정보보호규정

2008.7. 17 제정

제 1 조(목적) 이 규정은 포항공과대학교(이하 ‘대학’이라 한다)의 모든 정보자산을 보호하고, 정보보호 활동에 필요한 사항을 규정함을 목적으로 한다.

 

제 2 조(적용대상과 범위) ① 이 규정의 적용대상은 정보자산을 이용하거나 관리하는 대학 구성원과 관련 외부인력으로 한다.

② 적용범위는 관리적,물리적,기술적 보호가 필요한 모든 정보자산과 그 부대시설로 한다.

 

제 3 조(의무와 책임) 대학의 정보자산을 사용하고 관리하는 모든 구성원과 관련 외부 인력은 대학의 정보보호 규정∙세칙과 관계법령을 준수하며, 자신에게 부여된 사용권한과 관리권한 내에서 정보자산을 보호할 의무와 책임을 가진다.

 

제 4 조(용어의 정의) 이 규정에서 사용하는 용어의 정의는 다음 각 호와 같다.

① “정보자산”이라 함은 대학이 보유하고 있는 전자적 정보 및 데이터, 하드웨어, 소프트웨어, 물리적 환경, 인적 자산과 문서, 지적 재산권, 기술 관련, 학술연구 관련 등의 정보를 포함하고 있는 유∙무형의 자산을 의미한다.

② “외부인력”이라 함은 대학 소속의 구성원 이외의 모든 인력을 통칭하며, 대학의 정보자산 이용여부에 따라 외주용역인력, 외부 연구참여인력, 위탁매장 소속인력, 기타 외부인력 등으로 구분할 수 있다.

③ “정보보호사고”라 함은 대학의 정보자산이 무단으로 열람, 유출, 훼손, 변경 되는 사고를 말한다.

④ “CSO(Chief Security Officer)”라 함은 대학의 정보보호 전담 총괄 보직자를 말한다.

⑤ “위험평가”라 함은 정보자산의 중요도와 정보자산의 기밀성, 무결성, 가용성 측면에서의 취약점 수준에 따라 위험 크기를 측정하고, 위험도를 산출하는 행위를 말한다.

⑥ 이외의 용어의 정의는 정보보호세칙에서 다룬다.

 

제 5 조(정보보호위원회) ① 대학의 중요한 정보보호 정책 및 사고에 대한 심의를 위하여 “정보보호위원회” (이하 “위원회”라 한다)를 다음 각 호와 같이 구성한다.

  1. 위원회는 연구부총장을 위원장, 학술정보처장을 간사로 하여 10인 내외의

보직자로 구성한다.

  1. 위원장을 포함한 각 위원의 임기는 보직 재임기간으로 한다.

② 위원회는 다음 각 호의 사항을 심의한다.

  1. 대학의 중요한 정보보호정책 심의
  2. 민∙형사상 또는 대학 규정에 위배되는 중대한 정보보호 사고에 대한 심의

3.CSO가 필요하다고 판단한 정보보호 안건 심의

③ 위원회에서 안건 심의가 필요한 경우 CSO가 안건을 상정하고, 재적위원 3분의 2

이상 참석에 참석위원 과반수의 찬성으로 의결한다.

 

제 6 조(정보보호총괄책임자) ① “공공기관의 정보공개에 관한 법률”에 의하여 정보보호총괄책임자(이하 “CSO”라 한다)를 지정하고, 학술정보처장이 겸직한다.

② CSO는 대학의 정보보호 활동 전반에 대한 총괄적인 관리감독의 권한과 책임을 가지며, 다음 각 호의 역할을 수행한다.

  1. 대학의 정보보호 전략계획에 관한 관리감독
  2. 정보보호 정책 및 세칙에 관한 관리감독
  3. 정보보호 예산의 편성 및 집행에 관한 관리감독
  4. 대학의 정보보호 조직에 관한 관리감독
  5. 기타 대학의 정보보호 활동에 관한 관리감독

 

제 7 조(정보보호전담부서) ① 대학의 정보보호 실무 총괄부서 역할을 수행하고 정보보호

현업 부서의 업무조정 및 지원을 위하여 정보보호전담부서를 둔다.

② 정보보호전담부서는 CSO 산하에 두며, 업무의 독립성과 연속성을 가지고 업무를 수행한다.

③ 정보보호전담부서는 다음 각 호의 역할을 수행한다.

  1. 정보보호관리체계 수립
  2. 정보보호 중장기 마스터플랜 수립
  3. 정보보호 정책 및 세칙 총괄 관리 업무
  4. 정보보호 위험평가 및 보안감사 활동
  5. 정보보호 교육 및 훈련 업무
  6. 대외 정보보호 업무의 창구
  7. 기타 정보보호 제반 사항에 대한 업무

 

제 8 조(세칙의 수립 및 시행) ① 정보보호 규정의 시행과 정보보호 활동에 필요한 세부사항을 세칙으로 정하며, 세칙의 종류와 관리에 관한 사항은 CSO가 별도로 정한다.

② 각 세칙의 제정과 개폐 시에는 대학의 규정 관리 절차에 의하여 정보보호총괄책

임자인 CSO와 기획처장의 협조를 거쳐 총장의 승인으로 시행한다.

③ 승인 된 각 세칙은 지체 없이 정보보호전담부서와 기획예산팀으로 통보하여야 하며, 반드시 교내에 공지하여야 한다.

 

제9조(제재절차)①대학의 정보자산이 내∙외부의 무단사용자에 의해 침해를 받는 경우 정보보호를 위해 제재조치를 할 수 있으며 구체적인 사항은 각 세칙에서 정한다.

②    제재조치의 범위는 대학의 정보자산 이용제한 또는 서비스 제한을 말한다.

③    제재조치가 발생된 경우 즉시 당사자 또는 관련자에게 제재 내용을 고지하여야 하며, 긴급한 경우 선 조치 후 고지할 수 있다.

④ 대학의 정보자산 이용제한 또는 서비스 제한 이상의 징계조치가 필요한 경우 대 학의 관계 규정에 의하여 처리한다.

 

 

부    칙

  • (시행일) 이 규정은 2008년 7월 17일부터 제정∙시행한다.

② (경과조치) 이 규정 시행 당시 종전의 총장의 승인 하에 구성된 정보보호TFT는 정보보호전담부서의 역할을 수행하는 것으로 본다.