소방청 정보보안업무 규정

훈령소방청 · 공포 2020-05-20 · 시행 2020-05-20

제1장 제1장 총 칙

이 규정은 「국가정보원법」과「보안업무규정」, 「국가 정보보안 기본지침」, 「전자정부법」과 같은 법 시행령, 「국가사이버안전관리규정」에 따라 소방청 정보통신 보안업무수행에 필요한 세부사항을 규정함을 목적으로 한다.

이 규정은 소방청과 그 소속ㆍ산하기관에 적용한다.

이 규정에서 사용하는 용어의 정의는 다음과 같다.

"각급기관"이란 소방청과 그 소속ㆍ산하기관을 말한다.

"각급부서"란 각급기관의 각 부서를 말한다.

"사용자"란 각급기관의 장으로부터 정보통신망 또는 정보시스템에 대한 접근 또는 사용 허가를 받은 공무원 등을 말한다.

"정보통신망"이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보통신체제를 말한다.

"정보화사업"이란 「전자정부법」 제2조의 규정에 따른 정보통신망 또는 정보시스템을 개발ㆍ구축ㆍ운용ㆍ유지보수하거나 정보시스템감리, 전자정부사업관리의 위탁 등을 하기 위한 사업을 말한다.

"인터넷서비스망"(이하 "인터넷망"이라 한다)이란 기관의 네트워크 중에서 인터넷을 사용할 수 있도록 연결된 인터넷 전용망을 말한다.

"업무전산망"(이하 "내부망"이라 한다)이란 기관의 네트워크 중에서 업무용으로 사용되는 영역으로, 망 분리기관의 경우 인터넷망과 분리된 내부전산망(이하"내부망"이라 한다)을 말하고 망 미분리기관은 인터넷서비스도 병행 제공되는 내부전산망을 포함한다.

"정보시스템"이란 서버ㆍPC 등 단말기, 네트워크 장치, 응용 프로그램 등 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신에 필요한 하드웨어 및 소프트웨어 일체를 말한다.

"휴대용 저장매체"란 디스켓ㆍCDㆍ외장형 하드디스크ㆍUSB 메모리 등 정보를 저장할 수 있는 것으로 PC 등의 정보시스템과 분리할 수 있는 기억장치를 말한다.

"정보보안" 또는 "정보보호"란 정보시스템 및 정보통신망을 통해 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위를 말한다.

"전자문서"란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 송ㆍ수신 또는 저장되는 정보를 말한다.

"전자기록물"이란 정보처리능력을 가진 장치에 의하여 전자적인 형태로 송ㆍ수신 또는 저장되는 기록정보자료를 말한다.

"전자정보"란 업무와 관련하여 취급하는 전자문서 및 전자기록물을 말한다.

"RFID(Radio Frequency Identification) 시스템"이란 대상이 되는 사물 등에 RFID 태그를 부착하고 전파를 사용, 해당 사물 등의 식별정보 및 주변 환경정보를 인식하여 각 사물 등의 정보를 수집ㆍ저장ㆍ가공 및 활용하는 시스템을 말한다.

"정보통신실"이란 서버ㆍPC 등과 스위치ㆍ교환기ㆍ라우터 등 네트워크 장치 등이 설치 운용되는 장소를 말하며, 전산실ㆍ통신실ㆍ전자문서 및 전자기록물(전자정보) 보관실 등을 말한다.

"암호자재"란 Ⅱ급비밀 이하의 통신내용 등의 정보를 보호할 목적으로 사용하는 문자ㆍ숫자ㆍ기호 등으로 구성된 환자표와 난수 또는 암호논리 등을 수록한 문서나 도구를 말한다.

"음어자재"란 Ⅲ급비밀 이하의 통신내용 등의 정보를 보호할 목적으로 사용하는 문자ㆍ숫자ㆍ기호 등으로 구성된 환자표 또는 암호논리 등을 수록한 문서나 도구를 말한다.

"약호자재"란 대외비 이하의 통신내용 등의 정보를 보호할 목적으로 특정 용어와 그에 대응ㆍ변환되는 문자, 숫자, 기호 등을 수록한 문서나 도구를 말한다.

"암호논리"란 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위하여 기밀성ㆍ무결성ㆍ인증ㆍ부인봉쇄 등의 기능을 제공하는 수학적 논리 또는 알고리즘을 말한다.

"암호모듈"이란 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위해 암호논리를 활용하여 구현한 수단이나 도구를 말한다.

"정보보호시스템"이란 정보의 수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.

"무선도청 탐지"란 유ㆍ무선 도청탐지장비 등을 이용하여 은닉된 무선도청장치 색출과 각종 도청 위해요소를 제거하는 제반활동을 말한다.

"전자파보안"이란 정보통신기기ㆍ시설 등을 대상으로 전자파에 의한 정보유출을 방지하고 파괴ㆍ오작동 유발 등의 위협으로부터 정보를 보호하는 행위 일체를 말한다.

"고출력전자기파"(EMP)란 전자장비를 물리적으로 파괴시키거나 오작동을 유발시킬 수 있는 정도의 강력한 전자기적 충격파를 말한다.

"사이버공격"이란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스방해 등 전자적 수단에 의하여 정보통신망을 불법침입ㆍ교란ㆍ마비ㆍ파괴하거나 정보를 절취ㆍ훼손하는 공격 행위를 말한다.

각급기관의 정보보안담당관은 국가안보 및 국가이익 관련 정보(전자정보를 포함한다. 이하 같다)와 정보통신망을 보호하기 위한 보안대책을 마련하여야 하며 정보보안에 대한 책임을 진다.

제5조 정보보안담당관

소방청장은 정보보안업무를 효율적이고 체계적으로 수행하기 위하여 다음 각호의 사람을 정보보안담당관으로 지정한다.

소방청 : 정보통계담당관

소속ㆍ산하기관 : 정보통신업무 관련 부서의 장

소방청 정보보안담당관은 각급기관의 정보보안업무를 총괄하며, 다음 각호의 업무를 수행한다.

정보보안 정책ㆍ 활동 계획 수립ㆍ시행

정보보안 관련 규정ㆍ지침 등 제ㆍ개정

보안심사위원회(정보보안분야) 운영

정보보안 업무 지도ㆍ감독, 정보보안 감사

IT관제센터(IT관제실), 정보통신망 및 정보자료 등의 보안관리

정보보안 관리실태 평가

사이버공격 초동조치 및 대응

사이버위협정보 수집ㆍ분석 및 보안관제

정보보안 예산 및 전문인력 확보

정보보안 사고조사 결과 처리

정보보안 교육 및 정보협력

도청 위해 요소 측정ㆍ제거

주요 정보통신기반시설 보호활동

암호자재 및 암호키의 운용ㆍ보안관리

안전성을 검증한 암호모듈ㆍCC인증을 획득한 정보보호시스템의 운용 및 보안관리

정보통신망 보안대책의 수립ㆍ시행

‘사이버보안진단의 날’ 계획 수립ㆍ시행

소관분야 정보보안 업무조정 및 감독

침해사고 대응ㆍ복구

그 밖에 정보보안 관련 사항

정보보안담당관은 효율적인 정보보안업무를 수행하기 위하여 전담인력을 확보ㆍ운영하여야 하며, 중요 정보보안업무에 대하여는 「소방청 보안업무 시행세칙」(이하 "보안업무 시행세칙"이라 한다) 제4조에 따라 보안심사위원회의 심의를 거쳐 시행하여야 한다.

각급기관의 장은 정보보안담당관이 직무를 효율적으로 수행할 수 있도록 각급 부서의 공무원 중에서 부서의 정보보안업무를 수행할 수 있는 적정인력을 분임정보보안담당관을 임명하여야 한다. 별도로 임명하지 아니할 경우 각급 부서의 장을 분임정보보안담당관으로 임명한 것으로 본다.

제6조 연도 추진계획 수립

소방청장은 매년 「연도 정보보안업무 추진계획」(「국가사이버안전관리규정」 제9조에 따른 사이버안전대책을 포함한다)을 수립ㆍ시행하여야 한다.

소방청장은 제1항에 의한 「연도 정보보안업무 추진계획」수립을 위하여 소속ㆍ산하기관의 장에게 연도 정보보안업무 추진계획의 제출을 요청할 수 있다.

제7조 정보보안 내규 제정

소속ㆍ산하기관의 장은 해당 기관의 정보보안업무를 규정한 정보보안 내규(또는 지침ㆍ시행세칙 등)를 「국가 정보보안 기본지침」 및 이 규정에 저촉되지 아니하는 범위 내에서 제정ㆍ시행할 수 있다.

소속ㆍ산하기관의 장은 제1항에 따라 정보보안 내규를 제정할 경우 소방청장과 사전 협의하여야 한다.

제8조 정보보안감사 등

소방청장은 소방청 및 소속ㆍ산하기관의 정보보안업무 및 활동을 조사ㆍ점검하기 위하여 연 1회 이상 정보보안감사를 실시하여야 하며, 이를 위하여 필요한 경우 감사 또는 감찰업무를 수행하는 부서에 협조를 요청할 수 있다.

소방청장은 정보보안감사 이외에 소방청 및 소속ㆍ산하기관에 대한 정보보안 지도방문을 실시할 수 있다.

정보보안감사 또는 지도방문은 제도적인 문제점 발굴에 중점을 두고 실시하여야 하며 도출된 취약요인은 근본적인 대책을 수립하여 시행하여야 한다.

소속ㆍ산하기관의 장은 제1항에 의한 감사와 별도로 자체 정보보안감사를 실시할 수 있으며, 소방청장에게 감사의 방향 및 중점사항, 감사관 지원 등 협조를 요청할 수 있다

소방청장은 사안이 무거운 정보보안 위규사항을 적발한 경우 「국가공무원 복무ㆍ징계 관련 예규」및 「소방공무원 징계양정 등에 관한 규칙」을 참고하여 「소방청 보안업무시행세칙」제4조에 따른 보안심사위원회의 심의를 거쳐 관련자에 대한 징계를 요청할 수 있다.

정보보안감사를 실시할 경우에는 부록「정보보안감사 체크리스트」등을 적극 활용하여야 한다.

소방청장은 정보보안감사 담당자를「국가 정보보안 기본지침」제8조제5항에 따라 우대하여야 한다.

제9조 정보보안 교육

소방청장은 정보보안에 대한 경각심을 제고하기 위하여 정보보안 교육계획을 수립하여 연 1회 이상 모든 소속 공무원을 대상으로 교육(온라인 교육을 포함한다)을 실시하여야 한다.

소방청장은 정보보안 교육의 실효성을 제고시키기 위하여 기관별 자체 실정에 맞는 정보보안 교안 및 교재를 작성ㆍ활용하여야 하며 필요시 국가정보원장에게 전문인력 및 자료 지원을 요청할 수 있다.

소방청장은 정보보안담당관, 분임정보보안담당관, 정보보안 실무자가 최신 정보보안 정책 및 기술 등을 습득하기 위한 정보보안 관련 전문기관의 교육 및 학술회의 참가 등을 장려하여야 한다.

제10조 사이버보안진단의 날

소방청장은 매월 셋째 수요일을 ‘사이버보안진단의 날’로 지정ㆍ운용하여야 한다.

정보보안담당관은 ‘사이버보안진단의 날’에 소관 정보통신망을 대상으로 악성코드 감염 여부와 정보통신시스템의 보안 취약 여부 등을 종합적인 보안진단을 실시하여야 한다.

제11조 통신보안 위규

통신망을 통해 비인가자에게 누설하거나 위반할 경우 발생하는 정보통신보안 위규사항은 별표 1과 같다.

각급기관 정보보안담당관은 정보보안 위규사항을 적발하였을 경우 소방청장(정보통계담당관)에게 보고하여야 하며 국가안보 및 국가이익에 중대한 영향을 미칠 수 있다고 판단되는 정보보안 위규사항에 대해서는 가장 신속한 방법으로 국가정보원장에게 통보하여야 한다.

제2장 제2장 정보화사업 보안

제1절 제1절 사업 계획

제12조 보안책임

정보통신망 또는 정보시스템을 개발ㆍ구축ㆍ운용ㆍ유지보수하는 사업(이하 "정보화사업"이라 한다.)을 담당하는 부서의 장은 해당 정보화사업에 대한 보안관리를 수행하여야 한다.

정보화사업 부서의 장은 정보화사업에 대한 보안관리책임을 지고 관리ㆍ감독하여야 한다.

각급기관의 정보보안담당관은 각종 정보화사업과 관련한 보안대책의 적절성을 평가하고 정보화사업 수행 전반에 대하여 보안대책의 이행 여부를 점검하여 필요한 경우 정보화사업 부서의 장에게 시정을 요구할 수 있다.

정보화사업 부서의 장은 정보통신망 또는 정보시스템을 구축ㆍ운용하기 위한 정보화사업 계획을 수립할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

보안관리체계(조직, 인원 등) 구축 등 관리적 보안대책

설치ㆍ운용장소 보안관리 등 물리적 보안대책

정보통신망 또는 정보시스템의 구성요소별 기술적 보안대책

국가정보원장이 개발하거나 안전성을 확인한 암호자재, 상용 암호모듈 및 정보보호시스템 도입ㆍ운용계획

긴급사태 대비 및 재난복구 계획

용역업체 작업장소에 대한 보안대책

기존 운용 중인 정보통신망 및 정보시스템에 대한 용역업체 접근 통제대책

누출금지정보 보안관리 방안

제14조 제안요청서 기재사항

정보화사업 부서의 장은 정보화사업을 발주하기 위하여 제안요청서를 작성할 경우 다음 각 호의 사항을 포함하여야 한다.

용역업체 작업장소에 대한 보안요구사항

기존 운용 중인 정보통신망 및 정보시스템에 대한 용역업체 접근 통제대책

누출금지정보 목록

용역업체가 누출정보를 제외한 소프트웨어 산출물을 제3자에게 제공하고자 할 경우 발주자 승인 절차

연 1회 이상 정기적으로 보안 취약점 점검 실시 및 보안취약점 발견시 조치 후 결과 제출

제1항제3호에 따른 누출금지정보 목록을 작성할 경우 다음 각 호의 사항을 포함하여야 한다.

해당 기관의 정보시스템 내ㆍ외 IP주소 현황

정보시스템 구성 현황 및 정보통신망 구성도

개별사용자의 계정ㆍ비밀번호 등 정보시스템 접근권한 정보

정보통신망 또는 정보시스템 취약점 분석ㆍ결과물

정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)

암호자재 및 정보보호시스템 도입ㆍ운영 현황

정보보호시스템 및 네트워크 장비 설정 정보

「공공기관의 정보공개에 관한 법률」 제9조 제1항에 따라 비공개 대상 정보로 분류된 해당 기관의 내부문서

「개인정보보호법」제2조제1호에 따른 개인정보

「보안업무규정」 제4조에 따른 비밀 및 같은 규정 시행규칙 제16조제3항에 따른 대외비

그 밖에 해당 기관이 장이 공개가 불가하다고 판단한 자료

제2절 제2절 보안성 검토

제15조 검토 시기 및 절차

정보화사업 부서의 장은 다음 각 호의 정보화사업을 수행하고자 할 경우 자체 보안대책을 강구하고 안전성을 확인하기 위하여 사업 계획단계(사업 공고 전)에서 소방청 정보보안담당관을 경유하여 국가정보원장에게 보안성 검토를 의뢰하여야 한다. 다만, 국가정보원장은 정보화사업의 규모ㆍ중요도 등을 고려하여 소방청장에게 보안성 검토를 위임할 수 있다.

비밀ㆍ대외비를 유통ㆍ관리하기 위한 정보통신망 또는 정보시스템 구축

국가정보원장이 개발하거나 안전성을 확인한 암호자재를 적용하는 정보통신망 또는 정보시스템 구축

외교ㆍ국방 등 국가안보상 중요한 정보통신망 및 정보시스템의 구축

100만명 이상의 개인에 대한 「개인정보보호법」상 민감정보 또는 고유식별정보를 처리하는 정보시스템 구축

주요정보통신기반시설로 지정이 필요한 정보통신기반시설 구축

제어시스템 도입

재난관리ㆍ국민안전ㆍ치안유지ㆍ비상사태 대비 등 국가위기 관리와 관련한 정보통신망 또는 정보시스템 구축

국가정보통신망 등 여러 기관이 공동으로 활용하기 위한 정보통신망 또는 정보시스템 구축

행정정보, 국가지리, 환경정보 등 국가 차원의 주요 데이터베이스 구축

정상회의, 국가지리, 환경정보 등 국가 차원의 주요 데이터베이스 구축

내부망 또는 폐쇄망을 인터넷 또는 다른 정보통신망과 연동하는 사업

내부망과 기관 인터넷망을 분리하는 사업

통합데이터센터ㆍ보안관제센터 구축

소속 공무원등이 업무상 목적으로 이용하도록 하기 위한 무선랜, 이동통신망(HSDPA, WCDMA, LTE, 5G 등) 구축

원격근무시스템 구축

「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」제20조에 따라 클라우드 컴퓨팅 서비스제공자의 클라우드컴퓨팅서비스(이하"민간 클라우드컴퓨팅서비스"라 한다.)를 이용하는 사업

남북 회담 및 협력사업 등을 위한 북한지역 내 정보통신망 또는 정보시스템 구축

외국에 개설하는 사무소 운영을 위한 정보통신망 또는 정보시스템 구축

첨단 정보통신기술을 활용하는 정보화사업으로서 국가정보원장이 해당 기술에 대하여 안전성 확인이 필요하다고 지정하는 사업

소방청 정보보안담당관은 다음 각 호에 해당하는 정보화사업에 대하여 자체 보안성 검토를 실시한다.

제1항 단서에 따라 국가정보원장으로부터 보안성 검토를 위임받은 사업

홈페이지 및 웹메일 등 웹기반 정보시스템 구축

인터넷전화시스템 구축

다른 기관의 정보통신망 또는 정보시스템과 분리된 외부인 전용 무선랜, 인터넷망 및 교육장 정보통신망 등 구축

해당 기관의 정보통신망 또는 정보시스템과 분리된 외부인 전용 무선랜, 인터넷망 및 교육장 정보통신망 등 구축

인터넷과 분리된 소속 공무원등의 인사」복지관리 등의 목적을 위한 정보시스템 구축

주요정보통신기반시설 취약점 분석ㆍ평가, 정보보안컨설팅 등 용역사업

기존 분리된 내부망ㆍ기관 인터넷망간 자료전송시스템 구축 등 후속사업

대규모 백업ㆍ재해복구센터 구축

해당 기관의 정보통신망 또는 정보시스템과 분리된 영상회의시스템 구축

인터넷과 분리된 CCTV 등 영상정보처리기기 구축

백업시스템 구축

대민 콜센터시스템 구축

그 밖의 해당 기관의 장이 필요하다고 판단하는 정보통신망 또는 정보시스템 구축

정보통신망 보안성검토는 서면 검토를 원칙으로 하되 필요하다고 판단하는 경우에는 현장 확인을 실시할 수 있다.

제16조 검토 생략

정보화사업 부서의 장은 다음 각 호에 해당하는 정보화사업에 대하여는 보안성 검토 절차의 이행을 생략할 수 있다. 이 경우 정보화사업 각급부서의 장은 관련 매뉴얼ㆍ가이드라인 등을 준수하는 등 자체 보안대책을 수립ㆍ시행하여야 한다.

제15조제1항 및 제2항 각 호의 정보화사업에 해당하지 아니하는 단순장비ㆍ물품 도입

제15조에 따른 보안성 검토를 거쳐 완료한 정보화사업에 대하여 정보통신망 구성을 변경하지 아니하는 범위 내에서 다음 각 목의 사항을 포함한 후속 운영ㆍ유지보수ㆍ컨설팅(단일회선의 이중화는 제외한다.)가. 서버ㆍ스토리지ㆍ네트워크장비 등 장비 노후화로 인한 단순 장비 교체나. 전화기ㆍ무전기ㆍCCTV 등 통신ㆍ영상기기의 노후화로 인한 단순 장비 교체

서버ㆍ스토리지ㆍ네트워크장비 등 장비 노후화로 인한 단순 장비 교체

전화기ㆍ무전기ㆍCCTV 등 통신ㆍ영상기기의 노후화로 인한 단순 장비 교체

다년도에 걸쳐 계속하는 사업으로써 사업 착수 당시 보안성검토를 완료한 후 사업 내용의 변동 없이 계속 추진하는 운영ㆍ유지사업

PCㆍ프린터 및 상용 소프트웨어 등 단순 제품 교체

정보화사업 부서의 장은 제1항제2호부터 제4호까지에 해당하는 정보화사업을 수행할 경우 기존 보안성 검토 결과를 준수하여야 한다.

정보화사업 부서의 장은 정보통신망 보안성검토를 요청할 경우에는 다음 각 호의 문서를 제출하여야 한다.

사업계획서(사업목적 및 추진계획 포함)

기술제안요청서(RFP)

정보통신망 구성도(IP주소체계 포함)

자체 보안대책 강구사항

제18조 검토결과 조치

정보화사업 부서의 장은 보안성 검토결과를통보받은 경우 검토 결과를 반영하여 보안대책을 보완하여야 한다.

소방청 정보보안담당관은 보안성검토 결과를 통보한 경우 그 반영 여부를 확인하기 위하여 현장점검을 실시할 수 있다.

각급기관의 장은 전년도에 실시한 정보화사업에 대한 보안성검토 현황을 매년 1월 20일까지 소방청 정보보안담당관에게 제출하여야 한다.

제3절 제3절 사업 수행

정보화사업 부서의 장은 정보 및 정보통신망 등을 보호하기 위하여 정보보호시스템ㆍ네트워크장비 등 보안기능이 있는 정보통신제품을 도입ㆍ운용할 경우 별표 3에 따른 정보보호시스템 유형별 도입요건을 준수하여야 한다.

정보화사업 부서의 장은 정보통신망을 이용하여 유통ㆍ보관되는 중요자료를 보호하기 위하여 암호가 주기능인 제품을 도입ㆍ운용하고자 할 경우 별표 4에 따른 암호가 주기능인 제품 도입요건을 준수하여야 한다.

정보화사업 부서의 장은 국가정보원장이 안전성을 확인한 상용 암호모듈을 도입하여 정보시스템 등에 적용하고자 할 경우 실제 적용 이전에 해당 상용 암호모듈의 정상 작동 여부, 정보시스템 적용 단계에서 구동 과정상 오류 발생 여부 등을 점검하여야 한다.

정보화사업 부서의 장은 영상정보처리기기를 도입ㆍ운용하고자 할 경우 한국정보통신기술협회(TTA)의 공공기관용 보안성능이 확인된 제품을 우선적으로 도입할 수 있다.

제24조 제어시스템 도입 시 고려사항

정보화사업 부서의 장은 공항ㆍ항만ㆍ전력ㆍ가스ㆍ운송설비 등을 중앙에서 감시ㆍ제어하기 위한 정보시스템(이하 "제어시스템"이라 한다)을 도입ㆍ운용하고자 할 경우 사업 계획 단계(사업 공고 전)에서 국가정보원장이 배포한 「국가ㆍ공공기관 제어시스템 보안가이드라인」에 따른 보안대책을 수립ㆍ시행하여야 한다.

정보화사업 부서의 장은 제어시스템을 도입ㆍ운영할 경우 최신 백신 소프트웨어 설치, 응용프로그램 보안패치 및 침해사고 대응방안 등 보안대책을 수립ㆍ시행하고 정기적으로 취약점을 점검하여야 한다. 다만, 제어시스템의 정상 운영에 차질을 초래할 경우 국가정보원장과 협의하여 설치하지 아니할 수 있다.

정보화사업 부서의 장은 교통ㆍ에너지ㆍ수자원 등 국가안보상 중요한 제어시스템을 운용할 경우 인터넷 및 일반사무용 내부망과 분리ㆍ구축하여야 한다.

정보화사업 부서의 장은 제3항에서 불구하고 제어시스템을 기관 인터넷망과 연동할 필요가 있을 경우 연동 구간에 일방향 전송장비 설치 등 안전한 망연동 수단을 설치ㆍ운용하여야 한다.

제25조 계약 특수조건

각급기관의 장은 「국가를 당사자로 하는 계약에 관한 법률 시행령」제76조제1항제3호다목에 따른 정보통신망 또는 정보시스템 구축 및 유지보수 등의 계약 이행과정에서 정보통신망 또는 정보시스템에 허가 없이 접속하거나 무단으로 정보를 수집할 수 있는 비인가 프로그램을 설치하거나 그러한 행위에 악용될 수 있는 정보통신망 또는 정보시스템의 약점을 고의로 생성 또는 방치하는 행위 등을 금지하는 내용의 계약 특수조건을 계약서에 명시하여야 하며, 계약기간(하자 보증기간 포함) 내에 발생한 보안약점 등에 대해서는 계약업체가 개선 조치하도록 하여야 한다.

각급기관의 장은 필요한 경우 계약업체로부터 제1항과 관련한 행위가 없다는 대표자 명의의 확약서를 요구할 수 있다.

제26조 용역업체 보안

정보화사업 부서의 장은 용역업체에 정보화사업을 발주할 경우 다음 각 호의 보안사항을 준수하도록 계약서 또는 과업지시서에 명시하여야 한다.

제14조제1항 각 호에 따른 제안요청에서 포함된 사항

소프트웨어 개발보안에 필요한 사항

사업 참여인원의 보안관련 준수사항과 위반할 경우 손해배상 책임에 관한 사항

사업 수행과 관련한 보안교육, 보안점검 및 사업기간 중 참여인원 임의 교체 금지

정보통신망 구성도ㆍIP주소 현황 등 업체에 제공하는 자료는 자료 인계인수대장을 비치하여 보안조치 후 인계ㆍ인수하고 무단 복사 및 외부반출 금지

정보시스템의 IP가 포함된 최신 구성도 갱신ㆍ유지

업체의 노트북ㆍ휴대용 저장매체 등 관련 장비는 반ㆍ출입 시 악성코드 감염 여부, 누출 금지정보 무단 반출 여부 등 점검

사업 종료 시 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비는 저장자료 복구가 불가하도록 완전 삭제

사업 종료 시 누출금지정보 전량 회수

연 1회 이상 정기적으로 보안취약점 점검실시 및 보안취약점 발견시 조치 후 결과 통보

소방청 정보보안담당관의 정보시스템 보안취약점 점검 시 협조 및 보안취약점 발견 시 보안대책 사항

소방청 보안 관련 규정 준수 의무

그 밖에 소방청 정보보안담당관이 보안 관리가 필요하다고 판단하는 사항 또는 국가정보원장이 보안조치를 권고하는 사항

정보화사업 부서의 장은 비밀 및 중요 용역사업을 수행할 경우 용역업체 참여 인원이 다음 각 호에 해당되는 사실을 알게 된 경우 교체를 요구하여야 한다.

「국가공무원법」 제33조제3호부터 제6의3호까지에 해당하는 사람

「국가를 당사자로 하는 계약에 관한 법률」제27조제1항 각 호의 행위를 한 사람

정보화사업 부서의 장은 제1항에 따라 계약서에 명시된 보안 준수사항의 이행 여부를 정기적으로 점검하고 미비점을 발견한 경우 용역업체가 시정하도록 조치하여야 한다.

각급기관의 정보보안담당관은 용역업체의 보안규정 위반 시 확인서 징구, 보안교육 실시, 보안 위약금 부과, 용역업체 대표자에게 재발방지 대책 마련, 용역업체 직원의 교체를 요구할 수 있다.

그 밖에 용역업체 보안과 관련한 사항은 「국가ㆍ공공기관 용역업체 보안관리 가이드라인」을 준수하여야 한다.

정보화사업 부서의 장은 정보시스템을 개발할 경우 「전자정부법」제45조 및 「행정기관 및 공공기관 정보시스템 구축ㆍ운영 지침」(행정안전부 고시) 제50조부터 제53조까지에 따라 보안약점이 발생하지 아니하도록 개발(이하 " 소프트웨어 개발보안"이라 한다)하고 정보시스템 감리 등을 통해 보안약점을 진단하여야 한다.

제28조 원격지 개발보안

정보화사업 부서의 장은 용역업체가 발주기관 이외 장소(이하 "원격지"라 한다)에서 개발 작업(유지보수 제외)을 수행하고자 요청할 경우 제14조제1항제1호에 따른 용역업체 작업장소에 대한 보안 요구사항 등을 포함함 관리적ㆍ기술적 보안대책을 수립ㆍ시행하여야 한다. 이 경우 정보화사업 부서의 장은 보안대책을 수립한 후 각급기관의 정보보안담당관의 승인을 받아야 한다.

정보화사업 부서의 장은 용역업체의 원격지 개발과 관련한 보안대책 이행 여부를 정기 또는 수시로 점검(불시 점검 포함)하여야 한다. 이 경우 정보화사업 부서의 장이 점검 후 그 결과를 각급기관의 정보보안담당관에게 통보하여야 한다.

정보화사업 부서의 장은 제2항에 따라 용역업체의 원격지 개발과 관련한 보안대책 이행 여부를 점검한 결과 미흡하다고 판단될 경우 원격지 개발 허가를 취소하여야 한다.

정보화사업 부서의 장은 용역업체가 발주기관 내 장소에서 개발 작업을 수행하더라도 개발용 서버가 민간 클라우드컴퓨팅 서비스를 이용하는 등으로 원격지에 위치할 경우 원격지 개발로 간주하고 제1항에 따른 보안대책을 수립ㆍ시행하여야 한다.

제29조 소프트웨어 산출물 제공

정보화사업 부서의 장은 용역업체가 「용역계약일반조건」(기획재정부 계약예규) 제56조에 따른 지식재산권을 행사하기 위하여 소프트웨어 산출물의 반출을 요청할 경우 제안요청서 또는 계약서에 명시된 누출금지정보에 해당하지 아니하면 제공하여야 한다.

정보화사업 부서의 장은 제1항에 따라 소프트웨어 산출물을 용역업체에 제공할 경우 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비에 저장되어있는 누출금지정보를 완전삭제하여야 하며 업체로부터 누출금지정보가 완전삭제되었다는 대표자 명의의 확약서를 받아야 한다.

정보화사업 부서의 장은 용역업체가 소프트웨어 산출물을 제3자에게 제공하고자 할 경우 제공하기 이전에 승인을 받도록 하여야 한다.

그 밖에 소프트웨어 산출물 제공과 관련한 사항은 「소프트웨어사업 관리ㆍ감독에 관한 일반기준」(과학기술정보통신부 고시)을 준수하여야 한다.

제30조 누출금지정보 유출 시 조치

정보화사업 부서의 장은 용역업체가 제안요청서 또는 계약서에 명시된 누출금지정보를 유출한 사실을 알게 된 경우 업체를 대상으로 계약 위반에 따른 조치를 취하여야 한다. 이 경우 용역업체의 누출금지정보 유출 사실을 알게 된 정보화사업 부서의 장 또는 사업과 관계된 공무원 등은 즉시 각급기관의 정보보안담당관을 거쳐 소속 기관의 장에게 보고하여야 한다.

제1항에 따라 용역업체의 누출금지정보 유출 사실을 알게 되거나 보고를 받은 각급기관의 장은 그 사실을 소방청 정보보안담당관에게 통보하여야 하고 직접 또는 소방청 정보보안담당관 통하여 「국가를 당사자로 하는 계약에 관한 법률 시행령」제76조 및「지방자치단체를 당사자로 하는 계약에 관한 법률 시행령」제92조에 따라 입찰 참가자격 제한 등 조치를 하여야 한다.

제4절 제4절 보안적합성 검증

제31조 검증대상 제품

정보화사업 부서의 장은 다음 각 호에 해당하는 제품을 도입하고자 하거나 도입한 경우 실제 적용ㆍ운용 이전에 안전성을 확인하기 위하여 보안적합성 검증을 받아야 한다.

상용 정보보호시스템 등 정보보호를 목적으로 도입ㆍ운용하는 정보통신제품

각급부서의 장이 자체 개발하거나 업체 등에 의뢰하여 개발한 정보보호시스템

저장매체 소자장비 또는 완전삭제 소프트웨어

L3이상 스위치, 라우터 등 네트워크 장비

정보화사업 부서의 장은 제1항에도 불구하고 다음 각 호에 해당하는 제품의 경우 보안적합성 검증 절차를 생략할 수 있다. 다만 제1호부터 제4호까지에 해당하는 경우에는 국가정보원장이 해당 인증기관 및 시험기관의 결과를 수용한 제품에 한한다.

「국가정보화 기본법」 제38조제1항 및 동법 시행령 제35조에 따라 과학기술정보통신부장관이 정한 정보보호시스템 공통평가기준을 준수한 인증(이하 "CC인증"이라 한다.) 제도에 따라 국내용 CC인증 또는 국제용 CC인증을 받은 정보통신제품

「소프트웨어산업 진흥법」 제13조에 따른 품질인증(이하 "GS인증"이라 한다.)을 받은 정보통신제품

「정보보호산업의 진흥에 관한 법률」 제17조에 따른 성능평가를 받은 정보통신제품

「국가표준기본법」제23조 및 「공인기관 인정제도 운영요령(국가기술표준원 고시)」제3조에 따른 한국인정기구(KOLAS)(이하"한국인정기구"라 한다.)에 의해 국제표준 (ISO/IES 17025)에 따라 인정받은 시험기관에서 시험한 정보통신제품

국가정보원장이 공지한 검증필 제품목록에 등재된 정보통신제품

국가정보원장이 개발하고 안전성을 확인하여 기술 이전한 정보통신제품

정보화사업 부서의 장은 제2항에도 불구하고 취약점이 발견되거나 보안위협이 제기되는 제품의 경우 보안적합성 검증을 받아야 한다.

제32조 검증 기관

소방청장이 도입하고자 하거나 도입한 제31조제1항에 해당하는 제품은 별도로 위임을 받은 경우를 제외하고 국가정보원장에게 검증을 의뢰하여야 한다.

소방청의 소속ㆍ산하기관의 장이 도입하고자 하거나 도입한 제31조제1항에 해당하는 제품은 별도로 위임을 받은 경우를 제외하고 소방청장에게 검증을 의뢰하여야 한다

제1항 및 제2항에도 불구하고 국가정보원장 및 소방청장은 필요하다고 판단하는 경우 제31조에 따른 검증신청 기관의 장과 협의하여 해당 기관의 장이 자체적으로 검증을 실시하게 할 수 있다.

제33조 검증 신청

정보화사업 부서의 장은 제31조제1항에 해당하는 제품을 도입할 경우 사전에 소방청 정보보안담당관에게 보안적합성 검증을 신청하여야 한다.

제31조에 따라 보안적합성 검증을 받고자 할 경우 제32조에 따른 검증 기관에 다음 각 호에 해당하는 문서ㆍ제품 등을 제출하고 검증을 신청하여야 한다.

공통사항가. 서식 제13호에 따른 보안적합성 검증 신청서나. 제안요청서 사본(해당하는 경우)다. 보안기능 운용설명서 등 제품설명서라. CC인증서 사본(해당하는 경우)마. 보안기능 점검결과바. 검증대상 제품(제34조제2항에 따른 시험 단계에서 제출)

서식 제13호에 따른 보안적합성 검증 신청서

제안요청서 사본(해당하는 경우)

보안기능 운용설명서 등 제품설명서

CC인증서 사본(해당하는 경우)

보안기능 점검결과

검증대상 제품(제34조제2항에 따른 시험 단계에서 제출)

네트워크장비가. 제1호의 공통사항 모두나. 장비 펌웨어 이미지 및 해시값다. 서식 제15호에 따른 네트워크 장비 변경 내용 분석서(펌웨어 업데이트 경우에 해당)

제1호의 공통사항 모두

장비 펌웨어 이미지 및 해시값

서식 제15호에 따른 네트워크 장비 변경 내용 분석서(펌웨어 업데이트 경우에 해당)

자체 개발하거나 업체 등에 의뢰하여 개발한 제품가. 제1호의 공통사항 모두나. 기본 및 상세 설계서(검증 기관이 요청할 경우)다. 개발 완료보고서

제1호의 공통사항 모두

기본 및 상세 설계서(검증 기관이 요청할 경우)

개발 완료보고서

제1항에 따라 검증을 신청한 정보화 사업 각급부서의 장은 소방청 정보보안담당관이 필요하다고 판단하여 추가 자료를 요청할 경우 이를 제출하여야 한다.

제34조 안정성 검증

소방청 정보보안담당관은 보안적합성 검증을 효율적으로 수행하기 위하여 제33조에 따라 제출된 문서 내용의 적절성을 검토하여야 한다.

소방청청 정보보안담당관은 검증신청 제품에 대하여 보안기능의 정상 작동여부 등 안전성을 시험할 수 있다. 이 경우 소방청 정보보안담당관은 시험에 필요한 추가 자료 및 장비를 요청할 수 있다.

제35조 검증시험 및 결과조치

소방청 정보보안담당관은 제34조에 따른 제품의 안전성 시험을 완료한 경우 적합여부ㆍ개선방안 등 검증 결과를 검증신청 기관의 장에게 통보하여야 한다.

제1항에 따라 제품의 보안기능 보완 등 개선 조치가 필요하다고 통보받은 각급부서장은 해당조치를 실시하고 그 결과를 소방청청 정보보안담당관에게 통보하여야 한다.

정보화시스템 운영부서의 장은 매 반기마다 해당 반기 내에 도입한 제31조에 따른 모든 제품에 대하여 서식 제16호에 따른 정보통신제품 도입현황 등을 소방청 정보보안담당관에게 제출하여야 한다.

정보화사업 부서의 장은 보안적합성 검증이 완료된 시스템의 형상을 무단 변경하거나 도입 목적 이외의 용도로 운용하기 위해서는 국가정보원장에게 보안적합성 검증 여부를 확인하여야 한다.

제3장 제3장 정보통신망 및 정보시스템 보안

제38조 내부망ㆍ인터넷망 분리 운영

각급기관의 장은 내부망과 인터넷망을 분리ㆍ운영하여야 한다.

제1항의 내부망과 인터넷망을 분리ㆍ운영할 경우 다음 각 호의 사항을 포함하여 보안대책을 수립ㆍ시행하여야 한다.

침입차단ㆍ탐지시스템 설치 등 비인가자 침입 차단대책

네트워크 접근관리시스템 설치 등 비인가 장비의 내부망 접속 차단 대책

내부망 정보시스템의 인터넷 접속 차단대책

내부망과 기관 인터넷망간 안전한 자료전송 대책

그 밖의 국가정보원장이 배포한 「국가ㆍ공공기관 업무전산망 분리 및 자료 전송보안가이드라인」에서 제시하는 보안대책

각급기관의 장은 정보시스템에 부여되는 IP주소를 체계적으로 관리하여야 하며 비인가자로부터 내부망을 보호하기 위하여 네트워크주소변환기(NAT)를 이용하여 사설 IP주소체계를 구축ㆍ운영하여야 한다. 또한 IP주소별로 정보시스템 접속을 통제하여 비인가 기기에 의한 내부망 접속을 차단하여야 한다.

각급기관의 장은 분리된 내부망과 기관 인터넷망간 자료전송을 위한 접점이 불가피한 경우 다음 각 호의 사항을 포함함 보안대책을 수립ㆍ시행하여야 한다.

침입차단ㆍ탐지시스템 설치ㆍ운용

내부망과 기관 인터넷망간 접점 최소화

내부망과 기관 인터넷망간 일방향 전송장비 등을 이용한 자료전송체계를 구축ㆍ운영하고 원본파일은 3개월 이상, 전송기록은 6개월 이상 유지

정기적으로 전송실패 기록을 확인하고 악성코드 유입 여부 등 점검

내ㆍ외부망 자료를 전송할 경우 자료전송시스템 이용

각급기관의 장은 제1항에도 불구하고 예산 부족 등 사유로 부득이한 경우 소방청 정보화담당관과 협의하여 내부망과 인터넷망을 분리하지 아니할 수 있다. 이 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

정보시스템 및 개별사용자 PC 영역 등에 대한 접근 통제대책

인터넷 PC의 악성코드 감염 최소화를 위한 인터넷 사용 통제대책

인터넷 PC의 악성코드 감염에 따른 내부망으로 피해확산 차단대책

사이버공격 탐지ㆍ대응 등 안전한 업무환경을 위한 보호대책

각급기관의 장은 내부망 및 인터넷망 IP주소 현황을 정기적으로 확인하고 갱신하여야 한다.

제39조 정보보호시스템ㆍ네트워크장비 보안

각급기관의 장은 침입차단시스템 등 정보보호시스템과 스위치ㆍ라우터 등 네트워크장비를 설치ㆍ운영하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

물리적으로 안전한 장소에 설치하여 비인가자의 무단접근 통제

기관 외부 정보통신망에서 정보보호시스템ㆍ네트워크장비에 대한 원격접속 금지. 다만 기관 내부에서의 원격접속은 보안대책 수립 후 허용

최초 설치할 경우 디폴트 계정은 삭제하거나 변경 사용하고 장비 관리를 위한 관리자 계정을 별도로 생성ㆍ운영

불필요한 서비스 포트와 개별사용자 계정은 차단 및 삭제

펌웨어 무결성과 컴퓨터 운영체제ㆍ소프트웨어의 취약점 및 버전 업데이트 여부를 정기적으로 점검하고 최신 버전으로 제시

장비관리자는 정보보호시스템ㆍ네트워크장비의 로그기록을 1년 이상 유지하여야 하고 비인가자의 접속 여부를 정기적으로 점검하여 그 결과를 각급기관 정보보안담당관에게 통보하여야 한다.

제40조 무선랜 보안

각급기관의 장은 내부망을 제외한 정보통신망에서 다음 각 호의 경우와 같이 청사 내에 무선랜(WiFi)을 구축ㆍ운용할 수 있다.

소방청 인터넷 중계기(AP)를 설치하여 제70조1항에 따라 소방청에서 지급한 단말기의 접속만을 허용하는 업무용 무선랜

상용 인터넷망에 중계기(AP)를 설치하여 제75조에 따라 반입한 공무원 등의 개인 소유 이동통신단말기의 접속만을 허용하는 무선랜

상용 인터넷망에 중계기(AP)를 설치한 외부인 전용 무선랜

각급기관의 장은 제1항의 보안대책 수립 시 다음 각 호의 사항을 포함하여야 한다.

네트워크 이름(SSID : Service Set Identifier) 브로드캐스팅 중지

추측이 어려운 복잡한 SSID 사용

WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화

비인가 단말기의 무선랜 접속 차단 및 무선랜 이용 단말기를 식별하기 위한 IP주소 할당기록 등 유지

IEEE 802.1X, AAA(Authentication Authorization Accounting) 등의 기술에 따라 상호 인증을 수행하는 무선랜 인증제품 사용

무선침입방지시스템 설치 등 침입 차단 대책

내부망 정보시스템 또는 인접해 있는 다른 기관의 정보시스템이 해당 무선랜에 접속되지 아니하도록 하는 기술적 보안대책

그 밖에 무선랜 단말기ㆍ중계기(AP) 등 구성요소별 분실ㆍ탈취ㆍ훼손ㆍ오용 등에 대비한 관리적ㆍ물리적 보안대책

각급기관의 정보보안담당관은 제1항 및 제2항과 관련한 보안대책의 적절성을 수시로 점검ㆍ보완하여야 한다.

제41조 이동통신망 보안

정보화사업 부서의 장은 이동통신망(HSDPAㆍWCDMAㆍLTEㆍ5G)을 이용하여 시스템을 구축하거나 중요자료를 소통하고자 할 경우 암호화 및 비인가 단말기의 이동통신망 접속 차단 장 등 기술적 보안대책을 수립ㆍ시행하여야 한다.

제1항에 따라 이동통신망을 이용한 시스템을 구축ㆍ운용할 경우 해당 기관의 정보통신망과 혼용되지 않도록 하여야 한다.

제42조 영상회의시스템 보안

각급기관의 장은 영상회의시스템을 구축ㆍ운용하고자 할 경우 통신망(국가정보통신망ㆍ전용선ㆍ인터넷 등) 암호화 등 보안대책을 수립ㆍ시행하여야 한다.

그 밖의 영상회의시스템 보안과 관련한 사항은 국가정보원장이 배포한「안전한 정보통신 환경 구현을 위한 네트워크 구축 가이드라인」을 준수하여야 한다.

제43조 인터넷전화 보안

각급기관의 장은 인터넷전화시스템을 구축ㆍ운용하거나 민간 인터넷전화 사업자망을 이용하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

한국정보통신기술협회(TTA) verified ver

이상 보안규격으로 인증받은 행정기관용 인터넷전화시스템 설치ㆍ운용

인터넷전화기에 대한 장치 및 사용자 인증

제어신호 및 통화내용 등 데이터 암호화

인터넷전화 전용 침입차단시스템 등 정보보호시스템 설치ㆍ운용

백업체제 구축

민간 인터넷전화 사업망을 이용할 경우 해당 사업자로 하여금 서비스 제공 구간에 대한 보안대책을 수립하도록 하여야 한다.

외교ㆍ국방 등 국가안보 관련 각급기관의 장은 인터넷전화시스템을 구축ㆍ운용하고자 할 경우 국가정보원장이 별도로 정한 암호기술 규격을 준수하여야 한다.

제44조 인터넷 사용 제한

각급기관의 장은 국가비상사태 및 대형 재해ㆍ재난의 발생, 사이버공격 등으로부터 정보통신망과 정보시스템의 정상적인 운영을 보장하기 위하여 소속 공무원 등에 대한 인터넷 사용을 일부 또는 전부를 제한할 수 있다.

각급기관의 장은 기관 인터넷망의 효율적인 운영 관리 및 악성코드 유입차단을 위하여 게임ㆍ음란ㆍ도박 등 업무와 관련이 없는 인터넷 이용을 차단하여야 한다.

제2항에도 불구하고 업무에 필요한 경우 각급부서의 장은 정보보안담당관에게 필요한 웹사이트의 접속허용을 요청할 수 있으며, 정보보안담당관은 접속허용 여부를 검토하여 접속을 허용할 수 있다.

소방청장은 외국에 사무소를 개설ㆍ운용할 경우 소방청 정보보안담당관으로 하여금 해당 사무소의 정보통신망 및 정보시스템에 대한 보안관리 실태를 점검하고 취약요인을 개선하도록 하여야 한다.

제46조 정보시스템 보안책임

정보시스템(PCㆍ서버ㆍ네트워크장비ㆍ정보통신기기 등을 포함한다)을 도입ㆍ운용할 운영부서의 장은 해당 정보시스템에 대하여 관리자 및 관리책임자를 지정ㆍ운영하여야 한다.

정보시스템 운영부서의 장은 서버ㆍ네트워크장비 등 부서가 공동으로 사용하는 정보시스템의 운용ㆍ관리에 대한 보안책임을 진다.

정보시스템 관리책임자는 정보시스템을 실제 운용하는 부서의 장이 되며 관리책임자는 서식 제6호에 따른 정보시스템 관리대장을 수기 또는 전자적으로 작성ㆍ관리하여야 한다.

정보시스템 관리책임자는 해당 부서의 서식 제6호에 따른 정보시스템관리대장에 정보시스템의 최종 변경 현황을 유지하여야 하며 사본 1부를 각 기관의 정보보안담당관에게 제출하여야 한다.

각급기관의 정보보안담당관은 정보시스템 운용과 관련하여 보안취약점을 발견하거나 보안대책 수립이 필요하다고 판단하는 경우 개별사용자, 정보시스템 운영부서의 장에게 개선 조치를 요구할 수 있으며 조치가 완료될 때까지 정보시스템의 운용을 일시 제한할 수 있다.

제47조 정보시스템 유지보수

각급기관의 장은 정보시스템의 유지보수와 관련한 절차, 주기, 문서화 등과 관련한 사항을 자체 규칙에 포함하여야 한다. 정보시스템의 유지보수 절차 및 문서화를 수립할 경우 고려사항은 다음 각 호와 같다.

유지보수 인원에 대한 보안서약서 집행, 보안교육 등을 포함한 유지보수 인가 절차를 마련하고 인가된 인원만 유지보수에 참여

결함이 의심되거나 발생한 결함, 예방 및 유지보수에 대한 기록 유지

유지보수를 위하여 정보시스템을 원래 설치장소에서 다른 장소로 이동할 경우 통제수단 마련

유지보수 일시 및 담당자 인적사항, 출입통제 조치사항, 작업수행 내용 등 기록유지

정보시스템 관리자는 용역업체 등이 유지보수와 관련한 장비ㆍ도구 등을 반출ㆍ반입할 경우 악성코드 감염 여부 및 자료 무단 반출 여부 확인 등 보안조치를 실시하고 그 결과를 각급기관의 정보보안담당관에게 제출하여야 한다.

정보시스템 관리자는 직접 또는 용역업체를 활용하여 정보시스템을 유지보수 할 경우 내부망 및 인터넷망과 분리된 별도의 유지보수 전용 정보통신망 및 전용 단말기를 사용하여야 하며, 외부 정보통신망에서 원격으로 유지 보수하여서는 아니 된다. 다만 불가피한 경우 보안대책 수립 후 각급기관의 정보보안담당관의 승인을 받아 수행하거나 용역업체에게 일정기간 동안 매번 접속 포트(PORT)를 열어주는 방식으로 접속을 허용할 수 있으며 접속 사실이 기록된 로그기록은 1년 이상 보관하여야 한다.

정보시스템 관리자는 정보시스템의 기능 개선ㆍ오류 수정 등을 위하여 용역업체를 통한 프로그램 개발이 필요한 경우 용역업체 인원을 해당 기관에 상주시켜 개발 작업을 수행하여야 한다. 프로그램 개발이 완료된 경우에는 정상작동 여부 등 안전성을 확인한 후 적용하여야 한다.

각급기관의 장은 소관 정보시스템에 대하여 중요도ㆍ가용성 등에 따라 등급을 분류하고 해당 등급에 맞게 정보 보존 및 관리, 장애관리, 보안관리 등을 수행하여야 한다.

소방청 정보보안담당관은 보안관리를 위한 정보화사업 부서의 장에게 정보시스템 구성도, 정보시스템 사양 등 보안관리에 필요한 자료를 요청할 수 있다. 이 경우 정보화사업 부서의 장은 불가피한 사정이 없는 한 제출하여야 한다.

제48조 정보시스템 위탁운영 보안

정보시스템 운영부서의 장은 소관 정보시스템에 대하여 외부업체 위탁운영을 최소화하여야 한다. 다만 위탁운영을 할 경우에는 관리적ㆍ물리적ㆍ기술적 보안대책을 수립ㆍ시행하여야 한다.

정보시스템의 위탁운영은 다른 기관 또는 외부업체 인원이 소방청(소속기관 포함)에 상주하여 수행하는 것을 원칙으로 한다. 다만, 소방청(소속기관 포함)에 상주가 불가한 경우에는 보안대책 수립 후 그러하지 아니할 수 있다.

그 밖의 정보시스템 위탁운영 보안과 관련한 사항은 제26조(용역업체 보안)을 준용한다.

제49조 서버 보안

소방청 및 소속ㆍ산하기관의 정보시스템 운영부서의 장은 서버(정보통신망 포함)의 보안관리를 위하여 서버별로 관리책임자(이하‘시스템관리자’라 한다)를 지정 운영하여야 한다.

각급기관의 장은 서버를 도입ㆍ운용할 경우, 다음과 같이 소방청 정보보안담당관과 협의하여 해킹에 의한 자료 절취, 위ㆍ변조 등에 대비한 아래의 보안대책을 수립ㆍ시행하여야 한다.

서버 내 저장자료에 대해 업무별 자료별 중요도에 따라 사용자의 접근 권한을 차등 부여

사용자별 자료의 접근범위를 서버에 등록하여 인가 여부를 식별토록 하고 인가된 범위 이외의 자료접근을 통제

서버의 운용에 필요한 서비스 포트 외에 불필요한 서비스 포트 제거 및 관리용 서비스와 사용자용 서비스를 분리 운용

서버의 관리용서비스 접속 시 특정 IP와 MAC 주소가 부여된 관리용 단말을 지정 운용

서버 설정 정보 및 서버에 저장된 자료에 대해서는 정기적으로 백업을 실시하여 복구 및 침해행위에 대비

데이터베이스에 대하여 사용자의 직접적인 접속을 차단하고 개인정보 등 중요정보를 암호화하는 등 데이터베이스별 보안조치를 실시

정보시스템 운영부서의 장은 제2항에 따른 보안대책의 적절성을 수시 확인하되, 연 1회 이상 서버 설정 정보와 저장자료의 절취 및 위ㆍ변조 가능성 등 보안취약점을 점검ㆍ보완하여야 한다.

제50조 공개서버 보안

정보화사업 부서의 장은 외부인에게 공개할 목적으로 설치되는 웹서버 등 공개서버를 내부망과 분리된 영역(DMZ)에 설치ㆍ운용하여야 한다.

정보화사업 부서의 장은 비인가자에 의한 서버 저장자료의 절취, 위ㆍ변조 및 분산서비스거부(DDoS) 공격 등에 대비하기 위한 보안대책을 강구하여야 한다.

정보화사업 부서의 장은 비인가자의 공개서버에 대한 무단 접근을 방지하기 위하여 서버 접근 사용자를 제한하고 불필요한 계정을 삭제하여야 한다.

공개서버의 서비스에 필요한 프로그램을 개발하고 시험하기 위해 사용된 도구(컴파일러 등)는 개발 완료 후 삭제를 원칙으로 한다.

공개서버의 보안관리에 관련한 그 밖에 사항에 대해서는 제49조에 따른다.

제51조 로그기록 유지

정보시스템 운영부서의 장은 정보시스템의 효율적인 통제ㆍ관리 및 사고 발생 시 추적 등을 위하여 로그기록을 유지ㆍ관리하여야 한다.

제1항에 따른 로그기록은 다음 각 호의 사항이 포함되어야 한다.

접속자, 정보시스템ㆍ응용프로그램 등 접속대상

로그온ㆍ오프, 자료의 열람ㆍ출력 등 작업 종류 및 시간

접속 성공ㆍ실패 등 작업 결과

전자우편 사용 등 외부발송 정보 등

정보시스템 관리자는 로그기록을 생성하는 정보시스템의 경우 시간 동기화 프로토콜(NTP) 적용 등을 통해 정확한 기록을 유지하여야 한다.

정보시스템 관리자는 로그기록을 정기적으로 점검하고 점검 결과 비인가자의 접속 시도, 위ㆍ변조 및 삭제 등 의심스러운 정황이나 위반한 사실을 발견한 경우 즉시 소방청 정보보안담당관에게 통보하여야 한다.

정보시스템 관리자는 로그기록을 1년 이상 보관하여야 하며 로그기록의 위ㆍ변조 및 외부유출 방지대책을 수립ㆍ시행하여야 한다.

제52조 업무용 통신단말기 보안

각급기관의 장은 업무용 통신단말기를 이용하여 업무자료 등 중요정보를 소통ㆍ관리하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

통신단말기에 대한 장치 및 개별사용자 인증

제어신호 및 통화내용 등 데이터 암호화

분실ㆍ탈취ㆍ훼손 등에 대비한 관리적ㆍ물리적ㆍ기술적 보안대책

각급기관의 장은 제1항제1호에 따른 통신단말기 개별사용자를 대상으로 인증 및 암호화에 필요한 디지털정보를 발급할 수 없을 경우 국가정보원 「정보통신기기 암호기술 적용지침」을 준수하여야 한다.

각급기관의 장은 주요 보직자가 안전한 통화를 위하여 사용하는 공용휴대폰(이하 "보안폰"이라 한다.)이 분실ㆍ훼손되지 않도록 현황을 관리하여야 한다. 이 경우 데이터 암호화 등을 위하여 필요한 소프트웨어의 설치ㆍ유지보수 등을 지원할 수 있다.

제53조 모바일 업무보안

각급기관의 장은 휴대폰ㆍ태블릿PC 등을 이용한 모바일 업무환경(내부 행정업무, 현장 행정업무 및 대민서비스 업무 등)을 구축ㆍ운용하고자 할 경우 보안대책을 수립ㆍ시행하여야 한다.

그 밖의 모바일 업무 보안과 관련한 사항은 국가정보원장이 배포한 「국가ㆍ공공기관 모바일 활용업무에 대한 보안가이드라인」을 준수하여야 한다.

제54조 원격근무 보안

각급기관의 장은 재택ㆍ파견ㆍ이동근무 등 원격근무를 지원하기 위한 정보시스템을 도입ㆍ운영할 경우 기술적ㆍ관리적ㆍ물리적 보안대책을 수립하여야 한다.

각급기관의 장은 원격근무를 지원하기 위하여 원격근무 가능 업무 및 공개ㆍ비공개 업무 선정기준을 수립하여야 하고 비밀ㆍ대외비를 취급하는 업무는 원격근무 대상에서 제외하여야 한다. 다만 불가피한 경우에는 보안대책 수립 후 소방청 정보보안담당관과 사전 협의하여야 한다.

각급기관의 장은 모든 원격근무자에게 보안서약서를 징구하고 원격근무자의 보직변경ㆍ퇴직 등 상황 발생 시 정보시스템 접근권한 조정 등 관련 절차를 수립하여야 한다.

원격근무자는 원격근무 시 사이버공격으로 인한 업무자료 유출을 방지하기 위하여 원격근무용 단말기에 보안소프트웨어 등을 설치ㆍ운영하고 단말기 수시 점검 및 업무자료 저장금지 등 보안조치를 하여야 한다.

원격근무자는 원격근무용 단말기 고장 등으로 단말기를 정비 또는 반납하고자 할 경우 자료유출 방지 등 보안대책 수립 후 각급기관 정보보안담당관과 협의하여 관련 조치를 하여야 한다.

각급기관 정보보안담당관은 비공개 업무와 관련한 원격근무의 경우에는 안전성이 확인된 상용 암호모듈을 사용하여 소통자료를 암호화하고 행정전자서명체계(GPKI)를 이용하여 일회용 비밀번호ㆍ생체인증 등 보안기술을 적용하여야 한다.

각급기관의 정보보안담당관은 원격근무와 관련한 보안대책 이행 여부를 정기적으로 점검ㆍ보완하여야 한다.

정보시스템 운영부서의 장은 정보시스템을 폐기ㆍ양여ㆍ교체ㆍ반납(이하 "불용처리"라 한다)하거나 외부 수리를 위하여 기관 외부로 반출할 경우 저장매체에 보관된 자료의 삭제 등 보안조치에 대한 책임을 진다.

제56조 국제회의 보안

각급기관의 장은 국제협상 등 중요 국제회의를 위하여 PCㆍ노트북 등 정보시스템을 국외 현지에서 설치ㆍ운용하고자 할 경우 관련 정보ㆍ자료가 유출되지 아니하도록 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

설치장소에 대한 물리적 접근통제

정보시스템 접근통제 및 분실 방지 등 보안관리

정보시스템 저장자료 암호화 등 자료 접근통제

전화기ㆍ팩스 등 통신장비에 대한 도청방지

제57조 저장매체 불용처리

각급기관의 장은 정보시스템 또는 저장매체(하드디스크ㆍ반도체 기반 저장장치(SSD) 등)를 외부 수리ㆍ교체ㆍ반납ㆍ양여ㆍ폐기ㆍ불용 처리하고자 할 경우 정보시스템 및 저장매체에 저장된 자료가 외부에 유출되지 않도록 자료 삭제 등 보안조치를 하여야 한다.

제1항에 따라 자료를 삭제할 경우 다음 각 호에 따라야 한다.

공개 자료가 저장된 저장장치 : 포맷 또는 삭제

비공개 자료가 저장된 저장장치 : 물리적 파괴, 디가우징 또는 완전삭제SW에 의한 삭제(하드디스크에 한함)

대외비, 비밀 또는 암호화 키가 저장된 저장장치 : 물리적 파괴

제2항의 물리적 파괴의 방법은 소각ㆍ파쇄ㆍ용해 등의 방법으로 완전히 파괴하여야 한다.

기타 정보시스템 및 저장매체의 불용처리와 관련한 사항은 국가정보원장이 배포한「정보시스템 저장매체 불용처리지침」을 준수하여야 한다.

제58조 비밀의 전자적 처리

각급기관의 장은 「보안업무규정」에 따라 비밀의 생산, 분류, 보관, 열람, 출력, 송ㆍ수신, 이관, 파기 등을 전자적으로 처리 할 수 있다.

각급기관의 장은 비밀을 전자적으로 처리하는 전 과정에서 기밀성, 무결성, 인증, 부인방지 등 보안성을 확보하여야 하며 이를 위하여 국가정보원장이 개발하거나 확인한 암호자재를 사용하여야 한다.

제1항에 따라 비밀을 전자적으로 처리할 경우 내부망과 인터넷망이 물리적으로 분리된 기관은 내부망PC에서 비밀을 전자적으로 처리할 수 있다.

종이문서로 출력된 비밀의 관리에 대하여는 「보안업무규정」을 준수하여야 한다.

제59조 비밀관리시스템 운용

각급기관의 장은 비밀을 전자적으로 안전하게 처리하기 위하여 개발ㆍ보급된 비밀관리시스템을 도입ㆍ운용할 수 있다.

비밀관리시스템을 구축한 기관의 장은 비밀의 생산ㆍ보관ㆍ유통 등 전반에 대하여 비밀관리시스템을 활용하여 비밀을 안전하게 관리하여야 한다.

각급기관의 장은 비밀관리시스템을 자체적으로 개발ㆍ운용하고자 할 경우 다음과 같이 비밀의 전자적 처리 규격을 준수하여 개발하여야 한다.

비밀의 생산, 분류, 보관, 열람, 출력, 송ㆍ수신, 이관, 파기 등 전과정에서 요구되는 보안기능

비밀의 관리를 위한 기능

비밀을 표시하기 위한 양식 및 외형 정의

비밀을 전자적으로 처리하면서 발생하는 각종 로그 기록ㆍ관리 기능

비밀을 관리하기 위한 각종 대장 및 카드 정의

개별사용자 및 시스템 관리 기능

그 밖에 비밀을 전자적으로 처리하는데 필요한 보안ㆍ관리 기능

제60조 대외비의 전자적 처리

각급기관의 장은 대외비를 전자적으로 처리하고자 할 경우 보호기간이 만료되지 않은 대외비는 국가정보원장이 안전성을 확인한 상용 암호모듈을 사용하여 위조ㆍ변조ㆍ훼손 및 유출 등을 방지하기 위한 보안대책을 강구하여야 하며, 보호기간이 만료된 대외비는 「국가정보보안 기본지침」제66조 따른 비공개 업무자료의 처리 기준을 준용하여야 한다.

각급기관의 장은 업무와 관계되지 아니한 사람이 대외비를 열람, 복제ㆍ복사, 배부할 수 없도록 보안대책을 수립ㆍ시행하여야 한다.

제61조 비공개 업무자료 처리

공무원등은 비공개 업무자료를 다음 각 호의 어느 하나에 해당하는 방법으로 처리하여야 한다.

소속 또는 근무 중인 기관의 내부망 PC, 서버 및 G드라이브에 작성 및 저장ㆍ보관

소속 또는 근무 중인 기관의 장이 지급한 휴대용 저장매체에 작성 및 저장ㆍ보관

소속 또는 근무 중인 기관의 장이 자체적으로 구축ㆍ운용하는 전자우편시스템(이하 "기관 전자우편"이라 한다), 공무원 등이 공동으로 사용할 목적으로 문화체육관광부장관이 구축ㆍ운용하는 전자우편시스템(이하 "공직자통합메일"이라 한다) 및 공무원 등이 다른 공무원등과 자료를 공유하거나 소통하기 위하여 사용하는 전용(專用) 소프트웨어(이하 "공공 전용(專用) 메신저"라 한다)를 이용한 수ㆍ발신

그 밖에 다른 법규에 따라 허용되는 처리방법

공무원등은 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우 소속 또는 근무 중인 기관의 장이 지급한 인터넷 PC 또는 출장용 노트북을 이용하여 비공개 업무자료를 처리할 수 있다.

기관 전자우편, 공직자통합메일 또는 공공 전용(專用) 메신저의 발신 기능을 이용하여 비공개 대상 정보의 주요내용이 기술된 문장 또는 문구 작성

기관 전자우편, 공직자통합메일 또는 공공 전용(專用) 메신저로 수ㆍ발신하는 과정에서의 일시적 저장

공무원등은 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우 개인이 소유한 PCㆍ휴대용 저장매체ㆍ휴대폰 등을 이용하여 비공개 업무자료를 처리할 수 있다.

기관 전자우편, 공직자통합메일 또는 공공 전용(專用) 메신저의 발신 기능을 이용하여 비공개 대상 정보의 주요내용이 기술된 문장 또는 문구 작성

기관 전자우편, 공직자통합메일 또는 공공 전용(專用) 메신저로 수ㆍ발신하는 과정에서의 일시적 저장

국가정보원장이 안전성을 확인한 원격근무시스템에 접속하여 작성

국민의 생명ㆍ신체, 국가안보 및 공공의 안전 등을 위하여 긴급히 작성, 저장, 수ㆍ발신이 필요하다고 소속 또는 근무 중인 기관의 장이 인정하는 경우

공무원등은 제3항제4호에 해당하는 경우를 제외하고는「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제2호에 따른 정보통신서비스(전자우편ㆍ메신저 등을 포함한다) 또는 국외에서 제공하는 이와 유사한 서비스(이하 "상용 정보통신서비스"라 한다)를 이용하여 비공개 업무자료를 처리하여서는 아니 된다.

공무원등은 제2항부터 제4항까지에 따라 작성ㆍ저장한 비공개 업무자료는 활용 후 즉시 삭제하여야 한다.

공무원등은 개별사용자 본인의 관리 소홀에 따른 비공개 업무자료 누출 시 일체의 보안관리 책임을 진다.

제62조 비공개 업무자료 유출방지

각급기관의 장은 제61조에 따른 비공개 업무자료 처리 절차 준수 여부를 관리ㆍ통제할 수 있는 보안체계를 구축ㆍ운영하여야 한다.

각급기관의 장은 행정안전부장관이「국가 정보보안 기본지침」제68조제2항에 따라 개발ㆍ보급하는 소프트웨어를 적극 이용하여야 한다.

제63조 행정전자서명 인증서 등 관리

공무원등은 비공개 업무자료를 처리하기 위하여「전자정부법」제29조에 따른 행정전자서명의 인증서(이하"행정전자서명 인증서"라 한다.)를 인터넷PC 또는 개인이 소유한 PCㆍ휴대용 저장매체ㆍ휴대폰 등에 저장ㆍ보관할 수 있다.

공무원등은 행정전자서명 인증서 및 인증서의 비밀번호, 기관 전자우편 또는 공직자통합메일의 비밀번호 등을 상용 정보통신서비스를 이용하여 수ㆍ발신하거나 저장ㆍ보관하여서는 아니 된다.

공무원등은 관계 법규에 위배되지 않는 범위 내에서 각종 정보통신기기 및 서비스를 활용하여 공개 업무자료를 처리할 수 있다.

제65조 홈페이지 등 게시자료 보안

각급기관의 장은 비공개 업무자료가 홈페이지 또는 외부 웹사이트(이하 "홈페이지 등"이라 한다.)에 무단 게시되지 않도록 게시자료의 범위, 자료의 게시방법 등을 규정한 자체 홈페이지 정보공개 보안지침을 수립ㆍ시행하여야 한다.

각급기관의 정보보안담당관은 해당 부서에서 홈페이지 등에 업무자료를 게시하고자 할 경우 자료 내용을 사전 검토하여 비공개 업무자료가 게시되지 아니하도록 하여야 한다.

각급기관의 장은 소속 부서에서 운용하는 홈페이지에서 비공개 업무자료가 무단 게시되었는지를 주기적으로 점검하여야 한다.

각급기관의 장은 홈페이지 등에 비공개 업무자료가 무단 게시된 사실을 알게 된 경우 즉시 삭제 또는 차단 등 보안조치를 하여야 한다.

제66조 정보통신망 현황자료 관리

각급기관의 장은「국가 정보보안 기본지침」제71조제1항 각 호에 해당하는 자료는 비밀로 분류ㆍ관리하여야 하며 「국가 정보보안 기본지침」제2항 각 호에 해당하는 자료는 비공개로 지정ㆍ관리하여야 한다.

각급기관의 장은 제1항에도 불구하고 다른 기관과 협력하여 정보통신망 및 정보시스템 운용 또는 정보보안업무를 수행할 필요가 있는 경우「국가 정보보안 기본지침」제1항 및 제2항 각 호에 해당하는 자료를 다른 기관의 장에게 제공할 수 있다.

제67조 빅데이터 보안

각급기관의 장은 빅데이터와 관련한 시스템을 구축ㆍ운용하고자 할 경우「국가 정보보안 기본지침」제72조제1항 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

그 밖에 빅데이터 보안과 관련한 사항은 행정안전부장관이 고시한「개인정보의 안전성 확보조치 기준」및 국가정보원장이 배포한「국가ㆍ공공기관 빅데이터 보안 가이드라인」을 준수하여야 한다.

제68조 암호자제 및 암호알고리즘 등

각급기관의 장은 비밀 또는 중요자료를 소통ㆍ보호하고자 할 경우 국가정보원장이 개발하거나 안전성을 확인한 암호자재 또는 암호알고리즘(중요자료 소통ㆍ보호에 한함)을 사용하여야 한다.

제1항에 따른 암호자제 또는 암호화알고리즘의 개발ㆍ적용ㆍ운용ㆍ보관ㆍ반납ㆍ파기 등 관리절차 등은「국가정보보안 기본지침」제102조부터 제130조를 따른다.

제69조 개별사용자 보안

각급기관의 장은 소관 정보통신망 또는 정보시스템의 사용과 관련하여 다음 각 호의 사항을 포함한 개별사용자 보안에 관한 절차 및 방법을 마련하여야 한다.

직위ㆍ임무별 정보통신망 접근권한 부여 심사

비밀 등 중요자료 취급 시 비밀취급 인가, 보안서약서 징구 등 보안조치

보직변경, 퇴직 등 변동사항 발생 시 정보시스템 접근권한 조정

제1항에 따라 접근권한을 부여하는 경우 필요 최소한으로 부여하여야 하며, 공무원등의 보직변경ㆍ유지보수인력 교체 등으로 접근권한 조정 사유가 발생한 경우 즉시 조정하여야 한다.

개별사용자는 본인이 PC 등 정보시스템을 사용하거나 정보통신망에 접속하는 행위와 관련하여 스스로 보안책임을 진다.

제70조 단말기 보안

개별사용자는 소속 기관에서 지급받은 PCㆍ노트북ㆍ휴대폰ㆍ스마트패드 등 단말기(이하"단말기"라 한다.) 사용과 관련한 모든 보안관리의 책임을 진다.

각급 부서의 장은 단말기를 포함한 PC 등을 사용할 경우에는 사용자 및 관리책임자를 지정하여야 한다. 이 경우에 관리책임자는 취급자를 서식 제6호의 정보시스템 관리대장에 적어서 관리하여야 한다.

개별사용자는 단말기에 대하여 다음 각 호에 해당하는 보안대책을 준수하여야 한다.

CMOSㆍ로그온ㆍ자료 암호화 비밀번호의 정기적 변경 사용

PC등 단말기를 10분 이상 작업 중단 시 비밀번호가 적용된 화면보호 조치

최신 백신 소프트웨어 설치

운영체제 및 응용프로그램에 대한 최신 보안패치 유지

출처, 유통경로 및 제작자가 불분명한 응용프로그램의 사용 금지

인터넷을 통해 자료(파일) 획득시 신뢰할 수 있는 인터넷사이트를 활용하고 자료(파일) 다운로드 시 최신 백신 소프트웨어로 검사 후 활용

인터넷 파일공유ㆍ메신저ㆍ대화방 프로그램 등 업무상 불필요한 프로그램 설치 금지 및 공유 폴더 삭제

웹브라우저를 통해 서명되지 않은 액티브-X 등이 다운로드ㆍ실행되지 않도록 보안설정

내부망과 기관 인터넷망이 분리된 기관의 인터넷 PC에서는 특별한 사유가 없는 한 문서프로그램을 읽기 전용으로 운용

그 밖에 국가정보원장이 안전성을 확인하여 배포한 프로그램의 운용 및 보안권고문 이행

각급기관의 정보보안담당관은 개별사용자의 보안대책 준수 여부를 주기적으로 점검하고 개선 조치하여야 한다.

제71조 계정 관리

정보시스템 운영부서의 장은 개별사용자에게 정보시스템 접속에 필요한 사용자 계정(ID)을 부여하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.

개별사용자별 또는 그룹별로 접근권한 부여

외부인에게 계정을 부여하지 아니하되 업무상 불가피한 경우 해당 부서장 책임하에 보안조치 후 필요한 업무에 한하여 일정기간 동안 접속 허용

비밀번호 등 사용자 식별 및 인증 수단이 없는 사용자 계정은 사용 금지

특별한 사유가 없는 한 용역업체 인원에게 관리자 계정 부여 금지

정보시스템 운용부서의 장은 개별사용자가 시스템 접속에 5회 이상 실패할 경우 접속이 중단되도록 시스템을 설정하고 비인가자의 침입 여부를 점검하여야 한다.

정보시스템 운용부서의 장은 직원의 퇴직 또는 보직변경 발생시 사용하지 않는 사용자계정을 신속히 삭제하거나 부여된 접근권한을 회수하여야 한다.

정보시스템관리자는 사용자 계정 부여 및 관리의 적절성을 연 2회 이상 점검하고 그 결과를 정보안담당관에게 통보하여야 한다.

정보시스템 관리자는 접근권한 부여, 변경, 회수 또는 삭제 등에 대한 내용을 기록하고 3년 이상 보관하여야 한다.

제72조 비밀번호 관리

개별사용자 및 정보시스템 관리자는 각종 비밀번호를 숫자와 문자, 특수문자 등을 혼합하여 안전하게 설정하고 정기적으로 변경ㆍ사용하여야 한다.

비밀번호를 설정할 경우 다음 각 호의 사항을 준수하여야 한다.

사용자계정(ID)과 동일하지 않은 것

개인 신상 및 부서명칭 등과 관계가 없는 것

일반 사전에 등록된 단어는 사용을 피할 것

동일 단어 또는 숫자를 반복하여 사용하지 말 것

사용된 비밀번호는 재사용하지 말 것

동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것

응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지

정보시스템 관리자는 서버 등 정보시스템에 보관되는 비밀번호가 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

정보시스템 운영부서의 장은 사용자를 식별 또는 인증하기 위하여 비밀번호에 갈음하거나 병행하여 지문인식 등 생체인증 기술 및 일회용 비밀번호 생성기(OTP) 등을 안전성 확인 후 사용할 수 있다. 이 경우 생체인증 정보는 안전하게 보관하여야 한다.

제73조 전자우편 보안

각급 기관의 장은 전자우편을 컴퓨터바이러스ㆍ트로이목마 등 악성코드로부터 보호하기 위하여 백신 소프트웨어 설치, 해켕메일차단시스템 구축 등 보안대책을 수립ㆍ시행하여야 한다.

개별사용자는 전자우편에 포함된 붙임파일이 자동 실행되지 않도록 설정하고 첨부파일을 다운로드 할 경우 최신 백신으로 악성코드 은닉 여부를 검사하여야 한다.

개별사용자는 출처가 불분명하거나 의심되는 제목의 전자우편은 열람하지 말고 해킹메일로 의심되는 메일 수신 때에는 즉시 소방청 정보보안담당관에게 신고하여야 한다.

제74조 (휴대용 저장매체 보안)

각급기관의 장은 휴대용 저장매체를 사용하여 업무자료를 보관하고자 할 경우 자료의 위ㆍ변조, 저장매체의 훼손ㆍ분실 등에 대비한 보안대책을 수립ㆍ시행하여야 한다.

각급기관의 장은 휴대용 저장매체 관리시스템을 운용하고자 할 경우 국가정보원장이 안전성을 확인한 제품을 도입하여야 한다.

정보보안담당관은 사용자가 휴대용 저장매체를 PCㆍ서버 등에 연결할 경우 자동 실행되지 아니하고 최신 백신 소프트웨어로 악성코드 감염여부를 자동 검사하는 등의 보안 정책을 수립ㆍ시행하도록 관리하여야 한다.

각급부서 장은 휴대용 저장매체를 비밀용ㆍ일반용으로 구분하여 [서식 제21호] 및 [서식 제22호]와 같이 관리대장에 기록하고, 휴대용 저장매체에 [서식 제25호]의 라벨과 같이 기입ㆍ표시하여야 한다. 각급부서장은 휴대용 저장매체 수량 및 보관 상태 등을 정기적으로 [서식 제23호]와 같이 점검하여야 하고, 외부 반출ㆍ입 시 [서식 제24호]와 같이 기록ㆍ관리하여야 하며, 휴대용 저장매체 무단 반출 및 미등록 저장매체 사용을 사전 통제하여야 한다.

각급부서 장은 비밀이 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재ㆍ관리하여야 한다. 이 경우 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 휴대용 저장매체가 암호자재에 해당될 경우에는 제68조의 암호자재 등의 운용ㆍ관리체계에 따라 관리하여야 한다.

각급부서 장은 휴대용 저장매체의 용도 변경, 폐기ㆍ불용 처리하고자 할 경우 저장자료가 복구 불가하도록 완전삭제 소프트웨어 등을 이용하여 삭제하여야 한다. 다만, 완전삭제가 불가할 경우 파쇄하여야 한다.

각급부서 장은 제6항에 따른 휴대용 저장매체 불용처리 시 [별표 제5호]에 따른 기준 이상으로 자료를 삭제하여야 하며, 휴대용 저장매체를 불용처리하거나 재사용 시 [서식 제26호]에 따라 해당 불용처리 사항을 확인하여야 한다.

그 밖에 휴대용 저장매체 보안과 관련한 사항은 국가정보원장이 배포한「USB메모리 등 휴대용 저장매체 보안관리지침」을 준수하여야 한다.

공무원등은 개인 소유 정보통신기기(휴대폰 등 이동통신단말기를 제외한다)를 소속된 기관으로 무단으로 반입ㆍ사용하여서는 아니 된다. 다만 부득이한 경우 각급기관의 정보보안담당관의 승인 후 사용할 수 있다.

각급기관의 장은 「국가공무원 복무ㆍ징계 관련 예규」(인사혁신처) 제12장 및「소방공무원 징계양정 등에 관한 규칙」을 참고하여 정보보안 위규자를 처리한다.

제5절 제5절 주요 정보통신기반시설 보호

제77조 보호대책 수립

소방청 정보보안담당관은「정보통신기반보호법」제5조 및 같은 법 시행령 제8조에 따라 주요정보통신기반시설(이하 "주요기반시설"이라 한다)에 대한 보호대책을 수립ㆍ시행하여야 한다.

소방청 정보보안담당관은 제1항에 따른 보호대책을 수립하는 경우에 다음 각 호의 사항이 포함되도록 하고, 전년도 추진실적 평가 및 문제점에 대한 개선사항을 다음 연도 보호대책에 반영하여야 한다.

소관 주요기반시설 현황 및 보호 목적

전년도 보호업무 추진실적 및 해당 연도 추진계획

보안취약점 분석ㆍ평가 결과 및 도출된 문제점에 대한 개선사항

「정보통신기반 보호법」제2조제2호에 따른 전자적 침해행위 예방을 위한 관리적ㆍ물리적ㆍ기술적 보안대책

「정보통신 기반 보호법」 제2조제3호에 따른 침해사고가 발생할 경우 대응 및 복구대책

소방청 정보보안담당관은 매년 소관 주요기반시설의 지정 범위 및 기능변경 여부를 평가하여 변경사항을 보호대책에 반영하여야 한다.

제78조 취약점 분석ㆍ평가 보안관리

기반시설 관리부서의 장은「정보통신기반보호법」제9조제3항에 각 호의 기관에 주요기반시설의 취약점 분석ㆍ평가를 의뢰하고자 할 경우 정보통신망 구성도 등 중요자료의 유출 방지 등을 위한 보안대책을 수립ㆍ시행하여야 한다.

기반시설 관리부서의 장은 제1항에 따른 취약점 분석ㆍ평가를 완료한 경우에는 취약점 분석ㆍ평가 결과물에 대하여 적절성을 검증하여야 한다.

기반시설 관리부서의 장은 제2항에 따른 취약점 분석ㆍ평가 결과물을 중요성 및 가치의 정도에 따라 비밀 또는 비공개 대상 정보로 지정ㆍ 관리하고 인터넷이나 학회지 등 외부에 공개하거나 발표하여서는 아니 된다. 다만, 기술 교류나 학문 연구 등을 목적으로 하는 비공개 회의 등의 경우에는 자체 보안성 검토를 거친 후 발표할 수 있다.

기반시설 관리부서의 장은 취약점 분석ㆍ평가의 효율적 수행을 위하여 필요한 경우 소방청 정보보안담당관을 경유하여 국가정보원장에게 평가 방향, 평가중점사항, 평가결과 적절성 검증, 평가업체 보안점검 등의 지원을 요청할 수 있다.

제4장 제4장 융합보안

제79조 정보통신시설 보안

각급기관의 장은 다음 각 호의 어느 하나에 해당하는 정보통신시설 및 장소를 「보안업무규정」제32조에 따른 보호구역으로 지정ㆍ관리하여야 한다.

암호실ㆍ정보통신실

암호자재 개발ㆍ설치 및 정비장소

국가비상통신 등 중요통신망의 교환국, 회선집중국 또는 중계국

사이버보안관제센터, 백업센터 및 중요 정보통신시설을 집중 제어하는 국소

IT관제실

그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치 장소

각급기관의 장은 제1항에 따라 보호구역으로 지정된 정보통신시설 및 장소에 대한 보안대책을 수립하고자 할 경우 다음 각 호에 해당하는 사항을 포함하여야 한다.

방재대책 및 외부로부터의 위해(危害) 방지대책

상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치

출입자 식별ㆍ인증 등을 위한 출입문 보안장치 설치 및 주ㆍ야간 감시대책

휴대용 저장매체를 보관할 수 있는 용기 비치

정보시스템의 안전지출 및 긴급파기 계획 수립

관리책임자 및 자료ㆍ장비별 취급자 지정ㆍ운영

정전에 대비한 비상전원 공급 및 시스템의 안정적 중단 등 전력관리 대책

비상조명 장치 등 비상탈출 대책

카메라 장착 휴대폰 등을 이용한 불법 촬영 방지대책

제80조 정보통신시설 출입관리

각급기관의 장은 외부인이 정보통신시설을 방문할 경우 반드시 신원을 확인하고 보안교육 및 보안검색 후 출입을 허용하여야 한다.

각급부서의 장은 불가피한 경우를 제외하고는 정보통신시설에 대한 관람 및 견학은 지양하고 외국인의 출입은 금지한다. 다만 외국인의 출입이 꼭 필요한 경우 소방청 정보보안담당관과 협의하여야 한다.

제81조 영상정보처리기기 보안

각급기관의 장은 업무상 목적으로 불특정 사람 또는 사물을 촬영한 영상을 유ㆍ무선 정보통신망으로 전송ㆍ저장ㆍ분석하는 CCTVㆍIP카메라ㆍ이동형 영상촬영장비ㆍ중계서버ㆍ관제서버ㆍ관리용 PC 등의 기기ㆍ장비(이하"영상정보처리기기"이라 한다.)를 설치ㆍ운용하고자 할 경우 운영자의 계정ㆍ비밀번호 설정 등 인증대책을 수립하고 특정 IP주소에서만 접속 허용 등 비인가자 접근 통제대책을 수립ㆍ시행하여야 한다.

각급기관의 장은 영상정보처리기기를 통합ㆍ운영하는 시설(이하"영상관제상황실"이라 한다.)을 운영하고자 할 경우 영상관제상황실을 「보안업무규정」제32조에 따른 보호구역으로 지정ㆍ관리하고 출입통제 장치를 운용하여야 한다.

각급기관의 장은 영상정보처리기기를 인터넷과 분리ㆍ운용하여야 한다. 다만 부득이하게 인터넷과 연결ㆍ사용하여야 할 경우 전송내용을 암호화하여야 한다.

각급기관의 장은 제1항부터 제3항까지와 관련한 보안대책의 적절성을 수시 점검ㆍ보완하여야 한다.

기타 영상정보처리기기 보안과 관련한 사항은 국가정보원장이 배포한 「CCTV 시스템 보안관리방안」 및 「안전한 정보통신 환경 구현을 위한 네트워크 구축 가이드라인」을 준수하여야 한다.

제82조 RFID 보안

RFID 운영부서의 장은 RFID시스템을 구축하여 중요정보를 소통하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

RFID시스템(태그 및 리더기 포함) 분실ㆍ탈취 대비 및 백업 대책

태그정보 최소화 대책

장치 및 운용자 인증, 중요정보 암호화 대책

RFID 시스템 관리자는 제1항과 관련한 보안대책의 적절성을 수시 점검ㆍ보완하여야 한다.

제83조 디지털복합기 보안

각급기관의 장은 디지털복합기(디지털복사기 등도 포함한다. 이하 "복합기"라 한다)를 설치ㆍ운용하고자 할 경우 자료유출을 방지하기 위하여 자료 완전삭제 또는 디스크 암호화 기능이 탑재된 복합기를 도입하여야 한다.

제1항에 따라 도입된 복합기는 운용 전에 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

암호화 저장 기능이 있는 경우 해당 기능 사용 여부

정기적으로 저장된 작업 내용(출력ㆍ스캔 등) 완전 삭제 여부

공유 저장소 사용 제한 및 접근 제어

고정 IP주소 설정 및 불필요한 서비스 제거 등

각급기관의 장은 복합기 설치ㆍ운용할 경우「국가 정보보안 기본지침」제91조제3항 각 호에 해당하는 경우 복합기의 저장매체에 저장된 자료를 완전 삭제하여야 한다.

각급기관의 장은 소모품 교체 등 복합기 유지보수를 할 경우 입회ㆍ감독하고 저장매체의 무단 교체 등을 예방하여야 한다.

복합기 설치ㆍ운용하는 각급기관의 장은 복합기를 통해 내부망과 기관 인터넷망간 접점이 발생하지 않도록 보안대책을 수립ㆍ시행하여야 한다.

소방청 정보보안담당관은 소속된 기관의 저장매체가 장착되어 있는 복합기 운용과 관련한 보안대책의 적절성을 수시 점검ㆍ보완하여야 한다.

기타 복합기 보안과 관련한 사항은 국가정보원장이 배포한「정보시스템 저장매체 불용처리지침」을 준수하여야 한다.

제84조 재난 방지대책

정보시스템 관리부서의 장은 인위적 또는 자연적인 원인으로 인한 정보통신망의 장애 발생에 대비하여 정보시스템 이원화, 백업관리, 복구, 비상전원설비 설치 등 종합적인 재난방지 대책을 수립ㆍ시행하여야 한다.

정보시스템 관리부서의 장은 정보시스템 장애에 대비한 백업시설을 확보하고 정기적으로 백업을 수행하여야 한다.

정보시스템 관리부서의 장은 제2항에 따라 백업시설을 설치할 경우에는 정보통신실과 물리적으로 일정 거리 이상 위치한 안전한 장소에 설치하여야 하며 전력공급원 분리 등 정보시스템의 가용성을 최대화 할 수 있도록 하여야 한다.

정보시스템 관리부서의 장은 재난방지대책을 정기적으로 시험하고 검토해야 하며 업무 연속성에 대한 영향평가를 실시하여야 한다.

제85조 대도청측정

소방청 정보보안담당관은 다음 각 호의 어느 하나에 해당하는 시설ㆍ장소에 대하여 각종 수단에 의한 도청으로부터 정보유출을 방지하기 위한 보안대책(TSCM)을 수립ㆍ시행하여야 한다.

청사를 신축ㆍ이전 및 증ㆍ개축, 대규모 수선 등을 하는 경우

기관장실 및 회의실 등 중요업무 장소

중요한 회담ㆍ협상ㆍ행사를 개최할 경우(필요시)

기타 대도청 측정이 필요하다고 판단되는 시설ㆍ장소ㆍ장비

각급기관의 장은「국가 정보보안 기본지침」제93조제1항 각 호에 해당하는 시설ㆍ장소에 대하여 자체 또는「통신비밀보호법」제10조의3에 따른 불법감청설비탐지업자 활용 등을 통해 대도청 측정을 실시하여야 한다.

제2항에도 불구하고「국가 정보보안 기본지침」제93조제2항 각 호에 해당하는 시설ㆍ장소에 대하여는 국가정보원장에게 대도청 측정을 요청할 수 있다.

제2항에 따라 대도청 측정을 실시한 기관의 장은 측정결과 취약요인이 발견된 경우 그 결과를 소방청 정보보안담당관을 거쳐 국가정보원장에게 통보하고 기술 지원 및 추가 측정을 요청할 수 있다.

제2항에 따라 대도청 측정을 실시한 결과 취약요인이 발견된 경우 해당 기관의 장은 개선대책을 수립ㆍ시행하여야 한다.

소방청 정보보안담당관은 대도청 측정 실시 결과를 「공공기관의 정보공개에 관한 법률」제9조제1항에 따른 비공개 대상 정보로 지정ㆍ관리하여야 한다.

기타 대도청 측정과 관련한 사항은 국가정보원장이 배포한「도청 탐지ㆍ방어활동 가이드라인」을 준수하여야 한다.

제86조 무선통신망 보안

무선통신망(제40조 무선랜(WiFi) 보안 제외)을 구축ㆍ운영하거나 이동통신망을 이용하여 관련 시스템을 구축ㆍ운용하는 기관의 장은 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

접경 지역의 경우 무선통신망의 유선화 추진 또는 전파 차단시설 정책 시행

비밀 등 중요자료를 소통하고자 할 경우 국가정보원장이 개발하거나 안전을 확인한 암호자재 사용

무선국 현황 관리 및 정기적인 전파 감시ㆍ측정

제1항에 따른 무선통신망을 운영하는 각급기관 장은 연간 전파측정 계획을 수립하여 연 1회 이상 전파측정을 실시하여야 한다.

무선통신망을 운영하는 각급 부서의 장은 소방청 정보보안담당관에게 제2항에 따른 연간 전파측정 계획서를 매년 1.20까지 제출하고 전파측정 실시 후 20일 이내에 서식 제5호에 따른 결과보고서를 제출하여야 한다.

제87조 고출력 전자파 보안

주요기반시설 부서의 장은 소관 주요기반시설을 고출력 전자파(EMP)로부터 안전하게 보호하기 위한 예방ㆍ백업ㆍ복구등 물리적ㆍ기술적 대책을 포함한 보호대책을 수립ㆍ시행할 수 있다.

주요기반시설 부서의 장은 제1항에 따른 보호대책을 수립하기 위하여 취약점 분석ㆍ평가를 실시할 수 있으며 이를 위하여 담당자 지정 또는 전담반을 구성할 수 있다.

제5장 제5장 훈련ㆍ평가 및 위협 탐지ㆍ대응

제88조 사이버공격 대응훈련

소방청 정보보안담당관은 소방청 정보통신망을 대상으로 매년 정기 또는 수시로 사이버공격 대응훈련을 실시하여야 한다.

국가정보원장은 국가차원의 사이버위기 발생에 대비하여 중앙행정기관, 지방자치단체 및 공공기관의 정보통신망을 대상으로 사이버공격 대응훈련을 실시할 수 있다.

제2항에 따른 대응훈련은 「비상대비자원 관리법」제14조에 따른 비상대비훈련과 함께 실시할 수 있다.

소방청 정보보안담당관은 정보통신망을 대상으로 취약점을 진단하는 제반활동(이하 "보안진단"이하 한다.)을 매년 정기적으로 실시하거나 관련 예산확보 등을 위하여 노력하여야 한다.

제90조 자체평가

소방청장은 국가정보원장이 매년 실시하는 정보보안 관리실태평가에 대비하여 국가정보원의 평가지표에 따라 자체 평가를 실시하여야 한다.

소방청 정보보안담당관은 자체평가의 적절성을 입증하기 위하여 필요하다고 판단하는 경우 평가지표별 증빙자료를 국가정보원장에게 제출할 수 있다.

제91조 현장실사 및 결과 통보

소방청장은 국가정보원장이 정보보안 관리실태 자체평가 결과를 검증하기 위한 현장실사에 대하여 증빙자료 제출, 담당자 면담 등에 협조하여야 한다.

소방청장은 제1항에 의한 현장실사를 거쳐 통보받은 정보보안 관리실태 평가 결과를 해당 기관의 장에게 통보하고 평가결과를 통보받은 기관의 장은 평가결과에 따른 미비점을 개선ㆍ보완하여 정보보안 수준을 제고하여야 한다.

제92조 사이버보안관제센터 설치ㆍ운영

소방청장은 소관 정보통신망에 대한 사이버공격 정보를 수집ㆍ분석ㆍ대응할 수 있는 사이버보안관제센터를 설치ㆍ운영하여야 한다. 다만, 불가피한 사유가 있을 경우에는 다른 중앙행정기관의 장, 지방자치단체의 장 및 관계 공공기관의 장이 설치ㆍ운영하는 사이버보안관제센터에 그 업무를 위탁할 수 있다.

제93조 보안관제 인원

소방청 정보보안담당관은 보안관제업무를 24시간 중단없이 수행하여야 하며 이를 담당할 전문 또는 전담인력을 배치하고 교대근무체계를 운영하여야 한다.

「국가사이버안전관리규정」제10조의2제4항에 따라 보안관제전문업체의 인원을 활용하고자 하는 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.

업체를 선정할 경우 과학기술정보통신부장관이 고시하는 「보안관제 전문기업 지정 등에 관한 공고」에 따른 업무수행능력 평가기준 등 준수

보안관제업무의 책임 있는 수행 및 보안관리 등을 위하여 적정한 수의 공무원 또는 정규직원 상시 배치

업체 인원에 대하여 제26조(용역업체 보안), 제30조(누출금지정보 유출시 조치) 준용

업체 인원을 대상으로 매월 1회 이상 탐지규칙정보 관리 등에 관한 보안 교육 및 점검 실시

제94조 공격정보 탐지ㆍ수집

소방청장은 보안관제 대상 기관에 대한 사이버공격에 관한 정보를 탐지ㆍ수집하여야 한다.

사이버보안관제센터를 운영하는 부서의 장은 제1항의 업무 수행을 위하여 사이버공격에 관한 정보를 실시간 수집하는 장비를 보안관제 대상기관의 정보통신망에 설치ㆍ운용하거나 탐지규칙정보를 제공하여 관련 정보를 실시간 수집할 수 있다.

사이버보안관제센터 업무수행과 관련한 세부사항은 「국가전산망 보안관제지침」을 따른다.

제96조 사고상황전파

각급부서의 장은 사이버공격과 관련한 정보를 확인한 경우에는 전화ㆍ팩스ㆍ이메일 등 통신수단을 활용하여 지체없이 그 사실을 소방청 정보보안담당관에게 통보하여야 한다.

제1항에 따라 통보해야 할 사항은 다음 각 호와 같다.

대규모 사이버공격 발생 시

사이버공격으로 인하여 피해가 발생하거나 피해 발생이 예상되는 경우

사이버공격이 확산될 우려가 있는 경우

그 밖에 사이버공격 계획 등 사이버안전에 위협을 초래할 수 있는 정보를 입수한 경우

제97조 정보보안 사고조사

각급부서의 장은 별표2의 정보보안 사고가 발생한 때에는 즉시 피해확산 방지를 위한 조치를 취하고 다음 각 호의 사항을 소방청 정보보안담당관에게 통보하여야 한다. 이 경우, 사고원인 규명 시까지 피해 시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포맷하여서는 아니 된다.

일시 및 장소

사고 원인, 피해 현황 등 개요

사고자 및 관계자의 인적 사항

조치 내용 등

소방청 정보보안담당관은 사고조사 후 그 결과를 해당 기관의 장에게 통보하고 동일유형의 사고가 발생하지 않도록 제반 보안조치를 해당 기관에 권고할 수 있다.

소방청 정보보안담당관은 제2항에도 불구하고, 필요하다고 인정할 경우 해당 기관의 장에게 사고 조사에 관련된 권한의 일부를 위임할 수 있다. 다만, 권한을 위임받은 기관의 장은 소방청 정보보안담당관에게 조사결과를 통보해야 한다.

각급기관의 장은 규정에 따른 관련자 징계, 재발방지대책의 수립ㆍ시행 등 사고 조사 결과에 따라 필요한 조치를 하여야 한다.

제6장 제6장 보칙

이 규정에 명시되지 않은 사항은「국가 정보보안 기본지침」을 준용한다.

소방청은「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 훈령에 대하여 2020년 5월 20일을 기준으로 매 3년이 되는 시점마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.