| |
국가 망 보안 프레임워크 전환 위한 정보화전략계획(ISP) 수립 사업
제안요청서(RFP)
2026.00
|
구분
|
부서
|
성명
|
연락처(전화/이메일)
|
|
사업 관련 문의
|
정보전산실
|
송용건
|
055-280-1178
ygsong@keri.re.kr
|
|
입찰 관련 문의
|
구매자산실
|
서민원
|
055-280-1237
mwseo@keri.re.kr
|
차 례
1. 사업 개요 1
가. 추진배경 및 필요성 1
나. 정보시스템 현황 1
2. 사업 추진방안 1
가. 목표 및 전략 1
나. 추진일정 1
3. 일반 사항 2
가. 사업자 선정 방식 : 제한경쟁입찰 2
나. 입찰방식 2
다. 기타 유의사항 2
4. 제안요청 사항 3
가. 제안요청 개요 3
나. 상세요구사항 3
1) 요구사항 구분 및 총괄표 3
2) 요구사항 목록표 3
3) 상세 요구사항 4
5. 제안서 작성요령 19
가. 제안서의 효력 19
나. 제안서 작성지침(권고사항) 및 유의사항 19
다. 제안서 목차 및 세부 작성지침 20
7. 제안서 안내사항 21
가. 입찰방식 21
나. 제안서 평가 방법 23
다. 기술성 평가기준 24
라. 제출서류 : “입찰공고문” 참조 27
마. 제안서 제출 일정 및 방법 27
바. 제안요청 설명회 27
사. 입찰시 유의사항 27
아. 제안서 보상 28
8. 기타 사항 28
가. 하자담보 책임기간 명시 28
나. 계약목적물의 지식재산권 귀속 28
다. 하도급계약 사전 승인제 28
라. 작업장소 및 원격지 개발 30
마. 과업내용 변경 30
바. 보안 일반요건(붙임 참조) 30
붙 임
붙임 1. 일반현황 및 주요 연혁 1
붙임 2. 자본금 및 매출액(최근 3년) 2
붙임 3. 입찰참가 신청서 3
붙임 4. 소프트웨어 분리발주 제외 사유서 : 해당사항 없음 4
붙임 5. 적정사업기간 종합산정서 5
붙임 6. 직접구매 대상 상용소프트웨어 구매계획 : 해당사항 없음 6
붙임 7. 기술적용 계획표 7
붙임 8. [보안]보안 일반요건 14
붙임 9. [보안]용역업체 보안 준수사항 15
붙임 10. [보안]용역업체 보안 특약사항 17
붙임 11. [보안]보안서약서 21
붙임 12. [보안]보안확약서(업체대표) 22
붙임 13. [보안]비밀유지 서약서 23
붙임 14. [보안]자료반환 확약서 24
붙임 15. [보안]개인정보처리위탁 계약서 25
붙임 16. [보안]보안성 체크리스트 28
붙임 17. [보안]소프트웨어 보안약점 기준 33
붙임 18. [보안]도입 가능 운영체제(OS) 39
1. 사업 개요
가. 추진배경 및 필요성
1). 지속적으로 증가하는 사이버 위협에 효과적으로 대응하기 위한 보안성 확보 필요
2). 네트워크, 보안장비, 서버 등 인프라 노후화로 인한 안정성 저하 이슈 해결 및 데이터 기반 연구 활성화에 따른 인프라 개선
3). 국가 망 보안 프레임워크(N2SF) 개정에 따라 보안성 확보와 동시에 AI·클라우드 등 신기술 활용한 업무 추진 및 연구 편의성 향상
나. 정보시스템 현황
1). 현행 시스템 구성도
2). 현행 네크워크/서버 구성도
※ 「행정기관 및 공공기관 정보시스템 구축·운영 지침」 제17조(제안요청서 보안사항 등)에 따라 공개하지 않으며, 제안서 작성에 필요한 경우 보안서약서[붙임 참조] 제출 후 담당자 입회하에 열람 가능
2. 사업 추진방안
가. 목표 및 전략
1). 국가 망 보안 정책 준수와 동시에 신기술 활용이 가능한 네트워크/보안 등 인프라 환경에 대한 목표모델 수립
2). 목표모델 전환을 위한 과업 별 우선순위 평가 및 다년도 전환계획 수립
나. 추진일정
1). 사업기간 : 계약 체결일로부터 4개월 이내
2). 추진 일정표: 제안사가 단계별 추진일정을 상세히 제시
3. 일반 사항
가. 사업자 선정 방식 : 제한경쟁입찰
□ 대기업 참여 여부 : 대기업 참여제한 사업
○ 소프트웨어산업진흥법 제24조의2(중소 소프트웨어사업자의 사업참여 지원)에 따른 “대기업인 소프트웨어 사업자가 참여 할 수 있는 사업금액의 하한”(과학기술정보통신부 고시) 준수
나. 입찰방식
□ 사업자 선정 방식 : 협상에 의한 계약 체결
? 「국가를 당사자로 하는 계약에 관한 법률시행령」 제43조에 의거 “협상에 의한 계약체결” 방법을 적용함
□ 기술 대 가격 비율의 조정
? 기술평가와 가격평가를 실시하여 종합평가점수로 평가
- 평가비율 : 기술평가(90%), 가격평가(10%)
- 종합평가점수 산출 : 평가점수 = 기술평가점수 + 입찰가격 평가점수
다. 기타 유의사항
□ 하도급의 경우, 소프트웨어산업진흥법, 동법 시행령, 동법 시행규칙 및 “소프트웨어사업 하도급계약의 적정성 판단기준(과학기술정보통신부 고시)"을 적용하며, 발주사의 사전승인 후 하도급 가능
4. 제안요청 사항
가. 제안요청 개요
□ 사업명 : 국가 망 보안 프레임워크 전환 정보화전략계획(ISP) 수립 사업
□ 사업기간 : 사업 개시일로부터 4개월
□ 사업범위
○ IT 인프라 현황진단
- 분석대상: 네트워크, 보안 솔루션 등 인프라 성격의 장비 및 구성
* 업무 및 서비스(OS 포함)에 대한 분석은 제외한다.
○ 개선방향 정의
- 국가 망 보안체계 보안 가이드라인 정보서비스 모델 해설서 기반 네트워크·보안 및 인프라 구성에 대한 방향성 정의
○ 자산식별 및 망 보안등급 분류
- C등급 정보자산/망은 제외하며, 세부 시스템에 대한 분류는 협의 후 적정 수준으로 발주사에서 제공한다.
○ 네트워크·보안 아키텍처 모델링 및 실행방안 수립
- SDN 기반 ZTA를 지원하는 네트워크 아키텍처 모델링
- AI 등 최신기술 활용에 적합한 보안 아키텍처 구성
○ 목표 아키텍처 정의 및 이행계획수립
- 발주기관의 네트워크, 보안, 인프라 환경 구성에 대한 전사 아키텍처 정의
- 과업단위로 분리하여 우선순위에 따른 이행계획 수립
○ 소요예산 및 기대효과 산정
○ 기타사항
- 목표모델 전환을 위해 다년차에 걸쳐 순차적 사업추진이 가능하도록, 우선순위에 따라 단계를 분할하여 제시한다
- 우선순위가 높은 항목은 낮은항목에 비하여 상세하게 작성하여야 한다.(세부수준은 협상을 통해 결정한다.)
- 연구기관 특성을 고려하여 현재 시스템 맞춤형 목표모델이 아닌 범용적으로 활용 가능한 목표모델 수립을 목적으로 한다.
* 연구기관 특성상 매년 다양하고 새로운 기술을 활용하기 때문에 특정 환경 특화 모델 불필요
나. 상세요구사항
1) 요구사항 구분 및 총괄표
|
구분
|
설명
|
요구사항 개수
|
|
컨설팅 요구사항
(CSR)
|
Consulting
Requirement
|
• 목표사업수행을 위해 필요한 컨설팅 수행범위, 내용, 절차 등 요건에 대한 요구사항을 기술함
|
5
|
|
제약사항
(COR)
|
Constraint Requirement
|
• 목표시스템 설계, 구축, 운영과 관련하여 사전에 파악된 기술·표준·업무·법제도 등 제약조건 등을 파악하여 기술함
|
5
|
|
프로젝트관리 요구사항(PMR)
|
Project Management Requirement
|
• 프로젝트의 원활한 수행을 위한 관리 방법 및 추진 단계별 수행방안에 대한 요구사항을 기술함
|
7
|
|
프로젝트지원
요구사항(PSR)
|
Project Support Requirement
|
• 프로젝트의 원활한 수행을 위해 필요한 지원사항 및 방안에 대한 요구사항을 기술함
• 시스템/서비스 안정화 및 기술지원, 하자보수 요구사항 등을 기술함
|
1
|
|
보안요구사항
(SER)
|
Security Requirement
|
• 보안정책 및 보안지침준수를 위한 요구사항을 기술함
|
8
|
|
품질 요구사항
(QUR)
|
Quality Requirement
|
• 목표 사업의 원활한 수행 및 운영을 위해 관리가 필요한 품질 항목, 품질 평가대상 및 목표에 대한 요구사항을 기술함
|
1
|
2) 요구사항 목록표
|
순번
|
구분
|
요구사항
고유번호
|
요구사항명
|
|
1
|
컨설팅 요구사항
(CSR)
|
CSR-001
|
환경분석
|
|
2
|
CSR-002
|
현황분석
|
|
3
|
CSR-003
|
정보화 비전 및 전략 수립
|
|
4
|
CSR-004
|
목표모델 설계
|
|
5
|
CSR-005
|
통합 이행계획 수립
|
|
6
|
제약사항(COR)
|
COR-001
|
기술표준 및 관련 법·제도 준수
|
|
7
|
성능요구사항 (PER)
|
COR-002
|
규정 변경에 따른 유연성 확보
|
|
8
|
COR-003
|
산출물의 지식재산권 귀속, 산출물 활용 및 반출 제한
|
|
9
|
COR-004
|
하도급 계약
|
|
10
|
COR-005
|
기타사항
|
|
11
|
프로젝트 관리 요구사항(PMR)
|
PMR-01
|
사업수행 및 관리방안 수립
|
|
12
|
PMR-02
|
사업수행 조직 및 인력
|
|
13
|
PMR-03
|
작업장소
|
|
14
|
PMR-04
|
업무보고 등 의사소통 계획수립
|
|
15
|
PMR-05
|
보고회 실시
|
|
16
|
PMR-06
|
산출물 관리 및 검사
|
|
17
|
PMR-07
|
과업변경 관리
|
|
18
|
프로젝트 지원 요구사항(PSR)
|
PSR-01
|
결과물 이관 및 사후지원
|
|
24
|
보안 요구사항(SER)
|
SER-01
|
보안관리 및 준수에 관한 일반사항
|
|
25
|
SER-02
|
관리적 보안
|
|
26
|
SER-03
|
물리적 보안
|
|
27
|
SER-04
|
내·외부망 접근시 보안관리
|
|
28
|
SER-05
|
보조기억매체 제한
|
|
29
|
SER-06
|
개인정보보호를
|
|
30
|
SER-07
|
보안지침준수
|
|
31
|
SER-08
|
누출금지정보 보안 준수
|
|
32
|
품질 요구사항(QUR)
|
QUR-01
|
품질관리 계획수립 및 이행
|
3) 상세 요구사항
□ 컨설팅 요구사항(Consulting Requirement)
|
요구사항 분류
|
컨설팅 요구사항(Consulting Requirement)
|
|
요구사항 고유번호
|
CSR-001
|
|
요구사항 명칭
|
환경분석
|
|
요구사항 상세설명
|
정의
|
대·내외 환경 및 IT기술발전에 따른 분석 시 요구사항을 정의한다.
|
|
세부내용
|
○ 국가정보보안기본지침, N2SF 등 국가기관에 적용되는 보안규정에 대한 환경분석을 수행한다.
○ 정보보안 및 네트워크, 인프라 최신기술에 대한 환경분석을 수행한다.
○ 연구기관의 특성을 고려하여 범용적 환경을 가정한다.
* 매년 신기술을 활용한 다양한 시작품 제작 및 연구과제 변경에 따라 특정 환경/시스템 특화 모델 불요
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
컨설팅 요구사항(Consulting Requirement)
|
|
요구사항 고유번호
|
CSR-002
|
|
요구사항 명칭
|
현황분석
|
|
요구사항 상세설명
|
정의
|
현재 시스템 분석에 대한 요구사항을 정의한다.
|
|
세부내용
|
○ 네트워크 및 보안 구성, 인프라를 대상으로 분석한다.
○ 발주사에서 제공하는 현황정보를 기반으로 수행하며, 별도의 개별 사용자 인터뷰 등은 수행하지 않는다.
○ OS/Application 레벨의 서비스 영역은 분석대상에서 제외한다.
○ N2SF 가이드라인 부록2 정보서비스 모델 해설서를 기반으로 벤치마킹/갭차이 분석을 수행한다.
○ 기관 전사 네트워크, 보안구성에 대한 목표모델 설계를 위해 추가분석이 필요한 사항이 발생할 경우, 상호협의하여 결정한다.
|
|
산출 정보
|
정보기술 현황 분석서, 차이 분석서
|
|
관련 요구사항
|
|
|
요구사항 분류
|
컨설팅 요구사항(Consulting Requirement)
|
|
요구사항 고유번호
|
CSR-003
|
|
요구사항 명칭
|
정보화 비전 및 전략 수립
|
|
요구사항 상세설명
|
정의
|
전략 수립을 위한 요구사항을 정의한다.
|
|
세부내용
|
○ 환경분석과 현황분석 결과를 연계하여 정보화 비전, 목표, 단계별 실행 전략 등을 수립하고 정보시스템 구축 원칙과 정보시스템에 적용할 기술 요건 및 정보관리 전략을 수립한다.
|
|
산출 정보
|
정보화 전략 정의서
|
|
관련 요구사항
|
|
|
요구사항 분류
|
컨설팅 요구사항(Consulting Requirement)
|
|
요구사항 고유번호
|
CSR-004
|
|
요구사항 명칭
|
목표모델 설계
|
|
요구사항 상세설명
|
정의
|
목표모델 설계를 위한 요구사항을 정의한다.
|
|
세부내용
|
○ 기관 전사 네트워크, 보안 구성 및 인프라에 대한 목표모델을 설계하여야 한다.
○ 국가정보보안기본지침, N2SF 등 국가 보안정책을 준수하여 운영 가능하도록 설계한다.
○ 제로트러스트 아키텍처 기반으로 설계하여야 하며, Control Plane을 분리하여 관리가 용이하여야 하며, 보안규정에 따른 보안성과 안정성이 확보 되어야 한다.
○ 네트워크 대역폭, 보안기능 등에 대한 확장성을 충분히 고려한다.
|
|
산출 정보
|
To-Be 과제 상세 정의서, To-Be 기술 및 보안 구조 설계서
|
|
관련 요구사항
|
|
|
요구사항 분류
|
제약사항(Constraint Requirement)
|
|
요구사항 고유번호
|
CSR-005
|
|
요구사항 명칭
|
통합 이행계획 수립
|
|
요구사항 상세설명
|
정의
|
통합 이행계획 수립을 위한 요구사항을 정의한다.
|
|
세부내용
|
○ 과업단위로 분리하여 이행계획 수립 및 구축비 산출을 한다.
○ 장비·솔루션의 노후화/EoS 및 효율성 증가 등 다양한 요소를 고려하여 우선순위를 설정한다.
○ 우선순위가 높아 근시일 내 추진하야 하는 과업은 우선순위가 낮은 과업보다 상세하게 작성되어야 한다.
|
|
산출 정보
|
통합 이행계획 수립서
|
|
관련 요구사항
|
|
□ 제약사항(Constraint Requirement)
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-001
|
|
요구사항 명칭
|
기술표준 및 관련 법·제도 준수
|
|
요구사항 상세설명
|
정의
|
기술표준 및 관련 법·제도 준수
|
|
세부내용
|
○ 개인정보보호와 관련된 모든 법규를 충실히 이행할 수 있도록 목표모델 설계에 반영한다.
○ 목표모델 설계 시 정보보호제품에 대하여 국가정보원 기준을 준수한다.
○ 네트워크·보안기술 적용 시 기술표준 및 범용적 활용 가능한 기술을 우선하여 적용한다.
○ 본 제약사항의 기술표준 및 관련 법·제도는 최소한의 사항만을 규정하였으므로 준수사항 추가 및 해석의 차이가 있을 시 상호 협의하여 결정한다.
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-02
|
|
요구사항 명칭
|
규정 변경에 따른 유연성 확보
|
|
요구
사항
상세
설명
|
정의
|
규정 변경에 따른 유연성 확보
|
|
세부
내용
|
○ 사업 기간 내 관련 법령, 규정 등 변경 시 ISP 설계 등에 반영
- 규정에 대한 반영시점은 발주기관과 협의하여 적용
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-03
|
|
요구사항 명칭
|
산출물의 지식재산권 귀속, 산출물 활용 및 반출 제한
|
|
요구
사항
상세
설명
|
정의
|
산출물의 지식재산권 귀속, 산출물 활용 및 반출 제한
|
|
세부
내용
|
○ 본 사업의 수행 결과물(계약목적물)은 발주사의 소유로, 정보통신망/보안구성 현황 등 민감한 정보를 포함됨에 따라 활용 및 반출을 제한함
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-04
|
|
요구사항 명칭
|
하도급 계약
|
|
요구
사항
상세
설명
|
정의
|
하도급 계약
|
|
세부
내용
|
○ 하도급 계약 관련
- 본 사업은 수주자(공동계약인 경우 공동수급체 구성원 포함)가 직접 수행함을 원칙으로 하되, 부득이 하도급 계약이 필요한 경우 「소프트웨어사업 하도급 계약의 적정성 판단 기준」에 따라 하도급계약 전에 발주기관으로부터 서면으로 사전신청 및 승인을 받아야 함
- 하도급의 경우「소프트웨어 진흥법」동법 시행령, 동법 시행규칙 및 소프트웨어사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시 제2020-93호)을 적용
- 사업금액 기준 50% 초과하여 하도급을 금지하며, 본 사업 중 과업의 일부를 하도급하려는 경우 입찰 및 계약체결 시 「소프트웨어사업의 하도급 승인 및 관리 지침」(과학기술정보통신부 고시)의 별지 서식 제2호 및 제3호의 소프트웨어사업 하도급계획서를 제출하여야 함[붙임 5]
- 하도급계약의 승인을 신청하는 경우,「소프트웨어사업의 하도급 승인 및 관리 지침」에 따른 [하도급계약의 적정성 판단 세부기준(붙임 7)]에 따라 적정성여부를 판단하며, 평가점수가 85점 이상인 경우에 한하여 하도급계약을 승인함. 다만, 85점 이상인 경우라 하더라도 하도급 계약의 세부 조건 등으로 인하여 사업의 원활한 수행이 불가능하다고 인정되는 경우 그 사유를 기재하여 하도급 승인 거절을 통보할 수 있음
○ 하도급 관리
- 제안사는 하도급 계약의 준수실태를 “하도급 준수실태 보고서”에 의하여 매월 보고
- 하도급 업체 투입인력에 대한 관리방안을 제시
- 「행정기관 및 공공기관 정보시스템 구축·운영지침」제19조에 따라 하도급 대금지급 기준을 준수
- 발주기관은 하도급자가 하도급 대금의 직접 지급을 원하는 경우 이해관계자(발주자, 원도급자, 하도급자 등) 간 합의서를 작성하고 하도급자에게 대금을 직접 지급. 다만, 원도급자가 특별한 사유로 인해 하도급 대금의 직접 지급에 합의하지 않는 경우 원도급자는 발주자로부터 선급금을 받은 날부터 15일 이내에 하도급자에게 선금을 현금으로 지급하고, 증빙서류를 발주자에게 제출하여야 함
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-05
|
|
요구사항 명칭
|
기타사항
|
|
요구
사항
상세
설명
|
정의
|
기타사항
|
|
세부
내용
|
○ 본 제안요청서에서 요구한 건의 수용이 어려울 경우, 불가능한 사유 및 대체방안을 제시
○ 사업수행 시 발주기관에서 관련 지침이나 표준을 제시할 경우 특별한 사정이 없는 경우 사업수행사는 이를 준수해야 함
○ 다음 사항의 경우 사업수행사의 비용 및 부담으로 함
- 수행할 업무의 지연 또는 결과물의 오류가 발생할 경우 그 비용
- 과업수행에는 반드시 필요하나 본 제안요청서에 명기되지 않은 누락된 경미한 사항
- 본 사업 완료 후 오류에 의한 수정사항을 반영할 필요가 있다고 판단될 경우, 사업 완료 후 수정·보완 업무
|
|
산출 정보
|
|
|
관련 요구사항
|
|
□ 프로젝트 관리 요구사항(Project Management Requirement)
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-01
|
|
요구사항 명칭
|
사업수행 및 관리방안 수립
|
|
요구사항
상세설명
|
정의
|
사업수행 및 관리방안 수립
|
|
세부
내용
|
○ 사업자는 착수일 2주일 이내에 계약서, 제안요청서, 제안서 등을 근거로, 본 사업을 수행하기 위한 프로젝트 사업수행계획서(아래 내용 포함)를 제출하고 승인받아야 하며, 착수보고회를 개최하여야 함(착수보고회는 협의 후 생략 가능)
- 사업 목적 및 범위
- 산출물 목록 및 정의서
- 사업관리, 품질관리 방법 및 절차서
- 사업추진 일정, 인력투입 계획서
- 교육계획서 및 사업추진에 필요한 협조 요청사항
- 사업수행 중 보안, 일정 지연, 품질 저하, 인력투입에 의한 예산초과 등 위험 발생에 대한 예방 및 발생 시 사후 대처방안을 제시
- 기타 사업추진 시 고려 사항
|
|
산출정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-02
|
|
요구사항 명칭
|
사업수행 조직 및 인력
|
|
요구사항
상세설명
|
정의
|
사업수행 조직 및 인력
|
|
세부
내용
|
○ 사업수행 조직 및 인력구성 방안 수립
- 사업을 수행할 추진조직, 역할 및 일정에 대한 상세내용 제시
- 투입인력 이력사항 및 단계별 인력투입 계획 및 역할, 투입율 등을 제시
- 본 사업의 성공적인 추진을 위하여 사업자는 구성원의 역할과 책임을 명확하게 구분하여 투입인력을 구성하여야 하며, 작업 단위별 업무분장 내역을 제시하고 안정적으로 사업이 완료될 수 있도록 구성하여야 함
- 본 사업에 투입되는 인력은 N2SF 등 국가 정보보안 기준 및 네트워크 인프라 등과 관련된 전문지식을 보유한 인력이어야 하며, 객관적으로 평가 가능한 구체적인 자료(자격증, 경력증명서, 프로젝트 참여실적, 소프트웨어 기술자 경력증명서 등)를 제시하여야 함
- 「SW사업대가 기준」에 의하여 적정수준의 투입인력 수를 제안하되, 투입인력 중 주관 사업시행자의 소속직원을 50% 이상 구성
- 투입인력의 소속 확인을 위한 증빙서류 제출
- 파견근로자는 자사인력으로 간주하지 않음(원소속사를 반드시 명기하여야 하며, 고용노동부 「파견근로자보호등에관한법률」 등 관계 법령을 준수하여야 함
○ 사업수행사는 사업관리자(PM)를 지정하여 사업을 통합적으로 책임 수행하도록 하여야 함
- 사업관리자(PM)은 사업공고일 기준 사업시행사 소속 임·직원으로서, 특급이상의 경력을 가진 직원으로 사업을 총괄할 수 있는 전문인력이어야 함
○ 사업수행 인력관리에 관한 사항
- 사업수행 인력은 발주기관의 동의 없이 임의로 변경할 수 없으며, 불가항력 사유로 인력교체 필요 시 최소 2주일 전 발주기관에 보고하고, 최소 1주일 이상 동급이상의 대체인력을 투입하여 인수·인계 기간을 두는 등 인력교체 안정화 및 품질저하 방지대책을 제시해야 함
- 인수·인계 기간 동안 교체투입인력에 대한 인건비는 사업자 부담으로 처리하여야 하며, 투입공수에서 제외
- 사업추진 시 일정 지연, 결과물의 오류 등이 발생할 경우 추가인력을 투입하여 해결해야 함
- 본 사업수행 인력은 제안사가 제시한 기간 중 상주를 원칙으로 하고, 비상주시 발주기관과 사전에 협의하여야 함
○ 본 사업수행에 있어 자격 미달, 근무태도 불량, 기술능력 부족 등으로 발주기관이 교체를 요구하는 경우에는 사업수행자는 특별한 사유가 없는 한 해당 투입인력을 동급이상의 인력으로 즉시 교체하여야 함
|
|
산출정보
|
사업수행 조직 및 인력관리 방안, 경력증명서 및 증빙서류
|
|
관련 요구사항
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-03
|
|
요구사항 명칭
|
작업장소
|
|
요구사항
상세설명
|
정의
|
작업장소 지정
|
|
세부
내용
|
○ 사업 수행을 위해 필요한 작업장소 등(장소, 설비, 기타 작업환경)은 상호협의하여 결정하며, 핵심인력이 아닌 지원인력의 근무장소는 보안 등 특별한 사유가 있는 경우를 제외하고는 사업 수행사가 달리 정할 수 있음
○ 사업 수행을 위해 필요한 작업장소 등은 사업예산 내 계상되어 있으므로 관련 비용을 포함하여 제안가격을 산출하되, 작업장소 등은 상호협의하여 결정함
○ 사업 수행을 위하여 필요한 작업장소는 발주기관에서 제공하며, 설비 및 기타 작업환경은 사업 수행사가 구비하여야 함
○ 사업 수행사는 원격지 업무장소 등을 제시할 수 있으며, 발주기관에서는 제시된 작업장소에 관하여 우선 검토한다, 다만 발주기관에서는 사업 수행기관에서 제시한 작업장소가 보안요구사항을 준수하지 못하는 경우, 거부할 수 있다.
* 보안 요구사항은 원격지 개발에 준하여 적용한다.
|
|
산출정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-04
|
|
요구사항 명칭
|
업무보고 등 의사소통 계획수립
|
|
요구사항
상세설명
|
정의
|
업무보고 등 의사소통 계획수립
|
|
세부
내용
|
○ 사업수행에 따른 업무보고 등 의사소통 방안을 제시
- 착수보고, 산출물 품질점검, 최종보고 및 검수 등 일정계획 제시
- 주간·월간·수시보고, 단계별 결과보고 등 사업수행 간 의사소통 계획 제시
- 사업수행사는 발주기관 담당자가 보고사항을 용이하게 파악할 수 있도록 보고서 양식과 세부항목 등을 제시
○ 사업수행사는 매주, 매월 또는 각 단계별 완료시마다 과제이행결과를 발주기관에 보고하여야 함
- 정기보고(주간, 월간, 단계별 완료시)
- 사업수행 공정관리(계획대비 실적), 인력 투입현황
- 차주/월 계획 및 변경 사항
- 주요 추진내용 및 단계별 산출물
- 주요 의사결정 및 협조사항
- 수시보고: 원활한 사업추진을 위해 필요시 수시보고 요청에 대응해야 함
○ 업무보고 후 업무추진 및 기타사항에 대한 회의록을 작성하여 제출
|
|
산출정보
|
주간·월간 보고서, 회의록
|
|
관련 요구사항
|
PMR-01, PMR-05, PMR-06
|
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-05
|
|
요구사항 명칭
|
보고회 실시
|
|
요구사항
상세설명
|
정의
|
보고회 실시 정의
|
|
세부
내용
|
○ 착수보고, 최종보고 등 보고회 실시
- 사업관리자(PM)는 사업수행 중 내외부 관계자가 참석하는 착수·중간·최종보고회를 실시하고 그 결과를 반영하여 최종산출물 제출
- 착수보고: 사업추진전략, 사업추진일정 및 계획, 업무분장 등 보고
- 중간보고: 사업의 중간 단계에서 수행결과(현황분석 결과 및 정보화 목표 및 전략)를 보고하고, 다음 단계의 업무 일정계획 등을 보고
- 종료보고: 사업 종료시 최종 산출물에 대한 결과보고, 단계별 산출물 제출
○ 보고회 시 업무추진 및 기타사항에 대한 회의록을 작성하여 제출
|
|
산출정보
|
착수·중간·최종보고서, 회의록, 단계별 산출물
|
|
관련 요구사항
|
PMR-01, PMR-04
|
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-06
|
|
요구사항 명칭
|
산출물 관리 및 검사
|
|
요구사항
상세설명
|
정의
|
산출물 관리 및 검사
|
|
세부
내용
|
○ 사업수행사는 사업추진과정에서 생산되는 제반 작업 단위별 산출물에 대하여 작업 일정계획 및 품질보증계획과 연계하여 산출물의 종류, 주요 내용, 작성 및 제출 시기, 제출 부수 등을 사업수행계획서에 제시
○ 산출물 제출기한 및 방법
- 단계별 산출물 제출 : 단계별 완료 후 2주 이내
- 최종보고서 제출 : 계약 종료 2주일 이전 최종보고서(종합, 요약) 제출
- 제출방법 : 출력본 및 원본파일(CD 또는 USB저장)
○ 산출물 검사 및 보완
- 단계별 산출물 및 최종보고서 검사는 제안요청서, 제안서 협상결과, 사업수행계획서 등과 일치하지 않거나, 검사내용에 대해 발주기관의 요구가 있을 경우 사업수행자는 지체없이 보완하여 재검사 받아야 함
|
|
산출정보
|
사업수행계획서, 단계별 산출물, 최종보고서
|
|
관련 요구사항
|
PMR-01, PMR-04
|
|
요구사항 분류
|
프로젝트 관리 요구사항(PMR)
|
|
요구사항 고유번호
|
PMR-07
|
|
요구사항 명칭
|
과업변경 관리
|
|
요구사항
상세설명
|
정의
|
과업변경 관리
|
|
세부
내용
|
○ 사업수행 중 과업내용 변경 및 그에 따른 계약금액‧계약기간 조정이 필요한 경우, 주관사업자는 발주기관에게 과업심의위원회의 개최를 요청할 수 있음
○ 주관사업자는 발주기관에게 소프트웨어사업 과업변경요청서*를 제출하여야 함
* 소프트웨어사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시) [별지8]
○ 본 사업은 소프트웨어진흥법 제50조, 같은 법 시행령 제45조, 제46조, 제47조, 소프트웨어사업 계약 및 관리감독에 관한 지침 제24조, 25조, 제26조, 제27조, 제28조를 따름
|
|
산출정보
|
소프트웨어사업 과업변경요청서
|
|
관련 요구사항
|
|
□ 프로젝트 지원 요구사항(Project Support Requirement)
|
요구사항 분류
|
프로젝트 지원 요구사항(PSR)
|
|
요구사항 고유번호
|
PSR-01
|
|
요구사항 명칭
|
결과물 이관 및 사후지원
|
|
요구사항
상세설명
|
정의
|
결과물 이관 및 사후지원 정의
|
|
세부
내용
|
○ 기술이전 및 사후지원 계획 수립
- 사업수행사는 본 사업완료 후 사업 결과물의 지속적인 발전 및 안정성 유지를 위한 기술이전 계획을 제시
- 현행 정보시스템 현황, 차세대 목표모델 및 각 단계별 산출물의 이관 및 내용 설명
○ 사후지원
- 사업수행사는 사업 산출물의 적용을 위해 기술지원을 요청할 경우 후속사업 일정에 차질이 없도록 기술지원에 임해야 함
- 개발요건, 사업비 산정, RFP 등에 대한 수정·보완 등
|
|
산출정보
|
사업수행계획서
|
|
관련 요구사항
|
PMR-01
|
□ 보안 요구사항(Security Requirement)
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-01
|
|
요구사항 명칭
|
보안관리 및 준수에 관한 일반사항
|
|
요구사항
상세설명
|
정의
|
보안관리 및 준수에 관한 일반사항
|
|
세부
내용
|
○ 사업수행사는 본 사업과 관련하여 취득한 일체의 정보를 반환하여야 하며 유출 또는 누설되지 않도록 철저히 관리해야 하며, 이의 위반으로 인한 문제 발생 시 민·형사상의 모든 책임 및 발주기관의 손해배상에 대한 책임을 져야 함
- 이를 위반할 경우 「국가계약법 시행령」 제76조에 따라 사업자를 부정당업체로 등록함
○ 제안서에 보안대책(사업수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 종합대책 및 누출금지 대상정보에 대한 보안관리 계획)을 기재하여야 함
○ 사업 전 과정에서 생성된 자료 및 산출물에 대해 발주기관이 요구하는 보안 관련 법규 및 관리지침을 준수
- 국가정보원 「국가정보보안기본지침」
- 개인정보보호법 등
|
|
산출정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-02
|
|
요구사항 명칭
|
관리적 보안
|
|
요구사항
상세설명
|
정의
|
관리적 보안
|
|
세부
내용
|
○ 사업 착수 시
- 사업 착수 전 사업참여 인원에 대해 법률·규정에 의한 비밀유지 의무 준수 및 위반 시 처벌내용 등에 대한 보안교육을 실시
- 사업수행사는 사업참여 인원 및 업체 대표명의 보안서약서를 제출
- 정보누출금지 조항 및 개인의 친필 서명 포함
○ 사업수행 시
- 사업수행사는 보안인식강화를 보안교육 계획을 세우고 주기적으로 자체 보안교육(월 1회 이상) 및 보안점검을 수시로 실시해야 하며 그 결과를 발주기관에 제출해야 하며, 발주기관이 요구하는 보안교육에 참석하여야 함
- 사업수행과 관련한 보안관리 책임은 사업수행 업체의 대표에게 있으며, 대표는 직원 중 사업 전반의 보안업무를 수행하는 '보안관리책임자'를 지정해야 함
- 사업에 투입되는 모든 인원에 대한 노트북, PC 등 정보통신 장비 반출·입 시 악성코드 감염여부 및 자료 무단반출 확인 등 보안조치 이행
- 사업수행 중 참여기술자의 변경 등이 있는 경우에도 보안서약서 제출 및 보안교육을 받은 후 사업에 참여하여야 함
- ‘내PC지키미’를 통한 월 1회 이상 보안점검 실시
- 기관과 용역업체간 전자우편을 이용한 자료 전송이 필요한 경우, 기관의 전자우편 이용 및 첨부파일 암호화 후 수·발신
○ 사업 종료 시
- 사업수행사는 발주기관으로부터 제공받은 장비, 서류 및 중간·최종산출물 등 모든 자료를 발주기관에 반납하고 삭제하여아 함
- 사업수행사는 사업관련 자료를 보유하고 있지 않으며, 이를 위반 시 향후 법적 책임이 있음을 포함한 "보안준수확약서"를 작성하여 발주기관에 제출하여야 함
- 프로젝트 종료 시, 사업수행사 대표자 명의의 보안확약서(서명) 제출
- 사업수행사는 PC·서버의 하드디스크 등의 저장매체 탈거 및 완전삭제 후 반출(내부정보 유출 차단)
※ 사업수행자가 사업에 대한 하도급 계약을 체결한 경우 해당 사업계약 수준의 비밀유지 조항을 포함하도록 함
※ 사업수행 중 발주기관의 정책에 따라 관리적 보안관리 강화 시 이를 준수하여야 함
※ 사업 용역업체 관련 보안관리 사항은 국가정보원 「외부 용역업체 보안관리방안」을 준수
|
|
산출정보
|
보안서약서, 보안준수확약서, 보안교육 계획/결과 보고서
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-03
|
|
요구사항 명칭
|
물리적 보안
|
|
요구사항
상세설명
|
정의
|
물리적 보안
|
|
세부
내용
|
○ 노트북·PC는 초기화(완전포맷)하여 반입한 후 필수 보안프로그램을 설치하고 임의 삭제를 금지하며, 악성코드, 바이러스 감염 여부 등 보안사항을 확인
○ 반입된 노트북·PC는 사업종료 시까지 사업장소 외로 반출을 금지하며, 다만 부득이하게 외부 반출이 필요한 경우에는 최소한의 장비만 반출을 승인하고 자료유출에 대비한 보안조치 실시 및 반출입대장에 기재한 후 반출
○ 사업관련 자료는 인터넷 웹하드, 웹 메일 등 인터넷 자료공유사이트 및 개인 메일함에 저장을 금지
○ 출퇴근 시 사무실 및 노트북의 시건 상태를 확인하고, 시건장치가 된 보관함에 서류 보관
○ 사용자PC(CMOS)·사용자(운영체제)·화면보호기에 비밀번호(PW) 설정
○ 디지털복합기·복사기·스캐너 등 저장장치에 중요자료 저장금지
|
|
산출정보
|
반출입대장
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-04
|
|
요구사항 명칭
|
내·외부망 접근시 보안관리
|
|
요구사항
상세설명
|
정의
|
내·외부망 접근시 보안관리
|
|
세부
내용
|
○ 사업 참여인원의 노트북·PC는 외부 인터넷과 연결이 차단된 기관에서 승인한 단말기(IP)에서만 시스템에 접근 가능
- 사업수행 상 필요할 경우 보안관리책임자가 직접 요청하고, 필요성이 인정될 경우 특정 노트북·PC를 지정하여 필요한 사이트만 접속
- 기관 내 보안정책 적용(Anti-Virus, PMS, NAC, 보안USB 등) 준수
○ 내부망 접근 시 사업 참여인원에 대한 사용자 계정은 하나의 그룹으로 등록하며, 최소한의 권한을 부여하고 불필요 시 즉시 접근 권한을 해지
○ 네트워크 스위치(장비) 원격접속 제한(텔넷 사용금지, SSH 암호화 통신사용 등 반드시 필요한 경우에만 한시적으로 포트 오픈 조치)
○ 모바일 단말기 또는 이동통신망 접속장치(USB형 등)는 기관의 내부망 및 인터넷망에 직접 연결을 금지하고, 내부망 및 인터넷망 정보시스템을 상용 인터넷망에 연결하는 수단으로 사용 금지
|
|
산출정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-05
|
|
요구사항 명칭
|
보조기억매체 제한
|
|
요구사항
상세설명
|
정의
|
보조기억매체 제한
|
|
세부
내용
|
○ 사업수행사는 개인소유의 PC 및 USB메모리 등 휴대용 저장매체를 사업수행 사무실 내로 반·출입할 수 없으며, 비인가 보조기억매체 사용 금지
|
|
산출정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-06
|
|
요구사항 명칭
|
개인정보보호를 위한 준수사항
|
|
요구사항
상세설명
|
정의
|
개인정보보호를 위한 준수사항
|
|
세부
내용
|
○ 개인정보 수집 및 처리 시 관련 법·지침을 준수
|
|
산출정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-07
|
|
요구사항 명칭
|
보안지침준수
|
|
요구사항
상세설명
|
정의
|
보안지침준수
|
|
세부
내용
|
○ 사업자가 사업수행계획 작성시 보안대책 수립하여야 함
○ 상기 내용 중 언급되지 않은 사항은 다음 관계법령 및 규정을 준수하여야 함
- 한국전기연구원 「보안업무규정」 및 「정보보안업무 세부운용지침」
- 국가정보원 「국가 정보보안 기본치침」
- 과학기술정보통신부 「정보보안기본지침」
- 「국가·공공기관 용역업체 보안관리 가이드라인」
○ 사업자는 본 사업과 관련하여 취득한 일체의 정보를 유출 또는 누설하여서는 안되며, 보안의무 위반시 이로 인한 문제발생시 민․형사상의 모든 책임을 짐
|
|
산출정보
|
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항(SER)
|
|
요구사항 고유번호
|
SER-08
|
|
요구사항 명칭
|
누출금지정보 보안 준수
|
|
요구사항
상세설명
|
정의
|
중요정보 누출 금지
|
|
세부
내용
|
○ 우리 기관에서는 아래와 같이 누출금지정보로 지정하며, 입찰 및 사업 수행과정에서 무단으로 누출할 경우 관련 법령에 따라 부정당업자로 입찰참가자격을 제한합니다.
|
|
< 누출 금지 정보 >
|
|
|
|
|
|
① 기관 소유 전산시스템의 내ㆍ외부 IP주소 현황
② 세부 전산시스템 구성현황 및 전산망구성도
③ 사용자계정 및 패스워드 등 시스템 접근권한 정보
④ 전산시스템 취약점분석 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입현황
⑦ 방화벽ㆍIPS 등 정보보호제품 및 라우터ㆍ스위치 등 네트웍장비 설정 정보
⑧ ‘개인정보 보호법’ 의 개인정보
⑨ 그 외 비밀 및 대외비 등을 포함한 민감정보
|
|
|
산출정보
|
|
|
관련 요구사항
|
|
□ 품질 요구사항(Quality Requirement)
|
요구사항 분류
|
품질 요구사항(QUR)
|
|
요구사항 고유번호
|
QUR-01
|
|
요구사항 명칭
|
품질관리 계획수립 및 이행
|
|
요구사항
상세설명
|
정의
|
품질관리 계획수립 및 이행
|
|
세부
내용
|
○ 품질관리 계획수립 및 이행
- 본 사업의 품질관리를 위한 품질관리 조직, 품질보증의 범위, 절차, 방법 등 품질관리 계획수립
- 주기적인 품질점검 실시
- 일정 지연, 품질 저하에 따른 예산초과 등 위험 발생을 사전에 예방하고 발생 시 대처방안을 제시
○ 품질관리 일반사항
- 사업수행사는 각종 과업을 신중히 검토하여야 하며, 과업에 대한 타당성, 실현 가능성, 정확성 등에 섬세하고 세밀한 품질관리를 해야 함
- 사업수행사는 본 사업에 관련된 모든 보고서의 조사 분석된 사항과 정리된 자료의 출처, 연도, 참고사항 등과 분석자료 등 이에 관련된 기타 서류를 제출
- 사업수행사는 최근의 자료를 이용하여야 하며, 법, 지침 등 관련 규정에 저촉되지 않아야 함
- 보고서의 작성은 그 순서 및 편집방법 등 필요한 사항을 인쇄 전에 발주기관과 사전협의 후 실시
- 자료의 분석과 검토가 완료된 후 용역보고서를 작성하되 어떠한 자료가 누락 또는 오기되었을 경우 필요한 추가 작업을 사업수행사가 부담
- 수행 중 사업자의 중대한 과실 또는 준비사항 미비로 조사, 분석, 계획, 점검 등에 오류가 있을 시 본 용역이 완료된 후라도 사업 수행사의 부담으로 오류를 개선해야 함.
|
|
산출정보
|
품질관리 계획서
|
|
관련 요구사항
|
|
5. 제안서 작성요령
가. 제안서의 효력
□ 제안서에 제시된 내용과 발주자 요구에 의하여 수정, 보완, 변경된 제안내용은 계약서에 명시하지 아니하더라도 계약서와 동일한 효력을 가짐. 다만, 계약서에 명시된 경우는 계약서가 우선함
□ 발주기관은 필요시 제안사에 대하여 추가 제안 또는 자료를 요구할 수 있으며, 이에 따라 제출된 자료는 제안서와 동일한 효력을 가짐
나. 제안서 작성지침(권고사항) 및 유의사항
□ 제안서는 가급적 제시한 제안서 목차 및 세부작성 지침을 준용하여 작성하여야 하고, 제안요청서의 요구 항목들이 제안서의 어느 부분에 기술되었는지 참조표를 제시하여야 함
□ A4지 3 hole 바인더 사용을 권고함
? 제안서 본문 내용은 200페이지(100장) 이내로 작성 권고
? 양면 및 단색(제안 설명회 설명자료 포함)으로 인쇄 권고
? 양장제본, 제안 설명 시 홍보용 동영상 활용 금지
□ 제안서는 A4 종 방향 작성을 원칙으로 하되, 부득이한 경우 A4 횡 또는 기타 용지를 일부 사용할 수 있음
□ 제안서의 각 페이지는 쉽게 참조할 수 있도록 페이지 하단 중앙에 일련번호를 붙이되, 각 장별로 번호를 부여함
□ 제안서는 한글작성이 원칙이며, 사용된 영문약어에 대해서는 약어표를 제공해야 함
□ 제안서의 내용을 객관적으로 입증할 수 있는 관련 자료는 제안서의 별첨으로 제출하여야 함
□ 제안서의 내용은 명확한 용어를 사용하여 표현하여야 함. 예를 들어, “사용가능하다”, “할 수 있다”, “고려하고 있다” 등과 같이 모호한 표현은 평가 시 불가능한 것으로 간주하며, 계량화가 가능한 것은 계량화하여야 함
|
항 목
|
작 성 방 법
|
|
Ⅰ. 일반현황
|
|
1. 제안사
일반현황
|
제안사의 일반현황 및 주요 연력, 최근 3년간의 자본금 및 부문별(컨설팅 등) 매출액, 유사사업실적 등을 명료하게 제시하여야 한다. [붙임 1, 2호 서식]
- 본 사업과 관련이 있는 3년 이내의 유사사업실적(BPR/ISP) 제시
|
|
2. 제안사의 조직 및 인원
|
제안사(컨소시엄 포함)의 조직 및 인원현황을 제시하여야 한다.
|
|
3. 수행조직 및 업무분장
|
본 사업을 수행할 조직 및 업무분장 내용을 상세히 제시하여야 한다.
- 용역책임자는 임원급으로 제시
- 제안사가 하도급 의사가 있는 경우, 해당 업무 및 (예상)하도급 업체를 제시함
- 컨소시엄 업체가 있는 경우 업무분장 내역에 공동수급업체별 참여비율을 명시
|
|
4. 투입인력 및 이력사항
|
본 사업을 수행할 투입인력(PM, PL, 주요 기술자 등)에 대한 이력사항을 제시하여야 한다.[붙임 4호 서식]
- 컨소시엄 이외의 인력은 하도급으로 간주되므로, '3. 수행조직 및 업무분장'에 하도급 의사를 표시하지 않는 경우, 컨소시엄 구성원의 자사인력으로 대체되어야 함(파견근로자는 원소속사 및 파견근로자 임을 명기)
- 성명, 소속, 최종학력, 해당분야근무경력, 보유 자격증 현황, 본사업 참여임무, 근무경력 및 기술경력, 목표투입공수(M/M), 최근 3년간 주요경력(유사BPR/ISP, 개발)
※ 단, 상용S/W, 패키지 등의 서비스 지원인력, 외부 자문인력 등 통상적인 개발인력이 아닌 경우는 제시하지 말 것
※ 제안요청 내용과 연관 없는 불필요한 학력사항이나, 자격사항은 배재
|
|
Ⅱ. 전략 및 방법론
|
|
1. 사업 이해도
|
제안사는 해당사업의 제안요청 내용을 명확하게 이해하고 본 제안의 목적, 범위, 전제조건 및 제안의 특징 및 장점을 요약하여 기술하여야 한다.
|
|
2. 추진전략
|
제안사는 사업을 효과적으로 수행하기 위한 추진전략(위험요소 고려하여 창의적이고 타당한 대안)을 제시하여야 한다.
|
|
3. 컨설팅방법론
|
컨설팅에 적용할 방법론 절차 및 기법의 활용방안을 제시하여야 하며, 적용방법론의 경험을 기술한다.
컨설팅 방법론에 따른 제출할 산출물의 종류 및 내역, 제출시기를 기술한다.
|
|
Ⅲ. 컨설팅
|
|
1. 컨설팅
요구사항
|
법령・제도 현황, 경영환경 분석 등의 환경 분석, IT 조직 분석, 업무 현황 분석, 정보화 전략 수립, 정보화 개선계획, 사업계획 수립 등의 컨설팅 내역을 기술하여야 한다.
|
|
Ⅳ. 성능 및 품질
|
|
1. 품질
요구사항
|
각 단계별 품질 요구사항의 점검 및 검토 방안을 구체적으로 제시하여야 한다.
|
|
Ⅴ. 프로젝트 관리
|
|
1.관리방법론
|
사업위험, 사업진도, 사업수행시 보안을 관리하는 방법, 사업수행 성과물이나 산출물의 형상 및 문서를 관리하는 방법 등을 구체적으로 제시하여야 한다.
※ 분리발주 사업이 있는 경우, 분리발주사업자와의 구체적인 협력방안 제시
|
|
2. 관리역량
|
프로젝트 관리자(PM)의 타 프로젝트 사업관리 실적, 유사 프로젝트 관리 경험, 의사소통 능력 등 프로젝트 관리 역량을 제시하여야 한다.
|
|
3. 일정계획
|
사업수행에 필요한 활동을 도출하여 정확한 활동 기간, 자원, 인력, 조직 등을 제시하여야 한다.
|
|
Ⅵ. 프로젝트 지원
|
|
1. 품질보증
|
조직, 인원, 방법, 절차 등 해당 사업의 수행을 위한 품질보증 방안을 제시하여야 한다.
※ 국제 소프트웨어 개발 프로세스 품질인증 획득 여부 등 사업자 품질보증 능력을 기술
|
|
2. 교육/홍보
|
컨설팅 결과물의 이해를 위해 대상자별로 구분하여 교육방법, 내용, 교육일정, 조직 등을 상세히 제시하여야 한다.
|
|
3. 기밀보안
|
기밀보안 체계 및 대책, 저작권 존중여부 명시, 시스템 보안성 확보방안과 개인정보보호 대책을 제시하여야 함
|
|
Ⅶ. 기타
|
|
1. 기타
|
상기항목에서 제시되지 않은 기타 내용을 기술한다.
|
다. 제안서 목차 및 세부 작성지침
6. 제안안내사항
가. 입찰방식
1) 사업자 선정 방식
-『국가를 당사자로 하는 계약에 관한 법률시행령 제43조 및 제43조의2』에 의거 “협상에 의한 계약체결” 방법을 적용합니다.
- 계약체결에 필요한 세부적인 사항은 기획재정부 계약예규“협상에 의한 계약체결기준”을 적용합니다.
2) 입찰 참가자격
ㅇ 본 제안 사업의 수행이 가능한 업체로서 다음 요건을 모두 갖춘 사업자이어야 함
① 경쟁입찰 참가자격을 갖추고, 조달청 입찰참가자격 등록증을 소지한 사업자
② SW산업진흥법 제24조에 의한 소프트웨어사업자(컴퓨터관련서비스업, 업종코드 : 1468)
- 최근년도 결산신고 된 SW사업자 신고확인서 제출
③ 국가를 당사자로하는 계약에 관한 법률」제27조 및 동법 시행령 제 76조(부정당업자의 입찰참가자격 제한)에 해당되지 않은 업체
ㅇ 상호출자제한기업집단 소속기업 및 대기업 참여제한 사항
① 소프트웨어산업진흥법 제24조의2 제3항에 따라 상호출자제한기업집단에 속하는 회사는 입찰에 참여할 수 없습니다.
② 본 사업은 20억 미만의 사업으로써, 「소프트웨어산업 진흥법」 제24조의2 제2항에 의거 대기업 및 중견기업인 소프트웨어 사업자의 입찰 참여를 제한합니다. (중소기업자만 입찰참가 가능)
|
대상업체
|
사업금액의 하한
|
|
매출액 8천억원 이상인 대기업
|
80억원 이상
|
|
매출액 8천억원 미만인 대기업
|
40억원 이상
|
|
산업발전법 제10조의2(중견기업에 대한 지원) 제1항의 ‘중견기업’
|
20억원 이상
|
* 대기업인 소프트웨어사업자의 참여가능 사업금액의 하한
※ 중소기업이 대기업이 된지 5년 이내의 기업, 상호출자제한기업집단에 속하지 않는 중견기업 (증빙서류 : 한국소프트웨어산업협회 소프트웨어 신고확인서)
※ 상호출자제한기업집단 소속기업은 사업금액에 관계없이 원칙적으로 공공SW사업에 참여제한 (소프트웨어산업진흥법 제24조의2 제3항, ‘13.1.1 시행)
|
ㅇ 공동수급(공동이행방식)의 형태로 참가할 경우, 아래 사항을 준수하여야 함
① 본 사업은 공동수급을 허용하며, 공동수급업체 구성원은「국가를 당사자로 하는 계약에 관한 법률」시행령 제12조(경쟁입찰의 참가자격) 및 동법 시행규칙 제14조 규정에 저촉되지 않아야 합니다.
② 공동수급체는 5개 이하로 구성하여야 하며, 구성원별 계약참여 최소지분율은 10% 이상으로 하여야 합니다.
- [공동계약운용요령 (기획재정부계약예규 제125호) 제9조 제5항 참조]
나. 제안서 평가 방법
(1) 기술평가와 가격평가를 실시하여 종합평가점수로 평가
① 평가비율 : 기술평가(90%), 가격평가(10%)
② 종합평가점수 = 기술평가점수 + 입찰가격 평가점수
(2) 기술평가 방법(수요기관 자체평가)
① 제안서의 공정한 평가를 위해 전문가로 구성된 기술평가위원회를 구성합니다.
② 각 항목별 평가배점과 방법은 『다. 기술성평가기준』에 의합니다.
③ 제안서 발표는 주관사업자의 사업관리자(PM)로 하며, PM이 발표하지 않는 경우는 서면으로 평가(발표 15분, 질의응답 10분)
④ 각 평가위원의 평가점수 중 최고점수와 최저점수를 제외한 나머지 점수를 산술평균한 점수를 90점 만점하며 기술능력평가 분야 배점한도의 85%(76.5점) 이상인 자를 협상적격자로 선정합니다.
<평가항목 및 배점기준>
|
구분
|
배 점
|
비 고
|
|
기술평가
|
정량적 평가
|
20
|
수요기관
|
|
정성적 평가
|
70
|
수요기관
|
|
가격 평가
|
10
|
조달청
|
|
계
|
100
|
|
⑤ 평가점수 결과는 소수점 다섯째자리에서 반올림합니다.
⑥ 평가결과는 공개하지 않는 것을 원칙으로 하며, 제안업체는 이에 대하여 일체의 이의를 제기할 수 없습니다.
(3) 우선협상대상자 선정 및 계약체결
① 협상대상자 중 기술평가점수와 가격평가점수를 합한 점수가 1위인 제안사를 우선협상대상자로 선정하여‘협상에 의한 계약체결 기준(기재부 계약예규)‘에 따라 협상합니다.
② 협상대상자와 협상이 모두 결렬되면 재공고하여 재입찰 추진합니다.
다. 기술성 평가기준
ㅇ 기술성 평가기준은 조달청「협상에 의한 계약 제안서평가 세부기준」(조달청 지침) 등을 준용합니다.
ㅇ 단, 주관기관이 평가항목, 배점한도의 조정을 요청할 수 있으나, 각 평가부문의 배점한도는 30점을 초과할 수 없습니다.
ㅇ 정량적 평가(20점)
|
※ 정량적 평가기준(20점)
|
|
|
ㅇ 수행경험(6점)
|
평가 항목
|
평가 기준
|
배점
|
|
해당 사업규모 대비
입찰공고일 기준
최근 3년간
사업수행실적 비율
[합산 금액기준: 2억]
|
동등이상 사업
|
100% 이상
|
6.0
|
|
70% 이상~100% 미만
|
5.4
|
|
40% 이상~70% 미만
|
4.8
|
|
40% 미만
|
4.2
|
- 기술성 평가기준은 조달청「협상에 의한 계약 제안서평가 세부기준」별표9 ‘수행실적 평가기준’에 따라 평가함
- 실적증명서 첨부[붙임 제3호 서식]
- 공동수급일 경우 : 구성원별 실적에 지분율을 곱한 후 그 실적들을 합산한 실적으로 최종 평가하고, 평가 결과 소수점 이하의 숫자가 있는 경우 소수점 다섯째자리에서 반올림 함
ㅇ 기술인력 참여(8점)
- 평가대상 : 사업관리자 및 부문별 참여기술자
- 평가기준 : 개인별 기술등급을 점수화하여(해당 인원수×기술상태 평가점수×참여율) 누계로 계산
|
구분
|
수석컨설턴트
|
책임컨설턴트
|
전임컨설턴트
|
컨설턴트
|
보조컨설턴트
|
|
참여인력 기술상태
평가점수
|
5
|
4
|
3
|
2
|
1
|
※ 증빙자료 : 정보통신기술자 보유확인서, 기술자격증, 학력증명서, 건강보험 자격득실확인서, 한국소프트웨어산업협회 경력증명서 등 경력을 보유하였음을 증빙할 수 있는 서류에 의한다.
※ 공고일 이전 최근 3개월 이상 해당업체에 근무하고 있는 기술자만 해당
※ 참여인력의 기술등급 기준 : [별표4] ‘기술자의 기술등급 및 인정범위’ 참조
- 산출된 점수에 대한 구간별 평가점수
|
구분
|
30점이상
|
30점미만
~25점이상
|
25점미만
~20점이상
|
20점미만
|
|
평점(점)
|
8.0
|
7.3
|
6.6
|
5.9
|
|
|
ㅇ 경영상태(4점)
|
신용평가등급
|
평점
|
|
회사채
|
기업어음
|
기업신용
|
|
AAA, AA+, AA0, AA-
A+, A0, A-, BBB+, BBB0
|
A1, A2+, A20,
A2-, A3+, A30
|
AAA, AA+, AA0, AA-,
A+, A0, A-, BBB+, BBB0
|
4.0
|
|
BBB-, BB+, BB0, BB-
|
A3-, B+, B0
|
BBB-, BB+, BB0, BB-
|
3.8
|
|
B+, B0, B-
|
B-
|
B+, B0, B-
|
3.6
|
|
CCC+ 이하
|
C 이하
|
CCC+ 이하
|
2.8
|
- 기술성 평가기준은 조달청「협상에 의한 계약 제안서평가 세부기준」별표8 ‘경영상태 평가기준’에 따라 평가함
ㅇ 기업의 신인도(2점)
- 입찰공고일 기준 최근 3년 이내에 입찰참가자격 제한 사실이 있는 자
|
항 목
|
평가 기준
|
배점
|
|
부정당업자
|
- 없음
|
2
|
|
- 3개월 미만 입찰참가자격 제한을 받은 자
|
1.7
|
|
- 3개월 이상 6개월미만 입찰참가자격 제한을 받은 자
|
1.4
|
|
- 6개월 이상 1년미만 입찰참가자격 제한을 받은 자
|
1.1
|
|
- 1년 이상 입찰참가자격 제한을 받은 자
|
0.8
|
- 나라장터에 등록된 내용으로 평가(제한내역을 정량적 평가서에 작성)
- 공동수급일 경우 : 구성원별 해당 점수에 지분율을 곱한 후 그 점수들을 합산하여 최종 평가
(A사 점수×A사 지분율)+(B사 점수×B사 지분율) …
|
|
평가항목
|
평 가 요 소
|
배점
|
|
수행경험(실적)
|
공공분야 ISP·ISMP 사업 수행 실적
|
6
|
|
기술인력 참여
|
참여인력 기술 수준
|
8
|
|
경영상태
|
최근 신용평가등급에 의한 재무구조 건전성
|
4
|
|
신인도
|
사업수행 신인도
|
2
|
|
합 계
|
20
|
|
평가부문
|
평가항목
|
평가기준
|
배점
한도
|
|
전략 및 방법론
(15)
|
사업
이해도
|
사업의 특성 및 목표에 대해 주변 환경분석과 업무내용의 연관관계의 이해를 바탕으로 일관성 있는 방향과 전략을 제시하고 있는가를 평가한다.
|
5
|
|
추진전략
|
사업수행 시 위험요소를 고려하여 얼마나 창의적이며 타당한 대안을 제시하였는가를 평가한다.
|
5
|
|
컨설팅
방법론
|
사업에 적정한 방법론의 제안 타당성을 평가하고, 실제 적용 사례와 경험을 바탕으로 효율적인 단계별 활동 내용을 구성하여 산출물의 적정성을 유지하고, 기술과 경험을 적절히 활용하고 있는가를 평가한다.
|
5
|
|
컨설팅
(30)
|
컨설팅 요구사항
|
법령・제도 현황, 경영환경 분석 등의 환경 분석, IT 조직 분석, 업무 현황 분석, 정보화 전략 수립, 정보화 개선계획, 사업계획 수립 방안이 구체적으로 기술되어 있는가를 평가한다
|
30
|
|
성능 및 품질
(5)
|
품질 요구사항
|
제공되는 분석 도구가 구체적으로 기술되어 있는가를 평가하고, 품질 요구사항의 점검 및 검토 방안이 구체적으로 계획되어 있는가를 평가한다. 또한 각 단계마다 품질 요구사항을 점검하는 별도의 전문 인력이 투입되는가를 평가한다.
|
5
|
|
프로젝트 관리
(10)
|
관리
방법론
|
사업위험, 사업진도, 사업수행시 보안을 관리하는 방법, 사업수행 성과물이나 산출물의 형상 및 문서를 관리하는 방법 등을 평가한다.
|
5
|
|
일정계획
|
사업수행에 필요한 활동을 도출하여 정확한 활동 기간의 산정과 도출된 활동 간의 배열이 합리적인지, 중간목표가 적정하게 제시되어 있는지, 각 활동에 적합한 자원이 적절히 할당되어 있는지 등을 평가한다.
|
5
|
|
프로젝트 지원
(10)
|
품질보증
|
제시된 품질보증 방안이 해당 사업의 수행에 적합한지, 사업자가 대외적으로 인정받을 만한 품질보증 관련 인증을 획득한 사례가 있는지를 확인하고 평가한다.
|
3
|
|
교육/홍보
|
컨설팅 결과물의 이해를 위해 대상자별로 구분하여 교육방법, 내용, 교육일정, 조직 등을 상세히 제시하여야 한다.
|
4
|
|
기밀보안
|
사업 추진 동안 악영향을 미치는 일련의 불순 활동들로부터 기밀을 보호함과 동시에 원활한 사업의 수행을 보장하기 위한 체계 및 대책에 대하여 평가한다.
|
3
|
|
합 계
|
70
|
ㅇ 정성적 평가(70점)
ㅇ 가격평가(10점)
-『협상에 의한 계약체결기준(기획재정부 계약예규)』에 의거 평가
라. 제출서류 : “입찰공고문” 참조
마. 제안서 제출 일정 및 방법 : “입찰공고문” 참조
바. 제안요청 설명회
ㅇ 본 사업은 제안요청 설명회를 실시하지 않으며 입찰 참가자격과 관련이 없습니다.
사. 입찰시 유의사항
ㅇ 제출된 제안서는 일체 반환하지 않으며, 본 제안과 관련된 일체의 소요비용은 입찰참가자의 부담으로 함
ㅇ 낙찰자로 결정된 이후에 공동수급 구성원을 변경할 수 없음
ㅇ 제안서 인력은 단독 또는 공동수급 구성원의 자사인력으로 구성하여야 함
ㅇ 공동수급체 소속 외의 인력은 하도급으로 간주하며, 발주사의 승인을 얻지 못할 경우에는 공동수급체 구성원 자사인력으로 대체하여야 함
※ 단, 외부 자문인력 등 통상적인 개발인력이 아닌 경우는 참여인력에서 제외함
ㅇ 공동계약의 경우, 공동수급 구성원 중 정당한 이유 없이 공동계약이행계획서에 따라 실제 계약에 참여하지 아니하는 구성원에 대해 부정당업자로 제재조치 등 입찰참가자격을 제한함
ㅇ 입찰공고문, 제안안내서, 제안요청서 및 이에 근거한 별첨 등에 명시되지 않은 사항은 국가를 당사자로 하는 계약에 관한 법률, 소프트웨어산업 진흥법, 기획재정부 계약예규, 국제표준규격 등 관련 규정 및 발주사의 계약 요령에 따름
ㅇ 입찰에 참가하고자 하는 자는 본 입찰 유의서 및 국가를 당사자로 하는 계약에 관한 법률 등을 입찰 전에 완전히 숙지하였다고 간주하며 이를 숙지하지 못함으로 발생되는 책임은 입찰 참가자에게 있음
ㅇ 국가를 당사자로 하는 계약에 관한 법률 시행령 제12조 및 시행규칙 제14조 규정, 용역입찰유의서 제 12조에 저촉될 경우 입찰은 무효로 함
ㅇ 입찰자는 발주사로부터 배부 받은 입찰에 관한 서류 또는 각종 자료 및 입찰과정에서 얻은 정보를 당해 입찰 외의 목적으로 사용하여서는 아니됨
아. 제안서 보상
ㅇ 본 제안을 위하여 소요되는 일체의 비용은 제안사의 부담으로 합니다.
ㅇ 본 사업은 「소프트웨어사업의 제안서 보상기준 등에 관한 운영규정(과학기술정보통신부 고시)」제2조에 의거, 제안서 보상대상 사업에 해당하지 않으므로 제안서 보상을 실시하지 않습니다.
6. 기타 사항
가. 하자담보 책임기간
□ (하자담보 책임기간) 본 사업은 ISP컨설팅 사업으로 해당사항 없음
나. 계약목적물의 지식재산권 귀속
□ 본 사업의 특성상, 대외비 정보에 해당하는 네트워크, 보안구성에 대한 ISP 사업으로, 계약 목적물은 발주기관 소유로 함
다. 하도급계약 사전 승인제
□ 본 사업의 하도급의 경우 「소프트웨어 진흥법」 제51조제5항 및 「소프트웨어사업 계약 및 관리감독에 관한 지침」의 규정에 의하여 반드시 하도급계약 전에 발주기관으로부터 사전승인을 받아야 함
□ 본 사업의 과업의 일부를 하도급하려는 경우 「소프트웨어 진흥법」 제51조제1항에 따라 물품(상용소프트웨어 포함) 구매금액을 제외한 소프트웨어사업금액의 100분의 50을 초과할 수 없으며, 같은 법 제3항에 따라 다시 하도급은 원칙적으로 불허함. 다만, 같은 법 제51조제2항 각 호 및 제3항 각 호에 해당하는 경우 그러하지 아니함
□ 본 사업 과업의 일부를 하도급하려는 경우 계약체결 시 「소프트웨어사업 계약 및 관리감독에 관한 지침」의 별지 제7호서식 소프트웨어사업 하도급 계획서(계약체결 시)를 제출하여야 함
□ 본 사업은 기술성 평가 시 '하도급계획적정성‘을 평가항목에 포함하는 사업으로 「소프트웨어 기술성 평가기준 지침」 별지 제4호서식 ‘소프트웨어사업 하도급 계획서(입찰 시)’를 제출해야 함
□ 하도급계약의 승인을 신청하는 경우, 「소프트웨어사업 계약 및 관리감독에 관한 지침」의 별표 3 [하도급계약의 적정성 판단 세부기준]에 따라 적정성여부를 판단하며, 평가점수가 85점 이상인 경우에 한하여 하도급계약을 승인함. 다만, 85점 이상인 경우라 하더라도 하도급 계약의 세부 조건 등으로 인하여 사업의 원활한 수행이 불가능하다고 인정되는 경우 그 사유를 기재하여 하도급 승인 거절을 통보할 수 있음
□ 본 사업에서 전체 사업금액 대비 10%를 초과하여 하도급하려는 경우, 「소프트웨어 진흥법」 제51조제6항 및 동 법 시행령 제48조제5항에 따라 하수급인과 공동수급체를 구성하여 참여해야하며, 공동수급체를 구성하지 못하는 불가피한 사정이 있는 경우 그 사유를 제시하여야 함
라. 작업장소 및 원격지 개발
□ 「소프트웨어 진흥법」 제49조 제3항 및 「소프트웨어사업 계약 및 관리감독에 관한 지침」 제14조에 따라 계약상대자가 제시한 작업장소를 우선 검토하며, 발주기관에서는 계약상대자가 제시한 작업장소가 보안요구사항을 준수하지 못한 경우 거부할 수 있으며, 계약상대자가 유효한 정보보호체계 인증 또는 소프트웨어프로세스 품질인증을 보유하고 있는 경우 계약상대자의 제시안을 검토시 우대할 수 있다.
□ 「(계약예규) 용역계약 일반조건」 제52조 및 「행정기관 및 공공기관 정보시스템 구축·운영 지침」에 따라 사업수행을 위해 필요한 장소 및 설비 기타 작업환경은 발주기관과 상호 협의하여 결정한다.
□ 원격지 근무는 원격개발 장소 보안요구사항을 만족할 경우 가능하며, 상호 협의하여 결정한다.
? 원격개발 장소 보안요구사항
- 공급자는 원격개발에 따른 보안사고 등 위험요인을 식별하여 이에 대한 대응방안을 제안하여야 함
- 공급자는 제안요청서에 명시한 보안요구사항 등을 준수하여 원격개발에 따른 구체적인 원격보안 관리대책을 관리적 보안(보안정책, 보안자료등급관리, 보안자료 접근관리, 백업대책 등), 물리적 보안(출입보안, 원격개발 장소 및 장비운용, 침해시 보안자료 백업 장소운용 등), 기술적보안(침입방지, 탐색, 자료보안기술, 노트북·USB 등 휴대용 저장매체, 네트워크 등)을 제시하여야 함
마. 과업내용 변경
□ (과업내용 변경) 본 사업은 「소프트웨어 진흥법」 제50조, 같은 법 시행령 제47조 제1항 제2호, 제3호에 따른 과업내용 변경 및 그에 따른 계약금액·계약기간 조정이 필요한 경우, 계약상대자는 국가기관등의 장에게 소프트웨어사업 과업변경신청서*를 제출하여야 함 *「소프트웨어사업 계약 및 관리감독에 관한 지침」 별지 8호서식 참조
바. 보안 일반요건(붙임 참조)
□ 본 제안요청서 붙임의 “[보안]” 관련 항목을 준수 하여야 함
□ 붙임의 “[보안]” 관련 서약서/확약서 등은 입찰 혹은 수행 전 동의 후 제출하여야 함
붙임 1. 일반현황 및 주요 연혁
일반현황 및 주요 연혁
|
회 사 명
|
|
대 표 자
|
|
|
사업분야
|
|
|
주 소
|
|
|
연락처
|
전화 : FAX :
|
|
회사설립년도
|
년 월
|
|
해당부문 사업기간
|
년 월 ~ 년 월 ( 년 개월)
|
|
[주요연혁]
|
붙임 2. 자본금 및 매출액(최근 3년)
자본금 및 매출액 (최근 3년)
(단위 : 천원)
|
구 분
|
M-2 년도
|
M-1년도
|
M 년도
|
|
자 본 금
|
|
|
|
|
매 출 액
|
컨설팅부문
|
ISP·ISMP
|
|
|
|
|
전략컨설팅
|
|
|
|
|
보안컨설팅
|
|
|
|
|
감리
|
|
|
|
|
기타
|
|
|
|
|
개발부문
교육부문
⃝⃝부문
|
|
|
|
|
|
합 계
|
|
|
|
※ 컨설팅 매출액의 경우 ISP·ISMP, 전략컨설팅, 보안컨설팅, 감리 등으로 구분하여 상세히 기재하여야 함
주요사업실적
|
사 업 명
|
사 업 기 간
|
계 약 금 액
|
발 주 처
|
비 고
|
|
|
|
|
|
|
※ 연도순으로 기재하며, 제안과제와 유사하거나 동일한 업무영역이나 사업형태에 관한
것만 기재하여야 함. 단, 현재수행중인 사업은 비고란에 현재수행중임을 명시함
※ 하도급은 발주처가 승인한 경우에 한하여 작성하며 비고란에 원도급회사를 기재함
※ 공동도급계약일 경우에는 계약금액란에 제안사의 지분만을 기재함
※ 사업별 사용 개발방법론을 비고에 기재함
※ 한국소프트웨어산업협회에서 발급하는 이행실적확인서를 가능한 활용
※ 실적을 확인할 수 있는 실적증명서, 계약서 등의 증거서류제출, 확인이 불가능한 실적은 인정하지 않음
※ 실적증명자료는 붙임으로 첨부하여야 하며 실적증명첨부서류에 페이지를 명시하여 주요사업실적 비고란에 페이지를 표시하여야 함
붙임 3. 입찰참가 신청서
|
입찰참가 신청서
|
|
입찰내용
|
공고번호
|
|
입찰일자
|
|
|
입찰 건명
|
|
|
신청인
|
상호(법인명)
|
|
사업자등록번호
|
|
|
주소
|
|
전화번호
|
|
|
대표자
|
|
생년월일
|
|
|
입찰
보증금
|
․ 보증금율: %
|
|
․ 보증액: 원
|
|
․ 보증금 납부 방법 :
|
현금자기앞수표 ( )
|
|
|
이행보증보험증권 ( )
|
|
|
지급보증서 ( ) 기타 ( )
|
|
본인은 귀 기관에서 시행하는 상시 입찰 건에 참가하고자 귀 기관에서 정한 입찰 공고사항을 모두 승낙하고 붙임서류를 첨부하여 입찰참가 신청서를 제출합니다.
|
|
붙임 서류 :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
|
|
20 년 월 일
|
|
상호 :
대표자: (인)
|
|
한국전기연구원장 귀하
|
붙임 4. 소프트웨어 분리발주 제외 사유서 : 해당사항 없음
붙임 5. 적정사업기간 종합산정서
소프트웨어 개발사업의 적정 사업기간 종합 산정서
|
사업명
|
|
|
항목별 검토 의견
|
|
검토항목
|
검토의견
|
추정 사업기간
|
|
① 기능점수(FP) 기반 SW사업 적정 개발기간 산정표
|
|
개월
|
|
② 사업기초자료 (사업계획서, 예산신청서, 제안요청서)
|
|
개월
|
|
③ 유사사업 자료
|
|
개월
|
|
④ 기타 특이사항
|
|
개월
|
|
종합 의견
|
|
⑤ 종합의견
|
|
적정
사업기간
|
|
개월
|
|
「소프트웨어사업 관리감독에 관한 일반기준」제6조제3항에 따른 소프트웨어 개발사업의 적정 사업기간을 위와 같이 산정합니다.
년 월 일
|
|
위 원 (서명)
|
위 원 (서명)
|
|
위 원 (서명)
|
위 원 (서명)
|
|
위 원 (서명)
|
위 원 (서명)
|
|
|
위원장 (서명)
|
|
발주기관의 장 귀하
|
※ 소프트웨어사업 특성을 고려하여 검토항목을 수정할 수 있음
붙임 6. 직접구매 대상 상용소프트웨어 구매계획 : 해당사항 없음
붙임 7. 기술적용 계획표
[ ○ ] 기술적용계획표, [ ] 기술적용결과표
|
사업명
|
국가 망 보안 프레임워크 전환 위한 정보화전략계획(ISP) 수립 사업
|
|
작성일
|
2026. .
|
□ 법률 및 고시
|
구분
|
항 목
|
|
법률
|
o 지능정보화 기본법
o 공공기관의 정보공개에 관한 법률
o 개인정보 보호법
o 소프트웨어 진흥법
o 인터넷주소자원에 관한 법률
o 전자서명법
o 전자정부법
o 정보통신기반 보호법
o 정보통신망 이용촉진 및 정보보호 등에 관한 법률
o 통신비밀보호법
o 국가를 당사자로 하는 계약에 관한 법률
o 하도급거래 공정화에 관한 법률
o 지방자치단체를 당사자로 하는 계약에 관한 법률
o 공공데이터의 제공 및 이용 활성화에 관한 법률
|
|
고시 등
|
o 보안업무규정(대통령령)
o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령)
o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시)
o 전자서명인증업무 운영기준(과학기술정보통신부고시)
o 전자정부 웹사이트 품질관리 지침(행정안전부고시)
o 정보보호시스템 공통평가기준(미래창조과학부고시)
o 정보보호시스템 평가·인증 지침(과학기술정보통신부고시)
o 정보시스템 감리기준(행정안전부고시)
o 전자정부사업관리 위탁에 관한 규정(행정안전부고시)
o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규)
o 행정전자서명 인증업무지침(행정안전부고시)
o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시)
o 개인정보의 안전성 확보조치 기준(개인정보보호위원회)
o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회)
o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규)
o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규)
o 표준 개인정보 보호지침(개인정보보호위원회)
o 엔지니어링사업대가의 기준(산업통상자원부고시)
o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시)
o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시)
o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시)
o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시)
o 용역계약일반조건(기획재정부계약예규)
o 협상에 의한 계약체결기준(기획재정부계약예규)
o 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규)
o 하도급거래공정화지침(공정거래위원회예규)
o 정보보호조치에 관한 지침(과학기술정보통신부고시)
o 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회)
o 행정정보 공동이용 지침(행정안전부예규)
o 공공기관의 데이터베이스 표준화 지침(행정안전부고시)
o 공공데이터 공통표준용어(행정안전부고시)
o 공공데이터 관리지침(행정안전부고시)
o 모바일 전자정부 서비스 관리 지침(행정안전부예규)
o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시)
o 국가정보보안기본지침(국가정보원)
|
□ 서비스 접근 및 전달 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
|
|
|
|
O
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
관련규정
|
o 전자정부 웹사이트 품질관리 지침
o 한국형 웹 콘텐츠 접근성 지침 2.1
|
|
|
|
O
|
|
|
o 모바일 전자정부 서비스 관리 지침
|
|
|
|
O
|
|
|
외부 접근
장치
|
o 웹브라우저 관련
- HTML 4.01/HTML 5, CSS 2.1
|
|
|
|
O
|
|
|
- XHTML 1.0
|
|
|
|
O
|
|
|
- XML 1.0, XSL 1.0
|
|
|
|
O
|
|
|
- ECMAScript 3rd
|
|
|
|
O
|
|
|
o 모바일 관련
- 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307)
|
|
|
|
O
|
|
|
서비스
요구사항
|
서비스관리(KS X ISO/IEC 20000)/ ITIL v3
|
|
|
|
O
|
|
|
서비스 전달
프로토콜
|
IPv4
|
|
|
|
O
|
|
|
IPv6
|
|
|
|
O
|
|
□ 인터페이스 및 통합 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 타기관과 공유가 가능한 웹서비스는 범정부 차원의 공유·활용이 가능하도록 지원하여야 한다.
|
|
|
|
O
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
서비스 통합
|
o 웹 서비스
- SOAP 1.2, WSDL 2.0, XML 1.0
|
|
|
|
O
|
|
|
- UDDI v3
|
|
|
|
O
|
|
|
- RESTful
|
|
|
|
O
|
|
|
o 비즈니스 프로세스 관리
- UML 2.0/BPMN 1.0
|
|
|
|
O
|
|
|
- ebXML/BPEL 2.0/XPDL 2.0
|
|
|
|
O
|
|
|
데이터 공유
|
o 데이터 형식 : XML 1.0
|
|
|
|
O
|
|
|
인터페이스
|
o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0
|
|
|
|
O
|
|
□ 플랫폼 및 기반구조 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
|
|
|
|
O
|
|
|
o 하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
|
|
|
|
O
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
네트워크
|
o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310
|
|
|
|
O
|
|
|
o 부가통신: VoIP
- H.323
|
|
|
|
O
|
|
|
- SIP
|
|
|
|
O
|
|
|
- Megaco(H.248)
|
|
|
|
O
|
|
|
운영체제 및
기반 환경
|
o 서버용(개방형) 운영 체제 및 기반환경 :
- POSIX.0
|
|
|
|
O
|
|
|
- UNIX
|
|
|
|
O
|
|
|
- Windows Server
|
|
|
|
O
|
|
|
- Linux
|
|
|
|
O
|
|
|
o 모바일용 운영 체계 및 기반환경
- android
|
|
|
|
O
|
|
|
- IOS
|
|
|
|
O
|
|
|
- Windows Phone
|
|
|
|
O
|
|
|
데이터베이스
|
o DBMS
- RDBMS
|
|
|
|
O
|
|
|
- ORDBMS
|
|
|
|
O
|
|
|
- OODBMS
|
|
|
|
O
|
|
|
- MMDBMS
|
|
|
|
O
|
|
|
시스템 관리
|
o ITIL v3 / ISO20000
|
|
|
|
O
|
|
|
소프트웨어 공학
|
o 개발프레임워크 : 전자정부 표준프레임워크
|
|
|
|
O
|
|
□ 요소기술 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
|
|
|
|
O
|
|
|
o 데이터는 데이터 공유 및 재사용, 데이터 교환, 데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
|
|
|
|
O
|
|
|
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부장관에게 보고하고 행정안전부의“행정기관의 코드표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정안전부장관에게 표준 등록을 요청하여야 한다.
|
|
|
|
O
|
|
|
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
|
|
|
|
O
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
관련규정
|
o 공공기관의 데이터베이스 표준화 지침
o 공공데이터 공통표준용어
o 공공데이터 관리지침
|
|
|
|
O
|
|
|
데이터 표현
|
o 정적표현 : HTML 4.01
|
|
|
|
O
|
|
|
o 동적표현 - JSP 2.1
|
|
|
|
O
|
|
|
- ASP.net
|
|
|
|
O
|
|
|
- PHP
|
|
|
|
O
|
|
|
- 기타 ( )
|
|
|
|
O
|
|
|
프로그래밍
|
o 프로그래밍
- C
|
|
|
|
O
|
|
|
- C++
|
|
|
|
O
|
|
|
- Java
|
|
|
|
O
|
|
|
- C#
|
|
|
|
O
|
|
|
- 기타 ( )
|
|
|
|
O
|
|
|
데이터 교환
|
o 교환프로토콜:
- XMI 2.0
|
|
|
|
O
|
|
|
- SOAP 1.2
|
|
|
|
O
|
|
|
o 문자셋
- EUC-KR
|
|
|
|
O
|
|
|
- UTF-8(단, 신규시스템은 UTF-8 우선 적용)
|
|
|
|
O
|
|
□ 보안 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미
적용
|
해당없음
|
|
기본 지침
|
|
|
|
|
|
|
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 “서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
|
|
|
|
O
|
|
|
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 전자서명 또는 행정전자서명을 기반으로 하여야 한다.
|
|
|
|
O
|
|
|
o 네트워크 장비 및 네트워크 보안장비에 임의 접속이 가능한 악의적인 기능 등 설치된 백도어가 없도록 하여야 하고 보안기능 취약점 발견시 개선․조치하여야 한다.
|
|
|
|
O
|
|
|
세부 기술 지침
|
|
|
|
|
|
|
관련
규정
|
o 전자정부법
|
|
|
|
O
|
|
|
o 국가정보보안기본지침(국가정보원)
- 국가 사이버안전 매뉴얼
|
|
|
|
O
|
|
|
o 네트워크 장비 구축·운영사업 추가특수조건(조달청 지침)
|
|
|
|
O
|
|
|
제품별 도입
요건 및 보안
기준
준수
|
o 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 정보보호제품)
- PKI제품
|
|
|
|
O
|
|
|
- SSO제품
|
|
|
|
O
|
|
|
- 디스크ㆍ파일 암호화 제품
|
|
|
|
O
|
|
|
- 문서 암호화 제품(DRM)등
|
|
|
|
O
|
|
|
- 메일 암호화 제품
|
|
|
|
O
|
|
|
- 구간 암호화 제품
|
|
|
|
O
|
|
|
- 키보드 암호화 제품
|
|
|
|
O
|
|
|
- 하드웨어 보안 토큰
|
|
|
|
O
|
|
|
- DB암호화 제품
|
|
|
|
O
|
|
|
- 상기제품(9종)이외 중요정보 보호를 위해 암호기능이 내장된 제품
|
|
|
|
O
|
|
|
- 암호모듈 검증서에 명시된 제품과 동일 제품 여부
|
|
|
|
O
|
|
|
o CC인증 필수제품 유형군(국제 CC인 경우 보안적합성 검증 필요)
- (네트워크)침입차단
|
|
|
|
O
|
|
|
- (네트워크)침입방지(침입탐지 포함)
|
|
|
|
O
|
|
|
- 통합보안관리
|
|
|
|
O
|
|
|
- 웹 응용프로그램 침입차단
|
|
|
|
O
|
|
|
- DDos 대응
|
|
|
|
O
|
|
|
- 인터넷 전화 보안
|
|
|
|
O
|
|
|
- 무선침입방지
|
|
|
|
O
|
|
|
- 무선랜 인증
|
|
|
|
O
|
|
|
- 가상사설망(검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 네트워크 접근통제
|
|
|
|
O
|
|
|
- 네트워크 자료유출방지
|
|
|
|
O
|
|
|
- 망간 자료전송
|
|
|
|
O
|
|
|
- 안티 바이러스
|
|
|
|
O
|
|
|
- 가상화(PC 또는 서버)
|
|
|
|
O
|
|
|
- 패치관리
|
|
|
|
O
|
|
|
- 호스트 자료유출 방지(매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 스팸메일 차단
|
|
|
|
O
|
|
|
- 서버 접근통제
|
|
|
|
O
|
|
|
- DB접근 통제
|
|
|
|
O
|
|
|
- 스마트카드
|
|
|
|
O
|
|
|
- 소프트웨어기반 보안USB(검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 디지털 복합기 (비휘발성 저장매체 장착 제품에 대한 완전삭제 혹은 암호화 기능)
|
|
|
|
O
|
|
|
- 소스코드 보안약점 분석도구
|
|
|
|
O
|
|
|
- 스마트폰 보안관리
|
|
|
|
O
|
|
|
- CC인증서에 명시된 제품과 동일 제품 여부
|
|
|
|
O
|
|
|
o 모바일 서비스(앱·웹) 등
- 보안취약점 및 보안약점 점검·조치 (모바일 전자정부 서비스 관리 지침)
|
|
|
|
O
|
|
|
o 민간 클라우드 활용
- 클라우드 서비스 보안인증(CSAP)을 받은 서비스
- 행정·공공기관 민간 클라우드 이용 가이드라인
|
|
|
|
O
|
|
|
백도어 방지 기술적 확인 사항
|
o 보안기능 준수
- 식별 및 인증
|
|
|
|
O
|
|
|
- 암호지원
|
|
|
|
O
|
|
|
- 정보 흐름 통제
|
|
|
|
O
|
|
|
- 보안 관리
|
|
|
|
O
|
|
|
- 자체 시험
|
|
|
|
O
|
|
|
- 접근 통제
|
|
|
|
O
|
|
|
- 전송데이터 보호
|
|
|
|
O
|
|
|
- 감사 기록
|
|
|
|
O
|
|
|
- 기타 제품별 특화기능
|
|
|
|
O
|
|
|
o 보안기능 확인 및 취약점 제거
- 보안기능별 명령어 등 시험 및 운영방법 제공
|
|
|
|
O
|
|
|
- 취약점 개선(취약점이 없는 펌웨어 및 패치 적용)
|
|
|
|
O
|
|
|
- 백도어 제거(비공개 원격 관리 및 접속 기능)
|
|
|
|
O
|
|
|
- 오픈소스 적용 기능 및 리스트 제공
|
|
|
|
O
|
|
※ 최신 기준은 ‘국가정보원 홈페이지 참조
붙임 8. [보안]보안 일반요건
보안 일반요건
□ 모든 유지관리 인력은 모든 용역사항에 대한 보안책임이 있으며, 계약자의 보안관련 규정을 준수하여야 함
□ 기타 보안규정 불이행으로 발생되는 모든 책임은 용역사업자에게 있음
□ 용역사업자는 본 사업에 참여하는 인원에 대하여 신원조회, 철저한 보안 교육 및 사업수행에 관련된 제반 보안대책을 마련하여야 함
□ 용역사업자 및 용역인원은 용역과 관련하여 취득하거나 생성된 모든 자료는 계약자의 승인 없이는 절대로 외부에 유출 또는 다른 용도로 사용할 수 없음
□ 사업에 투입되는 모든 인력 및 관련 업체에 대하여 보안서약서 징구
□ 정보보안 책임자 및 담당자를 정해 보안업무를 관리하도록 하고, 개발요원에 대한 주기적인 보안교육을 실시
□ 용역사업자는 『개인정보 보호법』 및 연구원 개인정보보호지침을 준수하여야 하며 개인정보 취급업무를 수행하는 경우 개인정보처리 위탁 계약서를 작성 하여야 함
□ 비인가자의 접근 및 정보시스템의 불법적인 접근을 차단하기 위해 사용자별 또는 그룹별로 접근권한을 부여하여 관리하여야 함
□ 용역사업자는 다음의 자료를 누출하였을 경우, 국가계약법 시행령 제76조에 따라 부정당업체로 등록되므로 누출금지대상정보에 대한 관리를 철저히 하여야 함
|
1. 기관 소유 정보시스템의 내․외부 IP주소 현황
2. 세부 정보시스템 구성현황 및 정보통신망 구성도
3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보
4. 정보통신망 취약점 분석·평가 결과물
5. 용역사업 결과물 및 프로그램 소스코드
6. 국가용 보안시스템 및 정보보호시스템 도입 현황
7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보
8.「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서
9.「개인정보보호법」제2조제1호의 개인정보
10.「보안업무규정」제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비
11. 그 밖에 각급기관의 장이 공개가 불가하다고 판단한 자료
|
붙임 9. [보안]용역업체 보안 준수사항
□ 문서보안
가. 문서 및 필요한 관련자료 제공 시 인수인계서 작성 후 제공 및 회수
나. 프로젝트 수행 중 취득한 중요 정보자료는 연구원의 동의 없이 복사할 수 없으며, 외부 유출을 금함
① 기관 소유 전산시스템의 내․외부 IP 주소현황
② 제부 전산시스템 구성현황 및 전산망구성도
③ 사용자계정 및 패스워드 등 시스템 접근권한 정보
④ 전산시스템 취약점 분석 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입현황
⑦ 방화벽ㆍIPS 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보
⑧ ‘공공기관의 정보공개에 관한 법률’ 제9조1항에 따라 비공개 대상정보로 분류된 기관의 내부문서
⑨ ‘공공기관 개인정보보호에 관한 법률’ 제2조2호의 개인정보
⑩ ‘보안업무규정’ 제4조의 비밀, 동 시행규칙 제7조3항의 대외비
⑪ 기타 연구원이 공개가 불가하다고 판단한 자료
- 계약서상에 상호 비밀 보장에 관련된 내용 명시
- 출력물에 대해서는 이면지 사용불가 및 분쇄기 사용 파쇄
- E-mail을 통한 인터넷 정보유출 방지
다. 중요 정보 자료 노출 시 “국가계약법 시행령 76조 1항 및 시행규칙”에 따라 부정당업자로 제재
□ 인원보안
가. 보안 서약서 작성 후, 연구원에 제출
나. 사업 참여 인원에 대한 비밀유지 및 보안관련 교육 실시
다. 필요시 출입통제 장비의 설치 후, 외부인의 출입을 통제함
라. 서비스 장애 행위 금지
① 대량의 불법데이터 및 메일 등을 발송하여 정보시스템 장애 발생 행위
② 불법적인 컴퓨터바이러스 및 논리폭탄 등의 프로그램을 투입하는 행위
③ 권한 외 접근으로 저장된 데이터를 조작, 파괴, 은닉 또는 유출하는 행위
④ 주요 명령어 입력 시 연구원 담당자의 사전 승인 및 외부직원 작업 시 현장 동행
□ 장비보안
가. 업체보유 컴퓨터 및 노트북 관리
① 보안사항이 필요한 컴퓨터 및 노트북의 경우 연구원 지정 컴퓨터사용
② USB 등의 보조기억매체 사용 금지
③ 최신 바이러스 백신프로그램 설치 및 감염 여부 확인
④ PC 방화벽을 설치하여 외부인의 노트북 접근을 봉쇄
⑤ PC 관리 도구를 활용하여 PC내 데이터의 암호화 고려(필요시)
⑥ 퇴근 시 노트북은 캐비넷에 보관, 외부 반출 금지
⑦ 사업 종료 시 용역업체의 모든 장비에 대한 Format 한 후 반출
나. 저장 및 출력장치 보안
① CD 및 디스켓의 외부 유출을 방지
② 프린터를 통한 출력물의 관리강화
다. 사업 수행 시 활용한 PC 및 휴대용 장비의 이동이 있을 경우, 연구원의 동의를 득한 후 장비 이동이 가능하도록 통제
□ 내․외부망보안
가. 사업 참여인원에 대한 시스템에 대한 접근 권한을 부여하되 권한이 불필요시 곧바로 권한 해지
나. 사업 참여인원에 대한 패스워드 관리 및 작업이력과 자료 확인
다. 내부서버 및 네트워크장비에 대한 접근 기록을 매일 확인
라. 사업 참여업체에서 사용하는 노트북PC는 인터넷 연결을 원칙적으로 금지하며 다만, 사업 수행 시 필요한 사이트 및 서버에만 접속 허용
□ 산출물에 대한 보안관리
가. 사업 수행 시 생산되는 모든 산출물은 프로젝트 관리시스템에 저장(보안담당자 지정)
나. 사업 수행으로 생산되는 산출물 및 기록은 보안담당관이 인가하지 않은 비인가자에게 제공ㆍ대여ㆍ열람 금지
다. 사업 종료 후 생산된 산출물은 별도의 보조기억매체에 저장하여 연구원에 제출하고, 불필요한 산출물은 폐기토록 하며, 관련 자료가 외부로 반출되지 않도록 조치
붙임 10. [보안]용역업체 보안 특약사항
가. 사업자는 한국전기연구원의 보안정책을 위반하였을 경우 [별표 1]의 위규처리 기준에 따라 위규자 및 관리자를 행정조치하고 [별표 2]의 보안 위약금을 한국전기연구원에 납부함
나. 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 별표의 ‘누출금지 대상정보’에 대한 보안관리 계획을 설치계획서에 기재하여야 하며, 해당 정보 누출 시 한국전기연구원은 국가계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록함
다. 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 아니 되며, 사업종료 시 정보보안담당자의 입회하에 완전 폐기 또는 반납해야 함
[별표 1] 사업자 보안위규 처리기준
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
심 각
위 규
|
1. 연구원 비밀정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보․신상정보 목록 유출
다. 비공개 항공사진․공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 내 인위적인 악성코드 유포
다. 시스템 구축 결과물에 대한 외부 유출
|
◦ 사업참여 제한
◦ 위규자 및 직속 감독자 퇴출
◦ 조치결과를 국정원에 통보
|
|
중 대
위 규
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
2. 사무실ㆍ보호구역 보안관리 허술
가. 사무실 출입문을 개방한 채 퇴근
나. 서류함 열쇠뭉치를 책상위 등에 방치
다. 통제구역 내 장비․시설 등 무단 사진촬영
라. 미신고 작업자의 사무실 출입 및 PC 사용
3. 전산정보 보호대책 부실
가. PC 봉인, 보안 USB 사용규정 위반
나. PC에 비공개 정보를 켜 놓은 채 퇴근
다. PC 하드디스크에 비공개 정보를 보관 및 패스워드 미부여
라. 업무망․인터넷망 혼용사용, 보안 USB 사용규정 위반
마. 웹하드․P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신
바. 인터넷망 PC 하드디스크에 비공개 정보를 작업ㆍ보관
사. 외부용 PC를 업무망에 무단 연결 사용
아. 보안관련 프로그램 강제 삭제
자. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
|
◦ 퇴출 등 중징계
◦ 위규자 및 직속 감독자 사유서 /경위서 징구
(2회 이상 퇴출)
◦ 재발 방지를 위한 조치계획 제출
◦ 위규자 대상 특별보안교육 실시
※ 연구원장명의 해당 업체장 에게 경고장 통보
|
|
보 통
위 규
|
1. 연구원 제공 중요정책ㆍ민감자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상 위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개방된 서류함에 연구원 문서를 일반문서와 혼합보관
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 캐비넷 다이얼번호를 외부에 노출
3. 보호구역 관리 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 미실시
다. 계약 상대자가 설치한 경보ㆍ보안장치 작동 불량
4. 당직 근무자 근무상태 불량
가. 근무수칙ㆍ비상조치요령 미숙지
나. 근무장소에 외부인 무단 조치, 잡담 등 근무태만
5. 전산정보 보호대책 부실
가. 보조기억매체(CD, USB 등)를 서랍ㆍ책상위 등에 방치한 채 퇴근
나. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
다. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
라. PC 비밀번호를 모니터옆 등 외부에 노출
마. 비인가 보조기억매체 무단사용
바. 산출물을 한국전기연구원 제공 파일서버가 아닌 개발 PC에 저장
6. 기타 관행적 사항
가. PC, 복사기, 프린터, 선풍기 등 전기제품을 켜 놓은 채 퇴근
|
◦ 자체내규 의거 경징계 등 문책
◦ 위규자 및 직속 감독자 사유서 /경위서 징구
(2회 이상 적발시 당사자 퇴출)
◦ 재발 방지를 위한 조치계획 제출
◦ 위규자 대상 특별보안교육 실시
※ 2회 이상 위규 시 원구원장 명의 해당 업체장에게 경고장 통보
|
|
경 미
위규
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 경비ㆍ당직 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 보호구역 열쇠ㆍ마스타키 관리부실
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
4. 기타 관행적 사항
가. 보안담당자 일지 미기록 등 임무소홀
|
◦ 주의조치
◦ 재발 방지를 위한 조치계획 제출
◦ 위규자 대상 특별보안교육 실시
|
[별표 2] 보안 위약금 부과 기준
보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분
|
위규 수준
|
|
A급
|
B급
|
C급
|
D급
|
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
|
위약금
비중
|
부정당업자 등록
|
관련피해에 상응하는 위약금
|
* 위약금 규모는 기관별 사업규모에 따라 조정
* 위규 수준은 [[별표 1]] 참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과
* 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
3. 사업 종료 시 지출금액 조정을 통해 위약금 정산
붙임 11. [보안]보안서약서
|
보 안 서 약 서
(용역사업/원격업무)
|
|
본인은 년 월 일부로 년 월 까지 관련 업무를 수행함에 있어 다음 사항을 준수할 것을 엄숙히 서약합니다.
|
|
1. 본인은 업무상 취득한 모든 정보가 한국전기연구원 및 국가의 기밀사항임을 인정 하고 이 기밀을 누설함이 한국전기연구원 및 국가안전보장/국가이익에 위해가 될 수 있음을 인식하여 기밀사항을 일체 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다.
|
|
2. 본인은 하도급업체를 통한 사업 수행 시 하도급업체로 인해 발생하는 위반사항에 대하여 모든 책임을 진다.
|
|
3. 본인은 아래의 정보에 대하여 업무 외적으로 활용하거나 타인에게 누설한 때에는 관계 법규에 따라 엄중한 처벌을 받는다.
가. 정보통신망도, IP현황, 개인정보, 시스템 및 계정정보 등은 불법 유출 및 업무외적 사용 금지한다.
나. 용역사업 과정에서 생산된 모든 산출물은 담당자에게 인계하고 삭제 및 세단 후 폐기한다. (비인가자에게 제공ㆍ대여ㆍ열람 금지)
다. 제공받은 제반자료, 장비, 서류는 전량 반납하고, 복사본은 별도 보관을 금지한다.
라. 정보시스템 반출ㆍ입시 악성코드 감염 여부를 항상 확인 및 조치한다.
마. 기타 한국전기연구원의 규정 및 지침에 따른다.
|
|
o 서 약 자 20 년 월 일
|
|
|
일자
|
기관명/업체명
|
직급/직위
|
성 명
|
서 명
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o 서약 집행자
부서명: 직급/직위: 성명: (인)
|
|
한국전기연구원장
|
붙임 12. [보안]보안확약서(업체대표)
|
보 안 확 약 서
본인은 귀 연구원과 계약한 사업의 수행을 완료함에 있어, 다음 각 호의 보안사항에 대한 준수 책임이 있음을 서약하며 이에 확약서를 제출합니다.
본 업체(단체)는 업체(단체) 및 사업 참여자가 사업수행 중 지득한 모든 자료를 반납 및 파기하였으며, 지득한 정보에 대한 유출을 절대 금지하겠습니다.
본 업체(단체)는 하도급업체에 대해 상기 항과 동일한 보안사항 준수 책임을 확인하고 보안확약서 징구하였으며, 하도급업체가 위의 보안사항을 위반할 경우에 주사업자로서 이에 동일한 법적 책임을 지겠습니다.
본 업체(단체)는 상기 보안사항을 위반할 경우에 귀 기관의 사업에 참여 제한 또는 기타 관련 법규에 따른 책임과 손해배상을 감수하겠습니다.
년 월 일
서약업체대표 업 체 명 :
대 표 자 : (서명)
주 소 :
연 락 처 : (전화) (팩스)
한국전기연구원장 귀하
|
붙임 13. [보안]비밀유지 서약서
비밀유지 서약서
성 명:
소 속:
주 소 :
연락처:
본인은 한국전기연구원의 비밀 보호를 위하여 다음 사항을 준수할 것을 서약합니다.
1. 본인은 연구원에서 업무를 수행함에 있어 알게 된 개인정보 및 비밀 정보를 제3자에게 제공, 공개 또는 누설하지 않겠습니다.
2. 본인은 연구원으로부터 업무수행을 위하여 명시적으로 접근을 허가받은 시설과 정보만을 이용하겠습니다. 또한, 연구원이 업무를 위하여 제공한 인터넷, E-mail, fax, 전화 등에 대해서는 비밀보호를 위하여 연구원이 일정한 제한이나 통제를 할 수 있음을 인정하고, 이에 동의합니다.
3. 본인은 연구원의 사전 승인 없이는 연구원의 비밀 정보를 외부로 반출하지 않겠습니다.
4. 본인은 업무가 종결되거나, 연구원의 요청이 있는 경우 연구원이 제공한 모든 자료와 자산을 연구원에 즉시 반납하겠습니다.
5. 본인은 업무수행의 결과 산출된 모든 결과물(보고서, 컴퓨터 프로그램, 장치, 기타 업무수행 중 산출된 문서 등)에 대한 권리가 연구원에 귀속됨을 인정하고 소유하지 않겠으며, 연구원이 이에 대한 권리를 행사하는데 협조하겠습니다.
6. 만일 서약사항을 위반하였을 경우에 본인은 법령이 정한 바에 따라 민·형사상의 모든 책임을 부담하겠으며, 이로 인하여 연구원에 발생한 모든 손해를 배상하겠습니다.
년 월 일
대 표 자: (인)
한국전기연구원장 귀하
붙임 14. [보안]자료반환 확약서
자료반환 확약서
성 명:
소 속:
주 소 :
연락처:
1. 본인은 업무수행의 결과 산출된 모든 결과물(보고서, 컴퓨터 프로그램, 장치, 기타 업무수행 중 산출된 문서 등)에 대한 권리가 연구원에 귀속됨을 인정하고 제반자료들을 완전삭제 및 폐기하였으며, 복사본 등을 소유하지 않음을 확약합니다.
2. 만일 이를 위반하였을 경우에 본인은 법령이 정한 바에 따라 민·형사상의 모든 책임을 부담하겠으며, 이로 인하여 연구원에 발생한 모든 손해를 배상하겠습니다.
년 월 일
대 표 자: (인)
한국전기연구원장 귀하
붙임 15. [보안]개인정보처리위탁 계약서: 해당사항 없음
붙임 16. [보안]보안성 체크리스트
보안성 검토 체크리스트(사전 점검)
사업명 : 사업체명 : 작성자 : (서명)
|
구 분
|
항 목
|
Y
|
N
|
UC
|
|
인증
및
권한
|
1.1
|
사용자 인증 처리가 필요한가?
|
|
|
|
|
- 사용자 인증방식은 PKI기반 인증서방식을 권고하며, 기존 한국전기연구원 통합인증(SSO) 시스템과 연동 또는 별도 인증방식 구현
- 사용자 인증 로그 별도 관리 및 불법접근 식별정보 기록
- ID/PW 사용 시, PW는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수
- 쿠키정보는 사용을 자제하고, 불가피하게 사용할 경우 쿠키정보는 암호화 필수 (모듈은 국가정보원 검증모듈 사용)
- 사용자 인증과 관련된 정보는 PC 저장 금지
- I-PIN, G-PIN 등 사용자 정보 확인 및 행정안전부 GPKI 시스템(CA, LDAP 등) 사용 여부
|
|
1.2
|
사용자 가입 절차가 필요한가?
|
|
|
|
|
- 대민 시스템의 경우, 주민등록번호 대체 수단 (G-PIN) 사용 필수
- 개인정보보호 정책 등 보안관련 정책 수립 및 관련정책 게시
|
|
1.3
|
사용자별로 권한을 정의하는가?
|
|
|
|
|
- 제공하는 정보의 중요도에 따라 권한 정의 필요
|
|
1.4
|
별도의 관리자 화면을 구현하는가?
|
|
|
|
|
- 관리자 화면 접속에 대한 통제기능(중복인증, 접속 IP 통제 등) 필요
- 관리자에게 제공하는 기능 및 정보 범위 등 사전 협의 필요
|
|
1.5
|
한국전기연구원 외부에서 접근 가능한가?
|
|
|
|
|
- 외부접속에 대한 네트워크, 데이터 측면 안전대책 수립 필수
|
|
중요정보
취급
|
2.1
|
개인정보를 취급(수집, 저장, 제공 등)하는가?
|
|
|
|
|
- 주요 개인정보 : 주민등록번호 및 계좌정보, 신용카드 정보 등의 금융정보
- 일반 개인정보 : 주소, 전화번호, 이메일 등
- 주요 개인정보는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수
|
|
2.2
|
청에서 보유 중인 개인정보가 필요한가?
|
|
|
|
|
- 사용 범위, 제공 주기, 보안대책 등 협의 필요
|
|
2.3
|
비공개 계약 정보가 필요한가?
|
|
|
|
|
- 사용 범위, 제공 주기, 보안대책 등 협의 필요
|
|
2.4
|
중요 정보에 대한 출력 기능을 제공하는가?
|
|
|
|
|
- 중요 정보(개인정보, 비공개 계약 정보 등) 출력 시, DRM 등의 조치 필수
|
|
시스템
연동
|
3.1
|
한국전기연구원 내부 시스템과 연동하는가?
|
|
|
|
|
- 대상 시스템, 연동 정보, 연동 방식 등 협의 필요
|
|
3.2
|
한국전기연구원 외부(인터넷) 시스템과 연동하는가?
|
|
|
|
|
- 대상 시스템, 연동 정보, 연동 방식 등 협의 필요
|
|
시스템
보안
|
4.1
|
설치 시스템 중 보안 시스템(H/W, S/W)이 있는가?
|
|
|
|
|
- 국가정보원 인증(CC인증 또는 국가용 암호제품 인증) 제품만 설치 가능
|
|
4.2
|
자체 보안 취약점 점검 계획이 있는가?
|
|
|
|
|
- 웹 기반 시스템 개발인 경우, 외부 모의 해킹 수준의 점검 및 보완 필수
|
|
4.3
|
주요 사용자 사용 이력에 대한 관리 기능이 있는가?
|
|
|
|
|
- 관리자 접근 이력 및 주요 정보 변경 이력 등 저장 필요
|
|
4.4
|
참여 인원 중 외부 상주 인원이 있는가?
|
|
|
|
|
- 해당 인원의 업무수행 방식 협의 및 청 보안담당자 승인 필요
|
|
4.5
|
별도 개발 및 테스트 서버가 있는가?
|
|
|
|
|
- 서버의 위치 확인(청내 개발서버군 또는 개발자 PC 네트워크 등) 필요
|
|
PC
보안
|
5.1
|
개발 PC에서 외부(인터넷)와 데이터 송수신이 필요한가?
|
|
|
|
|
- 연결 대상 및 송수신 정보 등 협의 필수
|
|
5.2
|
파일서버를 운용하는가?
|
|
|
|
|
- Windows Server 사용 시, 별도 협의 필수
- 파일서버에 대한 보안대책(접근통제, 데이터 유출 방지 등) 수립 필수
|
※ 한국전기연구원 정보보안담당자에게 제출하여 주시고 개발 중에 변경되는 항목이 발생하는 경우에는 사전에 협의하시기 바랍니다.
보안성 검토 체크리스트(정보화사업 분석단계)
사업명 : 사업체명 : 작성자 : (서명)
|
구 분
|
항 목
|
Y
|
N
|
UC
|
|
보안
일반
|
1.1
|
보안담당자는 응용프로그램의 보안성, 안정성 및 신뢰성을 확보하기 위하여 개발자에게 정보보호 교육 및 관련 자료를 제공한다.
|
|
|
|
|
- 행정안전부의 ‘웹 응용프로그램 개발보안 가이드’ 활용
- 월 1회 자체보안교육 실시
|
|
1.2
|
도입한 S/W, H/W, DB, 웹 어플리케이션 등 시스템의 기본 설정 정보를 수정(삭제)한다.
|
|
|
|
|
- S/W 및 H/W의 기본 계정 및 기본설정 정보의 변경 및 삭제 필수
- SNMP, IIS․Apache 웹서버, MS-SQL 등 설정시 사용하지 않는 기능을 제한 설정, 디렉토리 리스팅 방지 설정 등 기본 보안 설정에 오류 제거
- 외부인원 원격 접근 관련 한국전기연구원 보안담당자와 협의 필수, 협의 시 보안대책 (접근통제 등) 강구하여 제시
|
|
1.3
|
한국전기연구원에서 인가한 장비(H/W, S/W)만을 사용하고 해당 장비에 대하여 관리한다.
|
|
|
|
|
- PC의 경우 바이러스 백신, 보안USB, 내PC지키미 등 사용
- 회사 라이선스가 없는 S/W 사용금지, 사용불가 S/W(상용 메신저 등) 및 불법 S/W 사용금지
- OS 및 S/W 최신 패치 및 버전을 항시 유지
|
|
1.4
|
국가정보원 인증을 받은 보안 제품만 설치한다.
|
|
|
|
|
- 국가정보원 인증(CC인증 또는 국가용 암호제품 인증) 제품만 설치 가능
- http://service2.nis.go.kr/ → IT보안인증사무국 → ‘국가기관 도입가능 제품’ 참조
- 보안적합성 검증 신청과 관련하여 관련자료 제출 등 관련업무수행 지원
|
|
1.5
|
암호모듈은 국가정보원에서 승인한 제품(모듈)을 사용한다.
|
|
|
|
|
- http://service2.nis.go.kr/ → IT보안인증사무국 → 국가기관도입가능제품 → ‘검증필 암호모듈’ 참조
|
|
소스
및
응용
서비스
관리
|
2.1
|
응용프로그램 소스에 대한 외부 접근을 차단한다.
|
|
|
|
|
- 응용프로그램 및 라이브러리의 정보보호 침해를 막기 위해 개발 중인 소스에 대한 접근 제어
- 작업 중인 소스를 외부(회사 및 집 등) 열람 및 제공 금지
|
|
2.2
|
형상관리 도구를 사용하여 소스코드를 관리한다.
|
|
|
|
|
- 형상관리 도구를 사용하여 변경 이력, 버전 관리 및 접근 제한
|
|
2.3
|
소스에 악성코드를 삽입하지 않는다.
|
|
|
|
|
- 정보보호 정책을 우회하거나 응용프로그램 자체 기능에 위협하는 악성코드 삽입 금지
|
|
2.4
|
사용자 ID/PW를 하드 코딩하지 않는다.
|
|
|
|
|
- 소스 상에 ID/PW 삽입 금지
|
|
2.5
|
개발 중인 파일, 임시파일 및 Test 파일 등을 관리한다.
|
|
|
|
|
- 운영 서비스와 무관한 백업파일, 테스트 파일 등 불필요 파일 삭제
|
|
2.6
|
웹서비스의 입력 값 및 게시판 등을 통제한다.
|
|
|
|
|
- <, >, |, =, %, <, >, ', “, ₩, ;, :, #, &, Space, +, - 등의 특수문자에 대한 필터링
- 입력 문자열에 대한 길이를 제한한다.
- 데이터베이스와 연동하는 스크립트의 모든 파라미터들을 점검하여 사용자의 입력 값에 SQL 구문으로 사용되는 문자열(@variable, @@variable, or, and, insert 등)을 필터링 한다.
- 웹 어플리케이션이 사용하는 데이터베이스 사용자 권한을 제한한다.
- php.ini 설정 중 magic_quotes_gpc 값을 On으로 설정한다.
- 입력화면에 스크립트(html 태그) 사용금지
- 모든 입력 값(헤더, 쿠키, 질의문, 폼 필드 등)의 대한 규칙검증 및 검증은 서버에서 실행
|
|
2.7
|
사용자 오류 시, 오류에 관한 정보만 제공한다.
|
|
|
|
|
- 사용자에게 별도 오류코드를 통한 오류 메시지만 표시(이미지 형태, 별도의 에러 페이지)
- 상세오류(DB, APP오류 등)는 로그에 별도 기록
|
|
2.8
|
웹서비스의 메소드를 관리한다.
|
|
|
|
|
- Post, Get 외의 App에서 사용하지 않는 메소드는 차단(Put, delete 등)
|
|
2.9
|
다운로드 파일을 통제한다.
|
|
|
|
|
- 다운로드 파일을 직접 URL에서 사용하거나 입력받지 않도록 서버에서 해당파일 다운로드
- 다운로드 위치는 지정된 저장소를 지정 및 상위 디렉토리 이동 금지
- ' .₩, ./ '와 같은 문자열 통제
|
|
2.10
|
업로드 파일 제한 및 임의 파일 실행을 차단한다.
|
|
|
|
|
- 게시판 및 첨부파일 폼에 대한 업로드 파일 제한
- jsp, exe 등 실행 소스 파일 업로드 불가(확장자 점검은 서버에서 실행)
- hwp, zip, doc 등 허용된 파일명만 수용
- URL이나 파일시스템 참조 등 외부객체 참조 APP에서 입력파일 및 입력 외부객체 검증
- 참조객체이름에 URL 형태, 외부파일이 입력되지 않게 구현, PHP의 경우 사용자입력 함수 사용금지
|
|
2.11
|
서비스의 기동/종료는 root가 아닌 별도 App 계정으로 수행한다.
|
|
|
|
|
2.12
|
자체 보안 취약점 점검을 한다.
|
|
|
|
|
- 정보보안전문가 또는 전문 보안 점검 도구를 통한 소스코드 등 보안취약점 점검 필수
- 웹 기반 시스템 개발인 경우, 모의 해킹 수준의 점검 필수
- 행정안전부 ‘웹 어플리케이션 개발 보안가이드 2010' 취약점에 대한 점검 및 보완
|
|
사용자
인증
|
3.1
|
응용프로그램은 사용자를 식별한 후, 동작한다.
|
|
|
|
|
- 사용자 인증방식은 PKI기반 인증서방식을 권고하며, 기존 한국전기연구원 통합인증(SSO) 시스템과 연동 또는 별도 인증방식 구현
- 인증 세션 정보 탈취를 통한 인증 권한 획득을 방지하고, 인증서 외 우회 접속 경로를 차단하도록 구현
- 사용자 패스워드 보안 대책(암호화 전송, 키보드 보안 솔루션 적용 등) 마련
- 사용자 인증과 관련된 로그는 별도로 관리되어야 하며, 불법접근과 관련된 식별정보 기록
- 쿠키정보는 사용을 자제하고, 불가피하게 사용할 경우 쿠키정보는 암호화 필수 (모듈은 국가정보원 검증모듈 사용)
- 사용자 인증과 관련된 정보는 PC 저장 금지
- URL 강제접속 등 인증 우회 금지
|
|
3.2
|
강화된 사용자 가입 정책을 적용한다.
|
|
|
|
|
- 대민 시스템의 경우, 주민등록번호 대체수단(G-PIN) 사용 필수
|
|
3.3
|
관리자는 보안이 강화된 방식으로 로그인한다.
|
|
|
|
|
- 관리자 접근시 PKI방식 구현 권고(ID/PW 방식 금지)
- 관리자 화면에 대한 접근 통제
- 관리 사용자의 최소화 및 IP, port 등 등록을 통한 이중통제 적용
- 패스워드 강화(특수문자, 숫자, 영문자 조합 8자리 이상)
- 디폴트 관리자 계정 사용금지
|
|
3.4
|
인증정보는 하드 코딩하지 않는다.
|
|
|
|
|
3.5
|
인증 실패 시, 인증 실패에 대한 정보만을 제공한다.
|
|
|
|
|
- 인증 실패에 대한 외부 노출 화면은 실패정보만 제공
- 인증 실패 로그에는 상세 실패 로그 기록(실패 사유)
|
|
3.6
|
로그인 실패 횟수를 제한하고, 최종 접속기록을 표시한다.
|
|
|
|
|
- 3회 또는 5회 이상 로그인 시도 실패 시, 해당 계정 접근 차단
|
|
3.7
|
관리자의 시스템 접속 및 수행 작업에 대한 로그를 관리한다.
|
|
|
|
|
- 서버에 접속하여 수행한 이력 기록
- 사용자 접속 후 무행위 시 일정시간 후 Timeout
- 서비스 용도에 따라 세션 유지, 재시도 간격 등의 시간에 대한 관리통제
|
|
사용자
계정
|
4.1
|
임시 사용자 계정 등록 시에는 사용기간을 명시하여 허용된 기간에만 사용할 수 있도록 한다.
|
|
|
|
|
- 반드시 필요한 경우를 제외하고는 임시 계정 사용 금지
- 시스템 테스트 및 작업으로 임시 계정 등록이 불가피한 경우, 작업 후에는 삭제
|
|
4.2
|
사용자 ID의 등록, 변경, 삭제 요청은 공식적인 절차(문서)로 이루어진다.
|
|
|
|
|
4.3
|
장기간 계정을 사용하지 않거나 퇴직 시, 계정을 사용 중지하거나 삭제한다.
|
|
|
|
|
- 일정기간 미사용 시, 재사용 신청 등의 별도 절차 마련
|
|
4.4
|
개발 및 운영 시 청내 실사용자 인증서 및 ID 임시 사용 시
작업 완료 후 반납(삭제)한다.
|
|
|
|
|
- 대여한 인증서 및 ID는 작업 후 반납 확인 시 패스워드 변경 및 인증서 갱신 필요
- 개발자 및 운영자 PC에 타인의 인증서 및 관리 아이디/패스워드 보관 불가
|
|
사용자
패스워드
|
5.1
|
사용자가 입력하는 패스워드를 화면에 표시하지 않도록 한다.
|
|
|
|
|
- 패스워드는 추측할 수 없도록 화면상에 표시하지 않거나 인식 불가능한 문자로 표시
|
|
5.2
|
사용자 PW는 암호화하여 저장한다.
|
|
|
|
|
- PW는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수
|
|
5.3
|
강화된 패스워드 정책을 적용한다.
|
|
|
|
|
- 빈값(NULL) 사용 금지 및 최소 8자리 이상, 최대 사용기간 90일
- 최초 패스워드 사용 시, 변경 요청 화면 도시
- 패스워드 의무갱신 기능 구현
- 사용자 ID와 동일하거나 반복되는 단어/숫자 사용 금지
|
|
5.4
|
패스워드 자동 입력을 통한 로그인 기능을 사용(제공)하지 않는다.
|
|
|
|
|
- web 관리자 화면, telnet, ftp, 관리 콘솔 S/W 등 로그인 사용 시 자동 로그인 금지
|
|
사용자
권한
|
6.1
|
사용자별로 권한을 정의한다.
|
|
|
|
|
- 사용자를 사용자별, 직책별, 부서별 등으로 구분하여 접근 권한 필요
- 정보의 중요도에 따라 화면 및 메뉴에 대한 권한 정의 필요
- 관리자 화면 접속에 대한 통제기능(중복인증, 접속 IP 통제 등) 필요
- 멀티 user 환경에서 타 사용자 정보열람, 변경을 제한
- 공유 시스템자원(공유 폴더, 파일 등)에 대한 접근통제를 수행
|
|
6.2
|
관리자 화면에서는 필요한 최소의 정보만 열람하도록 한다.
|
|
|
|
|
6.3
|
업무와 보안요구 수준, 사용목적 등이 유사한 사용자 계정들을 그룹으로 묶어 관리한다.
|
|
|
|
|
정보
관리
|
7.1
|
취급(수집, 저장, 제공 등)하는 개인정보를 보호한다.
|
|
|
|
|
- 주요 개인정보 : 주민등록번호 및 계좌정보, 신용카드 정보 등의 금융정보
- 일반 개인정보 : 주소, 전화번호, 이메일 등
- 주요 개인정보는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수
- 개인정보 파일을 PC에 다운로드할 경우 해당 파일은 암호화하여 저장
|
|
7.2
|
개인정보 처리시스템에는 보안 솔루션을 설치한다.
|
|
|
|
|
- 키보드 해킹방지, 백신프로그램, 웹 방화벽, 개인정보 노출 차단 필터링
|
|
7.3
|
청에서 제공한 정보를 보호하도록 구현한다.
|
|
|
|
|
7.4
|
취급하는 비공개 계약 정보를 보호하도록 구현한다.
|
|
|
|
|
7.5
|
중요 정보 출력 시, 부분적인 은폐 등의 보안 기능을 제공한다.
|
|
|
|
|
- 중요 정보 출력 시, DRM 등의 조치 필수
|
|
7.6
|
사용자 PC로 중요정보 전송 시 구간 암호화를 적용한다.
|
|
|
|
|
- 중요정보 : 인증정보, ID/PW, 주요 개인정보 등
- 사용자 PC부터 홈페이지(웹서버) 구간 간 암호화(SSL)
|
|
7.7
|
전자우편 시스템에는 악성 메일(스팸, 피싱, 웜·바이러스, 트로이 목마 등)을 차단하기 위한 보안대책을 수립한다.
|
|
|
|
|
- 바이러스 월 및 스팸 필터링 기능 등 기술적 장치 적용
|
|
시스템
연동
|
8.1
|
전송 정보를 암호화하여 한국전기연구원 내/외부 시스템과 연동한다.
|
|
|
|
|
- 사용자 정보 및 한국전기연구원 중요 자료는 암호화된 상태(또는 구간 암호화)로 전송
- 부인방지방안 반영
|
|
8.2
|
암호화 key를 관리한다.
|
|
|
|
|
- 인가받은 사람만 암호화 key에 접근하도록 하고 암호화 key는 주기적으로 변경
|
|
8.3
|
시스템 간 연동 시 부적절한 접근을 통제한다.
|
|
|
|
|
- NFS, r-command, 익명연결을 통한 FTP 등의 서비스를 이용한 시스템 연동 지양
|
|
로그
|
9.1
|
주요 사용자 이력을 기록한다.
|
|
|
|
|
- 관리자 접근 이력 및 주요 정보 변경 이력 등 저장
|
|
9.2
|
중요 자료 이력을 기록한다.
|
|
|
|
|
- 비공개정보 및 개인정보 관련 이력 등 저장
|
|
9.3
|
보안 감사 기능을 제공한다.
|
|
|
|
|
- 로그인, 파일 접근 등에 대한 성공/실패 여부 및 접근 시간 등에 대한 기록 확인
|
|
9.4
|
보안 관련 로그는 6개월 이상 보관(무결성 유지)한다.
|
|
|
|
※ 한국전기연구원 보안담당자에게 제출하여 주시고 개발 중에 변경되는 항목이 발생하는 경우에는 사전에 협의하시기 바랍니다.
붙임 17. [보안]소프트웨어 보안약점 기준: 해당사항 없음
붙임 18. [보안]도입 가능 운영체제(OS): 해당사항 없음 |
|