[컨설팅] 서버 및 전산기기 관리 지침

[컨설팅] 서버 및 전산기기 관리 지침

제1장 서버 및 전산기기 관리

제1조(서버관리자의 임무)

서버관리자의 임무는 다음 각 호와 같다.

1. 서버룸 관리

2. 서버 및 주변기기 유지보수

3. 시스템의 성능 유지관리 등

4. 시스템 장애관리

 

제2조(서버룸 관리)

①  서버관리자는 서버룸의 출입을 통제하며 화재 및 기타사고를 미연에 방지하도록 필요한 조치 및 관리를 철저히 하여야 한다.

②  서버관리자는 “부대장비 예방점검 일지”(별지 제1호)를 기록․관리하고 시스템 가동현황을 전산관리자에게 매월 보고하여야 한다

③  전산관리자의 조작인가를 받은 직원만이 서버를 조작할 수 있다.

④  전산관리자는 「서버룸 운영지침」을 수립하여 운영하여야 한다.

 

제3조(서버 유지보수)

①  서버관리자는 전산기기의 정비,점검을 위하여 전산기기 “부문별 유지보수 대상 목록”(별지 제6호)을 작성․관리하고 전산기기 운영현황을 전산관리자에게 보고하여야 한다.

②서버관리자는 유지보수 계약에 의거하여 전산기기 및 부대설비의 점검을 정기적으로 실시하여야 한다.

③서버관리자는 전산기기의 정기예방 실시 후 유지보수 사업자로부터 정기예방 점검보고서를 받고, 시스템오류 등의 발견 즉시 조치하여야 한다.

 

제4조(시스템 장애관리)

① 전산기기 및 부대설비 등에 장애가 발생하면 즉시 다음 각 호의 절차에 따라 조치한 후 “장애발생 및 조치사항”(별지 제2호)을 작성하여 관리하여야 한다.

1. 장애발생시간 및 상황유지 기록

2. 유지보수 담당자 또는 유지보수업체에 통보하여 조치한 사항

3. 조치결과 기록 및 보고

② 서버관리자는 인위적․자연적으로 발생되는 시스템장애,가동중지 등 긴급사태에 대비하기 위하여 시스템 이원화, 백업관리, 복구 대책을 강구하여야 한다.

 

제5조(단말기관리)

① 전산관리자는 단말기가 항상 정상적으로 가동될 수 있도록 유지 및 관리하여야 한다.

② 각 부서의 장은 비인가자가 단말기를 무단으로 조작하여 전산기내 및 단말기 내에 수록된 자료를 수정, 파괴, 열람하거나 출력하지 못하도록 다음 각 호에 정한 보호대책을 강구하여야 한다.

1.단말기에 비밀번호가 설정된 화면보호기 실행

2.출장 등 장시간 자리를 비우는 경우 인증토큰 휴대

 

 

제2장 응용프로그램 관리

제1조(응용프로그램관리자의 임무)

응용프로그램 관리자의 임무는 다음 각 호와 같다.

1. 응용프로그램 개발 및 유지보수

2. 프로그램 이력관리 및 산출물 관리

 

제2조(프로그램 개발관리)

① 프로그램 개발관리는 응용프로그램 개발과 관련한 요구사항 분석, 설계, 코딩, 통합, 시험, 설치 및 인수 등을 위한 개발자의 활동과 작업을 정의하는 것으로써 다음 각 호의 단계별 수행절차를 활용하여 개발 프로세스를 관리하여야 한다.

1. 개발계획서 작성

2. 시스템 요구사항 분석 및 타당성 조사

3. 응용프로그램 분석․설계 및 구현

4. 시스템 통합시험 및 검수

② 프로그램 개발계획 작성 시 개발 프로세서의 활동 및 작업표준과 접근방법, 사용도구, 개발일정 등과 문제점 또는 부적합 사항 발생에 따른 대책 및 해결방안을 포함하여야 한다.

③ 프로그램 개발을 위하여 사업의 범위, 규모, 복잡도 등에 적합한 프로그램 수명주기 모델을 정의하여야 하고,개발에 필요한 문서화, 형상관리, 문제해결 등을 위한 개발계획을 작성하여야 한다.

④ 프로그램 구조는 전체시스템 성능에 미치는 영향이 크므로 시스템 특성과 인터페이스 및 데이터베이스,정보보안 등을 고려하여 설계하고, 프로그램 구성요소를 식별하여 단위시험을 철저히 하여야 한다.

 

제3조(프로그램 유지보수의 절차)

①각 부서의 장은 프로그램의 추가 개발 및 개선사항 발생시 “프로그램개발․개선요청서”(별지 제5호)를 작성하여 요청하여야 한다.

②  응용프로그램관리자는 접수된 요청사항에 대해 개선여부를 검토한 후 요청사항의 수용이 확정될 경우, 유지보수 활동과 작업을 수행하기 위한 “작업계획서”(별지 제4호)를 작성하여 계획 및 절차를 수립하고 문서화하여 유지보수를 시행한다.

③  응용프로그램관리자는 유지보수관련 표준을 설정할 수 있다.

 

제4조(프로그램 유지보수의 방법)

①프로그램 변경 또는 수정 시 기존 시스템, 사용자, 인터페이스에 미치는 영향을 분석하고 문제점을 검증한 후 완전하고 정확한 구현을 보장할 경우에 수행하여야 한다.

②유지보수 기간 동안 발생하는 문제에 대하여 문제점 분석 및 대안을 제시하고 그 결과를 문서화하여야 한다.

③수시 또는 유지보수의 결과로 수정된 응용프로그램의 무결성 보장 및 이력을 관리하여야 한다.

제5조(프로그램 검증 및 배포)

① 프로그램 개발․개선을 요청한 부서의 장은 응용프로그램 산출물이 요구사항을 충족하고 있는지를 검증하여야 한다.

② 프로그램 검증 완료 후 응용프로그램관리자는 보고서를 작성하고 사용자 습득을 위하여 교육 및 지침서 등을 제공하여야 한다.

 

 

제3장 데이터베이스의 운영 및 관리

제1조(데이터베이스관리자 임무)

데이터베이스관리자의 임무는 다음 각 호와 같다.

1. 데이터베이스 계정관리

2. 권한관리 및 접근 통제

3. 데이터베이스 성능 유지관리 등

 

제2조(데이터베이스 계정관리)

① 데이터베이스 계정은 관리 및 응용 시스템 식별자(ID) 외의 일반 사용자 식별자는 두지 않는 것을 원칙으로 한다. 다만, 업무상 반드시 필요한 경우에는 기한과 권한을 제한하여 사용할 수 있다.

② 데이터베이스 구축이 끝나면 관리자 계정의 패스워드는 즉시 변경하여야 하며 불필요한 계정은 즉시 삭제 또는 중지시켜야 한다.

③ 개인 사용자에게 기한이 없는 계정이 부여될 경우 데이터베이스 관리자는 3개월 마다 계정의 필요성을 재평가하여 관리하여야 한다.

 

제3조(데이터베이스 권한관리)

① 데이터베이스설치, 라이브러리, 데이터파일, 환경구성파일, 로그파일 등에 대한 접근권한은 데이터베이스관리자에게만 허용되어야 한다.

② 데이터베이스의 오브젝트에 대하여 접근 가능한 사용자를 분류하고, 사용자별 권한의 허용범위를 관리하여야 한다.

③ 데이터베이스 관리자는 중요 테이블에 대한 변경 로그를 남겨야 하며, 데이터의 유형과 비밀성 요구사항을 검토하여 필요한 경우 데이터를 암호화하여야 한다.

 

제4조(데이터베이스 작업수행)

① 데이터베이스에 대한 작업의뢰는 “작업의뢰서”(별지 제3호)를 작성하여 데이터베이스관리자에게 제출하여야 한다.

② 데이터베이스관리자는 데이터베이스 오브젝트 생성 또는 변경 작업을 실시할 경우 사유, 내용, 소요시간, 담당자 등의 내용을 기록한 “작업계획서”(별지 제4호)를 작성하여 전산관리자의 승인을 받은 후 실시하여야 한다.

③ 업무상 시급한 변경처리가 발생한 경우 전산관리자의 구두 승인 후 변경을 시행하고 사후 반드시 문서승인을 받아야 한다.

④ 데이터 재편성, 또는 압축과 같은 작업은 데이터베이스의 정보 훼손을 방지하기 위해 업무시간 이후에 수행함을 원칙으로 한다.

 

제5조(데이터베이스 성능유지 관리)

① 데이터베이스 관리자는 주기적으로 성능점검을 실시하여 최적의 시스템을 유지하도록 하여야 한다.

② 데이터베이스관리자는 다음 각 호의 작업을 수행하여야 한다.

1. 데이터베이스 모니터링

2. 로그파일 수집 및 분석

3. 저장공간 확보

 

제6조(데이터베이스 복구대책)

① 데이터베이스는 필수적으로 시스템 복구를 위한 기능을 적용하여야 한다. 이는 개발 시스템이나 운영시스템 모두에 적용되어야 한다.

② 운영시스템의 중요 정보의 경우 필요 시 오류 및 부당한 수정을 복원할 수 있도록 상세 로그를 작성하여 1개월 이상 보존하여야 한다.

 

제4장 네트워크 운영 및 관리

제1조(네트워크관리자의 임무)

네트워크관리자의 임무는 다음 각 호와 같다.

1. 통신회선 및 네트워크 관리

2. 네트워크 정책관리

3. 로그분석 및 점검

 

제2조(통신회선 및 네트워크 관리)

① 네트워크관리자는 통신회선의 신규 설치․변경 또는 해지가 필요한 경우 변경내용 및 보안에 미치는 영향 등을 면밀히 분석하여야 한다.

② 네트워크장비에 보안관련 설정변경이 필요한 경우에 네트워크관리자는 전산관리자의 승인을 얻은 후 변경 하여야 한다.

 

제3조(보안성검토)

네트워크 장비 도입 시 관련 규정에 따라 보안성 검토를 수행하여야 한다.

 

제4조(네트워크의 취약성 관리)

① 네트워크관리자는 보안 취약성 또는 결함을 발견하는 경우 즉시 적절한 조치를 취하여야 한다.

② 전산관리자의 승인을 받은 자 이외에는 네트워크 스캐닝 툴 등 취약성을 점검하는 프로그램을 사용할 수 없다.

③ 네트워크관리자는 네트워크장비 공급 업체의 보안관련 패치나 권고안이 발표되는 것을 지속적으로 모니터링 하며 사안에 따라 긴급한 대응이 필요한 보안 패치를 적용하여야 한다.

 

제5조(접근가능 호스트 및 원격 자원관리 제한)

① 네트워크 장비를 관리하기 위한 접근은 특정 호스트에서만 가능하도록 하고 외부 네트워크로부터의 접근은 원칙적으로 금지한다. 다만, 장애 등으로 인해 외부의 긴급지원이 필요한 경우에는 네트워크관리자의 승인 및 입회하에 허용할 수 있다.

② 네트워크관리자는 관리 후에는 원격 접속포트 및 계정을 닫고, 접속시간․접속자․수행내역 등을 관리하여야 한다.

 

제6조(네트워크 보호 장비의 사용)

① 인터넷 등 공중망과 연결할 때에는 접점에 방화벽 및 바이러스 월을 설치하여야 한다.

② 내부망의 중요 지점에는 침입방지시스템을 이용하여 실시간으로 외부 침입여부를 모니터링 하여야 한다.

 

제7조(라우터 등의 접근통제리스트 적용)

① 네트워크관리자는 라우터, 침입방지, 침입차단 등에서 네트워크 주소, 프로토콜 및 서비스 포트 등에 대해 접근통제리스트를 작성하여 설정․관리하여야 한다.

② 네트워크관리자는 네트워크 장비에 적용된 접근통제리스트를 주기적으로 검토하여 유효기간이 지난 규칙 또는 중복되거나 적용되지 않는 규칙이 없도록 정리하여야 한다.

 

제8조(네트워크 관련자료 보호)

① 네트워크의 구성도, 주소, 구성환경, 관련 시스템 정보 등을 전산관리자의 승인 없이 무단으로 유출할 수 없다.

② 네트워크 구성도, 현황 자료, 네트워크 주소 할당자료 등 네트워크 관련 모든 자료는 대외비로 관리하고 인가된 사용자만이 접근 가능하도록 안전하게 보관한다.

③ 네트워크 관련 자료를 폐기할 경우 반드시 파쇄하여야 하며 이면지로 활용할 수 없다.

 

제9조(프로토콜의 사용 제한)

회사 내의 네트워크에서 승인되지 않은 프로토콜을 사용하면 안 된다. 특히 모뎀, 다운로드용 1:1통신(P2P) 등은 원칙적으로 사용을 금지한다. 다만, 업무상 필요할 경우 전산관리자의 승인을 받은 후에 한하여 사용할 수 있다.

 

제10조(중요자료 전송 제한)

누구든지 비밀, 개인정보 등 보안상 문제가 되는 자료를 전송하

서는 안 된다. 다만, 업무상 자료를 전송해야 할 경우에는 송신

수신자․내용 및 필요성을 명시하여 전산관리자의 승인을 받은 후 전

할 수 있다.

 

제11조(네트워크 보안 로깅)

① 네트워크관리자는 중요 네트워크장비에 대해서 접근일시, 네트워크 주소, 대상자원 등 로그를 분석하여야 한다.

② 네트워크관리자가 로그대상을 변경하는 경우에는 보안에 미치는 영향을 검토한 후에 행하여야 한다.

③ 네트워크관리자는 로그프로그램이나 로그 자체에 대해 파괴, 변조 등의 행위에 대응할 수 있는 조치를 취하여야 한다.

④ 로그는 항상 가동되도록 설정되어야 하며 최소 1개월 이상 보존하여야 한다.

 

제12조(로그의 분석 및 결과 보고)

① 네트워크관리자는 주요 라우터, 침입차단시스템 및 침입탐지시스템 등을 포함한 주요 네트워크 장비에 대하여 실시간 모니터링을 수행하여야 하며, 기타 네트워크 장비의 경우 로그분석을 실시하여야 한다.

② 네트워크관리자는 침해시도 등을 사전에 예방할 수 있도록 네트워크 사용자의 활동관련 기록과 통계를 유지 검토하여야 한다.

③ 네트워크관리자는 실시간 모니터링 또는 정기 로그 검토 시 심각한 보안 위반에 대해서는 즉시 전산관리자에게 보고하고 해당 네트워크 시스템에 대한 침입시도여부와 오용여부를 점검하여야 한다.

제13조(유관기관 정보시스템 접속 권한 관리)

① 회사 직원이 유관기관의 정보시스템에 직접 접속하여 업무를 처리해야 할 경우 해당 기관으로부터 정식 발급된 식별자(ID)를 사용하여야 하며, 타인의 식별자를 도용하거나 공동으로 사용할 수 없다.

② 접속권한을 부여받은 직원의 퇴직, 인사이동 등으로 인하여 접속권한을 유지할 필요가 없는 경우 해당 유관기관에서 정하는 바에 따라 사용자 식별자(ID) 및 권한을 해당 유관기관에 즉시 삭제 요청하여야 한다.

 

제14조(원격근무)

전산관리자는 정보통신망을 활용한 재택․파견․이동근무 등 원격근무를 지원하기 위해 「원격근무시스템 운영⋅관리지침」을 수립․시행하여야 한다.

 

제5장 자료 관리

 

제1조(자료의 생성)

①   자료생성 및 관리는 해당 소관 업무부서에서 함을 원칙으로 한

②   해당 소관 업무부서의 장은 정보처리를 위하여 생성한 전산자료에 대하여 다음 각 호의 사항을 점검하여야 한다.

1. 자료의 정확성

2. 자료항목의 누락 여부

3. 기타 자료관리에 필요한 사항

 

제2조(자료의 관리)

①   소속부서의 장은 개인정보가 기록된 서면자료 및 처리정보가 기록된 매체가 유출되지 아니하도록 필요한 조치를 취하고 활용이 종료된 출력자료는 즉시 폐기 하여야 한다.

② 전산관리자는 관련법령의 규정에 의하여 사업주․재해자․의료기관 또는 근로자에게 통지하는 법정통지서를 제외한 모든 출력자료에 대하여는 출력일시 및 PC번호(IP) 또는 사용자번호 등이 자동으로 기록되도록 하여야 한다.

③ 비밀자료는 비밀취급인가를 받은 자만이 취급하여야 하며, 관리 및 취급기준은「보안업무시행규정」이 정한 바에 따른다.

③   전산 출력한 자료를 외부에 제공하는 경우에는 반드시 문서에 의하되 소속부서의 장의 승인을 얻어야 한다. 이 경우 제공하는 자료가 개인정보에 관련 자료인 경우에는 「개인정보보호법」을 준수하여 기록관리하여야 한다.

 

제3조(파일의 등록 및 분류)

① 정보처리를 위하여 새로운 파일이 필요할 경우, 전산관리자의 승인을 받아 등록하고 사용하여야 한다.

② 전산자료 기록매체는 관리번호, 업무명, 파일명, 작성일자 등을 기입한 레이블을 부착하여 분류하여야 한다.

 

제4조(주요파일의 보관 및 유지관리)

① 전산관리자는 프로그램, 마스터 등의 주요파일에 대하여는 복사파일을 작성하여 자료실 이외의 안전한 장소에 별도 보관하여야 한다.

② 파일의 안전관리를 위하여 비밀번호 등을 설정하여 사용하여야 하며, 매체에 백업 후 자료보관시설에 보관․관리하여야 한다.

 

제5조(파일의 파기)

파일은 각 업무내용별 보존기간에 따라 관리하여야 하며, 보존기간이

경과된 파일은 사업부서 또는 자료 활용부서와 협의하여 파기할

수 있다.

제6조(중요자료 암호화)

사용자는 업무상 부득이하게 중요정보를 개인 PC에 저장하는 경우는

다음 각 호와 같이 암호를 설정하여야 한다.

 

1.MS Word 및 Excel 파일 암호설정 등

2.한글파일 암호설정

 

 

제7조(보조기억매체의 관리)

보조기억매체에 대한 관리는 내부 보안규정「USB메모리 등 보조기억매체 관리지침」에 의거 관련 지침을

수립․시행하여야 한다.

 

제8조(개인정보보호)

전산관리자는 개인정보보호를 위하여 「개인정보보호법」에 의거「개인정보보호지침」을 수립․시행하여야 한다.

 

제6장 백업 관리

제1조(백업담당자의 임무)

① 백업담당자는 정보시스템의 장애와 불의의 사고에 대비하여 중요 소프트웨어 및 데이터에 대한 백업체계를 구축하여야 한다.

② 백업담당자의 임무는 다음과 같다.

1. 백업정책 수립 및 이행

2. 백업대상 자료의 수시 파악

3. 백업자료의 체계적 관리 및 즉각적 복구 대비

 

제2조(백업대상 지정)

백업담당자는 업무별 정보자료를 수집․관리하고 시스템별로 용량 등을 파악

하여 백업대상을 지정하고 해당 자료의 감소 또는 증가사항을 수시로 점

검하여 백업정책에 반영하여야 한다.

 

제3조(백업정책)

① 백업담당자는 백업과 관련하여 대상자료, 주기 등 백업정책을 유지․관리하여야 한다.

② 백업자료는 중요도 또는 긴급성 등에 따라 백업주기를 조정하여야 하며, 원활한 복구가 가능하도록 데이터 용량에 따라 분할백업하고, 백업된 자료가 정상적으로 저장 및 보관되었는지 확인하여야 한다.

③ 백업담당자는 복구 시 발생할 수 있는 장애에 대하여 철저히 대비하여야 하고 백업과 관련한 시스템, 주기, 수록매체, 방식 등의 설정사항에 변동이 있을 경우는 전산관리자의 승인을 받아야 한다.

 

제4조(백업자료의 관리)

① 백업담당자는 백업자료의 체계적 보관관리를 위하여 주기적으로 로그를 점검․확인 하여야 한다.

② 백업된 자료(매체)는 온도, 습도 등에 의한 손망실 발생방지와 관계자 이외의 출입이 제한된 안전한 장소에 보관하여야 한다.

③ 백업된 자료(매체)는 전산관리자의 승인 없이 외부로 유출 또는 비관계자에게 열람이나 제공할 수 없다.

 

제5조(백업자료의 복구)

백업자료의 복구시에는 경미한 사항(데이터파일 소량복구 등)을 제외

하고는 복구 대상 시스템, 자료명, 용량, 소요시간과 복구작업 참

여 관계자, 복구로 인한 시스템 영향 등을 분석, 작성하여 전산관리자

의 승인 후 복구작업을 수행하고 그 결과를 문서화하여야 한다.

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기