행정기관 및 공공기관 정보시스템 구축·운영 지침_보안 대책

▣ 행정기관 및 공공기관 정보시스템 구축·운영 지침_보안 대책

[시행 2017. 2. 9.] [행정자치부고시 제2017-7호, 2017. 2. 9., 타법개정]

제8조(보안성 검토 및 보안관리) ① 행정기관등의 장은 정보시스템을 신·증설하는 경우 "국가 정보보안 기본지침" 제109조, 제110조에 따라 국가정보원장에게 보안성 검토를 의뢰하여야 한다.

② 행정기관등의 장은 "국가 정보보안 기본지침" 제39조, 제63조, 제64조, "부록7 외부 용역업체 보안관리방안"에 따라 정보화 사업 발주, 관리, 운영 등에 필요한 다음 각 호의 사항을 포함한 보안대책을 강구하고, 사업자가 준수하도록 하여야 한다.

1. 외부 용역업체의 노트북 등에 대해 반입·반출을 제한

2. 개발시스템과 운영시스템의 물리적 분리

3. 운영시스템 접근에 필요한 작업용PC를 별도로 마련하여 외부 용역업체의 운영시스템 접근을 제한

4. 외부 용역업체의 인터넷 사용 및 인가되지 않은 USB 등 휴대용 저장매체 사용을 제한

5. 기타 행정기관등의 장이 보안관리가 필요하다고 판단되는 사항

③ 행정기관등의 장은 개인정보를 수집·처리·활용하여 시스템의 구축 또는 운영, 유지보수 등의 사업을 추진할 경우에는 개인정보가 분실·도난·누출·변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 강구하여야 한다.

 

[시행 2021. 1. 19.] [행정안전부고시 제2021-3호, 2021. 1. 19., 일부개정]

제8조(보안성 검토 및 보안관리) ① 행정기관등의 장은 정보시스템을 신·증설하는 경우 「국가 정보보안 기본지침」 제14조부터 제19조까지에서 규정한 보안성 검토를 이행하여야 한다.

② 행정기관등의 장은 「국가 정보보안 기본지침」 제11조부터 제39조까지 및 제51조, 제52조에 따라 정보시스템 사업등의 발주, 관리, 운영 등에 필요한 보안대책을 강구하여야 하며, "국가·공공기관 용역업체 보안관리 가이드라인"을 준용하여 용역사업 수행업체에 대한 보안관리를 수행하여야 한다.

③ 행정기관등의 장은 개인정보를 수집·처리·활용하여 시스템의 구축 또는 운영, 유지관리 등의 사업을 추진할 경우에는 개인정보가 분실·도난·누출·변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 강구하여야 한다.

④ 행정기관 등의 장은 전자적으로 처리할 수 있는 개인정보파일 및 개인정보처리시스템을 신규 구축·운용 또는 변경하려고 하는 경우, 「개인정보 영향평가에 관한 고시」 제9조의2에 따라 개인정보 영향평가를 정보시스템 설계완료 전에 수행하여야 한다.

---

제14조의2(웹사이트 관리) ① 행정기관등의 장은 신규 웹사이트 구축 시 불필요한 웹사이트의 통·폐합 계획을 수립하여 운영 중인 웹사이트의 총량이 증가되지 않도록 하여야 한다.

② 제1항에도 불구하고, 다음 각호의 웹사이트는 기존 웹사이트 통·폐합 없이 신설할 수 있다.

1. 법령상 구축이 필요한 웹사이트

2. 월10만명 이상 사용이 예상되는 웹사이트

3. 행정기관등의 내부업무용 웹사이트

4. 기관 대표 웹사이트

5. 외국인 대상 웹사이트 등

③ 행정기관등의 장은 기존 운영 중인 웹사이트 중에서 이용빈도가 낮은 웹사이트를 유사 웹사이트에 통합하는 등 웹사이트 총량의 지속적인 감축을 위해 노력하여야 한다.

④ 행정안전부 장관은 매년 각 기관별로 운영 중인 웹사이트 총량을 조사할 수 있다.

 

제17조(제안요청서 보안사항 등) 제안요청서를 통해 공개될 경우 보안침해 사고 등이 우려되는 다음 각 호에 관한 사항은 제안요청서에서 제외될 수 있도록 검토하여야 한다. 단, 입찰에 참가하고자 하는 사업자의 요청이 있는 경우 제안서 작성에 필요하다고 판단되면 보안서약서를 받고 담당자 입회하에 가능한 범위에서 열람하게 할 수 있다.

1. 정보시스템의 내·외부 IP 주소 현황

2. 정보시스템의 제조사, 제품버전 등 도입현황 및 구성도

3. 정보시스템의 환경파일 등 구성 정보

4. 사용자 계정 및 패스워드 등 시스템 접근권한 정보

5. 정보시스템 취약점분석 결과물

6. 방화벽·침입방지시스템(IPS) 등 정보보호제품, 라우터·스위치 등 네트워크장비 도입현황 및 설정 정보

7.「공공기관의 정보공개에 관한 법률」 제9조제1항 단서에서 정한 비공개 대상

8.「개인정보 보호법」 제2조제1호에 따른 개인정보

9.「보안업무규정」 제4조의 비밀, 동 시행규칙 제16조제3항의 대외비

10. 그 밖에 행정기관등의 장이 공개가 불가하다고 판단한 자료

---

2020년 6번

정답 : 1번

개발시스템과 운영시스템의 물리적 분리

 

[시행 2021. 1. 19.] [행정안전부고시 제2021-3호, 2021. 1. 19., 일부개