| |
제 안 요 청 서
|
사 업 명
|
2026년 국립민속박물관 업무시스템 유지관리 용역
|
|
주관부서
|
국립민속박물관 민속기획과
|
2025. 9.
|
구 분
|
소 속
|
성 명
|
연락처
|
기 타
|
|
사업책임자
|
민속기획과
|
김윤정
|
02-3704-3050
|
FAX. 02-3704-3049
|
|
사업실무자
|
민속기획과
|
주성국
|
02-3704-3027
|
□ 사 업 명 : 2026년 국립민속박물관 업무시스템 유지관리
□ 사업기간 : 2026.1.1. ~ 12.31. (12개월)
□ 소요예산 : 62,000,000원(부가가치세 포함)
□ 사업추진방식 : 제한경쟁입찰(협상에 의한 계약)
□ 민속아카이브 시스템 및 문화유산표준관리시스템·표준도서자료관리시스템 운영 중 발생하는 각종 문제점 및 업무변화에 따른 기능 개선으로 안정적인 관리체제 구축
□ 문화유산표준관리시스템 및 민속아카이브 시스템의 안정적인 운영 및 자료 관리 수준 향상
□ 장애발생시 신속한 대처로 사용자 편의성 제고 및 활성화
□ 대국민 웹서비스(5종) 대상 웹취약점 점검을 통한 타 부서 업무 지원 및 정보보안 안전성 확보
□ 사업 대상
❍ 국립민속박물관 민속아카이브 유지관리
❍ 국립민속박물관 문화유산표준관리시스템
❍ 국립민속박물관 표준도서자료관리시스템
※ 각 시스템별 연계모듈(코라스 API 등) 포함
❍ 대국민 웹서비스(5종) 웹취약점 점검
- 누리집(어린이박물관, 파주 포함), 국립민속박물관 웹진, 국제저널무형유산, 한국민속대백과사전, 민속현장조사
□ 주요 사업내용
❍ 시스템의 정상적인 운영을 위한 유지관리
❍ 업무변화에 따른 시스템 기능 개선
❍ 업무 내 검색기능 개선 및 성능유지
❍ 장애시 방문 및 프로그램 재설치 지원
❍ 업무 및 인력 변경에 따른 사용자 교육
❍ 신규 버전 설치 및 데이터 이관 지원·기술적 자문
❍ 데이터 추출 및 자료 제출 지원
❍ 연계 시스템 및 API 관리·연계현황 점검·연계처리 개선
❍ 안정적인 운영을 위한 예방 점검 및 장애처리
❍ 대국민 웹서비스(5종) 웹취약점 점검
□ H/W 현황
|
순번
|
모델명
|
OS
|
비고
|
|
1
|
Lenovo x3650 M5
|
LINUX
|
민속아카이브 웹
|
|
2
|
Lenovo x3650 M5
|
LINUX
|
민속아카이브 DB
|
|
3
|
Dell R720
|
LINUX
|
표준유물관리 DB
|
|
4
|
Dell R720
|
LINUX
|
표준유물관리 웹
|
|
5
|
Oracle T7-1
|
UNIX
|
도서자료 DB
|
|
6
|
Oracle ZF3
|
NAS스토리지
|
민속아카이브 자료
|
□ S/W 구성도 및 목록
|
순번
|
구분
|
제품군
|
수량
|
|
1
|
DBMS
|
Oracle 11g
|
3
|
|
2
|
WEB, WAS
|
Apache, Tomcat
|
각 2식
|
|
3
|
검색엔진
|
solr, 엘라스틱 서치(민속아카이브)
|
1식
|
|
4
|
표준도서자료관리시스템
|
KOLAS3(CS프로그램)
|
1식
|
|
5
|
문화유산표준유물관리시스템
|
RMS
|
1식
|
□ 연계현황
|
순번
|
대상
|
연계기관
|
연계시스템
|
|
1
|
민속아카이브
|
한국문화정보원
|
문화포털
|
|
2
|
민속아카이브
|
국립민속박물관
|
누리집, 파주 누리집
|
|
3
|
민속아카이브
|
국립민속박물관
|
미디어월, 키오스크
|
|
4
|
문화유산표준유물관리시스템
|
한국문화정보원
|
문화포털
|
|
5
|
문화유산표준유물관리시스템
|
국립중앙박물관
|
이뮤지엄
|
|
6
|
문화유산표준유물관리시스템
|
국립민속박물관
|
누리집, 파주 누리집
|
|
7
|
문화유산표준유물관리시스템
|
국립민속박물관
|
미디어월, 키오스크
|
|
8
|
표준도서자료관리시스템
|
국립민속박물관
|
누리집
|
□ 민속아카이브시스템 관리기능
|
가등록
|
승인
|
자료정리
|
등록
|
|
자료가등록
자료수정및 이관요청
이관내역
|
이관승인
승인내역분류
|
자료정리목록
자료수정
등록요청
|
등록승인
등록내역
|
|
검색
|
복제
|
통계/보고서
|
관리
|
|
자료검색
사업검색
타기관 자료검색
|
복제요청
복제승인
복제내역
|
분기 자료증감 현황
분기 자료복제 현황
고급통계
자료 다운로드 현황
보고서 출력
|
계정관리
부서관리
양식관리
코드관리
이동관리
기증관리
사업정보관리
|
□ 문화유산표준유물관리시스템(웹버전, 국립민속박물관내 설치)
|
검색/조회
|
통계/출력
|
소장품관리
|
소장품 공개
|
|
소장품등록
|
사용자관리
|
환경설정
|
고객센터
|
□ 표준도서자료관리시스템(CS버전, 국립민속박물관내 설치)
|
수서대상자료 관리
|
구입
|
기증
|
등록
|
|
정리
|
열람
|
대출반납 등
|
자료찾기 등
|
□ 취약점 점검 대상 시스템
|
시스템 구분
|
도메인
|
|
국립민속박물관 누리집(어린이박물관, 파주포함, 관리자 기능 포함)
|
www.nfm.go.kr
|
|
국립민속박물관 웹진(관리자 기능 포함)
|
webzine.nfm.go.kr
|
|
국제저널무형유산(관리자 기능 포함)
|
ijih.org
|
|
한국민속대백과사전(관리자 기능 포함)
|
folkency.nfm.go.kr
|
|
민속현장조사(관리자 기능 포함)
|
efw.nfm.go.kr
|
* 단, 점검 대상이 문화체육관광부 취약점 점검 대상으로 지정될 경우, 협의 후 내부 업무시스템(웹) 대상으로 취약점 점검을 진행할 수 있음(민속아카이브, 보존처리관리시스템, 유해생물관리시스템-별도URL)
|
구분
|
번호
|
요구사항 명
|
비고
|
|
유지관리 수행 요구사항
|
MAR-001
|
장애관리
|
|
|
MAR-002
|
운영관리
|
|
|
성능 요구사항
|
PER-001
|
오류 응답 처리
|
|
|
PER-002
|
느린 작업에 대한 사전 경고
|
|
|
PER-003
|
응용시스템 튜닝, 호환 및 안정성 보장
|
|
|
인터페이스 요구사항
|
SIR-001
|
커스터마이징 용이성
|
|
|
SIR-002
|
웹표준 및 호환성 준수
|
|
|
데이터 요구사항
|
DAR-001
|
색인 DB 설계
|
|
|
DAR-002
|
데이터 무결성 및 표준화
|
|
|
DAR-003
|
데이터베이스 설계(구현) 및 내역서 제출
|
|
|
DAR-004
|
데이터 품질관리 체계
|
|
|
DAR-005
|
검색 연계 데이터 인터페이스 구성
|
|
|
보안 요구사항
|
SER-001
|
보안지침 준수
|
|
|
SER-002
|
데이터보안
|
|
|
SER-003
|
대국민 서비스 웹취약점 점검
|
|
|
SER-004
|
시큐어코딩 준수 및 웹 취약점 제거
|
|
|
품질 요구사항
|
QUR-001
|
품질관리
|
|
|
제약사항
|
COR-001
|
지식재산권
|
|
|
COR-002
|
시스템 개발 제약사항
|
|
|
COR-003
|
기스템 구조 설계
|
|
|
COR-004
|
기술 표준 적용방안
|
|
|
프로젝트 관리 요구사항
|
PMR-001
|
프로젝트 관리 방법론 적용
|
|
|
PMR-002
|
참여인력
|
|
|
PMR-003
|
프로젝트 일정 관리
|
|
|
PMR-004
|
리스크 관리
|
|
|
PMR-005
|
산출물 관리
|
|
|
PMR-006
|
프로젝트 관리 보안대책
|
|
|
프로젝트 지원 요구사항
|
PSR-001
|
교육지원 및 기술지원
|
|
|
PSR-002
|
시스템 산출물 지적재산권 소유
|
|
|
요구사항 고유번호
|
MAR-001
|
|
요구사항 명칭
|
장애관리
|
|
요구사항 분류
|
유지관리 수행 요구사항
|
|
요구사항
상세설명
|
정의
|
장애관리
|
|
세부
내용
|
ㅇ 시스템의 안정적인 운영을 위한 무중단 서비스 운영
* 업무시간동안(08:00 ~ 20:00) 무중단 서비스를 운영해야 하며, 연계서비스는 24시간 무중단 운영되도록 관리
ㅇ 장애 및 긴급한 문의처리에 대비하여 평일 09:00 ~ 18:00 동안은 상담 및 기술지원이 가능해야함
ㅇ 장애발생 사전대응을 위한 정기 모니터링 및 장애대응
ㅇ 장애대응 체계 구축 및 장애대응 매뉴얼 운영
ㅇ 웹, DBMS 장애시, 하드웨어 관련 업체와의 신속·긴밀한 협력 체계 유지
ㅇ H/W, S/W 증설, 교체 등 시스템 변경사항 발생 시 영향도 분석 후 변경사항 적용
|
|
요구사항 고유번호
|
MAR-002
|
|
요구사항 명칭
|
운영관리
|
|
요구사항 분류
|
유지관리 수행 요구사항
|
|
요구사항
상세설명
|
정의
|
운영관리
|
|
세부
내용
|
❍ 유지관리 내용
- 통합운영체계 수립 및 안정적인 유지관리 체계 운영
- 업무 변화에 따른 시스템 개선 및 기능보강
- 웹사이트 소스·산출물의 효율적·체계적 관리를 위한 형상관리
- 안정적인 정보시스템 통합 운영을 위한 성과 및 품질관리 운영
- 체계적인 산출물 관리 및 현행화 운영
- 법·제도 및 각종 정부 지침에 따른 적시 기능개선 및 반영
- 웹표준 및 웹호환성 준수에 기반한 사용자 접근성 강화
- 최신 기술 변화에 따른 보안 취약점 및 시큐어 코딩 조치
- 사용 교육 및 기술 운영 지원
- DB 자료 추출 및 업로드, DB 통계 자료 및 기타 자료 작성 및 제출 지원 등
- 민속아카이브 DB표준 용어사전 작성 및 현행화, 값 진단 등 품질관리 업무
- 연계서비스 현황 파악 및 관리
- 민속아카이브 시스템(업무) 내 검색기능 개선
- 민속아카이브 파일 업로더 다운로더 기능 개선
❍ 장애대응 체계 운영
- 시스템의 안정적인 운영을 위한 무중단 서비스 운영
- 장애발생 사전대응을 위한 정기 모니터링 및 장애대응
- 장애대응 체계 구축 및 장애대응 매뉴얼 운영
- 웹, DBMS 장애시, 하드웨어 관련 업체와의 신속·긴밀한 협력 체계 유지
- H/W, S/W 증설, 교체 등 시스템 변경사항 발생 시 영향도 분석 후 변경사항 적용
- 프로그램 업그레이드에 따른 API 수정 등 연계 시스템 관련 기술지원
❍ 기술자문
- 문화유산표준유물관리시스템 및 표준도서자료관리시스템 버전 업그레이드 또는 시스템 통합을 위한 기술 자문
- 연계 시스템 개선 및 제공서비스 확대에 대한 기술자문
- 개선모델 도출 및 이행계획 수립 지원
- 시스템 정보보안 취약점 개선
|
|
요구사항 고유번호
|
PER-001
|
|
요구사항 명칭
|
오류 응답 처리
|
|
요구사항 분류
|
성능 요구사항
|
|
요구사항
상세설명
|
정의
|
오류에 대한 응답 처리 시간
|
|
세부
내용
|
ㅇ사용자의 입력오류나 시스템의 오류 발생시 2초 이내에 적당한 오류(보안에
문제 되지 않는) 메시지를 사용자에게 제시하여야 함
|
|
요구사항 고유번호
|
PER-002
|
|
요구사항 명칭
|
느린 작업에 대한 사전 경고
|
|
요구사항 분류
|
성능 요구사항
|
|
요구사항
상세설명
|
정의
|
통계 및 다량의 정보조회 시 사전경고
|
|
세부
내용
|
ㅇ통계 및 다량의 정보 조회 시 결과 도출 이전에 사용자에게 느린 결과 예상에 대한 적절한 메시지를 알림
|
|
요구사항 고유번호
|
PER-003
|
|
요구사항 명칭
|
응용시스템 튜닝, 호환 및 안정성 보장
|
|
요구사항 분류
|
성능 요구사항
|
|
요구사항
상세설명
|
정의
|
응용시스템 튜닝 및 안정성 보장
|
|
세부
내용
|
ㅇ데이터양의 증가나 홈페이지 접속량이 증가하여 시스템 성능저하가 발생할 경우 이에 대한 개선책(튜닝)을 마련하여 튜닝을 실시하여야 함
ㅇ기존 인프라 및 SW와의 완벽한 호환 및 안정성을 보장하여야 함
|
|
요구사항 고유번호
|
SIR-001
|
|
요구사항 명칭
|
커스터마이징 용이성
|
|
요구사항 분류
|
인터페이스 요구사항
|
|
요구사항
상세설명
|
정의
|
향후 확장 및 변경에 대한 용이성 확보
|
|
세부
내용
|
ㅇ향후 변동에 대한 대응을 위해 관리자 기능을 커스터마이징할 경우, 확장 및 변경이 용이하게 설계되도록 함 (ex. 입력, 출력 데이터의 변동 가능성, 화면의 추가 및 변동 가능성)
|
|
요구사항 고유번호
|
SIR-002
|
|
요구사항 명칭
|
웹 표준 및 호환성 준수
|
|
요구사항 분류
|
인터페이스 요구사항
|
|
요구사항
상세설명
|
정의
|
웹 표준 및 호환성 요건 준수
|
|
세부
내용
|
ㅇ이용자들의 다양한 사용자 환경 (브라우저) 에서도 서비스를 이용할 수 있도록 하여야 하며, 표준을 준수하여 구현하여야 함
- IE, 크롬, 사파리, 파이어폭스 등 브라우저에서 버전에 구애받지 않고 홈페이지 이용에 불편이 없도록 웹 표준을 준수
- 홈페이지 웹 호환성을 확보하고 보안 강화를 위하여 마이크로소프트(MS)의 인터넷 익스플로러(IE)에 종속된 ActiveX 사용 금지
- 웹 호환성 확보로 크로스브라우징을 지원하여야 함
※ 동작 호환성 확보, 레이아웃 호환성 확보, 플러그인 호환성 확보
ㅇ웹 브라우저를 통해 제공하는 개발 및 구현되는 기능은 특정 브라우저에 종속되지 않고, 정상 작동되도록 준수지침에 따라 구현되어야 함
|
|
요구사항 고유번호
|
DAR-001
|
|
요구사항 명칭
|
색인 DB 설계
|
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항
상세설명
|
정의
|
DB 설계 원칙
|
|
세부
내용
|
ㅇ DB 구조의 설계는 관련 업무 처리 절차를 반영하여 유기적으로
구조화하고, 향후 업무 변동에 따른 확장성․이식성을 충분히 고려해야 함
ㅇ 설계시 기존 데이터를 고려하여야 함
|
|
요구사항 고유번호
|
DAR-002
|
|
요구사항 명칭
|
데이터 무결성 및 표준화
|
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항
상세설명
|
정의
|
데이터 표준 관리
|
|
세부
내용
|
ㅇ시스템은 외부 데이터를 연계할 때 데이터의 정합성을 검증하고 로그를 유지하여야 함
ㅇ기준이 되는 정보를 관리하기 위한 코드관리체계를 수립하고 코드를 설계하여 적용함
|
|
요구사항 고유번호
|
DAR-003
|
|
요구사항 명칭
|
데이터베이스 설계(구현) 및 내역서 제출
|
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항
상세설명
|
정의
|
데이터베이스 설계 요건 및 제출 목록
|
|
세부
내용
|
ㅇ행정정보 데이터베이스 표준화지침을 고려하여 테이블 및 필드 등을 설계
ㅇ기존 사이트 구조를 고려(이관)하여 설계하고, 데이터베이스 설계는 개발방향에 맞는 형태로 설계
ㅇ사업 완료 시 테이블 목록, 관계도(ERD), 엔티티 정의서 등 데이터베이스 상세설계 내역을 제출(버전 표시)하여야 함
|
|
요구사항 고유번호
|
DAR-004
|
|
요구사항 명칭
|
데이터 품질관리 체계
|
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항
상세설명
|
정의
|
데이터 품질관리
|
|
세부
내용
|
ㅇ데이터베이스 구조 최적화, DBMS 튜닝 등을 통해 데이터 안정성과 성능 개선
ㅇ이관된 데이터 및 추가되는 모든 데이터에 대한 방법론 등 품질관리 체계 및 방안을 제시
ㅇ데이터 품질관리 대상으로 데이터 표준 사전, 데이터 구조 산출물 현행화, 데이터 연계사항을 관리하여야 함
ㅇ데이터 품질진단 기준을 정의하고, 데이터 값 오류 점검 및 개선조치를 이행해야 함
|
|
요구사항 고유번호
|
DAR-005
|
|
요구사항 명칭
|
검색 연계 데이터 인터페이스 구성
|
|
요구사항 분류
|
데이터 요구사항
|
|
요구사항
상세설명
|
정의
|
민속아카이브 API 수정 및 통합검색
|
|
세부
내용
|
ㅇ 필요시 색인 데이터를 연계하여 검색이 가능한 연계 API 수정
ㅇ 웹기반 데이터 연계 인터페이스를 기본 제공 (XML)
ㅇ 검색대상 DB 확대 및 연계자료 등 색인관리
|
|
요구사항 고유번호
|
SER-001
|
|
요구사항 명칭
|
보안지침 준수
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항
상세설명
|
정의
|
소프트웨어 개발시 보안지침을 준수하여 개발함
|
|
세부
내용
|
ㅇ 국가 정보보안 기본지침(국가정보원, 2023.1.31.)
ㅇ 국가·공공기관 용역업체 보안관리 가이드라인(국가정보원, 2020.10.)
ㅇ 소프트웨어 개발보안 가이드(행정안전부, 2021. 11.)
ㅇ 소프트웨어 보안약점 진단가이드(행정안전부, 2021. 11.)
ㅇ 공개SW를 활용한 소프트웨어 개발보안 점검가이드(행정안전부, 2019. 6.)
ㅇ 가명정보 처리 가이드라인(개인정보보호위원회, 2024.2.)
ㅇ 홈페이지 개인정보 노출방지 안내서(개인정보보호위원회, 2024.4.)
ㅇ 자동처리 되는 개인정보보호 가이드라인(개인정보보호위원회, 2020.12.)
ㅇ 개인정보의 안전성 확보조치 기준(개인정보보호위원회고시 제2023-6호, 2023.9.22.)
ㅇ 문화체육관광부 개인정보 보호지침(문화체육관광부훈령 제532호, 2024.10.29.)
ㅇ 본 사업은 위 지침 외에도 정부가 제정․공포한 관계 제 법규(지침)을 준수하여야 하며, 사업기간동안 법규가 변경될 경우 해당 법규 준수
ㅇ 용역사업 중 또는 종료 후라도 본 사업과 관련하여 국가정보원 등 관련 기관으로부터 보안에 문제가 있다고 지적될 경우 반드시 해결책을 강구하고 조치하여야 함
|
|
요구사항 고유번호
|
SER-002
|
|
요구사항 명칭
|
데이터보안
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항
상세설명
|
정의
|
개인정보 처리 및 암호화
|
|
세부
내용
|
ㅇ 개인을 식별할 수 있는 정보(사용자 인증 정보, 비밀번호 등)를 운영DB 또는 개발DB에 저장할 경우, 암호화하여 저장하며, 소스코드에 직접 하드코딩하지 않음
ㅇ 개인정보 취급자가 개인정보처리 시스템에 접속하는 경우 접속 로그를 시스템에 기록 관리해야 함(최소 1년 보관, 다만 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관)
|
<필수 관리 항목>
• ID : 개인정보취급자 식별정보 • 날짜 및 시간 : 접속일시
• 접속자 IP 주소 : 접속자 정보
• 처리한 정보주체 정보: 정보주체 식별정보(계정, 회원번호 등)
• 수행업무 : 열람, 수정, 삭제, 인쇄, 입력 등
|
ㅇ 개인정보 취급자가 개인정보를 처리할 경우 해당 접근 로그를 시스템에 기록할 것
ㅇ 개인정보처리방침에 따라 개인정보를 처리/파기해야 하며 백업데이터 생성 금지
|
|
요구사항 고유번호
|
SER-003
|
|
요구사항 명칭
|
대국민 서비스 웹취약점 점검
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항
상세설명
|
정의
|
대국민 서비스(5종)에 대한 웹취약점 점검 요구사항
|
|
세부
내용
|
ㅇ 취약점 분석 수행 절차, 전년도 취약점 평가 결과 및 조치여부 점검, 취약점 점검 대상, 항목, 산출물 등 취약점 점검을 위한 세부 계획 수립하여 제출해야 함
- 점검 일정 및 수행 인력 구성을 협의 후 포함하여 제출
ㅇ 점검대상은 다음과 같음
|
시스템 구분
|
도메인
|
|
국립민속박물관 누리집(어린이박물관, 파주포함, 관리자 기능 포함)
|
www.nfm.go.kr
|
|
국립민속박물관 웹진(관리자 기능 포함)
|
webzine.nfm.go.kr
|
|
국제저널무형유산(관리자 기능 포함)
|
ijih.org
|
|
한국민속대백과사전(관리자 기능 포함)
|
folkency.nfm.go.kr
|
|
민속현장조사(관리자 기능 포함)
|
efw.nfm.go.kr
|
* 단, 문화체육관광부가 해당 시스템을 진단 대상으로 지정할 경우, 해당 숫자만큼 내부 업무시스템(웹) 대상 취약점 점검을 진행하는 것으로 변경될 수 있음(민속아카이브, 보존처리관리시스템, 유해생물관리시스템-별도URL)
ㅇ 웹취약점 점검 및 이행점검은 2026년 5월 31일까지 완료되어야 함
ㅇ 박물관 대민서비스 웹서비스 대상 취약점 점검
- 취약점 점검 항목에 대한 위험도 정의
- 요구하는 진단기준을 충족하는 웹 취약점 점검 수행
- 위험등급은 상·중·하로 표시하고 등급에 따라 구분하여 개선방향 수립
※ OWASP, 전자정부서비스 웹취약점 표준 점검 항목, 국정원 웹 취약점 진단항목 준용
ㅇ 웹 취약점 점검결과에 따른 조치방안 제시
- 취약점 조치방안 제시 및 즉시 조치가 불가한 취약점일 경우 긴급조치 방안을 제시하고 근본적 해결을 위한 중ㆍ장기적 권고안 제시
ㅇ 웹취약점 조치결과에 대한 이행점검 실시(필요 시 최대 2회)
- 홈페이지별 웹 취약점 조치 여부 확인
- 이전에 발견된 취약점이 미조치된 경우 결과보고서에 추가 작성
ㅇ 이전과 당해연도 발견된 취약점의 이행점검 결과를 확인하고 해당 이력을 관리
ㅇ 기술적 취약점 조치를 위해 사업수행업체는 취약점 조치 시 기술 지원
ㅇ 전문가에 의한 수동점검, 검증된 프로그램을 통해 웹취약점을 점검해야하며, 제안서에 해당 기술을 명시해야함
ㅇ 웹취약점 점검계획서, 웹취약점 점검 결과 보고서, 조치가이드, 이행점검 결과 보고서 산출
|
|
요구사항 고유번호
|
SER-004
|
|
요구사항 명칭
|
시큐어코딩 준수 및 웹 취약점 제거
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항
상세설명
|
정의
|
개발 및 수정되는 소스에 대한 시큐어코딩 준수 및 웹 취약점 제거
|
|
세부
내용
|
ㅇ 행정안전부의 “소프트웨어 개발보안(시큐어코딩) 가이드”를 준용 함
|
|
<주요 보안약점>
|
|
|
|
|
|
• 프로그램 입력 값에 대한 부적절한 검증(SQL삽입 등)
• 인증, 접근제어, 권한 관리 등을 적절하지 않게 구현시 발생(중요정보 평문저장, 하드코드된 비밀번호 등)
• 불충분한 에러처리(오류 메시지를 통한 정보 노출 등)
• 코드 오류(널 포인터 역참조, 부적절한 자원 해제 등)
• 불충분한 캡슐화(제거되지 않고 남은 디버거 코드, 시스템 데이터 정보노출 등)
• 부적절하거나 보안에 취약한 API 사용 등
|
ㅇ 응용소프트웨어 대상 행정안전부 “소프트웨어 보안약점 진단가이드” 에 의거 취약점을 분석하고 약점이 있을 경우 조치
* 취약점 점검은 외부 전문가(기관)또는 검증된 프로그램을 활용하여 점검함
ㅇ 취약점조치 검증은 정보서비스 개발 보안대책의 개발보안 및 문화체육관광 사이버안전센터에서 기술적 보안대책과 관련한 보안권고(기관 보안담당자 확인 必)들을 준용하여 처리하고 반드시 검사를 통해 취약점이 제거될 수 있도록 해야 함
- (사업)개발 및 납품업체 대표이사급 명의로 취약점 점검결과(이상없음 또는 조치결과) 확인서 징구(취약점 결과 및 조치결과서 사업 종료 후, 발주기관과 협의하여 지능정보화담당관실로 제출)
- (운영)최신 악성코드 대응을 위한 주기적인 취약점 점검계획 수립, 점검(조치)결과 내부결재(문서보고) 및 보안패치 등 운영관리 철저
- 취약점 점검결과는 대외비로 관리
- 보안취약점 점검결과와 조치결과서를 기관 보안담당자에게 반드시 확인 받아야 함
ㅇ 웹서버에 악성코드 등 웹쉘(WebShell)이 업로드되어 침해사고가 발생하지 않도록 보안약점 및 취약점 조치와 주기적인 모니터링 방안 및 웹쉘이 업로드되어 침해사고가 발생하지 않도록 보안조치를 강구해야 함
|
|
요구사항 고유번호
|
QUR-001
|
|
요구사항 명칭
|
품질관리
|
|
요구사항 분류
|
품질 요구사항
|
|
요구사항
상세설명
|
정의
|
품질 보증 요건
|
|
세부
내용
|
ㅇ품질보증의 범위, 품질보증을 위한 조직, 절차, 점검방법 등을 제시하여야 함
ㅇ제안사는 품질보증을 보장하기 위한 품질보증방안을 제시하여야 함
ㅇ제안사가 대외적으로 인정받을 만한 품질보증 관련 인증을 받은 경우 이를 입증할 수 있는 근거 서류를 제시하여야 함
ㅇ프로그램 버전 및 패치 관리
- 정보시스템 기능 개선 이력의 체계적 관리 방안 제시
- 기능 개선 컴포넌트의 자동 또는 수동 패치 관리 기능 확보
- 개선된 컴포넌트의 배포 전 테스트 DB를 통한 충분한 사전 테스트 수행
- 프로그램의 이해 및 운영 용이를 위한 소스코드의 설명 보완(주석 작업)
- 프로그램 코드 개선 시 개선 일시, 관련 이슈 정보 등을 주석으로 명시
|
|
요구사항 고유번호
|
COR-001
|
|
요구사항 명칭
|
지식재산권
|
|
요구사항 분류
|
제약사항
|
|
요구사항
상세설명
|
정의
|
시스템 산출물에 대한 지식재산권 요건
|
|
세부
내용
|
ㅇ 본 용역사업과 관련한 계약목적물의 지식재산권은 주관기관과 사업자가 공동으로 소유하며, 별도의 정함이 없는 한 지분은 균등한 것으로 함
ㅇ 다만, 개발의 기여도 및 계약목적물의 특수성(보안, 영업비밀 등)을 고려하여 계약당사자간의 협의를 통해 지식재산권 귀속주체 등에 대해 공동소유와 달리 정할 수 있음
※ <참고: 공공저작물 자유이용 고려 시> 본 과업수행의 결과로 발생하는 모든 결과물의 지식재산권은 일반용역 계약특수조건 및 용역계약일반조건(계약예규)에 의한다. 다만, 그 결과물이 공공저작물로서 자유이용이 바람직하다고 판단되는 경우, 계약예규 제56조 단서에 따라 추후 협의를 통해「저작재산권 양도계약서」를 체결하여 공동소유와 달리 정할 수 있다.
ㅇ 용역수행과 관련한 지식재산권의 상업적 활용의 경우 사업자는 주관기관과의 별도 협의를 통해 복제, 배포, 개작, 전송 등의 사용·수익을 취할 수 있음
ㅇ 조달청 지침 “일반용역계약특수조건” 제14조(특허권 또는 저작권의 침해)에 따라 본 용역의 수행에 있어 제3자의 특허권 또는 저작권을 침해하였다하여 손해배상 청구 소송이 제기되면 계약상대자는 배상 및 모든 책임을 진다.
ㅇ 공급자는 지식재산권의 활용을 위해 SW산출물의 반출을 요청할 수 있으며, 발주기관에서는 「보안업무규정」 제4조 및 제안요청서에 명시된 누출금지정보에 해당하지 않을 경우 SW산출물을 제공함(단, 공급자는 아래 내용 준수해야 함)
- 공급자는 공급받은 SW산출물에 대하여 제안요청서, 계약서 등에 누출금지정보로 명시한 정보를 삭제하고 활용하여야 하며, 이를 확인하는 공급자 대표명의의 확약서를 발주기관에 제출하여야 함
- 공급자가 반출된 SW산출물을 제3자에게 제공하려는 경우 반드시 발주기관으로부터 사전승인을 받아야 함
- 발주기관은 공급자가 제공받은 SW산출물을 무단으로 유출하거나 누출되는 경우 및 누출금지정보를 삭제하지 않고 활용하는 경우에는 「국가계약법 시행령」제76조제2항제3호 및 「지방계약법 시행령」제92조제2항제3호에 따라 입찰참가자격을 제한함
|
|
요구사항 고유번호
|
COR-002
|
|
요구사항 명칭
|
시스템 개발 제약사항
|
|
요구사항 분류
|
제약사항
|
|
요구사항
상세설명
|
정의
|
시스템 개발 시 제약사항
|
|
세부
내용
|
ㅇ시스템은 제시된 방법론의 절차와 과정(개발 표준, 기술표준 문서화)에 따라 개발되어야 함
ㅇ본 사업 추진에 필요한 소프트웨어는 제안업체가 준비하는 것으로 함
ㅇ시스템은 기존의 국가표준 및 정보화 기술지원 기관에서 확정한 표준화·보안 관련 법규정 및 지침 등을 준수해야 함
- 국가정보보안 기본지침, 국가사이버안전관리규정, 국가사이버안전매뉴얼(국가정보원)
- 행정기관 및 공공기관 정보시스템 구축·운영 지침(행정안전부)
- 문화체육관광부 정보화업무규정
- 문화체육관광부 보안업무규정시행세칙
- 문화정보화 업무운영 및 이용에 관한 지침
- 문화체육관광부 개인정보보호 지침
- 공공기관의 데이터베이스 표준화 지침(행정안전부)
- 전자정부 SW 개발·운영자를 위한 소프트웨어 개발보안 가이드(행정안전부)
|
|
요구사항 고유번호
|
COR-003
|
|
요구사항 명칭
|
시스템 구조 설계
|
|
요구사항 분류
|
제약사항
|
|
요구사항
상세설명
|
정의
|
시스템 구조 설계 요건
|
|
세부
내용
|
ㅇ기존 구축되어 있는 현행 시스템 구조 및 전체 표준과 호환성, 시스템 분산 설계, 데이터 유형, 프로세스 환경유형, 사용자 유형, 시스템 토폴로지가 고려되어 구조 설계가 이루어져야 함
|
|
요구사항 고유번호
|
COR-004
|
|
요구사항 명칭
|
기술 표준 적용방안
|
|
요구사항 분류
|
제약사항
|
|
요구사항
상세설명
|
정의
|
시스템 개발시 준수해야할 기술 표준 요건
|
|
세부
내용
|
ㅇ업계 표준의 기술을 사용함으로써 개발/유지보수가 용이해야 하며, 특정 OS에 종속적이지 않아야 함
ㅇ모든 응용프로그램 유연성, 확장성, 재사용성을 확보할 수 있도록 모듈화 전략을 반영하여 개발함
ㅇ주관기관에서 현재 보유하여 활용 가능한 H/W, S/W를 활용하거나, 타사의 솔루션으로 교체할 수 있음. 단, 솔루션 교체 시, 기존 시스템과의 호환성이 유지되어야 함
|
|
요구사항 고유번호
|
PMR-001
|
|
요구사항 명칭
|
프로젝트 관리 방법론 적용
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항
상세설명
|
정의
|
프로젝트 관리 방법
|
|
세부
내용
|
ㅇ위험관리, 품질관리, 일정관리, 자원관리, 형상관리 등 프로젝트 관리 방법론을 통한 체계적인 사업 관리 방안 제시
ㅇ개발의 완성도를 높이기 위해서 프로젝트 착수에서 종료까지 체계적으로 프로젝트를 관리(관리도구 이용)해야 함
ㅇ단계별로 진행 상황을 보고하고 프로젝트 관련 산출물을 제출하여야 함
ㅇ유지관리 업무(시스템 장애)의 지체 및 태만에 대한 제안 업체의 지체 보상금 지불 방안을 제시해야 함
|
|
요구사항 고유번호
|
PMR-002
|
|
요구사항 명칭
|
프로젝트 핵심참여인력 자격요건 및 인력관리
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항
상세설명
|
정의
|
프로젝트 인력 관리 방법
|
|
세부
내용
|
ㅇ본 사업에 참여하는 사업총책임자는 프로젝트를 효율적으로 수행할 수 있도록 관련 분야 전문가로 구성하여야 함
|
대 상
|
자격요건
|
|
프로젝트
관리자(PM)
|
-공공 정보화사업에서 PM 업무수행
-전체사업을 총괄할 수 있는 지식과 경험을 보유한 관리자 선별
-공동수급으로 제안할 경우 “사업 지분율이 제일 높은 사업자”의 정규직 관리자로 선정
|
|
사업수행
기술인력
|
-공공사업 경력, 정보기술 등을 보유하여 당해 사업을 수행할 수 있는 자격을 가진 기술자 중심으로 선발
|
ㅇ본 사업에 참여하는 인력의 작업장소는 계약 당사자간 상호 협의하여 정함 단, 주관기관과 업무 협의, 산출물 관리, 감리업무 수행 지원 등 원활한 사업수행에 지장이 없어야 함
ㅇ인력 투입 조건
- 제안서에서 제시한 핵심참여인력은 반드시 본 사업에 투입되어야 하며, 부득이한 사정으로 교체될 경우 그에 준하는 인력으로 대체 하여야 함
- 사용자와 협의된 개발 및 유지관리 일정이 상주인력의 기술부족 등에 따라 지연 혹은 불편이 가중된 사실이 명백한 경우, 발주기관은 이를 만회하기 위한 추가인원의 투입을 추가 비용없이 요청할 수 있으며, 용역사업자는 요청 접수일로부터 15일내에 요청사항에 대한 해명 및 추가인원 투입을 통해 개발·유지관리 일정에 차질이 없도록 지원해야 함
- 기성금 지급 시 투입인력의 임금 정상 지급 여부를 검사조건으로 함
- 주관기관은 유지보수 인력이 정당한 업무지시를 이행하지 아니하거나 업무수행에 적절하지 못하다고 판단될 경우 계약업체에게 교체를 요구할 때는 즉시 교체할 수 있어야 하며, 핵심투입인력이 사고․이직․입원 등 업무수행이 불가한 경우에만 계약업체의 인력교체 요청을 허용하는 것으로 하되, 업무인수인계의 철저를 기하기 위해 교체 1개월 전에 동급이상 인력으로 문서 요청해야 함
- 인력 교체가 필요한 경우 2주이상의 업무인계인수 기간을 가져야 함(인계인수 기간 동안 추가 투입된 인력은 계약에 의한 투입인력으로 보지 않음)
- 휴가, 병가, 교육 등의 사유로 1일 이상 인력 공백 발생 시 유사한 경력과 자격을 갖춘 대체 인력을 투입해야 함
|
|
요구사항 고유번호
|
PMR-003
|
|
요구사항 명칭
|
프로젝트 일정 관리
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항
상세설명
|
정의
|
프로젝트 일정관리 요건
|
|
세부
내용
|
ㅇ주관기관이 제시한 추진 일정을 참고하여 최적의 시스템이 구축될 수 있도록
추진 일정계획을 전체일정과 세부일정으로 구분하여 상세하게 제시
ㅇ일정계획 수립 시에는 지연가능 요소를 미리 파악ㆍ분석하여 일정 내에 사업
수행이 가능하도록 해야 함
|
|
요구사항 고유번호
|
PMR-004
|
|
요구사항 명칭
|
리스크 관리
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항
상세설명
|
정의
|
프로젝트 위험관리 요건
|
|
세부
내용
|
ㅇ보안, 일정지연, 품질저하, 장비 변경에 따르는 예산초과 등 리스크 발생을 사전 예방하고 발생 시 사후 대처방안을 제시하여야 함
ㅇ성능상 문제 등으로 H/W 또는 S/W가 변경되는 경우에 대한 사후 대응방안을 구체적으로 제시
ㅇ프로젝트 추진과정에서 요구되는 진척/위험/변경사항의 관리방안 및 지속적으로 문제를 파악 관리할 수 있는 방안 제시
ㅇ데이터 통합 및 이행시 누락데이터 방지계획을 기술적으로 제시
|
|
요구사항 고유번호
|
PMR-006
|
|
요구사항 명칭
|
프로젝트 관리 보안대책
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항
상세설명
|
정의
|
사업 계약단계부터 완료단계까지 준수해야 할 보안대책
|
|
세부
내용
|
ㅇ 사업 계약단계 보안대책 수립
- 사업 수행 계획서에 자료‧장비‧네트워크 보안대책 및 누출금지 대상정보 관리 방안 등 보안관리 세부 계획 작성
- 사업 수행 중에 알게 되는 내부정보 및 하도급 업체에 대한 보안관리 책임을 부담하기 위해 대표자 명의 보안서약서 제출
- 누출금지 대상정보 등 자료‧장비 등에 대한 대외보안이 필요한 경우 용역 계약서와 별도로 비밀유지계약을 체결하여야 함(하도급 계약을 체결하는 경우에도 동일한 비밀유지 의무를 지님)
|
|
<누출금지 대상정보>
|
|
|
|
|
|
① 해당 기관의 정보시스템 내·외부 IP주소 현황
② 정보시스템 구성 현황 및 정보통신망 구성도
③ 개별사용자의 계정·비밀번호 등 정보시스템 접근권한 정보
④ 정보통신망 또는 정보시스템 취약점 분석·평가 결과물
⑤ 정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)
⑥ 암호자재, 암호가 주 기능인 제품 및 정보보호시스템 도입·운용 현황
⑦ 정보보호시스템 및 네트워크장비 설정 정보
⑧ 「공공기관의 정보공개에 관한 법률」 제9조제1항에 따라 비공개 대상정보로 분류된 해당 기관의 내부문서
⑨ 「개인정보보호법」 제2조제1호에 따른 개인정보
⑩ 「보안업무규정」 제4조에 따른 비밀 및 동규정 시행규칙 제16조제3항에 따른 대외비
⑪ 그 밖에 해당 기관의 장이 공개가 불가하다고 판단한 자료
|
※ 정보누출 적발시 「국가계약법」 시행령 제76조에 의거 부정당업자로 등록, 입찰 참자자격 제한 등 제재 조치
ㅇ 참여인원에 대한 보안관리
- 용역사업 참여인원은 개인의 친필 서명이 들어간 보안서약서 및 개인정보보호법 준수를 위한 개인정보 처리위탁 계약서, 개인정보 위탁 보안서약서 제출
- 용역사업 수행전 참여인원에 대해 법적 또는 발주기관 규정에 따른 비밀유지 의무 준수 및 위반시 처벌내용 등에 대한 보안교육 실시
ㅇ 자료에 대한 보안관리
- ‘누출금지 대상정보’는 반드시 ‘자료관리 대장’에 인계자‧인수자가 직접 서명하여 관리하고 사업완료시 관련 자료 회수
- 사업수행에서 생산되는 모든 산출물은 파일서버 또는 보안담당관이 지정한 PC에만 저장‧관리하고 사업담당자가 인가하지 않은 비인가자에게 제공‧대여‧열람 금지
- 발주기관의 보안정책에 P2P, 웹하드 등 인터넷 자료공유사이트 및 상용 메일‧메신저 사용을 금지하고 자료전송이 필요한 경우 자체 전자우편을 이용, 첨부자료 암호화 후 수‧발신
- 매일 퇴근시 발주기관이 제공한 비공개 자료는 반납하고 그 외 자료는 사무실 시건 장치가 된 보관함에 보관
ㅇ 사무실‧장비에 대한 보안관리
- 용역사업 수행 장소는 CCTV‧시건장치 등 비인가자의 출입통제 대책 마련
- 노트북 등 관련 장비를 외부에 반출‧입시 악성코드 감염여부 및 자료 무단반출 여부를 확인하고 관리대장에 반드시 기록
- 인가받지 않은 USB 등의 휴대용 저장매체 사용을 금지하고 산출물 저장을 위해 휴대용 저장매체가 필요한 경우 보안담당관의 승인 하에 사용
ㅇ 원격지 개발 및 유지보수 사업에 대한 보안관리
- 지정된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제
- 지정 단말기는 온라인 용역 통제시스템 접속 전용으로 운용하고, 다른 목적의
인터넷 접속은 차단
- 발주기관내 온라인 용역통제시스템을 경유하여 개발 및 유지보수에 필요한 정보시스템에 접속하는 등 소통구간 보호 통제
- 기타 국가정보원장이 배포한 “국가‧공공기관 용역업체 보안관리 가이드라인”에서 제시된 온라인 개발에 관련된 보안대책의 준수
ㅇ 사업 완료시 보안관리
- 최종 산출물 중 대외보안이 요구되는 자료는 대외비 이상으로 작성‧관리하고 불필요한 자료는 반드시 삭제 및 폐기
- 발주기관에서 제공받은 자료, 장비, 산출물 등 용역 관련 제반자료는 전량 회수하고 용역업체에 복사본 등 별도 보관 절대 금지
- 사업 완료후 업체 소유 PC, 서버의 하드디스크, 휴대용 저장매체, 노트북 등 전자기록 저장매체는 국가정보원이 안전성을 검증한 삭제 SW로 완전 삭제 후 반출
- 용역사업 관련 자료 회수 및 삭제조치 후 업체에게 복사본 등 용역사업 관련 자료를 보유하고 있지 않다는 대표 명의 확약서 제출
ㅇ 본 사업의 “자체 보안대책 강구사항”(보안서약 후 연람)을 준수하여 사업 수행 및 정보시스템에 대한 기술적 보안대책을 강구하고 조치해야 함
ㅇ 재난재해 대비 백업체계 및 운영계획을 수립하여 운영하고 문화정보 백업센터로 소산백업의 구체적 협의ㆍ추진
|
|
요구사항 고유번호
|
PSR-001
|
|
요구사항 명칭
|
교육지원 및 기술지원
|
|
요구사항 분류
|
프로젝트 지원 요구사항
|
|
요구사항
상세설명
|
정의
|
관리자/사용자 교육 및 기술지원
|
|
세부
내용
|
ㅇ계약상대자는 원활한 운영을 위해 소정의 교육을 제공
- 시스템 관리자 대상 교육 : 프로그램 및 개발 내용, 도입 장비 관련 교육
- 업무부서 담당자 대상 교육 : 업무 처리 프로그램 사용 교육
ㅇ계약상대자는 각종 작업 완료와 함께 시험 운영을 실시하고, 그 과정에 주관기관 업무 담당자를 참여시켜 실무교육을 병행해야 함(시스템 운영 및 감시, 백업, 비상복구, 정보관리 등)
ㅇ백업 정책의 수립 등 계획서 제출
- 계약 후 각 재난재해 대비 시스템별 백업체계 및 운영계획을 수립하고 제출하여야 하며 백업 정책(문화정보 백업센터로 소산백업 포함)과 관련된 세부적인 사항은 국립민속박물관과 협의하여 주기적인 백업을 실시할 수 있도록 지원해야 함
ㅇ시스템 운영자에 대한 교육계획 및 일정을 항목별로 제시
ㅇ주관기관의 필요에 따라 요구할 경우 계약대상자는 On-Site 교육을 실시
ㅇ주관기관에서 도입 시스템의 운영 등에 대한 기술 이전 재교육을 요청할 경우 계약상대자는 이에 응하여야 하며, 소요 비용은 계약상대자가 부담
ㅇ구축 시 도입되는 신기술에 대하여 개발 작업 인력 및 시스템 운영자를 대상으로 적절한 교육을 실시
ㅇ과업 수행 및 시스템 구축에 필요한 기술이전 대상과 기술이전 방법 등에 대한 계획 제시
|
|
요구사항 고유번호
|
PSR-002
|
|
요구사항 명칭
|
시스템 산출물 지적재산권 소유
|
|
요구사항 분류
|
프로젝트 지원 요구사항
|
|
요구사항
상세설명
|
정의
|
시스템 산출물에 대한 지적재산권 요건
|
|
세부
내용
|
ㅇ본 용역사업과 관련한 계약목적물의 지식재산권은 주관기관과 사업자가 공동으로 소유하며, 별도의 정함이 없는 한 지분은 균등한 것으로 함
ㅇ다만, 개발의 기여도 및 계약목적물의 특수성(보안, 영업비밀 등)을 고려하여 계약당사자간의 협의를 통해 지식재산권 귀속주체 등에 대해 공동소유와 달리 정할 수 있음
※ <참고:공공저작물 자유이용 고려시> 본 과업수행의 결과로 발생하는 모든 결과물의 지식재산권은 일반용역 계약특수조건 및 용역계약일반조건(계약예규)에 의한다. 다만, 그 결과물이 공공저작물로서 자유이용이 바람직하다고 판단되는 경우, 계약예규 제56조 단서에 따라 추후 협의를 통해「저작재산권 양도계약서」를 체결하여 공동소유와 달리 정할 수 있다.
ㅇ용역수행과 관련한 지식재산권의 상업적 활용의 경우 사업자는 주관기관과의 별도 협의를 통해 복제, 배포, 개작, 전송 등의 사용·수익을 취할 수 있음
ㅇ조달청 지침 “일반용역계약특수조건” 제14조(특허권 또는 저작권의 침해)에 따라 본 용역의 수행에 있어 제3자의 특허권 또는 저작권을 침해하였다하여 손해배상 청구 소송이 제기되면 계약상대자는 배상 및 모든 책임을 진다.
ㅇ공급자는 지식재산권의 활용을 위해 SW산출물의 반출을 요청할 수 있으며, 발주기관에서는 「보안업무규정」 제4조 및 제안요청서에 명시된 누출금지정보에 해당하지 않을 경우 SW산출물을 제공함(단, 공급자는 아래 내용 준수해야 함)
- 공급자는 공급받은 SW산출물에 대하여 제안요청서, 계약서 등에 누출금지정보로 명시한 정보를 삭제하고 활용하여야 하며, 이를 확인하는 공급자 대표명의의 확약서를 발주기관에 제출하여야 함
- 공급자가 반출된 SW산출물을 제3자에게 제공하려는 경우 반드시 발주기관으로부터 사전승인을 받아야 함
- 발주기관은 공급자가 제공받은 SW산출물을 무단으로 유출하거나 누출되는 경우 및 누출금지정보를 삭제하지 않고 활용하는 경우에는 「국가계약법」제76조제2항제3호 및 「지방계약법」제92조제2항제3호에 따라 입찰참가자격을 제한함
|
가. 기본 방침
ㅇ 객관적이고 공정한 기준과 절차와 경쟁에 의한 우수 사업자 선정
ㅇ 공모를 통하여 많은 사업자에게 참여 기회 부여
나. 적용 규정
ㅇ 국가를 당사자로 하는 계약에 관한 법률 및 동 시행령
ㅇ 국가를 당사자로 하는 계약에 관한 법률 시행 규칙
다. 참가 자격(입찰공고문 참조)
ㅇ『국가를 당사자로 하는 계약에 관한 법률』시행령 제12조 및 경쟁 입찰 참가자격을 갖추어야 하며, 조달청 입찰참가 자격등록증 소지업체이어야 함
ㅇ『소프트웨어진흥법』에 의한 소프트웨어 사업(컴퓨터 관련 서비스 사업) 신고업체이어야 함
ㅇ 정보시스템유지관리서비스 직접생산확인증명서 소지자
ㅇ 본 사업은 20억 미만의 사업으로써, 「소프트웨어진흥법」 제48조 및 「중소 소프트웨어사업자의 사업참여 지원에 관한 지침(과학기술정보통신부 고시)」에 의거 중견기업 및 대기업인 소프트웨어 사업자의 입찰 참여가 제한됨(중소기업자만 입찰 참가 가능)
ㅇ 상호출자 제한기업집단에 속하는 회사 참여 제한
ㅇ 제안서 제출 마감일 현재 『국가를 당사자로 하는 계약에 관한 법률』시행규칙 제76조의 규정에 의한 부정당업자의 입찰참가자격 제한을 받는 자는 제외
ㅇ 공동수급 가능(공동이행방식에 한함)
라. 계약 및 낙찰자 결정 방법
ㅇ 계약 방법: 제한 경쟁에 의한 방식
ㅇ 낙찰자 결정 방법: 협상에 의한 계약
ㅇ 근거규정
-「국가를 당사자로 하는 계약에 관한 법률」시행령 제43조 및 제43조의2
-「정부 입찰·계약 집행기준」(기획재정부 계약예규)
-「협상에 의한 계약체결기준」(기획재정부 계약예규)
-「행정기관 및 공공기관 정보시스템 구축․운영 지침」(행정안전부 고시)
-「소프트웨어 기술성 평가기준 지침」(과학기술정보통신부 고시)
-「문화정보화 업무운영 및 이용에 관한 지침」(문화체육관광부 지침)
※ 본 제안요청서에서 별도로 기술하지 아니한 사항은 「협상에 의한 계약체결기준」에 따름
마. 평가 방식
ㅇ 평가 비율: 기술평가(90%), 가격 평가(10%)
ㅇ 종합 평가 점수(100점): 기술능력평가 점수(90점) + 입찰 가격 평가 점수 (10점)
ㅇ 기술능력 평가 점수 만점의 85%(76.5점) 이상을 획득한 업체 중에서 종합 평가 점수가 높은 업체 순으로 협상 적격 업체를 선정하되 협상 적격 업체가 없을 경우, 재공고 입찰에 부칠 수 있다.
ㅇ 동점 시 처리 방침
- 종합 평가 점수가 동점일 경우, 기술 평가 점수가 높은 업체를 선정한다.
- 기술 평가 점수도 동점일 경우, 배점이 높은 기술 평가 항목에서 점수가 높은 업체를 선정한다.
ㅇ 기술평가는 국립민속박물관에서, 가격 평가는 조달청에서 실시한다.
ㅇ 기술평가는 국립민속박물관의 현실과 상황에 맞게 정한 평가 기준에 의하여 평가한다. (기술평가 항목 및 배점: Ⅳ. 2항 참조)
ㅇ 평가 위원 명단은 공개하지 않으며 제안 업체는 평가 결과에 이의를 제기할 수 없다.
ㅇ 기술평가 점수는 평가 위원이 평가한 점수 중 최고, 최저 점수를 제외한 나머지 점수를 산술 평균하여 산출한다.
ㅇ 평가 점수에서 소수점 이하가 있는 경우, 소수점 다섯째자리에서 반올림한다.
ㅇ 협상 순서는 종합 평가 점수의 고득점 순으로 하되 협상이 성립될 경우, 다른 협상 적격 업체와 협상하지 않는다.
ㅇ 모든 협상 적격 업체와 협상 결렬 시, 재공고 입찰에 부칠 수 있다.
바. 유의 사항
ㅇ 제안서의 모든 기재 사항은 객관적으로 입증할 관련 서류를 첨부하여 사실을 기재하여야 하며 허위로 작성한 사실이 판명될 시에는 관련 규정에 따라 처리된다.
ㅇ 제안 업체는 제안 요청 사항 등 계약에 필요한 모든 사항에 관하여 계약 전에 완전히 숙지하여야 하며 이를 숙지하지 못한 책임은 제안 업체에 있다.
ㅇ 선정 결과는 최종 선정 업체에 한하여 개별 통보한다.
ㅇ 필요 시 선정된 제안서에 대하여 복수 경쟁 제안 업체의 장점 및 제안 요청 시 누락 사항, 추진 일정 등을 제안 업체와 협의, 조정할 수 있다.
ㅇ 작업 인력의 장소 및 원격지 근무 등에 대해서는 국립민속박물관과 최종 선정 업체가 상호 협의하여 결정한다.
ㅇ 소프트웨어진흥법 재51조 및 같은 법 시행 규칙 제14조, 소프트웨어 사업 계약 및 관리감독에 관한 지침(과학기술정보통신부 고시)의 규정에 따라 최종 선정 업체가 하도급을 하고자 할 때에는 하도급 계약 전에 국립민속박물관으로부터 서면으로 사전 승인을 받아야 한다.
ㅇ 본 과업은 하도급 가능 사업으로 계약상대자는 대가를 지급받은 경우 15일 이내에 하도급대금을 하수급인에게 현금으로 지급하여야 하며, 하도급대금의 지급 내역(수령자, 지급액, 지급일 등)을 5일(공휴일 및 토요일은 제외한다) 이내에 계약담당공무원에게 통보하여야 한다.
ㅇ 본 사업의 과업의 일부를 하도급하려는 경우 「소프트웨어진흥법」 제51조에 따라 사업금액의 100분의 50을 초과할 수 없으며, 제51조 제3항에 따라 재하도급은 원칙적으로 불허함. 다만, 같은 법 제51조의 제2항 및 제3항 각 호에 해당하는 경우 그러하지 아니함.
ㅇ 본 사업 과업의 일부를 하도급하려는 경우 입찰 시 및 계약체결 시 「소프트웨어 사업 계약 및 관리감독에 관한 지침」(과학기술정보통신부 고시) 의 별지 서식 제7호의 소프트웨어사업 하도급계획서를 제출하여야 함
ㅇ 하도급계약의 승인을 신청하는 경우,「소프트웨어 사업 계약 및 관리감독에 관한 지침」(과학기술정보통신부 고시) 별표 3에 따른 [하도급계약의 적정성 판단 세부기준]에 따라 적정성여부를 판단하며, 평가점수가 85점 이상인 경우에 한하여 하도급계약을 승인함. 다만, 85점 이상인 경우라 하더라도 하도급 계약의 세부 조건 등으로 인하여 사업의 원활한 수행이 불가능하다고 인정되는 경우 그 사유를 기재하여 하도급 승인 거절을 통보할 수 있음.
ㅇ 본 사업에서 전체 사업금액 대비 10%를 초과하여 하도급하려는 경우,「소프트웨어진흥법」제51조 6항에 따라 하수급인과 공동수급체를 구성하여 참여해야하며, 공동수급체를 구성하지 못하는 불가피한 사정이 있는 경우 그 사유를 제시하여야 함
ㅇ 본 사업은 「소프트웨어 진흥법」 제50조에 따른 과업내용 확정을 위하여 과업심의위원회를 개최한 사업이며, 「소프트웨어 진흥법」 및 같은법 시행령 에 따른 과업내용 변경 및 그에 따른 계약금액·계약기간 조정이 필요한 경우, 계약상대자는 국립민속박물관장에게 소프트웨어사업 과업변경요청서를 제출하여야 하며, 국립민속박물관장은 과업심의위원회 개최 요청에 대해서 특별한 사정이 없으면 수용해야 함
|
정량적 평가 기준(10)
|
|
평가부문
|
평가항목
|
평가기준
|
|
경영상태
(10)
|
경영 상태
(10)
|
신용평가등급에 의한 신용상태로 평가한다.
|
|
정성적 평가 부문(80)
|
|
평가부문
|
평가항목
|
평가기준
|
|
전략 및 방법론
(15)
|
사업 이해도
(5)
|
사업의 특성 및 목표에 대해 주변 환경분석과 업무내용의 연관관계의 이해를 바탕으로 일관성 있는 방향과 전략을 제시하고 있는가를 평가한다.
|
|
추진 전략
(5)
|
개발업무 수행 시 위험요소를 고려하여 얼마나 창의적이며 타당한 대안을 제시하였는가를 평가한다.
|
|
적용 기술
(5)
|
사업에서 적용하고자 하는 기술이 향후 확장성 및 재사용성을 고려하여 현실적으로 실현 가능하게 제시되어 있는지를 평가한다.
|
|
기술 및 기능
(28)
|
시스템운영
요구 사항
(10)
|
시스템 운영 요구 사항에 맞는 운영 절차 및 방법을 제시하였는지 평가한다. 또한 운영 중 비상사태 발생 시 대응방안이 구체적으로 제시되고 있는지를 평가한다.
|
|
보안 요구
사항 및 기밀보안
(10)
|
기술적 보안 구현방안이 제안요청서의 보안요구사항을 충족할 만큼 구체적이고 적절한지 평가한다. 또한, 구현방안이 설계단계부터 구현 및 검증단계까지 고려하고 있는지 평가한다. 웹취약점 점검 진단도구 등 방법의 적정성, 소프트웨어 개발보안 관련 교육여부 및 계획을 포함하여 평가함
|
|
데이터 요구
사항
(5)
|
데이터 전환 계획 및 검증 방법, 에러 데이터 처리 방법에 대해 구체적인 내용을 제시하고 있는가를 평가하며, 데이터 전환을 위해 책임 조직이 투입되는가를 평가한다.
|
|
제약 사항
(3)
|
제약사항 충족도는 기능 및 품질 등 요구사항을 구현 시 관련 제약사항을 충족시키며 구현 방안 및 테스트 방안을 구체적으로 기술하였는가를 평가한다.
|
|
성능 및 품질
(15)
|
성능 요구
사항
(5)
|
구현하고자 하는 기능을 통해 요구 성능이 충족되도록 방법론 및 분석 도구를 통하여 구체적인 내용으로 분석되고 구현 및 테스트 방안이 구체적으로 기술되어 있는가를 평가하고, 제안한 방안 및 기술을 통해 요구 성능을 충족시킬 수 있는지를 평가한다.
|
|
품질 요구
사항
(5)
|
제공되는 분석 도구 및 구현 방안, 테스트 방안이 구체적으로 기술되어 있는가를 평가하고, 분석ㆍ설계 등 각 단계별 품질 요구사항의 점검 및 검토 방안이 구체적으로 계획되어 있는가를 평가한다. 또한 각 단계마다 품질 요구사항을 점검하는 별도의 전문 인력이 투입되는가를 평가한다.
|
|
인터페이스
요구 사항
(5)
|
시스템 인터페이스 : 타 시스템과의 연계 방안들에 대한 장ㆍ단점의 분석을 통해 가장 적합한 방안이 구체적으로 기술되어 있는가를 평가하고, 구현 경험이 있는 인터페이스 담당자가 투입되는지 평가한다.
사용자 인터페이스 : 사용자 편의성을 고려하여 요구사항을 제공하기 위한 분석 및 설계, 구현 방안과 검토 계획을 구체적으로 기술하였는가를 평가하고, 구현 경험이 있는 사용자 인터페이스 담당자가 투입되는지 평가한다.
|
|
프로젝트 관리
(10)
|
관리
방법론
(5)
|
사업위험, 사업진도, 사업수행시 정보 보안(개인정보 포함)을 관리하는 방법, 사업수행 성과물이나 산출물의 형상 및 문서를 관리하는 방법 등을 평가한다.
|
|
일정 계획
(5)
|
사업수행에 필요한 활동을 도출하여 정확한 활동 기간의 산정과 도출된 활동 간의 배열이 합리적인지, 중간목표가 적정하게 제시되어 있는지, 각 활동에 적합한 자원이 적절히 할당되어 있는지 등을 평가한다.
|
|
프로젝트 지원
(12)
|
교육 훈련
(4)
|
시스템 공급자가 시스템 운영 및 관리자를 위해 제공 및 지원하는 각종 교육훈련의 방법, 내용, 일정 및 조직 등에 대해 평가한다.
|
|
유지 보수
(4)
|
시스템 공급자가 제시하는 하자보수 및 유지보수 계획, 조직, 절차, 범위 및 기간과 이와 관련된 기타의 활동 및 그 제한사항에 대해 평가한다.
|
|
비상 대책
(4)
|
시스템 공급자가 안정적인 시스템 운영을 위해 제시하는 각종 백업/복구 및 장애대응 대책에 대하여 평가한다.
|
|
[별표 8] 경영상태 평가기준(제9조제3항제1호 관련)
경영상태 평가기준(제9조제3항제1호 관련)
|
신용평가등급
|
평점
|
|
회사채
|
기업어음
|
기업신용평가등급
|
|
AAA, AA+, AA0, AA-
A+, A0, A-, BBB+, BBB0
|
A1, A2+, A20,
A2-, A3+, A30
|
AAA, AA+, AA0, AA-,
A+, A0, A-, BBB+, BBB0
|
배점의 100%
|
|
BBB-, BB+, BB0, BB-
|
A3-, B+, B0
|
BBB-, BB+, BB0, BB-
|
배점의 95%
|
|
B+, B0, B-
|
B-
|
B+, B0, B-
|
배점의 90%
|
|
CCC+ 이하
|
C 이하
|
CCC+ 이하
|
배점의 70%
|
* 등급별 평점이 소수점 이하의 숫자가 있는 경우 소수점 다섯째자리에서 반올림 함
[주]
1.「신용정보의 이용 및 보호에 관한 법률」제4조제1항제1호 또는「자본시장과 금융투자업에 관한 법률」제335조의3에 따라 업무를 영위하는 신용조회사 또는 신용평가사가 입찰공고일 이전에 평가하고 유효기간 내에 있는 회사채, 기업어음 및 신용평가등급으로 평가하되, 가장 최근의 신용평가등급으로 평가한다. 다만, 가장 최근의 신용평가등급이 다수가 있으며 그 결과가 서로 다른 경우에는 가장 낮은 등급으로 평가한다.
2. 신용평가등급 확인서가 확인되지 않은 경우에는 최저등급으로 평가하며, 유효기간 만료일이 입찰공고일인 경우에도 유효한 것으로 평가한다.
3. 주 1에도 불구하고, 합병 또는 분할한 자가 입찰공고일 이전에 평가한 신용평가등급이 없는 경우에는 입찰서 제출 마감일 전일까지 발급된 유효기간 내에 있는 가장 최근의 신용평가등급으로 평가한다. 다만, 합병 후 새로운 신용평가등급이 없는 경우에는 입찰공고일 이전에 평가하고 유효기간 내에 있는 신용평가등급으로서 합병 대상자 중 가장 낮은 신용평가등급을 받은 자의 신용평가등급으로 평가한다.
4. 추정가격이 고시금액 미만인 입찰에서 입찰공고일을 기준으로 최근 7년 이내에 사업을 개시한 창업기업에 대해서는 신용평가등급 점수상의 배점 한도를 부여한다. 이 경우 창업기업에 대한 기간계산은 법인인 경우에는 법인등기부상 법인설립등기일을, 개인사업자인 경우에는 사업자등록증명서상 사업자등록일을 기준으로 한다.(이하 창업기업에 대한 기간계산은 같다)
5. 공동수급체의 경우 구성원별 해당 점수에 지분율을 곱한 후 그 점수들을 합산하여 최종 평가하고, 평가 결과 소수점 이하의 숫자가 있는 경우 소수점 다섯째자리에서 반올림 한다.
(예) (A사 점수×A사 지분율)+(B사 점수×B사 지분율)…
|
가. 제안서 제출 마감 일시 및 장소, 제출 서류
o 제출 서류는 제안내용(제안서, 발표자료 등 포함)을 모두 포함하여 전자조달시스템 또는 발주기관의 정보처리장치를 이용하여 제출
o 이 외의 기타 사항은 조달청 입찰 공고에서 별도로 정하는 바에 따른다.
o 제안요청 설명회는 진행하지 않으며, 기타 제안요청과 관련된 모든 질의는 국립민속박물관에서 답변함. 그 밖의 다른 경로로 얻어지는 정보는 공식적인 것이 아니며 부정확할 수 있음. 이로 인한 제안서 요건에 맞지 않는 등의 불이익은 전적으로 제안 업체가 책임을 지며 부적격 판정의 사유가 될 수 있음(질의는 제안서 제출마감일 1일전까지 가능)
나. 제안서의 효력
o 제출된 제안서의 내용은 국립민속박물관이 요청하지 않는 한 변경할 수 없으며 계약체결 시 계약문서의 효력을 가짐.
o 국립민속박물관은 필요 시 제안 업체에 대하여 추가 자료를 요청할 수 있고 이때 제출된 자료는 제안서와 동일한 효력을 갖는다.
다. 유의 사항
o 제안서 용지 크기는 A4 용지 기준, 기본적으로 단색(필요 시 컬러), 300페이지 이내(권장)로 작성해야 한다.
o 제출된 제안서는 일체 반환하지 않으며 본 제안과 관련된 일체의 소요 비용은 제안 업체의 부담으로 한다.
o 제안 내용에 대한 확인을 위하여 추가 자료 요청 또는 현지 실사를 요구할 수 있으며 제안 업체는 이에 응해야 한다.
o 제안서의 내용을 객관적으로 입증할 수 있는 관련 자료는 제안서의 별첨으로 제출이 가능하다.
o 제안요청서의 모든 내용은 제안서에서 명백하게 배제된 경우를 제외하고는 묵시적으로 승인되어 제안서에 포함된 것으로 간주한다.
o 기타 사항은 국가를 당사자로 하는 계약에 관한 법률 및 동법 관련 규정에 의한 계약 일반조건 등을 준용한다.
라. 문의처
o 담당 부서: 국립민속박물관 민속기획과
o 담당자 및 연락처: 주성국 주무관 (☎ 02-3704-3027, sungkuk@korea.kr)
가. 제안서 작성 지침(권고사항)
o 제안서 작성은 제안서 작성 지침을 참조하여 작성하되 지정된 목차 순으로 작성한다.
o 작성 항목 중 해당 사항이 없는 경우 작성 항목 목차는 그대로 유지하고 내용 작성 부분에 해당 사항 없음으로 기술해야 한다.
o '~ 할 수 있다.', '~를 고려한다.' 등 애매모호한 표현은 불가한 것으로 간주하여 평가하며 계량화가 가능한 것은 계량화해야 한다.
o 제안서는 대한민국 표준어로 작성하여야 하며 필요시 영문 표기를 병행할 수 있다.
o 각 쪽에는 쉽게 참조할 수 있도록 페이지 하단 중앙에 일련번호를 붙이되 각 장별로 부여한다.
o 제안서 작성 시 여러 안을 제안할 수 있으나 반드시 장단점을 기술하고 판단을 결정한 다음 1개 안을 채택하여 그에 대한 명확한 이유를 명시해야 한다.
o 제출한 제안서는 반납하지 않으며 특별히 요구하지 않는 한 제출 기한 후 어떠한 추가 자료도 접수하지 않는다.
|
Ⅰ. 일반현황
1. 제안사 일반현황
2. 제안사의 조직 및 인원
3. 수행조직 및 업무분장
Ⅱ. 전략 및 방법론
1. 사업 이해도
2. 추진전략
3. 적용기술
4. 표준 프레임워크 적용
5. 개발 방법론
Ⅲ. 기술 및 기능
1. 시스템 장비구성 요구사항
2. 기능 요구사항
3. 보안 요구사항
4. 데이터 요구사항
5. 시스템 운영 요구사항
6. 제약사향
Ⅳ. 성능 및 품질
1. 성능 요구사항
2. 품질 요구사항
3. 인터페이스 요구사항
4. 테스트 요구사항
Ⅴ. 프로젝트 관리
1. 관리방법론
2. 관리역량
3. 일정계획
4. 개발장비
Ⅵ. 프로젝트지원
1. 품질보증
2. 시험운영
3. 교육훈련
4. 유지보수
5. 하자보수
6. 기밀보안
7. 비상대책
Ⅶ. 기타사항
|
나. 제안서 목차 및 작성 방법
다. 세부 작성지침
|
항 목
|
작 성 방 법
|
|
Ⅰ. 일반현황
|
|
1. 제안사 일반현황
|
제안사의 일반현황 및 주요 연력, 최근 3년간의 자본금 및 부문별(컨설팅, 개발 등) 매출액, 유사사업 수행내역 등을 명료하게 제시하여야 한다. [붙임 1, 2호 서식]
- 본 사업과 관련이 있는 3년 이내의 유사사업 수행내역 제시
|
|
2. 제안사의 조직 및 인원
|
제안사(컨소시엄 포함)의 조직 및 인원현황을 제시하여야 한다.
|
|
3. 수행조직 및 업무분장
|
본 사업을 수행할 조직 및 업무분장 내용을 상세히 제시하여야 한다.
- 용역책임자는 임원급으로 제시
- 제안사가 하도급 의사가 있는 경우, 해당 업무 및 (예상)하도급 업체를 제시
- 컨소시엄 업체가 있는 경우 업무분장 내역에 공동수급업체별 참여비율을 명시
|
|
Ⅱ. 전략 및 방법론
|
|
1. 사업 이해도
|
제안사는 해당사업의 제안요청 내용을 명확하게 이해하고 본 제안의 목적, 범위, 전제조건 및 제안의 특징 및 장점을 요약하여 기술하여야 한다. 목표시스템 구성도 및 구성체계를 제시하여야 한다.
|
|
2. 추진전략
|
제안사는 사업을 효과적으로 수행하기 위한 추진전략(위험요소를 고려하여 창의적이고 타당한 대안)을 제시하여야 한다.
|
|
3. 적용기술
|
제안사는 사업수행을 위한 주요 적용기술 및 세부 개발방법론, 적용기술의 실현가능성 등을 제시하여야 한다. 대상업무별 개발방안(통합/연계 범위 관련 적절한 방안 제시 등), Prototype 구현 등 개발에 대한 전반적인 방안을 제시한다.
|
|
4. 표준 프레임워크 적용
|
제안사는 사업에 적용될 표준프레임워크 및 공통컴포넌트의 사용 계획과 예상되는 문제점을 기술하고 실현가능한 대응방안을 제시하여야 한다.
※ 미 사용시에는 적정한 사유를 제시
|
|
5. 개발방법론
|
업무개발에 적용할 방법론의 활용방안을 제시하여야 하며, 방법론의 적용 경험을 기술한다.
개발방법론에 따른 제출할 산출물의 종류 및 내역, 제출시기를 기술한다.
|
|
Ⅲ. 기술 및 기능
|
|
1. 시스템 장비구성 요구사항
|
시스템을 하드웨어부문, 소프트웨어 부문, 기타부문 등으로 구분하여 각 구분별 구성장치의 사양 ,기능, GS인증제품 제안내역 등을 제시하고 도입장비의 설치 및 공급계획, 도입 장비의 유지보수 방안을 기술하여야 한다.(특히, 장비의 최대사양 중 제안 사양을 명확히 제시)
|
|
2. 기능 요구사항
|
방법론 및 분석 도구를 통하여 구체적인 내용으로 분석되고 구현 방안이 구체적인 기술, 제안한 방안 및 기술의 적용방안을 제시하여야 한다.
|
|
3. 보안 요구사항
|
보안요구사항 및 시스템과의 관련성을 분석하고 적용할 보안기술, 표준, 제안방안 등을 구체적으로 제시하여야 한다.
사업을 추진하는 동안 발생할 수 있는 악영향으로부터 기밀을 보호하고 원활한 사업수행의 보장을 위한 물리적, 관리적 보안 체계 및 대책이 구체적으로 기술하여야 한다.
|
|
4. 데이터 요구사항
|
데이터 전환 계획 및 검증 방법, 에러 데이터 처리 방법에 대해 구체적인 내용을 제시하여야 한다.
|
|
5. 시스템 운영 요구사항
|
시스템 운영과 관련된 필요사항, 경험, 고려사항 및 유사시 대응책 등을 제시하여야 한다.
|
|
6. 제약사항
|
기능 및 품질 등 요구사항 구현 시 관련 제약사항과 대응방안을 구체적으로 기술 하여야 한다.
|
|
Ⅳ. 성능 및 품질
|
|
1. 성능 요구사항
|
구현하고자 하는 기능을 통해 요구 성능이 충족되도록 방법론 및 분석 도구, 구현 및 테스트 방안을 구체적으로 제시하여야 한다.
|
|
2. 품질 요구사항
|
분석·설계 등 각 단계별 품질 요구사항의 점검 및 검토 방안을 구체적으로 제시하여야 한다.
|
|
3. 인터페이스 요구사항
|
내·외부 연계를 포함하여 시스템 및 사용자 인터페이스 요구사항에 대해 구체적인 제안내용을 제시하여야 한다.
|
|
4. 테스트 요구사항
|
도입되는 장비의 성능 테스트(BMT) 또는 구축된 시스템이 목표 대비 제대로 운영 되는가를 테스트하고, 점검하기 위한 테스트 요구사항을 기술한다.
목표시스템의 테스트 유형(단위 테스트, 통합 테스트, 시스템 테스트, 성능 테스트 등) 테스트 환경, 방법, 절차 등 요구사항을 기술한다.
|
|
Ⅴ. 프로젝트 관리
|
|
1. 관리방법론
|
사업위험, 사업진도, 사업수행시 보안을 관리하는 방법, 사업수행 성과물이나 산출물의 형상 및 문서를 관리하는 방법 등을 구체적으로 제시하여야 한다.
※ 분리발주 사업이 있는 경우, 분리발주사업자와의 구체적인 협력방안 제시
|
|
2. 관리역량
|
프로젝트 관리자(PM)의 타 프로젝트 사업관리 실적, 유사 프로젝트 관리 경험, 의사소통 능력 등 프로젝트 관리 역량을 제시하여야 한다.
|
|
3. 일정계획
|
사업수행에 필요한 활동을 도출하여 정확한 활동 기간, 자원, 조직 등을 제시 하여야 한다.
|
|
4. 개발장비
|
사업자의 참여 의지 및 조직적 대응 정도, 사업참여의 준비성과 관련하여 개발환경의 구성여부와 해결방안을 명확히 제시하여야 한다.
|
|
Ⅵ. 프로젝트 지원
|
|
1. 품질보증
|
조직, 인원, 방법, 절차 등 해당 사업의 수행을 위한 품질보증 방안을 제시하여야 한다.
※ 국제 소프트웨어 개발 프로세스 품질인증 획득 여부 등 사업자 품질보증 능력을 기술
|
|
2. 시험운영
|
대상 업무별 단위시험, 통합시험 등에 대한 전반적인 방안을 제시하여야 하고, 개발완료 후의 시스템의 이용 및 관리운영에 관한 전반적인 방안을 제시한다.
|
|
3. 교육훈련
|
사용자, 관리자 등 시스템의 이용대상자별로 구분하여 교육훈련 방법, 내용, 교육일정, 교육훈련 조직 등을 상세히 제시하여야 한다.
|
|
4. 유지보수
|
하자보수 및 유지보수 계획, 조직, 절차, 범위 및 기간과 이와 관련된 기타의 활동 등을 종합적으로 제시하여야 한다.
|
|
5. 하자보수
|
시스템 공급자가 제시하는 하자보수 계획, 절차, 범위 및 기관과 이와 관련된 기타의 활동 및 그 제한사항 및 대책 등을 제시하여야 한다.
|
|
6. 기밀보안
|
기밀보안 체계 및 대책, 저작권 존중여부 명시, 시스템 보안성 확보방안과 개인정보보호 대책을 제시하여야 한다.
|
|
7. 비상대책
|
안정적인 시스템 운영을 위하여 백업/복구 및 장애대응 대책을 제시하여야 한다.
|
|
Ⅶ. 기타
|
|
기타
|
상기항목에서 제시되지 않은 기타 내용을 기술한다.
|
[서식 제1호] 일반 현황 및 연혁
|
회사명
|
|
대표자
|
|
|
사업 분야
|
|
|
주소
|
|
|
전화번호
|
|
|
회사
설립 연도
|
년 월
|
|
해당 부문
종사 기간
|
년 월 ~ 년 월 ( 년 개월 )
|
|
주요 연혁
|
|
|
[서식 제2호] 자본금 및 매출액 (최근 3년)
|
( 단위: 천 원 )
|
|
구분
|
202 년도
|
202 년도
|
202 년도
|
|
자본금
|
|
|
|
|
매출액
|
부문
부문
부문
부문
부문
|
|
|
|
|
합계
|
|
|
|
[서식 제3호] 제안사 경영상태
|
구 분
|
신용평가등급
|
비고
|
|
회사채
|
|
|
|
기업어음
|
|
|
|
기업신용
|
|
|
<유의사항>
※「신용정보의 이용 및 보호에 관한 법률」제4조 제1항 제1호 또는 제4호의 업무를 영위하는 신용정보업자가 입찰공고일 이전에 평가한 유효기간 내에 있는 회사채, 기업어음, 기업신용평가등급 중 가장 최근의 신용평가등급으로 평가한다.
※‘신용평가등급 확인서’가 확인되지 않은 경우에는 최저등급으로 평가하며, 유효기간 만료일이 입찰공고일인 경우에도 유효한 것으로 평가한다.
※합병한 업체에 대하여는 합병후 새로운 신용평가등급으로 심사하여야 하며 합병후의 새로운 신용평가등급이 없는 경우에는 합병대상업체 중 가장 낮은 신용평가등급을 받은 업체의 신용평가등급으로 심사한다.
[서식 제4호] 주요 사업 실적
- 현재 수행 중인 사업도 포함하여 연도 순으로 기재하며 본 사업과 유관한 실적만 기재한다.
- 최근 3년(공고일 기준)의 사업 실적 중 유사 사업(전산시스템 유지관리)은 빠짐없이 기재한다.
- 하도급은 발주처가 승인한 경우에 한하며 비고 안에 원도급 회사를 기재한다.
- 공동 도급 계약일 경우에는 계약 금액란에 제안 업체의 지분만을 기재한다.
- 사업별 사용한 개발 방법론이 있을 경우 비고에 기재한다.
- 한국소프트웨어산업협회에서 발행하는 이행 실적 확인서를 가능한 활용해야 한다.
- 실적을 확인할 수 있는 실적 증명서, 계약서 등의 증거 자료를 제출해야 하며 확인이 불가능한 실적은 인정하지 않는다.
- 실적 증명 자료는 붙임으로 첨부해야 하며 실적 증명 자료에 페이지를 명시하고 주요 사업 실적 비고에 해당 페이지를 기재해야 한다.
[서식 제5호] 참여 인력 이력 사항
|
성명
|
|
소속
|
|
|
직책
|
|
해당 분야 근무 경력
|
년 개월
|
|
자격증
|
|
기술등급
|
|
|
본 사업 참여 임무
|
|
사업 참여 기간
|
|
참여율
|
%
|
|
경력
|
|
사업명
|
참여 기간
(연.월. ~ 연.월.)
|
담당 업무
|
발주처
|
비고
|
|
|
|
|
|
|
- “파견 근로자 보호 등에 관한 법률” 등에 의한 파견 근로자인 경우에는 파견 업체명과 원 소속사를 함께 명시하여야 한다.
- 경력은 해당 분야 근무 경력을 파악할 수 있도록 기재한다.
- 자격증, 경력 및 수행 업무와 관련된 사항을 증명할 수 있는 자료를 붙임으로 첨부하여야 하며 첨부되지 않은 자료에 대해서는 인정하지 않는다.
- 소속 회사에 대한 재직 증명서를 붙임으로 첨부해야 한다.
[서식 제6호] 소프트웨어사업 하도급 계획서
|
[별지 제2호서식]
|
|
|
소프트웨어사업 하도급 계획서
|
|
사업명
|
|
사업기간
|
개월
|
|
입찰자
(공동수급체 대표)
|
상호
|
|
대표자
|
|
|
사업자등록번호
|
|
소재지
|
|
|
하도급 예정 계획
|
|
번호
|
입찰자
|
하수급인
상호
|
하도급 계약명
|
하도급 기간
|
입찰금액 대비 하도급예정액 비율
|
|
1
|
|
|
|
개월
|
%
|
|
2
|
|
|
|
개월
|
%
|
|
3
|
|
|
|
개월
|
%
|
|
합계
|
|
|
|
개월
|
%
|
|
직접 물품 구매 예정 계획
|
|
번호
|
구분
(HW․설비․상용SW)
|
물품명
|
제조사
(개발사)
|
수량
|
구매시기
|
물품 구매
예정액
|
|
1
|
|
|
|
|
|
원
|
|
2
|
|
|
|
|
|
원
|
|
합계
|
|
|
|
|
|
원
|
|
- 입찰자가 공동수급체인 경우 공동수급체 구성원(대표 포함)의 하도급 예정 계획 명시
- 단순 물품의 구매․설치 용역 등, 신기술 또는 전문기술 등을 하도급에 포함하여 작성
- 직접 물품 구매 예정 계획은 입찰자가 직접 구매하는 물품에 한함
- 하도급 예정액 비율 합계 50% 초과 예외사유 : _______________________________________
- 입찰금액 대비 하도급 예정액 비율 = 하도급 예정액/(입찰금액-물품 구매 예정액) X 100
|
|
「소프트웨어사업 계약 및 관리감독에 관한 지침」제19조에 따라 소프트웨어사업 하도급 계획서를 제출합니다.
년 월 일
|
|
공동수급체 대 표 상 호 :
대표자 : (서명 또는 인)
공동수급체 구성원 상 호 :
대표자 : (서명 또는 인)
공동수급체 구성원 상 호 :
대표자 : (서명 또는 인)
|
|
발주기관의 장 귀하
|
|
|
|
제출서류
|
- 물품 공급확약서 각 1부
|
|
※ 유의사항
- 입찰자의 입찰 금액 대비 하도급 예정금액 합계의 비율은 「소프트웨어 진흥법」제51조제1항에 따라 총 계약 금액의 50%를 초과할 수 없습니다. 단, 동 조 제2항의 각 호에 해당하는 경우에는 그러하지 아니합니다. 이 경우 예외사유를 기재합니다.
- 수급인은 직접 물품 구매 예정 계획에 기재한 사항에 대해 이를 증명할 수 있는 물품 공급 확약서 등을 국가기관등의 장에게 제출하여야 합니다. 제출한 서류가 미비한 경우 국가기관등의 장은 해당 서류의 보완을 요청할 수 있으며, 해당 서류를 제출하지 않거나 제출한 서류를 검토한 결과 직접 구매하지 않은 경우 해당 금액은 하도급 제한 비율로 산정됩니다.
- 소프트웨어사업자는 입찰 금액 대비 하도급 예정금액 비율이 「소프트웨어 진흥법」 제51조의제6항 및 같은 법 시행령 제48조의5에 따라 10%를 초과할 경우, 공동수급체 구성원으로 참여할 수 있습니다.
- 하도급 예정 계획이 많아 지면이 부족할 경우 별도 서식을 첨부할 수 있습니다.
|
|
210㎜×297㎜(백상지 80g/㎡)
|
[별표 3]
하도급계약의 적정성 판단 세부기준(제19조 관련)
Ⅰ. 자격의 적정성
|
판단항목
|
세부 판단 항목
|
세부 판단 기준 및 방법
|
|
(재)하수급인의 자격
|
참가제한
|
o 「국가계약법」또는 「지방계약법」에 따라 하수급인이 부정당업자로 지정되어 입찰참가제한 중인 경우
|
감점
(-25점)
|
Ⅱ. 수행능력의 적정성
|
판단항목
|
세부 판단 항목
|
세부 판단 기준 및 방법
|
|
(재)하수급인의
사업수행
능력
(40점)
|
사업수행
실적
(30점)
|
1-1 하수급인의 최근 3년간 유사사업 수행실적
※ 하도급 계약금액 대비 최근 3년간 유사사업 수행실적 합산액의 비율을 기준으로 평가
|
100%이상
|
100%미만~
80%이상
|
80%미만~
60%이상
|
60%미만~
50%이상
|
50%미만
|
|
30점
|
28점
|
26점
|
25~16점
|
15점
|
1-2 하도급 사업 투입 인력 중 해당 사업과 유사사업 수행에 1건 이상 참여한 경험이 있는 인력비율
|
70%이상
|
70%미만~
60%이상
|
60%미만~
50%이상
|
50%미만~
40%이상
|
40%미만
|
|
30점
|
28점
|
26점
|
25~16점
|
15점
|
※ 계약상대자는 1-1, 1-2 중 택일하여 판단요청 가능
※ 증빙서류 미제출 시 0점 처리
|
|
고용안정
및 적법근로
(10점)
|
② 하도급사업 투입인력 전원의 고용보험 가입 등 관련법 준수 여부
1.「고용보험법」 제15조에 따른 고용보험 가입
2. 파견근로자의「파견근로자보호 등에 관한 법률」 제7조에 따른 근로자파견사업 허가업체 소속 확인 및 고용보험 가입
3.「고용보험법」 제10조에 따라 고용보험법이 적용되지 않는 인력의 경우 이를 증명하는 서류
4. 대표자의 경우 사업자 등록증
※ 하도급 사업 투입인력이 각 호를 충족하지 못하는 경우 0점 처리
|
Ⅲ. 계약의 공정성
|
(재)하도급
계약방식
(60점)
|
하도급
대금지급
방식의 적정성
(30점)
|
① 원도급 계약의 대금지급 방식 대비 하도급계약의 대금지급 방식의 일치 여부
- ㉮ 대금지급 방식 (현금/어음 등), ㉯ 지급시기, ㉰ 지급률 (선금/중도금/잔금)
|
㉮불일치
(㉯,㉰일치 여부 무관)
|
㉮, ㉯, ㉰
전부 일치
|
㉮는 일치하고
㉯, ㉰ 중 1개 일치
|
㉮는 일치하고
㉯, ㉰ 전부 불일치
|
|
0점
|
30점
|
15점
|
0점
|
※「(계약일반)용역계약 일반조건」제27조의2 또는「하도급 거래 공정화에 관한 법률」제6조제1항 또는 제13조에 따른 적법한 기일(15일)이내 지급시기를 결정한 경우 ㉯와 일치 간주
※ 원도급 사업의 계약대금 지급방식보다 하도급 계약대금의 지급방식이 하수급인에게 유리한 경우에는 ㉯와 ㉰ 전부 일치 간주
|
|
하도급 금액의
적정성
(30점)
|
② 원도급의 하도급예정액 대비 하도급계약금액의 비율(부분하도급률)
|
95%이상
|
95%미만~
90%이상
|
90%미만~
85%이상
|
85%미만~
80%이상
|
80%미만~
70%이상
|
70%미만
|
|
30점
|
25점
|
20점
|
15점
|
10점
|
5점
|
1. 부분하도급률(%) = (하도급계약금액/하도급예정액) × 100
2. 하도급예정액 : 국가기관등과 수급인간 계약서(산출내역서)상의 총 계약금액 중
각각 하도급 되는 예정금액
3. 하도급계약금액 : (재)하도급 계약 시 계약서상의 명시된 계약금액
|
Ⅳ. 기타
|
기타
|
가 점
(최대 5점)
|
① 최근 3년간 하수급인이 유효기간 내에 있는 소프트웨어 관련 인증을 획득한 경우(가점 2점)
※소프트웨어 관련 인증: 소프트웨어프로세스(SP), 소프트웨어 품질인증(GS 1등급, 2등급), 정보보호시스템인증(CC), 국가정보원 검증/지정, 신기술인증(NET), 신제품인증(NEP) 등 국가인증 및 국제표준인증 등
|
|
② 최근 3년간 하수급인의 정부․지자체․공공기관 수상경력(회당 1점)
|
[서식 제7호]
[○] 기술적용계획표, [ ] 기술적용결과표
|
사업명
|
2026년도 국립민속박물관 업무시스템 유지관리
|
|
작성일
|
2025. 9.
|
□ 법률 및 고시
|
구분
|
항 목
|
|
법률
|
o 지능정보화 기본법
o 공공기관의 정보공개에 관한 법률
o 개인정보 보호법
o 소프트웨어 진흥법
o 인터넷주소자원에 관한 법률
o 전자서명법
o 전자정부법
o 정보통신기반 보호법
o 정보통신망 이용촉진 및 정보보호 등에 관한 법률
o 통신비밀보호법
o 국가를 당사자로 하는 계약에 관한 법률
o 하도급거래 공정화에 관한 법률
o 지방자치단체를 당사자로 하는 계약에 관한 법률
o 공공데이터의 제공 및 이용 활성화에 관한 법률
|
|
고시 등
|
o 보안업무규정(대통령령)
o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령)
o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시)
o 전자서명인증업무 운영기준(과학기술정보통신부고시)
o 전자정부 웹사이트 품질관리 지침(행정안전부고시)
o 정보보호시스템 공통평가기준(미래창조과학부고시)
o 정보보호시스템 평가·인증 지침(과학기술정보통신부고시)
o 정보시스템 감리기준(행정안전부고시)
o 전자정부사업관리 위탁에 관한 규정(행정안전부고시)
o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규)
o 행정전자서명 인증업무지침(행정안전부고시)
o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시)
o 개인정보의 안전성 확보조치 기준(개인정보보호위원회)
o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회)
o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규)
o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규)
o 표준 개인정보 보호지침(개인정보보호위원회)
o 엔지니어링사업대가의 기준(산업통상자원부고시)
o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시)
o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시)
o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시)
o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시)
o 용역계약일반조건(기획재정부계약예규)
o 협상에 의한 계약체결기준(기획재정부계약예규)
o 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규)
o 하도급거래공정화지침(공정거래위원회예규)
o 정보보호조치에 관한 지침(과학기술정보통신부고시)
o 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회)
o 행정정보 공동이용 지침(행정안전부예규)
o 공공기관의 데이터베이스 표준화 지침(행정안전부고시)
o 공공데이터 공통표준용어(행정안전부고시)
o 공공데이터 관리지침(행정안전부고시)
o 모바일 전자정부 서비스 관리 지침(행정안전부예규)
o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시)
o 국가정보보안기본지침(국가정보원)
|
□ 서비스 접근 및 전달 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
외부 접근
장치
|
o 웹브라우저 관련
- HTML 4.01/HTML 5, CSS 2.1
|
○
|
|
|
|
|
|
- XHTML 1.0
|
○
|
|
|
|
|
|
- XML 1.0, XSL 1.0
|
○
|
|
|
|
|
|
- ECMAScript 3rd
|
|
|
|
○
|
|
|
- 한국형 웹 콘텐츠 접근성 지침 2.1
|
○
|
|
|
|
|
|
o 모바일 관련
- 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307)
|
○
|
|
|
|
반응형웹
|
|
서비스
요구사항
|
서비스관리(KS X ISO/IEC 20000)/ ITIL v3
|
|
|
|
○
|
|
|
서비스 전달
프로토콜
|
IPv4
|
○
|
|
|
|
|
|
IPv6
|
|
|
|
○
|
|
□ 인터페이스 및 통합 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 타기관과 공유가 가능한 웹서비스는 범정부 차원의 공유·활용이 가능하도록 지원하여야 한다.
|
|
|
|
○
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
서비스 통합
|
o 웹 서비스
- SOAP 1.2, WSDL 2.0, XML 1.0
|
|
|
|
○
|
|
|
- UDDI v3
|
|
|
|
○
|
|
|
- RESTful
|
|
|
|
○
|
|
|
o 비즈니스 프로세스 관리
- UML 2.0/BPMN 1.0
|
|
|
|
○
|
|
|
- ebXML/BPEL 2.0/XPDL 2.0
|
|
|
|
○
|
|
|
데이터 공유
|
o 데이터 형식 : XML 1.0
|
|
|
|
○
|
|
|
인터페이스
|
o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0
|
|
|
|
○
|
|
□ 플랫폼 및 기반구조 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
|
|
|
|
○
|
|
|
o 하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
네트워크
|
o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310
|
|
|
|
○
|
|
|
o 부가통신: VoIP
- H.323
|
|
|
|
○
|
|
|
- SIP
|
|
|
|
○
|
|
|
- Megaco(H.248)
|
|
|
|
○
|
|
|
운영체제 및
기반 환경
|
o 서버용(개방형) 운영 체제 및 기반환경 :
- POSIX.0
|
|
|
|
○
|
|
|
- UNIX
|
○
|
|
|
|
|
|
- Windows Server
|
○
|
|
|
|
|
|
- Linux
|
○
|
|
|
|
|
|
o 모바일용 운영 체계 및 기반환경
- android
|
|
|
|
○
|
|
|
- IOS
|
|
|
|
○
|
|
|
- Windows Phone
|
|
|
|
○
|
|
|
데이터베이스
|
o DBMS
- RDBMS
|
○
|
|
|
|
|
|
- ORDBMS
|
|
|
|
○
|
|
|
- OODBMS
|
|
|
|
○
|
|
|
- MMDBMS
|
|
|
|
○
|
|
|
시스템 관리
|
o ITIL v3 / ISO20000
|
|
|
|
○
|
|
|
소프트웨어 공학
|
o 개발프레임워크 : 전자정부 표준프레임워크
|
○
|
|
|
|
|
□ 요소기술 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/
미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
|
○
|
|
|
|
|
|
o 데이터는 데이터 공유 및 재사용, 데이터 교환, 데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
|
○
|
|
|
|
|
|
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부장관에게 보고하고 행정안전부의“행정기관의 코드표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정안전부장관에게 표준 등록을 요청하여야 한다.
|
|
|
|
○
|
|
|
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
|
|
|
|
○
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
데이터 표현
|
o 정적표현 : HTML 4.01
|
|
|
|
○
|
|
|
o 동적표현
- JSP 2.1
|
○
|
|
|
|
|
|
- ASP.net
|
|
|
|
○
|
|
|
- PHP
|
|
|
|
○
|
|
|
- 기타 ( )
|
|
|
|
○
|
|
|
프로그래밍
|
o 프로그래밍
- C
|
|
|
|
○
|
|
|
- C++
|
|
|
|
○
|
|
|
- Java
|
○
|
|
|
|
|
|
- C#
|
|
|
|
○
|
|
|
- 기타 ( )
|
|
|
|
○
|
|
|
데이터 교환
|
o 교환프로토콜:
- XMI 2.0
|
|
|
|
○
|
|
|
- SOAP 1.2
|
|
|
|
○
|
|
|
o 문자셋
- EUC-KR
|
|
|
|
○
|
|
|
- UTF-8(단, 신규시스템은 UTF-8 우선 적용)
|
○
|
|
|
|
|
□ 보안 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/
미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 “서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
|
○
|
|
|
|
|
|
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 공인전자서명 또는 행정전자서명을 기반으로 하여야 한다.
|
|
|
|
○
|
|
|
o 네트워크 장비 및 네트워크 보안장비에 임의 접속이 가능한 악의적인 기능 등 설치된 백도어가 없도록 하여야 하고 보안기능 취약점 발견시 개선․조치하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
관련
규정
|
o 전자정부법
o 국가정보보안기본지침(국가정보원)
- 국가 사이버안전 매뉴얼
o 네트워크 장비 구축·운영사업 추가특수조건(조달청 지침)
|
○
|
|
|
|
|
|
제품별 도입
요건 및 보안
기준
준수
|
o 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 정보보호제품)
- PKI제품
|
|
|
|
○
|
|
|
- SSO제품
|
|
|
|
○
|
|
|
- 디스크․파일 암호화 제품
|
|
|
|
○
|
|
|
- 문서 암호화 제품(DRM)등
|
|
|
|
○
|
|
|
- 메일 암호화 제품
|
|
|
|
○
|
|
|
- 구간 암호화 제품
|
|
|
|
○
|
|
|
- 키보드 암호화 제품
|
|
|
|
○
|
|
|
- 하드웨어 보안 토큰
|
|
|
|
○
|
|
|
- DB암호화 제품
|
|
|
|
○
|
|
|
- 상기제품(9종)이외 중요정보 보호를 위해 암호기능이 내장된 제품
|
|
|
|
○
|
|
|
- 암호모듈 검증서에 명시된 제품과 동일 제품 여부
|
|
|
|
○
|
|
|
o CC인증 필수제품 유형군(국제 CC인 경우 보안적합성 검증 필요)
- (네트워크)침입차단
|
|
|
|
○
|
|
|
- (네트워크)침입방지(침입탐지 포함)
|
|
|
|
○
|
|
|
- 통합보안관리
|
|
|
|
○
|
|
|
- 웹 응용프로그램 침입차단
|
|
|
|
○
|
|
|
- DDos 대응
|
|
|
|
○
|
|
|
- 인터넷 전화 보안
|
|
|
|
○
|
|
|
- 무선침입방지
|
|
|
|
○
|
|
|
- 무선랜 인증
|
|
|
|
○
|
|
|
- 가상사설망(검증필 암호모듈 탑재 필수)
|
|
|
|
○
|
|
|
- 네트워크 접근통제
|
○
|
|
|
|
|
|
- 네트워크 자료유출방지
|
○
|
|
|
|
|
|
- 망간 자료전송
|
|
|
|
○
|
|
|
- 안티 바이러스
|
|
|
|
○
|
|
|
- 가상화(PC 또는 서버)
|
|
|
|
○
|
|
|
- 패치관리
|
|
|
|
○
|
|
|
- 호스트 자료유출 방지(매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
|
○
|
|
|
- 스팸메일 차단
|
|
|
|
○
|
|
|
- 서버 접근통제
|
○
|
|
|
|
|
|
- DB접근 통제
|
|
|
|
○
|
|
|
- 스마트카드
|
|
|
|
○
|
|
|
- 소프트웨어기반 보안USB(검증필 암호모듈 탑재 필수)
|
|
|
|
○
|
|
|
- 디지털 복합기 (비휘발성 저장매체 장착 제품에 대한 완전삭제 혹은 암호화 기능)
|
|
|
|
○
|
|
|
- 소스코드 보안약점 분석도구
|
|
|
|
○
|
|
|
- 스마트폰 보안관리
|
|
|
|
○
|
|
|
- CC인증서에 명시된 제품과 동일 제품 여부
|
|
|
|
○
|
|
|
o 모바일 서비스(앱·웹) 등
- 보안취약점 및 보안약점 점검·조치
(모바일 전자정부 서비스 관리 지침)
|
|
|
|
○
|
|
|
백도어 방지 기술적 확인 사항
|
o 보안기능 준수
- 식별 및 인증
|
|
|
|
○
|
|
|
- 암호지원
|
|
|
|
○
|
|
|
- 정보 흐름 통제
|
|
|
|
○
|
|
|
- 보안 관리
|
|
|
|
○
|
|
|
- 자체 시험
|
|
|
|
○
|
|
|
- 접근 통제
|
|
|
|
○
|
|
|
- 전송데이터 보호
|
|
|
|
○
|
|
|
- 감사 기록
|
|
|
|
○
|
|
|
- 기타 제품별 특화기능
|
|
|
|
○
|
|
|
o 보안기능 확인 및 취약점 제거
- 보안기능별 명령어 등 시험 및 운영방법 제공
|
|
|
|
○
|
|
|
- 취약점 개선(취약점이 없는 펌웨어 및 패치 적용)
|
|
|
|
○
|
|
|
- 백도어 제거(비공개 원격 관리 및 접속 기능)
|
|
|
|
○
|
|
|
- 오픈소스 적용 기능 및 리스트 제공
|
|
|
|
○
|
|
※ 최신 기준은 ‘국가정보원 홈페이지(www.nis.go.kr/AF/1_7_2_1.do)’ 참조
[별첨 1] 비밀유지계약서
비밀유지계약서
○○○○○(이하 “발주자”)와 ○○○○○(이하 “계약상대자”)는 다음과 같이 비밀유지계약을 체결한다.
제1조(계약의 목적)
발주자는 “○○○○○ 용역” (이하 “본 용역”)사업과 관련하여 자료·장비 등에 대한 내용(신규 포함)을 계약상대자에게 제공하는바, 발주자가 제공한 자료·장비 등에 대한 대외보안이 필요함에 계약상대자에게 비밀유지 의무를 부과하고자 본 계약을 체결한다.
제2조(정의)
1. “발주자”라 함은 ○○○○○ 기관을 말한다.
2. “계약상대자”라 함은 발주자와 본 용역계약을 체결한 업체를 말한다.
3. “본 용역”이라 함은 본 용역계약에 해당하는 사업을 말한다.
4. “비밀정보”란 발주자가 비밀 및 대외비로 분류된 자료와 본 계약에 표기된 중요한 자료·장비를 말한다.
5. “정보시스템”은 발주자의 업무처리 및 의사결정을 지원하기 위한 정보를 수집·검색·처리·저장하는 관련 요소들의 집합을 말한다.
제3조(비밀정보의 범위)
① 발주자의 본 용역 사업을 위한 비밀정보의 범위는 다음과 같다.
1. 해당 기관의 정보시스템 내ㆍ외부 IP주소 현황
2. 정보시스템 구성 현황 및 정보통신망 구성도
3. 개별사용자의 계정ㆍ비밀번호 등 정보시스템 접근권한 정보
4. 정보통신망 또는 정보시스템 취약점 분석ㆍ평가 결과물
5. 정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)
6. 암호자재, 암호가 주 기능인 제품 및 정보보호시스템 도입·운용 현황
7. 정보보호시스템 및 네트워크장비 설정 정보
8.「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 해당 기관의 내부문서
9.「개인정보보호법」제2조제1호에 따른 개인정보
10.「보안업무규정」제4조에 따른 비밀 및 「보안업무규정 시행규칙」 제16조제3항에 따른 대외비
11. 그 밖에 해당 기관의 장이 공개가 불가하다고 판단한 자료
② 전항의 비밀정보의 소유권은 발주자가 계속 보유한다.
제4조(비밀정보의 사용용도 제한)
계약상대자는 본 용역 사업을 수행하기 위해 발주자가 제공하거나 생성된 비밀정보에 대하여 발주자의 본 사업을 위해서만 사용되어야 한다.
제5조(비밀정보의 제공)
본 용역 사업 수행을 위해 계약상대자가 발주자로부터 제공받은 비밀정보를 제3자에게 제공해야 할 경우 반드시 발주자의 사전 서면 동의를 얻어야 한다.
제6조(비밀정보의 비밀유지 의무)
계약상대자는 당해 계약을 통하여 얻은 비밀정보를 계약 이행의 전후를 막론하고 계약 종료후에도 제3자에게 공개, 제공 또는 누출(누설)할 수 없다. 단 발주자의 사전 서면 동의를 받은 경우는 제외한다.
제7조(손해배상의 책임)
① 계약상대자는 본 계약상 비밀정보의 비밀유지 의무를 위반함으로써 발주자에게 손해를 가한 경우에는 발주자는 손해금액 및 법정 비용을 계약상대자에게 손해배상을 청구할 수 있다.
② 계약상대자의 임직원이 한 행위에 대해서도 전항을 적용한다.
③ 하도급 및 재하도급의 경우 하수급인 및 재하수급인의 비밀정보의 비밀유지 의무 위반에 대해서도 계약상대자는 동일한 책임을 부담한다. 단 불가항력의 사유로 비밀정보의 비밀유지 의무를 위반한 경우 계약상대자는 불가항력의 사유를 증명함으로써 발주자의 손해배상 청구에 대한 책임을 면할 수 있다.
제8조(정보의 지적재산권)
① 본 용역 사업의 이행에 의해 발생한 산출물 및 결과물(개발된 SW 모듈 포함)의 소유권 및 지적재산권은 공동으로 소유한다.
② 제1항에도 불구하고 보안관련 산출물 및 결과물의 소유권, 지적재산권 및 2차적저작물작성권은 발주자가 소유한다.
제9조(정보의 회수)
발주자가 제공한 자료·장비·서류·기타 당해 계약과 관련된 정보의 반환을 요청하는 경우 계약상대자는 정보의 원본 및 사본(수정물도 포함)을 남기지 않고 모두 발주자에게 반환하여야 한다. 반환에 발생하는 비용은 계약상대자가 부담하기로 한다.
제10조(계약기간)
① 본 계약의 기간은 본 용역(사업)의 계약기간과 동일하며, 양 당사자의 합의에 따라 단축 또는 연장될 수 있다.
② 전항의 계약기간에도 불구하고 비밀유지의무는 제6조에 따른다.
제11조(양도 등의 금지)
계약상대자는 본 계약의 권리 및 의무의 일부 또는 전부를 제3자에게 양도, 하도급, 담보제공 등 일체의 처분행위를 할 수 없다.
제12조(계약의 변경)
본 계약의 내용은 발주자와 계약상대자 간의 서면 합의에 의해서만 유효하게 변경 또는 수정될 수 있다.
제13조(준용규칙)
본 계약서에 명시되지 아니하거나 해석상 이견이 있는 사항은 발주자와 계약상대자의 본 용역 사업 관련 계약서 및 국가를 당사자로 하는 계약에 관한 법령, 기획재정부 회계예규 등 관련 법령 및 규정을 준용한다.
제14조(계약의 효력)
본 계약은 당사자가 계약서에 적법하게 서명 또는 기명, 날인하여 계약을 체결한 날로부터 발효된다. 다만, 본 비밀유지계약서를 체결한 일자와 용역계약을 체결한 일자가 다를 경우 용역계약을 체결한 일자에 발효되기로 한다.
20 년 월 일
[붙임] 외주 용역사업 보안특약 조항
(발주자) ○○○○○
주 소:
대 표: (인)
(계약상대자) ○○○○○
주 소:
대 표: (인)
[붙임]
외주 용역사업 보안특약 조항
① 사업자가 국립민속박물관의 보안정책을 위반하였을 경우 국립민속박물관은 [별표1]의 위규처리 기준에 따라 위규자 및 관리자를 행정조치하고 사업자는 [별표2]의 보안 위약금을 국립민속박물관에 납부한다.
② 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 [별표3]의 ‘누출금지 대상정보’에 대한 보안관리 계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 국립민속박물관은 국가계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록한다.
③ 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안 되며, 사업종료 시 정보보안담당자의 입회하에 완전 폐기 또는 반납해야 한다.
④ 전자기록 저장매체는 국가정보원장이 안전성을 검증한 삭제 S/W로 완전 삭제 후 반출하여야 한다.
⑤ 사업자는 사업 최종 산출물에 대해 정보보안전문가 또는 전문보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다.
⑥ 사업자는 용역사업 참여인원에 대해 용역업체 임의로 교체할 수 없으며, 신상변동(해외여행 포함) 발생시 용역사업 발주기관에 즉시 보고해야 한다.
[별표 1] 사업자 보안위규 처리기준
[별표 2] 보안 위약금 부과 기준
[별표 3] 누출금지 대상 정보
[별표 1] 사업자 보안위규 처리기준
사업자 보안위규 처리기준
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
심각
|
1. 비밀 및 대외비 급 정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보·신상정보 목록 유출
다. 비공개 항공사진·공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 구축 결과물에 대한 외부 유출
다. 시스템 내 인위적인 악성코드 유포
|
◦사업참여 제한
◦위규자 및 직속 감독자 교체
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
중대
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
2. 사무실․보호구역 보안관리 허술
가. 통제구혁 출입문을 개방한 채 퇴근 등
나. 인가되지 않은 작업자의 내부 시스템 접근
다. 통제구역 내 장비·시설 등 무단 사진촬영
3. 전산정보 보호대책 부실
가. 업무망 인터넷망 혼용사용, USB 사용규정 위반
나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신
다. 개발·유지관리 시 원격작업 사용
라. 저장된 비공개 정보 패스워드 미부여
마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장
바. 외부용 PC를 업무망에 무단 연결 사용
사. 보안관련 프로그램 강제 삭제
아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
|
◦위규자 및 직속 감독자 교체
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
보통
|
1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 출입키를 책상위 등에 방치
3. 보호구역 출입 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 불순응
4. 전산정보 보호대책 부실
가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근
나. 네이트온 등 비인가 메신저 무단 사용
다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
마. PC 비밀번호를 모니터옆 등 외부에 노출
바. 비인가 보조기억매체 무단 사용
|
◦위규자 및 직속 감독자 사유서 /경위서 징구
◦위규자 대상 특별보안교육 실시
|
|
경미
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 경보ㆍ보안장치 작동 불량
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
|
◦위규자 서면ㆍ구두 경고 등 문책
◦위규자 사유서 / 경위서 징구
|
※ 사업자 보안위규 처리 절차
|
경위 확인
|
▶
|
보안위규 처리기준에 따라 조치
|
▶
|
재발방지 대책
|
▶
|
보안조치 이행여부 점검
|
[별표 2] 보안위약금 부과 기준
보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분
|
위규 수준
|
|
A급
|
B급
|
C급
|
D급
|
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
|
위약금
비중
|
부정당업자 등록
|
계약금액의 2% 이내
|
계약금액의 1% 이내
|
계약금액의 0.5% 이내
|
* 사업자 보안위규 처리 기준은 [별표1] 참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않음
3. 사업 완료시 또는 매월 계약금액 지출시, 지출금액 조정을 통해 위약금 정산
[별표 3] 누출금지 대상 정보
누출금지 대상정보
1. 해당 기관의 정보시스템 내ㆍ외부 IP주소 현황
2. 정보시스템 구성 현황 및 정보통신망 구성도
3. 개별사용자의 계정ㆍ비밀번호 등 정보시스템 접근권한 정보
4. 정보통신망 또는 정보시스템 취약점 분석ㆍ평가 결과물
5. 정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)
6. 암호자재, 암호가 주 기능인 제품 및 정보보호시스템 도입·운용 현황
7. 정보보호시스템 및 네트워크장비 설정 정보
8.「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 해당 기관의 내부문서
9.「개인정보보호법」제2조제1호에 따른 개인정보
10.「보안업무규정」제4조에 따른 비밀 및 「보안업무규정 시행규칙」 제16조제3항에 따른 대외비
11. 그 밖에 해당 기관의 장이 공개가 불가하다고 판단한 자료
[별첨2] 개인정보처리 위탁 계약서
개인정보처리 위탁 계약서(안)
국립민속박물관(이하 “갑”이라 한다)와 △△△(이하 “을”이라 한다)는 “갑”의 개인정보 처리업무를 “을”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다.
제1조 (목적) 이 계약은 “갑”이 개인정보처리업무를 “을”에게 위탁하고, “을”은 이를 승낙하여 “을”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는「개인정보 보호법」, 동법 시행령, 「개인정보 처리 방법에 관한 고시」, 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시) 및「표준 개인정보 보호지침」(개인정보보호위원회 고시)에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위) “을”은 계약이 정하는 바에 따라 ( ) 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.1)
1.
2.
제4조 (위탁업무 기간) 이 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다.
계약 기간 : 20oo년 o월 o일 ~ 20oo년 o월 o일
제5조 (재위탁 제한) ① “을”은 “갑”의 사전 승낙을 얻은 경우를 제외하고 “갑”과의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다.
② “을”이 다른 제3의 회사와 수탁계약을 할 경우에는 “을”은 해당 사실을 계약 체결 7일 이전에 “갑”에게 통보하고 협의하여야 한다.
제6조 (개인정보의 안전성 확보조치) “을”은「개인정보 보호법」제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 개인정보의 안전성 확보에 필요한 기술적․관리적 조치를 취하여야 한다.
제7조 (개인정보의 처리제한) ① “을”은 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
② “을”은 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법 시행령」 제16조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 즉시 파기하거나 “갑”에게 반납하여야 한다.
③ 제2항에 따라 “을”이 개인정보를 파기한 경우 지체없이 “갑”에게 그 결과를 통보하여야 한다.
제8조 (수탁자에 대한 관리·감독 등) ① “갑”은 “을”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “을”은 특별한 사유가 없는 한 이에 응하여야 한다.
1. 개인정보의 처리 현황
2. 개인정보의 접근 또는 접속기록
3. 개인정보 접근 또는 접속 대상자
4. 목적외 이용․제공 및 재위탁 금지 준수여부
5. 암호화 등 안전성 확보조치 이행여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
② “갑”은 “을”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “을”은 특별한 사유가 없는 한 이행하여야 한다.
③ “갑”은 처리위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 ( )회 “을”을 교육할 수 있으며, “을”은 이에 응하여야 한다.2)
④ 제1항에 따른 교육의 시기와 방법 등에 대해서는 “갑”은 “을”과 협의하여 시행한다.
제9조 (정보주체 권리보장) ① “을”은 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제10조 (개인정보의 파기) ① “을”은 제4조의 위탁업무기간이 종료되면 특별한 사유가 없는 한 지체 없이 개인정보를 파기하고 이를 “갑”에게 확인받아야 한다.
제11조 (손해배상) ① “을” 또는 “을”의 임직원 기타 “을”의 수탁자가 이 계약에 의하여 위탁 또는 재위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 “을” 또는 “을”의 임직원 기타 “을”의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 “갑” 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 “을”은 그 손해를 배상하여야 한다.
② 제1항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 “갑”이 전부 또는 일부를 배상한 때에는 “갑”은 이를 “을”에게 구상할 수 있다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “갑”과 “을”이 서명 또는 날인한 후 각 1부씩 보관한다.
20 . . .
|
갑
○○시 ○○구 ○○동 ○○번지
성 명 : (인)
|
을
○○시 ○○구 ○○동 ○○번지
성 명 : (인)
|
[별첨3] 소프트웨어 영향평가 검토결과서
1) 각호의 업무 예시 : 고객만족도 조사 업무, 회원가입 및 운영 업무, 사은품 배송을 위한 이름, 주소, 연락처 처리 등
2) 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시) 및 「개58정보 보호법」 제26조에 따라 개인정보처리자 및 취급자는 개인정보보호에 관한 교육을 의무적으로 시행하여야 한다.
|
|