다시 뛰는 공정도시 서울!

문서번호 안전지원과-3757 결재일자 2020.2.18. 공개여부 부분공개(2) 방침번호 시 민 전문위원 전산기획팀장 안전지원과장 소방재난본부장 김상수 진광미 권혁민 02/18 신열우 협 조 담당자 이명화 담당자 황정윤 2020년 개인정보보호·정보보안 추진 계획 2020. 2. 안전지원과 목 차 1. 운영 개요 1 2. ‘19년 성과 평가 1 3. 개인정보보호·정보보안 및 법률 개정 현황 5 4. 2020년 주요 업무 계획 9 5. 기본 활동 세부 계획 15 5.1 개인정보보호 및 정보보호 계획 수립 15 5.2 개인정보보호 및 정보보안 교육 시행 16 5.3 개인정보보호의 날 운영 17 5.4 「사이버 보안 진단의 날」 운영 및 관리 강화 18 5.5 외부 용역 사업 보안관리 강화 19 6. 요소별 보안관리 세부 계획 21 6.1 각 부서 PC 관련 보안활동 강화 21 6.2 본부의 정보보호시스템 안정적 운영 22 7. 사이버 위협 대응 세부 계획 24 7.1 사이버 침해사고 대응 24 7.2 개인정보 유출사고 대응 25 7.3 2020년 보안 감사 26 7.4 본부의 정보자산에 대한 백업 및 복구 모의훈련 27 7.5 개인정보 침해사고 대응 모의훈련 28 8. 사이버 위협 대응 세부 계획 29 8.1 본부의 개인정보보호 의무사항 이행 29 8.2 개인정보보호 안정성 확보 조치 31 8.3 본부의 개인정보처리시스템의 접속 기록관리 추진 32 8.4 본부의 119행정정보시스템의 권한 관리 개선 33 9. 행정 사항 34 2020년 개인정보 보호 및 정보보안 추진 계획 정보시스템 보호 및 보안관리 활동을 강화하여 정보유출을 방지하고, 사이버 침해를 예방함으로써 안전한 정보보호 기반을 조성하고자 함 1 운영 개요 □ 관련 근거 ○ 전자정부법 제56조(정보통신망 등의 보안대책 수립？시행) ○ 개인정보보호법 ○ 국가정보보안 기본지침 ○ 서울시 정보통신 보안업무처리규칙 ○ 2008년 10월부터 범정부 차원에서 매월 세 번째 수요일을 ？사이버보안진단 날？로 지정, 각 기관이 자체적으로 정보보안 관리 실태를 종합 점검함 ○ 2018년 5월부터 서울시 전기관의 개인정보보호에 대한 인식 제고 및 안전성 확보를 위하여, 매월 첫 번째 수요일을 ？개인정보 보호의 날？로 지정·운영함 □ 추진 배경 ○ 2019년 스피어피싱 메일(직장인 연말정산)과 랜섬웨어의 피해가 커짐 ○ 2019년 5월 IT 기업(가비아)에서 해킹으로 인한 고객 개인정보 유출 ○ 세계보안엑스포서 IoT 해킹 시연 : 도어락 10초면 풀림 2 ‘19년 성과 평가 □ 보안 정책 및 추진 계획 수립 ○ 「2019년 정보보안 추진계획」 수립 (2월) ○ ‘19년 개인정보보호 내부관리계획 수립 (3월) ○ 2020년 보안 개선 사업 계획(개인정보 접속기록 도입 등) 수립 (5월) ○ 119행정정보 자산에 대한 백업 및 복구 절차 정비 (6월) ○ ‘19년 개인정보 침해사고 대응 매뉴얼 정비 (6월) ○ 홈페이지 개인정보 노출방지 가이드 정비 (8월) ○ 네트워크 접근제어 관리 가이드 수립 (8월) ○ PC스캔 관리 가이드 수립 (11월) ○ 개인정보보호 내부관리 정비 (12월) ○ 개인정보 침해대응 매뉴얼 정비 (12월) □ 사이버보안진단 10대 사항 점검 ○ PC보안프로그램(내PC지키미)를 통한 PC 보안 평가점수는 안정 단계로 적절한 대응을 함 (내PC지키미 참여 부족으로 인한 점수 하락) □ 개인정보의 안정성 확보를 위한 PC스캔 자동검사 및 조치 ○ 소방서 및 산하기관의 직원은 매월 첫째 주 수요일 오후 12시 강제검사 ○ 담당직원은 개인정보가 검출된 파일은 5일 이내 처리 의무화 ○ 개인정보보호 의식 부족으로 인한 결과 파일 수 및 미처리 증가 □ 사이버 공격 초동 조치 및 대응 수행 ○ 사이버위기 경보 3등급 “경계” 대응 활동 수행 ○ 초동조치 : 통합보안관제센터 신고, 랜케이블 분리, 현장보전 ○ 증거 자료 제출 및 중간보고 ○ 침해사고 조사분석 결과보고서 제출(공문) □ 정보 자원(시스템 등) 관련 보안 주요 활동 내용 ○ 네트워크 접근제어, 내PC지키미, USB관리 운영 (연중) ○ 휴대용저장매체 관리 물품 구매 (6월) ○ 개인정보처리시스템 접속기록 점검 (연중) □ 관리적 보안 주요 활동 내용 ○ 부서별 개인 PC 정비 : 사용자와 IP 현행화 (2월) ○ 개인정보 안전성 확보 조치 철저 : PC 암호화 및 대응절차 제공 (3월) ○ 업무용 PC 보안관리 철저 (3월) ○ 전자정부 사이버 위협 대응 강화 : (4월) ○ 전 직원 해킹메일 대응 훈련 (4월) ○ 정보보안 감사(6월, 12월) ○ 서울시 개인정보파일 등록 신청(7월) ○ 인터넷 홈페이지 유출 사례 전파 및 운영 관리 철저(8월) ○ 행정망 PC내 개인정보 보호조치 관리(11월) ○ USB 사용 및 관리 규정 준수(12월) □ 개인정보 보호 및 정보보안 교육 ○ 하반기 서울소방 개인정보 보호 교육 실시 (9월) ○ 서울시 개인정보보호 교육 실시 및 참여 (9월) ○ 본부 용역사업 보안 교육 실시 (연중) ○ 본부 개인정보 취급자 역량 강화 교육 실시 (10월) ○ 서울시 정보보안 인식 제고 교육 실시 및 참여 (12월) ○ 본부 정보보안 인식 제고 교육 실시 (12월) ○ 본부 정보보안/개인정보보호 책임자 교육 참여 (6월, 10월) □ 사업 계획 ○ 개인정보 접속기록 관리시스템 구축 계획 (5월) ○ 망 연계 시스템 교체 계획 (5월) ○ 네트워크 보안 강화 계획(방화벽 추가) (5월) 3 개인정보 보호·정보보안 이슈 및 법률 개정 현황 □ 한국인터넷진흥원 2020년 정보보호 7대 이슈 ○ 일상 속으로 파고든 보안 취약점, 보이지 않는 위협 - 윈도우 RDP 취약점(블루킵) 윈도우 제품 원격 접속 관리 기능(Remote Desktop Protocol, RDP)을 통해 악성코드를 설치 및 시행할 수 있는 취약점으로, 영향을 받는 제품은 윈도우 XP, 7, 윈도우 서버 2003, 2008이다. 지난 2017년 세계적으로 큰 피해가 발생했던 워너크라이 랜섬웨어와 유사한 방식으로 취약한 PC에 악성코드 전파가 가능하다. 미패치 시스템을 노린 제2의 워너크라이 등장 우려 - 지원 중단 혹은 예정 운영체제(윈도우7/XP, 서버 2008 등) 취약점 공격 시도 ○ 랜섬웨어 지난 2015년 4월, 갑자기 컴퓨터 시스템에 접근할 수 없게 되거나, 저장한 사진과 문서 파일 등을 열 수 없는 일이 발생했다. 이른바 ‘랜섬웨어(ransomware)’로 유명한 ‘크립토락커(CryptoLocker)’ 바이러스에 PC가 감염돼 모든 데이터가 암호화 된 탓이다. 랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다. , 개인에서 공공기관·기업으로 피해 확대 - 공공기관·기업으로 사칭하여 APT와 결합된 랜섬웨어 유포 - APT APT(Advanced Persistent Threat) : 조직을 정한 뒤 장기간에 걸쳐 다양한 수단을 동원한 지능적 해킹방식으로, 해커는 감염된 PC와 연결된 다른 PC를 차례로 감염시켜 전체 컴퓨터를 해킹한다. 와 결합된 랜섬웨어 공격, PC 공격보다 높은 금액 요구 ○ 취약한 가상통화 거래소, 반복되는 해킹 사고 - 가상통화 탈취 및 가치 조작을 목적으로 가상통화 거래소를 꾸준히 공격 - 피해를 눈치채기 힘든 채굴형 악성코드의 지속적인 유포 및 감염 시도 ○ 문자 메시지, e메일 안으로 숨어드는 악성코드 - 문자 메시지, 이메일 속 링크를 이용, 악성 앱을 감염시키는 표적 공격 - IoT 기기 보급 확산에 따른 대규모 IoT 봇넷 등장 및 DDoS공격 DDoS 공격 : 특정 인터넷 사이트가 소화할 수 없는 규모의 접속 통신량(트래픽)을 한꺼번에 일으켜 서비스 체계를 마비시킨다. 불특정 다수의 컴퓨터에 악성 컴퓨팅 코드인 ‘좀비(Zombie)’를 퍼뜨린 뒤 DDoS(Denial of Service) 공격에 이용하는 게 특징이다. 의 재개 ○ 은밀하게 정교하게, 진화하는 지능형 표적 공격 - 견적 의뢰서, 보도자료 등 정상 파일을 위·변조한 스피어 피싱 스피어 피싱 : 수신자와 참조자를 여러 명 포함하여, 수신자의 개인정보를 요청하거나 정상적인 문서 파일로 위장한 악성코드를 실행하도록 한다. 의 정교화 - 문서 소프트웨어의 자체 보안기능을 통한 보안위협 탐지 시스템 회피 증가 ○ 모바일까지 확대되는 소프트웨어 공급망 공격 - 모바일 앱, 스마트폰 제조사를 대상으로 S/W 공급망 공격 확대 - S/W의 특정 사용자만을 선별하여 감염된 악성코드를 실행하는 표적 공격 ○ 융합 서비스를 노리는 새로운 보안 위협의 등장 - 교통 시스템 해킹을 통한 교통 마비와 CCTV 무력화와 같은 보안위협 등장 - 의료 시스템 해킹을 통한 개인정보·처방전 데이터 유출 및 기기 오작동 유발 □ 안랩 2020년 사이버 보안 위협 5대 이슈 ○ 타깃형 랜섬웨어 공격 본격화 - 2019년 랜섬웨어 공격이 본격화되었고, 2020년에는 특정 타깃을 정해 지속적으로 공격하는 APT의 형태로 진행 ○ 클라우드 보안 위협 대두 - 2019년 미국 금융업체의 클라우드 서버에 저장된 고객 정보 유출되었고, 시스템 자체의 기술적 결함이나 설정 오류로 인한 보안사고 증가 ○ 정보 수집 및 탈취 공격 고도화 - 전통적인 방식의 사이버 공격 증가(한글, 워드 등의 취약점 활용 등) ○ 특수 목적 시스템 보안 위협 증가 - POS기기와 ATM 등 기기를 겨냥한 해킹 공격이 증가 ○ 모바일 사이버공격 방식 다변화 - 앱 개발 업체도 파악하기 힘든 형태로 악성 소프트웨어개발키트를 제작해 유포하는 방식으로 정상적인 앱스토어를 통해 유통될 수 있음 □ 개인정보보호 관련 개정 현황 ○ 개인정보처리시스템의 접소기록에 대한 관리기준을 명확하게 하여 개인정보 유출 및 오·남용과 같은 개인정보 침해사고의 사전 예방과 사후 추척 관리를 강화<2019.6.7. 시행> 개인정보의 안전성 확보조치 기준[행정안전부고시 제2019-47호] 접속기록의 구체화(제2조) ~ 19. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. 접속기록 보관기간을 최소 1년이상 보관하도록 차등적 연장(제8조1항) ~ ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다. 접속기록 점검에 관한 사항 개선(제4조 및 제8조 2항) ~ ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. ○ 수집동의 획득시, 개인정보처리자는 시행규칙에 따라 동의서 내용을 정보주체가 알아보기 쉽게 표기<2017.10.19. 시행> 법 시행령 제 22조 (동의를 받는 방법) ~ ② 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다. 1. 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항 가. 제18조에 따른 민감정보 나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호 3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 법 시행령 제4조(서면 동의 시 중요한 내용의 표시 방법) 법 제22조제2항에서 “행정안전부령으로 정하는 방법”이란 다음 각 호의 방법을 말한다. 1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것[본조신설 2017.10.19] ○ 개인정보가 유출될 경우 행정안전부, 전문기관(KISA)에 신고(1천명 이상 유출시) 법 시행령 제 40조(개인정보 유출 통지의 방법 및 절차) ~ ③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다. 4 2020년 주요 업무 계획 □ 추진 방향 ○ 실시간 관제에 따른 사이버 위협 및 공격에 대응 (시 통합보안관제센터) ○ 본부 및 각 산하기관의 추진 계획 수립·시행 ○ 정보시스템의 취약점 진단 및 정보보호시스템 안정적 운영 추진 ○ 정보보안 점검 및 모의훈련 시행 ○ 개인정보보호 안정성 확보 조치 □ 개인정보보호 · 정보보안관리 체계 ○ 시 정보통신보안담당관 : 종합 상황 관리·감독, 정보보안/개인정보보호 활동 ○ 시 통합보안 관제센터 : 침해 사고 대응 ○ 안전지원 과장 : 상황 관리·감독, 분야별 정보보안책임자/개인정보보호책임자 ○ 전 산 기 획 팀 : 정보보안 추진계획 수립, 정보보안 교육, 침해사고 대응, 장애긴급 복구, 취약점 보완조치 ○ 각 산 하 기 관 : 정보보안 추진계획 수립, 정보보안교육, 개인 PC 및 장비 보안(붙임6), 침해사고 대응 ※ 종합방재센터는 주요정보통신 기반시설로 별도의 보안대책을 추진하고 있음 □ 관리 조직의 역할 구 분 임무 및 역할 개인정보 보호 책임자 (시청 책임자) 개인정보보호 계획 및 방침의 수립·시행 개인정보 처리실태 및 관행의 정기적 조사 및 개선 개인정보 처리와 관련한 민원 불만의 처리 및 피해구제 개인정보 유출 및 오남용 방지를 위한 내부 통제체계 구축 개인정보 보호 교육계획 및 시행 개인정보파일의 보호 및 관리·감독 등 개인정보 보호 분야별 책임자 해당 부서 개인정보 취급자에 대한 개인정보 보호 지도 교육 및 감독 개인정보처리시스템 권한범위 및 제반 보호장치에 관한 확인 및 감독 개인정보 이용 및 제공, 처리 현황 파악 입출력 데이터 및 전산 장비 등의 안전성 확보 책임 개인정보 보호 분야별 담당자 개인정보보호 자체계획에 의거 부서별 정보보호 업무 수행 분야별 개인정보보호 책임자가 위임한 개인정보보호와 관련된 업무 개인정보 처리 실태 관리 및 각종 자료 취합보고 개인정보처리 관련 시스템 연계 등과 관련된 부서 업무 개인정보보호 총괄 담당자 개인정보보호책임자가 위임한 개인정보와 관련된 업무 개인정보 처리 시스템 관련 업무 및 개인정보보호 업무 전반 개인정보 취급자 업무수행시 처리되는 개인정보를 보호 관리 개인정보의 수집-보유- 이용 및 제공-파기까지 전체 단계별 보호 관리 웹사이트에 게재되는 개인정보에 대한 보호관리 CCTV 영상정보에 대한 보호관리 정보보안 (분야별) 책임자 정보보안 계획 및 방참의 수립·시행 정보통신실, 정보통신망 및 정보 자료의 보안 관리 정보보안 관리실태 점검 침해사고 대응 정보보안 교육 및 정보 협력 사이버보안진단의 날 시행 정보보안 (분야별) 담당자 정보보안책임자가 위임한 정보보안와 관련된 업무 정보보안 관련 업무 전반 제반 법규 준수 활동 □ 중점 추진 방안 ○ 개인정보 보호 및 정보보안 계획 수립 지속 - 추진계획 수립 : 12월 ~ 1월 . 정보보안 책임자 및 개인정보보호 책임자 지정 및 운영 . 정보보안 담당자 및 개인정보보호 담당자 지정 및 운영 . 정보시스템별 정보보안 관리담당자 지정 및 운영 - 자체 지침 및 요소별 가이드 재·개정 : 6월 ○ 개인정보보호 및 정보보안 교육 시행 지속 - 본부 및 각 산하기관 직원 대상 보안교육 : 5월, 10월 - 정보보안 책임자 및 담당자 교육 참여 : 연중 - 개인정보 보호 책임자 및 담당자 관련 교육 참여 : 연중 ○ 개인정보보호의 날 운영 확대 - 매월 첫째 주 개인정보가 검출된 파일은 5일 이내 처리 의무화 - 개인정보 취급자의 개인정보 파일 관리 철저 - 매월 넷째 주 보안USB 관리 및 개인정보접속기록관리 결과 보고 - 홈페이지 게시판 점검 운영 ○ 사이버보안진단의 날 운영 및 관리 강화 지속 - 매월 셋째 주 사이버보안 점검결과 취약 PC 및 미점검 PC 인터넷 차단 - PC보안평가 평균점수 추이, 주요 취약점 등 ？사이버보안진단의 날？ 수행실적 통계자료를 전 기관에 제공 ○ 외부 용역사업 보안 관리 강화 지속 - 참여인원 신원조사 및 서약 집행 · 보안 교육 시행 - 119 행정정보, 스마트긴급통제단 보안 취약점 점검 실시 - 참여인원에 대하여는 취득한 기밀사항 누설금지 서약서 징구 요소별 보안관리 ○ 각 부서 PC 관련 보안 활동 강화 지속 - 부서 보안담당자 리스트 현행화 및 역할 확립 : 1월중 - 1차·2차 비밀번호(CMOS, 운영체제) 관리 철저 - 바이러스 및 불법 소프트웨어 점검 철저 - 주기적인 바이러스 최신정보, 운영체제 취약점에 대한 패치 철저 - 휴대용 저장매체 보안 관리 철저 ○ 본부의 정보보호시스템 안정적 운영 지속 - 정보기술 주요 계층에 대한 정보 보안 점검 및 개선 방안 수립 - 냬PC지키미, 네트워크접근제어, 보안USB, PC스캔 운영 - 보안취약성 진단 연 1회 실시 및 조치 - 장비별 관리 규정 정비 - 보안 장비 관련 규칙 최적화 시행 사이버위협 탐지·대응 ○ 사이버 침해사고 대응 지속 - 사이버 침해사고 대응에 대한 상황관제 : 연중 - 초동대응 및 신고, 사고 처리 : 연중 ○ 개인정보 유출사고 대응 지속 - 유출사고시 원인 분석 및 대외기관 대응, 안내문 작성 등 : 연중 ○ 2020년 보안 감사 지속 : 6월, 12월 - 개인정보처리시스템 사용자 계정 관리 여부 등 - 내부관리계획 수립 및 시행 여부 등 ○ 본부의 정보자산에 대한 백업 및 복구 모의 훈련 지속 - 백업관리 지침과 절차 검토 및 개선 - 복구 모의 훈련 계획 및 이행 : 7월 ○ 개인정보 유출사고 대응 모의 훈련 신규 - 유출 대응 절차 검토 및 개선 - 대응 모의 훈련 계획 및 이행 : 5월 개인정보 보호 활동 강화 ○ 본부의 개인정보보호 의무사항 이행 확대 - 개인정보파일 전수조사 및 정비 : 4-6월 - 개인정보 유출 대응 절차 정비 : 12월 - 내부관리계획 정비 : 12월 - 개인정보 처리 방안 우선 순위 선정 : 7월 - 실행 가능한 대응 방안 수행 및 예산 수립 : 7월 ○ 개인정보보호 안정성 확보 조치 확대 - 취약점 도출 및 개선 : 8-10월 - 외부 웹하드 구간 암호화 : 7-10월 - PC 외장하드 폐기 지침 정비 : 6월 ○ 119행정정보 대상 개인정보 접속기록 관리시스템 구축 : 2-6월 신규 ○ 119행정정보 대상 권한 관리 개선 : 3-7월 신규 □ 연간 추진 일정 세부추진과제 추 진 일 정 (월) 1 2 3 4 5 6 7 8 9 10 11 12 개인정보보호？정보보안 계획 수립 개인정보보호？정보보안 관계인 정비 IP 정비 및 PC보안 점검 개인정보처리방침 정비 개인정보보호 내부관리계획 정비 및 배포 개인정보 보호 교육 PC 외장하드 폐기 지침 정비 휴대용저장매체 관리 지침 정비 CPO워크샵 등 전문교육 참석 시청 정보보호 직장교육 참석 개인정보파일 정비 정보보호？보안 자체 감사 정보시스템 복구 모의훈련 개인정보 노·유출 대비 모의 훈련 개인정보 위험도 분석 정보시스템 취약점 점검 홈페이지 게시판 점검 침해 및 개인정보 유출 사고 대응 휴대용저장매체 관리 개인정보보호의 날 운영 사이버보안진단의 날 운영 외부 용역사업 보안 관리 5 기본 활동 세부 계획 5-1. 개인정보보호 및 정보보안 계획 수립 소방 대상물 관계자 등 개인정보를 취급함에 있어 관련 규정을 준수하고 개인정보 노·유출 사고가 없도록 개인정보 보호 및 정보보안 관련 자체 계획 수립· 추진하여 신뢰받는 소방 행정 구현 □ 추진 방향 ○ 서울소방재난본부는 그 특성상 개인이 보안을 어길 경우 그 피해가 서울 소방 전역으로 확대되는 점을 감안, 각 기관의 정보보안책임자는 보안 중점 관리 ○ 전문적인 보안업무는 정보보안담당자가 시행·관리하고, 각 부서 사용자는 최소한의 보안사항 관리 □ 시행일 : 2020년(연중) □ 중점 추진 사항 ○ 분야별 정보보안담당자(개인정보보호 담당자)는 자체 추진 계획 수립(2월) - 개인정보 보호 및 정보보안 자체 추진 계획 수립·이행 - 보안책임자/담당자, 개인정보 보호책임자/담당자 정비 ※ 정보시스템별 정보보안 담당 정비 5-2. 개인정보보호 및 정보보안 교육 시행 개인PC 보안관리 요령 및 정보유출로 인한 피해사례 등 사이버침해사고 예방 교육을 실시하여 전직원 보안의식을 고취시키고자 함 □ 추진 방향 ○ 정보통신망 침해사고로 인한 사이버 테러 피해사고 예방과 보안의식 함양을 위해 전직원 대상 정보보안교육 요구됨 ○ 서울 소방 직원 대상 전문강사 초빙집합교육(사이버 온라인 교육 병행 추진) ○ 정보보안관련 전문기관의 교육, 기술 세미나 등에 참석 □ 시행일 : 2020년(연중) □ 중점 추진 사항 ○ 정보보안 교육시행 - 대 상 : 전직원, 개인정보보호/보안업무 책임자/담당자 - 내 용 : 최근 정보보호 주요이슈 및 보안사고 사례 전파 - 시행시기 구 분 시 기 비 고 전 직 원 본청 보안 교육시 (1회 참여) 정보보안담당관실 교육 시행 개인정보보호 교육 (1회 참여) 년 2회 자체 교육 실시(5월, 10월) 담당자 책임자 수시 (16시간 이상) 정보보안 관련 전문기관의 교육, CPO, 기술 세미나 참석 외주 인력 계약/종료 직후, 5월 용역업체 대상 보안 관리 교육 ○ 실무 위주(개인 PC 보안요령 등)의 교육자료 공유 ○ 외부 위탁 전문교육 실시(정보보호담당) ○ 개인 PC 백신설치 요령 및 윈도우 보안패치요령 홍보 5-3. 개인정보보호의 날 운영 개인정보보호법에 따른 의무사항을 이행하기 위한 조치를 시행함으로써 개인정보 침해사고 예방 및 유출사고를 미연에 방지함 □ 추진배경 ○ 최근 홈페이지를 통한 개인정보 노출이 언론 등을 통해 사회적 이슈화 ○ 그간의 공공기관 개인정보 노출 진단결과, 개인정보에 대한 관리자 및 취급자의 인식 부족이 가장 큰 원인으로 분석됨 □ 시행일 : 매월 첫째주 수요일 ○ 매월 첫째 주 수요일을 개인정보보호의 날 지정 운영 - PC스캔 자동 검사 일괄 시행 □ 추진 사항 ○ ‘개인정보 보호의 날’ 정오에 본부 및 산하기관의 모든 업무용 PC에서 PC 스캔 자동검사 실행 ○ 당일 PC 미사용 휴가 중인 직원의 PC는 업무 복귀 시 자동검사 실행 ○ 개인정보가 검출된 파일은 5일 이내 처리(암호화, 격리, 삭제) 의무화 ○ 개인정보처리시스템의 접근통제(등록, 삭제, 이력관리) 방안 수립 ○ 개인정보취급자 주의사항 - 개인정보관련 파일의 공유 차단 및 관리 철저 - 개인정보관련 출력물에 대한 사무실내 방치 금지 및 사용 후 파기 철저 □ 기대효과 ○ 효율적인 개인정보보호 규제 대응 및 개인정보보호 제고 5-4. ？사이버 보안 진단의 날？ 운영 및 관리 강화 전 기관의 PC, 네트워크, 정보시스템 등 정보자산에 대한 보안상 취약점의 자체 점검 강화 및 보완을 통해 사이버 안전지대를 구축 하고자 함 □ 관련근거 ○ 전자정부법 제56조(정보통신망 등의 보안대책 수립？시행) ○ 국가정보보안기본지침 제17조(사이버보안진단의 날) ○ 서울시 정보통신보안업무처리규칙 제12조(사이버보안진단의 날) □ 시행일 : 매월 셋째주 수요일 □ 추진 사항 ○ 일반 부서 - 점 검 자 : 전직원 PC 사용자 - 점검방법 : 내PC지키미 프로그램 실행 후 사이버 보안 10대 점검 사항 점점 및 안전조치 ○ 본부 전산기획팀 - 정보통신보안담당관에 월별 점검결과 제공 - 정보시스템 보안 점검 - 월별 중점 점검사항(붙임 2) 점검 및 취약점 조치 □ 기대효과 ○ 점검 시스템을 통해 사이버보안의 체계적인 분석 가능 ○ 예방점검 및 사전조치로 직원들의 보안 의식 강화 ○ 해킹 등 사이버 공격으로부터 자산보호 5-5. 외부 용역사업 보안 관리 강화 외부 용역사업에 대한 보안관리 통제 · 감독으로 불법적인 침해사고로부터 정보시스템을 보호함 □ 관련근거 ○ 국가정보보안기본지침 제63조(용역사업 보안관리) □ 시행일 : 2020년 연중 □ 추진 사항 ○ 일반사항 - 수행과정에서 취득한 자료와 정보에 관하여 외부에 유출해서는 안되며, 종료시 담당공무원의 입회하에 완전 폐기 또는 반납 - 문서, 인원, 장비 등에 대하여 보안관리 계획을 사업제안서에 기재, 누출시 지방계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록 ○ 참여 인원에 대한 보안관리 - 참여 인원 중 용역책임자를 보안책임관으로 지정, 승인을 받음 - 참여인원은 보안서약서를 작성 후, 제출함 - 시작 전 참여인원에 대한 비밀유지의무 준수 교육 실시 - 정보시스템 접근이 필요한 경우 발주기관의 사전승인을 득한 후 담당공무원의 입회하에 실시 ○ 내부 자료에 대한 보안관리 - 발주기관에서 제공하는 내부 자료에 대해서는 책임자가 직접 서명후 인수인계 - 사업수행을 위해 제공된 내부 자료는 복사 및 외부 반출 금지 ○ 장비에 대한 보안관리 - 보조매체 기록장치는 발주기관의 협의하여 제한된 PC에서만 사용 - 종료시 계약자의 PC 및 보조기억장치는 완전삭제 후 반출 ○ 내·외부망 접근에 대한 보안관리 - 발주기관 내부망에 대한 접속은 발주기관 승인후 사용 - 사용하는 PC는 인터넷 연결 원칙적 금지, 필요한 경우 담당자 승인후 사용 ○ 산출물에 대한 보안관리 - 산출물은 발주기관의 파일서버 또는 PC에 저장 - 사업 종료 후 최종산출물에 대해 “대외비”임을 표기하여 발주기관에 제출 6 요소별 보안관리 세부 계획 6-1. 각 부서 PC 관련 보안 활동 강화 각 부서 정보보안 업무 추진시 준수수칙을 참조하여 부서장 책임하에 중점 관리를 할 수 있도록 하여 보안사고 미연에 방지하고자 함 □ 관련근거 ○ 국가 정보보안 기본방침 제26조(PC 등 단말기 보안관리) ○ 서울시 정보통신보안업무처리규칙 제13조(PC 등 단말기 보안관리) □ 시행일 : 2020년 (연중) □ 중점 추진 사항 ○ 정보보안담당자 - 각 사용자에 대한 정보보안 업무 지도·감독 - 사용자에 대한 IP 점검 및 정비(2월) - PC 반납 및 폐기시 PC 하드디스크 완전삭제 - 컴퓨터에 관리책임자(정？부) 지정운영(표식 부착)하고, 단말기 관리대장에 기록관리(별지 제1호 서식) ○ 개인용 PC 보안관리 - 업무와 무관한 웹사이트 접속 금지(토렌트 커뮤니티, 바이두 등 중국포털, 블로그 등) - 웹사이트 검색시 의심스러운 URL링크 클릭 및 불법 소프트웨어 다운로드 금지 - 공공기관, 지인 등을 사칭하는 의심스러운 메일 절대 열람 금지 및 삭제 조치 - 승인받지 않은 USB메모리, 외장하드디스크 등을 무단 반입하여 업무용PC에 연결금지 - 패스워드는 설정규칙에 따라 적용하고 정기적으로 변경 사용 - 백신프로그램은 항상 최신버전으로 업데이트하고, 실시간 악성코드 검사 상태 유지 - 컴퓨터에 부여된 네트워크 IP 주소는 사용자 임의로 절대 변경금지 - 자리 이석시 화면보호기 강제 적용(윈도우로고키+L) - 업무용 컴퓨터는 운영체제, Office, 한글 등 소프트웨어 주기적 업데이트 실시 및 패치적용 ○ 컴퓨터바이러스 감염 방지 - 바이러스 백신 프로그램을 반드시 설치하고, 최신버전으로 지속적으로 업데이트 - 망(Network)을 통한 전송 자료는 항상 바이러스 검사 후 사용 - 바이러스 감염시 즉시 컴퓨터를 네트워크에서 분리 후 치료조치 ○ 보조기억매체(USB메모리) 보안관리 - 보조기억매체(USB메모리) 관리대장 등재 및 관리책임자 지정 관리 - 보조기억매체(USB메모리) 사용현황 점검 □ 기대효과 ○ 예방점검 및 사전조치로 직원들의 보안 의식 강화 ○ 해킹 등 사이버 공격으로부터 자산보호 6-2. 본부의 정보보호시스템 안정적 운영 불법적인 침해사고로부터 정보시스템을 보호하고 정기 보안 진단 및 점검을 통한 장애 예방활동을 강화하여 정보보호 시스템을 안정적으로 운영하고자 함 □ 추진 방향 ○ 정보보호시스템 활용을 통한 실시간 감시체계 확립 ○ 복잡 다양해지는 사이버 위협 및 공격에 대응하기 위한 정보보안 체계 수립 ○ 추가되는 정보시스템의 취약점 진단 및 조치를 통한 최신상태 유지 □ 시행일 : 2020년(연중) □ 중점 추진 사항 ○ 유해사이트 차단정책 시행 및 보안 정책 적용 - 음란, 도박, 오락 등 사이트 상시 차단 ○ 웹방화벽, 서버보안, DB 보안 등의 정보보호시스템의 상시 모니터링 체계 - 정책 수립 후 적용, 로그 모니터링을 통해 통제 ○ 정보시스템 보안 취약성 진단 연1회 실시 및 조치 ○ 네트워크 접근제어, 휴대용저장매체, PC스캔 운영 - 사내망에 접근하는 모든 PC에 대한 보안제어, 개인정보보호 관리 정책 적용 ○ 웹하드(외부) 구간 암호화(하반기) 7 사이버 위협 대응 세부 계획 7-1. 사이버 침해사고 대응 사이버 테러 등 예·경보 발령 시 자체 사이버위기 대응 체계를 가동하여 신속히 대처하고 단계별 대응조치를 하며, 해킹·악성코드 유포 등 사이버 공격으로부터 정보자산을 안전하게 보호하고자 함 □ 추진 방향 ○ 사이버 침해사고 발생시 체계적 대응체계 마련하여 방어체계 구축 □ 시행일 : 2020년(연중) □ 중점 추진 사항 ○ 사이버 침해사고 대응반 구성 - 상황관제 : 서울시 통합관제센터, 전산기획팀, 각 관·서 보안담당 - 사고대응 : (사고분석) 서울시 통합관제센터, 전산기획팀, (시스템 복구) 전산기획팀 ○ 사이버 침해사고 대응절차 (사고 인지:모니터링) - 사이버 위기경보 발생 시 단계별 대응활동을 유지하고 사이버 위기경보 “주의” 단계부터 사이버 침해사고 대응활동 수행 - 사이버 공격, 전산망 장애 등 이상 징후 포착시 보고체계에 따라 즉시 보고 - 출처가 불분명하거나 의심스러운 메일 열람 금지 및 즉시 신고(초동대응 및 신고) - 서울시 통합보안관제센터 신고, LAN 케이블 분리, 현장보전 - 침해사고신고서 제출, 서울시 통합보안관제센터 기술지원요청 - (사고원인조사) 증거자료 제출, 자체 조사분석 - (피해복구) 침해사고 조사분석 결과보고서 제출 ○ □ 기대효과 ○ 사이버 침해사고 대응체계 구성으로 신속한 진단 및 조치 7-2. 개인정보 유출사고 대응 소방재난본부의 과실 및 오·남용 또는 외부 해킹 등으로 개인정보 유출사고에 대한 신속하고 체계적인 대응이 이루어져 피해를 최소하고자 함 □ 추진 방향 ○ 개인정보 유출 사고 발생 시 체계적 대응체계 마련하여 대응 체계 구축 □ 시행일 : 2020년(연중) □ 중점 추진 사항 ○ 유출 대응 업무수행 구성 - 분석복구 : 유츌 사실 조사 및 원인 분석 - 법무홍보 : 유출 사고 관련 대외기관 대응, 안내문 최종 검토 - 민원홍보 : 정보주체 개별 통지문 안내, 이에 따른 후속업무 ○ 사이버 침해사고 대응절차 - (개인정보 유출사고 신고) 민원인 또는 직원의 유출사고 신고 - (신고 접수) 개인정보담당자의 사고 접수 및 보고 - (유출 사고 처리) 조사 및 분석. 정보주체 통지 및 관련기관 신고여부 결정 ○ 한국인터넷진흥원, 118(ARS 내선 2번)/118@kisa.or.kr □ 기대효과 ○ 개인정보 유출 사고 대응체계 구성으로 신속한 진단 및 조치 7-3. 2020년 보안 감사 정보보안 업무 추진 현황, 관리 실태 등 확인·점검을 통해 보안 사고 예방 및 보안 업무 내실화 및 개선을 도모함 □ 관련근거 ○ 국가정보보안기본지침 제14조(정보보안 감사) ○ 국가정보보안기본지침 제11조(지도방문) □ 시행일 : 6월, 12월 □ 보안 감사 사항 ○ 정보보안 관리 현황 - 정보보안 및 개인정보 보호 세부 추진계획 수립 - 정보호호 책임자 및 담당자 현황 - 교육 이행 현황 - 정보시스템 권한 부여 현황 ○ 개인정보호 관리 현황 - 개인정보 내부관리 계획 수립 및 비취 - 정보시스템 권한 부여 현황 - 개인정보보호의 날 운영 및 점검 현황 □ 기대효과 ○ 정보 보안 취약성 개선 및 보완 ○ 보안 생활화 정착으로 보안사고 예방 ○ 사이버 위협에 대한 대응 능력 향상 7-4. 본부의 정보자산에 대한 백업 및 복구 모의 훈련 불의의 사고로 시스템이나 파일의 피해가 발생하더라도 최근 백업한 시점의 내용으로 복구하여, 정보시스템의 연속성을 보장함 □ 추진배경 ○ 자치단체 정보시스템 장애 예방 및 대응 지침(행정자치부 예규 제 90호) ○ 통제 불가능한 재해를 제외한 시스템 장애, 운영 장애, 장비 장애등과 같은 통제 가능한 요인들에 의한 정보시스템의 기능 저하, 고장으로부터의 복구 게획 및 절차 필요 □ 시행일 : 2020년 하반기 □ 중점추진사항 ○ 정보시스템 긴급 장애복구 지침 수립 ○ SW 및 데이터 백업 및 소산에 대한 정책 검토 및 수정 ○ SW 및 데이터 백업 및 복구에 따른 수행 절차 수립 - 백업대상(운영체제, 데이터, 파일), 백업주기(일, 월 등) ○ 하드웨어 백업 대상 선정 및 예비 부품 확보 방안 수립 ○ 서비스 연속성 관리를 위한 모의 훈련 계획 수립 ○ 모의 훈련 계획 년 1회 이상 실시 7-5. 개인정보 침해사고 대응 모의 훈련 외부 해킹 등으로 개인정보 침해(유출) 사고 발생 시 체계적이고 신속한 대응 능력 향상 및 절차 숙지를 위한 모의훈련을 통해 개인정보 보호에 만전을 기하고자 함 □ 추진근거 ○ 개인정보보호법 제34조(개인정보 유출 통지 등), 동법 시행령 제39조(개인정보 유출 신고의 범위 및 기관), 제40조 (개인정보 유출 통지의 방법 및 절차) ○ 안전지원과-26865호 소방재난본부 개인정보 유출사고 대응 매뉴얼 □ 시행일 : 2020년 상반기 □ 중점추진사항 ○ 일 시 : 2020년 상반기 ○ 주 관 : 안전지원과 ○ 장 소 : 정보통신실 회의실 ○ 참 여 : 개인정보보호 책임자 및 담당자, 119행정정보 시스템 관리자, 유지보수 업체 직원 등 ○ 훈련 상황 유출 신고 및 대응 방안 확인 사고 접수 및 유출 통지 현황 분석 및 초동 조치 사고 인지 (불시 상황 부여) ○ 훈련 방법 ○ 중점 점검사항 - 개인정보 침해사고 대응 계획에 의한 시스템 관리자의 초동조치 여부 - 정보주체에 대한 유출 사실 통지 방법 및 절차 등 신속한 처리 여부 - KISA 신고 및 홈페이지 신속 게시 여부 - 기타 상황전파, 보고 절차 및 후속 조치 여부 8 개인정보보호 활동 강화 8-1. 본부의 개인정보 의무사항 이행 개인정보보호법에 따른 의무사항을 이행하기 위한 조치를 시행함으로써 개인정보 침해사고 예방 및 유·노출 사고를 미연에 방지 함. □ 관련근거 ？ 개인정보보호법 제29조 (개인정보의 안전성 확보조치) ？ 개인정보의 안전성 확보조치 기준 □ 중점추진 사항 ○ 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 - 개인정보처리방침의 수립 및 공개 실태(3월) - 개인정보수집 및 보유기간의 적정성, 보유기간 지난 파일의 파기실태 등 - 개인정보 위수탁시 적정한 기술적, 관리적 보호조치(2월) ○ 개인정보 처리와 관련한 불만의 처리 및 피해 구제 ○ 개인정보파일 전수 조사 및 정비(5월) ○ 개인정보 처리방침의 수립·변경(3월) ○ 개인정보 보호 관련 자료의 관리 ○ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기현황 파악 □ 의무 조치사항(개인정보보호지침 참조) ○ 소관 처리부서의 개인정보취급자에 대한 관리·감독 ○ 소관 개인정보파일에 대한 개인정보 처리방침의 수립, 변경 및 시행 ○ 소관 개인정보파일의 등록 및 공개, 각종 대장의 기록관리(지침 참조) ○ 소관 개인정보파일 암호화를 통한 안전성 확보조치 ○ 소관 개인정보파일에 대한 정보주체의 열람, 정정, 삭제 청구 시 처리 ○ 개인정보 침해사고, 개인정보취급자의 위법사항, 개인정보의 처리 현황 등 개인정보 보호관련 사항을 개인정보 보호책임자(각 부서장)에게 보고 ○ 기타 소관 분야의 개인정보 보호를 위해 필요한 조치 등 ○ PC에 저장되어진 개인정보현황 일제 조사하여 삭제 또는 암호화조치 ○ 홈페이지 개인정보 노출 상시점검 강화(홈페이지 운영부서) ○ 개인정보 처리시스템 안전조치 강화(시스템 운영부서) - 개인정보 DB암호화 조치 - 웹서버의 보안서버 구축현황을 일제 점검하여 전송시 암호화 권고 ○ 반드시 필요한 개인정보파일만 수집 법령 근거 확인 ○ 법령상 근거 없을 시 개인정보 즉시 파기 및 수집 제한, 업무상 수집이 불가피할 경우 관계부처와 상의하여 별도의 법령 근거 마련 ○ 보유기간 경과 및 보유목적 달성 시 지체 없이 삭제 ○ 개인정보시스템 위·수탁 운영 시 위·수탁계약서에 개인정보보호 관련 내용을 명시하여 처리(문서화) □ 기대효과 ○ 개인정보 유출사고 사전방지 및 피해사고 예방 ○ 정보주체의 권리보장을 통한 시민고객 만족도 향상 ○ 개인정보 침해사례 교육을 통한 개인정보보호 인식도 제고 8-2. 개인정보보호 안정성 확보 조치 시민 개인정보 안전한 운영 관리를 위해 강화된 개인정보 보호법 의무사항과 권고사항을 추가하여 개인정보 내부 관리 추진계획을 수립 및 시행 □ 추진 방향 ○ 정보통신망 침해사고로 인한 사이버 테러 피해사고 예방과 보안의식 함양을 위해 전직원 대상 개인정보보호교육이 요구됨 □ 시행일 : 2020년(연중) □ 중점 추진 사항 ○ 산하기관의 개인정보보호 내부관리계획 수립(3월) 및 점검(12월) - 개인정보 유출 대응 절차 정비 - 개인정보보호 열람 요구에 대한 처리 방안 정비 ○ 개인정보보호 위험도 분석(4월) - 개인정보보호 관련 내부 지침 및 법적 요구사항 분석 - 개인정보 동의서에 대한 실사 ○ 진단에 따른 개선 항목 도출 및 이행(4월) - 개인정보보호 자가 진단에 따른 취약점 도출 및 개선 8-3. 본부의 개인정보처리시스템의 접속 기록관리 추진 개인정보 침해사고 예방 및 유출사고를 미연에 방지하기 위해 내부자의 접속기록을 관리？감시 모니터링 기능을 강화하고 있음 □ 추진배경 ○ 개인정보의 오？남용과 유출사고를 예방하고 개인정보 침해사고 발생시 책임자를 추적하는 역할 수행 ○ 「개인정보의 안정성 확보조치 기준」의 개정에 따른 접속기록의 관리 기능 강화 □ 시행일 : 2020년 상반기 □ 추진 사항 ○ 개인정보 접속기록 관리의 도입 기준 선정(2월) ○ 개인정보 접속기록 관리시스템 도입 및 설치(4~5월) ○ 시험운영 및 관리 기능 점검 (6월) □ 기대효과 ○ 개인정보 유출 및 오·남용 예방 및 접속기록 보존관리 및 위변조 방지 8-5. 본부의 119행정정보시스템의 권한 관리 개선 개인정보 침해사고 예방 및 유출사고를 미연에 방지하기 위해 내부자의 접근 통제 및 접근 권한 제한 조치 및 모니터링 기능을 강화하고 있음 □ 추진배경 ○ 개인정보처리자는 개인정보처리시스템의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관 ○ 「개인정보의 안정성 확보조치 기준」 제5조(접근 권한의 관리)에 따른 접근 권한 변경 또는 말소 여부 확인 □ 시행일 : 2020년 상반기 □ 추진 사항 ○ 개인정보처리시스템의 접근 권한 관리 기록 기능 개발(상반기) ○ 시험 운영 및 관리 기능 점검(5~6월) ○ 권한 부여 현황 분석 및 개선 방안 수립(7월) □ 기대효과 ○ 개인정보 유출 및 오·남용 예방 및 권한 관리 9 행정사항 □ 각서 및 방재센터, 학교, 특수구조단, 청와대소방대 준수사항 ○ 정보보호 관련법률 제？개정에 따른 제반 준수사항 이행 철저 - 정보보안 책임자와 담당자 지정 및 정보보안 추진계획 수립？제출(2월, 붙임 15 참조) - 개인정보보호 책임자와 담당자 지정 및 개인정보보호 내부관리계획 수립·시행(3월) ○ 정보보안·개인정보보호 담당자 및 직원들에 대한 교육 이수 관리 ○ 정보보안 및 개인정보 활동에 따른 결과 자체 관리 및 교육 실시 - 매월 셋째주 수요일 ‘사이버보안진단의 날’ 수행 - 매월 첫째주 수요일 ‘개인정보보호의 날’ 수행 - 매월 20일 휴대용저장매체 관리(본부 별도시행) ○ 사이버보안 사고 발생시 신속한 보고체계 유지 - 인터넷 해킹 및 바이러스 감염시 본부, 서울사이버안전센터(☏2133-0118)로 즉시 신고 ○ 개인정보 유노출 사고 발생시 신속한 보고체계 유지 - 개인정보 유노출 확인시 본부 전산기획팀(☏3706-1645)로 즉시 보고 ○ 네트워크 차단시스템 제외 등 예외처리가 필요한 PC 또는 네트워크 장비(스마트TV, 복사기, 통신장비 등) 사용부서에서는 네트워크 접근관리 시스템(NAC) 차단 예외 신청서(붙임 5)를 작성하여 통보(제출) 붙임 : 1. 정보 보안 추진 현황 2. 월별 중점 점검사항 1부. 3. 보안지도 체크리스트 1부. 4. ？사이버보안진단의 날？ 체크리스트 1부. 5. 네트워크접근관리시스템 차단 예외 신청서 1부. 6. PC 보안업무 준수 수칙 1부. 7. 정보시스템 보안업무 준수 수칙 1부. 8. 개인정보보호 체크리스트 1부. 9. 서울특별시 정보통신 보안업무 처리 규칙 1부. 10. 서울특별시 정보통신 보안업무 처리 지침 1부. 11. 서울특별시 개인정보운영의 날 지침 1부. 12. 서울특별시 개인정보보호 내부 관리계획 1부. 13. 개인정보보호 지침 1부. 14. 2020년도 서울시 정보보안업무 추진계획 1부. 15. 각 서 정보보안 추진계획(예시) 1부. 끝. 별지 제1호 서식 PC, 노트북 관리대장 연번 부서명 사용자 이름 직위 운영체제 망구분 IP주소 구분 비고 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ○ 관리번호에는 PC 관리번호 기재 ○ 확인란에는 관리책임자 승인 서명 참조 정보보호부문 자산 분류표 대분류 중분류 소분류 설명 정보보안 제품 네트워크 보안 웹 방화벽 다양한 형태의 웹 기반 해킹 및 유해트래픽을 실시간 감시하여 탐지하고 차단하는 웹 애플리케이션 보안 시스템 네트워크(시스템) 방화벽 외부의 불법침입으로부터 내부의 정보자산을 보호하고 유해정보의 유입을 차단하기 위한 정책과 이를 지원하는 보안시스템 침입방지시스템(IPS) 네트워크에서 공격 서명을 찾아내 자동으로 모종의 조치를 취하여 비정상적인 트래픽을 중단시키는 보안 솔루션 DDoS차단시스템 대량의 트래픽을 전송해 시스템을 마비시키는 DDoS공격 전용차단시스템. 대량으로 유입되는 트래픽을 신속하게 분석하여 유해트래픽을 걸러줌 통합보안시스템(UTM) 다중 위협에 대해 보호기능을 제공할 수 있는 포괄적인 보안 제품 가상사설망(VPN) 인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위하여 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크 네트워크접근제어(NAC) 네트워크에 접근하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라. 허가되지 않거나 악성코드에 감염된 PC 등이 네트워크에 접속되는 것을 차단해 시스템 전체를 보호하는 솔루션 무선네크워크보안 무선을 이용하는 통신네트워크 상에서 인증, 키 교환 및 데이터 암호화 등을 통해 위협으로부터 보호하기 위한 기술 가상화(망분리) 조직에서 사용하는 망(네트워크)을 업무 및 내부용 망(인트라넷)과 외부망(인터넷)으로 구분하고 각 망을 격리 시스템(단말)보안 시스템접근통제 (PC방화벽 포함) 자료가 외부로 유출되는 것을 방지하기 위해 온라인을 통한 파일 유출방지, 감시 기능, SMTPMail, WebMail 등을 통한 파일 유출 방지, 감시기능, 프린터인쇄 모니터링 기능 등 자료 유출을 보안하는 다양한 기능을 함 Anti 멀웨어 컴퓨터의 운영을 방해하거나, 정보를 유출 또는 불법적으로 접근권한을 취득하는 소프트웨어인 멀웨어를 방지함 스팸차단 S/W 스팸을 방지하기 위해 스팸 차단 또는 필터링 기능을 제공하는 소프트웨어 보안운영체제(Secure OS) 컴퓨터 운영 체제의 보안상 결함으로 인하여 발생 가능한 각종 해킹으로부터 시스템을 보호하기 위해 기존의 운영체제 내에 보안 기능이 추가된 운영체제 APT대응 APT공격에 대응하기 위한 프로그램 소프트웨어 모바일 보안 모바일 서비스 상에 발생할 수 있는 위협으로부터 보호하기 위한 기술 콘텐츠(데이터)/정보유출방지보안 DB보안(접근통제) 데이터베이스 및 데이터베이스 내에 저장된 데이터를 인가되지 않은 변경, 파괴, 노출 및 비일관성을 발생시키는 사건으로부터 보호하는 기술 DB 암호 데이터의 실제 내용을 허가받지 않은 사람이 볼 수 없도록 은폐하기 위해 데이터를 암호화함 보안 USB 사용자식별, 지정데이터 암복호화, 지정된 자료의 임의복제 방지, 분실시 데이터 보호를 위한 삭제 등의 기능을 지원하는 보안 컨트롤러가 있는 휴대용 메모리 스틱 디지털저작권관리(DRM) 웹을 통해 유통되는 각종 디지털 콘텐츠의 안전 분배와 불법 복제 방지 네트워크 DLP 사용자의 고의 또는 실수, 외부해킹, 멀웨어 등을 네트워크를 이용한 정보유출을 컨텐츠 수준에서 막는 기술 단말 DLP 사용자의 고의 또는 실수, 외부해킹, 멀웨어 등을 네트워크를 이용한 정보유출을 단말 수준에서 막는 기술 암호/인증 보안 스마트카드 일반카드와는 달리 반도체 칩을 내장한 스마트카드로 방대한 양의 데이터를 저장할 수 있으며, 보안성이 뛰어남 H/W토큰(HSM) 전자 서명 생성키 등 비밀정보를 안전하게 저장 및 보관할 수 있고 기기 내부에 프로세스 및 암호 연산장치가 있어 전자 서명키 생성, 전자 서명 생성 및 검증 등이 가능한 장치 일회용비밀번호(OTP) 로그인할 때마다 새로운 패스워드를 생성하는 보안 시스템 공개키기반구조(PKI) 실체의 식별자와 공개키를 포함하는 정보로서 공개키 정보는 한 실체에 대한 데이터와 이 실체를 위한 공개키로 제한되며 인증기관, 실체, 공개키 또는 관련 알고리즘에 관한 다른 정적인 정보 통합접근관리(EAM)/싱글사인온(SSO) 통합접근관리: 인트라넷, 엑스트라넷 및 일반클라이언트/서버환경에서 자원의 접근인증과 이를 기반으로 자원에 대한접근권한을 부여 관리하는 통합인증관리솔루션 싱글사인온: 이기종의 시스템을 사용할 때마다 다른 사용자번호와 비밀번호를 입력하지 않고도 한번 인증만으로 전 시스템을 하나의 시스템처럼 사용할 수 있도록 하는 시스템 통합계정관리(IM/IAM) ID와 패스워드를 종합적으로 관리해주는 역할 기반의 사용자 계정 관리 솔루션 보안관리 통합보안관리(ESM) 방화벽, 침입탐지시스템, 가상사설망 등 각종 보안시스템 및 주요시스템 장비를 연동하여 효율적으로 운영할 수 있도록 하는 시스템 위협관리시스템(TMS) 국내외 최신 취약성 정보와 보안 트렌드, 정밀 분석된 네트워크 트래픽 및 공격 형태를 상관 분석해 사이버 공격을 예측하고 판단하여 능동적으로 대응할 수 있는 체계적인 위협관제 및 대응 시스템 패치관리시스템(PMS) 시스템의 보안 취약점을 보완하기 위하여 배포되는 보안 패치 파일을 원격에서 자동으로 설치 관리해주는 시스템 자산관리시스템(RMS) 각종 유가증권을 포함해 다양한 파생금융상품에 대한 투자위험을 분석, 예측해주는 시스템 백업/복구관리 시스템 자료 손실을 예방하기 위해 자료를 미리 다른 곳에 임시로 보관해 두었다가 원래 상태로 복구해주는 관리 시스템 로그관리/분석 시스템 로그를 실시간 수집, 저장 및 분석하는 등의 작업을 위해 사용되어지는 시스템 취약점분석 시스템 악성코드 민감도, 안전하지 않은 소프트웨어 설정, 열린 포트 같은 컴퓨터 시스템의 알려진 취약점들을 분석하기 위해 사용되어지는 시스템 디지털 포렌식 시스템 정보기기 내에 내장된 디지털자료를 법적증거가 되도록 하기 위해 자료를 수집, 보관, 분석, 보고하기 위해 사용 되어지는 시스템 기타 정보보안제품 상기분류에서 제외된 제품 물리보안제품 CCTV CCTV 시스템 특정한 수신자에게만 서비스하는 것을 목적으로 하는 텔레비전 전송시스템, 카메라, 모니터, 디지털비디오녹화기(DVR) ,네트워크로 구성된 시스템 ※(예)저장장치, 카메라, 주변장비 영상감시관제S/W 및 장비, 지능형솔루션, 액세서리 바이오인식 얼굴인식 시스템 사람 얼굴의 대칭적인 구도, 생김새, 머리카락, 눈의 색상, 얼굴 근육의 움직임 등을 분석해 얼굴의 특징을 알아내는 대표적인 생체인식 기술 지문인식 시스템 지문인식은 전용 센서를 이용해 지문의 디지털 영상을 획득하여 지문에 있는 다양한 패턴을 이용하여 신원을 확인하는 기술 홍채인식 시스템 홍채의 모양과 색, 망막모세혈관의 형태소 등을 분석해 사람을 인식하는 생체인식기술 정맥인식 시스템 손바닥이나 손가락에 흐르는 정맥을 이용해 본인 여부를 인식하는 생체인식 기술 기타(음성인식 및 기타) 상기분류에서 제외된 시스템 접근제어 주요관공서, 군주요시설, 금융기관, 회사, 연구실 등의 보안유지가 요구되는 곳 또는 이용자의 출입관리가 요구되는 곳에서 IDCARD 등의 인식장비를 활용하여 관리하는 시스템 ※(예)카드&리더(번호/마그네틱), 시큐리티게이트 및 S/W등 알람모니터링 온도, 압력, 방사선세기 등의 물리량이나 화학량을 검지하여 신호처리가 가능하도록 변화시키는 장치 ※(예)적외선/레이저/진동/장력센서, 모션디텍터/침입 탐지장비 등 기타 물리보안제품 상기분류에서 제외된 제품

19801681

20210929001327

본청

안전지원과-3757

D0000039372624