- [산업통상자원부] 산업기술혁신사업 보안관리 요령_시행 2018.4.30.
-
- 분류산업통상자원부
- 첨부 9. 산업기술혁신사업 보안관리요령_시행 2018.4.30.hwp
- 작성자rnd_admin
- 날짜2018-05-18 17:16:23
- 조회수436
산업기술혁신사업 보안관리요령
[시행 2018.4.30] [산업통상자원부고시 제2018-88호, 2018.4.30, 일부개정]
산업통상자원부(산업기술개발과) 044-203-4526
제1장 총 칙
제1조(목적) 이 요령은 「산업기술혁신사업 공통 운영요령」(이하 "공통운영요령"이라 한다) 제47조에 따라 산업기술혁신사업(이하 "사업"이라 한다)을 추진·관리하거나 수행하는 기관의 보안대책 수립·시행에 필요한 방법 및 절차를 정함을 목적으로 한다.
제2조(적용대상) ①이 요령의 적용대상은 다음 각 호와 같다
1. 사업에 대한 기획·평가·관리 등의 업무를 위탁하여 수행하기 위해 설립하거나 지정한 기관(이하 "전담기관"이라 한다) 및 임·직원
2. 사업에 참여하여 연구개발을 수행하는 기관(이하 "수행기관"이라 한다) 및 참여연구원
3. 사업의 기획, 신규, 중간, 최종, 성과활용 평가 등을 위한 사업별 심의위원회 및 평가위원회 참여자
4. 기타 사업과 관련한 업무를 수행하는 자
제3조(적용범위) 사업의 보안관리와 관련하여 다른 법령에 특별한 규정이 있는 경우를 제외하고는 이 요령에 의한다.
제2장 보안대책 수립 및 관리 체계 등
제4조(보안대책 수립) ①전담기관 및 수행기관의 장은 사업 관련 보안관리규정 마련 및 보안관리 담당자 지정 등 보안대책을 수립·시행하여야 하며, 다음 각 호의 내용을 포함하여야 한다.
1. 연구보안심의회 구성·운영에 관한 사항
2. 보안등급 분류 및 조치 등에 관한 사항
3. 보안사고 발생 시 조치에 관한 사항
4. 인원, 연구개발 관련 정보자료, 연구시설의 출입, 정보통신망 및 시스템 등에 대한 보안조치에 관한 사항
②참여기관은 주관기관의 사업 보안관리 규정 및 조치에 따르는 것을 원칙으로 하되 필요한 경우 주관기관과 협의하여 자체 규정을 마련할 수 있다.
③전담기관의 장은 수행기관의 실태점검 등을 통하여 수행기관에서 수립·시행하는 보안대책 등에 이의가 있을 경우 수정을 요구할 수 있으며, 해당 수행기관의 장은 특별한 사유가 없는 한 이에 응하여야 한다.
④수행기관의 장은 사업의 일부를 위탁하는 경우 보안조치와 관련되는 사항을 협약서에 명시하여 보안조치를 이행할 수 있도록 하여야 한다.
제5조(국외유출 방지 등) ①산업통상자원부장관(이하 "장관"이라 한다)은 사업 관련 정보의 국외 유출을 방지하기 위하여 국가정보원장과 협조하여 별도의 보안대책을 수립·시행할 수 있다.
②수행기관의 장은 과제와 관련된 중요 연구정보의 국외 유출을 방지하기 위하여 제12조제2항에 따른 보안관리 조치사항과 그 밖에 수행기관의 장이 필요하다고 인정하는 사항을 포함하여 자체 보안대책을 수립·시행하여야 한다.
③수행기관의 장은 보안과제와 관련하여 외국 정부·기관 또는 단체를 방문하거나 방문을 받을 경우에는 과제명, 총괄책임자, 방문 일시·장소 및 주요 방문내용 등의 사항을 장관 및 국가정보원장에게 해당 방문일 5일 전까지 알려야 한다. 다만, 방문이 사전에 알린 내용과 다르게 이루어진 경우에는 방문 후에 해당 사항을 추가로 알려야 하며, 방문이 긴급한 경우 등 사전에 알리지 못하고 방문하거나 방문을 받은 경우에는 방문이 끝난 후에 알릴 수 있다.
제6조(보안관리심의회 구성·운영 등) ①장관은 사업의 보안관리에 관한 사항을 심의하기 위해 심의회(이하 "보안관리심의회"라고 한다)를 구성·운영하여야 한다.
②보안관리심의회는 산업통상자원부 산업기술정책관을 위원장으로 하고, 사업 담당부서의 과장 및 관련분야 민간전문가를 위원으로 7명 내외로 구성한다.
③보안관리심의회는 다음 각 호의 사항을 심의한다.
1. 사업 관련 보안관리 규정의 제·개정
2. 전담기관의 보안관리현황 보고사항
3. 사업 관련 보안사고 발생시 사후 조치사항
4. 그 밖에 위원장이 필요하다고 인정하는 사항
④보안관리심의회는 재적위원 과반수 이상 출석과 출석위원의 과반수 이상의 찬성으로 의결하되, 가부동수인 경우 위원장이 결정한다.
④보안관리심의회의 위원장은 제3항의 심의에 필요하다고 판단되는 경우 관계자를 출석시켜 의견을 진술하게 할 수 있다. 이 경우 출석하는 자에게는 예산의 범위 안에서 수당과 여비를 지급할 수 있다.
제7조(연구보안심의회 구성 및 운영 등) ①전담기관의 장 및 수행기관의 장은 사업과 관련한 보안업무의 효율적인 수행과 운영관리에 관한 중요사항을 심의하기 위해 심의회(이하 "연구보안심의회"라고 한다)를 구성하여야 한다.
②연구보안심의회의 구성과 운영에 관한 사항은 해당기관의 장이 별도로 정할 수 있으며,「중소기업기본법」에 따른 중소기업, 「벤처기업육성에 관한 특별조치법」에 따른 벤처기업 등 조직체계상 연구보안심의회를 운영하기 어려운 수행기관에서는 수행기관의 장의 검토로 심의회 기능을 대신할 수 있다.
③연구보안심의회는 다음 각 호의 사항을 심의·의결한다.
1. 사업 관련 보안관리 규정의 제·개정
2. 과제 보안등급 분류에 대한 적정성
3. 사업 관련 보안관리 현황보고 사항
4. 사업 관련 보안사고 처리 및 사후조치 사항
5. 그밖에 전담기관 또는 수행기관의 장이 필요하다고 인정하는 사항
④전담기관의 장은 제3항제2호에 대한 심의·의결은 사업별 심의위원회 또는 평가위원회에 위임할 수 있다.
제8조(보안관리 담당자 지정 및 임무 등) ①전담기관 및 수행기관의 장은 보안관리 담당자를 지정하되, 수행기관은 해당기관의 실정에 따라 연구책임자가 이에 대한 업무를 대신할 수 있다.
②보안관리 담당자는 다음 각 호의 사항을 총괄한다.
1. 사업 관련 보안관리에 대한 계획 수립 및 감독
2. 사업 관련 보안관리 지도 감사 및 교육
3. 사업 관련 연구시설 출입 등에 대한 보안조치
4. 기타 사업 관련 보안관리 전반에 관한 지도 및 조정
제3장 보안 등급 분류
제9조(보안등급 분류기준) ①기술혁신사업 과제의 보안등급은 다음 각 호와 같이 분류한다.
1. 보안과제 : 수행성과가 대외로 유출될 경우 기술적·재산적 가치에 상당한 손실이 예상 되어 보안조치가 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 과제
가. 세계 초일류 기술제품의 개발과 관련되는 연구개발과제
나. 외국에서 기술이전을 거부하여 국산화를 추진 중인 기술 또는 미래핵심기술로서 보호의 필요성이 인정되는 연구개발과제
다. 「산업기술의 유출방지 및 보호에 관한 법률」제2조제2호의 국가핵심기술과 관련된 연구개발과제
라. 「대외무역법」제19조 1항 및 같은법 시행령 제32조의2의 수출허가 등의 제한이 필요한 기술과 관련된 연구개발과제
마. 그 밖에 제10조에 따라 보안과제로 분류되어야 할 사유가 있다고 인정되는 과제
2. 일반과제 : 보안과제로 지정되지 아니한 과제
②과제 수행과정 중 산출되는 모든 문서에는 제1항에 규정한 보안등급에 따른 표시를 부여하여야 한다.
③「보안업무규정」에 따라 Ⅰ·Ⅱ·Ⅲ급 비밀 또는 대외비로 분류된 과제 와 「군사기밀보호법 시행령」에 따라 군사Ⅰ·Ⅱ·Ⅲ급 비밀 또는 대외비로 분류된 과제에 대해서는 제1항과 제2항의 규정에도 불구하고 관련 법령에서 정하는 바에 따른다.
④전담기관 및 수행기관의 장은 보안등급 분류시 사업 또는 과제 기획단계에서 보안등급이 분류될 경우에도 그 결과를 반영하여 분류하여야 한다.
제10조(보안등급 분류절차) ①과제 신청기관의 장이 과제신청서를 제출할 때에는 총괄책임자가 별지 제1호의 서식으로 보안등급을 분류하고, 해당기관의 연구보안심의회의 심의를 거쳐 확정한 후 과제신청서에 표기하여 전담기관의 장에게 제출하여야 한다.
②전담기관의 장은 과제 선정 평가위원회에 제1항에 따른 과제의 보안등급을 제출하고, 평가위원회는 보안등급 분류의 적정성을 심의한다.
③ 전담기관의 장은 제2항에 따라 평가위원회가 심의한 보안등급에 대해 제9조제1호라목에 따른 보안과제에 해당하는지에 대해서「대외무역법」 제29조에 따른 전략물자관리원 또는 「원자력안전법」 제6조에 따른 한국원자력통제기술원에 의견을 요청하고, 그 결과를 반영하여 보안등급을 변경할 수 있다.
④전담기관의 장은 제2항에 따른 평가위원회 심의결과를 장관에게 보고하여야 하며, 장관은 전담기관의 장이 보고한 보안등급에 대한 심의결과를 참조하여 보안등급을 확정한다.
⑤제1항 및 제2항의 규정에도 불구하고 전담기관은 과제 선정 평가위원회에서 선정된 과제 중에 해외기관이 연구과제 수행에 포함되는 과제에 대해서는「대외무역법」제29조에 따른 전략물자관리원에 전략기술 해당 여부에 대한 의견을 조회하고, 그 결과를 반영하여 보안등급을 결정하여야 한다. 단, 대한민국 정부와 국제기구 또는 타국 정부 간에 체결한 협정에 따라 선정·수행되는 과제는 제외한다.
제11조(보안등급 변경) ①전담기관의 장 및 주관기관의 장이 과제의 보안등급을 변경하고자 하는 때에는 사업과 관련된 자체 보안관리 규정에서 정한 절차에 따라 연구보안심의회의 심의를 거쳐 변경할 수 있으며, 장관 또는 전담기관의 장에게 변경내용, 변경사유 등을 제출하여야 한다.
②장관 또는 전담기관의 장은 제1항에 따라 제출받은 보안등급 변경내용 등이 적절하지 않다고 판단될 때에는 그 보안등급의 변경을 철회할 것을 명할 수 있다.
③전담기관의 장 및 주관기관의 장은 보안등급을 변경한 경우 이와 관련된 연구기관에 통보하여야 한다. 다만, 일반과제에서 보안과제로 변경한 경우에는 관련 내용을 국가정보원장에게 통보하여야 한다.
제4장 보안등급에 따른 보안조치
제12조(보안등급에 따른 조치) ①전담기관의 장은 과제의 선정·평가·관리와 관련하여 제9조에 따라 보안등급을 분류하고 이에 따른 보안대책을 수립·시행 하여야 한다.
②수행기관의 장 및 총괄책임자는 제9조제1항의 보안등급에 따른 보안관리 조치를 하여야 하며 그 내용은 별표와 같다.
③전담기관의 장은 수행기관의 장과 보안과제에 대하여 협약을 체결하는 경우 공통운영요령 제26조제1항제12호에 따라 별표의 조치사항을 이행하여야 함을 협약에 명시하여야 한다.
제13조(연구개발결과의 보안등급) ①공통운영요령 제32조의6에 따른 사업결과의 보안등급은 제10조에 따라 결정되거나 제11조에 따라 변경된 과제의 보안등급으로 한다.
② 장관 또는 전담기관의 장은 공통운영요령 제32조의6에 따라 최종평가를 할 때에는 공통운영요령 제7조에 따른 평가위원회로 하여금 제1항에 따른 사업결과 보안등급의 적정성을 검토하게 하고 그 결과를 반영하여 보안등급을 변경할 수 있다.
제5장 보안관리 현황보고 및 보안사고에 대한 조치 등
제14조(보안실태 점검 등) ①장관은 사업 보안관리 실태를 국가정보원장 등 관계 기관의 장과 합동으로 점검할 수 있다. 이 경우 관계 기관의 장과 다음 각 호의 사항을 협의하여야 한다.
1. 점검 대상 및 시기
2. 점검 내용 및 방법
3. 점검반 구성
4. 그 밖에 점검에 필요한 사항
②장관은 제1항에 따른 보안관리 실태 점검 후 관계 중앙행정기관의 장 및 국가정보원장과 미리 협의하여 개선조치를 명할 수 있으며, 수행기관의 장은 제2항에 따른 개선명령을 받은 후 6개월 내에 개선조치에 대한 후속조치 결과를 장관 및 국가정보원장에게 보고하여야 한다.
제15조(보안관리 현황보고) ①전담기관의 장은 수행기관의 과제 보안관리 현황을 조사할 수 있다.
②전담기관의 장은 조사 종료 후 1개월 이내에 제1항에 따른 결과를 종합하여 장관에게 보고하여야 한다.
제16조(보안관리 지도감사) ①전담기관 및 수행기관의 장은 수시 보안점검을 통해 취약부분에 대해 보안관리 담당자로 하여금 조치하도록 하고, 매년 보안업무수행에 대한 보안지도감사를 실시할 수 있다.
②주관기관의 장은 필요한 경우 참여기관에 대한 보안관리 지도감사 등의 조치를 취할 수 있다.
제17조(보안사고에 대한 조치) 전담기관의 장 및 수행기관의 장은 과제와 관련하여 다음 각 호의 어느 하나에 해당하는 보안사고가 발생하였을 경우 즉시 피해를 최소화하는 조치를 취하여야 한다.
1. 정보의 유출, 누설, 분실 또는 도난
2. 정보시스템실 또는 정보통신망의 무단 침입
3. 정보를 유통·관리·보존하는 시스템의 유출, 변조, 손괴 또는 파괴
4. 정보시스템실의 화재, 재난 또는 도난
5. 바이러스 피해 또는 비밀번호의 유출
6. 기타 기관 보안에 위협 요소 또는 장관이 정하는 보안 관련 사고
제18조(보안사고의 보고체계) ①전담기관의 장 또는 수행기관의 장은 제17조 각 호의 어느 하나에 해당하는 보안사고가 발생하였을 경우 그 사고를 인지한 즉시 필요한 조치를 함과 동시에 장관에게 보고하여야 하며, 사고일시·장소, 사고자 인적사항, 사고내용 등 세부적인 사고 경위를 보고일로부터 5일 이내에 추가로 제출하여야 한다.
②장관은 제17조 각 호의 어느 하나에 해당하는 보안사고 발생 시 그 경위를 조사하여야 하며, 필요한 경우 국가정보원장 등 관계기관의 장에게 조사·지원을 요청하여 합동으로 조사할 수 있다. 이 경우 수행기관의 장과 총괄책임자 등은 사고조사에 성실히 협조하여야 한다. 다만, 보안과제인 경우에는 국가정보원과 합동으로 사고경위를 조사하여야 한다.
③관계 중앙행정기관의 장, 전담기관의 장, 수행기관의 장은 조사가 끝날 때까지 관련내용을 공개하지 아니하여야 하고, 사고를 수습한 후 재발방지 대책을 마련해야 하며, 필요한 경우 국가정보원장에게 보안사고를 예방하기 위한 보안교육 등 관련 대책지원을 요청할 수 있다.
제19조(보안관리 위반시 조치) ①전담기관의 장 및 수행기관의 장, 총괄책임자 및 참여연구원 등은 보안관리에 최선을 다하여야 한다.
②장관은 제12조제2항에 따른 보안관리 조치 및 제18조를 정당한 사유없이 이행하지 않은 자에 대하여 사업의 선정 또는 평가에서 참여제한 등의 불리한 조치를 취할 수 있음을 공통 운영요령 제26조제1항제12호에 따라 협약의 내용에 포함하여야 한다.
보 칙
제20조(보안관리의 위탁) 장관은 이 요령에 따른 보안관리 수행에 필요한 사항을 제2조제1항제1호에 따른 전담기관에 위탁할 수 있다.
제22조(재검토기한) 「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제334호)에 따라 이 고시 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 하는 기한은 2020년 12월 31일까지로 한다.
부칙 <제2018-88호, 2018.4.30>
제1조(시행일) 이 요령은 2018년 4월 30일 부터 시행한다.
제2조(경과조치) 이 요령 시행 이전에 종전의 요령에 의하여 처리한 사항은 이 요령에 의하여 처리된 것으로 본다.