| |
|
|
|
「핵더챌린지 분석플랫폼 기능 강화」용역 제안요청서
|
|
|
2025. 4.
|
사업 담당자
|
전화번호
|
|
취약점분석팀
|
박지희
|
02-405-4864
|
목 차
|
Ⅰ. 사업 개요 1
1. 사업 개요 1
2. 사업 주요 내용 1
Ⅱ. 제안요청 내용 3
1. 요구사항 목록 3
2. 상세 요구사항 7
3. 기술적용계획표 32
Ⅲ. 보안 준수사항 38
1. 공통사항 38
2. 참여인원에 대한 보안관리 39
3. 자료에 대한 보안관리 39
4. 사무실·장비에 대한 보안관리 40
5. 내·외부망 접근에 대한 보안관리 41
Ⅳ. 제안 안내 44
1. 사업 설명회 44
2. 입찰에 부치는 사항 44
3. 입찰 참가자격 44
4. 입찰 관련사항 46
5. 제출서류 48
6. 제안서의 효력 및 유의사항 48
7. 안전 및 보건 준수사항 50
8. 기타사항 51
Ⅴ. 제안서 작성 요령 52
1. 제안서 작성일반 52
2. 제안서 작성요령 53
Ⅵ. 제안서 평가 및 사업자 선정 방식 56
1. 평가 윈칙 56
2. 기술 평가 56
3. 가격 평가 58
4. 낙찰자 결정 방식 58
5. 기타 59
Ⅶ. 제안서 작성관련 양식 64
|
1. 사업 개요
○ 과 제 명 : 핵더챌린지 분석플랫폼 기능 강화
○ 수행기간 : 계약체결일로부터 8개월
○ 사업예산 : 총 210백만원 이내 (부가세 포함)
※ 대금지급방법 : 총 계약금액의 선금 80%, 최종 검수완료 후 총 계약금액의 잔금 20% 지급
※ 경제위기 극복을 위한 계약지침 등에 따른 선금 지급한도 변경으로 인하여 계약특례 적용기간 내 총 계약금액에서 선금한도 최대 100% 지급 가능
※ 본 사업은 하도급 계약 발생 여부와 관계없이, 계약상대자는 조달청 하도급지킴이 사이트를 통해 하도급대금을 청구 및 지급하여야 함
○ 발주형태 : 조달발주, 제한경쟁입찰
※ 평가방식 : 기술평가(90%) + 가격평가(10%), 취약점ㆍ시스템 개발 전문지식 필요
2. 사업 주요 내용
○ [신규] 기업 서비스를 플랫폼에 간편히 설치할 수 있도록 기능 개발
- 타 클라우드를 사용하는 기업의 서비스를 분석플랫폼으로 자동 이관·구축하기 위한 코드형 인프라(IaC)* 기능 개발
* 솔루션 파일 외에도 서버 설정 정보, DB 설정 등 인프라 정보를 일괄 복사하는 기능
○ [강화] 분석플랫폼 이용ㆍ운영 편의성 향상을 위한 기능 개선
- 분석플랫폼 참여 기업의 문의 사항을 실시간으로 등록ㆍ열람하고 대응할 수 있도록 문의 관리 및 정보 열람 페이지 제작
- 취약점 분석에 참여하는 화이트해커 별 사용 중인 VDI 현황 및 주요 정보를 확인할 수 있는 대쉬보드 페이지 제작
- 분석플랫폼 디자인 및 메뉴 재배치 등 UI/UX 전면 개선
- 플랫폼의 기능 업데이트 등 관리 시, 자동으로 소스코드 복사 ⟶ 서비스 적용 ⟶ 배포가 가능하도록 자동화 관리 기능 개발
○ [유지] 핵더챌린지 분석플랫폼 장애 대응 및 안정적 운영
- 기능 개발 시, 장애 유형별 조치사항 및 비상복구 계획 수립
- 사업 관련 자료가 외부에 노출되지 않도록 보안유지 및 관리방안 수립
- 주요 서버(WEB, WAS, DB 등)에 대한 백업 정책 마련 및 운영
1. 요구사항 목록
요구사항 분류별 총괄표
|
요구사항 구분
|
분류코드
|
요구사항수
|
|
소프트웨어 기능 요구사항
|
Software Function Requirement
|
SFR-OOO
|
45
|
|
사업수행 요구사항
|
Project Perfomance Requirement
|
PPR-OOO
|
3
|
|
성능요구사항
|
Performance Requirement
|
PER-OOO
|
4
|
|
품질 요구사항
|
Quality Requirement
|
QUR-OOO
|
4
|
|
데이터 요구사항
|
Data Requirement
|
DAR-OOO
|
3
|
|
테스트 요구사항
|
Test Requirement
|
TER-OOO
|
3
|
|
보안요구사항
|
Security requirement
|
SER-OOO
|
6
|
|
제약사항
|
Constraint Requirement
|
COR-OOO
|
5
|
|
프로젝트 관리 요구사항
|
Project Mgmt. Requirement
|
PMR-OOO
|
5
|
|
프로젝트 지원 요구사항
|
Project Support Requirement
|
PSR-OOO
|
4
|
|
인터페이스 요구사항
|
Interface Requirement
|
INR-OOO
|
2
|
|
합 계
|
84
|
※ 요구사항 요건 및 내용이 변경될 경우 상호 협의하여 결정하며, 제안서 작성시 제안사 판단으로 추가할 요청사항은 별도 표시하여 추가 작성이 가능함
요구사항 목록표
|
구 분
|
요구사항 번호
|
요구사항 이름
|
비고
|
|
소프트웨어 기능요구사항
|
SFR-001
|
소프트웨어 개발 공통사항
|
-
|
|
SFR-002
|
소프트웨어 기능 공통사항
|
-
|
|
SFR-003
|
사용자 인터페이스(UI) 및 기능 개선
|
|
|
SFR-004
|
클라우드 서비스 네트워크 연결
|
-
|
|
SFR-005
|
IaC 코드 개발
|
-
|
|
SFR-006
|
이관 자동화 스크립트 개발
|
-
|
|
SFR-007
|
클라우드 환경 구성 자동화 개발
|
-
|
|
SFR-008
|
데이터 마이그레이션 스크립트 개발
|
-
|
|
SFR-009
|
모니터링 및 이력 관리 기능
|
-
|
|
SFR-010
|
신청 작성 기능
|
-
|
|
SFR-011
|
정책 및 규정 동의 기능
|
-
|
|
SFR-012
|
기업별 대시보드 개발
|
|
SFR-013
|
문의사항 작성 기능
|
-
|
|
SFR-014
|
대시보드 역할 기반 접근 제어 기능
|
-
|
|
SFR-015
|
기업별 답변 알림 기능
|
-
|
|
SFR-016
|
관리자 접근 제어 기능
|
-
|
|
SFR-017
|
문의사항 답변 기능
|
-
|
|
SFR-018
|
취약점 API 수신 기능
|
-
|
|
SFR-019
|
취약점 정보 중복 필터링 기능
|
-
|
|
SFR-020
|
기업명 분류·수정 기능
|
-
|
|
SFR-021
|
취약점 분류 기능
|
-
|
|
SFR-022
|
기업 서비스 열람 기능
|
-
|
|
SFR-023
|
기업 서비스 선택 기능
|
-
|
|
SFR-024
|
기업 서비스 VDI 발급 기능
|
-
|
|
SFR-025
|
기업 서비스 발급 알람 기능
|
-
|
|
SFR-026
|
신청 VDI 목록 열람 기능
|
-
|
|
SFR-027
|
신청 VDI 상태 확인 기능
|
-
|
|
SFR-028
|
신청 VDI 관리 기능
|
-
|
|
SFR-029
|
신청 VDI 접속 기능
|
-
|
|
SFR-030
|
VDI별 관리 기능
|
-
|
|
SFR-031
|
공지사항 작성 기능
|
-
|
|
SFR-032
|
공지사항 열람 기능
|
-
|
|
SFR-033
|
Q/A 게시글 작성 기능
|
-
|
|
SFR-034
|
Q/A 게시글 열람 기능
|
-
|
|
SFR-035
|
팝업 기능
|
-
|
|
SFR-036
|
채팅 작성 기능
|
-
|
|
SFR-037
|
채팅 발송 기능
|
-
|
|
SFR-038
|
채팅 알림 기능
|
-
|
|
SFR-039
|
채팅 관리 기능
|
-
|
|
SFR-040
|
CI/CD 환경 구성 자동화 개발
|
-
|
|
SFR-041
|
CI 파이프라인 개발
|
-
|
|
SFR-042
|
CD 파이프라인 개발
|
-
|
|
SFR-043
|
테스트 자동화 기능 개발
|
-
|
|
SFR-044
|
모니터링 및 이력 관리 기능
|
-
|
|
SFR-045
|
서버 OS 변환 작업
|
-
|
|
SFR-046
|
디자인 수정 작업
|
-
|
|
사업수행 요구사항
|
PPR-001
|
플랫폼 구축을 위한 사전조사
|
-
|
|
PPR-002
|
시스템 보안 점검
|
-
|
|
PPR-003
|
핵더챌린지 플랫폼 운영
|
-
|
|
성능 요구사항
|
PER-001
|
데이터 안전성
|
-
|
|
PER-002
|
어플리케이션 성능
|
-
|
|
PER-003
|
호환 및 성능 보장
|
-
|
|
PER-004
|
데이터베이스 성능 개선
|
-
|
|
품질 요구사항
|
QUR-001
|
기능 구현 정확성
|
-
|
|
QUR-002
|
품질관리 일반사항
|
-
|
|
QUR-003
|
리스크 관리
|
-
|
|
QUR-004
|
산출물
|
-
|
|
데이터 요구사항
|
DAR-001
|
백업 요구사항
|
-
|
|
DAR-002
|
취약점 관리를 위한 DB 구축
|
-
|
|
DAR-003
|
데이터 오너쉽 관리
|
-
|
|
테스트 요구사항
|
TER-001
|
테스트 공통사항
|
-
|
|
TER-002
|
단위 테스트
|
-
|
|
TER-003
|
통합 테스트
|
-
|
|
보안 요구사항
|
SER-001
|
일반 요구사항
|
-
|
|
SER-002
|
수행업체 보안 준수사항
|
-
|
|
SER-003
|
소프트웨어 개발보안
|
-
|
|
SER-004
|
시스템(서버, 네트워크, 보안장비) 보안
|
-
|
|
SER-005
|
접속기록 관리
|
-
|
|
SER-006
|
취약점 점검 및 개선조치
|
-
|
|
제약사항
|
COR-001
|
제안서 제약사항
|
-
|
|
COR-002
|
저작권 및 지식재산권 보호, 소프트웨어 임치, 공동활용에 관련한 사항
|
-
|
|
COR-003
|
표준프레임워크 적용
|
-
|
|
COR-004
|
소스코드의 작성 및 제공
|
-
|
|
COR-005
|
코로나 바이러스 확산 방지 등을 위한 방역수칙 준수
|
-
|
|
프로젝트 관리 요구사항
|
PMR-001
|
사업 및 인력 관리
|
-
|
|
PMR-002
|
사업수행 일반
|
-
|
|
PMR-003
|
사업수행계획서 작성
|
-
|
|
PMR-004
|
사업보고
|
-
|
|
PMR-005
|
운영자 매뉴얼
|
-
|
|
프로젝트 지원 요구사항
|
PSR-001
|
하자보수
|
-
|
|
PSR-002
|
교육 및 기술지원
|
-
|
|
PSR-003
|
시스템 운영지원
|
-
|
|
PSR-004
|
SW사업정보 저장소 데이터 작성 및 제출
|
-
|
|
인터페이스 요구사항
|
INR-001
|
사용자 인터페이스
|
-
|
|
INR-002
|
웹 표준, 접근성, 호환성, 연결성 등 준수
|
-
|
2. 상세 요구사항
1) 소프트웨어 기능 요구사항 (Software Function Requirement)
|
요구사항 번호
|
SFR-001
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
소프트웨어 개발 공통사항
|
|
요구사항 내용
|
❍ 본 사업은 핵더챌린지 분석플랫폼 시스템 기능 개선을 하는 사업임
❍ 핵더챌린지 분석플랫폼 시스템 기능 개선은 클라우드 내 기업이 구축한 서버에 대한 취약점 발굴을 도와주는 작업으로 클라우드 서비스와 연결되어야 함
❍ 변경사항에 대해서는 KISA와 사전협의 후 개발하여야 함
❍ 중소기업 자체 서버와 연결하는 VPN, 스위치 등을 제외한 Web, WAS 등 시스템 및 소프트웨어는 클라우드 서비스 내 구축되어야 하며, 클라우드 서비스는 KISA에서 서비스 계약하였음
❍ 민간 클라우드 서비스를 이용(임대)하여 시스템을 구축시 국가 정보보안기본지침 제41조 클라우드 컴퓨팅 보안에 따라 “클라우드 보안인증”을 획득한 제품을 이용하여야 함
|
국가 정보보안기본지침 제41조(클라우드컴퓨팅 보안)
제41조(클라우드컴퓨팅 보안) ① 각급기관의 장은「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」제12조에 따라 클라우드컴퓨팅을 자체 구축ㆍ운영하고자 할 경우 국가정보원장이 배포한「국가ㆍ공공기관 클라우드 컴퓨팅 보안 가이드라인」에 명시된 기관 자체 클라우드컴퓨팅 구축 보안기준에 따라 보안대책을 수립ㆍ시행하여야 한다.
② 각급기관의 장은 민간 클라우드컴퓨팅서비스를 이용하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.
1. 국내에 위치한 정보시스템에 데이터가 저장되는 서비스로서 일반 이용자용 서비스 영역과 물리적으로 분리되어 제공되는 서비스 영역(이하 “공공 전용(專用) 민간클라우드”라 한다)에 한하여 활용
2. 과학기술정보통신부장관이 고시한 「클라우드컴퓨팅서비스 정보보호에 관한 기준」에 부합하는 서비스 선정
3. 국가정보원장이 배포한「국가ㆍ공공기관 클라우드 컴퓨팅 보안 가이드라인」에서 제시하는 민간 클라우드컴퓨팅서비스 이용 보안기준 및 행정안전부장관이 배포한「행정ㆍ공공기관 민간 클라우드 이용 가이드라인」에 따른 절차 이행
|
❍ 본 사업은 핵더챌린지 플랫폼과 연동하여 중소기업 자체 서버 내 취약점을 발굴할 수 있도록 VPN 등 네트워크 보안장비 연결, 플랫폼 웹 페이지 신규 개발(이용신청, 통계, 접수처리 등)를 지원하여야 함
❍ 개발에 필요한 WEB(WAS), DB, 스토리지는 클라우드 서비스의 컴퓨팅 자원을 제공받아 개발
※ 추가 자원 필요시 협의후 자원할당 가능
❍ SW개발 사업자는 기존 구축된 시스템(핵더챌린지 플랫폼, 보안취약점 정보포털, IoT 취약점 발굴환경) 간에 원활한 연동, 호환성 및 확장성을 보장하여야 함
❍ 「행정기관 및 공공기관 정보시스템 구축·운영 지침」 제14조의2에 따라 웹사이트 총량제를 준수하여 호스트명 방식으로 신규 웹사이트 구축
❍ 「행정기관 클라우드 업무환경도입가이드」에 따라 데이터 저장, 관리, 클라우드 서버 컴퓨팅 기술적용 등을 반영하여 플랫폼 구축
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-002
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
소프트웨어 기능 공통사항
|
|
요구사항 내용
|
❍ 각 기능요구사항들은 개발과정 중 업체에서 추가제안을 하거나 발주기관의 요청으로 변경될 수 있음
※ SW개발사업자는 KISA 요청하는 UI 구성 및 변경사항에 대하여 적극 수용하고 개발하여야 함
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-003
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
사용자 인터페이스(UI) 및 기능 개선
|
|
요구사항 내용
|
○ 플랫폼 전반적인 사용자 인터페이스(UI) 개선
- 전자정부 표준프레임워크 4.x 최신 버전 적용
- 불필요한 기능(설문조사 등) 제거를 통한 인터페이스 간소화
○ 메인 화면 사용자 인터페이스(UI) 개선
- 이용신청 및 신청 현황 메뉴를 하나의 화면으로 통합
- 사용자 흐름과 주요 기능 중심으로 메인화면 레이아웃 재구성
○ 시각화 중심 정보 제공 강화
- VDI 신청 시 처리 상태(신청, 생성 중, 완료 등)를 단계별로 시각화
- 신청 절차 등 도식형 UI로 시각화
- 총 신청 건수 등 주요 통계를 시각적으로 표기
○ 기업별 대시보드 화면 제공
- 기업별 취약점 신고 현황 통계, 커뮤니케이션 이력을 시각적으로 확인할 수 있는 타임라인 기반 UI 구성
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-004
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
클라우드 서비스 네트워크 연결
|
|
요구사항 내용
|
❍ 기존 구축된 핵더챌린지 플랫폼(클라우드 서버, VDI 서버 등)과 연동 필요
❍ 취약점 발굴을 위한 가용성이 보장되는 환경 구축
- 네트워크 환경의 온/오프가 원활하여야 하며, 별도 메뉴얼 작성 필요
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-005
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
IaC 코드 개발
|
|
요구사항 내용
|
❍ AWS 등 상용 클라우드에서 분석플랫폼으로 설치·이관할 수 있는 인프라 코드 개발
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-006
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
이관 자동화 스크립트 개발
|
|
요구사항 내용
|
❍ 클라우드 간 기업 서버 이관을 자동화할 수 있는 스크립트 개발
- 서버 생성, 네트워크/데이터베이스/보안 설정 등으로 모듈화하여 자동화 스크립트 개발
❍ 이관 중 오류 발생 시 중단된 지점부터 재시도할 수 있는 복구 기능 포함
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-007
|
요구사항 분류
|
사업수행 요구사항
|
|
요구사항 이름
|
클라우드 환경 구성 자동화 개발
|
|
요구사항 내용
|
❍ 여러 클라우드 환경에서 환경구성을 동적으로 설정하고 관리하는 기능 개발
- 여러 클라우드 환경에서 서버, 스토리지, 네트워크, 데이터베이스, 보안 설정 등의 환경구성을 자동으로 설정하고 관리하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-008
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
데이터 마이그레이션 스크립트 개발
|
|
요구사항 내용
|
❍ DB, 파일 스토리지 등 데이터를 안전하게 이동할 수 있는 스크립트 개발
- 데이터 마이그레이션 자동화 및 무결성 검증 기능 개발
❍ 이기종 시스템 간 데이터 전환 지원 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-009
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
모니터링 및 이력 관리 기능
|
|
요구사항 내용
|
❍ 인프라 자동화 기능 상태 모니터링 기능 개발
- IAC 자동화 스크립트나 멀티 클라우드 환경 설정을 통한 리소스의 정상 작동 여부를 모니터링하고 관리하는 기능 개발
❍ 로그 관리 및 알람 기능 개발
- 인프라 이관 및 배포 상태를 모니터링하여 정상 여부를 기록하고 실패 시 경고 알림을 제공하는 기능 개발
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-010
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
신청 작성 기능
|
|
요구사항 내용
|
❍ 기업에서 서비스를 신청할 수 있는 기능
- 기업에서 서비스, 시스템 환경 정보 작성 및 파일 업로드 할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-011
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
정책 및 규정 동의 기능
|
|
요구사항 내용
|
❍ 기업에서 보안 준수를 위한 서비스 이용 조건 동의 기능
- 동의 유무 및 서명 기능 개발
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-012
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업별 대시보드 개발
|
|
요구사항 내용
|
❍ 기업이 문의사항을 작성할 수 있는 기업별 대시보드 개발
❍ 작성된 문의사항은 관리자용 대시보드와 연동하여 실시간으로 전달되는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-013
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
문의사항 작성 기능
|
|
요구사항 내용
|
❍ 기업이 대시보드 내에서 관리자에게 문의 글을 작성할 수 있는 기능
❍ 기업이 작성한 문의 내역과 처리 상태를 조회할 수 있는 기능
❍ 기업이 문의를 등록하면 관리자의 대시보드에 알림이 전달되는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-014
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
대시보드 역할 기반 접근 제어 기능
|
|
요구사항 내용
|
❍ 사용자 인증 정보를 기반으로 대시보드 접근을 제어할 수 있는 기능
❍ 로그인한 기업 사용자에게만 해당 기업의 전용 대시보드를 제공하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-015
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업별 답변 알림 기능
|
|
요구사항 내용
|
❍ 관리자가 기업 문의에 답변했을 때, 해당 기업에게 카카오톡·메일 등으로 알림을 전송하는 기능
❍ 기업이 알림 수신 여부를 설정할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-016
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
관리자 접근 제어 기능
|
|
요구사항 내용
|
❍ 버그바운티 대회 운영자, 기술지원 담당자, KISA 관리자 권한을 제한적으로 부여 할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-017
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
문의사항 답변 기능
|
|
요구사항 내용
|
❍ 기업에서 등록한 문의 사항에 대해 관리자가 답변을 작성할 수 있는 기능
❍ 답변이 등록되지 않은 문의사항을 목록에서 별도로 구분하고 확인할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-018
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
취약점 API 수신 기능
|
|
요구사항 내용
|
❍ 정보포털 API를 통해 제보된 취약점 정보를 수신하는 기능
❍ 수신한 취약점 데이터를 저장하고 관리하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-019
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
취약점 정보 중복 필터링 기능
|
|
요구사항 내용
|
❍ API를 통해 중복된 취약점 정보가 전송될 경우 식별하는 기능
❍ 중복으로 판단된 취약점 정보를 관리자에게 알리는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-020
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업명 분류·수정 기능
|
|
요구사항 내용
|
❍ 취약점 중복 또는 기업명이 인식 되지 않는 경우 관리자가 직접 분류·삭제하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-021
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
취약점 분류 기능
|
|
요구사항 내용
|
❍ 필터링 된 취약점을 기업별로 자동 분류하는 기능
❍ 분류한 취약점 정보를 관리자용 대시보드에 보여주는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-022
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업 서비스 열람 기능
|
|
요구사항 내용
|
❍ 분석가가 취약점 분석을 위해 기업 서비스를 열람할 수 있는 기능
❍ 서비스 설명, 취약점 분석 대상 범위 등 관련 정보를 확인할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-023
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업 서비스 선택 기능
|
|
요구사항 내용
|
❍ 분석가가 취약점 분석을 위해 기업 서비스를 선택하여 VDI를 신청하는 기능
❍ 동일한 기업 서비스를 중복 신청 시 분석가에게 안내하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-024
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업 서비스 VDI 발급 기능
|
|
요구사항 내용
|
❍ 분석가가 신청한 기업 서비스에 대한 VDI를 발급하는 기능
❍ VDI 발급이 실패한 경우 관리자·분석가에게 안내하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-025
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
기업 서비스 발급 알람 기능
|
|
요구사항 내용
|
❍ 분석가가 신청한 VDI 발급이 완료되면 채팅·카카오톡 등으로 알림을 제공하는 기능
❍ 사용자가 알림 수신 여부를 설정할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-026
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
신청 VDI 목록 열람 기능
|
|
요구사항 내용
|
❍ 분석가가 신청한 VDI 목록을 확인할 수 있는 기능
❍ VDI 현황을 상태별(사용 중, 반납 완료 등)로 구분하여 요약 정보를 제공하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-027
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
신청 VDI 상태 확인 기능
|
|
요구사항 내용
|
❍ 분석가가 신청한 VDI의 신청, 발급, 반납 등의 상태를 확인하는 기능
❍ VDI의 상태가 변경될 때 사용자에게 채팅등의 알림으로 안내하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-028
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
신청 VDI 관리 기능
|
|
요구사항 내용
|
❍ 분석가가 신청한 VDI에 대해 사용 기간을 연장하거나 반납할 수 있는 기능
❍ 연장 및 반납 요청 시 팝업 등을 통한 확인 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-029
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
신청 VDI 접속 기능
|
|
요구사항 내용
|
❍ 분석가가 신청한 유효 VDI에 접속할 수 있는 기능
❍ 분석가별 VDI 접속 이력을 로그로 기록하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-030
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
VDI별 관리 기능
|
|
요구사항 내용
|
❍ VDI를 상태별로 분류하여 관리자가 확인할 수 있는 기능
❍ 관리자가 특정 VDI에 대해 반납 처리를 할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-031
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
공지사항 작성 기능
|
|
요구사항 내용
|
❍ 관리자가 분석가·기업을 대상으로 공지사항을 작성할 수 있는 기능
❍ 공지사항 업로드를 예약할 수 있는 기능
❍ 중요한 공지사항을 목록 상단에 고정할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-032
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
공지사항 열람 기능
|
|
요구사항 내용
|
❍ 분석가가 관리자가 등록한 공지사항을 조회하고 열람할 수 있는 기능
❍ 키워드를 통해 공지사항을 검색할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-033
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
Q/A 게시글 작성 기능
|
|
요구사항 내용
|
❍ 관리자가 분석가에게 공통적으로 받는 질문을 Q/A 게시판에 등록할 수 있는 기능
❍ 질문 유형을 사전에 생성하고, 게시글 작성 시 유형을 선택할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-034
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
Q/A 게시글 열람 기능
|
|
요구사항 내용
|
❍ 분석가가 별도의 페이지 이동없이, 상세보기에서 관리자가 작성한 Q/A 게시글 답변을 열람할 수 있는 기능
❍ 게시글을 질문 유형별로 분류할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-035
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
팝업 기능
|
|
요구사항 내용
|
❍ 버그바운티 대회 정보 등을 안내할 수 있는 팝업 기능
- 팝업 내용, 디자인 변경 및 특정 페이지에서만 팝업을 보이도록 설정하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-036
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
채팅 작성 기능
|
|
요구사항 내용
|
❍ 질의사항 등을 문의하기 위한 실시간 채팅 작성 기능
❍ 수신된 채팅에 답장할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-037
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
채팅 발송 기능
|
|
요구사항 내용
|
❍ 질의사항을 실시간 채팅으로 발송하는 기능
❍ 채팅 메시지의 발신자, 발송 시간 등의 정보를 확인할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-038
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
채팅 알림 기능
|
|
요구사항 내용
|
❍ 채팅이 도착하면 카카오톡, 이메일 등으로 알림을 제공하는 기능
❍ 사용자가 알림 수신 여부를 설정할 수 있는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-039
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
채팅 관리 기능
|
|
요구사항 내용
|
❍ 일정 시간 동안 채팅 내 유효한 행위가 없을 경우 대화를 자동으로 종료하는 기능
❍ 자동 종료 이전에 사용자에게 알림을 제공하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-040
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
CI/CD 환경 구성 자동화 개발
|
|
요구사항 내용
|
❍ CI/CD 환경을 자동으로 구성하고 빌드 및 배포까지 실행할 수 있는 기능
❍ CI/CD 구성 내 주요 변경사항 발생 시 관리자에게 알림을 제공하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-041
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
CI 파이프라인 개발
|
|
요구사항 내용
|
❍ 코드 변경 시 자동으로 실행되는 CI 스크립트 개발
- 이관 자동화 코드 변경 시 검증과 배포를 자동화하는 기능 개발
❍ CI 스크립트와 테스트 자동화 기능을 연동하여, 코드 변경 후 테스트까지 수행
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-042
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
CD 파이프라인 개발
|
|
요구사항 내용
|
❍ 변경된 코드가 테스트를 통과하면 자동으로 배포를 수행하는 CD 스크립트 개발
- 환경 구성 자동화 코드 변경 시 검증과 배포를 자동화하는 기능 개발
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-043
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
테스트 자동화 기능 개발
|
|
요구사항 내용
|
❍ 변경된 코드를 적용 및 배포하기 전 테스트를 위한 자동화 스크립트 개발
❍ 테스트 수행 시 로그를 기록하고, 실패 시 알림을 제공하는 기능
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-044
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
모니터링 및 이력 관리 기능
|
|
요구사항 내용
|
❍ 변경된 코드 정보, 배포 일시 등의 이력을 관리할 수 있는 기능 개발
❍ 코드 변경 시 주석, 메시지 등을 통해 변경 목적을 확인할 수 있는 기능 개발
❍ CI/CD 파이프라인 상태 모니터링 기능 개발 및 오류 시 알림 기능 개발
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-045
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
서버 OS 변환 작업
|
|
요구사항 내용
|
❍ 지원종료(EOS)된 OS 교체 작업
❍ OS 교체 후 기존 시스템, 서비스 구성 요소 등과 호환성 검증
|
|
산출정보
|
|
|
요구사항 번호
|
SFR-046
|
요구사항 분류
|
소프트웨어 기능 요구사항
|
|
요구사항 이름
|
UI/UX 디자인 개편 작업
|
|
요구사항 내용
|
❍ UI/UX 디자인 수정을 통한 사용자 편의성 개선 작업
❍ 프론트엔드 디자인 시안 및 UI 설계안 최소 2종 이상 제공
|
|
산출정보
|
|
2) 사업수행 요구사항 (Project Performance Requirement)
|
요구사항 번호
|
PPR-001
|
요구사항 분류
|
사업수행 요구사항
|
|
요구사항 이름
|
구축관련 요구사항
|
|
요구사항 내용
|
❍ 핵더챌린지 분석플랫폼 시스템 기능 개선을 위해 시스템 설계안을 제시해야 함
※ 핵더챌린지 플랫폼이 설치된 클라우드 시스템 내 구축 추진
|
|
산출정보
|
|
|
요구사항 번호
|
PPR-002
|
요구사항 분류
|
사업수행 요구사항
|
|
요구사항 이름
|
시스템 보안 점검
|
|
요구사항 내용
|
❍ 시스템 구축 사업에 설치된 프레임워크, 운영체제에 대한 종합적인 취약점 점검 및 보호조치를 수행하여야 함
- 제안사는 주관기관과 협의하여 점검결과에 대한 즉각적인 개선조치를 실시하여야 함
|
|
산출정보
|
보안 취약점 점검 및 개선조치 결과서
|
|
요구사항 번호
|
PPR-003
|
요구사항 분류
|
사업수행 요구사항
|
|
요구사항 이름
|
핵더챌린지 플랫폼 운영
|
|
요구사항 내용
|
❍ 기업의 원활한 클라우드 서비스 접속을 위해 클라우드 서비스 네트워크 확인, 이용 신청여부 확인 등 플랫폼 운영 지원
- 제안사는 KISA와 협의하여 기업이 클라우드 서비스에 접속할 수 있도록 지원을 해야함
❍ 기업의 서비스 설치 등의 지원 요청이 필요할 시 기술적 지원
❍ 플랫폼 운영 시, 발생하는 외부 문의에 대한 대응 지원
|
|
산출정보
|
|
3) 성능 요구사항 (Performance Requirement)
|
요구사항 번호
|
PER-001
|
요구사항 분류
|
성능 요구사항
|
|
요구사항 이름
|
데이터 안전성
|
|
요구사항 내용
|
❍ 데이터 안정성이 확보되어야 하며, 장애 복구가 빠르도록 체계를 갖추어야 함
|
|
산출정보
|
|
|
요구사항 번호
|
PER-002
|
요구사항 분류
|
성능 요구사항
|
|
요구사항 이름
|
어플리케이션 성능
|
|
요구사항 내용
|
❍ Data 입력, 수정, 삭제, 통계산출 및 조회 등 소량 Data 처리기능은 3초 이내 응답할 수 있도록 개발
- 통계데이터의 경우 조회 기간이 3개월을 초과할 경우 통계량에 따라서 처리 응답 시간을 10초 이상으로 할 수 있음
❍ 기준 이상의 시간이 소요될 경우 사용자에게 처리상태 표시 기능을 제공
|
|
산출정보
|
|
|
요구사항 번호
|
PER-003
|
요구사항 분류
|
성능 요구사항
|
|
요구사항 이름
|
호환 및 성능 보장
|
|
요구사항 내용
|
❍ 기존 인프라와의 호환성과 성능 보장
❍ 기 구축되어 서비스 중인 어플리케이션과 연동하는 목표시스템의 모든 응용프로그램의 안정성과 성능 보장
|
|
산출정보
|
|
|
요구사항 번호
|
PER-004
|
요구사항 분류
|
성능 요구사항
|
|
요구사항 이름
|
데이터베이스 성능 개선
|
|
요구사항 내용
|
❍ DB 구조 최적화, DBMS 튜닝 등을 통해 데이터 안정성과 성능 개선
❍ 문서기반DB 구조 최적화를 통해 데이터 안정성과 성능 개선
|
|
산출정보
|
|
4) 품질 요구사항 (Quality Requirement)
|
요구사항 번호
|
QUR-001
|
요구사항 분류
|
품질 요구사항
|
|
요구사항 이름
|
기능 구현 정확성
|
|
요구사항 내용
|
❍ 시스템은 제시한 요구사항을 모두 제공하여야 하며, 초기 협의한 요구 사항에서 변경관리 절차를 통해 승인을 획득한 요구사항이 최종 Baseline 임
❍ 제시한 요구사항이 제공되는지 여부는 각 기능 요구사항의 검증(테스트)활동을 통해 예상된 결과가 도출되는 경우에 요구사항을 제공한 것으로 평가
|
|
산출정보
|
시스템 정보연계 현황서
|
|
요구사항 번호
|
QUR-002
|
요구사항 분류
|
품질 요구사항
|
|
요구사항 이름
|
품질관리 일반사항
|
|
요구사항 내용
|
❍ 품질관리 조직, 책임 및 운영절차를 구체적으로 제시하고 준수하여야 함
❍ 품질활동의 제반절차 및 산출물을 명시한 품질관리계획을 제시하여야 함
❍ 품질관리 목표, 검토도구, 기법에 대하여 제시하여야 함
※ 품질관리 조직을 통해 품질보증 활동을 수행하고 결과물을 진흥원에 제출하여 함
❍ 품질보증활동에 대한 활동내역, 시기 등을 명시하여야 함
❍ 전자정부 웹사이트 품질관리 지침(행정안전부고시)에 따라 전자정부 웹사이트 품질진단 기준을 만족하여야 함
❍ 공공데이터 품질관리 수준평가 가이드의 데이터 표준, 데이터 구조, 데이터 값, 데이터 관리 체계 영역 관련 지표를 반영한 품질관리계획을 제시하여야 함
|
|
산출정보
|
품질관리 조직 및 세부 운영절차, 품질활동 수행결과 산출물
|
|
요구사항 번호
|
QUR-003
|
요구사항 분류
|
품질 요구사항
|
|
요구사항 이름
|
리스크 관리
|
|
요구사항 내용
|
❍ 사업추진 과정에서 발생할 수 있는 보안, 일정지연, 품질저하, 시스템 장애 등 위험사항에 대한 관리 방안을 마련하여야 함
- 사업추진 일정대로 수행되지 못할 경우의 위험관리방법과 절차 등을 구체적으로 제시하여야 함
- 사업수행 분야별 문제점 및 위험요인을 분석하여 이에 대한 개선방안을 제안서에 포함하여야 함
❍ 사업범위 외의 요인으로 인해 사업결과에 영향이 있거나 예상되는 경우, 해결방안을 제시하여 위험요소를 최소화하여야 함
❍ 품질 또는 성능상의 문제발생 시 부하 테스트 및 분석결과를 제시하고 개선하여야 함
|
|
산출정보
|
품질보증계획서, 부하 테스트 및 분석결과보고서
|
|
요구사항 번호
|
QUR-004
|
요구사항 분류
|
품질 요구사항
|
|
요구사항 이름
|
산출물
|
|
요구사항 내용
|
❍ 본 과업의 산출물을 제안서에 명시하여야 하며, 각 작업단계 및 산출물 목록은 진흥원과 협의하여 조정하여야 함
※ 산출물 제출시 세부내용, 제출부수 등은 상호 협의하여 결정
❍ 제안사는 제안요청서에 근거하여 모든 산출물을 성실하게 작성 제출하여야 함
❍ 모든 산출물은 진흥원의 승인을 받아 형상관리를 수행하여야 함
❍ 한국정보화진흥원 CBD SW개발 표준 산출물 관리 가이드 준수
|
|
산출정보
|
사업수행관련 모든 산출물
|
5) 데이터 요구사항 (Data Requirement)
|
요구사항 번호
|
DAR-001
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항 이름
|
백업 요구사항
|
|
요구사항 내용
|
❍ 개발시스템의 자료 파손, 변질 등에 대비하기 위한 백업을 제공하여야 함
❍ 백업 대상 및 백업주기는 진흥원에 백업정책을 준수하여야 함
❍ 보안사고 및 장애가 발생에 대비하여 복구계획을 수립하고 이에 따라 데이터를 복구하여야 함
|
|
산출정보
|
백업 현황서
|
|
요구사항 번호
|
DAR-002
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항 이름
|
취약점 관리를 위한 DB 구축
|
|
요구사항 내용
|
❍ 사용자/데이터셋/모델 등 데이터에 대한 스토리지 및 DB 구축
❍ 데이터 표준화는 “환경부의 데이터 표준”과 “공공기관의 데이터베이스 표준화지침”(행정안전부 고시 제2019-20호), “공공데이터 공통표준용어”(행정안전부 고시 제2020-66호)를 준수
❍ 데이터 관리는 “공공데이터 관리지침” (행정안전부고시 제2019-71호)을 준수
|
|
산출정보
|
데이터 모델 설계서, 데이터 표준화 지침서
|
|
요구사항 번호
|
DAR-003
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항 이름
|
데이터 오너쉽 관리
|
|
요구사항 내용
|
❍ 각 침해사고별로 오너쉽을 식별하고 관리해야 함
❍ 데이터 오류 등 이상 발생 시 데이터 오너쉽 주체에 신속히 전달하고 해결할 수 있는 창구를 마련하여 프로젝트를 수행하여 함
❍ 데이터 연계 및 처리, 저장, 분석, 활용 단계에서 발생하는 데이터 변경 사항을 오너쉽 측면에서 관리되어야 함
|
|
산출정보
|
데이터 메타관리 정의서
|
6) 테스트 요구사항 (Test Requirement)
|
요구사항 번호
|
TER-001
|
요구사항 분류
|
테스트 요구사항
|
|
요구사항 이름
|
테스트 공통사항
|
|
요구사항 내용
|
❍ 테스트 계획서에는 테스트 일정, 주기, 인력, 절차 및 방법 등을 포함하여야 하며, 체계적이고 효율적으로 진행할 수 있는 방안을 제시하여야 함
❍ 제안사는 유형별(서버, 네트워크, 보안장비 등) 단위 테스트, 통합 테스트, 성능 테스트 및 인수 테스트 등에 대한 방안을 수립하여야 함
※ 유형별 세부 테스트 시나리오와 적합, 부적합 등을 판정할 수 있는 체계적인 테스트 방안을 제시하여야 함
❍ 테스트 후 도출된 문제점들에 대해서는 원인분석 및 조치결과 보고서를 제출하여야 하며 이력을 관리하여야 함
❍ 개발시스템에 대해서는 지속적인 테스트 수행(부하 테스트 등) 및 개선을 통해 최적의 시스템 환경을 구축하여야 함
※ 시스템에 대한 장애대책 및 업무연속성 확보를 위해 운영 중 발생하는 문제점들을 보완하여 기능 및 성능을 향상시켜야 함
※ 시스템 안정화를 위해 추가되는 모든 비용은 제안사에서 부담하여야 함
❍ 장비 테스트는 실제 환경에서 수행하여야 함
※ 각종 장애상황에 대한 시나리오를 작성하고 복구 테스트를 수행하여야 함
|
|
산출정보
|
테스트 절차서
|
|
요구사항 번호
|
TER-002
|
요구사항 분류
|
테스트 요구사항
|
|
요구사항 이름
|
단위 테스트
|
|
요구사항 내용
|
❍ 시스템 정상작동 여부 검증 등 설치가 적정하게 되었는지를 점검하는 단위 테스트 계획을 수립하고 이행하여야 함
|
|
산출정보
|
단위 테스트 계획서 및 결과보고서
|
|
요구사항 번호
|
TER-003
|
요구사항 분류
|
테스트 요구사항
|
|
요구사항 이름
|
통합 테스트
|
|
요구사항 내용
|
❍ 통합 테스트는 2회 이상 실시하여야 하며, 테스트 결과가 미흡한 경우 진흥원의 요청에 의해 추가 실시할 수 있음
❍ 테스트 종료시 테스트 결과서 및 조치 결과서를 진흥원에 제출하여야 함
❍ 기존의 시스템과의 연동성을 고려하여 시스템 운영과 관련된 사항 지원
- 정보포털 접속 연동 등
|
|
산출정보
|
통합 테스트 계획서 및 결과보고서
|
7) 보안 요구사항 (Security Requirement)
|
요구사항 번호
|
SER-001
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
일반 요구사항
|
|
요구사항 내용
|
❍ 사업 참여인원 및 내부자료 유출 방지를 위한 보안관리 대책을 제시하여야 함
❍ 제안사는 핵더챌린지 분석플랫폼 분석환경 구축을 수행함에 있어서 발생하는 정보(인프라, 내·외부망 등), 각종 산출물 등에 대해 보안을 유지할 수 있는 보안관리 대책을 제시하여야 함
❍ 제안사는 진흥원이 요구하는 보안 관련규정을 충실히 이행하여야 함
※ 진흥원은 보안준수사항에 대한 필요한 조치를 요청할 수 있으며, 제안사는 이를 준수하여야 함
❍ 제안사는 진흥원에 출입하여 취득한 정보 및 용역이행을 통하여 얻은 사업내용에 대한 지식이나 기밀사항은 장소와 계약기간을 불문하고 누설하거나 이용해서는 안되며, 만약 이를 위반하였을 경우 이에 대한 모든 민·형사상 법적 책임은 제안사에 있음
❍ 제안사는 참여인원에 대해 비밀유지 의무·준수·누출금지대상정보·위반시 처벌내용 등을 포함하는 사전 보안교육을 실시하고 교육결과보고서를 제출하여야 함
❍ 제안사는 시스템에서 발생하는 모든 로그(접속 기록 포함)를 12개월 이상 안전하게 보관하여야 하며, 로그의 위·변조 방지 및 무결성 확보 조치를 포함하여야 함
|
|
산출정보
|
보안관리 대책서, 보안각서, 보안확약서, 개인정보보호 서약서, 보안교육 결과보고서
|
|
요구사항 번호
|
SER-002
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
수행업체 보안 준수사항
|
|
요구사항 내용
|
❍ 사업자는「국정원 국가정보보안기본지침」,「과기정통부 정보보안기본지침」등 보안 관련 규정 등에 근거, 자체 정보보호관리체계를 수립하고 정보보호계획서에 반영한 후 사업수행 계획서 제출 시 첨부
❍ 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 ‘누출금지 대상정보’에 대한 보안관리 계획을 수립하여 적용하는 등 「정보화사업 수행업체 보안 준수사항」(Ⅲ. 보안 준수 사항)에 따라 보안관리 실시
❍ 사업자는 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행중은 물론 사업완료 후에도 이를 외부에 유출해서는 안되고, ‘누출금지 정보’를 무단으로 누출하였을 경우「국가를 당사자로 하는 계약에 관한 법률」제27조에 의거 부정당업자로 지정되어 입찰참가자격이 제한될 수 있으며 이로 인해 발생되는 민·형사상의 모든 책임을 짐
❍ 사업자는 용역사업 수행 전 참여인원에 대해 법률 또는 규정에 의한 비밀유지의무 준수 및 위반시 처벌내용 등에 대한 보안교육 실시하고, 주관 기관이 요구하는 보안교육에 참석
❍ 외부 인력을 포함한 용역참여인원 및 내부 자료유출 방지 등을 위한 보안관리 대책을 수립하여 주기적인 보안교육 실시하고, 국가정보원 및 자체 보안 업무 규정을 준수
❍ 사업자는 사업장에 대하여 화재 및 도난사고 대비책을 마련하고 특히 보안에 유의하여야 함
❍ 근무자의 자격, 교육, 근무배치 등에 대해 철저히 관리
❍ 폐기되는 문서는 안전한 방법으로 폐기
❍ 발주기관의 용역사업 보안관리 절차준수
❍ 국가정보보안기본지침 제28조의2에 따라 “온라인(원격) 개발 및 온라인(원격) 유지보수 관련 보안관련 요구사항 준수
|
제28조의2(원격지에서의 온라인 개발) 제28조에 따른 원격지 개발에서 각급기관의 장이 필요하다고 판단하고 용역업체가 다음 각 호에 따른 보안대책에 서면으로 동의하는 경우에 한하여, 각급기관의 장은 용역업체에게 원격지에서 인터넷을 통해 발주기관 정보시스템에 온라인 접속한 상태의 개발 작업을 허용할 수 있다.
1. 지정된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제
2. 지정 단말기는 제3호에 따른 온라인 용역 통제시스템 접속 전용으로 운용하고 다른 목적의 인터넷 접속은 차단
3. 발주기관 내 온라인 용역 통제시스템을 경유하여 개발에 필요한 정보시스템에 접속하는 등 소통구간 보호․통제
4. 접속사실이 기록된 로그기록을 1년 이상 보관
5. 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중에 발주기관, 발주기관의 상급기관 및 국가정보원장의 정기 또는 수시 보안점검(불시 점검을 포함한다) 수검
6. 기타 국가정보원장이 배포한 ‘국가․공공기관 용역업체 보안관리 가이드라인’에서 제시된 온라인 개발에 관련된 보안대책의 준수
제52조(지정 단말기를 통한 온라인 유지보수) ① 제51조 제3항에 따른 지정된 단말기를 통해 유지보수를 함에 있어 각급기관의 장이 필요하다고 판단하고 용역업체가 다음 각 호에 따른 보안대책에 서면으로 동의하는 경우에 한하여, 각급기관의 장은 용역업체엑 소관 정보시스템(제42조 제1항에 따른 보안․네트워크장비는 제외한다)에 대하여 인터넷을 통한 온라인 유지보수를 허용할 수 있다.
1. 지정된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제
2. 지정 단말기는 제3호에 따른 온라인 용역 통제시스템 접속 전용으로 운용하고 다른 목적의 인터넷 접속은 차단
3. 발주기관 내 온라인 용역 통제시스템을 경유하여 개발에 필요한 정보시스템에 접속하는 등 소통구간 보호․통제
4. 접속사실이 기록된 로그기록을 1년 이상 보관
5. 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중에 발주기관, 발주기관의 상급기관 및 국가정보원장의 정기 또는 수시 보안점검(불시 점검을 포함한다) 수검
6. 기타 국가정보원장이 배포한 ‘국가․공공기관 용역업체 보안관리 가이드라인’에서 제시된 온라인 개발에 관련된 보안대책의 준수
|
❍ 보안취약점 방치 혹은 악용행위를 금지
|
1. 계약 특수조건
- ‘국가를 당사자로 하는 계약에 관한 법률 시행령’ 제76조제2항제3호다목에 따른 정보통신망 또는 정보시스템 구축 및 유지보수 등의 계약 이행과정에서 정보통신망 또는 정보시스템에 허가 없이 접속하거나 무단으로 정보를 수집할 수 있는 비인가 프로그램을 설치하거나 그러한 행위에 악용될 수 있는 정보통신망 또는 정보시스템의 약점을 고의로 생성 또는 방치하는 행위 등을 금지하는 내용의 계약 특수조건을 계약서에 명시하여야 하며 계약기간(하자 보증기간을 포함한다) 내에 발생한 보안 약점 등에 대해서는 계약업체로 하여금 개선 조치하도록 하여야 함
- 상기 내용과 관련한 행위가 없다는 대표자 명의의 확약서를 요구할 수 있음
|
|
|
산출정보
|
|
|
요구사항 번호
|
SER-003
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
소프트웨어 개발보안
|
|
요구사항 내용
|
❍ 원격지 개발 수행시 개발서버 운영과 관련된 보안준수
① 원격지 주요 개발서버에 대하여 망분리, 접근제어 등 각종 보안정책 준수
② 물리적 보안준수
③ 개발된 소스코드에 대한 점검도구(CC인증을 획득한 도구)를 사용한 취약점 진단 수행
❍ 원격지 상의 개발서버와 운영서버를 분리하여 개발 및 운영
❍ 원격지 개발지의 기본보안정책은 제안요청서상의 보안요구사항 및 Ⅲ.보안준수사항 적용
|
|
산출정보
|
원격지 보안관리 체크리스트, 소스코드 취약점 진단결과
|
|
요구사항 번호
|
SER-004
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
시스템(서버, 네트워크, 보안장비) 보안
|
|
요구사항 내용
|
❍ 구축 및 운용시스템에 대한 서버 보안취약점 점검 및 FTP, Telnet, Finger 등 불필요한 서비스 포트 제거 등 보안사항 점검 및 조치
❍ 개발하는 프로그램(시스템 및 서비스)에 대한 보안취약점 사전 점검 및 보완조치
❍ 보안 관제를 통해 외부 공격으로부터 서버 등 시스템 보호
❍ 보안관련 소프트웨어를 지속적으로 업그레이드 하고 상시적으로 보안교육을 실시
❍ 서버의 소프트웨어 취약점 해결을 위한 최신 소프트웨어 업데이트 지원(필요 패치 발생 시 수행)
❍ 공유자원에 대한 접근제어가 사용자 권한에 따라 이루어지는지 관리
❍ 네트워크 관리자 접속용 계정의 패스워드는 기본 패스워드가 아닌 복잡도가 높은 패스워드로 변경하여 사용
❍ 패스워드의 길이 및 사용주기를 제한하고 불필요한 디폴트 계정을 삭제하는 등 서버 사용자 및 패스워드를 관리
❍ PC에 패스워드를 사용하고 주기적으로 변경
❍ 각 서버에 PC 백신 프로그램을 설치하고 항상 최신 상태로 유지하여 운영
❍ 사용자 PC 백신 프로그램을 항상 최신 상태로 유지
❍ 정기적 바이러스 및 해킹도구 검사 등을 실시
❍ 보조기억매체는 사업 책임자에 한하여 허용하고, USB메모리는 비밀번호 설정 등 보안기능이 있는 매체를 등록하고 이용
❍ 불의의 사고로 인하여 시스템이나 파일이 피해를 입더라도 최근에 백업한 시점의 내용으로 복구할 수 있는 백업정책을 수립하고 실행
❍ 개발서버와 운영서버를 분리하여 개발 및 운영
❍ DB 서버는 별도의 서버로 zone을 구분하여 관리할 수 있도록 구현하며, 백업용 서버 또한 별도의 서버로 관리할 수 있도록 구현
❍ DB 관리자와 DB 사용자를 구분하여 관리하고 DB의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책 수립·이행
❍ 로그인시 DB 관리자·유지보수자 및 사용자의 안전한 인증 수행
❍ 사용자가 DB에 직접 접근할 수 없도록 우회접근 차단
❍ 해킹 및 각종 장애 등으로부터 DB 가용성을 저해하지 못하도록 보안대책 수립·시행
❍ 사용자별 DB의 모든 접근 기록 및 SQL 수행내역 기록 등을 1년이상 저장 유지
❍ 각각의 장비간에 원격접속이 가능하거나 하나의 장비에 접속한 뒤 다른 장비로 직간접적인 접속이 불가능하도록 구현
❍ 필요시 발주기관의 보안적합성 검증 절차 및 정보시스템 도입/운용 절차에 협조
❍ 내부 직원, 용역직원의 접근권한 및 계정을 구분하고, 관리자 접근시 IP ACL 등 접근통제
|
|
산출정보
|
|
|
요구사항 번호
|
SER-005
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
접속기록 관리
|
|
요구사항 내용
|
❍ 시스템의 효율적인 통제·관리, 사고발생시 추적 등을 위해 접속기록을 유지/관리하여야 함
① 접속자, 정보시스템·응용프로그램 등 접속 대상
② 로그 인·아웃, 파일 열람·출력 등 작업 종류, 작업시간
③ 접속 성공·실패 등 작업결과 등
❍ 접속기록은 최소 12개월 이상 보관하여야 하며, 위·변조 및 외부 유출방지 대책을 마련하여야 함
❍ 접속기록 및 작업내역의 실효성을 위해 대상 시스템 모두는 같은 시간으로 동기화되어 관리할 수 있도록 구현
|
|
산출정보
|
|
|
요구사항 번호
|
SER-006
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
취약점 점검 및 개선조치
|
|
요구사항 내용
|
❍ 취약점 점검 일정, 인력구성 수행절차 등 상세계획을 제안서에 명시하여야 함
※ 상세 추진방안에 대해서는 취약점 점검 실시 전 진흥원과 협의 및 조정
❍ 기반시설 취약점 분석·평가기준 고시, 기술적 상세가이드 등의 취약점 점검 항목을 기반으로 전수 구축시스템에 대한 취약점 점검 및 조치를 수행하여야 함
※ 자동 점검도구와 수동점검(체크리스트 등)을 병행하여 수행하며, 취약점 조치 우선순위를 구분(단기·중기·장기)하여야 함
❍ 네트워크 연결구조, 보안장비 구축위치, 접근제어에 대한 적정성 등 개발시스템 구조진단을 수행하여야 함
※ 구조개선이 필요한 사항에 대해서는 진흥원과 협의 후 조치를 수행하여야 함
❍ 웹 페이지 모의해킹 등 서비스에 대한 취약점 점검을 수행하여야 함
❍ 취약점 점검결과를 기반으로 단계별 조치방안 및 세부 개선대책 도출하여야 함
※ 단기 취약점은 사업기간 內 모두 조치하여야 하며, 불가항력으로 인한 미조치 사항은 사전 진흥원의 승인을 득하여야 함
❍ 제안사는 별도 명기된 사항이 없더라도 주요정보통신기반시설 보호관련 법·규정 등에서 요구하는 모든 사항을 포함하고 충족시켜야 함
|
|
산출정보
|
취약점 점검계획 및 결과보고서, 개선대책서
|
|
요구사항 번호
|
SER-007
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 이름
|
원격지 개발 및 원격지 유지보수 관련 보안관리
|
|
요구사항 내용
|
○ 원격지 개발과 관련한 보안대책 이행여부를 정기 또는 수시로 점검(불시점검 포함)
○ 원격지 개발과 관련한 보안대책 이행여부 점검결과가 미흡할 경우 원격지 개발 허가를 취소하여야 함
○ 용역업체의 개발망은 용역업체의 발주기관의 내부망․기관 인터넷망과 분리하여 별도의 독립망으로 구축․운용
- 개발자는 발주기관의 운영시스템에 접근할 수 없도록 하는 것이 원칙이며, 개발용 정보시스템과 발주기관의 운영용 정보시스템은 분리
○ 관리적 보안대책
- 원격지 개발실은 보호지역으로 지정하고, 비인가자 출입통제 시행, 개발실의 기기 반출입 통제, 출입관리기록부 유지
- 개발실 출입자 모니터링을 위해 개발실 입구 및 복도 등에 CCTV 설치‧운용
○ 기술적 보안대책
- 개발망은 용역업체의 내부망‧인터넷망 등과 분리하여 독립망으로 운영
- 사전등록한 휴대형 저장장치만 연결‧사용
- 원격지 개발과 관련한 수행내역 및 정보시스템 접속 이력 등 로그를 저장하고 1년 이상 유지(위‧변조 방지)
|
|
산출정보
|
|
|
관련 요구사항
|
|
8) 제약사항 (Constraint Requriement)
|
요구사항 번호
|
COR-001
|
요구사항 분류
|
제약사항
|
|
요구사항 이름
|
제안서 제약사항
|
|
요구사항 내용
|
❍ 제출된 제안서의 내용은 제안사가 임의로 변경할 수 없으며, 제안한 내용은 계약 내용에 포함됨
※ 기술협상과정에서 변경된 사항은 기술협상 결과에 따름
❍ 제안서에 명시된 내용과 협상시 진흥원의 요구에 의하여 수정·보완·변경된 제안내용은 계약서에 명시하지 않더라도 계약서와 동일한 효력을 가짐
※ 계약서에 명시된 경우는 계약서의 내용이 우선함
❍ 진흥원은 협상시 추가제안 및 추가 자료를 요구할 수 있으며 제출된 자료는 제안서와 동일한 효력을 가짐 (기술평가를 위한 제안설명 및 답변자료, 기술내용 포함)
❍ 제안서 추가자료 요청시 제안사는 이에 성실히 임하여야 하며, 미 제출시 불이익에 대한 책임은 제안사가 짐
|
|
산출정보
|
|
|
요구사항 번호
|
COR-002
|
요구사항 분류
|
제약사항
|
|
요구사항 이름
|
저작권 및 지식재산권 보호, 소프트웨어 임치, 공동활용에 관련한 사항
|
|
요구사항 내용
|
❍ 행정기관 및 공공기관 정보시스템 구축·운영 지침 제60조, 용역계약 일반조건 제56조 1항에 따라 지식재산권의 귀속은 공동소유 혹은 계약당사자간의 협의를 통해 정함(기획재정부계약예규 제326호, 2016. 12.30)
❍ 본 사업과 관련하여 산출물의 지식재산권(저작권의 경우, 2차적저작물 작성권과 편집저작물 작성권 포함)은 한국인터넷진흥원과 제안사가 공동으로 소유하며 지분은 균등함
❍ 다만, 개발의 기여도 및 계약목적물의 특수성(보안, 영업비밀 등)을 고려하여 계약당사자간의 협의를 통해 지식재산권 귀속주체 등에 대해 공동소유와 달리 정할 수 있음
❍ 제안사는 계약목적물의 사용을 보장하고, 지식재산권을 보호하기 위해서 사업수행에 따른 계약목적물의 “기술자료”를 제3의 기관(이하“임치기관”)에 임치하여야 함
- 임치기관은 발주처와 협의하여 선정하며, 임치수수료는 주관사업자가 부담하여야 함
- 임치기간은 유지보수 기간 이후 3년으로 하며, 6개월 마다 변경된 목적물을 최신본으로 임치하여야 함
- 임치목적물(기술자료)의 범위는 발주처와 협의하여 정함
❍ 제안사는 지식재산권의 활용을 위하여 SW산출물의 반출을 요청할 수 있으며, 발주기관에서는 보안업무규정 제4조 및 제안요청서에 명시된 누출금지정보에 해당하지 않을 경우 SW산출물을 제공함(단, 제안사는 아래 내용을 준수하여야 함)
- 제안사는 공급받은 SW산출물에 대하여 제안요청서, 계약서 등에 누출금지정보로 명시한 정보를 삭제하고 활용하여야 하며, 이를 확인하는 제안사 대표명의의 확약서를 발주기관에 제출하여야함
- 제안사가 반출된 SW산출물을 제3자에게 제공하려는 경우 반드시 발주기관으로부터 사전 승인을 받아야 함
- 발주기관은 제안사가 제공받은 SW산출물을 무단으로 유출하거나 누출되는 경우 및 누출금지정보를 삭제하지 않고 활용하는 경우에는 국가계약법 제76조제1항제3호 및 지방계약법 제92조제1항제19호에 따라 입찰참가자격을 제한함
❍ 제안사가 인용한 자료로 인하여 발생하는 저작권, 사용권 또는 특허권 관련 분쟁에 대한 모든 책임은 제안사에 귀속됨
❍ 본 사업을 통해 개발되는 소프트웨어는 용역계약일반조건 제56조(계약목적물의 지식재산권 귀속 등)에 따라 타 기관과 공동활용할 계획이 없음
|
|
산출정보
|
|
|
요구사항 번호
|
COR-003
|
요구사항 분류
|
제약사항
|
|
요구사항 이름
|
표준프레임워크 적용
|
|
요구사항 내용
|
❍ 전자정부 표준 프레임워크를 기반으로 통합포털사이트에 적합한 프레임워크 설계․개발 및 커스터마이징
❍ 주관기관의 업무 및 환경분석을 통해 시스템 구축에 필요한 표준화(프레임워크) 요소를 도출하고 이에 따라 통합포털사이트 시스템 표준 프레임워크를 구축
❍ 구축되는 프레임워크는 다양한 환경의 수용성, 타 시스템과의 상호호환성 등을 보장
❍ 구축된 프레임워크는 웹표준 및 웹콘텐츠 접근성 지침을 준수하여야 하고, 보안 취약점 진단 및 대응방안을 제시
|
|
산출정보
|
|
|
요구사항 번호
|
COR-004
|
요구사항 분류
|
제약사항
|
|
요구사항 이름
|
소스코드의 작성 및 제공
|
|
요구사항 내용
|
❍ 제안사가 개발하는 정보시스템은 향후 시스템 연계, 확장 시 적극 협조하여야 하고 개발된 모든 소스는 어플리케이션 유지보수 및 개/보수를 위하여 주관기관에 제공
❍ 프로젝트 착수시점에 주석에 대한 규정 등을 포함한 코딩 가이드를 수립하고, 해당 가이드를 준수한 소스코드를 작성하여 제공
❍ 각 함수에 대해 기능, 인자 및 결과값 등의 주석 내용을 작성
❍ 함수 내 주요 처리 단위로 주석 추가
❍ 코딩 가이드 준수여부를 툴을 통하여 점검이 가능하도록 프로젝트 관리 체계를 수립
❍ 시큐어 코딩 적용 및 신규 시스템 오픈 시 보안취약점 사전 제거
※ 행정안전부 “소프트웨어 개발보안 가이드(2017.1)” 및 ‘소프트웨어 개발보안(시큐어 코딩) 관련 가이드’를 참조하여 개발 시 보안 코딩을 적용하고 보안취약점을 사전에 제거해야함
❍ 개발 완료 후 보안도구를 이용하여 소스코드 및 웹어플리케이션 취약점을 점검하고, 그 결과 조치 이행해야 함
|
|
산출정보
|
|
|
요구사항 번호
|
COR-005
|
요구사항 분류
|
제약사항
|
|
요구사항 이름
|
코로나 바이러스 확산 방지 등을 위한 방역수칙 준수
|
|
요구사항 내용
|
❍ 제안사는 코로나 바이러스 등 각종 전염병 및 재난재해 상황 확산 방지를 위해 정부 방역수칙 및 진흥원이 요구하는 방역수칙을 준수하여야 함
❍ 제안사는 자체 방역관리자를 지정하고 인원에 대한 자체 방역대책을 수립하여 관리하여야 함
|
|
산출정보
|
|
9) 프로젝트 관리 요구사항 (Project Mgmt Requirement)
|
요구사항 번호
|
PMR-001
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 이름
|
사업 및 인력 관리
|
|
요구사항 내용
|
❍ 용역수행 책임자(PM)는 반드시 본 사업을 통합적으로 책임 수행하도록 하여야 함
❍ 정해진 사업기간 내 정상적인 과업 수행이 불가능하다고 판단될 경우, 제안사는 이에 대한 합당한 방안을 제시하여야 함
❍ 진흥원은 참여인력에 대한 보안서약서 집행, 정보보호 교육 및 수시 보안점검 등을 실시할 수 있으며, 제안사는 이에 성실히 응해야 함
❍ 진흥원은 참여인력에 대한 신원조사 결과 결격사유가 있는 자에 대한 교체를 요구할 수 있으며, 제안사는 이를 즉시 수행해야 함
|
|
<신원특이자 투입불가>
|
|
|
|
|
|
▪ 징역․금고 이상의 형을 처분 받은자
▪ 음주운전으로 300만원 이상의 벌금을 처분 받은 자
▪ 정보통신망이용촉진 및 정보보호에 관한 법률을 위반하여 벌금 이상 처분 받은 자
▪ 기타 법률 위반 등으로 벌금 100만원 이상을 처벌 받은 자
|
|
|
산출정보
|
|
|
요구사항 번호
|
PMR-002
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 이름
|
사업수행 일반
|
|
요구사항 내용
|
❍ 제안사는 본 사업과 관련된 사업 추진일정, 추진계획 등을 제시하여야 함
❍ 사업 추진에 있어 계약서와 제안서, 제안요청서, 과업지시서에 포함되지 않는 일반적인 사항은 발주기관과 계약당사자가 협의하여 처리함.
❍ 본 용역의 수행 중 계획내용의 추가 수정, 변경 검토 등의 검토사항에 대하여 한국인터넷진흥원의 요구사항이 있을 시 발주기관과 계약상대자가 협의하여 처리함
❍ 제안사는 진흥원의 요구사항을 만족하며, 효율적인 관리를 수행할 수 있는 방법 및 수행방안을 제시하여야 함
❍ 본 사업과정에서 발생하는 안전사고에 대하여 행정적, 기술적 제반 비용과 후속처리는 안전사고 발생에 대한 책임당사자가 부담하며, 상호 책임이 없는 불가항력 등 사유에 대한 경우에는 발주기관과 계약상대자가 협의하여 처리함
❍ 제안사는 본 사업을 위해 필요한 작업장소 등(장소, 설비, 기타 작업환경)을 상호협의하여 결정하며, 인력의 근무장소는 보안 등 특별한 사유가 있는 경우를 제외하고는 제안사가 달리 정할 수 있음
❍ SW사업 수행을 위해 필요한 작업장소 등은 사업 예산내 계산되어 있으므로 관련 비용을 포함하여 제안가격을 산출하되, 작업장소 등은 상호협의하여 결정함
❍ 원격지 개발 외 SW사업 수행을 위하여 필요한 작업장소는 발주기관에서 제공하며, 설비 및 기타 작업환경은 제안사가 구비하여야 함(단, 이 경우에도 제안사는 개발장소에 관하여 제시할 수 있음)
❍ 제안사는 작업장소 상호협의 시 제안요청서 내 명시된 보안요구사항을 준수한 작업장소를 제시할 수 있으며, 발주기관에서는 제시된 작업장소에 관하여 우선 검토한다. 다만 발주기관에서는 제안사가 제시한 작업장소가 보안요구사항을 준수하지 못한 경우 거부할 수 있음
❍ 사업을 기간내에 완수하기 위한 구축 단계별 추진일정 및 세부활동 내용 등이 포함된 구축 일정계획을 제시하여야 함
❍ 본 제안요청서에 명시된 조항은 최소한의 내용만을 규정하였으며, 상세하게 기술되지 않았거나 누락된 사항에 대해서는 과업 수행시 문제가 발생되지 않도록 조치하여야 함
※ 본 제안요청서에 명시되지 않은 사항에 대해서는 국가를 당사자로 하는 계약에 관한 법령 등 일반적인 상관례를 따름
❍ 제안사는 작업내용 및 진행상황 등을 기록하여 진흥원 사업관리 담당자의 확인을 받아야 하며, 특이사항 발생시 지체없이 서면으로 통보하여야 함
❍ 본 과업에 명시되지 않았지만 과업 수행 도중 추가적으로 시행해야 하는 사항이 발생한 경우 관련 비용은「국가를 당사자로 하는 계약에 관한 법률」, 「기획재정부 계약예규」 등 관련 법률 및 지침에 따름
❍ 본 과업완료후에도 경미한 추가 작업이 필요한 경우 발주기관의 계약상대자와 비용 부담 등에 대해 상호 협의하여 계약상대자에게 수행을 요청 가능함
|
|
산출정보
|
사업수행계획서
|
|
요구사항 번호
|
PMR-003
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 이름
|
사업수행계획서 작성
|
|
요구사항 내용
|
❍ 사업자는 계약일로부터 14일 이내에 계약서, 제안요청서 등을 근거로 본 사업을 수행하기 위한 사업수행계획서와 기술적용 계획표를 작성 및 제출하여야 함
❍ 사업수행 계획은 수행공정간 연계가 보일 수 있도록 하며, 품질보증기간 등을 고려하여 상세하게 기술해야 함
❍ 모든 활동에 대한 업무 상세 정의와 일정계획 및 의사소통 방안, 기밀 보장 방안 등 상세 프로젝트 계획을 제공하여야 함
|
|
산출정보
|
사업수행계획서
|
|
요구사항 번호
|
PMR-004
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 이름
|
사업보고
|
|
요구사항 내용
|
❍ 사업진행에 대한 업무내용, 진척사항, 기타 특이사항을 기록한 업무일지를 작성하여 주간, 월간 단위로 작성 및 제출하여야 함
※ 원활한 과업 수행을 위해 필요시 비정기적인 보고 요청에 대응하여야 함
❍ 제안사는 작업내용 및 진행상황 등을 기록하여 진흥원 사업관리 담당자의 확인을 받아야 하며, 특이사항 발생시 지체없이 서면으로 통보하여야 함
|
단계
|
구분
|
시기
|
내용
|
산출물
|
|
착수
|
착수보고
|
계약 후 14일 이내
|
o 과업수행 방안 협의
o 과업수행 계획 보고
o 과업수행 조직구성·착수
|
수행계획서
착수보고서
|
|
과업수행
|
주간회의
|
주 1회
|
o 추진계획 대비 실적
o 추진내용 및 산출물
o 추진실적 및 협조사항 등
|
주간보고서
|
|
월간회의
|
월 1회
|
월간보고서
|
|
수시보고
|
필요시
|
o 주요 현안
o 의사 결정사항
o 진행상황 등
|
자유양식
|
|
중간보고
|
수행기간 中
|
o 사업수행 내역 및 점검
o 의견수렴 및 요구사항 반영
|
중간보고서
|
|
완료
|
완료보고
|
사업완료 시점
(별도 협의)
|
o 사업수행 결과 보고
|
완료보고서
|
|
|
산출정보
|
주간/월간/수시/중간보고서, 착수/완료보고서
|
|
요구사항 번호
|
PMR-005
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 이름
|
운영자 매뉴얼
|
|
요구사항 내용
|
❍ 개발시스템을 효율적으로 운영·관리하기 위한 다양한 매뉴얼 등을 마련하여야 함
- 네트워크 구성도, 프로그램 구성도, 소프트웨어 의존성 등
- 사용자 매뉴얼, 관리자 매뉴얼(SW 매뉴얼), 장애대응매뉴얼
- 시스템 운영정책(서버, 네트워크 보안장비 정책), 백업가이드, IP 설정 내역 등
|
|
< 사용자 매뉴얼 포함 내용>
|
|
|
|
|
|
▪ 목표시스템 내 설치된 각종 SW 실행방법
▪ SW를 별도로 설치해야 하는 경우 해당 SW 설치 및 제거방법
▪ 목표시스템 SW 설정(Configuration) 값 및 설정방법
▪ 로그확인 및 분석방법 등
|
|
|
산출정보
|
네트워크 구성도, 각종 매뉴얼, 보안정책서, IP 현황서 등
|
10) 프로젝트 지원 요구사항 (Project Support Requirement)
|
요구사항 번호
|
PSR-001
|
요구사항 분류
|
프로젝트 지원 요구사항
|
|
요구사항 이름
|
하자보수
|
|
요구사항 내용
|
❍ 소프트웨어 진흥법 제20조의5에 따라 SW사업의 계약을 체결한 경우 계약목적물 하자에 대한 보수책임은 사업종료일로부터 1년으로 함
❍ 하자보수요건
- 용역업체는 하자보수 관련 체계를 제시하도록 하고, 사업 중에도 협의·수정·보완하여 원활한 시스템 운영이 가능하도록 함
- 본 사업의 하자담보책임기간은 발주기관이 검사에 의하여 사업의 완성을 확인한 후 1년간으로 하며, 그 대상은 제안사가 용역 업무를 수행하기 위해 제3자로부터 구매하여 공급한 제품과 납품업체가 공급한 시스템, 개발된 소프트웨어를 포함한 제품 전체로 함
- 장애접수 후 24시간 이내 복구 조치를 완료할 수 있도록 하자보수 방안을 수립하여 운영
- 제안사는 시스템 개발 이후 하자 및 문제점 발생 시 해결을 위한 하자보수 지원체계를 제시하여야 하며, 특히 장애처리지원 등을 포함한 하자보수 방안을 제시하여야 함
❍ 자료의 파손, 변질, 분실에 대비하기 위하여 안정적인 자료 백업 방안을 수립하여 제시해야 함
|
|
산출정보
|
무상 하자보수 계획서
|
|
요구사항 번호
|
PSR-002
|
요구사항 분류
|
프로젝트 지원 요구사항
|
|
요구사항 이름
|
교육 및 기술지원
|
|
요구사항 내용
|
❍ 제안사는 사업 착수부터 완료까지 운영, 유지관리, 장애처리 등에 필요한 기술교육을 실시하기 위한 교육지원 계획서를 제시하여야 하며 교육관련 제반 비용은 본 사업에 포함하여야 함
❍ 개발시스템에 대하여 진흥원이 기능 보완을 하고자 할 경우 필요한 제반 기술사항을 지원
❍ 시스템 운영에 대한 기술지원 등을 구체적으로 제시하여야 함
|
|
산출정보
|
교육훈련계획서
|
|
요구사항 번호
|
PSR-003
|
요구사항 분류
|
프로젝트 지원 요구사항
|
|
요구사항 이름
|
시스템 운영지원
|
|
요구사항 내용
|
❍ 시스템의 안전성 및 신뢰성 확보를 위한 점검을 수행하여야 하여야 함
❍ 발생 가능한 장애요소들을 유형별로 구분하고 대처방안을 완료보고서에 제출하여야 함
❍ 장애 발생 시 원인분석 및 복구 등 즉각 조치가 가능하도록 기술지원 부서, 전문 인력을 확보하여 항시 운영이 가능하도록 하여야 함
❍ 장애조치 완료 후에 처리사항에 대한 결과보고서를 신속히 제출하고 장애 이력을 관리하여야 함
※ 결과보고서에는 장애발생에 대한 향후 대책방안을 제출하여야 함
|
|
산출정보
|
정기·수시점검 계획 및 결과보고서, 장애처리 결과보고서
|
|
요구사항 번호
|
PSR-004
|
요구사항 분류
|
프로젝트 지원 요구사항
|
|
요구사항 이름
|
SW사업정보 저장소 데이터 작성 및 제출
|
|
요구사항 내용
|
❍ 「소프트웨어 진흥법 제22조」에 따라 해당 사업 수주자는 SW 사업정보(SW사업 수행 및 실적정보) 데이터를 작성하여 제출하여야 함
❍ SW사업정보 데이터 작성 및 제출에 관한 사항은 www.spir.kr 자료실의 ‘SW사업정보 저장소 데이터 제출 안내’ 문서를 참조토록 함
❍ SW사업정보 데이터는 사업수행계획서 작성시 단계별 산출물 리스트에 반드시 명시하도록 함
❍ SW사업정보 중 기능점수 데이터의 작성을 위해 사업수행 인원 중 기능점수 측정
전문가를 포함토록 함
|
|
산출정보
|
SW 사업정보 데이터
|
11) 인터페이스 요구사항 (Interface Requirement)
|
요구사항 분류
|
사용자 인터페이스
|
|
요구사항 고유번호
|
INR-001
|
|
요구사항 명칭
|
사용자 인터페이스
|
|
요구사항 상세설명
|
정의
|
유형별 테스트에 따른 수행 계획 및 결과 보고
|
|
세부내용
|
○ 개발 표준 인터페이스 방안을 정하여 시스템을 구현
- 통일성, 사용자 편의성, 유지관리 편의성 강화를 위한 UI 표준 수립 및 적용
※ 화면 레이아웃 및 속성(디자인, 색상, 글자폰트, 각종 실행버튼 등) 표준화, 코드화 등 중복최소화 및 입력편의성 고려
- 텍스트, 이미지, 동영상 등 콘텐츠의 특성에 맞는 웹 UI를 제공
○ 메인/서브 페이지 기획 및 디자인
- 최신 웹디자인 트렌드(Key Visual, 다크모드 등)를 적용한 웹페이지 기획 및 디자인
- 2개 이상의 메인/서브 페이지 시안을 구성 및 디자인하고 제시
- 이용자 접근성 강화를 위한 UI/UX 적용(풀반응형, 모바일 최적화 등)
※ 디자인, 콘텐츠 구성 및 서비스 제공 방안은 발주기관과 최종적으로 협의하여 수행
○ 직관적, 사용자 친화적 인터페이스 제공
- 첨부문서 확인 시 다운로드 받지 않고 브라우저를 통해 문서를 바로 확인 가능하도록 함
※ 사용자 화면비율 등을 고려하여 최적화를 통해 자료를 확인하는 데 무리가 없도록 조치
- 링크가 적용된 배너, 텍스트, 이미지, 파일링크 등은 마우스 오버 시 색 변경, 밑줄 등을 이용하여 명확하게 구분
- 그래픽 이미지는 스크린 사이즈와 웹 화면 크기에 영향을 받지 않으며, 가독성을 위해서 텍스트를 먼저 로딩할 수 있도록 함
|
|
산출정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
사용자 인터페이스
|
|
요구사항 고유번호
|
INR-002
|
|
요구사항 명칭
|
웹 표준, 접근성, 호환성, 연결성 등 준수
|
|
요구사항 상세설명
|
정의
|
유형별 테스트에 따른 수행 계획 및 결과 보고
|
|
세부내용
|
○ 웹 표준 및 접근성 지원
- 정보습득 취약계층의 소외됨이 없도록 웹 표준 및 접근성을 준수하여 홈페이지를 구축
- 「국가표준기술 가이드라인」 준수
- 「전자정부서비스 웹사이트 품질관리 지침」 준수
- 「장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 지침」 준수
- 「한국형 웹 콘텐츠 접근성 지침 2.2」 준수
- 「모바일 애플리케이션 콘텐츠 접근성 지침 2.0」 준수
○ 웹 호환성, 연결성 등 안정적인 유지운영 보장
- 확장성 및 유연한 시스템 구축 운영을 위한 Non-ActiveX, Non-Plugin 환경 제공
- 시스템을 구성에 제약은 없으나, 사이트 운영상황 변화 시 유연하게 대처할 수 있도록 설계 및 구축
○ 이용자들의 다양한 사용자 환경(브라우저, 모바일 환경 등)에서도 서비스를 이용할 수 있도록 하여야 하며, 표준을 준수하여 구현하여야 함
- 엣지, 크롬, IE, 파이어폭스, 사파리 등 브라우저나 응용 버전이나 모바일 환경 등 접속 환경에 상관없이 홈페이지 이용에 불편이 없도록 웹 표준을 준수
※ 동작 호환성 확보, 레이아웃 호환성 확보, 플러그인 호환성 확보
○ 외부 점검 결과를 통한 결과서 제출 및 조치
- 웹표준, 접근성, 호환성, 연결성과 관련하여 W3C Markup Validation Service, CSS Validation Service, 차세대웹기술지원센터(koreanextweb.kr) 통합진단 등 외부 진단 결과물 제출
- 진단결과로 확인된 수정사항은 홈페이지 오픈 전 반영해야 함
○ 웹접근성 인증 지원 수행사항
- 웹접근성인증평가원(www.wa.or.kr)의 웹접근성 인증마크 사용을 위한 심사·평가 등을 지원하여 인증마크를 취득해야 하며, 홈페이지 오픈 일정에 맞추어 적용
- 사후 모니터링(1년 이내)에 대한 시정조치 요구 대응 등 지원 수행
|
|
산출정보
|
웹 진단결과서, 조치결과서, 웹접근성 인증 자료
|
|
관련 요구사항
|
|
3. 기술적용계획표
□ 법률 및 고시
|
구분
|
항 목
|
|
법률
|
o 지능정보화 기본법
o 공공기관의 정보공개에 관한 법률
o 개인정보 보호법
o 소프트웨어 진흥법
o 인터넷주소자원에 관한 법률
o 전자서명법
o 전자정부법
o 정보통신기반 보호법
o 정보통신망 이용촉진 및 정보보호 등에 관한 법률
o 통신비밀보호법
o 국가를 당사자로 하는 계약에 관한 법률
o 하도급거래 공정화에 관한 법률
o 지방자치단체를 당사자로 하는 계약에 관한 법률
|
|
고시 등
|
o 보안업무규정(대통령령)
o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령)
o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시)
o 전자서명인증업무 운영기준(과학기술정보통신부고시)
o 전자정부 웹사이트 품질관리 지침(행정안전부고시)
o 정보보호시스템 공통평가기준(미래창조과학부고시)
o 정보보호시스템 평가·인증 지침(과학기술정보통신부고시)
o 정보시스템 감리기준(행정안전부고시)
o 전자정부사업관리 위탁에 관한 규정(행정안전부고시)
o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규)
o 행정전자서명 인증업무지침(행정안전부고시)
o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시)
o 개인정보의 안전성 확보조치 기준(개인정보보호위원회)
o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회)
o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규)
o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규)
o 표준 개인정보 보호지침(개인정보보호위원회)
o 엔지니어링사업대가의 기준(산업통상자원부고시)
o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시)
o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시)
o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시)
o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시)
o 용역계약일반조건(기획재정부계약예규)
o 협상에 의한 계약체결기준(기획재정부계약예규)
o 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규)
o 하도급거래공정화지침(공정거래위원회예규)
o 정보보호조치에 관한 지침(과학기술정보통신부고시)
o 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회)
o 행정정보 공동이용 지침(행정안전부예규)
o 공공기관의 데이터베이스 표준화 지침(행정안전부고시)
o 공공데이터 공통표준용어(행정안전부고시)
o 공공데이터 관리지침(행정안전부고시)
o 모바일 전자정부 서비스 관리 지침(행정안전부예규)
o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시)
o 국가정보보안기본지침(국가정보원)
|
□ 서비스 접근 및 전달 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
|
|
|
|
○
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
외부 접근
장치
|
o 웹브라우저 관련
- HTML 4.01/HTML 5, CSS 2.1
|
○
|
|
|
|
|
|
- XHTML 1.0
|
|
|
|
○
|
|
|
- XML 1.0, XSL 1.0
|
|
|
|
○
|
|
|
- ECMAScript 3rd
|
|
|
|
○
|
|
|
- 한국형 웹 콘텐츠 접근성 지침 2.0
|
|
|
|
○
|
|
|
o 모바일 관련
- 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307)
|
|
|
|
○
|
|
|
서비스
요구사항
|
서비스관리(KS X ISO/IEC 20000)/ ITIL v3
|
|
|
|
○
|
|
|
서비스 전달
프로토콜
|
IPv4
|
○
|
|
|
|
|
|
IPv6
|
○
|
|
|
|
|
□ 인터페이스 및 통합 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 타기관과 연계가 가능한 웹서비스는 범정부 차원의 연계·활용이 가능하도록 지원하여야 한다.
|
|
|
|
○
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
서비스 통합
|
o 웹 서비스
- SOAP 1.2, WSDL 2.0, XML 1.0
|
|
|
|
○
|
|
|
- UDDI v3
|
|
|
|
○
|
|
|
- RESTful
|
|
|
|
○
|
|
|
o 비즈니스 프로세스 관리
- UML 2.0/BPMN 1.0
|
|
|
|
○
|
|
|
- ebXML/BPEL 2.0/XPDL 2.0
|
|
|
|
○
|
|
|
데이터 연계
|
o 데이터 형식 : XML 1.0
|
○
|
|
|
|
|
|
인터페이스
|
o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0
|
○
|
|
|
|
|
□ 플랫폼 및 기반구조 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
|
○
|
|
|
|
|
|
하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
네트워크
|
o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310
|
|
|
|
○
|
|
|
o 부가통신: VoIP
- H.323
|
|
|
|
○
|
|
|
- SIP
|
|
|
|
○
|
|
|
- Megaco(H.248)
|
|
|
|
○
|
|
|
운영체제 및
기반 환경
|
o 서버용(개방형) 운영 체제 및 기반환경 :
- POSIX.0
|
|
|
|
○
|
|
|
- UNIX
|
○
|
|
|
|
|
|
- Windows Server
|
○
|
|
|
|
|
|
- Linux
|
○
|
|
|
|
|
|
o 모바일용 운영 체계 및 기반환경
- android
|
|
|
|
○
|
|
|
- IOS
|
|
|
|
○
|
|
|
- Windows Phone
|
|
|
|
○
|
|
|
데이터베이스
|
o DBMS
- RDBMS
|
○
|
|
|
|
|
|
- ORDBMS
|
|
|
|
○
|
|
|
- OODBMS
|
|
|
|
○
|
|
|
- MMDBMS
|
|
|
|
○
|
|
|
시스템 관리
|
o ITIL v3 / ISO20000
|
|
|
|
○
|
|
|
소프트웨어 공학
|
o 개발프레임워크 : 전자정부 표준프레임워크
|
○
|
|
|
|
|
□ 요소기술 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
|
○
|
|
|
|
|
|
o 데이터는 데이터 연계 및 재사용, 데이터 교환, 데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
|
○
|
|
|
|
|
|
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정자치부장관에게 보고하고 행정자치부의“행정기관의 코드표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정자치부장관에게 표준 등록을 요청하여야 한다.
|
○
|
|
|
|
|
|
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
데이터 표현
|
o 정적표현 : HTML 4.01
|
○
|
|
|
|
|
|
o 동적표현
- JSP 2.1
|
○
|
|
|
|
|
|
- ASP.net
|
|
|
|
○
|
|
|
- PHP
|
|
|
|
○
|
|
|
- 기타 ( )
|
|
|
|
○
|
|
|
프로그래밍
|
o 프로그래밍
- C
|
○
|
|
|
|
|
|
- C++
|
○
|
|
|
|
|
|
- Java
|
○
|
|
|
|
|
|
- C#
|
|
|
|
○
|
|
|
- 기타 ( Python )
|
○
|
|
|
|
|
|
데이터 교환
|
o 교환프로토콜:
- XMI 2.0
|
○
|
|
|
|
|
|
- SOAP 1.2
|
○
|
|
|
|
|
|
o 문자셋
- EUC-KR
|
○
|
|
|
|
|
|
- UTF-8(단, 신규시스템은 UTF-8 우선 적용)
|
○
|
|
|
|
|
□ 보안 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된“서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
|
○
|
|
|
|
|
|
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 공인전자서명 또는 행정전자서명을 기반으로 하여야 한다.
|
|
|
|
○
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
관리적 보안
|
o 국가정보보안기본지침(국가정보원)
- 국가 사이버안전 매뉴얼
|
○
|
|
|
|
|
|
기술적 보안
|
o 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 정보보호제품)
- PKI제품
|
|
|
|
○
|
|
|
- SSO제품
|
|
|
|
○
|
|
|
- 디스크․파일 암호화 제품
|
|
|
|
○
|
|
|
- 문서 암호화 제품(DRM)등
|
|
|
|
○
|
|
|
- 메일 암호화 제품
|
|
|
|
○
|
|
|
- 구간 암호화 제품
|
|
|
|
○
|
|
|
- 키보드 암호화 제품
|
|
|
|
○
|
|
|
- 하드웨어 보안 토큰
|
|
|
|
○
|
|
|
- DB암호화 제품
|
|
|
|
○
|
|
|
- 상기제품(9종)이외 중요정보 보호를 위해 암호기능이 내장된 제품
|
|
|
|
○
|
|
|
o CC제품군(국제 CC인 경우 IT 보안인증사무국의 인증 필요)
- (네트워크)침입차단
|
|
|
|
○
|
|
|
- (네트워크)침입탐지
|
|
|
|
○
|
|
|
- (네트워크)침입방지
|
|
|
|
○
|
|
|
- 통합보안관리
|
|
|
|
○
|
|
|
- 웹 응용프로그램 침입차단
|
|
|
|
○
|
|
|
- DDoS 대응
|
|
|
|
○
|
|
|
- 인터넷 전화 보안
|
|
|
|
○
|
|
|
- 무선침입방지
|
|
|
|
○
|
|
|
- 무선랜 인증
|
|
|
|
○
|
|
|
- 가상사설망
|
|
|
|
○
|
|
|
- 네트워크 접근통제
|
|
|
|
○
|
|
|
- 네트워크 자료유출방지
|
|
|
|
○
|
|
|
- 망간 자료전송
|
|
|
|
○
|
|
|
- 안티 바이러스
|
|
|
|
○
|
|
|
- 매체제어
|
|
|
|
○
|
|
|
- PC 침입차단
|
|
|
|
○
|
|
|
- PC 가상화
|
|
|
|
○
|
|
|
- 서버 가상화
|
|
|
|
○
|
|
|
- 패치관리
|
|
|
|
○
|
|
|
- 호스트 자료유출 방지
|
|
|
|
○
|
|
|
- 스팸메일 차단
|
|
|
|
○
|
|
|
- 서버 접근통제
|
○
|
|
|
|
|
|
- DB접근 통제
|
|
|
|
○
|
|
|
- 스마트카드
|
|
|
|
○
|
|
|
- 소프트웨어기반 보안USB
|
|
|
|
○
|
|
|
- 복합기 완전삭제
|
|
|
|
○
|
|
|
- 소스코드 보안약점 분석도구
|
|
|
|
○
|
|
|
- 스마트폰 보안관리
|
|
|
|
○
|
|
1. 공통사항
사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행중은 물론 사업완료 후에도 이를 외부에 유출해서는 안되며, 사업종료시 에는 완전 폐기 또는 반납해야 한다.
사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 ‘누출금지 대상정보’에 대한 보안관리 계획을 사업제안서에 기재하여야 하며, 해당 정보 누출시 발주기관은 국가계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록한다.
|
|
< 누출금지 정보 >
|
|
|
|
|
|
① 해당 기관의 정보시스템 내․외부 IP주소 현황
② 정보시스템 구성현황 및 정보통신망 구성도
③ 개별 사용자의 계정․비밀번호 등 정보시스템 접근권한 정보
④ 정보통신망 또는 정보시스템 취약점 분석․평가 결과물
⑤ 정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)
⑥ 암호자재 및 정보보호시스템 도입·운용 현황
⑦ 정보보호시스템 및 네트워크장비 설정 정보
⑧ ‘공공기관의 정보공개에 관한 법률’ 제9조제1항에 따라 비공개 대상 정보로 분류된 해당 기관의 내부문서
⑨ ‘개인정보보호법’ 제2조제1호에 따른 개인정보
⑩ ‘보안업무규정’ 제4조에 따른 비밀 및 동규정 시행규칙 제16조제3항에 따른 대외비
⑪ 그 밖에 해당 기관의 장이 공개가 불가하다고 판단한 자료
|
사업자는 발주기관의 보안정책(과기정통부 정보보안기본지침 등)을 준수하여야 하며, 이를 위반하였을 경우 위규처리기준(붙임 1)에 따라 관련자에 대하여 조치하고 보안위약금 부과기준(붙임 2)에 따라 손해배상 책임을 진다.
정보시스템 신규 구축 사업의 경우, 최종산출물(정보시스템, 홈페이지 등)에 대해 정보보안 전문가 또는 전문 보안 점검도구를 활용하여 보안 취약점을 점검하고, 도출된 취약점에 대해 개선 완료한 결과를 제출해야 한다.
2. 참여인원에 대한 보안관리
용역사업 참여인원중 보안책임관을 지정하여 발주기관의 승인을 받아야 한다.
용역사업 참여인원은 보안서약서에 자필서명 후, 발주기관에 제출하여야 한다.
참여인원에 대하여 계약 후 1개월 이내에 발주기관에서 직접 진행하는 비밀유지 의무·준수·누출금지대상정보·위반시 처벌내용 등을 포함하는 사전 보안교육을 받아야한다.
용역사업 참여인원은 업체 임의로 교체할 수 없으며, 신상변동(해외여행 포함)사항 발생 즉시 보고하여야 한다.
참여인원에 대하여 월1회 정보보안교육을 수행하고, 교육결과에 대하여 발주기관의 확인을 받아야 한다.
3. 자료에 대한 보안관리
사업수행으로 생산되는 산출물 및 기록은 보안책임관이 인가하지 않은 자에게 제공․대여․열람을 금지한다.
사업관련 자료 및 사업과정에서 생산된 산출물은 보안책임관이 지정한 PC 등(반드시 인터넷과 분리)에 저장․관리하여야 하며, 계정관리 및 계정별 접근권한 부여 등을 통하여 접근을 제한하여야 한다.
제안요청서 등에 명시한 누출금지 대상정보를 사용할 경우 자료관리 대장을 작성하여 인계․인수자가 직접 서명한 후 사용하고, 사업완료시 관련 자료는 반드시 반납하여야 한다.
비밀문서(대외비 포함)는 매일 퇴근시 반납하여야 하며, 비밀문서를 제외한 일반문서는 제공된 사무실에 시건장치가 된 보관함이 있을 경우 보관함에 보관할 수 있다.
사업관련 자료는 인터넷 웹하드․P2P 등 인터넷 자료연계사이트 및 개인메일함 저장을 금지하고 발주기관과 사업수행업체간 자료전송이 필요한 경우는 자사 전자우편을 이용하여 송․수신하고 메일을 확인하는 즉시 삭제하여야 한다.
※ 다만, 대외비 이상의 비밀은 전자우편으로 송수신 금지
사업완료 후 생산된 최종 산출물은 인수․인계서를 통하여 발주기관에 반납하고, PC 완전삭제 등 보안조치를 통해 사업관련 산출물(중간산출물 포함)을 모두 삭제하여야 하며, 대표자 명의 확약서를 발주기관에 제출하여야 한다.
※ 확약서 제출 시 산출물 인수․인계서와 자료삭제기록(날짜가 포함된 증빙사진 등)을 제출하여야 한다.
4. 사무실․장비에 대한 보안관리
사업을 수행하는 장소(이하 사업장)는 CCTV·시건장치 등 비인가자 출입통제대책이 마련된 사무실을 사용하여야 한다.
사업장에 대하여 일일보안점검 및 월1회 보안점검을 실시하여야 하고, 발주기관의 확인을 받아야 한다.
사업장에서 사용하는 모든 정보시스템에 대하여 정보시스템 관리대장을 작성하고 변경사항에 대해 현행화하여야 한다.
사업장의 PC에 대하여 월1회 “내PC 지키미” 수행 여부를 확인하고 수행결과 미흡사항에 대해 개선결과를 확인하여야 한다.
사업장의 정보시스템에 바이러스 백신 정품 SW를 설치하고, 자동 업데이트, 실시간 점검을 수행하는 지 수시로 점검하여야 한다.
사업 참여인원의 비인가 휴대용 저장매체(USB, CD/DVD, 스마트폰, 태블릿 PC, MP3 등)가 사업장내 정보시스템에 연결되는 것을 기술적으로 차단하고, 월1회 정상동작 여부를 점검․조치하여야 한다.
※ CD-RW 등의 보조기억매체는 발주기관과의 상호협의하여 제한된 PC에서만 사용하여야 한다.
정보시스템(휴대용 저장매체 포함)을 외부에 반출․입하는 경우, 반입 시에는 악성코드 감염여부를, 반출 시에는 자료무단 반출여부를 확인하고 정보시스템 반․출입 대장에 기록하여야 한다.
※ 사업 종료시 PC, 보조기억매체 등 저장장치는 완전삭제 후 반출하여야 한다.
사업 참여인원의 노트북 사용을 금지한다.
※ 불가피하게 노트북을 사용하여야하는 경우에는 고정장치를 사용하여야 하며, 고정장치 비밀번호는 발주기관이 관리하고 발주기관의 승인하에 반ㆍ출입하여야 한다.
5. 내․외부망 접근에 대한 보안관리
발주기관이 사용중인 클라우드 서버 내에서, 사업과 관련 없는 타 서버에 접근을 금지한다.
사업 참여인원이 발주기관의 정보시스템에 접근하는 경우
- 사용자 계정은 하나의 그룹으로 등록하고 계정별로 접근권한을 차등 부여하되 기관내부문서의 접근을 금지하여야 한다.
- 계정별로 부여된 접근 권한은 불필요시 즉시 권한을 해지하거나 계정을 폐기하여야 한다.
- 계정별 패스워드는 보안정책(숫자, 영문자, 특수문자 등을 혼합하여 9자리 이상)에 부합되어야 하며 보안책임자가 별도로 기록 관리하여 변경이력을 수시로 확인하여야 한다.
- 원격작업은 보안상 제한되며 부득이한 경우, 보안대책마련 후 발주기관의 승인을 득하여 한시적으로 사용한다.
[붙임1]
사업자 보안위규 처리기준
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
심 각
|
1. 비밀 및 대외비 급 정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보·신상정보 목록 유출
다. 비공개 항공사진·공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 구축 결과물에 대한 외부 유출
다. 시스템 내 인위적인 악성코드 유포
|
◦사업참여 제한
◦위규자 및 직속 감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
중 대
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
마. 참여인원에 대한 보안서약서 미징구 및 교육 미실시
2. 사무실(작업장) 보안관리 허술
가. 출입문을 개방한 채 퇴근 등
나. 인가되지 않은 작업자의 내부 시스템 접근
다. 통제구역 내 장비·시설 등 무단 사진촬영
3. 전산정보 보호대책 부실
가. 업무망 인터넷망 혼용사용, USB 등 보조기억매체 기술적 통제 미흡
나. 웹하드·P2P 등 인터넷 자료연계사이트를 활용하여 용역사업 관련 자료 수발신
다. 개발·유지보수 시 원격작업 사용
라. 저장된 비공개 정보 패스워드 미부여
마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장
바. 외부용 PC를 업무망에 무단 연결 사용
사. 보안관련 프로그램 강제 삭제
아. 제공된 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
자. 바이러스 백신 정품 S/W 미설치
|
◦위규자 및 직속감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
보 통
|
1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 중요정보에 대한 자료 인수․인계 절차 미 이행
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 출입키를 책상위 등에 방치
3. 보호구역 출입 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 불순응
4. 전산정보 보호대책 부실
가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근
나. 네이트온 등 비인가 메신저 무단 사용
다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
마. PC 비밀번호를 모니터옆 등 외부에 노출
바. 비인가 보조기억매체 무단 사용
사. 정보시스템 반입시 바이러스 백신 미검사 또는 반출시 자료 삭제 미확인
아. 바이러스 백신 최신 업데이트 또는 정밀점검 미실시
|
◦위규자 및 직속 감독자 등 경징계
◦위규자 및 직속 감독자 사유서 /경위서 징구
◦위규자 대상 특별보안교육 실시
|
|
경 미
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 경보ㆍ보안장치 작동 불량
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
다. PC 월1회 보안 점검 미이행
|
◦위규자 서면ㆍ구두 경고 등 문책
◦위규자 사유서 / 경위서 징구
|
※ 사업자 보안위규 처리 절차
|
경위 확인
|
▶
|
보안위규 처리기준에 따라 조치
|
▶
|
재발방지 대책
|
▶
|
보안조치 이행여부 점검
|
[붙임2]
보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분
|
위규 수준
|
|
A급
|
B급
|
C급
|
D급
|
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
|
위약금
비중
|
부정당업자 등록
|
건당 500만원
|
300만원
|
100만원
|
※ A급은 국가계약법 시행령 제76조에 따라 부정당업자로 지정하여 입찰참가를 제한
* 위약금 규모는 사업규모에 따라 조정하되, 위 기준금액을 하한 금액으로 적용
* 위규 수준은〔붙임 1〕참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과
* 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
3. 사업 종료시 지출금액 조정을 통해 위약금 정산
1. 사업 설명회
별도 실시하지 않음
2. 입찰에 부치는 사항
사 업 명 : 핵더챌린지 분석플랫폼 시스템 기능 강화
사업범위 : “Ⅱ 제안요청 내용” 참조
사업기간 : 계약체결일로부터 8개월
제안서 제출기한 및 장소
- “입찰공고문” 참조
예 산 액 : 210,000,000원 (부가세 포함)
3. 입찰 참가자격
국가를 당사자로 하는 계약법 시행령 제12조에 의한 경쟁 입찰자격소지자
국가를 당사자로 하는 계약법 시행규칙 제76조의 규정에 의한 부정당업자로 입찰참가자격 제한을 받은 업체는 제외
대기업인 소프트웨어 사업자가 참여할 수 있는 사업금액의 하한(과학기술정보통신부 고시) 적용 대상 기관이어야 함
「중소기업기본법」제2조에 따른 중·소기업자 또는「소상공인 보호 및 지원에 관한 법률」제2조에 따른 소상공인으로서「중소기업 범위 및 확인에 관한 규정」에 따라 발급된 <중·소기업·소상공인 확인서>를 소지한 자
본 사업은 총 예산 20억 미만의 사업으로 소프트웨어산업 진흥법 제24조의2(중소 소프트웨어사업자의 사업참여 지원) 및 대기업인 소프트웨사업자가 참여할 수 있는 사업금액의 하한(과학기술정보통신부고시)에 따라 대기업 및 중견기업은 참여할 수 없으며, 중소 소프트웨어사업자(소프트웨어사업자 관리확인서 상 ‘공공소프트웨어사업 입찰참여 제한금액 없음’으로 확인)만 입찰참가 가능
소프트웨어진흥법 제 58조에 의한 소프트웨어사업자(컴퓨터관련 서비스업)
-「소프트웨어 진흥법」제48조(중소 소프트웨어사업자의 사업 참여 지원)에 따른 「중소 소프트웨어사업자의 사업 참여 지원에 관한 지침」준수
-「소프트웨어 진흥법」제48조제4항에 따라 상호출자제한기업진단 소속회사의 입찰 참여 제한
「중소기업제품 구매촉진 및 판로지원에 관한 법률」 제9조 및 같은 법 시행령 제10조에 의한 직접생산증명서(입찰마감일 전일까지 정보시스템개발서비스 분야로 발행된 것으로 유효기간 내에 있어야 함)를 소지한 업체
※ 직접생산증명서의 유효기간을 반드시 확인하여 입찰하여야 하며 입찰마감시점에 유효기간이 지난 서류는 인정하지 않음
- 판로지원법 제33조 제1항에 의거 중소기업자로 간주되는 특별법인 포함
※ 특별법인의 경우 해당 자격을 증빙할 수 있는 관련 서류를 추가로 제출하여야 함
4. 입찰 관련사항
입찰보증금 및 국가귀속
- 국가를 당사자로 하는 계약에 관한 법률 시행령 제37조 및 제38조의 규정에 의함
※ 낙찰자가 계약을 체결하지 않을 경우 입찰보증금은 국고에 귀속됨
입찰 및 계약방법
- 계약방법 : 협상에 의한 계약체결
· 국가를 당사자로 하는 계약에 관한 법률 시행령 제43조
· 「소프트웨어 진흥법」제49조 제1항, 같은 법 시행령 제44조
제1항에 따라 협상에 의한 계약체결방식 적용
· 협상에 의한 계약체결 기준 (기획재정부 계약예규)
사업자 선정
- 기술평가 점수가 기술평가 분야 배점한도의 85%(76.5점) 이상인자를 협상 적격자로 선정
- 협상순서는 제1항에 따른 협상적격자의 기술평가 점수와 가격평가 점수를 합산하여 합산점수의 고득점순에 따라 결정
· 합산점수가 동일한 제안자가 2인 이상일 경우에는 기술평가 점수가 높은 제안자를 선순위자로 하고, 기술평가 점수도 동일한 경우에는 기술능력의 세부평가항목 중 배점이 큰 항목에서 높은 점수를 얻은 자를 선순위자로 함
하도급 제한
- 본 사업은 하도급을 불허함
공동수급 관련
- 입찰참가자가 공동수급체를 구성 할 경우 공동이행방식만을 허용하며, 공동수급체 구성원 각각 본 입찰에서 요구하는 입찰참가자격을 갖추어야 합니다.
- 입찰 시 공동수급협정서를 제출하여야 하며, 입찰서를 제출한 후에는 공동수급협정서를 제출 할 수 없습니다.
- 공동수급업체는 중복 결성하여 입찰에 참여할 수 없으며, 공동수급체 구성원은 국가를 당사자로 하는 계약에 관한 법률 시행령 제12조(경쟁입찰의 참가자격) 및 동법 시행규칙 제14조 규정에 저촉되지 않아야 합니다.
- 기획재정부 계약예규 공동계약운용요령 제9조에 의거 공동수급체 구성원은 대표사를 포함하여 5개 이하로 구성하여야 하며, 구성원별 계약참여 최소지분율은 10% 이상으로 하여야 합니다.
- 공동수급체 소속 외의 인력은 하도급으로 간주하며, 발주기관의 승인을 얻지 못할 경우에는 공동수급체 구성원 자사인력으로 대체하여야 합니다.
* 단, 외부 자문인력 등 통상적인 개발인력이 아닌 경우는 참여인력에서 제외
- 공동수급 구성원 중 정당한 이유 없이 공동계약이행계획서에 따라 실제 계약에 참여하지 아니하는 구성원에 대해 부정당업자로 제재조치 등 입찰참가자격을 제한합니다.
5. 제출서류
제출서류 : “입찰공고문” 참조
- 제안서 1부, 제안요약서 1부 등
※ 본 사업은 평가위원이 KISA전자계약시스템을 통한 온라인으로 서면평가를 진행할 예정이므로 별도의 제안서 발표는 없습니다.
※ 입찰참가 등록마감 일시 이후 제안서 제출 및 수정은 불가능 하며 기한 내 제출된 제안서만으로 평가합니다.
제출 기한 및 방법 : “입찰공고문” 참조
사업 관련 문의처 : 취약점분석팀 박지희 책임연구원 ☏ (02-405-4864)
6. 제안서의 효력 및 유의사항
제안서의 효력
- 제안된 제안서의 내용은 발주기관이 요청하지 않는 한 변경할 수 없으며, 계약체결시 계약조건의 일부로 간주함
- 발주기관은 입찰참가자에 대하여 추가 자료를 요청할 수 있으며, 이에 따라 제출된 자료는 제안서와 동일한 효력을 가짐
유의사항
- 제출된 서류는 일체 반환하지 않으며, 본 제안과 관련된 일체의 소요비용은 입찰참가자의 부담으로 함
- 제안사는 본 사업에 대한 제반사항을 사전에 충분히 숙지하고 제안에 임한 것으로 간주함
- 제안내용에 대한 확인을 위하여 추가자료 요청 또는 현지실사를 할 수 있으며, 입찰참가자는 이에 응하여야 함
- 제안서의 내용을 객관적으로 입증할 수 있는 관련 자료는 제안서의 별첨으로 제출하여야 함
- 낙찰자로 결정된 이후에 컨소시엄을 구성하거나 하청 또는 재하청 할 수 없으며, 발견될 경우 사업취소와 아울러 이에 대한 제반사항을 변상하여야 함
- 과제 수행 완료 후 사업 수행결과가 불량한 경우 향후 한국인터넷진흥원 추진 사업의 참여에 제한 받을 수 있음
- 제안서는 허위나 단순예상으로 작성하여서는 안되며, 모든 기재사항을 객관적으로 입증할 수 있어야 하고, 허위로 작성한 사실이 발견될 경우 심사대상에서 제외될 수 있음
- 본 사업은 「소프트웨어 진흥법」 제50조에 따른 과업내용 확정을 위하여 과업심의위원회를 개최한 사업임
※ 붙임2「용역사업 기간 적정성 평가 및 과업 심의 결과」참조
- 본 사업은 「소프트웨어 진흥법」 제50조, 같은 법 시행령 제47조 제1항 제2호, 제3호에 따른 과업내용 변경 및 그에 따른 계약금액·계약기간 조정이 필요한 경우, 계약상대자는 한국인터넷진흥원의 장에게 소프트웨어사업 과업변경요청서*를 제출하여 과업심의위원회 개최를 요청할 수 있으며, 한국인터넷진흥원의 장은 과업심의위원회 개최요청에 대해서 특별한 사정이 없으면 수용해야 함
※「소프트웨어사업 계약 및 관리감독에 관한 지침」 별지 13호서식 참조
- 본 사업은 소프트웨어 개발사업 적정 사업기간 산정 기준에 따른 사업임
※ 붙임2「용역사업 기간 적정성 평가 및 과업 심의 결과」참조
- 본 사업은 소프트웨어 진흥법」 제43조, 같은 법 시행령 제35조 내지 제37조, 「소프트웨어사업 계약 및 관리감독에 관한 지침」 제5조, 제6조에 따라 소프트웨어사업 영향평가를 미리 실시한 사업임
※ 붙임3「소프트웨어사업 영향평가 결과서」참조
7. 안전 및 보건 준수사항
제안사는 본 과업에 참여하는 인력의 안전 및 보건 확보를 위해 「산업안전보건법」제4조(사업주 등의 의무) 및「중대재해처벌법」제4조(사업주와 경영책임자등의 안전 및 보건 확보의무)에 따른 의무를 준수하여야 한다.
제안사는 본 과업에 참여하는 인력이 산업안전보건법 제51조(사업주의 작업중지)에 따라 산업재해 발생 등의 위험이 있을 경우 작업 또는 업무를 즉시 중지시키고 안전·보건에 관하여 필요한 조치를 하여야 한다.
제안사는 산업안전보건법 제57조(산업재해 발생 은폐 금지 및 보고 등)에 따라 산업재해가 발생 할 경우 그 사실을 은폐하여서는 아니 되고 관련 사항을 기록·보존 및 발주기관에 통지하여야 한다.
제안사는 산업안전보건법 제29조(근로자에 대한 안전보건교육)에 따라 소속 종사자에게 안전·보건교육을 정기적으로 실시하여야 한다.
제안사는 산업안전보건법 제64조(도급에 따른 산업재해 예방조치) 제1호에 따라 발주기관 내 상주하는 참여인력이 있을 경우 안전보건협의체에 참여해야 한다.
제안사는 한국인터넷진흥원 안전보건관리규정 제23조(작업전안전조치) 및 제23조의2(작업허가)에 따라 원 내 일반·고소·화기·밀폐·전기(정전)·중장비사용 작업을 수행할 경우 사업담당자 및 해당 부서의 관리감독자는 진흥원 안전관리담당자와 작업 전 안전점검을 하고 작업 허가를 받아야 합니다.
제안사는 발주기관 내 상주하는 참여인력이 있을 경우 진흥원의 안전·보건 활동(대피 훈련, 안전점검 등)에 대한 협조 요청 시 이에 적극적으로 협조하여야 한다.
8. 기타사항
제안서에 명시된 내용과 협상시 발주기관의 요구에 의하여 수정·보완·변경된 제안내용은 계약서에 명시하지 않더라도 계약서와 동일한 효력을 가짐. 단, 계약서에 명시된 경우는 계약서의 내용이 우선함
발주기관은 협상 시 추가 자료를 요구할 수 있으며, 제출된 자료는 제안서와 동일한 효력을 가짐(기술평가를 위한 제안설명 및 답변자료, 기술협상 내용 포함)
발주기관의 조치나 기타 불가항력적인 환경변화로 본 제안서의 일부 또는 전부가 변경되거나 취소되는 경우 관련 법령 또는 예규에 따라 처리함
추가자료 요청시 제안업체는 이에 성실히 임하여야 하며, 미제출시 불이익에 대한 책임은 제안사가 짐
제안서 평가는 발주기관의 평가기준에 의하여 평가하며, 세부적인 평가항목 및 결과는 공개는 협상에 의한 계약체결 기준에 의함
1. 제안서 작성일반
제안서는 한글작성이 원칙이며 사용된 영문약어에 대하여 약어를 제공하여야 함
제안서의 내용은 명확한 용어로 표현하고 계량화가 가능한 것은 계량화하여야 함
제안서의 모든 내용은 객관적으로 입증할 수 있어야 하며, 그 내용이 허위로 확인될 경우 또는 발주기관의 입증 요구를 충족하지 못하는 경우는 평가대상에서 제외될 수 있음
제안내용을 보충하기 위하여 참고문헌 활용시 참고문헌 목록을 첨부하고 그 출처를 정확히 알 수 있도록 표기하여야 함
제출된 제안서의 내용은 발주기관이 요청하지 않는 한 변경할 수 없으며, 계약체결시의 계약조건의 일부로 간주함
계약 후 제안서의 내용이 허위로 작성한 사실이 판명되거나 제안된 내용을 충족시키지 못할 경우 제안업체는 일체의 손해배상 책임을 져야 함
2. 제안서 작성요령
가. 제안서의 목차
Ⅰ. 제안개요
1. 제안의 배경 및 목적
2. 제안 범위
3. 제안의 특․장점
4. 기대효과
Ⅱ. 제안업체 일반 부문
1. 일반현황
2. 주요 사업내용
Ⅲ. 기술 부문
1. 대상사업의 대한 이해
2. 추진 전략
3. 과제별 세부 수행계획 (필요 시 관련자료 별첨)
Ⅳ. 사업관리 부문
1. 추진 일정계획
2. 수행조직 및 업무분장
3. 품질보증계획
Ⅴ. 지원 부문
1. 하자보수지원사항
2. 기타사항
Ⅵ. 안전 및 보건 준수사항
1. 비상대응계획
2. 산업재해 예방 계획
3. 산업재해 예방 교육 계획
※ 제안사가 중요하다고 생각되는 목차 및 내용 추가 가능
나. 제안서 작성방법
|
작 성 항 목
|
작 성 방 법
|
|
Ⅰ. 제안개요
|
제안업체는 본 사업의 제안내용을 명확하게 이해하고, 본 제안의 목적, 범위 및 제안의 특․장점을 요약하여 기술하여야 한다.
|
|
Ⅱ. 제안업체 일반 부문
|
|
|
1. 일반현황
|
제안업체는 일반현황 및 주요연혁, 최근 3년간 자본금 및 부문별 매출액 등을 명료하게 제시하여야 한다.
|
|
2. 주요 사업내용
|
제안업체의 주요 사업내용을 분야별로 구분하여 제시하여야 한다.
|
|
Ⅲ. 기술 부문
|
|
|
1. 대상사업에 대한이해
|
본사업의 목표인 한국인터넷진흥원이 요구하는 바를 개념도, 구성도 등을 활용하여 구체적으로 기술하여야 한다.
|
|
2. 추진 전략
|
‘Ⅱ. 제안 요청 내용’의 세부 과제를 성공적으로 수행하기 위한 방법론 등 추진 전략을 기술하여야 한다.
|
|
3. 과제별 세부 수행계획
|
‘Ⅱ. 제안 요청 내용’의 세부 과제에 대한 수행계획을 구체적으로 제시하여야 한다.
|
|
Ⅳ. 사업관리 부문
|
|
|
1. 추진 일정계획
|
사업기간 내 'Ⅱ. 제안요청 내용'을 수행 완료할 수 있음을 기술하여야 한다.
|
|
2. 수행조직 및 업무분장
|
본 사업을 수행할 제안업체의 조직 및 업무분장 내용을 상세히 제시하여야 한다.
|
|
3. 품질보증계획
|
사업 산출물의 품질보증을 위해 사업기간 동안 이루어질 보고 및 검토계획을 상세하게 제시하여야 한다.
※ 주간, 월간, 수시 보고, 단계별 검토회의 등
|
|
Ⅴ. 지원 부문
|
|
|
1. 하자보수 지원사항
|
본사업의 목표 및 과제 내용을 참고하여 제안업체에서 하자보수 지원방안을 구체적으로 제시하여야 한다.
|
|
Ⅵ. 안전 및 보건 준수사항
|
|
|
1. 비상대응계획
|
비상시 대피 및 피해 최소화를 위한 비상대응계획 제시해야 한다.
※비상대응 시나리오, 연락망, 비상대응 조직도 등 대응계획 수립여부 및 대응계획의 적절성
|
|
2. 산업재해 예방 계획
|
산업재해 발생 예방을 위한 산업재해예방 계획 수립 및 목표 제시해야 한다.
※ 안전보건조직 보유 여부 및 근로자 건강진단∙건강유지 등 안전보건 활동
|
|
3. 산업재해 예방 교육 계획
|
산업안전보건 관련 법정 교육 준수여부 및 현황 관리 제시해야 한다.
※ 법정 산업안전보건 교육(사무직 분기별 3시간, 그 외 업종 6시간) 준수 및 수료증 등 이수자 현황 관리
|
다. 제안시 유의사항
주 사업자는 사업추진, 품질보증 등의 전체적 사업수행에 대한 권한을 갖고 모든 책임을 짐
1. 평가 원칙
제안서 평가 실시 : “입찰공고문” 참조
제안서 평가 일시 및 장소 : “입찰공고문” 참조
「협상에 의한 계약체결기준(계약예규)」에 의하여 기술평가 점수 90%, 가격평가 점수 10%를 적용하여 평가한 후 고득점 순으로 협상에 임함
평가결과에 대하여 제안업체는 이의를 제기할 수 없으며, 평가항목 및 제안서에 기재되지 않는 사항은 평가하지 않음
2. 기술 평가
기술제안서 평가항목 및 배점
|
평가부문
|
평가항목
|
평가 요소
|
배점기준
|
|
전략 및 방법론
(30)
|
사업 이해도(10)
|
-사업의 목표 및 특성을 명확히 이해했는지 여부
|
10점
|
|
추진 전략(10)
|
-구축 및 유지관리 업무 수행 시 위험요소를 고려하여 창의적이고 타당한 제안 제시 여부
|
10점
|
|
개발 방법론(10)
|
-적정한 방법론의 제안 타당성
-효율적인 단계별 활동 내용 구성, 기술 적정성
|
10점
|
|
기술 및 기능
(30)
|
기능 내용 요구사항(10)
|
-기능에 대한 내용 방안이 구체적으로 분석되고 기술되어 있는지 여부
|
10점
|
|
기능 구현
요구사항(10)
|
-기능에 대한 구현 방안이 구체적으로 분석되고 기술되어 있는지 여부
|
10점
|
|
관리
요구사항(10)
|
-기술지원 등 관리 요구사항에 대한 내용 및 실행 방안이 구체적으로 분석되고 기술되어 있는지 여부
|
10점
|
|
프로젝트 관리
(10)
|
일정계획(5)
|
-사업수행에 필요한 일정도출 및 실행 방안이 구체적이고 실행가능한지 여부
|
5점
|
|
품질 요구사항(5)
|
-장애예방 및 대응에 대한 내용 및 실행 방안이 구체적이고 실행가능한지 여부
|
5점
|
|
프로젝트 지원
(20)
|
안정화(5)
|
-시스템 구축 후 안정화 계획에 대한 내용 및 실행 방안이 구체적이고 실행가능한지 여부
|
5점
|
|
교육훈련(5)
|
-시스템 구축 후 구축사항 내용 전수에 대한 실행 방안이 구체적이고 실행가능한지 여부
|
5점
|
|
하자보수(5)
|
-하자보수 및 유지관리 계획에 대한 내용 및 실행 방안이 구체적이고 실행가능한지 여부
|
5점
|
|
보안준수(5)
|
-사업 수행 시 지켜야하는 보안 요구사항에 대한 내용 및 실행 방안이 구체적이고 실행가능한지 여부
|
5점
|
|
산업재해 예방조치
(10)
|
비상대응계획(4)
|
- 비상대응계획(비상대응 시나리오, 비상연락망, 비상대응 조직도 및 대응절차 등) 수립 및 대응계획의 구체성
|
4점
|
|
산업재해 예방계획(3)
|
- 산업재해예방 계획(안전보건조직, 역할, 책임, 근로자 건강진단 및 건강유지 등) 수립 및 목표 등의 구체성
|
3점
|
|
산업재해예방 교육 계획(3)
|
- 법정 산업안전보건교육 준수 여부(사무직 : 분기별 3시간, 그 외 업종 6시간) 및 이수자 현황관리(수료증 보관 등)의 적정성과 구체성
|
3점
|
※ 90점 만점으로 환산한 점수로 평가
※ 상기 평가기준은 “소프트웨어 기술성 평가기준(과학기술정보통신부고시)”을 준용함
3. 가격 평가
협상에 의한 계약체결 기준 (계약예규)에 준함
4. 낙찰자 결정 방식
협상에 의한 계약
기술평가(90%), 가격 평가(10%)
제안서 평가점수(평가위원별 최고․최저점수 제외)가 배점한도 이상인 자를 협상적격자로 선정한 후, 종합평가점수(제안서 평가점수+가격 평가점수) 합계가 1순위인 업체를 선정
※ 단, 협상적격자는 제안서 평가 배점한도의 85% 이상인 업체로 한함
※ 기술부문 평가점수도 동일한 경우 기술부문의 세부평가항목 중 배점이 큰 항목에서 높은 점수를 얻은 업체가 선순위자
차등점수제 적용 여부 : 적용
- 본 사업은 계약예규 협상에의한계약체결기준 제7조제6항 및 한국인터넷진흥원 계약자선정평가지침에 따른 차등점수제(순위 간 점수차 2점)을 적용하여 평가합니다.
* 상기 규정에서 정의되지 아니한 사항은 「조달청 협상에 의한 계약 제안서평가 세부기준」 제9조제10항 별표19를 준용하여 적용 할 수 있습니다.
- 1순위자에게는 기술능력평가 배점한도(90%)를 부여하고 차순위부터는 순차적으로 순위 간 점수차를 감한 점수를 부여합니다. 다만, 원점수 기준의 순위별 점수차가 차등점수차 보다 큰 경우에는 원점수의 점수차를 감한 점수를 부여합니다.
- 기술능력평가 결과 점수가 동일한 제안자가 2인 이상인 경우 동일순위로 평가하여 점수를 산정하고, 그 다음 순위자의 평가점수는 상기 방법에 따른 후순위 점수 산정방법에 따라 점수를 부여합니다.
- 협상적격자는 원기술능력 평가 점수가 기술능력 평가 배점한도(90%)의 85% 이상인 자를 협상적격자로 선정합니다.
- 협상순서는 기술능력 평가(90%) 및 입찰가격평가(10%)를 종합 평가 한 결과 합산점수 고득점자 순으로 진행합니다.
- 합산점수가 동일한 제안사가 2인 이상일 경우, 기술능력 평가점수가 높은 자를 우선순위자로 하고, 기술능력 평가점수도 동일한 경우에는 기술능력의 세부평가항목 중 배점이 큰 항목에서 높은 점수를 얻은 자를 우선순위자로 정합니다.
○ 기술능력 정성평가 시 각 세부평가항목은 5단계 등급(매우우수 100%, 우수 90%, 보통 80%, 미흡 70%, 매우미흡 60%) 중 어느 하나의 등급으로 평가 후 아래 기준에 따른 점수로 환산하며, 세부평가항목별로 환산 된 점수를 합산하여 평가항목별 점수를 산출합니다.
< 세부평가항목별 등급별 환산 점수 >
|
등급
|
매우우수
|
우수
|
보통
|
미흡
|
매우미흡
|
|
점수
|
배점의 100%
|
배점의 90%
|
배점의 80%
|
배점의 70%
|
배점의 60%
|
○ 평가위원의 평가점수 중 최저 및 최고 점수를 제외(최저 또는 최고 점수가 2개 이상인 경우 이 중 하나만 제외)한 후 나머지 점수를 산술평균하여 90점 만점으로 환산하여 평가점수를 부여합니다.(소수점 다섯째자리에서 반올림하여 넷째자리까지 계산)
5. 기타
입찰서 제출 마감일 이후 발생, 신고 또는 수정된 자료는 평가에서 제외됨
[붙임 1] 용역사업 기간 적정성 평가 및 과업심의 결과
[붙임 2] 소프트웨어사업 영향평가 결과서
[첨부1]
제안사 일반현황
□ 일반사항
|
법 인 명
|
|
대표자
|
|
|
사업의 종류
(업태, 종목)
|
|
|
주 소
|
|
|
연 락 처
|
전 화
|
|
FAX
|
|
|
회사설립년월일
|
|
|
해당부문 사업기간
|
. . . ~ . . . ( 년 월)
|
|
회 사 연 혁
|
|
|
기 타 사 항
|
|
□ 인원현황
□ 조직도
주> 공동수급 방식인 경우 주사업자 및 부사업자별 별지로 작성하되, 조직도 중
본 사업에 참여하는 부서를 표시
[첨부2]
기술적용결과표
[ ] 기술적용계획표, [ ] 기술적용결과표
□ 법률 및 고시
|
구분
|
항 목
|
|
법률
|
o 지능정보화 기본법
o 공공기관의 정보공개에 관한 법률
o 개인정보 보호법
o 소프트웨어 진흥법
o 인터넷주소자원에 관한 법률
o 전자서명법
o 전자정부법
o 국가정보원법
o 정보통신기반 보호법
o 정보통신망 이용촉진 및 정보보호 등에 관한 법률
o 통신비밀보호법
o 국가를 당사자로 하는 계약에 관한 법률
o 하도급거래 공정화에 관한 법률
o 지방자치단체를 당사자로 하는 계약에 관한 법률
o 공공데이터의 제공 및 이용 활성화에 관한 법률
|
|
고시 등
|
o 보안업무규정(대통령령)
o 사이버안보 업무규정(대통령령)
o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령)
o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시)
o 전자서명인증업무 운영기준(과학기술정보통신부고시)
o 전자정부 웹사이트 품질관리 지침(행정안전부고시)
o 정보보호시스템 공통평가기준(미래창조과학부고시)
o 정보보호시스템 평가·인증 지침(과학기술정보통신부고시)
o 정보시스템 감리기준(행정안전부고시)
o 전자정부사업관리 위탁에 관한 규정(행정안전부고시)
o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규)
o 행정전자서명 인증업무지침(행정안전부고시)
o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시)
o 개인정보의 안전성 확보조치 기준(개인정보보호위원회)
o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회)
o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규)
o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규)
o 표준 개인정보 보호지침(개인정보보호위원회)
o 엔지니어링사업대가의 기준(산업통상자원부고시)
o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시)
o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시)
o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시)
o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시)
o 용역계약일반조건(기획재정부계약예규)
o 협상에 의한 계약체결기준(기획재정부계약예규)
o 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규)
o 하도급거래공정화지침(공정거래위원회예규)
o 정보보호조치에 관한 지침(과학기술정보통신부고시)
o 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회)
o 행정정보 공동이용 지침(행정안전부예규)
o 공공기관의 데이터베이스 표준화 지침(행정안전부고시)
o 공공데이터 관리지침(행정안전부고시)
o 모바일 전자정부 서비스 관리 지침(행정안전부예규)
o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시)
o 국가정보보안기본지침(국가정보원)
|
□ 서비스 접근 및 전달 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/
미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
|
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
관련규정
|
o 전자정부 웹사이트 품질관리 지침
o 한국형 웹 콘텐츠 접근성 지침 2.1
|
|
|
|
|
|
|
o 모바일 전자정부 서비스 관리 지침
|
|
|
|
|
|
|
외부 접근
장치
|
o 웹브라우저 관련
|
|
- HTML 4.01/HTML 5, CSS 2.1
|
|
|
|
|
|
|
- XHTML 1.0
|
|
|
|
|
|
|
- XML 1.0, XSL 1.0
|
|
|
|
|
|
|
- ECMAScript 3rd
|
|
|
|
|
|
|
o 모바일 관련
|
|
- 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307)
|
|
|
|
|
|
|
서비스
요구사항
|
서비스관리(KS X ISO/IEC 20000)/ ITIL v3
|
|
|
|
|
|
|
서비스 전달
프로토콜
|
IPv4
|
|
|
|
|
|
|
IPv6
|
|
|
|
|
|
□ 인터페이스 및 통합 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 타기관과 연계가 가능한 웹서비스는 범정부 차원의 연계·활용이 가능하도록 지원하여야 한다.
|
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
서비스 통합
|
o 웹 서비스
|
|
- SOAP 1.2, WSDL 2.0, XML 1.0
|
|
|
|
|
|
|
- UDDI v3
|
|
|
|
|
|
|
- RESTful
|
|
|
|
|
|
|
o 비즈니스 프로세스 관리
|
|
- UML 2.0/BPMN 1.0
|
|
|
|
|
|
|
- ebXML/BPEL 2.0/XPDL 2.0
|
|
|
|
|
|
|
데이터 연계
|
o 데이터 형식 : XML 1.0
|
|
|
|
|
|
|
인터페이스
|
o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0
|
|
|
|
|
|
□ 플랫폼 및 기반구조 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
|
|
|
|
|
|
|
o 하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
|
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
네트워크
|
o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310
|
|
|
|
|
|
|
o 부가통신: VoIP
|
|
- H.323
|
|
|
|
|
|
|
- SIP
|
|
|
|
|
|
|
- Megaco(H.248)
|
|
|
|
|
|
|
운영체제 및
기반 환경
|
o 서버용(개방형) 운영 체제 및 기반환경
|
|
- POSIX.0
|
|
|
|
|
|
|
- UNIX
|
|
|
|
|
|
|
- Windows Server
|
|
|
|
|
|
|
- Linux
|
|
|
|
|
|
|
o 모바일용 운영 체계 및 기반환경
|
|
- android
|
|
|
|
|
|
|
- IOS
|
|
|
|
|
|
|
- Windows Phone
|
|
|
|
|
|
|
데이터베이스
|
o DBMS
|
|
- RDBMS
|
|
|
|
|
|
|
- ORDBMS
|
|
|
|
|
|
|
- OODBMS
|
|
|
|
|
|
|
- MMDBMS
|
|
|
|
|
|
|
시스템 관리
|
o ITIL v3 / ISO20000
|
|
|
|
|
|
|
소프트웨어 공학
|
o 개발프레임워크 : 전자정부 표준프레임워크
|
|
|
|
|
|
□ 요소기술 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/
미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
|
|
|
|
|
|
|
o 데이터는 데이터 연계 및 재사용, 데이터 교환, 공공데이터 제공,데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
|
|
|
|
|
|
|
o 데이터는 공공데이터(법 제2조제2호의 행정정보를 말한다)로 제공하기 위하여 기계 판독이 가능한 형태로 정비, 공공데이터법상 제공제외 대상의 별도 테이블 분리·설계, 품질확보 등이 수행되어야 한다.
|
|
|
|
|
|
|
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부장관에게 보고하고 행정안전부의“행정기관의 코드표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정안전부장관에게 표준 등록을 요청하여야 한다.
|
|
|
|
|
|
|
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
|
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
관련규정
|
o 공공기관의 데이터베이스 표준화 지침
o 공공데이터 관리지침
o 공공데이터 제공·관리 매뉴얼
|
|
|
|
|
|
|
데이터 표현
|
o 정적표현 : HTML 4.01
|
|
|
|
|
|
|
o 동적표현
|
|
- JSP 2.1
|
|
|
|
|
|
|
- ASP.net
|
|
|
|
|
|
|
- PHP
|
|
|
|
|
|
|
- 기타 ( )
|
|
|
|
|
|
|
프로그래밍
|
o 프로그래밍
|
|
- C
|
|
|
|
|
|
|
- C++
|
|
|
|
|
|
|
- Java
|
|
|
|
|
|
|
- C#
|
|
|
|
|
|
|
- 기타 ( )
|
|
|
|
|
|
|
데이터 교환
|
o 교환프로토콜
|
|
- XMI 2.0
|
|
|
|
|
|
|
- SOAP 1.2
|
|
|
|
|
|
|
o 문자셋
|
|
- EUC-KR
|
|
|
|
|
|
|
- UTF-8(단, 신규시스템은 UTF-8 우선 적용)
|
|
|
|
|
|
□ 보안 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 “서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
|
|
|
|
|
|
|
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 전자서명 또는 행정전자서명을 기반으로 하여야 한다.
|
|
|
|
|
|
|
o 네트워크 장비 및 네트워크 보안장비에 임의 접속이 가능한 악의적인 기능 등 설치된 백도어가 없도록 하여야 하고 보안기능 취약점 발견 시 개선․조치하여야 한다.
|
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
관련
규정
|
o 전자정부법
|
|
|
|
|
|
|
o 국가정보보안기본지침(국가정보원)
|
|
|
|
|
|
|
o 네트워크 장비 구축·운영사업 추가특수조건(조달청 지침)
|
|
|
|
|
|
|
제품별 도입
요건 및 보안
기준
준수
|
o 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 정보보호제품)
|
|
- PKI제품
|
|
|
|
|
|
|
- SSO제품(보안기능 확인서 또는 CC인증 필수)
|
|
|
|
|
|
|
- 디스크ㆍ파일 암호화 제품
|
|
|
|
|
|
|
- 문서 암호화 제품(DRM)(보안기능 확인서 또는 CC인증 필수)
|
|
|
|
|
|
|
- 메일 암호화 제품
|
|
|
|
|
|
|
- 구간 암호화 제품
|
|
|
|
|
|
|
- 하드웨어 보안 토큰
|
|
|
|
|
|
|
- DB암호화 제품(보안기능 확인서 또는 CC인증 필수)
|
|
|
|
|
|
|
- 상기제품(8종)이외 중요정보 보호를 위해 암호기능이 내장된 제품
|
|
|
|
|
|
|
- 암호모듈 검증서에 명시된 제품과 동일 제품 여부
|
|
|
|
|
|
|
o 보안기능 확인서 또는 CC인증 필수제품 유형군(국제 CC인 경우 보안적합성 검증 필요)
|
|
- (네트워크)침입차단
|
|
|
|
|
|
|
- (네트워크)침입방지(침입탐지 포함)
|
|
|
|
|
|
|
- 통합보안관리(통합로그관리 포함)
|
|
|
|
|
|
|
- 웹 응용프로그램 침입차단
|
|
|
|
|
|
|
- DDos 대응(성능평가로 도입 가능)
|
|
|
|
|
|
|
- 인터넷 전화 보안
|
|
|
|
|
|
|
- 무선침입방지
|
|
|
|
|
|
|
- 무선랜 인증
|
|
|
|
|
|
|
- 가상사설망(검증필 암호모듈 탑재 필수)
|
|
|
|
|
|
|
- 네트워크 접근통제
|
|
|
|
|
|
|
- 망간 자료전송(2022.1 이전 인증제품)
|
|
|
|
|
|
|
- 안티 바이러스(성능평가로 도입 가능)
|
|
|
|
|
|
|
- 패치관리
|
|
|
|
|
|
|
- 스팸메일 차단
|
|
|
|
|
|
|
- 서버 접근통제
|
|
|
|
|
|
|
- DB접근 통제
|
|
|
|
|
|
|
- 스마트카드
|
|
|
|
|
|
|
- 디지털 복합기 (비휘발성 저장매체 장착 제품에 대한 완전삭제 혹은 암호화 기능)
|
|
|
|
|
|
|
- 소스코드 보안약점 분석도구(성능평가로 도입 가능)
|
|
|
|
|
|
|
- 스마트폰 보안관리
|
|
|
|
|
|
|
- 소프트웨어기반 보안USB(2020.1.1이전 인증제품, 검증필 암호모듈 탑재 필수)
|
|
|
|
|
|
|
- 호스트 자료유출 방지(2021.1.1이전 인증제품, 매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
|
|
|
|
- 네트워크 자료유출방지(2021.1.1 이전 인증제품)
|
|
|
|
|
|
|
- CC인증서에 명시된 제품과 동일 제품 여부
|
|
|
|
|
|
|
o 보안기능 확인서 필수제품 유형군
|
|
- 소프트웨어기반 보안USB(검증필 암호모듈 탑재 필수)
|
|
|
|
|
|
|
- 호스트 자료유출 방지(매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
|
|
|
|
- 망간 자료전송
|
|
|
|
|
|
|
- 네트워크 자료유출방지
|
|
|
|
|
|
|
- 네트워크 장비(L3 스위치 이상)
|
|
|
|
|
|
|
- 가상화관리제품
|
|
|
|
|
|
|
o 모바일 서비스(앱·웹) 등
|
|
- 보안취약점 및 보안약점 점검·조치
(모바일 전자정부 서비스 관리 지침)
|
|
|
|
|
|
|
- 국가·공공기관 모바일 활용업무에 대한 보안가이드라인
|
|
|
|
|
|
|
o 민간 클라우드 활용
|
|
- 클라우드 서비스 보안인증(CSAP)을 받은 서비스
|
|
|
|
|
|
|
- 국가·공공기관 클라우드 컴퓨팅 보안가이드
|
|
|
|
|
|
|
백도어 방지 기술적 확인 사항
|
o 보안기능 준수
|
|
- 식별 및 인증
|
|
|
|
|
|
|
- 암호지원
|
|
|
|
|
|
|
- 정보 흐름 통제
|
|
|
|
|
|
|
- 보안 관리
|
|
|
|
|
|
|
- 자체 시험
|
|
|
|
|
|
|
- 접근 통제
|
|
|
|
|
|
|
- 전송데이터 보호
|
|
|
|
|
|
|
- 감사 기록
|
|
|
|
|
|
|
- 기타 제품별 특화기능
|
|
|
|
|
|
|
o 보안기능 확인 및 취약점 제거
|
|
- 보안기능별 명령어 등 시험 및 운영방법 제공
|
|
|
|
|
|
|
- 취약점 개선(취약점이 없는 펌웨어 및 패치 적용)
|
|
|
|
|
|
|
- 백도어 제거(비공개 원격 관리 및 접속 기능)
|
|
|
|
|
|
|
- 오픈소스 적용 기능 및 리스트 제공
|
|
|
|
|
|
※ 최신 기준은 ‘국가정보원ㆍ국가사이버안보센터’ 홈페이지 참조
[별지 1호] 표준 개인정보위탁 계약서(계약상대자 대상 작성)
표준 개인정보처리위탁 계약서(안)
한국인터넷진흥원(이하 “위탁자”이라 한다)과 △△△(이하 “수탁자”이라 한다)는 “위탁자”의 개인정보 처리업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다.
제1조 (목적) 이 계약은 “위탁자”가 개인정보처리업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는「개인정보 보호법」, 같은 법 시행령 및 시행규칙,「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호) 및「표준 개인정보 보호지침」(개인정보보호위원회 고시 제2024-1호)에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위) “수탁자”는 계약이 정하는 바에 따라 ( ) 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.1)
1.
2.
3.
제4조 (위탁업무 기간) 이 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다.
계약 기간 : 년 월 일 ~ 년 월 일
제5조 (재위탁 제한) ① “수탁자”는 “위탁자”의 사전 승낙을 얻은 경우를 제외하고 “위탁자”와의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다.
② “수탁자”가 다른 제3의 회사와 수탁계약을 할 경우에는 “수탁자”는 해당 사실을 계약 체결 7일 이전에 “위탁자”에게 동의를 받아야 한다.
제6조 (개인정보의 안전성 확보조치) “수탁자”는「개인정보 보호법」제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호)에 따라 개인정보의 안전성 확보에 필요한 관리적․기술적 조치를 취하여야 한다.
제7조 (개인정보의 처리제한) ① “수탁자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
② “수탁자”는 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법」시행령 제16조 및「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호)에 따라 즉시 파기하거나 “위탁자”에게 반납하여야 한다.
③ 제2항에 따라 “수탁자”가 개인정보를 파기한 경우 지체없이 “위탁자”에게 그 결과를 통보하여야 한다.
제8조 (수탁자에 대한 관리·감독 등) ① “위탁자”는 “수탁자”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응하여야 한다.
1. 개인정보의 처리 현황
2. 개인정보의 접근 또는 접속현황
3. 개인정보 접근 또는 접속 대상자
4. 목적외 이용․제공 및 재위탁 금지 준수여부
5. 암호화 등 안전성 확보조치 이행여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
② “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이행하여야 한다.
③ “위탁자”는 처리위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 ( )회 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다.2)
④ 제1항에 따른 교육의 시기와 방법 등에 대해서는 “위탁자”는 “수탁자”와 협의하여 시행한다.
제9조 (재식별 금지) ① “수탁자”는 “위탁자”로부터 가명정보 처리 업무를 위탁받은 경우 제공받은 가명정보를 위탁업무 수행 목적으로 안전하게 이용하고, 이를 이용해서 개인을 재식별하기 위한 어떠한 행위도 하여서는 아니 된다.
② “수탁자”는 “위탁자”로부터 제공 받은 정보가 재식별 되거나 재식별 가능성이 현저하게 높아지는 상황이 발생하면 즉시 해당 정보의 처리를 중단하고 관련한 사항을 “위탁자”에게 알리며, 필요한 협조를 하여야 한다.
③ “수탁자”는 제1항에서 제2항까지의 사항을 이행하지 않아 발생하는 모든 결과에 대해 형사 및 민사상 책임을 진다.
제10조 (정보주체 권리보장) ① “수탁자”는 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제11조 (개인정보의 파기) ① “수탁자”는 제4조의 위탁업무기간이 종료되면 특별한 사유가 없는 한 지체 없이 개인정보를 파기하고 이를 “위탁자”에게 확인받아야 한다.
제12조 (손해배상) ① “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자가 이 계약에 의하여 위탁 또는 재위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 “위탁자” 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 “수탁자”는 그 손해를 배상하여야 한다.
② 제1항 또는 제2항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 “위탁자”가 전부 또는 일부를 배상한 때에는 “위탁자”는 이를 “수탁자”에게 구상할 수 있다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “위탁자”와 “수탁자”가 서명 또는 날인한 후 각 1부씩 보관한다.
2025. . .
|
위탁자
주 소 : 전라남도 나주시 진흥길 9
기관(회사)명 : 한국인터넷진흥원
대표자 성명 : 이 상 중 (인)
|
수탁자
주 소 :
기관(회사)명 :
대표자 성명 : (인)
|
[별지 2호] 비밀유지 협약서(계약상대자 대상 작성)
비밀유지 협약서
____(이하 “계약상대자”라 한다)와(과) 한국인터넷진흥원(이하“진흥원”이라 한다)은 비밀정보의 제공과 관련하여 다음과 같이 비밀유지협약을 체결한다.
제1조(협약의 목적) 본 협약은 계약상대자와 진흥원이 (업무 요지 기재) (이하 “본 업무”라 한다)와 관련하여 각자 상대방에게 제공하는 비밀정보를 비밀로 유지하고 보호하기 위하여 필요한 제반 사항을 규정함을 목적으로 한다.
제2조(비밀정보의 정의) ① 본 협약에서‘비밀정보’라 함은, 본 협약 체결 사실 자체 및 본 업무와 관련하여, 어느 일방 당사자(이하“정보제공자“라 한다)가 반대 당사자(이하 “정보수령자“라 한다)에게 제공하는 일체의 정보로서, 유·무형의 여부 및 그 기록 형태를 불문한다.
② 제1항의 비밀정보는 서면(전자문서를 포함하며, 이하 같음), 구두 혹은 기타 방법으로 제공되는 모든 노하우, 공정, 도면, 설계, 실험결과, 샘플, 사양, 데이터, 공식, 제법, 프로그램, 가격표, 거래명세서, 생산단가, 아이디어 등 모든 기술상 혹은 경영상의 정보와 그러한 정보가 수록된 물건 또는 장비 등을 모두 포함한다.
제3조(비밀의 표시) ① 정보제공자가 정보수령자에게 서면 제출, 이메일 전송, 물품 인도 등 유형적 형태로 비밀정보를 제공하는 경우, 비밀임을 알리는 문구(“비밀” 또는 이와 유사한 표지)를 명확히 표시해야 한다.
② 정보제공자가 정보수령자에게 구두나 영상 또는 당사자의 시설, 장비 샘플 기타 품목들을 관찰・조사하게 하는 방법으로 비밀정보를 제공할 경우에는, 그 즉시 정보수령자에게 해당 정보가 비밀정보에 속한다는 사실을 고지하고, 비밀정보 제공일로부터 30일 이내에 상대방에게 공개 범위, 공개 일자, 공개 장소 및 공개 대상자 등이 명시된 요약본을 서면 제출, 이메일 전송 등의 유형적인 기록 형태로 제공하여야 한다.
③ 정보제공자가 비밀정보에 해당함에도 불구하고, 제공 당시에 비밀정보임을 명확하게 표시하지 못하였거나 고지하지 못한 때에는 정보제공자는 지체없이 정보수령자에 대하여 해당 정보는 비밀정보임을 고지함과 동시에 공개 범위, 공개 일자, 공개 장소 및 공개 대상자 등이 명시된 요약본을 서면 제출, 이메일 전송 등의 유형적인 기록 형태로 제공하여야 하고, 이때로부터 비밀정보로서 효력을 가진다.
제4조(정보의 사용용도 및 정보취급자 제한) ① 정보수령자는 정보제공자의 사전 서면 승인이 없는 한 정보제공자의 비밀정보를 “본 업무”의 수행 또는 “본 업무”와 관련된 계약에서 정한 본래의 목적 및 용도로만 사용하여야 하며, “본 업무”와 관련하여 사용하는 경우에도 필요한 업무 수행의 범위를 초과하여 임의로 비밀정보를 복제, 수정, 저장, 변형 또는 분석할 수 없다.
② 정보수령자는 직접적・간접적으로 “본 업무”를 수행하는 담당자(임직원, 참여연구원 등)들에 한하여 정보제공자의 비밀정보를 취급할 수 있도록 필요한 조치를 취하여야 하며, 해당 담당자(임직원, 참여연구원 등) 각자에게 정보제공자의 비밀정보에 대한 비밀유지의무를 주지시켜야 한다. 이때 정보제공자는 정보수령자에게 해당 담당자(임직원, 참여연구원 등)으로부터 비밀유지서약서를 제출 받는 등의 방법으로 해당 정보의 비밀성을 유지하기 위하여 필요한 조치를 요구할 수 있다.
③ 정보수령자가 ‘본 업무’의 수행을 위하여 정보제공자의 비밀정보를 “본 업무”를 수행하는 담당자(임직원, 참여연구원 등)들 이외의 제3자에게 제공하고자 할 때에는 사전에 정보제공자로부터 서면에 의한 동의를 얻어야 하며, 정보수령자는 제3자와 해당 비밀정보의 유지 및 보호를 목적으로 하는 별도의 비밀유지협약을 체결한 이후에 그 제3자에게 해당 비밀정보를 제공하여야 한다.
제5조(비밀유지의무) ① 정보수령자는 정보제공자의 사전 서면승낙 없이 비밀정보를 포함하여 본 협약의 내용, ‘본 업무’의 내용 등을 공표하거나 제3자에게 알려서는 아니 된다. 다만, 객관적인 증거를 통하여 다음 각 호에 해당함이 입증되는 정보는 비밀정보가 아니거나 비밀유지의무가 없는 것으로 간주한다.
1. 비밀정보 제공 이전에 정보수령자가 이미 알고 있거나 알 수 있는 정보
2. 정보수령자의 고의 또는 과실에 의하지 않고 공지의 사실로 된 정보
3. 정보수령자가 정당하고 적법하게 제3자로부터 제공받은 정보
4. 정보수령자가 정보제공자의 비밀정보를 이용하지 아니하고 독자적으로 개발하거나 알게 된 정보
5. 정보제공자가 비밀정보임을 고지하지 아니하고, 비밀정보에 속한다는 취지의 서면을 발송하지도 아니한 정보
6. 법원 기타 공공기관의 판결, 명령 또는 관련법령에 따른 공개의무에 따라서 공개한 정보
② 정보수령자가 제1항 제6호에 따라 정보를 공개할 경우에는 사전에 정보제공자에게 그 사실을 서면으로 통지하고, 상대방으로 하여금 적절한 보호 및 대응조치를 할 수 있도록 하여야 한다.
③ 정보수령자는 비밀정보를 보호하고 관리하는 데에 필요한 모든 노력을 다하여야 한다. 다만 천재지변, 화재 등 불가항력 사유에 의해 비밀정보가 유출된 경우에는 유출에 대한 책임을 지지 않는다.
제6조(손해배상) 정보수령자가 본 협약을 위반한 경우, 정보수령자는 이로 인하여 정보제공자가 입은 모든 손해를 배상하는 것을 포함하여, 법률상 배상 책임을 다하여야 한다.
제7조(비밀정보의 반환 등) ① 정보수령자는 협약기간의 만료 등의 사유로 본 협약이 종료된 경우, 본 업무가 종료 또는 중단된 경우 또는 정보제공자의 요청이 있는 경우에는 지체없이 정보제공자의 비밀정보가 기재되어 있거나 이를 포함하고 있는 제반 자료, 장비, 서류, 샘플, 기타 유체물(복사본, 복사물, 모방물건, 모방장비 등을 포함)을 즉시 정보제공자에게 반환하거나, 정보제공자의 선택에 따라 이를 폐기하고 그 폐기를 증명하는 서류를 그 때로부터 10일 내에 정보제공자에게 제공하여야 한다.
제8조(권리의 부존재 등) ① 본 협약에 따라 제공되는 비밀정보에 관한 소유권, 지식재산권 등의 모든 권리는 정보제공자에 속하며, 비밀정보를 통하여 특허출원 등이 가능할 경우 특허 등을 출원할 권리는 정보제공자에게 있다.
② 본 협약은 어떠한 경우에도 정보수령자에게 비밀정보에 관한 어떠한 권리나 권리의 실시권 또는 사용권을 부여하는 것으로 해석되지 않는다.
③ 본 협약은 어떠한 경우에도 당사자 간에 향후 어떠한 확정적인 협약의 체결, 제조물의 판매나 구입, 실시권의 허락 등을 암시하거나 이를 강제하지 않으며, 기타 본 협약의 당사자가 비밀정보와 관련하여 다른 제3자와 어떠한 거래나 협약관계에 들어가는 것을 금지하거나 제한하지 아니한다.
④ 정보제공자는 비밀정보의 현 상태 그대로 제공하며, 비밀정보의 정확성 및 완전성이나 사업 목적에 대한 적합성 및 제3자의 권리 침해 여부에 대한 어떠한 보증도 하지 않는다.
⑤ 정보제공자는 정보수령자가 비밀정보를 사용함에 따른 결과에 대하여 어떠한 책임도 지지 아니한다.
⑥ 각 당사자는 본 협약의 목적을 위하여 상대방의 시설을 방문하거나 이를 이용할 경우에는 상대방의 제반 규정 및 지시사항을 준수하여야 한다.
제9조(권리의무의 양도, 협약의 변경) ① 각 당사자는 상대방의 사전 서면동의 없이 본 협약상의 권리의무를 각 당사자 이외의 제3자에게 양도하거나 이전할 수 없다.
② 본 협약의 수정이나 변경은 양 당사자의 정당한 대표자가 기명날인 또는 서명한 서면 합의로만 이루어질 수 있다.
제10조(협약의 분리가능성) 본 협약 중 어느 규정이 법원에 의하여 위법, 무효 또는 집행 불가능 하다고 선언될 경우에도, 이는 본 협약의 나머지 규정의 유효성에 영향을 미치지 아니한다.
제11조(분쟁의 해결) ① 본 협약과 관련하여 분쟁이 발생한 경우 당사자의 상호 협의에 의한 해결을 모색하되, 분쟁에 관한 합의가 이루어지지 아니한 경우에는 중소기업기술 보호 지원에 관한 법률에 따른 중소기업기술분쟁조정·중재위원회의 조정 또는 중재에 따라 해결한다.
② 위 조정이 성립하지 아니한 경우 광주지방법원을 제1심 관할법원으로 하여 소송을 통해 분쟁을 해결하기로 한다.
제12조(보칙) ‘계약상대자’와 ‘진흥원’은 본 협약의 성립을 증명하기 위하여 본 협약서 2부를 작성하여 각각 서명(또는 기명날인)한 후 각자 1부씩 보관한다.
20__년 __월 __일
“계약상대자”
(명 칭)________________________
(주 소)________________________
(대표자)____________________(인)
“진흥원”
(명 칭) 한국인터넷진흥원
(주 소) 전라남도 나주시 진흥길 9
(대표자) 이 상 중 (인)
[별지 3호] 참여인력 개인정보 수집·이용 동의서(계약상대자 대상 작성 문서)
한국인터넷진흥원은 「개인정보 보호법」에 따라 “0000”계약에 참여하는 참여 인력에 대해 개인정보의 수집 및 이용 목적, 이용항목, 개인정보 처리 및 보유기간, 동의 거부권에 관한 사항을 안내드리오니, 아래의 사항을 자세히 읽어보시고 모든 내용을 자세히 읽으신 후 동의하여 주시기 바랍니다.
□ 계 약 명 :
□ 기 관 명 :
□ 계약기간 : 20 . . . ~ 20 . . .
□ 참여인력 정보
1) 상기 계약기간 동안 참여인력 1인은 본 사업 참여율+타사업 참여율의 합이 100%를 초과할 수 없습니다.
2) 본 사업 참여율이란 해당 참여인력의 연봉총액을 100으로 할 때 본 사업에서 해당 참여인력에게 지급 될 인건비의 비율로 정의하며, 실제로 본 사업에 참여하는 정도를 말합니다.
3) 타사업 참여율이란 참여인력의 본 사업 참여율을 제외한 진흥원 참여율+타기관 참여율의 총합을 의미합니다.
4) 상기 참여인력 전원은 [별첨]참여인력별 개인정보 수집·이용 동의서에 반드시 인 또는 자필서명을 해야 합니다.
|
구 분
|
소속/
직책(또는 등급)
|
성 명
|
생년월일
|
휴대폰번호
|
참여기간
|
본 사업 참여율(%)
|
타 사업 참여율(%)
|
담 당 업 무
|
|
PM
|
㈜○○○/팀장
|
김○○
|
00.00.00.
|
|
00.00.00.~
00.00.00.
|
|
|
|
|
참여인력
|
|
|
|
|
|
|
|
|
|
참여인력
|
|
|
|
|
|
|
|
|
|
참여인력
|
|
|
|
|
|
|
|
|
|
참여인력
|
|
|
|
|
|
|
|
|
|
참여인력
|
|
|
|
|
|
|
|
|
|
참여인력
|
|
|
|
|
|
|
|
|
[별지 4호] 참여인력별 개인정보 수집·이용 동의서
1. 개인정보 수집·이용 내역
|
수집 목적
|
이용 항목
|
처리 및 보유기간
|
|
한국인터넷진흥원에서 발주한 사업의 사업관리, 참여인력 관리
|
소속/직책(또는 등급), 성명, 생년월일, 휴대폰번호, 참여기간, 본 사업 참여율, 타사업 참여율
|
용역종료일로부터 5년(공공기록물관리법 시행령 제26조 제1항[별표1])
|
※ 동의 거부 권리 및 동의거부에 따른 불이익 : 정보주체는 개인정보의 수집 및 이용 동의를 거부할 권리가 있으나, 이 경우 한국인터넷진흥원의 사업 참여가 제한될 수 있습니다.
2. 개인정보 제3자 제공 내역
|
제공받는 자
|
제공받는 자의 이용 목적
|
이용 항목
|
처리 및 보유기간
|
|
과학기술정보통신부, 개인정보보호위원회, 방송통신위원회
|
사업 관리
|
소속/직책(또는 등급), 성명, 휴대폰번호, 참여기간, 본 사업 참여율
|
용역종료일로부터 5년(공공기록물관리법 시행령 제26조 제1항[별표1])
|
|
국회
|
국정감사 수행, 정부출연사업 등 사업참여율 합계 확인
|
소속/직책(또는 등급), 성명, 휴대폰번호, 참여기간, 본 사업 참여율
|
용역종료일로부터 5년(공공기록물관리법 시행령 제26조 제1항[별표1])
|
|
감사원
|
사업 감사
|
소속/직책(또는 등급), 성명, 휴대폰번호, 참여기간, 본 사업 참여율
|
용역종료일로부터 5년(공공기록물관리법 시행령 제26조 제1항[별표1])
|
|
국민권익위원회
|
공공기관 부패에 관한 조사·평가
|
소속/직책(또는 등급), 성명, 휴대폰번호, 참여기간, 이메일주소
|
용역종료일로부터 5년(공공기록물관리법 시행령 제26조 제1항[별표1])
|
|
대·중소기업·농어업협력재단
|
공공기관 동반성장 체감도 조사
|
소속/직책(또는 등급), 성명, 휴대폰번호, 참여기간, 이메일주소
|
용역종료일로부터 5년(공공기록물관리법 시행령 제26조 제1항[별표1])
|
※ 동의 거부 권리 및 동의거부에 따른 불이익 : 정보주체는 개인정보의 수집 및 이용 동의를 거부할 권리가 있으나, 이 경우 한국인터넷진흥원의 사업 참여가 제한될 수 있습니다.
참여인력 소속 :
참여인력 성명 : (인 또는 서명)
한국인터넷진흥원장 귀하
1) 각호의 업무 예시 : 고객만족도 조사 업무, 회원가입 및 운영 업무, 사은품 배송을 위한 이름, 주소, 연락처 처리 등
2) 「개인정보 안전성 확보조치 기준 고시」(개인정보보호위원회 고시 제2023-6호) 및 「개인정보 보호법」 제26조에 따라 개인정보처리자 및 취급자는 개인정보보호에 관한 교육을 의무적으로 시행하여야 한다.
|
|