| |
|
|
|
통합 인증 플랫폼 및 부가서비스 개발
용역 제안요청서
|
|
|
2025. 05.
|
※ 본 자료는 제안내용의 설명을 위한 배포자료로, 이외의 목적으로 무단복제, 전달 및 사용하는 행위를 일체 금함.
|
1. 사업개요
ㅇ사 업 명 : 통합 인증 플랫폼 및 관련 부가서비스 개발
ㅇ사업기간 : 계약체결일로부터 6개월 내
ㅇ사업예산 : 금 일억오천만원(150,000,000원, 십만단위 절사, 부가세 포함)
2. 계약(입찰, 낙찰)방식
ㅇ중소기업자간 경쟁제품으로 제한경쟁입찰(협상에 의한 계약)
ㅇ국가를 당사자로 하는 계약에 관한 법률 시행령 제43조
3. 입찰참가자격
ㅇ「국가를 당사자로 하는 계약에 관한 법률」 시행령 제12조 및 동법 시행규칙 제14조에 의한 경쟁입찰 참가자격을 갖춘 자
ㅇ「국가를 당사자로 하는 계약에 관한 법률」 제27조에 따라 입찰참가자격 제한을 받고 입찰참가자격제한 기간이 경과되지 않은 자 제외
ㅇ「국가를 당사자로 하는 계약에 관한 법률」 제27조의5 및 동법 시행령 제12조제3항에 따라 조세포탈 등을 한자로서 유죄판결이 확정된 날로부터 2년이 지나지 않은 자 제외
- 입찰자는 동법 시행령 제12조 제3항 각 호에 해당하지 아니한다는 서약서를 입찰시 제출하여야 함. 만일 서약 내용이 허위로 판명될 경우 계약의 해제ㆍ해지를 당할 수 있고, 부정당업자 입찰참가자격제한처분을 받을 수 있음(서약서 제출은 전자입찰 시 송신한 입찰서로 갈음)
ㅇ「국가종합전자조달시스템 입찰참가자격등록규정」에 의하여 반드시 나라장터(G2B)에 소프트웨어사업자(컴퓨터관련 서비스사업 또는 패키지소프트웨어 개발․공급사업)로 신고를 필한 자
ㅇ본 사업은 중소기업간 경쟁제품에 해당되며, 중소기업제품 구매촉진 및 판로지원에 관한 법률 제2조에 의한 중소기업자(중소기업확인서 소지)로서 동법 제9조 및 동법 시행령 제10조에 의한 직접생산증명서(전산업무분야 정보시스템개발서비스, 8111159901 또는 패키지소프트웨어개발 및 도입서비스, 8111159801)를 소지한 업체(입찰서 제출 마감일 전일까지 발급된 것으로 유효기간 내의 것에 한함)
- 판로지원법 제33조에 의거 중소기업자로 간주되는 특별법인 포함(특별법인의 경우 해당 자격을 증빙할 수 있는 관련 서류를 추가로 제출)
ㅇ「중소소프트웨어사업자의 사업 참여 지원에 관한 지침」(과학기술정보통신부 고시)에 의거 대기업 소프트웨어 사업자는 본 입찰에 참여할 수 없으며,「소프트웨어 진흥법」제48조 제4항에 따라「독점규제 및 공정거래에 관한 법률」제31조에 따라 지정된 상호출자제한기업집단에 속하는 기업도 입찰 참여 불가
ㅇ본 과업의 전문성 및 효과적인 하자관리 필요성에 따라 “공동수급” 및“하도급 불허”
ㅇ본 제안요청서에서 제시하고 있는 조건 수용 가능하며, 당 연구소의 선정방식 등에 이의가 없는 업체로 연구소가 요구하는 제출서류를 빠짐없이 제출한 업체
4. 사업 목적 및 필요성
○ 기존 스마트폰 업무체계에 다양한 업무 서비스가 개발되어 사용되면서, 도입되는 업무 서비스마다 아이디/패스워드 확인을 통한 인증 기능을 별도로 개발함에 따른 도입 기관의 불편 증가
○ 사용자 입장에서는 업무 서비스 별 아이디/패스워드를 만들고, 이를 기억해야 하는 불편함 존재
○ FIDO(Fast IDentification Online)에서 사용되는 공개키 기반 인증 프로토콜이 아닌 업무체계를 위한 연구소가 설계한 상호인증 프로토콜 적용 필요
5. 추진체계
ㅇ프로젝트 관리 및 점검 : 담당부서 직원 2명
-사업수행진도관리, 수행상황 점검 및 수행내용 협의 등
ㅇ 제안서평가위원회를 구성하여 평가
- 평가방법 : 평가서(별도 작성)에 의한 점수평가
- 제안서(기술) 평가 적격자 판단 기준 : 배점한도의 85% 이상
ㅇ용역관리 방안
-상시 품질관리 수행
-제안서 대비 착수계(사업수행계획서 등) 대조/확인
-공정별, 일자별 작업내용 확인
-정기적 보고회의 등의 실시로 문제점 파악 및 개선
6. 추진일정
[ 사업 수행 일정표 ]
|
구분
|
계약일+1M
|
계약일+2M
|
계약일+3M
|
계약일+4M
|
계약일+5M
|
계약일+6M
|
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
|
기획 및 정의
|
|
킥오프/거시기획
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
미시기획/서비스 시나리오 및
스토리 보드 구성
|
|
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
통합 사용자 인증 프로토콜 개발
|
|
스마트폰 무결성 검증 프로토콜 개발
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사용자 인증 프로토콜 개발
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사용자 등록 프로토콜 개발
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사용자 로그아웃 프로토콜 개발
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사용자 인증토큰 처리 프로토콜 개발
|
|
인증토큰 운용 프로토콜 개발
|
|
|
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
인증토큰 무결성 확인 기능 개발
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
인증토큰 유효성 확인 기능 개발
|
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사용자 장치 정보 관리 기능 개발
|
|
사용자 장치 정보 제공 기능 개발
|
|
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사용자 장치 상태 변경 기능 개발
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
통합 사용자 인증 앱 개발
|
|
업무 앱용 인증 라이브러리 개발
|
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
통합 사용자 인증 앱 개발
|
|
|
|
|
●
|
●
|
●
|
●
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
통합 사용자 인증 응용 개발
|
|
업무 앱 개발
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
업무 서버 개발
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
통합 사용자 인증 서버 관리 기능 개발
|
|
사용자 관리 기능 개발
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
서버 관리자 관리 기능 개발
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
업무 서버 관리 기능 개발
|
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
스마트폰 무결성 값 관리 기능 개발
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
로그 관리 기능 개발
|
|
|
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
통합 사용자 인증 서버 시험
|
|
시험 스크립트 작성
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
|
|
|
|
|
|
|
|
|
단위 기능 및 부하 시험
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
●
|
|
|
|
|
|
|
|
통합 운용 시험
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
●
|
●
|
|
|
|
|
|
과제 정리
|
|
과제 문서화
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
●
|
●
|
|
|
|
사용자 교육 및 운용
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
●
|
|
이전 설치 및 검수
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
●
|
※상기 추진일정표는 용역의 특성 및 연구소의 사정에 의해 추후 변경될 수 있으며, 또한 제안기관에서 업무를 효율적으로 추진하기 용이하도록 변경하여 제안할 수 있음
1. 사업 범위
ㅇ 안드로이드 스마트폰용 커스텀 인증 시스템 개발
- 연구소 제공 라이브러리를 이용한 커스텀 인증 서버 및 앱 개발
- 커스텀 인증 기능 확인을 위한 업무 서버 및 앱 개발
- 업무 서버의 인증토큰 검증 기능 개발
ㅇ 사용자 장치 정보 관리 기능 개발
- 통합 사용자 인증 서버에 등록된 사용자의 사용자 장치 정보 제공 기능 개발
- 업무 서버의 사용자 장치 상태 변경 요청 처리 기능 개발
2. 요구사항 총괄표
|
순번
|
요구사항 분류
|
요구사항 명칭
|
요구사항 개수
|
|
1
|
스마트폰 무결성 검증
|
스마트폰 무결성 검증 프로토콜 구현
(RAP-01-A ~ RAP-01-B)
|
2
|
|
2
|
사용자 인증
|
사용자 인증 프로토콜 구현
(UAP-01-A ~ UAP-01-C)
|
3
|
|
인증토큰 생성 구현
(UAP-02-A)
|
1
|
|
3
|
사용자 등록
|
사용자 등록 프로토콜 구현
(URP-01-A)
|
1
|
|
4
|
사용자 로그아웃
|
사용자 로그아웃 프로토콜 구현
(ULOP-01-A ~ ULOP-01-B)
|
2
|
|
5
|
인증토큰 검증
|
인증토큰 무결성 보장 구현
(TOK-01-A ~ TOK-01-B)
|
2
|
|
인증토큰 유효성 확인 구현
(TOK-02-A ~ TOK-02-B)
|
2
|
|
6
|
사용자 장치 정보 관리
|
사용자 장치 정보 제공 구현
(DIDP-01-A)
|
1
|
|
사용자 장치 상태 변경 구현
(DIDP-02-A ~ DIDP-02-B)
|
2
|
|
7
|
업무 서버 요청 처리
|
업무 서버 요청 처리 REST API 개발
(SERP-01-A)
|
1
|
|
8
|
업무 앱용 인증 라이브러리
|
업무 앱용 인증 라이브러리 개발
(ALIB-01-A)
|
1
|
|
9
|
통합 사용자 인증 앱
|
통합 사용자 인증 앱 개발
(SSOA-01-A)
|
1
|
|
10
|
통합 사용자 인증 응용
|
업무 앱 개발
(SAPP-01-A ~ SAPP-01-C)
|
3
|
|
업무 서버 개발
(SAPP-02-A ~ SAPP-02-C)
|
3
|
|
11
|
통합 사용자 인증 서버 관리 기능
|
사용자 등록
(SMA-01-A ~ SMA-01-B)
|
2
|
|
사용자 수정 및 삭제
(SMA-02-A ~ SMA-02-B)
|
2
|
|
서버 관리자 UI
(SMA-03-A ~ SMA-03-C)
|
3
|
|
서버 관리자 패스워드 규칙
(SMA-04-A ~ SMA-04-C)
|
3
|
|
스마트폰 무결성 값 관리 UI
(SMA-05-A ~ SMA-05-C)
|
3
|
|
업무 서버 관리 UI
(SMA-06-A ~ SMA-06-D)
|
4
|
|
로그 관리 UI
(SMA-07-A ~ SMA-07-C)
|
3
|
|
12
|
통합 사용자 인증서버 시험 방법
|
통합 사용자 인증서버 시험 방법 제공
(TSC-01-A ~ TSC-01-B)
|
2
|
|
13
|
입력값 유효성 조건
|
입력값 유효성 조건
(INV-01-A ~ INV-01-C)
|
3
|
|
14
|
결과물 조건
|
결과물 조건
(OUT-01-A ~ OUT-01-E)
|
5
|
3. 세부요구사항
ㅇ스마트폰 무결성 검증 기능 개발
|
요구사항 분류
|
스마트폰 무결성 검증
|
|
요구사항 고유번호
|
RAP-01-A, RAP-01-B
|
|
요구사항 명칭
|
스마트폰 무결성 검증 프로토콜 구현
|
|
요구사항
상세설명
|
○ 단말기 무결성 검증 구현(RAP-01-A)
- 통합 사용자 인증 앱, 통합 사용자 인증 서버, 원격검증 서버 간 통신을 통해, 통합 사용자 인증 서버는 통합 인증 앱이 설치된 스마트폰의 무결성을 확인해야 한다.
- 원격검증 서버는 연구소에서 제공하는 서버를 사용한다.
- 무결성 검증 프로토콜은 계약 후 연구소에서 제공한다.
○ 단말기 무결성 검증 결과를 활용한 사용자 인증 판단(RAP-01-B)
- 단말기 무결성 검증에 성공한 후, 원격검증 서버가 전달한 값을 이용해 사용자 인증을 판단하는 기능을 통합 사용자 인증 서버에 구현해야 한다.
- 원격검증 서버가 전달하는 값은 JSON 형태의 text 포맷이며, 계약 후 연구소에서 제공한다.
|
ㅇ사용자 인증 기능 개발
|
요구사항 분류
|
사용자 인증
|
|
요구사항 고유번호
|
UAP-01-A, UAP-01-B, UAP-01-C
|
|
요구사항 명칭
|
사용자 인증 프로토콜 구현
|
|
요구사항
상세설명
|
○ 설명
- 사용자 인증 프로토콜은 통합 사용자 인증 서버와 통합 사용자 인증 앱 사이의 프로토콜이며, 계약 후 연구소가 제공한다.
- 연구소 제공 프로토콜에는 앞서 언급한 스마트폰 무결성 검증 프로토콜이 포함된다.
- 사용자 인증을 위해 username만 사용자로부터 입력받으며, 연구소 제공 라이브러리를 이용해 패스워드리스 인증을 구현한다.
○ 스마트폰 생체인증 활용(UAP-01-A)
- 통합 사용자 인증 앱은 인증 프로토콜 동작 과정에 안드로이드 스마트폰에서 제공하는 사용자 지문/패턴/PIN 확인 후 인증관련 연산을 수행해야 한다.
○ 통합 사용자 인증 앱 사용자 인증값 생성 및 확인(UAP-01-B)
- 통합 사용자 인증 앱의 인증관련 연산은 연구소에서 제공하는 라이브러리를 이용해 생성 및 검증해야 한다.
- 이 기능에 사용되는 라이브러리는 계약 후 연구소가 제공한다.
○ 통합 사용자 인증 서버 인증값 생성 및 검증(UAP-01-C)
- 통합 사용자 인증 서버의 인증관련 연산은 연구소에서 제공하는 라이브러리를 이용해 생성 및 검증해야 한다.
- 이 기능에 사용되는 라이브러리는 계약 후 연구소가 제공한다.
|
|
요구사항 분류
|
사용자 인증
|
|
요구사항 고유번호
|
UAP-02-A
|
|
요구사항 명칭
|
인증토큰 생성 구현
|
|
요구사항
상세설명
|
○ 사용자 인증 토큰 생성(UAP-02-A)
- 통합 사용자 인증 서버는 사용자 인증 프로토콜이 성공적으로 완료되면 해당 사용자에 대한 토큰을 생성해야 한다.
- 생성된 사용자 인증토큰은 연구소가 제공하는 라이브러리를 이용해 처리하도록 구현해야 한다.
|
ㅇ사용자 등록 기능 개발
|
요구사항 분류
|
사용자 등록
|
|
요구사항 고유번호
|
URP-01-A
|
|
요구사항 명칭
|
사용자 등록 프로토콜 구현
|
|
요구사항
상세설명
|
○ 사용자 등록(URP-01-A)
- 사용자 인증 프로토콜 과정(UAP-01-A ~ UAP-01-C)에서 통합 사용자 인증 서버의 사용자 정보에 사용자 장치 ID가 등록되어 있지 않다면, 사용자 ID를 사용자 정보에 등록해야 한다.
- 사용자 인증 프로토콜이 성공한 경우에만 사용자 ID를 등록한다.
|
ㅇ사용자 로그아웃 기능 개발
|
요구사항 분류
|
사용자 로그아웃
|
|
요구사항 고유번호
|
ULOP-01-A, ULOP-01-B
|
|
요구사항 명칭
|
사용자 로그아웃 프로토콜 구현
|
|
요구사항
상세설명
|
○ 업무 앱 사용자 로그아웃(ULOP-01-A)
- 사용자가 업무 앱에서 로그아웃을 선택하면, 통합 사용자 인증 서버에 사용자 로그아웃을 요청하여 인증토큰을 무효화 처리해야 한다.
○ 통합 사용자 인증 서버 사용자 로그아웃(ULOP-01-B)
- 업무 서버가 통합 사용자 인증 서버에 로그아웃된 사용자의 인증토큰 검증을 요청하면, 로그아웃 되었음을 리턴해야 한다.
|
ㅇ인증토큰 검증 기능 개발
|
요구사항 분류
|
인증토큰 검증
|
|
요구사항 고유번호
|
TOK-01-A, TOK-01-B
|
|
요구사항 명칭
|
인증토큰 무결성 보장 구현
|
|
요구사항
상세설명
|
○ 인증토큰 무결성 값 생성(TOK-01-A)
- 통합 사용자 인증 서버는 사용자 인증 프로토콜이 성공한 후에 인증토큰을 생성하고, 이를 연구소가 제공한 라이브러리를 이용해 변형한 후 통합 사용자 인증 앱에 전달해야 한다.
- 인증토큰의 구조는 계약체결 후 연구소에서 제공한다.
○ 인증토큰 무결성 확인(TOK-01-B)
- 통합 사용자 인증 서버는 업무 서버의 인증토큰 검증 요청을 수행하기 위해, 연구소가 제공한 라이브러리를 이용해 변형 후 인증토큰 내용을 확인해야 한다.
|
|
요구사항 분류
|
인증토큰 검증
|
|
요구사항 고유번호
|
TOK-02-A, TOK-02-B
|
|
요구사항 명칭
|
인증토큰 유효성 확인 구현
|
|
요구사항
상세설명
|
○ 인증토큰 유효기간 확인(TOK-02-A)
- 통합 사용자 인증 서버는 업무 서버가 전달한 인증토큰 검증 시, 토큰에 명시된 유효기간이 만료되었으면 인증토큰을 폐기하는 기능을 구현해야 한다.
○ 인증토큰 사용자 확인(TOK-02-B)
- 통합 사용자 인증 서버는 업무 서버가 전달한 인증토큰 검증 시, 해당 사용자의 인증토큰이 유효한지 확인하는 기능을 구현해야 한다.
- 인증토큰의 확인 조건은 계약체결 후 연구소에서 제공한다.
|
ㅇ사용자 장치 정보 관리 개발
|
요구사항 분류
|
사용자 장치 정보 관리
|
|
요구사항 고유번호
|
DIDP-01-A
|
|
요구사항 명칭
|
사용자 장치 정보 제공 구현
|
|
요구사항
상세설명
|
○ 등록된 사용자 장치 정보 제공(DIDP-01-A)
- 통합 사용자 인증 서버는 업무 서버에서 요청 시 등록된 사용자의 장치 정보를 전달하는 REST API를 제공해야 한다.
- Query, Result에 대한 JSON schema는 계약 완료 후 연구소에서 제공한다.
|
|
요구사항 분류
|
사용자 장치 정보 관리
|
|
요구사항 고유번호
|
DIDP-02-A, DIDP-02-B
|
|
요구사항 명칭
|
사용자 장치 상태 변경 구현
|
|
요구사항
상세설명
|
○ 등록된 사용자 장치 상태 변경 REST API 구현(DIDP-02-A)
- 업무 서버가 요청한 사용자 장치 상태를 변경하는 REST API를 구현해야 한다.
- 단, 사용자 장치 상태 변경을 요청한 업무 서버 정보의 “사용자 장치 상태 변경 허용”이 체크된 경우에만 사용자 장치 상태를 변경할 수 있도록 구현해야 한다.
○ 등록된 사용자 장치 상태 변경 UI 구현(DIDP-02-B)
- 통합 사용자 인증 서버 관리자는 사용자 정보 수정 UI를 통해 사용자 장치 ID 상태를 변경할 수 있어야 한다.
|
ㅇ업무 서버 요청 처리 기능 개발
|
요구사항 분류
|
업무 서버 요청 처리
|
|
요구사항 고유번호
|
SERP-01-A
|
|
요구사항 명칭
|
업무 서버 요청 처리 REST API 개발
|
|
요구사항
상세설명
|
○ 업무 서버의 REST API 요청 인증(SERP-01-A)
- 업무 서버가 통합 사용자 인증 서버에게 요청하는 모든 기능은 REST API를 통해 처리된다.
- 이 REST API 요청의 허용여부를 판단할 때, 업무 서버 등록 시 설정한 업무 서버 API Key, API Secret 또는 Access Token의 Scope 권한을 이용해 업무 서버 확인이 성공하면 요청을 처리한다.
- 등록된 업무 서버 정보의 “연결 허용”이 체크된 경우에만 REST API 요청을 허용해야 한다.
○ 업무서버 요청처리 REST API 종류
- 인증토큰 유효성 검증
- 사용자 장치 정보 제공
- 통합 사용자 인증 서버 인증서 제공(토큰 처리방법에 따라 삭제될 수 있음)
- 사용자 장치 상태 변경
- 통합 사용자 인증 서버 동작 확인
|
ㅇ업무 앱용 인증 라이브러리 개발
|
요구사항 분류
|
업무 앱용 인증 라이브러리
|
|
요구사항 고유번호
|
ALIB-01-A
|
|
요구사항 명칭
|
업무 앱용 인증 라이브러리 개발
|
|
요구사항
상세설명
|
○ 업무 앱용 인증 라이브러리(ALIB-01-A)
- 업무 앱과 함께 빌드하여 사용자 등록, 사용자 인증, 사용자 로그아웃을 수행할 수 있는 업무 앱용 인증 라이브러리를 제공해야 한다.
- 업무 앱용 인증 라이브러리는 통합 사용자 인증 앱을 통해 통합 사용자 인증 관련 요청을 처리하는 기능을 수행한다.
|
ㅇ통합 사용자 인증 앱 개발
|
요구사항 분류
|
통합 사용자 인증 앱
|
|
요구사항 고유번호
|
SSOA-01-A
|
|
요구사항 명칭
|
통합 사용자 인증 앱 개발
|
|
요구사항
상세설명
|
○ 업무 앱의 인증 라이브러리 요청 처리(SSOA-01-A)
- 업무 앱용 인증 라이브러리의 사용자 등록, 사용자 인증, 사용자 로그아웃 요청을 전달받아 통합 사용자 인증 서버와 사용자 인증 프로토콜을 수행하는 통합 사용자 인증 앱을 제공해야 한다.
|
ㅇ통합 사용자 인증 기능 확인용 응용 개발
|
요구사항 분류
|
통합 사용자 인증 응용
|
|
요구사항 고유번호
|
SAPP-01-A, SAPP-01-B, SAPP-01-C
|
|
요구사항 명칭
|
업무 앱 개발
|
|
요구사항
상세설명
|
○ 업무 앱 사용자 등록(SAPP-01-A)
- 사용자 username을 입력받아 업무 앱용 인증 라이브러리를 통해 사용자 등록을 수행하는 기능을 제공해야 한다.
○ 업무 앱 사용자 인증(SAPP-01-B)
- 사용자 username을 입력받아 업무 앱용 인증 라이브러리를 통해 사용자 인증을 수행하는 기능을 제공해야 한다.
○ 업무 앱 사용자 로그아웃(SAPP-01-C)
- 사용자 username을 입력받아 업무 앱용 인증 라이브러리를 통해 사용자 로그아웃을 수행하는 기능을 제공해야 한다.
○ 공통사항
- 업무 앱은 동작과정을 확인할 수 있도록 사용자 등록, 사용자 인증, 사용자 로그아웃 절차와 관련된 내용을 업무 앱 UI를 통해 출력해야 한다.
|
|
요구사항 분류
|
통합 사용자 인증 응용
|
|
요구사항 고유번호
|
SAPP-02-A, SAPP-02-B, SAPP-02-C
|
|
요구사항 명칭
|
업무 서버 개발
|
|
요구사항
상세설명
|
○ 인증토큰 검증 요청(SAPP-02-A)
- 업무 서버는 업무 앱을 통해 전달받은 인증토큰을 통합 사용자 인증 서버에 검증을 요청하는 기능을 제공해야 한다.
○ 인증토큰 검증 결과 처리(SAPP-02-B)
- 통합 사용자 인증 서버의 인증토큰 검증 결과에 따라 업무 앱 접속을 허용 또는 해제하는 기능을 제공해야 한다.
○ 통합 사용자 인증 서버 접속 설정(SAPP-02-C)
- 통합 사용자 인증 서버와 통신하기 위해 IP 주소, 포트, REST API Key와 Secret을 설정하는 방법을 제공해야 한다.
○ 공통사항
- 업무 서버는 동작과정을 확인할 수 있도록 인증토큰 검증과 관련된 내용을 업무 서버 console 통해 출력해야 한다.
|
ㅇ통합 사용자 인증 서버 관리 기능 개발
|
요구사항 분류
|
사용자 관리
|
|
요구사항 고유번호
|
SMA-01-A, SMA-01-B
|
|
요구사항 명칭
|
사용자 등록
|
|
요구사항
상세설명
|
○ 사용자 벌크 등록(SMA-01-A)
- 통합 사용자 인증 서버는 다수의 사용자를 일괄 등록하는 방법을 제공해야 한다.
○ 단일 사용자 등록(SMA-01-B)
- 통합 사용자 인증 서버는 관리자가 UI를 통해 한 명의 사용자를 등록하는 방법을 제공해야 한다.
|
|
요구사항 분류
|
사용자 관리
|
|
요구사항 고유번호
|
SMA-02-A, SMA-02-B
|
|
요구사항 명칭
|
사용자 수정 및 삭제
|
|
요구사항
상세설명
|
○ 사용자 수정(SMA-02-A)
- 통합 사용자 인증 서버는 서버 관리자가 사용자 정보를 수정할 수 있는 UI를 구현해야 한다.
- 서버 관리자는 사용자 정보 수정 UI를 통해 사용자 장치 ID 상태를 변경할 수 있어야 한다.
○ 사용자 삭제(SMA-02-B)
- 통합 사용자 인증 서버는 서버 관리자가 등록된 사용자를 삭제할 수 있는 UI를 구현해야 한다.
|
|
요구사항 분류
|
서버 관리자 관리
|
|
요구사항 고유번호
|
SMA-03-A, SMA-03-B, SMA-03-C
|
|
요구사항 명칭
|
서버 관리자 UI
|
|
요구사항
상세설명
|
○ 서버 관리자 추가(SMA-03-A)
- 통합 사용자 인증 서버의 UI를 통해 서버 관리자를 추가할 수 있어야 한다.
- 서버 관리자의 패스워드 규칙은 “서버 관리자 패스워드 규칙” 요구사항을 참조한다.
○ 서버 관리자 수정(SMA-03-B)
- 통합 사용자 인증 서버의 UI를 통해 서버 관리자 정보를 수정할 수 있어야 한다.
- 잠긴 서버 관리자 해제, 서버 관리자 패스워드 변경도 포함된다.
○ 서버 관리자 삭제(SMA-03-C)
- 통합 사용자 인증 서버의 UI를 통해 서버 관리자를 삭제할 수 있어야 한다.
○ 참고사항
- 통합 사용자 인증 서버 설치 시 최상위 관리자가 설정되어 있어야 하며, 최상위 관리자 ID, 패스워드는 구현과정에 결정한다.
- 최상위 관리자와 서버 관리자의 차이는 관리자 추가, 수정, 삭제 권한 이외에는 모두 같은 권한을 가진다.
|
|
요구사항 분류
|
서버 관리자 관리
|
|
요구사항 고유번호
|
SMA-04-A, SMA-04-B, SMA-04-C
|
|
요구사항 명칭
|
서버 관리자 패스워드 규칙
|
|
요구사항
상세설명
|
○ 서버 관리자 패스워드 생성/변경 규칙(SMA-04-A)
- 알파벳 문자, 특수문자, 숫자를 모두 포함하여 9자 이상 32자 이하로 설정/변경해야 한다.
- 이전 사용한 패스워드 5개로 변경할 수 없어야 한다.
○ 서버 관리자 패스워드 DB 저장 규칙(SMA-04-B)
- 입력받은 패스워드는 연구소가 제공하는 라이브러리를 통해 해시된 값을 DB에 저장해야 한다.
- 이 방법을 이용하면 같은 패스워드도 다른 해시값으로 DB에 저장된다.
○ 서버 관리자 패스워드 입력 오류 규칙(SMA-04-C)
- 5회 서버 관리자 로그인 입력 실패 시, 해당 서버 관리자 계정은 사용할 수 없도록 잠김 처리되어야 한다.
- 서버 관리자 로그인 실패 시, 현재까지 로그인 실패한 횟수를 출력해야 한다.
- 잠긴 서버 관리자로 로그인 시도 시, 5회 로그인 실패로 인해 계정이 잠겼음을 출력해야 한다.
- 잠긴 서버 관리자 계정은 최상위 관리자가 UI를 통해 잠김을 해제할 수 있어야 한다.
|
|
요구사항 분류
|
스마트폰 무결성 검증값 관리
|
|
요구사항 고유번호
|
SMA-05-A, SMA-05-B, SMA-05-C
|
|
요구사항 명칭
|
스마트폰 무결성 값 관리 UI
|
|
요구사항
상세설명
|
○ 단말기 무결성 값 등록(SMA-05-A)
- 원격검증 서버의 리턴 값을 기반으로 인증여부를 판단하기 위한 단말기 무결성 값의 등록 UI를 통합 사용자 인증 서버에 구현해야 한다.
- 무결성 값의 종류는 계약 후 연구소에서 제공한다.
○ 단말기 무결성 값 수정(SMA-05-B)
- 단말기 무결성 값을 수정하는 UI를 통합 사용자 인증 서버에 구현해야 한다.
○ 단말기 무결성 값 삭제(SMA-05-C)
- 단말기 무결성 값을 삭제하는 UI를 통합 사용자 인증 서버에 구현해야 한다.
|
|
요구사항 분류
|
업무 서버 관리
|
|
요구사항 고유번호
|
SMA-06-A, SMA-06-B, SMA-06-C, SMA-06-D
|
|
요구사항 명칭
|
업무서버 관리 UI
|
|
요구사항
상세설명
|
○ 업무 서버 등록(SMA-06-A)
- 통합 사용자 인증 서버와 연동하여 동작하는 업무 서버 정보를 서버 관리자가 등록하기 위한 UI를 제공해야 한다.
- 서버 관리자가 업무 서버 등록 시 입력할 정보는 업무 서버 이름, 업무 서버 ID(REST API Key로 사용), 업무 앱 패키지 이름, REST API Secret(UUID 자동 생성 또는 직접 입력), 인증토큰 유효기간, 연결 허용 여부(체크박스), 사용자 장치 상태 변경 허용 여부(체크박스), 설명 등으로 구성된다.
○ 업무 서버 열람(SMA-06-B)
- 등록된 업무 서버의 정보를 보여주는 게시판 형태의 UI를 제공해야 한다.
○ 업무 서버 정보 수정(SMA-06-C)
- 서버 관리자가 등록된 업무 서버 정보를 수정할 수 있는 UI를 제공해야 한다.
○ 업무 서버 삭제(SMA-06-D)
- 서버 관리자가 등록된 업무 서버를 삭제할 수 있는 UI를 제공해야 한다.
|
|
요구사항 분류
|
로그
|
|
요구사항 고유번호
|
SMA-07-A, SMA-07-B, SMA-07-C
|
|
요구사항 명칭
|
로그 관리 UI
|
|
요구사항
상세설명
|
○ 로그 수집(SMA-07-A)
- 통합 사용자 인증 서버에서 처리하는 UI와 인증 관련 모든 동작의 로그를 수집해야 한다.
- 로그 포맷은 계약 후 연구소에서 제공한다.
○ 로그 열람(SMA-07-B)
- 통합 사용자 인증 서버에 수집된 로그를 열람할 수 있는 UI를 제공해야 한다.
○ 로그 검색(SMA-07-C)
- 통합 사용자 인증 서버에 수집된 로그를 검색할 수 있는 UI를 제공해야 한다.
- 검색 조건: 사용자 username, 사용자 장치 ID, 업무 앱, 업무 서버, 날짜 기간, 상세 로그 키워드
|
ㅇ통합 사용자 인증서버시험 방법 제공
|
요구사항 분류
|
통합 사용자 인증서버 시험 방법
|
|
요구사항 고유번호
|
TSC-01-A, TSC-01-B
|
|
요구사항 명칭
|
통합 사용자 인증서버 시험 방법 제공
|
|
요구사항
상세설명
|
○ REST API 단위 시험 스크립트(TSC-01-A)
- REST API 별 단위 기능을 시험하기 위한 시험 방법을 제공해야 한다.
- 단위 시험 방법은 API의 모든 결과값을 리턴하도록 구현되어야 한다.
○ REST API 부하 테스트 스크립트(TSC-01-B)
- 제공하는 모든 REST API 지속적으로 호출하여 Aging, Load 시험이 가능한 방법을 제공해야 한다.
○ 참고사항
- 시험 도구는 Apache JMeter, K6 등과 같은 오픈 소스기반 도구를 사용하여야 한다.
|
ㅇ입력값 유효성 조건
|
요구사항 분류
|
입력값 유효성 조건
|
|
요구사항 고유번호
|
INV-01-A, INV-01-B, INV-01-C
|
|
요구사항 명칭
|
입력값 유효성 조건
|
|
요구사항
상세설명
|
○ 설명
- 모든 결과물에서 사용자로부터 입력받는 값은 다음에 명시할 규칙에 맞게 입력되었는지 확인 후 처리되어야 한다.
- 같은 종류의 값을 여러 개 입력하는 경우에도, 각각에 대한 입력값 유효성을 확인해야 한다.
○ IP 주소(INV-01-A)
- IPv4 주소 형식에 맞는 값인지 확인해야 한다.
○ 포트(INV-01-B)
- 통합 사용자 인증서버와 업무 서버 컨테이너는 rootless로 동작하므로, root 권한이 필요한 포트 번호는 설정할 수 없어야 한다.
- 숫자 이외의 값을 입력하는 것을 차단해야 한다.
○ 날짜(INV-01-C)
- 날짜를 입력받을 때, 입력값이 날짜 형식에 맞는지 확인해야 한다.
- 날짜 범위를 입력받는 경우, [전 ~ 후] 형태로 입력했는지 확인해야 한다.
|
ㅇ결과물 조건
|
요구사항 분류
|
결과물 조건
|
|
요구사항 고유번호
|
OUT-01-A, OUT-01-B, OUT-01-C, OUT-01-D, OUT-01-E
|
|
요구사항 명칭
|
결과물 조건
|
|
요구사항
상세설명
|
○ 통합 사용자 인증 서버/업무 서버 실행환경(OUT-01-A)
- 호스트 운영체계
·RockyLinux 9.x 버전에서 정상동작해야 한다.
·RockyLinux 버전은 특별한 문제가 없다면, 최신 9.x 버전을 사용해야 한다.
- 런타임
·JRE 17 또는 21 버전에서 동작하여야 한다.
○ 통합 사용자 인증 서버/업무 서버 컨테이너(OUT-01-B)
- 통합 사용자 인증 서버는 Rootless 권한으로 Docker 또는 Podman 컨테이너로 동작해야 한다.
- 컨테이너는 빌드 스테이지를 이용해 소스코드 빌드 후 실행할 수 있도록 구성해야 한다.
○ 통합 사용자 인증 서버 설정(OUT-01-C)
- DB 연결을 위한 IP 주소, 포트, DB ID와 패스워드는 Java의 jasypt와 같은 라이브러리를 사용해 암호문 형태로 설정 파일에 명시되어야 한다.
- 컨테이너 설정 파일은 볼륨 기능을 통해 컨테이너가 실행되는 호스트 파일 시스템에 저장하여야 한다.
○ 빌드 가능한 환경 제공(OUT-01-D)
- 모든 결과물은 빌드 가능한 소스코드를 제공해야만 한다.
- 저작권 보호가 필요한 부분은 바이너리 형태로 제공할 수 있으나, 이를 포함하여 빌드할 수 있어야 한다.
○ 스마트폰 앱 공통사항(OUT-01-E)
- 대상 안드로이드 운영 체제 버전: 10, 12, 14
- 앱 개발 시 사용할 수 없는 라이브러리 관련 정보는 계약 후 연구소에서 제공한다.
|
4. 용역 결과물
|
문서 및 소스
|
결과물 형태
|
제출시기
|
|
용역수행계획서
|
문서 1건 및 파일
|
M + 1개월
|
|
상세 설계서
|
문서 1건 및 파일
|
M + 2개월
|
|
자체시험 절차서
|
문서 1건 및 파일
|
M + 5.5개월
|
|
자체시험 결과서
|
문서 1건 및 파일
|
M + 6개월
|
|
제안 내용 변경 설명서
|
문서 1건 및 파일
|
M + 6개월
|
|
용역최종보고서
|
문서 1건 및 파일
|
M + 6개월
|
|
프로그램 바이너리,
소스 코드, 사용 매뉴얼
|
USB 메모리
|
M + 6개월
|
☐ 용역수행계획서
ㅇ 과업 수행 계획 및 수행 기법
ㅇ 과업 수행 체계 및 인원 구성
☐ 상세 설계서
ㅇ 아키텍쳐 정의
ㅇ 세부 화면 설계
ㅇ 분석 도구의 운영 방식 정의
ㅇ 분석 도구의 기능 및 모듈 수준 설계
ㅇ 단위 처리 모듈들의 처리 방식(순서도) 설계
ㅇ 기술적인 사항에 대한 설계 결정 사항 및 그에 대한 근거 기술
☐ 자체시험 절차서
ㅇ 자체 시험 일정 기술
ㅇ 자체 시험 환경 기술
ㅇ 준비된 시험 데이터 및 테스트 프로그램
ㅇ 자체 시험 평가 항목 기술
☐ 자체시험 결과서
ㅇ 자체 시험 평가 항목
ㅇ 자체 시험 평가 결과(결과를 확인할 수 있는 스크린샷 포함)
ㅇ 자체 시험 평가 결과표
☐ 제안 내용 변경 설명서
ㅇ 제안한 방법 중에서 용역 수행 과정에서 변경된 내용을 기술 (관련 회의록 포함)
ㅇ 변경 내용이 없으면 제출 불필요
☐ 용역최종보고서
ㅇ 제안요청서에 명시된 세부요구사항의 구현 방법 상세 기술
☐ 프로그램 바이너리, 소스 코드, 사용 매뉴얼
ㅇ 프로그램 바이너리 및 소스코드와 사용 매뉴얼
ㅇ 프로그램 바이너리, 소스코드, 라이브러리, 리소스, 컨테이너 빌드 및 실행 스크립트, 사용 메뉴얼이 포함된 USB 메모리
ㅇ 대상 결과물
- 통합 사용자 인증 서버
- 통합 사용자 인증 앱
- 업무 앱용 인증 라이브러리
- 업무 앱
- 업무 서버
5. 개발 환경
ㅇ 이 용역의 결과물은 다음 환경에서 빌드 가능해야 한다.
|
항 목
|
설 명
|
비 고
|
|
CPU
|
x86-64(amd64) 호환
|
|
|
메모리
|
32GB 이상
|
|
|
저장공간
|
500GB 이상
|
|
|
운영체제
|
윈도우 11 64비트
Ubuntu 24.04 64비트
Rocky Linux 9.X 64비트
|
OR
조건
|
6. 개발 고려사항
ㅇ이 용역의 추진시 연구소가 제공하는 용역 계획을 따르는 것을 원칙으로 하되 추가 또는 삭제가 필요한 사항은 연구소와 협의하여 추진해야 함
ㅇ이 용역의 개발 과정 및 결과물은 국내외 특허 기술 및 상업적으로 이용이 금지된 오픈 소스를 사용하지 않아야 함
ㅇ이 용역 결과물의 안정성을 위해 가능한 많은 단위 테스트를 수행해야 함
7. 용역 수행 결과 시험방법
☐ 시험 개요
ㅇ 용역 개발이 완료되면 용역개발 결과물에 대한 자체 시험 및 평가를 수행하고, 최종 결과물 인수를 위한 시험을 시행함
ㅇ 시험은 제안요청서에 명시된 대로 실시하고 변경 사항에 대해서는 연구소와 협의 후 변경 사항에 대해 변경 규격서에 명시함
ㅇ 검수 수행의 원칙은 다음과 같음
- 각 모듈에 대한 단위 테스트 및 전체 결과물에 대한 통합테스트를 일정 계획의 단계별로 시험 인력에 의해 실시
- 테스트의 유형은 연구소와 협의하여 반드시 프로젝트 계획서 상에 명시해야 함
- 프로젝트 종료 시에는 연구소와 협의된 테스트 시나리오만 관리함
☐ 시험 및 검수
ㅇ 시험
- 과업수행자는 용역 완료 전에 개발 완료하여 자체 시험 절차서에 따라 시험을 실시한 후 자체 시험 결과서와 함께 시험 결과를 연구소에 제출해야 함
ㅇ 검수
- 과업수행자는 개발 관련 자료와 함께 자체 시험 절차서와 자체 시험 결과서를 연구소에 제출해야 함
- 과업수행자의 자체 시험 절차서는 연구소와 충분한 협의 과정을 거친 후 작성하여 제출해야 함
- 연구소는 과업수행자의 자체 시험 내용과 상관없이 연구소 자체 용역 평가서를 기반으로 납품된 용역 결과에 대한 시험을 실시
- 이 시험 결과를 토대로 시스템의 시험 통과 여부를 결정
☐ 시험 환경
ㅇ 이 용역 결과물의 시험환경은 다음 그림과 같으며, 상세한 시험 시스템 구축은 협의 후 수정 가능함
☐ 시험 내용 평가 항목
|
요구사항
명칭
|
요구사항
고유번호
|
시험내용
|
평가 결과
|
|
스마트폰
무결성
검증
|
RAP-01-A
|
통합 사용자 인증 앱, 통합 사용자 인증 서버, 원격검증 서버 간 통신을 통해, 통합 사용자 인증 서버는 통합 인증 앱이 설치된 스마트폰의 무결성 확인하는가?
|
(불량, 양호)
|
|
RAP-01-B
|
단말기 무결성 검증에 성공한 후, 원격검증 서버가 전달한 값을 이용해 사용자 인증을 판단하는 기능을 통합 사용자 인증 서버에 구현하였는가?
|
(불량, 양호)
|
|
사용자
인증
프로토콜
구현
|
UAP-01-A
|
통합 사용자 인증 앱은 인증 프로토콜 동작 과정에 안드로이드 스마트폰에서 제공하는 사용자 지문/패턴/PIN 확인 후 인증관련 연산을 수행하는가?
|
(불량, 양호)
|
|
UAP-01-B
|
통합 사용자 인증 앱의 인증관련 연산은 연구소에서 제공하는 라이브러리를 이용해 생성 및 검증하는가?
|
(불량, 양호)
|
|
UAP-01-C
|
통합 사용자 인증 서버의 인증관련 연산은 연구소에서 제공하는 라이브러리를 이용해 생성 및 검증하는가?
|
(불량, 양호)
|
|
인증토큰 생성 구현
|
UAP-02-A
|
통합 사용자 인증 서버는 사용자 인증 프로토콜이 성공적으로 완료되면 해당 사용자에 대한 토큰을 생성하고 연구소 제공 라이브러리를 통해 처리하는가?
|
(불량, 양호)
|
|
사용자 등록
프로토콜
구현
|
URP-01-A
|
사용자 인증 프로토콜 과정(UAP-01-A ~ UAP-01-C)에서 통합 사용자 인증 서버의 사용자 정보에 사용자 장치 ID가 등록되어 있지 않다면, 사용자 ID를 사용자 정보에 등록하는가?
|
(불량, 양호)
|
|
사용자 로그아웃 프로토콜 구현
|
ULOP-01-A
|
사용자가 업무 앱에서 로그아웃을 선택하면, 통합 사용자 인증 서버에 사용자 로그아웃을 요청하여 인증토큰을 무효화 처리하는가?
|
(불량, 양호)
|
|
ULOP-01-B
|
업무 서버가 통합 사용자 인증 서버에 로그아웃된 사용자의 인증토큰 검증을 요청하면, 로그아웃 되었음을 리턴하는가?
|
(불량, 양호)
|
|
인증토큰 무결성 보장 구현
|
TOK-01-A
|
통합 사용자 인증 서버는 인증토큰을 연구소가 제공한 라이브러리를 이용해 변형한 후 통합 사용자 인증 앱에 전달하는가?
|
(불량, 양호)
|
|
TOK-01-B
|
통합 사용자 인증 서버는 업무 서버의 인증토큰 검증 요청을 수행하기 위해, 연구소가 제공한 라이브러리를 이용해 변형 후 인증토큰 내용을 확인하는가?
|
(불량, 양호)
|
|
인증토큰 유효성 확인 구현
|
TOK-02-A
|
통합 사용자 인증 서버는 업무 서버가 전달한 인증토큰 검증 시, 토큰에 명시된 유효기간이 만료되었으면 인증토큰을 폐기하는가?
|
(불량, 양호)
|
|
TOK-02-B
|
통합 사용자 인증 서버는 업무 서버가 전달한 인증토큰 검증 시, 해당 사용자의 인증토큰 여부를 확인하는가?
|
(불량, 양호)
|
|
사용자 장치 정보 제공 구현
|
DIDP-01-A
|
통합 사용자 인증 서버는 업무 서버에서 요청 시 등록된 사용자의 장치 정보를 전달하는 REST API를 제공하는가?
|
(불량, 양호)
|
|
사용자 장치 상태 변경 구현
|
DIDP-02-A
|
“사용자 장치 상태 변경 허용” 권한을 가진 업무 서버가 요청한 사용자 장치 상태를 변경하는 REST API를 구현하고 있는가?
|
(불량, 양호)
|
|
DIDP-02-B
|
통합 사용자 인증 서버 관리자는 사용자 정보 수정 UI를 통해 사용자 장치 ID 상태를 변경할 수 있는가?
|
(불량, 양호)
|
|
업무 서버 요청 처리 REST API 개발
|
SERP-01-A
|
요구사항에 명시된 조건과 기능을 처리하는 REST API를 제공하는가?
|
(불량, 양호)
|
|
업무 앱용 인증 라이브러리 개발
|
ALIB-01-A
|
업무 앱과 함께 빌드하여 사용자 등록, 사용자 인증, 사용자 로그아웃을 수행할 수 있는 업무 앱용 인증 라이브러리를 제공하는가?
|
(불량, 양호)
|
|
통합 사용자 인증 앱 개발
|
SSOA-01-A
|
업무 앱용 인증 라이브러리의 사용자 등록, 사용자 인증, 사용자 로그아웃 요청을 전달받아 통합 사용자 인증 서버와 사용자 인증 프로토콜을 수행하는 통합 사용자 인증 앱을 제공하는가?
|
(불량, 양호)
|
|
업무 앱 개발
|
SAPP-01-A
|
사용자 username을 입력받아 업무 앱용 인증 라이브러리를 통해 사용자 등록을 수행하는 기능을 제공하는가?
|
(불량, 양호)
|
|
SAPP-01-B
|
사용자 username을 입력받아 업무 앱용 인증 라이브러리를 통해 사용자 인증을 수행하는 기능을 제공하는가?
|
(불량, 양호)
|
|
SAPP-01-C
|
사용자 username을 입력받아 업무 앱용 인증 라이브러리를 통해 사용자 로그아웃을 수행하는 기능을 제공하는가?
|
(불량, 양호)
|
|
업무 서버 개발
|
SAPP-02-A
|
업무 서버는 업무 앱을 통해 전달받은 인증토큰을 통합 사용자 인증 서버에 검증을 요청하는 기능을 제공하는가?
|
(불량, 양호)
|
|
SAPP-02-B
|
통합 사용자 인증 서버의 인증토큰 검증 결과에 따라 업무 앱 접속을 허용 또는 해제하는 기능을 제공하는가?
|
(불량, 양호)
|
|
SAPP-02-C
|
통합 사용자 인증 서버와 통신하기 위해 IP 주소, 포트, REST API Key와 Secret을 설정할 수 있는 방법을 제공하는가?
|
(불량, 양호)
|
|
사용자 등록
|
SMA-01-A
|
통합 사용자 인증 서버는 다수의 사용자를 일괄 등록하는 방법을 제공하는가?
|
(불량, 양호)
|
|
SMA-01-B
|
통합 사용자 인증 서버는 관리자가 UI를 통해 한 명의 사용자를 등록하는 방법을 제공하는가?
|
(불량, 양호)
|
|
사용자 수정 및 삭제
|
SMA-02-A
|
통합 사용자 인증 서버는 서버 관리자가 사용자 정보를 수정할 수 있는 UI를 제공하는가?
|
(불량, 양호)
|
|
SMA-02-B
|
통합 사용자 인증 서버는 서버 관리자가 등록된 사용자를 삭제할 수 있는 UI를 제공하는가?
|
(불량, 양호)
|
|
서버 관리자 UI
|
SMA-03-A
|
통합 사용자 인증 서버의 UI를 통해 서버 관리자를 추가할 수 있는가?
|
(불량, 양호)
|
|
SMA-03-B
|
통합 사용자 인증 서버의 UI를 통해 서버 관리자 정보를 수정할 수 있는가?
|
(불량, 양호)
|
|
SMA-03-C
|
통합 사용자 인증 서버의 UI를 통해 서버 관리자를 삭제할 수 있는가?
|
(불량, 양호)
|
|
서버 관리자 패스워드 규칙
|
SMA-04-A
|
요구사항에 명시된 패스워드 생성/변경 규칙에 따라 서버 관리자 패스워드 생성/변경하도록 구현하였는가?
|
(불량, 양호)
|
|
SMA-04-B
|
입력받은 패스워드는 연구소가 제공하는 라이브러리를 통해 해시된 값이 DB에 저장되는가?
|
(불량, 양호)
|
|
SMA-04-C
|
요구사항에 명시된 서버 관리자 패스워드 입력 오류 규칙을 구현하였는가?
|
(불량, 양호)
|
|
스마트폰 무결성 값 관리 UI
|
SMA-05-A
|
원격검증 서버의 리턴 값을 기반으로 인증여부를 판단하기 위한 단말기 무결성 값의 등록 UI를 통합 사용자 인증 서버에 구현하였는가?
|
(불량, 양호)
|
|
SMA-05-B
|
단말기 무결성 값을 수정하는 UI를 통합 사용자 인증 서버에 구현하였는가?
|
(불량, 양호)
|
|
SMA-05-C
|
단말기 무결성 값을 삭제하는 UI를 통합 사용자 인증 서버에 구현하였는가?
|
(불량, 양호)
|
|
업무서버 관리 UI
|
SMA-06-A
|
통합 사용자 인증 서버와 연동하여 동작하는 업무 서버 정보를 서버 관리자가 등록하기 위한 UI를 제공하는가?
|
(불량, 양호)
|
|
SMA-06-B
|
등록된 업무 서버의 정보를 보여주는 게시판 형태의 UI를 제공하는가?
|
(불량, 양호)
|
|
SMA-06-C
|
서버 관리자가 등록된 업무 서버 정보를 수정할 수 있는 UI를 제공하는가?
|
(불량, 양호)
|
|
SMA-06-D
|
서버 관리자가 등록된 업무 서버를 삭제할 수 있는 UI를 제공하는가?
|
(불량, 양호)
|
|
로그 관리 UI
|
SMA-07-A
|
통합 사용자 인증 서버에서 처리하는 UI와 인증 관련 모든 동작의 로그를 수집하는가?
|
(불량, 양호)
|
|
SMA-07-B
|
통합 사용자 인증 서버에 수집된 로그를 열람할 수 있는 UI를 제공하는가?
|
(불량, 양호)
|
|
SMA-07-C
|
통합 사용자 인증 서버에 수집된 로그를 요구사항에 명시된 조건으로 검색할 수 있는 UI를 제공하는가?
|
(불량, 양호)
|
|
통합 사용자 인증서버 시험 방법 제공
|
TSC-01-A
|
REST API 별 단위 기능을 시험하기 위한 시험 방법을 제공하는가?
|
(불량, 양호)
|
|
TSC-01-B
|
제공하는 모든 REST API 지속적으로 호출하여 Aging, Load 시험이 가능한 방법을 제공하는가?
|
(불량, 양호)
|
|
입력값 유효성 조건
|
INV-01-A
|
IP주소를 입력받을 때, IPv4 주소 형식에 맞는 값인지 확인하는가?
|
(불량, 양호)
|
|
INV-01-B
|
포트번호를 입력받을 때, root 권한이 필요한 포트 번호는 설정할 수 없도록 확인하는가?
|
(불량, 양호)
|
|
INV-01-C
|
날짜를 직접 입력받을 때, 입력값이 날짜 형식에 맞는지 확인하는가?
|
(불량, 양호)
|
|
결과물 조건
|
OUT-01-A
|
요구사항에 명시된 통합 사용자 인증 서버/업무 서버 실행환경을 만족하는가?
|
(불량, 양호)
|
|
OUT-01-B
|
요구사항에 명시된 통합 사용자 인증 서버/업무 서버 컨테이너 조건을 만족하는가?
|
(불량, 양호)
|
|
OUT-01-C
|
요구사항에 명시된 통합 사용자 인증 서버 설정 조건을 만족하는가?
|
(불량, 양호)
|
|
OUT-01-D
|
요구사항에 명시된 결과물을 빌드할 수 있는 환경이 제공되는가?
|
(불량, 양호)
|
|
OUT-01-E
|
요구사항에 명시된 앱의 실행조건을 만족하는가?
|
(불량, 양호)
|
|
기술검수원 소속 이름 (인)
검증위원 소속 이름 (인)
|
1. 일반 준수사항
ㅇ계약상대자는 관계규정, 발주자의 의견 및 과업 준수사항 등의 내용에 따라 최대한 전문지식과 기술을 활용하여 성실히 과업을 수행하여야 함
ㅇ과업수행자는 연구소의 승인 없이 본 사업의 결과를 대외적으로 발표하거나 제공할 수 없으며, 과업의 모든 결과물은 국가안전보장 및 보안사업의 특수성 등의 사유로 계약상대자와 협의를 통해 연구소 단독 소유로 함
-저작권에 관련된 사항에 있어서는 제3자의 권리를 침해하거나 법률에 저촉되지 말아야 하며 이와 관련하여 발생되는 모든 민․형사상의 책임은 계약상대자가 해결하여야 함
ㅇ과업수행은 본 과업 준수사항을 바탕으로 시행하며, 임의로 과업을 변경하여 시행할 수 없음
ㅇ본 과업의 수행 도중 과업의 변동 사유 발생 등 여건변동 및 추가사항 등에 대하여는 연구소와 계약상대자가 상호 협의하여 과업의 내용을 변경할 수 있음
-과업 내용의 일부가 불가피하게 변경(수정․보완)되는 경우, 과업수행자는 별도의 비용을 청구하지 않고 이를 수용하여 사업을 추진하여야 함
ㅇ 본 사업은 「소프트웨어 진흥법 제50조」에 따라 계약당사자가 과업심의위원회를 개최한 사업이며, 과업내용 변경 및 그에 따른 계약금액·계약기간 조정이 필요한 경우, 계약상대자는 국가기관등의 장에게 소프트웨어사업 과업변경요청서를 제출하여 과업심의위원회 개최를 요청할 수 있으며, 국가기관 등의 장은 과업심의위원회 개최요청에 대해서 특별한 사정이 없으면 수용해야 함
ㅇ본 과업 준수사항에 누락되었거나 당연히 수반되어야 할 사항은 연구소가 계약상대자에게 추가로 사업 수행을 지시할 수 있음
ㅇ본 과업 준수사항에 명시되지 않은 사항에 대해서는 연구소와 과업수행자가 상호 협의하여 결정하되, 본 과업 준수사항의 해석에 대하여 의견차이가 있을 때에는 발주자의 의견에 따름
ㅇ제안서에 제시된 내용은 계약서에 명시하지 않더라도 계약서와 동일한 효력을 가지며, 계약서에 명시된 경우에는 계약서의 내용을 우선함
2. 무상하자보수 및 교육
ㅇ하자담보책임 기간은 (연구소) 용역계약일반조건 제58조 제1항에 따라 검사에 의하여 사업의 완성을 확인한 후 1년간으로 함
ㅇ연구소가 (연구소) 용역계약일반조건 제58조에 따라 하자담보책임기간 내에 하자가 발생하여 하자보수를 요청한 경우 과업수행자는 요청을 받은 즉시 그 하자를 보수하여야 하며 해당 하자의 발생원인 및 기타 조치사항을 명시하여 사업담당자에게 제출함
ㅇ과업수행자는 용역결과물에 대한 교육을 제공하여야 함
3. 과업수행자의 의무
ㅇ일정 준수
-과업수행자는 계약 후 개발문서 종류와 작성시점, 최종 결과물 제출 시점을 계획하여 계약기간 내에 개발 및 시험을 완료하고 최종 결과물을 납품해야 함
ㅇ업무 협의
-용역 개발 기간 중에 주기적으로 연구소와 업무협의를 하며, 협의 결과를 용역에 반영해야 하고 변경 규격서에 명시해야 함
ㅇ품질 관리
-이 용역업무 수행으로 개발된 프로그램을 연구소가 활용시 효율성을 높일 수 있도록, 프로그램 설명서와 상세 설계서를 제공하고, 프로그램 소스코드 내에 주석관리를 철저히 하여 가독성이 높은 코드를 제공하고, 활용에 지장이 없도록 관련 기술 및 제반 사항을 제공해야 함
4. 과업수행자의 보안조치사항
ㅇ계약상대자의 대표자를 보안책임자로 지정․운영하며, 보안책임자는 다음의 임무를 수행
-참여인원․장비․자료에 대한 보안 관리와 시스템․네트워크에 대한 보안대책을 수립하여 제출
-사업전반에 대한 인원․장비․자료 등을 관리하며 보안사고 방지를 위한 활동 실시
ㅇ참여인원에 대한 보안관리
-개인의 친필 서명이 들어간 보안서약서 징구
-참여인원은 사업자 임의로 교체할 수 없으며, 부득이한 사유로 교체하는 경우(해외여행 포함) 즉시 보고
-사업 시작 전 사업 참여인원에 대한 비밀유지의무 준수 등의 보안교육 실시
1. 입찰 및 낙찰방식
ㅇ입찰방식 : 제한경쟁입찰
ㅇ낙찰방식 : 협상에 의한 계약
2. 제안서 평가 방법
□ 평가 방법
ㅇ평가 점수는 제안서(기술) 평가(90%) 및 가격 평가(10%)로 구성
ㅇ기술평가 평가위원의 평가점수 중 최고점수와 최저점수 각 1개를 제외한 나머지 점수를 산술평균한 점수를 90점 만점으로 환산하며 배점한도의 85% 이상인 자를 협상 적격자로 선정
- 다만, 최저 또는 최고 점수가 2개 이상일 때는 이 중 하나만 제외하며, 평가위원이 4인 이하인 경우에는 최고, 최저 점수를 포함
ㅇ협상순서는 협상적격자의 제안서 평가점수와 가격 평가점수를 합산하여 고득점 순에 따라 협상
ㅇ합산점수가 동일한 제안업체가 2개 이상일 경우 제안서 평가점수가 높은 제안업체가 선순위자가 되며, 제안서 평가점수도 동일한 경우에는 추첨에 의해 선순위자를 정함
ㅇ평점 산출평균의 값은 소수점 셋째자리에서 반올림함
ㅇ제안서에 대한 평가는 제안서 평가위원회를 별도로 구성하여 평가기준에 따라 실시
ㅇ제안 설명회 개최 시 제안업체에 재직하고 있는 대표이사 또는 사업책임자가 발표
ㅇ제안서는 허위나 단순한 추측으로 작성해서는 안 되며, 모든 기재사항은 객관적으로 입증할 수 있어야 하며, 입증할 수 없거나 허위로 작성된 사실이 발견된 경우 평가대상에서 제외함
ㅇ제안서 내용은 명확한 용어를 사용하여 표현하여야 하며, ‘예를 들어’, ‘~이 가능하다’, ‘~할 수 있다’, ‘고려하고 있다’ 등과 같이 모호한 표현은 평가에서 불가능한 것으로 간주함
ㅇ계약 후에도 제안서의 내용이 허위로 작성한 사실이 발견되거나 제안된 내용을 충족하지 못할 경우 제안업체는 손해배상 등 일체의 책임을 져야 함.
□ 제안서 평가 기준표
|
평가부문
|
평가항목
|
평가 지표
|
배 점
|
평가기준
|
|
수행역량
(10)
|
경영상태
|
∘ 신용평가 등급에 따른 경영상태 평가
- 회사채 또는 기업어음에 대한 신용평가등급 확인서를 기준으로 평가
|
/ 5점
|
계량
|
|
유사 용역
수행실적
|
∘ 3년 이내 유사 용역 수행 경험
(규모 및 수준)
|
/ 5점
|
계량
|
|
전략 및 방법론 (30)
|
사업 이해도
|
∘ 사업 및 요구사항에 대한 이해도
∘ 제안요청의 내용과 일치성
∘ 제안내용의 적정성 및 객관성
|
/ 10점
|
비계량
|
|
추진전략
|
∘ 개발업무 수행 시 일정 및 위험요소를 고려하여 창의적이며 타당한 대안을 제시하였는가를 평가
|
/ 10점
|
비계량
|
|
적용기술
|
∘ 적용 기술의 향후 확장성 고려
∘ 적용 기술의 현실적 실현 가능 여부
|
/ 10점
|
비계량
|
|
기술 및
기능
(30)
|
기능
요구사항
|
∘ 기능 요구사항 파악 후 구체적 구현 방안 기술
∘ 제안한 방안 및 기술의 적용 가능성 평가
|
/ 10점
|
비계량
|
|
보안
요구사항
|
∘ 요구사항 및 시스템 분석을 바탕으로 보안 요구사항의 적용방안 구체적 기술
∘ 제안한 방안과 기술의 설계단계 반영 여부
∘ 제안한 방안과 기술의 구현단계 적용 가능성
|
/ 10점
|
비계량
|
|
제약사항
|
∘ 목표 시스템의 설계, 구축, 운영과 관련하여 제약조건을 충족시키기 위한 구체적인 구현 방안 수립
∘ 구현 결과물의 테스트 방안 수립
|
/ 10점
|
비계량
|
|
성능 및
품질
(15)
|
품질
요구 사항
|
∘ 사용한 개발 도구 및 구현 방안, 테스트 방안 등이 품질 요구사항에 부합되는지 평가
∘ 분석, 설계, 구현, 테스트 등 단계별 품질 요구사항 점검 및 검토 방안이 구체적으로 기술되었는지 평가
|
/ 10점
|
비계량
|
|
인터페이스
요구 사항
|
∘ 사용자 편의성을 고려하여 사용자 인터페이스의 분석ㆍ설계ㆍ구현ㆍ테스트 방안과 검토 계획을 구체적으로 기술하였는가를 평가
|
/ 5점
|
비계량
|
|
프로젝트
관리
(10)
|
일정계획
|
∘ 사업수행 일정의 적정성에 대한 평가
|
/ 5점
|
비계량
|
|
관리 방법론
|
∘ 사업 관리에 대한 방법론이 구체적으로 제시되어있는지 평가
|
/ 5점
|
비계량
|
|
프로젝트
지원 (5)
|
하자보수
계획
|
∘ 하자보수 계획, 절차, 범위 및 기간과 이와 관련된 기타 활동에 대한 평가
|
/ 5점
|
비계량
|
|
합 계
|
/100점
|
|
|
평가의견
|
|
|
2025. . .
|
|
소 속:
|
|
직 급:
|
|
성 명:
|
|
(서명)
|
※ 경영상태 및 유사용역 수행실적 평가기준
ㅇ경영상태 : 서식 7 참조 (평가기준 및 제출방법 필수 확인)
ㅇ유사 용역 수행실적 (서식 3 또는 4)
-사업규모 대비 공고일 기준 최근 3년 이내 용역 최대 실적(단일 건)
- 사용자 인증 시스템 구현 관련 용역 실적 기재
|
구 분
|
100% 이상
|
70% 이상
~100% 미만
|
40% 이상
~70% 미만
|
40% 미만
|
|
배 점
|
5
|
4.5
|
4
|
3.5
|
ㅇ객관적 자료 미제출 시 해당분야에 대하여 최하점 처리함
- 국가전자조달시스템 활용한 실적증명서 제출이 원칙이나(세금계산서, 계약서 제출 불필요) 조달청 협상에 의한 계약 제안서평가 세부기준 별지 16(수행실적증명서) 활용 제출 가능
※ 비계량부문 평가기준 :
배점한도 내에서 심사위원의 주관적 평가에 따라 배점
※ 평가는 최고점수와 최저점수를 준 위원을 제외하고 나머지 위원의 평가점수를 합산하여 산술평균한 점수로 하며, 평균점수 산정결과 소수점 이하의 숫자가 있는 경우에는 소수점 셋째자리에서 반올림
□ 입찰가격 평점 산정방식
ㅇ기획재정부『(계약예규) 협상에 의한 계약체결기준』의 ‘입찰가격 평점산식’에 따름
1. 작성 지침
ㅇ 제안서에는 제안요청서에서 요구하는 모든 상황에 대한 해결방안 및 추진일정 제시
ㅇ 제안서의 내용, 작성 순서는 작성방법을 참고로 하되, 업체의 기획력을 최대로 발휘하여 창의적으로 작성
2. 작성 시 유의 사항
ㅇ제안서에는 본 제안요청서에서 요구하는 모든 사항을 포함하여 기술되어야 하며, 제안업체의 제안이나 아이디어를 별도로 제시할 수 있음
ㅇ일반사항보다는 본 사업에 실제로 적용될 수 있는 구체적이고 세부적인 사항 위주로 작성하고, 모든 예산금액은 부가가치세를 포함하는 금액으로 작성함
ㅇ제안내용 확인을 위하여 추가 자료요청 시 제안업체는 이에 응하여야 하며, 이에 따라 제출된 자료는 제안서와 동일한 효력을 가짐
- 제안내용 중 기술적 판단이 필요한 부분은 증빙자료가 제시되어야 함
ㅇ제출된 제안서 및 관련 자료는 일체 반환하지 않으며, 본 제안서 작성 및 제출과 관련되는 비용은 제안업체의 부담으로 함
ㅇ제안업체는 입찰과정과 계약이행과정에서 취득한 각종 정보를 연구소의 사전 승인 없이 제3자에게 누설할 수 없음
ㅇ본 제안요청서 및 제안서의 전체 또는 일부는 제안서 제출 외의 다른 목적으로 사용할 수 없음
ㅇ위 사항을 위반하여 문제가 발생한 경우 모든 책임은 제안업체에게 있음
3. 제출서류
ㅇ기술평가용제안서 1부
ㅇ사업자등록증 사본 1부
ㅇ법인등기부등본 1부
ㅇ중소기업 확인서(공공기관 입찰 확인용) 1부
ㅇ직접생산확인증명서 1부
ㅇ서약서 1부(서식 6)
※제안서
|
- 기술평가용 제안서(정성) 1부
- 기술평가용 제안서(정량, 서식 2, 3, 6) 1부
- 기타서류 1부(서식 1, 5 및 상기 기재서류)
- 제안서 발표자료 1부 (필요한 경우 제출)
※ 가격입찰은 조달청 G2B 전자입찰로 진행
※ 별도 발표자료가 있는 경우 포함하여 제출필요
|
※제안서(정성, 정량, 기타 제출서류 등) 파일은 e-발주시스템으로 제출하고, 인쇄 및 제본(백색용지 양면 인쇄)은 연구소 담당자에게 등기 및 우편 송부(공고문 참조)
3. 제안서 제출일정 및 방법
ㅇ제안서 제출기한 및 제출처 : 입찰공고서에 의함
ㅇ제출 방법
-제안서는 등록서류를 갖추어 e-발주시스템 활용하여 제출(PDF파일)
-제출기한 내 미제출 시 제안의사가 없는 것으로 처리하며 제출된 제반자료는 반환하지 않음
-질문사항 등은 문서 또는 FAX에 의해 제출하고 전화 등의 문의는 법적 효력을 갖지 못함(질문사항은 제출마감일 3일 전까지 가능)
-기타 제출방법과 관련된 사항은 공고서에 의함
ㅇ제안서를 포함하여 본 제안과 관련되어 제출된 모든 문서는 반환 및 공개하지 않으며, 본 제안과 관련된 일체의 소요비용은 입찰참가자의 부담으로 함
4. 제안요청 설명회 : 일정 및 장소는 입찰공고서에 의함
5. 제안 설명회 : 일정 및 장소는 제안서 제출 마감일 이후 제안업체별로 별도 통보 예정
ㅇ제안 설명회와 동시에 평가위원회의 평가가 진행됨
ㅇ제안 설명회 발표자는 공고일 이전부터 제안업체에 재직하고 있는 대표이사 또는 사업책임자에 한하며, 발표당일 신분증 지참 및 재직기간이 명기된 재직증명서 제출
ㅇ제안 설명은 제안서 특징 및 기획 의도로 한정
7. 제안서 작성요령
□ 제안서 목차
|
작 성 항 목
|
작 성 목 차
|
|
Ⅰ. 일반현황
|
1. 제안사 일반 현황
|
|
Ⅱ. 추진 전략 및 방법론
|
1. 사업 이해도
2. 추진 전략
3. 적용 기술
|
|
Ⅲ. 기술 및 기능
|
1. 기능 요구사항
2. 보안 요구사항
3. 제약사항
|
|
Ⅳ. 성능 및 품질
|
1. 품질 요구사항
2. 인터페이스 요구사항
|
|
Ⅴ. 프로젝트 관리
|
1. 사업 수행 일정 계획
2. 사업 관리 방법
|
|
Ⅵ. 프로젝트 지원
|
1. 하자보수 계획
2. 유지관리
3. 교육 훈련
|
|
Ⅶ. 기타
|
1. 조견표
2. 유사용역 수행 실적
|
※ 제안서는 상기와 같은 목차를 원칙으로 하여 작성하되 제안사가 필요시 추가할 수 있다.
□ 제안서 세부 작성방법
|
항 목
|
작 성 방 법
|
|
Ⅰ. 일반현황
|
|
1. 제안사 일반 현황
|
∙제안사의 일반현황 및 주요 연혁 등을 명료하게 제시하여야 한다.
<서식 1> 참조
|
|
Ⅱ. 추진 전략 및 방법론
|
|
1. 사업 이해도
|
∙사업의 특성 및 목표에 부합하는 사업전략을 제시하고 있는지를 평가한다.
|
|
2. 추진 전략
|
∙개발업무 수행 시 일정 및 위험요소를 고려하여 얼마나 타당한 추진 전략을 수립하였는지 평가한다.
|
|
3. 적용 기술
|
∙사업에서 적용하고자 하는 기술이 향후 확장성을 고려하였는지, 현실적으로 실현 가능한지 여부를 평가한다.
|
|
Ⅲ. 기술 및 기능
|
|
1. 기능 요구사항
|
∙기능 요구사항ㆍ기대사항ㆍ제약사항 등을 파악한 후 구현 방안이 구체적으로 기술되어 있는지를 평가한다. 또한 제안한 방안 및 기술이 적용 가능한지를 평가한다.
|
|
2. 보안 요구사항
|
∙요구사항 및 시스템 분석을 바탕으로 보안 요구사항의 적용 방안이 구체적으로 기술되었는지 평가한다. 또한 제안한 방안과 기술의 설계단계 반영 여부 및 구현단계까지의 적용 가능성을 평가한다.
|
|
3. 제약사항
|
∙목표 시스템의 설계, 구축, 운영과 관련하여 제약조건을 충족시키기 위한 구체적인 구현 방안 및 테스트 방안이 수립되었는지 평가한다.
|
|
Ⅳ. 성능 및 품질
|
|
1. 품질 요구사항
|
∙제공되는 개발 도구 및 구현 방안, 테스트 방안 등이 품질 요구사항에 부합되는지 평가하고, 분석ㆍ설계ㆍ구현ㆍ테스트 등 각 단계별 품질 요구사항 점검 및 검토 방안이 구체적으로 계획되어 있는가를 평가한다.
|
|
2. 인터페이스
요구사항
|
∙사용자 인터페이스 : 사용자 편의성을 고려하여 사용자 인터페이스의 분석ㆍ설계ㆍ구현ㆍ테스트 방안과 검토 계획을 구체적으로 기술하였는가를 평가한다.
|
|
Ⅴ. 프로젝트 관리
|
|
1. 일정 계획
|
∙사업수행에 필요한 수행기간과 세부일정이 구체적으로 제시되었는지 평가한다. 또한 각 활동에 필요한 일정 계획이 적절히 수립되었는지를 평가한다.
|
|
2. 관리 방법론
|
∙일정관리, 사업위험(이슈) 관리, 보안관리, 산출물의 형상ㆍ문서 관리 등 사업수행에 필요한 관리 방법론이 구체적으로 제시되어 있는지를 평가한다. 또한 문제 발생 시 보고 체계 및 위험관리 방안이 구체적으로 제시되어 있는지 평가한다.
|
|
Ⅵ. 프로젝트 지원
|
|
1. 하자보수 계획
|
∙시스템 공급자가 제시하는 하자보수 계획, 절차, 범위 및 기간과 이와 관련된 기타의 활동 및 그 제한사항에 대해 평가한다.
|
|
2. 유지관리
|
∙시스템 공급자가 제시하는 유지관리 계획, 조직, 절차, 범위 및 기간과 이와 관련된 기타의 활동 및 그 제한사항에 대해 평가한다.
|
|
3. 교육 훈련
|
∙시스템 공급자가 시스템 운영 및 관리자를 위해 필요한 각종 교육훈련의 방법, 내용, 일정 등을 구체적으로 제시하였는지 평가한다
|
|
Ⅶ. 기타
|
|
1. 조견표
|
∙모든 도입 또는 제안되는 규격, 구성요건에 대한 조견표를 작성하여 제출(제안요청내용, 제안요청페이지, 수용여부, 제안사항, 제안페이지 등)
<서식 4> 참조
|
|
2. 유사용역 수행 실적
|
∙유사 용역 수행 실적을 작성하여 제출. <서식 2, 3> 참조
|
1. 입찰의 무효
ㅇ제안서의 내용이 사실과 다른 경우
ㅇ입찰참여자격이 없는 자가 한 입찰 및 연구소가 정하는 입찰공고에 위반한 입찰
ㅇ입찰보증금의 납부기일까지 소정의 입찰보증금을 납부하지 아니하고 한 입찰
- 아래 사항에 해당하지 않는 자는 입찰보증금 납부면제 및 입찰보증금 지급각서 제출(전자입찰시 송신한 입찰서로 갈음)
- ①신용정보 관리규약에 따른 채무불이행 또는 금융질서 문란자 ②입찰공고일 이전 1년 이내에 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제76조 제2항 제2호 가목의 사유로 입찰참가자격 제한을 받은 자(입찰참가자격 제한 기간 중인 경우를 포함한다.)
ㅇ낙찰자가 소정의 기일 내에 계약을 체결하지 않을 경우
ㅇ동일사항에 동일인이 2통 이상의 입찰서를 제출한 입찰
2. 입찰 조건
ㅇ본 사업의 수행에 필요한 모든 비용은 가격입찰금액에 포함시켜야 함
ㅇ제안내용에 대한 확인을 위하여 추가 자료를 요청하거나, 또는 현지실사를 할 수 있으며, 입찰참가자는 이에 응하여야 함
ㅇ제안서의 모든 내용은 객관적으로 입증할 수 있어야 함
ㅇ제안내용에 대한 확인 및 검증이 필요한 경우 제안사에 입증자료를 요구할 수 있으며, 입증자료를 제출 못 할 경우 동 제안내용은 없음으로 간주함
3. 협상절차 및 계약
가. 협상절차
ㅇ 협상 우선순위에 따라 결정된 협상대상자와 협상을 하며, 협상이 성립된 때에는 다른 협상적격자와 협상을 하지 아니한다.
ㅇ 연구소는 협상대상자와의 협상이 성립되지 않으면 동일한 기준과 절차에 따라 순차적으로 차순위 협상적격자와 협상을 실시한다.
ㅇ 협상내용과 범위
- 연구소는 협상대상자가 제안한 사업내용, 이행방법, 이행일정, 제안가격 등 제안서 내용을 대상으로 협상을 실시하며 협상대상자와 협상을 통해 그 내용의 일부를 조정할 수 있다.
ㅇ 가격의 협상
- 협상대상자와의 가격 협상 시 기준가격은 당해 사업예산(예정가격을 작성한 경우에는 예정가격)이하로서 협상대상자가 제안한 가격으로 한다.
- 연구소는 협상대상자가 제안한 내용을 가감하는 경우에는 그 가감되는 내용에 상당하는 금액을 당해 사업예산(예정가격을 작성한 경우에는 예정가격) 범위 내에서 조정할 수 있다.
나. 협상기간
ㅇ 협상기간은 협상 개시를 통보한 날로부터 15일 이내로 하되, 당해 사업의 규모, 특수성, 난이도 등에 따라 협상 대상자와의 협의에 의하여 5일의 범위 내에서 조정할 수 있다.
ㅇ 계약체결 및 이행
- 연구소는 협상이 성립된 후 10일 이내에 계약을 체결한다.
- 계약의 체결 및 이행에 관하여는 연구소 규정과 기준(구매요령 등)에 따른다.
4. 본 사업은 소프트웨어 개발사업 적정 사업기간 산정 기준에 따른 사업임.
- 적정 사업기간 종합 산정서 하단 첨부
5. 기타
ㅇ (작업장소 상호협의)
- 계약당사자는 SW사업 수행을 위해 필요한 작업장소 등(장소, 설비, 기타 작업환경)을 상호협의하여 결정하며, 핵심 개발인력이 아닌 지원인력의 근무 장소는 보안 등 특별한 사유가 있는 경우를 제외하고는 계약상대자가 달리 정할 수 있음
- SW사업 수행을 위해 필요한 작업장소 등은 사업예산 내 계상되어 있으므로 관련 비용을 포함하여 제안가격을 산출하되, 작업장소 등은 상호 협의하여 결정함
ㅇ(원격지 개발 장소의 제시 ․ 검토)
- 과업수행자는 작업장소 협의 시 제안요청서 내 명시된 보안요구사항을 준수한 작업장소를 제시할 수 있으며, 연구소는 제시된 작업장소에 관하여 우선 검토함. 다만 연구소는 과업수행자가 제시한 작업장소가 보안요구사항을 준수하지 못한 경우 거부할 수 있음
ㅇ(원격지 개발 장소 보안 요구사항)
- 과업수행자는 원격지 개발에 따른 보안사고 등 위험요인을 식별하여 이에 대한 대응방안을 제안하여야 함
- 과업수행자는 원격지 개발에 따른 개발방법 등에 대한 구체적인 방안을 제시하여야 함
- 원격지 개발에 따른 수행 장소 등에 대하여 구체적인 원격지 보안관리대책(시건장치,출입통제 등)을 실시하여야 함
‧ 사무실 및 중요장비 설치장소에 대한 출입보안
‧ 개인소유 PC 및 보조기억장치 반입/반출 통제
‧ 생성문서는 별도 잠금장치가 된 곳에 보관하며, 안전한 방법에 따라 폐기할 것
ㅇ(SW산출물 반출절차 등) 과업수행자는 지식재산권의 활용을 위하여 SW산출물의 반출을 요청할 수 있으며, 발주기관에서는 「보안업무규정」제4조 및 제안요청서에 명시된 누출금지정보에 해당하지 않을 경우 SW산출물을 제공함.(단 과업수행자는 아래 내용을 준수하여야 함)
- 과업수행자는 공급받은 SW산출물에 대하여 제안요청서, 계약서 등에 누출금지정보로 명시한 정보를 삭제하고 활용하여야 하며, 이를 확인하는 공급자 대표명의의 확약서를 발주기관에 제출하여야 함
- 과업수행자가 반출된 SW산출물을 제3자에게 제공하려는 경우 반드시 발주기관으로부터 사전 승인을 받아야 함
- 발주기관은 과업수행자가 제공받은 SW산출물을 무단으로 유출하거나 누출되는 경우 및 누출 금지정보를 삭제하지 않고 활용하는 경우에는 「국가계약법 시행령」제76조제2항제3호에 따라 입찰참가자격을 제한함
ㅇ(공동활용 및 SW 사업정보 제출) 본 사업을 통해 개발되는 결과물은 국가안전보장 등의 사유로 타 기관과 공동 활용할 계획이 없으며, 소프트웨어진흥법에 따른 SW사업정보 데이터를 작성·제출하지 아니함
ㅇ(지식재산권 연구소 단독귀속) 본 사업을 통해 개발되는 결과물은 국가안전보장 등의 특수성 사유로 연구소에 귀속됨을 원칙으로 함.
ㅇ과업수행자는 사업수행과정에서 발생하는 안전사고 및 이에 따른 보상 등 제반사항에 대하여 모든 책임을 짐
ㅇ본 제안요청서에 명시되어 있는 보안기술 적용을 위한 기술지원 세부내용은 연구결과에 의해 변경, 가감될 수 있으며 과업수행자는 적극 협조해야 함
ㅇ계약상대자는 사업수행과정에서 발생하는 안전사고 및 이에 따른 보상 등 제반사항에 대하여 모든 책임을 짐
|
소프트웨어사업 영향평가 결과서
|
|
1. 기본정보
|
사업명
|
통합 인증 플랫폼 및 부가서비스 개발 용역
|
|
영향평가단계
|
□ 예산편성
□ 그 외 필요시
|
■ 사업발주
□ 재평가
|
|
주요 내용
|
ㅇ 안드로이드 스마트폰용 커스텀 인증 시스템 개발
ㅇ 사용자 장치 정보 관리 기능 개발
|
|
사업기간
(또는 개발기간)
|
계약일로부터 6개월
|
|
구분
|
① 상용 소프트웨어의 구매·설치 및 유지관리 사업
|
□
|
|
② 국가안보, 치안, 외교 등 민간이 서비스하기에 부적합한 사업
|
□
|
|
③ 민간투자형 소프트웨어 사업
|
□
|
|
④ 단일기관 내부(소속기관 제외) 직원을 대상으로 제공하는 소프트웨어 사업
|
□
|
|
⑤ 데이터베이스 구축 사업
|
□
|
|
⑥ 소프트웨어 변경이 없는 운영사업
|
□
|
|
⑦ 그 외 소프트웨어 사업
|
■
|
|
※ 구분 ①~⑥에 해당하는 경우 3번, 4번 항목 작성 불필요
|
|
2. 운영계획
|
운영기관
|
■ 단일 기관
□ 다수 기관 (예상 : 개 기관)
|
|
사용자
(복수선택가능)
|
구분
|
예상 사용자수
|
|
■ 내부 직원
|
10명
|
|
□ 타 기관 직원
|
명
|
|
□ 일반 국민 또는 기업
|
명
|
|
3. 민간
소프트웨어 시장침해 가능성
|
주요기능과 동일·유사한 소프트웨어를 민간에서 판매를 위해 제공하는지 여부
□있음 ■ 없음
|
|
※「없음」에 해당하는 경우 3번 이하 항목 및 4번 항목 작성 불필요
|
|
주요 기능
|
동일·유사한 민간 소프트웨어
|
|
o
|
o
|
|
o
|
o
|
|
4. 사업의 필요성·
공공성 검토
(복수선택 가능)
|
□ 법령에 규정된 사업
(관련 법령 : )
□ ‘공공데이터 활용 공공서비스 제공 및 정비 가이드라인’ 준수
□ 사업을 통한 민간 소프트웨어 시장 활성화 기여*
* Open API 등을 통한 데이터 개방, 민간 소프트웨어 구매·활용 계획,
데이터 연계표준 및 표준업무 절차 제시, 중장기 민간 이양 계획 등
(기여 방안 : )
□ 그 외의 사유로 민간이 소프트웨어를 제공하기에 부적합
(부적합 사유 : )
|
|
5. 종합의견
|
■민간 소프트웨어 시장 침해 가능성 없음
|
|
□ 민간 소프트웨어 시장 침해 가능성을 최소화하여 사업 추진
(추진 방안 : )
|
|
2025년 4월 일
한국전자통신연구원 부설연구소장
|
|
210㎜×297㎜(백상지 80g/㎡)
|
<서식 1>
제안업체 일반현황
□ 일반사항
|
법 인 명
|
|
대표자
|
|
|
사업의 종류
(업태, 종목)
|
|
|
주 소
|
|
|
연 락 처
|
전 화
|
|
FAX
|
|
|
회사설립년월일
|
|
|
해당부문 사업기간
|
. . . ~ . . . ( 년 월)
|
|
회 사 연 혁
|
|
|
기 타 사 항
|
|
<서식 2>
정량평가 자기평가표
|
|
|
평가구분
|
평가배점
|
평가점수
|
평가근거
|
비고
|
|
경영상태
|
5점
|
점
|
|
|
|
유사용역
수행 실적
|
5점
|
점
|
|
|
|
합계
|
10점
|
점
|
|
|
|
1. 경영상태: 입찰공고일 이전에 평가하고 유효기간 내에 있는 회사채, 기업어음, 국가종합전자조달시스템에서 조회된 기업신용평가등급을 기준으로 가장 최근의 신용평가등급으로 평가
2. 유사용역 수행실적: 최근 프로젝트부터 기재하며 공고일 기준 최근 3년 동안 완료된 용역수행 실적은 건별로 발주기관 등의 확인 가능한 증빙서류(용역실적증명서)를 첨부하여야 실적인정
상기 자기평가표 평가점수 및 평가근거에 허위 또는 조작이 없음을 확인합니다.
2025년 월 일
회 사 명 :
주사무소소재지 :
대 표 자 : (인)
|
<서식 3>
유사 용역수행실적표
|
[공고일 기준 최근 3년 이내의 실적]
|
|
발주
기관
|
용역명
|
용역개요
|
용역기간
|
계약금액
(백만원)
|
발주기관
연락처 및 담당자
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
|
|
|
~
|
|
|
|
1. 최근 프로젝트부터 기재하며 공고일 기준 최근 3년 동안 완료된 용역수행 실적은 건별로 발주기관 등의 확인 가능한 증빙서류(용역실적증명서)를 첨부하여야 실적인정
- 국가종합전자조달시스템 활용한 실적증명서 제출이 원칙이나(세금계산서, 계약서 제출 불필요) 조달청 협상에 의한 계약 제안서평가 세부기준 별지 16(수행실적증명서) 활용 제출 가능
2. 본 용역과 유관한 것 및 용역수행이 완료된 것만 기재
|
<서식 4>
제안요청서 수용여부 참조표
|
제안요청내용
|
제안요청페이지
|
수용
여부
|
제안내용
|
제안서
페이지
|
비 고
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
〈서식 5〉
서 약 서
당사는『통합 인증 플랫폼 및 부가서비스 개발 용역』공모에 응모함에 있어서 제반 규정의 위반과 지침의 불이행시 불이익을 감수할 것이며, 귀 연구소의 제안서평가위원회 평가결과를 수용할 것을 확약하며 이에 서약합니다.
2025년 월 일
회 사 명 :
주사무소소재지 :
대 표 자 : (인)
사업자등록번호 :
생 년 월 일 :
국가보안기술연구소장 귀하
〈서식 6〉
기업신뢰도(경영상태) 평가 기준
|
|
|
신용 평가 등급
|
|
회사채
|
기업어음
|
기업신용평가등급
|
평 점
|
|
AAA,
AA+, AA0, AA-, A+,
A0, A-
BBB+
BBB0
|
A1,
A2+,
A20,
A2-
A3+
A30
|
AAA: 회사채에 대한 신용평가등급 AAA에 준하는 등급
AA+∼AA-: 회사채에 대한 신용평가등급AA+, AA0, AA-에 준하는 등급
A+: 회사채에 대한 신용평가등급 A+에 준하는 등급
A0: 회사채에 대한 신용평가등급 A0에 준하는 등급
A-: 회사채에 대한 신용평가등급 A-에 준하는 등급
BBB+: 회사채에 대한 신용평가등급 BBB+에 준하는 등급
BBB0: 회사채에 대한 신용평가등급 BBB0에 준하는 등급
|
5.00
|
|
BBB-
BB+, BB0
BB-
|
A3-
B+
B0
|
BBB-: 회사채에 대한 신용평가등급 BBB-에 준하는 등급
BB+, BB0: 회사채에 대한 신용평가등급 BB+, BB0에 준하는 등급
BB-: 회사채에 대한 신용평가등급 BB-에 준하는 등급
|
4.75
|
|
B+, B0, B-
|
B-
|
B+∼B-: 회사채에 대한 신용평가등급 B+, B0, B-에 준하는 등급
|
4.50
|
|
CCC+ 이하
|
C 이하
|
CCC+ 이하: 회사채에 대한 신용평가등급 CCC+에 준하는 등급
|
3.50
|
# 주)
1. 신용정보의 이용 및 보호에 관한 법률 제4조 제1항 제1호 또는 자본시장과 금융투자업에 관한 법률 제335조의 제3에 의거 업무를 영위하는 신용조회사 또는 신용평가사가 입찰공고일 이전에 평가하고 유효기간 내에 있는 회사채, 기업어음, 기업신용평가등급을 국가종합전자조달시스템에 조회된 신용평가등급으로 평가하되, 가장 최근의 신용평가등급으로 평가한다. 다만, 가장 최근의 신용평가등급이 동일 일자에 다수가 있어 그 결과가 상이한 경우 가장 낮은 등급으로 평가한다.
2. 국가종합전자시스템에서 신용평가등급 확인서가 확인되지 않은 경우에는 최저 등급으로 평가하며, 유효기간 만료일이 입찰공고일인 경우에도 유효한 것으로 평가한다. 다만, 입찰공고일 다음날 이후에 발생 또는 수정된 자료는 평가에서 제외한다.
3. 주1에도 불구하고, 합병 또는 분할한 자가 입찰공고일 이전에 평가한 신용평가 등급이 없는 경우에는 입찰서 제출 마감일 전일까지 발급된 유효기간 내에 있는 신용평가등급으로 합병 대상자 중 가장 낮은 신용평가등급을 받은 자의 신용평가등급으로 평가한다.
※ 작성근거 : 국가정보보안기본지침(국정원), 정보보안지침(과기정통부 훈령) 등
ㅇ발주기관에서는 아래와 같이 누출금지정보를 지정하며, 입찰 및 사업수행과정에서 무단으로 누출할 경우 관련 법령에 따라 부정당업자로 입찰참가자격을 제한합니다.
|
|
< 누출 금지 정보 >
|
|
|
|
|
|
① 기관 소유 정보시스템의 내ㆍ외부 IP주소 현황
② 세부 정보시스템 구성현황 및 정보통신망구성도
③ 사용자계정 및 패스워드 등 정보시스템 접근권한 정보
④ 정보통신망 취약점 분석·평가 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입현황
⑦ 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크장비 설정 정보
⑧ ‘공공기관의 정보공개에 관한 법률’ 제9조1항에 따라 비공개 대상정보로 분류된 기관의 내부문서
⑨ ‘개인정보 보호법’ 제2조1호의 개인정보
⑩ ‘보안업무규정’ 제4조의 비밀, 同 시행규칙 제7조3항의 대외비
⑪ 그 밖의 발주자가 공개가 불가하다고 판단한 자료
|
ㅇ사업자는 발주기관의 보안정책(과학기술정보통신부 정보보안 기본지침 등)을 준수하여야 하며, 이를 위반하였을 경우 위규처리기준(별지 1)에 따라 관련자에 대하여 조치하고 보안위약금 부과기준(별지 2)에 따라 손해배상 책임을 진다.
〔별지1〕
사업자 보안위규 처리기준
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
심 각
|
1. 비밀 및 대외비 급 정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보·신상정보 목록 유출
다. 비공개 항공사진·공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 구축 결과물에 대한 외부 유출
다. 시스템 내 인위적인 악성코드 유포
|
◦사업참여 제한
◦위규자 및 직속 감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
중 대
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
마. 참여인원에 대한 보안서약서 미징구 및 교육 미실시
2. 사무실(작업장) 보안관리 허술
가. 출입문을 개방한 채 퇴근 등
나. 인가되지 않은 작업자의 내부 시스템 접근
다. 통제구역 내 장비·시설 등 무단 사진촬영
3. 전산정보 보호대책 부실
가. 업무망 인터넷망 혼용사용, USB 등 보조기억매체 기술적 통제 미흡
나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신
다. 개발·유지보수 시 원격작업 사용
라. 저장된 비공개 정보 패스워드 미부여
마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장
바. 외부용 PC를 업무망에 무단 연결 사용
사. 보안관련 프로그램 강제 삭제
아. 제공된 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
자. 바이러스 백신 정품 SW 미설치
|
◦위규자 및 직속감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
보 통
|
1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 중요정보에 대한 자료 인수․인계 절차 미 이행
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 출입키를 책상위 등에 방치
3. 보호구역 출입 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 불순응
4. 전산정보 보호대책 부실
가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근
나. 네이트온 등 비인가 메신저 무단 사용
다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
마. PC 비밀번호를 모니터옆 등 외부에 노출
바. 비인가 보조기억매체 무단 사용
사. 정보시스템 반입시 바이러스 백신 미검사 또는 반출시 자료 삭제 미확인
아. 바이러스 백신 최신 업데이트 또는 정밀점검 미실시
|
◦위규자 및 직속 감독자 등 경징계
◦위규자 및 직속 감독자 사유서 /경위서 징구
◦위규자 대상 특별보안교육 실시
|
|
경 미
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 경보ㆍ보안장치 작동 불량
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
다. PC 월1회 보안 점검 미이행
|
◦위규자 서면ㆍ구두 경고 등 문책
◦위규자 사유서 / 경위서 징구
|
ㅇ사업자 보안위규 처리 절차
|
경위 확인
|
▶
|
보안위규 처리기준에 따라 조치
|
▶
|
재발방지 대책
|
▶
|
보안조치 이행여부 점검
|
〔별지2〕
보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분
|
위규 수준
|
|
A급
|
B급
|
C급
|
D급
|
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
|
위약금
비중
|
부정당업자 등록
|
계약금액의 10%
|
계약금액의 5%
|
계약금액의 3%
|
- A급은 국가계약법 시행령 제76조에 따라 부정당업자로 지정하여 입찰참가를 제한
※ 위약금 규모는 사업규모에 따라 조정하되, 위 기준금액을 하한 금액으로 적용
※ 위규 수준은〔별지 1〕참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과
- 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
3. 사업 종료시 지출금액 조정을 통해 위약금 정산
〔별지3〕
보 안 서 약 서(대표자용)
당사는 국가보안기술연구소 (통합 인증 플랫폼 및 부가서비스 개발 용역) 계약에 따른 업무를 수행함에
있어 다음의 사항을 준수하겠습니다.
1. 상기 용역 수행계약에 따른 보안조치 사항을 직원과 함께 적극적으로
준수할 것을 지도할 것이며,
2. 월 1회 이상 정기적인 보안교육을 실시하여 계약에 따른 직ㆍ간접
적 기밀내용이 외부에 유출되거나 도난사고가 발생하지 않도록 최선을
다하겠습니다. 아울러 위의 조치사항 위반에 따른 연구소의 제반사고
및 손실에 대하여 관련 법에 따라 민형사상 배상 및 처벌을 감수할 것
임을 서약합니다.
2025. . .
업 체 명:
사업자등록번호:
대 표 자:
국가보안기술연구소장 귀하
〔별지4〕
|
비밀유지서약서
본인은 통합 인증 플랫폼 및 부가서비스 개발 용역 업무로 귀 연구소와 체결한 계약을 수행함에 따라 국가안전 보장과 관련된 비밀로 분류될 성질의 업무를 수행하였음을 인정하고, 업무취급 시 인지한 사실에 대하여는 대인관계에 있어서나 장소여하를 막론하고 누설 및 공개하지 않을 것이며, 이를 위반 시에는 관계법규 및 계약상 주의의무 위반에 의한 조치에 따를 것을 서약합니다.
|
관련법령의 적용 예시
○ 산업기술의 유출방지 및 보호에 관한 법률, 부정경쟁방지 및 영업비밀 보호에 관한 법률 등에 의한 형사적 처벌(징역, 자격정지, 벌금 등)
○ 계약상의 주의의무위반에 관한 불법행위 손해배상 청구 등에 의한 민사적 보상
|
년 월 일
국가보안기술연구소장 귀 하
서 약 자
소 속
직 급
성 명 (서명)
생 년 월 일
서약집행자
소 속
직 급
성 명 (서명)
생 년 월 일
|
〔별지5〕
보 안 특 약 조 항
제1조 (보안책임) ➀'계약상대자‘는 계약 내용을 보호할 책임이 있으며, 이를 보호하기 위한 본 특약 조항에 정한 바에 따라 보안유지에 최선을 다하여야 한다.
➁'계약상대자‘는 '계약상대자'의 종업원 또는 하청업자의 고의 또는 과실로 인하여 사업내용이 누설되었을 때에도 책임을 면할 수 없다.
➂'계약상대자'는 계약된 내용이 비밀사항일 경우에는 해당 비밀등급에 따른 비밀취급인가자를 사업에 참여시키며 서약서를 집행하여야 한다.
제2조 (열람 및 공개서한) ➀'계약상대자'는 계약과 관련된 문서, 도면, 장비 자재의 취급에 신중을 기할 것이며, 제조에 직접 관계없는 자에게 열람 또는 누설해서는 안된다.
➁제조자와 관계가 있는 자에 대하여도 작업에 필요한 한도를 벗어나서 문서 및 장비를 열람하게 하거나 누설해서는 아니 된다.
제3조 (복제, 복사의 금지) '계약상대자'는 '연구소'가 교부한 문서 및 자재를 임의로 복제, 복사할 수 없으며, 이를 계약 목적 외의 용도로 사용 배포할 수 없다.
제4조 (문서 및 장비의 보호 관리) ➀'계약상대자'는 '연구소'가 교부하였거나 '계약상대자'가 계약과 관련하여 생산한 문서, 도면, 자재 및 장비를 성실히 보호 관리할 책임이 있다.
➁'계약상대자'는 제1호의 문서, 도면, 자재 및 장비를 이중 시건장치가 된 별도의 보관용기에 보관, 관리해야 한다.
➂'계약상대자'는 일과 후 공휴일에도 반드시 보관용기에 안전하게 보호 관리하여야 한다.
제5조 (방문 및 출입통제) '계약상대자'는 작업실에 관계없는 인원의 출입 및 방문을 통제하여야 한다.
제6조 (위촉 및 하청) '계약상대자'는 계약내용에 대하여 '연구소'의 승인 없이 타 업체에 하청 또는 위촉할 수 없다. 단, 계약상 별도의 조건이 있는 경우 그러하지 아니한다.
제7조 (생산 및 납품) ➀'계약상대자'는 계약량을 초과해서 생산할 수 없다. 단, '계약상대자'가 시험용으로 필요한 경우 '연구소'의 승인을 받아야 한다.
➁'계약상대자'는 계약된 생산, 제조물을 견본 전시용 또는 실적 비치 등 목적으로 이를 보관할 수 없다.
➂'계약상대자'는 생산 제조물에 대하여 납품 시까지 성실히 안전하게 보호 관리할 책임이 있다.
제8조 (보안조치) ➀'계약상대자'는 계약내용의 보호를 위하여 공정별 보안대책을 수립하여 다음 각 호에 정한 사항을 성실히 이행하여야 한다.
1. 보안담당을 임명하여 제반 보안조치에 대한 책임을 부여하여야 한다.
2. 생산과정에서 발생하는 휴·폐지는 자체 소각 처리하여야 한다.
3. 작업실은 별도로 설치하거나 보호구역을 설정하고 작업 기간 중 차단시설을 설치하여야 한다.
4. 방화대책 및 경비대책을 강구하여야 한다.
5. 작업시설 출입문의 시건 장치를 철저히 하여야 한다.
6. 직원에 대한 신원파악 및 보안교육을 실시하여야 한다.
➁ 제1항의 보안조치 지시를 접수하였을 때는 반드시 시정하여야 한다.
제9조 (보안점검) ➀'연구소' 또는 '연구소'의 대리자가 필요하다고 인정될 때는 '계약상대자'에 대하여 정기 또는 불시보안점검을 실시할 수 있으며, 필요한 보안조치 지시를 할 수 있다.
➁제1항의 보안조치 지시를 접수하였을 때는 반드시 시정하여야 한다.
제10조 (보안사고 발생 시 조치) ➀'계약상대자'는 ’연구소’가 교부한 문서, 도면, 자재 및 장비의 분실, 도난, 화재등 사고 발생 시는 지체 없이 그 보안사고 상세내용을 '연구소'에게 통보하여야 한다.
➁ 생산, 제조 중인 계약물에 대한 보안사고도 제1항과 동일하다.
제11조 (문서, 자재 등의 반납) ➀'계약상대자'는 '연구소'가 교부한 문서, 도면, 자재 및 장비를 특별한 사유가 없는 한 납품완료 즉시 반납하여야 한다.
➁납품전이라도 계속 보관할 필요가 없을 시는 반납하여야 한다.
제12조 (제 보안규정 준용) 본 조항에 명시되지 아니한 사항은 ‘보안업무규정’ 및 ‘동 시행규칙‘, ’정보보안기본지침‘등 관련 법령을 준용한다.
〔별지6〕
공정별 보안대책 작성요령
1. 목 적
(가제목 명기) 작업(○○작업, ○○공사)을 시행함에 있어 참여자에 대한 인원보안대책을 강구하고 작업현장에 대한 시설보안대책 및 ( )에 관련되는 통신, 시설도면 등을 보호하기 위함.
2. 공통 이행사항
가. 참여자의 범위
◦ 현장대리인은 II 급 비밀 취급인가자인 ○○과장 ○○○으로 지정하고 참여요원은 II급 비밀 취급인가자인 ○○부서(직책 또는 직위기재) ○○○, ○○○, ○○○, ○○○, ○○○등 ()명 이 참여하며 비인가자는 ○○부서 (직책 또는 직위 기재) ○○○, ○○○ , ○○○ 3명이 참여
◦ 공정별로 임시 직원을 채용할 시는 ( )감독관의 사전승인을 받아 채용
◦ 참여자 명단 관리 : 전 참여인원은 아래 양식에 의거 관리
( )참여자 현황
확인: ( ) 감독관 ○○○ (인)
|
연
번
|
직
급
|
성
명
|
생년월일
|
비밀취급
|
신
원
조
회
|
기
본
증
명
서
|
서
약
서
|
보안교육
|
비
고
|
|
인
가
|
비
인
가
|
제
1
차
|
제
2
차
|
제
3
차
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
나. 참여자에 대한 보안대책
◦ 보안교육
(육하원칙에 따른 구체적인 교육계획 작성)
◦ 서약집행
현장대리인(분임 보안담당관) ○○부서(직책 또는 직위 기재) ○○○이 공사에 참여하는 본사 요원 및 임시직원에 대하여 서약 집행(서약집행 시 서약기점, 서약 목적 및 서약 일자 등을 기재하고 집행자가 집행인을 날인)
◦ 1개월 이상 작업에 참여시킬 인원은 신원조사를 요청하여야 하며 1주일이상 작업에 참여할 인원으로부터는 기본증명서를 징구
다. 보호구역 설정 및 관리
◦ 작업 현장은 상황에 따라 통제구역 또는 제한구역으로 설정하고 보호
◦ 통제구역에는 통제구역 출입자명부를 비치하고 출입자의 출입목적 및 인적사항 등을 명시하여 현장책임자의 사전 승인을 받아 출입 조치하되 반드시 안내원이 동행 조치
라. 도면관리
◦ 제작 현장에 2중 잠금 캐비닛 및 비밀관리기록부를 비치하고 비밀문서 및 도면을 보관 관리
◦ 비밀취급인가자에 한하여 비밀문건을 열람하게 하고 비인가자는 열람제한
마. 작업(공정별) 일지 작성
◦ 공정별 작업 내용을 매일 1매씩 현장 대리인 책임 하에 작성하고, 감독관의 확인 날인 유지
바. 사진촬영 금지
◦ 감독관의 사전 승인이 없는 한 사진촬영은 불가
3. 공정별(단계별)보안대책
◦ 단계별(준비단계, 기초작업단계, 본 작업단계, 시험단계, 준공검사단계 등으로 구분하되 각 작업 내용에 따라 단계구분 조정)로 구분
◦ 비밀 공정이 아닌 준비단계, 기초작업단계 등은 현장 대리인 지도 감독 하에 비인가자도 참여 가능
◦ 본 작업단계, 시험단계 등은 중요공정이므로 비밀취급인가자가 반드시 참여
◦ 위의 단계별 구분, 참여자 범위 등의 내용에 따라 단계별 중요도에 적합한 공통이행사항 내용을 각 공정별로 구체적으로 명시
◦ (제작의 경우는 납품)후에는 비밀 작업에 관련된 서약서, 신원증명서, 참여자 현황, 보안교육일지, 통제구역 출입자 명부, 작업(공정별)일지, 당직일지 등을 공정별 보안대책에 1건으로 통합하여 분류하되 5년간 보관 관리
20 년 월 일
O O O 주식회사 대표이사
홍 길 동 (인) |
|