웹사이트 보안정책
배포 시간:2021.12.22 페이지뷰:5355
I. 정보 보안 정책의 도입
● 목표
교통통신신부 (The Ministry of Transportation and Communications, MOTC)는 “행정원 및 예하 기관의 정보 관리 규칙”, “행정원 및 예하 기관의 정보 보안 관리 가이드라인”, “개인정보 보호법”의 조항에 근거하며, MOTC의 정보 보안 관리를 강화하기 위한 운영상의 필요성을 고려하여 정보 신청 시스템으로 도입되었습니다.
● 범위
본 정책은 MOTC의 조직 할당, 연락 담당자, 이동 인원, 아웃소싱 업체, 그 외 MOTC에 링크된 온라인 운영과 관련된 모든 정보 자산 및 기관에 적용되며 서면, 전자, 기타 방법으로 공개되는 것으로 정보 수집, 처리, 이전, 보관, 유통에서의 보안을 보호하기 위해 모든 관련인들의 준수를 기대합니다.
● 정의
정보 보안의 본질은 다음 세 가지로 분류 가능합니다:
i. 기밀성: 정보 자산은 그 기밀성의 정도에 따라 등급이 분류되며, 그에 상응하는 기밀 정도에 따라 적절한 표준 및 보호의 대상이 됩니다.
ii. 온전성: 모든 정보 자산의 온전성은 조직에서 적절히 활용될 목적으로 보호됩니다.
가용성: 사용자의 수요를 충족시키기 위해 모든 정보 자산의 시의적이고 정확한 서비스를 보장합니다.
iii. 정보 보안 정책은 지정된 개인 또는 부서에서 관리되어야 하며, 정보 보안 정책의 적절성 및 유효성을 유지하기 위해 정보 보안 조직에서 필요한 평가 및 조정을 주기적으로 실행해야 합니다.
II. 정보 보안 정책의 목표
● 정보의 가용성 및 온전성을 보장하며 대중의 교통 시설을 이용할 권리 보호
● 정보 기밀성을 보장하며 온라인 기관 및 대중의 개인적 정보 보호
● 정보 정확성을 보장하며, 온라인 기관 및 대중이 이용하는 정보 시스템의 품질 보장
목표는 상기한 보안 정책 설명에 의거하여 설정되어, 정보 보안 관리의 지표로 활용합니다.
1. 정보 보안 운영의 전반적 관리를 담당하는 고정 기관
2. 가장 최신이며 정확한 정보 자산의 목록
3. 보안 수칙에 따른 활용 및 권한의 구분, 정보 보안 훈련의 적절한 제공, 보안 사고에 관한 보고 절차를 담당하는 인원에 대한 정보 제공
4. 보호 방책, 보안 장비, 유형 자산의 일반적 통제 원칙 등의 설립
5. 통신 및 정보 운영에 관한 보안 통제 방책
6. 정보 보관 및 복구에 관한 명확하고 적절한 통제 절차
7. 보안 고려 사항에 포함되는 소프트웨어 개발 및 관리
8. 조직적 기능의 지속적 운영
9. 정보 및 통신 보안 시스템의 감사 설립 및 MOTC 정보 보안을 보장하기 위한 정보 및 통신 보안에 대한 내부 감사 실행
10. MOTC로부터 아웃소싱된 운영에 의한 보안 준수의 보장, 관련 통제 장치의 설립, 아웃소싱 관리의 실행
11. 통신 및 정보 운영의 정책의 준수
III. 책임 및 의무
1. 정보 보안 조직은 본 정책이 현 시점의 수요를 충족할 수 있도록, 본 정책에 대한 명확한 개정안을 시의적으로 제공해야 한다.
2. MOTC의 고위 공직자들은 정보 보안 관리 활동에 적극적으로 임해야 하며, 정보 보안을 위한 노력과 헌신을 해야 하며, 필요 시 본 정책을 재검토해야 한다.
3. 담당 인원은 적절한 절차를 거쳐 본 정책의 요건을 실행해야 한다.
4. MOTC 관련 조직 내의 모든 인원, 연락 담당, 이동된 인원, 아웃소싱 서비스 업체, 그 외 온라인 상에서 MOTC와 협업 관계인 정보 자산과 관련된 모든 기관은 본 정책을 준수해야 한다.
5. 관련된 모든 MOTC 인원들은 정보 보안 사고 또는 취약점을 발견할 시, 적절한 보고 체계를 통해 반드시 보고해야 한다.
6. 본 정책을 준수하지 않거나, 어떤 형식으로든 MOTC 정보의 보안에 위협이 될 수 있는 행동을 하는 MOTC 임직원은 예외 없이 적합한 처벌 또는 법적 조치의 대상이 된다.
7. 관련된 모든 MOTC 담당 인원은 비밀 보호 동의서에 서약해야 하며, MOTC 재직 중에 획득한 모든 정보는 MOTC의 자산으로서 기타 승인되지 않은 목적으로 사용되는 것이 금지됨을 이해해야 한다.
IV. 정보 보안 정책의 검토 및 개정
1. 검토
본 정책은 지정된 담당자 또는 담당 부서에서 관리되며, 정보 보안 조직에서는 주기적으로 필수 검토 및 조정을 실시하여 정보 보안 정책의 적절성 및 유효성을 유지해야 한다.
2. 개정
본 정책은 1년에 한 번의 주기 또는 MOTC의 조직이나 기능, 환경의 변경에 따라 정보 보안 조직 주도로 개정되어야 하며, 개정 내용은 현 상황에 맞춰 승인을 얻은 이후 개정된 내용대로 실시되도록 한다.
● 목표
교통통신신부 (The Ministry of Transportation and Communications, MOTC)는 “행정원 및 예하 기관의 정보 관리 규칙”, “행정원 및 예하 기관의 정보 보안 관리 가이드라인”, “개인정보 보호법”의 조항에 근거하며, MOTC의 정보 보안 관리를 강화하기 위한 운영상의 필요성을 고려하여 정보 신청 시스템으로 도입되었습니다.
● 범위
본 정책은 MOTC의 조직 할당, 연락 담당자, 이동 인원, 아웃소싱 업체, 그 외 MOTC에 링크된 온라인 운영과 관련된 모든 정보 자산 및 기관에 적용되며 서면, 전자, 기타 방법으로 공개되는 것으로 정보 수집, 처리, 이전, 보관, 유통에서의 보안을 보호하기 위해 모든 관련인들의 준수를 기대합니다.
● 정의
정보 보안의 본질은 다음 세 가지로 분류 가능합니다:
i. 기밀성: 정보 자산은 그 기밀성의 정도에 따라 등급이 분류되며, 그에 상응하는 기밀 정도에 따라 적절한 표준 및 보호의 대상이 됩니다.
ii. 온전성: 모든 정보 자산의 온전성은 조직에서 적절히 활용될 목적으로 보호됩니다.
가용성: 사용자의 수요를 충족시키기 위해 모든 정보 자산의 시의적이고 정확한 서비스를 보장합니다.
iii. 정보 보안 정책은 지정된 개인 또는 부서에서 관리되어야 하며, 정보 보안 정책의 적절성 및 유효성을 유지하기 위해 정보 보안 조직에서 필요한 평가 및 조정을 주기적으로 실행해야 합니다.
II. 정보 보안 정책의 목표
● 정보의 가용성 및 온전성을 보장하며 대중의 교통 시설을 이용할 권리 보호
● 정보 기밀성을 보장하며 온라인 기관 및 대중의 개인적 정보 보호
● 정보 정확성을 보장하며, 온라인 기관 및 대중이 이용하는 정보 시스템의 품질 보장
목표는 상기한 보안 정책 설명에 의거하여 설정되어, 정보 보안 관리의 지표로 활용합니다.
1. 정보 보안 운영의 전반적 관리를 담당하는 고정 기관
2. 가장 최신이며 정확한 정보 자산의 목록
3. 보안 수칙에 따른 활용 및 권한의 구분, 정보 보안 훈련의 적절한 제공, 보안 사고에 관한 보고 절차를 담당하는 인원에 대한 정보 제공
4. 보호 방책, 보안 장비, 유형 자산의 일반적 통제 원칙 등의 설립
5. 통신 및 정보 운영에 관한 보안 통제 방책
6. 정보 보관 및 복구에 관한 명확하고 적절한 통제 절차
7. 보안 고려 사항에 포함되는 소프트웨어 개발 및 관리
8. 조직적 기능의 지속적 운영
9. 정보 및 통신 보안 시스템의 감사 설립 및 MOTC 정보 보안을 보장하기 위한 정보 및 통신 보안에 대한 내부 감사 실행
10. MOTC로부터 아웃소싱된 운영에 의한 보안 준수의 보장, 관련 통제 장치의 설립, 아웃소싱 관리의 실행
11. 통신 및 정보 운영의 정책의 준수
III. 책임 및 의무
1. 정보 보안 조직은 본 정책이 현 시점의 수요를 충족할 수 있도록, 본 정책에 대한 명확한 개정안을 시의적으로 제공해야 한다.
2. MOTC의 고위 공직자들은 정보 보안 관리 활동에 적극적으로 임해야 하며, 정보 보안을 위한 노력과 헌신을 해야 하며, 필요 시 본 정책을 재검토해야 한다.
3. 담당 인원은 적절한 절차를 거쳐 본 정책의 요건을 실행해야 한다.
4. MOTC 관련 조직 내의 모든 인원, 연락 담당, 이동된 인원, 아웃소싱 서비스 업체, 그 외 온라인 상에서 MOTC와 협업 관계인 정보 자산과 관련된 모든 기관은 본 정책을 준수해야 한다.
5. 관련된 모든 MOTC 인원들은 정보 보안 사고 또는 취약점을 발견할 시, 적절한 보고 체계를 통해 반드시 보고해야 한다.
6. 본 정책을 준수하지 않거나, 어떤 형식으로든 MOTC 정보의 보안에 위협이 될 수 있는 행동을 하는 MOTC 임직원은 예외 없이 적합한 처벌 또는 법적 조치의 대상이 된다.
7. 관련된 모든 MOTC 담당 인원은 비밀 보호 동의서에 서약해야 하며, MOTC 재직 중에 획득한 모든 정보는 MOTC의 자산으로서 기타 승인되지 않은 목적으로 사용되는 것이 금지됨을 이해해야 한다.
IV. 정보 보안 정책의 검토 및 개정
1. 검토
본 정책은 지정된 담당자 또는 담당 부서에서 관리되며, 정보 보안 조직에서는 주기적으로 필수 검토 및 조정을 실시하여 정보 보안 정책의 적절성 및 유효성을 유지해야 한다.
2. 개정
본 정책은 1년에 한 번의 주기 또는 MOTC의 조직이나 기능, 환경의 변경에 따라 정보 보안 조직 주도로 개정되어야 하며, 개정 내용은 현 상황에 맞춰 승인을 얻은 이후 개정된 내용대로 실시되도록 한다.