|
제안요청서(RFP)
사 업 명
|
2025년 연구정보관리시스템 유지관리
|
발주기관
|
국립재난안전연구원
|
2024. 11.
사 업
책임자
|
국립재난안전연구원
|
연구
기획과
|
과 장 박희건
|
TEL: 052-928-8050
|
FAX : 052-928-8009
|
팀 장 김영복
|
TEL: 052-928-8070
|
연구사 윤상원
|
TEL: 052-928-8072
|
연구원 한소영
|
TEL: 052-928-8074
|
Ⅰ. 사업 개요
1. 추진배경 및 필요성 3
2. 서비스 내용 3
3. 주요 사업내용 3
4. 기대효과 3
Ⅱ. 현황 및 문제점
1. 정보화 현황 4
Ⅲ. 사업 추진계획
1. 추진 전략 6
2. 추진 체계 7
3. 추진 일정 8
Ⅳ. 제안요청 내용
1. 제안요청 개요 9
2. 사업내용 9
3. 요구사항 정의 및 목록 11
4. 상세요구사항 13
Ⅴ. 제안서 작성요령
1. 제안서의 효력 36
2. 제안서 작성 권고사항(유의사항) 36
3. 제안서 목차 38
4. 제안서 세부 작성지침(안) 39
Ⅵ. 제안 안내사항
1. 입찰방식 41
2. 제안서 평가방법 43
3. 제안서 평가기준 44
4. 설명회 및 제안서 제출안내 47
5. 입찰시 유의사항 48
6. 제안서 보상안내 49
Ⅶ. 기타 사항 49
< 붙임1 > 외주 용역사업 보안특약사항 50
< 붙임2 > 유지관리 계약 특수조건 51
< 붙임3 > 제안서 관련 서식 53
[별첨 1] 사업자 보안위규 처리 기준 60
[별첨 2] 보안 위약금 부과기준 62
[별첨 3] 누출금지 대상 정보 63
[별첨 4] 사업 보안관리 준수사항 64
[별첨 5] 개인정보처리시스템 사업담당자 준수사항 66
[별첨 6] 기술적용계획표 71
[별첨 7] 소프트웨어사업 영향평가 결과서 80
[별첨 8] 소프트웨어 사업 법제도 자가점검표 82
[별첨 9] 소프트웨어 사업 과업변경요청서 83
[별첨10] 입찰자 수에 따른 평가등급 배정기준 84
[별첨11] 안전보건 적정성 평가기준 85
|
추진배경 및 필요성
○ (추진배경) 연구원 직접수행 연구개발과제 추진 이력·정보관리와 성과정보 관리, SIMS 연계 등을 위해 2013년 연구정보관리시스템을 구축하여 현재까지 운영 중
○ (필 요 성) 연구정보관리시스템의 안정적 운영과 신속한 대응 등 시스템의 원활한 운영 및 지속적인 관리를 위한 유지관리 추진
※ 추진근거 :「국립재난안전연구원 연구과제 관리 규정」제15조(연구정보 관리)
서비스 내용
○ 연구원 자체 연구개발과제의 정보·성과관리 및 데이터 추출기능 제공
※ 주요기능: 연구원 연구과제 정보·성과관리 및 평가위원선정, 회의실예약, 연구장비관리
주요 사업내용
○ 연구정보관리시스템 운영 및 유지관리
○ 연구정보관리시스템 기술지원 및 기능 안정화
○ 평가위원 선정관리 기능 개선 및 관리
○ 개인정보보호 및 정보보안 활동 수행
기대 효과
○ 연구정보관리시스템 안정적 운영과 시스템 개선으로 효율성 확보
○ 전문가 신규가입 및 개인정보 현행화로 전문가 풀 확대, 활용성 강화
○ 국가연구개발사업의 대내외 환경변화 및 요구사항에 대한 신속한 대응
○ 전문적인 유지관리를 통해 개인정보 관리 강화 및 보안취약점 개선
정보화 현황
□ 시스템 개요
시스템명
|
시스템설명
|
연구정보관리시스템
(DRIMS, Disaster Reserch Information Managemnet Sysem)
|
국립재난안전연구원 연구개발사업의 수행·관리 업무의 효율적 지원을 위한 R&D 정보의 전산화 및 관리시스템
|
□ 현행 시스템 현황
○ 연구정보관리시스템 S/W 현황
구분
|
기반구조 및 환경
|
비 고
|
서버
운영
환경
|
기반구조
|
Web (Internet)
|
|
서버 O/S
|
Windows
|
|
웹서버
|
Apache
|
|
개발언어
|
JSP, HTML, SQL
|
|
프레임워크
|
Struts 2
|
|
DBMS
|
Oracle
|
|
Chart/Report Tool
|
OZ Reoprt
|
|
사용자
환경
|
운영환경
|
Windows 10 이상
|
다양한 운영환경에서 작동 가능
|
브라우저
|
웹 브라우저 호환성 제공
|
○ 연구정보관리시스템 H/W 현황
구분
|
기반구조 및 환경
|
비 고
|
웹서버
|
CPU
|
2CPU 3.2GHz (8Core)
|
|
RAM
|
32GB (16GB 2개)
|
|
DISK
|
SSD 480GB X 2EA (SATA)
|
|
OS
|
Windows
|
|
DB서버
|
CPU
|
2CPU 3.2GHz (8Core)
|
|
RAM
|
32GB (16GB 2개)
|
|
DISK
|
SSD 480GB X 2EA (SATA)
|
|
OS
|
Windows
|
|
□ 현행 시스템 구성도
|
< 추진 방향 >
|
|
|
|
◇ 시스템 유지관리 업무의 안정성 및 효율성 확보
◇ 수준 높은 연구행정서비스 제공을 통해 사용자 만족도 제고
◇ 정보보안 관리실태 진단 결과 제고 등 보안강화
|
추진전략
가. 시스템 유지관리 업무의 안전성 및 효율성 확보
○ 시스템 장애 발생 시 신속한 대응을 통해 안정적인 업무 수행 지원
○ 시스템의 무중단 고품질 서비스 제공을 통한 신뢰성 향상
나. 수준 높은 연구행정서비스 제공을 통해 사용자 만족도 제고
○ 시스템 기능개선을 통해 사용자 편의성 및 서비스 수준 향상
○ 정보연계 강화를 통해 대외 요구사항에 대한 효율적 대응
다. 정보보안 관리실태 진단 결과 제고 등 보안강화
○ 보안취약점 및 개인정보 점검을 통한 안정적인 서비스 제공
○ 부내 정보보안 관리실태 대응 및 취약점 점검·조치를 통한 정보 보안관리 수준 향상
추진체계
가. 추진체계 구성도
|
|
|
|
주관기관
|
|
|
|
국립재난안전연구원
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
현업실무팀
|
|
|
|
|
사업수행팀
|
국립재난안전연구원
|
|
|
|
|
사업자
|
|
|
|
|
|
|
|
|
|
나. 조직별 역할
조 직
|
역 할
|
주관기관
(국립재난안전연구원)
|
•사업 공고 및 계약 지원
|
현업실무팀
(국립재난안전연구원
연구기획과)
|
•2025년 연구정보관리시스템 유지관리 사업’ 총괄
- 사업계획 수립, 제안요청서 작성
- 시스템 유지관리 관련 이슈 발굴 및 의사결정
- 개선 및 개발된 기능의 점검
- 사업 검사·검수
|
사업수행팀 (사업자)
|
시스템 운영 및 유지관리
|
•연구정보관리시스템 유지관리
•Help Desk 운영을 통한 사용자 대응
•시스템 장애 발생 처리 및 기술 지원
•정기점검 및 비정기점검 수행
•관리자/사용자 매뉴얼 업데이트
|
평가위원 선정관리 기능 연계·관리
|
•전문가 풀 신규가입 및 개인정보 갱신 지원
•조달청평가위원시스템 연계 대응
|
시스템 개선 및 연구정보 갱신·관리
|
•SIMS-연구정보관리시스템 간 연계 기능 강화
•게시판 수정, 확장, 변경, 추가 반영 및 시스템 내 자료 업-다운로드 기능 관리
•행안부 웹접근성‧호환성‧성능 진단에 대한 조치사항 이행
|
정보보안
|
•개인정보 보호 관련 암호화 및 이슈대응
•정보보안 및 시큐어코딩 관련 이슈에 대한 대응
※ 정보보안 관련 제개정된 지침 및 규정 적용
|
추진일정(안)
구 분
|
2025년
|
1월
|
2월
|
3월
|
4월
|
5월
|
6월
|
7월
|
8월
|
9월
|
10월
|
11월
|
12월
|
사업 계약 및 착수
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
현황파악 및 사업수행 계획 수립
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
전문가 풀 신규가입 및 개인정보 갱신
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
전문가 신규·갱신 데이터 입력 및 조달청 연계 기능 개선
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
연구정보관리시스템 운영 및 유지관리
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
기능개선 및 SIMS 및 조달청평가위원시스템 연계 기능 강화
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
개인정보보호 및 정보보안 활동 수행
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
사업 검수
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
제안요청 개요
○ 사 업 명 : 2025년 연구정보관리시스템 유지관리
○ 사업기간 : 2025. 1. 1. ~ 2025. 12. 31.
○ 사업금액 : 금45,000,000원(금사천오백만원)
※ 사업금액은 실제 용역제공일수를 기준으로 일할 정산하여 대금을 지급함
○ 계약방식 : 제한경쟁입찰(협상에 의한 계약체결)
사업내용
가. 연구원 연구정보관리시스템 운영 및 유지관리
○ 주기적 운영 점검 및 장애 위험 요소 예방 등 기능 유지관리
○ 시스템 장애 발생 시 긴급 복구 및 장애 이력 관리
○ 시스템 활용성 강화를 위한 관리자·사용자 매뉴얼 업데이트
나. 평가위원 선정관리 기능 연계·관리
○ 전문가 신규가입 및 개인정보 갱신 지원
○ 조달청 평가위원시스템 수집정보 변동 시 테이블 수정 등 대응 관리
다. 연구정보 게시판 개선 및 시스템 갱신·관리
○ IRIS-SIMS 정보 변동 시, 시스템 속성 테이블 수정 등 입력 정보 변경
○ 사용자 편의성을 고려한 게시판 등 UI개선 및 시스템 DB 자료 관리
라. 연구정보관리시스템 내 개인정보 보호 및 정보보안 활동 수행
○ 행정안전부의 웹 접근성‧호환성‧성능 진단에 대한 조치사항 이행
○ 개인정보 보호 관련 업무 및 이슈 대응
○ 정보보안 및 시큐어코딩 관련 이슈에 대한 대응
○ 정보보안 취약점 정기점검 및 보완 조치사항 이행
○ 정보보안 및 개인정보보호 관리실태 점검 대응 및 조치사항 이행
○ 주기적 보안 이슈에 대한 점검 및 보안 조치사항 이행
○ 내부 및 개인정보 유출방지를 위한 정보보호시스템 운영·유지관리
○ 최신 보안패치 적용 및 중요 업데이트 수행
○ 주기적인 접근기록 분석, 백업, 복구 지원
마. 기타 연구원과 사업자간 상호 합의한 사항
요구사항 정의 및 목록
○ 요구사항 정의
요구사항 분류
|
고유번호
|
설 명
|
개수
|
품질요구사항
(Quality Req.)
|
QUR
|
시스템 운영 및 유지보수 품질 요구사항
|
4
|
프로젝트 지원 요구사항
(Project Support Req.)
|
PSR
|
시스템 운영 및 유지보수 지원 요구사항
|
2
|
유지관리 수행 요구사항
(Maintenance Project Req.)
|
MPR
|
시스템 운영 및 유지보수 수행 요구사항
|
3
|
유지관리 인력 요구사항
(Maintenance Human Req.)
|
MHR
|
시스템 운영 및 유지보수 수행인력 요구사항
|
2
|
데이터 품질 요구사항
(Data Quality Req.)
|
DAR
|
데이터 개방, 품질관리를 위한 요구사항
|
5
|
프로젝트 관리 요구사항
(Project Mgmt Req.)
|
PMR
|
사업수행업체 보안준수를 위한 요구사항
|
8
|
보안 요구사항
(Security Req.)
|
SER
|
운영유지보수 사업 수행시 보안요구사항
|
6
|
제약사항
(Constraint Req.)
|
COR
|
웹접근성·호환성, EA관리 등 제약사항
|
14
|
합 계
|
44
|
○ 요구사항 목록
요구사항 분류
|
고유번호
|
요구사항 명칭
|
품질
요구사항
|
QUR-01
|
품질 보증 기준
|
QUR-02
|
기능 구현 정확성
|
QUR-03
|
설치 및 제거 용이성
|
QUR-04
|
이해의 용이성
|
프로젝트 지원 요구사항
|
PSR-01
|
기술지원
|
PSR-02
|
교육훈련
|
유지관리 수행 요구사항
|
MPR-01
|
운영·유지관리 일반사항
|
MPR-02
|
시스템 고도화 세부사항
|
MPR-03
|
전문가 풀 신규 모집
|
유지관리 인력 요구사항
|
MHR-01
|
유지관리 인력요건
|
MHR-02
|
유지관리 인력자격
|
데이터 품질
요구사항
|
DAR-01
|
데이터 표준 관리
|
DAR-02
|
데이터 구조 관리
|
DAR-03
|
데이터 값 검증
|
DAR-04
|
메타데이터 현행화
|
DAR-05
|
데이터 저장 관리
|
프로젝트 관리
요구사항
|
PMR-01
|
보안관리 일반
|
PMR-02
|
누출금지 대상정보 및 보안 위규 처리
|
PMR-03
|
참여인원 보안관리
|
PMR-04
|
문서 및 자료 보안관리
|
PMR-05
|
사무실 보안관리
|
PMR-06
|
장비 및 매체 보안관리
|
PMR-07
|
네트워크 보안관리
|
PMR-08
|
기능점수(FP) 검증 및 제출
|
보안
요구사항
|
SER-01
|
개발 시 보안준수 사항
|
SER-02
|
정보시스템 이용 시 보안 준수사항
|
SER-03
|
소프트웨어 개발보안(시큐어코딩) 관련 가이드 준수
|
SER-04
|
보안 취약점 점검
|
SER-05
|
개인정보처리 위탁계약관리(개인정보 취급시)
|
SER-06
|
시스템 접속기록 보관 및 점검
|
제약사항
|
COR-01
|
하도급 관리
|
COR-02
|
표준 지침 준수
|
COR-03
|
접근성 준수
|
COR-04
|
웹 표준 등 준수
|
COR-05
|
정보자원의 효율적 관리
|
COR-06
|
작업장소 상호협의 결정 및 원격지 개발 활성화
|
COR-07
|
SW 산출물 활용촉진
|
COR-08
|
기술적용 계획 준수
|
COR-09
|
표준산출물 생성 및 관리
|
COR-10
|
운영 및 유지보수 매뉴얼 작성
|
COR-11
|
정보시스템 등급제
|
COR-12
|
동해, 독도 표기 오류 재발 방지
|
COR-13
|
과업심의위원회 운영
|
COR-14
|
안전보건 관리
|
상세요구사항
○ 품질 요구사항(QUR)
요구사항 분류
|
품질 요구사항
|
요구사항 고유번호
|
QUR-01
|
요구사항 명칭
|
품질 보증 기준
|
요구사항
상세설명
|
정의
|
품질보증 기준 및 목표 제시
|
세부내용
|
ㅇ사업수행 품질보증 활동에서 요구되는 산출물을 제출해야 함
ㅇ사업수행계획서, 추진일정 계획서 등 사업수행 품질보증 기준 및 목표를 제시해야 함
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
품질 요구사항
|
요구사항 고유번호
|
QUR-02
|
요구사항 명칭
|
기능 구현 정확성
|
요구사항
상세설명
|
정의
|
기능 구현과 구현내용에 대한 정확한 테스트 수행
|
세부내용
|
ㅇ제시한 요구사항이 제공되는지 여부는 각 기능 요구사항의 검증(테스트) 활동을 통해 예상된 결과가 도출된 경우에 요구사항을 제공한 것으로 평가
ㅇ기능 구현 정확성은 사용자가 직접 테스트를 수행하여 평가
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
품질 요구사항
|
요구사항 고유번호
|
QUR-03
|
요구사항 명칭
|
설치 및 제거 용이성
|
요구사항
상세설명
|
정의
|
설치 및 제거에 대한 정보제공
|
세부내용
|
ㅇ관리자에게 시스템 및 프로그램의 설치나 제거를 위한 정보를 제공
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
품질 요구사항
|
요구사항 고유번호
|
QUR-04
|
요구사항 명칭
|
이해의 용이성
|
요구사항
상세설명
|
정의
|
시스템(서비스) 이용자 편의에 대한 정보제공
|
세부내용
|
ㅇ사용자 및 관리자가 시스템을 쉽고 편하게 사용할 수 있도록 정보를 제공해야 함
|
산출 정보
|
관리자 매뉴얼, 사용자 매뉴얼
|
관련 요구사항
|
|
요구사항 출처
|
|
○ 프로젝트 지원 요구사항(PSR)
요구사항 분류
|
프로젝트 지원 요구사항
|
요구사항 고유번호
|
PSR-01
|
요구사항 명칭
|
기술지원
|
요구사항
상세설명
|
정의
|
기술지원
|
세부내용
|
ㅇ본 사업을 통해 습득된 기술 및 노하우는 발주기관에 기술지원 및 기술이전 해야 함
ㅇ본 사업과 관련된 개발S/W 및 해당 상용S/W의 확장ㆍ교체ㆍ변경 및 시스템 연계 등에 대한 기술을 요하는 사항에 사업자는 적극 지원해야 함
ㅇ기타 관련 분야의 기술에 대한 정보 제공과 기술 자문에 응해야함
ㅇ프로젝트 착수단계에서부터 하자보수가 이루어지는 전 기간에 걸친 기술지원이 이루어져야 함
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
프로젝트 지원 요구사항
|
요구사항 고유번호
|
PSR-02
|
요구사항 명칭
|
교육훈련
|
요구사항
상세설명
|
정의
|
교육훈련
|
세부내용
|
ㅇ제안사, 개발S/W 및 해당 상용S/W 납품업체 등에서 개설하는 교육 정보를 발주기관에 제공하며 발주기관이 요청하는 교육 지원해야 함
ㅇ유지관리 인력의 능력개발을 위한 교육대책을 수립해야하며 교육수강을 위한 공백을 대체할 백업요원 투입을 위한 계획 수립
ㅇ유지관리 인력 교육 시행 시 교육일정ㆍ백업요원 등에 대한 사항을 사전에 발주기관과 협의해야 함
ㅇ발주기관 사용자 및 운영자를 대상으로 유지관리, 장애유형별 조치방법 등에 관한 교육을 지원해야 함
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
○ 유지관리 수행 요구사항(MPR)
요구사항 분류
|
유지관리 수행 요구사항
|
요구사항 고유번호
|
MPR-01
|
요구사항 명칭
|
운영·유지관리 일반사항
|
요구사항
상세설명
|
정의
|
연구정보관리시스템 운영·유지관리 수행 조건
|
세부내용
|
ㅇ연구정보관리시스템의 장애발생 시 신속한 정비/복구 지원
ㅇ시스템의 가동ㆍ정지ㆍ수행 등 시스템 운영 상태 관리
ㅇ유지관리 운영계획 수립 시 데이터 백업 및 복구 대책 수립
ㅇ연구정보관리시스템 내의 콘텐츠 및 각종 게시판 등에 대한 정기적인 점검과 사용자측의 요청사항 발생 시 신속한 업데이트를 실시해야 함
- 국가연구개발사업의 주요 사항들이 반영 될 수 있도록 연구정보관리시스템을 유지관리 해야 함
- 연구정보관리시스템에 변경되는 콘텐츠 및 자료를 관리해야 함
ㅇ평가위원 선정관리의 원활한 운영을 위한 유지관리 및 조달청 시스템과의 호환성 등에 대한 신속한 업데이트 실시
ㅇ연구정보관리시스템 운영 프로그램의 문제점을 점검하고 해결해야 함
ㅇ연구정보관리시스템 운영 프로그램의 오류 및 장애가 발생하는 경우, 즉시 원인을 확인하고 그에 따른 신속한 조치를 실시해야 함
ㅇ행정안전부의 웹 접근성‧호환성‧성능 진단에 대한 조치사항을 이행해야 함
ㅇ보안취약점에 관련된 요구사항 발생 시 종합 진단 및 문제해결 등 즉각적인 조치를 취해야 함(조치 완료 후 모니터링 실시, 동일 건 발생 시 대처방안, 재발방지대책 등 운영 오류·장애에 대한 절차 제공)
ㅇ타 시스템과 연계 시 연계가 원활히 이루어지도록 타 시스템 개발과 관리자와 원만한 협조 관계를 유지하고 필요 시 기술지원을 하여야 함
ㅇ운영·유지관리 사항의 기록 및 보고를 하여야 함
ㅇ기타 국립재난안전연구원과 사업자간 운영 유지보수에 관련하여 상호 합의한 사항에 대해 준수
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
유지관리 수행 요구사항
|
요구사항 고유번호
|
MPR-02
|
요구사항 명칭
|
시스템 고도화 세부사항
|
요구사항
상세설명
|
정의
|
연구정보관리시스템 기능 개선
|
세부내용
|
ㅇ범부처통합연구지원시스템(IRIS-SIMS)와 연구정보관리시스템 간 과제·성과정보 상호 연계 기능 개선
- 변경된 IRIS 엑셀자료 필드에 따라 업·다운로드 기능을 수정·개선
ㅇIRIS 개편·업데이트 시 연구정보관리시스템 연계기능을 지속적으로 업데이트하여 등록/관리 기능 현행화
ㅇ조달청 평가위원시스템 개편·업데이트 시 평가위원 선정관리 기능을 지속적으로 업데이트하여 등록/관리 기능 현행화
ㅇ시스템 오류 및 사용자 중심의 UI 편의성 개선
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
유지관리 수행 요구사항
|
요구사항 고유번호
|
MPR-03
|
요구사항 명칭
|
전문가 풀 신규 모집
|
요구사항
상세설명
|
정의
|
전문가 풀 신규 모집 및 기존 정보 갱신
|
세부내용
|
ㅇ 신규 전문가 풀 모집 및 개인정보 갱신
- 온라인 등록 시스템 운영(모집기간 한정)
- 전문가 풀 등록 안내메세지(문자/이메일) 발송 대행, 온라인 등록 시스템의 휴대폰 본인인증
- 모집·갱신 완료 정보 드림스 DB업로드(첨부파일 포함)
|
산출 정보
|
|
관련 요구사항
|
전문가 풀 온라인 등록 페이지 개설 및 운영
|
요구사항 출처
|
|
○ 유지관리 인력 요구사항(MHR)
요구사항 분류
|
유지관리 인력 요구사항
|
요구사항 고유번호
|
MHR-01
|
요구사항 명칭
|
유지관리 인력요건
|
요구사항
상세설명
|
정의
|
유지관리 인력요건
|
세부내용
|
ㅇ사업자는 본 사업의 수행범위를 상세히 정의하고 연구정보관리시스템의 원활한 운영·유지관리를 위해 전문기술자 중심의 유지관리 조직구성 방안을 제시
ㅇ조직구성
- 사업자의 자체적인 운영·유지관리 조직의 변경, 이전 등은 국립재난안전연구원의 승인을 받아야 함
- 사업자는 유지관리 조직도 및 비상연락망 등을 항상 현행으로 관리해야 하며 변경시 마다 국립재난안전연구원에 변경내역을 제출해야 함
- 사업자는 원활하고 효율적인 시스템의 운영 및 유지관리를 위해 전담 조직을 구성하고 시스템 유지관리 시 기술지원 등을 위한 전문 인력 투입을 제안해야 함
사업수행 책임자
|
- 자격 요건을 갖춘 인력을 지정하여 전담 조직을 구성
- 국립재난안전연구원 요구 사항에 상시 대응하며, 전담조직의 책임자로서 역할 수행
|
시스템 개발자
|
- 연구정보관리시스템에 대한 수정 및 개발 요구 사항에 대해 상시 대응
|
ㅇ사업수행 책임자 자격과 역할
- 사업수행 책임자는 사업자 소속 직원으로 운영·유지관리 사업을 완벽히 수행할 수 있는 권한을 가진 자로 선정하여야 하며, 특급기술자 자격을 갖추어야 함
- 사업수행 책임자는 연구정보관리시스템 운영·유지관리에 있어 전담인력-국립재난안전연구원 간의 실시간 응대가 이루어지도록 해야 함
- 사업수행 책임자는 운영·유지관리 사업의 인수인계, 방향설정 등 사업 전반에 대한 책임을 져야 함
- 사업자의 과실로 연구정보관리시스템 운영에 문제가 발생한 경우, 사업수행 책임자는 해당 과실에 대한 즉각적 조치를 수행해야 함
- 사업수행 책임자는 국립재난안전연구원-사업자 간 상호 합의한 사항을 전담 조직과 공유하며, 전담 조직과 함께 모든 사항들을 철저히 준수해야 함
ㅇ국립재난안전연구원은 사업자의 투입인력이 불성실한 경우, 사업자 과실로 시스템의 무중단 운영에 문제를 야기한 경우 등에 대해 사업자 측에 유지관리 투입인력 교체를 요구할 수 있으며, 사업자는 특별한 경우를 제외하고 이를 수용해야 함
ㅇ본 사업에 참여하는 사업자의 운영·유지관리 인력은 국립재난안전연구원이 지정·운영하고 있는 보안규정을 준수해야 함
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
유지관리 인력 요구사항
|
요구사항 고유번호
|
MHR-02
|
요구사항 명칭
|
유지관리 인력 자격
|
요구사항
상세설명
|
정의
|
투입인력 자격 및 수행
|
세부내용
|
ㅇ업무시스템 또는 홈페이지 및 포털 관리 등 유지관리 유경험자 (중급기능사 및 초급기능사 이상)
ㅇ사업자는 투입인력(인적사항, 자격, 경력 등)의 증빙서류를 제출
ㅇ시스템 개발자는 일정기간 취합된 시스템 수정 및 개발 요구사항을 반영하여 연구정보관리시스템을 운영 및 유지관리 하여야 함
ㅇ유지관리 인력은 국립재난안전연구원과 사업자간 사전협의를 통해 상호 합의한 그 밖의 사항에 대해 적극적 지원을 하여야 함
ㅇ사업수행을 위한 장소는 국립재난안전연구원과 사업자가 협의하여 결정
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
○ 데이터 품질 요구사항(DAR) < 필수 적용사항 >
요구사항 분류
|
데이터 품질 요구사항
|
요구사항 고유번호
|
DAR-01
|
요구사항 명칭
|
데이터 표준 관리
|
요구사항
상세설명
|
정의
|
데이터 표준 관리
|
세부내용
|
ㅇ 데이터 표준관리
- 사업 기간 동안 데이터 표준 관리를 위한 방안(변경이력 포함)을 제시하고 표준 사전과 데이터 항목의 일치여부를 주기적으로 점검하여야 함
※ 추가되는 데이터는 범정부 및 발주기관의 표준을 준수하여야 함
|
산출 정보
|
데이터 표준관리 방안(매뉴얼, 가이드 등)
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
데이터 품질 요구사항
|
요구사항 고유번호
|
DAR-02
|
요구사항 명칭
|
데이터 구조 관리
|
요구사항
상세설명
|
정의
|
데이터 구조 관리
|
세부내용
|
ㅇ 데이터 구조 관리
- 사업 기간 동안 데이터 구조 관리를 위한 방안(변경이력 포함)을 제시하고 DB의 형상과 물리데이터 모델의 형상 일치 여부를 주기적으로 점검하여야 함
|
산출 정보
|
데이터 구조정의서
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
데이터 품질 요구사항
|
요구사항 고유번호
|
DAR-03
|
요구사항 명칭
|
데이터 값 검증
|
요구사항
상세설명
|
정의
|
데이터 값 검증
|
세부내용
|
ㅇ 데이터 값 진단 계획 수립
- 데이터 값 검증 범위, 시기, 방법을 사업 계획에 명시해야 함
ㅇ 데이터 값 진단 수행 및 검증
- 공공데이터 범정부 품질진단 기준* 및 업무규칙(BR)에 따라 주기적으로 값 검증을 수행하여야 함
*공공데이터 품질관리 매뉴얼 참고
- 데이터 값 검증 결과에 따른 오류데이터를 개선하고, 오류로 인한 영향도, 오류유형별 조치 방법 등을 관리하여야 함
- 반복적으로 발생하는 동일 오류가 있는 경우 재발 방지 방안을 제시하고 개선활동을 수행하여야 함
- 운영시스템(DB)의 구축·운영 근거(법령, 규정, 규칙, 매뉴얼 등) 등 관련 정책이 변경되는 경우 업무규칙(BR)을 추가발굴 또는 정비하여야 함
|
산출 정보
|
데이터 값 진단 계획/결과, 업무규칙 정의서
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
데이터 품질 요구사항
|
요구사항 고유번호
|
DAR-04
|
요구사항 명칭
|
메타데이터 현행화
|
요구사항
상세설명
|
정의
|
메타데이터 현행화
|
세부내용
|
ㅇ 메타데이터 현행화
- 시스템의 메타데이터 표준 관리항목이 발주기관의 메타데이터 관리시스템과 중앙메타시스템에 등록 및 현행화 되도록 지원하여야 함
※ 발주기관에서 운영 중인 메타데이터 관리시스템이 없는 경우 문서,파일 등으로 메타데이터 항목을 작성(현행화)하여 제출하여야 함
|
산출 정보
|
메타데이터 현행화 결과
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
유지관리 수행 요구사항
|
요구사항 고유번호
|
DAR-05
|
요구사항 명칭
|
데이터 저장 관리
|
요구사항
상세설명
|
정의
|
데이터 저장 관리
|
세부내용
|
ㅇ 자료의 파손, 변질, 분실 등에 대비하기 위해 백업을 수행해야 한다.
- 연 1회이상 과제정보, 성과정보 등 시스템 저장데이터 백업
ㅇ 저장된 개인정보는 암호화하여 저장되도록 한다.
- DB저장 시 보안이 필요한 필드 암호화
※ 적용대상: 암호화로 저장해야 할 보안 필드(패스워드 등)
ㅇ 보존기간이 경과된 개인정보는 백업을 한 뒤 디스크에서 삭제한다.
|
산출 정보
|
백업데이터 산출물 및 결과
|
관련 요구사항
|
전문가 풀 온라인 등록 페이지 개설 및 운영
|
요구사항 출처
|
|
○ 프로젝트 관리 요구사항(PMR) < 필수 적용사항 >
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-01
|
요구사항 명칭
|
보안관리 일반
|
요구사항
상세설명
|
정의
|
보안 일반 요구사항
|
세부내용
|
ㅇ사업 수행 중 인원, 문서 및 전산자료 보안 등 [별첨4] 사업자 보안 준수사항에 명시된 보안관리 사항을 준수해야 하며, 기타 사항은 「국가 정보보안 기본지침」 및 「국가·공공기관 용역업체 보안관리 가이드라인」에서 정한 바를 준용해야 함
ㅇ제안사는 사업 전체 단계별 보안 관리 방안을 수립해야 함
- 사업 수행기간 동안 보안 관련 법규를 준수하여 보안유지에 적극적으로 협조하여야 함
- 사업 수행 시 인원, 문서, 자료, 장비 등을 대상으로 보안관리 계획을 수립해야 하며, 보안상 결격 사항이 없도록 조치해야 함
ㅇ참여인력에 대한 신원조사 결과 결격사유가 있는 자에 대한 교체를 요구할 수 있으며 사업자는 이를 수용해야 함
|
산출 정보
|
사업수행계획서
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-02
|
요구사항 명칭
|
누출금지 대상정보 및 보안 위규 처리
|
요구사항
상세설명
|
정의
|
누출금지 대상정보 및 보안 위규 처리에 대한 보안관리
|
세부내용
|
ㅇ아래 명시된 아래의‵누출금지 대상정보′에 대한 보안관리 계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 행정안전부는 국가계약법 시행령 제76조에 따라 부정당업체로 등록하여 입찰 참가자격을 제한할 수 있음
|
〈 누출금지 대상정보 〉
|
|
|
|
① 기관 소유 정보시스템의 내ㆍ외부 IP주소 현황
② 세부 정보시스템 구성현황 및 정보통신망 구성도
③ 사용자계정 및 패스워드 등 시스템 접근권한 정보
④ 정보시스템 취약점분석 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입현황
⑦ 방화벽ㆍIPS 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보
⑧ “공공기관의 정보공개에 관한 법률” 제9조1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서
⑨ 개인정보보호법 제2조1호의 개인정보
⑩ 보안업무규정 제4조의 비밀, 同 시행규칙 제16조3항의 대외비
⑪ 기타 행정안전부에서 공개가 불가하다고 판단한 자료
|
ㅇ제안사는 사업자 보안위규 처리기준을 숙지하며, 보안정책을 위반하거나 내부 자료를 무단으로 유출하는 등 위규 사항이 발생할 경우 아래와 같이 책임을 이행해야 함
- [별첨1]. “사업자 보안위규 처리기준”에 따라 당사자 및 관리자를 행정조치
- [별첨2] “보안 위약금 부과기준”에 따라 위약금을 부과
- [별첨3] “누출금지 대상정보”를 유출한 경우 부정당업자로 제재
- 이외 민ㆍ형사상 모든 책임을 져야 함
ㅇ행정안전부는 정보보안에 관한 책임사항, 책임범위, 보안대책 위반 시 손해배상 책임, 누출금지 대상정보 등을 계약서에 기록할 수 있으며, 보안 위반이나 침해사고 발생 시 경위 확인 후 재발방지 대책을 요구할 수 있음
ㅇ또한, 행정안전부에서 실시한 기관 자체 보안점검에 따른 보안위규(경미한 사항 포함) 발생 시에도 보안위규에 따른 보안조치를 적용해야 함
|
산출 정보
|
해당사항 없음
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-03
|
요구사항 명칭
|
참여인원 보안관리
|
요구사항
상세설명
|
정의
|
사업 참여인원에 대한 보안관리
|
세부내용
|
○ 계약업체는 사업 투입 시 대표자 및 참여인원 대상으로 보안서약서를 제출해야 함
- 붙임2 “제안서 관련 서식” [서식 3호] 보안서약서(대표자용) 참고
- 붙임2 “제안서 관련 서식” [서식 4호] 보안서약서(사업참여자용) 참고
○ 사업 수행 전 참여인원 대상으로 사업 담당공무원이 실시하는 보안교육을 반드시 참석해야 함
- 보안교육 내용은 비밀유지 의무 준수, 위반 시 처벌내용, 누출금지 대상 정보 및 정보 누출 시 부정당업자 제재조치 등을 포함해야 함
○ 사업 종료 시 제안사는 사업관련 자료는 보유하고 있지 않고 완전삭제 조치해야 하며, 이를 위반 시 향후 법적책임이 있음을 포함한 “보안확약서”를 작성하여 행정안전부에 제출해야 함
- 붙임2 “제안서 관련 서식” [서식 5호] 보안확약서(대표자용) 참고
|
산출 정보
|
보안서약서, 보안교육 결과서(참석자 명단 포함), 보안확약서 등
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-04
|
요구사항 명칭
|
문서 및 자료 보안관리
|
요구사항
상세설명
|
정의
|
문서 및 자료에 대한 보안관리 요구사항
|
세부내용
|
○ 제안사는 행정안전부로부터 제공받은 제반 자료는 본 사업 이외의 목적에 사용할 수 없음
○ 보안책임자는 인계자‧인수자 서명을 포함한 “자료 인수인계 대장”(또는 “자료관리대장”)을 작성하여 행정안전부로부터 제공받은 비공개 자료들을 관리해야 함
- ‘자료 인수인계 대장’은 자료명칭, 자료형태, 인계‧인수 일시, 인계자 성명 및 서명, 인수자 성명 및 서명을 포함하여 작성
- 비공개자료 출력물은 지정된 별도의 장소(시건장치가 부착되어 있는 보관함)에 보관․관리하고, 복사 및 외부반출을 금지
○ 사업수행 관련 자료 및 사업 수행 시 생산되는 모든 산출물은 사업 담당공무원이 지정한 위치(파일서버 등)에 저장 및 관리해야 하며 개인 PC 등에 이를 보관할 수 없음
- 비공개자료 생성 시에는 지정장소 내 비공개자료 폴더에 저장하고, 업무별로 지정된 사용자만이 접속이 가능하도록 통제
- 용역사업 관련 자료는 인터넷 웹하드, P2P 등 인터넷 자료 공유사이트 및 개인 메일함에 저장 금지
- 사업 수행으로 생산되는 산출물 및 기록은 목적 외 비인가자에게 제공․대여․열람을 일체 금지
○ 제안사가 업무상 필요에 의해 부득이하게 외부 전자우편 등을 이용할 경우, 자료 송수신 시 암호화 등의 보안 대책을 마련해야 함. 단, 행정안전부 정보보안 업무규정에 의한 비공개(비밀, 대외비 등)은 전자우편으로 수발신을 금함
- 자료 암호화 시 비밀번호는 숫자, 문자, 특수문자 등을 혼합한 9자리 이상을 권고하며 유추하기 쉬운 문자열 등이 포함되지 않도록 설정
○ 사업 종료 후 사업과 관련된 모든 자료를 반환, PC 보관 자료 완전삭제 등 자료가 외부에 유출되지 않도록 필요한 보안조치를 이행해야 함
- 참여인력이 사용한 장비는 완전삭제를 반드시 진행해야 하며 사업 담당공무원 확인 및 승인 하에 반출
|
산출 정보
|
자료 인수인계 대장(또는 자료관리대장), 완전삭제 확인서(사진 등)
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-05
|
요구사항 명칭
|
사무실 보안관리
|
요구사항
상세설명
|
정의
|
사무실에 대한 보안관리 요구사항
|
세부내용
|
○ 제안사는 사무실 또는 용역 업무를 수행하는 장소는 매체 및 장비보안을 위하여 시건장치와 통제가 가능하도록 물리적 보안대책을 마련해야 함
- CCTV, 시건장치 등 비인가자 출입통제 대책이 마련된 공간을 확보하여 업무를 수행해야 하며, 사업 공간 사용 등은 사업 담당공무원과 협의하여 진행
○ 전산실 등 외부인의 출입이 통제되는 구역에는 2차 출입통제를 적용해야 하며, 출입에 대한 출입자, 출입시간, 출입 사유, 서명 등을 포함한 출입관리대장 기재
○ 제안사는 사무실 또는 용역 업무를 수행하는 공간에 대한 보안점검을 월 1회 이상 실시하고, 결과에 대해 사업 담당공무원의 확인 및 개선 조치요구 사항을 준수해야 함
|
산출 정보
|
출입관리대장 등
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-06
|
요구사항 명칭
|
장비 및 매체 보안관리
|
요구사항
상세설명
|
정의
|
장비 및 매체에 대한 보안관리 요구사항
|
세부내용
|
○ 제안사는 PC, 노트북, 및 USB 등 관련 장비를 사업공간에 반출입할 수 없음. 단, 그 필요성을 인정한 경우 사업 담당공무원 승인에 따라 다음과 같은 사전 조치를 실시해야 함
- 백신 등 PC 보안프로그램 설치 여부 확인
- 악성코드 감염 여부 및 자료 무단반출 여부 확인
- 최신 업데이트가 가능하도록 정품 소프트웨어 설치
- 반입한 장비는 장비 식별번호, 장비 반출·입 일자, 사용자명, 보안조치 점검 유무, 사업 담당공무원 승이 등의 내용을 포함한 ‘장비 반출입 대장’을 작성한 후 라벨을 부착하여 관리
- USB 등의 휴대용 저장매체는 불가피한 경우에만 사용하며, 반출․입 및 사용 시에는 라벨부착 및 관리대장에 등재하여 사용
- 반출 시 사업 담당공무원 통제하에 저장자료 완전 삭제 및 담당자 승인 후 반출
- 그 외 행정안전부 반출입 절차 준수
○ 업무 수행 시 중요정보 유출 방지를 위해 반입한 장비를 대상으로 매체제어 환경을 구축·운영해야 하며 매체제어 프로그램이 설치되지 않는 경우, 매체 연결 포트를 물리적으로 봉인(포트락 사용 등)해야 하며, 사용 중인 키보드, 마우스, 랜포트는 보안 스티커를 부착해야 함
○ 참여인력이 사용하는 장비에 대해 다음과 같은 보안활동을 실시해야 함
- PC 및 노트북에 CMOS, 윈도우 로그인, 화면보호기 패스워드를 설정(영문자, 숫자, 특수문자가 조합된 9글자 이상)
- 월 1회 이상 PC 점검도구를 활용하여 적절한 보안통제가 수행되고 있는지 확인
|
산출 정보
|
장비 반출입 대장, 정보시스템 관리대장, 휴대용 저장매체 관리대장 등
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-07
|
요구사항 명칭
|
네트워크 보안관리
|
요구사항
상세설명
|
정의
|
네트워크에 대한 보안관리 요구사항
|
세부내용
|
○ 업무 수행 시 참여인력이 사용하는 PC(또는 노트북) 대상으로 인터넷 연결을 원칙적으로 금지하며, 부득이하게 사용할 경우 사업 담당공무원의 승인 하에 제한적으로 허용함
- 인터넷 PC는 유해사이트 접속을 차단하고, 업무에 필요한 사이트에만 접속토록 침입차단시스템 등을 통해 통제하고 P2P, 웹하드, 메신저 등 자료공유 사이트 활용 원천 차단
- 산출물 및 소스코드를 보관하는 PC는 외부로 자료가 유출되지 않도록 인터넷 연결을 차단해야 하며 그 외 기술적·관리적 보안 대책 마련
○ 참여인력의 무선 인터넷 활용을 통제하기 위한 대책을 강구해야 함. 단, 부득이하게 사용해야 하는 경우 사업 담당공무원 및 보안담당관 승인 하에 사용해야 함
- 스마트폰ㆍ휴대폰을 무선 모뎀으로 활용 금지
- 휴대형 무선모뎀(Wibro, HSDPA, Wi-Fi 등) 무단 활용여부 수시 점검, 노트북PC 무선통신 기능 불능화 조치(driver 파일 삭제 등)
|
산출 정보
|
정보시스템 관리대장, 인터넷 접근 허용 신청서 등
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정. 국가·공공기관 용역업체 보안관리 가이드라인
|
요구사항 분류
|
프로젝트 관리 요구사항
|
요구사항 고유번호
|
PMR-08
|
요구사항 명칭
|
기능점수(FP) 검증 및 제출
|
요구사항
상세설명
|
정의
|
기능점수(FP) 검증 및 제출
|
세부내용
|
○ 한국소프트웨어산업협회가 배포한 최신버전의「SW사업 대가산정 가이드」에 따라 본 사업대상 시스템의 기능점수를 재산정한 “기능점수(FP) 산정서”를 발주기관에 제출해야 함
※ 기능점수(FP) 산정방식은 간이법을 적용하고, 기능점수 산정서 작성서식은 한국소프트웨어산업협회 홈페이지(www.sw.or.kr) 참고
|
산출 정보
|
기능점수 산정서
|
관련 요구사항
|
|
요구사항 출처
|
|
○ 보안 요구사항(SER) < 필수 적용사항 >
요구사항 분류
|
보안 요구사항
|
요구사항 고유번호
|
SER-01
|
요구사항 명칭
|
개발 시 보안준수 사항
|
요구사항
상세설명
|
정의
|
개발 시 보안 준수사항 제시
|
세부내용
|
ㅇ정보시스템 유지관리 및 신규 또는 고도화 개발 시 다음과 같은 보안대책을 마련해야 함
- 로그인 시 로그인 실패 횟수 5회 이상 접속 시 제한, 동일 사용자 계정으로 동시 로그인 차단, 로그인 우회 접근 차단 등
- 중요정보 및 개인정보가 전송되는 구간에 암호화 통신 적용
- 사용자 인증정보, 개인정보 등 보안이 요구되는 정보는 소스코드 내 하드코딩 금지
- 개인정보 및 중요정보는 각 기준에 맞는 암호화 알고리즘을 적용하여 DB에 저장
- 관리자페이지 등 권한이 설정된 페이지가 비인가자에게 노출되지 않도록 해야 하며, 권한별 접근 페이지 구분
- 개발 및 테스트 서버가 외부에 노출되지 않도록 기술적·물리적 보안대책 마련
- 그 외 보안이 요구되는 사항에 대해서는 사업 행정기관 및 공공기관 정보시스템 구축·운영 지침 및 소프트웨어 개발보안 등을 준용하여 대책 마련
|
산출 정보
|
해당사항 없음
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
보안 요구사항
|
요구사항 고유번호
|
SER-02
|
요구사항 명칭
|
정보시스템 이용 시 보안 준수사항
|
요구사항
상세설명
|
정의
|
정보시스템 이용 시 보안 준수사항
|
세부내용
|
○ 정보시스템 이용 시 다음과 같은 보안사항을 준수해야 함
- 정보시스템 관리자 페이지에 대한 접근제어가 사용자 권한에 따라 적용되는지 확인
- 정보시스템 비밀번호 작성규칙(영문자, 특수문자, 숫자 등을 포함하여 9자리 이상) 적용 및 비밀번호 실패 횟수 제한 등
- 정보시스템 기본 계정 및 불필요한 계정 삭제
- 참여인력 대상 별도의 계정 생성(최고 관리자 권한 부여 차단)
- 사용이 만료된 계정의 경우, 즉시 삭제 조치
- 정보시스템 기본 포트 변경 및 불필요한 포트 제거
- 정보시스템 원격 접근을 원천적으로 차단하지만, 부득이하게 허용하는 경우에는 원격신청 허용 신청서 및 작업 내역을 기록하며 암호화된 원격 관리 서비스(SSH 등) 사용
- 주기적인 백업 및 백업본에 대한 안전한 보안관리
- 그 외 보안이 요구되는 사항에 대해서는 행정안전부 정보보안 업무 규정 등을 준용하여 대책 마련
|
산출 정보
|
해당사항 없음
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정
|
요구사항 분류
|
보안 요구사항
|
요구사항 고유번호
|
SER-03
|
요구사항 명칭
|
소프트웨어 개발보안(시큐어코딩) 관련 가이드 준수
|
요구사항
상세설명
|
정의
|
소프트웨어 개발보안 준수사항 제시
|
세부내용
|
○ 신규 개발 또는 고도화 사업의 경우, ‘행정기관 및 공공기관 정보시스템 구축·운영 지침’ 50조에 의거하여 ‘소프트웨어 개발보안’ 절차를 준수해야 함
○ 동 지침 51조에 의거, 용역업체는 ‘소프트웨어 개발 보안가이드’를 참고하여 투입되는 인력에 대해 개발투입 전 소프트웨어 개발보안 관련 교육을 실시하고 교육증빙을 제출하여야 함
|
산출 정보
|
소프트웨어 개발보안 적용 내역, 보안 교육 자료 및 참석자 명단
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
보안 요구사항
|
요구사항 고유번호
|
SER-04
|
요구사항 명칭
|
보안 취약점 점검
|
요구사항
상세설명
|
정의
|
취약점 점검 실시 및 후속 조치
|
세부내용
|
○ 변경된 시스템 및 개발된 소스코드 전체에 대한 보안 취약점 점검(소스코드 보안약점 진단, 모의해킹 등)을 1회 이상 자체적으로 실시해야 함
- 신규 개발의 경우 : 소스코드 전체
- 유지보수의 경우 : 유지보수로 인해 변경된 소스코드 전체
○ 보안 취약점 점검을 실시해야 하며 점검 결과에 따른 후속 보완조치를 수행해야 함
- 외부 기관을 통한 취약점 점검 실시
- 소스코드 보안약점 진단항목 : 소프트웨어 개발보안 가이드 참조
- 모의해킹 점검항목 : OWASP 10대 취약점, 국정원 홈페이지 8대 취약점, 웹 전자정부서비스 웹 취약점 표준 점검 21개 항목 등
|
산출 정보
|
보안 취약점 점검 결과, 보안취약점 조치 이행 결과
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
국가정보보안 기본지침, 행정안전부 정보보안업무 규정, 행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
보안 요구사항
|
요구사항 고유번호
|
SER-05
|
요구사항 명칭
|
개인정보처리 위탁계약관리
|
요구사항
상세설명
|
정의
|
개인정보 취급시 표준 개인정보처리 위탁관리에 대한 정의 명시
|
세부내용
|
○ 개인정보 처리에 관하여 표준 개인정보처리 위탁계약서 내용을 준수하여야 함
- 개인정보처리시 계약상의 권리와 의무의 전부 또는 일부를 재위탁 할 수 없음
- 개인정보의 안전성 확보조치 기준에 의거 개인정보의 안전성 확보에 필요한 기술적 관리적 조치를 취하여야 함.
- 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설 하여서는 안 됨.
○ 수탁자에 대한 다음 사항에 대하여 관리 감독을 하며 수탁업체는 이에 응하여야 함.
- 개인정보처리현황, 접속현황, 접속대상자, 목적외 이용·제공 및 재위탁 금지 준수여부 등
|
산출 정보
|
표준 개인정보처리위탁계약서(계약과 동시 진행)
|
관련 요구사항
|
표준 개인정보처리위탁계약서
|
요구사항 출처
|
개인정보보보호법 제26조 1항
|
요구사항 분류
|
보안 요구사항
|
요구사항 고유번호
|
SER-06
|
요구사항 명칭
|
시스템 접속기록 보관 및 점검
|
요구사항
상세설명
|
정의
|
시스템 접속기록 보관 및 점검
|
세부내용
|
○ 시스템 관리자가 접속기록을 통해 개인정보보호업무를 수행할 수 있도록 유지관리 지원
- 개인정보 접속기록 관리: 월 1회 백업수행
※ 접속기록항목: 계정, 접속일시, 접속지정보(IP), 정보주체정보(개인정보취급자가 누구의 개인정보를 처리하였는지 알 수 있는 식별정보(ID)), 수행업무
|
산출 정보
|
백업데이터 산출물
|
관련 요구사항
|
보안 요구사항
|
요구사항 출처
|
|
○ 제약사항(COR) < 필수 적용사항 >
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-01
|
요구사항 명칭
|
하도급 관리
|
요구사항
상세설명
|
정의
|
하도급 관리
|
세부내용
|
○ 제안사(공동수급체를 구성하는 경우 공동수급원 포함) 소속 이외의 인력은 하도급으로 간주하며, 하도급 계약 시 관련 법률에 의하여 사전 승인을 받아야 함
○ 본 사업은 하도급 가능 사업으로 계약상대자는 대가를 지급받은 경우 15일 이내에 하도급대금을 하수급인에게 현금으로 지급하여야 하며, 하도급대금의 지급 내역(수령자, 지급액, 지급일 등)을 5일(공휴일 및 토요일은 제외한다) 이내에 계약담당공무원에게 통보하여야 한다.
○ 제안사는 하도급 계약의 준수실태를 ‘하도급 준수실태 보고서’에 의하여 요청시 보고하여야 함
○ 하도급 업체 투입 인력에 대한 관리방안을 제시하여야 함
|
산출 정보
|
하도급계약 준수실태 보고서
|
관련 요구사항
|
|
요구사항 출처
|
국가계약법, 행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-02
|
요구사항 명칭
|
표준 지침 준수
|
요구사항
상세설명
|
정의
|
사업 추진 시 준수해야 할 규정에 관한 사항
|
세부내용
|
○ 행정기관 및 공공기관 정보시스템 구축․운영 지침(행정안전부)
○ 전자정부 웹사이트 품질관리 지침(행정안전부)
○ 행정안전부 정보화업무 처리규정(행정안전부
○ 한국형 웹 콘텐츠 접근성 지침(국립전파연구원)
○ 모바일 애플리케이션 콘텐츠 접근성 지침(국립전파연구원)
○ 전자정부 성과관리 지침(행정안전부)
○ 모바일 전자정부 서비스 관리지침(행정안전부)
○ 행정기관의 코드표준화 추진지침(행정안전부)
○ 행정정보데이터베이스 표준화 지침(행정안전부)
○ 행정기관 도메인이름 및 IP주소체계 표준(행정안전부)
○ 행정․공공기관 웹사이트 구축․운영 가이드(행정안전부)
○ 공공 웹사이트 플러그인 제거 가이드라인(행정안전부)
○ 전자정부 웹사이트 UI․UX 가이드라인(행정안전부)
○ 정보시스템 성능관리 지침(한국정보통신기술협회)
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
상기 지침 고시 부서
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-03
|
요구사항 명칭
|
접근성 준수
|
요구사항
상세설명
|
정의
|
홈페이지 웹 및 모바일 애플리케이션 접근성 준수
|
세부내용
|
○ 홈페이지 웹 접근성을 준수하여 사업을 추진해야 함
- 한국형 웹 콘텐츠 접근성 지침에 맞게 구축하여야 함
※ 한국지능정보사회진흥원 웹접근성 연구소의 웹 콘텐츠 (신기술) 제작 기법 참고
○ 웹(앱) 접근성 점검 및 점검 결과보고서 제출
|
산출 정보
|
○ 웹 접근성 점검결과보고서
※ 웹접근성 인증마크 또는 전문기관 점검결과 제출로 대체 가능
|
관련 요구사항
|
|
요구사항 출처
|
지능정보화 기본법 제46조, 장애인 차별 금지법 제21조
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-04
|
요구사항 명칭
|
웹 표준 등 준수
|
요구사항
상세설명
|
정의
|
웹사이트 호환성‧개방성 확보 등 웹 표준 준수
|
세부내용
|
○ 웹 표준 문법을 준수하여 웹사이트를 구축해야 함
- 표준 (X)HTML 문법과 표준 CSS 문법을 준수
․ W3C Markup Validation(http://validator.w3.org) 문법검사 통과
․ W3C CSS Validation(http://jigsaw.w3.org/css-validator) 문법 검사 통과
○ 웹사이트 호환성‧개방성이 확보되도록 구축해야 함
- 3종 이상의 웹브라우저에서 Javascript가 정상 동작
- 3종 이상의 웹브라우저에서 레이아웃, 콘텐츠 등 화면이 동등하게 구현
- 검색 로봇 차단으로 외부사이트에 정보검색 통제 여부 확인
○ 비표준 기술 없이 웹사이트를 구축해야 함
- 비표준기술(액티브X 등) 없이 웹사이트의 모든 기능이 동작
- 최신 웹 표준기술(HTML5)를 사용하여 구축
○ 사용자의 편의성을 고려하여 웹사이트를 구축해야 함
- 이용자들이 쉽고 편리하게 이용할 수 있는 UI‧UX를 설계‧구현
- 웹에 공개된 정보에 접근이 용이하도록 개방성 확보
○ 웹사이트 품질진단 기준에 따른 진단을 실시하고 결과를 제출하여야 함
|
산출 정보
|
웹사이트 품질진단 결과
|
관련 요구사항
|
|
요구사항 출처
|
전자정부 웹사이트 품질관리 지침, 행정‧공공기관 웹사이트 구축‧운영 가이드
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-05
|
요구사항 명칭
|
정보자원의 효율적 관리
|
요구사항
상세설명
|
정의
|
정보자원의 체계적인 관리 및 정보시스템의 운영성과 관리
|
세부내용
|
○ 본 사업의 추진으로 인해 변동된 정보자원에 관한 정보를 범정부EA포털(www.geap.go.kr)에 갱신해야 함
○ 운영, 관리 중인 기능에 변경이 있는 경우 기능명세서를 갱신하여 제출해야 함
○ 운영, 관리 중인 기능의 활용도(접속자수, 페이지뷰, 데이터 수 등)를 측정할 수 있는 방안을 마련해야 함
○ 정보시스템에 관한 사용자 만족도조사 등을 통해 ‘사용편의성’을 측정하고 결과서를 제출해야 함
○ 정보시스템 ‘업무성과 달성도’ 측정을 위해 성과지표, 목표치, 실적 등을 관리하고 성과측정결과서를 제출해야 함
|
산출 정보
|
기능명세서, 운영성과 측정결과서
|
관련 요구사항
|
프로젝트 관리
|
요구사항 출처
|
전자정부법 제54조, 제68조 등
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-06
|
요구사항 명칭
|
작업장소 상호협의 결정 및 원격지 개발 활성화
|
요구사항
상세설명
|
정의
|
작업장소 상호협의 결정 및 원격지 개발 활성화
|
세부내용
|
<작업장소 상호협의>
○ 계약당사자는 SW사업 수행을 위해 필요한 작업장소 등(장소, 설비, 기타 작업환경)을 상호 협의하여 결정하며, 핵심 개발인력이 아닌 지원인력의 근무장소는 보안 등 특별한 사유가 있는 경우를 제외하고는 제안사가 달리 정할 수 있음
○ SW사업 수행을 위해 필요한 작업장소 등은 사업예산 내 계상되어 있으므로 관련 비용을 포함하여 제안가격을 산출하되, 작업장소 등은 상호 협의하여 결정함
○ SW사업 수행을 위하여 필요한 작업장소는 발주기관에서 제공하며, 설비 및 기타 작업환경은 계약상대자가 구비하여야 함(단, 이 경우에도 공급사는 개발 장소에 관하여 제시할 수 있음)
<원격지 개발 장소 제시·검토 절차>
○ 제안사는 작업장소 상호협의 시 제안요청서 내 명시된 보안요구사항을 준수한 작업장소를 제시할 수 있으며, 발주기관에서는 제시된 작업장소에 관하여 우선 검토한다. 다만, 발주기관에서는 공급자가 제시한 작업장소가 보안요구사항을 준수하지 못한 경우 거부할 수 있으며, 공급자가 유효한 정보보호체계 인증 또는 소프트웨어프로세스 품질인증을 보유하고 있는 경우 공급자 제시안을 검토시 우대 할 수 있다
<원격지 개발 장소 보안요구사항>
○ 공급자는 원격개발에 따른 보안사고 등 위험요인을 식별하여 이에 대한 대응방안을 제안하여야 함
○ 공급자는 제안요청서에 명시한 보안요구사항 등을 준수하여 원격개발에 따른 구체적인 원격보안 관리대책을 관리적 보안(보안정책, 보안자료등급관리, 보안자료 접근관리, 백업대책 등), 물리적 보안(출입보안, 원격개발 장소 및 장비운용, 침해시 보안자료 백업 장소운용 등), 기술적보안(침입방지, 탐색, 자료보안기술, 노트북·USB 등 휴대용 저장매체, 네트워크 등)을 제시하여야 함
|
산출 정보
|
|
관련 요구사항
|
프로젝트관리 요구사항
|
요구사항 출처
|
행정기관 및 공공기관 정보시스템 구축·운영 지침(행안부 고시), SW진흥법, SW사업 관리감독에 관한 지침(과기부 고시), 용역계약일반조건(기재부 예규)
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-07
|
요구사항 명칭
|
SW 산출물 활용촉진
|
요구사항
상세설명
|
정의
|
SW 산출물 활용촉진
|
세부내용
|
<지적재산권 공동귀속>
○ 본 사업과 관련하여 구현된 산출물에 대한 지적재산권은 발주기관과 제안사가 공동 소유함
○ 계약목적물의 지식재산권은 발주기관과 제안사가 공동으로 소유하지만, 개발의 기여도 및 계약 목적물의 특수성(국가안전보장, 외교관계, 보안 및 정보보호 등)을 고려하여 발주기관, 제안사 및 전문기관 간의 협의를 통해 저작권의 귀속주체 등에 대해 공동소유와 달리 정할 수 있음
<SW산출물 반출절차>
○ 제안사는 지식재산권의 활용을 위하여 SW산출물의 반출을 요청할 수 있으며, 발주기관은 「보안업무규정」 제4조 및 제안요청서에 명시된 누출금지정보에 해당하지 않을 경우 SW산출물을 제공함. 단 공급자는 아래 내용을 준수하여야 함
- 공급자(제안사)는 공급받은 SW산출물에 대하여 제안요청서, 계약서 등에 누출금지정보로 명시한 정보를 삭제하고 활용하여야 하며, 이를 확인하는 공급자 대표명의의 확약서를 발주기관에 제출하여야 함
- 공급자(제안사)가 반출된 SW산출물을 제3자에게 제공하려는 경우 반드시 발주기관으로부터 사전승인을 받아야 함
- 발주기관은 공급자(제안사)가 제공받은 SW산출물을 무단으로 유출하거나 누출되는 경우 및 누출금지정보를 삭제하지 않고 활용하는 경우에는 「국가계약법 시행령」제76조제2항제3호 등에 따라 입찰참가자격을 제한함
<SW산출물 임치>
○ 제안사는 사업수행에 따른 산출물 중 기술자료를 제3의 기관에 임치할 수 있으며, 기술자료란 아래의 것을 의미한다.
1. 소스코드 및 오브젝트 코드의 복제물
2. 기술정보(매뉴얼, 설계서, 사양서, 플로우차트, 유지보수 자료 등)
○ 기술자료 임치에 관한 세부사항은 기획재정부 계약예규 "용역계약 일반조건" 제57조에서 정한 바에 따른다
<개발SW 공동활용>
○ 본 사업을 통해 개발되는 소프트웨어는 「(계약예규) 용역계약일반조건」 제56조(계약목적물의 지식재산권 귀속 등)에 따라 타 기관과 공동활용 할 계획이 없음
|
산출 정보
|
|
관련 요구사항
|
프로젝트관리 요구사항
|
요구사항 출처
|
소프트웨어 진흥법 및 동법 시행령
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-08
|
요구사항 명칭
|
기술적용 계획 준수
|
요구사항
상세설명
|
정의
|
기술적용 계획 준수
|
세부내용
|
○ 제안사는 본 사업에 적용될 기술들을 사전에 파악하여「별첨6 기술적용계획표」를 작성 제출하여야 하며, 제출한 기술적용계획표를 준수하여 사업을 추진해야 한다
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-09
|
요구사항 명칭
|
표준산출물 생성 및 관리
|
요구사항
상세설명
|
정의
|
표준산출물 생성 및 관리
|
세부내용
|
○ 제안사는 체계적인 정보시스템 운영·유지관리를 위하여 한국지능정보사회진흥원「CBD SW 표준산출물 관리가이드(`11.12월)」를 반영하여 산출물을 제출하여야 한다.
※ 발주기관과 협의하여 산출물 목록 및 내용은 수정 가능
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-10
|
요구사항 명칭
|
운영 및 유지보수 매뉴얼 작성
|
요구사항
상세설명
|
정의
|
운영 및 유지보수 매뉴얼 작성
|
세부내용
|
○ 제안사는 운영 및 유지보수를 수행하면서 반복적으로 수행하는 사항을 매뉴얼로 작성 관리하여야 하며, 발주기관이 요구하는 경우 이를 제공하여야 한다.
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-11
|
요구사항 명칭
|
정보시스템 등급제
|
요구사항
상세설명
|
정의
|
정보시스템 등급제
|
세부내용
|
○ 제안사는 행정안전부가「정보시스템 등급제」추진을 위하여 정보시스템의 등급 분류 및 관리에 관한 자료를 요구할 경우 이에 응하여야 한다
○ 제안사는 행정안전부가 지정한 정보시스템 등급에 따라 장애관리, 행정정보관리, 보안관리 등을 수행하여야 한다
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
행정기관 및 공공기관 정보시스템 구축·운영 지침
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-12
|
요구사항 명칭
|
동해, 독도 표기 오류 재발 방지
|
요구사항
상세설명
|
정의
|
동해, 독도 표기 오류 재발 방지
|
세부내용
|
○ 제안사는 홈페이지 등 정보시스템에 위치·지도 등을 표시할 경우, 동해·독도표기(한글․영문) 오류 발생유무를 점검하여야 하며, 발견시 감독관에게 보고하고 즉시 조치해야 한다.
※ ’독도’를 ‘다케시마’, ‘리앙쿠르트 암초’ 등으로 표시 금지 / ‘동해’를 ‘일본해’로 표시 금지
○ 동해, 독도 표기 오류로 사회적인 문제를 야기한 경우(언론발표 및 국회 등 지적) 1회 위반시 300만원 이하 위약금을 부과하고, 재발방지를 위한 조치계획 및 관련자 특별교육을 실시하여야 한다.
- 위약금 규모는 사업규모에 따라 조정 가능하나, 2회 이상 연속 위반시에는 계약을 해지할 수 있다.
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-13
|
요구사항 명칭
|
과업심의위원회 운영
|
요구사항
상세설명
|
정의
|
과업심의위원회 운영
|
세부내용
|
ㅇ본 사업은 「소프트웨어 진흥법」 제50조에 따른 과업내용 확정을 위하여 과업심의위원회를 ( )개최 또는 (✔)미개최 한 사업임
※ SW개발 유형 이외의 사업(운영·유지관리, 시스템 운영 환경 구축 등)은 개최 제외
ㅇ제안사는 「소프트웨어 진흥법」 제50조, 같은 법 시행령 제47조 제1항 제2호, 제3호에 따른 과업내용 변경 및 그에 따른 계약금액·계약기간 조정이 필요한 경우, 소프트웨어사업 과업변경요청서*를 제출하여야 하며, 과업심의위원회 개최 요청에 대해서 특별한사정이 없으면 수용해야 함
* 「소프트웨어사업 계약 및 관리감독에 관한 지침」 별지 13호서식 참조
ㅇ“소프트웨어사업 과업심의위원회”의 구성 및 개최 요청 절차 등에 관한 사항은 관련 법령을 따름
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
소프트웨어 진흥법 및 동법 시행령
|
요구사항 분류
|
제약사항
|
요구사항 고유번호
|
COR-14
|
요구사항 명칭
|
안전보건관리
|
요구사항
상세설명
|
정의
|
안전보건관리 계획서 수립 및 관리방안 확보
|
세부내용
|
ㅇ 안전‧보건관리 계획 수립
- 안전한 작업환경 조성을 위해 본 용역에 대해 다음 사항에 포함된 안전‧보건관리 계획을 수립하여야 한다.
|
〈 안전보건수준 계획서 주요 제시사항 〉
|
|
|
|
○ 안전보건관리 인력의 구성‧운영방안
○ 안전보건관리책임자, 관리감독자 등의 안전보건관리 활동계획
○ 종사자에 대한 안전보건교육계획
○ 작업 관련 실적, 작업자 이력ㆍ자격ㆍ경력현황
○ 최근 산업재해 발생현황
|
ㅇ 사업장 및 수행인력에 대한 안전‧보건관리
- 계약상대자는 안전보건에 관한 교육, 유해‧위험요인 조사 및 관리 등 안전‧보건관리 계획 및 안전‧보건 관계 법령에 따른 의무이행 사항을 점검‧조치 등 관리하여야 한다.
|
산출 정보
|
|
관련 요구사항
|
|
요구사항 출처
|
산업안전보건법, 중대재해처벌법
|
제안서의 효력
○ 제안서에 제시된 내용과 발주자 요구에 의하여 수정, 보완, 변경된 제안내용은 계약서에 명시하지 아니하더라도 계약서와 동일한 효력을 가짐. 다만, 계약서에 명시된 경우는 계약서가 우선함
○ 발주기관은 필요시 제안사에 대하여 자료를 요구할 수 있으며, 이에 따라 제출된 자료는 제안서와 동일한 효력을 가짐
제안서 작성 권고사항(유의사항)
○ 제안서는 제안요청서에서 요구하는 모든 사항이 기술되어야 하며, 향상된 내용으로 제안할 수 있음
○ 제안서는 제시된 제안서 목차 및 제안서 세부작성지침을 준용하여 각각 세분하여 누락없이 작성하고, 제안요청서의 요구항목들이 제안서의 어느 부분에 기술되었는지 참조표를 제시하여야 함
○ A4지 규격의 전자문서(pdf)로 작성을 권고
- 제안서 본문 내용은 양면인쇄기준 100장 이내로 작성 권고
- 전자문서형태(pdf)로 제출하며 300MB 이내로 용량 준수
○ 제안서는 A4 종 방향 작성을 원칙으로 하되, 부득이한 경우 A4 횡 또는 기타 용지를 일부 사용할 수 있음
○ 제안서의 각 페이지는 쉽게 참조할 수 있도록 페이지 하단 중앙에 일련 번호를 붙이되, 각 장별로 번호를 부여
○ 제안서는 한글작성이 원칙이며, 사용된 영문약어에 대해서는 약어표를 제공해야 함
○ 제안서의 내용을 객관적으로 입증할 수 있는 관련 자료는 제안서의 별첨으로 제출하여야 함
○ 제안서의 내용은 명확한 용어를 사용하여 표현하여야 합니다. 예를 들어, “사용가능하다”, “할 수 있다”, “고려하고 있다” 등과 같이 모호한 표현은 평가 시 불가능한 것으로 간주하며, 계량화가 가능한 것은 계량화하여야 함
○ 계약 후, 제안서의 내용이 허위로 작성한 사실이 발견되거나 제안된 내용을 충족시키지 못할 경우 관련 규정에 따라 처리함
○ 기타 공고서 및 조달청 제안평가 관련 규정에 따름
제안서 목차
제안서 서식
Ⅰ. 일반현황
1. 제안사 일반현황
2. 제안사의 조직 및 업무분장
3. 참여인력
Ⅱ. 수행계획
1. 기능개선 및 운영
2. 예방 및 점검
3. 장애대응 및 복구
Ⅲ. 수행기반
1. 시스템 운영 요구사항
2. 제약사항
Ⅳ. 프로젝트 관리
1. 관리방법론
2. 일정계획
3. 안전 및 보건관리
Ⅴ. 프로젝트지원
1. 품질보증
2. 교육훈련
3. 유지관리
4. 기밀보안
5. 비상대책
|
|
제안서 세부 작성지침(안)
항 목
|
작 성 방 법
|
Ⅰ. 일반현황
|
1. 제안사
일반현황
|
제안사의 일반현황 및 주요 연력, 최근 3년간의 자본금 및 부문별(컨설팅, 개발 등) 매출액, 유사사업실적 등을 명료하게 제시하여야 한다. [붙임 1, 2호 서식]
- 본 사업과 관련이 있는 3년 이내의 유사사업실적(BPR/ISP, 개발) 제시
|
2. 제안사의 조직 및 업무분장
|
본 사업을 수행할 조직 및 업무분장 내용을 상세히 제시하여야 한다.
- 사업관리자(PM) 공고일 이전부터 제안서평가일 까지 계속 재직자
- 제안사가 하도급 의사가 있는 경우, 해당 업무 및 (예상)하도급 업체를 제시함
- 컨소시엄 업체가 있는 경우 업무분장 내역에 공동수급업체별 참여비율을 명시
|
3. 투입인력
|
본 사업을 수행할 핵심인력(PM, PL, 주요 기술자 등)에 대한 이력사항을 제시하여야 한다.
- 제안사 소속 이외의 인력은 하도급으로 간주합니다.
- 「조달청 협상에 의한 계약 제안서평가 세부기준」제10조의4 제3항 제5호에 명시된 증빙서류 제출
※ 단, 상용S/W, 패키지 등의 서비스 지원인력, 외부 자문인력 등 통상적인 개발인력이 아닌 경우는 제시하지 말 것
※ 제안요청 내용과 연관 없는 불필요한 학력사항이나, 자격사항은 배재
|
Ⅱ. 수행계획
|
1. 기능개선 및 운영
|
제안사는 해당사업의 제안요청 내용을 명확하게 이해하고 기능개선 요구 범위에 비추어 운영 및 유지관리 총괄, 서비스데스크 운영 및 관리, 서비스수준관리 방안 등을 구체적으로 기술
|
2. 예방 및 점검
|
시스템의 안정적 운영을 위한 예방 및 상시점검 대상, 기간, 지원 및 체계 등을 구체적으로 제시
|
3. 장애대응 및 복구
|
장애 발생 시 원인 분석 및 긴급 복구 계획, 장애대응체계 구성 및 운영 계획, 장애관리 매뉴얼 마련 및 교육훈련 방안 등 장애대응 및 복구를 위한 추진방안을 구체적으로 제시
|
Ⅲ. 수행기반
|
1.시스템운영 요구사항
|
계약목적물의 운영 절차 및 방법을 운영 중 비상사태 발생 시 대응방안 등 구체적으로 제시
|
2. 제약사항
|
기능 및 품질 등 요구사항 구현 시 관련 제약사항과 대응방안을 구체적으로 기술하여야 한다.
|
Ⅳ. 프로젝트 관리
|
1.관리방법론
|
사업위험, 사업진도, 사업수행시 보안을 관리하는 방법, 사업수행 성과물이나 산출물의 형상 및 문서를 관리하는 방법 등을 구체적으로 제시하여야 한다.
※ 분리발주 사업이 있는 경우, 분리발주사업자와의 구체적인 협력방안 제시
|
2. 일정계획
|
사업수행에 필요한 활동을 도출하여 정확한 활동 기간, 자원, 인력, 조직 등을 제시하여야 한다.
|
3.안전ㆍ보건관리
|
안전한 작업환경 조성을 위해 인력구성방안, 안전보건 교육 계획, 안전보건 관리 활동계획 등 안전․보건 관리방안을 제시하여야 한다.
|
Ⅴ. 프로젝트 지원
|
1. 품질보증
|
조직, 방법, 절차 등 해당 사업의 수행을 위한 품질보증 방안을 제시하여야 한다.
※ 「소프트웨어 진흥법」제21조의 소프트웨어프로세스 품질인증(SP인증) 등 대외적으로 인정받을 만한 품질보증 관련 인증
|
2. 교육훈련
|
사용자, 관리자 등 시스템의 이용대상자별로 구분하여 교육훈련 방법, 내용, 교육일정, 교육훈련 조직 등을 상세히 제시하여야 한다.
|
3. 유지관리
|
유지관리 계획, 조직, 절차, 범위 및 기간과 이와 관련된 기타의 활동 등을 종합적으로 제시하여야 한다.
|
4. 기밀보안
|
기밀보안 체계 및 대책, 저작권 존중여부 명시, 시스템 보안성 확보방안과 개인정보보호 대책을 제시하여야 함
|
5. 비상대책
|
안정적인 시스템 운영을 위하여 백업/복구 및 장애대응 대책을 제시하여야 한다.
|
입찰방식
○ 사업자 선정 방식
- 「소프트웨어 진흥법」제49조제1항, 동법 시행령 제44조제1항 및 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제43조 및 제43조의2에 의거 “협상에 의한 계약체결” 방법을 적용함
- 계약체결에 필요한 세부적인 사항은 기획재정부 계약예규 “협상에 의한 계약체결기준”을 적용함
○ 계약방법: 제한경쟁입찰(협상에 의한 계약체결)
○ 입찰 참가자격
- 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제12조 및 동법 시행규칙 제14조 규정에 의한 경쟁입찰 참가자격을 갖추고, 조달청 입찰참가자격 등록증을 소지한 사업자
- 「국가를 당사자로하는 계약에 관한 법률」제27조 및 동법 시행령 제 76조(부정당업자의 입찰참가자격 제한)에 해당되지 않은 업체
- 「소프트웨어 진흥법 시행규칙」 제17조에 의한 소프트웨어사업자(컴퓨터관련서비스업[업종코드 1468])
·최근년도 결산신고된 SW사업자 일반 현황 관리확인서 제출
- 소프트웨어 진흥법 제48조 제4항에 따라 상호출자제한기업집단에 속하는 회사는 입찰에 참여할 수 없음
- 본 사업은 20억 미만의 사업으로써,「소프트웨어 진흥법」제48조 제2항 및「중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부)」에 의거 대기업 및 중견기업인 소프트웨어 사업자의 입찰 참여를 제한함 (중소기업자만 입찰참가 가능)
(소프트웨어 사업자 일반 현황 관리확인서 상의 ‘공공 소프트웨어사업 입찰참여 제한금액 : 없음’으로 확인)
- 「중소기업제품 구매촉진 및 판로지원에 관한 법률」에 따른 "중소기업자" 및 관련 직접생산확인증명서(정보시스템개발서비스[품명코드 8111159901])를 제출한 업체에 한하여 입찰 참여 가능
- 본 사업은 하도급 및 공동수급(공동이행방식)을 불허함
- 입찰공고 전일부터 개찰일(낙찰자는 계약체결일)까지 주된 영업소재지「울산광역시」에 둔 업체
제안서 평가방법
○ 기술평가와 가격평가를 실시하여 종합평가점수로 평가
① 평가비율 : 기술평가(90%), 가격평가(10%)
② 종합평가점수 = 기술평가점수 + 입찰가격 평가점수
○ 기술평가 방법
- 제안서의 공정한 평가를 위해 전문가로 구성된 기술평가위원회 구성
- 각 항목별 평가배점과 방법은 “ 제안서 평가기준”에 따라 평가
- 각 평가위원의 평가점수 중 최고점수와 최저점수를 제외한 나머지 점수를 산술평균한 점수를 90점 만점으로 환산하며 기술능력평가 분야 배점한도의 85% 이상인 자를 협상적격자로 선정
- 평가점수 결과는 소수점 다섯째자리에서 반올림
※ 정성적 부문의 평가항목은 기술평가위원회(외부전문가 6인 이상으로 구성)에서 수행하며, 정량적 부문의 평가항목 중 경영실적은 발주기관(국립재난안전연구원)에서 수행함
○ 본 사업은 「소프트웨어 기술성 평가기준 지침」 제4조제5항에 따른 차등점수제를 미적용한 사업임
○ 협상적격자 선정
- 기술평가 시, 각 평가위원의 평가점수 중 최고점수와 최저점수를 제외한 나머지 점수를 산술평균한 점수를 90점 만점으로 환산하며, 기술능력평가 분야 배점한도의 85% 이상인 자를 협상적격자로 선정
※ 합산점수가 동일한 경우 : 기술능력평가점수가 높은 자를 우선순위 부여
※ 기술능력평가점수도 동일한 경우 : 세부평가항목 중 배점이 큰 항목에서 높은 점수를 얻은 자에게 우선순위 부여
○ 우선협상대상자 선정 및 계약체결
- 협상대상자 중 기술평가점수와 가격평가점수를 합한 점수가 1위인 제안사를 우선협상대상자로 선정하여 기타 지원조건 등을 협상
- 협상대상자와 협상이 모두 결렬되면 재공고하여 재입찰 추진
- 기타 규정되지 않은 사항은 조달청 규정에 따름
제안서 평가기준
○ 평가기준(평가표)
평가항목
|
세부평가항목
|
평가기준
|
배점
한도
|
<정성평가>
|
전략 및
방법론
|
사업 이해도
|
사업수행계획이 사업의 목표 및 특성에 부합하게 구체적이고 적절한지 평가한다.
|
6
|
추진전략
|
사업수행 일정과 위험요소를 고려한 추진전략 수립의 타당성을 평가한다.
|
5
|
추진체계
|
사업 특성과 제시한 추진전략에 따른 수행조직(전문업체, 기술지원업체, 공동수급체 및 하도급 등) 구성과 참여 조직간 역할, 책임, 품질 확보 및 협력 방안이 구체적이고 적절한지 평가한다.
|
5
|
사업추진 방법론
|
사업추진방법이 구체적이고 적절한지와 그 실제 적용 사례 및 경험에 따른 단계별 산출물을 제시하였는지 평가한다.
|
5
|
수행계획
|
기능개선
|
수행방안이 기능개선 요구 범위 및 제약사항에 비추어 구체적이고 적절한지와 그 실현가능성을 평가한다.
|
5
|
운영
|
하드웨어, 소프트웨어, 네트워크 등 시스템 운용환경의 안정적ㆍ정상적 운영을 위해 운영 및 유지관리 총괄, 서비스데스크 운영 및 관리, 서비스수준관리 방안 등이 구체적이고 적절한지를 평가한다.
|
5
|
예방 및 점검
|
시스템의 안정적ㆍ정상적 운영을 위한 예방 및 상시점검의 대상, 기간, 지원 및 체계 등이 구체적이고 적절한지를 평가한다.
|
5
|
장애대응
및 복구
|
장애 발생 시 원인 분석 및 긴급 복구 계획, 장애대응체계 구성 및 운영 계획, 장애관리 매뉴얼 마련 및 교육훈련 방안 등 장애대응 및 복구를 위한 추진방안이 구체적이고 적절한지를 평가한다.
|
5
|
수행기반
|
수행환경
|
운영 및 유지관리 과업 수행에 필요한 장비 및 작업장소 등 인프라의 준비 및 대응방안이 제안요청서의 요구사항을 충족할 만큼 구체적이고 적절한지 평가한다.
|
4
|
보안 요구사항
|
기술적 보안 구현방안이 제안요청서의 보안요구사항을 충족할 만큼 구체적이고 적절한지 평가한다.
|
5
|
제약사항
|
제안요청서의 기술, 표준, 업무, 법제도 및 안전관리 등의 제약조건 내에서 목표사업을 수행하기 위해 제시한 수행 및 검증방안이 구체적이고 적절한지 평가한다.
|
4
|
프로젝트
관리
|
일정관리
|
사업수행에 필요한 수행기간과 세부 일정이 구체적이고 적절한지와 각 활동에 필요한 일정계획이 사업추진방법론에 제시된 단계별 산출물과 연계하여 적절히 수립되었는지를 평가한다.
|
4
|
품질관리
|
품질관리방안(품질관리의 범위, 절차, 점검방법 등)이 해당 사업의 수행에 적합한지 평가한다. 또한, 대외적으로 인정받을 만한 품질보증 관련 인증을 받은 경우 이를 입증할 수 있는 근거 서류가 있는지 확인한다.
|
5
|
기밀보안 관리
|
사업을 추진하는 동안 발생할 수 있는 악영향으로부터 기밀을 보호하고 원활한 사업수행의 보장을 위한 물리적, 관리적 보안 체계 및 대책이 구체적이고 적절한지 평가한다.
|
5
|
위험 및
이슈 관리
|
사업과 관련한 위험 및 이슈에 대한 식별 및 분석, 위험ㆍ이슈 관리 절차 및 대응방안 등 위험 및 이슈관리계획이 구체적이고 적절한지 평가한다.
|
5
|
안전ㆍ보건관리
|
사업 투입인력의 산업재해 예방을 위해 안전 및 보건에 관한 필요한 조치를 이행할 수 있는가의 적정성 여부를 평가한다.
※ 안전보건관리 계획서 주요 제시 사항(안전보건관리 인력의 구성 및 운영, 활동계획, 교육계획, 산업재해발생현황 등) 평가
|
5
|
프로젝트
지원
|
인수인계
|
검사 및 인계 등을 위한 인계 전략과 검사 대상ㆍ방법, 충족조건 및 인계계획이 구체적이고 적절한지 평가한다.
|
4
|
교육훈련
|
시스템 운영 및 관리자, 사용자를 위해 필요한 교육훈련 내용, 방법, 기간, 인원 및 횟수 등을 구체적으로 제시하였는지 평가한다.
|
4
|
기술지원
|
기술지원 대상 범위, 내용 및 수준, 기술 매뉴얼 등 기술지원이 필요한 사항에 대한 계획 및 방안이 구체적이고 적절한지 평가한다.
|
4
|
<정량평가>
|
경영상태
|
경영상태
|
제안사의 경영상태에 대하여 평가한다.
<평가점수표>
회사채
|
기업어음
|
기업신용 평가등급
|
평점
|
AAA, AA+, AA0, AA-
A+, A0, A-, BBB+, BBB0
|
A1, A2+, A20, A2-, A3+, A30
|
AAA, AA+, AA0, AA-,
A+, A0, A-, BBB+, BBB0
|
배점의
100%
|
BBB-, BB+, BB0, BB-
|
A3-, B+, B0
|
BBB-, BB+, BB0, BB-
|
“ 95%
|
B+, B0, B-
|
B-
|
B+, B0, B-
|
“ 90%
|
CCC+ 이하
|
C 이하
|
CCC+ 이하
|
“ 70%
|
|
10
|
○ 정성적 평가항목 세부기준
- 입찰자의 수가 3개사 이하인 경우
· 평가항목별 등급을 최대 5단계 등급(A, B, C, D, E)으로 구분하여 평가하고 아래의 항목별 등급에 따라 평점을 부여한다.
· 기술제안서별로 상대평가하며, 상대평가 시 우열을 가리기 어려운 경우 동일한 등급을 부여할 수 있다.
등급
|
A
(매우우수)
|
B
(우수)
|
C
(보통)
|
D
(미흡)
|
E
(매우 미흡)
|
평점
|
배점한도의 100%
|
배점한도의 90%
|
배점한도의 80%
|
배점한도의 70%
|
배점한도의 60%
|
- 입찰자의 수가 4개사 이상인 경우
· 입찰자 수가 4개사 이상인 경우에는 1, 2단계로 평가한다.
· 1단계는 [별첨10]에 따라 입찰자별로 등급을 결정한다.
· 2단계는 1단계 평가에 결정된 등급에 따라 아래 등급별 배점범위 내에서 평가항목별로 평가를 실시하여 최종 평가점수를 부여한다.
등급
|
상
|
중
|
하
|
평점
|
배점한도의 94% 이상
|
배점한도의 94% 미만 ~ 88% 이상
|
배점한도의 88% 미만
|
※ 평가방식은 조달청 협상에 의한 계약 제안서평가 세부기준(조달청 지침)을 준용함
○ 정량적 평가항목 세부기준
- 경영상태(업체신용평가등급) : 10점
신용평가등급
|
평점
|
회사채
|
기업어음
|
기업신용평가등급
|
AAA, AA+, AA0, AA-
A+, A0, A-, BBB+, BBB0
|
A1, A2+, A20,
A2-, A3+, A30
|
AAA, AA+, AA0, AA-,
A+, A0, A-, BBB+, BBB0
|
배점의 100%
|
BBB-, BB+, BB0, BB-
|
A3-, B+, B0
|
BBB-, BB+, BB0, BB-
|
배점의 95%
|
B+, B0, B-
|
B-
|
B+, B0, B-
|
배점의 90%
|
CCC+ 이하
|
C 이하
|
CCC+ 이하
|
배점의 70%
|
* 등급별 평점이 소수점 이하의 숫자가 있는 경우 소수점 다섯째자리에서 반올림 함
[주]
1.「신용정보의 이용 및 보호에 관한 법률」제2조 제8의3에 해당하는 신용조회사 또는「자본시장과 금융투자업에 관한 법률」제335조의3에 따라 업무를 영위하는신용평가사가 입찰공고일 이전에 평가하고 유효기간 내에 있는 회사채, 기업어음 및 기업신용평가등급을 국가종합전자조달시스템에 조회된 신용평가등급으로 평가하되, 가장 최근의 신용평가등급으로 평가한다. 다만, 가장 최근의 신용평가등급이 다수가 있으며 그 결과가 서로 다른 경우에는 가장 낮은 등급으로 평가한다.
2. 국가종합전자조달시스템에서 신용평가등급 확인서가 확인되지 않은 경우에는 최저등급으로 평가하며, 유효기간 시작일 또는 만료일이 입찰공고일인 경우에도 유효한 것으로 평가한다. 다만, 입찰공고일 다음날 이후에 발생 또는 수정된 자료는 평가에서 제외한다.
3. 주 1에도 불구하고, 합병 또는 분할한 자가 입찰공고일 이전에 평가한 신용평가등급이 없는 경우에는 입찰서 제출 마감일 전일까지 발급된 유효기간 내에 있는 가장 최근의 신용평가등급으로 평가한다. 다만, 합병 후 새로운 신용평가등급이 없는 경우에는 입찰공고일 이전에 평가하고 유효기간 내에 있는 신용평가등급으로서 합병 대상자 중 가장 낮은 신용평가등급을 받은 자의 신용평가등급으로 평가한다.
4. 추정가격이 고시금액 미만인 입찰에서 입찰공고일을 기준으로 최근 7년 이내에 사업을 개시한 창업기업에 대해서는 신용평가등급 점수상의 배점 한도를 부여한다. 이 경우 창업기업에 대한 확인은 「중소기업제품공공구매 종합정보망」에 등재된 자료로 확인하며, 창업기업확인서의 유효기간 내에 있어야 한다. 다만, 제안서 평가일 전일까지 발급된 자료도 심사에 포함하며, 이 경우 입찰공고일 이전 창업을 확인 할 수 있는 자료(법인인 경우 법인등기부상 법인설립등기일, 개인사업자인 경우에는 사업자등록증명서 상 사업자등록일)를 제출하여야 한다.(이하 창업기업에 대한 확인방법은 같다)
5. 공동수급체의 경우 구성원별 해당 점수에 지분율을 곱한 후 그 점수들을 합산하여 최종 평가하고, 평가 결과 소수점 이하의 숫자가 있는 경우 소수점 다섯째자리에서 반올림 한다.
(예) (A사 점수×A사 지분율)+(B사 점수×B사 지분율)…
6. 중소기업협동조합이 입찰에 참여하는 경우 중소기업협동조합의 신용평가등급으로 평가한다.
설명회 및 제안서 제출안내
○ 제출기한 및 장소 : 입찰공고서에 따름
○ 입찰시 제출서류
- 제안서 1식(증빙서류 및 수요기관 요구서류 포함)
- 제안요약서 1식(발표자료)
- 참고자료 1식(참고자료가 있는 경우)
- 소프트웨어사업자(컴퓨터관련서비스사업) 사본 1부
- 기타 입찰공고서 참조
○ 제안설명회(제안서평가)
가. 제안서 설명회는 국립재난안전연구원에서 주관하여 실시한다.
나. 제출된 제안서 내용의 검토를 위하여 필요한 경우 제안요청 기관의 요구에 따라 추가자료 제출 및 지정된 장소에서 제안서와 관련된 설명 또는 실사를 요청할 수 있다.
다. 제안서 설명회 일시·장소, 설명회 순서는 제안서 제출 마감 후 제안업체별로 별도 통보하며 발표와 질의응답을 포함하여 30분 이내로 한다.
1) 설명회 참석자는 발표자를 포함하여 제안사의 관계임원, 영업대표 등 5인 이내로 제한한다.
2) 제안서 발표는 프로젝트 총괄책임자가 직접 설명한다.
라. 설명회에 필요한 장비류(노트북 등)는 제안업체에서 직접 설치하여 사용한다.
마. 제안서 설명회는 경우에 따라서 조달청 e발주시스템을 이용한 온라인 평가 혹은 대면평가로 운영할 수 있다.
○ 문의처 및 자료열람 요청
- 국립재난안전연구원 연구기획과 윤상원(052-928-8072, swyoon89@korea.kr)
- 국립재난안전연구원 연구기획과 한소영(052-928-8074, hansy0724@korea.kr)
입찰시 유의사항
○ 제출된 제안서는 일체 반환하지 않으며, 본 제안과 관련된 일체의 소요비용은 입찰참가자의 부담으로 함
○ 계약 후, 제안서의 내용이 허위로 작성한 사실이 발견되거나 제안된 내용을 충족시키지 못할 경우 관련 규정에 따라 처리함
○ 낙찰자로 결정된 이후에 정상한 사유없이 공동수급 구성원을 변경할 수 없음(사전협의 필요)
○ 공동수급체 소속 외의 인력은 하도급으로 간주하며, 발주사의 승인을 얻지 못할 경우에는 공동수급체 구성원 자사인력으로 대체하여야 함
※ 단, 외부 자문인력 등 통상적인 개발인력이 아닌 경우는 참여인력에서 제외함
○ 입찰공고문, 제안안내서, 제안요청서 및 이에 근거한 별첨 등에 명시되지 않은 사항은 국가를 당사자로 하는 계약에 관한 법률, 소프트웨어 진흥법, 기획재정부 계약예규, 국제표준규격 등 관련 규정 및 발주사의 계약 요령에 따름
○ 입찰에 참가하고자 하는 자는 본 입찰 유의서 및 국가를 당사자로 하는 계약에 관한 법률 등을 입찰 전에 완전히 숙지하였다고 간주하며 이를 숙지하지 못함으로 발생되는 책임은 입찰 참가자에게 있음
○ 국가를 당사자로 하는 계약에 관한 법률 시행령 제12조 및 시행규칙 제14조 규정, 용역입찰유의서 제 12조에 저촉될 경우 입찰은 무효로 함
○ 입찰자는 발주사로부터 배부 받은 입찰에 관한 서류 또는 각종 자료 및 입찰과정에서 얻은 정보를 당해 입찰 외의 목적으로 사용하여서는 아니 됨
○ 본 사업 수행 중 취득한 행정안전부의 정보통신 보안사항 일체에 대하여 보안을 유지하여야 하며, 내부자료 유출 등 문제발생 시 수행업체가 모든 민․형사상 책임을 져야 함
제안서 보상안내
○ 본 사업은 「소프트웨어사업 계약 및 관리감독에 관한 지침」제제16조, 제17조에 따라, 제안서 보상대상 사업에 해당하지 않으므로 제안서 보상을 실시하지 않음
○ 본 사업은「소프트웨어 진흥법」제43조, 같은 법 시행령 제35조 내지 제37조,「소프트웨어사업 계약 및 관리감독에 관한 지침」 제5조, 제6조에 따라 “소프트웨어사업 영향평가”를 미리 실시한 사업임(별첨7 참고)
○ 본 사업은 사업대가를 투입공수 방식의 사업(컨설팅, DB구축, 디지털 콘텐츠 개발 서비스 등), 상용SW 구매유지관리, 응용SW유지관리, 시스템운영환경 구축 사업으로 투입인력 요구 및 관리 금지 대상 사업에서 제외됨
○ 본 사업은 하도급을 불허함
<붙임1> 외주 용역사업 보안특약사항
외주 용역사업 보안특약 사항
① 사업자는 국가 정보보안 기본지침 및 발주기관의 관련 보안규정을 위반하였을 경우 [별첨1]의 위규처리 기준에 따라 관련자를 행정조치하고 민․형사상의 손해배상을 포함한 모든 책임을 지며, [별첨2]의 보안 위약금을 행정안전부에 납부한다.
② 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 [별첨3]의 ‘누출금지 대상정보’와 [별첨4]의 ‘사업자 보안관리 준수사항’에 대한 보안관리계획을 사업제안서(이행계약 등)에 기재하여야 하며, 해당 정보 누출 시 행정안전부는 국가계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록한다.
③ 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안 되며, 사업종료 시 행정안전부 정보보호담당자의 입회하에 완전 폐기 또는 반납해야 한다.
④ 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중에 발주기관, 발주기관의 상급기관 등은 정기 또는 수시 보안점검(불시 점검 포함)을 수행할 수 있다
⑤ 사업자는 사업 최종 산출물에 대해 행정안전부의 승인을 받은 정보보호담당자 또는 보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다.
[별첨1] 사업자 보안위규 처리기준
[별첨2] 보안 위약금 부과기준
[별첨3] 누출금지 대상 정보
[별첨4] 사업자 보안관리 준수사항
|
<붙임2> 유지관리 계약 특수조건
제1조(적용범위) 본 계약특수조건은 2025년 연구정보관리시스템 유지보수 사업 계약에 있어 행정안전부(이하 “갑”이라 한다)와 계약상대자(이하 “을”이라 한다) 사이에 적용한다.
제2조(유지관리대상) 유지관리대상시스템(이하 “시스템”이라 한다)의 세부규격은 발주처가 작성한 제안요청서에 기재된 것과 같다.
제3조(유지관리 범위) 본 계약의 유지관리는 본래의 정상적인 기능 및 성능을 유지함을 원칙으로 하며 유지관리 범위는 다음과 같다.
① 제2조의 유지관리대상에 대한 유지관리
② 응용프로그램의 수정 및 보완개발
③ 응용프로그램에 대한 사용자 요구사항 처리
④ 장애발생 시 신속한 복구 및 문제 발생 시 대책강구
⑤ 법․제도 변경 등 업무변경에 따른 보완개발
⑥ 시스템운영상 발생하는 장애접수, 분석 및 조치
⑦ 시스템 개선․조정 및 운영에 필요한 기술지원
⑧ 응용프로그램 변경에 따른 교육 및 지원
⑨ 응용프로그램 변경에 따른 설계서 등 산출물 이력관리
⑩ 제안요청서 및 제안서에 명기된 사항
⑪ 기타 “갑”과 “을”이 상호 합의한 사항
제4조(계약기간) ① 계약기간은 별도의 해지통지가 없을 경우 2021년 1월1일부터 12월 31일까지로 한다. 단 계약체결이 지연될 경우 계약기간은 실제계약일로부터 2021년 12월 31일까지이며 이 경우 용역비용은 일할 계산하여 지급한다.
②본 계약 만료일 전 새로운 계약 체결 시까지 계약상대자와 협의하는 경우 본 계약이 연장된 것으로 본다. 이 경우 용역비용은 일할 계산하여 지급한다.
제5조(용역비용의 청구 및 지불)①'갑'이 '을'에게 지급하여야 할 유지관리료는 계약서에서 정한 금액에 의한다.
②'갑'이 '을'은 상호 협의 하에 유지관리료 지급시기(매월, 분기별, 일시지급 등)를 결정한다.
③ 1개월 미만의 기간에 대한 유지관리료는 해당 월의 일수에 따라 일할계산하여 지급한다.
제6조(지체상금) “을”이 계약서에 정한 용역 수행기한내에 용역을 완성하지 아니한 경우 지체상금 산출 및 공제, 지체일수 산정 등은 기획재정부 계약예규 "용역계약 일반조건" 등 관련 법령에서 정한 바에 따른다.
제7조(인수인계의 명확화) 업무의 연속성 및 긴급성을 고려하여 사업자 변경시 기존사업자는 새롭게 선정된 사업자에게 인수인계 계획에 의거한 명확한 업무인수인계를 수행한다.
제8조(회계년도 시작 전의 계약체결 등) 본 계약은 국가를 당사자로 하는 계약에 관한 법률 제20조에 따른 회계연도 시작 전의 계약체결로 예산 확정시 “갑”은 확정예산의 범위 내에서 용역인원 및 계약금액을 조정할 수 있으며 “을”은 이에 따라야 한다.
<붙임3> 제안서 관련 서식
1. [서식 1호] 일반현황 및 연혁
2. [서식 2호] 유사사업 수행실적
3. [서식 3호] 보안서약서(대표자용)
4. [서식 4호] 보안서약서(사업참여자용)
5. [서식 5호] 보안확약서(대표자용)
[서식1]
일반현황 및 연혁
회 사 명
|
|
대 표 자
|
|
사 업 분 야
|
|
주 소
|
|
전 화 번 호
|
|
회 사 설 립 년 도
|
년 월
|
해당부문 종사기간
|
년 월 ~ 년 월 ( 년 개월)
|
○ 주요연혁
|
[서식2] 유사사업 수행실적
☞ <참고> 조달청 협상에 의한 계약 제안서평가 세부기준(조달청 지침)에 따른 서식이므로, 임의 변경 금지
수행실적 총괄표
일련
번호
|
사 업 명
|
발주처
|
계약금액
(천원)
|
용역이행 또는 납품완료일자
|
비고
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
주)
① 수행실적증명서 또는 한국소프트웨어산업협회장이 발급하는 소프트웨어사업 수행실적 확인서를 첨부한 사업을 기준으로 용역수행 완료일자 순으로 기재(수행 중인 사업은 제외)
② 하도급계약은 발주자가 승인한 경우에 한하여 작성하고 비고란에 원도급자를 기재
<수요기관 평가 결과>
구 분
|
건 수
|
금액(천원)
|
비고(사유)
|
입찰자가 제출한 납품실적
|
|
|
|
수요기관
검토
|
인정 실적
|
|
|
|
불인정 실적
|
|
|
|
평가 기준 실적
|
|
|
|
|
|
|
|
수요기관 평가점수
|
(배점) (평가점수)
|
|
수행실적증명서
신 청 인
|
업체명
|
|
대 표 자
|
|
영업소재지
|
|
전화번호
|
|
사업자번호
|
|
법인등록번호
|
|
증명서 용도
|
입찰 및 제안서 심사 제출용
|
제 출 처
|
|
수행실적내용
|
사 업 명
|
|
구 분
|
소프트웨어개발 ( )
유지관리·운영위탁( )
컨설팅 ( )
기타 ( )
|
사업개요
|
|
계약번호
|
계약일자
|
계약기간
|
계약금액
(VAT 포함)
|
수행 또는 납품실적
|
완료일자
|
지분율(%)
|
실적(원)
|
|
|
|
|
|
|
|
증 명 서
발급기관
|
위 사실을 증명함.
년 월 일
|
기관명: (인) (전화번호: )
|
주 소:
|
발급부서:
|
담당자 : (전화번호: )
|
[주]
1. 본 수행실적증명서의 실적은 수행이 완료(기성 포함)된 실적이어야 하며, 수행중인 실적은 제외
2. 공동계약으로 이행한 경우 해당 지분율과 해당 이행완료실적을 기재 단, 분담이행에 의한 경우 특별한 사유가 없는 한 예산액을 기준으로 지분율 기재
3. 민간실적의 경우 수행실적증명서 외에도 계약서 및 세금계산서, 필요시 거래명세표 등을 첨부
4. 하도급실적은 발주처가 승인한 경우에 한하여 인정하며 하도급 승인문서를 추가로 제출하여야 함
|
[서식3]
보안 서약서(대표자용)
본인은 0000년 00월 00일부로 2025년 연구정보관리시스템 유지관리 사업을 수행함에 있어 다음 사항을 준수할 것을 엄숙히 서약합니다.
1. 본인과 소속업체 는 국립재난안전연구원 2025년 연구정보관리시스템 유지보수 사업과 관련하여 업무 중 알게 될 일체의 내용이 직무상 기밀 사항임을 인정한다.
2. 본인과 소속업체 는 이 기밀을 누설함이 국가안전보장 및 국가이익에 위해가 될 수 있음을 인식하여 업무수행 중 지득한 제반 기밀사항을 일체 누설하거나 공개하지 아니한다.
3. 본인과 소속업체 는 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다.
4. 본인과 소속업체 는 사업 수행시 본사 및 하도급자로 인해 발생하는 위반사항에 대하여 모든 책임을 부담한다.
0000 년 00 월 00 일
서 약 자 업 체 명 :
(사업자 대표) 직 위 :
성 명 : (서명)
생 년 월 일 :
서약집행자 소 속 :
(담당공무원) 직 위 :
성 명 : (서명)
생 년 월 일 :
|
[서식4]
보 안 서 약 서(참여자용)
본인은 0000년 00월 00일부로 2025년 연구정보관리시스템 유지관리 (정보시스템 포함)과 관련한 업무(연구개발, 제작, 입찰, 기타)를 수행함에 있어 다음 사항을 준수할 것을 엄숙히 서약합니다.
1. 본인은 국립재난안전연구원 2025년 연구정보관리시스템 유지보수 (정보시스템 포함)사업과 관련된 소관업무가 국가기밀 사항임을 인정하고 제반 보안관계규정 및 지침을 성실히 준수한다.
2. 본인은 이 기밀을 누설함이 국가이익을 침해할 수도 있음을 인식하고 재직 중은 물론 퇴직 후에도 알게 된 모든 기밀사항을 일체 타인에게 누설하지 아니한다.
3. 본인은 기밀을 누설한 때에는 아래의 관계법규에 따라 엄중한 처벌을 받을 것을 서약한다.
가. 전자정부법 제35조(금지행위) 및 제76조(벌칙)
0000 년 00 월 00 일
서약자 소속 직급 생년월일
직위 성 명 (서명)
서 약 소속 직급
집행자 직위 성 명 (서명)
|
[서식5]
보 안 확 약 서(대표자용)
본인은 귀 기관과 계약한 2025년 연구정보관리시스템 유지관리 사업의 수행을 완료함에 있어, 다음 각 호의 보안사항에 대한 준수 책임이 있음을 서약하며 이에 확약서를 제출합니다.
1. 본 업체(단체)는 업체(단체) 및 사업 참여자가 사업수행 중 지득한 모든 자료를 반납 및 파기하여 복사본 등 용역사업 관련 자료를 보유하지 않으며, 지득한 정보에 대한 유출을 절대 금지하겠습니다.
2. 본 업체(단체)는 하도급업체에 대해 상기 항과 동일한 보안사항 준수 책임을 확인하고 보안확약서 징구하였으며, 하도급업체가 위의 보안사항을 위반할 경우에 주사업자로서 이에 동일한 법적책임을 지겠습니다.
3. 본 업체(단체)는 상기 보안사항을 위반할 경우에 귀 기관의 사업에 참여 제한 또는 기타 관련 법규에 따른 책임과 손해배상을 감수하겠습니다.
0000 년 00 월 00 일
서약업체(단체) 대표
소 속 :
직 급 :
성 명 : (서명)
국립재난안전연구원장 귀하
|
구 분
|
위 규 사 항
|
처 리 기 준
|
심 각
|
1. 비밀 및 대외비 급 정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보·신상정보 목록 유출
다. 비공개 항공사진·공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 구축 결과물에 대한 외부 유출
다. 시스템 내 인위적인 악성코드 유포
|
◦ 사업참여 제한
(부정당업체 등록)
◦ 위규자 및 직속
감독자 등 중징계
◦ 재발 방지를 위한
조치계획 제출
◦ 위규자 대상 특별
보안교육 실시
|
중 대
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
2. 사무실ㆍ보호구역 보안관리 허술
가. 통제구역 출입문을 개방한 채 퇴근 등
나. 인가되지 않은 작업자의 내부 시스템 접근
다. 통제구역 내 장비·시설 등 무단 사진촬영
3. 전산정보 보호대책 부실
가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반
나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신
다. 개발·유지보수 시 원격작업 사용
라. 저장된 비공개 정보 패스워드 미부여
마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장
바. 외부용 PC를 업무망에 무단 연결 사용
사. 보안관련 프로그램 강제 삭제
아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
|
◦ 위규자 및 직속
감독자 등 중징계
◦ 재발 방지를 위한
조치계획 제출
◦ 위규자 대상 특별
보안교육 실시
|
구 분
|
위 규 사 항
|
처 리 기 준
|
보 통
|
1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 출입키를 책상위 등에 방치
3. 보호구역 관리 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 미실시
4. 전산정보 보호대책 부실
가. 휴대용 저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근
나. 비인가 메신저 무단 사용
다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
마. PC 비밀번호를 모니터옆 등 외부에 노출
바. 비인가 보조기억매체 무단 사용
|
◦ 위규자 및 직속
감독자 등 경징계
◦ 위규자 및 직속
감독자 사유서
/ 경위서 징구
◦ 위규자 대상 특별
보안교육 실시
|
경 미
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 경보ㆍ보안장치 작동 불량
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
|
◦ 위규자 서면ㆍ구두
경고 등 문책
◦ 위규자 사유서
/ 경위서 징구
|
① 위규 수준별로 A~D 등급으로 차등 부과
구분
|
위규 수준
|
A급
|
B급
|
C급
|
D급
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
위약금
비중
|
부정당업자 등록
|
건당500만원
|
300만원
|
100만원
|
※ 위규 수준은 [별첨1] 사업자 보안위규 처리기준 참고
② 보안 위약금은 다른 요인에 의해 상쇄, 삭감 되지 않는다
※ 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
③ 사업 종료시 또는 기성대금 지급 시 지출금액 조정을 통해 위약금 정산한다.
1. 기관 소유 정보시스템의 내․외부 IP주소 현황
2. 세부 정보시스템 구성현황 및 정보통신망 구성도
3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보
4. 정보통신망 취약점 분석·평가 결과물
5. 용역사업 결과물 및 프로그램 소스코드
6. 국가용 보안시스템 및 정보보호시스템 도입 현황
7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보
8.「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서
9.「개인정보보호법」제2조제1호의 개인정보
10.「보안업무규정」제4조의 비밀 및 동 시행규칙 제16조제3항의 대외비
11. 그 밖에 발주자가 공개가 불가하다고 판단한 자료
|
① 참여 인력에 대한 보안관리
◦ 보안서약서 등 제출
- 사업 참여인원에 대해 사업투입 전 자체 보안 교육 후, 보안서약서, 기본보안교육 내용을 제출해야 한다.
◦ 보안교육 실시
- 사업자는 보안인식제고를 위해 주기적으로 자체 보안 교육을 하며, 행정안전부가 요구하는 보안교육에 참석해야 한다.
◦ 인력변동 관리
- 시스템 접근 권한을 승인받은 인력 또는 해당 인력의 업무 변동이 있는 경우, 해당 사유가 발생한 후 1일 내에 신고해야 한다.
② 자료․정보 등의 보안관리
◦ 비밀 준수 대상 자료․정보
- 사업자는 아래의 자료나 정보(이하 “비밀정보”라 한다)에 대하여 비밀을 유지하여야 한다.
* 행정안전부가 본 사업의 이행을 위하여 사업자에게 서면 또는 구두 등의 방법으로 비밀에 해당한다고 고지하고 제공한 자료나 정보(DB정보, IP 정보, 상세 시스템 구성도 등)
* 법령 또는 행정안전부의 내규에 의하여 공개가 제한되거나 비밀을 유지해야 하는 자료나 정보(미공개 출원 정보, 개인정보, 비밀지정문서 등)
* 사업자가 본 계약의 이행 중 행정안전부가 제공한 비밀정보를 이용․가공하여 얻은 자료나 정보
◦ 중요정보의 관리
- 사업자는 중요정보의 관리를 위하여 자료명, 인계자/인수자 서명이 포함된 자료 제공대장을 작성해야 한다.
- 인계받은 자료가 더 이상 필요없거나 사업이 종료되는 경우 자료를 반납 및 삭제한 후, 자료 제공대장에 기록 및 사업 담당부서에 제출한다.
③ 사무실 및 전산 장비․매체 보안관리
◦ 사무실 보안 관리
- 사업자는 필요시 사무실 또는 용역업무를 수행하는 공간에 대해 일일 보안점검을 해야 하며, 행정안전부 보안점검에 따른 지적사항 발생시 [별첨1]에 따른 벌칙 규정을 따른다.
◦ 전산 장비․매체 보안 관리
- 사업자는 PC, 노트북 등 전산장비를 반․출입하는 경우, 다음 사항을 사전 확인, 조치해야 한다.
(단, 노트북은 불가피한 경우 행정안전부의 승인을 득한 경우에만 반입 가능)
* 반입시 : PMS, 내 PC 지키미 등 PC 보안프로그램 설치 및 바이러스/악성코드 검사
* 반출시 : 저장 데이터 완전 삭제(행정안전부 정보보안담당의 사전 확인 필요)
- 사업자는 보안USB 외의 기타 보조기억매체는 사용할 수 없으며, 보안USB 외에는 자료를 저장할 수 없다.
- 사업자는 전산 장비․매체를 승인권자 외의 사용자가 조작․탈취할 수 있도록 방치하면 안된다.
④ 정보시스템 접근 보안관리
◦ 사업자는 정보시스템 사용자 계정 이용시 부여된 권한․목적 이외의 접근을 하면 안 되며, 승인된 사용자만 접근해야 한다.
◦ 사업자는 공용계정을 사용하면 안되며, 사용하지 않는 계정은 주기적으로 삭제해야 한다.
◦ 공유 폴더는 사용해서는 안 된다.
별첨 5
|
|
개인정보처리시스템 사업담당자 준수사항
|
※ 작성근거 : 개인정보 보호법, 개인정보의 안전성 확보조치 기준, 행정안전부 개인정보보호지침(훈령 131호)
개인정보의 안전성 확보조치 철저(개인정보 보호법 제29조)
○ 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 다음 각 호의 안전성 확보조치를 하여야 한다.
구 분
|
주 요 내 용
|
내부관리계획(제4조)
|
o 내부관리계획 포함사항 명시 ※ 개인정보 보호책임자 지정, 개인정보취급자 교육 등
|
접근권한 관리(제5조)
|
o 개인정보처리시스템의 접근권한 부여․변경․말소 기록 최소 3년간 보관
|
비밀번호 관리(제7조)
|
o 안전한 비밀번호 작성규칙 수립․적용
|
접근통제 시스템 설치․운영(제6조)
|
o 접근통제 시스템 설치․운영 의무화
※ 접근통제 시스템 : 침입차단(Firewall), 침입탐지(IDS) 기능 포함
|
개인정보 암호화
(제7조)
|
o 암호화 대상 : 고유식별정보(주민등록번호,여권번호,운전면허번호,외국인등록번호), 비밀번호, 바이오정보
o 암호화 기준
구 분
|
암 호 화 기 준
|
송․수신시
|
모든 정보 암호화 전송
|
저장시
|
비밀번호,
바이오정보
|
비밀번호는 단방향 암호화,
바이오정보는 양방향 암호화
|
고유식별정보
|
ⓛ 인터넷 구간,공통(DMZ) 구간 저장시 : 의무적 암호화
② 내부망 저장시 : 위험도 분석결과에 따라 암호화 적용범위 결정
(※ 영향평가 대상 공공기관은 영향평가 결과에 따름)
* 고유식별정보가 유출・변조・훼손되지 않도록 연1회 이상 취약점 점검
|
|
주민등록번호
|
암호화 알고리즘 적용(개인정보보호법 의무사항)
|
o 암호화 방법 : 공공기관은 국가 암호화 알고리즘, 그 외는 자율
o 암호화 적용 : 고유식별정보 암호화시 지침 시행일로부터 3개월 이내에 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용
|
접속기록 보관(제8조)
|
o 개인정보처리시스템 접속기록은 1년 이상 보관, 다만, 정보주체가 5만명 이상 이거나, 고유식별정보 또는 민감정보를 처리하는 경우는 2년이상 보관·관리
o 접속기록은 월 1회이상 점검
|
보안프로그램(제9조)
|
o 보안 프로그램(백신 S/W 등) 설치 및 업데이트 ※ 자동 업데이트 또는 일 1회 이상
|
물리적 접근 방지
(제10조)
|
o 별도의 개인정보 물리적 보관 장소에 대한 출입통제 등
|
부칙
|
o 전산센터․클라우드컴퓨팅센터 등의 운영환경에서의 안전조치
|
개인정보처리시스템 위탁 관리 철저
① 위탁목적 등 문서화(개인정보보호법 제26조)
○ 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무의 목적 및 범위
2. 위탁업무 수행 목적 외 개인정보처리 금지에 관한 사항
3. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
4. 개인정보의 기술적·관리적 보호조치에 관한 사항
※ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
5. 재위탁 제한에 관한 사항
6. 수탁자의 준수 의무 위반시 손해배상 등 책임에 관한 사항
|
※ <참고 1> 표준 개인정보처리위탁 계약서 참고
② 위탁자의 책임과 의무 준수(개인정보 보호법 제26조)
○ 수탁자에 대한 교육 및 관리‧감독
- 수탁자 정기교육, 개인정보처리 실태점검, 위탁계약사항 준수 여부 등
- 개인정보 다운로드 정책 수립·정기점검 수행 등 관리 철저
- 수탁업체 대상 교육 결과보고서*(내부결재, 계약 체결 후 1개월 이내)
* 참석자명단, 참석자 서명, 증빙사진 등이 포함된 결과 자료
- 수탁업체 관리‧감독 결과 보고*(내부결재, 연 2회 실시)
* 관련 공문, 관리감독 결과서, 점검표 등 관리‧감독 사실 증빙 자료
○ 개인정보처리방침에 위탁사항을 포함하여 대국민 공개
○ 위탁 종료시 사업수행과정에서 발생한 개인정보 파기결과 확인 및 개인정보처리지침 위탁사항 삭제
< 참고 1> 표준 개인정보처리위탁 계약서
표준 개인정보처리위탁 계약서(안)
국립재난안전연구원 (이하 “위탁자” 라 한다)과 △△△ (이하 “수탁자” 라 한다)는 “위탁자”의 개인정보 처리업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 본 업무 위탁계약을 체결한다.
제1조 (목적) 이 계약은 “위탁자”가 개인정보처리업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는 「개인정보 보호법」, 같은 법 시행령 및 「개인정보의 안전성 확보조치 기준」 (개인정보위고시 제2020-2호) 및 「표준 개인정보 보호지침」 (개인정보위고시 제2020-1호)에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위) “수탁자”는 계약이 정하는 바에 따라 「연구정보관리시스템 유지관리」 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.1)
1.
2.
제4조 (위탁업무 기간) 이 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다.
계약 기간 : 2025년 1월 1일 ~ 2025년 12월 31일
제5조 (재위탁 제한) ① “수탁자”는 “위탁자”의 사전 승낙을 얻은 경우를 제외하고 “위탁자”과의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다.
② “수탁자”가 다른 제3의 회사와 수탁계약을 할 경우에는 “수탁자”은 해당 사실을 계약 체결 7일 이전에 “위탁자”에게 통보하고 협의하여야 한다.
제6조 (개인정보의 안전성 확보조치) “수탁자”는 「개인정보 보호법」 제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」(개인정보위고시 제2020-2호)에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 한다.
제7조 (개인정보의 처리제한) ① “수탁자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
② “수탁자”는 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법 시행령」 제16조 및「개인정보의 안전성 확보조치 기준」(개인정보위고시 제2020-2호)에 따라 즉시 파기하거나 “위탁자”에게 반납하여야 한다.
③ 제2항에 따라 “수탁자”가 개인정보를 파기한 경우 지체없이 “위탁자”에게 그 결과를 통보하여야 한다.
제8조 (수탁자에 대한 관리·감독 등) ① “위탁자”는 “수탁자”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응하여야 한다.
1. 개인정보의 처리 현황
2. 개인정보의 접근 또는 접속기록(다운로드 기록 포함)
3. 개인정보 접근 또는 접속 대상자
4. 목적외 이용·제공 및 재위탁 금지 준수 여부
5. 암호화 등 안전성 확보조치 이행 여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
② “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이행하여야 한다.
③ “위탁자”는 처리위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 (2)회 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다.2)
④ 제1항에 따른 교육의 시기와 방법 등에 대해서는 “위탁자”는 “수탁자”과 협의하여 시행한다.
제9조 (정보주체 권리보장) ① “수탁자”는 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제10조 (개인정보의 파기) ① “수탁자”는 제4항의 위탁업무기간이 종료되면 특별한 사유가 없는 한 지체없이 개인정보를 파기하고 이를 “위탁자”에게 확인받아야 한다.
제11조 (손해배상) ① “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자가 이 계약에 의하여 위탁 또는 재위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 “위탁자” 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 “수탁자”는 그 손해를 배상하여야 한다.
② 제1항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 “위탁자”가 전부 또는 일부를 배상한 때에는 “위탁자”는 이를 “수탁자”에게 구상할 수 있다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “위탁자”와 “수탁자”가 서명 또는 날인한 후 각 1부씩 보관한다.
20 . . .
[위탁자]
울산광역시 중구 종가로 365
국립재난안전연구원장 (인)
|
[수탁자]
○○시 ○○구 ○○동 ○○번지
(주)0000
대표자 성명 : 홍길동 (인)
|
|
[ ] 기술적용계획표, [ ] 기술적용결과표
사업명
|
2025년 연구정보관리시스템 유지보수
|
작성일
|
2024.10.25.
|
□ 법률 및 고시
구분
|
항 목
|
법률
|
o 지능정보화 기본법
o 공공기관의 정보공개에 관한 법률
o 개인정보 보호법
o 소프트웨어 진흥법
o 인터넷주소자원에 관한 법률
o 전자서명법
o 전자정부법
o 국가정보원법
o 정보통신기반 보호법
o 정보통신망 이용촉진 및 정보보호 등에 관한 법률
o 통신비밀보호법
o 국가를 당사자로 하는 계약에 관한 법률
o 하도급거래 공정화에 관한 법률
o 지방자치단체를 당사자로 하는 계약에 관한 법률
o 공공데이터의 제공 및 이용 활성화에 관한 법률
|
고시 등
|
o 보안업무규정(대통령령)
o 사이버안보 업무규정(대통령령)
o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령)
o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시)
o 전자서명인증업무 운영기준(과학기술정보통신부고시)
o 전자정부 웹사이트 품질관리 지침(행정안전부고시)
o 정보보호시스템 공통평가기준(미래창조과학부고시)
o 정보보호시스템 평가·인증 지침(과학기술정보통신부고시)
o 정보시스템 감리기준(행정안전부고시)
o 전자정부사업관리 위탁에 관한 규정(행정안전부고시)
o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규)
o 행정전자서명 인증업무지침(행정안전부고시)
o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시)
o 개인정보의 안전성 확보조치 기준(개인정보보호위원회)
o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회)
o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규)
o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규)
o 표준 개인정보 보호지침(개인정보보호위원회)
o 엔지니어링사업대가의 기준(산업통상자원부고시)
o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시)
o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시)
o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시)
o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시)
o 용역계약일반조건(기획재정부계약예규)
o 협상에 의한 계약체결기준(기획재정부계약예규)
o 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규)
o 하도급거래공정화지침(공정거래위원회예규)
o 정보보호조치에 관한 지침(과학기술정보통신부고시)
o 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회)
o 행정정보 공동이용 지침(행정안전부예규)
o 공공기관의 데이터베이스 표준화 지침(행정안전부고시)
o 공공데이터 관리지침(행정안전부고시)
o 모바일 전자정부 서비스 관리 지침(행정안전부예규)
o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시)
o 국가정보보안기본지침(국가정보원)
|
□ 서비스 접근 및 전달 분야
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
적용
|
부분적용
|
미 적 용
|
해당없음
|
기본 지침
|
o 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
관련규정
|
o 전자정부 웹사이트 품질관리 지침
o 한국형 웹 콘텐츠 접근성 지침
|
○
|
|
|
|
|
o 모바일 전자정부 서비스 관리 지침
|
|
|
|
○
|
사내 업무시스템 외부접속 제한
|
외부 접근
장치
|
o 웹브라우저 관련
|
- HTML 4.01/HTML 5, CSS 2.1
|
○
|
|
|
|
|
- XHTML 1.0
|
○
|
|
|
|
|
- XML 1.0, XSL 1.0
|
|
○
|
|
|
|
- ECMAScript 3rd
|
|
○
|
|
|
|
o 모바일 관련
|
- 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307)
|
|
|
|
○
|
사내 업무시스템 외부접속 제한
|
서비스
요구사항
|
서비스관리(KS X ISO/IEC 20000)/ ITIL v3
|
|
○
|
|
|
|
서비스 전달
프로토콜
|
IPv4
|
○
|
|
|
|
|
IPv6
|
○
|
|
|
|
|
□ 인터페이스 및 통합 분야
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
적용
|
부분적용
|
미적용
|
해당없음
|
기본 지침
|
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 타기관과 공유가 가능한 웹서비스는 범정부 차원의 공유·활용이 가능하도록 지원하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
서비스 통합
|
o 웹 서비스
|
- SOAP 1.2, WSDL 2.0, XML 1.0
|
|
○
|
|
|
|
- UDDI v3
|
|
|
○
|
|
업무특성상 불필요
|
- RESTful
|
|
|
○
|
|
업무특성상 불필요
|
o 비즈니스 프로세스 관리
|
- UML 2.0/BPMN 1.0
|
|
○
|
|
|
|
- ebXML/BPEL 2.0/XPDL 2.0
|
|
|
○
|
|
업무특성상 불필요
|
데이터 공유
|
o 데이터 형식 : XML 1.0
|
|
○
|
|
|
|
인터페이스
|
o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0
|
|
○
|
|
|
|
□ 플랫폼 및 기반구조 분야
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
적용
|
부분적용
|
미적용
|
해당없음
|
기본 지침
|
o 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
|
○
|
|
|
|
|
o 하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
네트워크
|
o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310
|
|
|
○
|
|
업무특성상 불필요
|
o 부가통신: VoIP
|
- H.323
|
|
|
○
|
|
업무특성상 불필요
|
- SIP
|
|
|
○
|
|
업무특성상 불필요
|
- Megaco(H.248)
|
|
|
○
|
|
업무특성상 불필요
|
운영체제 및
기반 환경
|
o 서버용(개방형) 운영 체제 및 기반환경
|
- POSIX.0
|
|
|
○
|
|
|
- UNIX
|
|
|
○
|
|
|
- Windows Server
|
○
|
|
|
|
|
- Linux
|
|
|
○
|
|
|
o 모바일용 운영 체계 및 기반환경
|
- android
|
|
|
○
|
|
모바일서비스 없음
|
- IOS
|
|
|
○
|
|
모바일서비스 없음
|
- Windows Phone
|
|
|
○
|
|
모바일서비스 없음
|
데이터베이스
|
o DBMS
|
- RDBMS
|
○
|
|
|
|
|
- ORDBMS
|
|
|
○
|
|
|
- OODBMS
|
|
|
○
|
|
|
- MMDBMS
|
|
|
○
|
|
|
시스템 관리
|
o ITIL v3 / ISO20000
|
|
○
|
|
|
|
소프트웨어 공학
|
o 개발프레임워크 : 전자정부 표준프레임워크
|
|
○
|
|
|
Struts2 기반
|
□ 요소기술 분야
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
적용
|
부분적용
|
미적용
|
해당없음
|
기본 지침
|
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
|
○
|
|
|
|
|
o 데이터는 데이터 공유 및 재사용, 데이터 교환, 공공데이터 제공,데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
|
○
|
|
|
|
|
o 데이터는 공공데이터(법 제2조제2호의 행정정보를 말한다)로 제공하기 위하여 기계 판독이 가능한 형태로 정비, 공공데이터법상 제공제외 대상의 별도 테이블 분리·설계, 품질확보 등이 수행되어야 한다.
|
|
|
|
○
|
|
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부장관에게 보고하고 행정안전부의“행정기관의 코드표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정안전부장관에게 표준 등록을 요청하여야 한다.
|
○
|
|
|
|
|
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
관련규정
|
o 공공기관의 데이터베이스 표준화 지침
o 공공데이터 관리지침
o 공공데이터 제공·관리 매뉴얼
|
○
|
|
|
|
|
데이터 표현
|
o 정적표현 : HTML 4.01
|
○
|
|
|
|
|
o 동적표현
|
- JSP 2.1
|
○
|
|
|
|
|
- ASP.net
|
|
|
○
|
|
|
- PHP
|
|
|
○
|
|
|
- 기타 ( )
|
|
|
|
|
|
프로그래밍
|
o 프로그래밍
|
- C
|
|
|
○
|
|
|
- C++
|
|
|
○
|
|
|
- Java
|
○
|
|
|
|
|
- C#
|
|
|
○
|
|
|
- 기타 ( )
|
|
|
|
|
|
데이터 교환
|
o 교환프로토콜
|
- XMI 2.0
|
|
○
|
|
|
|
- SOAP 1.2
|
|
○
|
|
|
|
o 문자셋
|
- EUC-KR
|
|
○
|
|
|
|
- UTF-8(단, 신규시스템은 UTF-8 우선 적용)
|
|
|
○
|
|
|
□ 보안 분야
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
적용
|
부분적용
|
미적용
|
해당없음
|
기본 지침
|
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 “서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
|
○
|
|
|
|
|
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 전자서명 또는 행정전자서명을 기반으로 하여야 한다.
|
○
|
|
|
|
|
o 네트워크 장비 및 네트워크 보안장비에 임의 접속이 가능한 악의적인 기능 등 설치된 백도어가 없도록 하여야 하고 보안기능 취약점 발견 시 개선․조치하여야 한다.
|
○
|
|
|
|
|
|
세부 기술 지침
|
관련
규정
|
o 전자정부법
|
○
|
|
|
|
|
o 국가정보보안기본지침(국가정보원)
|
○
|
|
|
|
|
o 네트워크 장비 구축·운영사업 추가특수조건(조달청 지침)
|
○
|
|
|
|
|
제품별 도입
요건 및 보안
기준
준수
|
o 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 정보보호제품)
|
- PKI제품
|
|
|
○
|
|
미도입
|
- SSO제품(보안기능 확인서 또는 CC인증 필수)
|
|
|
○
|
|
|
- 디스크ㆍ파일 암호화 제품
|
|
|
○
|
|
|
- 문서 암호화 제품(DRM)(보안기능 확인서 또는 CC인증 필수)
|
|
|
○
|
|
|
- 메일 암호화 제품
|
|
|
○
|
|
|
- 구간 암호화 제품
|
|
|
○
|
|
|
- 하드웨어 보안 토큰
|
|
|
○
|
|
|
- DB암호화 제품(보안기능 확인서 또는 CC인증 필수)
|
|
|
○
|
|
|
- 상기제품(8종)이외 중요정보 보호를 위해 암호기능이 내장된 제품
|
|
|
○
|
|
|
- 암호모듈 검증서에 명시된 제품과 동일 제품 여부
|
|
|
○
|
|
|
o 보안기능 확인서 또는 CC인증 필수제품 유형군(국제 CC인 경우 보안적합성 검증 필요)
|
- (네트워크)침입차단
|
○
|
|
|
|
|
- (네트워크)침입방지(침입탐지 포함)
|
|
○
|
|
|
|
- 통합보안관리(통합로그관리 포함)
|
|
|
○
|
|
|
- 웹 응용프로그램 침입차단
|
|
|
○
|
|
|
- DDos 대응(성능평가로 도입 가능)
|
|
○
|
|
|
|
- 인터넷 전화 보안
|
|
○
|
|
|
|
- 무선침입방지
|
|
|
○
|
|
|
- 무선랜 인증
|
|
|
○
|
|
|
- 가상사설망(검증필 암호모듈 탑재 필수)
|
|
○
|
|
|
|
- 네트워크 접근통제
|
|
○
|
|
|
|
- 망간 자료전송(2022.1 이전 인증제품)
|
|
○
|
|
|
|
- 안티 바이러스(성능평가로 도입 가능)
|
○
|
|
|
|
|
- 패치관리
|
○
|
|
|
|
|
- 스팸메일 차단
|
|
○
|
|
|
|
- 서버 접근통제
|
○
|
|
|
|
|
- DB접근 통제
|
○
|
|
|
|
|
- 스마트카드
|
|
|
○
|
|
업무특성상 불필요
|
- 디지털 복합기 (비휘발성 저장매체 장착 제품에 대한 완전삭제 혹은 암호화 기능)
|
|
|
○
|
|
업무특성상 불필요
|
- 소스코드 보안약점 분석도구(성능평가로 도입 가능)
|
|
○
|
|
|
|
- 스마트폰 보안관리
|
|
|
○
|
|
업무특성상 불필요
|
- 소프트웨어기반 보안USB(2020.1.1이전 인증제품, 검증필 암호모듈 탑재 필수)
|
|
|
○
|
|
업무특성상 불필요
|
- 호스트 자료유출 방지(2021.1.1이전 인증제품, 매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
○
|
|
업무특성상 불필요
|
- 네트워크 자료유출방지(2021.1.1 이전 인증제품)
|
○
|
|
|
|
|
- CC인증서에 명시된 제품과 동일 제품 여부
|
|
|
○
|
|
업무특성상 불필요
|
o 보안기능 확인서 필수제품 유형군
|
- 소프트웨어기반 보안USB(검증필 암호모듈 탑재 필수)
|
|
|
○
|
|
업무특성상 불필요
|
- 호스트 자료유출 방지(매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
○
|
|
|
- 망간 자료전송
|
|
○
|
|
|
|
- 네트워크 자료유출방지
|
○
|
|
|
|
|
- 네트워크 장비(L3 스위치 이상)
|
|
|
|
○
|
업무특성상 불필요
|
- 가상화관리제품
|
|
|
○
|
|
업무특성상 불필요
|
o 모바일 서비스(앱·웹) 등
|
- 보안취약점 및 보안약점 점검·조치 (모바일 전자정부 서비스 관리 지침)
|
|
|
○
|
|
모바일 서비스 없음
|
- 국가·공공기관 모바일 활용업무에 대한 보안가이드라인
|
|
|
○
|
|
모바일 서비스 없음
|
o 민간 클라우드 활용
|
- 클라우드 서비스 보안인증(CSAP)을 받은 서비스
|
|
|
○
|
|
|
- 국가·공공기관 클라우드 컴퓨팅 보안가이드
|
|
|
○
|
|
|
백도어 방지 기술적 확인 사항
|
o 보안기능 준수
|
- 식별 및 인증
|
○
|
|
|
|
|
- 암호지원
|
○
|
|
|
|
|
- 정보 흐름 통제
|
○
|
|
|
|
|
- 보안 관리
|
○
|
|
|
|
|
- 자체 시험
|
○
|
|
|
|
|
- 접근 통제
|
○
|
|
|
|
|
- 전송데이터 보호
|
○
|
|
|
|
|
- 감사 기록
|
○
|
|
|
|
|
- 기타 제품별 특화기능
|
○
|
|
|
|
|
o 보안기능 확인 및 취약점 제거
|
- 보안기능별 명령어 등 시험 및 운영방법 제공
|
○
|
|
|
|
|
- 취약점 개선(취약점이 없는 펌웨어 및 패치 적용)
|
○
|
|
|
|
|
- 백도어 제거(비공개 원격 관리 및 접속 기능)
|
○
|
|
|
|
|
- 오픈소스 적용 기능 및 리스트 제공
|
○
|
|
|
|
|
※ 최신 기준은 ‘국가정보원ㆍ국가사이버안보센터’ 홈페이지 참조
☞ <참고> 국가기관등이 소프트웨어 사업을 발주하는 경우, 동 양식을 활용하여 소프트웨어 법·제도 항목을 자가 점검하여 작성 후, 제안요청서에 첨부
* 미적용 : 적용해야 할 내용을 반영하지 못한 경우
해당없음 : 해당사항이 없는 경우
사업명
|
2025년 연구정보관리시스템 유지보수
|
작성일
|
2024. 10. 28.
|
법령준수 주요항목
|
적용여부
(* 해당부분 ‘O’표시)
|
미적용 시 사유
|
적용
|
미적용
|
해당
없음
|
1. 과업심의위원회
|
|
|
O
|
|
2. 상용SW 직접구매 및
SW품질성능 평가시험(BMT)
|
|
|
O
|
|
3. 중소 SW사업자의 사업 참여 지원
|
O
|
|
|
|
4. 하도급 제도
|
|
|
O
|
|
5. SW사업 작업장소(원격개발)
|
O
|
|
|
|
6. SW사업 산출물 활용 보장
|
|
|
O
|
|
7. 개발SW의 공동활용 사전명시
|
|
|
O
|
|
8. 하자담보 책임기간 및 범위
|
O
|
|
|
|
9. 특정규격 명시 금지
|
|
|
O
|
|
10. 협상에 의한 계약 방식 적용
(또는 경쟁적 대화에 의한 계약방식)
|
O
|
|
|
|
11. 기술능력 평가비중(90%) 도입
|
O
|
|
|
|
12. SW기술성 평가기준 적용
|
O
|
|
|
|
13. SW사업 제안서 보상
|
|
|
O
|
|
14. 요구사항 상세화
|
O
|
|
|
|
15. SW사업 적정 사업기간 산정
|
|
|
O
|
|
16. 투입인력 요구 및 관리 금지
|
|
|
O
|
|
17. SW사업 영향평가
|
O
|
|
|
|
18. SW사업정보 제출
|
O
|
|
|
|
* 최신 항목은 「공공SW사업 법제도 관리감독 및 지원가이드」 참조
소프트웨어사업 과업변경요청서(제26조 관련)
|
※ [ ]에는 해당되는 곳에 √표를 합니다.
|
|
접수번호
|
|
접수일
|
처리기간
|
14일
|
|
변경요청
번호
|
|
사 업 명
|
|
계약번호
|
|
변경요청
유형
|
[ ] 과업내용 변경
|
[ ] 과업내용변경 및 계약금액 조정
|
|
과업내용서
관련사항
|
기 존
|
변 경
|
|
|
|
변경요청
내용
|
( ※ 필요한 경우 별지 사용 )
|
변경요청
사유
|
( ※ 필요한 경우 별지 사용 )
|
변경
영향평가
|
( ※ 필요한 경우 별지 사용 )
|
변경 소요
비용
|
소요비용
|
|
변경규모
|
|
산출근거
|
( ※ 필요한 경우 별지 사용 )
|
「소프트웨어 진흥법」제50조제3항에 따라 위와 같이 소프트웨어사업 과업 내용변경을 요청합니다.
|
년 월 일
|
신청인
|
(서명 또는 인)
|
발주기관의 장
|
귀하
|
|
처 리 절 차
|
|
신청서 작성
|
|
접 수
|
|
과업심의위원회 개최
|
|
심의ㆍ의결
|
|
심의결과 및 조치계획 통보
|
신청인
|
처 리 기 관: 발 주 기 관
|
210mm×297mm[백상지 80g/㎡]
|
별첨 10
|
|
입찰자 수에 따른 평가등급 배정기준
|
등급
입찰자 수
|
상
|
중
|
하
|
비고
|
4개사
|
2
|
2
|
-
|
|
5개사
|
3
|
2
|
-
|
|
6개사
|
3
|
3
|
-
|
|
7개사
|
3
|
3
|
1
|
|
8개사
|
3
|
3
|
2
|
|
9개사
|
3
|
3
|
3
|
|
10개사
|
3
|
4
|
3
|
|
11개사
|
4
|
4
|
3
|
|
12개사
|
4
|
4
|
4
|
|
13개사
|
4
|
5
|
4
|
|
14개사
|
5
|
5
|
4
|
|
15개사
|
5
|
5
|
5
|
|
16개사
|
5
|
6
|
5
|
|
17개사
|
6
|
6
|
5
|
|
18개사
|
6
|
6
|
6
|
|
19개사
|
6
|
7
|
6
|
|
20개사
|
7
|
7
|
6
|
|
※ 「도급사업 안전보건관리 운영 매뉴얼(고용노동부)」 참조
|
평가항목
|
평가기준
|
□ 안전보건관리체제
|
1. 일반원칙
|
‣도급․수급인의 안전보건방침에 대한 적정성
‣안전보건을 확보하기 위한 지속적인 개선 및 실행계획 포함 여부
|
2. 계획수립
|
‣산업재해예방 활동에 대한 수급인의 이행계획 적정 여부(목표와 측정가능한 성과지표 여부)
‣인적․물적 투입범위 등 이행계획 적정 여부
|
3. 역할 및 책임
|
‣이행계획 추진을 위한 구성원의 역할분담 명시 여부
|
4. 규정
|
‣안전보건관리규정 여부
|
□ 실행수준
|
5. 위험성평가
|
‣도급작업의 위험성평가 결과에 대한 이해수준
‣유해․위험요인에 대한 자체 위험성 평가 실시․보완계획 여부 등
|
6. 안전점검
|
‣안전점검 및 모니터링 계획(보호구 착용확인 포함)
|
7. 이행확인
|
‣안전조치 이행여부 확인 절차
(도급업체의 지도조언에 대한 이행 포함)
|
8. 교육 및 기록
|
‣안전보건교육 계획 및 기록관리
|
9. 안전작업허가
|
‣유해․위험작업에 대한 안전작업허가 이행수준 절차 여부
‣관리자 배치 계획 등
|
□ 운영관리
|
10. 신호 및 연락체계
|
‣도급․수급업체간에 중량물 취급작업, 밀폐공간작업, 화재폭발위험 작업 등 신호 및 연락체계 수립 여부
|
11. 위험물질 및 설비
|
‣유해․위험물질 및 취급 기계기구․설비에 대한 점검 등 관리방법 및 책임․권한에 대한 업무절차 여부
|
12. 비상대책
|
‣안전사고 발생유형별 비상대응계획 수립, 비상 시 대피 등 대응․훈련절차 여부
‣피해 최소화 대책(소방서, 병원 등)
|
□ 재해발생 수준
|
13. 산업재해 현황
|
‣최근3년간 산업재해발생 현황
|
|
|