제1장 총칙

조항
	제1조(목적)

이 규정은 숙명여자대학교(이하 "본교" 라 한다)의 정보보호를 위한 최상위 정책을 포함하는 규정으로 본교의 정보자산을 내·외부로부터의 훼손, 위변조, 도난, 유출, 파괴 등의 다양한 형태의 위협으로부터 안전하게 보호하기위해 필요한 기본적인 사항에 대해 규정함을 목적으로 한다.

조항
	제2조(용어의 정의)

이 규정에서 사용하는 용어의 정의는 다음 각 호와 같다.

1. "정보자산"이라 함은 캠퍼스망 연결 여부, 용도 및 소유와 관계없이 본교 내의 모든 컴퓨터, 네트워크 장비, 주변기기, 소프트웨어와 그 내용을 말한다.

2. "구성원"이라 함은 본교의 정관, 학칙 및 규정의 적용을 받는 교원, 직원 및 학생 등을 말한다.

3. "사용자"라 함은 본교의 정보자산을 이용할 수 있도록 허가받은 자를 말한다.

4. "정보시스템"이라 함은 서버ㆍPC 등 단말기, 보조기억매체, 네트워크 시스템, 정보보호시스템 등 정보통신에 이용되는 컴퓨터 기능을 보유한 모든 시스템을 말한다.

5. "응용프로그램"이라 함은 특정한 업무를 처리하기 위하여 만들어진 프로그램 및 데이터베이스를 말한다.

6. "정보통신망"이라 함은 「전기통신기본법」 제2조제2호의 규정에 의한 전기통신설비를 활용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신하는 정보통신체제를 말하며 정보시스템 일체를 포함한다.

7. "정보보호"이라 함은 정보시스템 및 정보통신망을 통해 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송수신 되는 정보의 훼손, 위변조, 도난, 유출, 파괴 등을 방지하기 위하여 관리적ㆍ기술적· 물리적 수단을 강구하는 일체의 행위로서 사이버안전을 포함한다.

8. "시스템관리자"라 함은 서버, 네트워크, 데이터베이스 등의 업무분야를 관리하고 있는 각 담당자를 말하며, 소속기관의 서버 담당자 및 업무시스템 운영자를 포함한다.

9. "외부자"라 함은 본교와 계약에 의해 용역 및 서비스를 제공하는 외부 전문가와 외부용역업체, 기타 본교 정보자산에 접근이 허용된 자 및 업체를 말한다.

10. "침해사고"란 해킹 및 컴퓨터바이러스의 유포 등으로 인하여 정보시스템의 정상적인 운영에 대한 방해, 정보의 훼손, 위변조, 도난, 유출, 파괴 등이 발생한 사태를 말한다.

11. 정보보호 관리체계 : 본교의 주요 정보자산을 보호하기 위해 수립·관리·운영하고 있는 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 말한다.

조항
	제3조(적용 대상과 범위)

① 이 규정의 적용 대상은 본교의 교내 정보자산을 이용하는 모든 정보시스템, 본교의 구성원 및 외부자로 한다.

② 모든 구성원은 본교 홈페이지 규정시스템을 통해 정보보호 규정의 내용을 열람·숙지 의무가 있으며 이 규정을 준수하지 않아 발생한 사고의 책임은 원칙적으로 구성원 본인에게 있다.

제2장 정보보호 조직

조항
	제4조(정보보호 조직)

정보보호를 위한 조직은 정보보호최고책임자, 정보보호관리자, 시스템관리자로 구성한다.

조항
	제5조(운영부서)

정보보호 조직의 운영은 디지털정보혁신처 디지털인프라팀에서 담당한다. (개정 2020.11.30.)

조항
	제6조(정보보호최고책임자)

① 정보보호최고책임자(이하 "최고책임자"라고 한다)는 본교의 정보보호과 관련된 업무를 총괄하는 자로 디지털정보혁신처장이 그 역할을 수행한다. (개정 2020.11.30.)

② 최고책임자는 정보보호관리자, 시스템관리자, 부서별 정보보호관리자를 선임할 수 있고, 정보보호 관련 업무를 지시할 수 있다.

③ 최고책임자는 정보보호관리자 및 시스템관리자의 업무를 관리ㆍ감독한다,

④ 최고책임자는 정보보호 업무의 효과적인 수행을 위하여 부서별 정보보호관리자를 둘 수 있다.

⑤ 최고책임자는 다음 각 호의 기능을 수행한다.

1. 정보보호 정책 및 기본계획 검토

2. 정보보호관리체계 검토 및 승인

3. 정보보호 관련 규정 제ㆍ개정에 대한 검토

4. 정보보호 관련 정책시행문서 제·개정에 대한 검토 및 승인

5. 정보보호 조직의 구성 및 운영

6. 정보보호위원회에 정보보호 분야 안건 심의 주관

7. 정보보호 업무 지도ㆍ감독

8. 기타 정보보호 관련 사항

조항
	제7조(정보보호관리자)

① 정보보호관리자는 최고책임자를 보좌하여 정보보호조직을 운영하는 역할을 담당한다.

② 정보보호관리자는 최고책임자로부터 권한을 위임받아 다음 각 호의 업무를 수행한다.

1. 정보보호 관련 연간 계획 수립 및 시행

2. 정보보호관리체계 수립 및 시행

3. 정보보호 관련 규정류에 대한 검토 및 제·개정업무 수행

4. 정보보호 시스템의 운영 및 유지 수행

5. 시스템 관리자 업무 관리ㆍ감독

6. 정보보호 감사 및 심사분석

7. 침해사고 예방 및 대응 활동 수행

8. 기타 정보보호와 관련된 활동 수행

조항
	제8조(시스템관리자)

시스템관리자는 정보시스템의 안정적인 운영을 위하여 다음 각 호의 업무를 수행한다.

1. 정보통신망에 운용되는 데이터를 그 중요도에 따라 분류하고 적절한 관리기준 및 절차를 수립·시행

2. 본 규정 및 별도의 지침에 따라 정보시스템에 대한 정보보호 점검 및 관리

3. 시스템 장애, 정전, 침해사고 등으로부터 정보를 보호하기 위해 정기적으로 데이터백업 등 적절한 조치 수행

4. 침해사고나 시스템 장애가 발생했을 경우 이를 즉시 최고책임자에게 보고

5. 기타 정보시스템이 정상적인 가동상태로 운영되기 위한 제반 활동 수행

제3장 위원회

조항
	제9조(정보보호위원회 구성)

① 정보보호 및 대학 정보화에 관한 사항을 심의ㆍ의결하기 위하여 정보보호위원회(이하 "위원회"라고 한다.)를 둔다.

② 위원회는 위원장을 포함한 10인 이내의 위원으로 구성하되, 최고책임자, 사무·관리처장, 교무처장, 학생처장, 디지털인프라팀장, 총무구매팀장은 당연직 위원이 된다. (개정 2020.11.30.)

③ 위원장은 최고책임자가 되고, 위원은 위원장의 제청으로 총장이 임명한다.

④ 당연직 위원의 임기는 보직 재임기간으로 하며 그 외 위원의 임기는 2년으로 하며, 연임할 수 있다.

⑤ 위원회에는 정보보호관리자를 실무 간사로 둔다.

조항
	제10조(기능)

위원장은 다음 각 호의 사항에 대하여 안건으로 부의할 수 있으며, 위원회는 이를 심의한다.

1. 정보보호 규정 및 대책 수립에 관한 사항

2. 정보보호 신규 사업 추진에 관한 사항

3. 정보보호 관련한 계획 수립에 관한 사항

4. 대학정보화 발전 전략

5. 기타 위원장이 부의하는 사항 또는 위원회에서 필요하다고 정한 사항

조항
	제11조(위원장 등의 직무)

① 위원장은 위원회를 대표하며 위원회의 회무를 총괄하고, 실무간사는 위원장의 업무를 보좌한다.

② 위원장은 필요한 경우 관련부서에게 자료 제출 및 설명, 보고 등의 방식으로 위원회의 업무에 협력할 것을 요구할 수 있다.

조항
	제12조(회의)

① 회의는 위원장이 필요하다고 인정하는 경우 또는 재적위원 과반수의 요구가 있을 때 위원장이 소집한다.

② 위원회는 원칙적으로 위원이 출석하는 회의로 개최한다. 다만, 다음 각 호의 사유가 있는 경우에는 서면(이메일 포함)에 의하여 심의할 수 있다.

1. 안건의 내용이 경미한 경우

2. 긴급한 사유로 위원이 출석하는 회의를 개최할 시간적 여유가 없는 경우

3. 그 밖의 천재지변 및 재난 등으로 대면 회의 개최가 불가능한 경우

③ 회의는 재적위원 과반수의 출석으로 개최하며, 출석위원 과반수의 찬성으로 의결한다. 다만, 이메일을 이용한 회의의 경우에는 회신을 출석으로 간주한다.

④ 위원장은 가부동수인 때에 결정권을 갖는다.

조항
	제13조(산하기구)

위원회의 효율적인 운영을 위하여 산하에 정보보호실무위원회를 둘 수 있다.

조항
	제14조(정보보호실무위원회 구성)

① 정보보호에 관한 실무적인 사항을 검토ㆍ조율하기 위하여 정보보호실무위원회(이하 "실무위원회"라고 한다.)를 둔다.

② 실무위원회는 위원장을 포함한 10인 이내의 위원으로 구성하되, 디지털인프라팀장, 교무팀장, 학사팀장, 총무구매팀장, 직원인사팀장은 당연직 위원이 된다. (개정 2020.11.30.)

③ 위원장은 디지털인프라팀장이 되고, 위원은 위원장의 제청으로 총장이 임명한다. (개정 2020.11.30.)

④ 당연직 위원의 임기는 보직 재임기간으로 하며 그 외 위원의 임기는 2년으로 하며, 연임할 수 있다.

⑤ 실무위원회에는 정보보호관리자를 실무 간사로 둔다.

조항
	제15조(기능)

위원장은 제10조의 각 호의 실무적인 사항에 대하여 안건으로 부의할 수 있으며, 실무위원회는 이를 검토·조율한다. (개정 2020.11.30.)

조항
	제16조(위원장 등의 직무 및 회의)

위원장의 직무 및 회의에 관하여는 제11조 및 제12조의 규정을 준용한다. (개정 2020.11.30.)

조항
	제17조(비밀유지의무)

위원회 위원 및 실무위원회 위원은 직무상 인지한 본교의 보안 및 발전에 중대한 영향을 줄 수 있는 비밀을 누설하여서는 안된다.

제4장 정보보호 정책

조항
	제18조(기본수칙)

① 사용자는 개인별 사용자 계정 및 비밀번호의 기밀을 유지해야 하며, 본래의 발급 목적으로만 사용하여야 한다.

② 사용자는 허가받은 정보시스템의 권한이 부여된 영역에 대하여 본래의 목적으로만 사용할 수 있다.

③ 사용자는 정보시스템의 성능저하 및 보안상 위험을 초래할 수 있는 행위를 해서는 아니 되며, 이러한 행위를 한 자가 발견될 경우에는 소속부서의 장 또는 운영부서에게 알려야 한다. (개정 2020.11.30.)

④ 정보 자산과 연관된 저작권ㆍ특허권 및 소프트웨어 라이센스의 사용 조건을 숙지하고 이를 준수하여야 한다.

⑤ 본교 정보통신망을 신설ㆍ변경 및 폐기하고자 하는 경우에는 최고책임자의 사전승인을 얻어야 한다.

⑥ 운영부서는 주기적인 보안 점검을 통해 본교 정보통신망 및 정보시스템의 안정성을 점검하고, 정보보호정책의 준수 여부를 평가하며 본교 모든 사용자는 이에 적극 협조하여야 한다.

⑦ 업무와 관련해 습득한 정보자산은 본교의 허락 없이 외부에 누설하여서는 아니 된다.

⑧ 정보보호 사고를 예방하기 위해서 최고책임자의 승인을 받은 정보보호시스템 및 정보보호 활동은 즉시 시행할 수 있다.

조항
	제19조(정책 수립 및 공표)

① 운영부서는 본 규정 및 정책 시행 문서(지침, 절차 등)는 대내외적인 정보보호환경 및 국내외 유관 법령, 규제 등을 반영하여 수립하여야 한다.

② 본 규정의 제·개정은 본교의 「규정류관리규정」에 따른다.

③ 본 규정을 구체적으로 시행하기 위한 세부사항은 하위 지침에 작성하도록 하며 실무위원회의 검토를 거쳐 최고책임자의 승인을 받아야 한다.

④ 승인된 정보보호 관련 규정의 제·개정 내용과 시행 사실은 구성원이 알 수 있도록 본교 홈페이지 규정시스템,메일, 업무시스템(그룹웨어 등), 인쇄 문서 등 이해하기 쉬운 방법으로 공표하여야 한다.

조항
	제20조(정책의 유지관리)

① 운영부서는 보안점검 및 정보보호 감사 결과분석 등을 통해 규정 및 지침 등의 적절성을 연 1회 이상 검토하여 필요한 경우 제·개정한다.

② 제1항의 정기적인 타당성 검토 이외에 다음과 같은 상황이 발생했을 경우 추가로 검토하여 제·개정할 수 있다

1. 개인정보 및 정보보호 관련 법령 제ㆍ개정

2. 중대한 내ㆍ외부 보안사고 발생

3. 정보보호 및 IT 환경의 중대한 변화

4. 대학 및 교육 정책 등의 중대한 변화

5. 그 밖에 변경의 필요성이 인식된 경우

조항
	제21조(정책 문서의 관리)

① 본 규정 및 지침 등은 변경사항(일자, 내용, 작성자, 승인자)에 대한 이력 관리가 되어야 하며, 최신본을 유지하여 언제든지 확인할 수 있도록 한다.

② 정보보호 관리체계와 관련 있는 각 지침 및 절차에 따른 주요 문서의 목록을 유지·관리한다.

제5장 정보보호 관리체계

조항
	제22조(위험 관리)

① 운영부서는 정보보호 관리체계 범위 내의 정보자산에 대해서 관리적, 기술적, 물리적, 법적 분야 등 정보보호 전 영역에 대한 연 1회 이상 위험 식별 및 평가를 실시한 후 그 결과에 따라 적절한 정보보호 관리 활동을 한다.

② 위험분석 및 평가결과에 근거하여 위험감소를 위한 정보보호 대책을 수립한다.

③ 운영부서는 주요 정보보호대책의 실행 우선순위, 일정, 예산, 담당자, 운영계획 등이 포함된 정보보호 계획을 수립하고 최고책임자의 승인을 받아야 한다. (개정 2020.11.30.)

조항
	제23조(대책 구현)

① 운영부서는 정보보호 계획에 근거한 관리적 대책, 기술적 대책, 물리적 대책을 구현 및 운영하고 그 이행결과를 최고책임자에게 보고하여야 한다. (개정 2020.11.30.)

② 정보보호 인식강화를 위하여 본교 교직원 및 정보화사업 관련 협력업체에 대한 정보보호 인식 교육과 보호대책에 대한 훈련을 실시하여야 한다.

조항
	제24조(사후관리)

① 운영부서는 정보보호 관리체계가 효과적으로 운영되고 있는지 지속적으로 모니터링하여야 하며, 모니터링 감사 결과 발견된 취약점 및 부적합 사항에 대한 적절한 조치를 취해야 한다.

② 운영부서는 불시 또는 주기적인 정보보호 관리체계 점검 및 감사를 통한 운영기록의 확인과 그 결과에 따른 통제 및 개선관리를 하여야 한다.

조항
	제25조(법적 요구 사항 준수)

운영부서는 본교의 정보보호 규정·지침 등에 정보보호 및 개인정보보호 관련 법적 요구사항을 반영하고 준수 여부를 검토하여야 한다.

조항
	제26조(정보보호 감사)

운영부서는 정보보호 감사를 수행하여 정보보호 활동이 적절히 수행되는지 점검하고 문제점을 발견한 경우에는 개선조치하여야 한다.

조항
	제27조(정보자산 관리)

① 운영부서는 정보자산에 대한 최신 목록을 유지, 관리하여야 한다.

② 운영부서는 정보자산의 보호를 위해 보호대책을 마련하고 적용하여야 한다.

③ 운영부서는 정보 자산을 파악하여 자산 가치에 따라 등급화하여야 한다.

조항
	제28조(인적 보안)

① 직원인사팀은 교직원들의 채용부터 퇴직 시까지 일련의 과정에 대한 발생 가능한 위험을 식별하고 대책을 수립하여야 한다.

② 운영부서는 외부자에 의해 발생 가능한 위험을 식별하고 대책을 수립하여야 한다.

조항
	제29조(물리 보안)

운영부서는 비인가자의 물리적인 접근 및 환경상의 재난으로부터 주요 자산을 보호하기 위하여 보호구역을 지정한다.

조항
	제30조(PC 보안)

PC의 운용 및 관리에 있어 고의나 과실에 의한 보안사고 발생 시 책임의 주체는 다음과 같다.

1. 개인 및 업무용 PC : 해당 PC 사용자

2. 실습실,강의실 등의 공용 PC : 실제 관리를 수행하는 PC 관리부서의 장

조항
	제31조(접근통제)

① 본교의 정보 및 정보자산은 승인된 사용자만 접근할 수 있도록 한다.

② 사용자는 직무 분리, 최소 권한의 원칙을 가지고, 접근 권한에 대한 일련의 과정(설정, 변경, 제거 등)을 수행하여야 한다.

조항
	제32조 (데이터 보호 및 암호화)

운영부서는 개인정보 및 중요 데이터 보호를 위히여 법적인 요구사항을 반영한 암호화를 통하여 안전하게 관리하여야 한다.

조항
	제33조 (정보시스템 도입·개발·유지보수)

운영부서는 정보시스템 도입 및 개발 초기부터 관련 정보보호 사항을 파악·적용 및 체계적으로 관리하여 시스템 도입과 유지보수로 인한 정보보호 위험을 최소화하여야 한다.

조항
	제34조 (운영 보안)

① 운영부서는 정보시스템 변경 절차를 수립하고 변경전 성능 및 보안에 미치는 영향을 분석하여야 한다.

② 운영부서는 정보시스템 운영시 발생될 수 있는 위협으로부터 보호하기 위한 방안을 마련하여야한다.

조항
	제35조 (침해사고 예방 및 대응)

① 운영부서는 정보보호 침해사고 발생 시 신속하고 효과적인 사고 대응력 확보를 위해 침해사고 예방 및 대응을 위한 절차를 수립하여야 한다.

② 침해 사고를 인지한 교직원은 운영부서에 즉시 신고하여야 한다.

조항
	제36조 (재해복구)

운영부서는 사람의 실수, 의도적 공격, 재해·재난 등의 비상사태 발생 시 업무 연속성 유지를 위한 재해 복구 절차 및 계획을 수립하여야 한다.

조항
	제37조 (지침 등)

① 이 규정의 시행을 위해 필요한 세부사항은 실무위원회의 심의와 최고책임자의 승인을 얻어 지침사항을 따로 정할 수 있다.

② 이 규정 및 지침 등에 명시되지 않은 사항은 위원회의 의결로 정한다.

조항
	제38조(검토)

매년 1회 이상 정책의 타당성을 검토하여 필요한 경우 제·개정하여야 한다.

조항
	제39조(준용)

이 규정 및 지침 등에 명시되지 않은 사항은 교육부 「정보보안 기본지침」 및 관계 법령에 따른다.