Technology Management and Protection Research Lab Security PDF
Document Details
Uploaded by WellBalancedConnemara
Clark Atlanta University
Tags
Summary
This document provides guidelines for managing research lab security, emphasizing the importance of confidentiality agreements, properly managing research data, documentation practices and adherence to research ethics. It also outlines research notebook requirements and procedures throughout the research process.
Full Transcript
기술경영과보호 연구실 보안 연구 수행 이전 정보 제공시 유의사항 협의 진행전 또는 상대방에게 정보제공 이전에 비밀유지계약서 체결 2. 자료에 비밀정보 표기, 상대방에게 인수확인증 수령하여 보관 3. 비밀 유지 계약을 해도 핵심정보, 데이터는 제공, 공개 하지않음 4. 비밀정보 공개시 형사처벌 및 손해배상 책임...
기술경영과보호 연구실 보안 연구 수행 이전 정보 제공시 유의사항 협의 진행전 또는 상대방에게 정보제공 이전에 비밀유지계약서 체결 2. 자료에 비밀정보 표기, 상대방에게 인수확인증 수령하여 보관 3. 비밀 유지 계약을 해도 핵심정보, 데이터는 제공, 공개 하지않음 4. 비밀정보 공개시 형사처벌 및 손해배상 책임 부과 명시 5. 계약서에 협상 결렬시의 보안 대책 및 비밀 정보 제공 자료 회수방법 명시 1. 📌 비밀유지계약서 기업간 회사의 영업비밀 연구 성과 등 기밀 정보를 유출하거나 공개지 않겠다는 내용으로 체결하는 계 , 약서 어떤 사항을 비밀 유지 해야하는지에 대한 항목을 작성하는 비밀유지 사항, 유지기간, 해지, 해제의 조건, 위반시 처벌 및 보상을 명시 연구 비밀 정보 공개법 비밀유지계약을 체결해도 비밀을 공개할 의무는 없음 2. 최소한의 정보만을 제공 3. 비밀유지계약서 효력기간동안 공개 불가능 4. 공개시 서면동의 필요 5. 정부, 법령등으로 부득이하게 공개시, 공개 내용을 상대방에게 사전 통지하도록 명시 ⇒ 사전 통지시 면책 사유가 될 수 있음 6. 공공연히 알려진 사실, 사전 동의를 받은사항, 비밀유지 기간이 지난 정보는 공개가 가능함 7. 연구 성과 공개시 연구성과 발표전에 상대방에게 비밀정보의 포함 및 공개 여부 확인 절차를 거쳐야함 1. 연구실 보안대책 연구실 구성원들에게 보안 중요성 교육 2. 연구노트 등 각종 자료를 중요도별로 별도 분류, 관리 3. 문서의 열람 권한에 차등을 두어 열람할 수 있도록 조치 4. 연구 책임자 및 참여 연구원에 대한 비밀 유지 서약서 작성 5. 방문자, 협력자에 대해서도 비밀유지 내용고지 및 서약서 작성 1. 기술경영과보호 1 연구노트 연구자와 연구개발 기관은 연구 분야의 특성에 따라 연구 수행과정 및 연구개발 성과를 작성 또는 기록하고 관리해 야 한다. 법 시행령 제 65조 1. 과학기술분야 연구개발과제에 참여하는 연구자와 연구개발기관의 장은 과학기술분야 연구의 수행과정과 연구 개발성과를 기록하는 자료, 연구노트를 작성, 관리해야한다. 2. 과학기술 분야 연구개발과제에 참여하는 연구개발기관의 장은 연구노트의 작성 관리에 대한 자체 지침을 마련 하여 운영해야한다. 3. 과학기술정보통신부장관은 연구개발기관의 장이 자체 지침을 잘 마련할 수 있도록 연구노트지침을 마련해 제 공해야한다. 4. 과학기술분야가 아닌 연구개발과제를 소관하는 중앙행정기관의 장은 연구개발과제 연구자와 기관이 연구분야 의 특성을 고려해 연구노트를 기록, 관리할 수 있도록 지침으로 정해 제공하거나 연구개발과제협약으로 정해야 한다. 연구노트의 개념 연구개발과제의 수행과정, 연구 개발 성과를 기록하는 노트 연구개발과제를 통해 얻은 정보, 데이터, 노하우등을 체계적으로 기록한 자료. 목적 연구 윤리적 측면 연구과제관리를 통한 독창성의 근거 마련 연구진실성 입증자료 2. 기록관리 측면 연구계획,과정, 성과를 기록하여 연구 노하우 전수, 연구 재현 연구의 계속성을 유지하기 위함 3. 지식재산권 확보 연구개발성과의 특허 출원 등 지식재산권 확보 기술이전시 실사자료로 활용함 1. 논문을 제출해도 특허 등록 가능 📌 연구노트나 먼저 출원하는게 중요하기 때문 !! . 일단 제출후, 양식에 맞춰서 재제출하는 형식 연구노트의 요건 요건은 연구개발기관의 장이 자체 규정으로 정함 2. 연구노트의 기록날짜와 기록자, 위변조를 확인할 수 있어야함 3. 서면, 전자노트, 음성, 영상 등 다양한 형식으로 작성함 1. 기술경영과보호 2 연구노트 작성 소속 연구자가 연구노트를 작성해야함 2. 작성 사항은 개발기관의 장이 자체 규정으로 정함 3. 아래의 경우 연차보고서, 최종보고서등 작성을 연구노트로 볼 수 있다. a. 개인사업자, 창업초기기업 등 연구노트관리에 어려움을 겪는다고 인정되는 기관 b. 사전조사, 기획평가, 연구개발과제의 조정관리 등 작성의 필요성이 크지않다고 인정되는 연구개발과제의 경우 4. 하나의 연구개발 과제에 다수의 연구개발기관이 참여하는경우, 연구개발기관마다 연구노트를 각각 작성한다. 5. 연구자별로 연구노트를 작성하게할 수도 있고, 하나의 연구노트를 다수의 연구자가 공동으로 작성하게 할 수도 있음. 이 경우, 모든 연구자는 연구노트를 작성하는것을 원칙으로함 6. 기록자는 연구노트를 작성할때, 위조, 변조 없이 객관적 사실만을 기록해야하며, 수행결과를 재현하는데 활용 할 수 있게 해야함 1. 연구노트 권리의 소유 연구노트의 권리는 작성을 관리하는 연구개발기관이 소유한다. 2. 연구개발성과는 연구개발기관이 연구자로부터 승계받아 소유한다. 3. 근데 연구개발성과 유형, 참여유형, 비중에 따라 연구자가 소유하거나 여러 연구기관이 공동으로 소유할 수도 있다. 4. 근데 국가가 소유하기도 한다. a. 국가 안보를 위해 b. 공공의 이익을 위해 c. 연구개발기관이 국외에 있는경우 d. 대통령령으로 정하는경우 1. 연구노트의 보관 및 관리 연구노트 작성지원, 보관 및 관리등의 업무를 담당하는 부서를 지정해야한다. 2. 연구노트의 보관기간은 연구개발과제 종료일로부터 30년이다. → 특허 분쟁시 활용가능 3. 근데 자체 규정에 따라 다르게 할 수 있다. 1. 연구노트의 열람 및 공개 연구개발기관의 장은 열람 범위와 대상을 정해서 열람가능하게 할 수 있다. 2. 기록자가 열람요청시, 열람권이 보장되어야함 3. 연구노트 열람에 대한 관리대장을 구비해야한다. 1. 기술경영과보호 3 자체 규정에따라 연구노트를 공개할 수 있다. 5. 연구자가 연구노트를 연구개발성과 제출, 평가, 연구자 보호, 지식재산권 출원등에 활용하기 위해 사용요청시, 사용권이 보장되어야한다. 6. 연구자는 누설, 유출, 양도, 매매해서는 안된다. 4. 특허 ⇒ 연구노트를 소정의 명세서 기재양식에 따라 편집하여 특허출원가능 → 특허는 빨라야한다. 연구자가 작성한 연구노트를 그대로 이용하여 국어, 영어 발명설명만 작성하고 청구범위 없어도 특허출원 가능 ⇒ 근데 나중에 수정해야함 연구노트의 폐기 보존기간이 경과한 연구노트를 폐기할 수 있음 2. 보존기간이 경과하지 않아도 보존가치가 없다고 판단되면 폐기할 수 있다. 1. 보안업무관리조직 보안관리조직의 특성 각 분야별 담당자로 구분하여 업무를 하나, 통합적으로 운영됨 2. 보안관리최고책임자의 자질과 역량에 의해 성패가 좌우되기도 함 1. 보안관리조직의 구성 보안 전담 조직을 두는 경우 체계적인 보안 정책 수립, 시행을 위해 보안 업무를 전담하는 전담보안조직체계 구성 2. 보안관련 부서 내에 전담조직을 두는경우 조직의 총괄부서(총무부, 기획부)에 보안 업무를 전담하는 보안조직 체계 구성 1. 보안책임 관계기관의 장은 아래 관리대상에 대해 보안 책임을 진다. 1. 국가기밀에 속하는 문서, 자재, 시설, 지역 2. 국가 안전보장에 한정된 국가기밀을 취급하는 인원 최고보안책임자 임명 기관 보안업무를 총괄적 수행할 수 있는 인사, 예산,조직,시설 권한을 가진 직위, 지위를 고려하여 기관장이 임명함 기술경영과보호 4 최고보안책임자는 기관장을 대리하여 보안조직을 구성하고, 보안관리체계를 수립하는 등 기관 전체의 보안 관리에 대한 실무적인 책임을 짐 임직원의 보안 책임 소관 분야의 국가기밀보호에 대한 직접적 책임을 진다. 국가정보보호체계와 관련 규정 국가안전보장 방첩업무규정, 보안업무규정, 군사기밀보호규정 국가안보 및 국민경제 보호 산업보안 업무규정, 연구개발보안규정, 방산기밀보호규정 기업기밀보호 영업비밀보호규정 보안업무의 구분 국가보안: 인원보안, 문서보안, 시설보안, 정보보안, 보안정책 2. 산업기술(영업비밀)보안 : 관리보안, 물리적보안, 기술적보안 3. 연구개발보안 : 인원보안, 연구정보 및 성과보안, 정보보안, 시설보안, 보안정책 수립 1. 개선에 대한 견해 보호대상 자산 선별(인원, 기밀문서, 노하우, 시설∙장비, 네트워크) 2. 보안대상에 대한 보안관리 책임(보안관리 주체 지정) 3. 보안관리체계(보안심사위원회, 보안조직 구성, 보안담당자 지정 등) 4. 보안관리수단 및 방법(보안규정제정, 인원보안, 기밀 정보 및 문서의 보안등급 분류 및 관리, 정보통신보안, 인원∙물품 출입보안 등) 5. 보안사고 대응(예방계획, 사고∙징후 대응 및 메뉴얼, 원상복구, 상벌제도) 6. 보안의식제고 및 재발방지(취약점실태조사, 보안교육, 보안감사∙지도) 1. 기술유출 보안사고의 대응 기술유출사고의 특징 1. 보안사고 인지에 오랜 시간이 걸림 기술경영과보호 5 ⇒ 보안사고 징후, 발생사실을 인지하기 곤란함 2. 단기간에 대량 유출이 가능함 3. 범죄사실에 대한 증거확보 어려움 4. 적발하여도 강력한 처벌 어려움 ⇒ 부정한 이익을 얻거나 영업비밀의 보유자에게 손해를 입힐 목적” 입증 곤란 대응 부적절 대응절차, 메뉴얼이 없거나 형식적인 경우 2. 적극적 대응보다 은폐, 축소에 중점을 두는 경우 3. 보안사고 보고, 신고 지연하여 피해 확대하는경우 1. 기술유출 트랜드 변화 기술 유출자의 유형 자신의 업무와 관계없는 타부서의 일이 특히 관심을 갖는자 2. 특별한 목적 없이 다른 부서를 자주 출입하는자 3. 연구실 등 회사기밀 보관장소에 접근을 시도하는자 4. 평소와 달리 동료 접촉을 피하거나 심한 정서변화를 보이는자 5. 중요부서에 근무하다가 특별한 사유 없이 사직하는자 6. 업무를 핑계로 영업비밀 자료를 복사해 개인적으로 보관하는자 7. 잔무처리를 이유로 일과 후 또는 공휴일에 사무실에 혼자 근무하는자 1. 기술경영과보호 6 기술 연구보다 고위관리자, 핵심 기술자와의 친분에관심이 많은 연수생 9. 연구활동보다 연구 성과물에 지나치게 집착하는자 8. 보안사고 대응조치 기술유출징후 또는 사고 발생 포착 내부적 인지, 정보 입수 등을 통해 파악 기술유출 처리절차 확인 및 비상연락체계 유지 2. 사실여부 진위확인 및 경영진 보고 기술유출 징후 및 유출사고의 사실여부 및 사고유형 등 기본 내용 파악 주변 동료 또는 상급자의 연로 가능성 있으므로 보안 유지하에 신속진행 사실여부 확인내용을 최고보안책임자를 통해 경영진 등 보고 ⇒ 대응팀 구성 건의 3. 사고대응팀 구성 CSO등 보안부서를 중심으로 보안 사고 대응팀 구성 필요최소한의인원으로 구성하여, 기술유출 유형별 대응방안 협의 4. 기술유출 초동조사 a. 전현직 직원에 의한 유출 → 전문가 활용 권장 기술유출 임적원 업무내역, 산업기술 자산 접근기록확인 내외부 공범이 있을 수 있으므로 보안 유지하에 조사 진행, 중요문서 접근 차단 범죄사실 입증을 위한 증거자료 확보 진술서 확보 b. 해킹 바이러스 네트워크 침해에 의한 유출 추가유출 방지를 위한 차단조치 로그 확인 및 백업 5. 처리방안 결정 1. 기술유출 사건 내용별 사고처리 국가핵심기술 및 산업기술과 관련된 비공개 연구개발성과(산업기술보호법) 산업통상부 장관 및 정보수사기관에 신고하고 필요한 조사 및 조치 요청 산업기술 침해 금지 또는 예방을 위한 청구권을 행사 2. 국가첨단전략기술의 침해(국가첨단전략산업법) 산업통상부 장관에게 전량기술보유 전문인력의 출입국정보 제공신청 ⇒ 동의가 있고, 해외유출이 심각하게 우려되는 경우 산업통상부 장관 및 정보수사기관에 신고하고 필요한 조사 및 조치요청 3. 국가 R&D과제 중 보안과제로 분류된 연구개발성과 보안사고 일시, 장소, 사고인원의 인적사항, 세부내용을 파악하여 중앙행정기관에 보고 1. 기술경영과보호 7 중앙행정기관장은 경위를 조사 4. 영업비밀 및 연구 성과 및 유출사건 유출은 되었으나 활용되지 않았고 큰 피해도 없는경우 ⇒ 상호 합의 및 자료반환 요청 기술유출로 인한 심각한 피해가 예상되거나 피해를 입었을때 ⇒ 민/형사적 대응 6. 사법기관 고소 및 수사지원 a. 국가정보원, 검찰, 경찰에 기술유출 보안사고 신고상담 b. 수사기관(검찰, 경찰) 고소장 작성 c. 참고인 조사, 범죄입증자료 제출, 증인참석 등 수사지원 사건 진행에 대한 보안유지가 가장 필요한 단계 범죄증거 확보 7. 재발 방지 조치 및 대책 강구 a. 보안 감사 및 지도 점검 보안 취약점 도출을 위한 보안 감사 실시 보안직무지식 제고 및 보안관리체계정비를 위한 지도점검 실시 b. 보안관리체계 개선 등 재발방지 대책 강구 c. 보안교육 및 홍보 기술유출 보안사고 처리절차 경찰의 기술유출 사건 처리절차 기술경영과보호 8 기술유출 침해징후 제품 A/S 이유등 소스코드 요구 2. 생산 제품의 주문량이나 매출액 갑자기 감소 3. 공동연구, 합작투자 등 의향서만 체결하고 특별한 이유 없이 본 계약 체결을 미룸 1. 보안컨설팅 및 유의사항 보안관리의 특성 보안은 완벽할 수 없다. 2. 보안사고의 발생은 이미 예고되어있다. → 발생 유무가 아니라 언제 발생하느냐 3. 보안의 비용대비 효과는 보안 실패 비율을 낮추는데 달렸다. 보안대책은 보안 취약점과 그에대한 비용을 비교하여 위험을 감수함 1. 위험수용 : 잠재손실비용을 감수하고 추가보안대책을 수립하지 않음 2. 위험감소 : 해당 위험을 감소시킬 수 있는 대책을 채택하여 실행 3. 위험회피 : 위험이 존재하는 프로세스나 사업은 수행하지 않고 포기한다 4. 위험전가 : 보험이나 외주등으로 잠재적 비용을 제3자에게 이전하거나 위임 ⇒ 해킹에 대한 보험 4. 보안의 성과는 일반적 경영활동에 비해 성과측적이 어렵다 보안은 이윤창출에 직접적인 기여는 하지않음 목적달성구조를 안전하게 보호하고 유지하며 경영활동에 기여 1. 기술경영과보호 9 5. 보안문화는 보안담당자의 노력만으로는 달성하기 어려움 ⇒ 임원진보다 경영진이 적극 참여할수록 문화정착효과가 큼 보안 용어 개선 및 소통 필요 보안자문의 필요성 보안 트렌드 변화에 따른 보안정책변화 필요 사이버공격 및 임직원의 금전적 욕구에 의한 기술침해 사례 증가 ⇒ 기관중심의 보안체계 → 실무자 중심보안관리체계 전환이 필요함 2. 기술혁신으로 인한 새로운 기술의 등장과 융복합화에 따른 보안 정책변화 ⇒ 기술 융복합상황에서 보안수행의 기준과 융합보안에 대한 역할정립필요 3. 보안업무수행방식과 사용자 행동에 필요한 세부지침 및 메뉴얼 제공 보안환경이 변화하면 새로운 관리지침 필요 ⇒ 실제 업무수행과정에서의 보안관리에 필요한 세부 메뉴얼 제공 4. 보안 피로감 및 보안 정책의 무력화방지 기존 보안 + 새로운 규제 ⇒ 보안피로감 발생 너무 많으면 회피하려고함 ⇒ 주기적 보안자문실시 5. 시대에 맞지않는 보안정책의 개선과 보안규칙 간소화 현재 정책과 요소가 실제로 작동하는지확인하여 개선하기 ⇒ 규칙이 적을수록 수용도가 높아짐 → 하나를 더하면 하나 빼기 6. 보안정책 주기적 검토 및 개선사항 교육 홍보 실시 ⇒ 통상 1년, 분기/반기 벼롤 검토 1. 자문의 개념 조직의 목적을 달성하는데 문제점을 해결, 새로운 기회 발견/포착, 학습 촉진, 변화시키는 관리자와 조직을 지원하 는 독립적인 자문서비스 기업경영상의 문제에 대한 해결방안 제시 + 방안이 적기에 실시될 수 있도록 돕는것 보안자문 ⇒ 보안관리상 문제와 해결방안을 강구하여 적시에 실행할 수 있도록 보안 담당자의 업무를 돕는 행동 경영자등이 보안과 관련한 문제(반드시 되어야할 바람직한 상태와 현재상태와의 차이)를 올바르게 인식하고 해결 할 수 있도록 지원 연구보안 자문의 효과 1. 연구기관의 보안수준 제고 기술경영과보호 10 ⇒ 보호대상에 대한 위험요인 파악 및 대책수립 보안현황 파악 → 개선목표정의 → 보안수준제고 2. 보안관리체계 인증획득 등 보안신뢰도 제고 3. 보안 문제의 객관화를 통한 해결 추진 문제점과 해결책을 알아도 반영하기 어려운 경우가 있음 보안자문을 통해 제3자를 통해 객관화하여 해결 4. 연구원교육 등 법적 준거성 확보 보안컨설턴트의 역할 ⇒ 보안수요자의 의뢰를 받아 특정문제 또는 분야 업무수행에 관한 전문가적 조언을 제공하거나 업무를 수행하는 전문가 보안업무 개선의 실질적 권한이 없음 → 조언만 가능함 컨설턴트의 유의사항 정해진 컨설팅 대상 외 다른 진단 금지 2. 정해진 진단시간 외 진단 수행 금지 3. 취약점 컨설팅 결과 허가없이 공개금지 4. 기타 대상기관으로부터 요청받은 금지사항 준수 1. 단계적 추진사항 착수 ⇒ 자문의 목적 설명단계 요구사항 분석 범위/방법 확정 업무현황분석, 보안문제 도축 기업자가진단 보안현황 파악 2. 진단 ⇒ 취약성 분석 및 위험평가단계 정보자산식별 및 가치평가 분야별 위험취약점 진단 임직원 보안 인식 실태조사 3. 결과 ⇒ 결과 종합 및 이행계획 수립 환경분석 및 자산 분석 결과 분야별결과 및 해결과제선정 1. 기술경영과보호 11 단계별 보안계획 수립 4. 종료 ⇒ 결과설명단계 보안 실행 설득 경영과보안의 보완관계 설명 보안경영통제항목 제시 임직원 교육 및 사후관리 기술경영과보호 12