다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-1453 결재일자 2022. 1. 14. 공개여부 부분공개(2) 방침번호 시 민 주무관 정보보안팀장 정보통신보안담당관 스마트도시정책관 강경민 김진하 김완집 01/14 박종수 2022년「사이버보안진단의 날」운영계획 2022. 1. 스마트도시정책관 (정보통신보안담당관) 지속 가능성 ● 정책·계획 등의 지속가능성을 검토하였습니까? 예) 지역경제 발전, 사회적 형평성, 환경의 보전 등 □ ■ 2022년「사이버보안진단의 날」운영계획 「사이버보안진단의 날」운영하여 정보시스템(PC·노트북 등)의 보안취약점 점검·제거를 통해 사이버침해사고, 정보유출 등 보안 사고를 예방하고자 함 1 추진근거 ？？「사이버보안진단의 날」시행배경 ○ `08.10월부터 범정부 차원에서 정보보안 관리실태를 각 기관이 자체적으로 종합 점검하도록 매월 세 번째 수요일을「사이버보안진단의 날」로 지정 ？？ 추진근거 ○ 국가 정보보안 기본지침 제10조(사이버보안진단의 날) ○ 서울시 정보통신 보안업무 처리규칙 제10조(사이버보안진단의 날) 2 추진방향 ？？「사이버보안진단의 날」점검항목을 개선하여 효율적인 운영 추진 ○ 국가정보보안 관리실태평가 취약점에 지적된 정보시스템 및 저장매체 보안관리 강화에 중점 - 복합기· NAS(Network Attached Storage) : LAN으로 연결하는 외장 하드디스크의 개념으로, 네트워크를 통해 데이터를 주고 받을 수 있는 저장장치이다. NAS 등의 관리를 강화하여 비인가자에 의한 행정정보 유출사고 예방 - 정보시스템의 주기적인 현행화 및 취약점 보안조치로 사이버침해사고 예방 ○ 정보화사업 및 용역업체 관리항목의 생소한 용어를 간소화하여 부서의 적극적 참여 유도 - 보안담당자의 눈높이에 맞춰 부서내 보유한 단말기 위주의 점검항목으로 개선 3 `21년 운영결과 ？？ PC 보안취약점 점검 - 점검항목별 취약점 조치율 ① ⑥ ② ⑦ ③ ⑧ ④ ⑨ ⑤ ⑩ ※ 상수도사업본부, 서울시립대, 소방재난본부는 내PC지키미 자체운영 ？？ 정보시스템 취약점 점검(전체부서수 : 207개) ？？ 검토결과 구분 주체 점검방법 점검결과 ⇒ 개선방법 4 `22년 운영계획 ？？ 운영개요 ○「사이버보안진단의 날」시행 : 매월 세 번째 수요일(월1회) ○ 운영대상 : 본청, 본부？사업소, 시의회, 자치구, 투자출연기관 ※ 자치구, 투자출연기관은 자체운영하여 매월 점검 결과 제출 ○ 점검항목 - PC 보안취약점 점검항목(10개) ① ⑥ ② ⑦ 5 ③ ⑧ 5 ④ 5 ⑨ 5 ⑤ ⑩ 5 - 정보시스템 취약점 점검항목(월별, 붙임1 참조) ？매월 정기점검 : 정보시스템 관리대장 현행화, 반·출입관리 등 총 6개 항목 ？월별 중점항목 점검 : 부서 내 정보시스템·저장매체 중점항목을 선정하여 추가 점검 ○ 추진내용 - 서울시 정보통신보안담당관 ？매월「사이버보안진단의 날」공문시행, 부서 이행 관리·평가, 현장점검 ？내PC지키미 보안점수 90점 미만 PC는 내PC지키미 점검창 닫기 불가 조치 ？각 부서 정보시스템 보안조치 미이행 부서 경고(분기별) 공문발송(추후 네트워크 차단) - 부서 및 기관 ？내PC지키미를 활용하여 PC 보안취약점 점검 및 조치(PC사용자) ？월별 중점 점검사항(붙임1) 점검 및 조치(부서 보안담당자) ？부서 내 사용하고 있는 모든 기기에 대한 정보시스템 관리대장 현행화(부서 보안담당자) ※ 자치구 및 투자출연기관은 기관별 보안담당자에게 제출 ？「사이버보안진단의 날」점검결과, 정보시스템 관리대장 제출(부서 보안담당자) ？？ 현장점검 ○ 대 상 :「사이버보안진단의 날」부서 자가진단 미이행 부서 - 정보시스템 취약점 자가진단 미이행 부서 - PC 보안취약점 제거 미흡 부서(내PC지키미 점검 점수 하위부서) ※`21년 28개 부서 현장점검(상반기 18, 하반기 10) 및 지도 ○ 시 기 : 상·하반기(7월/12월) ？？ 기대효과 ○ 매월「사이버보안진단의 날」참여를 적극 유도하여 보안사고 예방 ○ PC·정보시스템의 주기적 보안 점검조치로 취약점 제거 4 향후일정 ？？ 매월 세 번째 수요일(사이버보안 진단 이행) : 2022. 1. ~ 12. ？？ 부서 현장점검 : 2022. 7월/12월 붙임 : 1. 월별 중점 점검사항 1부. 2. 사이버보안진단의 날 점검결과 1부. 끝. 붙임1 월별 중점 점검사항 구 분 중점 점검사항 공통사항 <매월점검> o PC？노트북 보안취약점 점검 및 제거(내PC지키미) o 정보시스템 관리대장 작성 및 현행화(부서명, 사용자 이름, 직급/직위, 운영체제, IP주소, 일련번호(S/N) 등 포함) o 전산장비(PC, 노트북 등) 반·출입대장 관리 점검 o 반·출입노트북 내 업무자료 저장여부 점검 1월 (1.19) o 자주 사용하지 않는 PC, 노트북, 서버관리망PC 정비 - OS, 일반SW 등 최신 업데이트 실시 (업무망 PC, 노트북은 내PC지키미를 실행하여 점검) - 업무망 노트북 무선어댑터 ‘사용안함’ 설정여부 점검 (업무망에서 사용하는 노트북은 반입？반출시 포맷 실시) 2월 (2.16) o 서버, 네트워크 장비 관리자 접속용PC 대상 인터넷 차단여부 점검 o 기관(부서) 내 복합기 및 공유폴더 사용실태 점검 - 복합기 보안설정(관리자 비밀번호 설정, 스캔 폴더 보안 설정 등) - 공유폴더 비밀번호 설정 등 접근 통제 여부, 불필요 공유폴더 삭제 3월 (3.16) o 기관(부서)에서 구매한 NAS(네트워크 저장장치)의 접속이 부서원만 가능한지 점검 - 보안설정 미흡(타부서 열람가능)으로 인해 개인정보 유출 발생 o 기관(부서)에서 구매한 별도의 저장매체(NAS, 복합기 외)를 사용하고 있는지 점검 - 별도의 저장매체가 IP를 포함하고 있다면 정보시스템 관리대장에 기재 4월 (4.20) ο 기관(부서)내 상주 유지보수업체 PC, 노트북 보안점검 - 메신저, P2P, 웹하드 등 비인가 서비스 사용여부 점검 5월 (5.18) o 보안USB관리시스템 점검 - 비밀용, 대외비용, 일반용, 서버관리망용 USB 등 구분사용 여부 점검 - 매체제어시스템 정상작동 여부 점검 6월 (6.15) o 불용PC, 복합기 등 디지털 저장매체 불용처리 적정성 점검 - 저장매체 임의 반출 금지, 저장자료 완전 삭제 등 관련절차 이행 여부 7월 (7.20) o 자주 사용하지 않는 PC, 노트북, 서버관리망PC 정비 - OS, 일반SW 등 최신 업데이트 실시 (업무망 PC, 노트북은 내PC지키미를 실행하여 점검) - 업무망 노트북 무선어댑터 ‘사용안함’ 설정여부 점검 (업무망에서 사용하는 노트북은 반입？반출시 포맷 실시) 8월 (8.17) o 서버, 네트워크 장비 관리자 접속용PC 대상 인터넷 차단여부 점검 o 기관(부서) 내 복합기 및 공유폴더 사용실태 점검 - 복합기 보안설정(관리자 비밀번호 설정, 스캔 폴더 보안 설정 등) - 공유폴더 비밀번호 설정 등 접근 통제 여부, 불필요 공유폴더 삭제 9월 (9.21) o 기관(부서)에서 구매한 NAS(네트워크 저장장치)의 접속이 부서원만 가능한지 점검 - 보안설정 미흡(타부서 열람가능)으로 인해 개인정보 유출 발생 o 기관(부서)에서 구매한 별도의 저장매체(NAS, 복합기 외)를 사용하고 있는지 점검 - 별도의 저장매체가 IP를 포함하고 있다면 정보시스템 관리대장에 기재 10월 (10.19) ο 기관(부서)내 상주 유지보수업체 PC, 노트북 보안점검 - 메신저, P2P, 웹하드 등 비인가 서비스 사용여부 점검 11월 (11.16) o 보안USB관리시스템 점검 - 비밀용, 대외비용, 일반용, 서버관리망용 USB 등 구분사용 여부 점검 - 매체제어시스템 정상작동 여부 점검 12월 (12.21) o 불용PC, 복합기 등 디지털 저장매체 불용처리 적정성 점검 - 저장매체 임의 반출 금지, 저장자료 완전 삭제 등 관련절차 이행 여부 붙임2 ？사이버보안진단의 날？ 점검결과 ？ 기관(부서)명 : 구분 번호 공통 점검항목 이행여부 공통 점검 사항 1 PC？노트북 보안취약점 점검 및 제거(내PC지키미) PC·노트북 (총 수량 : 대) - 조치완료( 대) - 미조치 ( 대) 2 정보시스템 관리대장 작성 및 현행화(복합기, NAS 등 포함) 현행화완료 / 미완료 3 전산장비(PC, 노트북 등) 반출입대장 관리 점검 점검완료 / 미점검 4 반·출입노트북 내 업무자료 저장여부 점검 점검완료 / 미점검 / 해당없음 구분 번호 1월 중점 점검항목 [매월 중점 점검사항] 월별 중점 점검 사항 5 o 자주 사용하지 않는 PC, 노트북, 서버관리망PC 정비 - OS, 일반SW 등 최신 업데이트 실시 (업무망 PC, 노트북은 내PC지키미를 실행하여 점검) - 업무망 노트북 무선어댑터 ‘사용안함’ 설정여부 점검 (업무망에서 사용하는 노트북은 반입？반출시 포맷 실시) 점검완료 / 미점검 2022. . . 작 성 자 부 서 명 직급 성명 (인) 부 서 장 부 서 명 직급 성명 (인)

25199304

20220115060007

본청

정보통신보안담당관-1453

D0000044543499