행결과를 점검한 결과 다음 각 호에 해당하는 경우에는 감사관련 부서 등에 통보할 수 있다.

 1. 보안성 검토 대상 정보화사업의 보안성 검토 미 신청

 2. 보안성 검토 결과 통보 전 사업 발주

 3. 보안성 검토 미반영

5장 정보자원 관리운영

제24조(정보자원 관리) ①정보화책임관은 정보자원 관리 효율화를 위하여 최초 구축일로부터 3년이 경과한 정보시스템을 대상으로 사용빈도, 유지관리 비용, 업무활용도 등의 운용실효성 진단평가를 실시하고 정보화추진위원회 심의를 거쳐 정보시스템의 통합․폐기․이관을 추진할 수 있다.

②정보화책임관은 제1항의 정보시스템 운용실효성 진단평가에 필요하다고 판단될 경우에는 외부 전문기관 또는 관계전문가 등에게 진단평가를 의뢰할 수 있다.

③주관부서(기관)의 장은 개발된 프로그램의 관리를 위하여 업무분석서, 시스템관리방법 및 절차서, 관리지침서, 운영지침서, 프로그램설명서, 구축시스템의 구성도 등을 문서화한 후 보조기억매체로 저장하여 별도 보관․관리하여야 한다.

④주관부서(기관)의 장은 정보시스템의 관리 및 운용과정에서 변경, 소멸 등의 사유가 발생할 시 그 결과를 정보화책임관에게 즉시 보고하여야 한다. 

25(EA관리시스템) 정보화책임관은 충남대학교 정보자원을 효율적으로 활용하기 위하여 EA관리시스템을 운영할 수 있다.

정보화책임관은 정보자원의 신규발생, 변경 및 소멸 등 정보자원의 변동이 발생하였을 경우 즉시 충남대학교 EA관리시스템에 반영하여 항상 최신정보가 유지되도록 하여야 한다.

제26조(정보화 표준 ) ①정보화책임관은 전체 정보시스템의 호환성・상호연동성을 확보하기 위하여 각종 표준제정 등 필요한 조치를 할 수 있다.

 주관부서(기관)의 장은 정보화사업 추진 시 제1항에 의한 표준화된 규격을 준수하여야 한다.

 주관부서(기관)의 장은 공동 활용 등 표준화가 필요한 경우 정보화책임관에게 표준화를 요청할 수 있다다만직접 표준화를 추진할 경우에는 정보화책임관과 협의를 거친 후 사업을 추진하여야 한다.

 표준화 적용대상은 다음 각 호와 같다.

 1. 행정정보의 공동 활용에 필요한 각종 코드

 2. 정보 시스템간 호환성 및 연계가 필요한 운영환경에 대한 기술적 표준

 3각종 전자정부 정보화 표준(가이드라인) 및 지침 

 4그 밖에 표준화가 필요한 사항

27(정보화사업 예산의 확보) 정보화사업예산은 원칙적으로 해당 정보화사업 주관부서(기관)에서 확보하여야 한다.

28(보안사고 등) 주관부서(기관)의 장은 충남대학교 보안업무 처리규정」,「교육부 정보보안 기본지침」 등 보안지침에 따라 보안대책을 강구하여야 하며, 보안지침의 미준수로 인한 보안사고 발생 시 그 책임은 해당부서(기관) 또는 개인에게 있다.

제29조(보완 요청 및 서비스 차단) ①정보화책임관은 정보시스템의 운영 관리가 부실하거나 개인정보 및 보안취약점이 노출되어 보안사고의 우려가 있다고 판단될 경우관계부서의 장에게 해당 정보시스템의 서비스 중단 또는 기일을 정하여 보완을 요청할 수 있다.

 ②제1항에 의한 중단 요청을 받은 정보시스템 담당부서의 장은 특별한 사유가 없는 한 지체 없이 정보시스템 서비스를 중단하여야 한다.

 1항에 의한 보완 요청에 대하여 담당부서의 장은 기일 내에 보완처리를 완료하여야 하며특별한 사유로 인하여 기한 내 처리가 불가능할 경우에는 정보화책임관과의 협의를 통하여 기일을 조정할 수 있으며기일 내에 보완이 이루어지지 않을 경우 정보화책임관은 해당 정보시스템의 서비스를 차단할 수 있다.

6장 공용소프트웨어 운영

30(확보 및 관리) 정보화책임관은 공용소프트웨어를 확보 및 관리하며이를 위해 소요예산을 예측확보하고 관리대장을 비치하여 소프트웨어의 확보 및 출납 현황을 기록 유지한다.

 분야별 전문 소프트웨어는 해당 이용 기관 또는 부서에서 확보 및 관리하되해당 기관 또는 부서의 요구가 있는 경우 정보화책임관은 이를 지원할 수 있다. 

31(이용 및 제한) 충남대학교 교직원은 소프트웨어 대여신청서를 작성한 후 정보통신원에 제출하거나 정보통신원 홈페이지의 소프트웨어 자료실에 접속하여 이용하되 학내에서 교육연구 및 업무처리 목적으로만 이용한다

 소프트웨어는 제1항의 목적으로만 이용할 수 있으며이를 어기거나 기타 관련 규정을 위반한 경우 그 이용이 제한된다.

 충남대학교 내의 모든 컴퓨터는 정품 및 합법적인 소프트웨어만을 사용할 수 있으며불법 소프트웨어 사용에 따른 모든 법률적 책임은 사용자에게 있다.

32(점검 및 교육) 정보화책임관은 학내 소프트웨어 이용 현황을 파악점검하고 필요한 경우에 적절한 조치를 취한다.

 정보화책임관은 소프트웨어 이용 관련 교육 또는 홍보를 실시하고정품 소프트웨어의 안정적 이용지원 및 불법 소프트웨어 이용방지에 노력한다.

7장 보 칙

33(보칙) ① 본 규정에서 정하지 아니한 세부사항은 정보화책임관이 따로 정한다.

  

부 칙

이 규정은 공포한 날부터 시행한다.

[별표 1] 정보화사업 사전협의 신청서


정보화사업 사전협의 신청서

사 업 명

  

주 관 기 관

  

총사업비

  

보안성 검토

󰏅 대상 󰏅 비대상

예산구분

󰏅 당해연도 󰏅 익년도

신 청 구 분

 󰏅 신규 󰏅 이의신청

연 락 처

  

  

  

  

사전협의 

대상사유

󰏅  대학정보화 예산 심의를 받는 사업

󰏅  정보시스템의 구축에 관한 사업

󰏅  학내 구성원의 공동사용이 가능한 상용소프트웨어 도입 사업

󰏅  정보통신망의 설치 및 유지관리에 관한 사업

󰏅  소프트웨어의 개발․제작․생산․유통 등과 관련된 서비스 사업

󰏅 정보화전략계획 수립에 관한 사업

 붙임 : 1. 사업계획서(연계방안 및 보안대책 포함) 1.

 2. 제안요청서 또는 과업지시서(상세사업내용) 1.

 

  

20 년 월 일

  

기 관 명(부서명)

  

정보통신원장 귀하 


※ 작성요령 필요시 기타 참고자료 등을 첨부 제출

[별표 2] 정보화 사업 사전협의 결과 보고서


정보화사업 사전협의 결과 보고서

협의대상

사 업 명

  

주관기관

  

총사업비

  

관련근거

(공문번호)

  

사전협의

(개요)

 󰏅 적정 󰏅 보완필요

  

사전협의

검토 완료일자

  

부서 담당자

  

검토 세부 의견 

  


[별표 3] 정보화사업 보안성 검토 신청서


정보화사업 보안성 검토 신청서

사 업 명

  

주 관 기 관

  

총 사업비

  

사 업 기 간

  

시스템위치

  

사 업 목 적

  

주요 추진내용

  

개인정보 내용

  

연계 시스템

  

주요 보안대책

(기술적물리적,

 용역업체 관리)

  

 붙임 : 1. 사업계획서(추진배경목표사업비산출근거사업내용추진일정 등) 1.

 2. 제안요청서 또는 과업지시서(상세사업내용) 1

 3. 정보화사업 보안성 검토 체크리스트[별표4] 1.

 4. 자체 보안대책(관리적물리적기술적 보안대책 포함) 1.

 5. 정보통신망 구성도(충남대학교 정보통신망과 별도 운영 시 제출) 1.

  

20 년 월 일

기 관 명(부서명)

정보통신원장 귀하 


[별표 4]보안성검토 체크리스트(교육부 정보보안 기본지침 기준)

  

정보화사업 보안성검토 체크리스트

  

󰏅 용역업체 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

정보화사업 제안요청서에 누출금지 대상정보 명시

  

2

계약서에 참가 직원의 보안준수사항과 위반 시 손해배상 책임(위약금 부과누출금지 대상정보 명시향후 입찰참여 시 감점 등등 보안관련 특약조항 명시

  

3

용역사업 수행 관련 보안교육⦁점검 및 용역기간 중 참여인력 임의 교체 금지

  

4

정보통신망도⦁IP 현황 등 용역업체에 제공할 자료는 자료 인계인수대장을 비치, 보안조치 후 인계⦁인수하고 무단 복사 및 외부반출 금지

  

5

사업 종료 시 외부업체의 노트북휴대용 저장매체 등을 통해 비공개 자료가 유출되는 것을 방지하기 위하여 복구가 불가능하도록 완전삭제

  

6

용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 제공⦁열람 금지

  

7

용역업체의 노트북 등 관련 장비를 반출반입시마다 악성코드 감염여부자료 무단반출 여부 확인

  

8

비밀 및 중요외주 용역사업을 수행할 경우에는 외부 인력에 대한 신원조사 비밀취급인가, 보안교육 및 외부유출 방지 및 보안조치 강구

  

추가

보안

사항

  


※ 용역업체 보안성검토 사항은 모든 정보시스템 구축 및 용역 사업에 적용
 󰏅 소프트웨어 개발 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

독립된 개발시설 확보 및 비인가자의 접근 통제 여부

  

2

개발시스템과 운영시스템의 물리적 분리

  

3

소스코드 관리 및 소프트웨어 보안관리 대책

  

4

서버관리자는 개발 완료 후 시험하기 위해 사용된 도구(컴파일러 등) 삭제

  

5

외부인력 대상 신원확인, 보안서약서 징구, 보안교육 및 점검

  

6

외부 인력 보안준수 확인 및 위반 시 배상책임의 계약서 명시

  

7

외부 인력의 정보시스템 접근권한 및 제공자료 보안대책

  

8

외부 인력에 의한 장비 반입반출 및 자료 무단반출에 대한 보안 대책

  

9

업무 망 인터넷 간 안전한 자료전송은 「국가⦁공공기관 업무 망 인터넷 간 안전한 자료전송 보안가이드라인」 적용

  

10

이벤트 로그는 6개월 이상 저장

  

11

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 홈페이지 구축 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

웹서버 및 웹 어플리케이션 환경 설정 시 불필요한 서비스 제거 및 보안설정 사전 확인

  

2

웹서버 보안취약점 대응 가이드를 참고취약점 제거

  

3

웹사이트 내 모든 유형의 웹페이지 콘텐츠에 대해 개인정보 노출 점검 및 차단 기능 적용

  

4

관리자 접근 웹페이지 로그인에 전자서명인증서 등 적용을 통해 보안 강화

  

5

사용자 접근권한은 업무에 따라 차등 설정⦁관리

  

6

DBMS에 개인정보 암호화(주민등록번호핸드폰번호 등) 적용

  

7

개인정보 및 인증정보(로그인 등) 입력 시 이용자 단말기에 개인정보 유출 방지 대책(보안서버, 키로깅, 전자서명인증, 화면캡쳐 방지 등) 마련

  

8

비인가자의 서버 저장자료 절취, 위변조 및 분산서비스거부(DDoS) 공격 등에 대비하기 위하여 국가 정보원장이 안전성을 검증한 침입차단탐지시스템 및 DDoS 대응시스템 설치하는 등 보안대책 강구

  

9

관리자 기능은 내부망의 지정된 시스템에서만 접근

  

10

외부에 공개될 목적으로 설치된 웹서버가 DMZ에 설치되어 있는 지 확인

  

11

민원서류발급시스템(이수증 등)의 경우 출력문서 위변조 방지 등 보안대책 강구

  

12

웹 로그는 6개월 이상 저장

  

13

소프트웨어 개발 보안 반영 여부

  

14

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 네트워크 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

신규 장비 및 소프트웨어 도입설치 시 기존 시스템의 변화로 인한 장애 등의 문제발생 소지에 대한 안전대책 수립 후 진행

  

2

원격접속은 원칙적으로 금지, 장비 관리용 목적으로 내부망의 인가된 사용자 및 단말기를 통해 관리운영

  

3

물리적으로 안전한 장소에 설치, 비인가자 무단 접근 통제

  

4

신규 전산장비 도입 시 기본(default) 계정을 삭제 또는 변경시스템 운영을 위한 관리자 계정 별도 생성

  

5

FTP 등 불필요한 서비스 포트 및 사용자 계정 차단∙삭제

  

6

‘IP주소’ 체계적 관리사설주소체계(NAT) 적용

  

7

펌웨어 무결성 및 소프트웨어서버 운영체제 취약점과 최신 업데이트 여부 주기적으로 확인최신 버전 유지

  

8

시스템관리자는 네트워크 장비의 접속기록을 6개월 이상 유지, 비인가자의 접근 여부를 주기적으로 점검

  

9

네트워크 장비(L3 이상 스위치, 라우터 등) 및 보안기능이 있는 L2 스위치는 국가정보원의 보안적합성 검증 실시

※ 국내용 CC 인증제도에 따라 인증을 받은 경우 보안적합성 생략 가능

  

10

비밀번호는 9자리 이상으로 설정

  

11

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 서버 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

서버 내 저장자료에 대해 업무별∙자료별 중요도에 따라 사용자의 접근 권한 차등 부여

  

2

서버의 운영에 필요한 서비스 포트 외에 불필요한 서비스 포트 제거, 관리용 서비스와 사용자용 서비스를 분리운영

  

3

서버의 관리용 서비스 접속 시 특정 IP와 MAC 주소가 부여된 관리용 단말 지정 운영

  

4

사용자의 직접적인 데이터베이스 접속 차단, 개인정보와 같은 중요 정보를 암호화하는 등 데이터베이스 보안조치 실시

  

5

도입 시스템 환경 설정 시 보안취약점 사전제거

 제조사 기본 계정 및 비밀번호는 변경하여 사용

 서버 운영체제 및 응용프로그램에 대한 적시 보안패치 반영

 불필요한 서비스 제거 및 보안관련 구성 설정 확인 등

  

6

서버 관리자는 외부인에게 공개할 목적으로 설치되는 웹서버 등 공개서버를 내부망과 분리된 영역(DMZ)에 설치운영

  

7

업무망 관리자는 정보시스템에 사용되는 ‘IP주소’를 체계적으로 관리하여야 하며 사설주소체계(NAT) 적용

  

8

비인가자의 서버 저장자료 절취, 위⦁변조 등에 대비하기 위하여 국가정보원장이 안전성을 검증한 침입차단탐지 시스템 적용

  

9

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 무선랜 도입 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

네트워크 이름(SSID, Service Set Identifier) 브로드캐스팅 중지

  

2

추측이 어려운 복잡한 SSID 사용

  

3

DHCP 사용금지

  

4

WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화(국가정보원장이 승인한 암호논리 사용)

  

5

MAC 주소 및 IP 주소 필터링 설정

  

6

RADIUS(Remote Authentication Dial-In User Service) 인증 사용

  

7

무선망을 통한 업무망 정보시스템 접근을 정보보호 시스템 등으로 차단하는 보안 대책

  

8

무선단말기∙중계기(AP) 등 무선랜 구성요소별 분실탈취훼손오용 등에 대비한 관리적물리적 보안대책

  

9

시스템관리자는 무선인터넷 사용이 필요한 구역에 한해 기관장 책임 하 운용

※ 교육 목적 무선인터넷 사용 가능

  

10

그 밖에 기관의 장은 정하는 무선랜 보안 대책 강구 여부

  

11

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 클라우드 컴퓨팅 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

데이터베이스, 업무포털, 그룹웨어 등 내부 업무용 시스템과 홈페이지 등 외부 공개용 시스템은 반드시 물리적으로 분리된 서버 사용

  

2

네트워크 스위치스토리지 등 중요 장비를 이중화하고 클라우드 서비스의 가용성 보장 위해 백업체계 구축

  

3

클라우드 서비스 제공 관리자가 서비스를 이용하는 기관 및 개인에 할당된 자원(메모리디스크 등)에 임의적으로 접근하지 못하도록 접근제어 등 기술적 통제 수단 마련

  

4

클라우드 구성 요소(단말 PC, 네트워크 장비서버장비가상머신 등)간 송수신되는 데이터 암호화

  

5

스토리지에 저장된 파일(업무자료가상이미지 등)이 해킹 및 비인가자에 의해 절취되더라도 열람실행이 불가능하도록 스토리지 데이터 암호화

  

6

신규 도입되는 서버PC의 가상화 솔루션 및 정보보호제품은 국가정보원장이 정한 국내용 CC인증을 받은 정보보호시스템 도입 적용

※ 서버 및 PC 가상화 제품 도입 시 국가용 정보보호제품 보안요구사항」 준수해외 CC인증을 받은 제품은 국가정보원의 보안적합성을 검증을 받은 후 도입

  

7

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 인터넷전화 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

교환기게이트웨이 등 인터넷전화 장비 보안관리 강화

 ※ 초기 설정된 관리자용 기본 비밀번호를 반드시 변경

  

2

인터넷전화 전용 보안장비 도입

 ※ CC인증 제품을 우선 도입하되제품이 없을 경우 선 도입 후 검증 실시

  

3

전화망과 전산망의 분리를 포함한 안전한 네트워크 및 시스템 구축 여부

  

4

인가된 인터넷전화 장비(전화기, 교환기 서버)간 제어신호 및 음성데이터 송수신 이전, 단말기 식별 및 유효성 확인을 위해 상호간 장치 인증 필요

 ※ 공개키 기반 장치인증체계(PKI)에서 발급된 장치인증서 사용 필요

  

5

인가된 사용자에게 인터넷전화 사용을 허가하기 위한 주체 확인 및 식별을 통한 접근 제어 수행

 ※ 국제 표준인 HTTP Digest 프로토콜을 적용하여 인증 받은 사용자만이 인터넷전화 사용 조치

  

6

통화내용 암호화를 위해서는 국제 표준에서 제시하고 있는 SRTP(Secure Real-time Transport Protocol) 프로토콜 반드시 적용

  

7

인터넷전화 및 교환장비 대상 해킹DDoS공격 등을 탐지차단하기 위해서 인터넷전화 전용 침입차단⦁탐지시스템 사용

  

8

인터넷 전화 관련 서버 및 네트워크 장비, 서버네트워크 부분 보안성 검토 사항 반영 여부

  

9

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 CCTV 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

카메라비디오서버관제서버소통망은 내부업무망 및 인터넷과 분리별도 단독망 구성 여부

  

2

부득이한 사유로 인터넷을 활용할 경우 중간 스니핑을 통한 영상자료 유출을 방지하기 위하여 원격지카메라(비디오서버)↔관제서버 종단 간 VPN 설치 등을 통한 자료 암호화 소통 여부

  

3

원격지 감시 등의 사유로 단독망 구축 불가 시 전용회선 사용 여부

  

4

비인가자의 카메라(비디오서버) 접근을 방지하기 위하여 Telnet 등 원격접근서비스 차단 설정, 접근 가능 IP제한(관제용 서버 IP로 한정), 디폴트 패스워드 변경, 카메라IP 외부 공개 금지 등 보안조치

  

5

내부망 내 시스템과 자료교환 필요 시, CCTV시스템망업무망 앞의 침입차단시스템을 각각 활용, 특정 IP포트만 접속토록 설정 여부

  

6

외부에 CCTV 설치 시 카메라중계서버는 비인가자의 임의 조작이 물리적으로 불가능하도록 위치하거나 잠금장치 설치

  

7

영상기록의 임의열람 및 사적활용 방지대책을 마련하고, 저장매체는 비인가자의 접근이 불가능하도록 잠금장치가 설치된 통제구역에 보관

  

8

CCTV 관련 서버 및 네트워크 장비, 서버⦁네트워크 부분 보안성 검토 사항 반영 여부

  

9

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


󰏅 정보보안장비 도입 보안


구분

점 검 내 용

반영 여부

(반영미반영,

향후 반영,

미적용 대상)

1

보안장비 접속 시 지정된 업무에 따라 사용자의 접근 권한 차등 부여

  

2

보안장비 운영에 필요한 서비스 포트 외에 불필요한 서비스 포트 제거

  

3

보안장비 관리용 서비스 접속 시 특정 IP와 MAC 주소가 부여된 관리용 단말 지정 운영

  

4

원격접속은 원칙적으로 금지장비 관리용 목적으로 내부망의 인가된 사용자 및 단말기를 통해 관리운영

  

5

도입 시스템 환경 설정 시 보안취약점 사전제거

 - 제조사 기본 계정 및 비밀번호는 변경하여 사용

 - 서버 운영체제 및 응용프로그램에 대한 적시 보안패치 반영

 - 불필요한 서비스 제거 및 보안관련 구성 설정 확인 등

  

6

신규 장비 및 소프트웨어 도입설치 시 기존 시스템의 변화로 인한 장애 등의 문제발생 소지에 대한 안전대책 수립 후 진행

  

7

물리적으로 안전한 장소에 설치비인가자 무단 접근 통제

  

8

보안장비 관리자는 보안장비의 접속기록을 1년 이상 유지비인가자의 접근 여부를 주기적으로 점검

  

9

이벤트 로그는 1년 이상 저장

  

10

용역업체 보안성 검토 사항 반영 여부

  

추가

보안

사항

  


[별표 5] 정보화 사업 보안성 검토 결과 보고서


보안성 검토 결과 보고서

검토대상

사 업 명

  

기 관 명

  

운영부서

  

관련근거

(공문번호)

  

보안유형

(체크리스트)

󰏅 용역업체보안 

󰏅 소프트웨어개발보안 󰏅 홈페이지구축보안

󰏅 네트워크보안 

󰏅 서버보안 󰏅 무선랜 도입보안 

󰏅 클라우딩컴퓨팅보안

󰏅 인터넷전화보안

 󰏅 CCTV보안

 󰏅 정보보안장비도입보안

보안성 검토

완료일자

  

부서 담당자

  

검토 의견

󰏅 적정 󰏅 보완필요