'알기쉬운 정보보안기본지침' 마음대로 요약(1)

'알기쉬운 정보보안기본지침' 마음대로 요약(1)

하단에 있는 내용은 정보보호교육센터(sec.keris.or.kr)에서 원격으로 교육받은 '알기쉬운 정보보안기본지침'의 일부내용입니다. 업무하면서 아무런 매뉴얼이 없다보니 처음맡는 업무에 엄청난 당혹감을 느꼈는데요. 그래서 이번 원격교육을 받으며 잘 몰랐던 내용이나 나중이 필요할 것 같은 내용들을 짧게 정리했습니다. 참고로 2015년 5월 교육자료이고, 전체내용을 원하는 분들은 원격교육을 받으시는게 도움이 될 것 같습니다.(저도 아주 약간 도움이 되어서...ㅎㅎ)

 

1. 정보보안담당관 임명

  - 정보보안업무를 총괄하기 위한 정보보안담당관을 임명

  - 7일 이내 소속/직책/직급/성명/연락처 등을 지도감독기관의 장에게 통보

  - 초중등 기관 및 시도교육청 산하기관은 시도교육청에 통보

  - 직속기관, 대학 등은 교육과학기술부에 통보

  - 정보보안담당관은 개인정보책임자 등과 같은 겸직 가능

 

2. 정보보안담당관 기본활동

  정보보안담당관은 다음의 정보보안 업무 수행 활동을 하여야 한다.

  (1) 정보보안 정책 및 기본계획 수립ㆍ시행

  (2) 정보보안 관련 규정ㆍ지침 등 제ㆍ개정

  (3) 보안심사위원회에 정보보안 분야 안건 심의 주관

  (4) 정보보안 업무 지도ㆍ감독, 정보보안 감사 및 심사분석

  (5) 정보통신실, 정보통신망 및 정보자료 등의 보안관리

  (6) 정보보안 관리실태 평가

  (7) 사이버공격 초동조치 및 대응

  (8) 사이버위협정보 수집ㆍ분석 및 보안관제

  (9) 정보보안 예산 및 전문인력 확보

  (10) 정보보안 사고조사 결과 처리

  (11) 정보보안 교육 및 정보협력

  (12) 도청 위해 요소 측정ㆍ제거

  (13) 주요 정보통신기반시설 보호활동

  (14) 국가용 보안시스템 및 암호키의 운용ㆍ보안관리

  (15) 국가정보원장이 개발하거나 안전성을 검증한 암호모듈ㆍ정보보호시스템의 운용 및 보안관리

  (16) 정보통신망 보안대책의 수립ㆍ시행

  (17) ‘사이버보안진단의 날’ 계획 수립ㆍ시행

  (18) 그 밖에 정보보안 관련 사항

 

3. 정보보안 세부 추진계획 및 심사분석

  - 각급기관의 장은 사이버안전대책을 포함한 정보보안업무 세부추진계획을 수립하고 추진결과를 심사분석 및 평가해야 한다.

    ※초·중등교육법 제2조의 각 호에 해당하는 학교는 사이버안전대책 수립 기관에서 제외

  - 세부추진계획: 해당년도 추진계획을 세워 매년 1월 25일제출

  - 심사분석: 전년도 3/4분기~해당연도2/4분기내용을 분석하여 매년 7월 31일에 제출

  - 국공립대학/대학병원/소속기관/ 소속단체는 교육부장관에게 제출하고, 초중등기관/사립대학은 관련문건을 자체 보관

 

4.정보보안교육

  - 자체 정보보안 교육계획을 수립하여 연 1회 이상 전 직원을 대상으로 교육 실시

  - 정보보안담당자(개인정보 보호, 정보시스템 구축·운영 담당자 포함)는 15시간 이상 정보보안(개인정보교육 포함) 교육을 이수해야 함

  - 정보보안교육은 초·중·고등학교의 정보부장 선생님도 이수해야 함.

  - 사이버교육 시간도 인정됨

 

5. 사이버보안진단의 날

  - 사이버보안진단의 날에 실시한 정보보안 결과를 정보보안업무 심사분석에 포함한다.(전체 업무용 PC의 80%이상 수행해야 인정)

  - 사이버보안진단의 날이 공휴일인 경우나 불가능할 때는 익일 또는 네번째 수요일에 실시한다.

  - 사이버보안진단의 날에는 전직원은 공통사항을 이행하여야 한다.

(1)「내PC 지키미」실행

  - 취약점 발견항목은 조치 후 재점검

(2) 홈페이지 자료 게시 시 확인 철저

  - 노출된 주민등록번호 발견 시 즉시 삭제

  - 부득이한 주민등록번호 게재 시 뒷자리 감춤(*) 처리

  - 개인정보 포함 유무 확인 또 확인

(3) 구글 검색엔진을 통한 자신의 주민번호 노출 진단

(4) 기관은 「내PC 지키미」점검 여부확인과 월별 중점점검사항 이행

(5) 사이버보안진단일지, 월 보안지도 체크리스트 작성과 홈페이지 개인정보 노출 점검

 

6. 내PC지킴이

- 대부분 그냥 실행하고 취약한 부분을 처리하면 되지만, 가끔 안되는 이상한 항목들이 있다.

(1) 바이러스 백신 설치 및 실행 여부 점검

- 백신이 실행되고 있음에도 취약으로 뜨는 경우, [보안센터 실행하기] 버튼을 눌러 보안센터에 등록된 백신정보가 있는지 확인하고, 보안센터에 표시되지 않은 바이러스 백신을 설치/실행하고 있다면 점검결과에 신경쓰지 말 것

(2) 바이러스 백신의 최신 보안 패치 여부 점검

-(1)번에서처럼 보안센터에 표시되지 않는 백신을 사용한다면 같이 신경쓰지 말것(점검결과 수치는 어떻게 하라는 건지...)

(4) 아래한글의 최신 보안 패치 설치 여부 점검

- 점검 대상 버전은 HWP 2002, HWP 2004, HWP 2005, HWP 2007이다.(※교육자료에 이렇게 되어 있음.)

(5) 로그인 패스워드 안전성 여부 점검

- 로그인 패스워드의 안전성은 다음의 4개 항목을 모두 만족시켜야 "안전"으로 표시된다.

  가. Windows로그인 패스워드를 사용하고 있는지 점검한다.

  나. 패스워드가 사용자 계정과 동일한지 점검한다.

  다. 로그인 패스워드 길이가 8자 이상인지 점검한다.

  라. 패스워드 점검도구결과인 패스워드 등급이 "중" 이상인지 점검한다.

(6) 로그인 패스워드 분기 1회 이상 변경 여부 점검

(7) 화면 보호기 설정 여부 점검

- 점검결과 “취약” 조치내용

  가. 화면보호기를 설정한다.

  나. 화면보호기 대기시간이 10분보다 크게 설정

  다. 패스워드 설정(로그인 패스워드를 설정했다면 자동 설정)

(8) 사용자 공유 폴더 설정 여부 점검

(9) USB 자동 실행 허용 여부 점검

(10) 미사용(3개월) ActiveX 프로그램 존재 여부 점검

- ActiveX 프로그램이 삭제되지 않는 경우 C:\Windows\Downloaded Program Files 위치로 이동하여 ActiveX 찾아 삭제

※확장자가 ocx로 되어 있는걸 찾으면 되지만, 그냥 백신에서 PC최적화를 하는게 더 편함.