| |
|
|
|
클라우드 네이티브 전환 시스템
(행안부 긴급신고공동관리센터)
운영관리 과업지시서
|
|
|
2025년 12월
|
발주기관
|
한국지능정보사회진흥원 클라우드전환팀
|
|
책임자
|
클라우드전환팀
|
조현웅 팀장
|
053-230-1641
|
|
담당자
|
클라우드전환팀
|
박혜지 선임
|
053-230-1656
|
|
전환대상기관
|
행정안전부 긴급신고공동관리센터
|
|
책임자
|
예방안전제도과
|
이상길 사무관
|
053-630-2485
|
|
담당자
|
예방안전제도과
|
조용곤 주무관
|
056-630-2486
|
□ 사업 개요
❍ 사 업 명 : 클라우드 네이티브 전환 시스템 운영관리(행안부 긴급신고공동관리센터)
❍ 사업기간 : 계약일로부터 ~ 90일(3개월)
❍ 사업예산 : 407,897,543원 (부가세 포함)
※ CSP 이용료는 ‘25.10.1.부터 발생하며, 이용료 지원기간(’25.12.31.)까지 3개월분 소급 적용
❍ 사업내용 : ’24년 클라우드 네이티브 전환 사업(행안부 긴급신고공동관리센터)을 통해 클라우드 네이티브로 전환한 행안부 긴급신고공동관리센터 긴급신고공동·활용시스템의 운영을 위한 이용지원
□ 추진 경과
❍ ‘23년 4월 : 디지털플랫폼정부 실현계획의 일환으로 디지털플랫폼정부 혁신 인프라 구현을 위한 민간 기반의 클라우드 네이티브 전면 전환계획 수립
❍ ‘23년 4월 : 행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시 개정(제2023-23호)
❍ ‘23년 4월 : 디지털플랫폼정부 실현계획 발표
❍ ‘23년 12월 : ‘24년 클라우드 네이티브 사업 추진계획 마련
❍ ‘23년 12월 : ’24년 클라우드 네이티브 사업 참여 수요조사
❍ ‘24년 2월 : ’24년 클라우드 네이티브 사업 선정
❍ ‘24년 4월 : ’24년 클라우드 네이티브 전환 상세설계 사업 추진
❍ ‘24년 8월 : 행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시 개정(제2024-63호)
❍ ‘24.12.~‘25.9. : ‘24년 클라우드 네이티브 전환 사업(행안부 긴급신고공동관리센터) 수행
❍ ‘24년 클라우드 네이티브 전환 사업 참여 수요조사를 통해 선정된 행안부 긴급신고공동관리센터 긴급신고공동·활용시스템의 클라우드 네이티브 전환 추진 완료
❍ 전환시스템의 안정적 서비스 운영관리 및 이용료 지원 필요
❍ 클라우드 관리 서비스 제공 사업자와 계약을 체결하여 클라우드 서비스 운영관리* 체계 조기 정착 유도
* 모니터링, 장애처리, 백업 및 복구, 기술지원, 운영지원 등
❍ 민간의 안정적인 클라우드 서비스를 기반으로 이용기관의 공공서비스 수준 제고
□ 추진체계 및 역할
|
|
|
|
|
|
|
|
총괄기관(행정안전부)
|
|
|
|
|
|
|
|
디지털정부실 디지털기반안전과
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
과업심의위원회
|
|
한국지능정보사회진흥원
|
|
|
|
|
|
|
|
|
디지털기반지원단 클라우드전환팀
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
클라우드 이용기관
|
|
클라우드 서비스 운영관리 사업자
(MSP)
|
|
클라우드서비스 제공사업자
|
|
행안부 긴급신고공동관리센터
|
|
|
CSP
|
|
|
구 분
|
주요 업무
|
|
총괄기관
(행정안전부 디지털기반안전과)
|
▸클라우드 서비스 운영관리 사업 추진 총괄
|
|
과업심의위원회
|
▸사업계획서의 검토・조정 및 과업내용변경 심의・의결 등
|
|
한국지능정보사회진흥원
|
▸클라우드 서비스 운영관리 사업 추진
▸사업 수행시 필요한 업무 수행 및 정책 지원 및 사업 검수
|
|
클라우드 이용기관
(행안부 긴급신고공동관리센터)
|
▸클라우드 전환시스템 운영 책임관리 및 보안정책 수립
▸클라우드 전환시스템 이용 및 운영관리 현황점검
|
|
클라우드 서비스 운영관리 사업자
(MSP)
|
▸클라우드 서비스 운영관리 사업 수행
※ 기술지원, 모니터링, 장애처리, 백업 및 복구, 보안, 이용료 지원 등
▸프로젝트 관리(범위, 일정, 위험, 품질관리 등)
|
|
클라우드 서비스 제공사업자
(CSP)
|
▸클라우드컴퓨팅서비스 제공 및 기술지원
|
□ 추진 일정 : 계약일부터 ~ 90일
|
구 분
|
‘26년
|
|
M
|
M+1
|
M+2
|
|
클라우드 서비스 운영 및 이용지원
|
|
|
|
|
- 클라우드 서비스 운영관리 계획 수립
|
●
|
|
|
|
- 클라우드 서비스 운영관리 및 이용료 지원
|
●
|
●
|
●
|
|
- 클라우드 전환 성과관리 및 최적화 수행
|
|
●
|
●
|
※ 상기 추진 일정은 협의에 따라 추후 변경될 수 있음
❍ 장애‧보안대응 능력 강화로 업무연속성 및 서비스 안정성 제고
- 장애 및 보안 관제체계를 구축하여 장애·보안대응 능력 제고
- 클라우드 전환시스템의 안정적 운영으로 공공서비스 성능·품질 향상
❍ 클라우드 이용으로 탄소중립 기여 및 정보자원 효율 극대화
- 클라우드 전환에 따른 기존 대비 자원용량 절감으로 연간 소요전력 감소 등 에너지 효율 증대 및 국제 기후 탄소 중립정책 기여
❍ 클라우드 전환시스템의 지속적이고 안정적인 서비스 이용을 위한 운영관리 지원 추진체계 마련
- 클라우드 자원 관리 및 서비스 운영, 장애대응․예방, 보안 강화 등 이용기관 서비스 제공의 품질 제고
❍ 클라우드컴퓨팅서비스 : 「클라우드컴퓨팅법」 제2조제3호에 따라 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스
❍ CSP(Cloud Service Provider) : 민간클라우드 서비스 제공자
❍ MSP(Managed Service Provider) : 민간클라우드 관리 서비스 제공자
❍ 클라우드서비스 환경 : 실서비스 제공을 위한 가상의 자원 및 네트워크 보안 등 서비스가 적용된 환경
❍ 클라우드 전환 : 클라우드 서비스 환경으로 바꾸기 위한 일련의 작업 과정
※ 분석 → 설계 → 구축(서비스 환경 구성) → 시험 → 서비스 전환(Cut-Over) → 안정화
❍ 보안/네트워크/부가 서비스 : 물리기반의 장비에서 제공되는 보안이 클라우드 기반 환경에서는 서비스로 통용되며, 보안분야(웹방화벽 등), 네트워크분야(로드밸런서 등), 기타(모니터링 등) 서비스로 구분(이용료 발생)
❍ 이용기관(또는 전환기관) : 민간클라우드로 전환한 정보시스템 운영 책임기관을 이용기관으로 지칭
□ 주요 내용
❍ 운영관리 사업대상 시스템 : 1개 정보시스템
< 이용기관 지원대상 정보시스템 및 CSP 현황 >
|
NO.
|
이용기관
|
정보시스템
|
CSP
|
|
1
|
행안부 긴급신고공동관리센터
|
긴급신고공동활용시스템
|
국정자원 민관협력형
KTC
|
❍ 이용 가상서버 자원 총량
|
CPU(vCore)
|
Memory(GB)
|
Disk(GB)
|
VM 수량(식)
|
|
612
|
2,392
|
28,950
|
61
|
❍ 이용 가상자원 및 서비스 총량
|
순번
|
정보
시스템
|
용도
|
주요 사양
|
비고
|
|
Core
|
Mem
(GB)
|
Disk(GB)
|
수량
|
NAS HDD
|
|
HDD
|
SSD
|
용량(GB)
|
수량
|
|
1
|
긴급신고
시스템
|
(운영)마스터노드
|
8
|
16
|
|
100
|
3
|
1,000
|
1
|
|
|
(운영)인그레스노드
|
8
|
16
|
|
100
|
2
|
|
|
|
|
(운영)워커노드
|
16
|
64
|
|
100
|
5
|
|
|
|
|
(운영)데브옵스 노드
|
10
|
32
|
|
350
|
3
|
|
|
|
|
(개발)마스터노드
|
8
|
16
|
|
100
|
3
|
1,000
|
1
|
|
|
(개발)인그레스 노드
|
8
|
16
|
|
100
|
2
|
|
|
|
|
(개발)워커노드
|
16
|
64
|
|
100
|
4
|
|
|
|
|
(개발)데브옵스 노드
|
8
|
16
|
|
300
|
3
|
|
|
|
|
(운영)DB서버
|
8
|
64
|
|
2,050
|
3
|
|
|
|
|
(운영)GIS DB서버
|
8
|
64
|
|
750
|
2
|
|
|
|
|
(개발)DB서버
|
8
|
64
|
|
2,050
|
3
|
|
|
|
|
(개발)GIS DB서버
|
8
|
64
|
|
750
|
2
|
|
|
|
|
(운영)DB모니터 서버
|
4
|
8
|
|
250
|
1
|
|
|
|
|
(운영)IndigoESB서버
|
32
|
128
|
|
150
|
2
|
800
|
1
|
|
|
(운영)VM접근제어서버
|
4
|
32
|
1,000
|
50
|
1
|
|
|
|
|
(운영)개인정보보호서버
|
8
|
16
|
|
50
|
1
|
|
|
|
|
(운영)OS보안관리서버
|
4
|
16
|
|
600
|
1
|
|
|
|
|
(운영)DB접근제어
|
8
|
16
|
|
550
|
1
|
|
|
|
|
(운영)DB암호화
|
8
|
16
|
|
550
|
1
|
|
|
|
|
(운영)백신관리서버
|
8
|
16
|
500
|
50
|
1
|
|
|
|
|
(운영)Konan검색서버
|
4
|
16
|
|
650
|
1
|
|
|
|
|
(개발)Konan검색서버
|
4
|
16
|
|
650
|
1
|
|
|
|
|
2
|
바로앱
|
(운영)마스터노드
|
8
|
16
|
|
100
|
3
|
1,000
|
1
|
|
|
(운영)인그레스노드
|
8
|
16
|
|
100
|
2
|
|
|
|
|
(운영)워커노드
|
16
|
64
|
|
100
|
3
|
|
|
|
|
(운영)데브옵스 노드
|
10
|
32
|
|
350
|
3
|
|
|
|
|
(운영)VM접근제어서버
|
4
|
32
|
1,000
|
50
|
1
|
|
|
|
|
(운영)OS보안관리서버
|
4
|
16
|
|
600
|
1
|
|
|
|
|
(운영)백신관리서버
|
8
|
16
|
500
|
50
|
1
|
|
|
|
|
(운영)TMS서버
|
4
|
32
|
|
550
|
1
|
|
|
|
|
소계 (*수량)
|
612
|
2,392
|
3,000
|
25,950
|
61
|
3,800
|
4
|
|
|
28,950
|
❍ 구독형 이용 서비스(SW 포함)
|
구분
|
용도
|
상세 내역
|
수량
|
|
서버
부가서비스
|
클러스터
|
KTC에서 제공하는 PKE 서비스 이용
|
3EA
|
|
OS
|
MS Windows
|
2EA
|
|
스토리지
|
HDD
|
3,000GB
|
|
SSD
|
25,950GB
|
|
네트워크
|
Tier/VPC
|
Subnet Tier 갯수 (KTC는 VPC 구분 없음)
|
10EA
|
|
공인 IP
|
클라우드 콘솔 상 Public IP 갯수
|
7set(4개당 1set)
|
|
로드밸런서(LB)
|
인터넷망 2개 / 행정업무망 46개
|
48EA
|
|
네트워크 전송량
|
VM 당 Memory 1~8GB : 월 1TB, 16GB이상 : 월 2TB
|
109T
|
|
백업
|
백업용량
|
KTC 제공 백업 사용
|
1.5T
|
|
스냅샷
|
KTC 제공 스냅샷 서비스 사용
|
750GB
|
|
보안
|
WAF
|
KTC 제공 WAF사용(이중화)
|
2EA
|
|
Anti-Ddos
|
KTC 제공 Anti-Ddos 사용
|
1EA
|
|
IPsec-VPN
|
해당없음(전용회선 사용)
|
-
|
|
상용SW
(3rd party)
|
상위기관보안관제 연계
|
SNIPER OneCloud(WINS)
|
1EA
|
|
개인정보보호(필터링)
|
CoolFilter(시큐맵)
|
1EA(domain 1EA)
|
|
DB 접근제어
|
Petra(신시웨이)
|
6EA
|
|
VM접근제어
|
i-OneNGS Standard 매니저 모듈(휴네시온)
|
2EA
|
|
i-OneNGS Node(휴네시온)
|
7set(VM10개당 1set)
|
|
서버 백신
|
AhanLab CPP(비츠코리아)
|
60EA
|
|
DB 암호화
|
D’guard(제노솔루션)
|
6EA(8Core 1EA)
|
|
앱 보안
|
AppSuit(AOS)(스틸리언)
|
1EA
|
|
AppSuit(IOS)(스틸리언)
|
1EA
|
|
OS 보안
|
RedCastle Node(에스지에이)
|
60EA
|
|
Enterprisecastle Manager Module 관리 서버
|
2EA
|
|
월 1회 기술지원
|
1식
|
|
키보드 보안
|
Y-secuKeypad(YH데이터베이스)
|
1EA
|
|
DBMS
|
ExperDB(인젠트)
|
6EA
|
|
트랜잭션 감시제어(비상접수)
|
TMAX(티맥스소프트)
|
1EA
|
|
SMS 발송 서비스
|
FingerPush SMS 발송서비스
|
150,000EA
|
|
ESB 연계
|
MESIM Indigo ESB(메타빌드)
|
2EA
|
|
검색엔진
|
Konan Search(코난테크놀로지)
|
2EA
|
|
Reporting Tool
|
Crownix Report(엠투소프트)
|
24EA
|
|
UI Tool
|
Web Square(인스웨이브시스템즈)
|
1EA
|
|
매니지드
|
매니지드 서비스
|
VM 서버 수 기준
|
61EA
|
|
보안리포트
|
24*365 보안 관제 서비스 월간보고서 제공
|
1EA
|
※ 구축 과정에서 일부 변경될 수 있음
□ 주요 추진사항
○ (모니터링) 24×365 운영 관리체계 및 상시 보안관제 체계 운영
- 휴일·야간 관제 인력 상주 및 도구 지원 등 24시간 365일 무중단 전문관제 수행
※ 매니지드를 위한 관제 인력의 세부투입 일정은 발주기관 및 이용기관과 협의 필요
- 이용대상 정보자원 및 서비스 현황 관리
※ 운영 대상 : 서버, 시스템SW, 네트워크, 보안, AP 및 CSP 보안관제
- 실시간 정보자원 사용현황(CPU, Memory, Disk) 및 트래픽, 임계치 사용량 등 서비스 운영 현황 점검, 이슈 및 조치사항 관리
- 침입 분석 및 침해사고에 대한 대응 조치, 재발방지 대책 마련 등 보안관제 현황 관리
○ (장애처리) 클라우드 서비스 장애 예방․대응 체계 운영
- 신속 대응을 위한 비상연락체계(NIA, CSP, AP, 이용기관) 구축, 현행화 관리
- 장애 발생시 MSP 자체 전파 및 SMS, 메일 등을 통한 장애상황 지정담당자 자동 발송체계 마련
※ 장애 발생 시 원인 분석 및 긴급 복구 등 서비스 정상화 수행
- 장애 발생 시 원인 분석 및 긴급 복구 등 서비스 정상화 수행
- 관제 현황(이벤트 등) 분석을 통해 반복 장애 원인 파악 및 조치방안, 재발 방지 대책 마련 등 선제적 장애 예방 이행
- 서비스수준협약(SLA)에 명시된 시간 내 장애처리 및 복구 조치
○ (백업 및 복구) 백업정책에 따른 백업 및 복구 관리
- 파일/DB 등 저장정보의 백업 수행 현황 관리
- 장애처리 및 재해, 재난 등 비상시 백업 및 복구 지원
○ (기술지원) 클라우드 서비스 관련 요청 대응
- 이용기관 서비스 요청 창구(Service Request) 제공, 실시간 요구 수렴 및 접수, 처리 등 고객 대응 이력관리
※ CSP-MSP-이용기관 간 운영관리 관련 요청사항 대응 이력 관리
- 시스템․보안장비 등의 중요 업데이트 주기적 적용 및 국가정보보안지침 등을 준용한 보안조치 및 기술지원
- 부처 사이버보안센터, 국정원 등 상급기관의 보안관제, 사고조사, 사이버공격 및 위협 예방 등 관련 조치 필요시 지원 수행
○ (운영지원) 운영 및 관제 현황보고, 업무연속성 확보 지원
- 클라우드 서비스 운영관리 사업수행계획 수립
- 백업‧비상복구‧변경관리‧침해사고 대응 등 운영전반에 관한 표준운영절차서(SOP) 마련
- 이용기관과 협의하여 서비스수준협약(SLA) 체결 및 명시된 품질목표 준수
- 일‧주‧월간 운영 및 관제 현황 보고서 작성, 월간 운영보고서 NIA 및 이용기관 보고
- 보안 요구사항 준수 및 보안관리 방안(보안대책) 수립
- 침해사고 대응, 장애대응, 백업데이터 복구 등 비상상황 대비 모의 훈련 수행
- CSP 변경시 중단없는 서비스 제공을 위해 관련 정보 등 이관
- 안정적 운영을 위한 MSP, CSP, AP 유지보수사간 업무 R&R 정리 및 프로세스 정립
○ (성과관리) 클라우드 네이티브 전환 성과 측정
|
분류
|
성과지표명
|
지표 정의
|
측정 산식
|
|
즉시 서비스 개선
|
SR처리 시간
|
● (정의) SR요청, 분석/설계, 개발, 테스트, 배포 완료까지의 평균 시간
|
①평균 SR처리 시간
=∑(SR요청, 분석/설계, 개발, 테스트. 배포 완료시간-SR요청, 분석/설계, 개발, 테스트. 배포 요청일자) / SR요청, 분석/설계, 개발, 테스트. 배포 완료건수
②SR처리시간
=ⓐSR처리 완료시간 - ⓑSR처리 시작시간
|
|
소스코드 배포시간
|
● (정의) 개발이 완료된 소스코드의 빌드버전을 배포하는데 걸린 시간
|
①평균 소스코드 배포시간
=∑(소스코드 배포시간) / 소스코드 배포 건수
②소스코드 배포시간
=ⓐ소스코드 배포 완료시간 - ⓑ소스코드 배포 시작시간
|
|
즉시 서비스 개선
|
소스코드 배포건수
|
● (정의) 개발이 완료된 소스코드의 빌드버전 배포 건수를 1년 단위로 환산
|
①소스코드 배포 건수
=(ⓐ소스코드 건수 / ⓑ측정 일수)*365
|
|
신규 변경기능 중간시간
|
● (정의) 신규/변경 기능 배포로 인해 시스템이 중단된 시간
|
①평균 신규, 변경 기능 중단시간
=∑(신규, 변경 기능 중단시간) / 신규, 변경 기능 중단 건수
②신규, 변경 기능 중단시간
=ⓐ신규, 변경 기능 중단시간 - ⓑ신규, 변경 기능 중단 시작 시간
|
|
신규 변경기능 중단건수
|
● (정의) 신규/변경 기능 배포로 인해 중단된 시스템 건수를 1년 단위로 환산
|
①신규,변경기능 중단 건수
=(ⓐ중단 건수 / ⓑ측정 일수) * 365
|
|
배포 업데이트 복구시간
|
● (정의) 배포한 서비스 오류발생으로 인해 서비스가 중단된 시점부터 원상복구 되기까지의 평균 시간
|
①평균 배포 업데이트 복구시간
=∑(ⓐ배포 업데이트 완료시간 - ⓑ서비스 중단 발생 시간) / ⓒ총 중단 건수
|
|
배포 업데이트 복구건수
|
● (정의) 배포한 서비스 오류 발견 시 원상복구 건수를 1년 단위로 환산
|
①배포 업데이트 복구 건수
=(ⓐ복구 건수 / ⓑ측정 일수) * 365
|
|
서비스 중단 시간 감축
|
시스템 가용률
(장애만 제외)
|
● (정의) 측정 기간에서 장애 등 의도하지 않은 중간 시간만을 제외하고, 실제로 시스템이 사용 가능(서비스 제공, 기능변경, 배포 등)했던 시간을 기준으로 측정된 가용성
|
①서비스 가용률
=(ⓐ시스템 총 가동시간-∑(의도하지 않은 중단(장애) 시간) / ⓐ시스템 총 가동시간)
② 중단시간
= ⓑ복구완료시간 - ⓒ장애발생시간
|
|
시스템 가용률 (장애와 의도적중단 제외)
|
● (정의) 측정 기간에서 장애 등 의도하지 않은 중단시간과 기능변경, 배포 등 의도한 중단시간 등을 모두 제외하고, 이용자가 실제로 시스템이 사용가능했던 시간을 기준으로 측정된 가용성
|
①서비스 가용률
=((ⓐ시스템 총 가동시간-(∑(의도하지 않은 중단(장애) 시간) + ∑(의도한 중단(기능변경, 배포 등) 시간)) / ⓐ시스템 총 가동시간)*100
②의도하지 않은 중단(장애) 시간
=ⓑ복구완료시간 - ⓒ장애발생시간
③의도한 중단(기능변경, 배포 등) 시간
=ⓑ복구완료시간 - ⓒ장애발생시간
|
|
장애 확산 방지
|
평균 장애 서비스 비율
|
● (정의) 클라우드 네이티브 전환 전/후의 전체 서비스 대비 장애 발생 서비스 비율
|
①클라우드 전환 전 평균 장애 서비스 비율
=전환 전 장애발생 서비스 비율 / 전환전 장애발생 건수
②클라우드 전환 후 평균 장애 서비스 비율
=전환 후 장애발생 서비스 비율 / 전환후 장애발생 건수
|
|
안정성 강화
|
장애 발생건수
|
● (정의) 5분 이상 장애가 발생한 건수를 1년 단위로 환산
|
①장애 발생 건수
=(ⓐ장애 건수 / ⓑ측정 일수)*365
|
|
평균 장애 복구시간
|
● (정의) 정보시스템 장애 발생으로 인해 서비스가 중단된 시점부터 정상 운영되기까지의 평균 시간
|
①평균 장애 복구시간
=∑(ⓐ복구 완료 시점 - ⓑ장애 발생 시점) / ⓒ장애 발생 횟수
|
- 전환 사업 시 설정한 성과지표에 따라 월간 운영보고서 내 전환 성과측정 및 작성
○ (최적화) 클라우드 서비스 분석을 통한 비용 성능 최적화
- 서비스 정상 여부 확인 및 모니터링 등 가상자원(CPU, Memory, Disk) 최적화를 위한 기술지원과 (비용 및 성능) 최적화 방안 마련 및 결과보고서
□ 요구사항 정의
|
요구사항 분류
|
고유번호
|
설명
|
개수
|
|
클라우드 관리 요구사항
(Cloud Managed Requirement)
|
CMR
|
클라우드 자원 및 서비스 현황관리, 서비스 운영 모니터링, 장애관리, 백업 및 복구, 기술지원, 운영지원 등에 대한 요구사항
|
8
|
|
클라우드 서비스 요구사항
(Cloud Service Requirement)
|
CSR
|
클라우드 서비스 공통, 서비스 제공, 품질 요구사항
|
5
|
|
프로젝트 관리 요구사항
(Project Management Requirement)
|
PMR
|
유지관리 수행 요구사항을 충족시키기 위한 체계 및 인력 운영, 인수인계, 산출물 등에 대한 요구사항
|
9
|
|
보안 요구사항
(Security Requirement)
|
SER
|
보안일반요건, 자료 및 장비 등 보안요구사항
|
7
|
|
제약사항
(Constraint Requirement)
|
COR
|
하도급 관리, 사업수행장소, 지적재산권, 과업심의 등 제약사항
|
8
|
|
합 계
|
37
|
□ 요구사항 목록
|
요구사항 분류
|
고유번호
|
요구사항 명
|
개수
|
|
클라우드 관리 요구사항
(Cloud Managed Requirement)
|
CMR-001
|
자원 및 서비스 현황 관리
|
8
|
|
CMR-002
|
서비스 운영 모니터링
|
|
CMR-003
|
장애관리 및 침해대응
|
|
CMR-004
|
백업 및 복구
|
|
CMR-005
|
기술지원
|
|
CMR-006
|
운영지원
|
|
CMR-007
|
클라우드 네이티브 운영 요구사항
|
|
CMR-008
|
모의훈련
|
|
클라우드 서비스 요구사항
(Cloud Service Requirement)
|
CSR-001
|
클라우드 컴퓨팅 보안 준수 요건
|
5
|
|
CSR-002
|
클라우드 서비스 공통 요구사항
|
|
CSR-003
|
클라우드 서비스 제공 기본사항
|
|
CSR-004
|
클라우드 서비스 품질목표
|
|
CSR-005
|
클라우드 서비스 최적화
|
|
프로젝트 관리 요구사항
(Project Management Requirement)
|
PMR-001
|
수행조직 및 프로젝트 인력방안
|
9
|
|
PMR-002
|
프로젝트 계약 이행
|
|
PMR-003
|
의사소통 관리
|
|
PMR-004
|
유지관리 세부 수행 범위 및 지원
|
|
PMR-005
|
협조체계 관리 방안
|
|
PMR-006
|
리스크 관리 방안 및 품질보증 활동
|
|
PMR-007
|
유지관리 체계 및 인력운영
|
|
PMR-008
|
인수 및 인계
|
|
PMR-009
|
산출물 관리
|
|
보안 요구사항
(Security Requirement)
|
SER-001
|
보안요건 일반사항
|
7
|
|
SER-002
|
누출금지 대상정보 및 보안 위규 처리
|
|
SER-003
|
참여인원 보안관리
|
|
SER-004
|
문서 및 자료 보안관리
|
|
SER-005
|
사업수행 장소 보안관리
|
|
SER-006
|
네트워크 보안관리
|
|
SER-007
|
장비 및 매체 보안관리
|
|
제약사항
(Constraint Requirement)
|
COR-001
|
하도급 관리
|
8
|
|
COR-002
|
기술지원 협약
|
|
COR-003
|
사업 수행장소 상호협의 결정
|
|
COR-004
|
지식재산권
|
|
COR-005
|
과업심의위원회 개최
|
|
COR-006
|
표준 지침 준수
|
|
COR-007
|
정보시스템 등급제
|
|
COR-008
|
안전보건 관리
|
|
합 계
|
37
|
□ 클라우드 관리 요구사항(CMR, Cloud Managed Requirement)
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-001
|
|
요구사항 명칭
|
자원 및 서비스 현황 관리
|
|
요구사항
상세설명
|
정의
|
운영관리 대상 자원 및 서비스의 현황관리
|
|
세부내용
|
o 운영관리 대상 정보자원 현황
|
구분
|
단위
|
수량
|
|
이용 가상서버(운영체제 포함)
|
VM(식)
|
62
|
|
이용 노드
|
노드(식)
|
12
|
|
이용 클러스터 개수
|
클러스터(식)
|
3
|
- 필요 가상자원 및 서비스
|
구분
|
수량
(CSP : KTC)
|
|
스토리지
(1년 증가량 포함)
|
Block
|
HDD
|
3,000GB
|
|
SSD
|
22,900GB
|
|
Object
|
-
|
|
NAS
|
3,800GB
|
|
CDN
|
-
|
|
네트워크
|
공인IP
|
7set (4개당 1set)
|
|
LB
|
48
|
|
IPSec VPN
|
-
|
|
보안
|
WAF
|
2
|
|
IPS or IDS
|
1
|
|
DB보안(데이터암호화)
|
6
|
|
서버접근제어
|
7set (10개당 1set)
|
|
DB접근제어
|
6
|
|
서버백신
|
60
|
|
백업
|
백업(2주 보관 예상)
|
1.5T
|
|
운영관리
|
모니터링 및 보안관제 등
|
62
|
|
기타
|
개인정보접속기록
|
-
|
|
서버보안(os)
|
60
|
o 운영관리 대상 정보자원을 목록화하고, 관리정책을 마련
- 운영현황에 대한 자료를 정기적으로 최신화
|
|
산출 정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-002
|
|
요구사항 명칭
|
서비스 운영 모니터링
|
|
요구사항
상세설명
|
정의
|
24X365 운영 관리 및 상시 보안관제 대응체계 운영
|
|
세부내용
|
o 클라우드 기반 실시간 운영관리를 위해 운영관리 대상 정보자원의 운영현황 관리 및 점검 수행
o 운영 대상 : 서버, 시스템SW, 네트워크, 보안, AP 및 CSP 보안관제
o 24시간 365일 운영현황 관리
- 운영 대상 정보자원의 정상 가동 및 운영상태 상시 모니터링
- 정보자원의 사용현황(CPU, Memory, Disk) 및 가용량, 트래픽, 임계치 등 사용량 점검
- 운영 중 이슈 발생시 조치 및 문제점에 대한 개선방안 제시
o 보안관제 현황 관리
- 침입 및 침해사고 발생 시 즉시 보고
- 원인 및 내용, 조치 현황 등 사고 대응은 「국가정보보안 기본지침」 등 관련 규정에 명시한 기준에 따라 조치
- 이상징후 및 사고에 대한 원인 파악 및 문제해결 방안, 재발방지대책 마련
※ 부처 사이버보안센터, 국정원 등 상급기관 보안관제 연동 요청시 지원 수행
o 전문관제 도구를 이용한 VM관제(실시간 사용률, 이벤트 관제 등) 수행 및 무중단 서비스 운영을 위해 휴일‧야간 관제 인력 상주
o 클라우드 네이티브 기반의 시스템 전환 사업(행안부 긴급신고공동관리센터)에 제시된 운영 성과지표*를 측정하여 월간 운영보고서에 제시
*변경 요청 처리율, 배포주기 단축률, 자원 절감률, 운영·관리 복잡성 비용 절감률 등
|
분류
|
성과지표명
|
지표 정의
|
|
즉시 서비스 개선
|
SR처리 시간
|
● SR요청, 분석/설계, 개발, 테스트, 배포 완료까지의 평균 시간
|
|
소스코드 배포시간
|
● 개발이 완료된 소스코드의 빌드버전을 배포하는데 걸린 시간
|
|
소스코드 배포건수
|
● 개발이 완료된 소스코드의 빌드버전 배포 건수를 1년 단위로 환산
|
|
신규 변경기능 중간시간
|
● 신규/변경 기능 배포로 인해 시스템이 중단된 시간
|
|
신규 변경기능 중단건수
|
● 신규/변경 기능 배포로 인해 중단된 시스템 건수를 1년 단위로 환산
|
|
배포 업데이트 복구시간
|
● 배포한 서비스 오류발생으로 인해 서비스가 중단된 시점부터 원상복구 되기까지의 평균 시간
|
|
배포 업데이트 복구건수
|
● 배포한 서비스 오류 발견 시 원상복구 건수를 1년 단위로 환산
|
|
서비스 중단 시간 감축
|
시스템 가용률
(장애만 제외)
|
● 측정 기간에서 장애 등 의도하지 않은 중간 시간만을 제외하고, 실제로 시스템이 사용 가능(서비스 제공, 기능변경, 배포 등)했던 시간을 기준으로 측정된 가용성
|
|
시스템 가용률 (장애와 의도적중단 제외)
|
● 측정 기간에서 장애 등 의도하지 않은 중단시간과 기능변경, 배포 등 의도한 중단시간 등을 모두 제외하고, 이용자가 실제로 시스템이 사용가능했던 시간을 기준으로 측정된 가용성
|
|
장애 확산 방지
|
평균 장애 서비스 비율
|
● 클라우드 네이티브 전환 전/후의 전체 서비스 대비 장애 발생 서비스 비율
|
|
안정성 강화
|
장애발생건수
|
● 5분 이상 장애가 발생한 건수를 1년 단위로 환산
|
|
평균 장애복구시간
|
● 정보시스템 장애 발생으로 인해 서비스가 중단된 시점부터 정상 운영되기까지의 평균 시간
|
|
비용절감
|
7년 TCO
|
● 해당 정보시스템의 총 7년간 TCO 측정
|
|
|
산출 정보
|
월간 운영보고서, 성과지표 최종 결과보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-003
|
|
요구사항 명칭
|
장애관리 및 침해대응
|
|
요구사항
상세설명
|
정의
|
클라우스 자원 및 서비스 장애 예방·대응체계 운영
|
|
세부내용
|
o 장애발생시 신속한 대응을 위해 비상연락체계(NIA, CSP, AP, 이용기관)를 구축하고, 상시 현행화
- MSP는 클라우드 자원 및 웹서비스(URL) 등 장애발생 시 상시 복구가 가능하도록 근무외 시간(야간, 휴일 등)에도 24시간 365일 장애 대응체계를 유지하여야 함
o 장애발생시 MSP 자체 및 비상연락망 내 전파를 위해 SMS, MMS, 이메일 등을 통해 장애상황이 지정담당자에게 자동 발송되는 체계 마련
o 장애대응 및 복구 등 표준절차 마련
- 발생 가능한 장애상황을 사전 식별하고 시나리오 작성
- 식별된 시나리오를 고려하여 대응방안 및 복구체계 마련
- 장애 대응을 위한 조직 및 역할, 처리 등 협조체계를 통해, 장애발생시 절차에 따라 신속하게 서비스 정상화 수행
※ 장애처리 주체는 MSP이며, 협조체계에 따라 CSP·AP 등 각각의 역할 수행
- 장애 발생 시 장애 원인을 분석하여 긴급 복구 수행 및 해결방안 제시
- 장애 원인 파악을 위해 구간별(인프라, AP, 네트워크, 보안) 점검 방안 제시
※ 사고 조사 및 장애 원인파악 등을 위해 VM, 어플리케이션 로그 1년 이상 보관(장기보관 또는 통합로그 수집 서버 구성 등) 환경 구성
- 장애처리 결과보고 및 조치사항에 대한 장애일지(보고서) 작성
o 관제현황(장비상태, 이벤트 등) 분석을 통해 반복 장애 원인 파악 및 사후 조치방안 이력관리 등 동일 장애가 반복되지 않도록 재발 방지대책을 마련하여 선제적 장애 예방 이행
o 서비스수준협약(SLA)에 명시된 시간 내 해당 서비스 장애 처리 및 복구 조치
- 장애처리 및 복구조치 등 장애조치 허용시간은 이용기관과 협의 후, 서비스수준협약(SLA)에 명시하고 준수
o 클라우드 운영시 발생할 수 있는 DDoS 공격, 보안사고 등 침해사고 관련, 침해사고 대응절차 및 지원체계를 마련하고 이용기관의 요청이 있을 경우 전문가를 투입하여 증거확보, 피해원인 분석 등을 지원해야 함
|
|
산출 정보
|
월간 운영보고서, 장애대응 계획서, 장애조치 결과보고서(장애일지)
침해대응 계획서, 침해조치(원인분석)결과서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-004
|
|
요구사항 명칭
|
백업 및 복구
|
|
요구사항
상세설명
|
정의
|
벡업 정책 수립 및 복구, 모의 훈련
|
|
세부내용
|
o 운영대상 정보자원의 백업 정책 수립 및 정기적인 백업 수행
- 데이터 유실에 대비한 백업 정책 수립
- 백업 스케줄에 따른 백업 및 복구 수행
- 백업 현황 및 처리 결과 등 수행 현황 관리
- 백업 요청사항에 대한 정책 점검 및 정책 추가 반영
o 장애처리 및 재해, 재난 등 비상시 복구 지원
o 백업 정책 및 결과점검을 위한 모의훈련 수행
- 백업 시점과 100% 동일하게 복구 될 수 있어야 함
※ 백업 모의훈련 수행은 기관 요청 시 수행하며 훈련 범위, 횟수에 따라, 추가 자원할당 등으로 비용 발생이 되는 부분은 이용기관과 별도 협의
|
|
산출 정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-005
|
|
요구사항 명칭
|
기술지원
|
|
요구사항
상세설명
|
정의
|
클라우드 운영, 서비스 이용기술 지원
|
|
세부내용
|
o 이용기관의 문의 및 요구수렴을 위한 서비스 요청 창구(Service Request) 제공
- 서비스 요청/접수 및 처리 등 이력관리 가능한 Tool 활용
- 문의 및 요청사항 이력관리 세부 분석으로 애로사항에 대한 해결방안 제공
o 클라우드 서비스 이용 기술지원
- 서비스 정상 여부 확인 및 모니터링 등 가상자원(CPU, Memory, Disk) 최적화를 위한 기술지원과 (비용 및 성능)최적화 방안 마련 및 결과보고서
- 기관 사이버안전센터 및 CSP사에서 취약점으로 인한 업데이트 전달 시 중요 업데이트 적용 및 국가정보보안지침 등을 준용한 보안관리 지원
- 해킹사고, 장애대응, 재발방지 등 관련 문제상황 분석 필요시 기술지원
- 오픈소스 SW 구성 변경시 이용기관과 기술지원 범위 협의
- 오픈소스 OS, 시스템SW 관련 취약점 점검 및 패치 지원
- 이용기관 요청시 CSP 제공 서비스 상품 소개 지원
o 부처 사이버보안센터, 국정원 등 상급기관의 보안관제, 사고조사, 사이버공격 및 위협 예방, 정보보안 등 관련 지원 수행
|
|
산출 정보
|
사업수행계획서, (비용 및 성능) 최적화 결과보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-006
|
|
요구사항 명칭
|
운영지원
|
|
요구사항
상세설명
|
정의
|
사업수행계획 수립, 이용계약/서비스수준협약(SLA) 체결, 업무연속성 확보
|
|
세부내용
|
o 운영관리 사업 수행계획서 수립
- 시스템 운영환경 및 이용지원 이슈 등을 고려하여, 효율적인 클라우드 서비스 운영관리를 위한 사업수행계획 수립
※ (인프라 및 보안 관제) 24시간×365일 무중단 인프라 및 보안 관제
(장애관리) 서비스 및 인프라 장애 발생 시 신속 조치 및 데이터 백업
(S/W 업데이트) 주기적인 시스템·보안장비 등의 중요 업데이트 적용
(정보보안) 국가정보보안지침 등을 준용한 클라우드 운영 보안관리 등
- CSP와 이용기관의 보안관리체계 및 공급망 관리정책 수립 관련 보안 요구사항 반영
◦ 서비스 이용중 재난·위기상황 발생시 그에 대한 예방·대비·대응·복구 등 이용기관의 업무연속성 보장을 위한 계획 수립 지원 및 클라우드컴퓨팅 서비스의 연속성 확보 방안 마련
- CSP 변경 등 운영환경 이슈 발생시 중단없는 서비스 제공을 위해 서버 및 데이터 이관 지원 수행
◦ 이용기관과 협의하여 백업·비상복구·변경관리·침해사고대응 등 클라우드 컴퓨팅 시스템 운영의 전반적인 절차에 관한 표준운영절차(SOP) 마련, 준수
- 사이버공격 정보를 수집․분석․대응할 수 있는 보안관제 추진방안 마련
o 제안사는 클라우드 정보시스템의 안정적 이용을 위해 이용기관이 제시한 서비스수준협약(SLA) 체결
- 클라우드 전환사업 계약특수조건 및 표준 이용 계약서, SLA 표준안 반영
- 국가·공공기관 클라우드 컴퓨팅 보안 가이드라인을 준수하여 보안수준을 포함한 서비스수준협약(SLA) 체결
|
|
산출 정보
|
사업수행계획서, 클라우드 임차계약서, 서비스 이용요금 명세서, 이용계약서, 서비스수준협약(SLA), 표준운영절차서(SOP)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-007
|
|
요구사항 명칭
|
클라우드 네이티브 운영 요구사항
|
|
요구사항
상세설명
|
정의
|
클라우드 네이티브 운영 및 유지보수를 위한 활동
|
|
세부내용
|
o 클러스터의 EOS를 고려한 주기적인 업데이트 적용
o 파드(Pod), 컨테이너(Container)에 대한 운영 현황관리 및 점검 수행
- 사용 현황(CPU, Memory, Disk) 및 가용량, 트래픽, 임계치 등 사용량 점검
- 운영 대상 정보자원의 정상 가동 및 운영 상태 상시 모니터링
- 운영 중 이슈 발생 시 조치 및 문제점에 대한 개선 방안 제시
- 백업 스케줄에 따른 클러스터 백업 및 복구 수행
o 사용자의 급증 및 서비스 부하에 따라 파드(Pod), 노드(Node)의 탄력적 자원 운영관리
o 아우터 아키텍처(오픈소스 SW)에 대한 운영관리 및 유지보수
- 아우터 아키텍처 구성 변경 시 이용 기관과 기술 지원 범위 협의
- 아우터 아키텍처 보안취약점 발생 시 조치 및 패치 수행
- 주기적인 아우터 아키텍처의 중요 업데이트 적용
- 오픈소스 SW의 EOS 시, 이용 기관과 대체 SW 도입 기술 지원 협의
|
|
산출 정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 관리 요구사항
|
|
요구사항 고유번호
|
CMR-008
|
|
요구사항 명칭
|
모의훈련
|
|
요구사항
상세설명
|
정의
|
비상상황에 대비한 모의훈련, 비상상황 발생시 협조체계
|
|
세부내용
|
o 제안사는 실제 장애 및 재난 상황이 발생했을 경우 실질적으로 도움이 될 수 있도록 비상상황 대비를 위한 모의훈련을 수행해야 함
- 침해사고 대응, 장애대응, 백업데이터 복구 등 모의 훈련 수행방안 제시
※ 내용과 방식, 횟수는 이용기관과 협의에 따라 결정함
※ 단 비용발생이 되는 부분은 이용기관과 별도 협의하여 수행
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서(모의훈련 계획서, 모의훈련 결과서)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
□ 클라우드 서비스 요구사항(Cloud Service Requirement)
|
요구사항 분류
|
클라우드 서비스 요구사항
|
|
요구사항 고유번호
|
CSR-001
|
|
요구사항 명칭
|
클라우드 컴퓨팅 보안 준수 요건
|
|
요구사항
상세설명
|
정의
|
클라우드 서비스 제공자 등에 대한 보안 요구사항
|
|
세부내용
|
◦ 클라우드 기반 보안 기본원칙
- 업무포털, 그룹웨어 등 비공개 업무 용도로 쓰이는 영역과 인터넷 서비스를 제공하는 영역을 분리하여 운영하여야 함
- 민간 클라우드가 내부망과 연동되면 내부망으로, 인터넷망과 연동되면 인터넷망으로 간주하고 보안관리를 해야함
- 클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고, 국가․공공기관용 클라우드 컴퓨팅 서비스의 자원 출입통제, 운영인력 등은 민간 이용자용 클라우드 컴퓨팅 서비스 영역과 분리 운영해야 함
- 해킹 및 비인가자에 의해 중요 업무자료 송수신 과정에서 스니핑 등의 공격으로 탈취 시 열람·실행이 불가토록 데이터를 암호화하여야 함
- 중요 업무자료에 대한 생성․보관․처리․수신을 위한 정책적․기술적 방안 및 암호화 수준 등에 대한 보안요구사항 도출
- 가상사설망·호스트 자료유출 방지 제품 등 정보보호 제품을 도입하여 저장 및 송수신되는 중요 업무자료를 암호화하는 경우 검증필 암호 모듈 탑재제품을 이용
- 클라우드 내에 존재하는 자원에 대한 기술적·정책적 보안관제 방안 마련을 위한 보안 관제센터 설치 및 운영에 필요한 제반 환경 구축을 지원하여야 함
- 클라우드 컴퓨팅 서비스 보안 검증 기준 관련 법률 및 지침, 보안관리체계, 보안 사항 등을 고려하여 SLA를 체결하여야 함
- 클라우드 컴퓨팅 도입·운용에 있어서 사용자와 해당 시스템 관리자를 지정 운용
- 업무 또는 데이터와 연관된 법령, 수행 요구사항, 정책, 규정, 표준, 가이드라인 등을 참고해 보안 위협 대상 식별 및 주기적 관리하여야 함
- 정보보안 감사에 필요한 관련 자료에 대한 종류를 정의하고, 필요시 이용기관 보안담당자에게 해당 감사 로그를 제공하여야 함
- 이용대상에 대한 시스템 중요도 등급 분류 및 클라우드 영역 분류를 수행하고 관련 보안기준을 마련
◦ 클라우드 기반 인프라 보안
- 전자정보 저장매체 불용처리 관련 규정은 CSP의 내부 지침을 따르되, 기관의 필요에 따라 관련 보안 요구사항을 수용하여야 함
- 기존 정보시스템 환경에서 클라우드 가상환경으로 전환 시 안전한 이전 수단을 이용
- 이용기관에 필요한 네트워크장비 보안관리 및 유지보수 관련 보안요구사항이 있을시 협의, 반영
◦ 클라우드 가상환경 보안
- 가상환경에 시스템, 애플리케이션, SaaS 등 도입 및 개발시, 운영중인 클라우드 서비스 환경과 분리, 비인가 접근 통제
- 저장자료의 절취, 위․변조 및 훼손 등 사고가 발생하지 않도록 비인가자의 무단 접속 금지, 단말기 보안관리, 해킹 차단, DDoS 공격 대비 방안 마련
- 가상서버 내 저장자료에 대해 업무별·자료별 중요도에 따라 사용자의 접근권한을 차등 부여하여 접근 통제를 하여야 함
- 가상서버의 운용에 필요한 서비스 포트 외에 불필요한 서비스 포트를 제거하고 관리용 서비스와 사용자용 서비스를 분리하여 운영하여야 함
- 가상서버의 관리용 서비스 접속시 특정 IP와 MAC 주소가 부여된 관리용 단말을 지정하여 운용하여야 함
- 가상서버 데이터베이스에 대하여 사용자의 직접적인 접속을 차단하고 개인정보와 같은 중요정보 암호화 등 데이터베이스별 보안 조치하여야 함
- 비인가자의 가상서버 내 비공개 정보에 대한 무단 접근을 방지하기 위하여 접근 사용자를 제한하고 불필요한 계정을 주기적으로 관리하여야 함
- 가상서버의 서비스에 필요한 프로그램을 개발하고 시험하기 위하여 사용된 도구(컴파일러 등)를 개발 완료 후 삭제하여야 함
- 가상환경 내 백신을 최신 상태로 유지하고 주기적인 점검 실시
- 가상서버 내 사용 금지 대상 응용 프로그램에 대한 보안 통제 방안을 마련하여 관리
- 가상서버에 악성코드가 설치되거나 발견 시 악성코드 감염원인 규명 등을 위한 격리 조치, 정보보안담당관에게 관련 사실 통보, 재발방지를 위한 원인분석 및 예방
- 해킹을 통한 자료 절취, 위․변조, DDos 공격 등 대비한 보안대책 마련
- 이동식 저장매체 사용 통제, 다중 인증 등을 포함한 접근 제한 방안을 마련하여 수행
- 사용자별 또는 그룹별로 접근권한을 부여하여 비인가자 도용 및 불법 접속에 대한 보안관리를 수행하여야 함
- 비밀번호 관리방안을 마련하여 수행하여야 함
- 웹 방화벽, 서버 보안, 백신, DB 보안, 시스템접근제어, 개인정보보호 및 국가정보원 CC인증 제품 활용 등 보안 서비스 제공하여야 함
- 국가정보원이 도입요건 확인을 완료한 민간 클라우드컴퓨팅서비스를 이용해야 함
◦ 클라우드 기반 인증 및 권한
- 접근 주체(사용자, 시스템 관리자 등)별로 접근할 수 있는 접근 대상을 정의하고 이에 대한 인증 방안을 마련하고 이력관리를 하여야 함
- 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 사용자 인증을 수행하여야 함
- 중요정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도로 통제
- 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여여 함
- 특정 이용자에 할당된 자원 및 데이터에 임의 접근하지 못하도록 접근제어 및 격리 등 기술적 통제수단 마련 및 관리자 등에 따른 접근 권한 및 접근 영역을 명확히 분리하도록 접근통제체계 구축
- 정보시스템 운영관리기관 필요에 따라 클라우드 접근 대상 별로 기관의 인증 체계와 연동할 수 있는 인증 시스템을 설계 및 구축하여야 함
※ 단 비용발생이 되는 부분은 이용기관과 별도 협의하여 수행
- (감사) 사용자 기록 등 로그 관리를 통한 감사 기록을 유지하여 사고 발생 시 원인 규명 및 감시체계 확립
- (악성코드 감염 방지) 바이러스, 웜, 트로이목마 등의 악성코드에 의한 위협 제거를 위해 악성코드 방지대책 마련 및 주기적 점검실시
◦ 클라우드 데이터
- 데이터 유형, 법적 요구사항, 민감도 및 중요도에 따라 데이터를 분류하고 관리하여야 함
- 개인정보 보호법으로 보호받는 데이터(개인정보, 민감정보 등)외 가상머신, 스토리지 등에 저장된 비개인정보 데이터는 그 소유권이 행정안전부에 있음을 서비스 수준 협약 단계에서 명시하고 서비스 이용 외 활용시 소유기관의 사전승인을 받아야 함
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서, 보안관리계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 서비스 요구사항
|
|
요구사항 고유번호
|
CSR-002
|
|
요구사항 명칭
|
클라우드 서비스 공통 요구사항
|
|
요구사항
상세설명
|
정의
|
클라우드 서비스 구성을 위해 필요한 공통요구사항
|
|
세부내용
|
◦ 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조 제2항 (정보보호에 관한 기준) 및 「클라우드 컴퓨팅 서비스 정보보호에 관한 기준」 (과학기술정보통신부 고시), 「행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시」(행정안전부), 「행정기관 및 공공기관 정보자원 통합기준」(행정안전부), 국가 정보보안 기본지침 및 「사이버안보 규정」 등을 준수
◦ 제안사는 이용기관 클라우드 서비스 사업자(CSP)와 협력하여 서비스 제공방안을 제시하고 착수계 제출시 공급에 대한 확인 서류 제출
|
|
산출 정보
|
사업수행계획서(클라우드 서비스 공급 및 기술지원 확인 서류 포함)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 서비스 요구사항
|
|
요구사항 고유번호
|
CSR-003
|
|
요구사항 명칭
|
클라우드 서비스 제공 기본사항
|
|
요구사항
상세설명
|
정의
|
클라우드 서비스 제공을 위한 준수사항 및 기본 기능
|
|
세부내용
|
◦ 이용기관 CSP 환경을 고려하여 안정성 및 가용성이 보장된 컴퓨팅 환경 및 클라우드 서비스 제공
- 네트워크 스위치, 스토리지 등 중요 장비를 이중화하고 클라우드 컴퓨팅 서비스의 가용성을 보장하기 위해 백업체계 구축
- 사용자의 급증 및 서비스 부하에 따라 탄력적으로 시스템 자원 운영 기능 제공
◦ 용도별 저장공간 제공을 위해 스토리지 서비스를 제공
- Block Storage, Object Storage, NAS 등의 스토리지 서비스를 제공하여야 하며 스토리지 용량의 축소 및 확장 가능하여야 함
◦ 이미지, 동영상 등 대용량 컨텐츠의 빠른 전송을 보장하기 위해 CDN(콘텐츠 전송 네트워크) 서비스 지원
- 부하분산 및 서비스 연속성을 보장하기 위해 두 개 이상의 캐시서버로 구성되어야 함
◦ 데이터를 정기적으로 백업 및 유지, 보관하고 유사시 전체 데이터 복구 및 파일 단위의 복구가 가능한 기능을 제공
◦ 서버 상태 확인을 위해 웹을 통한 원격 모니터링 기능을 제공
- 리소스(CPU, Memory, Disk, Network)사용량을 실시간으로 체크하는 모니터링 기능 제공
|
|
산출 정보
|
운영매뉴얼(서비스 매뉴얼, CSP 제공 기능 설명서 포함), 사업추진결과보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 서비스 요구사항
|
|
요구사항 고유번호
|
CSR-004
|
|
요구사항 명칭
|
클라우드 서비스 품질목표
|
|
요구사항
상세설명
|
정의
|
클라우드 서비스 품질목표 측정방안, 달성방안 제시
|
|
세부내용
|
◦ 발주기관 및 이용기관이 제시한 클라우드 서비스 품질 수준(SLA)에 대한 품질목표 측정방안, 달성방안 제시
◦ 서비스 운영 측면의 VM 생성 및 자원변경, 보안관제서비스 제공, 응대 및 처리방안 제시
◦ 백업, 보안/침해사고 해결 등 보안관리적 지표, 목표수준 및 보상정책 제시
(붙임 1. 보안위규 처리기준 참고)
◦ 장애 처리율, 원인확인 및 보고 등 장애 및 문제관리를 위한 지표, 목표수준 및 보상정책 제시
◦ 서비스 만족도를 제고를 위한 구성 및 변경 지원, 교육 지원 등 이용기관 운영지원을 위한 지표, 목표수준 및 보상정책 제시
◦ 본 사업의 추진으로 인해 변동된 정보자원에 관한 정보를 정보자원관리시스템(irm.go.kr)에 갱신해야 함
◦ 클라우드 전환 성과지표 측정
|
분류
|
성과지표명
|
지표 정의
|
|
즉시 서비스 개선
|
SR처리 시간
|
● (정의) SR요청, 분석/설계, 개발, 테스트, 배포 완료까지의 평균 시간
|
|
소스코드 배포시간
|
● (정의) 개발이 완료된 소스코드의 빌드버전을 배포하는데 걸린 시간
|
|
소스코드 배포건수
|
● (정의) 개발이 완료된 소스코드의 빌드버전 배포 건수를 1년 단위로 환산
|
|
신규 변경기능 중간시간
|
● (정의) 신규/변경 기능 배포로 인해 시스템이 중단된 시간
|
|
신규 변경기능 중단건수
|
● (정의) 신규/변경 기능 배포로 인해 중단된 시스템 건수를 1년 단위로 환산
|
|
배포 업데이트 복구시간
|
● (정의) 배포한 서비스 오류발생으로 인해 서비스가 중단된 시점부터 원상복구 되기까지의 평균 시간
|
|
배포 업데이트 복구건수
|
● (정의) 배포한 서비스 오류 발견 시 원상복구 건수를 1년 단위로 환산
|
|
서비스 중단 시간 감축
|
시스템 가용률
(장애만 제외)
|
● (정의) 측정 기간에서 장애 등 의도하지 않은 중간 시간만을 제외하고, 실제로 시스템이 사용 가능(서비스 제공, 기능변경, 배포 등)했던 시간을 기준으로 측정된 가용성
|
|
시스템 가용률 (장애와 의도적중단 제외)
|
● (정의) 측정 기간에서 장애 등 의도하지 않은 중단시간과 기능변경, 배포 등 의도한 중단시간 등을 모두 제외하고, 이용자가 실제로 시스템이 사용가능했던 시간을 기준으로 측정된 가용성
|
|
장애 확산 방지
|
평균 장애 서비스 비율
|
● (정의) 클라우드 네이티브 전환 전/후의 전체 서비스 대비 장애 발생 서비스 비율
|
|
안정성 강화
|
장애 발생건수
|
● (정의) 5분 이상 장애가 발생한 건수를 1년 단위로 환산
|
|
평균 장애 복구시간
|
● (정의) 정보시스템 장애 발생으로 인해 서비스가 중단된 시점부터 정상 운영되기까지의 평균 시간
|
|
비용절감
|
7년 TCO
|
● 해당 정보시스템의 총 7년간 TCO 측정
|
※ 해당 지표는 기관의 특성 및 정책상 변경 가능
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서, 성과지표 최종 결과보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
클라우드 서비스 요구사항
|
|
요구사항 고유번호
|
CSR-005
|
|
요구사항 명칭
|
클라우드 서비스 최적화
|
|
요구사항
상세설명
|
정의
|
클라우드 전환 정보시스템의 성능, 비용을 위한 최적화 방안 수립
|
|
세부내용
|
◦ 전환이 완료된 행안부 긴급신고공동관리센터 시스템에 대한 이용현황 분석
- 유관 기관 및 CSP, MSP, 협력업체 자료 수집
- CSP 할인율 및 최적화 정책 검토 등 시스템 구성현황 분석
◦ 리소스에 대한 가시성 확보
- 구성자료 및 실 자료 비교분석
- 컴퓨팅 자원 및 보안비용, 3rd Party 자원 분석과 모니터링을 통한 사용률 분석
◦ 리소스 튜닝 및 비용 최적화
- 유휴 리소스, 중복 프로세스 제거
- 비용 최적화 방안 수립 및 적용
- 통합 가능 리소스 확인 및 검토를 통한 컴퓨팅 자원 활용률 최적화
◦ 지속적 개선 방안 마련
- 국내외 CSP 가격정책 및 프로모션 확인
- 교육통한 기관 담당자 대상 클라우드에 대한 성숙도 향상
- 최적화 가이드를 통한 지속적 비용 최적화 수행
◦ 성능, 비용 최적화 지표 체계 수립
- 서비스 제공 및 활용에 대한 측정영역, 측정항목, 측정지표 마련
|
|
산출 정보
|
최적화 방안 보고서(분석결과, 개선방안, 지속화방안 등) 및 최적화 가이드라인 업데이트
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
□ 프로젝트 관리 요구사항(PMR, Project Management Requirement)
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-001
|
|
요구사항 명칭
|
수행조직 및 프로젝트 인력방안
|
|
요구사항
상세설명
|
정의
|
프로젝트 참여인력 자격요건 및 인력 투입기준, 관리방안 제시
|
|
세부내용
|
◦ 본 사업에 참여하는 사업관리자(PM)는 프로젝트를 효율적으로 수행할 수 있도록 관련 분야 전문가를 분담자로 지정하여 구성하여야 함
- 하도급을 포함하는 경우 사업자간 명확한 관계, 역할 및 협력방안 제시
◦ 투입인력(투입공수 방식으로 산정)
- [권고사항] 매니지드(상주 관제 등 13MM) 부분의 인력투입 계획 제시를 권고함
- 투입인력은 제시된 투입인력별 투입기간에 상주를 원칙으로 하며, 비상주시에는 명확한 사유가 인정되어야 함
※ 매니지드를 위한 관제 인력의 세부투입 일정은 발주기관 및 이용기관과 협의 필요
◦ 투입공수 방식으로 산정된 인력은 부득이한 사정으로 과업 참여자를 교체할 경우, 신‧규 참여자의 이력사항 및 교체사유를 서면으로 제출하여 주관기관의 승인을 얻어야 하며 과업수행에 차질이 없도록 인수인계를 철저히 하여야 함
◦ 사업관리자(PM)는 주사업자 소속이어야 하며 소속업체 정규직이고, 사업을 총괄할 수 있는 전문인력이어야함
- 전체 사업을 총괄할 수 있는 지식과 경험을 보유한 관리자 선별
|
< 사업수행인력 참여 제한 >
-개인(프리랜서)자격으로 주관사업자 등에 소속되지 아니한 자
-정보통신망이용촉진 및 정보보호에 관한 법률, 전자정부법, 개인정보보호법을 위반하여 벌금이상의 처분을 받은 자
|
◦ 하도급 인력을 투입하는 경우, 중도 이탈, 생산성 저하 등에 대한 통합사업자가 대책을 인력관리 방안으로 제시
◦ 수행조직 외에 본 사업을 성공적으로 수행할 수 있도록 지원 또는 자문조직의 구성을 제시할 수 있으나, 역할과 결과물이 명확해야 함
◦ 근로기준법의 적용을 받는 외주용역사업자는 유연 근무 및 대체휴무 등의 활용을 통한 법정 근로시간 주 52시간 준수
|
|
산출 정보
|
사업수행계획서, 수행 조직도, 월간 투입인력 현황(투입공수 방식으로 산정된 인력) 보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-002
|
|
요구사항 명칭
|
프로젝트 계약 이행
|
|
요구사항
상세설명
|
정의
|
프로젝트 계약이행, PM 요건
|
|
세부내용
|
◦ 계약 이행
- 사업자는 발주기관의 서면에 의한 사전 동의 없이는 계약상의 어떠한 권리, 의무도 타인에게 양도 또는 이전 불가
- 사업 결과에 대한 국내외 법적 권리관계의 문제 발생 시 이에 대한 조치 및 책임은 사업자에 책임(이에 따른 손해배상 책임 포함)
◦ 사업관리자(PM)는 반드시 제안사 소속으로써 본 사업을 총괄할 수 있는 인력이어야 하며, 사업 전체기간 동안 투입되어야 함
|
|
산출 정보
|
착수계(산출내역서), 사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-003
|
|
요구사항 명칭
|
의사소통 관리
|
|
요구사항
상세설명
|
정의
|
이해관계자 간 효율적이고 효과적인 정보 공유
|
|
세부내용
|
◦ 프로젝트 관리 요구사항
- 계약서, 제안요청서, 제안서, 기술협상서에 명시된 사항은 제안사 임의로 해석할 수 없으며, 제안서 해석상 문제 시 제안요청서 내용 우선(이견이 있을 경우 발주기관과 상호협의 결정)
◦ 세부 업무 구분하여 일정 관리, 주기적 보고 등으로 이해관계자와 원활한 의사소통 수행
- 이해관계자 : 서비스 이용기관, 클라우드서비스 제공기관, 보안기관, 국정자원 대구센터, 발주기관
- 사업수행 진행 상황에 대한 보고 활동 수행
- 발주기관 및 이용기관 의견 및 요구사항에 대한 검토 결과 보고
- 기타 현안 발생 시 수시보고
◦ 원활한 사업 추진을 위해 필요시 비정기적인 보고를 요청할 수 있음
- 매월 클라우드 서비스 운영 결과를 발주기관과 이용기관에 보고
- 발주기관 및 이용기관과 회의시 회의록 작성
|
구분
|
보고명
|
보고 내용
|
시기
|
|
정기
보고
|
월간보고
|
- 월간 운영 현황 보고
- 문제점 및 특이사항, 보고
- 이슈 및 개선방안
|
매월
|
|
비정기
보고
|
수시보고
|
- 이슈 및 문제점 협의 등, 긴급 변경 및 서면 요구사항
|
수시
|
◦ 사업 기간 내 이용기관과 긴밀한 협력관계 유지
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-004
|
|
요구사항 명칭
|
유지관리 세부 수행범위 및 지원
|
|
요구사항
상세설명
|
정의
|
유지관리 업무 수행 범위 및 지원 세부내용
|
|
세부내용
|
◦ 유지관리 업무수행을 원활히 추진하기 위한 업무수행 범위를 상세히 정의
- 유지관리 대상(OS포함)의 유지관리 일체(장애예방, 정기점검, 특별점검, 설치(이전,업그레이드,패치,설정), 구성변경, 분석, 복구, 장애이력관리, 타 시스템과의 연계/연동지원 등)
- DBMS 업그레이드, OS 재설치 등 서버와 관련된 모든 작업, 서버 이전설치 등에 대한 기술지원
※ 단 비용 발생이 되는 부분은 이용기관과 별도 협의를 하여 수행
- 유지관리 대상 및 SW 업그레이드, 환경·기능 조정 등 지원
- 클라우드 시스템의 전반적인 유지관리 및 운영
- 유지관리 대상 시스템의 원활한 운영과 안정적인 서비스 제공을 위한 유지관리 대상 장비의 점검
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-005
|
|
요구사항 명칭
|
협조체계 유지 및 운영 방안
|
|
요구사항
상세설명
|
정의
|
원활한 운영을 위해 관련 기관과 유기적인 협조체계 마련
|
|
세부내용
|
◦ 정보화·정보보안 현안 사항 등에 관한 협의 필요시 아래 관계기관과의 유기적 협조방안 제시
- 서비스 운영관리 기관(행정안전부 긴급신고공동관리센터)
- 국가정보자원관리원 대구센터 민관협력형 클라우드 영역 관리자
- 클라우드 서비스 제공 사업자(CSP)
- 애플리케이션 운영 사업자
- 업무서비스와의 연계된 대내외 연계 기관
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-006
|
|
요구사항 명칭
|
리스크 관리 방안 및 품질보증 활동
|
|
요구사항
상세설명
|
정의
|
리스크 발생 시 처리 및 품질보증 확보방안 제시
|
|
세부내용
|
◦ 프로젝트 리스크 관리 방안 제시
- 사업 추진과정에서 발생할 수 있는 예상 리스크를 분석하고 대응방안 제시
◦ 프로젝트 결과물 품질확보를 위하여 품질관리자의 지속적인 품질보증활동 계획 제시
- 품질보증계획 수립, 품질보증 목표 제시
- 계획에 따른 품질보증 수행, 품질 결함분석 및 시정조치, 변경요청
- 품질목표 및 달성방안 제시
◦ 프로젝트 결과물의 품질확보를 위하여 품질관리자에 의한 지속적인 품질보증 활동 수행
- 계획에 따른 품질보증 수행, 품질결함 분석 및 시정조치, 변경요청
- 사업 산출물의 신뢰도 및 전문성, 품질 제고를 위한 활동 수행
- 요구사항대비 산출물의 반영 여부를 추적할 수 있는 활동 수행
- 품질활동 결과 보고서 제출
|
|
산출 정보
|
사업수행계획서, 월간 운영보고서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-007
|
|
요구사항 명칭
|
유지관리 체계 및 인력운영
|
|
요구사항
상세설명
|
정의
|
유지관리 체계 및 인력운영 세부내용
|
|
세부내용
|
◦ 유지관리조직 체계
- 조직체계는 사업관리책임자, 클라우드 유지관리, 관제운영지원 인력으로 나누어 조직운영 방안을 제시하여야 함
- 투입인력 구성시 클라우드 전환사업에 직접 참여하였거나 원활한 클라우드 서비스 유지를 위한 유사 프로젝트 운영 경험이 있는 전문기술인력을 포함하여야 함
◦ 유지관리 비상연락체계는 시스템의 장애발생 시 상시복구가 가능하도록 24시간 365일 대응체계를 유지하여야 함
◦ 인력의 교체시 업무에 공백이 발생하지 않도록 인계·인수를 하고 비상연락체계 등을 현행화하여 운영지원 및 발주기관과 이용기관에 제출하여야 함
|
|
산출 정보
|
클라우드 운영 비상연락망
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-008
|
|
요구사항 명칭
|
인수 및 인계
|
|
요구사항
상세설명
|
정의
|
계약기간 만료 시 인수 및 인계
|
|
세부내용
|
◦ 본 사업 종료 후 사업자 선정 지연 및 사업자 변경에 대비하여 지속적인 서비스 제공 방안 마련 및 업무 인수인계 절차 수립
◦ 계약상대자는 계약기간 만료 시 차기 용역업체로 선정된 사업자가 동 용역 업무를 차질없이 수행할 수 있도록 유지 관리업무 수행에 필요한 업무 전체를 인계해야 함
◦ 인수 및 인계 기간은 차기 사업 개시일로부터 14일 이내로 하여야 함
◦ 차기 사업자 선정이 늦어질 경우, 차기 사업자 계약시까지 운영관리 지원
|
|
산출 정보
|
사업추진결과보고서, 인수인계 계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
프로젝트 관리 요구사항
|
|
요구사항 고유번호
|
PMR-009
|
|
요구사항 명칭
|
산출물 관리
|
|
요구사항
상세설명
|
정의
|
산출물 관리 기본 요건
|
|
세부내용
|
◦ 착수 시 산출물 제출 일정계획 수립, 단계별 산출물을 한국지능정보사회진흥원 및 이용기관에 제출
- 클라우드 서비스 운영관리 계획을 수립하고, 한국지능정보사회진흥원 및 이용기관과 제반 사항을 협의하여 진행
◦ 기본 산출물 목록(예시)
|
구분
|
사업관리
|
비고(제출처)
|
|
NIA
|
이용기관
|
|
1
|
착수계
[붙임1] 계약책임자계
[붙임2] 보안확약서
[붙임3] 보안서약서(참여자)
[붙임4] 보안서약서(대표자용)
[붙임5] 청렴서약서
[붙임6] 산출내역서
사업수행계획서
[붙임1] 기술적용계획표
[붙임2] 클라우드 서비스 공급 및 기술지원 확인
[붙임3] 4단 조견표
- 이용계약서
- 서비스수준협약서(SLA)
|
|
|
|
2
|
장애대응 및 성능개선
- 장애대응 계획서, 장애조치 결과보고서(장애일지 등)
- 성능 측정 계획서, 성능 측정 결과서
- 침해대응 계획서, 침해조치(원인분석) 결과서
- 성과지표 결과보고서
- (비용 및 성능) 최적화 결과보고서
|
|
|
|
3
|
범위 및 변경관리
- 변경관리계획서, 과업변경요청서, 변경관리내역서
|
|
|
|
4
|
일정관리
- 일정관리계획서
- WBS
- 산출물 목록표(관리계획 및 일정표)
|
|
|
|
5
|
의사소통관리
- 고객소통결과보고서(횟수, 고객 민원 대응 결과)
- 착수보고서, 월간 운영보고서, 완료보고서
- 수시보고, 회의록
|
|
|
|
6
|
보안관리
- 보안관리계획서
- 월간 보안교육결과서(착수/신규 투입/정기)
- 보안관리 월별점검표
[붙임1] 정보화용역사업 투입인력 현황
[붙임2] 완전삭제확인서
[붙임3] 출입관리대장
[붙임4] 정보시스템 관리대장
[붙임5] 장비 반출입 대장
[붙임6] 휴대용저장매체 관리대장
[붙임7] 자료관리대장
|
|
|
|
7
|
사업추진결과보고서
서비스 운영매뉴얼(현행화)
인수인계 계획서
|
|
|
|
8
|
준공검사
- 검사요청서
|
|
|
◦ 기타 사업수행 중 필요에 따라 발생하는 산출물(분석서, 보고서 등)은 추가로 정의하여 제출해야 함
◦각 단계별 산출물 제공에 대한 기준
- 각 작업 단계 및 산출물 목록을 제안서에 제시하여야 함
- 산출물의 변경에 대해서는 버전 관리를 수행하여야 함
- 산출물 제출 시기는 사업추진 공정 및 품질보증계획과 연계되어야 하며, 검토 소요일수를 반영하여 제출
- 사업 만료 시 제출하는 최종 산출물은 발주기관의 승인들 득한 후 원본 파일을 USB에 수록하여 2EA 제출
- 사업 종료일 이전에 최종 결과물에 관한 내용 및 양식 등을 협의 후 제출
- 제안사는 사업추진 과정에서 생산되는 제반 작업 단위별 산출물에 대해 작업 일정계획, 품질보증계획과 연계 및 산출물 종류, 주요 내용, 작성 및 제출시기, 제출 부수, 산출물 목록표 등을 제시
|
|
산출 정보
|
산출물 목록표(관리계획 및 일정표)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
□ 보안 요구사항(SER, Security Requirement)
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-001
|
|
요구사항 명칭
|
보안요건 일반사항
|
|
요구사항
상세설명
|
정의
|
사업 수행기간 중 보안활동 방안 제시
|
|
세부내용
|
◦ 사업 수행 중 인원, 문서 및 전산자료 보안 등 [붙임 4] 사업자 보안 준수사항에 명시된 보안관리 사항을 준수해야 하며, 기타 사항은「국가공공기관 정보화용역사업 보안관리 가이드」 및 「국가 정보보안 기본지침」에서 정한 바를 준용
- 계약업체는 사업 전체 단계별 보안관리 방안 및 보안대책(관리․기술․물리․재난복구)을 수립
- 사업 수행기간 동안 보안 관련 법규를 준수하여 보안유지에 적극적으로 협조
- 사업 수행 시 인원, 문서, 자료, 장비 등을 대상으로 보안관리 계획을 수립해야 하며, 보안상 결격 사항이 없도록 조치(참여인력에 대한 신원조사 결과 결격사유가 있는 자에 대한 교체를 요구할 수 있으며 사업자는 이를 수용해야 함)
◦ 본 사업을 수행 중 제안사는 국가정보원의 정보보안 관리실태 평가와 정보화용역사업 보안진단(현장점검) 등에 의해 발견된 취약요소의 조치 및 개선 활동을 성실히 수행해야 함
|
|
산출 정보
|
사업수행계획서(보안관리계획), 점검결과표, 보안관리계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-002
|
|
요구사항 명칭
|
누출금지 대상정보 및 보안 위규 처리
|
|
요구사항
상세설명
|
정의
|
누출금지 대상정보 및 보안 위규 처리에 대한 보안관리
|
|
세부내용
|
◦ 아래 명시된 아래의 ‘누출금지 대상정보’에 대한 보안관리 계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 발주기관은 국가계약법 시행령 제76조에 따라 부정당업체로 등록하여 입찰 참가자격을 제한
|
|
〈 누출금지 대상정보 〉
|
|
|
|
|
|
① 기관 소유 정보시스템의 내ㆍ외부 IP주소 현황
② 세부 정보시스템 구성현황 및 정보통신망 구성도
③ 사용자계정 및 패스워드 등 정보시스템 접근권한 정보
④ 정보통신망 취약점 분석·평가 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입현황
⑦ 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크장비 설정 정보
⑧ 「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상정보로 분류된 기관의 내부문서
⑨ 「개인정보 보호법」제2조제1호의 개인정보
⑩ 「보안업무규정」제4조의 비밀, 同 시행규칙 제7조제3항의 대외비
⑪ 그 밖의 발주자가 공개가 불가하다고 판단한 자료
|
◦ 계약업체는 사업자 보안위규 처리기준을 숙지하며, 보안정책을 위반하거나 내부 자료를 무단으로 유출하는 등 위규 사항이 발생할 경우 아래와 같이 책임 이행
- [붙임1] “사업자 보안위규 처리기준”에 따라 당사자 및 관리자를 행정조치
- [붙임2] “보안 위약금 부과기준”에 따라 위약금을 부과
- [붙임3] “누출금지 대상정보”를 유출한 경우 부정당업자로 제재
- 이외 민ㆍ형사상 모든 책임을 져야 함
◦ 계약업체가 정보보안에 관한 책임사항, 책임범위, 보안대책 위반 시 NIA는 손해배상 책임, 누출금지 대상정보 등을 계약서에 기록할 수 있고, 보안 위반이나 침해사고 발생 시 경위 확인 후 재발방지 대책을 요구할 수 있음
◦ 또한, NIA에서 실시한 기관 자체 보안점검에 따른 보안위규(경미한 사항 포함) 발생 시에도 보안위규에 따른 보안조치를 적용 필요
|
|
산출 정보
|
보안관리계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-003
|
|
요구사항 명칭
|
참여인원 보안관리
|
|
요구사항
상세설명
|
정의
|
사업 참여인원에 대한 보안관리
|
|
세부내용
|
◦ 계약업체는 사업 투입 시 대표자 및 참여인원 대상으로 보안서약서를 제출해야 함
- [서식 6호] 보안서약서(대표자용), [서식 7호] 보안서약서(사업참여자용) 참고
◦ 계약업체 보안책임자(또는 사업책임자)는 참여인원 전원을 대상으로 반드시 보안교육을 실시
- 보안교육 내용은 비밀유지 의무 준수, 위반 시 처벌내용, 누출금지 대상 정보 및 정보 누출 시 부정당업자 제재조치 등을 포함
※ 보안교육결과 보고 시 교육사진 및 참석자 명단을 포함하여 제출
- 사업 시작 후 1개월 안에 사업담당자 주관으로 용역사업자 보안교육 실시 및 결과보고서 작성, 사업담당자가 주기적으로 용역사업장 점검
◦ 사업 종료 시 계약업체는 사업관련 자료는 보유하고 있지 않고 완전삭제 조치해야 하며, 위반 시 향후 법적책임이 있음을 포함한 “보안확약서”를 작성하여 NIA에 제출
- 보안확약서(대표자용) 및 보안확약서(사업참여자용) 서식 참고
|
|
산출 정보
|
보안서약서, 월간 보안교육결과서, 보안확약서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-004
|
|
요구사항 명칭
|
문서 및 자료 보안관리
|
|
요구사항
상세설명
|
정의
|
문서 및 자료에 대한 보안관리 요구사항
|
|
세부내용
|
◦ 계약업체는 NIA로부터 제공받은 제반 자료를 본 사업 이외 목적에 사용할 수 없음
◦ 계약업체 보안책임자는 인계자‧인수자 서명을 포함한 “자료관리대장”(또는 “자료 인수인계 대장”)을 작성하여 NIA로부터 제공 받은 비공개 자료들을 관리
- ‘자료관리대장’은 자료명칭, 자료형태, 인계‧인수 일시, 인계자 성명 및 서명, 인수자 성명 및 서명을 포함하여 작성
- 비공개자료 출력물은 지정된 별도의 장소(시건장치가 부착되어 있는 보관함)에 보관·관리하고, 복사 및 외부반출을 금지
- 비공개자료 생성 시에는 지정장소 내 비공개자료 폴더에 저장하고, 업무별로 지정된 사용자만이 접속이 가능하도록 통제
- 용역사업 관련 자료는 인터넷 웹하드, P2P 등 인터넷 자료 공유사이트 및 개인 메일함에 저장 금지
- 사업 수행으로 생산되는 산출물 및 기록은 목적 외 비인가자에 제공·대여·열람 일체금지
◦ 사업관련 자료는 인터넷 웹하드·P2P 등 인터넷 자료공유 사이트 및 개인메일함 저장 금지(발주기관과 계약업체간 자료전송이 필요한 경우는 발주기관에서 제공하는 전자우편을 이용하여 송·수신하고 주기적으로 메일을 삭제 관리)
- NIA 정보보안기본지침에 의한 비공개(비밀, 대외비 등) 자료는 전자우편으로 수발신 금지
- 자료 암호화 시 비밀번호는 숫자, 문자, 특수문자 등을 혼합한 9자리 이상을 권고하며 유추하기 쉬운 문자열 등이 포함되지 않도록 설정
◦ 사업 종료 후 사업과 관련된 모든 자료를 반환, PC 보관 자료 완전삭제 등 자료가 외부에 유출되지 않도록 필요한 보안조치를 이행
- 참여인력 사용 장비는 완전삭제 반드시 진행 후 사업담당자 확인 및 승인하에 반출
◦ 사업수행 관련 자료 및 사업 수행 시 생산되는 모든 산출물은 NIA에서 지정한 위치(파일서버 등)에 저장 및 관리해야 하며 개인 PC 등에 보관 불가
- 비공개자료 생성 시에는 지정장소 내 비공개자료 폴더에 저장하고, 업무별로 지정된 사용자만이 접속이 가능하도록 통제
- 용역사업 관련 자료는 인터넷 웹하드, P2P 등 인터넷 자료 공유사이트 및 개인 메일함에 저장 금지
- 사업 수행으로 생산되는 산출물 및 기록은 목적 외 비인가자에게 제공·대여·열람을 일체 금지
◦ 사업관련 자료는 지정된 저장소(파일서버 또는 지정PC)에 문서암호화하여 저장하고, 해당 저장소는 인터넷 차단 설정, 사용자별 접근 계정을 부여하여 사용한다. (공용계정 사용 불가, OFF라인 저장소 이용 권고)
◦ 사업담당자 승인없이 사업자의 파일서버나 인터넷 클라우드 저장소 등에 사업관련 자료를 업로드 보관하여 유출(해킹)되지 않도록 한다.
|
|
산출 정보
|
보안관리월별점검표(완전삭제확인서, 자료관리대장(또는 자료 인수인계 대장))
|
|
관련 요구사항
|
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-005
|
|
요구사항 명칭
|
사업수행 장소 보안관리
|
|
요구사항
상세설명
|
정의
|
사업수행 장소(사무실 등)에 대한 보안관리 요구사항
|
|
세부내용
|
◦ 계약업체는 사무실 또는 용역 업무를 수행하는 장소의 매체 및 장비보안을 위하여 시건장치와 통제가 가능하도록 물리적 보안대책을 마련
- CCTV, 시건장치 등 비인가자 출입통제 대책이 마련된 공간을 확보하여 업무를 수행해야 하며, 사업 공간 사용 등은 발주기관과 협의하여 진행
◦ 전산실 등 외부인의 출입이 통제되는 구역에는 2차 출입통제를 적용해야 하며, 출입에 대한 출입자, 출입시간, 출입 사유, 서명 등을 포함한 출입관리대장 기재
◦ 계약업체는 사무실 또는 용역 업무를 수행하는 공간에 대한 보안점검을 월 1회 이상 실시하고, 결과에 대해 발주기관과 이용기관의 확인 및 개선 조치요구 사항을 준수
|
|
산출 정보
|
보안관리월별점검표(출입관리대장)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-006
|
|
요구사항 명칭
|
네트워크 보안관리
|
|
요구사항
상세설명
|
정의
|
네트워크에 대한 보안관리 요구사항
|
|
세부내용
|
◦ 업무 수행 시 참여인력이 사용하는 PC(또는 노트북) 대상으로 인터넷 연결을 원칙적으로 금지하며, 부득이하게 사용할 경우 발주기관과 이용기관의 승인 하에 제한적으로 허용
- 인터넷 PC는 유해사이트 접속 차단, 업무 필요 사이트만 접속토록 침입차단시스템 등을 통해 통제하고 P2P, 웹하드, 메신저 등 자료공유 사이트 활용 원천 차단
- 산출물 및 소스코드를 보관하는 PC는 외부로 자료가 유출되지 않도록 인터넷 연결을 차단해야 하며 그 외 기술적·관리적 보안 대책 마련
◦ 참여인력의 무선 인터넷 활용을 통제하기 위한 대책을 강구(단, 부득이하게 사용해야 하는 경우 발주기관 승인 필요)
- 스마트폰ㆍ휴대폰을 무선 모뎀으로 활용 금지
- 휴대형 무선모뎀(Wibro, HSDPA, Wi-Fi 등) 무단 활용여부 수시 점검, 노트북PC 무선통신 기능 불능화 조치(driver 파일 삭제 등)
|
|
산출 정보
|
보안관리월별점검표, 정보시스템 관리대장 등
|
|
관련 요구사항
|
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
|
요구사항 분류
|
보안 요구사항
|
|
요구사항 고유번호
|
SER-007
|
|
요구사항 명칭
|
장비 및 매체 보안관리
|
|
요구사항
상세설명
|
정의
|
장비 및 매체에 대한 보안관리 요구사항
|
|
세부내용
|
◦ 계약업체는 PC, 노트북, 및 USB 등 관련 장비를 사업공간에 반출입할 수 없음. 단, 그 필요성을 인정한 경우 NIA 승인에 따라 다음과 같은 사전 조치 필요
- 백신 등 PC 보안프로그램 설치 여부 확인
- 악성코드 감염 여부 및 자료 무단반출 여부 확인
- 최신 업데이트가 가능하도록 정품 소프트웨어 설치
- 반입한 장비는 장비 식별번호, 장비 반출·입 일자, 사용자명, 보안조치 점검 유무, 발주기관과 이용기관의 승인 등의 내용을 포함한 ‘장비 반출입 대장’을 작성한 후 라벨을 부착하여 관리
- USB 등의 휴대용 저장매체는 불가피한 경우에만 사용하며, 반출입 및 사용 시에는 라벨부착 및 관리대장에 등재하여 사용
- 반출 시 발주기관과 이용기관의 통제하에 저장자료 완전 삭제 및 담당자 승인 후 반출
- 그 외 발주기관과 이용기관의 반출입 절차 준수
◦ 참여인력이 사용하는 장비에 대해 다음과 같은 보안활동을 실시
- PC 및 노트북에 CMOS, 윈도우 로그인, 화면보호기 패스워드를 설정(영문자, 숫자, 특수문자가 조합된 9글자 이상)
- 월 1회 이상 PC 점검도구를 활용하여 적절한 보안통제가 수행되고 있는지 확인
|
|
산출 정보
|
보안관리월별점검표(장비 반출입 대장, 정보시스템 관리대장, 휴대용 저장매체 관리대장)
|
|
관련 요구사항
|
보안 요구사항
|
|
요구사항 출처
|
국가정보보안 기본지침, NIA 정보보안기본지침
|
□ 제약사항(COR, Constraint Requirement)
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-001
|
|
요구사항 명칭
|
하도급 관리
|
|
요구사항
상세설명
|
정의
|
하도급 관리 방안 제시
|
|
세부내용
|
◦ 제안사 소속 이외의 인력은 하도급으로 간주하며, 하도급 계약 시 소프트웨어 진흥법 제51조, 같은 법 시행령 제48조에 의하여 사전 승인 필요
- 하도급 계약은 물품(HW, 설비, 상용SW 등)의 구매금액을 제외한 소프트웨어 사업금액의 50% 초과 금지
◦ “소프트웨어사업 계약 및 관리감독에 관한 지침” 제19조에 따라 본 사업수행 시 하도급 예정자는 반드시 “소프트웨어사업 계약 및 관리감독에 관한 지침”을 참고하여 “소프트웨어사업 하도급 계획 적정성 확인서”를 작성해 제안서와 함께 제출
- 하도급대금 지급내역의 증빙자료 포함 ‘하도급계약 준수실태 보고서’ 제출 필요
|
|
산출 정보
|
하도급계약 승인 신청서, 하도급계약 준수실태 보고서(하도급 계약 적정성 검토 결과)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-002
|
|
요구사항 명칭
|
기술지원
|
|
요구사항
상세설명
|
정의
|
주요 서비스 제공 업체와 기술지원 확인
|
|
세부내용
|
◦ CSP, 전용회선 업체 등 주요 서비스 제공 업체와의 협력체계 운영
- 원활한 장애 복구 및 중단 없는 서비스 제공을 위해 제안사는 주요 서비스 제공 업체와 기술지원 협력체계를 운영하여야 함
|
|
산출 정보
|
사업수행계획서(클라우드 서비스 공급 및 기술지원 확인 서류 포함)
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-003
|
|
요구사항 명칭
|
사업 수행장소 상호협의 결정
|
|
요구사항
상세설명
|
정의
|
사업 수행장소 상호협의 결정 및 관련 사항 상호 협의
|
|
세부내용
|
◦ 계약당사자는 사업 수행을 위해 필요한 작업장소 등(장소, 설비, 기타 작업환경)을 상호협의하여 결정
◦ 발주기관은 사업수행공간을 제공하지 않으며, 제안사는 전용접속 통신망을 개설하고 보안장비를 갖춘 공간에서 사업을 수행하여야 함
◦ 국정원 보안성 검토 결과에 따라 사업수행 장소에 대하여 요구되는 각종 보안조치를 수행하여 야 함
- 사업 수행을 위해 필요한 작업장소 비용은 사업예산 내 계상되어 있으므로 관련 비용을 포함하여 제안가격을 산출하되, 작업장소는 상호협의하여 결정
◦ 제안사는 본 제안요청서에 명시한 보안요구사항 및 프로젝트 관리 요구사항 등을 모두 충족하는 작업장소 및 관련 보안 대책을 명확히 제시하여야 하며, 발주기관에서는 제시된 작업장소에 관해 우선 검토
(다만, 발주기관에서는 제안사가 제시한 작업장소가 보안요구사항을 준수하지 못한 경우 거부할 수 있음)
|
|
산출 정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-004
|
|
요구사항 명칭
|
지식재산권
|
|
요구사항
상세설명
|
정의
|
지식재산권 귀속 요건
|
|
세부내용
|
◦ 본 사업과 관련하여 구현된 산출물에 대한 지적재산권은 발주기관과 제안사가 공동 소유(「용역계약일반조건」계약예규 제35조의2)
◦ 국내외 지식재산권, 저작권, 특허권 비용 발생 시 본 사업 포함 진행
- 최종 산출물의 국내외 지식재산권, 저작권, 특허권 등 침해 이유로 발주기관 상대로 소송 제기 시, 발주기관은 책임지지 않으며 사업자가 관련 소요경비 일체 제공
|
|
산출 정보
|
사업수행계획서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-005
|
|
요구사항 명칭
|
과업심의위원회 개최
|
|
요구사항
상세설명
|
정의
|
과업심의위원회 개최 및 운영
|
|
세부내용
|
◦ (과업내용 확정 심의 여부) 본 사업은 「소프트웨어 진흥법」 제50조에 따른 과업내용 확정을 위하여 과업심의위원회를 개최한 사업
- “소프트웨어사업 과업심의위원회” 구성 및 개최 요청 절차 등 관련 법령 준수
◦ (과업내용 변경) 본 사업은 「소프트웨어 진흥법」 제50조, 같은 법 시행령 제47조 제1항 제2호, 제3호에 따른 과업내용 변경 및 그에 따른 계약금액·계약기간 조정이 필요한 경우, 계약상대자는 국가기관등의 장에게 소프트웨어사업 과업변경요청서*를 제출하여야 하며, 국가기관등의 장은 과업심의위원회 개최 요청에 대해서 특별한 사정이 없으면 수용
- 단, 국가기관등의 장과 계약당사자가 합의한 경우로서 과업심의위원회 개최를 요청하지 아니한 경우에는 과업변경 심의를 예외
* 「소프트웨어사업 계약 및 관리감독에 관한 지침」 별지 13호서식 참조
|
|
산출 정보
|
변경관리계획서, 과업변경요청서, 변경관리내역서
|
|
관련 요구사항
|
|
|
요구사항 출처
|
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-006
|
|
요구사항 명칭
|
표준 지침 준수
|
|
요구사항
상세설명
|
정의
|
사업 추진 시 준수해야 할 규정에 관한 사항
|
|
세부내용
|
◦ 행정기관 및 공공기관 정보시스템 구축·운영 지침(행정안전부)
◦ 전자정부 웹사이트 품질관리 지침(행정안전부)
◦ 행정안전부 정보화업무 처리규정(행정안전부
◦ 한국형 웹 콘텐츠 접근성 지침(국립전파연구원)
◦ 모바일 애플리케이션 콘텐츠 접근성 지침(국립전파연구원)
◦ 전자정부 성과관리 지침(행정안전부)
◦ 모바일 전자정부 서비스 관리지침(행정안전부)
◦ 행정기관의 코드표준화 추진지침(행정안전부)
◦ 행정정보데이터베이스 표준화 지침(행정안전부)
◦ 행정기관 도메인이름 및 IP주소체계 표준(행정안전부)
◦ 행정·공공기관 웹사이트 구축·운영 가이드(행정안전부)
◦ 공공 웹사이트 플러그인 제거 가이드라인(행정안전부)
◦ 디지털 정부서비스 UI/UX 가이드라인(행정안전부)
◦ 정보시스템 성능관리 지침(한국정보통신기술협회)
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 출처
|
상기 지침 고시 부서
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-007
|
|
요구사항 명칭
|
정보시스템 등급제
|
|
요구사항
상세설명
|
정의
|
정보시스템 등급제
|
|
세부내용
|
◦ 제안사는 행정안전부가 「정보시스템 등급제」 추진을 위하여 정보시스템의 등급 분류 및 관리에 관한 자료를 요구할 경우 이에 응하여야 한다.
◦ 제안사는 행정안전부가 지정한 정보시스템 등급에 따라 장애관리, 행정정보관리, 보안관리 등을 수행하여야 한다.
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 출처
|
행정기관 및 공공기관 정보시스템 구축·운영 지침
|
|
요구사항 분류
|
제약사항
|
|
요구사항 고유번호
|
COR-008
|
|
요구사항 명칭
|
안전보건관리
|
|
요구사항
상세설명
|
정의
|
안전보건관리 계획서 수립 및 관리방안 확보
|
|
세부내용
|
◦ 안전‧보건관리 계획 수립
- 안전한 작업환경 조성을 위해 본 용역에 대해 다음 사항에 포함된 안전‧보건관리 계획을 수립하여야 한다.
|
|
〈 안전보건수준 계획서 주요 제시사항 〉
|
|
|
|
|
|
○ 안전보건관리 인력의 구성·운영방안
○ 안전보건관리책임자, 관리감독자 등의 안전보건관리 활동계획
○ 종사자에 대한 안전보건교육계획
○ 작업 관련 실적, 작업자 이력·자격·경력현황
○ 최근 산업재해 발생현황
|
◦ 사업장 및 수행인력에 대한 안전·보건관리
- 계약상대자는 안전보건에 관한 교육, 유해·위험요인 조사 및 관리 등 안전·보건관리 계획 및 안전·보건 관계 법령에 따른 의무이행 사항을 점검·조치 등 관리하여야 한다.
|
|
산출 정보
|
|
|
관련 요구사항
|
|
|
요구사항 출처
|
산업안전보건법, 중대재해처벌법
|
❍ 작업장소
- 사업수행장소는 이용기관에서 제공하며, 그 외 작업환경에 대해서는 이용기관과 사업자가 협의하여 결정
- 사업자는 국가정보자원관리원 대구센터 민관협력존 입주시스템의 운영정책·기준에 따른 관제방안 및 운영조직체계 등 사업 수행방안을 제시하여야 함
❍ 인력은 자사인력으로 구성하여야 함
- 소속 외의 인력은 하도급으로 간주하며, 주관기관의 승인을 얻지 못할 경우에는 자사인력으로 대체하여야 함
※ 단, 상용S/W, 패키지 등의 서비스 지원인력, 외부 자문인력 등 통상적인 투입인력이 아닌 경우는 제안서에 명기하지 말 것(참여인력에서 제외)
❍ 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제12조 및 시행규칙 제14조 규정, 「용역입찰유의서」 제 12조에 저촉될 경우 입찰은 무효로 함
❍ 계약상의 사업을 수행함에 있어 부실, 조잡 또는 부당하게 하거나, 부정한 행위를 한 사업자는 향후 신규 사업의 참여에 제한을 받을 수 있음
❍ 사업 추진 시 천재지변, 전염병(코로나바이러스감염증-19 등) 등 불가항력적인 상황에 따라, 과제의 전부 혹은 일부를 변경, 계약해제 또는 해지할 수 있음
- 과제를 변경하고자 할 경우 계약상대자와 상호 협의하여 기획재정부 계약예규 "용역계약일반조건" 제16조에 따라 계약을 변경할 수 있음
- 계약의 해제 또는 해지는 기획재정부 계약예규“용역계약일반조건” 제30조에 따름
- 불가항력에 따른 손해가 발생한 경우에는 기획재정부 계약예규 “용역계약일반조건” 제24조에 따라 별도의 회계법인을 지정하여 손해 상황 조사‧확인한 후 용역금액을 변경하거나 손해액의 부담 등에 대하여 상호협의해야 함
❍ 기타 준수사항
- 본 사업은 발주기관이 제시하는「행정공공기관 정보시스템 클라우드 전환통합사업 계약특수조건」등의 절차를 준수하여야 함
1. [붙임 1] 사업자 보안위규 처리기준
2. [붙임 2] 보안위약금 부과 기준
3. [붙임 3] 누출금지 대상 정보
4. [붙임 4] 사업자 보안관리 준수사항
5. [붙임 5] 개인정보시스템 사업담당자 준수사항
6. [붙임 6] 기술적용 계획표
※ 본 사업에는 응용 소프트웨어 기능개선 과업(상용소프트웨어 CUSTOMIZING 포함)이 없어 소프트웨어 영향평가 검토결과서 미첨부
사업자 보안위규 처리기준
※처리 기준은 사전 협의 후 확정
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
심 각
|
1. 비밀 및 대외비 급 정보 유출 및 유출시도
가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출
나. 개인정보·신상정보 목록 유출
다. 비공개 항공사진·공간정보 등 비공개 정보 유출
2. 정보시스템에 대한 불법적 행위
가. 관련 시스템에 대한 해킹 및 해킹시도
나. 시스템 구축 결과물에 대한 외부 유출
다. 시스템 내 인위적인 악성코드 유포
|
◦사업참여 제한
(부정당업체 등록)
◦위규자 및 직속 감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별 보안교육 실시
|
|
중 대
|
1. 비공개 정보 관리 소홀
가. 비공개 정보를 책상 위 등에 방치
나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
다. 개인정보․신상정보 목록을 책상 위 등에 방치
라. 기타 비공개 정보에 대한 관리소홀
2. 사무실ㆍ보호구역 보안관리 허술
가. 통제구역 출입문을 개방한 채 퇴근 등
나. 인가되지 않은 작업자의 내부 시스템 접근
다. 통제구역 내 장비·시설 등 무단 사진촬영
3. 전산정보 보호대책 부실
가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반
나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신
다. 개발·유지보수 시 무단 원격작업 사용
라. 저장된 비공개 정보 패스워드 미부여
마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장
바. 외부용 PC를 업무망에 무단 연결 사용
사. 보안관련 프로그램 강제 삭제
아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)
|
◦위규자 및 직속 감독자 등 중징계
◦재발 방지를 위한 조치계획 제출
◦위규자 대상 특별 보안교육 실시
|
|
구 분
|
위 규 사 항
|
처 리 기 준
|
|
보 통
|
1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀
가. 주요 현안ㆍ보고자료를 책상위 등에 방치
나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용
2. 사무실 보안관리 부실
가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근
나. 출입키를 책상위 등에 방치
3. 보호구역 관리 소홀
가. 통제ㆍ제한구역 출입문을 개방한 채 근무
나. 보호구역내 비인가자 출입허용 등 통제 미실시
4. 전산정보 보호대책 부실
가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근
나. 비인가 메신서 무단 사용
다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근
라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여
마. PC 비밀번호를 모니터옆 등 외부에 노출
바. 비인가 보조기억매체 무단 사용
|
◦위규자 및 직속 감독자 등 경징계
◦위규자 및 직속 감독자 사유서 /경위서 징구
◦위규자 대상 특별 보안교육 실시
|
|
경 미
|
1. 업무 관련서류 관리 소홀
가. 진행중인 업무자료를 책상 등에 방치, 퇴근
나. 복사기ㆍ인쇄기 위에 서류 방치
2. 근무자 근무상태 불량
가. 각종 보안장비 운용 미숙
나. 경보ㆍ보안장치 작동 불량
3. 전산정보 보호대책 부실
가. PC내 보안성이 검증되지 않은 프로그램 사용
나. 보안관련 소프트웨어의 주기적 점검 위반
|
◦위규자 서면ㆍ구두 경고 등 문책
◦위규자 사유서 / 경위서 징구
|
보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분
|
위규 수준
|
|
A급
|
B급
|
C급
|
D급
|
|
위규
|
심각 1건
|
중대 1건
|
보통 2건 이상
|
경미 3건 이상
|
|
위약금
비중
|
부정당업자 등록
|
총 사업비의 1%
|
총 사업비의 0.5%
|
총 사업비의 0.1%
|
* 위약금 규모는 기관별 사업규모에 따라 조정
* 위규 수준은 [붙임1 사업자 보안위규 처리기준] 참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과
* 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
3. 사업 종료시 지출금액 조정을 통해 위약금 정산
|
① 기관 소유 정보시스템의 내ㆍ외부 IP주소 현황
② 세부 정보시스템 구성현황 및 정보통신망구성도
③ 사용자계정 및 패스워드 등 정보시스템 접근권한 정보
④ 정보통신망 취약점 분석·평가 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입현황
⑦ 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크장비 설정 정보
⑧「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상정보로 분류된 기관의 내부문서
⑨「개인정보 보호법」제2조제1호의 개인정보
⑩「보안업무규정」제4조의 비밀, 同 시행규칙 제7조제3항의 대외비
⑪ 그 밖의 발주자가 공개가 불가하다고 판단한 자료
|
① 참여 인력에 대한 보안관리
❍ 보안서약서 등 제출
- 사업 참여인원에 대해 사업투입 전 자체 보안 교육 후, 보안서약서, 기본보안교육 내용을 제출해야 한다.
❍ 보안교육 실시
- 사업자는 보안인식제고를 위해 주기적으로 자체 보안 교육을 하며, 발주기관이 요구하는 보안교육에 참석해야 한다.
❍ 인력변동 관리
- 시스템 접근 권한을 승인받은 인력 또는 해당 인력의 업무 변동이 있는 경우, 해당 사유가 발생한 후 1일 내에 신고해야 한다.
② 자료․정보 등의 보안관리
❍ 비밀 준수 대상 자료․정보
- 사업자는 아래의 자료나 정보(이하 “비밀정보”라 한다)에 대하여
비밀을 유지하여야 한다.
* 발주기관이 본 사업의 이행을 위하여 사업자에게 서면 또는 구두 등의 방법으로 비밀에 해당한다고 고지하고 제공한 자료나 정보(DB정보, IP 정보, 상세 시스템 구성도 등)
* 법령 또는 발주기관의 내규에 의하여 공개가 제한되거나 비밀을 유지해야 하는 자료나 정보(미공개 출원 정보, 개인정보, 비밀지정문서 등)
* 사업자가 본 계약의 이행 중 발주기관이 제공한 비밀정보를 이용․가공하여 얻은 자료나 정보
❍ 중요정보의 관리
- 사업자는 중요정보의 관리를 위하여 자료명, 인계자/인수자 서명이 포함된 자료 제공대장을 작성해야 한다.
- 인계받은 자료가 더 이상 필요없거나 사업이 종료되는 경우 자료를 반납 및 삭제한 후, 자료 제공대장에 기록 및 사업 담당부서에 제출한다.
❍ 사업관련 자료 보안관리 강화
- 사업관련 자료는 지정된 저장소(파일서버 또는 지정PC)에 문서암호화하여 저장하고, 해당 저장소는 인터넷 차단 설정, 사용자별 접근 계정을 부여하여 사용한다. (공용계정 사용 불가)
- 사업담당자 승인없이 사업자의 파일서버나 인터넷 클라우드 저장소 등에 사업관련 자료를 업로드 보관하여 유출(해킹)되지 않도록 한다.
- 사업관련 자료는 문서암호화 및 OFF-LINE 저장소에 저장을 권고
③ 장소(사무실) 및 전산 장비․매체 보안관리
❍ 사무실 보안관리
- 사업자는 필요시 사무실 또는 용역업무를 수행하는 공간에 대해 일일 보안점검을 해야 하며, 발주기관 보안점검에 따른 지적사항 발생시 [별첨1]에 따른 벌칙 규정을 따른다.
❍ 전산 장비․매체 보안관리
- 사업자는 PC, 노트북 등 전산장비를 반․출입하는 경우, 다음 사항을 사전 확인, 조치해야 한다.
(단, 노트북은 불가피한 경우 발주기관의 승인을 득한 경우에만 반입 가능)
* 반입시 : PMS, 내 PC 지키미 등 PC 보안프로그램 설치 및 바이러스/악성코드 검사
* 반출시 : 저장 데이터 완전 삭제(발주기관 정보보안담당의 사전 확인 필요)
- 사업자는 보안USB 외의 기타 보조기억매체는 사용할 수 없으며, 보안USB 외에는 자료를 저장할 수 없다.
- 사업자는 전산 장비․매체를 승인권자 외의 사용자가 조작․탈취할 수 있도록 방치하면 안된다.
④ 정보시스템 접근 보안관리
❍ 사업자는 정보시스템 사용자 계정 이용시 부여된 권한․목적 이외의 접근을 하면 안 되며, 승인된 사용자만 접근해야 한다.
❍ 사업자는 공용계정을 사용하면 안되며, 사용하지 않는 계정은 주기적으로 삭제해야 한다.
❍ 공유 폴더는 사용해서는 안 된다.
※ 상기 사업자 보안관리 준수사항 중 예외적 허용이 필요한 경우에는, 발주기관 정보보안담당에게 예외 허용사항에 대한 보안성 검토를 요청해야 한다.
※ 상기 보안요구는 원격지 개발장소를 포함한다.
⑤ 내·외부망 접근에 대한 보안관리
❍ 사업장은 업무망과 인터넷망을 분리하고, PC는 업무망과 인터넷망을 혼용해서는 안된다.
❍ 발주기관 내부망에 대한 접속은 반드시 발주기관의 승인을 득한 후 사용하여야 한다.
❍ 사업장의 사업수행목적의 PC는 인터넷 연결을 금지한다. 다만, 불가피하게 인터넷 사용이 필요한 경우는 보안책임관이 접속이 필요한 사이트 목록을 작성하여 발주기관의 승인을 득한 후 사용하여야 한다.
※ P2P, 웹하드 등 인터넷 자료공유사이트로의 접속은 허용이 불가하며 기술적으로 차단하여야 한다.
❍ 사업 참여인원이 발주기관의 정보시스템에 접근하는 경우
- 사용자 계정은 하나의 그룹으로 등록하고 계정별로 접근권한을 차등 부여하되 기관내부문서의 접근을 금지하여야 한다.
- 계정별로 부여된 접근 권한은 불필요시 즉시 권한을 해지하거나 계정을 폐기하여야 한다.
- 계정별 패스워드는 보안정책(숫자, 영문자, 특수문자 등을 혼합하여 9자리 이상)에 부합되어야 하며 보안책임자가 별도로 기록 관리하여 변경이력을 수시로 확인하여야 한다.
- 원격작업은 금지하나 부득이한 경우, 보안대책마련 후 발주기관의 승인을 득하여 한시적으로 사용한다.
⑥ 민간 클라우드 도입 정보화사업 보안특약
❶ 클라우드 컴퓨팅 서비스 사업자는 발주기관의 보안정책을 위반하였을 경우 발주기관의 사업자 보안위규 처리 기준에 따라 위규자 및 관리자를 행정조치 하고, 발주기관의 보안 위약금 부과 기준에 따라 보안위약금을 발주기관에게 납부한다.(사업비 정산 방식)
❷ 클라우드 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여물리적, 관리적, 기술적 보안대책 및 발주기관의 누출금지 대상정보에 대한 보안관리계획을 사업제안서에 기재해야 하며, 해당 정보 누출시 발주기관은 국가계약법 시행령 제76조(부정당업자의 입찰참가자격제한)에 따라 사업자를 부정당업체로 등록한다.
❸ 민간 클라우드 도입 정보화사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안되며, 사업완료시 정보보안 담당자의 입회하에 완전 폐기 또는 반납해야 한다.
❹ 클라우드 사업자는 사업 최종 산출물에 대해 정보보안전문가 또는 전문보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다.
❺ 클라우드 사업자는 발주기관의 클라우드 도입 및 운영 보안 요구사항 충족 시켜야 하며, 보안 요구사항에 근거가 되는 법, 가이드라인, 절차 등은 다음과 같다.
가.「국가정보원법」및「사이버안보업무규정」
나.「전자정부법」동법 시행령
다.「정보통신기반보호법」과 동법 시행령
라.「국가정보보안기본지침(국가정보원)」
마.「국가 클라우드 컴퓨팅 보안 가이드라인 (국가정보원)」
바.「국가·공공기관 업무 전산망 분리 및 자료전송 보안 가이드라인 (국가정보원)」
사.「안전한 정보통신 환경 구현을 위한 네트워크 구축 가이드라인 (국가정보원)」
아.「국가·공공기관 용역업체 보안관리 가이드라인 (국가정보원)」
❻ 클라우드 사업자는 발주기관이 보안 요구사항 준수 모니터링, 외부위협대응, 국가·공공기관 데이터 보호 등의 목적으로 클라우드 사업자의 시설,모니터링 로그, 문서, 데이터 베이스 등에 접근하는 것을 허용하여야 하며, 발주기관은 발주기관 이외의 他 클라우드 컴퓨팅 서비스 임차인 자원에 침범하지 않는 한에서 접근 및 관련 정보를 수집할 수 있다.
❼ 클라우드 사업자는 발주기관의 클라우드 보안관제 수행 및 정부보안 관제체계와 연계하기 위한 제반환경 지원에 적극적으로 협조해야 한다.
❽ 클라우드 사업자는 국가정보원 및 발주기관이 클라우드 컴퓨팅 서비스망 운용 관리에 따른 보안 취약점 개선·발굴, 사이버공격위협에 대한 예방, 대응, 실태평가, 안전성 및 보안대책의 적합성과이행여부확인 등의 목적으로 클라우드 사업자 시설에 대한 현장실사 방문, 안전성 보안 측정실시, 보안진단·점검 등 수행 요청 시 이에 성실히 응해야 한다.
❾ 클라우드 사업자는 국가정보원 및 발주기관이 8항의 현장실사, 안전성 보안측정 실시, 보안점검 등 수행 목적으로 기술적 지원을 요청할 시에 모니터링 도구, 로그 수집 기술 등의 제반 환경을 제공하여야 하며, 발주기관의 기본 형상 변경에 대한 실시간 모니터링 수행 및 형상 변경결과 보고를 발주기관에게 하여야 한다.
10 클라우드 사업자는 사고(해킹 등) 또는 장애 발생 시 발주기관의 사고·장애 대응 절차에 따라 발주기관의 정보보안담당자, 대내외 관련 기관 및 전문가와 협조체계 구성하여 대응하여야 하며, 국가정보원 및 발주기관의 사고·장애 대응 및 예방보안 활동 등에 적극적으로 협조해야 한다.
11 클라우드 사업자는 발주기관의 데이터 보안 규격에 따라 발주기관의 데이터를 검증필 국가표준암호화 암호모듈을 사용하여 전자적으로 안전하게 처리하여야 하며, 발주기관의 데이터가 발주기관의 서비스 및 시스템 영역 외에서 사용되는 것을 방지하여야 한다.
�� 개인정보의 안전성 확보조치 철저(개인정보 보호법 제29조)
○ 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 다음 각 호의 안전성 확보조치를 하여야 한다.
|
구 분
|
주 요 내 용
|
|
내부관리계획(제4조)
|
o 내부관리계획 포함사항 명시 ※ 개인정보 보호책임자 지정, 개인정보취급자 교육 등
|
|
접근권한 관리(제5조)
|
o 개인정보처리시스템의 접근권한 부여․변경․말소 기록 최소 3년간 보관
|
|
비밀번호 관리(제7조)
|
o 안전한 비밀번호 작성규칙 수립․적용
|
|
접근통제 시스템 설치․운영(제6조)
|
o 접근통제 시스템 설치․운영 의무화
※ 접근통제 시스템 : 침입차단(Firewall), 침입탐지(IDS) 기능 포함
|
|
개인정보 암호화
(제7조)
|
o 암호화 대상 : 고유식별정보(주민등록번호,여권번호,운전면허번호,외국인등록번호), 신용카드번호, 계좌번호, 비밀번호, 생체인식정보
o 암호화 기준
|
구분
|
「개인정보 보호법」에 따른 암호화 대상 개인정보
|
|
이용자*가 아닌 정보주체
|
이용자
|
|
정보통신망을
통한 송수신 시
|
인터넷망
|
개인정보
|
|
정보통신망
|
인증정보(비밀번호, 생체인식정보 등)
|
|
저장시
|
저장 위치
무관
|
주민등록번호
|
|
인증정보(비밀번호, 생체인식정보 등)
※ 단, 비밀번호는 일방향암호화
|
|
-
|
여권번호, 운전면허번호,
외국인등록번호, 신용카드번호,
계좌번호, 생체인식정보
|
|
인터넷망 구간,
DMZ
|
고유식별정보
|
-
|
|
내부망
|
고유식별정보
※ 단, 주민등록번호 외의 고유식별정보를 저장하는 경우에는 영향평가 또는 위험도 분석을 통해 암호화 적용여부 및 범위를 정할 수 있음
|
|
개인정보취급자 컴퓨터,
모바일 기기, 보조저장매체 등에 저장 시
|
고유식별정보, 생체인식정보
|
개인정보
|
*「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제4호에 따른 정보통신서비스 이용자
o 암호화 방법 : 공공기관은 국가 암호화 알고리즘, 그 외는 자율
o 암호화 적용 : 고유식별정보 암호화시 지침 시행일로부터 3개월 이내에 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용
|
|
접속기록 보관(제8조)
|
o 개인정보처리시스템 접속기록은 1년 이상 보관, 다만, 정보주체가 5만명 이상 이거나, 고유식별정보 또는 민감정보를 처리하는 경우는 2년이상 보관·관리
o 접속기록은 월 1회이상 점검
|
|
보안프로그램(제9조)
|
o 보안 프로그램(백신 S/W 등) 설치 및 업데이트 ※ 자동 업데이트 또는 일 1회 이상
|
|
물리적 접근 방지(제10조)
|
o 별도의 개인정보 물리적 보관 장소에 대한 출입통제 등
|
|
부칙
|
o 전산센터․클라우드컴퓨팅센터 등의 운영환경에서의 안전조치
|
�� 개인정보처리시스템 위탁 관리 철저
① 위탁목적 등 문서화(개인정보보호법 제26조)
○ 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
|
1. 위탁업무의 목적 및 범위
2. 위탁업무 수행 목적 외 개인정보처리 금지에 관한 사항
3. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
4. 개인정보의 기술적·관리적 보호조치에 관한 사항
※ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
5. 재위탁 제한에 관한 사항
6. 수탁자의 준수 의무 위반시 손해배상 등 책임에 관한 사항
|
※ <참고 1> 표준 개인정보처리위탁 계약서 참고
② 위탁자의 책임과 의무 준수(개인정보 보호법 제26조)
○ 수탁자에 대한 교육 및 관리‧감독
- 수탁자 정기교육, 개인정보처리 실태점검, 위탁계약사항 준수 여부 등
- 개인정보 다운로드 정책 수립·정기점검 수행 등 관리 철저
※ 행정처리 사항(예)
- 수탁업체 대상 교육 결과보고서*(내부결재, 계약 체결 후 1개월 이내)
* 참석자명단, 참석자 서명, 증빙사진 등이 포함된 결과 자료
- 수탁업체 관리‧감독 결과 보고*(내부결재, 연 2회 실시)
* 관련 공문, 관리감독 결과서, 점검표 등 관리‧감독 사실 증빙 자료
○ 개인정보처리방침에 위탁사항을 포함하여 대국민 공개
○ 위탁 종료시 사업수행과정에서 발생한 개인정보 파기결과 확인 및 개인정보처리지침 위탁사항 삭제
<참고 1> 표준 개인정보처리위탁 계약서
|
본 표준 개인정보처리위탁 계약서는 「개인정보 보호법」제26조제1항에 따라 위탁계약에 있어 개인정보 처리에 관하여 문서로 정하여야 하는 최소한의 사항을 표준적으로 제시한 것으로서, 위탁계약이나 위탁업무의 내용 등에 따라 세부적인 내용은 달라질 수 있습니다.
개인정보 처리 업무를 위탁하거나 위탁업무에 개인정보 처리가 포함된 경우에는 본 표준 개인정보처리위탁 계약서의 내용을 위탁계약서에 첨부하거나 반영하여 사용하실 수 있습니다.
|
|
표준 개인정보처리위탁 계약서(안)
OOO(이하 “위탁자”이라 한다)과 △△△(이하 “수탁자”이라 한다)는 “위탁자”의 개인정보 처리업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다.
제1조 (목적) 이 계약은 “위탁자”가 개인정보 처리업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임 아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는 개인정보 보호법, 같은 법 시행령, 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시), 표준 개인정보 보호지침(개인정보보호위원회 고시) 등에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위) “수탁자”는 계약이 정하는 바에 따라 ( ) 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.1)
1. (위탁하는 개인정보 처리 업무 내용을 기재)
2. (위탁하는 개인정보 처리 업무 내용을 기재)
제4조 (위탁업무 기간) 이 위탁 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다. 계약 기간 : 20 년 월 일 ~ 20 년 월 일
제5조 (재위탁 제한) ① “수탁자”는 “위탁자”의 동의를 얻은 경우를 제외하고 위탁받은 개인정보 처리 업무를 제3자에게 재위탁할 수 없다.
② “수탁자”가 “위탁자”의 동의를 받아 개인정보 처리 업무의 전부 또는 일부를 제3자에게 다시 위탁하는 경우에는 “위탁자”에게 재위탁받는 자 및 재위탁 업무의 범위를 알려야 한다. 다만, “수탁자”가 사전에 재위탁의 범위와 재위탁받는 자를 정하여 “위탁자”에게 알리고 동의를 받았을 때에는 그러하지 아니하다.
③ “수탁자”는 이 규정에 따른 재위탁을 문서로 하여야 한다.
④ “수탁자”는 재위탁받는 자의 명칭과 재위탁 업무의 범위를 개인정보 처리방침으로 공개하여야 한다.
제6조 (개인정보의 안전성 확보조치 등) “수탁자”는 개인정보 보호법 제29조, 같은 법 시행령 제30조 및 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시)에 따라 개인정보의 안전성 확보에 필요한 관리적・기술적 및 물리적 안전조치를 하여야 한다.
제7조 (개인정보의 처리 제한) “수탁자”는 계약 기간 동안은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
제8조 (수탁자에 대한 관리・감독 등) ① “위탁자”는 “수탁자”에 대하여 개인정보의 처리 위탁과 관련하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응해야 한다.
1. 개인정보의 처리 현황
2. 개인정보의 접근 또는 접속기록
3. 개인정보 접근 또는 접속 대상자
4. 목적 외 이용・제공 및 재위탁 제한 사항 준수 여부
5. 암호화 등 안전성 확보조치 이행 여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
② “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 현황을 점검하거나 “수탁자” 또는 제3자에 의한 현황 점검을 요구할 수 있고, 점검 사항에 대하여 시정을 요구할 수 있다. “수탁자”는 특별한 사유가 없는 한 “위탁자”의 요구를 이행해야 한다.
③ “수탁자”가 다음 각 호 중 어느 하나에 해당하는 경우에는 그러한 사정을 “위탁자”에게 알리고 위탁받은 개인정보의 처리 업무에 대한 점검 결과를 “위탁자”에게 [ ]개월의 단위로 정기적으로 보고하는 것으로 위 각 항에 따른 “위탁자”와 “수탁자”의 의무 이행에 갈음할 수 있다. “위탁자”에 대한 “수탁자”의 보고의 시기 등에 대하여는 “위탁자”와 “수탁자”가 협의하여 정할 수 있다.
1. 개인정보 보호법 제32조의2에 따른 개인정보 보호 인증(ISMS-P)을 취득하여 주기적으로 점검을 받고 있는 경우
2. 그 외 위 1호에 준하는 경우로서, “위탁자”와 “수탁자”가 합의하여 개인정보 보호법 제31조 제7항의 개인정보 보호책임자 협의회 등에 의한 점검 등을 주기적으로 받고 있는 경우
④ 제3항의 경우에도 “수탁자”는 “수탁자”의 처리위탁 업무와 관련하여 개인정보 보호법 위반 또는 본 계약 위반의 사항이 발생한 경우에는 즉시 이를 “위탁자”에게 통지하여야 하고, “위탁자”의 지시에 따라야 한다.
제9조 (수탁자에 대한 교육) ① “위탁자”는 개인정보 보호법 제26조 제4항에 따라 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실・도난・유출・변조 또는 훼손되지 아니하도록 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다. “수탁자”는 “위탁자”와 협의하여 “수탁자”의 책임 하에 그의 개인정보 취급자 등에게 교육을 실시할 수 있다.
② 제1항에 따른 교육은 집합교육, 온라인 교육 등의 방식 등 교육 목적을 달성할 수 있는 범위 내에서 다양한 방식으로 진행될 수 있으며, 구체적인 방식에 대하여는 “위탁자”와 “수탁자”는 별도로 협의하여 정할 수 있다. 다만, “수탁자”가 자체적으로 또는 제3자인 전문업체를 통해 교육을 실시하는 경우에는 “수탁자”는 교육의 시행 여부 및 결과 등을 “위탁자”에게 증빙자료와 함께 보고하여야 하고, “위탁자”는 보고 내용을 주기적으로 점검할 수 있다.
③ 그 밖에 구체적으로 교육의 시기와 방법 등에 대해서는 “위탁자”는 “수탁자”와 협의하여 시행한다.
제10조 (정보주체 권리보장) “수탁자”는 정보주체의 개인정보 열람, 정정・삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제11조 (개인정보의 파기) ① “수탁자”는 계약이 해지되거나 계약 기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 개인정보 보호법 시행령 제16조에 따라 즉시 파기하거나 “위탁자”에게 반환하여야 한다.
② 제1항에 따라 “수탁자”가 개인정보를 파기한 경우에는 지체없이 “위탁자”에게 그 결과를 통보해야 한다.
제12조 (손해배상) ① “수탁자”가 이 계약에 따른 의무를 위반하여 정보주체 또는 제3자에게 손해가 발생할 경우 “위탁자”와 “수탁자”는 공동으로 정보주체 또는 제3자의 손해를 배상하기로 한다.
② 제1항과 관련하여 정보주체 또는 제3자의 손해를 배상한 당사자는 상대방에게 자신의 부담 비율을 초과하는 부분에 대하여 구상할 수 있다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “위탁자”와 “수탁자”가 서명 또는 날인한 후 각 1부씩 보관한다.
20 . . .
|
[위탁자]
○○시 ○○구 ○○동 ○○번지
행정안전부 장관 (인)
|
[수탁자]
○○시 ○○구 ○○동 ○○번지 (주)0000
성 명 : 홍길동 (인)
|
|
<참고 2> 표준 개인정보처리위탁 계약서(가명정보를 포함할 경우)
|
본 표준 개인정보처리위탁 계약서는 「개인정보 보호법」제26조제1항에 따라 위탁계약에 있어 개인정보 처리에 관하여 문서로 정하여야 하는 최소한의 사항을 표준적으로 제시한 것으로서, 위탁계약이나 위탁업무의 내용 등에 따라 세부적인 내용은 달라질 수 있습니다.
개인정보 처리 업무를 위탁하거나 위탁업무에 개인정보 처리가 포함된 경우에는 본 표준 개인정보처리위탁 계약서의 내용을 위탁계약서에 첨부하거나 반영하여 사용하실 수 있습니다.
|
|
표준 개인정보처리위탁 계약서(안)
OOO(이하 “위탁자”이라 한다)과 △△△(이하 “수탁자”이라 한다)는 “위탁자”의 개인정보 처리업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다.
제1조 (목적) 이 계약은 “위탁자”가 개인정보 처리업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임 아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는 개인정보 보호법, 같은 법 시행령, 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시), 표준 개인정보 보호지침(개인정보보호위원회 고시) 등에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위) “수탁자”는 계약이 정하는 바에 따라 ( ) 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.2)
1. (위탁하는 개인정보 처리 업무 내용을 기재)
2. (위탁하는 개인정보 처리 업무 내용을 기재)
제4조 (위탁업무 기간) 이 위탁 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다. 계약 기간 : 20 년 월 일 ~ 20 년 월 일
제5조 (재위탁 제한) ① “수탁자”는 “위탁자”의 동의를 얻은 경우를 제외하고 위탁받은 개인정보 처리 업무를 제3자에게 재위탁할 수 없다.
② “수탁자”가 “위탁자”의 동의를 받아 개인정보 처리 업무의 전부 또는 일부를 제3자에게 다시 위탁하는 경우에는 “위탁자”에게 재위탁받는 자 및 재위탁 업무의 범위를 알려야 한다. 다만, “수탁자”가 사전에 재위탁의 범위와 재위탁받는 자를 정하여 “위탁자”에게 알리고 동의를 받았을 때에는 그러하지 아니하다.
③ “수탁자”는 이 규정에 따른 재위탁을 문서로 하여야 한다.
④ “수탁자”는 재위탁받는 자의 명칭과 재위탁 업무의 범위를 개인정보 처리방침으로 공개하여야 한다.
제6조 (개인정보의 안전성 확보조치 등) “수탁자”는 개인정보 보호법 제29조, 같은 법 시행령 제30조 및 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시)에 따라 개인정보의 안전성 확보에 필요한 관리적・기술적 및 물리적 안전조치를 하여야 한다.
제7조 (개인정보의 처리 제한) “수탁자”는 계약 기간 동안은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
제8조 (수탁자에 대한 관리・감독 등) ① “위탁자”는 “수탁자”에 대하여 개인정보의 처리 위탁과 관련하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응해야 한다.
1. 개인정보의 처리 현황
2. 개인정보의 접근 또는 접속기록
3. 개인정보 접근 또는 접속 대상자
4. 목적 외 이용・제공 및 재위탁 제한 사항 준수 여부
5. 암호화 등 안전성 확보조치 이행 여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
② “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 현황을 점검하거나 “수탁자” 또는 제3자에 의한 현황 점검을 요구할 수 있고, 점검 사항에 대하여 시정을 요구할 수 있다. “수탁자”는 특별한 사유가 없는 한 “위탁자”의 요구를 이행해야 한다.
③ “수탁자”가 다음 각 호 중 어느 하나에 해당하는 경우에는 그러한 사정을 “위탁자”에게 알리고 위탁받은 개인정보의 처리 업무에 대한 점검 결과를 “위탁자”에게 [ ]개월의 단위로 정기적으로 보고하는 것으로 위 각 항에 따른 “위탁자”와 “수탁자”의 의무 이행에 갈음할 수 있다. “위탁자”에 대한 “수탁자”의 보고의 시기 등에 대하여는 “위탁자”와 “수탁자”가 협의하여 정할 수 있다.
1. 개인정보 보호법 제32조의2에 따른 개인정보 보호 인증(ISMS-P)을 취득하여 주기적으로 점검을 받고 있는 경우
2. 그 외 위 1호에 준하는 경우로서, “위탁자”와 “수탁자”가 합의하여 개인정보 보호법 제31조 제7항의 개인정보 보호책임자 협의회 등에 의한 점검 등을 주기적으로 받고 있는 경우
④ 제3항의 경우에도 “수탁자”는 “수탁자”의 처리위탁 업무와 관련하여 개인정보 보호법 위반 또는 본 계약 위반의 사항이 발생한 경우에는 즉시 이를 “위탁자”에게 통지하여야 하고, “위탁자”의 지시에 따라야 한다.
제9조 (수탁자에 대한 교육) ① “위탁자”는 개인정보 보호법 제26조 제4항에 따라 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실・도난・유출・변조 또는 훼손되지 아니하도록 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다. “수탁자”는 “위탁자”와 협의하여 “수탁자”의 책임 하에 그의 개인정보 취급자 등에게 교육을 실시할 수 있다.
② 제1항에 따른 교육은 집합교육, 온라인 교육 등의 방식 등 교육 목적을 달성할 수 있는 범위 내에서 다양한 방식으로 진행될 수 있으며, 구체적인 방식에 대하여는 “위탁자”와 “수탁자”는 별도로 협의하여 정할 수 있다. 다만, “수탁자”가 자체적으로 또는 제3자인 전문업체를 통해 교육을 실시하는 경우에는 “수탁자”는 교육의 시행 여부 및 결과 등을 “위탁자”에게 증빙자료와 함께 보고하여야 하고, “위탁자”는 보고 내용을 주기적으로 점검할 수 있다.
③ 그 밖에 구체적으로 교육의 시기와 방법 등에 대해서는 “위탁자”는 “수탁자”와 협의하여 시행한다.
제10조 (정보주체 권리보장) “수탁자”는 정보주체의 개인정보 열람, 정정・삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제11조 (개인정보의 파기) ① “수탁자”는 계약이 해지되거나 계약 기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 개인정보 보호법 시행령 제16조에 따라 즉시 파기하거나 “위탁자”에게 반환하여야 한다.
② 제1항에 따라 “수탁자”가 개인정보를 파기한 경우에는 지체없이 “위탁자”에게 그 결과를 통보해야 한다.
제12조 (가명정보의 재식별 금지) ① “수탁자”는 “위탁자”로부터 제공받은 가명정보를 제3조에서 지정한 목적 및 범위로 안전하게 이용하고, 이를 이용해서 개인을 재식별하기 위한 어떠한 행위도 하여서는 아니된다.
② “수탁자”는 “위탁자”로부터 제공받은 정보가 재식별 되거나 가능성이 현저하게 높아지는 상황이 발생하면 즉시 해당 정보의 처리를 중단하고 관련 사항을 “위탁자”에게 알리며, 필요한 협조를 하여야 한다.
③ “수탁자”는 제1항에서 제2항까지의 사항을 이행하지 않아 발생하는 모든 결과에 대해 형사 및 민사상 책임을 진다.
제13조 (손해배상) ① “수탁자”가 이 계약에 따른 의무를 위반하여 정보주체 또는 제3자에게 손해가 발생할 경우 “위탁자”와 “수탁자”는 공동으로 정보주체 또는 제3자의 손해를 배상하기로 한다.
② 제1항과 관련하여 정보주체 또는 제3자의 손해를 배상한 당사자는 상대방에게 자신의 부담 비율을 초과하는 부분에 대하여 구상할 수 있다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “위탁자”와 “수탁자”가 서명 또는 날인한 후 각 1부씩 보관한다.
20 . . .
|
[위탁자]
○○시 ○○구 ○○동 ○○번지
행정안전부 장관 (인)
|
[수탁자]
○○시 ○○구 ○○동 ○○번지 (주)0000
성 명 : 홍길동 (인)
|
|
|
사업명
|
클라우드 네이티브 전환 시스템(행안부 긴급신고공동관리센터) 운영관리 사업
|
|
작성일
|
2025. 12.
|
◇ 법률 및 고시 등
|
구분
|
항 목
|
|
법률
|
o 지능정보화 기본법
o 공공기관의 정보공개에 관한 법률
o 개인정보 보호법
o 소프트웨어 진흥법
o 인터넷주소자원에 관한 법률
o 전자서명법
o 전자정부법
o 국가정보원법
o 정보통신기반 보호법
o 정보통신망 이용촉진 및 정보보호 등에 관한 법률
o 통신비밀보호법
o 국가를 당사자로 하는 계약에 관한 법률
o 하도급거래 공정화에 관한 법률
o 지방자치단체를 당사자로 하는 계약에 관한 법률
o 공공데이터의 제공 및 이용 활성화에 관한 법률
o 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
|
|
고시 등
|
o 보안업무규정(대통령령)
o 사이버안보 업무규정(대통령령)
o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령)
o 장애인ㆍ고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시)
o 전자서명인증업무 운영기준(과학기술정보통신부고시)
o 전자정부 웹사이트 품질관리 지침(행정안전부고시)
o 정보보호시스템 공통평가기준(미래창조과학부고시)
o 정보보호시스템 평가·인증 등에 관한 고시(과학기술정보통신부고시)
o 정보시스템 감리기준(행정안전부고시)
o 전자정부사업관리 위탁에 관한 규정(행정안전부고시)
o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규)
o 행정전자서명 인증업무지침(행정안전부고시)
o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시)
o 개인정보의 안전성 확보조치 기준(개인정보보호위원회고시)
o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회고시ㆍ과학기술정보통신부고시)
o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규)
o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규)
o 표준 개인정보 보호지침(개인정보보호위원회고시)
o 엔지니어링사업대가의 기준(산업통상자원부고시)
o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시)
o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시)
o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시)
o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시)
o (계약예규) 용역계약일반조건(기획재정부계약예규)
o (계약예규) 협상에 의한 계약체결기준(기획재정부계약예규)
o (계약예규) 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규)
o 하도급거래공정화지침(공정거래위원회예규)
o 정보보호조치에 관한 지침(과학기술정보통신부고시)
o 개인정보 영향평가에 관한 고시(개인정보보호위원회고시)
o 행정정보 공동이용 지침(행정안전부예규)
o 공공기관의 데이터베이스 표준화 지침(행정안전부고시)
o 공공데이터 관리지침(행정안전부고시)
o 모바일 전자정부 서비스 관리 지침(행정안전부예규)
o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시)
o 국가정보보안기본지침(국가정보원)
o 행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시(행정안전부고시)
o 클라우드컴퓨팅서비스 보안인증에 관한 고시(과학기술정보통신부고시)
|
◇ 서비스 접근 및 전달 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/
미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계ㆍ구현을 검토하여야 한다.
|
O
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
관련규정
|
o 전자정부 웹사이트 품질관리 지침
o 한국형 웹 콘텐츠 접근성 지침 2.2
|
O
|
|
|
|
|
|
o 모바일 전자정부 서비스 관리 지침
|
O
|
|
|
|
|
|
o 장애인ㆍ고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시
|
O
|
|
|
|
|
|
o 디지털 정부서비스 UI/UX 가이드라인
|
O
|
|
|
|
|
|
외부 접근
장치
|
o 웹브라우저 관련
|
|
- HTML 4.01/HTML 5, CSS 2.1 / CSS 3
|
O
|
|
|
|
|
|
- XHTML 1.0
|
O
|
|
|
|
|
|
- XML 1.0, XSL 1.0, XSLT 2.0
|
O
|
|
|
|
|
|
- ECMAScript 14th
|
|
|
|
O
|
|
|
o 모바일 관련
|
|
- 모바일 웹 콘텐츠 저작 지침 1.0
(KICS.KO-10.0307)
|
O
|
|
|
|
|
|
- 모바일 애플리케이션 콘텐츠 접근성 지침 2.0
(KSX3253:2016)
|
O
|
|
|
|
|
|
서비스
요구사항
|
서비스관리(KS X ISO/IEC 20000)/ ITIL v3, v4
|
O
|
|
|
|
|
|
서비스 전달
프로토콜
|
IPv4
|
O
|
|
|
|
|
|
IPv6
|
|
|
|
O
|
|
◇ 인터페이스 및 통합 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템 간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 다른 기관과 공유가 가능한 웹서비스는 범정부 차원의 공유ㆍ활용이 가능하도록 지원하여야 한다.
|
O
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
서비스 통합
|
o 웹 서비스
|
|
- SOAP 1.2, WSDL 2.0, XML 1.0
|
O
|
|
|
|
|
|
- RESTful
|
O
|
|
|
|
|
|
o 비즈니스 프로세스 관리
|
|
- UML 2.X / BPMN 2.X
|
|
|
|
O
|
|
|
- ebXML/BPEL/XPDL
|
|
|
|
O
|
|
|
데이터 공유
|
o 데이터 형식: XML 1.0, JSON
|
O
|
|
|
|
|
|
인터페이스
|
o 서비스 발견 및 명세: RESTful API, WSDL 2.0
|
O
|
|
|
|
|
◇ 플랫폼 및 기반구조 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
|
O
|
|
|
|
|
|
o 하드웨어는 다른 기종 간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
|
O
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
네트워크
|
o 화상회의 및 멀티미디어 통신: H.320~H.324, H.310
|
|
|
|
O
|
|
|
o 부가통신: VoIP
|
|
- H.323
|
|
|
|
O
|
|
|
- SIP
|
|
|
|
O
|
|
|
- Megaco(H.248)
|
|
|
|
O
|
|
|
운영체제 및
기반 환경
|
o 서버용(개방형) 운영 체제 및 기반환경
|
|
- POSIX.0
|
|
|
|
O
|
|
|
- UNIX
|
|
|
|
O
|
|
|
- Windows Server
|
|
|
|
O
|
|
|
- Linux
|
O
|
|
|
|
|
|
o 모바일용 운영 체계 및 기반환경
|
|
- android
|
O
|
|
|
|
|
|
- IOS
|
O
|
|
|
|
|
|
데이터베이스
|
o DBMS
|
|
- RDBMS
|
O
|
|
|
|
|
|
- ORDBMS
|
|
|
|
O
|
|
|
- OODBMS
|
|
|
|
O
|
|
|
- MMDBMS
|
|
|
|
O
|
|
|
- TSDBMS
|
|
|
|
O
|
|
|
시스템 관리
|
o ITIL v3, v4 / ISO20000
|
|
|
|
O
|
|
|
소프트웨어 공학
|
o 개발프레임워크: 전자정부 표준프레임워크
|
O
|
|
|
|
|
|
클라우드
컴퓨팅
|
o IaaS
|
O
|
|
|
|
|
|
o PaaS
|
O
|
|
|
|
|
|
o SaaS
|
O
|
|
|
|
|
|
|
◇ 요소기술 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/
미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
|
O
|
|
|
|
|
|
o 데이터는 데이터 공유 및 재사용, 데이터 교환, 공공데이터 제공,데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
|
O
|
|
|
|
|
|
o 데이터는 공공데이터(「전자정부법」 제2조제6호의 행정정보를 말한다)로 제공하기 위하여 기계 판독이 가능한 형태로 정비, 「공공데이터의 제공 및 활성화에 관한 법률」상 제공제외 대상의 별도 테이블 분리ㆍ설계, 품질확보 등이 수행되어야 한다.
|
O
|
|
|
|
|
|
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며, 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부장관에게 보고하고, 「행정기관의 코드표준화 추진지침」에 따라 코드체계 및 코드를 생성하여 행정안전부장관에게 표준 등록을 요청하여야 한다.
|
O
|
|
|
|
|
|
o 패키지소프트웨어는 다른 패키지소프트웨어 또는 다른 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
|
O
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
관련규정
|
o 공공기관의 데이터베이스 표준화 지침
o 공공데이터 관리지침
o 공공데이터 제공ㆍ관리 매뉴얼
|
O
|
|
|
|
|
|
데이터 표현
|
o 정적표현: HTML 4.01 / HTML 5
|
O
|
|
|
|
|
|
o 동적표현
|
|
- JSP 2.x
|
O
|
|
|
|
|
|
- ASP.net
|
|
|
|
O
|
|
|
- PHP
|
|
|
|
O
|
|
|
- 기타 ( )
|
|
|
|
O
|
|
|
프로그래밍
|
o 프로그래밍
|
|
- C
|
O
|
|
|
|
|
|
- C++
|
|
|
|
O
|
|
|
- Java
|
O
|
|
|
|
|
|
- C#
|
|
|
|
O
|
|
|
- 기타 ( )
|
|
|
|
O
|
|
|
데이터 교환
|
o 교환프로토콜
|
|
- XMI 2.0 / XMI 3.2
|
|
|
|
O
|
|
|
- SOAP 1.2
|
|
|
|
O
|
|
|
- API
|
O
|
|
|
|
|
|
o 문자셋
|
|
- EUC-KR
|
O
|
|
|
|
|
|
- UTF-8(단, 신규시스템은 UTF-8 우선 적용)
|
O
|
|
|
|
|
◇ 보안 분야
|
구 분
|
항 목
|
적용계획/결과
|
부분적용/ 미적용시 사유 및 대체기술
|
|
적용
|
부분적용
|
미적용
|
해당없음
|
|
기본 지침
|
|
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 “서비스 접근 및 전달”, “플랫폼 및 기반구조”, “요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
|
O
|
|
|
|
|
|
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 전자서명 또는 행정전자서명을 기반으로 하여야 한다.
|
O
|
|
|
|
|
|
o 네트워크 장비 및 네트워크 보안장비에 임의 접속이 가능한 악의적인 기능 등 설치된 백도어가 없도록 하여야 하고 보안기능 취약점 발견 시 개선ㆍ조치하여야 한다.
|
O
|
|
|
|
|
|
|
|
세부 기술 지침
|
|
관련
규정
|
o 전자정부법
|
O
|
|
|
|
|
|
o 국가정보보안기본지침(국가정보원)
|
O
|
|
|
|
|
|
o 네트워크 장비 구축ㆍ운영사업 추가특수조건(조달청 지침)
|
|
|
|
O
|
|
|
제품별 도입
요건 및 보안
기준
준수
|
o 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 정보보호제품)
|
|
- PKI제품
|
|
|
|
O
|
|
|
- SSO제품(보안기능 확인서 또는 CC인증 필수)
|
|
|
|
O
|
|
|
- 디스크ㆍ파일 암호화 제품
|
O
|
|
|
|
|
|
- 문서 암호화 제품(DRM)(보안기능 확인서 또는 CC인증 필수)
|
|
|
|
O
|
|
|
- 메일 암호화 제품
|
|
|
|
O
|
|
|
- 구간 암호화 제품
|
|
|
|
O
|
|
|
- 하드웨어 보안 토큰
|
|
|
|
O
|
|
|
- DB암호화 제품(보안기능 확인서 또는 CC인증 필수)
|
O
|
|
|
|
|
|
- 상기제품(8종) 이외 중요정보 보호를 위해 암호기능이 내장된 제품
|
|
|
|
O
|
|
|
- 암호모듈 검증서에 명시된 제품과 동일 제품 여부
|
|
|
|
O
|
|
|
o 보안기능 확인서 또는 CC인증 필수제품 유형군(국제 CC인 경우 보안적합성 검증 필요)
|
|
- (네트워크)침입차단
|
O
|
|
|
|
|
|
- (네트워크)침입방지(침입탐지 포함)
|
O
|
|
|
|
|
|
- 통합보안관리(통합로그관리 포함)
|
O
|
|
|
|
|
|
- 웹 응용프로그램 침입차단
|
O
|
|
|
|
|
|
- DDos 대응(성능평가로 도입 가능)
|
O
|
|
|
|
|
|
- 인터넷 전화 보안
|
|
|
|
O
|
|
|
- 무선침입방지
|
|
|
|
O
|
|
|
- 무선랜 인증
|
|
|
|
O
|
|
|
- 가상사설망(검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 네트워크 접근통제
|
O
|
|
|
|
|
|
- 망간 자료전송(2022.1 이전 인증제품)
|
|
|
|
O
|
|
|
- 안티 바이러스(성능평가로 도입 가능)
|
O
|
|
|
|
|
|
- 패치관리
|
|
|
|
O
|
|
|
- 스팸메일 차단
|
|
|
|
O
|
|
|
- 서버 접근통제
|
O
|
|
|
|
|
|
- DB접근 통제
|
O
|
|
|
|
|
|
- 스마트카드
|
|
|
|
O
|
|
|
- 디지털 복합기 (비휘발성 저장매체 장착 제품에 대한 완전삭제 혹은 암호화 기능)
|
|
|
|
O
|
|
|
- 소스코드 보안약점 분석도구(성능평가로 도입 가능)
|
O
|
|
|
|
|
|
- 스마트폰 보안관리
|
|
|
|
O
|
|
|
- 소프트웨어기반 보안USB(2020.1.1이전 인증제품, 검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 호스트 자료유출 방지(2021.1.1이전 인증제품, 매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 네트워크 자료유출방지(2021.1.1 이전 인증제품)
|
|
|
|
O
|
|
|
- CC인증서에 명시된 제품과 동일 제품 여부
|
|
|
|
O
|
|
|
o 보안기능 확인서 필수제품 유형군
|
|
- 소프트웨어기반 보안USB(검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 호스트 자료유출 방지(매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수)
|
|
|
|
O
|
|
|
- 망간 자료전송
|
|
|
|
O
|
|
|
- 네트워크 자료유출방지
|
|
|
|
O
|
|
|
- 네트워크 장비(L3 스위치 이상)
|
|
|
|
O
|
|
|
- 가상화관리제품
|
|
|
|
O
|
|
|
o 모바일 서비스(앱·웹) 등
|
|
- 보안취약점 및 보안약점 점검·조치
(모바일 전자정부 서비스 관리 지침)
|
O
|
|
|
|
|
|
- 국가ㆍ공공기관 모바일 활용업무에 대한 보안가이드라인
|
O
|
|
|
|
|
|
o 민간 클라우드 활용
|
|
- 클라우드 서비스 보안인증(CSAP)을 받은 서비스
|
O
|
|
|
|
|
|
- 국가ㆍ공공기관 클라우드 컴퓨팅 보안가이드
|
O
|
|
|
|
|
|
백도어 방지 기술적 확인 사항
|
o 보안기능 준수
|
|
- 식별 및 인증
|
O
|
|
|
|
|
|
- 암호지원
|
O
|
|
|
|
|
|
- 정보 흐름 통제
|
O
|
|
|
|
|
|
- 보안 관리
|
O
|
|
|
|
|
|
- 자체 시험
|
O
|
|
|
|
|
|
- 접근 통제
|
O
|
|
|
|
|
|
- 전송데이터 보호
|
O
|
|
|
|
|
|
- 감사 기록
|
O
|
|
|
|
|
|
- 그 밖의 제품별 특화기능
|
O
|
|
|
|
|
|
o 보안기능 확인 및 취약점 제거
|
|
- 보안기능별 명령어 등 시험 및 운영방법 제공
|
O
|
|
|
|
|
|
- 취약점 개선(취약점이 없는 펌웨어 및 패치 적용)
|
O
|
|
|
|
|
|
- 백도어 제거(비공개 원격 관리 및 접속 기능)
|
O
|
|
|
|
|
|
- 오픈소스 적용 기능 및 리스트 제공
|
O
|
|
|
|
|
|
참고1
|
|
NIA 국가 인공지능 사업추진 윤리원칙
|
|
이해충돌방지 및 청렴계약 안내문
|
|
|
|
본 입찰은 이해충돌 방지법 및 청탁금지법, 국가계약법에서 정한 사항을 준수하여 추진되며, 입찰․낙찰, 계약체결 또는 계약이행 등의 과정(준공․납품 이후를 포함)에서 아래의 사항에 대해 위반이 발생할 때에는 법률에 따라 처벌 및 부당이득의 환수, 입찰․낙찰 취소 등의 처분을 받을 수 있음을 알려드립니다.
|
|
|
|
1. 이해충돌방지법 5조(사적이해관계자 신고·회피 신청 의무) 및 14조(직무상 비밀 등 이용금지)에 근거, 공정한 사업 추진을 위해 본 사업과 관련된 정부위원회(공무수행사인), 사업심의위원 등의 이해충돌 및 직무상 비밀 이용 금지
|
|
|
|
2. 청탁금지법 5조(부정청탁의 금지)에 근거, 특정 개인ㆍ단체ㆍ법인이 계약의 당사자로 선정 또는 탈락되도록 하는 행위 등 직접 또는 제3자를 통하여 직무를 수행하는 공직자 등에게 부정청탁 금지
|
|
|
|
3. 국가계약법 5조 2(청렴계약)에 근거, 금품·향응(취업 제공) 등을 요구 또는 약속하거나 수수(授受)하는 행위, 입찰가격의 사전협의 또는 담합 등 공정경쟁을 방해하는 행위, 알선·청탁을 통하여 특정 정보의 제공을 요구하거나 받는 행위 금지
|
|
|
|
|
|
|
|
|