시스템보안관리세칙

제정 2008. 12. 1

제 1 조(목적) 이 세칙은 포항공과대학교(이하 ‘대학’이라 한다)의 정보보호규정에 의거하여 대학 내 단위조직에서 관리되는 시스템의 보안관리에 필요한 세부사항을 규정함을 목적으로 한다.

제 2 조(적용 범위 및 대상) 이 세칙은 단위조직의 정보자산분류 및 관리세칙에서 정의하는 서버, 네트워크 등의 전산장비와 이를 도입, 설치, 운영하는 자로 한다.

제 3 조(역할과 책임) 단위조직의 시스템관리자는 정보자산의 도입에서 폐기까지 침해사고가 발생하지 않도록 시스템 보안관리 활동을 하고 정보보호관리책임자는 시스템관리자의 보안관리활동을 관리 감독하여야 한다.

제 4 조(도입 및 설치)
① 단위조직에서 시스템 도입 시 정보보호전담부서에 장비설치내역을 통보하여야 하며 정보보호전담부서는 시스템 관리운영에 필요한 보안관리지침을 단위조직에 제공하여야 한다.

② 보안과제로 분류된 연구과제 수행 시 도입되는 시스템은 반드시 보안취약성 점검요청을 하여야 하며 정보보호전담부서에서는 보안취약성 분석결과를 통보하고 보안설정 환경을 점검하여야 한다.

제 5 조(기본 보안 설정) 단위조직의 시스템관리자는 장비가 설치된 경우 다음 각 호와 같이 보안 설정을 하여야 한다.

1. 시스템관리자는 콘솔에서 시스템작업을 수행하는 것을 원칙으로 하며 원격접속이 필요한 경우 시스템관리자의 단말기 또는 보안이 설정된 장소 이외에 모든 IP의 차단 설정을 한다.
2. 외부기관에 시스템작업을 의뢰하는 경우 해당 IP만 허용하며 목적 이외의 사용에 대한 경고 배너를 설정하고 사용 허용기간이 만료되면 즉시 해당 IP를 차단 하여야 한다.
3. 서비스에 필요한 포트 만 허용하고 그 이외의 포트는 모두 차단 설정한다.

제 6 조(시스템 관리운영)
① 시스템관리는 시스템관리용 계정을 생성하여 관리하는 것을 원칙으로 하며 필요 시에만 root 계정을 사용하여야 하며, 중요 보안 패치 및 보안관련 업그레이드는 반드시 적용 하여야 한다.
② 보안사고 발생 시 증거 추적성을 확보하기 위해 다음 각 호의 로그정보를 3개월 이상 보존하여야 하며 임의 변경하지 않는다.

1. 시스템의 접근내역에 관한 로그 (사용자 계정, 로그온/오프의 날짜/시간)
2. 데이터 및 자원에 대한 모든 접근 시도
3. 패스워드 변경 등과 같은 중요 시스템 명령어의 수행에 관한 로그
4. 시스템 이벤트 로그

③ 시스템 로그정보는 업무용 이외에 공식적인 요청이나 법률에 의한 협조 요청 없이는 제공할 수 없다.
④ 시스템관리자는 보안사고로 인하여 시스템복구가 불가능한 경우를 대비하여 중요한 데이터를 백업하여야 한다.
⑤ 최초 장비설치 시 용도가 변경된 경우 정보보호전담부서에 변경내역을 통보 하여야 한다.

제 7 조(철수 및 폐기관리)
① 단위조직의 시스템관리자는 장비철수 및 폐기시 데이터가 저장되어 있는 하드디스크 등의 매체는 분리하여 별도 보관하거나 정보보호전담부서에 파쇄 의뢰 후 장비철수 및 폐기를 하여야 한다.
② 단위조직 시스템관리자는 장비철수 및 폐기 후 해당 내역을 전자우편 또는 유선 등의 방법으로 정보보호전담부서에 통보 하여야 한다.

제 8 조(침해사고 신고절차) 단위조직 시스템관리자는 침해사고가 명백하게 발생하거나 침해가 의심되는 즉시 해당 장비를 네트워크에서 분리한 후 침해사고대응세칙에 의하여 정보보호전담부서에 신고 하여야 한다.

부 칙

1. 이 세칙은 2008년 12월 1일부터 제정, 시행한다.
2. 이 세칙 시행 이전에 처리된 업무는 이 세칙에 의하여 처리된 것으로 본다.