| |
과업지시서
|
사 업 명
|
KAIST 행정용 컴퓨터 및
전산장비 유지보수 용역
|
|
주관기관
|
한국과학기술원
|
2024. 11.
정 보 통 신 팀
1. 사업 내용
가. 사업명 : KAIST 행정용 컴퓨터 및 전산장비 유지보수 용역
나. 사업기간 : 2025.01.01. ~ 2026.12.31.(2년)
다. 예산금액 : 84,400,000원/년(VAT포함)
라. 공고예정일 : 2024년 11월
마. 계약방식
1) 전자입찰로 진행하며, 총액 입찰함
2) 적격심사 대상임
바. 입찰 참가 자격
1) 국가를 당사자로 하는 계약에 관한 법률 시행령 제12조 및 동법
시행 규칙 제14조에 의한 경쟁입찰의 참가 자격을 갖춘 자
2) 국가를 당사자로 하는 계약에 관한 법률 제27조 및 동법 시행령
제76조 규정에 의한 부정당 업자에 해당하지 않는 자
3) 소프트웨어 산업진흥법 제24조에 따른 소프트웨어 사업자(컴퓨터
관련 서비스업 또는 패키지 소프트웨어개발·공급사업)로 신고를 필
한자
4) 중소기업기본법 제2조에 따른 중·소기업자 또는 소상공인 보호 및
지원에 관한 법률 제2조에 따른 소상공인으로서 중소기업 범위 및
확인에 관한 규정에 따라 발급된 중·소기업·소상공인 확인서를 소
지한 자.
※ 중·소기업·소상공인 확인서는 중소기업 공공구매 종합정보망에서
확인하며 확인이 되지 않을 경우 입찰 참가 자격이 없음.
5) 「중소기업제품 구매촉진 및 판로지원에 관한 법률」제9조 및 동
법 시행규칙 제5조에 따라 발급된 직접 생산 확인증명서(세부품명:
정보시스템 유지관리 서비스, 세부 품명 번호: 81111899)를 소지
한 자
6) 입찰공고일 전일부터 계약체결일까지 법인 등기부상 본점 소재지
(개인사업자인 경우에는 사업자등록증 또는 관련 법령에 따른 허
가·인가·면허·등록·신고 등에 관련된 서류에 기재된 사업장의 소
재지)를 계속 대전광역시에 둔 자
7) 공동계약은 불가함.
사. 사업설명회
1) 일시 : * 입찰공고서 참조
2) 장소 : KAIST 행정분관(건물번호 : N2) 3층 회의실
3) 문의처 : 정보통신팀 이강조(T.042-350-2425)
4) 사업설명 참가 시 제출 서류
- 법인등기부 등본(법인인 경우) 1부
- 사업자등록증 사본 1부
- 소프트웨어 사업자 신고서 사본 1부
- 직접생산 확인증명서 사본 1부
- 참석자 대표가 아닌 경우, 위임장 및 재직증명서 각 1부
- 나라장터 경쟁입찰 참가자격등록증(사용인감계 포함) 1부
5) 기타 : 동 사업 내용에 대해 현장 설명함.
6) 주의사항 : 사업설명회에 참석하여 서류를 제출한 자에 한하여 입
찰 참가자격이 있음.
아. 이외 세부 사항은 입찰공고서 참조.
2. 사업 목적
본 시방서는 한국과학기술원(문지캠퍼스 포함)의 행정부서 업무용, 창의학습관 수업지원용 컴퓨터 및 전산장비 일체에 대해 H/W 장애 및 다양한 S/W관련 장애 발생시 신속한 복구지원을 통한 업무에 차질이 없도록 유지보수 지원 체계를 갖추고자 함이며, 운용중인 전산장비에 대해서 안정적으로 관리하는데 그 목적을 두고 해당 계약업체간의 유지보수 조건 및 이행사항에 관한 세부 내용을 규정하고 있다.
  3. 추진 일정
|
내용
|
M-1
|
M
|
M+1
|
M+2
|
M+3
|
M+4
|
M+5
|
M+6
|
M+7
|
M+8
|
M+9
|
M+10
|
M+11
|
|
계약 및
인수인계
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사업수행
(운영)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
* 상기 추진일정은 협의에 따라 변경될 수 있음
4. 유지보수 대상 및 전산장비 현황
가. 행정부서 업무용 데스크탑 컴퓨터, 모니터, 노트북 컴퓨터, 태블릿PC
및 레이저프린터외(주변기기 포함)
나. 창의학습관 수업지원용 데스크탑 컴퓨터, 모니터, 대회의실 테블릿PC
|
분 류
|
본원 및 문지캠퍼스
|
비 고
|
|
데스크탑PC
|
903대
|
수업지원용
PC 150대 포함
|
|
노트북
|
254대
|
태블릿PC 40대 포함
|
|
프린터
|
302대
|
|
|
합계
|
1,459대
|
|
다. 전산장비 현황
5. 유지보수 용역 과업수행에 관한 준수사항
가. 계약업체는 상기에 명시한 유지보수에 관한 제반 사항을 숙지하고 “II. 유 지보수 용역계약 조건”에서 요구하는 과업수행에 관한 사항을 성실하게 이
행해야 함.
나. 계약업체는 학교에서 실시하는 정기적인 보안교육을 이수해야 함.
6. 유지보수 대금청구 및 지급
가. 계약자는 4번항에 명시한 장비에 대해 월별 정기 및 수시점검 유지보수 점검 보고서를 첨부하여 매월 말에 유지보수 대금을 청구해야 함.
나. 유지보수 대금은 동 과업지시서에 명기한 전산장비 유지보수 수행을
이상 없이 완료하였을 시 매월 지급함.
7. 계약의 해지
가. 유지보수 지원이 불성실하거나 계약내용에 위반된 경우에는 지체없이 서면 으로 시정을 요구할 수 있으며, 동 요구에 대하여 3회 이상 시정이 없는 경우, 계약의 전부 또는 일부에 대하여 해지 또는 해제 할 수 있다. 이 경우
계약업체는 이에 대하여 어떠한 이의를 제기할 수 없음.
나. 동 유지보수 용역 일체를 타 업체에 하도급한 경우 계약의 전부 해지 또는 해제 할 수 있음.
다. 계약 해지로 인해 발생되는 모든 손해에 대해서는 계약업체의 책임으로 함.
1. 유지보수 범위
가. 전산장비(“데스크탑 컴퓨터, 노트북, 모니터, 프린터 및 기타 주변
기기“ 이하 ” 전산장비“라 함)의 원활한 장애 요청처리를 위해
사용자 원격지원을 통한 지원 및 현장방문으로 장애 문제를 해결함.
나. 계약업체는 사용자가 업무용 전산장비의 장애 및 이상으로 유지보수
점검 요청시 2시간 이내에 지원하고, 24시간 이내 복구가 불가능할
경우, 대체 전산장비를 지원하여 업무수행에 지장이 없도록 지원함.
다. 계약업체는 전산장비와 관련한 H/W장애 처리 및 S/W 장애 처리를
지원하며, 그 대상으로는 다음과 같음.
1) O/S 설정의 문제로 인한 장비의 성능 저하, 교내 포털 및 전자결
재시스템의 S/W환경 설정 및 문제, 상용 S/W 구동에 문제 발생과
보안프로그램 및 보안패치 프로그램 설치지원, 이외 장비의 물리
적인 환경을 최적화하기 위해 O/S 재설치 및 업무용 응용프로그램
, 유틸리티 S/W를 설치함.
2) H/W 장애로 인해 수리나 부품교체가 필요할 경우 관리자의 지시
에 따라 해당 사무실 또는 장비를 행정분관으로 이동하여 수리를
진행하며, 완료 후에는 H/W 및 S/W 사용에 문제가 없도록 점검,
사용자의 사무실에 원상복구 함.
3) 만일, 장비 복구에 문제가 있거나 4시간이상의 소요될 경우, 사
용자 업무에 지장이 없도록 여분의 장비를 임시 설치 지원함.
라. 계약업체는 행정동 1층 회의실에 위치한 태블릿PC의 이상유,무를
점검하고 매월 저장된 사용자의 확일은 모두 삭제함.
마. 계약업체는 행정부서에서 주최하는 을지훈련을 비롯한 내,외부인용
행사지원을 위해 데스크탑컴퓨터 20대 및 모니터 30대, 프린터 4대
의 수량을 상시 준비하여, 행정부서에서 요청일 기준으로 1일전에
비상주인력과 요청한 장소에 전산장비 설치를 지원하며, 행사종료
후에는 설치된 전산장비를 철수함. 해당 장비는 회수된 노후장비를
재구성하여 활용될 수 있도록 준비함.
바. 행정부서내 부서의 변동이나 인사이동인해 전산장비를 이동, 철수할
경우, 장비설치 및 프린터 연결 등 일체의 설치 지원 과업을 수행
함.
사. 고장으로 인한 부품교체 및 사용자의 전산장비 성능 개선을 위해 필 요한 소모품성 부품에 대해서는 학교 담당자의 지시를 받아 별도로
처리함.
아. 장애 내용 및 중요한 사항에 대해 매일 담당자에게 보고하여 장애
처리가 신속히 될 수 있도록 과업을 수행함.
자. 사용자의 요청으로 디스크 포맷을 하거나 자료 백업이 필요한 경우
해당 부서에서 작업을 수행함.
차. 계약 업체는 담당자가 요구하는 각종 보고서에 반드시 사용자의 확
인을 받아야 하며, 일,월간 보고서 및 각종 산출물 관리를 성실히 이행함.
2. 지원 기술인력에 관한 사항
가. 유지보수 인력
1) 계약 업체는 전산장비 유지보수 지원을 위해 지격요건을 갖춘 기술 인력 1인을 관리자가 지정하는 근무지에 전일 상주하여 행정부서의
전산장비 유지보수 전반적인 기술을 지원함.
2) 시간제(14시 ~ 18시) 1인은 문지캠퍼스의 전산장비 유지보수 과업
수행과 부서 이동 및 교내 각종 행사지원 등으로 업무량 증가가
예상되는 때에 업무를 보조하여 전산장비 설치 업무에 차질이 없
도록 지원하며,
3) 사용자의 경미한 컴퓨터 운영에 장애가 발생할 경우에는 원격 접
속을 통한 점검 및 장애 증상에 대한 복구를 함.
4) 계약업체는 신속한 유지보수를 위해 상주요원의 휴가, 병가 등의
사유로 부재 시에는 사전에 관리자에게 보고하고 유지보수 과업수
행이 가능한 대체 기술인력을 지원함.
나. 유지보수 의무
1) 유지보수 상주 인력은 전산장비 유지보수 업무와 관련된 일체의
작업 시, 사용자의 확인서명을 받은 보고서를 제출 및 보관함.
2) 상주인력은 모든 장애 처리내용에 대한 기록과 확인을 받으며,
교내 행사지원 시에는 장비대여관리 대장에 그 사항을 기록함.
3) 업무 중 발생하는 모든 사안에 대해 관리자에게 보고하고, 업무수
행이 원활히 진행되도록 지시에 따라야 함.
4) 유지보수인력은 장애 접수 및 처리, 기술지원 등에 해당하는 내용
을 포함하여 매월 첨부의 보고서에 작성 제출함.
다. 상주인력의 자격 조건
1) 상주인력은 국가기관이나 대학교, 공공기관에서 전산장비 유지보 수 경력이 3년 이상인 인력.(졸업증명서나 자격증 사본 제출)
2) 컴퓨터관련 전공자 및 PC정비사 자격증 취득 후 1년 이상의 실무
경력이 있는 인력.
(졸업증명서나 자격증 사본 제출)
3) 계약일 기준 계약 업체에서 1년 이상의 근무경력이 있어야 함.
3. 전산장비 유지보수 내용
가. 전산장비 유지보수
1) 매월 정기/비정기 예방점검 실시
2) 부서별 PC 현황 관리
3) 매월 점검 보고서는 세부 확인사항 포함, 사용자 지원 확인서 및
전산장비 대여 등을 포함한 점검 보고서를 제출함.
나. 전산장비 설치지원
1) 사용자 요청시 디스크 포맷 및 O/S, 업무에 필요한 S/W 설치 지
원하며, 기타 부가적인 응용 S/W 설치 및 환경 제어 등 위의 유
지보수 범위에 포함된 사항을 지원함.
2) 전산장비 이동 설치 및 부서이동, 각종 행사에 따른 전산장비 설
치 지원함에 있어 사용자의 요청사항을 반영하여 처리함.
3) 전산장비 장애 증상이 경미한 경우에는 사용자의 원격지원을 통
해 문제를 해결하고 기타 물리적인 장애 발생시에는 현장을 방문
처리하거나 장비를 회수하여 수리가 이상이 없이 완료된 후에
원상 복구함.
4) S/W 설치에 필요한 O/S외 응용프로그램 라이센스는 학교에서
제공함.
다. 장애 접수 및 처리 지원
1) 장애 접수 및 진단 후, 24시간 이내 장애 처리함
2) 당일 수리 및 설치가 불가능한 장애가 발생한 경우에는 대체 장
비를 지원하여 업무에 차질이 없도록 하며, 수리 후, 이상이
없을 경우 사용자 부서에 원상복구 함.
3) 고장부품에 대해 교체 지원
4) 산출물 : “별첨1”의 행정업무용 전산장비 점검확인서 작성
라. 산출물 관리
1) 매월 점검 보고서
- 구체적인 점검 항목(체크리스트)이 포함된 보고서
- 점검 항목 : 장비사양, 컴퓨터 및 프린터 체크목록, 방법,
상태, 기타 장애 조치사항을 기록 사용자의 확인을 받음
- 하드디스크 포맷으로 O/S 재설치 및 상용 S/W 설치 사항
- PC 관리대장 현황 업데이트 : 도입년도, 시스템정보, 사용자
2) 매월 수시점검(장애조치) 보고서
- 장애조치 : 점검 수행자, 작업 내역을 기재 후에 사용자 서명
을 받아 제출함,
□ 보안 요구사항
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-001
|
|
요구사항 명칭
|
일반 준수사항
|
|
요구
사항
상세
설명
|
정의
|
일반 준수사항
|
|
세부
내용
|
○ 사업 착수 시점부터 종료시점까지 「국가정보보안지침」(국정원) 및 「정보보안 기본지침」(과학기술정보통신부), 「정보보안지침」(한국과학기술원) 등(이하 보안법규정)을 준수하여야 하며, 이를 위반하였을 경우 보안위규 처리기준에 따라 관련자에 대하여 조치하고 보안위약금 부과기준에 따라 손해배상 책임을 져야 한다.
○ 계약업체는 사업수행에 사용되는 인원, 장비, 자료 등에 대하여 물리적, 관리적, 기술적 보안대책 및 <표1>의 ‘누출금지정보’에 대한 보안관리 계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 <표2>의 국가계약법시행령 관련조항에 의거, 해당업체는 부정당업자로 등록되어 용역사업 입찰 참가자격이 제한됨을 숙지하고 위의 사항을 준수 및 보안상 결격사항이 없도록 조치하여야 한다.
|
|
<표1> 누출금지정보
한국과학기술원 정보보안지침 제17조 제2항
|
|
|
|
|
|
① 정보시스템 내ㆍ외부 IP주소 현황
② 정보시스템 구성 현황 및 정보통신망 구성도
③ 사용자의 계정ㆍ비밀번호 등 정보시스템 접근권한 정보
④ 정보통신망 또는 정보시스템 취약점 분석․평가 결과물
⑤ 정보화사업 용역 결과물 및 관련 프로그램 소스코드(외부에 유출될 경우 국가안보 및 국익에 피해가 우려되는 중요 용역사업에 해당)
⑥ 암호자재, 암호가 주 기능인 제품 및 정보보호시스템 도입ㆍ운용 현황
⑦ 정보보호시스템 및 네트워크장비 설정 정보
⑧ 「공공기관의 정보공개에 관한 법률」 제9조제1항에 따라 비공개 대상 정보로 분류된 해당 기관의 내부문서
⑨ 「개인정보보호법」 제2조제1호에 따른 개인정보
⑩ 「보안업무규정」 제4조의 비밀 및 「보안업무규정 시행규칙」 제16조 제3항에 따른 대외비
⑪ 그 밖에 한국과학기술원이 공개가 불가하다고 판단한 자료
※ 사업기간 중 공개불가 자료 발생 시 상호 합의하에 추가할 수 있음
|
|
|
<표2> 보안사항 위반에 따른 추후 입찰 참여에 대한 제재조치
한국과학기술원 정보보안지침 제33조 제2항
|
|
|
|
|
|
○ 계약업체는 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제76조 제2항 제3호 규정을 위반하여 <표1>의 누출금지 정보를 무단으로 누출할 경우 아래와 같이 입찰 참가자격이 제한된다.
‣ 정보 누출 횟수가 2회 이상인 경우 : 6개월
‣ 정보 누출 횟수가 1회인 경우 : 3개월
‣ 상기 이외의 경우에는 관련기관 및 상위 법률에 따른다.
○ 보안 위반에 대한 처리는 사업자 보안위규 처리 기준과 보안 위약금 부과 기준에 따른다.
|
○ 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제76조 제2항 제3호 다목에 따른 정보통신망 또는 정보시스템 구축 및 유지보수 등의 계약 이행과정에서 정보통신망 또는 정보시스템에 허가 없이 접속하거나 무단으로 정보를 수집할 수 있는 비인가 프로그램을 설치하거나 그러한 행위에 악용될 수 있는 정보통신망 또는 정보시스템의 약점을 고의로 생성 또는 방치하는 행위 등을 금지한다. 또한 계약기간(하자 보증기간을 포함한다) 내에 발생한 보안약점 등에 대해서 개선 조치하여야 한다.
○ 계약업체는 사업수행 과정에서 취득한 자료와 정보에 관해서 사업수행의 전후를 막론하고 한국과학기술원의 승인 없이 외부에 유출 또는 누설하여서는 아니 되며, 사업 종료 시에는 완전 폐기 또는 반납하여야 한다.
○ 과학기술정보통신부 및 국가정보원의 보안성 검토 결과에 따른 보안가이드를 준수하여야 하며, 사업수행 중 인원·자료·장비 등에 대한 아래의 보안 요구사항을 준수하여야 한다. 기타 사항은 한국과학기술원 정보보안지침에서 정하는 바에 따른다.
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-002
|
|
요구사항 명칭
|
참여인원 보안관리 및 하도급 보안사항
|
|
요구
사항
상세
설명
|
정의
|
참여인원 보안관리 및 하도급 보안사항
|
|
세부
내용
|
○ 계약업체는 한국과학기술원의 정보화, 정보보호, 보안컨설팅, 시스템 구축 등을 용역사업 수행 시 사업 책임자와 협조하여 다음 각호의 사항을 포함한 보안대책을 수립, 이행하여야 한다.
가. 계약 시
- 용역사업 자체 또는 투입되는 자료·장비 등에 대한 대외보안이 필요한 경우 보안의 범위 및 책임을 명확히 하기 위해 사업수행계약서와 별도로 기밀보안대책준수서약서를 작성해야 한다.
- 사업수행 인원은 계약업체 임의로 교체할 수 없으며 부득이한 사유로 신상변동사항(해외여행 포함) 발생 시 한국과학기술원에 즉시 보고해야 한다.
- 계약업체가 사업에 대한 하도급 계약을 체결할 경우 본 사업계약 수준의 비밀유지 조항을 포함토록 해야 한다.(하도급 계약에 대해서는 반드시 사업담당자와의 사전 협의 이후 실시한다)
나. 사업 착수 시
- 계약업체 대표자 및 사업참여자에 대해서 친필서명이 들어간 보안서약서를 제출하도록 한다.
- 계약업체는 용역사업 수행 전 참여인원에 대해 보안법규정에 의한 비밀유지의무 준수 및 위반 시 처벌내용 등에 대한 교육을 실시하여야 하며 완료 후 정보보안교육 확인서를 사업담당자에 제출하여야 한다.
※ 그 밖에 보안관리가 필요하다고 판단되는 사항이나 국가정보원장이 보안조치를 권고하는 사항 및 <표1>, <표2>에 대한 교육 병행
- 반입하는 장비에 대해 장비반입확인서를 제출하여야 한다.
- 단말기/서버/보안장비/네트워크장비 등 전산장비 및 S/W 납품 시 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램(백도어, 악성코드 등 비인가 SW)이 설치되어 있는지 확인하여 전산장비 보안 체크리스트 혹은 해당 내용을 포함한 검수확인서를 제출하여야 한다.
다. 사업수행 시
- 계약업체는 사업참여자의 보안의식 강화를 위해 수시로 자체 정보보안교육을 수행하고, 한국과학기술원이 요구하는 보안교육에 의무 참석하여야 한다.
- 계약업체에서는 한국과학기술원 상주인력 중 1명(PM 등)을 한국과학기술원 사업수행 기간 보안책임자로 지정하여 한국과학기술원 보안관리에 적극 협조하도록 하여야 한다.
- 사업수행 시 반입되는 모든 시스템은 시건장치로 시건하고 Key는 사업담당자가 관리한다.
- 사업수행 시 반입되는 모든 시스템은 반입, 반출 시 사업담당자의 사전 승인을 거쳐야 하며 관련 관리대장을 작성하여야 한다.
1) 서버, PC, 노트북 등 정보시스템
(반입 시) ①장비반입확인서, ②정보시스템 반출입대장, ③정보시스템 관리대장
(반출 시) ①자료완전삭제확인서, ②정보시스템 반출입대장, ③정보시스템 관리대장
2) 휴대용 저장매체(USB, 외장하드, CD 등)
(반입 시) 휴대용 저장매체 관리대장
(반출 시) ①자료완전삭제확인서, ②휴대용 저장매체 관리대장
- 사업수행 중 취득한 계정정보 등의 전자화를 금지한다.
- 정보시스템 유지관리 수행 시에는 정보시스템 유지관리 절차서에 따라 이행하여야 한다.
라. 사업 종료 시
- 계약업체는 한국과학기술원으로부터 제공받은 장비, 서류 및 중간·최종산출물 등 모든 자료를 전량 한국과학기술원에 반납하고 삭제하여야 한다.
※ 자료 복사본 등 별도 보관 금지
- 계약업체에서 업무수행 상 반입한 노트북·휴대용 저장매체 등 전자기록 저장매체를 통한 비공개자료 유출 방지를 위해 안전성을 검증한 삭제 S/W로 완전삭제 또는 포맷 조치, 자성소거 후 자료완전삭제확인서를 제출한 뒤 반출하여야 한다.
- 계약업체는 사업 관련 자료 회수 및 삭제조치 후에 업체가 산출물의 복사본 등 사업 관련 자료를 보유하고 있지 않으며 이를 위반한 경우 향후 법적 책임이 있음을 포함한 업체대표 및 사업참여자의 보안확약서를 한국과학기술원에 제출하여야 한다.
○ 하도급 보안사항
- 주 계약업체는 시방서/제안요청서/과업지시서 등에 명시된 보안 준수사항 전반을 하도급 업체와 계약 시에 반드시 적용하여 명시해야 하며 주기적으로 이행여부를 점검하고 감독해야 한다.
- 외부에서 원격 접속을 통한 작업이나 유지보수 수행을 금지하고 부득이한 경우에는 정보보안담당관의 승인 후에 한시적으로 허용할 수 있다.
- 정보시스템 설계 및 코딩 등 개발 완료 시에 반드시 보안취약점 점검 후 서비스를 시행해야 한다.
- 관리자 계정 제공을 금지하며 사업 종료 시 사용자계정 및 접근권한을 삭제 조치해야 한다.
- 접근기록은 정보보안사고시 확인 등을 위해 최소 1년 이상 보관해야 한다.
- 주 계약업체가 하도급 업체에 대한 보안관리 소홀로 인해 발생한 보안사고에 대해서는 연대 책임을 진다.
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-003
|
|
요구사항 명칭
|
자료 보안관리
|
|
요구
사항
상세
설명
|
정의
|
자료 보안관리
|
|
세부
내용
|
○ 사업수행 과정에서 취득, 생산되는 정보, 산출물 및 기록은 사업수행 중에는 물론 사업 완료 후에도 이를 외부에 반출해서는 아니 된다.
가. 자료 보안 일반
- <표1>에 해당하는 사항은 비공개자료로 분류하여 관리해야 한다.
- <표1>의 자료 등 비공개자료 열람이 필요한 경우 반드시 인계자와 인수자가 직접 서명한 후 인계·인수해야 하며 자료 인계·인수 대장에 기록 관리한다.
- 사업수행으로 생산되는 산출물 및 기록은 정보보안담당관이 인가하지 않은 자에게 제공·대여·열람을 금지한다.
- 계약업체는 비공개자료 출력 시에는 출력물에 출력자, 출력일시 등을 표시하여야 한다.
- 계약업체가 비공개자료를 자체 보관·관리 시에는 지정된 별도 캐비닛(이하“비공개자료 캐비닛”이라 한다)에 보관·관리해야 한다.
- 계약업체는 비공개자료 캐비닛에 보관·관리되는 비공개자료의 목록을 현행화하여 관리해야 한다.
- 상주 사업의 경우 비공개자료는 매일 퇴근 시 반납하여야 하며, 비밀문서를 제외한 일반문서는 제공된 사무실의 시건장치가 있는 보관함에 보관하여야 한다.
- 신규 장비 구축 시에는 제조사에 의해 설정된 패스워드를 관리자가 즉시 변경하여 보안사고 취약 요소를 제거해야 한다.
- 신규 장비 구축 후 구 장비 폐기 시에는 저장 자료를 완전히 삭제한 후 폐기해야 한다.
나. 온라인 보안관리
- 계약업체가 업무상 필요에 의해 부득이하게 외부에서 전자우편 등으로 한국과학기술원과 자료 송수신이 필요한 경우에는 한국과학기술원 전자우편을 이용(자사메일 사용금지)하며, 첨부자료 암호화 후 수·발신해야 한다. 다만, 한국과학기술원 정보보안지침에 의한 비공개자료, 대외비 및 비밀자료는 전자우편을 통한 수·발신을 금지한다.
※ 사업담당자의 사전 승인 없이 업체 메일 사용할 경우, 보안정책 위반으로 간주한다.
- 사업 관련 자료는 인터넷 웹하드·P2P 등 인터넷 자료공유사이트 및 개인 메일함, 상용메신저 사용·저장을 금지한다.
- 사업수행 관련자료 및 사업과정에서 생산된 모든 산출물은 정보보안담당관이 지정한 PC 등 한국과학기술원 파일서버(반드시 인터넷과 분리)에 저장 관리해야 하며 계정관리 및 계정별 접근권한 부여 등을 통하여 접근을 제한하여야 한다. 상기 산출물은 계약업체의 개인 PC 등에 보관할 수 없다.
- 계약업체가 비공개자료 생성 시에는 통합파일서버의 비공개자료 폴더에 저장해야 하며, 업무별로 지정된 사용자만이 접속 가능하도록 접근권한을 제한해야 한다.
○ 사업 종료 후 생산된 최종산출물은 자료 인계·인수 대장과 함께 발주기관에 제출하고, PC 완전삭제 등 보안조치를 통해 사업관련 산출물(중간산출물 포함)을 모두 삭제해야 한다.
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-004
|
|
요구사항 명칭
|
작업장소 및 장비 보안관리
|
|
요구
사항
상세
설명
|
정의
|
작업장소 및 장비 보안관리
|
|
세부
내용
|
○ 사업을 수행하는 장소(이하 작업장소)는 CCTV·시건장치 등 비인가자 출입통제 대책이 마련된 사무실을 사용하여야 한다.
○ 작업장소에서 사용하는 모든 정보시스템에 대하여 정보시스템 관리대장을 작성하고 변경사항에 대해 현행화하여야 한다.
○ 계약업체는 휴대용 저장매체(USB, 외장하드 등)의 사용을 금지하며 산출물 저장 등 불가피한 경우 사업담당자의 승인하에 휴대용 저장매체 관리대장에 등록 후 사용한다.
○ 계약업체는 작업장소에 대하여 용역사업 보안점검 리스트에 따른 보안점검을 정기적으로 실시해야 하며, 결과에 대한 사업담당자의 확인 및 개선 조치 요구에 따라야 한다.
○ 계약업체는 노트북 및 PC에 전원기동(CMOS) 패스워드, 운영체제 로그인 패스워드, 화면보호기(10분 간격) 등을 설정하여야 하며, 패스워드는 영문자·숫자·특수문자가 조합된 10자리 이상으로 설정하여야 한다.
○ 계약업체는 용역사업에 이용되는 노트북, PC 등에 바이러스 백신 정품 S/W를 설치하고, 자동 업데이트, 실시간 점검을 수행하는지 수시로 점검하여야 한다.
○ 상주 용역사업의 경우 아래 사항을 추가로 따라야 한다.
- 사업수행 중 계약업체 전산장비 반출은 가능한 금지하되 불가피한 경우 사업 담당자 통제 하에 저장자료 완전 삭제 및 승인 후 반출한다.
- 작업장소의 PC에 대하여 한국과학기술원에서 제공하는 PC 보안프로그램을 모두 설치하여야 한다.
- 작업장소의 PC에 대하여 월1회 ‘내PC보안점검’ 수행여부를 확인하고 수행결과 미흡사항에 대해 즉시 개선 조치하여야 한다.
- PC 보안프로그램은 임의로 삭제해서는 아니 되며, PC를 포맷할 경우엔 정보보안담당관에게 사전 승인을 받아야 한다.
- 계약업체는 PC, 노트북 및 USB 등 휴대용 저장매체를 한국과학기술원 내·외로 반출·입 할 수 없다. 단, 한국과학기술원 정보보안담당관이 그 필요성을 인정한 경우에 한하여 반출·입 절차에 따라 반·출입할 수 있다.
- 정보시스템(휴대용 저장매체 포함)을 외부에 반출·입하는 경우 반입 시에는 악성코드 감염 여부를, 반출 시에는 자료 무단반출 여부를 확인하고 정보시스템 반·출입 대장에 기록하여야 한다.
- 사업 참여자의 비인가 휴대용 저장매체(USB, CD/DVD, 스마트폰, 태블릿 PC, MP3 등)가 작업장소 내 정보시스템에 연결되는 것을 기술적으로 차단하고, 월1회 정상동작 여부를 점검·조치하여야 한다.
- 부득이하게 CD-RW 등의 보조기억매체를 사용할 때는 정보보안담당관의 승인하에 제한된 PC에서만 사용하여야 한다.
- 사업수행 중 상주인력 및 작업장소에 대한 정보보안주무부서의 보안점검을 받아야 하며, 적발된 보안 미흡 사항에 대해 시정하여야 한다.
|
|
관련 요구사항
|
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-005
|
|
요구사항 명칭
|
내·외부망 접근 보안관리
|
|
요구
사항
상세
설명
|
정의
|
내·외부망 접근 보안관리
|
|
세부
내용
|
○ 계약업체 사용 전산망은 기관 보안장비 등을 활용하여 한국과학기술원 업무망과 분리 구성하고 업무상 필요한 서버에만 제한적 접근을 허용한다.
○ 작업장소는 업무망과 인터넷망을 분리하고, PC는 업무망과 인터넷망을 혼용해서는 안 되며, 인터넷은 국가정보통신망을 사용하여야 한다.
○ 한국과학기술원 내부망에 대한 접속은 반드시 기관의 승인을 득한 후 사용하여야 한다.
- 사업장 PC는 기본적으로 인터넷 연결을 금지하며 사업수행에 필요한 원내 사이트만을 접속할 수 있다. 단, 불가피하게 인터넷 사용이 필요한 경우는 보안책임자가 인터넷 사용 신청서를 작성하여 정보보안담당관의 승인을 득한 후 방화벽 등 보안장비의 통제하에 사용하여야 한다.
- 계약업체는 인터넷 이용 시 접속이 제한된 사이트 및 인터넷 파일공유사이트 등에 접속을 시도하여서는 아니 된다.
※ P2P, 웹하드 등 인터넷 자료공유사이트 접속 및 상용메일, 메신저 사용 등은 허용이 불가하며 기술적으로 차단된다.
○ 사업참여자가 한국과학기술원 정보시스템에 접근하는 경우 상주 용역 계정관리 대장을 통해 사업참여자 계정에 대한 기록 관리한다.
- 계약업체는 정보시스템 사용자계정 이용 시 부여된 권한 이외의 접근을 하여서는 아니 되며, 부여된 패스워드는 임의 변경 및 타인에게 알려서는 아니 된다.
- 정보시스템 관리, 개인정보 및 중요정보 관리 등의 특수 목적을 위해 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별·통제하여야 한다.
- 정보시스템과 개인정보 및 중요정보에 접근하는 사용자계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
- 사용자계정은 하나의 그룹으로 등록하고 계정별로 접근권한을 차등 부여하되 기관 내부문서의 접근은 금지하여야 한다.
- 계정별로 부여된 접근권한은 불필요 시 즉시 권한을 해지하거나 계정을 폐기하여야 한다.
- 계정별 패스워드는 보안정책(숫자, 영문자, 특수문자 등을 혼합하여 9자리 이상)에 부합되어야 하며 사업담당자가 별도로 기록 관리하여 변경이력을 수시로 확인한다.
○ 정보시스템을 원격지에서 네트워크로 접속, 정비하는 것은 원칙적으로 금지한다. 단, 부득이한 경우 보안대책 마련 후 정보보안담당관의 승인을 득하여 한시적으로 사용한다.
※ 한국과학기술원에서 제공하는 VPN 외에는 사용 불가(상용 VPN 제품(팀뷰어 등) 사용 불가)
○ 서버, 네트워크, 보안장비 등 정보시스템 접속 로그기록은 1년 이상 보관해야 한다.
- 로그 기록 필수 포함사항
① 접속자, 정보시스템·응용프로그램 등 접속대상
② 로그온·오프, 자료의 열람·출력 등 작업 종류 및 시간
③ 접속 성공·실패 등 작업 결과
④ 전자우편 사용 등 외부발송 정보 등
|
|
관련 요구사항
|
|
[별첨 1] 행정업무용 전산장비 점검 확인서
행정업무용 전산장비 점검 확인서
|
번호
|
요청일
|
작업
일
|
소요시간
|
작업내용
|
작업자
|
부서
|
사용자
|
서명
|
|
1
|
|
|
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
|
|
|
6
|
|
|
|
|
|
|
|
|
|
7
|
|
|
|
|
|
|
|
|
|
8
|
|
|
|
|
|
|
|
|
|
9
|
|
|
|
|
|
|
|
|
|
10
|
|
|
|
|
|
|
|
|
|
11
|
|
|
|
|
|
|
|
|
|
12
|
|
|
|
|
|
|
|
|
|
13
|
|
|
|
|
|
|
|
|
|
14
|
|
|
|
|
|
|
|
|
|
15
|
|
|
|
|
|
|
|
|
|
16
|
|
|
|
|
|
|
|
|
|
17
|
|
|
|
|
|
|
|
|
|
18
|
|
|
|
|
|
|
|
|
|
19
|
|
|
|
|
|
|
|
|
|
20
|
|
|
|
|
|
|
|
|
[별첨 2] 행정업무용 전산장비 대여 관리대장
행정업무용 전산장비 대여 관리대장
|
번호
|
날짜
|
부서
|
이름
|
대여품목
|
대여기간
|
서명
|
반납일
|
반납확인
|
|
1
|
|
|
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
|
|
|
6
|
|
|
|
|
|
|
|
|
|
7
|
|
|
|
|
|
|
|
|
|
8
|
|
|
|
|
|
|
|
|
|
9
|
|
|
|
|
|
|
|
|
|
10
|
|
|
|
|
|
|
|
|
|
11
|
|
|
|
|
|
|
|
|
|
12
|
|
|
|
|
|
|
|
|
|
13
|
|
|
|
|
|
|
|
|
|
14
|
|
|
|
|
|
|
|
|
|
15
|
|
|
|
|
|
|
|
|
|
16
|
|
|
|
|
|
|
|
|
|
17
|
|
|
|
|
|
|
|
|
|
18
|
|
|
|
|
|
|
|
|
|
19
|
|
|
|
|
|
|
|
|
|
20
|
|
|
|
|
|
|
|
|
[별첨 3] 보안 관리 관련 서식
[서식1]
기밀보안대책 준수 서약서
|
기밀보안대책 준수 서약서
|
|
성 명
|
|
직 위(급)
|
|
|
소 속
|
|
사업참여기간
|
|
|
본인은 --------- 수행 인력으로서 아래 내용을 비롯하여 “기밀보안대책”의 모든 내용을 준수할 것을 서약합니다.
1. --------- 사업을 수행하는 동안 수집한 정보 및 취득한 지식과 정보에 대하여 업무 목적 이외로 한국과학기술원의 동의 없이 제3자에게 유출하거나 공개하지 않겠습니다.
2. 업무를 위해 요청한 자료는 ‘자료 인계·인수 대장’을 작성하여 관리하고 사업종료 후 반드시 반납하겠습니다.
3. 사업수행 중 생산되는 보고서 및 산출물은 이메일이나 여타 온라인 전송 매체를 이용하여 전달하지 않겠습니다.
4. 사업수행 과정에서 생산된 산출물은 사업종료 시 담당자에게 전량 제출한 후 PC에 남아 있지 않도록 삭제하겠습니다.
상기 사항을 위배했을 경우 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제76조 및 기타 관련 법률에 의거, 민·형사상의 책임이 전적으로 본인에게 있음을 엄숙히 서약합니다.
년 월 일
서약자 (인)
확인자(업체대표자) (인)
|
|
한국과학기술원 총장 귀하
|
[서식2]
|
보 안 서 약 서(업체대표자용)
본인은 20 년 월 일 한국과학기술원과 계약 체결한
사업을 시행함에 있어 다음 사항을 준수할 것을 서약서로 제출합니다.
1. 본인은 본 사업을 시행함에 있어 계약서, 과업지시서(시방서/제안요청서) 및 사업 수행상 제반 보안사항을 철저히 이행할 것임은 물론 사업수행 전에 사업참여자 전원에 대하여 보안교육을 실시하겠습니다.
2. 본인은 사업 제반 자료 및 복사본 등 사업산출물을 반출 및 보관, 외부에 누설 또는 도용하지 않을 것이며 본인은 물론 당사업자의 직원이 이를 어길 시 누설 또는 도용한 자가 관련 법규에 의거한 처벌을 받음은 물론 당사업자에 대한 어떠한 제재조치에도 이의를 제기하지 않을 것입니다.
3. 한국과학기술원에서 지정한 “누출금지 정보” 및 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제76조 제2항 제3호의 내용을 숙지하여 이에 위배 시 동 조항에 의거 당사업자를 부정당업자로 지정하여 입찰참가를 제한함에 이의를 제기하지 않음과 민․형사상의 책임이 전적으로 당사업자에 있음을 각서합니다.
20 . . .
주소 :
상호(사업자번호) :
대표자 : (인)
한국과학기술원 총장 귀하
|
[서식3]
|
보 안 서 약 서(사업참여자용)
본인은 20 년 월 일 한국과학기술원과 계약 체결한
사업을 시행함에 있어 다음 사항을 준수할 것을 서약서로 제출합니다.
1. 본인은 본 사업을 시행함에 있어 계약서, 과업지시서(시방서/제안요청서) 및 사업 수행상 제반 보안사항을 철저히 이행할 것임은 물론 사업수행 전에 사업참여자로서 보안교육을 받겠습니다.
2. 본인은 사업 제반 자료 및 복사본 등 사업산출물을 반출 및 보관, 외부에 누설 또는 도용하지 않을 것이며 이를 어길 시 관련 법규에 의거한 처벌을 받음은 물론 당사업자 및 본인에 대한 어떠한 제재조치에도 이의를 제기하지 않을 것입니다.
3. 한국과학기술원에서 지정한 “누출금지 정보” 및 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제76조 제2항 제3호의 내용을 숙지하여 이에 위배 시 동 조항에 의거 당사업자를 부정당업자로 지정하여 입찰참가를 제한함에 이의를 제기하지 않음과 민․형사상의 책임이 전적으로 당사업자 및 본인에게 있음을 각서합니다.
20 . . .
참여인력 서약자 연명부
|
연번
|
소속
|
담당업무
|
성명
|
직책
|
서명
|
|
책임자
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
6
|
|
|
|
|
|
|
7
|
|
|
|
|
|
|
8
|
|
|
|
|
|
한국과학기술원 총장 귀하
|
[서식4]
|
정보화사업 정보보안교육 확인서
|
|
사업명
|
|
|
사업기간
|
|
|
교육담당자
(수행사)
|
소 속(업체명)
|
직 책
|
성 명
|
|
|
|
|
|
교육일시
|
교육은 계약 후 사업 시작 전 1주일 이내 시행 (온라인 교육도 포함)
|
|
교육내용
|
보안요구사항의 보안사항 전반
- 누출금지 대상 정보 및 정보 누출 시 부정당업자 제재조치
- 비밀 유지 의무 준수 및 위반 시 처벌내용
- 사업자 보안위규처리 및 보안위약금 부과기준
- 자료 인계·인수 대장 및 장비 반출·입 통제
해당 사업에 필요한 교육내용 추가
|
|
참석자 명단
|
|
연 번
|
소 속 (업체명)
|
직급
|
성 명
|
서 명
|
|
1
|
|
|
|
|
|
2
|
|
|
|
|
|
3
|
|
|
|
|
|
4
|
|
|
|
|
|
5
|
|
|
|
|
|
6
|
|
|
|
|
|
7
|
|
|
|
|
|
8
|
|
|
|
|
KAIST 사업담당부서 :
KAIST 사업담당자 : (인)
[서식5]
|
보 안 확 약 서(업체대표자용)
본인은 귀 기관과 계약한 사업의 수행을 종료함에 있어, 다음 각 호의 보안사항에 대한 준수 책임이 있음을 서약하며 이에 확약서를 제출합니다.
1. 본 업체(단체)는 업체(단체) 및 사업참여자가 사업수행 중 득한 모든 자료를 반납 및 파기하여 복사본 등 본 사업과 관련된 자료를 보유하고 있지 않음을 각서하며 득한 정보에 대한 유출을 절대 엄금하겠습니다.
2. 본 업체(단체)는 하도급 업체에 대해 상기 항과 동일한 보안사항 준수 책임을 확인 및 보안확약서를 징구하였으며, 하도급 업체가 위의 보안사항을 위반할 경우 주사업자로서 그와 동일한 법적책임을 지겠습니다.
3. 본 업체(단체)는 상기 보안 준수사항을 위반할 경우 귀 기관의 사업에 참여 제한 또는 기타 관련 법규에 따른 책임과 손해배상을 감수하겠습니다.
년 월 일
서약업체(단체) 대표
소 속 :
직 급 :
성 명 : (서명)
한국과학기술원 총장 귀하
|
[서식6]
|
보 안 확 약 서(사업참여자용)
본인은 20 년 월 일 한국과학기술원과 계약 체결한
사업을 종료함에 있어 다음 각 호의 보안사항을 준수할 것을 확약서로 제출합니다.
1. 본인은 본 사업을 수행함에 따라 제공받은 자료 및 정보는 물론 수행 결과 산출물을 전량 한국과학기술원에 반납 및 제출하였으며, PC·노트북·휴대용 저장매체에 저장된 사업 관련 자료 일체를 완전히 삭제하였습니다.
2. 본인은 상기 항에 따라 사업 제반 자료 및 복사본 등을 보유하고 있지 않음을 각서하며 득한 정보를 외부에 누설 또는 도용하지 않겠습니다.
3. 본인은 상기 보안 준수사항을 위반할 경우 관련 법규에 의거한 처벌을 받음은 물론 당사업자 및 본인에 대한 어떠한 제재조치를 취하여도 이의를 제기하지 않을 것입니다.
20 . .
참여인력 서약자 연명부
|
연번
|
소속
|
담당업무
|
성명
|
직책
|
서명
|
|
책임자
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
6
|
|
|
|
|
|
|
7
|
|
|
|
|
|
|
8
|
|
|
|
|
|
한국과학기술원 총장 귀하
|
[서식7] 사업 종료 시, 업체 전산 장비 대상
* 사업 수행 중 반출 불가피한 경우 포함
|
자 료 완 전 삭 제 확 인 서
1. 사 업 명 :
2. 대상장비 :
3. 사 용 자 :
4. 삭 제 일 :
5. 자료완전삭제 증빙
(업체)사업책임자 : (인)
(KAIST)사업담당자 : (인)
(KAIST)사업부서장 : (인)
▷ 사용자 : 포맷 대상 장비 실사용자
|
[서식8] 상시, 업체 전산 장비 대상
|
장 비 반 입 확 인 서
1. 사 업 명 :
2. 대상장비 :
3. 사 용 자 :
4. 반 입 일 :
5. 장비환경(IP주소 등)
위 장비는 사업 기간 동안 잠금장치를 하고, 열쇠/비밀번호는 확인자에게 제출해야 하며, 반출 시 자료 완전 삭제 확인서 제출 및 사업부서장 승인을 받아야 함.
(업체)사업책임자 : (인)
(KAIST)사업담당자 : (인)
(KAIST)사업부서장 : (인)
▷ 사용자 : 반입 장비 실사용자
|
[서식9] 상시, 사업 관련 전산 장비 대상
정보시스템 반출⋅입 대장
<사업담당자 : O O O 서명 >
※ 보안조치 : ①CMOS PW설정, ②윈도 PW설정, ③화면보호기 설정, ④최신백신, ⑤자료완전삭제
|
장비명
|
관리번호
(시리얼번호)
|
사용자
|
반출⋅입 사유
|
반출⋅입 일시
(입⋅출 구분)
|
보안조치
|
사업
담당자
|
|
디지털
복합기
|
OO-OO-OO
|
공용
|
고장
|
′19.00.00 00:00(출)
|
⑤
|
OOO
서명
|
|
PC
|
OO-OO-OO
|
OOO
|
인터넷자료열람
|
′19.00.00 00:00(입)
|
①,②,
③,④
|
OOO
서명
|
|
모뎀
|
OO-OO-OO
|
OOO
|
상용인터넷 연결용
|
′19.00.00 00:00(입)
|
-
|
OOO
서명
|
|
프린터
|
OO-OO-OO
|
공용
|
고장
|
′19.00.00 00:00(출)
|
-
|
OOO
서명
|
|
노트북
|
s111-001-113
(5004829800055)
|
5급 홍길○
|
세미나 발표
|
2011.12.3 13:00 (출)
|
⑤
|
OOO
서명
|
|
USB
|
총무-일반-01
(610-RUCW-61659)
|
5급 홍길○
|
국회 제출
|
2011.10.1 11:00(출)
|
⑤
|
OOO
서명
|
|
CD
|
총무-일반-03
(4589-KK-4585)
|
5급 유관○
|
법무부 회의참석
|
2011.10.7 09:40 (출)
|
⑤
|
OOO
서명
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[서식10] 업체 전산 장비 대상
정보시스템 관리대장
사업명 :
|
연번
|
소속
|
취급자
성명
|
사업
담당자
|
종류
(서버ㆍPC 등)
|
제조사
|
모델명
|
관리번호
|
도입일자
|
비고
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[서식11]
정보시스템 점검표
|
분 류
|
구 분
|
점 검 항 목 분 류
|
점검결과
|
|
유닉스 서버
|
1
|
계정 관리
|
|
|
2
|
파일 및 디렉터리 관리
|
|
|
3
|
서비스 관리
|
|
|
4
|
패치 관리
|
|
|
5
|
로그 관리
|
|
|
윈도우 서버
|
1
|
계정 관리
|
|
|
2
|
서비스 관리
|
|
|
3
|
패치 관리
|
|
|
4
|
로그 관리
|
|
|
5
|
보안 관리
|
|
|
6
|
DB 관리
|
|
|
보안장비
·
네트워크 장비
|
1
|
계정 관리
|
|
|
2
|
접근 관리
|
|
|
3
|
패치 관리
|
|
|
4
|
로그 관리
|
|
|
5
|
기능 관리
|
|
|
제어
시스템
|
1
|
계정 관리
|
|
|
2
|
서비스 관리
|
|
|
3
|
패치 관리
|
|
|
4
|
네트워크 접근통제
|
|
|
5
|
물리적 접근통제
|
|
|
6
|
보안위협 탐지
|
|
|
7
|
복구대응
|
|
|
8
|
보안 관리
|
|
|
PC
|
1
|
계정 관리
|
|
|
2
|
서비스 관리
|
|
|
3
|
패치 관리
|
|
|
4
|
보안 관리
|
|
|
DBMS
|
1
|
계정 관리
|
|
|
2
|
접근 관리
|
|
|
3
|
옵션 관리
|
|
|
4
|
패치 관리
|
|
|
5
|
로그 관리
|
|
|
※ 각 분류별 점검항목은 아래 가이드 참고
※ 참고 : 한국인터넷진흥원, 주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드
|
[서식13]
휴대용 저장매체 관리대장
< 관리자 : >
|
연번
|
관리번호
(S/N)
|
매체형태
|
등록일자
|
취급자
|
불용처리일자
|
불용처리방법
(재사용 용도)
|
비고
|
|
1
|
|
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
|
|
6
|
|
|
|
|
|
|
|
|
7
|
|
|
|
|
|
|
|
|
8
|
|
|
|
|
|
|
|
|
9
|
|
|
|
|
|
|
|
|
10
|
|
|
|
|
|
|
|
|
11
|
|
|
|
|
|
|
|
|
12
|
|
|
|
|
|
|
|
|
13
|
|
|
|
|
|
|
|
|
14
|
|
|
|
|
|
|
|
|
15
|
|
|
|
|
|
|
|
|
16
|
|
|
|
|
|
|
|
|
17
|
|
|
|
|
|
|
|
|
18
|
|
|
|
|
|
|
|
|
19
|
|
|
|
|
|
|
|
|
20
|
|
|
|
|
|
|
|
[서식14]
자료 인계·인수 대장
사업명 :
|
구분
|
날짜
|
자료명
|
인계자
|
인수자
|
|
소속
(부서/학과)
|
이름
서명
|
소속
(업체명)
|
이름
서명
|
|
1
|
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
|
6
|
|
|
|
|
|
|
|
7
|
|
|
|
|
|
|
|
8
|
|
|
|
|
|
|
|
9
|
|
|
|
|
|
|
|
10
|
|
|
|
|
|
|
* 계약서 등에 명시한 누출금지 대상정보를 업체에 제공할 경우 해당 정보 인계자(사업담당자) 및 인수자(업체인력)가 직접 서명한 후 제공하고, 사업종료 시 관련자료 회수
[서식15]
인터넷 사용 신청서
( 사업부서 : / 담당자 : )
|
사유
|
|
|
사업명
|
|
|
IP
|
인터넷 사용이 필요한 PC의 IP
|
|
목적지 URL
|
접근하고자 하는 사이트 URL
|
|
사용자
|
IP 사용자명(소속명)
|
|
[ 주 의 사 항 ]
1. 정보보안 부서의 검토에 따라 최종 승인되며, 승인 후에도 『보안지침 변경, 감사 지적, 취약점 노출, 사이버공격, 보안사고 발생』 등의 사안에 따라 정보보안 담당자가 사용자에게 사전 고지 없이 예외 정책을 취소할 수 있음.
2. 신청자는 신청서를 작성하여 사업부서장 결재 후 스캔하여 이메일로 담당자에게 제출하고 원본은 소각 또는 완전 파지 해야 함.
|
|
신청자 본인은 상기의 [주의사항]에 동의하며 PC에 대한 보안정책 예외처리를 신청합니다. 또한 신청자 본인은 해당 정책을 오‧남용하지 않겠으며, 오‧남용으로 인한 보안사고에 대해서 모든 책임을 지겠습니다.
년 월 일 (사업 시작일)
신청자 : (서명)
사업담당자 : (서명)
정보보안담당관 : (서명)
|
▷ 신청자 : 보안책임자(수행사PM)
[별첨 4] 보안 관리 참고 자료
[별표1]
정보시스템 유지관리 절차서
|
구분
|
내 용
|
비고
|
|
유지관리 인력 확인
|
-투입인력 보안서약서 작성
(단, 유효 계약기간 내에 기관과 업체대표가 상호 작성한 보안서약서가 존재하는 경우는 제외)
|
|
|
유지관리 작업내용
보고 및 대응
|
-당해 작업계획 및 내용을 담당자에게 보고
|
|
|
-계획서에는, 일시, 작업자 인적사항, 작업목적, 작업소요시간, 시스템 혹은 서비스에 끼칠 영향을 반드시 포함
|
|
|
-담당자는 보고내용을 확인하고, 품질, 형상관리, 비즈니스 중요도에 따른 리스크 대처방안을 최대한 확보
|
|
|
작업내역 승인
|
-담당자는 작업계획의 최종승인 여부를 결정
|
|
|
작업환경
|
-작업자는 유지관리 수행 장소에 담당자와 함께 이동
|
|
|
-통제구역에서의 유지관리 시, 작업자는 통제구역 출입대장을 작성
|
|
|
-작업자는 통제구역 외부로의 시스템 반출·입 시 정보자산 반출·입 대장을 작성
|
|
|
-당해 작업은 담당자 입회를 원칙으로 하되, 지속적 입회가 어려운 경우 작업자는 주요 시스템 변경작업, SW/HW 형상의 변경작업, 리스크 발생이 예상되는 작업 시 담당자에게 사전 통보 후 진행
|
|
|
작업종결
|
-작업자는 작업의 완료 및 수행 작업의 로그위치를 담당자에게 통보
|
|
|
-작업자는 당해 작업과 관련 발생한 모든 산출물을 담당자에게 보고 및 인계
|
|
|
-담당자와 작업자는 당해 작업의 목적완수를 확인하고, 수행 작업과 관련한 특이사항이 없는 경우 작업을 종결
|
|
[별표3]
용역사업 보안점검 리스트
|
순번
|
점 검 항 목
|
|
1
|
용역업체 사용 전산망과 기관 전산망의 분리 여부(VLAN 분리 포함)
|
|
2
|
용역업체 직원 PC의 내부 정보시스템 접근 통제 여부
|
|
3
|
P2P, 웹하드, 메신저 등 불필요한 인터넷 접속 차단 여부
|
|
4
|
용역업체 직원에 주요 계정 비밀번호 제공 여부
|
|
5
|
용역업체 직원에 비밀번호 부여 시 관련사항 별도 기록 여부
|
|
6
|
용역업체 직원에 시스템 관리자 계정 단독 접근 여부
|
|
7
|
노트북PC 등 휴대용 정보시스템을 시스템 관리용 PC로 활용 여부
|
|
8
|
용역업체 직원 등에 의한 기관 외부에서의 원격 접속ㆍ작업 여부
|
|
9
|
용역업체 정보시스템 접근 시 작업이력 로깅 기능 사용 여부
|
|
10
|
용역업체 PC 및 휴대용 저장매체에 정보시스템 ‘계정명/비밀번호’ 저장 여부
|
|
11
|
용역업체 PC에 설치된 운영체제 및 응용프로그램 최신상태 유지 여부
|
|
12
|
용역업체 PC 백신 프로그램 자동 업데이트 및 실시간 검사 기능 사용 여부
|
|
13
|
용역업체 PC USBㆍCD-RWㆍ무선랜 등 매체 통제 여부
|
|
14
|
용역업체 PC 비밀번호 및 화면보호기 설정 여부
|
|
15
|
용역업체 직원의 비인가 정보통신장비(노트북 등) 휴대ㆍ반입 여부
|
[별표5] 상주 용역 계정관리 대장
* 용역업체 직원에게 정보시스템에 중대한 영향을 끼칠 수 있는 관리자 계정 제공 금지
□ 용역직원에 부여한 계정에 대한 로그 관리 정책
① 시스템에 대한 접근·작업·정책변경 등 사용이력 1년 이상 보관
② 접근권한 부여·삭제 등에 관한 내역, 작업계획서, 작업결과보고서 3년 이상 보관
|
업체명
|
성명
|
접근 시스템
|
아이디
|
비밀번호
|
계정 사용기간
|
계정 폐기일
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[별표6]
사업자 보안위규 처리기준
|
구분
|
위 규 사 항
|
처 리 기 준
|
|
심각
|
1. 비밀 및 대외비 급 정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보·신상정보 목록 유출
다. 비공개 항공사진·공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 구축 결과물에 대한 외부 유출
다. 시스템 내 인위적인 악성코드 유포
|
◦사업참여 제한
◦위규자 및 직속 감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
중대
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
마. 참여인원에 대한 보안서약서 미징구 및 교육 미실시
2. 사무실(작업장) 보안관리 허술
가. 출입문을 개방한 채 퇴근 등
나. 인가되지 않은 작업자의 내부 시스템 접근
다. 통제구역 내 장비·시설 등 무단 사진촬영
3. 전산정보 보호대책 부실
가. 업무망 인터넷망 혼용사용, USB 등 보조기억매체 기술적 통제 미흡
나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신
다. 개발·유지관리 시 원격작업 사용
라. 저장된 비공개 정보 패스워드 미부여
마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장
바. 외부용 PC를 업무망에 무단 연결 사용
사. 보안관련 프로그램 강제 삭제
아. 제공된 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
자. 바이러스 백신 정품 S/W 미설치
|
◦위규자 및 직속감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별보안교육 실시
|
|
보통
|
1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 중요정보에 대한 자료 인수․인계 절차 미 이행
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 출입키를 책상위 등에 방치
3. 보호구역 출입 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 불순응
4. 전산정보 보호대책 부실
가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근
나. 네이트온 등 비인가 메신저 무단 사용
다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
마. PC 비밀번호를 모니터옆 등 외부에 노출
바. 비인가 보조기억매체 무단 사용
사. 정보시스템 반입시 바이러스 백신 미검사 또는 반출시 자료 삭제 미확인
아. 바이러스 백신 최신 업데이트 또는 정밀점검 미실시
|
◦위규자 및 직속 감독자 등 경징계
◦위규자 및 직속 감독자 사유서/경위서 징구
◦위규자 대상 특별보안교육 실시
|
|
경미
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 경보ㆍ보안장치 작동 불량
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
다. PC 월1회 보안 점검 미이행
|
◦위규자 서면ㆍ구두 경고 등 문책
◦위규자 사유서/경위서 징구
|
※ 사업자 보안위규 처리 절차
|
경위 확인
|
▶
|
보안위규 처리기준에 따라 조치
|
▶
|
재발 방지 대책
|
▶
|
보안조치 이행여부 점검
|
[별표7]
보안 위약금 부과 기준
1. 수준별 차등 부과
|
구분
|
위규 수준
|
|
A급
|
B급
|
C급
|
D급
|
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
|
위약금
비중
|
부정당업자 등록
|
건당 500만원
|
300만원
|
100만원
|
- A급은 국가계약법 시행령 제76조에 따라 부정당업자로 지정하여 입찰참가 제한
- 위약금 규모는 사업 규모에 따라 조정하되, 위 기준금액을 하한 금액으로 적용
- 위규 구분은 [사업자 보안위규 처리기준] 참고
2. 보안 위약금은 다른 요인에 의해 상쇄·삭감이 되지 않도록 함
- 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도
부과
3. 사업 종료 시 지출금액 조정을 통해 위약금 정산
|
|