정보보호감사세칙

제정 2008. 12. 1

제 1 조(목적) 이 세칙은 포항공과대학교(이하 ‘대학’이라 한다)의 정보보호규정 및 세칙에 따라 대학 내 정보자산의 관리체계와 정보보호 활동이 적절히 유지되고 있는지를 확인하기 위한 점검활동 규정을 목적으로 한다.

제 2 조(적용범위 및 대상) 대학의 정보자산을 보호하기 위한 기술적, 관리적, 물리적 정보보호대책 및 정보보호활동을 대상으로 한다.

제 3 조(용어의 정의) 이 세칙에서 사용하는 용어의 정의는 다음 각호와 같다.

1. “보안감사” 란 정보보호를 위해 준수해야 할 보안기준 및 절차들의 이행여부 확인을 위해 다양한 방법으로 증거를 수집하고 분석하여 결과를 보고하는 활동을 말한다.

2. “감사증적”이란 적절한 정책이나 표준에 따라 기록관리가 이루어졌는지를 검사하기 위하여 기록관리 과정에서 행해진 모든 조치를 기록하여 남기는 정보를 말한다.

3. “부적합 사항” 이란 정보보호 정책 및 관련 보안 규정에 정의된 바와 다르게 수행된 사항으로 보안위험을 증가시킬 수 있는 문제점을 말한다.

제 4 조(역할과 책임) 정보보호전담부서는 정기적으로 정보보호 목표의 적정성 및 정보보호 관리∙통제 활동의 목표에 대한 적합성을 검토하여야 하고, 정기 및 비 정기 보안감사를 수행하여 그 결과를 정보보호총괄책임자에게 보고하여야 한다.

제 5 조(감사인력의 구성) ① 보안감사는 정보보호전담부서장 지휘하에 그 직무를 수행하여야 한다.

② 보안 감사인력은 정보보호전담부서의 소속직원이 수행하는 것을 원칙으로 하며, 필요 시 내∙외부 보안 전문가를 포함시킬 수 있다.

제 6 조(보안감사의 종류) ① 보안감사는 정기적으로 실시하는 보안감사와 비정기적으로 실시하는 특별보안감사로 구분한다.

② 특별보안감사는 다음 각호와 같은 사안이 발생하는 경우 실시한다.

1. 정보보호총괄책임자가 특별히 필요하다고 결정하는 경우

2. 심각한 보안 침해사고가 예상되거나 발생한 경우

제 7 조(보안감사의 실시) 정보보호전담부서에서는 감사의 대상, 항목, 일정, 감사인력 등을 정한 보안감사기본계획을 수립하여 정보보호총괄책임자에게 보고 후 다음 각 호에 의하여 보안감사를 실시한다.

1. 보안감사 시 감사 항목에 대해 담당자 인터뷰, 시스템 설정사항, 시스템 로그, 취약점 진단, 위험평가 분석 등을 통하여 필요한 보안 감사증적을 확보해야 한다.

2. 운영되고 있는 시스템에 대한 감사 시 업무 프로세스의 중단 위험을 최소화 시킬 수 있도록 신중히 수행하여야 한다.

3. 보안감사 결과 부적합 사항에 대하여 해당 사항의 정보보호 관련자로부터 이행계획을 받고 이와 관련된 사후관리를 실시한다.

제 8 조(보안감사 결과 보고) ① 보안감사 결과는 정보보호총괄책임자에게 보고하여야 하며, 보안감사 수행 중 중대한 보안 사고를 발견한 경우 정보보호총괄책임자에게 보고 후 신속한 대응 조치를 실시한다.

② 보안감사결과보고서에는 다음 각 호와 같은 항목이 포함되어야 한다.

1. 보안감사 목적/범위

2. 보안감사 기간

3. 보안감사 실시 방법

4. 점검 체크리스트 및 점검 결과

5. 부적합 사항 및 조치계획

제 9 조(보안감사 후속조치) ① 정보보호전담부서는 보안감사 결과에 따른 개선사항을 피 감사자 및 피 감사부서에 통보하여야 한다.

② 보안감사를 통하여 도출된 부적합사항에 대하여 피 감사자 및 피 감사부서는 개선방안을 수립하고 조치하여 그 결과를 정보보호전담부서에 통보하여야 한다.

③ 정보보호전담부서는 조치결과를 확인하여 정보보호총괄책임자에게 보고하여야 한다.

④ 중·장기적으로 해결되어야 할 보안 개선사항에 대하여 정보보호전담부서는 개선방안의 이행 과정을 주기적으로 점검하고, 필요 시 부적합 사항이 완전히 해결되는 시점까지 개선방안을 지원한다

부 칙

1. 이 세칙은 2008년 12월 1일부터 제정, 시행한다

2. 이 세칙 시행 이전에 처리된 업무는 이 세칙에 의하여 처리된 것으로 본다.