[학습] 집적정보 통신시설 보호지침

집적정보 통신시설 보호지침

[시행 2017. 8. 24.] [과학기술정보통신부고시 제2017-7호, 2017. 8. 24., 타법개정]

---

제1장 총칙

 

제1조(목적)

이 지침은「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라 한다) 제46조 및 같은 법 시행령 제37조제2항에 따라 집적정보통신시설을 운영·관리하는 사업자가 취하여야 하는 보호조치의 세부적 기준 등 집적정보통신시설 보호를 위해 필요한 사항에 대하여 정하는 것을 목적으로 한다.

 

제2조(정의)

이 지침에서 사용하는 용어의 정의는 다음과 같다.  

1. "집적정보통신시설"이라 함은 법 제2조제2호에 따른 정보통신서비스를 제공하는 고객의 위탁을 받아 컴퓨터장치 등 전자정부법 제2조제13호에 따른 정보시스템을 구성하는 장비(이하 "정보시스템 장비"라 한다)를 일정한 공간(이하 "전산실"이라 한다)에 집중하여 관리하는 시설을 말한다. 

2. "주요시설"이라 함은 중앙감시실, 항온항습시설, 전산실, 전력감시실, 전력관련시설(축전지설비, 자가발전설비, 수변전설비), 통신장비실 및 방재센터를 말한다. 

3. "중앙감시실"이라 함은 주요 시설물의 작동상황을 파악할 수 있는 시설로서, 경보장치, 화재감지센서, CCTV 등 집적정보통신시설을 보호하기 위한 장비의 작동상황을 통합적으로 감시하고 제어하는 장소를 말한다. 

4. "전력감시실"이라 함은 각종 전력의 작동상황을 감시·제어하기 위하여 필요한 장비가 설치된 장소를 말하며 중앙감시실과 통합하여 운영될 수 있다. 

5. "수변전설비"라 함은 전기를 공급하는 사업자로부터 여러 가지 수전방법에 의하여 전원을 공급받아 집적정보통신시설에서 사용할 수 있도록 하는 수전·변전 및 배전 기능을 수행하는 설비를 말한다. 

6. "통신장비실"이라 함은 전송장비, 주배선반(MDF), 라우터, 기타회선 관련 장비 등 전기통신사업법 제2조제3호에 따른 전기통신설비가 설치된 장소를 말한다. 

7. "방재센터"라 함은 화재의 발생에 대비하여 이를 감시하기 위하여 필요한 장비가 설치된 장소를 말하며 중앙감시실과 통합하여 운영될 수 있다. 

8. "업무연속성계획"이라 함은 집적정보통신시설이 재난시에도 핵심업무를 수행하기 위한 예방, 대응, 복구계획을 포함한 총괄 운영계획을 말한다. 

 

제2장 보호조치

 

제3조(출입자의 접근제어 및 감시)

① 집적정보통신시설을 관리·운영하는 사업자(이하 "사업자"라 한다)는 집적정보통신시설을 출입하는 자를 감시·통제하고 권한 없는 자의 출입을 방지하기 위하여 다음 각 호에 해당하는 조치를 하여야 한다. 

1. 주요시설의 출입구에 신원확인이 가능한 출입통제장치를 설치할 것 

2. 집적정보통신시설을 출입하는 자의 신원 등 출입기록을 유지·보관할 것 

3. 주요시설 출입구와 전산실 및 통신장비실 내부에 CCTV를 설치할 것 

4. 고객의 정보시스템 장비를 잠금장치가 있는 구조물에 설치할 것 

② 사업자는 제1항에 따른 보호조치를 효율적으로 수행하기 위하여 중앙감시실을 설치·운용하여야 한다. 

 

제4조(각종 재난에 대비한 보호조치)

① 사업자는 집적정보통신시설에 안정적으로 전원을 공급하고 지진, 수해 및 화재 등으로 인한 전원공급이 중단되는 경우에 대비하기 위하여 다음 각호에 해당하는 조치를 하여야 한다. 

1. 전력관련시설(축전지설비, 자가발전설비, 수변전설비)의 상황파악 및 통제를 위한 전력감시실 또는 중앙감시실을 설치할 것 

2. 전력공급의 중단을 방지하기 위하여 UPS(무정전전원장치)와 축전지설비를 보유하고, 장시간 외부에서의 전원공급이 중단될 경우에 대비하여 자체 전력공급을 위한 자가발전설비를 구비할 것 

3. 수전, 변전 및 배전기능을 갖춘 수변전실을 두어야 하며 배전반에 단락, 지락, 과전류 및 누전을 방지하기 위하여 필요한 장비를 설치할 것 

4. 주요시설에는 기존 조명설비의 작동이 멈추는 경우에 대비하여 비상조명을 설치할 것 

② 사업자는 각종 전원장비를 보호하기 위하여 다음 각 호에 해당하는 조치를 하여야 한다. 

1. 주요시설의 각종 전원장비에 대한 접지시설을 할 것 

2. 전산실에 온습도 측정이 가능하도록 항온항습기를 설치할 것 

③ 사업자는 도난 및 테러 등으로부터 집적정보통신시설을 보호하기 위하여 다음 각 호에 해당하는 조치를 하여야 한다. 

1. 전산실은 천장을 통하여 외부와의 왕래가 불가능하도록 차단하는 조치를 할 것 

2. 주요시설이 설치된 건물내부의 창문을 강화유리로 설치하고 개폐가 되지 않도록 할 것 

④ 사업자는 지진, 수해 및 화재 등 재난으로부터 집적정보통신시설을 보호하기 위하여 다음 각호에 해당하는 조치를 하여야 한다. 

1. 건물은 UPS 등 무거운 장비의 하중에 견딜 수 있도록 필요한 내력구조를 갖추어야 하며 필요시 하중분산시설을 설치할 것 

2. 건물은 물리적 충격 및 화재에 견딜 수 있도록 철골조, 철근 콘크리트 및 내화 건축자재를 사용하고 방화문을 설치할 것 

3. 누수에 의한 피해를 예방하기 위하여 주요시설의 천장 및 바닥은 방수시공을 할 것 

⑤ 사업자는 지진, 수해, 화재 등 각종 재난으로부터 주요시설 설비의 안전운영을 위하여 주요시설 설비 안전운영매뉴얼을 수립하여 관련 직원을 대상으로 교육하고 주기적으로 관리감독하여야 한다. 

⑥ 사업자는 주요시설 설비의 변경이 발생한 때에는 관련분야 전문가로부터 변경사항에 대한 안전성 검토를 받아야 한다. 이때 관련전문가는 건축·전기설비·소방설비·재난 등 변경사항에 관련한 전문지식을 지닌 자를 말한다. 

 

제5조(관리인원의 선발 및 배치)

① 사업자는 24시간 경비가 가능하도록 상근 경비원을 두어야 한다. 

② 사업자는 주요시설의 유지·관리를 수행하는 관련분야 2년이상의 경험이 있는 전문인력을 두어야 한다. 

③ 사업자는 집적정보통신시설의 효율적 관리·운영을 위하여 제2항에 따른 전문인력과 소속 인력에 대한 교육·훈련을 실시하여야 한다. 

④ 사업자는 집적정보통신시설의 보호를 위하여 다음 각 호에 해당하는 업무를 수행하는 관리책임자를 두어야 한다. 

1. 집적정보통신시설 보호계획의 수립 및 시행 

2. 집적정보통신시설에 대한 물리적·기술적, 인적·제도적 안전성 점검 ·지도 

3. 제3항에 따른 교육·훈련의 실시 

4. 재난대비 업무연속성계획의 수립 및 시행 

5. 기타 집적정보통신시설의 보호를 위하여 사업자가 지시하는 관리·감독 업무 

 

제6조(시설보호계획과 업무연속성계획의 수립 및 시행)

① 사업자는 해킹·컴퓨터바이러스 유포 등의 전자적 침해행위와 정전·화재 기타 각종 재난으로부터 집적정보통신시설을 보호하기 위하여 다음 각 호의 사항을 포함하는 계획(이하 "시설보호계획”이라고 한다.)을 수립·시행하여야 한다. 

1. 시설 보호의 목적 및 범위 

2. 시설보호 조직·인력의 구성 및 운영에 관한 사항 

3. 시설보호를 위한 교육·훈련에 관한 사항 

4. 침해사고 예방·대응 및 복구 대책 

5. 기타 시설의 안전한 운영·관리를 위한 지침 

② 사업자는 해킹·컴퓨터바이러스 유포 등의 전자적 침해행위와 정전·화재 기타 각종 재난으로부터 업무기능을 중단없이 수행하기 위하여 다음 각 호의 사항을 포함하는 계획(이하 "업무연속성계획”이라고 한다.)을 수립·시행하여야 한다. 

1. 재난대응 및 업무재개, 복원활동 수행을 위한 조직 및 운영에 관한 사항 

2. 재난 유형별 긴급대응 및 업무재개, 복원활동을 위한 세부절차 및 활동내용 

3. 주기적인 모의훈련 수행을 위한 계획수립, 훈련실시, 사후 평가 및 개선방안 반영 

4. 기타 재난대응 및 업무재개 등을 위해 필요한 사항 

③ 사업자는 제1항 및 제2항에 따른 시설보호계획 및 업무연속성계획을 성실히 준수하여야 하며 업무환경의 변화 등으로 인하여 계획의 수정·보완이 필요한 경우에는 지체없이 검토·보완하여야 한다. 

 

제8조(세부기준)
제3조부터 제6조까지에 따라 사업자가 의무적으로 준수하여야 하는 보호조치의 세부적인 기준은 별표와 같다.

 

제3장 보호조치 이행 검사 및 평가

 

제9조(검사의 실시)

① 과학기술정보통신부는 사업자가 제3조부터 제8조까지에 따른 보호조치 의무를 성실히 이행하였는지 여부를 확인하기 위하여 법 제64조제3항에 따른 검사(이하 "검사"라 한다)를 실시한다. 

② 과학기술정보통신부가 검사를 실시하는 때에는 법 제64조제10항에 따라 한국인터넷진흥원장(이하 "인터넷진흥원장"이라 한다)에게 필요한 지원을 요청할 수 있다. 

③ 인터넷진흥원장은 제2항에 따라 검사를 지원하는 때에는 건축·전기설비·소방설비·재난에 관한 전문지식을 지닌 자, 정보보호에 관한 전문지식을 지닌 자가 참여하는 전담반을 구성하여야 한다. 

④ 인터넷진흥원장은 검사를 효율적으로 지원하기 위하여 전담반의 구성·운영, 지원 절차 및 방법에 관하여 필요한 사항을 정하여야 한다. 

 

제10조(검사결과의 처리)

① 인터넷진흥원장은 제9조에 따라 검사를 지원한 때에는 그 결과를 과학기술정보통신부에 통지하여야 한다. 

 

제11조(평가)

① 과학기술정보통신부는 사업자가 희망하는 때에는 인터넷진흥원장으로 하여금 사업자의 신청을 받아 집적정보통신시설의 안전·신뢰성에 대한 평가를 실시하게 할 수 있다. 

② 인터넷진흥원장은 제1항에 따른 평가를 실시하는 경우에는 평가기준, 절차 및 방법 등에 관하여 필요한 사항을 정하여야 한다. 

 

제12조(재검토기한)

「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제334호)에 따라 이 고시에 대하여 2018년 1월 1일 기준으로 매3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.