국가연구개발사업 공통 보안관리지침

국가연구개발사업 공통 보안관리지침

제정 2007. 3. 21 과학기술부 훈령 제238호

제1장 총 칙

제1조(목적) 이 지침의 목적은 「국가연구개발사업의 관리 등에 관한 규정」(이하 “공동관리규정”이라 한다) 제16조제4항에 따라 중앙행정기관의 장, 국가연구개발사업을 수행하는 연구기관 등이 보안대책을 수립․시행함에 있어 필요한 공통된 방법 및 절차를 정함으로써 국가연구개발사업의 보안관리에 관한 업무를 효율적으로 수행하도록 하는데 있다.

제2조(적용대상) 이 지침의 적용대상은 다음 각 호와 같다.

1. 국가연구개발사업을 추진하는 중앙행정기관(이하 “중앙행정기관”이라 한다)

2. 국가연구개발사업을 수행하는 모든 연구기관(정부출연연구기관, 특정연구기관, 국공립연구소, 전문생산기술연구소, 기업, 대학 등을 포함한다. 이하 “연구기관”이라 한다)

3. 중앙행정기관의 장이 소관 연구개발사업에 대한 기획․평가․관리 등의 업무를 위탁하여 수행하기 위해 설립하거나 지정한 기관(이하 “전문기관” 이라 한다)

제3조(활용) ①중앙행정기관의 장은 이 지침을 토대로 소관 사업성격을 반영한 별도의 보안관리 대책을 수립․시행할 수 있다.

②연구기관의 장은 이 지침에 규정된 사항을 기초로 연구개발사업 관련 보안관리 담당자 지정 및 규정을 마련하는 등의 보안대책을 수립․시행하여야 한다.

제4조(보안관리의 위탁) 중앙행정기관의 장은 이 지침에 따른 보안관리에 관한 사항을 공동관리규정 제2조제3호에 따른 전문기관에 위탁할 수 있다.

제2장 보안관리 체계

제5조(보안관리심의회) ①중앙행정기관의 장은 국가연구개발사업의 보안관리에 관한 사항을 심의하기 위해 심의회(이하 “보안관리심의회”라고 한다)를 구성․운영하여야 한다.

②보안관리심의회는 국가연구개발사업 업무를 담당하는 부서의 고위공무원단에 속하는 공무원을 위원장으로 하고, 보안관리심의회의 구성과 운영에 관한 사항은 위원장이 정한다.

③보안관리심의회는 다음 각 호의 사항을 심의한다.

1. 연구개발사업 관련 보안관리 규정의 제․개정

2. 전문기관의 보안관리규정 및 보안관리현황 보고사항

3. 연구개발사업 관련 보안사고 발생시 사후 조치사항

4. 그 밖에 위원장이 필요하다고 인정하는 사항

④보안관리심의회의 위원장은 필요하다고 인정할 때에는 관계자를 출석시켜 의견을 진술케 할 수 있다.

제6조(연구기관보안관리심의회) ①전문기관의 장, 연구기관의 장은 국가연구개발 사업의 수행과 관련된 보안관리에 관한 사항을 심의하기 위한 위원회(이하 “연구보안심의회” 라고 한다)를 구성․운영하여야 한다.

②연구보안심의회의 구성과 운영에 관한 사항은 연구보안심의회가 속한 기관의 장이 정한다. 단, 기관 실정에 맞도록 연구보안심의회의 기능을 대신할 수 있는 별도의 기구에 위임할 수 있다.

③연구보안심의회는 다음 각 호의 사항을 심의한다.

1. 연구개발사업 관련 보안관리 규정의 제․개정

2. 연구개발과제 보안등급 분류에 대한 적정성

3. 연구개발사업과 관련된 보안사고의 처리

4. 그 밖에 위원장이 필요하다고 인정하는 사항

④중소․벤처기업 등 조직체계상 연구보안심의회의 운영이 어려운 연구기관에서는 연구기관의 장의 검토로 연구보안심의회의 기능을 대신 한다.

제3장 보안등급 분류

제7조(분류기준) ①연구개발과제의 보안등급은 다음 각 호와 같이 분류한다.

1. 보안과제 : 수행성과가 대외로 유출될 경우 기술적, 재산적 가치의 손실이 예상되어 일정 수준의 보안조치가 필요한 과제

2. 일반과제 : 보안과제로 지정되지 아니한 과제

②제1항에 따른 보안등급을 분류할 때에는 다음 각 호의 사항을 고려하여야 한다.

1. 지식재산권 확보와 관련하여 기술유출 가능성이 있는 연구개발과제

2. 세계 초일류 기술제품 개발과 관련되는 연구개발과제

3.외국의 기술이전 거부로 국산화가 추진중이거나, 미래의 기술적․경제적 가치 및 성장잠재력이 높은 기술로서 보호할 필요성이 인정되는 연구개발과제

4. 국방․안보관련 기술로 전용 가능한 연구개발과제

③연구개발과제 수행과정 중 산출되는 모든 문서에는 제1항에서 규정한 보안등급에 따른 표시를 부여하여야 한다.

④「국가정보원법」에 따른「보안업무규정」에 따라 Ⅰ․Ⅱ․Ⅲ급 비밀 또는 대외비로 분류된 과제 와 「군사기밀보호법」에 따른 「군사보안업무시행규칙」에 따라 군사Ⅰ․Ⅱ․Ⅲ급 비밀 또는 대외비로 분류된 과제에 대해서는 제1항 내지 제3항에도 불구하고 관련 법령에서 정하는 바에 따른다.

제8조(분류 절차) ①연구책임자가 연구개발과제 신청서를 제출할 때에는 제7조에 따라 보안등급을 분류하여 연구보안심의회에 사전 제출하여야 한다.

②연구보안심의회는 해당 과제에 대한 보안등급 분류의 적정성을 검토하고 연구기관의 장은 그 결과에 따라 보안등급을 연구개발계획서에 표기하여 중앙행정기관의 장에게 제출하여야 한다.

③중앙행정기관의 장은 공동관리규정 제5조에 따른 연구개발과제평가단이 과제 선정을 위한 평가를 수행할 때 보안등급에 관한 심사를 병행하도록 하여 그 결과를 서면으로 제출토록 하고 이를 토대로 보안등급을 결정한다.

제9조(보안등급 변경) ①전문기관의 장, 연구기관의 장이 연구개발과제의 보안등급을 변경하고자 하는 때에는 소관 중앙행정기관의 장에게 변경 내역, 변경사유 등을 제출하여야 한다.

제4장 보안을 위한 조치

제10조(연구개발과제 보안관리규정의 마련 절차) ①연구기관의 장은 자체 연구보안심의회의 심의를 거쳐 연구개발과제 보안관리규정을 마련하여 시행하여야 한다.

②중앙행정기관의 장은 연구기관의 실태점검 등을 통하여 연구개발과제 보안관리규정에 대해 이의가 있을 경우 수정을 요구할 수 있다. 단, 소관 중앙행정기관이 다수일 경우에는 협의를 통해 수정사항을 반영하고, 해당 연구기관의 장은 특별한 사유가 없는 한 이에 응하여야 한다.

④주관연구기관의 연구개발과제에 참여하는 기업과 위탁연구기관은 주관연구기관의 보안관리규정 및 조치에 따른다.

제11조(보안등급에 따른 조치) ①전문기관의 장은 연구개발과제의 선정․평가․관리와 관련하여 보안과제와 일반과제를 구분하여 보안대책을 수립․시행하여야 한다.

②연구기관의 장 및 연구책임자는 보안등급에 따라 다음 각 호의 사항을 포함한 보안조치를 수행하여야 한다.

1. 보안과제는 다음 각 목에 따른 보안조치 외에 제2호의 보안조치를 포함한다.

가. 외국기업, 국외연구기관에게 연구개발과제를 위탁하는 것을 원칙적으로 제한한다. 단, 불가피한 사유가 있다고 판단되는 경우에는 중앙행정기관 장 또는 전문기관의 장에게 사전승인을 얻어야 한다.

나. 외국인의 연구개발과제 참여를 원칙적으로 제한하여야 한다. 단, 불가피한 사유가 있다고 판단되는 경우에는 소속 연구기관의 장의 사전승인을 얻어야 한다.

다. 외국인이 연구개발과제에 참여하는 경우 그 해당자의 출입지역 및 열람가능 자료를 제한하도록 하여야 하며, 특이동향 인지 시 중앙행정기관의 장에게 그 내용을 보고할 수 있다.

라. 연구개발과제에 참여한 연구원에게 보안유지 의무 및 위반 시 제재사항이 포함된 보안서약서를 징구하여야 한다.

마. 연구원의 외국인 접촉현황을 관리하여야 한다.

바. 연구원에 대한 정기․수시 보안점검 및 교육을 실시하여야 한다.

사. 연구결과물 반출․대외제공․공개 시 연구책임자의 승인 등에 대한 보안대책을 수립하여야 한다.

아. 휴대용 정보통신기기, 이메일 등 인터넷서비스 활용과 관련된 보안대책을 수립하여야 한다.

2. 일반과제

가. 연구기관별 연구개발과제 보안관리 규정에 따라 조치를 수행하여야 한다.

제12조(연구개발과제 보안관리현황 보고) ①연구기관의 장은 연구과제의 보안관리 현황을 년1회(10월중) 전문기관에 제출하여야 하며, 전문기관의 장은 이를 종합하여 소관 중앙행정기관의 보안관리심의회에 보고하여야 한다. 단, 전문기관이 없는 경우 해당연구기관은 중앙행정기관의 보안관리심의회에 직접 보고하여야 한다.

②중앙행정기관의 장은 국가정보원과 합동으로 소관 과제의 보안관리 실태를 점검하여 문제점이 있을 경우 시정을 요구할 수 있으며 해당 연구기관의 장은 점검에 필요한 자료요구 및 면담에 특별한 사유가 없는 한 성실히 응하여야 한다.

제5장 보안사고 처리

제13조(보안사고 발생 시 처리) ①전문기관의 장, 연구기관의 장은 연구개발과제 관련 정보자료의 유출, 연구개발 정보시스템 해킹 등의 보안사고가 발생한 경우 사고일시․장소, 사고자 인적사항, 사고내용 등을 즉시 소관 중앙행정기관의 장에게 보고하고 필요한 조치를 취하여야 한다.

②중앙행정기관의 장은 보안사고 발생 시 국가정보원과 합동으로 그 경위를 조사할 수 있으며 연구기관의 장과 연구책임자 등은 조사에 성실히 협조하여야 한다.

③관계중앙행정기관의 장, 전문기관의 장, 연구기관의 장은 조사가 종결될 때까지 관련내용을 공개하지 아니하여야 하며, 사고 수습 후 재발방지 대책을 마련하여야 한다.

제14조(보안관리 위반 시 조치) ①전문기관, 연구기관, 연구책임자 및 참여연구원 등은 보안관리에 최선을 다하여야 한다.

②중앙행정기관의 장은 협약이 정하는 바에 따라 다음 각 호의 어느 하나에 해당하는 연구기관에 대해서 보안관리심의회의 심의를 통해 국가연구개발사업에의 참여제한 등의 조치를 취할 수 있다.

1. 제10조제2항을 위반하여 보안규정을 마련하지 않거나 시행하지 않는 연구기관

2. 제12조제1항에 따른 보안관리 현황 보고를 하지 않은 연구기관

3. 제13조에 따른 보안사고 처리 절차를 이행하지 않은 연구기관

③중앙행정기관의 장은 제8조에 따른 보안등급 분류, 제11조에 따른 보안조치를 정당한 사유 없이 이행하지 않은 자에 대하여 국가연구개발사업에의 참여제한 등의 조치를 취할 수 있다.

부 칙

①(시행일)이 지침은 공포 후 3개월이 경과한 날부터 시행한다.

②(경과조치)이 지침의 시행 전에 보안등급을 확정하여 관리되고 있는 계속과제의 경우 이 지침에서 정하는 분류절차를 생략할 수 있다.