휴대용 저장매체 점검 매뉴얼
점검개요
□ 점검기간: 휴대용 저장매체 정기점검 기간 중
- 분기별 점검 실시: 매년 3월, 6월, 9월, 12월 중
□ 점검자: 각 부서 정보통신담당자
□ 점검대상: SaferZone(매체제어시스템)에 등록된 모든 저장매체
- 보안USB, 일반USB, 외장형 하드디스크, SD카드 등
□ 점검내용
- 보관상태: 휴대용 저장매체 수량, 관리번호 라벨 등
- 보관자료: 자료혼용보관여부(매체 용도별 보관자료)
점검방법
※ 별첨한 부서별 휴대용 저장매체 등록현황, 휴대용 저장매체 점검표 참고
1. 보관상태(수량) 점검
○ 등록 되어있는 저장매체 수량 확인
○ 매체의 보관상태(파손/고장 등) 점검
2. 관리번호 라벨 점검
○ 관리번호 부여 대상
- 보안USB, 일반USB, 기타 저장매체 등 SaferZone에 등록된 저장매체
○ 라벨 서식
- (인)란에 관리자 직인 날인 후 휴대용 저장매체의 적절한 위치에 부착
※ 자세한 사항은 USB메모리 등 휴대용 저장매체 보안관리지침 참고
○ 휴대용 저장매체 보관 자료가 등급에 맞는 자료인지 점검
○ 휴대용 저장매체 용도에 따라 자료 구분하여 보관
- 일반용에 비밀 및 대외비자료 보관 절대 금지
4. 기타 유의사항
○ 개인용으로 등록된 휴대용 저장매체는 반드시 부서 소유로 귀속 후 사용
- 부서 소유의 업무 목적으로만 등록 및 사용 가능
○ 6개월 이상 사용하지 않은 일반용 휴대용 저장매체는 반납
- 회계정보과에 공문 발송 및 실물 반납
※ 2020년 市 보안감사 지적사항
휴대용 저장매체 분실/변경에 따른 관리요령
1. 반출 승인받은 휴대용 저장매체가 반출기간이 만료된 후 7일 이후에도 반입신고가 되지 않는 경우에는 해당 관리자가 해당 사용자에게 반입 권고를 하도록 하여야 한다.
2. 휴대용 저장매체 분실 신고가 구두 혹은 이메일, 전화 등으로 접수된 경우에는 사용자의 요구 및 해당 데이터의 중요성을 감안하여 해당 매체에 대하여 매체사용 중지설정을 하도록 한다.
| 분실시 : 즉시 분임정보보안담당관 (부서장) 경유 → 정보보안담당관 (회계정보과장)에 신고 - 일반용일 경우, 정보보안담당자가 해당매체 분실 및 사용금지처리 후 재발방지대책 강구 ※ 보안USB의 경우, 매체 접속 시도 시 데이터삭제 - 대외비/비밀용일 경우, 정보보안담당자가 해당매체 분실 및 사용금지처리 후 국정원 통보 |
3. 사용금지 상태가 1개월 이상 지속되는 경우에는 매체폐기를 통해서 데이터를 영구 삭제하도록 하며, 추후에 해당 매체를 회수하였을 경우 관리자가 재등록을 통해서 이용할 수 있다.
4. 인사이동으로 인하여 부서변경 등이 발생할 경우에는 해당 사용자의 휴대용 저장매체를 반드시 반납 받도록 한다.
휴대용 저장매체 관련 근거(발췌)
☐ 국가정보보안 기본지침
제78조(휴대용 저장매체 보안)
④ 휴대용 저장매체 관리자는 휴대용 저장매체를 비밀용·일반용으로 구분·관리하고 수량 및 보관 상태를 정기적으로 점검하며 외부 반출·입을 통제하여야 한다.
⑤ 휴대용 저장매체 관리자는 비밀이 저장된 휴대용 저장매체는 매체별로 비밀등급 및 관리번호를 부여하고 비밀관리기록부에 등재·관리하여야 한다. 이 경우 매체 전면에 비밀등급 및 관리번호가 표시되도록 하여야 한다.
⑦ 휴대용 저장매체 관리자는 휴대용 저장매체를 폐기·불용 처리하고자 할 경우 저장자료가 복구 불가하도록 완전삭제 소프트웨어 등을 이용하여 삭제하여야 한다. 다만, 완전삭제가 불가할 경우 파쇄하여야 한다.
⑧ 부서 분임정보보안담당관은 정보보안담당관 총괄 하에 소속 부서에 대하여 개별사용자의 휴대용 저장매체 무단 반출, 미(未)등록 휴대용 저장매체 사용여부 등 보안관리 실태를 정기적으로 점검하여야 한다.
⑨ 그 밖에 휴대용 저장매체 보안과 관련한 사항은 국가정보원장이 배포한 「USB메모리 등 휴대용 저장매체 보안관리지침」 을 준수하여야 한다.
☐ USB메모리 등 휴대용 저장매체 보안관리지침
제3조(정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. “휴대용 저장매체”라 함은 디스켓ㆍCDㆍ외장형 하드디스크ㆍUSB메모리 등 정보를 저장할 수 있는 것으로 PCㆍ서버 등의 정보시스템과 분리할 수 있는 기억장치를 말한다.
2. “휴대용 저장매체 관리자”(이하 “관리자”라 한다)라 함은 각 팀 또는 과별 휴대용 저장매체 관리상의 책임을 맡은 부서의 장을 말한다.
3. “휴대용 저장매체 취급자”(이하 “취급자”라 한다)라 함은 해당 휴대용 저장매체를 사용하는 자를 말한다.
4. “휴대용 저장매체 관리시스템”(이하 “관리시스템”이라 한다)이라 함은 휴대용 저장매체의 등록, 파기, 재사용, 반출ㆍ입 및 불용처리 현황 등에 관하여 전자적으로 처리하는 시스템을 말한다.
5. “휴대용 저장매체 관리번호”(이하 “관리번호”라 한다)라 함은 사용 중인 휴대용 저장매체의 식별 및 관리를 용이하게 하기 위하여 부여한 번호를 말한다.
제5조(휴대용 저장매체 사용)
① 각급기관은 휴대용 저장매체를 등록한 후 사용하여야 한다.
② 휴대용 저장매체의 등록방법은 제4조 제4장에 따른 서식 또는 전자적 관리시스템으로 등재하는 것을 말한다.
제6조(휴대용 저장매체 사용제한)
① 각급기관은 등록된 휴대용 저장매체만 사용할 수 있다.
② 각급기관의 장은 그 소속직원이 국제회의에 참가시 출장 전 회의 대상국에서 제공한 USB메모리 등 휴대용 저장매체를 사용하지 않도록 보안교육을 실시한다.
각급기관의 장은 그 소속직원에게 공지⋅교육을 통하여 미등록 휴대용 저장매체 사용을 제한하여야 하고 이에 대해 주기적인 점검을 실시하여야 한다.
제7조(관리자)
① 관리자는 소관 부서에서 휴대용 저장매체를 사용할 경우, 제4조제4항에 따른 서식 또는 전자적 관리시스템에 등재하여야 하며, 서식일 경우 사본 1부를 부서 분임정보보안담당관에게 제출하여야 한다.
② 관리자는 정기적으로 휴대용 저장매체의 수량 및 보관상태를 점검하고 별지 제3호 서식 또는 전자적 관리시스템으로 관리하여야 한다.
③ 관리자는 휴대용 저장매체의 반⋅출입을 통제하여야 하며 별지 제4호 서식 또는 전자적 관리시스템에 따라 기록하여야 한다. 다만, 각급기관의 장이 보안강화를 위하여 중앙에서 휴대용 저장매체의 반ㆍ출입 통제가 필요하다고 판단하는 경우에는 정보보안담당관 또는 분임정보보안담당관에게 그 역할을 부여할 수 있다.
④ 관리자는 소속직원이 휴대용 저장매체를 무단 반출하거나 미등록 휴대용 저장매체를 사용하지 않도록 감독하여야 하며 이를 위반한 사실을 발견 또는 확인하는 즉시 정보보안담당관에게 통지하여야 한다.
제8조(휴대용 저장매체의 구분 및 관리요령)
① 휴대용 저장매체는 일반용, 비밀용으로 구분한다.
② 일반용 휴대용 저장매체(이하 “일반용” 이라 한다)의 관리요령은 다음과 같다.
1. 일반자료는 일반용에 보관할 수 있다. 다만, 대외비 자료는 국가정보원장이 안전성을 확인한 상용 암호모듈을 사용한 일반용에 보관하여야 한다.
2. 일반용에는 업무관련 일반자료(공개 또는 비공개 자료)만 보관하여야 하며 별지 제1호 서식의 관리대장에 기록하여야 한다.
3. 일반용은 개인서랍, 캐비닛 등에 안전하게 보관하여야 한다.
4. 일반용에는 별지 제5호 서식과 같이 기입ㆍ표시하여야 한다.
5. 관리번호는 팀ㆍ과명, 일반, 연번으로 한다. 이 경우 팀ㆍ과명은 약칭을 사용할 수 있다.(예 : 총무과-일반-01, 총무과-일반-02, 총무-일반-03 등)
③ 비밀용 휴대용 저장매체(이하 “비밀용”이라 한다) 관리요령은 다음과 같다.
1. 비밀용을 사용할 경우에는 별지 제2호 서식의 관리대장에 기록하여야 하며 비밀관리기록부에도 등재ㆍ관리하여야 한다.
2. 비밀용은 비밀자료와 동일하게 이중 캐비닛 또는 금고에 보관하여야 한다.
3. 비밀용에는 별지 제5호 서식과 같이 기입ㆍ표시하여야 한다.
4. 비밀용을 사용하여 비밀작업을 하는 경우 그 작업을 완료하거나 일시 중단할 때에는 PC에서 즉시 분리하여야 한다.
5. 비밀용은 해당 비밀을 생산하거나 보관할 필요가 있는 경우 비밀등급별로 각각 휴대용 저장매체를 마련해야 하며, 하나의 휴대용 저장매체에 등급이 다른 비밀 또는 일반자료를 혼합 보관해서는 아니 된다.
6. 관리번호는 팀ㆍ과명, 비밀등급, 연번으로 한다. 이 경우 팀ㆍ과명은 약칭을 사용할 수 있다.(예 : 총무과-Ⅱ급-01, 총무과-Ⅲ급-01 등)
제3항과 관련된 비밀의 전자적 처리와 관련한 그 밖의 사항에 대해서는 「국가 정보보안 기본지침」제64조(비밀의 전자적 처리 규격)ㆍ제65조(대외비의 전자적 처리)를 준용한다.
제9조(휴대용 저장매체 불용처리 및 재사용)
① 휴대용 저장매체를 불용처리시 그 사실을 관리대장에 기록하여야 한다.
② 휴대용 저장매체를 불용처리하거나 재사용하는 경우에는 별지 제6호 서식에 따라 분임정보보안담당관의 확인을 받아야 한다.
제10조(휴대용 저장매체의 분실, 소각시 대처방안)
① 취급자는 휴대용 저장매체의 분실 또는 소각 등의 사유가 발생한 즉시 관리자에게 그 사실을 보고하여야 한다.
② 관리자는 휴대용 저장매체의 분실 또는 소각사실을 보고받은 즉시 분임정보보안담당관을 경유하여 정보보안담당관에게 통지하여야 한다.
③ 정보보안담당관은 일반용의 분실 또는 소각 사실을 통지받거나 인지한 경우에는 자체 조사를 실시하고 재발방지 대책을 강구하여야 한다. 다만 「국가 정보보안 기본지침」제141조제2항에 따른 사안일 경우에는 지체 없이 국가정보원장에게 그 사실을 통보하여야 한다.