정보보안 규정
제1장 총칙
제1조(목적)
이 규정은 국민대학교(이하‘본교'라 한다) 정보자산에 대한 적절한 관리체계를 수립하여 학내 전산망을 이용하는 내 외부의 사용자 중 비인가자에 의한 정보의 오남용, 불법 유출, 훼손 및 변조 등의 위험으로부터 정보 자산을 안전하게 보호하고, 정보시스템을 안전하고 신뢰성 있게 운영하여 본교 전산망 사용자에게 원활한 서비스를 제공하고자 함을 그 목적으로 한다.
제2조(정의)
이 규정에서 사용하는 용어의 뜻은 다음과 같다.
1. "정보자산"이란 본교 내·외에 서비스를 제공하기 위해 정보의 수집·가공·저장·검색·송수신에 사용되는 서버·PC 등 단말기, 보조기억매체, 전산·통신장비·정보통신기기, 응용 프로그램 등 정보시스템과 정보시스템의 운영·관리에 필요한 시설, 전자정보 등 본교 자산을 총칭한다.
2. "정보시스템"이란 PC·서버 등 단말기, 보조기억매체, 전산·통신장치, 정보통신기기, 응용프로그램 등 정보의 수집·가공·저장·검색·송수신에 필요한 하드웨어 및 소프트웨어 일체를 말한다.
3. "사용자"란 정보통신망 또는 정보시스템 등에 대한 접근 또는 사용 허가를 받은 자를 말한다. 즉, PC 및 노트북 등의 단말기를 이용하여 업무를 수행하는 본교 교직원 및 계약관계에 있는 제3자를 말한다.
4. "정보보안" 또는 "정보보호"라 함은 정보통신 수단으로 수집, 가공, 저장, 검색, 송수신 되는 정보의 유출, 위변조, 훼손 등을 방지하거나 정보자산을 보호하기 위하여 강구하는 관리적, 물리적, 기술적 수단 일체의 행위를 말한다.
5. "보안사고"란 외부 또는 내부의 악의적인 사용자에 의한 비인가된 시스템 사용, 사용자 계정의 도용, 악성코드(웜, 바이러스 등) 유입 및 실행, 정보시스템 방해 등 시스템의 서비스를 왜곡 또는 지연시키거나 정보자산을 유출, 파괴하거나 데이터를 변조, 삭제하는 등의 일체의 행위를 말한다.
6. "전산망"이란 각종 정보시스템을 통신회선으로 연결하여 자료를 처리·보관하거나 전송하는 조직망을 말한다.
제3조(적용 대상 및 의무)
① 이 규정의 적용대상은 본교의 정보자산 및 정보시스템을 사용하는 자로 한다.
② 본교의 정보자산 보호와 정보운영환경 및 응용프로그램의 운영과 제공에 대해서는 따로 규정되는 경우를 제외하고는 본 규정에 따른다.
③ 정보보안에 대한 의무는 본교의 정보자산을 사용하는 사용자 모두에게 있으며, 이들은 본 규정을 준수할 의무가 있다.
제4조(준수 확인)
① 사용자는 본 규정을 위반하면 징계 또는 고발될 수 있다.
② 사용자가 본 규정을 위반하여 본교에 재산상의 손실을 입히거나 이미지를 훼손시킬 경우에는 민형사상의 모든 책임을 진다.
제2장 정보보안 조직
제5조(정보보안 책임자)
① 본교의 효율적인 정보보호 업무를 수행하기 위하여 ‘정보보안 책임자'를 둔다.
② 정보보안 책임자는 정보통신처장으로 한다.
③ 정보보안 책임자는 정보보안 관리자를 선임할 수 있으며, 정보보안 활동에 필요한 업무를 지시할 수 있다.
제6조(정보보안 활동)
정보보안 책임자는 정보보호를 위하여 다음 각 호의 활동을 수행하여야 한다.
1. 정보보안 관리체계의 수립 및 관리·운영
2. 정보보안 취약점 분석·평가 및 개선
3. 침해사고의 예방 및 대응
4. 정보보안을 위한 사전 대책 마련 및 보안조치 설계·구현 등
5. 정보보안 조치의 보안성 사전 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 규정 또는 관계 법령에 따라 정보보안을 위하여 필요한 조치의 이행
제7조(정보보안 조직의 구성 및 운영)
① 본교의 정보보안 조직은 정보통신심의위원회, 정보보안 책임자, 정보보안 관리자, 관리적 보안담당자, 기술적 보안담당자 등으로 구성하여 체계적으로 운영하도록 한다. <개정 2022.08.16.>
② 정보통신심의위원회 조직 구성 및 운영에 관한 세부 사항은 ‘정보통신심의위원회 규정'을 따른다.
③ 기타 정보보안 조직 구성 및 운영에 관한 세부 사항은 ‘정보보호 조직 지침'을 따른다.
제3장 정보보호 정책·관리
제8조(기본수칙)
① 사용자는 계정 및 암호의 기밀을 유지해야 하며, 본래의 목적으로만 사용하여야 한다.
② 사용자는 정보시스템 또는 행정정보의 사용권한이 부여된 영역에 대하여 본래의 목적으로만 사용하여야 한다.
③ 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래할 수 있는 행위를 해서는 안 되며 위험을 초래할 수 있는 행위를 발견한 경우에는 소속부서의 장 또는 정보보안 담당부서에게 이를 즉시 알려야 한다.
④ 사용자는 정보시스템과 연관된 저작권, 특허권 및 소프트웨어 라이선스의 사용 조건을 숙지하고 이를 준수하여야 한다.
⑤ 본교 내 전산망을 신설, 변경 및 폐기하고자 하는 경우에는 정보보안 책임자의 사전승인을 얻어야 한다.
⑥ 외부 전산망에서 본교 내 전산망으로의 접근은 본교에서 원칙적으로 허용하지 아니한다. 단, 필요시 적법한 절차에 따라 승인된 경우에 제한적으로 허용할 수 있다.
⑦ 정보자산은 보안등급에 따라 분류·관리한다.
⑧ 정보보안 관리자는 주기적인 보안점검을 통해 본교 내 전산망 및 정보시스템의 안전성을 점검하고, 정보보호정책 및 규정의 준수 여부를 평가하며, 본교 내 모든 사용자는 이에 적극 협조하여야 한다.
⑨ 업무와 관련해 습득한 정보자산을 본교의 허가 없이 외부에 누출해서는 아니 된다.
⑩ 보안사고 예방을 위한 정보보호 활동은 정보보안 책임자의 승인을 얻은 후 즉시 시행할 수 있다.
제9조(정보보안 정책의 수립 및 문서화)
① 정보보안 책임자는 사용자가 준수하여야 할 정보보안 기본 수칙을 포함한 정보보안 규정을 수립·운영하여야 한다.
② 정보보안 규정의 실질적인 운영을 위하여 필요한 경우 구체적인 세부 지침을 수립 및 운영할 수 있다.
제10조(정보보안 정책의 준수)
① 사용자는 본 규정을 숙지 및 준수하여야 하며 담당 업무에 적용하여야 한다.
② 사용자가 본 규정 또는 하위 지침을 위반하여 본교에 재산상의 손실을 입히거나 이미지를 훼손한 경우에는, 학교는 위반자를 징계 또는 고발할 수 있다.
제11조(정보보안 정책의 관리)
① 정보보안 책임자는 사업 환경 및 정보보호 관리체계의 변화에 따라 필요한 지침을 수립하고 개선하여야 한다. <개정 2022.08.16.>
② 정보보안 책임자는 정책 및 지침의 제정, 개정, 배포(시행), 폐기 등의 이력을 관리하여야 한다.
③ 정보보안 책임자는 다음 각 호의 사항을 고려하여 연 1회 이상 정책변경 필요 여부를 검토하고, 필요시에 정책을 변경할 수 있다.
1. 정보보안 목표 및 전략의 변경
2. 정보보안 관련 조직 구조 및 인력의 중대한 변경
3. 중대한 보안사고 또는 새로운 위협·취약성이 발생한 경우
4. 관련 법 요구의 변화 또는 신규 법령의 제정
5. 정보보안 정책과 지침, 절차 등의 정책시행 문서간의 일관성 유지를 위한 변경
6. 그 밖에 총장이 필요하다고 판단하는 경우
④ 정보보안 책임자는 정보보안 정책에서 요구하는 정보보호 수준 유지를 위해 연간 정보보안업무계획을 수립·시행하고 그 추진결과를 심사분석 및 평가하여야 한다.
⑤ 정보보안 책임자는 정보보안 업무계획의 효과적인 관리를 위해서 정보보안 운영 현황표를 작성하고 검토하여 최신의 상태가 유지되도록 관리하여야 한다.
⑥ 정보보안 책임자는 정보보호 정책 및 정책 시행 문서에 정한 정보보호 활동 수행에 관한 운영 기록을 생성 유지하여야 한다.
제12조(정보보안 감사)
정보보안 책임자는 정보보안 감사를 수행하여 정보보안 활동이 적절히 수행되는지 평가하고 개선사항이 발생한 경우에는 개선하도록 한다.
제13조(자산분류 및 통제)
① 정보보안 책임자는 정보자산에 대한 최신 목록을 유지, 관리하여야 한다.
② 정보보안 책임자는 정보자산의 보호를 위해 보호대책을 마련하고 적용하여야 한다.
③ 정보보안 책임자는 본교에서 생성되는 모든 정보는 정보의 중요도를 고려하여 보안등급을 정하여 관리하여야 한다.
④ 자산분류 및 통제 업무에 관한 세부 규정은 ‘정보자산관리 지침'을 따른다.
⑤ 보조기억매체, 이동식 및 휴대용 저장매체에 관한 세부 규정은 ‘휴대용 저장매체 관리 지침'을 따른다. <개정 2022.08.16.>
제14조(위험평가)
① 정보보안 책임자는 서비스 및 업무에서 발생이 예상되는 위험을 평가하고 위험관리 전략을 수립하여 통제하여야 한다.
② 정보보호 책임자는 본교에서 발생 가능성이 있는 정보보호 위험을 지속적으로 평가하고 관리하여야 한다.
③ 위험평가에 관한 세부 규정은 ‘위험평가관리 지침'을 따른다.
제15조(인적 보안)
① 정보보안 책임자는 교직원에 대한 인사관리 업무 상 발생 가능한 위험을 식별하고 대책을 적용하여야 한다.
② 정보보안 책임자는 외부인력에 의해 발생 가능한 위험을 식별하고 대책을 적용하여야 한다.
③ 정보보안 담당부서는 연 단위의 정보보호 교육 및 훈련계획을 수립하고 이를 시행하여야 한다.
④ 교직원은 매년 시행되는 정보보호 교육을 이수하여야 한다.
⑤ 인적 보안에 관한 세부 규정은 ‘인적보안 지침'을 따른다.
제16조(물리적 보안)
① 정보보안 책임자는 업무 상 보호되어야 하는 구역을 제한구역 또는 통제구역으로 구분하여 관리하여야 한다.
② 정보보호 책임자는 정보 및 정보자산에 대한 비인가 물리적 접근, 유출, 손상으로부터 보호하기 위한 대책을 적용하여야 한다.
③ 물리적 보안에 관한 세부 규정은 ‘물리적보안 지침'을 따른다.
제17조(정보시스템 운영관리)
① 정보보안 책임자는 정보시스템의 운영과정에서 발생하는 보안 위협을 예방하고 통제하여야 한다.
② 정보보안 책임자는 정보시스템의 신규 도입, 운영 및 폐기 단계에서 보안성을 확보하여야 한다.
③ 정보보안 책임자는 네트워크 상에서 전송되는 중요 정보에 대한 기밀성, 무결성, 가용성 보장을 위하여 적절한 통제 대책을 수립하여 적용하여야 한다.
④ 정보보안 책임자는 매체에 저장된 중요 정보의 보호를 위하여 안전한 보관 및 폐기 관리를 수행하여야 한다.
⑤ 정보시스템 운영보안에 관한 세부 규정은 ‘정보시스템 운영보안 지침'을 따른다.
제18조(보안사고 예방 및 대응)
① 정보보안 책임자는 본교에서 발생 가능한 보안사고를 사전에 예방하고 대응할 수 있는 통제 대책을 수립하여 운영하여야 한다.
② 정보보호 책임자는 보안사고 대응을 위한 조직을 구성하고, 대응책을 수립하여 적용하여야 한다.
③ 보안사고를 인지한 교직원은 정보보호 담당부서에 이를 즉시 신고하여야 한다.
④ 보안사고 예방 및 대응업무에 관한 세부규정은 ‘침해사고대응 지침'을 따른다.
제19조(접근 통제)
① 본교의 정보자산 및 정보시스템에는 승인된 사용자만 접근할 수 있다.
② 정보시스템에 대한 접근통제 정책은 사용자 식별, 인증, 활동기록 등의 보안통제기능을 통하여 이행되어야 한다.
③ 정보시스템 사용자는 안전한 패스워드 설정 및 관리를 통해 정보시스템에 대한 비인가 접근이 불가능하도록 하여야 한다.
④ 정보시스템의 접근통제에 관한 세부 사항은 ‘정보시스템 운영보안 지침'을 따른다.
제20조(응용 프로그램 보안관리)
① 응용 프로그램의 신규 개발, 변경 및 폐기 시 보안성 검토가 수행되어야 한다.
② 응용 프로그램에서 취급하는 민감한 정보의 전송 및 저장에 관한 세부규정은 ‘암호관리 지침'을 따른다.
③ 응용 프로그램의 개발 및 보안관리에 관한 세부 규정은 ‘개발보안 지침'을 따르고, 데이터베이스 보안관리에 관한 세부 규정은 ‘정보시스템 운영보안 지침'을 따른다.
제21조(업무연속성 계획)
① 정보보안 책임자는 정보시스템의 복구를 위한 비상계획을 수립하여야 한다.
② 정보보안 책임자는 인위적 및 자연적으로 발생되는 긴급사태에 대비하여 백업 및 복구절차를 수립하고 시행하여야 한다.
③ 업무연속성 관리에 관한 세부 규정은 ‘업무연속성관리 지침'을 따른다.
제22조(법적 요구사항의 준수)
① 정보보안 책임자는 정보보안 규정 및 지침의 준수 여부를 수시로 확인하고, 필요시 감사를 실시할 수 있다.
② 개인정보보호에 관한 사항은 ‘개인정보보호 규정'을 따른다.
제4장 기타
제23조(시행지침)
이 규정에 명시되지 아니한 정보보안과 관련하여 필요한 사항은 총장의 승인을 받아 따로 정한다.
제24조(준용)
이 규정에 명시되지 아니한 사항은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률', ‘개인정보보호에 관한 법률'을 준용한다. <개정 2022.08.16.>
부 칙
이 규정은 2019년 4월 15일부터 시행한다.
부 칙
이 규정은 2022년 8월 16일부터 시행한다.