정보 보안관리 시스템 상세

 

◉ 문서 개정 이력 ◉

 

 

☞ 주관부서(팀) : 전 산 팀

개정 번호	개정 일자	개정 사유 및 주요 내용	결 재
			담 당	검 토		승 인
0	2017-05-25	․ 통합정보시스템 구축에 따른 전면개정
			05-20			05-25
1	2022-09-15	․ 내부회계관리 고도화에 따른 부분개정
			09-12			09-15
2
3
4
5

1. 적용범위

본 장은 한국유니온제약(주) IT자산 중 한국유니온제약(주) 내부 망에서 운영되는 정보보안관리 업무지침(DWI-정보-21) 및 보안 업무절차에 적용된다. 지침의 적용은 어플리케이션이 운영되는 서버와 사용되는 데이터(DB), 그리고 어플리케이션에 따라 구분된 지침을 각각 적용하며, 보안 등급에 따라 1등급(상), 2등급(중), 3등급(하)으로 구분된다.

 

2. 목적

본 지침은 전사의 모든 Application의 기밀성, 무결성, 가용성을 보장하기 위한 대응책을 제시하는 것으로서 정보보안관리 업무지침에 따라 Application에 대한 보안을 적용 및 운영하기 위한 세부적인 기준이다.

 

3. 용어 정의

직무 : 직원이 특정 업무를 수행할 때 책임과 역할에 따라 부여된 임무를 의미한다.

내부 사용자 : 한국유니온제약(주) 인력 이외에 한국유니온제약(주) 직원과 동등한 권한을 갖는 인력을 포함한다. 단, 한국유니온제약(주)의 업무와 직접적인 관계가 없는 인원의 경우는 제외한다.

협력 업체 직원 : 내부 사용자를 제외한 인원을 말하며, 컨설팅, 어플리케이션 개발, 유지보수(시스템, DB, 네트워크) 등의 외주 용역 인원이 포함된다.

일반인 : 인터넷을 통해 외부에서 접속할 수 있는 일반인을 말한다.

금융 정보 : 구매, 대금 결제 등의 금전적인 거래가 이루어지는 정보를 말한다.

경영 정보 : 계약서, 품의서, 인사 정보 등의 경영과 관련된 모든 정보를 말한다.

백업 : 잘못되거나 부주의한 조작으로 인하여 데이터가 손실될 것에 대비하여 미리 여벌의 복사본을 남겨 두는 행위를 말한다.

백업 매체 : 시스템에서 생성 및 운영되는 데이터를 백업하는데 사용되는 디스켓, CD, 테이프, 외장하드 등을 의미한다.

백업 장치 : 시스템에서 생성 및 운영되는 데이터를 백업 매체에 백업하는 과정을 자동화하여 효율적인 백업 수행을 지원하는 장치를 의미한다.

비상사태 : 예기치 못한 재해 또는 재난의 발생으로 인해, 정보시스템의 운영이 일 정시간 가동되지 못하여 업무 수행에 치명적인 영향을 초래하는 경우나 장애 상태

 

4.1.5 사용자 인사 사항 변동 시 서버에 반영하도록 해야한다.

1) 신규 서버 계정 생성은 전산팀장의 허락을 득한다.

2) 전산팀장은 전산팀내 인원의 추가 서버 권한 부여 요청의 적정성을 확인하고 이를 승인한다.

3) 부서이동자 서버 계정에 부여된 권한은 D+3일 내로 회수한다.

4) 퇴직발령자 서버 계정에 부여된 권한은 익일 내로 회수한다.

4.1.6 서버는 반드시 관리자 이외의 권한으로 실행하여야 한다.

4.1.7 외부인을 대상으로 하는 서버는 내부용 통신망과 분리된 별도의

통신망(DMZ)에서 운영 되어야 한다. 단, DMZ등의 운영이 곤란한 경우 서버 보안 도구 설치 등의 대책을 마련한 후 운영해야 한다.

4.1.8 서버 위치 및 사용 통신망의 변경은 반드시 전산팀장의 허가를 득한 후 변경 관리 절차에 따라 수행되어야 한다.

4.1.9 신규로 설치되는 서버는 전산팀장의 보안성 승인을 받고 통신망에 연결해야 한다.

4.1.10 서버의 중요 시스템 파일 또는 설정에 대한 무결성 보장은 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 서버의 중요 시스템 파일 또는 설정에 대해서 무결성을 보장하기 위해서는 무결성을 점검하는 상용 보안 도구를 적용해야 한다.

2) 2등급 : 서버의 중요 시스템 파일 또는 설정에 대해서 무결성을 보장하기 위해서는 log파일 및 중요 파일에 대한 검사를 주기적(매월 최소 1회 이상)으로 해야 하며 무결성을 점검하는 공개용 보안 도구 (또는 상용 보안 도구)를 적용해야 한다.

3) 3등급 : 서버의 중요 시스템 파일 또는 설정에 대해서 무결성을 보장하기 위하여 서버관리자는 log파일 및 중요 파일에 대한 점검을 주기적 (매월 최소 1회 이상)으로 해야 한다.

4.1.11 서버의 접근 제어를 위해 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 정당하지 않은 사용자의 접근을 제한하기 위하여 상용 보안 도구를 사용하여 접근제어를 반드시 실시해야 한다.

2) 2등급 : 정당하지 않은 사용자의 접근을 제한하기 위하여 접근 허용 IP, 허용 서비스(telnet, ftp 등), console 로그인 등의 서버 설정 및 관리를 잘해야 되며, 접근 제어를 하는 공개용 보안 도구(또는 상용 보안 도구)를 적용해야 한다.

3) 3등급 : 정당하지 않은 사용자의 접근을 제한하기 위하여 접근 허용 IP, 허용서비스(telnet, ftp 등), console 로그인 등의 서버 설정 및 관리를 잘해야 한다.

4.1.12 서버의 인증 정보 관리를 위해서는 보안 등급에 따라 다음 지침을 따른다.

1) 1,2등급 : 사용자 계정 및 패스워드 등의 인증 정보는 반드시 서버에서

제공하는 암호화 모듈에 의해서 암호화 되어야 한다.

2) 3등급 : 사용자 계정 및 패스워드 등의 인증 정보는 타인에게 노출되지 않도록 사용 권한을 잘 관리해야 한다.

4.1.13 서버의 시스템(OS) 백업은 변경 사항이 발생할 시 반드시 하며, 최종 변경 이전의 백업과 변경 후의 백업을 동시에 보관/관리해야 한다.

4.1.14 서버의 감사를 위해서는 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 시스템 운영 담당자는 1주에 한 번씩 주기적으로 로그인 정보에 대해 점검해야 하며 이상 발견 시 즉시 팀장에 보고하여 필요한 조치를 받아야 한다.

2) 2,3등급 : 시스템 관리자는 1달에 한 번씩 주기적으로 로그인 정보에 대해 점검해야 하며 이상 발견 시 즉시 팀장에 보고하여 필요한 조치를 받아야 한다.

4.1.15 로그 관리를 위해서는 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 모든 로그인 정보는 매주 백업을 받아야 하며 최소 1년은 보관 관리하여야 한다.

2) 2등급 : 모든 로그인 정보는 매월 백업을 받아야 하며 최소 6개월은 보관 관리하여야 한다.

3) 3등급 : 모든 로그인 정보는 3개월마다 백업을 받아야 하며 최소 3개월은 보관 관리하여야 한다.

4.1.16 서버실 출입 기록은 매월 전산팀 담당자가 검토하고 전산팀 팀장의 검토 및 승인을 득한다.

4.1.17 전산팀 담당자는 DB서버 하드웨어 유지보수업체(KKDC)로부터 매월 전달 받는 정기점검보고서를 검토하고 장애 발생 여부 및 검토 사항에 대해 전산팀 팀장의 승인을 득한다. 또한, 전산실 APP서버 하드웨어 기기를 매일 점검하고 그 결과를 매월 취합하여 전결권자의 승인을 득한다.

4.1.18 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.2 네트워크 관리

4.2.1 네트워크 장비는 4.1 서버의 4.1.1번과 동일한 기준으로 설치 운영되어야 한다.

4.2.2 네트워크는 임직원용 어플리케이션 서버가 위치하는 내부 망과 대 고객 서비스용 어플리케이션 서버가 위치하는 DMZ으로 분리 운영되어야 한다. 단, 예외 사항이 발생 시 협의 후 조정한다.

4.2.3 기업 내부 망과 외부 망과의 접점에는 침입 차단 시스템(방화벽)을 설치 운영하여 침입 차단 시스템 안쪽에서 서버가 운영됨을 기본으로 하며, 중요

네트워크의 경우 방화벽이 운영되지 않더라도 침입 탐지 시스템(IDS)을 장치 운영해야 한다.

4.2.4 내부 망은 허가 받지 않은 외부 망으로부터 접속 될 수 없어야 한다.

4.2.5 통신 장비의 증설, 이전, 교체 등은 팀장의 허가를 득한 후 변경 관리 절차에 따라 수행되어야 한다.

4.2.6 네트워크 장비 접속은 Console 접속만을 허용하고, 원격 접속이 필요할 때는 강력한 가용자 인증 과정을 거치도록 해야 한다.

4.2.7 업무용 어플리케이션을 인터넷을 통해 접속할 시에는 VPN등의 보안 기능이 있는 장비를 통해서만 접속해야 한다.

4.2.8 정보 자산을 외부로 발신할 수 있는 어플리케이션(메신저, P2P 어플리케이션 등), 장비(모뎀 등)는 승인된 사용자에 한해서만 사용되어야 한다.

4.2.9 정보 자산의 외부 발신은 네트워크 보안 제품을 사용하여 감시, 통제해야 하며, 이러한 사실을 모든 사용자들에게 주지시켜야 한다. (IDS, 방화벽에서 감시, 통제함)

4.2.10 VPN의 운영/관리는 “네트워크 운영 지침서”에 따른다.

4.2.11 외부 기관과의 네트워크 연동 시에는 보안 대책을 수립하고, 팀장으로부터 승인을 받아야 하며, 팀장은 관련 보안 정책에 따라 접속 방법, 제공되는 서비스, 상대 기관의 보안 관리 수준과 예상되는 취약점에 대한 분석, 대책의 적합성 등을 평가하고 주기적(1년에 한번 이상)으로 점검 관리해야 한다.

4.2.12 네트워크 관리자는 대외 연계에 관련 된 시스템 및 접속 관련 로그를 주기적(월1회)으로 백업하며 3개월 동안 보관/관리해야 한다.

4.2.13 사용자 인사 사항 변동 시 네트워크의 접속과 관련된 ID등을 대상으로 변경 반영하도록 해야 한다

1) 전산팀장은 전산팀내 인원의 추가 네트워크 접속 ID 생성 및 권한 부여 요청의 적정성을 확인하고 이를 승인한다.

2) 부서이동자 계정에 부여된 권한은 D+3일 내로 회수한다.

3) 퇴직발령자 계정에 부여된 권한은 익일 내로 회수한다.

4.2.14 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

 

4.3 데이터 관리

4.3.1.1 데이터 관리자 지정은 보안 등급에 따라 다음 지침을 따른다.

1) 1,2 등급 : 데이터에 대해서는 반드시 정/부 관리자를 지정해야 한다.

2) 3등급 : 데이터에 대해서는 반드시 관리자를 두어야 한다.

4.3.1.2 DB 계정 및 권한 필요 시, 요청자는 서버 사용자 권한 신청서(대상 서버, 계정, 권한)를 작성하여 요청하고, 전결권자의 검토 및 승인을 득한다.

4.3.1.3 APP, DB 계정 및 권한 적정성은 연 1회 모니터링 후 문서화되며, 전결권자의 검토 및 승인을 득한다.

4.3.2 데이터의 백업 관리를 위해서는 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 데이터는 매일 별도의 저장 매체(외장하드, 다른PC 등)에 백업을 해야 하며, 1주일 치 이상의 데이터는 물리적으로 분산된 안전한 별도의 장소에 보관 관리되어야 한다.

2) 2등급 : 데이터는 매주 별도의 저장 매체(외장하드, 다른PC 등)에 백업을 해야 하며 1달치 이상의 데이터는 물리적으로 분산된 안전한 별도의 장소에 보관 관리되어야 한다.

3) 3등급 : 데이터는 매월 별도의 저장 매체(외장하드, 다른PC 등)에 백업을 해야 하며, 3달치 이상의 데이터는 안전한 장소에 보관/관리 되어야 한다.

4.3.3 위,변조를 방지하기 위하여 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 데이터 관리자는 1주에 한 번씩 주기적으로 데이터 구조, 내용과 백업 데이터를 비교 점검해야 하며 로그인 정보에 대해서도 점검을 해야 한다. 또한 이상 발견 시 즉시 팀장에 보고하여 필요한 조치를 받아야 한다.

2) 2,3등급 : 데이터 관리자는 1달에 한번씩 주기적으로 데이터 구조, 내용과 백업 데이터를 비교 점검해야 하며 로그인 정보에 대해서도 점검을 해야 한다. 또한 이상 발견 시 즉시 팀장에 보고하여 필요한 조치를 받아야 한다.

4.3.4 데이터의 중요도에 따른 관리/운영을 위해서는 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 회사의 기밀에 해당하는 중요 데이터에 대해서는 일반 데이터와 물리적으로 구분된 장소(별도의 DB/File 서버)에 보관/운영되어야 한다.

2) 2,3등급 : 중요 데이터에 대해서는 일반 데이터와 구별하여 서로 다른 디렉토리에 보관하는 것과 같이 논리적으로 명확히 구분되어 보관/운영 되어야 한다.

4.3.5 데이터에 대한 접근 계정 및 패스워드 관리는 [별첨1]의 패스워드 관리 기준에 따른다.

4.3.6 데이터에 대한 사용자/사용자 그룹별 접근 권한을 명확히 설정하여 운영해야 하며, 사용자 인사 사항 변동 시 반영해야 한다.

1) 현업팀 전결권자는 부서내 인원의 추가 권한 부여 요청의 적정성을 확인하고 이를 승인하면, 전산팀 담당자가 반영한다.

2) 부서이동자 계정에 부여된 권한은 D+3일 내로 회수한다.

3) 퇴직발령자 계정에 부여된 권한은 익일 내로 회수한다.

4.3.7 데이터는 물리적/논리적으로 복구될 수 있도록 복구 절차 확립 및 절차의 정확한 평가가 유지되어야 한다.

4.3.8 데이터베이스 운영 담당자는 데이터베이스 관리 시스템 관련 보안 프로그램

의 기능이 정상인지 항시 점검 확인해야 한다.

4.3.9 자료의 폐기는 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 데이터베이스 운영 담당자는 중요 데이터의 폐기는 반드시 팀장의 승인을 얻어야 하며, 차후 감사를 위해 1년 동안 자료 폐기 기록을 유지 보관해야 한다.

2) 2등급 : 데이터베이스 운영 담당자는 중요 데이터의 폐기는 반드시 팀장의 승인을 얻어야 하며, 차후 감사를 위해 6개월 동안 자료 폐기 기록을 유지 보관해야 한다.

3) 3등급 : 데이터베이스 운영 담당자는 중요 데이터의 폐기는 반드시 팀장의 승인을 얻어야 하며, 차후 감사를 위해 3개월 동안 자료 폐기 기록을 유지 보관해야 한다.

4.3.10 중요 데이터에 대해서는 암호화 기법을 사용하여 저장해야 한다.

4.3.11 고객 정보는 다음 세부 지침에 따른다.

1) 고객 정보는 반드시 암호화 되어 저장되어야 한다.

2) 고객 정보는 허가 되지 않은 사용자의 접근 제한할 수 있도록 서버 보안 도구를 설치 운영해야 한다.

3) 고객 정보는 다른 정보와 논리적 또는 물리적으로 구별되어 저장/관리 되어야 한다.

4.3.12 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4 어플리케이션

4.4.1 환경

4.4.1.1 대고객 웹 시스템은 내부 망이 아닌 별도의 서비스 공간(DMZ)에서 운영되어야 한다. 단, DMZ등의 운영이 곤란한 경우 서버 보안 도구 설치 등의 대책을 마련한 후 운영해야 한다.

4.4.1.2 웹 어플리케이션을 통한 프로그램(ActiveX control, java applet 등) 배포 시에는 바이러스 검사 등을 통해 안전하게 배포해야 한다.

4.4.1.3 프로그램에는 사용자 인증이나 서버의 정보, 암호 키 등과 같은 정보가 포함되어 있어서는 안 된다.

4.4.1.4 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4.2 사용자 인증

4.4.2.1 웹 어플리케이션은 사용자 인증이 필요한 경우 인증 과정을 거치도록 하여야 하며 사용자가 인증이 필요한 페이지를 직접 접근할 시에도 인증 과정을 거치도록 해야 한다.

4.4.2.2 인증 수단은 보안 등급에 따라 다음 지침을 따른다.

1) 1,2 등급 : 필요 시 스마트카드, 생체인식, OTP 등의 인증 수단을 적용해야 하며, 반드시 [별첨1] 패스워드 관리 기준에 명시된 사항을 준수하여 패스워드 인증을 해야 한다.

2) 3등급 : [별첨1]패스워드 관리 기준에 명시된 사항을 준수하여 패스워드 인증을 해야 한다.

4.4.2.3 인증을 수행하는 기능이 ActiveX, control, Java applet, Cookie 등을 사용하여 수행되어서는 안 되며 만일 사용할 경우에는 암호화 및 무결성 체크를 통해 사용자 인증 정보가 노출되지 않도록 해야 한다.

4.4.2.4 사용자의 패스워드는 암호화 하여 보관 하고 시스템 관리자가 평문 상태의 패스워드를 볼 수 없도록 해야 한다.

4.4.2.5 사용자 계정으로 로그인 하였을 경우, 최종 로그인한 일시와 IP Address를 나타내도록 한다.

4.4.2.6 사용자가 로그인 후 일정 시간 사용하지 않을 때 자동으로 로그아웃 시키도록 해야 한다.

4.4.2.7 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4.3 접근 제어

4.4.3.1 필요 시 사용자 별로 적절한 권한을 주어서 권한이 없는 사용자에게 불필요한 정보를 보여주어서는 안 된다.

1) 신규 계정생성은 총무팀에서 입사 등록시 반영된다.

2) 현업팀 전결권자는 부서내 인원의 추가 권한 부여 요청의 적정성을 확인하고 이를 승인하면, 전산팀 담당자가 반영한다.

4.4.3.2 어플리케이션 담당자는 사용자 및 사용자 그룹에 주어진 접근 권한이 적절한가를 주기적으로 확인, 관리해야 한다.

4.4.3.3 슈퍼유저 권한은 시스템 유지 보수 및 사용자 권한 관리를 위해 사용하며, 슈퍼유저 권한은 업무분장표에서 정의된 전산팀 소속의 시스템 관리자만 접근 가능하다.

4.4.3.4 전산팀 팀장은 매분기 모니터링 담당자가 작성한 슈퍼유저 권한 모니터링 문서의 적정성을 검토하고 이를 승인한다.

4.4.3.5 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4.4 기밀성 및 무결성

4.4.4.1 중요 정보의 전송은 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 중요 정보는 타인이 열람 또는 위,변조할 수 없도록 전자 서명 기법, 암호화 등의 PKI방법을 사용하여 전송되어야 한다.

2) 2등급 : 중요 정보는 타인이 열람 또는 위,변조할 수 없도록 웹 브라우저와 웹 서버간의 세션을 암호화 할 수 있는 보안 기능(SSL 등)을 사용해야 한다.

3) 3등급 : 중요 정보는 타인이 열람 또는 위,변조할 수 없도록 Bit Shift(데이터는 뒤섞어 놓는 방법)등을 사용하여 전송되어야 한다.

4.4.4.2 암호 제품 사용시에는 공신력 있는 회사인지, 마스터 키의 존재 여부및 백도어의 존재 가능성 등이 충분히 검토되어야 한다.

4.4.4.3 암호 알고리즘 적용 시 검증된 알고리즘을 사용해야 하며, 암호의 강도를 위해 적절한 키 크기를 가져야 한다. 또한 신뢰성 보장을 위한 키의 백업 및 안정성 보장을 위한 다양한 기능이 제공되어야 한다.

4.4.4.4 암호키는 안전하게 저장되어야 하며, 키의 사용 전 적법한 사용자 여부를 확인하는 절차를 거치도록 설계되어야 한다.

4.4.4.5 암호화된 중요 정보에 대해서는 접근 등급을 두어 접근을 최소화하며 암호화 정보 열람 등을 수행 시 반드시 관리 책임자의 허락 후 열람 조치한다.

4.4.4.6 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4.5 로그인 및 감사

4.4.5.1 로그인/로그아웃, 프로그램 사용, 정보 입력, 변경, 삭제 등의 모든 정보에 대해서 로그인 되어야 한다.

4.4.5.2 상용 소프트웨어를 사용할 경우 소프트웨어가 지원하는 모든 로그인 기능을 사용해야한다.

4.4.5.3 응용 프로그램이 운영되는 서버와 웹 서버에 대한 로그인 기능도 운영하여야 한다.

4.4.5.4 로그인 보안 점검은 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 어플리케이션 담당자는 1주에 한 번씩 주기적으로 로그인 정보에 대해 점검해야 하며 이상 발견 시 즉시 팀장에 보고하여 필요한 조치를 받아야 한다.

2) 2등급 : 어플리케이션 담당자는 1달에 한 번씩 주기적으로 로그인 정보에 대해 점검해야 하며 이상 발견 시 즉시 팀장에 보고하여 필요한 조치를 받아야 한다.

3) 3등급 : 어플리케이션 담당자는 3달에 한 번씩 주기적으로 로그인 정보에 대해 점검해야 하며 이상 발견 시 즉시 팀장에

보고하여 필요한 조치를 받아야 한다.

4.4.5.5 로그인 정보의 관리는 보안 등급에 따라 다음 지침을 따른다.

1) 1등급 : 로그인 정보는 매주 백업 받아야 하며 최소 1년은 보관 관리해야 한다.

2) 2등급 : 로그인 정보는 매주 백업 받아야 하며 최소 6개월은 보관 관리해야 한다.

3) 3등급 : 로그인 정보는 매주 백업 받아야 하며 최소 3개월은 보관 관리해야 한다.

4.4.5.5 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4.6 개발 및 변경 관리

4.4.6.1 어플리케이션 개발 및 운영에 필요한 제품 구매 시 보안을 고려하도록 하며, 검증된 제품을 사용해야 한다.

4.4.6.2 어플리케이션은 서비스 개시 전에 팀장으로부터 보안성 검토를 받는다.

4.4.6.3 응용 프로그램 개발 시 모든 개발자들에게 보안 정책을 주지시키고, 보안 정책을 만족하도록 설계해야 한다.

4.4.6.4 테스트 시스템도 운영 시스템과 같은 접근 통제가 이루어져야 하며, 테스트를 위한 데이터의 복사 등도 승인을 득한 후 이루어져야 한다.

4.4.6.5 테스트 시스템(183.100.193.15)과 운영 시스템(183.100.193.10)은 물리적으로 분리 되어있으며, 반드시 테스트 시스템에서 테스트를 해야한다.

4.4.6.6 응용 프로그램 개발 시 사용자의 정보가 손실 되거나 임의로 수정되고 오용을 방지하기 위한 검증 절차가 마련되어야 한다.

4.4.6.7 사용자 인증 없이 데이터의 처리가 가능한 시스템 명령어를 사용하여 응용 프로그램을 개발하여서는 안 된다.

4.4.6.8 인증을 수행하는 기능은 별도의 서브프로그램(모듈)화 해서 다른 부분과 독립적으로 구성하여 보안성을 강화하고 차후 인증 수단을 변경할 경우 작업이 용이하도록 설계해야 한다.

4.4.6.9 개발자에 의해 디버깅 또는 테스트용 ID나 프로그램 그리고 Default 계정 등은 어플리케이션 open 되기 전에 남아 잇지 않도록 해야 하고, 임시 ID는 반드시 유효 기간을 지정해야 한다.

4.4.6.10 배포되는 프로그램은 바이러스/백도어/트로이목마 등에 대한 검사가 이루어져야 한다.

4.4.6.11 제3자가 개발한 어플리케이션의 배포 시 팀장의 승인을 받은 후 사용하여야 한다.

4.4.6.12 배포된 프로그램은 사용자에 의해서 임의로 변경되어서는 안 된다.

4.4.6.13 본 지침에 포함되지 않은 사항은 팀장과 합의하여 결정한다.

4.4.7 화면 및 출력물 관리

4.4.7.1 응용 시스템화면은 중요도에 따라 비밀 등급을 부여하여 관리하여야 한다.

4.4.7.2 비밀 등급이 기밀, 대외비에 해당하는 화면은 화면상에 비밀 등급

 

(기밀, 대외비)과 사용자를 표시하여야 한다.

4.4.7.3 비밀 등급은 응용 시스템 관리자만이 소유권자의 요청에 의해 수정할 수 있으며, 화면상에서 직접 수정할 수 없어야 한다.

4.4.7.4 접근하는 데이터의 비밀 등급에 따라 해당 응용 프로그램의 비밀 등급을 설정하고, 개발 계획, 관련 결과 보고서 등 각종 첨부물은 해당 등급의 보안 규정에 의거 관리한다.

4.4.7.5 비밀 등급이 기밀, 대외비에 해당하는 문서는 출력 시 비밀 관련 표식 [비밀 등급, 발행 의뢰자(사용자), 발행일자, 보존년한 등]이 출력되어야 하며, 보안 경고문을 표시하는 것이 좋다.

4.4.7.6 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

4.4.8 바이러스 관리

4.4.8.1 워드프로세스, 오피스 프로그램 등 PC용 파일이 전송되거나 저장되는 클라이언트와 서버에는 바이러스 백신 프로그램을 설치해야 한다.

4.4.8.2 PC 파일을 첨부 문서로 받아 다운로드 하거나 실행 시에는 반드시 바이러스 감염 여부를 확인해야 한다.

4.4.8.3 서버에 유입되는 모든 PC용 파일들은 바이러스 백신 프로그램으로 검사 되어야 한다.

4.4.8.4 바이러스 방역 프로그램은 항상 최신의 바이러스 패턴으로 업데이트 한다.

4.4.8.5 PC부팅 시 항상 부트 영역에 대한 바이러스 검사가 이루어지도록 한다.

4.4.8.6 안티바이러스 프로그램이 제공하는 실시간 감시 기능 및 스케줄러 기능을 설정하여야 한다.

4.4.8.7 새로운 프로그램은 실행 전 반드시 바이러스 감염 여부를 검사한 후 사용한다.

4.4.8.8 취약점 개선 Patch 프로그램이나 상용 S/W를 PC통신이나 인터넷을 통하여 받을 때는 신뢰할 수 있는 사이트나 S/W 제작회사 홈페이지로부터 받도록 한다.

4.4.8.9 바이러스 감염 여부가 검증되지 않은 프로그램이나 S/W를 메일로 타인에게 전송하거나 게시할 수 없다.

4.4.8.10 신규 바이러스 발생 대처 및 확산 방지를 위해 담당자를 선정하고 바이러스 방역 관리 조직을 운영해야 한다.

4.4.8.11 본 지침에 포함되지 않은 사항은 팀장과 협의하여 결정한다.

 

[별첨1] APP 패스워드 관리 기준

패스워드 관리 기준은 기본 지침과 사용자에 따른 추가 지침을 혼합하여 적용한다.

 

[기본 지침]

1) 패스워드는 문자 또는 숫자만으로 구성하지 않고 영문(대문자), 영문(소문자),

숫자를 각 1개 이상 포함하여, 8자리 이상의 패스워드를 사용해야 한다.

2) 사용자의 생년월일, 전화번호, 이름 등과 동일하게 사용하지 않아야 한다.

3) 패스워드에 사번이 포함되지 않도록 해야 한다.

4) 기억하기 쉽게 작성하여 별도의 기록이 필요치 않도록 한다.

5) 6달마다 패스워드 변경 주기를 설정하여 사용자가 패스워드를 변경해야 한다.

6) 패스워드 변경 시 직전에 사용한 패스워드는 사용을 금한다.

7) 패스워드 최대 입력 오류 허용 횟수는 5회로 제한한다.

 

[사용자에 따른 추가 지침]

1) 내부 사용자

1.1) 초기 패스워드는 시스템/어플리케이션 운영 담당자가 생성한 후 사용자가 최 초 로그인 시 변경하여 사용하도록 해야 한다.

1.2) 패스워드를 별도의 장소에 기록 보관하지 못하도록 해야 한다.

1.3) 한번 부여된 ID는 다른 사람에 의해 일정 기간(최소1년)이내에 재사용이 금지 되도록 해야 한다.

 

2) 협력 업체

2.1) 시스템/어플리케이션 운영 담당자가 생성하거나 협력업체가 최초 생성한 ID는 임의로 변경해서는 안 되며, 변경이 필요할 경우에는 반드시 관리자에게 변경 요청을 하여 관리되어야 한다.

2.2) 협력 업체의 사용자 계정은 사용 기간, 권한 등을 명확히 명시하여 관리되어 야 한다.

2.3) 협력 업체의 사용자 계정을 발급하기 전에는 해당 부서장의 승인을 득한 후 발급해야 하며, 반드시 “보안준수약정서”등의 승인 절차를 받도록 해야 한다.

 

3) 일반

3.1) 업무용 어플리케이션에 대해서는 일반인이 사용할 수 없으나, 필요시에는 임 시 계정을 만들어 사용한 후 업무 종료 시 즉시 삭제해야 한다.

3.2) 일반인의 계정 및 패스워드는 사용자가 만들도록 해야 한다.

3.3) 패스워드 분실 시에는 패스워드를 확인할 수 있는 방법 또는 임시 패스워드를 재발급하여 새로운 패스워드를 작성하도록 해야 한다.

 

[별첨2] DB 패스워드 관리 기준

패스워드 관리 기준은 기본 지침과 사용자에 따른 추가 지침을 혼합하여 적용한다.

 

[기본 지침]

1) 패스워드는 문자 또는 숫자만으로 구성하지 않고 영문(대소문자), 숫자, 특수문자를 각 1개 이상 포함하여, 8자리 이상의 패스워드를 사용해야 한다.

2) 6달마다 패스워드 변경 주기를 설정하여 사용자가 패스워드를 변경해야한다.

3) 패스워드 변경 시 직전에 사용한 패스워드는 사용을 금한다.

4) 패스워드 최대 입력 오류 허용 횟수는 5회로 제한한다.

 

[사용자에 따른 추가 지침]

1) 전산팀

1.1) 패스워드는 전산팀장이 관리한다.

1.2) 패스워드는 암호화된 파일에 별도로 기록해서 보관한다.

 

2) 협력업체

1.1) 협력업체에게는 원칙적으로 패스워드를 알려주지 않는다.

1.2) 유지보수 및 개발을 위해 DB에 접근시 전산팀 입회하에 진행 하도록한다.

 

[별첨3] DB접근제어(DBSAFER), 형상관리(DEVEYE) 패스워드 관리 기준

패스워드 관리 기준은 기본 지침과 사용자에 따른 추가 지침을 혼합하여 적용한다

 

[기본 지침]

1) 패스워드는 문자 또는 숫자만으로 구성하지 않고 영문(대소문자), 숫자, 특수문자를 각 1개 이상 포함하여, 8자리 이상의 패스워드를 사용해야 한다.

2) 6달마다 패스워드 변경 주기를 설정하여 사용자가 패스워드를 변경해야 한다.

3) 패스워드 변경 시 직전에 사용한 패스워드는 사용을 금한다.

4) 패스워드 최대 입력 오류 허용 횟수는 5회로 제한한다.

 

[사용자에 따른 추가 지침]

1) 전산팀

1.1) 초기 패스워드는 DBSAFER, DEVEYE 담당자가 생성한 후 사용자가 최초 로그 인 시 변경하여 사용하도록 해야 한다.

1.2) 패스워드를 별도의 장소에 기록 보관하지 못하도록 해야 한다.

 

2) 협력업체

2.1) DBSAFER, DEVEYE 담당자가 생성하거나 협력업체가 최초 생성한 ID는 임의로 변경해서는 안 되며, 변경이 필요할 경우에는 반드시 관리자에게 변경 요청을 하여 관리되어야 한다.

2.2) 협력 업체의 사용자 계정은 사용 기간, 권한 등을 명확히 명시하여 관리되어 야 한다.

2.3) 협력 업체의 사용자 계정을 발급하기 전에는 해당 부서장의 승인을 득한 후 발급해야 하며, 반드시 “보안준수약정서”등의 승인 절차를 받도록 해야 한다.