다시 뛰는 공정도시 서울!

문서번호 전산정보과-2375 결재일자 2019.2.26. 공개여부 부분공개(2) 방침번호 시 민 ★주무관 전산정보과장 요금관리부장 상수도사업본부부본부장 조성준 송종선 조두업 02/26 배광환 협 조 정수시설과장 남효돈 정수시설과장 조귀현 정수시설과장 김석정 정수시설과장 유영춘 정수시설과장 양영민 정수시설과장 백상희 주무관 박종회 - 2019년도 주요정보통신기반시설 - 취약점 분석·평가 추진계획 2019. 2. 상수도사업본부 (요금관리부) 지속 가능성 ● 정책·계획 등의 지속가능성을 검토하였습니까? 예) 지역경제 발전, 사회적 형평성, 환경의 보전 등 □ ■ - 2019년도 주요정보통신기반시설 - 취약점 분석？평가 추진계획 주요정보통신기반시설로 지정되어 있는 6개 정수센터「제어시스템」을 대상으로 2019년 정보보안 취약점 분석？평가를 실시하고 2020년 보호대책을 수립하여 사이버 침해 위협으로부터 안전성을 확보하고자 함 Ⅰ 추 진 근 거 ？ 정보통신기반보호법 제5조(주요정보통신기반시설보호대책의 수립 등) 및 제9조(취약점의 분석？평가) ？ 정보통신기반보호법 시행령 제17조(취약점 분석？평가) ？ 행안부 소관 주요정보통신기반시설 보호지침 제17조(취약점 분석·평가) ？ 2019년 정보통신 보안업무 시행계획(‘19. 2. 8, 전산정보과-1520) Ⅱ 추 진 배 경 ？？ 정보통신기반 보호법 등 관련법령 준수 ？「정보통신기반 보호법」및 동법 시행령에 의하여 전국 102개 기반시설의 관리기관이 취약점 분석？평가 매년 시행 ※ 기반시설 관리기관이 본부로 총괄 조정되어 ‘17년부터 본부에서 추진 중 ？？ 정수제어시스템 운영의 안전성 및 대시민 신뢰도 향상 ？ 주요정보통신기반시설의 관리적·물리적·기술적 취약점을 사전에 제거하여 악의적인 사이버 침해 공격 및 보안사고 발생 예방 ？？ 비상 시 대응체계 확립 및 보안의식 강화 ？ 침해사고 모의 훈련 실시를 통한 비상 시 대응체계 확립 ？ 내부직원 및 외주용역 직원 대상으로 보안교육을 실시하여 보안의식 제고 Ⅲ 기반시설 현황 ？？ 지정개요 ？ 지정현황 : 6개 정수제어시스템 중앙행정기관 관리기관 주요정보통신기반시설 지정일자 행정안전부 서울시 상수도사업본부 광암정수센터 상수도 정수제어시스템 ’12년 12월 구의정수센터 상수도 정수제어시스템 ’12년 2월 뚝도정수센터 상수도 정수제어시스템 영등포정수센터 상수도 정수제어시스템 암사정수센터 상수도 정수제어시스템 강북정수센터 상수도 정수제어시스템 ※ 으로 ？ 정수센터별 세부 시설현황 (단위 : 대) 계 광 암 구 의 뚝 도 영등포 암 사 강 북 269 ※ 세부시설 : PLC PLC(Programmable Logic Controller) : 제어를 위한 프로그램 작성을 통해 각종 기계와 공정을 컨트롤하는 장치로써 산업 플랜트의 자동제어 및 감시에 사용함 , 제어PC, 서버, 통신장비 및 보안장비 등 Ⅳ 추 진 계 획 ？？ 사업개요 ？ 대 상 : 6개 정수센터 제어시스템(269대) ？ 기 간 : ‘19. 4. ~ 10. (6개월) ？ 사업내용 - 제어시스템에 대한 관리적,물리적,기술적 취약점 총425개 항목 분석·평가 · 관리적 취약점 : 정보보호 정책 수립 및 관리, 정보보호 조직 및 인적보안, 정보보호 인식 및 교육훈련 부재 등의 취약점 · 물리적 취약점 : 기반시설 내 출입자 통제 및 감시 소홀, 전원공급장치 및 소방시설 설치 유무 등의 취약점 · 기술적 취약점 : 행정망 또는 인터넷망을 통한 제어시스템 접근 가능여부, 정보유출 및 변조, 서비스 지연 가능성 등의 취약점 - 정수센터제어망 기준으로 모의해킹을 실시하여 기반시설 침투가능 여부 진단 · · · - 2020년도 보호대책 수립 및 소속 직원 보안교육 실시 · 취약점 분석 결과를 토대로 해당 정수센터 상황에 적합한 차년도 보호대책 수립 예시) · 소속직원 대상으로 정보보호 교육을 실시하여 전문성 배양 및 보안의식 고취 ？ 업체선정 : 제한경쟁입찰(적격심사 낙찰제) - 입찰참가자격 :「정보보호 전문서비스 기업」 · 근거 : 정보통신기반보호법 제9조 제3항 및 정보보호산업의 진흥에 관한 법률 제23조에 따라 지정 (과학기술정보통신부) ※ 정보보호 전문서비스 기업 지정 현황 ？(주)시큐아이, ㈜안랩, 엔시큐어(주), ㈜A3시큐리티, 롯데정보통신(주) ？(주)싸이버원, SK인포섹(주), ㈜파이오링크, ㈜소만사, ㈜CAS ？(주)SSR, ㈜파수닷컴, ㈜윈스, ㈜이글루시큐리티, ㈜시큐어원, ？한영회계법인, 한전KDN㈜, ㈜신한DS, 한국통신인터넷기술(이하19개사) ？ 소요예산 : (부가세 포함) - 산출내역 · 순용역원가(직접인건비) : · 제경비(직접인건비 × 112%) : · 기술료((직접인건비 + 제경비) × 20%) : · 부가세((직접인건비+제경비+기술료)×10%) : ？？ 용역결과 취약점 개선 조치 ？ 현장에서 개선 가능한 취약점은 관련 유지보수업체에 개선 조치 권고 ？ 예산이 소요되거나 개선에 상당기간이 소요되는 취약점은 해당 정수센터에서 별도 계획 수립？추진 ？？ 추진일정 ？ ‘19. 2. : 계약심사 및 보안성 검토 의뢰 ？ ‘19. 3. : 용역 발주 및 사업자 선정 ？ ‘19. 4. ~ 9. : 취약점 분석？평가 용역 실시 ？ ‘19. 9. ~ 10. : 완료보고 및 용역 준공검사 Ⅴ 행 정 사 항 ？？ 전산정보과 ？ 용역 발주, 계약 체결 및 사업 관리 ？ 과업 산출물 검토 및 2020년도 보호대책서 제출(행정안전부) ？？ 정수센터(정수시설과) ？ 취약점 분석·평가 사업 협조 : 자료제공, 인터뷰 및 현장점검 지원 등 ？ 용역업체 보안관리, 도출된 취약점 조치 ？ 산출물 적정성 검토 및 사업 검수 등 붙임 : 1. 기반시설 취약점 분석？평가 용역 과업지시서 1부. 2. 용역비 설계서 1부. 끝.

17251886

20210929150724

본청

전산정보과-2375

D0000035664006