다시 뛰는 공정도시 서울!

문서번호 의사담당관-738 결재일자 2022. 2. 14. 공개여부 부분공개(2) 방침번호 시 민 주무관 의정정보화팀장 의사담당관 오경남 김인숙 02/14 박지향 협 조 2022년 정보보안업무 추진계획 2022. 2 시의회사무처 (의사담당관) 2022년도 정보보안업무 추진계획 2022년도 정보보안업무 추진계획을 수립하여 사이버침해 위협과 개인정보 등 중요정보 유출의 위험에 체계적이고 신속하게 대응하고자 함. 1 추진근거 ？？ 전자정부법 제56조(정보통신망 등의 보안대책 수립·시행) ？？ 개인정보보호법 제29조(안전조치의무) ？？ 국가 정보보안 기본지침 및 서울특별시 정보통신업무 처리규칙 2 2021년 주요 추진실적 ？？ 정보시스템 사이버침해 대응 강화 ○ 서울시사이버안전센터의 사이버위협 탐지 및 보안활동에 대한 대응 조치 ○ 가상사설망(VPN) 보안시스템 구축을 통한 사이버침해사고 예방 ？？ 개인정보보호 침해사고 예방활동 강화 ○ 직원 PC 개인정보파일 검사이력 점검 및 조치로 안전성 확보 - 매월 첫째주 수요일 개인암호화프로그램을 활용한 개인정보 검사이력 점검 및 조치 ○ 전자회의,의안처리,의정플러스 등 정보보안시스템 적용으로 개인정보보호 강화 ？？ 정보보안 활동 강화 ○ ‘사이버보안 진단의 날’을 통한 PC？정보시스템 취약점 점검 및 조치 - 매월 셋째주 수요일 보안진단 프로그램을 통한 보안취약점 점검 및 조치 ○ 정보화사업 추진시 보안성검토, 웹취약점 점검 이행으로 정보보안 강화 3 2022년 추진목표 ？？ 추진목표 : 행정정보 및 개인정보 보호로 안전한 의회 정보보안 체계 구현 ？？ 중점 추진방향 ○ 정보보안 추진 강화로 사이버침해 예방 및 대응체계 확립 - 정보보호시스템 및 사이버침해사고 대응체계 운영, (신규)침입차단시스템,웹방화벽 교체추진 ○ 개인정보 보호 및 안전성 확보조치 강화 - 개인정보보호의 날 운영, 개인정보처리시스템 점검 ○ 정보보안 활동 강화로 정보보안 수준 향상 - 사이버보안 진단의 날 운영, 정보보안 및 개인정보보호 교육 이행 ？？ 관리체계 ○ 정보보안 관리 ※ 서울특별시 정보통신 보안업무 처리규칙 제5조(정보보안담당관 운영) ○ 개인정보보호 관리 ※ 「개인정보 보호법」제31조(개인정보 보호책임자의 지정) 4 세부 추진계획 Ⅰ 사이버침해사고 예방 및 대응 강화 ？？ 정보보호시스템 운영 ○ 정보보호시스템 현황 시스템명 주요기능 수량 비고 침입차단시스템 (방화벽) 외부 통신망에서 내부 통신망으로의 접근제어(차단 등) 네트워크 보안시스템 3 웹방화벽 DMZ 망에 있는 홈페이지 등 웹 서버로의 접근을 다양한 형태의 침입행위를 실시간 탐지, 분석후 비정상 패킷을 차단 1 침입방지시스템 (IPS) 방화벽을 통과한 비정상적인 트래픽을 실시간 감시하고 능동적으로 차단 ·격리하는 방어적인 보안시스템 1 트로이컷 PC가 트로이 목마형 악성코드(랜섬, DDos 공격 등)에 감염되어 파괴되거나 자료유출 등을 실시간 차단하는 시스템 1 IP Scan PC에 사용되는 네트워크 주소(IP)를 인가 받지 않고 무단사용하는 것을 방지 보안관리하는 IP보안관리시스템 2 Privacy-i PC내 개인정보(주민등록번호 등)을 검출하여 암호화하는 개인정보보호 시스템 1 (서울시) DB접근관리시스템 개인정보시스템 DB에 접속하는 유저의 접근, 권한 통제 및 암호화 기능 등 개인정보보호시스템 2 서버접근제어시스템 서버에 접근하는 사용자 계정에 대한 권한 및 접근을 통합관리하는 서버보안시스템 1 가상사설망보안시스템 인터넷망에서 시의회 화상회의시스템 안전하게 접속 할 수 있도록 가상사설망을 만들어 암호화하는 망보안시스템 1 바이러스 백신 (V3) PC 바이러스 검사 및 업데이트 2 ○ 운영인력 : 정보보호시스템 업무담당 및 유지보수업체 직원 ○ 모니터링 및 운영 내용 ？？ 사이버침해사고 대응체계 운영 ○ 운영조직도 : 사이버침해사고 대응체계(붙임 1) 참조 ○ 운영시기 - 국가사이버안전센터 주관으로 발령하는 사이버안전분야 위기대응체계 4단계 사이버안전분야 위기대응 체계 4단계 : 관심→주의→경계→심각 (발령처 : 국가사이버안전센터) 중 3단계(‘경계’ 경보) 이상 발령 시 - 서울시(정보통신보안담당관) 요청 또는 시의회내 사이버 침해사고 발생에 따른 신속한 대처가 필요할 경우 ？？ 보조기억매체 보안관리 운영 ○ 관련근거 - 국가 정보보안 기본지침 제78조(휴대용 저장매체 보안) - 서울특별시 정보통신 보안업무 처리지침 제42조(휴대용 저장매체 보안) ○ 운영내용 매체구분/보안정책 기존 변경 읽기？쓰기 읽기(열람) 쓰기(저장) ？？ 의회망(DMZ) 정보보호 강화 추진 신규 ○ 관련근거 - 국가 정보보안 기본지침 제40조(내부망, 인터넷망분리), 제54조(공개서버보안) - 서울특별시 정보통신보안업무 처리지침 제4조(내부망, 인터넷망분리), 제18조(공개서버보안) ○ 추진일정 : 2021. 3 ~ 6월 ○ 추진내용 ○ 소요예산 : 91,295천원 Ⅱ 개인정보보호 및 안전성 확보 조치 강화 ？？ 개인정보처리시스템 보안관리 ○ 관련근거 - 개인정보보호법 제29조(안전조치의무) - 개인정보의 안전성 확보 조치 기준(행정안전부 고시) ○ 개인정보파일 현황 부서명 개인정보처리시스템 개인정보파일 ○ 부서별 개인정보 관리(파기) - 시기 : 보유기간 경과, 처리목적 달성 등 불용사유 발생시 5일 이내 - 방법 : 파일의 복구 또는 재생되지 않는 방법 ※ 전자파일은 복원 불가한 방법으로, 기록물 등은 파쇄 또는 소각 - 절차 : 계획수립→승인(개인정보보호책임자)→파기(대장정리) ○ 개인정보처리시스템 접속기록 관리 - 접근권한 보관 : 3년 이상 - 접속기록 보관 : 1년 이상(5만명 이상 또는 고유식별정보 처리시 2년 이상) - 접속기록 항목 : 계정, 접속일시, 접속자 정보, 정보주체 정보, 수행업무 - 접속기록 점검 : 개인정보처리시스템 업무담당자가 매월 1회 이상 점검 (내부결재 또는 메모보고) ？？ PC 개인정보 보안관리 ○ 직원 PC 개인정보 점검 - 점검일 : 매월 첫째주 수요일 - 대 상 : 행정망 PC - 운영내용 : PC개인정보 암호화시스템 자동실행에 의한 PC내 개인정보파일 검출 ○ 의원 PC 개인정보 관리 - 대상 : 의원용 PC - 운영내용 구분 주요내용 추진방법 Ⅲ 정보보안 활동 강화 ？？ 사이버보안 진단의 날 운영 ○ 관련근거 - 국가 정보보안 기본지침 제10조(사이버보안 진단의 날) - 서울시 정보통신 보안업무 처리규칙 제10조(사이버보안진단의 날) ○ PC 사용자 - 점검일 : 매월 셋째주 수요일 - 대 상 : 행정망 PC, 의원 PC - 점검방법 : 내PC지키미 프로그램 자동실행에 의한 PC보안 점검 - 점검내용 : 최신운영체제 보안업데이트 적용 여부 및 PC 보안취약점 제거 등 - 취약점 제거 : 사용자 즉시 조치 ○ 부서 보안담당자/정보시스템 운영자 - 점검일 : 매월 셋째주 수요일 - 대 상 : 부서 보안담당자 및 정보시스템 운영자 - 점검방법 : 매월 공문시행되는 사이버보안진단의 날(정보통신보안담당관) 월별 체크리스트에 의거 점검 - 조치방법 ？ 부서 보안담당자 : 점검결과(체크리스트) 및 PC·노트북 관리대장 제출 ？ 정보시스템 운영자 : 용역업체 보안관리 및 월별 점검사항 확인후 조치 ？？ 정보보안 및 개인정보보호 교육 ○ 관련근거 - 국가 정보보안 기본지침 제9조(정보보안 교육) - 개인정보보호법 제28조(개인정보취급자에 대한 감독) - 서울시 정보통신 보안업무 처리규칙 제25조(용역업체 보안) ○ 직원 정보보안 교육 - 대상 : 전직원 - 내용 : 정보보안 인식제고를 위한 교육(시 주관) 연 1회 이상 이수 ○ 정보화사업 용역업체 교육 - 대상 : 각 정보화사업 담당자 - 내용 : 용역업체 사업수행시 보안준수사항 등 교육 이행(착수 후 1개월 이내) ○ 개인정보보호 교육 - 대상 : 개인정보처리자 - 내용 : 개인정보취급자 및 수탁자(용역수행업체)에 대한 교육 실시(연 1회 이상) 5 행정사항 ？？ 정보화사업 관리부서 ○ 정보화사업 수행시 보안관련 사전협의(보안성 검토 등) 및 사업계획부터 종료 전단계 보안대책 이행 철저 ○ 정보화용역사업 수행시 사업 계획부터 종료 전단계 보안대책 이행 ○ 개인정보처리시스템 접근권한·계정관리 등 개인정보 안전성 확보 철저 ？？ 전부서 ○ 인사 이동시 (붙임 3) ○ 서울시 시행 ‘사이버보안 진단의 날’ 이행 철저 및 매월 점검결과 제출 ○ 업무PC내 개인정보파일 보호조치(삭제 또는 암호화) 수행 ○ 직원 정보보안 교육 이수(연 1회 이상) 붙임 1. 사이버침해사고 대응체계 1부. 2. 정보화사업 용역업체 보안관리 1부. 3. 휴대용저장매체 관리시스템 승인자 권한 신청서 1부. 끝.

25382906

20220215053507

본청

의사담당관-738

D0000044735274