다시 뛰는 공정도시 서울!

문서번호 교통운영과-11160 결재일자 2019.6.28. 공개여부 부분공개(2) 방침번호 시 민 주무관 신호운영팀장 교통운영과장 보행친화기획관 도시교통실장 이재익 황태익 강진동 代서병철 06/28 고홍석 협 조 정보보안팀장 김태승 서울특별시 교통신호제어시스템 운영보안지침 개정 보고 2019. 6 도시교통실 (교통운영과) 서울특별시 교통신호제어시스템 운영보안지침 개정 보고 기존 교통신호제어시스템 운영보안지침의 개정을 통해 미비점을 개선？보완하여 정보보호 대응체계를 강화함으로써 교통신호제어의 안전성과 신뢰성을 확보하고자 함 Ⅰ 추진개요 ？？ 추진근거 ○「국가 정보보안 기본지침」제71조(보안대책), 제73조(취약점 분석？평가 보안관리) ○「정보통신기반 보호법」제5조(대책의 수립 등), 제6조(보호대책 이행 여부의 확인 수립), 제9조(취약점의 분석？평가), 제14조(복구조치) ○「교통신호제어시스템 운영보안지침」제4조(유지 및 관리) ？？ 개정사유 ○ 주요정보통신기반시설 취약점 분석？평가를 통한 교통신호제어시스템 운영보안지침 신설 및 추가 등 개정사항 반영 조 항 개 정 안 정보보호책임자는 제어시스템을 내부 행정망 및 상용망(인터넷 등)과 분리하여 운용한다. 제6항에 ‘출입기록은 『공공기록물 관리에 관한 법률』 시행령 제26조(보존기간) 및 『자치단체 정보시스템 장애예방 및 대응지침(행자부 예규 제90호)』 제7조(출입관리통제 및 기록관리)에 의거하여 1년 이상 보관하여야 한다.’와 ‘제8항 신호시스템실의 출입인가자 명단은 『보안업무규정 시행세칙 행안부훈령 제44조』에 의거하여 신호시스템실 내부에 가림막 설치하여 게시하여야 한다.’를 추가 제4항 제1호를 ‘사용자계정 신청자는 사용자계정 신청서(별지 제14호 서식)를 작성하여 정보보호책임자의 승인을 받아 정보보호담당자에게 등록요청‘으로 변경 제3항의 정기적으로 검토 하여야할 사항(제1~4호)을 별지 추가하여 정기검토 또는 기록 점검표에 추가 제2항을 ‘용역사업 부서의 장은 제안요청서에 보안침해사고 등의 우려를 대비하여 제안요청서 반영 보안 요구사항(별지 제25호 서식)을 검토하고 명시하여야 한다.’로 변경 Ⅱ 추진경위 ？？ 주요정보통신기반시설 취약점 분석？평가 협약체결 ’18. 09. 19 : 취약점 분석？평가 위탁협약체결 관련 교통운영과-15747 ’18. 10. 08 : 취약점 분석？평가 위？수탁 교통운영과-16844 ’18. 10. 18 : 취약점 분석？평가 교통운영과-17639 ’19. 01. 14 : 취약점 분석？평가 용역 교통운영과-733 ？？ 교통신호제어시스템 취약점 분석？평가 실시 ’19. 01. 23 : 주요정보통신 기반보호 교통운영과-1865 ’19. 02. 25~ 03. 15 : 취약점 분석？평가 ’19. 03. 21 : 취약점 분석？평가 ’19. 00. 00 : 취약점 분석？평가 ？？ 취약점 분석·평가 보안지침 개정 권고 ○ 지침서의 ○ 지침서의 ○ 지침서에 Ⅲ 주요 개정내용 ？？ 지침의 내용을 이해가 쉽도록 ○ 현 행 개 정 안 제15조(제어망 보안관리) ① 정보보호책임자는 제어시스템의 내부 행정망 및 상용망(인터넷 등)과 분리하여 운용한다. 제15조(제어망 보안관리) ① 정보보호책임자는 제어시스템을 내부 행정망 및 상용망(인터넷 등)과 분리하여 운용한다. 제73조(용역사업 보안관리 방안) ② 용역사업 부서의 장은 제안요청서에 보안침해사고 등이 우려를 대비하여 제안요청서 반영 보안 요구사항(별지 제25호 서식)을 검토하고 명시하여야 한다. 제73조(용역사업 보안관리 방안) ② 용역사업 부서의 장은 제안요청서에 보안침해사고 등의 우려를 대비하여 제안요청서 반영 보안 요구사항(별지 제25호 서식)을 검토하고 명시하여야 한다. ○ 현 행 개 정 안 제34조(사용자계정 관리) ④반기 1회 이상 사용자 계정을 등록, 변경, 삭제가 필요한 경우에 다음 각 호의 사항을 준수한다. 사용자 사용자계정 신청자는 사용자계정 신청서(별지 제14호 서식)를 작성하여 정보보호책임자의 승인을 받아 정보보호담당자에게 등록요청 제34조(사용자계정 관리) ④반기 1회 이상 사용자 계정을 등록, 변경, 삭제가 필요한 경우에 다음 각 호의 사항을 준수한다. 1.사용자계정 신청자는 사용자계정 신청서(별지 제14호 서식)를 작성하여 정보보호책임자의 승인을 받아 정보보호담당자에게 등록요청 ？？ 신호시스템실의 보안관리 강화를 위한 ○ 현 행 개 정 안 제29조(물리적 접근통제) ⑥ 신호시스템실 출입관리대장의 출입기록 및 허가의 타당성을 주기적으로 검토하고 비인가된 접근, 보안규정 위배 등 이상여부를 확인하여야 한다. 제29조(물리적 접근통제) ⑥ 신호시스템실 출입관리대장의 출입기록 및 허가의 타당성을 주기적으로 검토하고 비인가된 접근, 보안규정 위배 등 이상여부를 확인하여야 한다. 출입기록은 『공공기록물 관리에 관한 법률』 시행령 제26조(보존기간) 및 『자치단체 정보시스템 장애예방 및 대응지침(행자부 예규 제90호)』 제7조(출입관리통제 및 기록관리)에 의거하여 1년 이상 보관하여야 한다. 제29조(물리적 접근통제) ⑧ 신호시스템실의 출입인가자 명단은 『보안업무규정 시행세칙 행안부훈령 제44조』에 의거하여 신호시스템실 내부에 게시하되 가림막을 설치하여야 한다. ？？ 정보보호 강화를 위한 별지 또는 기록점검 표작성 ○ 침입차단시스템 보안정책 변경사항 별지 또는 기록점검표 작성 현 행 개 정 안 제39조(침입차단시스템 정책 설정) ③정보보호담당자는 침입차단시스템 정책 설정 시 방화벽 정책 신청서(별지 제17호 서식)를 작성하여 정보보호책임자의 사전 승인을 득한 후 반영하여야 하며, 다음 각 호와 같은 사항에 대하여 보안정책의 적정성을 정기적으로 검토하여야 한다. 승인되지 않은 보안정책 장기간 미사용 보안정책 중복 또는 사용기간이 만료된 보안정책 퇴직, 직무변경 등으로 불필요한 보안정책 제39조(침입차단시스템 정책 설정) ③정보보호담당자는 침입차단시스템 정책 설정 시 방화벽 정책 신청서(별지 제17호 서식)를 작성하여 정보보호책임자의 사전 승인을 득한 후 반영하여야 하며, 다음 각 호와 같은 사항에 대하여 보안정책의 적정성을 정기적으로 검토하여야 한다. 승인되지 않은 보안정책 장기간 미사용 보안정책 중복 또는 사용기간이 만료된 보안정책 퇴직, 직무변경 등으로 불필요한 보안정책 별지추가하여 정기검토 또는 기록 점검표에 추가 Ⅳ 향후계획 ？？ 추진일정 ○ ’19. 5~6월 : ○ ’19. 6~7월 : ○ ’19. 8~9월 : ？？ 행정사항 ○ 개정된 ‘교통신호제어시스템 운영보안지침’ ○ 개정된 ‘교통신호제어시스템 운영보안지침’ 【붙 임】 1. 1부. 2. 1부. 끝.

18126133

20210929095108

본청

교통운영과-11160

D0000037266249