행정기관 정보시스템 접근권한 관리 규정
[국무총리훈령 제526호, 2008.10.29, 제정]
제1장 총칙
제1조(목적) 이 훈령은 「전자정부법」 제27조 및 같은 법 시행령 제34조에 따라 행정기관 정보이용자의 본인확인과 접근권한 관리의 기준 및 절차 등을 정함을 목적으로 한다.
제2조(적용범위) 이 훈령은 중앙행정기관(대통령실과 국무총리실을 포함한다) 및 그 소속기관과 지방자치단체를 적용 대상으로 한다.
제3조(정의) 이 훈령에서 사용하는 용어의 정의는 다음과 같다.
1. "행정기관 정보이용자(이하 "이용자"라 한다)"란 「전자정부법」 제2조제1호에 따른 "전자정부"를 통하여 전자적 민원처리 또는 행정업무를 하는 공무원 등 업무담당자, 전자정부 서비스를 이용하는 민원인 및 시스템 관리자를 말한다.
2. "업무담당자"란 전자적 민원처리 또는 행정업무를 담당하는 사람을 말한다.
3. "민원인"이란 전자적 민원처리를 신청하는 주체로서, 개인 또는 사업자, 법인 등 단체 및 그 기관의 담당자 등을 말한다.
4. "시스템 관리자"란 전자적 민원처리 및 행정업무의 원활한 수행을 위하여 정보시스템을 운영·관리하는 사람을 말한다.
5. "본인확인"이란 정보통신망을 통하여 정보시스템 또는 행정정보를 이용하는 업무담당자, 민원인 또는 시스템 관리자가 가지고 있거나 알고 있는 정보를 이용하여 본인임을 확인하는 것을 말한다.
6. "접근권한"이란 정보시스템에 접속하여 정보자원을 활용할 수 있는 권한과 행정정보를 생성·변경·열람·삭제 등을 할 수 있는 권한을 말한다.
7. "정보보유기관"이란 행정기관으로서 행정정보를 직무상 작성·취득하여 유지·관리하는 기관을 말한다.
8. "정보시스템"이란 정보의 수집, 가공, 저장, 검색, 송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 말한다.
9. "행정정보"란 행정기관이 직무상 작성 또는 취득하여 관리하고 있는 자료로서 전자적 방식으로 처리되어 부호·문자·음성·음향·영상 등으로 표현된 것을 말한다.
제2장 이용자의 본인확인 및 접근권한 관리 체계
제4조(기본원칙) ① 행정기관의 장은 정보통신망을 통한 전자적 민원처리 및 행정업무의 수행을 위하여 정보시스템 또는 행정정보에 접근하고자 하는 이용자에게 본인확인 및 접근권한 확인 절차를 반드시 거치도록 하여야 한다.
② 행정기관의 장은 다음 각 호에 해당하는 경우에는 이용자 본인확인 및 접근권한 확인 절차 없이 정보 접근이 가능하도록 할 수 있다.
1. 법령 등에 의하여 공개를 목적으로 작성된 정보의 열람
2. 일반 국민에게 알리기 위하여 작성된 각종 홍보자료의 열람
3. 그 밖에 행정기관의 장이 공개하기로 정한 정보의 열람
제5조(접근권한 관리의 책임자 지정·운영) ① 행정기관의 장은 정보시스템의 특성에 따라 이용자에 대한 본인확인 및 접근권한 부여에 관한 책임자(이하 "권한관리책임자"라 한다)를 지정·운영하여야 한다.
② 권한관리책임자는 제4조에 따른 이용자 본인확인 및 접근권한 확인을 위하여 다음 각 호의 업무를 수행하여야 한다.
1. 이용자 본인확인 및 접근권한 관리 업무의 총괄
2. 이용자 본인확인 및 접근권한 관리와 관련된 기능의 구현
3. 이용자 본인확인 및 접근권한 부여의 기준 및 절차 수립
4. 이용자 접근권한 부여 여부의 심사
5. 이용자 등록·관리 및 접근권한 부여
6. 정보시스템 또는 행정정보 이용 내역에 대한 기록의 사후 점검 및 확인
7. 정보시스템 또는 행정정보 이용 내역과 관련된 자료의 보관 및 주기적
백업 등 관리
③ 권한관리책임자는 이용자 본인확인 및 접근권한 관리의 효율적 수행을 위하여 제2항제5호 및 제7호에 해당하는 업무를 수행하는 사람을 지정·운영할 수 있다.
제6조(접근권한 정책수립) ① 행정기관의 장은 기관별 특성에 맞는 접근권한 정책을 수립하여야 한다.
② 접근권한 정책 수립 시 전산자료의 보호등급 분류는 「국가정보보안기본지침」 제27조제2항에 따라 분류하고, 등급별로 분류된 전산자료에 접근하기 위한 인증수준은 사용자 인증의 필요성, 제시된 본인확인 정보의 유효성·신뢰성에 따라 차등하여 구분한다.
제7조(접근권한 책임 및 권한 위탁) ① 행정정보에 대한 접근권한은 행정정보를 보유하고 있는 정보보유기관의 장이 부여한다.
② 정보보유기관과 전자정부 서비스를 제공하는 기관이 다를 경우, 정보보유기관의 장은 보유중인 행정정보에 대한 이용자 접근권한 관리를 전자정부 서비스 제공기관의 장에게 위탁할 수 있다.
제3장 본인확인의 방법 및 절차
제8조(업무담당자의 본인확인) ① 업무담당자가 다음 각 호에 해당하는 업무처리를 위하여 정보시스템 또는 행정정보에 접근하고자 할 때에는 행정전자서명으로 본인임을 확인하여야 한다. 다만, 공지, 게시 등 기관 내 불특정 다수를 대상으로 하는 정보를 열람하거나 의견수렴, 만족도 조사에 응할 때에는 사용자계정(ID) 및 비밀번호 방식 등 다른 방법으로 본인임을 확인할 수 있다.
1. 정보통신망을 통한 업무수행 및 행정서비스의 제공
2. 전자적 수단에 의한 결재·의사결정 등 전자적 업무처리
3. 행정전자서명의 인증
4. 온라인 원격근무
5. 전자문서의 작성, 발송, 접수, 보존, 보관 및 활용
6. 행정정보의 처리 및 전자적 제공
7. 전자민원창구 등을 통한 비방문민원 처리 및 전자적 민원처리
8. 전자적 급부의 제공
9. 정보통신망을 통한 상담·자문·교육 및 진료 등 대국민 서비스의 수행
10. 그 밖에 제1호부터 제9호까지의 업무 수행에 준하는 행정업무의 수행
② 업무담당자가 「공공기관의 정보공개에 관한 법률」 제9조제1항제1호 및 제2호의 정보를 취급하기 위하여 정보시스템 또는 행정정보에 접근할 때에는 행정전자서명인증서와 함께 보안토큰, 스마트카드, 1회용 패스워드(OTP), 생체인식 등 보안성이 강화된 인증 방식을 동시에 사용할 수 있다.
제9조(민원인의 본인확인) ① 민원인이 전자정부 서비스를 이용할 때 신분확인이 필요하지 않은 경우에는 본인확인 과정을 거치지 않고 정보의 열람이 가능하며, 필요한 경우에는 사용자계정(ID) 및 비밀번호 등 본인확인이 가능한 방법을 적용할 수 있다.
② 민원인의 민원사항이 개별 법령 등에 따라 신분증명서에 의한 신분 확인이 필요한 경우, 행정기관의 장은 본인확인 절차를 거쳐 발급된 공인인증서 또는 이에 준하는 방식으로 민원인이 본인임을 확인하여야 한다.
제10조(시스템 관리자의 본인확인) ① 시스템 관리자가 정보시스템 또는 행정정보에 접근할 때에는 행정전자서명인증서를 사용하여 본인임을 확인하여야 한다.
② 국가안보와 관련된 주요 정보시스템 또는 행정정보에 접근할 때에는 행정전자서명인증서와 함께 보안토큰, 스마트카드, 1회용 패스워드(OTP), 생체인식 등 보안성이 강화된 인증 방식을 동시에 사용할 수 있다.
제11조(외주직원 등의 본인확인) ① 권한관리책임자는 원칙적으로 유지보수 업체 또는 외주용역 업체의 직원이 정보시스템 또는 행정정보에 임의로 접근하지 못하도록 하여야 한다.
② 권한관리책임자는 유지보수 업체 또는 외주용역 업체의 직원이 운영상 불가피한 사유로 정보시스템 또는 행정정보에 접근을 필요로 하는 때에는 사용자계정(ID) 및 비밀번호를 이용한 본인확인 방식을 적용하되, 다음
각 호의 보안대책을 마련한 후 접근을 승인하여야 한다. 또한 시스템관리자는 제2호부터 제6호까지의 상황을 주기적으로 지도·감독하여야 한다.
1. 보안서약서의 징구
2. 분기 또는 반기 단위의 접근 허용 기간 설정
3. 분기 또는 반기 단위의 접근 허용 적정성 심사
4. 내부 네트워크와 접근 가능한 네트워크의 분리
5. 최소 범위의 접근권한 설정
6. 그 밖에 정보시스템 또는 행정정보 보호를 위하여 필요하다고 판단되는 사항
② 권한관리책임자는 유지보수 업체 또는 외주용역 업체의 직원에 대한 정보시스템 또는 행정정보 접근 승인 내역 및 사유 등을 기록하고 이를 관리하여야 한다.
제4장 접근권한 부여 기준 및 관리절차
제12조(접근권한 부여 원칙) ① 정보시스템 접근, 행정정보 열람 등 모든 접근권한은 법령 또는 업무규정 등에 따라 허용된 자에 한하여 업무수행에 필요한 최소한의 범위로 부여하여야 한다.
② 접근권한을 부여받은 이용자는 접근권한을 임의로 양도, 대여해서는 안 되며, 권한관리책임자는 이를 수시로 확인 및 지도·감독하여야 한다.
③ 권한관리책임자는 제6조제2항에 따라 업무담당자에게 접근권한을 차등 부여하여야 한다.
제13조(접근권한 부여 기준) ① 권한관리책임자는 법령 또는 업무규정 등을 근거로 다음 각 호의 사항을 참조하여 업무담당자의 접근권한 부여 기준을 마련하여야 한다.
1. 정보시스템의 종류 및 중요도에 따른 접근권한 부여 범위의 차등화
2. 국민의 개인 신상, 재산, 인가 등과 관련된 정보의 접근권한은 업무와 관련 있는 담당자 및 결재권자로 제한
3. 내부 의사결정과 관련된 행정정보는 정보의 중요도에 따라서 접근권한 부여 범위를 업무담당자 및 결재권자, 업무관련 부서 또는 기관 단위로 제한
4. 행정기관의 행정통계와 관련된 정보의 접근권한은 관련 부서 또는 기관 단위로 제한
5. 공개되어도 상관없는 정보의 접근권한은 기관 단위로 제한하거나 허용
② 권한관리책임자는 시스템 관리자가 적절한 승인절차 없이 행정정보를 생성·열람·가공할 수 없도록 하여야 하며, 행정정보에 접근할 경우에도 주요 정보 및 개인정보 등은 직접 접근할 수 없도록 보안조치를 하여야 한다.
③ 권한관리책임자는 민원인의 접근권한을 민원처리 정보시스템의 운영 목적, 개별 법령에서 명시한 행정정보 제공 근거 및 개인정보보호 등을 고려하여 결정하여야 한다.
제14조(접근권한 신청) ① 정보시스템 또는 행정정보를 이용하고자 하는 업무담당자, 시스템 관리자 및 외주 직원 등은 다음 각 호의 사항을 기재한 신청서를 작성하여 부서장(외주 직원 등은 관할 부서장)의 결재를 받은 후 권한관리책임자에게 접근권한을 신청하여야 한다.
1. 정보시스템 또는 행정정보의 이용 또는 활용 목적 및 근거
2. 이용 또는 활용하고자 하는 정보시스템 또는 행정정보의 범위
② 행정기관의 장은 다른 기관에서 보유 중인 행정정보를 이용하는 경우, 이용하고자 하는 정보의 범위를 명시하여 정보보유기관의 장에게 다음 각 호의 사항을 작성하여 문서로 요청하여야 한다.
1. 정보시스템 또는 행정정보의 이용 또는 활용목적 및 근거
2. 이용 또는 활용하고자 하는 정보시스템 또는 행정정보의 범위
3. 행정정보의 제공 방식, 보관기간 및 안전관리대책 등
③ 민원인의 접근권한은 별도의 접근권한 신청 없이 권한관리책임자가 일괄 부여한다.
제15조(접근권한 심사) ① 권한관리책임자는 제13조에 따른 접근권한 부여의 기준에 따라 다음 각 호의 사항을 심사하여 최소한의 접근권한을 부여하여야 하며, 국가 안보와 관련된 정보시스템 등 주요 정보시스템에 대한
접근권한은 기관별로 접근권한 심사위원회를 구성하여 접근권한을 심사할 수 있다.
1. 정보시스템 또는 행정정보의 이용 또는 활용목적의 정당성
2. 정보시스템 또는 행정정보 이용 범위의 적정성
3. 신청내용의 타당성, 적합성, 공익성
② 정보보유기관의 장은 보유하고 있는 행정정보를 그 기관의 내부 또는 다른 기관에 이용하게 하고자 하는 경우에는 다음 각 호의 사항을 검토하여 업무수행에 필요한 최소한의 범위로 이용하게 하여야 하며, 법령 등에서 정하는 경우 이외에는 접근권한 심사위원회를 구성하여 심사를 거쳐 이용 여부를 결정하여야 한다. 이 경우 정보보유기관의 장은 제공하는 행정정보에 대한 사유 및 제공 내역 등을 관리하여야 한다.
1. 행정정보의 이용 또는 활용 목적의 정당성
2. 행정정보 이용 범위의 적정성
3. 신청내용의 타당성, 적합성, 공익성
4. 행정정보의 목적 외 사용방지 및 안전관리대책 확보 여부
③ 권한관리책임자는 이용자의 접근권한 부여 승인 내역을 기록·관리하여야 한다.
④ 제1항 및 제2항에 따른 접근권한 심사위원회는 권한관리책임자를 위원장으로 하여 다음 각 호와 같이 구성·운영한다.
1. 접근권한 심사위원회는 위원장 1명을 포함하여 3명에서 5명까지의 위원으로 구성
2. 위원은 소속 공무원 또는 보안에 관한 지식을 가진 전문가로 지명 또는 위촉
제5장 이용자 권한관리의 안전성·보안성 확보
제16조(이용자 정보 관리) ① 권한관리책임자는 이용자 등록 내역을 주기적으로 점검하여 부적절한 이용자의 접근권한을 삭제하는 등 필요한 조치를 하여야 한다.
② 이용자는 정보시스템 또는 행정정보에 접근할 때 사용되는 행정전자서명인증서, 사용자계정(ID) 등 이용자 본인확인에 필요한 정보를 타인과
공유하지 않고 안전하게 관리하여야 한다.
제17조(이용자교육) ① 행정안전부장관은 접근권한 관리 업무의 효율적 수행을 위하여 행정기관 권한관리책임자를 대상으로 교육을 실시할 수 있다.
② 권한관리책임자는 내부자 정보유출 방지 및 효율적 업무 수행을 위하여 해당 기관의 업무담당자, 시스템 관리자를 대상으로 타인과 접근권한 공유 또는 이양 금지 등 권한관리의 중요성에 대한 교육을 실시하여야 한다.
제18조(접근권한 점검·관리) ① 기관의 조직개편·인사발령·사무분장의 변경 등으로 업무담당자의 접근권한을 변경해야 할 경우, 권한관리책임자는 그 변경된 인사 내용에 따라 지체 없이 접근권한을 변경하여야 한다.
② 권한관리책임자는 소관 정보시스템 및 행정정보에 대해서 접근권한 관리의 적절성 및 접근권한의 오·남용 여부를 주기적으로 점검하여야 한다.
제19조(운영실태 점검 및 개선권고) ① 행정안전부장관은 행정기관의 내부자 정보유출 방지 및 접근권한 관리 업무를 효율적으로 수행하기 위하여 해당 기관의 이용자 접근권한 관리 실태를 정기적으로 점검할 수 있으며, 개선사항에 대한 조치를 권고할 수 있다.
② 행정기관은 운영실태 점검에 따른 개선 권고사항을 이행하여야 하며, 조치결과를 행정안전부장관에게 통보하여야 한다.
제20조(기반구축 및 기술지원) 행정안전부장관은 접근권한 관리를 원활하게 운영하기 위하여 각 행정기관에 권한관리 시스템의 기반구축 및 기술지원을 할 수 있다.
제6장 이용내역의 기록 및 보관
제21조(이용내역 기록) ① 행정기관의 장은 업무담당자가 「공공기관의 정보공개에 관한 법률」 제9조에 해당하는 비공개 대상정보를 생성·수정·삭제·열람 등을 하고자 하는 경우 다음 각 호의 사항을 포함하는 정보이용 내역을 기록으로 남길 수 있도록 정보시스템을 구축·운영하여야 한다.
1. 이용자 접근 기록 및 이용 시간
2. 이용자 식별 정보
3. 이용자가 생성·변경·열람·삭제한 행정정보의 내용 및 사유
4. 시스템 관리자가 생성·변경·열람·삭제한 정보의 내용 및 사유
5. 그 밖에 접근권한의 오·남용 및 정보 유출 여부를 검증하기 위해 필요하다고 판단되는 정보
제22조(이용 기록의 보관) ① 행정기관의 장은 정보시스템 또는 행정정보 이용내역에 대한 기록을 전산자료의 보호등급에 따라 전산자료 저장매체를 이용하여 최소한 3년 이상 보관하여야 한다.
② 행정기관의 장은 이용내역에 대한 기록이 변경되거나 삭제될 수 없도록 시스템을 구축하고 권한관리책임자의 사전 승인이 없는 한 시스템 관리자 외에는 접근할 수 없도록 하여야 한다.
부칙 <제526호,2008.10.27>
이 훈령은 발령한 날부터 시행한다.