다시 뛰는 공정도시 서울!

문서번호 교통정보과-3700 결재일자 2019.3.11. 공개여부 부분공개(6) 방침번호 시 민 ★주무관 운수정보팀장 교통정보과장 박양규 김병곤 03/11 이수진 협조 개인정보처리 수탁(자동차관련 정보화시스템 유지관리용역) 업체직원 개 인 정 보 보 호 교 육 계 획 2019.3. 교통정보과 (운수정보팀) 개인정보처리 수탁(자동차관련 정보화시스템 유지관리용역) 업체직원 개 인 정 보 보 호 교 육 계 획 개인정보를 위/수탁하여 관리하는 정보시스템 유지관리 용역업체 직원에 대한 개인정보보호 교육 및 감독을 실시하여 개인정보보호법상 의무를 준수하고자 함 □ 추진근거 ？ 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 및 같은 법 시행령 제28조(개인정보의 처리 업무 위탁시 조치) ？ 개인정보보호법 제28조(개인정보취급자에 대한 감독) □ 개인정보처리 시스템 현황 정보시스템 명 대상 시스템 업무 개인정보 항목 비 고 자동차관련 정보화시스템 □ 교육계획 ？ 일시 및 장소 : ？ 대 상 : ？ 교육자 : ？ 교육내용 붙임 1. 용역업체 정보보안 준수사항 2. 개인정보처리 수탁업체 점검표(자동차관련 정보화시스템) 3. 개인정보처리위탁 계약서(자동차관련 정보화시스템) 및 서명부 끝. 붙임 1 용역업체 개인정보보호 교육자료 용역업체 정보보안 준수사항 서울시 정보화사업을 수행하는 용역업체는 보안사고 예방을 위해 국가정보보안기본지침 제63조, 서울시정보통신보안업무처리규칙 제10조에 따라 용역사업 단계별(계약, 수행, 종료) 보안사항을 준수해야 한다. ※ 용역업체에 의한 보안사고 발생 시 ‘사업자 보안위규 처리기준’에 따라 행정조치 됨을 유념하시고 본 준수사항을 숙지하시기 바랍니다. 1. 계약단계 가. 용역업체가 하도급 계약을 체결할 경우 원래 사업계약 수준의 비밀유지 조항을 포함해야 한다. 나. 용역사업에 투입되는 자료·장비 등에 대해 대외보안이 필요할 경우 보안의 범위 및 책임을 명확히 하기 위해 사업수행계약서와 별도로 아래의 사항이 명시된 비밀유지계약서를 작성하여 발주기관에 제출해야 한다. - 비밀정보의 범위 - 보안 준수사항 - 위반시 손해배상 책임 - 지식재산권 문제 - 자료의 반환 2. 수행단계 2-1. 참여인원에 대한 보안관리 가. 용역사업 참여인원에 대한 신원확인을 실시하고 발주기관에 증빙자료를 제출해야 한다. 나. 용역업체 대표자 및 참여인원 각자의 친필 서명이 들어 있는 보안서약서를 발주기관에 제출해야 한다. 다. 용역사업 참여직원은 용역업체 임의로 교체할 수 없으며, 신상변동(해외여행 포함)사항 발생 시 발주기관에 즉시 보고하고 승인을 받아야 한다. 2-2. 사무실·장비에 대한 보안관리 가. 용역사업 수행을 위해 외부 사무실을 사용할 경우 CCTV, 시건장치 등 비인가자 출입통제 대책을 마련해야 한다. 나. PC, 휴대용 저장매체 등을 반입 및 반출 시 발주기관의 승인을 받아야 하며, 해당 장비에 유료 최신 백신을 설치하고 악성코드를 주기적으로 검사해야 한다. 다. 발주기관은 용역업체에게 제공한 사무실에 대해 수시로 보안점검을 할 수 있다. 라. 용역사업 관련 자료를 보관한 PC로 인터넷에 접속하면 안 된다. 마. USB메모리 등 휴대용 저장매체는 사용을 금지하되 불가피한 경우 발주기관의 승인 후 사용할 수 있다. 바. 용역업체 PC 및 휴대용 저장매체에 정보시스템 접속정보(ID,비밀번호)를 저장하면 안 된다. 사. 용역업체 직원의 개인 휴대폰은 발주기관의 통제 하에 카메라 및 충전포트에 보안스티커를 부착해야 한다. ※ 어플리케이션, 단말기(PC, 스마트기기 등), 유무선 통신장비, 서버, DBMS, 출입통제구역, 누설금지대상정보에 접근하는 작업자에 한하며, 보안스티커를 부착하지 못하는 경우 담당자가 휴대폰을 회수하여 보관한다. 아. 용역업체가 사용하는 노트북PC, 휴대용 저장매체 등은 퇴근·휴가 시와 같이 일정기간 사용하지 않을 경우 분실 방지를 위해 시건장치가 있는 보관함에 보관해야 한다. 2-3. 내·외부망 접근시 보안관리 가. 용역업체 사용 통신망은 서울시 행정통신망(내부망)과 분리하여 구성해야 한다. 단, 업무상 필요한 경우 발주기관의 승인 후 해당 서버에만 제한적으로 접근해야 한다. 나. 용역사업 참여인원의 사용자 계정(ID)은 하나의 그룹으로 등록해야 한다. 다. 계정별 정보시스템 접근권한을 차등 부여하되 내부문서 접근은 금지한다. 라. 용역업체 직원이 ‘root’ 계정 등 정보시스템에 중대한 영향을 끼칠 수 있는 계정에 대한 단독 접근은 불허하며, 필요할 경우 발주기관의 승인을 받아야 한다. 마. 계정별 부여된 접근권한은 불필요 시 곧바로 권한을 해지하거나 계정을 폐기해야 한다. 바. 발주기관은 사용자별로 부여한 계정에 접속하여 저장된 자료와 작업 이력을 확인할 수 있다. 사. 용역업체 PM은 사업 참여인원이 접근한 서버 및 네트워크 장비에 대한 로깅 기록을 매일 확인하고 이상 유무를 발주기관에 보고해야 한다. 아. 용역업체에서 사용하는 PC는 인터넷 연결을 금지하되, 사업수행을 위해 부득이한 경우 필요한 보안조치를 시행하고 발주기관의 승인 후 사용해야 한다. 자. 발주기관 내부에서 비인가 무선 AP(무선공유기, 스마트폰 핫스팟 등) 설정을 금지하며, 시스템 개발PC와 연결은 금지한다. 차. 발주기관에 휴대용 무선 모뎀(WiFi, LTE 등)을 반입하면 안 된다. 카. 발주기관에 노트북PC 반입 시 무선통신기능 사용불가 조치(Driver 삭제 등)를 시행해야 한다. 타. 발주기관 외부에서 내부에 있는 개발 PC 및 정보시스템에 원격 접속은 금지한다. 2-4. 자료에 대한 보안관리 가. 사업 수행을 위해 발주기관에서 용역업체에게 제공하는 내부 자료는 자료관리 대장을 작성하고, 인계자？인수자가 자필로 서명해야 한다. 나. 용역사업 관련 자료는 웹하드,P2P사이트,웹오피스,클라우드 서비스 등 인터넷 자료공유사이트 및 사업 참여인원의 개인 메일함에 저장하면 안 된다. 다. 발주기관이 제공한 사무실에서 용역사업을 수행할 경우, 매일 퇴근 시 관련 자료를 발주기관에 반납해야 한다. 단, 비밀문서를 제외한 일반문서는 발주기관이 제공한 사무실에 시건장치가 된 보관함에 보관할 수 있다. 라. 사업 수행 시 생산되는 모든 산출물은 발주기관의 파일서버에 저장하거나, 발주기관에서 지정한 PC에 저장·관리해야 한다.(파일 저장 PC는 인터넷 연결 금지) 마. 사업 수행으로 생산되는 모든 산출물 및 기록은 발주기관이 인가하지 않은 자에게 제공·대여·열람을 금지한다. 3. 종료단계 가. 용역업체 PC 및 휴대용 저장매체 등에 저장된 사업 관련 자료는 검증된 삭제 S/W로 완전 삭제해야 하며, 발주기관의 승인 후 반출해야 한다. ※ 완전 삭제 S/W 목록은 국가정보원(www.nis.go.kr) 사이버안보 보안적합성 검증필 제품목록 참고 나. 용역사업 관련자료 삭제 조치 후 용역업체에 복사본 등 용역사업과 관련된 제반자료를 보유하고 있지 않다는 용역업체 대표 명의의 보안확약서를 자필 서명하여 발주기관에 제출해야 한다. [붙임1-1] 외주 용역사업 보안특약 조항 ① 사업자는 서울특별시의 보안정책을 위반하였을 경우 [별표1]의 위규처리 기준에 따라 위규자 및 관리자를 행정조치하고 [별표2]의 보안 위약금을 서울특별시에 납부한다. ② 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 [별표3]의 ‘누출금지 대상정보’에 대한 보안관리계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 서울특별시는「지방자치단체를 당사자로 하는 계약에 관한 법률 시행령」제92조에 따라 사업자를 부정당업체로 등록한다. ③ 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안 되며, 사업 종료 시 정보보안담당자의 입회하에 완전 폐기 또는 반납해야 한다. ④ 사업자는 사업 최종 산출물에 대해 정보보안전문가 또는 전문보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다. <별표 1> 사업자 보안위규 처리기준 <별표 2> 보안 위약금 부과 기준 <별표 3> 누출금지 대상 정보 <별표 1> 사업자 보안위규 처리기준 구 분 위 규 사 항 처 리 기 준 심 각 1. 비밀 및 대외비 급 정보 유출 및 유출시도 가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출 나. 개인정보·신상정보 목록 유출 다. 비공개 항공사진·공간정보 등 비공개 정보 유출 2. 정보시스템에 대한 불법적 행위 가. 관련 시스템에 대한 해킹 및 해킹시도 나. 시스템 구축 결과물에 대한 외부 유출 다. 시스템 내 인위적인 악성코드 유포 ？ 사업참여 제한 ？ 위규자 및 직속 감독자 등 중징계 ？ 재발 방지를 위한 조치계획 제출 ？ 위규자 대상 특별 보안교육 실시 중 대 1. 비공개 정보 관리 소홀 가. 비공개 정보를 책상 위 등에 방치 나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 다. 개인정보？신상정보 목록을 책상 위 등에 방치 라. 기타 비공개 정보에 대한 관리소홀 2. 사무실ㆍ보호구역 보안관리 허술 가. 통제구역 출입문을 개방한 채 퇴근 등 나. 인가되지 않은 작업자의 내부 시스템 접근 다. 통제구역 내 장비·시설 등 무단 사진촬영 3. 전산정보 보호대책 부실 가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반 나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신 다. 개발·유지관리 시 원격작업 사용 라. 저장된 비공개 정보 패스워드 미부여 마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장 바. 외부용 PC를 업무망에 무단 연결 사용 사. 보안관련 프로그램 강제 삭제 아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등) ？ 위규자 및 직속 감독자 등 중징계 ？ 재발 방지를 위한 조치계획 제출 ？ 위규자 대상 특별 보안교육 실시 구 분 위 규 사 항 처 리 기 준 보 통 1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀 가. 주요 현안ㆍ보고자료를 책상 위 등에 방치 나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 2. 사무실 보안관리 부실 가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근 나. 출입키를 책상 위 등에 방치 3. 보호구역 관리 소홀 가. 통제ㆍ제한구역 출입문을 개방한 채 근무 나. 보호구역내 비인가자 출입허용 등 통제 미실시 4. 전산정보 보호대책 부실 가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근 나. 네이트온 등 비인가 메신저 무단 사용 다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근 라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여 마. PC 비밀번호를 모니터 옆 등 외부에 노출 바. 비인가 보조기억매체 무단 사용 ？ 위규자 및 직속 감독자 등 경징계 ？ 위규자 및 직속 감독자 사유서 / 경위서 징구 ？ 위규자 대상 특별 보안교육 실시 경 미 1. 업무 관련서류 관리 소홀 가. 진행 중인 업무자료를 책상 등에 방치, 퇴근 나. 복사기ㆍ인쇄기 위에 서류 방치 2. 근무자 근무상태 불량 가. 각종 보안장비 운용 미숙 나. 경보ㆍ보안장치 작동 불량 3. 전산정보 보호대책 부실 가. PC내 보안성이 검증되지 않은 프로그램 사용 나. 보안관련 소프트웨어의 주기적 점검 위반 ？ 위규자 서면ㆍ구두 경고 등 문책 ？ 위규자 사유서 / 경위서 징구 <별표 2> 보안 위약금 부과 기준 1. 위규 수준별로 A~D 등급으로 차등 부과 구분 위규 수준 A급 B급 C급 D급 위규 심각 1건 중대 1건 보통 2건 이상 경미 3건 이상 위약금 비 중 부정당업자 등록 계약금액의 5%이하 계약금액의 3%이하 계약금액의 1%이하 위약금 규모는 기관별 사업규모에 따라 조정 위규 수준은 <별표 1> 참고 2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과 3. 사업 종료 시 지출금액 조정을 통해 위약금 정산 <별표3> 누출금지 대상정보 1. 기관 소유 정보시스템의 내？외부 IP주소 현황 2. 세부 정보시스템 구성현황 및 정보통신망 구성도 3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보 4. 정보통신망 취약점 분석·평가 결과물 5. 용역사업 결과물 및 프로그램 소스코드 6. 국가용 보안시스템 및 정보보호시스템 도입 현황 7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보 8. 「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서 9. 「개인정보보호법」제2조제1호의 개인정보 10. 「보안업무규정」제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비 11. 그 밖에 각급기관의 장이 공개가 불가하다고 판단한 자료

17350164

20210929142332

본청

교통정보과-3700

D0000035745460