제1장 총 칙

조항
	제1조 (목적)

본 규정은 경희대학교(이하 "본교"라 한다) 정보보안 관리체계의 수립과 정보통신망의 안정성 및 정보보호를 위해 필요한 사항을 규정함을 목적으로 한다.

조항
	제2조 (적용범위)

① 본 규정은 본교 학칙에 정한 교내 행정조직, 단과대학(원), 부속기관 등(이하 "소속기관"이라 한다)을 비롯하여 본교 정보통신망에 연결하여 정보통신망 자원을 이용하는 기관 및 개인에 적용한다.

조항
	제3조 (정의)

본 지침에서 사용하는 용어의 정의는 다음과 같다.

1. "정보"라 함은 본교 업무와 관련하여 생성 또는 입수하여 소유하고 있는 지적 자산 등의 자료로서, 컴퓨터나 저장매체에 기록된 자료를 말한다.

2. "정보통신서비스"라 함은 정보통신설비 및 시설을 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.

3. "정보통신망"이라 함은 「전기통신기본법」 제2조 제2호의 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보통신체제를 말하며 정보시스템 일체를 포함한다.

4. "정보시스템"이라 함은 서버ㆍPC 등 단말기, 보조기억매체, 네트워크 장치, 응용 프로그램 등 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신에 필요한 하드웨어 및 소프트웨어를 말한다.

5. "정보보안"이라 함은 정보시스템 및 정보통신망을 통해 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신 되는 정보의 유출ㆍ위변조ㆍ훼손 등을 방지하기 위하여 관리적ㆍ물리적ㆍ기술적 수단을 강구하는 일체의 행위로서 사이버안전을 포함한다.

6. "정보보호시스템"이라 함은 정보의 수집ㆍ저장ㆍ검색ㆍ송신ㆍ수신시 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어를 말한다.

7. "정보자산"이라 함은 정보와 정보시스템, 정보통신망, 정보보호시스템 등을 통칭한다.

8. "사용자"라 함은 본교가 제공하는 정보통신서비스를 이용하는 자를 말한다.

9. "시스템관리자"라 함은 서버, 네트워크, 데이터베이스 등 업무분야를 관리하고 있는 각 담당자를 말하며, 소속기관의 서버 담당자 및 업무시스템 운영자를 포함한다.

10. "정보침해사고"라 함은 해킹 및 컴퓨터바이러스의 유포 등에 의해 정보시스템이 정상적으로 운영되지 않거나 정보의 유출ㆍ파괴 또는 정보의 위조ㆍ변조 등이 발생한 사태를 말한다.

11. "취약점"이라 함은 시스템의 기능명세, 설계 또는 구현단계의 오류나 시동, 설치 또는 운용상의 문제점으로 인하여 시스템이 지니게 되는 보안상의 약한 부분을 말한다.

12. "고유식별정보"라 함은 「개인정보 보호법 시행령」 제19조에 의한 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 말한다.

13. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.

14. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.

제2장 정보보안 인적구성

조항
	제4조 (정보보안담당관의 지정 및 책무)

정보보안담당관은 정보처장을 당연직으로 하고 다음 각 호의 기본 활동을 수행한다.

1. 정보시스템 관련 정보보안 업무 총괄

2. 정보보안 정책 및 업무추진계획 수립ㆍ시행

3. 정보보안 관련 규정ㆍ지침 등 제ㆍ개정

4. 정보보안심사위원회에 정보보안 안건 심의 주관

5. 정보보안 업무 지도ㆍ감독, 정보보안 감사 및 심사분석

6. 정보보안담당자 및 시스템관리자의 업무 관리 감독

7. 정보보안사고 예방 및 처리

8. 정보보안 교육 및 지도감독

9. 그 밖의 정보보안 관련사항

조항
	제5조 (정보보안담당자)

① 정보보안담당관은 정보처 정보기획팀 소속 직원 중에서 1인을 정보보안담당자로 지정하며, 정보보안담당자는 제3조 제9항의 시스템관리자로 구성한 정보보안조직을 운영한다.

② 정보보안담당자는 정보보안담당관으로부터 위임받은 업무와 적절한 정보보안 수준을 유지하기 위하여 다음 각 호의 업무를 수행한다.

1. 정보자산 신ㆍ증설에 따른 보안적합성 검토

2. 정보보안 연간 계획 수립과 집행

3. 정보보안 규정 준수에 관한 관리 감독과 보안 위반자 심사 및 처리

4. 주기적인 정보시스템 보안취약점 점검

5. 보안시스템의 운영 및 유지관리

6. 침해사고 대응 및 행정처리, 정보보안 감사업무 처리

7. 정보보안 홍보 및 사용자 교육 훈련, 계약지도 관리

8. 기타 위 각호에 부수되는 제반사항

조항
	제6조 (시스템관리자)

① 각 시스템관리자는 정보시스템을 안정적으로 운영하여야 하며 정보침해사고나 시스템장애가 발생했을 경우 이를 즉시 정보보안담당관 및 정보보안담당자에게 보고하여야 한다.

② 각 시스템관리자는 중요한 데이터의 적절한 관리기준 및 절차를 수립ㆍ시행하여야 하고 다음 각 호와 같이 관리하여야 한다.

1. 암호화하거나 파일 잠금 기능을 사용할 것

2. 본 규정이 정한 바에 따라 접근을 통제할 것

③ 각 시스템관리자는 침해사고, 시스템의 장애 또는 정전 등으로부터 정보를 보호하기 위하여 주기적으로 데이터의 백업 등 적절한 조치를 취하여야 한다.

제3장 정보보안심사위원회

조항
	제7조 (구성)

① 체계적ㆍ효율적 보안정책의 수립ㆍ심의를 위하여 정보화위원회 산하에 정보보안심사위원회(이하 "위원회"라 한다)를 둔다.

② 정보보안심사위원회 위원은 정보화위원회 위원과 서울ㆍ국제캠퍼스 교무처장, 서울·국제캠퍼스 총무관리처장, 인사처장 을 당연직으로 구성한다.

③ 위원장은 정보처장으로 한다.

④ 위원장을 포함한 각 위원의 임기는 보직재임기간 및 해당업무기간으로 한다.

⑤ 본 위원회의 간사는 정보처 보직자 중 위원장이 임명하며, 위원회의 제반 사무를 처리하고 회의록을 작성하여 보관하는 역할을 한다.

⑥ 위원회 회의는 재적위원 과반수의 출석과 출석위원 3분의 2이상의 찬성으로 의결한다.

조항
	제8조 (기능)

본 위원회는 다음 각 호의 사항을 전문적으로 심의 및 의결한다.

1. 정보보안 정책ㆍ규정 및 대책 수립에 관한 사항

2. 정보보안 신규 추진 사업 및 연간계획 수립에 관한 사항

3. 정보보안 위반자 심사 및 처리에 관한 사항

4. 기타 위 각호에 부수되는 제반 사항

제4장 정보보안 일반사항

조항
	제9조 (기본수칙)

① 정보시스템 사용자는 개인별 사용자 계정 및 비밀번호의 기밀을 유지해야 하며, 본래의 발급 목적으로만 사용하여야 한다.

② 사용자는 허가받은 정보시스템의 권한이 부여된 영역에 대하여 본래의 목적으로만 사용할 수 있다.

③ 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래할 수 있는 행위를 해서는 아니 되며, 이러한 행위를 한 자가 발견될 경우에는 소속부서의 장 또는 정보보안담당자에게 알려야 한다.

④ 정보 자산과 연관된 저작권·특허권 및 소프트웨어 라이선스의 사용 조건을 숙지하고 이를 준수하여야 한다.

⑤ 본교 정보통신망을 신설ㆍ변경 및 폐기하고자 하는 경우에는 정보보안담당관의 사전승인을 얻어야 한다.

⑥ 본교는 주기적인 보안점검을 통해 학내 정보통신망 및 정보시스템의 안정성을 점검하고, 정보보안정책 및 규정의 준수 여부를 평가하며 학내 모든 사용자는 이에 적극 협조하여야 한다.

⑦ 업무와 관련해 습득한 정보자산을 본교의 허락 없이 외부에 누설해서는 아니 된다.

⑧ 정보보안 사고를 예방하기 위한 목적으로 학교의 승인을 득한 정보보안시스템 및 정보보안 활동을 즉시 시행할 수 있다.

조항
	제10조 (정보자산 분류)

정보자산의 분류는 다음 각 호와 같다.

1. 정보 : 데이터베이스(DBMS)나 파일의 형태로 저장된 전자정보 및 정보자산 운영에 필요한 문서 등을 지칭한다.

2. 소프트웨어 : 운영체제(OS), 시스템소프트웨어(웹서버, 웹어플리케이션, 데이터베이스관리시스템 등), 사무자동화 소프트웨어, 업무용 응용프로그램, 보안소프트웨어, 통신 소프트웨어, 기타 개발·연구·관리용 소프트웨어 등을 지칭한다.

3. 하드웨어 : 컴퓨터 및 컴퓨팅자원(서버, PC 등), 스토리지장비, 백업장비, 캠퍼스통신망장비(스위치, 라우터, 허브, 전화교환기 등), 보안장비, 기록매체 등을 지칭한다.

4. 부대설비 : 전원공급장치, 항온항습기, 출입통제장비, UPS, CCTV 등의 부대설비 자산 등을 지칭한다.

조항
	제11조 (보안적합성 검증)

① 정보보안담당관은 정보보호시스템을 도입할 경우, 별지 제1호 서식의 정보시스템 도입 시 확인사항에 따라 보안적합성 검토를 실시한다. 단, 다음 각 호에 해당하는 경우에는 보안성 검토를 생략할 수 있다.

1. 국가정보원장이 정한 CC인증제도에 따라 인증을 받은 정보보호시스템

2. 국가정보원장이 안정성을 확인한 제품

3. 기타 국가정보원장이 보안적합성 검증이 불필요하다고 인정한 시스템

② 보안적합성에 대한 검토 결과를 장비선택에 대한 평가 자료에 반영한다.

조항
	제12조 (전자정보 저장매체 불용처리)

① 사용자 및 시스템관리자는 전자정보 저장매체를 불용처리(교체ㆍ반납ㆍ양여ㆍ폐기 등) 하고자 할 경우에는 정보보안담당관의 승인 하에 저장매체에 수록된 자료가 유출되지 않도록 보안 조치하여야 한다.

② 하드디스크 등의 저장장치가 부착된 하드웨어(서버, 스토리지, PC 등)는 매각이나 폐기 시, 분리하여 별도 파기하거나 기록된 데이터를 완전히 삭제하고 포맷하여 해당 정보가 복구될 수 없도록 해야 한다. 단, PC의 경우에는 해당 PC 운영자가 데이터 포맷의 책임을 갖는다.

③ 백업 미디어 등과 같은 기록매체는 폐기 시 데이터 삭제 및 포맷 후 폐기하여야 하며, 필요한 경우 물리적으로 완파하여야 한다.

④ 정보자산 운영에 필요한 문서의 폐기 시에는 안전하게 파쇄 또는 소각해야 한다.

⑤ 정보자산의 폐기를 전문 업체를 통해 시행할 경우, 정보의 유출 금지와 관련한 보안사항을 계약서에 반영하여야 한다.

조항
	제13조 (권한과 책임)

① 정보보안담당관은 정보화자원의 보안을 유지하기 위하여 시스템계정(이하 ‘계정'이라 한다) 소유자의 사용권을 제한할 수 있는 권한을 가지며 다른 사용자의 합법적인 사용을 방해하는 데이터나 파일 등을 사전 통보 없이 삭제할 수 있다.

② 정보통신망 및 그에 연결된 정보시스템을 오용할 경우 사용자의 계정을 회수·삭제 또는 정보시스템의 사용을 제한·금지할 수 있으며, 필요시 그에 따른 구체적인 제재 사항은 위원회에서 심의ㆍ결정한다.

③ 제2항의 오용의 범위는 아래와 같다.

타 사용자의 계정 및 비밀번호를 허가 없이 사용한 경우

사용권한이 없는 계정을 사용한 경우

타 사용자의 자료를 허가 없이 유출하거나 읽고 쓰는 행위

일반 사용자가 관리자 비밀번호 또는 타 사용자의 비밀번호를 획득하고자 해킹하는 행위

내부의 중요한 전산정보를 불법으로 외부에 유출한 경우

외부의 불법 사용자에게 계정 및 비밀번호 정보를 제공한 경우

사용자 계정 및 비밀번호를 상호 공유한 경우

허가된 보안등급 이상의 자료를 무단유출하거나 읽고 쓰는 행위

인터넷을 통해 자살 사이트나 음란 사이트 등 반사회적 유해사이트에 접속ㆍ개설ㆍ열람하는 경우

보안 취약점 점검의 지적사항에 대해 즉각적인 시정을 취하지 않을 경우

정보시스템을 이용한 개인정보 침해사고를 일으킨 경우

사용자의 부주의에 따른 악성코드의 감염 등으로 정보통신망의 국지적ㆍ전체적 장애를 유발한 경우

허가받지 않은 IP 주소를 사용한 경우

본인 PC에서 스팸메일을 다량으로 발송하여 다른 사용자들에게 피해를 주는 경우

④ 정보시스템의 오용 및 불법사용으로 본교에 해를 끼치거나 명예를 훼손시켰을 경우에는 다음 각 호의 제재 조치를 취할 수 있다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 의한 법적 조치

본교 규정에 따른 징계 조치

손해 발생에 대한 손해배상 청구

⑤ 사용자는 업무수행 중 알게 된 제반 정보자산을 임의로 누설하거나 공개할 수 없으며, 채용 시 별지 제2호 서식의 보안서약서를 작성하여 제출하여야 한다.

조항
	제14조 (악성코드 방지대책)

정보보안담당관은 웜ㆍ바이러스, 해킹프로그램, 스파이웨어 등 악성코드 감염을 방지하기 위하여 다음 각 호와 같은 대책을 수립ㆍ시행하여야 한다.

1. 사용자는 개인PC에서 작성하는 문서ㆍ데이터베이스 작성기 등 응용프로그램을 보안패치하고 백신은 최신상태로 업데이트ㆍ상시 감시상태로 설정 및 주기적인 점검을 실시하여야 한다.

2. 사용자는 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램 사용을 금지하고 인터넷 등 상용망으로 자료 입수 시 신뢰할 수 있는 인터넷사이트를 활용하되 최신 백신으로 진단 후 사용하여야 한다.

3. 사용자는 상용 인터넷 파일공유 프로그램 등 업무상 불필요한 프로그램을 사용 금지하고 시스템관리자는 인터넷 연동구간의 침입차단시스템에서 관련 사이트 접속을 차단하도록 보안설정 하여야 한다.

4. 사용자는 웹브라우저를 통해 서명되지 않은(Unsigned) 사용자정의 컨트롤러(OCX) 등이 PC내에 불법 다운로드 되고 실행되지 않도록 보안 설정하여야 한다.

5. 제1호부터 제4호까지의 보안대책과 관련하여 정보보안담당관은 사용자가 적용할 수 있는 보안기술을 지원하여야 한다.

조항
	제15조 (비밀번호의 관리)

① 비밀번호는 평문으로 저장되어서는 안 되며, 암호화된 형태로 저장되어야 한다.

② 응용프로그램의 비밀번호는 본교 「개인정보관리지침」 제14조제2항을 준수하여 설정하도록 정보시스템을 구성하여야 한다.

③ 정보시스템(서버, 네트워크장비, 정보보호시스템, 홈페이지 관리자페이지 등)의 비밀번호는 영문자, 숫자, 특수문자를 혼합하여 9자리 이상으로 설정하고 분기 1회 이상 주기적으로 변경하여야 한다.

④ 응용프로그램의 인증시스템은 비밀번호를 사용할 수 있는 최대기간을 설정할 수 있도록 한다.

⑤ 응용프로그램의 사용자가 비밀번호를 잘못 입력하는 횟수에 대한 제한 설정을 구현하여 설정된 횟수에 도달하는 경우, 로그인 기능을 차단하거나 세션을 종료시키도록 하는 기능을 구현한다.

조항
	제16조 (홈페이지 불법 게시물의 관리)

본교 정보통신망을 이용하여 홈페이지 서비스를 제공하는 소속기관 및 사용자는 해당 홈페이지를 통한 개인정보유출 방지 및 불법게시물(저작권침해, 명예훼손, 욕설, 성적인 표현, 사행성 게시물 등)을 단속하여야 하며, 홈페이지를 통한 개인정보 유출이나 불법게시물 방임이 인정된 경우에는 정보보안담당관이 해당 홈페이지의 정보통신서비스를 제한할 수 있다.

조항
	제17조 (정보통신시설 보안)

① 정보보안담당관은 전산실, 통신실, 그 밖에 보안관리가 필요하다고 인정되는 정보시스템 설치 장소를 「보안업무규정」(대통령령) 제32조에 따른 보호구역으로 설정 관리하여야 한다.

② 정보보안담당관은 제1항에서 지정된 보호구역에 대한 보안대책을 강구할 경우 다음 각 호 사항을 참고 한다.

1. 외부 위해(危害) 방지대책으로 중요 정보통신시설에 CCTV 설치 운영

2. 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치

3. 출입자 인증·식별 등을 위한 출입문 보안장치 설치 및 주야간 감시

4. 휴대용 저장매체를 보관할 수 있는 용기 비치

5. 정보시스템 안전지출 및 긴급파기 계획 수립

6. 관리책임자 및 자료·장비별 취급자 지정 운용

7. 정전에 대비한 비상전원 공급, 시스템의 안정적 중단 등 전력관리 대책

8. 비상조명 장치 등 비상탈출 대책

9. 카메라 장착 휴대폰 등을 이용한 불법 촬영 방지 등

제5장 정보보안 교육

조항
	제18조 (정보보안 교육의 원칙)

① 정보보안 교육은 전 직원을 대상으로 캠퍼스별 매년 1회 이상 실시한다.

② 전보 및 퇴직 시에는 해당 기관장 책임 하에 자체 정보보안 교육을 실시하여야 하며, 이후에는 연간 정보보안교육계획에 따라 시행한다.

③ 다음 각 호의 사항의 발생 시 비정기적인 교육을 실시 할 수 있다.

정보보안 정책·규정 또는 직무 등의 변경

새로운 보안위협의 발생

법적 요구사항에 대한 대책수립

기타, 본교의 정보보안 관리업무와 관련한 교육의 필요성이 있는 경우

④ 정보보안 교육계획수립은 정보보안 담당부서가 하며, 교육의 시행은 교육전담부서가 담당한다.

⑤ 외부자에 대한 교육 필요 시, 정보보안 담당부서 및 업무주관부서의 협의 후 교육 내용 등을 정하여 교육을 시행한다.

조항
	제19조 (정보보안 교육 계획 수립)

① 정보보안담당관은 전 직원을 대상으로 연 1회 이상 실시가 가능한 연간 정보보안 교육계획을 수립하여 시행하여야 한다. 단, 정보보안 교육은 필요 시 개인정보보호 교육과 병행하여 진행할 수 있다.

② 정보보안 교육계획에는 교육 종류, 대상, 내용, 강사, 시행 일시 및 장소가 포함되어야 한다.

③ 필요 시 외부 전문가에게 위탁하여 해당 정보보안 교육을 실시할 수 있으며, 위탁 교육을 실시하여야 하는 경우 사전에 해당 전문가를 선정하여 교육 계획을 협의하도록 한다.

조항
	제20조 (정보보안 교육 내용)

① 정기 및 비정기적인 정보보안 교육은 피교육자의 업무 영역과 수준에 따라 세부 내용을 조정하고 가능한 최신의 상위 정책 및 규정, 정보보안 가이드라인, 정보보안관리 동향 등이 전달될 수 있도록 구성한다.

② 교직원 대상 시, 정기 및 비정기적인 교육은 해당 업무의 특성을 고려하여 다음 각 호와 같은 내용으로 구성할 수 있다.

정보보안 정책, 규정의 소개 및 설명

정보보안 관련 법률

개인정보보호

업무용 PC 관련 보안

기타 보안관련 사항 등

③ 외부자 대상 시, 계약서 상의 보안요구사항, 본교의 보안정책 및 업무수행에 필요한 보안준수 사항 등을 교육하도록 한다.

제6장 외부자 보안

조항
	제21조 (외부자 보안관리 역할 및 책임)

① 계약업무담당자는 외부업체와 계약 시 계약서에 정보보안 요구사항을 명기하여 계약 당사자 간에 합의하여야 한다.

② 업무주관부서는 정보보안 준수사항 및 사고 시 보고절차 등을 명확히 외부자에게 고지하여야 하며, 필요 시 외부자에 대한 정보보안 요구사항의 이행여부를 감사할 수 있다.

③ 정보보안 담당부서는 계약업무담당자 및 업무주관부서에서 요청 시 외부자가 정보보안 요구사항을 이행하고 있는지 검토하여야 한다.

조항
	제22조 (용역사업 보안관리)

정보보안담당관은 정보화ㆍ정보보호사업 및 보안컨설팅 수행 등을 외부용역으로 추진할 경우 사업 책임자로 하여금 다음 각 호의 사항을 포함한 보안대책을 수립하여야 한다.

1. 참가직원의 보안준수 의무사항과 의무위반 시의 손해배상, 책임부담 및 후속조치 사항

2. 용역사업 수행 관련 보안교육ㆍ보안점검 및 용역기간 중의 참여인력 임의교체 금지사항

4. 비공개 자료의 유출방지를 위한 복구 불가능한 완전삭제 기능 포함 사항

5. 용역업체로부터 용역 결과물을 전량 회수하고 비인가자에게 해당 용역 결과물의 제공ㆍ열람 금지사항

6. 용역업체의 노트북, 휴대용 저장매체, 전자문서, 기타의 방법 등의 관련 장비를 반입ㆍ반출시마다 악성코드 감염여부를 확인하고 자료의 무단반출 여부를 확인하는 사항

7. 용역사업 계약 시 계약서에 소프트웨어에 내포될 수 있는 보안취약점을 최소화할 수 있도록 개발단계에서 시큐어코딩을 진행할 것을 명시하는 사항

8. 보안 관련 위반사항 발견 시 경위서 제출 및 시정조치가 미비할 경우 부정당업체로 제재 조치를 진행하는 사항

9. 업무상 지득한 정보의 외부유출을 금지하는 사항

10. 그 밖에 정보보안담당관이 보안관리가 필요하다고 판단되는 사항이나 교육부장관이 보안조치를 권고하는 사항

조항
	제23조 (계약 시 정보보안 요구사항)

외부자의 계약서에는 정보보안을 위한 다음 각 호와 같은 요구조건을 포함하거나 관련사항이 명기되어야 하며, 계약은 외부자의 정보시스템 접근 허가 전에 공식 체결되어야 한다.

법적 요구사항의 충족 여부

계약 당사자들에게 정보보안 책임을 주지시키는 절차

정보자산의 무결성 및 비밀성 유지

전산매체에 저장된 데이터의 보호 및 소유권

중요 정보 사용권한이 없는 자의 접근제한에 관한 사항

재해 발생 시 서비스의 가용성 유지 방법

외부자 장비에 대한 물리적 보안 허용 수준

조항
	제24조 (비밀유지 서약)

① 계약 체결 시 계약의 상대방은 업무 전반의 비밀유지의무를 서약하는 별지 제3호 서식의 정보보안서약서를 작성하여야 한다.

② 계약의 상대방은 제1항의 정보보안서약서와 더불어 업무를 수행할 인원 개개인의 비밀보장을 위한 별지 제4호 서식의 정보보안서약서를 추가로 작성하여야 한다.

조항
	제25조 (외부자 관리)

① 외부자가 본교의 시스템에 접근할 경우, 별도의 사용자 계정을 발급받아야 한다.

② 정보보안담당관은 외부자 계정에 적절한 접근권한을 설정하여 외부자가 임의로 정보에 접근하지 못하도록 소프트웨어적 통제를 실시한다.

③ 외부자는 업무 완료 시, 개인 PC, 노트북컴퓨터, 저장장치 등에 포함된 본교의 개인정보 및 지적재산 관련된 모든 정보를 즉시 삭제하여야 한다. 단, 특별한 허가를 받은 경우는 예외로 한다.

제7장 서버 보안

조항
	제26조 (서버 보안 일반 원칙)

① 정보처 서버실 소재 서버로의 Telnet, SSH, FTP, Windows Terminal 접속은 접근통제시스템을 경유하도록 한다.

② 외부에서 내부망으로의 접속은 신뢰할 수 있는 호스트 및 통신망으로 제한하며, 서비스를 제공하지 않는 포트와 프로토콜은 모두 차단한다.

③ 정보보안담당관은 공개서버 자체 또는 별도의 보안제품 등을 이용하여 인터넷을 통한 바이러스, 웜, 트로이 목마 등의 유통을 방지하는 기능을 갖추어야 한다.

조항
	제27조 (서버 운영)

① 정보보안담당자는 서버의 하드웨어 및 소프트웨어의 지속적인 가용성과 무결성 확보를 위해 연 1회 이상 취약점 점검을 실시한다.

② 서버 담당자는 서버 공급업체의 보안관련 패치나 권고안이 발생되는 것을 지속적으로 모니터링하여 보안패치를 적용하여야 한다.

③ 서버 담당자는 보안관련 패치를 적용하기 전에 중요정보에 대한 백업을 수행하여야 한다.

④ 서버 담당자는 기존 운영체제의 정보보안 취약점이 보완되고, 향상된 정보보안 기능이 포함되어 있는 새로운 버전의 운영체제가 출시되어 업그레이드의 필요성이 있을 경우 해당 운영체제에 대한 보안성을 검토 한 후에 업그레이드를 실시한다.

⑤ 원격터미널(Remote Terminal)과 같은 원격접속 소프트웨어 설치를 원칙적으로 금한다. 단, 업무적으로 필요한 경우 정보보안담당자의 승인을 득하여야 한다.

⑥ 서버 장비의 비밀번호는 본 규정 제15조 제2항의 규정에 따른다.

조항
	제28조 (백업)

서버 담당자는 서버의 장애나 저장매체의 불량으로부터 중요정보와 소프트웨어를 보호하기 위해 해당 서버 운영자와 협의를 거친 후 최소 월 1회 이상 백업을 실시하고, 저장된 백업 정보를 3개월 이상 보관한다. 단, 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 보관ㆍ관리하여야 한다.

조항
	제29조 (모니터링)

서버 담당자는 서버의 사용 현황 및 이상 유무를 매월 정기적으로 모니터링 해야 하며, 다음 각 호의 사항에 대하여 이상 상황 발생 시 부서장에게 알리고, 신속히 조치해야 한다.

1. 새로운 계정 및 프로그램

2. 파일 또는 디렉터리 신규생성 및 삭제 여부

3. 서버 사용량 부하

4. 파일시스템 용량 초과

5. 프로세스 Looping

6. 비인가자의 접근 등

조항
	제30조 (로그관리)

① 서버 담당자는 정보보안 사고 발생 시 추적성을 확보하기 위해 사용자 로그인 및 사용자의 명령어 사용에 대해 로그를 기록하도록 설정하여야 한다.

② 서버 담당자는 로그의 정확한 기록을 위해 캠퍼스통신망에 연결된 모든 서버의 내부 시간을 일치시키도록 한다.

③ 서버 담당자는 서버의 성능 및 디스크 용량 등을 고려하여 로그를 남길 대상을 선정한다.

④ 서버 담당자는 로그에 대한 정기적인 백업을 실시하여 로그 변조 행위에 대응하여야 하고, 중요 서버의 로그 파일들은 별도의 통합로그관리체제를 도입하여 운영할 수 있다.

⑤ 서버 담당자는 서버 접속 내역을 기록한 로그에 대해 공식적인 요청이나 법률에 의한 협조 요청에 의하지 않고는 타인에게 공개하지 않는다.

⑥ 서버 담당자는 침해사고가 의심되는 사건이 발생했을 때 경고 및 적발이 가능하도록 사용자의 로그 기록을 별도로 보관 관리할 수 있으며, 그 내역을 정보보안 담당자에게 알려야 한다.

제8장 네트워크 보안

조항
	제31조 (정보통신망 관리)

① 네트워크 관리는 일관성과 기밀성을 위해 통합관리를 원칙으로 한다.

② 네트워크 담당자는 네트워크 신규 설치 및 변경 시 정보보안담당자에게 변경정보를 통보해야 한다.

③ 네트워크 IP Address는 사용자가 임의로 변경할 수 없다.

④ 라우터 및 네트워크 장비의 비밀번호는 본 규정 제15조 제2항의 규정에 따른다.

조항
	제32조 (네트워크 운영보안)

① 네트워크 담당자는 장비 공급업체의 보안관련 패치나 권고안을 지속적으로 모니터링 하여 적극적으로 패치를 적용한다.

② 네트워크 담당자는 보안관련 패치를 적용하기 전에 중요정보(접근통제리스트를 포함한 설정사항 등)에 대한 백업을 수행한 후 패치를 적용한다.

③ 네트워크 담당자는 정보보안 담당자의 허가 없이 본교의 정보통신망 구성도, 구성환경, 관련 시스템 정보 등을 무단으로 유출하여서는 안 된다.

④ 네트워크 장비를 이용한 외부로부터의 원격 접근은 원칙적으로 금지한다. 단, 다음 각 호와 같은 적절한 사유가 있고, 정보보안담당자의 승인절차를 거친 경우에 한해 예외적으로 허용할 수 있다.

1. 연구를 목적으로 원격접속이 필요한 경우

2. 정보시스템과 관련한 원격 업무지원이 필요한 경우

조항
	제33조 (접근제어 리스트 적용)

① 중요 네트워크 장비인 경우 IP, 프로토콜 및 서비스 포트에 대해 접근제어리스트를 관리한다.

② 네트워크 담당자는 네트워크 장비에 적용된 접근통제리스트를 6개월 마다 검토하고 재평가 한다.

조항
	제34조 (백업 주기)

네트워크 담당자는 네트워크 장비의 이상동작 및 장애, 그리고 침해사고에 의한 설정 정보 및 관련 정보를 보호하기 위하여 3개월 백업 주기를 설정하여 주요 구성 설정상태를 백업저장 관리하여야 하며, 이를 최소 3개월 이상 보관하여야 한다. 단, 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 보관ㆍ관리하여야 한다.

조항
	제35조 (모니터링)

네트워크 담당자는 네트워크 장비의 사용 현황 및 이상 유무를 주기적으로 확인하여 중요 보안 이상 상황 발생 시 신속히 조치한 후 정보보안 담당자에게 보고하여야 한다.

조항
	제36조 (방화벽과 서비스 제한)

① 해커의 침입이나 악성코드 감염 경로로 자주 악용되는 일부 통신 포트나 대량 트래픽을 유발하는 P2P 서비스 사용행위 등에 대하여 제재를 가할 수 있다.

② 제한되는 통신 포트나 서비스들은 정부공인 인터넷ㆍ정보보호 기관의 권장안을 기준으로 필요에 따라 가감하여 수용하며 자체 정책이나 관련 기관의 요청에 따라 이적ㆍ음란 사이트로의 접속을 통제할 수 있다.

조항
	제37조 (IP, 도메인의 신청 및 사용)

① IP 신청은 IP관리시스템을 통해 사용자 본인이 직접 신청하며, 도메인 신청은 별지 제5호 서식의 도메인 및 업무용 홈페이지 계정 신청서를 작성하여 정보처에 제출, 승인을 받은 후 사용한다.

② IP 및 Domain의 신청자격은 원칙적으로 교직원에 한한다. 다만, 학생회 또는 동아리 등 학생단체가 요청할 경우에는 관계 부서나 소속 대학을 통해서 신청할 수 있다.

③ 본 규정에서 Domain Name은 khu.ac.kr 도메인의 호스트명(서브도메인)을 의미한다.

제9장 PC 보안

조항
	제38조 (PC 등 단말기 보안관리)

① 단말기 사용자는 PC · 노트북 · 스마트기기 등 업무수행에 필요한 단말기(이하 "PC 등" 이라 한다) 사용과 관련한 일체의 보안관리 책임을 가진다.

② 정보보안담당관은 비인가자가 PC 등을 무단으로 조작하여 전산자료를 절취, 위 · 변조 및 훼손시키지 못하도록 다음 각 호의 보안대책을 단말기 사용자에게 지원하며, 사용자는 이를 준수하여야 한다.

1. 장비(CMOS 비밀번호) · 자료(중요문서자료 암호화 비밀번호) · 사용자(로그온 비밀번호)별 비밀번호를 9자리 이상으로 주기적으로 변경 사용

2. 10분 이상 PC 작업 중단 시 비밀번호가 적용된 화면보호 조치

3. PC용 최신백신 운용 · 점검, 침입차단 · 탐지시스템 등을 운용하고 운영체계(OS) 및 응용프로그램(한컴 오피스, MS Office, Acrobat 등)의 최신 보안패치 유지

4. 업무상 불필요한 응용프로그램 설치 금지 및 공유 폴더의 삭제

5. 그 밖에 교육부장관 또는 국가정보원장이 안전성을 확인하여 배포 승인한 프로그램의 운용 및 보안권고

③ 사용자는 PC 등 단말기를 교체 · 반납 · 폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 관리책임자와 협의하여 하드디스크에 수록된 자료가 유출, 훼손되지 않도록 보안조치 하여야 한다.

④ 사용자는 PC 등을 기관 외부로 반출하거나 내부로 반입할 경우에 관리책임자와 협의하여 최신 백신 등을 활용하여 해킹프로그램 및 웜바이러스 감염여부를 점검하여야 한다.

⑤ PC의 운용 및 관리에 있어 고의나 부주의 또는 실수에 의한 보안사고 발생 시 책임의 주체는 다음과 같다.

1. 개인 및 업무용 PC의 경우, 해당 PC 사용자

2. 실습실 등의 공용 PC의 경우, 실제 관리를 수행하는 PC 관리부서의 장

조항
	제39조 (필수 소프트웨어 설치)

① 본교의 정보통신망 자원을 이용하고자 할 경우에는 바이러스 백신 프로그램, 봇(Bot)탐지ㆍ차단시스템을 반드시 해당 PC에 설치하여야 한다.

② 본교의 정보자산을 침해하거나 우회할 수 있는 하드웨어나 소프트웨어를 임의로 설치할 수 없다.

조항
	제40조 (고유식별정보의 저장)

① PC 내 하드디스크 및 저장매체에 고유식별정보 저장 시에는 암호화하여야 한다.

② 공용으로 사용되는 PC에는 고유식별정보를 포함한 비밀정보를 저장해서는 안 된다.

조항
	제41조 (불법 소프트웨어 사용 제한)

조항
	제42조 (바이러스의 감염 시 조치)

사용자 PC가 바이러스ㆍ웜ㆍ봇(Bot) 등에 감염되어 정보통신망 운영에 피해가 발생하는 경우에는 즉각 해당 PC의 네트워크 접속을 단절 시킨 후 바이러스ㆍ웜ㆍ봇(Bot)의 치료가 확인되었을 때 네트워크의 접속을 허용한다.

조항
	제43조 (PC 저장장치의 반납ㆍ폐기)

PC에 부속된 하드디스크 등 저장장치의 반납ㆍ폐기 시에는 해당 PC 운영자가 완전 포맷 1회 이상으로 저장자료를 삭제하여야 한다.

제10장 침해사고 대응

조항
	제44조 (침해사고의 처리)

침해사고가 발생할 경우 정보보안담당자는 다음 각 호의 단계에 따라 적절한 조치를 취하여야 한다. 단, 개인정보 유출에 대한 사고일 경우에는 「경희대학교 개인정보 침해사고 대응지침」에 따른다.

1. 침입자의 침입예방을 위하여 침입 가능성이 있는 부분을 수시로 점검하여 불법침입자의 침입을 사전에 예방하여야함

2. 각 시스템 관리자는 자신의 시스템에 비정상적인 활동이나 징후가 보일 경우 무단 침입자의 유무를 즉각 점검하여야함

3. 침입자가 현재 시스템에 침투해 해킹을 하고 있을 경우 필요한 조치를 즉각 취한 후 보고하여야함

4. 침입자를 퇴치하였거나 로그파일의 분석을 통해 침입한 흔적이 발견된 경우 즉시 보고하고, 보안진단 도구나 체크리스트를 이용하여 정보자료의 이상 유무를 점검하여야함

조항
	제45조 (정보침해사고의 대응)

① 정보보안담당관은 교내 정보시스템의 비 인가된 접근, 정보시스템의 오남용 및 해킹사고 발생 시 「각 시스템 관리자 → 정보보안담당자 → 정보보안담당관 → 부총장 → 총장 → 교육부, 행정자치부 단계의 비상연락체계를 갖춘다.

② 정보보안담당관은 긴급한 정보침해사고가 발생하였을 때에는 모든 사용자에게 대응책을 신속하게 알릴 수 있는 체계를 마련하여야 한다.

③ 정보보안담당관은 불법행위나 이상 징후가 감지되었을 때에는 제1항에 따라 연락을 취하고, 법률적 대응을 할 경우 접속기록 등 적절한 증거자료를 수집ㆍ보관하여야 한다.

④ 정보보안담당관은 필요할 경우 관련 국가기관의 협조를 받아 진행할 수 있다.

조항
	제46조 (사이버 위기경보 수준별 대응절차)

① 정보보안담당관은 예기치 않은 해킹사고 또는 재해·재난사고 발생 시 신속한 대응으로 시설과 장비를 보호하고 피해를 최소화할 수 있도록 수준별 대응절차를 마련한다.

② 국가사이버안전관리규정에 따라 위기경보의 수준을 정상 → 관심 → 주의 → 경계 → 심각 단계로 구분하고 아래와 같은 대응조치를 수행한다.

1. 관심 (활동감시) : 위기상황 접수 및 보고·전파, 초동조치

2. 주의 (협조체계 가동) : 필요시 긴급대응반 소집·가동, 사이버공격 예상시스템에 대상 보안관리 강화, 공격지·경유지 IP 주소 차단

3. 경계 (대비계획 점검) : 사이버공격 유형별 공격차단대책 점검 및 적용, 피해가능성 높은 네트워크 단절 검토 및 비상복구체계 가동 준비

4. 심각 (즉각 대응태세 돌입) : 피해가능성 높은 네트워크 단절, 백업시스템 등 이용 비상 복구체계 가동, 기관내 PC 사용 최소화 및 오프라인 업무 권고

③ 위기경보 전파 단계는 국가정보원 → 교육부(교육사이버안전센터) → 경희대학교의 단계로 접수하며 정보보안담당자는 산하기관에 전파한다.

④ ‘주의' 이상 위기경보 발령 시 필요에 따라 정보보안담당관은 긴급대응반을 편성하여 운영할 수 있으며, 긴급대응반은 정보보안담당자 및 정보기획팀장, 각 시스템 관리자를 포함할 수 있다.

⑤ 긴급대응반의 개인별 임무는 아래와 같다.

1. 정보보안담당자 : 사고현황 파악 및 분석, 보안관제, 피해사고 조사, 사고원인분석

2. 정보기획팀장 : 종합상황 관리, 대외협력, 사후대책 수립

3. 각 시스템 관리자(서버, 네트워크, 데이터베이스 담당자 등) : 시스템 복구, 유출경로폐쇄, 시스템 통제, 소산, 사고처리

제11장 정보보안 진단

조항
	제47조 (사이버보안 진단의 날)

① 정보보안담당관은 매월 세 번째 수요일을 ‘사이버보안 진단의 날'로 지정하여 운영한다.

② 본교 사용자는 정보보안담당관이 지정한 정보보호 소프트웨어를 사용하여 사이버보안 진단을 수행하여야 하며 이상이 있을 시 그 결과를 정보보안담당관에게 통보하여야 한다.

③ 정보보안담당관은 사이버 보안진단을 수행하지 않은 사용자의 정보통신망 접속을 제한할 수 있다.

조항
	제48조 (보안취약점 점검)

정보보안담당자는 서버·네트워크 취약점 및 교내 주요 홈페이지의 웹 취약점에 대해 선택하여 연 1회 이상 점검을 실시하며 다음 각 호의 단계에 따른다.

취약점 점검계획서 작성

정보보안담당자는 방학 기간을 이용 취약점 점검을 실시하고, 결과보고서를 작성하여 정보보안담당관에게 보고

정보보안담당자는 취약점이 발견된 기관에게 결과를 통보

해당 부서에서는 취약점을 즉시 시정하고 그 결과를 정보보안담당자에게 통보

조항
	제49조 (보칙)

이 규정에 명시되지 않은 사항은 교육부 「정보보안 기본지침」 및 관계 법령에 따른다.