응용시스템보안관리세칙

제정 2008. 12. 1

제 1 조(목적) 이 세칙은 포항공과대학교(이하 ’대학’이라 한다)의 정보보호규정에 의거하여 대학 내 단위조직에서 응용시스템의 도입 및 구축 시 필요한 보안관리기준의 세부사항을 규정함을 목적으로 한다.

제 2 조(적용범위 및 대상) 이 세칙은 단위조직에서 도입 및 구축된 모든 응용시스템과 응용시스템을 운영하는 시스템관리자로 한다.

제 3 조(용어의 정의) 이 세칙에서 사용하는 용어의 정의는 다음과 같다.

1. "응용프로그램(Application Program)"이라 함은 대학 구성원 또는 외부 기관에 의하여 제작된 프로그램 또는 응용 소프트웨어를 구현하는 프로그램을 말한다.
2. "응용시스템(Application System)"이라 함은 특정 업무나 목적을 위하여 만들어진 응용프로 그램들의 집합과 그와 관련된 하드웨어의 집합을 말한다.

제 4 조(역할과 책임) 단위조직의 시스템관리자는 응용시스템에서 침해사고가 발생하지 않도록 도입 및 구축단계에서 필요한 보안관리 활동을 수행하여야 하며 정보보호관리책임자는 시스템관리자의 보안관리활동을 관리 감독하여야 한다.

제 5 조(개발환경의 분리) 응용시스템은 개발시스템과 운영시스템을 분리하는 것을 원칙으로 하며 분리가 어려운 경우는 개발환경이 운영환경의 보안에 영향을 주지 않도록 하여야 한다.

제 6 조(보안 기능의 설계) 응용프로그램을 구축하는 경우 개발 시점부터 프로그램 자체 또는 사용환경의 알려진 보안취약점을 고려하여 다음 각호의 보안 기능을 설계하여야 한다.

1. 관리자 모듈과 일반 사용자 모듈은 분리한다.
2. 사용자 계정은 개발자 별로 부여하는 것을 원칙으로 하며, 사용자 화면 상에 패스워드와 같은 민감한 정보가 평문으로 보이지 않도록 한다.
3. 응용프로그램 상에 생성되는 개발자의 사용자계정에 대한 접근권한과 접근통제가 될 수 있도록 한다.
4. 중요한 응용프로그램의 경우 관리자와 사용자의 활동에 대한 사용 로그를 생성하여 보안사고 발생시 증거자료로 활용할 수 있도록 한다.

제 7 조(응용시스템 외주개발)
① 응용시스템을 외주 개발 시 보안기능의 설계요구사항과 개발자의 보안준수사항을 용역제안서 또는 계약서에 반영하여야 한다.
② 응용시스템 구축에 참여하는 외주개발자에 대해서 보안서약서를 받아야 한다.
③ 응용시스템의 프로그래밍 보안에 대한 위험요소를 관리하여야 하며 개발된 응용프로그램들이 유출되지 않도록 보안통제를 시행하여야 한다.

제 8 조(응용시스템 가동) 자체 또는 외주로 구축된 응용시스템은 가동 하기 전에 보안취약성점검을 실시하여야 하며 필요 시 정보보호전담부서에 보안취약성 점검요청을 하여야 하며 정보보호전담부서에서는 보안취약성 분석결과를 통보하고 보안설정 환경을 점검하여야 한다.

제 9 조(응용시스템 감시)

① 응용시스템관리자는 침해사고 발생이 되지 않도록 응용프로그램과 운영환경에 대한 안전성과 신뢰성에 대하여 지속적으로 감시 하여야 한다.
② 침해사고 발생시에는 즉시 응용시스템의 가동중단 또는 네트워크 분리 등의 선 조치 후 침해사고대응세칙에 의하여 정보보호전담부서에 신고하여야 한다.
③ 정보보호전담부서는 응용시스템에 대한 안전성과 신뢰성 확보에 필요한 검사 및 조치방법을 지속적으로 강구하여야 한다.

부 칙

1. 이 세칙은 2008년 12월 1일부터 제정, 시행한다
2. 이 세칙 시행 이전에 처리된 업무는 이 세칙에 의하여 처리된 것으로 본다.