국가 정보보안 기본지침 제40조

From CS Wiki
Revision as of 10:06, 7 June 2022 by Maintenance script (talk | contribs) (Imported from text file)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

내용

제40조(내부망ㆍ인터넷망 분리)
  • ① 각급기관의 장은 내부망과 기관 인터넷망을 분리ㆍ운영하여야 한다.
  • ② 각급기관의 장은 내부망과 기관 인터넷망을 분리ㆍ운영하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
    • 1. 침입차단ㆍ탐지시스템 설치 등 비(非)인가자 침입 차단대책
    • 2. 네트워크 접근관리시스템 설치 등 비(非)인가 장비의 내부망 접속 차단대책
    • 3. 내부망 정보시스템의 인터넷 접속 차단대책
    • 4. 내부망과 기관 인터넷망간 안전한 자료전송 대책
    • 5. 기타 국가정보원장이 배포한 「국가ㆍ공공기관 업무전산망 분리 및 자료전송 보안가이드라인」에서 제시하는 보안대책
  • ③ 각급기관의 장은 정보시스템에 부여되는 IP주소를 체계적으로 관리하여야 하며 비(非)인가자로부터 내부망을 보호하기 위하여 네트워크주소변환기(NAT)를 이용하여 사설 IP주소체계를 구축ㆍ운영하여야 한다. 또한 IP주소별로 정보시스템 접속을 통제하여 비(非)인가 기기에 의한 내부망 접속을 차단하여야 한다.
  • ④ 각급기관의 장은 분리된 내부망과 기관 인터넷망간 자료전송을 위한 접점이 불가피한 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
    • 1. 침입차단ㆍ탐지시스템 설치ㆍ운용
    • 2. 내부망과 기관 인터넷망간 접점 최소화
    • 3. 내부망과 기관 인터넷망간 일방향 전송장비 등을 이용한 자료전송체계를 구축ㆍ운영하고 원본파일은 3개월 이상, 전송기록은 6개월 이상 유지
    • 4. 정기적으로 전송실패 기록을 확인하고 악성코드 유입여부 등 점검
    • 5. 내부망 자료를 기관 인터넷망으로 전송할 경우 부서 분임정보보안담당관 또는 결재권자의 사전 또는 사후 승인절차 마련
  • ⑤ 각급기관의 장은 제1항에도 불구하고 예산 부족 등 사유로 부득이한 경우 국가정보원장과 협의하여 내부망과 기관 인터넷망을 분리하지 아니할 수 있다. 이 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
    • 1. 정보시스템 및 개별사용자 PC 영역 등에 대한 접근 통제대책
    • 2. 인터넷 PC의 악성코드 감염 최소화를 위한 인터넷 사용 통제대책
    • 3. 인터넷 PC의 악성코드 감염에 따른 내부망으로의 피해확산 차단대책
    • 4. 사이버공격 탐지ㆍ대응 등 안전한 업무환경을 위한 보호대책
  • ⑥ 각급기관의 장은 내부망과 기관 인터넷망의 IP주소 현황을 정기적으로 확인하고 갱신하여야 한다.
  • ⑦ 본 조에 따른 보안대책은 「공공데이터의 제공 및 이용 활성화에 관한 법률」 제17조에 따른 국민제공 공공데이터 범위 산정에는 영향을 미치지 아니하며, 국민에게 제공하는 공공데이터의 범위를 축소하는 것으로 해석하여서는 아니된다. <신설 2021.11.1.>

해설