본문 바로가기

정보보호위원회

ICT전략과 소개정보보호위원회
정보보호위원회
정보보호위원회
원광대학교 정보전산원2014-09-15

정보보호조직 지침

제정 2018. 03. 02.

개정 2019. 08. 28.

 

제 1 장 총칙

제1조 (목적)

본 지침은 원광대학교(이하 ‘본교’라 한다)의 정보의 오남용, 훼손, 변조, 유출 등의 정보보호 위협으로부터 서비스 및 중요 정보자산을 보호하기 위한 정보보호 업무를 체계적으로 운영 및 관리할 수 있도록 하는데 그 목적이 있다.

 

제2조 (적용 범위)

본교의 서비스 제공 및 업무 수행을 위한 정보시스템, 인력, 정보 및 활동을 보호하기 위한 모든 업무를 본 지침의 정보보호 대상으로 하고, 정보보호 조직의 구성에 필요한 직무의 식별, 구성 및 역할을 포함한다.

 

제3조 (정보보호 조직)

본교의 정보보호 조직은 정보보호위원회, 정보보호실무협의회, 정보보호최고책임자, 정보보호 관리자로 구성되며 역할 및 책임 사항을 명시하여 체계적인 업무 활동을 할 수 있도록 한다.

 

 

제 2 장 책임 및 권한

 

제4조 (정보보호실무협의회의 구성)

정보보호 업무의 기획, 실행, 평가 및 개선에 관한 실무적인 사항을 심의 조정하기 위하여 정보보호실무협의회를 다음 각 호와 같이 구성한다.

의장: 정보보호관리자

위원: PC보안담당자, DB담당자, 서버담당자, 네트워크담당자, 정보보호시스템담당자, 업무개발담당자, 업무운영담당자, 총무인사담당자, 학적담당자, 교원인사담당자

간사: 정보보호담당자

 

제5조 (정보보호실무협의회의 임무)

정보보호실무협의회에서는 정보보호위원회의 의사 결정을 지원하기 위하여 다음 각 호와 같은 구체적인 사항을 협의한다.

정보보호위원회로부터 위임되거나 위원장으로부터 지시 받은 사항

정보보호위원회에 상정되는 안건의 사전검토 및 기술에 관한 사항

정보보호 정책 및 지침의 제정, 개정을 위한 실무 검토

기획 안에 따른 정보보호 실행 계획 수립 및 이행에 대한 검토

보안사고 대응 및 재발 방지 대책 수립

기타 위원장이 필요하다고 판단된 안건

 

제6조 (정보보호실무협의회의 운영)

① 정보보호실무협의회는 중대한 사항 발생 시 간사가 참석인원을 선발하여 소집한다.

② 간사는 정보보호실무협의회를 소집할 경우 안건, 장소, 일정, 참석대상을 사전 공지한다.

③ 위원회의 의결은 긴급을 요하거나 기타 위원장이 필요하다고 인정한 경우에는 서면이나 전자결재에 의한 결의로써 갈음할 수 있다.

④ 위원장이 부득이한 사유로 인하여 직무를 수행할 수 없는 경우 간사가 그 직무를 수행할 수 있다.

⑤ 정보보호실무협의회는 선발위원 과반수이상의 출석으로 개최한다.

⑥ 위원회의 의장은 출석인원의 의견을 수렴하여 안건을 사전 검토하고 기술에 관한 사항을 반영하여 정보보호위원회에 상정한다.

⑦ 정보보호실무협의회에 관여한 자는 정보보호실무협의회에서 심의된 사항 중 비밀에 속하는 사항을 누설하거나 공개되지 않도록 비밀을 유지해야 한다.

 

제7조 (정보보호최고책임자)

① 정보보호최고책임자는 기획처장으로 하고, 정보보호 업무와 조직의 지휘를 총괄하여 담당한다.

② 정보보호최고책임자의 정보보호 업무에 대한 역할 및 책임은 다음과 같다.

  1. 정보보호관리체계의 수립 및 관리·운영
  2. 정보보호 취약점 분석·평가 및 개선
  3. 침해사고의 예방 및 대응
  4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등
  5. 정보보호 사전 보안성 검토
  6. 중요 정보의 암호화 및 보안서버 적합성 검토
  7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

③ 정보보호최고책임자는 정보보호 관련 지침을 승인한다.

 

제8조 (정보보호관리자)

① 정보보호최고책임자로부터 선임 받은 정보보호 관리자는 정보보호최고책임자를 보좌하여 정보보호 실무 업무를 담당한다.

② 정보보호 관리자의 업무에 대한 역할 및 책임은 아래와 같다.

  1. 정보보호최고책임자로 부터 위임받은 업무
  2. 정보보호관련 각종 계획(보안교육, 내부감사, 보안 예산 등) 수립
  3. 정보시스템 도입 시 보안성 검토
  4. 기타 정보보호 관련 실무 업무

 

제9조 (정보보호담당자)

① PC보안, DB, 서버, 네트워크, 정보보호시스템, 업무개발, 업무운영, 총무인사 등에 관련된 실무를 담당하는 인력으로 정보보호관리자의 지시에 따라 보안관리 업무를 지원한다.

② 정보보호담당자의 업무에 대한 역할 및 책임은 아래와 같다.

  1. 정보보호시스템의 운용 및 유지 관리
  2. PC, 인프라, 응용프로그램, 데이터베이스의 보안 관리
  3. 정보보호 점검 및 감사 수행
  4. 보안 모니터링
  5. 침해 사고 등 비상 상황 시 대응
  6. 기타 정보보호관리자의 업무 보조

 

제 3 장 인적 보안의 기본원칙

 

제10조 (정보보호 업무 할당 및 책임)

① 정보보호 정책을 수립 및 운영하는 정보보호 및 업무담당자를 지정하여야 한다.

② 정보자산을 보호하기 위한 활동을 수행하는 자를 지정하여야 한다.

 

제11조 (직무의 분리)

① 다음 각 호와 같은 업무 영역에서는 시스템의 부주의 또는 고의적인 오용 등의 위험을 예방하기 위해 직원들의 직무가 분리되어야 한다.

  1. 개발과 운영 분리
  2. 정보시스템(서버, DB, 네트워크 등)간 운영직무 분리
  3. 보안관리와 개발, 운영직무 분리
  4. 기타, 내부 통제와 관련하여 직무의 분리가 요구되는 업무

② 다만, 직무의 분리가 어려운 경우 최소 2인 이상이 업무를 담당하거나. 모니터링 체계를 갖추어 관리 및 감독 하는 등의 보호대책을 강구하여야 한다.

③ 정보보호관리자는 직무 분리를 명확히 하기 위해서 “직무기술서”를 작성하여, 관리한다.

 

제12조 (주요 직무 담당자)

① 정보보호최고책임자는 다음 각 호의 업무를 수행하는 내부직원 중 비밀정보에 해당하는 민감한 정보를 취급하고 정보시스템에 접근권한을 가지며 특히 집적된 비밀에 접근할 수 있는 권한을 소유한 인원을 주요 직무담당자로 지정하여 관리하여야 한다.

  1. 정보보호주관부서의 정보보호업무를 수행하는 인원
  2. 정보시스템에 대한 접근권한 중 관리자계정을 보유하는 인원
  3. 개인정보와 같이 민감한 정보를 취급하는 인원
  4. 기타 정보보호최고책임자가 필요하다고 판단하는 인원

② 주요 직무담당자에 대한 지정은 본교의 인사명령 또는 이에 준하는 조직 개편 등의 대표이사 승인을 득한 품의 또는 정보보호위원회의 의결에 의거하여, 해당 업무를 수행하도록 지정 된 경우에 한해 할 수 있다.

③ 2항에 의거하여 지정한 지정된 주요 직무담당자의 업무가 변경되거나 퇴사하는 경우 즉시 주요 직무담당자에서 해제하여야 한다.

④ 정보보호관리자는 주요 직무담당자 명단과 관련 근거 등을 대조하여, 그에 대한 변동 또는 불필요한 지정이 발견 될 경우 이를 정보보호최고책임자에게 보고하고 즉시 필요한 조치를 취하여야 한다.

 

[부칙]

제1조 (시행일자)

본 지침은 2019년 08월 28일부터 시행한다.
정보보호위원회