성균관대 ( 규정집 ) | 규정집 게시판읽기 ( 정보보호규정 )

최신 제·개정 규정

정보보호규정 (제) 개정일 : 2019.06.01
규정 : 정보보호규정(2019.6.1.).pdf
제 1 장 총 칙 제1조 (목적) 본 규정은 성균관대학교(이하 ‘본교’라 한다) 정보통신망의 안정성과 정보보호를 위해 필요한 사항을 규정함을 목적으로 한다. 제2조 (정의) 이 규정에서 사용하는 용어의 뜻은 다음과 같다. 1. “정보자산”이란 본교 내·외에 서비스를 제공하기 위해 정보의 수집·가공·저장·검색·송수신에 사용되는 서버·PC 등 단말기, 보조기억매체, 전산·통신장비·정보통신기기, 응용 프로그램 등 정보시스템과 정보시스템의 운영·관리에 필요한 시설, 전자정보 등 본교 자산을 총칭한다. 2. “정보시스템”이란 PC·서버 등 단말기, 보조기억매체, 전산·통신장치, 정보통신기기, 응용프로그램 등 정보의 수집·가공·저장·검색·송수신에 필요한 하드웨어 및 소프트웨어 일체를 말한다. 3. “정보보안” 또는 “정보보호”라 함은 정보통신 수단으로 수집·가공·저장·검색·송수신 되는 정보의 유출, 위변조, 훼손 등을 방지하거나 정보자산을 보호하기 위하여 강구하는 관리적, 물리적, 기술적 수단 일체의 행위를 말한다. 4. “보안사고”란 외부 또는 내부의 악의적인 사용자에 의한 비 인가된 시스템 사용, 사용자 계정의 도용, 악성코드(웜, 바이러스 등) 유입 및 실행, 정보시스템방해 등 시스템의 서비스를 왜곡 또는 지연시키거나 정보자산을 유출, 파괴하거나 데이터를 변조, 삭제하는 등의 일체의 행위를 말한다. 5. “전산망”이란 각종 정보시스템을 통신회선으로 연결하여 자료를 처리·보관하거나 전송하는 조직망을 말한다. 6. “구성원”이란 본교의 정관, 학칙 및 규정의 적용을 받는 임원, 교원, 직원 및 보조인력(용역인력 포함)과 학생 등을 말한다. 7. “사용자”란 본교 전산망 및 전산자원을 사용하는 업무 담당자, 시스템 관리자 및 정보서비스를 이용하는 모든 인원을 말한다. 제3조 (적용 대상 및 의무) ① 모든 구성원에게는 본교 내에서 자신이 속하는 부서의 정보자산, 시설과 기기에 대하여 이 규정과 이 규정에 따른 지침을 준수할 의무가 있다. ② 모든 구성원에게는 교내 게시판 및 전자메일 등을 통한 정보보호 규정의 제·개정 내용, 보안 취약점 안내, 계도 사항 등 보안 공지를 열람 후 숙지할 의무가 있다. ③ 각 기관(부서)의 장에게는 관할부서에서 생산, 가공, 유통, 관리, 파기되는 정보자산 및 다른 부서 또는 외부에 접근이 허용된 정보자산에 대하여 보안책임이 있다. 제4조 (준수 확인) ① 사용자가 본 규정을 위반하면 본교의 인사규정에 따라 징계될 수 있으며, 사안에 따라서는 고발 조치될 수 있다. ② 사용자가 본 규정을 위반하여 본교에 재산상의 손실을 입히거나 이미지를 훼손시킬 경우에는 민·형사상의 모든 책임을 진다. 제 2 장 정보보호 조직 제5조 (정보보호 최고책임자) ① 본교의 효율적인 정보보호 업무를 수행하기 위하여‘정보보호 최고책임자’를 둔다. ② 정보보호 최고책임자는 정보통신처장으로 한다. ③ 정보보호 최고책임자는 정보보호 관리자를 선임할 수 있으며, 정보보호 활동에 필요한 업무를 지시할 수 있다. 제6조 (정보보호 활동) 정보보호 최고책임자는 정보보호를 위하여 다음 각 호의 정보보호 활동을 수행하여야 한다. 1. 정보보호관리체계의 수립 및 관리·운영 2. 정보보호 취약점 분석·평가 및 개선 3. 침해사고의 예방 및 대응 4. 정보보호를 위한 사전 대책 마련 및 보안조치 설계·구현 등 5. 정보보호 관련한 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 본교의 정보보호를 위하여 필요한 조치의 이행 제7조 (정보보호조직의 구성 및 운영) ① 본교의 정보보호조직은 정보화조정위원회(이하‘위원회’라 한다), 정보보호실무협의회, 정보보호 최고책임자, 정보보호 관리자 등으로 구성하여 체계적으로 운영하도록 한다. ② 정보보호조직의 구성 및 운영에 관한 세부 사항은‘정보보호조직 지침’을 따른다. 제8조 (위원회 역할과 기능) ① 제1조의 목적을 달성하기 위하여 본교의 위원회가 다음 각 호의 역할을 수행한다. 1. 정보보호 규정 심의와 본교 내 정보보호 현안 심의 2. 정보보호사고 처리의 책임을 심의·결정 3. 그 밖에 정보보호 관련 주요사항 심의 ② 위원회의 구성 및 임기 등은 본교‘정보화조정위원회 규정’을 준수하도록 한다. ③ 위원회의 기능은 정보보호 최고책임자의 승인으로 정보보호실무협의회에 위임되어 심의·결정될 수 있다. 제 3 장 정보보호 규정 제9조 (기본수칙) ① 사용자는 계정 및 암호의 기밀을 유지해야 하며, 본래의 목적으로만 사용하여야 한다. ② 사용자는 정보시스템 또는 행정정보의 사용권한이 부여된 영역에 대하여 본래의 목적으로만 사용하여야 한다. ③ 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래할 수 있는 행위를 해서는 안 되며 위험을 초래할 수 있는 행위를 발견한 경우에는 소속부서의 장 또는 정보보호담당부서에게 이를 즉시 알려야 한다. ④ 사용자는 정보시스템과 연관된 저작권, 특허권 및 소프트웨어 라이선스의 사용 조건을 숙지하고 이를 준수하여야 한다. ⑤ 본교 내 전산망을 신설, 변경 및 폐기하고자 하는 경우에는 정보보호 최고책임자의 사전승인을 얻어야 한다. ⑥ 외부 전산망에서 본교 내 전산망으로의 접근은 본교에서 원칙적으로 허용하지 아니한다. 단, 필요시 적법한 절차에 따라 승인된 경우에 제한적으로 허용할 수 있다. ⑦ 정보자산(정보시스템, 정보보호시스템, 정보)은 보안등급에 따라 분류·관리한다. ⑧ 정보보호 관리자는 주기적인 보안점검을 통해 본교 전산망 및 정보시스템의 안전성을 점검하여 정보보호규정 등의 준수 여부를 평가하고 필요한 조치를 취할 수 있으며 모든 사용자는 이에 적극 협조하여야 한다. ⑨ 업무와 관련해 습득한 정보자산을 본교의 허가 없이 외부에 누출해서는 아니 된다. ⑩ 보안사고 예방을 위한 정보보호 활동은 정보보호 최고책임자의 승인을 얻은 후 즉시 시행 할 수 있다. 제10조 (정보보호규정의 준수) ① 사용자는 본 규정을 숙지 및 준수하여야 하며 담당 업무에 적용하여야 한다. ② 사용자가 본 규정 또는 하위 지침을 위반하여 본교에 손실을 입히거나 이미지를 훼손한 경우에는 제4조에 따라 위반자를 징계할 수 있다. ③ 정보보호규정의 실질적인 운영을 위하여 필요한 경우 구체적인 세부 지침을 수립·운영 할 수 있다. 제11조 (정보보호규정 및 지침의 관리) ① 정보보호 환경 및 정보보호관리체계의 변화에 따라 필요한 지침을 수립하고 개선하여야 한다. ② 규정 및 지침의 제정, 개정, 배포(시행), 폐기 등의 이력을 관리하여야 한다. ③ 다음 각 호의 사항을 고려하여 연 1회 이상 규정의 변경 필요 여부를 검토하고, 필요시에 규정 및 지침을 변경할 수 있다. 1. 정보보호 목표 및 전략의 변경 2. 정보보호 관련 조직 구조 및 인력의 중대한 변경 3. 중대한 보안사고 또는 새로운 위협·취약성이 발생한 경우 4. 관련 법 요구의 변화 또는 신규 법령의 제정 5. 정보보호규정 등의 정책시행 문서간의 일관성 유지를 위한 변경 6. 그 밖에 추가적으로 필요하다고 판단하는 경우 ④ 정보보호규정에서 요구하는 정보보호 수준 유지를 위해 연간 정보보호 업무계획을 수립·시행하고 그 추진결과를 심사·분석 및 평가하여야 한다. ⑤ 정보보호 업무계획의 효과적인 관리를 위해서‘정보보호 운영현황표’를 작성하고 검토하여 최신의 상태가 유지되도록 관리하여야 한다. ⑥ 정보보호규정을 통하여 정한 정보보호 활동 수행에 관한 운영 기록을 관리하여야 한다. 제12조 (이용제한) ① 정보보호 관리자는 다음 각 호의 어느 하나에 해당하는 경우의 사용자 혹은 서비스에 대하여 계정해지, 접속제한, 서비스중단 등 정보통신서비스를 제한할 수 있다. 1. 부당한 방법으로 타인의 정보를 훼손하거나 타인의 비밀을 침해, 도용 또는 누설 2. 바이러스 등 악성 프로그램을 유포 3. 음란물, 폭력물 등의 불건전한 자료를 게재․유포 4. 법령 혹은 본 규정 및 하위 지침을 위반한 경우 5. 정보보호 최고책임자의 승인을 받은 정보보호 활동에서 명시한 사항을 준수하지 않는 경우 6. 기타 정보보호에 해가 되는 경우 ② 정보보호 관리자는 제1항에 의한 제한을 하고자 하는 경우에는 사전에 이를 사용자에게 고지하여야 한다. 다만, 이용제한과 동시에 시스템 안정성 확보를 위한 신속한 조치가 필요한 경우 사후 고지할 수 있으며 사용자를 식별 할 수 없어 연락처를 확인할 수 없는 경우는 고지를 생략 할 수 있다. 제 4 장 정보보호 관리 제13조 (자산분류 및 통제) ① 정보자산에 대한 최신 목록을 유지, 관리하여야 한다. ② 정보자산의 보호를 위해 보호대책을 마련하고 적용하여야 한다. ③ 관리되는 정보자산은 정보의 중요도를 고려하여 보안등급을 정하여야 한다. ④ 자산분류 및 통제 업무에 관한 세부 규정은‘정보자산관리 지침’을 따른다. 제14조 (위험관리) ① 서비스 및 업무에서 발생이 예상되는 위험을 평가하고 위험관리 전략을 수립하여 통제하여야 한다. ② 본교에서 발생 가능성이 있는 정보보호 위험은 지속적으로 평가되고 관리되어야 한다. ③ 위험관리에 관한 세부 규정은‘위험평가관리 지침’을 따른다. 제15조 (인적 보안) ① 교직원에 대한 인사관리 업무상 발생 가능한 정보보호 위험을 식별하고 대책을 적용하여야 한다. ② 외부인력에 의해 발생 가능한 정보보호 위험을 식별하고 대책을 적용하여야 한다. ③ 정보보호 담당부서는 연 단위의 정보보호 교육 및 훈련계획을 수립하고 이를 시행하여야 한다. ④ 교직원은 매년 시행되는 정보보호 교육을 이수하여야 한다. ⑤ 인적 보안에 관한 세부 규정은‘인력보안 지침’및‘외부인력보안 지침’을 따른다. 제16조 (물리적 보안) ① 업무상 보호되어야 하는 구역을 제한구역 또는 통제구역으로 구분하여 관리하여야 한다. ② 정보 및 정보자산에 대한 비인가 물리적 접근, 유출, 손상으로부터 보호하기 위한 대책을 적용하여야 한다. ③ 물리적 보안에 관한 세부 규정은‘물리적보안 지침’을 따른다. 제17조 (네트워크 및 운영관리) ① 정보시스템의 운영과정에서 발생하는 보안 위협을 예방하고 통제하여야 한다. ② 정보시스템의 신규 도입, 운영 및 폐기 단계에서 보안성을 확보하여야 한다. ③ 네트워크상에서 전송되는 중요 정보에 대한 기밀성, 무결성, 가용성 보장을 위하여 적절한 통제 대책을 수립하여 적용하여야 한다. ④ 매체에 저장된 중요 정보의 보호를 위하여 안전한 보관 및 폐기 관리를 수행하여야 한다. ⑤ 정보시스템 운영보안에 관한 세부 규정은‘정보시스템 운영보안 지침’을 따른다. 제18조 (보안사고 예방 및 대응) ① 본교에서 발생 가능한 보안사고를 사전에 예방하고 대응할 수 있는 통제 대책을 수립하여 운영하여야 한다. ② 보안사고 대응을 위한 조직을 구성하고, 대응책을 수립하여 적용하여야 한다. ③ 보안사고를 인지한 교직원은 정보보호 담당부서에 이를 즉시 신고하여야 한다. ④ 보안사고 예방 및 대응 업무에 관한 세부규정은‘침해사고대응 지침’을 따른다. 제19조 (접근 통제) ① 승인된 사용자만 본교의 정보 및 정보자산에 접근할 수 있어야 한다. ② 정보시스템에 대한 접근통제 정책은 사용자 식별, 인증, 활동기록 등의 보안통제 기능을 통하여 이행되어야 한다. ③ 사용자는 안전한 패스워드 설정 및 관리를 통해 정보시스템 대한 비인가 접근이 불가능하도록 하여야 한다. ④ 정보시스템의 접근통제에 관한 세부규정은‘정보시스템 운영보안 지침’, 패스워드에 대한 세부 규정은 ‘PC보안 지침’을 따른다. 제20조 (응용프로그램 보안관리) ① 응용프로그램의 신규 개발, 변경 및 폐기 시 보안성 검토가 수행되어야 한다.② 응용프로그램에서 취급하는 민감한 정보의 전송 및 저장에 관한 세부규정은‘암호관리 지침’을 따른 다.③ 응용프로그램의 개발 및 보안관리에 관한 세부 규정은‘개발보안 지침’을 따르고, 데이터베이스 보안 관리에 관한 세부 규정은‘정보시스템 운영보안 지침’을 따른다. 제21조 (재해복구 계획) ① 정보시스템의 복구를 위한 비상계획을 수립하여야 한다. ② 인위적 및 자연적으로 발생되는 긴급사태에 대비하여 백업 및 복구절차를 수립하고 시행하여야 한다. ③ 재해복구에 관한 세부규정은‘재해복구 지침’을 따른다. 제22조 (법적 요구사항의 준수) ① 본교 업무 운영에 적용되는 법적, 제도적 요구사항을 식별하고 준수하여야 한다. ② 정보보호 규정 및 지침의 준수 여부를 확인하기 위해 주기적 준거성 검토를 수행하고 필요시 감사가 수행 될 수 있다. ③ 개인정보보호에 관한 사항은‘개인정보보호 내부관리계획’을 따른다. 제23조 (정보보호 감사) ① 정보보호 감사를 수행하여 정보보호 활동이 적절히 수행되는지 평가하고 개선사항이 발생한 경우에는 개선하도록 하여야 한다. ② 정보보호 감사에 관한 세부 규정은‘정보보호감사 지침’을 따른다. 제 5 장 기 타 제24조 (준용) ① 정보보호에 관하여는 본교의 다른 규정에서 특별히 정한 경우를 제외하고는 이 규정이 정하는 바에 따른다. ② 정보보호에 관한 세부사항을 명시한 지침 등을 제·개정하는 경우에는 이 규정을 준용한다. 부 칙 이 규정은 2004년 9월 1일부터 시행한다. 부 칙 이 규정은 2012년 3월 1일부터 시행한다. 부 칙 이 규정은 2015년 3월 1일부터 시행한다. 부 칙 이 규정은 2019년 6월 1일부터 시행한다.

정보보호규정 (제) 개정일 : 2019.06.01

규정 : 정보보호규정(2019.6.1.).pdf

제 1 장 총 칙

제1조 (목적) 본 규정은 성균관대학교(이하 ‘본교’라 한다) 정보통신망의 안정성과 정보보호를 위해 필요한 사항을 규정함을 목적으로 한다.

제2조 (정의) 이 규정에서 사용하는 용어의 뜻은 다음과 같다.

1. “정보자산”이란 본교 내·외에 서비스를 제공하기 위해 정보의 수집·가공·저장·검색·송수신에 사용되는 서버·PC 등 단말기, 보조기억매체, 전산·통신장비·정보통신기기, 응용 프로그램 등 정보시스템과 정보시스템의 운영·관리에 필요한 시설, 전자정보 등 본교 자산을 총칭한다.

2. “정보시스템”이란 PC·서버 등 단말기, 보조기억매체, 전산·통신장치, 정보통신기기, 응용프로그램 등 정보의 수집·가공·저장·검색·송수신에 필요한 하드웨어 및 소프트웨어 일체를 말한다.

3. “정보보안” 또는 “정보보호”라 함은 정보통신 수단으로 수집·가공·저장·검색·송수신 되는 정보의 유출, 위변조, 훼손 등을 방지하거나 정보자산을 보호하기 위하여 강구하는 관리적, 물리적, 기술적 수단 일체의 행위를 말한다.

4. “보안사고”란 외부 또는 내부의 악의적인 사용자에 의한 비 인가된 시스템 사용, 사용자 계정의 도용, 악성코드(웜, 바이러스 등) 유입 및 실행, 정보시스템방해 등 시스템의 서비스를 왜곡 또는 지연시키거나 정보자산을 유출, 파괴하거나 데이터를 변조, 삭제하는 등의 일체의 행위를 말한다.

5. “전산망”이란 각종 정보시스템을 통신회선으로 연결하여 자료를 처리·보관하거나 전송하는 조직망을 말한다.

6. “구성원”이란 본교의 정관, 학칙 및 규정의 적용을 받는 임원, 교원, 직원 및 보조인력(용역인력 포함)과 학생 등을 말한다.

7. “사용자”란 본교 전산망 및 전산자원을 사용하는 업무 담당자, 시스템 관리자 및 정보서비스를 이용하는 모든 인원을 말한다.

제3조 (적용 대상 및 의무) ① 모든 구성원에게는 본교 내에서 자신이 속하는 부서의 정보자산, 시설과 기기에 대하여 이 규정과 이 규정에 따른 지침을 준수할 의무가 있다.

② 모든 구성원에게는 교내 게시판 및 전자메일 등을 통한 정보보호 규정의 제·개정 내용, 보안 취약점 안내, 계도 사항 등 보안 공지를 열람 후 숙지할 의무가 있다.

③ 각 기관(부서)의 장에게는 관할부서에서 생산, 가공, 유통, 관리, 파기되는 정보자산 및 다른 부서 또는 외부에 접근이 허용된 정보자산에 대하여 보안책임이 있다.

제4조 (준수 확인) ① 사용자가 본 규정을 위반하면 본교의 인사규정에 따라 징계될 수 있으며, 사안에 따라서는 고발 조치될 수 있다.

② 사용자가 본 규정을 위반하여 본교에 재산상의 손실을 입히거나 이미지를 훼손시킬 경우에는 민·형사상의 모든 책임을 진다.

제 2 장 정보보호 조직

제5조 (정보보호 최고책임자) ① 본교의 효율적인 정보보호 업무를 수행하기 위하여‘정보보호 최고책임자’를 둔다.

② 정보보호 최고책임자는 정보통신처장으로 한다.

③ 정보보호 최고책임자는 정보보호 관리자를 선임할 수 있으며, 정보보호 활동에 필요한 업무를 지시할 수 있다.

제6조 (정보보호 활동) 정보보호 최고책임자는 정보보호를 위하여 다음 각 호의 정보보호 활동을 수행하여야 한다.

1. 정보보호관리체계의 수립 및 관리·운영

2. 정보보호 취약점 분석·평가 및 개선

3. 침해사고의 예방 및 대응

4. 정보보호를 위한 사전 대책 마련 및 보안조치 설계·구현 등

5. 정보보호 관련한 사전 보안성 검토

6. 중요 정보의 암호화 및 보안서버 적합성 검토

7. 그 밖에 본교의 정보보호를 위하여 필요한 조치의 이행

제7조 (정보보호조직의 구성 및 운영) ① 본교의 정보보호조직은 정보화조정위원회(이하‘위원회’라 한다), 정보보호실무협의회, 정보보호 최고책임자, 정보보호 관리자 등으로 구성하여 체계적으로 운영하도록 한다.

② 정보보호조직의 구성 및 운영에 관한 세부 사항은‘정보보호조직 지침’을 따른다.

제8조 (위원회 역할과 기능) ① 제1조의 목적을 달성하기 위하여 본교의 위원회가 다음 각 호의 역할을 수행한다.

1. 정보보호 규정 심의와 본교 내 정보보호 현안 심의

2. 정보보호사고 처리의 책임을 심의·결정

3. 그 밖에 정보보호 관련 주요사항 심의

② 위원회의 구성 및 임기 등은 본교‘정보화조정위원회 규정’을 준수하도록 한다.

③ 위원회의 기능은 정보보호 최고책임자의 승인으로 정보보호실무협의회에 위임되어 심의·결정될 수 있다.

제 3 장 정보보호 규정

제9조 (기본수칙) ① 사용자는 계정 및 암호의 기밀을 유지해야 하며, 본래의 목적으로만 사용하여야 한다.

② 사용자는 정보시스템 또는 행정정보의 사용권한이 부여된 영역에 대하여 본래의 목적으로만 사용하여야 한다.

③ 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래할 수 있는 행위를 해서는 안 되며 위험을 초래할 수 있는 행위를 발견한 경우에는 소속부서의 장 또는 정보보호담당부서에게 이를 즉시 알려야 한다.

④ 사용자는 정보시스템과 연관된 저작권, 특허권 및 소프트웨어 라이선스의 사용 조건을 숙지하고 이를 준수하여야 한다.

⑤ 본교 내 전산망을 신설, 변경 및 폐기하고자 하는 경우에는 정보보호 최고책임자의 사전승인을 얻어야 한다.

⑥ 외부 전산망에서 본교 내 전산망으로의 접근은 본교에서 원칙적으로 허용하지 아니한다. 단, 필요시 적법한 절차에 따라 승인된 경우에 제한적으로 허용할 수 있다.

⑦ 정보자산(정보시스템, 정보보호시스템, 정보)은 보안등급에 따라 분류·관리한다.

⑧ 정보보호 관리자는 주기적인 보안점검을 통해 본교 전산망 및 정보시스템의 안전성을 점검하여 정보보호규정 등의 준수 여부를 평가하고 필요한 조치를 취할 수 있으며 모든 사용자는 이에 적극 협조하여야 한다.

⑨ 업무와 관련해 습득한 정보자산을 본교의 허가 없이 외부에 누출해서는 아니 된다.

⑩ 보안사고 예방을 위한 정보보호 활동은 정보보호 최고책임자의 승인을 얻은 후 즉시 시행 할 수 있다.

제10조 (정보보호규정의 준수) ① 사용자는 본 규정을 숙지 및 준수하여야 하며 담당 업무에 적용하여야 한다.

② 사용자가 본 규정 또는 하위 지침을 위반하여 본교에 손실을 입히거나 이미지를 훼손한 경우에는 제4조에 따라 위반자를 징계할 수 있다.

③ 정보보호규정의 실질적인 운영을 위하여 필요한 경우 구체적인 세부 지침을 수립·운영 할 수 있다.

제11조 (정보보호규정 및 지침의 관리) ① 정보보호 환경 및 정보보호관리체계의 변화에 따라 필요한 지침을 수립하고 개선하여야 한다.

② 규정 및 지침의 제정, 개정, 배포(시행), 폐기 등의 이력을 관리하여야 한다.

③ 다음 각 호의 사항을 고려하여 연 1회 이상 규정의 변경 필요 여부를 검토하고, 필요시에 규정 및 지침을 변경할 수 있다.

1. 정보보호 목표 및 전략의 변경

2. 정보보호 관련 조직 구조 및 인력의 중대한 변경

3. 중대한 보안사고 또는 새로운 위협·취약성이 발생한 경우

4. 관련 법 요구의 변화 또는 신규 법령의 제정

5. 정보보호규정 등의 정책시행 문서간의 일관성 유지를 위한 변경

6. 그 밖에 추가적으로 필요하다고 판단하는 경우

④ 정보보호규정에서 요구하는 정보보호 수준 유지를 위해 연간 정보보호 업무계획을 수립·시행하고 그 추진결과를 심사·분석 및 평가하여야 한다.

⑤ 정보보호 업무계획의 효과적인 관리를 위해서‘정보보호 운영현황표’를 작성하고 검토하여 최신의 상태가 유지되도록 관리하여야 한다.

⑥ 정보보호규정을 통하여 정한 정보보호 활동 수행에 관한 운영 기록을 관리하여야 한다.

제12조 (이용제한) ① 정보보호 관리자는 다음 각 호의 어느 하나에 해당하는 경우의 사용자 혹은 서비스에 대하여 계정해지, 접속제한, 서비스중단 등 정보통신서비스를 제한할 수 있다.

1. 부당한 방법으로 타인의 정보를 훼손하거나 타인의 비밀을 침해, 도용 또는 누설

2. 바이러스 등 악성 프로그램을 유포

3. 음란물, 폭력물 등의 불건전한 자료를 게재․유포

4. 법령 혹은 본 규정 및 하위 지침을 위반한 경우

5. 정보보호 최고책임자의 승인을 받은 정보보호 활동에서 명시한 사항을 준수하지 않는 경우

6. 기타 정보보호에 해가 되는 경우

② 정보보호 관리자는 제1항에 의한 제한을 하고자 하는 경우에는 사전에 이를 사용자에게 고지하여야 한다. 다만, 이용제한과 동시에 시스템 안정성 확보를 위한 신속한 조치가 필요한 경우 사후 고지할 수 있으며 사용자를 식별 할 수 없어 연락처를 확인할 수 없는 경우는 고지를 생략 할 수 있다.

제 4 장 정보보호 관리

제13조 (자산분류 및 통제) ① 정보자산에 대한 최신 목록을 유지, 관리하여야 한다.

② 정보자산의 보호를 위해 보호대책을 마련하고 적용하여야 한다.

③ 관리되는 정보자산은 정보의 중요도를 고려하여 보안등급을 정하여야 한다.

④ 자산분류 및 통제 업무에 관한 세부 규정은‘정보자산관리 지침’을 따른다.

제14조 (위험관리) ① 서비스 및 업무에서 발생이 예상되는 위험을 평가하고 위험관리 전략을 수립하여 통제하여야 한다.

② 본교에서 발생 가능성이 있는 정보보호 위험은 지속적으로 평가되고 관리되어야 한다.

③ 위험관리에 관한 세부 규정은‘위험평가관리 지침’을 따른다.

제15조 (인적 보안) ① 교직원에 대한 인사관리 업무상 발생 가능한 정보보호 위험을 식별하고 대책을 적용하여야 한다.

② 외부인력에 의해 발생 가능한 정보보호 위험을 식별하고 대책을 적용하여야 한다.

③ 정보보호 담당부서는 연 단위의 정보보호 교육 및 훈련계획을 수립하고 이를 시행하여야 한다.

④ 교직원은 매년 시행되는 정보보호 교육을 이수하여야 한다.

⑤ 인적 보안에 관한 세부 규정은‘인력보안 지침’및‘외부인력보안 지침’을 따른다.

제16조 (물리적 보안) ① 업무상 보호되어야 하는 구역을 제한구역 또는 통제구역으로 구분하여 관리하여야 한다.

② 정보 및 정보자산에 대한 비인가 물리적 접근, 유출, 손상으로부터 보호하기 위한 대책을 적용하여야 한다.

③ 물리적 보안에 관한 세부 규정은‘물리적보안 지침’을 따른다.

제17조 (네트워크 및 운영관리) ① 정보시스템의 운영과정에서 발생하는 보안 위협을 예방하고 통제하여야 한다.

② 정보시스템의 신규 도입, 운영 및 폐기 단계에서 보안성을 확보하여야 한다.

③ 네트워크상에서 전송되는 중요 정보에 대한 기밀성, 무결성, 가용성 보장을 위하여 적절한 통제 대책을 수립하여 적용하여야 한다.

④ 매체에 저장된 중요 정보의 보호를 위하여 안전한 보관 및 폐기 관리를 수행하여야 한다.

⑤ 정보시스템 운영보안에 관한 세부 규정은‘정보시스템 운영보안 지침’을 따른다.

제18조 (보안사고 예방 및 대응) ① 본교에서 발생 가능한 보안사고를 사전에 예방하고 대응할 수 있는 통제 대책을 수립하여 운영하여야 한다.

② 보안사고 대응을 위한 조직을 구성하고, 대응책을 수립하여 적용하여야 한다.

③ 보안사고를 인지한 교직원은 정보보호 담당부서에 이를 즉시 신고하여야 한다.

④ 보안사고 예방 및 대응 업무에 관한 세부규정은‘침해사고대응 지침’을 따른다.

제19조 (접근 통제) ① 승인된 사용자만 본교의 정보 및 정보자산에 접근할 수 있어야 한다.

② 정보시스템에 대한 접근통제 정책은 사용자 식별, 인증, 활동기록 등의 보안통제 기능을 통하여 이행되어야 한다.

③ 사용자는 안전한 패스워드 설정 및 관리를 통해 정보시스템 대한 비인가 접근이 불가능하도록 하여야 한다.

④ 정보시스템의 접근통제에 관한 세부규정은‘정보시스템 운영보안 지침’, 패스워드에 대한 세부 규정은 ‘PC보안 지침’을 따른다.

제20조 (응용프로그램 보안관리) ① 응용프로그램의 신규 개발, 변경 및 폐기 시 보안성 검토가 수행되어야 한다.② 응용프로그램에서 취급하는 민감한 정보의 전송 및 저장에 관한 세부규정은‘암호관리 지침’을 따른

다.③ 응용프로그램의 개발 및 보안관리에 관한 세부 규정은‘개발보안 지침’을 따르고, 데이터베이스 보안

관리에 관한 세부 규정은‘정보시스템 운영보안 지침’을 따른다.

제21조 (재해복구 계획) ① 정보시스템의 복구를 위한 비상계획을 수립하여야 한다.

② 인위적 및 자연적으로 발생되는 긴급사태에 대비하여 백업 및 복구절차를 수립하고 시행하여야 한다.

③ 재해복구에 관한 세부규정은‘재해복구 지침’을 따른다.

제22조 (법적 요구사항의 준수) ① 본교 업무 운영에 적용되는 법적, 제도적 요구사항을 식별하고 준수하여야 한다.

② 정보보호 규정 및 지침의 준수 여부를 확인하기 위해 주기적 준거성 검토를 수행하고 필요시 감사가 수행 될 수 있다.

③ 개인정보보호에 관한 사항은‘개인정보보호 내부관리계획’을 따른다.

제23조 (정보보호 감사) ① 정보보호 감사를 수행하여 정보보호 활동이 적절히 수행되는지 평가하고 개선사항이 발생한 경우에는 개선하도록 하여야 한다.

② 정보보호 감사에 관한 세부 규정은‘정보보호감사 지침’을 따른다.

제 5 장 기 타

제24조 (준용) ① 정보보호에 관하여는 본교의 다른 규정에서 특별히 정한 경우를 제외하고는 이 규정이 정하는 바에 따른다.

② 정보보호에 관한 세부사항을 명시한 지침 등을 제·개정하는 경우에는 이 규정을 준용한다.

부 칙

이 규정은 2004년 9월 1일부터 시행한다.

부 칙

이 규정은 2012년 3월 1일부터 시행한다.

부 칙

이 규정은 2015년 3월 1일부터 시행한다.

부 칙

이 규정은 2019년 6월 1일부터 시행한다.