다시 뛰는 공정도시 서울!

문서번호 소방행정과-2929 결재일자 2023. 3. 24. 공개여부 부분공개(5) 방침번호 시 민 반장 행정팀장 소방행정과장 소방서장 김건후 오주형 마성제 03/24 이웅기 협 조 2023년 서초소방서 개인정보보호·정보보안 계획 2023. 3. 서 초 소 방 서 (소방행정과) ☞ 해당사항이 있는 부분에 ‘ ■ ’ 표시하시기 바랍니다. (※ 비고 : 필요시 검토내용 기재) 구 분 사전 검토항목 점검 사항 검토완료 해당없음 비 고 정책의제 형성 ◆ 정책현안에 대해 현황과 실태를 검토하였습니까? - 현황자료(통계자료 등) 및 실태조사서 검토 타지자체 유사정책 및 국내외 사례 분석 등 □ ■ ◆ 시민 및 관련전문가 의견을 반영하였습니까? - (시민참여) 청책토론회, 시민공모, 설문조사 등 - (전문가 자문) 자문위원회, TF운영, 타당성 검토조사, 젠더자문관 등 □ ■ 정책수립 ◆ 정책화를 위한 제반 법규(근거법령 및 규칙, 지침 등)는 검토하였습니까? - (선거법) 공직선거법 등 각종 법률 저촉여부 - (성별분리통계) 성별분리통계 생산？제시？분석 등 □ ■ ◆ 정책(사업) 집행의 직·간접적 영향 및 효과성을 분석 하였습니까? - (갈등) 이해관계 당사자 간 갈등 및 대책 마련 - (사회적 약자) 사회적 약자에 대한 배려 등 - (일자리) 일자리 창출, 직·간접 채용, 전문인력 양성, 창업지원 - (안전) 시민 안전 위험요인 및 대책, 안전 관리 등 - (온실가스 감축) 건물 및 수송 분야 에너지사용 절감방법, 폐기물 발생 억제 대책 등 □ ■ 정책집행 ◆ 타기관, 민간단체 등과의 협의·협력 및 이견 조정 등을 검토하였습니까? - (타기관) 타기관(중앙정부, 지자체), 민간(단체) 등의 자원 활용 방안 - (자치구 영향) 자치구 행정·인사·재정 부담 및 적정성, 파급효과 분석 등 □ ■ ◆ 정책·계획 등의 지속가능성을 검토하였습니까? - (지속가능성) 지역경제 발전, 사회적 형평성, 환경보전 등 □ ■ 정책홍보 ◆ 국내외 정책(사업)홍보방안을 검토하였습니까? - (홍보) 국내보도자료, 기자설명회, 현장설명회 - (정책영문화) 영문제목·요약, 해외언론보도, 외국어 홈페이지 게시 등 - (성평등) 성별고정관념？성차별적 내용 포함 여부 검토 □ ■ 기타사항 ◆ 불필요한 외국어·외래어 표현 대신 바른 우리말을 사용하였습니까? ■ □ ◆ 공개 여부를 "비공개"로 설정했다면 법적근거를 명확히 검토하였습니까? (정보공개법 제9조 제1항 제1호~제8호) □ ■ 목 차 1. 관련근거 및 추진배경 4 2. 2022년 성과 평가 5 3. 개인정보 보호·정보보안 이슈 및 법률 개정현황 7 4. 2023년 주요업무 계획 10 5. 정보보호 역량강화 세부계획 16 5-1 개인정보보호 및 정보보호 계획 수립 및 점검 16 5-2 서울소방 정보보호 관리 체계 강화 컨설팅 추진 17 5-3 개인정보보호 · 정보보안 교육 시행 18 5-4 「개인정보보호의 날」 운영 19 5-5 「사이버 보안 진단의 날」 운영 20 5-6 외부 용역 사업 보안관리 강화 21 5-7 정기적인 정보보안·개인정보보호 감사 22 5-8 개인영상정보 관리·이용 실태 점검 23 6. 정보보호 기반강화 세부계획 24 6-1 각 부서 PC 관련 보안활동 강화 24 6-2 본부의 정보보호시스템 안정적 운영 25 6-3 본부의 개인정보 보호 의무사항 이행 26 6-4 개인정보보호 안정성 확보 조치 27 6-5 소방관서 파이어캠 영상정보 관리 시스템 구축 27 6-6 본부의 휴대용 저장매체 관리 시스템 구축 및 보안 장비 교체 28 6-7 본부 정보시스템의 권한 관리 개선 29 7. 침해사고 예방·대응 세부 계획 30 7-1 사이버 침해사고 대응 30 7-2 개인정보 유출사고 대응 31 7-3 본부의 정보자산에 대한 백업 및 복구 모의훈련 32 7-4 개인정보 침해사고 대응 모의훈련 33 8. 행정 사항 34 2023년 서초소방서 개인정보보호·정보보안 계획 국내·외 다양한 사이버 위협 증가와 개인정보 유·노출 사고에 따른 개인정보보호·정보보안 업무 운영 방안에 대한 계획임 Ⅰ 관련근거 및 추진배경 □ 관련 근거 ㅇ 전자정부법 제56조(정보통신망 등의 보안대책 수립ㆍ시행) ㅇ 개인정보보호법 ㅇ 국가정보보안 기본지침, 서울시 정보통신 보안업무처리규칙 ㅇ (소방청) 소방활동 개인영상정보 보호 가이드라인 ㅇ 2008년 10월부터 범정부 차원에서 매월 세 번째 수요일을 ？사이버보안진단 날？로 지정, 각 기관이 자체적으로 정보보안 관리 실태를 종합 점검함 ㅇ 2018년 5월부터 서울시 전기관의 개인정보보호에 대한 인식 제고 및 안전성 확보를 위하여, 매월 첫 번째 수요일을 ？개인정보 보호의 날？로 지정·운영함 □ 추진 배경 ㅇ 인터넷 이용 증가, 업무 전자화 확대로 정보교환이 정보화 기기 및 통신망을 이용함에 따라 각종 보안사고 위험성 내재 ㅇ 우리 본부에서 보유하고 있는 개인정보의 적법하고 안전한 처리·관리를 통한 행정업무의 적정한 수행과 정보주체의 권리 보호 ㅇ (동향) 2023년 가장 큰 위협은 랜섬웨어임 - 사이버 범죄의 전문화로 서비스형 랜섬웨어 등장 - 정부 SNS 계정 탈취, 데이터센터 화재 이용하는 피싱 등 악성메일 배포 ㅇ (동향) 보안 수준이 높지 않는 대상으로 침해사고(중소기업 랜섬웨어 등) ㅇ (동향) 재택근무로 인한 보안 취약 지점 활용 공격(클라우드 관련 사고 등) Ⅱ 2022년 성과 평가 □ 분야별 개인정보보호 기준 및 정책 수립 ㅇ (소방청) 소방활동 개인영상정보 보호 가이드라인 작성(3월) ㅇ 개인정보보호 내부관리계획 정비 수립 (4월, 10월) ㅇ 정보보안 감사 실시 (7월) ㅇ 개인정보 파일 정비 (7월) □ 본부 및 산하기관의 정기적인 PC 보안 점검 ㅇ 전 직원은 매월 셋째 주 수요일에 강제 점검하고 조치함 ㅇ 전 직원은 매월 첫째 주 수요일 오후 12시 강제 검사하고, 개인정보가 검출된 파일은 5일 이내 처리 의무화 ㅇ 본부 휴대용저장매체 관리 강화 및 프로그램 재설치 (8월) □ 서울소방 정보보안·개인정보보호 담당자의 대응 능력 향상 ㅇ (본부 시스템 담당자) 개인정보보호 정보보안 관리실태 점검 (7~12월) ㅇ (산하기관 담당자) 해킹 메일 및 개인정보 유출사고 대응 모의훈련 (11월) ㅇ (본부 시스템 담당자) 서울시 사이버공격 대응 모의훈련 (10월) ㅇ 개인정보교육계획(5월) 및 담당자 및 전직원은 개인정보보호 교육 1시간 이수 ㅇ 담당자 및 전직원은 정보보안 교육 1시간 이수 □ (시스템처리자) 정보보호시스템의 안정적 운영 ㅇ 네트워크 접근제어의 운영(정책 최적화, 보안 취약한 PC 조치) ㅇ 방화벽 관련 정책 최적화(6월) ㅇ 업무용 PC 보안취약점 진단(11월) □ (개인정보보호담당자) 사이버 사고 대응 ㅇ 사이버 위협 탐지 및 사고 대응(연중) ㅇ 사이버 사고 조사분석 결과보고서 제출 □ 영상정보 보호 관련 ㅇ 이동형 영상정보처리기기 현황 조사(2월, 7월) ㅇ 이동형 영상정보처리기기 담당자 지정(4월) ㅇ 개인영상정보 교육(5월) ㅇ 영상정보처리기기 운영관리 방침 개정(5월) ㅇ 영상정보처리기기 운영 점검(9월) □ 정보보호 사업을 통한 정보시스템의 보안성 강화 ㅇ 정보시스템의 개인정보 안정성 확보 조치(3월 ~ 12월) - PC개인정보보호 교체 - 본부 전산실의 서버접근시스템 교체ㅇㅇ ※ 서초소방서 개인정보(영상정보처리기기) 현황 [2023. 2. 현재] 구 분 설치대수 비고 청사 CCTV 22 본서 및 안전센터 이동형 지휘차 카메라 1 진압 6 구조 1 드론 1 화재조사 1 구급캠 27 구급차 CCTV 21 Ⅲ 개인정보 보호·정보보안 이슈 및 법률 개정 현황 □ 인터넷진흥원 사이버위협 전망(2023년) ㅇ 국가 산업 보안을 위협하는 글로벌 해킹 조직의 공격 증가 - 국가 지원형 공격 대응을 위한 준비 태세 강화 필요 - 수익 극대화에 적합한 대상 선택형 공격 ㅇ 재난, 장애 등 민감한 사회적 이슈를 악용한 사이버 공격 지속 - 사회적 이슈를 악용한 피싱, 스미싱, 해킹메일 유포 - 정교한 가짜뉴스 등 신뢰도 및 사회에 영향을 미치는 공격 주의 - 이메일 및 소셜미디어(SNS) 등 개인화된 채널을 활용한 공격 증가 ㅇ 지능형 지속 공격 및 다중협박으로 무장한 랜섬웨어 진화 - 단순범죄에서 지능형 지속 공격(APT) 형태로 진화 - 내부망에 백업용 저장장치 검색 훼손 주의 - 암화화 파일 복구, 유출 데이터 공개, 디도스 공격, 고객 직접 협박 등 진화 ㅇ 디지털 시대 클라우드 전환에 따른 위협 증가 - 클라우드로 전환시 보안 설계 및 전략 미흡으로 인한 위협 증가 - 계정관리의 과잉권한 부여 및 잘못된 설정 등으로 데이터 유출 사고 증가 ㅇ 갈수록 복잡해지는 기업의 SW 공급망과 위협 증가 - 소프트웨어(SW) 개발 공유 사이트를 통한 공급망 공격 증가 - 오픈소스 등 써드파티 코드에 의한 취약점 노출 및 악성코드 감염 우려 □ 금융보안원 사이버보안 이슈 전망(2023년) ㅇ 사이버 공격 경로로 악용될 수 있는 엔데믹 취약점 - 제로데이 공격(예로 트로이목마) 취약점에 대한 주의가 필요 ㅇ 대세로 자리잡은 클라우드와 보안 고려 사항 ㅇ 랜섬웨어, 피싱앱 등 사이버 위협의 끝없는 진화 - 침해사고 대응훈련, 정보공유 참여 그리고 제로 트러스트로의 전환이 중요 ㅇ 디지털 신원 증명 활용에 따른 기대와 우려 - 모바일 신분증 등 디지털 신원 증명 확산에 따른 대응 필요 ㅇ 마이플랫폼 시대, 데이터 확보와 보호 - 과도한 데이터 확보 경쟁과 데이터 유출 가능성 경계 ㅇ 오픈 소스 이용 활성화와 강조되는 공급망 보안 - 오픈 소스 소프트웨어 공급망 복잡해지면서, 사이버 위협 심화 □ 개인정보보호위원회 개인정보보호 이슈(2023년) ㅇ 마이데이터와 디지털플랫폼정부 구현 - 법적 근거를 마련하고, 분야간 상이한 데이터 형식 및 전송방식 표준화 추진 - 디지털플랫폼정부: 모든 데이터가 연결되는 디지털 플랫폼 위에서 국민, 기업, 정부가 함께 사회문제를 해결하고 새로운 가치를 창출 ㅇ 가명정보 활용 도전과 과제 - 지역 가명정보 활용 지원센터 운영 - 가명정보 전문가 양성을 위한 교육 추진 ㅇ 공공분야 개인정보 보호 조치 대폭 강화 - (처벌·단속 강화) 원스트라이크 아웃제도*를 도입하고 부정 이용 처벌 규정을 신설하는 등 개인정보 고의 유출에 대한 징계 및 형사 처벌 강화 - (보호·관리 강화) 집중관리 시스템을 지정하여 접근권한 관리, 접속기록 점검, 승인·소명·통지절차를 마련하는 등 안전조치 기준을 강화, 영향평가의 실효성 확보 등 개인정보처리시스템 개발 내실화 - (법제도 강화) 상기 공공부문 개인정보 유출 방지대책 시행을 위해 ‘주요 공공기관’에 대한 안전조치 특례 규정을 신설하는 등 「개인정보 보호법 시행령」 개정 검토 등 □ 정보보안 관련 개정 현황(2023년) ㅇ 개인정보보호법 시행령 - 개인정보 파기시 익명처리를 하는 경우 영구 파익한 것으로 간주 - 과징금 산정시 경제상황이나 해당 기관의 피해배상 정보, 부담 능력 등을 종합적으로 고려하여 종전 과징금에 비해 최대 90%까지 감경할 수 있는 규정 추가 개인정보보호법 시행령[제32813호] <2022.7.19. 일부개정> 제16조(개인정보의 파기방법) ①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다. <개정 2014. 8. 6., 2022. 7. 19.> 1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다. ... 제62조(업무의 위탁) ... ■ 개인정보 보호법 시행령 [별표 1의3] <개정 2022. 7. 19.> 과징금의 부과기준 (제40조의2제1항 관련) ... 라. 부과과징금의 결정 1) 다음의 사항을 고려하여 2차 조정된 과징금이 과중하다고 인정되는 경우에는 해당 금액의 100분의 90 범위에서 감경할 수 있다. 가) 위반행위자의 현실적인 부담능력 나) 위반행위로 발생한 정보주체의 피해 및 배상의 정도 다) 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으로 악화된 상태인지 여부 Ⅳ 2023년 주요 업무 계획 □ 추진 방향 ㅇ 실시간 관제에 따른 사이버 위협 및 공격에 대응 (시 통합보안관제센터) ㅇ 본부 및 각 산하기관의 추진 계획 수립·시행 ㅇ 정보시스템의 취약점 진단 및 정보보호시스템 안정적 운영 추진 ㅇ 정보보안 점검 및 모의훈련 시행 ㅇ 개인정보보호 안정성 확보 조치 □ 개인정보보호 · 정보보안 관리 체계 시 디지털정책관 개인정보 보호 최고책임자(CPO) / 정보화책임관(CIO) 시 정보보안담당자 (정보보안팀 담담직원) 안전지원과장 (서울소방 정보보안책임자, 서울소방 개인정보보호 책임자) 시 개인정보보호담당자 (개인정보보호팀 담당직원) 시 개인영상정보보호담당자 (스마트CCTV팀 담당직원) 종합방재센터·소방학교 해당 부서장 (분야별 정보보안책임자, 분야별 개인정보보호 책임자) 소방서 등 소방관서 해당 부서장 (분야별 정보보안책임자, 분야별 개인정보보호 책임자) 본부 영상처리기기 설치 운영부서장 (서울소방 개인영상정보 관리 책임자) 소방관서 영상처리기기 설치 운영부서장 (분야별 개인영상정보 관리 책임자) ㅇ 시 디지털정책관 : 종합 상황 관리·감독, 정보보안/개인정보보호 활동 ㅇ 시 통합보안 관제센터 : 침해 사고 대응 ㅇ 안전 지원 과장 : 상황 관리·감독, 분야별 정보보안책임자/개인정보보호책임자 ㅇ 정보보안운영팀 : 정보보안 추진계획 수립, 정보보안 교육, 침해사고 대응, 장애긴급 복구, 취약점 보완조치 ㅇ 각 소 방 관 서 : 정보보안 추진계획 수립, 정보보안교육, 개인 PC 및 장비 보안(붙임4), 침해사고 대응 ※ 종합방재센터는 주요정보통신 기반시설로 별도의 추진계획을 수립하고 있음 □ 관리 조직의 역할 구 분 임무 및 역할 담당 시 개인정보 보호 책임자 개인정보보호 계획 및 방침의 수립·시행 본청 개인정보 처리실태 및 관행의 정기적 조사 및 개선 개인정보 처리와 관련한 민원 불만의 처리 및 피해구제 개인정보 유출 및 오남용 방지를 위한 내부 통제체계 구축 개인정보 보호 교육계획 및 시행 개인정보파일의 보호 및 관리·감독 등 시 개인정보보호 담당자 개인정보보호책임자가 위임한 개인정보와 관련된 업무 본청 개인정보 처리 시스템 관련 업무 및 개인정보보호 업무 전반 (분야별) 개인정보 보호 책임자 해당 부서 개인정보 취급자에 대한 개인정보 보호 지도 교육 및 감독 본부 소방관서 개인정보처리시스템 권한범위 및 제반 보호장치에 관한 확인 및 감독 개인정보 이용 및 제공, 처리 현황 파악 입출력 데이터 및 전산 장비 등의 안전성 확보 책임 (분야별) 개인정보 보호 담당자 개인정보보호 자체 계획에 의거 부서별 정보보호 업무 수행 본부 소방관서 분야별 개인정보보호 책임자가 위임한 개인정보보호와 관련된 업무 개인정보 처리 실태 관리 및 각종 자료 취합보고 개인정보처리 관련 시스템 연계 등과 관련된 부서 업무 (분야별) 개인영상정보 관리 책임자 해당 부서 개인영상정보 보호 계획의 수립 및 시행 본부 소방관서 해당 부서 개인영상정보 처리 실태의 정기적인 조사 및 개선 개인영상정보 처리와 관련한 불만의 처리 및 피해 구제 개인영상정보 유출 또는 오남용 방지를 위한 내부통제 체계 구축 개인영상정보 보호 교육 계획 수립 및 시행 개인영상정보 파일의 보호 및 파기에 대한 관리·감독 그 밖에 개인영상정보의 적절한 처리를 위한 업무 개인정보 취급자 업무수행시 처리되는 개인정보를 보호 관리 본부 소방관서 개인정보의 수집-보유- 이용 및 제공-파기까지 전체 단계별 보호 관리 웹사이트에 게재되는 개인정보에 대한 보호 관리 개인영상정보에 대한 보호 관리 (분야별) 정보보안 책임자 정보보안 계획의 수립·시행 본부 소방관서 정보통신실, 정보통신망 및 정보 자료의 보안 관리 정보보안 관리실태 점검 침해사고 대응 정보보안 교육 및 정보 협력 사이버보안진단의 날 시행 (분야별) 정보보안 담당자 정보보안책임자가 위임한 정보보안과 관련된 업무 본부 소방관서 정보보안 관련 업무 전반 □ 중점 추진 방안 ？ 정보보호 역량 강화 ㅇ 개인정보 보호 및 정보보안 계획 수립 및 점검 확대 공통 - 추진계획 수립 : 1월 ~ 2월 . 정보보안 책임자 및 개인정보보호 책임자 지정 및 운영 . 정보보안 담당자 및 개인정보보호 담당자 지정 및 운영 . 영상정보처리기기 책임자 및 담당자 지정 및 운영 - 자체 지침 및 요소별 가이드 재·개정 : 6월 ㅇ 개인정보보호 및 정보보안 교육 시행 지속 공통 - 본부 및 각 산하기관 직원 대상 보안교육 : 5월, 10월 - 정보보안 개인정보 보호 책임자 및 담당자 교육 참여 : 연중 - 개인정보 보호 담당자 교육(시스템 사용 매뉴얼 등) : 3월 신규 ㅇ 개인정보보호의 날 운영 확대 개인 - 매월 첫째 주 개인정보가 검출된 파일은 5일 이내 처리 의무화 - 매월 넷째 주 보안USB 관리 및 개인정보접속기록관리 결과 보고 - 홈페이지 게시판 점검 운영 ㅇ 사이버보안진단의 날 운영 및 관리 강화 지속 보안 - 매월 셋째 주 사이버보안 점검결과 취약 PC 및 미점검 PC 인터넷 차단 - PC보안평가 평균점수 추이, 주요 취약점 등 ？사이버보안진단의 날？ 수행실적 통계자료를 전 기관에 제공 ㅇ 외부 용역사업 보안 관리 강화 지속 보안 - 서약 집행 · 보안 교육 시행 - 119 행정정보, 스마트긴급통제단 보안 취약점 점검 실시 - 참여인원에 대하여는 취득한 기밀사항 누설금지 서약서 징구 ㅇ 개인정보 보호 홍보 신규 개인 - 개인별 보안 수칙을 수립, 전 직원 배포(4월) - 위반, 행정처분 사례의 지속적인 안내 ㅇ 정기적인 정보보안 감사 지속 공통 - 개인정보처리시스템 사용자 계정 관리 여부 등 - 내부관리계획 수립 및 시행 여부 등 - 불법소프트웨어 설치 여부 ㅇ 정보보안 강화를 위한 정보보호 관리체계 개선 컨설팅 - 서울소방 정보보호 관리체계 분석, 문제점 도출 - 정보보호 로드맵 및 이행 방안 마련 ？ 정보보호 기반 강화 ㅇ 본부 정보시스템 대상 권한 관리 개선 : 1,2월, 7,8월 확대 개인 - 소방관서의 접근권한 관리 절차 검토 및 개선 - 개인정보처리시스템의 공문을 통한 계정 관리 적용 ㅇ 개인영상정보 보호 관리 실태 현장 점검 : 4월 신규 개인 - 개인영상정보처리 운영 · 관리 방침 수립 및 시행 - 개인영상정보 보호 조치(접근 통제, 물리적 보관) ㅇ 각 부서 PC 관련 보안 활동 강화 지속 보안 - 부서 보안담당자 리스트 현행화 및 역할 확립 : 1월중 - 1차·2차 비밀번호(CMOS, 운영체제) 관리 철저 - 바이러스 및 불법 소프트웨어 점검 철저 - 주기적인 바이러스 최신정보, 운영체제 취약점에 대한 패치 철저 - 휴대용 저장매체 보안 관리 철저 ㅇ 본부의 정보보호시스템 안정적 운영 지속 보안 - 정보기술 주요 계층에 대한 정보 보안 점검 및 개선 방안 수립 - 냬PC지키미, 네트워크접근제어, 보안USB, PC스캔 운영 - 보안취약성 진단 연 1회 실시 및 조치 - 장비별 관리 규정 정비 - 보안 장비 관련 규칙 최적화 시행 ㅇ 본부의 개인정보보호 의무사항 이행 지속 개인 - 개인정보파일 조사 및 정비 : 3-5월 - 개인정보 유출 대응 절차 정비 : 5월 - 개인정보 보호 강화 방안 수립 : 6월 ㅇ 개인정보보호 안정성 확보 조치 지속 개인 - 내부관리계획 정비 : 3월 - 개인정보 처리방침 정비 : 3월 - 취약점 도출 및 개선 : 8-10월 - 개인정보 보호 관련 예산 수립 : 7월 ㅇ 파이어캠 영상정보 관리시스템 구축 : 2-7월 신규 개인 - 영상 반출 보안관리 시스템 구축 및 스토리지 증설 ㅇ 휴대용저장매체 관리 시스템 구축 및 노후 장비 교체 : 2-7월 신규 보안 - 휴대용저장매체 관리 시스템(관리서버, 보안USB) 신규 구매 - 본부 웹방화벽, 보라매체험관 방화벽, 침입방지시스템 교체 ？ 침해 사고 예방 및 대응 강화 ㅇ 사이버 침해사고 대응 지속 공통 - 사이버 침해사고 대응에 대한 상황관제 : 연중 - 초동대응 및 신고, 사고 처리 : 연중 ㅇ 개인정보 유출사고 대응 지속 공통 - 유출사고시 원인 분석 및 대외기관 대응, 안내문 작성 등 : 연중 ㅇ 본부의 정보자산에 대한 백업 및 복구 모의 훈련 지속 공통 - 백업관리 지침과 절차 검토 및 개선 - 복구 모의 훈련 계획 및 이행 : 하반기 ㅇ 개인정보 유출사고 대응 모의 훈련 지속 공통 - 유출 대응 절차 검토 및 개선 - 대응 모의 훈련 계획 및 이행 : 하반기 □ 추진 일정 구분 연번 분 야 1/4분기 2/4분기 3/4분기 4/4분기 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 정보보호역량강화 1 본부 개인정보보호·정보보안 계획 수립 및 점검 2 소방관서 개인정보보호· 정보보안 계획 수립 및 점검 3 개인정보보호 · 정보보안 교육 시행 ※ 4 「개인정보보호의 날」,「사이버 보안 진단의 날」 운영 5 개인영상정보 관리·이용 실태 점검 6 정보보호 관리 체계 강화 컨설팅 추진 ？ ？ ？ 정보보호기반강화 7 정보시스템의 권한 관리 개선 8 각 부서 PC 관련 보안 활동 강화 9 본부의 정보보호시스템 안정적 운영 10 개인정보보호 안정성 확보 조치 11 소방관서 파이어캠 영상정보 관리 시스템 구축 ？ ？ ？ ？ 12 휴대용 저장매체 관리 시스템 구축 및 보안 장비 교체 ？ ？ ？ ？ 13 본부의 개인정보 보호 의무사항 이행 침해사고 예방·대응 14 사이버 침해사고 및 개인정보 유출사고 대응 15 개인정보 침해사고 대응 모의 훈련 16 본부 정보자산에 대한 백업 및 복구 모의훈련 ※ : 신규 정보보호 담당자 대상으로 관련 프로그램 도구 교육 ？ : 사업 준비 기간 Ⅴ 정보보호 역량강화 세부계획 5-1. 개인정보보호 및 정보보안 계획 수립 및 점검 소방 대상물 관계자 등 개인정보를 취급함에 있어 관련 규정을 준수하고 개인정보 노·유출 사고가 없도록 개인정보 보호 및 정보보안 관련 자체 계획 수립· 추진하여 신뢰받는 소방 행정 구현 □ 추진 방향 ㅇ 서울소방재난본부는 특성상 개인이 보안을 어길 경우 그 피해가 서울 소방 전역으로 확대되는 점을 감안, 각 기관의 정보보안책임자는 보안 중점 관리 ㅇ 전문적인 보안업무는 정보보안담당자가 시행·관리하고, 각 부서 사용자는 최소한의 보안사항 관리 □ 시행일 : 2023년(1~2월) □ 중점 추진 사항 ㅇ 분야별 정보보안담당자(개인정보보호 담당자)는 자체 추진 계획 수립(2월) - 개인정보 보호 및 정보보안 자체 추진 계획 수립·이행 - 보안책임자/담당자, 개인정보 보호책임자/담당자 정비 - 영상정보처리 책임자/담당자 정비 ※ 정보시스템별 정보보안 담당 정비 ㅇ 자체 지침 및 요소별 가이드 재 · 개정 - 휴대용 저장매체 관리 지침 - 개인정보처리시스템 접근권한 관리 지침 ㅇ 본부 및 소방관서의 개인정보 보호 및 정보보안 추진 계획 검토 및 정비(3월) - 영상정보처리기기 책임자 및 담당자 지정 및 운영 - 영상 관련 보안 취약점 점검 및 대응 방안 수립 ※ 현장대응단의 ‘사고 및 재난현장 개인정보 처리 지침(현장대응단-1434(2022.1.27.)’ 참조 5-2. 서울소방 정보보호 관리 체계 강화 컨설팅 추진 정보보호 관련 개선 과제를 발굴하여 중장기 기본계획을 수립하고 관리 실태 점검 및 담당자 교육을 실시하고자 함 □ 추진배경 ㅇ 본부, 소방서, 유지보수 업체 등 이해관계자 간 정보보안 및 개인정보보호 관련 정책 및 역할의 명확화 필요 ㅇ 개별 단위 사업으로 인한 비효율적인 보안 관련 정보자산 정리 필요 □ 시행일 : 2023년(5~8월) □ 추진 사항 ㅇ 정보보호 관리 체계 강화 컨설팅 용역 추진 계획 수립(2월) ㅇ 과업심의위원회, 계약심사(2월) ㅇ 제안서 평가, 기술협상, 계약체결(4월) ㅇ 사업 내용 - 본부 및 소방관서 정보보호 관리체계 분석, 개선방안 수립 - 개인 및 민감정보 유출에 대한 취약점 진단점검 및 보안 대책 수립 - 119행정정보 및 홈페이지, 영상정보 관련 정보보호 마스터플랜 수립 - 서울소방에 적합한 미래지향적 정보보호 로드맵 및 이행방안 마련 - 개인정보 침해사고 대응 모의훈련 및 교육 □ 기대효과 ㅇ 정보보호 관련 업무 절차의 체계적인 수립을 통한 정책 운영 효율성 증대 ㅇ 관리체계의 수립·운영을 통한 사이버 침해사고 예방 5-3. 개인정보보호 · 정보보안 교육 시행 개인PC 보안관리 요령 및 정보유출로 인한 피해사례 등 사이버침해사고 예방 교육을 실시하여 전직원 보안의식을 고취시키고자 함 □ 추진 방향 ㅇ 정보통신망 침해사고로 인한 사이버 테러 피해사고 예방과 보안의식 함양을 위해 전직원 대상 정보보안교육 요구됨 ㅇ 서울 소방 직원 대상 사이버 온라인 교육(전문강사 초빙집합교육 병행 추진) ㅇ 정보보안관련 전문기관의 교육, 기술 세미나 등에 참석 □ 시행일 : 2023년(연중) □ 중점 추진 사항 ㅇ 개인정보보호 · 정보보안 교육시행 - 대 상 : 전직원, 개인정보보호/정보보안 업무 책임자/담당자 - 내 용 : 최근 정보보호 주요이슈 및 보안사고 사례 전파 - 시행시기 구 분 시 기 비 고 전 직 원 본청 보안 교육시 (1회 참여) 정보보안담당관실 교육 시행 개인정보보호 교육시 (1회 참여) 년 1회 자체 교육 실시 담당자 책임자 수시 (16시간 이상) 정보보안 관련 전문기관의 교육, CPO, 기술 세미나 참석 외주 인력 계약/종료 직후, 수시 용역업체 대상 보안 관리 교육 ㅇ 실무 위주(개인 PC 보안요령 등)의 교육자료 공유 ㅇ 외부 위탁 전문교육 실시(정보보호담당) ㅇ 개인정보 보호 담당자 역량 강화를 위한 교육(3월) - 대 상 : 개인정보 보호 담당자 - 내 용 : 개인정보 보호 방안 및 관련 도구 사용법 5-4. 개인정보보호의 날 운영 개인정보보호법에 따른 의무사항을 이행하기 위한 조치를 시행함으로써 개인정보 침해사고 예방 및 유출사고를 미연에 방지함 □ 추진배경 ㅇ 최근 홈페이지를 통한 개인정보 노출이 언론 등을 통해 사회적 이슈화 ㅇ 그간의 공공기관 개인정보 노출 진단결과, 개인정보에 대한 관리자 및 취급자의 인식 부족이 가장 큰 원인으로 분석됨 □ 시행일 : 매월 첫째주 수요일(연중) ㅇ 매월 첫째 주 수요일을 개인정보보호의 날 지정 운영 - PC스캔 자동 검사 일괄 시행 □ 추진 사항 ㅇ ‘개인정보 보호의 날’ 정오에 본부 및 산하기관의 모든 업무용 PC에서 PC 스캔 자동검사 실행 ㅇ 당일 PC 미사용 휴가 중인 직원의 PC는 업무 복귀 시 자동검사 실행 ㅇ 개인정보가 검출된 파일은 5일 이내 처리(암호화, 격리, 삭제) 의무화 ㅇ 개인정보처리시스템의 접근통제(등록, 삭제, 이력관리) 방안 수립 ㅇ 개인정보취급자 주의사항 - 개인정보관련 파일의 공유 차단 및 관리 철저 - 개인정보관련 출력물에 대한 사무실내 방치 금지 및 사용 후 파기 철저 □ 기대효과 ㅇ 효율적인 개인정보보호 규제 대응 및 개인정보보호 제고 5-5. ？사이버 보안 진단의 날？ 운영 및 관리 강화 전 기관의 PC, 네트워크, 정보시스템 등 정보자산에 대한 보안상 취약점의 자체 점검 강화 및 보완을 통해 사이버 안전지대를 구축하고자 함 □ 관련근거 ㅇ 전자정부법 제56조(정보통신망 등의 보안대책 수립ㆍ시행) ㅇ 국가정보보안기본지침 제17조(사이버보안진단의 날) ㅇ 서울시 정보통신보안업무처리규칙 제12조(사이버보안진단의 날) □ 시행일 : 매월 셋째주 수요일(연중) □ 추진 사항 ㅇ 일반 부서 - 점 검 자 : 전직원 PC 사용자 - 점검방법 : 내PC지키미 프로그램 실행 후 사이버 보안 10대 점검 사항 점점 및 안전조치 - 취약 PC 대상(90점 이하) 인터넷 차단 ㅇ 본부 전산기획팀 - 정보통신보안담당관에 월별 점검결과 제공 - 정보시스템 보안 점검 - 월별 중점 점검사항(붙임 1) 점검 및 취약점 조치 □ 기대효과 ㅇ 점검 시스템을 통해 사이버보안의 체계적인 분석 가능 ㅇ 예방점검 및 사전조치로 직원들의 보안 의식 강화 ㅇ 해킹 등 사이버 공격으로부터 자산보호 5-6. 외부 용역사업 보안 관리 강화 외부 용역사업에 대한 보안관리 통제 · 감독으로 불법적인 침해사고로부터 정보시스템을 보호함 □ 관련근거 ㅇ 국가정보보안기본지침 제63조(용역사업 보안관리) ㅇ 국가정보원 정보화 용역사업 국가공공기관 용역업체 보안관리 가이드라인 (서울특별시 행정포털 內 정보공유/업무매뉴얼) □ 시행일 : 2023년(연중) □ 추진 사항 ㅇ 일반사항 - 수행과정에서 취득한 자료와 정보에 관하여 외부에 유출해서는 안되며, 종료시 담당공무원의 입회하에 완전 폐기 또는 반납 - 문서, 인원, 장비 등에 대하여 보안관리 계획을 사업제안서에 기재, 노출시 지방계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록 ㅇ 참여 인원에 대한 보안관리 - 참여 인원 중 용역책임자를 보안책임관으로 지정, 승인을 받음 - 참여인원은 보안서약서를 작성 후,제출, 비밀유지의무 준수 교육 실시 - 정보시스템 접근이 필요한 경우 발주기관 사전승인 후 담당공무원의 입회하에 실시 ㅇ 내부 자료에 대한 보안관리 - 발주기관에서 제공하는 내부 자료에 대해서는 책임자가 직접 서명후 인수인계 - 사업수행을 위해 제공된 내부 자료는 복사 및 외부 반출 금지 ㅇ 장비에 대한 보안관리 - 보조매체 기록장치는 발주기관의 협의하여 제한된 PC에서만 사용 - 종료시 계약자의 PC 및 보조기억장치는 완전삭제 후 반출 ㅇ 내·외부망 접근에 대한 보안관리 - 발주기관 내부망에 대한 접속은 발주기관 승인후 사용 - 사용하는 PC는 인터넷 연결 원칙적 금지, 필요한 경우 담당자 승인후 사용 ㅇ 산출물에 대한 보안관리 - 산출물은 발주기관의 파일서버 또는 PC에 저장 - 사업 종료 후 최종산출물에 대해 “대외비”임을 표기하여 발주기관에 제출 5-7. 정기적인 정보보안·개인정보보호 감사 정보보안 업무 추진 현황, 관리 실태 등 확인·점검을 통해 보안 사고 예방 및 보안 업무 내실화 및 개선을 도모함 □ 관련근거 ㅇ 국가정보보안기본지침 제14조(정보보안 감사) ㅇ 국가정보보안기본지침 제11조(지도방문) □ 시행일 : 2023년 하반기 □ 보안 감사 사항 ㅇ 정보보안 관리 현황 - 정보보안 및 개인정보 보호 세부 추진계획 수립 및 시행 - 정보호호 책임자 및 담당자 현황 - 교육 이행 현황 - 정보시스템 권한 부여 현황 ㅇ 개인정보호 관리 현황 - 개인정보 내부관리 계획 수립 및 비취 - 개인정보보호의 날 운영 및 점검 현황 ㅇ 불법 소프트웨어 점검 ㅇ 휴대용저장 매체 관리 이행 여부, 개인정보보호 및 정보보안 교육 이행 등 □ 기대효과 ㅇ 정보 보안 취약성 개선 및 보완 ㅇ 보안 생활화 정착으로 보안사고 예방 ㅇ 사이버 위협에 대한 대응 능력 향상 5-8. 개인영상정보 관리·이용 실태 점검 개인영상정보 보호 관리 실태에 대한 현장점검을 통해 개인정보 보호 관리 체계 수준 향상 및 직원들의 개인정보보호에 대한 수준 제고 □ 추진배경 ㅇ 개인영상정보 유노출 예방 및 개인정보보호 관리체계 수준 향상 □ 시행일 : 2023년(6월) □ 추진 사항 ㅇ 개인영상정보 처리 일반 사항 점검 - 개인영상정보처리 운영 · 관리 방침 수립 및 시행 여부 - 개인영상정보 관리 책임자 지정 여부 - 내부관리계획 수립 및 시행 여부 ㅇ 이용 · 제공 · 열람 · 파기 관리 점검 - 개인영상정보 관리 대장 작성 - 목적외 이용 · 제공시 안전성 확보 조치 이행 - 파기 여부 기록 관리 여부 ㅇ 개인영상정보 보호 조치 - 접근 통제 및 권한의 제한 조치 여부 - 영상정보를 안전하게 저장 · 전송할 수 있는 기술 적용 여부 - 처리기록의 보관 및 위변조 방지를 위한 조치 여부 - 안전한 물리적 보관을 위한 시설 마련 여부 ㅇ 정보보안 감사의 관리체계 지도 점검 - 개인정보보호 업무 수행 조직(일반, CCTV, 파이어캠, 구급차캠) 구성 최적화 - 정보보안 개인정보보호 지침, 가이드 정비 ㅇ 향후 계획 - 위반 사례 전파 및 관련 가이드 정비 -> 교육·홍보를 통한 재발 방지 - 소방관서의 개인정보보호 담당자 의견 수렴을 통한 개선 방안 마련 Ⅵ 정보보호 기반강화 세부계획 6-1. 각 부서 PC 관련 보안 활동 강화 각 부서 정보보안 업무 추진시 준수수칙을 참조하여 부서장 책임하에 중점 관리를 할 수 있도록 하여 보안사고 미연에 방지하고자 함 □ 관련근거 ㅇ 국가 정보보안 기본방침 제26조(PC 등 단말기 보안관리) ㅇ 서울시 정보통신보안업무처리규칙 제13조(PC 등 단말기 보안관리) □ 시행일 : 2023년(연중) □ 중점 추진 사항 ㅇ 정보보안담당자 - 각 사용자에 대한 정보보안 업무 지도·감독, 사용자에 대한 IP 점검 및 정비 - 정보시스템 관리대장 및 전산장비 반출입 관리대장에 기록관리(별지 제1호 서식) - PC 반납 및 폐기시 PC 하드디스크 완전삭제 ㅇ 개인용 PC 보안관리 - 업무와 무관한 웹사이트 접속 금지(토렌트 커뮤니티, 바이두 등 중국포털, 블로그 등) - 공공기관, 지인 등을 사칭하는 의심스러운 메일 절대 열람 금지 및 삭제 조치 - 패스워드는 설정규칙에 따라 적용하고 정기적으로 변경 사용 - IP 주소 임의 변경금지, 화면보호기 강제 적용, 응용소프트웨어 업데이트 실시 ㅇ 컴퓨터바이러스 감염 방지 - 백신 프로그램을 반드시 설치 및 업데이트 - 바이러스 감염시 즉시 컴퓨터를 네트워크에서 분리 후 치료조치 ㅇ 보조기억매체(USB메모리) 보안관리 - 관리대장 등재 및 관리책임자 지정 관리, 사용현황 점검(별지 제2호 서식) □ 기대효과 ㅇ 예방점검 및 사전조치로 직원들의 보안 의식 강화 ㅇ 해킹 등 사이버 공격으로부터 자산보호 6-2. 본부의 정보보호시스템 안정적 운영 불법적인 침해사고로부터 정보시스템을 보호하고 정기 보안 진단 및 점검을 통한 장애 예방활동을 강화하여 정보보호 시스템을 안정적으로 운영하고자 함 □ 추진 방향 ㅇ 정보보호시스템 활용을 통한 실시간 감시체계 확립 ㅇ 복잡 다양해지는 사이버 위협 및 공격에 대응하기 위한 정보보안 체계 수립 ㅇ 추가되는 정보시스템의 취약점 진단 및 조치를 통한 최신상태 유지 □ 시행일 : 2023년(연중) □ 중점 추진 사항 ㅇ 유해사이트 차단정책 시행 및 보안 정책 적용 - 음란, 도박, 오락 등 사이트 상시 차단 ㅇ 웹방화벽, 서버보안, DB 보안 등의 정보보호시스템의 상시 모니터링 체계 - 정책 수립 후 적용, 로그 모니터링을 통해 통제 ㅇ 정보시스템 보안 취약성 진단 연1회 실시 및 조치 ㅇ 네트워크 접근제어, 휴대용저장매체, PC스캔 운영 - 사내망에 접근하는 모든 PC에 대한 보안제어, 개인정보보호 관리 정책 적용 ※ 서울종합방재센터는 별도의 운영 계획을 수립하여 추진함 6-3. 본부의 개인정보 보호 의무사항 이행 개인정보보호법에 따른 의무사항을 이행하기 위한 조치를 시행함으로써 개인정보 침해사고 예방 및 유·노출 사고를 미연에 방지 함. □ 관련근거 ？ 개인정보보호법 제29조 (개인정보의 안전성 확보조치) ？ 개인정보의 안전성 확보조치 기준 □ 중점추진 사항 ㅇ 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 ㅇ 개인정보 처리와 관련한 불만의 처리 및 피해 구제 ㅇ 개인정보파일 전수 조사 및 정비(5월) ㅇ 개인정보 보호 관련 자료의 관리 ㅇ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기현황 파악 □ 의무 조치사항(개인정보보호지침 참조) ㅇ 소관 처리부서의 개인정보취급자에 대한 관리·감독 ㅇ 소관 개인정보파일의 등록 및 공개, 각종 대장의 기록관리(지침 참조) ㅇ 소관 개인정보파일 암호화를 통한 안전성 확보조치 ㅇ 소관 개인정보파일에 대한 정보주체의 열람, 정정, 삭제 청구 시 처리 ㅇ PC에 저장되어진 개인정보현황 일제 조사하여 삭제 또는 암호화조치 ㅇ 홈페이지 개인정보 노출 상시점검 강화(홈페이지 운영부서) ㅇ 개인정보 처리시스템 안전조치 강화(시스템 운영부서) - 개인정보 DB암호화 조치 - 웹서버의 보안서버 구축현황을 일제 점검하여 전송시 암호화 권고 ㅇ 보유기간 경과 및 보유목적 달성 시 지체 없이 삭제 ㅇ 개인정보시스템 위·수탁 운영 시 위·수탁계약서에 개인정보보호 관련 내용을 명시하여 처리(문서화) □ 기대효과 ㅇ 개인정보 유출사고 사전방지 및 피해사고 예방 ㅇ 개인정보 침해사례 교육을 통한 개인정보보호 인식도 제고 6-4. 개인정보보호 안정성 확보 조치 시민 개인정보 안전한 운영 관리를 위해 강화된 개인정보 보호법 의무사항과 권고사항을 추가하여 개인정보 내부 관리 추진계획을 수립 및 시행 □ 시행일 : 2023년(연중) □ 중점 추진 사항 ㅇ 개인정보처리방침 및 영상정보처리 운영관리 방침 정비(3월) ㅇ 산하기관의 개인정보보호 내부관리계획 수립(3월) - 가명처리 관련 정비 ㅇ 진단에 따른 개선 항목 도출 및 이행(4월) - 개인정보보호 자가 진단에 따른 취약점 도출 및 개선 6-5 소방관서 파이어캠 영상정보 관리 시스템 구축 파이어캠·구급 영상정보에 대한 개인영상정보 보호시스템을 구축하여 관련 법령을 준수하고 영상정보의 분실·유출을 예방함 □ 추진배경 ㅇ 소방 현장 활동에 발생하는 개인영상정보 보호 강화 ㅇ 관리 및 반출 서버 구축을 통한 시스템 운영으로 영상 자료 관리 필요 □ 시행일 : 2023년(5~6월) □ 추진 사항 ㅇ 파이어캠 영상정보 반출 관리 시스템 구축 추진 계획 수립(2월) ㅇ 과업심의위원회, 계약심사(3월) ㅇ 특정제품심의위원회 개최, 계약 의뢰(4월) ㅇ 사업 내용 - 파이어캠 영상정보 저장 반출 관리 시스템 도입 - 스토리지 증설 ㅇ 시험운영 및 관리 기능 점검 (6월) ㅇ 소방관서의 개인영상정보 관리 활동 개선(7월~) □ 기대효과 ㅇ 개인영상정보 보호 관련 소방기관 준수사항과 필요한 업무의 원활한 수행 6-6 본부의 휴대용 저장매체 관리 시스템 구축 및 보안 장비 교체 정보시스템 요소별 보안장비를 개선하고 PC보안 강화를 통해 개인정보 유출 사고를 예방함 □ 추진배경 ㅇ 보안장비 내구연한 초과로 인한 신규 장비 도입 ㅇ 소방관서 행정PC의 휴대용저장매체 관리를 통한 자료 유출 방지 □ 시행일 : 2023년(5~6월) □ 추진 사항 ㅇ 휴대용저장매체 관리시스템 및 노후보안장비 교체 추진 계획 수립(2월) ㅇ 과업심의위원회, 계약심사(3월) ㅇ 특정제품심의위원회 개최, 계약 의뢰(4월) ㅇ 사업 내용 - 휴대용저장매체 관리시스템 - 본부 웹방화벽, 보라매체험관 방화벽, 침입방지시스템 ㅇ 시험운영 및 관리 기능 점검 (6월) □ 기대효과 ㅇ 보안장비 교체를 통한 안정적인 시스템 운영으로 시스템 보안성 강화 ㅇ 소방관서 행정PC의 휴대용저장매체 관리를 통한 자료 및 개인정보 유출 예방 6-7 본부 정보시스템의 권한 관리 개선 개인정보 침해사고 예방 및 유출사고를 미연에 방지하기 위해 내부자의 접근 통제 및 접근 권한 제한 조치 및 모니터링 기능을 강화하고 있음 □ 추진배경 ㅇ 개인정보처리자는 개인정보처리시스템의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관 ㅇ 「개인정보의 안정성 확보조치 기준」 제5조(접근 권한의 관리)에 따른 접근 권한 변경 또는 말소 여부 확인 □ 시행일 : 2023년(연중) □ 추진 사항 ㅇ 권한 부여 현황 분석 및 개선 방안 수립(2월) ㅇ 접근 권한 관리 기록 기능 개발(상반기) ㅇ 동시접속 제한 기능 개발(상반기) ㅇ 비밀번호 작성규칙 및 오류시 접근제한 기능 개발(상반기) ㅇ 공문을 통한 계정 관리 적용(7월) ㅇ 시험 운영 및 관리 기능 점검(하반기) □ 기대효과 ㅇ 개인정보 유출 및 오·남용 예방 및 권한 관리 Ⅶ 침해사고 예방·대응 세부 계획 7-1. 사이버 침해사고 대응 사이버 테러 등 예·경보 발령 시 자체 사이버위기 대응 체계를 가동하여 신속히 대처하고 단계별 대응조치를 하며, 해킹·악성코드 유포 등 사이버 공격으로부터 정보자산을 안전하게 보호하고자 함 □ 추진 방향 ㅇ 사이버 침해사고 발생시 체계적 대응체계 마련하여 방어체계 구축 □ 시행일 : 2023년(연중) □ 중점 추진 사항 ㅇ 사이버 침해사고 대응반 구성 - 상황관제 : 서울시 통합관제센터, 전산기획팀, 각 관·서 보안담당 - 사고대응 : (사고분석) 서울시 통합관제센터, 정보보안운영팀, (시스템 복구) 정보보안운영팀 ㅇ 사이버 침해사고 대응절차 (사고 인지:모니터링) - 사이버 위기경보 발생 시 단계별 대응활동을 유지하고 사이버 위기경보 “주의” 단계부터 사이버 침해사고 대응활동 수행 - 사이버 공격, 전산망 장애 등 이상 징후 포착시 보고체계에 따라 즉시 보고 - 출처가 불분명하거나 의심스러운 메일 열람 금지 및 즉시 신고(초동대응 및 신고) - 서울시 통합보안관제센터 신고, LAN 케이블 분리, 현장보전 - 침해사고신고서 제출, 서울시 통합보안관제센터 기술지원요청 - (사고원인조사) 증거자료 제출, 자체 조사분석 - (피해복구) 침해사고 조사분석 결과보고서 제출 ㅇ 신고처 : 서울시 통합보안관제센터, 2133-0188/scert@seoul.go.kr □ 기대효과 ㅇ 사이버 침해사고 대응체계 구성으로 신속한 진단 및 조치 7-2. 개인정보 유출사고 대응 소방재난본부의 과실 및 오·남용 또는 외부 해킹 등으로 개인정보 유출사고에 대한 신속하고 체계적인 대응이 이루어져 피해를 최소하고자 함 □ 추진 방향 ㅇ 개인정보 유출 사고 발생 시 체계적 대응체계 마련하여 대응 체계 구축 □ 시행일 : 2023년(연중) □ 중점 추진 사항 ㅇ 유출 대응 업무수행 구성 - 분석복구 : 유출 사실 조사 및 원인 분석 - 법무홍보 : 유출 사고 관련 대외기관 대응, 안내문 최종 검토 - 민원홍보 : 정보주체 개별 통지문 안내, 이에 따른 후속업무 ㅇ 사이버 침해사고 대응절차 - (개인정보 유출사고 신고) 민원인 또는 직원의 유출사고 신고 - (신고 접수) 개인정보담당자의 사고 접수 및 보고 - (유출 사고 처리) 조사 및 분석. 정보주체 통지 및 관련기관 신고여부 결정 ㅇ 신고처 : 서울시 정보통신보안담당관, 2133-2880~2/privacy@seoul.go.kr 한국인터넷진흥원, 118(ARS 내선 2번)/118@kisa.or.kr □ 기대효과 ㅇ 개인정보 유출 사고 대응체계 구성으로 신속한 진단 및 조치 7-3. 본부의 정보자산에 대한 백업 및 복구 모의 훈련 불의의 사고로 시스템이나 파일의 피해가 발생하더라도 최근 백업한 시점의 내용으로 복구하여, 정보시스템의 연속성을 보장함 □ 추진배경 ㅇ 자치단체 정보시스템 장애 예방 및 대응 지침(행정자치부 예규 제 90호) ㅇ 통제 불가능한 재해를 제외한 시스템 장애, 운영 장애, 장비 장애등과 같은 통제 가능한 요인들에 의한 정보시스템의 기능 저하, 고장으로부터의 복구 계획 및 절차 필요 □ 시행일 : 2023년 하반기 □ 중점추진사항 ㅇ 정보시스템 긴급 장애복구 지침 수립 ㅇ SW 및 데이터 백업 및 소산에 대한 정책 검토 및 수정 ㅇ SW 및 데이터 백업 및 복구에 따른 수행 절차 수립 ※ 데이터 백업·복구 모의훈련 절차 시스템 복구 복구 검증 디스크 손상 ▶ 운영체제 파일 복구 + 스토리지 손상 ▶ 백업SW 활용 복구 ？ 정보시스템의 업무 서비스 검증 ※ 재해복구 모의훈련 절차 시스템 복구 복구 검증 ？ 인프라 담당자 확인 ？ 예비 부품 점검 ？ ？ 부품 교체 ？ 데이터 복구 ？ 정보시스템의 업무 서비스 검증 - 백업대상(운영체제, 데이터, 파일), 백업주기(일, 월 등) ㅇ 하드웨어 백업 대상 선정 및 예비 부품 확보 방안 수립 ㅇ 서비스 연속성 관리를 위한 모의 훈련 계획 수립 ㅇ 모의 훈련 계획 년 1회 이상 실시 7-4. 개인정보 침해사고 대응 모의 훈련 외부 해킹 등으로 개인정보 침해(유출) 사고 발생 시 체계적이고 신속한 대응 능력 향상 및 절차 숙지를 위한 모의훈련을 통해 개인정보 보호에 만전을 기하고자 함 □ 추진근거 ㅇ 개인정보보호법 제34조(개인정보 유출 통지 등), 동법 시행령 제39조(개인정보 유출 신고의 범위 및 기관), 제40조 (개인정보 유출 통지의 방법 및 절차) ㅇ 안전지원과-26865호 소방재난본부 개인정보 유출사고 대응 매뉴얼 □ 시행일 : 2023년 하반기 □ 중점추진사항 ㅇ 주 관 : 안전지원과 ㅇ 참 여 : 개인정보보호 책임자 및 담당자, 시스템 관리자, 유지보수 업체 직원 등 ㅇ 훈련상황 :　2023년 o월 o일 o시 해킹 프로그램에 감염된 PC에 의해 개인정보처리　시스템　(체험관) 서버가 해킹을 당하여 고객정보 oo건이 유출된 사실을 확인 ㅇ 훈련 방법 본부 대응반 소방관서 본부 대응반 구성 ① 메시지 전달 ------------------> ② 초동조치(담당자) ③ 기관대응반 구성 기관장 보고 ④ 유출신고서 보고 <----------------- ⑤ 유출사실통지문 보고 <----------------- ⑥ 유출사실통지문 통지 ※ 증거자료 수집 ㅇ 중점 점검사항 - 개인정보 침해사고 대응 계획에 의한 시스템 관리자의 초동조치 여부 - 정보주체에 대한 유출 사실 통지 방법 및 절차 등 신속한 처리 여부 - KISA 신고 및 홈페이지 신속 게시 여부, 보고 절차 및 후속 조치 여부 Ⅷ 행정사항 □ 소방관서 추진계획(매년) 수립 및 이행 철저 (본부, 종합방재센터, 소방학교, 119특수구조단, 대통령경호처소방대, 시민안전체험관 포함) ※ 2023년 소방서 개인정보보호·정보보안 추진 계획 참고 ㅇ 정보보호 관련법률 제？개정에 따른 제반 준수사항 이행 철저 - 개인정보보호·정보보안 책임자와 담당자 지정 및 추진계획 수립？제출 ㅇ 정보보안·개인정보보호 담당자 및 직원들에 대한 교육 이수 관리 ㅇ 정보보안 및 개인정보 활동에 따른 결과 자체 관리 및 교육 실시 - 매월 첫째주 수요일 ‘개인정보보호의 날’ 수행 - 매월 셋째주 수요일 ‘사이버보안진단의 날’ 수행 - 매월 20일 휴대용저장매체 관리(본부 별도시행) ㅇ 네트워크 차단시스템 제외 등 예외처리가 필요한 PC 또는 네트워크 장비(스마트TV, 복사기, 통신장비 등) 사용부서에서는 네트워크 접근관리 시스템(NAC) 차단 예외 신청서(붙임 3)를 작성하여 통보(제출) □ 개인(영상)정보 처리 절차 준수 및 관리·이용 실태 점검 철저 ㅇ 개인영상정보관리책임자와 운영자 지정 및 관리 철저 □ 사이버보안(개인정보 유출)사고 발생시 신속한 보고 ㅇ 사이버보안 사고 발생시 신속한 보고체계 유지 - 인터넷 해킹 및 바이러스 감염시 본부 정보보안운영팀(☏3706-1643), 서울사이버 안전센터(☏2133-0118)로 즉시 신고 ㅇ 개인정보 유노출 사고 발생시 신속한 보고체계 유지 - 개인정보 유노출 확인시 본부 정보보안운영팀(☏3706-1643)로 즉시 보고 □ 정보시스템 도입시 사전 보안적합성 검토 절차 확행 ㅇ 정보통신보안담당관(제출처), 안전지원과(사전 협조) 붙임 1. 2023년？사이버보안진단의 날？ 운영계획(월별 중점 점검사항) 1부. 2. 보안 지도 체크리스트 1부. 3. 네트워크접근관리시스템 차단 예외 신청서 1부. 4. PC 보안업무 준수 수칙 1부. 5. 정보시스템 보안업무 준수 수칙 1부. 6. 개인정보보호 체크리스트 1부. 7. 서울특별시 정보통신 보안업무 처리 규칙 1부. 8. 서울특별시 정보통신 보안업무 처리 지침 1부. 9. 서울특별시 개인정보운영의 날 지침 1부. 10. 서울특별시 개인정보보호 내부 관리계획 1부. 11. 서울특별시 개인정보보호 지침 1부. 12. 서울특별시 가명정보 처리 지침 1부. 13. 2023년 소방서 개인정보보호_정보보안 추진계획(예시) 14. 공공기관 영상정보처리기기 설치·운영 가이드라인 1부. 15. 서울특별시 영상정보처리기기 설치 및 운영에 관한 조례 1부. 끝. 별지 제1호 서식 정보시스템 관리대장 연번 부서명 사용자 이름 직위 운영체제 /모델명 망구분 IP주소 구분 비고 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 랜섬웨어 : 2015년 4월, 갑자기 컴퓨터 시스템에 접근할 수 없게 되거나, 저장한 사진과 문서 파일 등을 열 수 없는 일이 발생했다. 이른바 ‘랜섬웨어(ransomware)’로 유명한 ‘크립토락커(CryptoLocker)’ 바이러스에 PC가 감염돼 모든 데이터가 암호화 된 탓이다. 랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다. 전산장비 반출입 관리대장 연번 반출·입 일시 장비명 사용자 정보 악성코드 점검결과 반출·입 장 소 사 유 확 인 반입 반출 소속 성명 연락처 담당 팀장 별지 제2호 서식 휴대용 저장매체 관리대장(일반용) 연번 관리번호 (S/N) 매체형태 등록일자 취급자 불용처리일자 불용처리방법 (재사용 용도) 비고 1 소방행정과-일반-01 (E-D900-04-3705B) USB 10.10.20 5급 홍길ㅇ 11.10.20 물리적 파기 고장 2 소방행정과-일반-02 (NP00T512787J) 외장형 HDD 10.10.25 6급 김정ㅇ 11.10.27 포맷후 재사용 (시설과-일반-01) 3 소방행정과-일반-03 (E-D900-04-3705B) USB 10.11.1 5급 이수ㅇ 11.10.7 물리적 파기 고장 4 5 6 7 8 9 10 11 12 13 14 15 휴대용 저장매체 점검대장 점검일시 현 보유수량 이상 유무 점검관 확인 (서명) Ⅱ급 Ⅲ급 대외비 일반 성명 서명 2011.1.3 1 1 3 15 이상무 홍길ㅇ 홍길ㅇ 김유ㅇ 2011.2.1 1 1 2 16 이상무 홍길ㅇ 홍길ㅇ 김유ㅇ 2011.3.1 1 1 2 16 이상무 홍길ㅇ 홍길ㅇ 김유ㅇ 2011.4.1 1 1 2 17 이상무 홍길ㅇ 홍길ㅇ 김유ㅇ 휴대용 저장매체 반출ㆍ입 대장 연번 관리번호 (시리얼번호) 사용자 용도 출입 일시 (입ㆍ출 구분) 확인 1 소방행정과-일반-01 (E-D900-04-3705B) 홍길ㅇ 국회 제출 2011.10.1 11:00(출) 김유ㅇ 2 소방행정과-일반-02 (NP00T512787J) 유관ㅇ 법무부 회의참석 2011.10.7 09:40 (출) 김유ㅇ 3 소방행정과-일반-03 (E-D900-04-3705B) 유관ㅇ 법무부 회의참석 회수 2011.10.7 17:50(입) 김유ㅇ 4 총무-일반-01 (610-RUCW-61659) 홍길ㅇ 국회제출 회수 2011.10.8 18:10 (입) 김유ㅇ 5 총무-일반-005 (610-RUFU-61747) 강감ㅇ 재택근무 2011.12.3 10:00(출) 김유ㅇ 6 7 8 9 10 11 12 13 14 15

28106892

20230325051008

본청

소방행정과-2929

D0000047668980