보안 조직 및 인력

• 직제규정, 업무분장표 등에 보안관리부서 및 담당자가 지정되어 임무 및 권한이 구체적으로 명시되어 있어야 합니다.

- 보안관리부서 및 담당자의 임무가 구체적이고 명확하여야 합니다.

- 보안담당관의 주요 임무에 다음 사항들이 포함되어야 합니다.

☞ (연구)보안 관련 규정의 제·개정

☞ (연구)보안 관련 계획 수립·조정 및 감독

☞ (연구)보안심사위 운영 및 간사 업무

• 분임 연구보안담당관의 주요 임무로 다음 사항들이 포함되어 있어야 합니다.

☞ 연구책임자 및 참여연구원에 대한 보안서약서 징구

☞ 정기적인 연구보안교육 및 지도

☞ 연구보안관리 실태점검 및 개선책 마련

☞ 연구개발 보안과제 현황 파악 및 관리

☞ 연구개발 비밀문서 관리 및 운용, 감독

☞ 기타, 연구보안 유관기관 협력 등 연구보안과 관련된 제반 업무

• 보안 총괄부서(담당관)-연구보안 담당부서(담당관)-정보보안 담당부서(담당관) 등 상호 관계는 적절하며 협업이 잘 이루어져야 합니다.

- 보안 유관부서간 협업을 보안규정 등에 제도화하여 이행력을 제고하여야 합니다.

- 중요 보안정책 결정사항을 보안 유관부서간 협의를 통해 도출하여야 합니다.

- 상위 기관 보안감사 및 감사 후속조치 등을 보안 유관부서간 공동 대처하여야 합니다.

- 보안 유관부서간 실질적인 협력이 이루어져야 합니다.

- 보안부서간 직무분장･분리가 잘 되어 있어야 합니다.

• 보안담당관(특히 연구보안담당관)은 보안관련 전문성을 구비하고 있어야 합니다.

- 보안업무는 일반 행정업무와 달리 전문적 분야이므로 학위･자격증 등 직무전문성에 대한 객관적 증명서를 보유하는 것이 보안업무에 대한 협조도와 신뢰도를 높일 수 있습니다.

- 중요 데이터에 대한 공격수단이 나날이 진보함에 따라 취약요인 대응방안도 업그레이드해야 하므로 보안담당관에게 직무전문성 제고 기회를 충분히 부여하면 좋습니다. (관련 예산 확보 권장)

• 일정 수준 이상 보안예산을 편성하며, 보안담당자를 일정 기간(2년 이상 전임) 이상 보임하여야 합니다.

- 국가연구개발사업 간접비 중 ‘연구보안관리비’를 일정 비중 이상 사용하면 좋습니다.

- 보안담당자의 전문성을 확보하기 위해 보직 기간을 최소 2년 이상 유지하여야 합니다.

보안심사위원회

• 보안심사의원회 운영 근거를 마련하여야 합니다.

- 보안규정 등에 (연구)보안사항을 심의하기 위한 심의기구를 운영하여야 합니다.

☞ 보안규정 제･개정 등 중요 보안정책을 심의하기 위한 심의기구를 운영합니다. .
 

- 심사위 위원장･위원을 인사명령을 통해 임면하여야 합니다.

☞ 위원은 임직원 중에서 공식 임명(인사명령을 권장하나 당연직도 가능)하여 소속감･책임감을 부여할 수 있습니다. (외부 전문가 활용 시 보안서약서 징구 필요)

☞ 상위･부설기관, 본원･분원 등 유관 기관간 상호 심사위원 편성도 가능합니다.
 

- 심사위 위원장 직급이 부원장･연구본부장급 이상이면 좋습니다.

☞ 위원은 위원장(부원장급, 심사위 위상 제고) 1인, 간사 1인(보안담당관급)을 포함, 5∼10인 이내로 구성하는 것을 권장합니다.

• 보안심사위원회 심의사항은 다음 항목을 포함하여 적절하게 규정되어야 합니다.

- 보안 관련 규정 제개정 및 보안업무 추진계획 심사분석을 포함하여야 합니다.

☞ 보안 관련 규정 제･개정과 연간 보안업무 추진계획 및 이에 대한 심사분석은 기관의 보안 관련 정책 및 기본사항을 다루므로 필수적으로 포함되어야 합니다.
 

- 보안위규자 징계뿐만 아니라 우수자 포상도 심의사항에 포함되어야 합니다.

- 연구보안 관련 규정 제･개정 및 연구자료 공개 여부를 심의하는 것도 권장합니다.

☞ 연구보안관리규정･지침 등 제･개정과 연구자료 대외 공개에 따른 보안성검토를 위한 심의기구를 별도로 운영하는 것을 권장한다.

• 보안심사위 운영 절차는 적절하여야 합니다.

- 보안심사위 개최 前 유관 부서에 상정 안건을 요청하여야 합니다.

☞ 全 부서 대상 안건 제출을 요청하여 보안 정책에 대한 직원들의 관심도를 제고하고 함께 참여하는 보안문화 확산을 도모할 수 있습니다.

☞ 필요 시 심사위원이 아니더라도 관계자가 심사위에 출석하여 의견을 낼 수 있는 기회를 부여하는 것도 보안관심도를 제고하는 한 방법입니다.
 

- 최종 상정할 안건을 심사위원들에게 최소 3일전 배포 회람하는 것이 좋습니다.

☞ 심사위 개최 시 안건을 심의하는 경우(특히 서면심의) 심도 있는 검토가 어려울 가능성이 크므로 사전에 안건을 회람하여 심사위 내실을 기할 수 있습니다.
 

- 심사위를 대면회의로 개최하는 것을 권장합니다.

☞ 편의를 위해 온라인 또는 서면심의 할 수 있으나, 대면회의가 전혀 없는 회의체는 위원들의 소속감･책임감을 약화시키고 상정 안건에 대한 심도 있는 의견 교환이 어려우므로 중요 보안정책 심의는 대면회의를 권장합니다.

☞ 한편, 서면심의가 필요한 사항을 예외적으로 규정하고 가능한 경우를 구체적으로 적시하여 가급적 대면회의가 활성화되도록 관련 규정을 정비합니다.
 

- 심사위에 상정된 각 안건에 대한 위원별 의견이 기록된 회의록을 유지하여야 합니다.

☞ 보안담당관이 변경되더라도 후임 보안담당관이 주요 보직자들(심사위원)의 보안정책 관련 개별 의견들을 구체적으로 확인하여 기관 보안정책의 연속성을 확보할 수 있도록 위원들의 각 안건별 의견을 구체적으로 기재하도록 유도합니다.

• (연구보안)심사위 심의가 집행력이 있도록 후속조치를 적절히 수행하여야 합니다.

- 심사위원들이 개별 안건에 대해 可･否 표시를 하는가?

☞ 복수의 안건에 대해 일괄로 可･否 표시하는 경우 각 위원별로 특정 안건에 대한 찬성･반대 입장을 확인할 수 없습니다.
 

- 심의결과를 기관장에게 보고하여야 합니다.

☞ 심의결과를 기관장에게 보고하여 재가를 받음으로써 심사위 심의결과에 대한 기관장의 관심을 유도하고 보안부서 보안정책의 권위･집행력을 높일 수 있습니다.
 

- 심의결과를 직원들에게 공유하여야 합니다.

☞ 보안심사위 심의결과 및 기관장 보고 사실을 직원들에게 공유함으로써 보안정책 추진 동력을 확보하고 직원들이 능동적으로 동참할 수 있게 할 수 있습니다.

보안업무 중장기 계획

• 기관의 보안환경을 고려한 중장기 보안업무 추진계획을 수립하여야 합니다.

- 조직 변경, 시설 증개축, 기관장 신규 부임, 대규모 국가R&D 참여 등 보안환경 변화(예상) 시 특별 보안대책을 수립하거나 기존 보안대책을 검토가 필요합니다.

☞ 보안환경 변화 요인에 능동적으로 대처하여 보안취약점 개선대책이 포함된 최소 3년(권장) 동안의 중장기 보안업무 추진계획을 수립합니다.

☞ 기관 차원의 「중장기 보안업무 추진계획」 수립･시행은 舊 ‘국가연구개발사업의 관리 등에 관한 규정’ 상의 의무사항은 아니나, 보안업무 특성상 장기간에 걸친 체계적･일관적 보안정책 수립이 필요합니다.
 

- 수립한 중장기 보안업무 추진계획과 연도별 추진계획이 연계되어 있어야 합니다.

☞ 수립한 중장기 계획은 기관 차원의 연도별 계획과 연계되어야 정책의 실효성을 담보하고 이행력을 제고할 수 있습니다.
 

- 정기적으로 자체 보안취약점을 분석하거나 외부 전문기관의 컨설팅을 실시하여야 합니다.

☞ 기관의 보안취약 사항을 점검하여 자체 또는 외부 컨설팅(5년 단위 권장)을 통해 보안대책을 수립합니다.

• 기관의 중장기 보안계획과 연계하여 다음 보안조치 항목을 만족하는 연간 보안업무 추진계획을 수립･시행하여야 합니다.

- 전년도 보안업무 심사분석결과(특히, 미진 부분) 반영

- 분야별(일반･연구･정보보안) 구체적 추진계획 포함

- 연간 계획과 연계한 월별 상세 추진계획 수립

- 연간 계획을 시행하기 위한 소요 예산(안) 편성

- 매년 1월 내 연간 계획 수립

- 연간 계획을 보안심사위를 통해 심의･의결

- 수립된 연간 계획을 기관장에게 보고

- 수립된 연간 계획을 직원과 공유

• 연간 보안업무 추진계획과 연계하여 다음 보안조치 항목을 만족하는 연간 보안업무 심사분석을 실시하여야 합니다.

- 연간 보안업무 추진계획 대비 추진실적 분석

- 미진사항에 대한 원인 분석 및 개선대책 마련

- 연간 보안업무추진계획 수립 전까지 전년도 추진계획에 대해 심사분석 완료

- 전년도 12월에서 익년도 1월 내 심사분석

- 심사분석을 보안심사위를 통해 심의･의결(또는 보고)

- 시행된 심사분석 기관장 보고

보안관련 상벌조치

• (연구)보안우수자 포상을 실시하여야 합니다.

- 보안유공자 포상 근거 및 기준이 있어야 합니다.

- 보안업무 담당 직원 및 국가R&D 참여연구원 대상으로도 정기적으로 포상을 실시하여야 합니다.

- 보안유공을 인사고과 등에도 반영하여, 기관 보안정책에 대한 실질적인 참여를 유도하여야 합니다.

• 보안위규자 처리기준 등 근거를 바탕으로 보안점검 등과 연계하여 경중･빈도에 따른 징계 등 불이익 처분 실시하여야 합니다.


• 보안 관련 포상 및 징계는 기관의 보안정책과 연계되어 보안심사위 심의･의결을 거쳐 객관성･공정성을 확보하고 그결과를 全직원과 공유하여 보안의 생활화를 유도하여야 합니다.

보안교육

• 보안교육 계획은 연간 단위 이상으로 적절하게 수립되어 보안 유관부서간 협의를 통해 연간 보안업무 추진계획과 연계하여교육대상별 및 보안분야별 온･오프라인 연간 교육계획을 수립, 全직원대상 사전 공지하여야 합니다.
   
• 교육자료는 보안분야별(일반･연구･정보보안 등)･대상별(신입･재직･퇴직･용역･외국인･해외출장자 등)로 맞춤 교육자료를 구비하여야 합니다.
   
• 연간 보안교육 계획에 의거하여 연 1회 이상 대상별로 보안교육을 실시하고 법정교육化 등 교육참석률 제고를 위한 다양한 방법으로 운영하여야 합니다.
   
• 다음과 같은 보안교육 후속조치로 교육효과를 제고하여야 합니다.

- 교육참석 현황 유지･관리(개인별 관리)

- 교육참석자 대상 교육후기 설문조사 실시

- 설문 조사결과를 향후 보안교육 개선에 활용

- 교육불참자 再교육 계획 수립 및 이행

- 위 항목이 포함된 교육결과 보고서 작성

- 결과 보고서를 기관장에게 보고

보안점검

• 보안감사･보안점검 계획을 적절히 수립여야 합니다.

- 기관 보안규정에 보안점검 실시 근거 마련

- 보안업무 추진계획과 연계하여 보안점검 계획 수립

- 점검 계획에 점검반･점검일시･점검대상･점검항목 등을 구체적으로 포함

- 보안영역(일반･연구･정보보안 등)별 담당자 합동 점검

보안점검 체크리스트

1. 비인가 휴대용 저장매체 사용

2. 비인가 무선랜 사용

3. PC 최신 S/W 업데이트

4. PC 공유폴더 사용(필요시 비밀번호 설정)

5. 중요 연구자료 등 문서･서류 방치

6. USB 및 노트북 등 IT장비 방치

7. 중요 연구자료 보관 장소 시건

• 보안점검 계획에 의거 보안 유관부서 합동으로 연 2회 이상 불시 보안점검 실시하여야 합니다.  
• 보안점검 후속조치를 통해 점검효과를 제고하여야 합니다.

- 보안위규자 대상 경징계 처리기준 적용

- 同 기준에 따라 보안심사위원회를 통해 처리 방안 심의･의결

- 同 의결 내용에 따라 기관장 '구두경고'･‘서면경고’ 등 처분

- 각 부서별･개인별 보안위규 내용 및 처분결과 유지･관리

- 보안취약요인 및 개선대책이 포함된 점검결과 보고서 작성

- 同 결과 보고서를 기관장에게 보고

- 보안점검 결과를 기관의 보안우수자 포상 등에 반영

- 보안점검 결과를 직원과 공유

보안인식 제고

• 보안인식 제고를 위한 각종 홍보 및 이벤트 계획을 보안 유관부서간 협의를 통해 인식제고 방법･예산 등에 대해 사전 계획 수립하여야 합니다.
   
• 보안인식 제고를 위해 다음과 같은 구체적 활동이 가능합니다.

- 全직원 대상 보안표어 공모전, 아이디어 경진대회, 연구노트 경진대회 등 실시

- 중요 보안수칙이 기재된 마우스 패드 등 생활용품이나 기념품 등 제작･배포

- 보안점검, 보안이벤트 등과 연계된 마일리지 혹은 포인트 제도 등 운영

- 중요 출입구 등에 보안경각심 제고를 위한 보안포스터 등 게시

- 보안인식 제고를 위해 기관 차원 캠페인･워크숍 등 실시

- 보안인식 제고를 위해 全직원 대상 설문조사 실시

보안사고 대응

• 보안사고 예방･대응 절차 및 방법 등을 명시한 규정･지침･매뉴얼 등이 마련되어 있어야 하며 同메뉴얼에는 보안사고 발생 시 단계별 대응방법과 상황 보고체계, 비상연락 체계 등이 팀별･직책별로 구체적으로 명시되어야 합니다.
   
• 보안사고 발생 시 대응 및 보고 절차 적절하여야 합니다.

- 연구보안사고 발생 사실을 최초로 인지한 직원은 상급자 또는 보안담당관(연구보안담당관)에게 최대한 빠른 시간 내에 보고합니다.

- 연구보안담당관이 최초 보고 받은 경우 보안사고 사실을 보안담당관에게 즉시 구두 통보, 피해가 더 이상 확산되지 않도록 초기 대응합니다.

- 보안담당관은 연구보안사고 대응팀을 즉시 소집하여야 하며 대응전략을 구체화하여 신속하게 대응조치합다. (필요시 국가정보원 등 정보수사기관에 협조 요청)

- 기관장 및 중앙행정기관의 장은 연구보안 사고 조사가 완료될 때까지 관련내용을 비공개로 진행합니다.

- 연구보안담당관 및 보안담당관은 연구보안사고 세부내용을 신속 파악하여 기관장에게 보고하고, 기관장은 사고 발생일로부터 5일내 세부 내용을 중앙행정기관의 장에게 추가로 제출합니다.

- 연구보안사고 발생 사실을 최초로 인지한 직원은 상급자 또는 보안담당관(연구보안담당관)에게 최대한 빠른 시간 내에 보고합니다.

- 연구보안담당관이 최초 보고 받은 경우 보안사고 사실을 보안담당관에게 즉시 구두 통보, 피해가 더 이상 확산되지 않도록 초기 대응합니다.

- 보안담당관은 연구보안사고 대응팀을 즉시 소집하여야 하며 대응전략을 구체화하여 신속하게 대응조치합니다. (필요시 국가정보원 등 정보수사기관에 협조 요청)

- 기관장 및 중앙행정기관의 장은 연구보안 사고 조사가 완료될 때까지 관련 내용을 비공개로 진행한다.

- 연구보안담당관 및 보안담당관은 연구보안사고 세부내용을 신속 파악하여 기관장에게 보고하고, 기관장은 사고 발생일로부터 5일내 세부 내용을 중앙행정기관의 장에게 추가로 제출합니다.