붙임

PC보안 체크리스트

순서

전라북도교육청 정보보안

기본지침 조항

점검 항목

점검결과

수행주체*

비고

1

제16조

∎내PC지키미를 이용한 월1회 보안점검 실시

양호

(예시)

개인, 관리자

2

제24조

∎부팅시 CMOS 비밀번호 설정

미흡

개인

3

제24조

∎로그인 비밀번호 설정

개인

4

제24조

∎비밀이나 중요자료 파일(한글, 엑셀 등) 비밀번호 설정

개인

5

제24조

∎10분 이상 미사용시 화면보호기 적용 및 해제시 비밀번호 적용

개인

6

제24조

∎불필요한* 응용프로그램 설치 금지

* 업무와 무관한(신뢰할 수 없는) 프로그램

개인

7

제24조

∎공유 폴더 삭제

개인

8

제24조

∎PC 반입시 최신 백신을 활용한 악성코드 감염여부 점검(PC 등 단말기 무단 반입 사용 금지)

개인, 관리자

9

제24조

∎OS 및 응용프로그램(한글, 오피스, PDF리더 등) 최신 보안패치 유지

개인, 관리자

10

제24조

∎PC용 최신 백신 운영, 실시간 감시 및 주기적 점검 수행

개인

11

제25조

∎메신저∙P2P∙웹하드 등 업무와 무관하거나 비인가 프로그램 설치 금지

관리자

12

제25조

∎음란∙도박∙증권 등 업무와 무관한 사이트 접근차단

관리자

13

제25조

∎인터넷PC에서 업무자료 저장금지를 위한 기술적 조치 이행

관리자

망분리 기관 해당

14

제25조

∎인터넷망의 문서프로그램 읽기 전용으로 운영

관리자

망분리 기관 해당

15

제31조

∎비밀번호는 숫자, 문자, 특수문자를 혼합하여 9자리 이상으로 설정하고 분기별 1회 이상 변경

개인

16

제31조

∎침입차단, 침입탐지 시스템 운용

관리자

17

제31조

∎업무·인터넷망 간 자료전송시스템 로그 6개월 이상 보관

관리자

망분리 기관 해당

18

제31, 34조

∎PC에 비인가 USB메모리 등 비인가 정보통신기기 연결시 작동되지 않도록 보안조치 및 최신백신 자동 검사

관리자

19

제39조

∎PC 교체∙반납∙폐기∙반출시 하드디스크 자료삭제 등 보안조치

개인, 관리자

20

제39조

∎중요정보가 저장된 매체 불용시 전용 소자장치로 삭제하거나 파쇄 등 물리적 파기 이행

개인, 관리자

제16조(사이버보안진단의 날) ① 각급기관의 장은 해당기관 실정에 맞게 매월 세 번째 수요일을 ‘사이버보안진단의 날’로 지정·운영하여야 한다.

② 각급기관의 장은 ‘사이버보안진단의 날’ 운영에 대하여 계획을 수립하고 소관 정보보안업무 전반에 대하여 체계적이고 종합적인 보안진단을 실시하여야 한다.

③ 각급기관의 장은 제1항 및 제2항에 따른 보안진단 결과를 제6조(활동계획 수립 및 심사분석)에 규정한 정보보안업무 심사분석에 포함하여야 한다.

제24조(PC 등 단말기 보안관리) ① 단말기 사용자는 PC·노트북·스마트기기 등 업무수행에 필요한 단말기(이하 “PC 등”이라 한다) 사용과 관련한 일체의 보안관리 책임을 가진다.

② 각급기관의 장은 비인가자가 PC 등을 무단으로 조작하여 전산자료를 절취, 위·변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 단말기 사용자에게 지원하며, 사용자는 이를 준수하여야 한다.

1. 장비(CMOS 비밀번호)·자료(중요문서자료 암호화 비밀번호)·사용자(로그온 비밀번호)별 비밀번호를 주기적으로 변경 사용하고 지문인식 등 생체인식 기술 적용 권고

2. 10분 이상 PC 작업 중단 시 비밀번호가 적용된 화면보호 조치

3. PC용 최신백신 운용·점검, 침입차단·탐지시스템 등을 운용하고 운영체제(OS) 및 응용프로그램(한컴 오피스, MS Office, Acrobat 등)의 최신 보안패치 유지

4. 업무상 불필요한 응용프로그램 설치 금지 및 공유 폴더의 삭제

5. 그 밖에 교육부장관 또는 국가정보원장이 안전성을 확인하여 배포 승인한 프로그램의 운용 및 보안권고문

③ 사용자는 PC 등 단말기를 교체·반납·폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 관리책임자와 협의하여 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치 하여야 한다.

④ 사용자는 PC 등을 기관 외부로 반출하거나 내부로 반입할 경우에 관리책임자와 협의하여 최신 백신 등을 활용하여 해킹프로그램 및 웜바이러스 감염여부를 점검하여야 한다.

⑤ 개인소유의 스마트폰을 제외한 PC 등 단말기를 무단 반입하여 사용하여서는 아니 된다. 다만, 부득이한 경우에는 관리책임자의 승인을 받아 사용할 수 있다.

제25조(인터넷PC 보안관리) ① 각급기관의 장은 인터넷과 연결된 PC(이하 “인터넷PC"라 한다)를 비인가자가 무단으로 조작하여 전산자료를 절취, 위·변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 사용자에게 지원하며, 사용자는 이를 준수하여야 한다.

1. 메신저·P2P·웹하드 등 업무에 무관하거나 불필요한 Active-X 등 보안에 취약한 프로그램과 비인가 프로그램·장치의 설치 금지. 단, 각급학교 학생들의 교육을 지원하기 위한 상용 클라우드서비스는 해당 기관장 책임하에 이용 가능

2. 업무망과 인터넷망이 분리된 경우 특별한 사유가 없는 한 인터넷망의 문서프로그램은 읽기 전용으로 운용

3. 음란·도박·증권 등 업무와 무관한 사이트 접근차단 조치

② 업무망과 인터넷망이 분리된 경우 사용자는 인터넷망 PC 등에서 무단으로 업무자료의 작성·저장 및 소통을 금지하고 최신 백신을 활용하여 주기적으로 점검하여야 한다.

업무망과 인터넷망이 분리된 경우 각급기관의 장은 인터넷PC에서 업무자료의 저장을 금지하기 위한 기술적·관리적 방안을 강구하여야 한다.

④ 그 밖에 인터넷 PC의 보안관리에 관련한 사항에 대해서는 제25조(PC 등 단말기 보안관리)를 따른다.

제30조(비밀번호 관리) ① 사용자는 비밀번호 설정 사용 시 정보시스템의 무단사용 방지를 위하여 다음 각 호와 같이 구분하여야 한다.

1. 비인가자의 정보통신시스템 접근방지를 위한 장비 접근용 비밀번호(1차)

2. 정보시스템 사용자가 서버 등 정보통신망에 접속 인가된 인원인지 여부를 확인하는 사용자인증 비밀번호(2차)

3. 문서에 대한 열람·수정 및 출력 등 사용권한을 제한할 수 있는 자료별 비밀번호(3차)

② 비밀이나 중요자료에는 자료별 비밀번호를 반드시 부여하되, 공개 또는 열람 자료에 대해서는 부여하지 아니할 수 있다.

③ 비밀번호는 다음 각 호 사항을 반영하여 숫자와 문자, 특수문자 등을 혼합하여 9자리 이상으로 정하고, 분기 1회 이상 주기적으로 변경 사용하여야 한다.

1. 사용자계정(ID)과 동일하지 않은 것

2. 개인 신상 및 부서 명칭 등과 관계가 없는 것

3. 일반 사전에 등록된 단어는 사용을 피할 것

4. 동일단어 또는 숫자를 반복하여 사용하지 말 것

5. 사용된 비밀번호는 재사용하지 말 것

6. 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것

7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지

④ 서버에 등록된 비밀번호는 암호화하여 저장하여야 한다.

제31조(업무망 보안관리) ① 각급기관의 장은 업무자료를 소통하기 위한 전산망 구축 시 인터넷과 분리하도록 망을 설계하여야 한다. 이 경우 다음 각 호의 보안대책을 강구하여 사업 계획단계(사업 공고 전)에서 제64조(보안성 검토 신청)에 따라 보안성 검토를 실시하여야 한다.

1. 비인가자의 업무망·인터넷 침입 차단대책(침입차단·탐지시스템 등)

2. 비인가 장비의 업무망 접속 차단대책(네트워크 관리시스템 등)

3. 업무PC의 인터넷 접속 차단대책

4. 업무망과 인터넷 간 안전한 자료전송 대책(「국가·공공기관 업무망과 인터넷 간 안전한 자료전송 보안가이드라인」(2010.8, 국가정보원))

② 각급기관의 장은 제1항에도 불구하고, 부득이 한 경우 적정 보안대책을 강구한 후 망 분리하지 아니할 수 있다.

③ 업무망 관리자는 정보시스템에 사용되는 ‘IP주소’를 체계적으로 관리하여야 하며, 업무망을 보호하기 위하여 사설주소체계(NAT)를 적용하여야 한다. 또한, IP주소별로 정보시스템 접속을 통제하여 비인가 정보통신기기나 PC 등을 이용한 업무망 내 정보시스템 접속을 차단하여야 한다.

④ 각급기관의 장은 업무망을 여타 기관의 망 및 인터넷과 연동하고자 할 경우에는 보안관리 책임한계를 설정하고 망 연동에 따른 보안대책을 마련하여 자체 보안심사위원회 심의 후 제64조(보안성 검토 신청)에 따라 보안성 검토를 실시하여야 한다.

⑤ 업무망 관리자는 제4항과 관련하여 비인가자의 망 침입을 방지하기 위하여 안전성이 검증된 침입차단·탐지시스템을 운용하는 등 관련 보안대책을 강구하여야 한다.

⑥ 업무망 관리자는 업무망을 인터넷과 연동 시 효율적인 보안관리를 위하여 연결지점을 최소화 운용하여야 한다.

⑦ 업무망과 인터넷망 간의 자료교환은 망간자료전송시스템을 사용하여야 하고 전송로그는 6개월 이상, 원본파일은 3개월 이상 유지하여야 한다.

⑧ 업무망 관리자는 전송 실패기록을 점검하여 악성코드 유입여부 등을 주기적으로 확인 조치하여야 한다.

⑨ 업무망 PC의 자료를 인터넷 PC로 전송 시에는 보안담당자 혹은 결재권자의 사전 또는 사후 승인절차를 마련하여 이를 준수하여야 한다.

제34조(휴대용 저장매체 보안대책) ① 휴대용 저장매체 관리책임자는 휴대용 저장매체를 사용하여 중요 업무자료를 보관할 필요가 있을 때에는 위변조, 훼손, 분실 등에 대비한 보안대책을 강구하여 정보보안담당관의 승인을 받아야 한다.

② 휴대용 저장매체 관리책임자는 휴대용 저장매체를 비밀용, 일반용으로 구분하고 주기적으로 수량 및 보관 상태를 점검하며 반출·입을 통제하여야 한다.

③ 휴대용 저장매체 관리책임자는 USB 관리시스템을 도입할 경우 국가정보원장이 안정성을 확인한 제품을 도입하여야 한다.

④ 휴대용 저장매체 관리책임자는 사용자가 USB 메모리를 PC 등에 연결 시 자동 실행되지 않도록 하고 최신 백신으로 악성코드 감염여부를 자동 검사하도록 보안 설정하여야 한다.

⑤ 비밀자료가 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재 관리하여야 한다. 이 경우에는 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다. 다만, 휴대용 저장매체가 국가용 보안시스템에 해당될 경우에는 해당 보안시스템의 운용·관리체계에 따라 관리하여야 한다.

⑥ 휴대용 저장매체를 파기 등 불용처리 하거나 비밀용을 일반용 또는 다른 등급의 비밀용으로 전환하여 사용할 경우 저장되어 있는 정보의 복구가 불가능하도록 완전삭제 프로그램을 사용하여야 한다.

⑦ 휴대용 저장매체 관리책임자는 사용자의 휴대용 저장매체 무단 반출 및 미등록 휴대용 저장매체 사용 여부 등 보안관리 실태를 주기적으로 점검하여야 한다. 이 경우 정보보안담당관은 휴대용 저장매체 관리책임자가 수행한 사항이 적절한지 확인하고 시정조치를 권고할 수 있다.

⑧ 그 밖에 휴대용 저장매체의 보안관리에 관련한 사항은 「USB메모리 등 휴대용 저장매체 보안관리 지침」(부록 4)을 따른다.

제39조(전자정보 저장매체 불용처리) ① 사용자 및 시스템관리자는 하드디스크 등 전자정보 저장매체를 불용처리(교체·반납·양여·폐기 등) 하고자 할 경우에는 정보보안담당관의 승인 하에 저장매체에 수록된 자료가 유출되지 않도록 보안조치 하여야 한다.

② 자료의 삭제는 해당 정보가 복구될 수 없도록 해당기관 실정에 맞게 저장매체별, 자료별 차별화된 삭제방법을 적용하여야 한다.

③ 해당기관 내에서 정보시스템의 사용자가 변경된 경우, 비밀처리용 정보시스템은 완전포맷 3회 이상, 그 외의 정보시스템은 완전포맷 1회 이상으로 저장자료를 삭제하여야 한다.

④ 전자정보 저장매체의 불용처리에 관한 구체적인 사항은 「정보시스템 저장매체 불용처리 지침」(부록 5)을 따른다.