Contract
행정안전부 고시 제2022-31호
행정기관 및 공공기관 정보시스템 구축·운영 지침
제1장 총 칙
제1조(목적) 이 지침은 「전자정부법」(이하 "법"이라 한다) 제45조제3항에 따라 행정기관등의 장이 정보시스템을 구축·운영함에 있어서 준수해야 할 기준, 표준 및 절차와 법 제49조제1항에 따른 상호운용성 기술평가에 관한 사항을 정함을 목적으로 한다.
제2조(정의) ① 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "사업계획서"란 정보시스템 사업을 추진하기 위해 사업개요, 대상업무 현황, 사업추진계획, 사업내용, 소요예산 등을 구체화한 문서를 말한다.
2. "정보시스템 사업"이란 법 제2조제13호의 규정에 따른 정보시스템을 기 획·구축·운영·유지관리하기 위한 사업을 말한다.
3. "정보시스템 감리사업"이란 법 제2조제14호의 규정에 따른 정보시스템 감리를 하기 위한 사업을 말한다.
4. "전자정부사업관리 위탁사업"이란 법 제64조의2의 규정에 따른 전자정 부사업관리를 위탁하기 위한 사업을 말한다.
5. "기술참조모형"은 정보시스템에서 업무를 지원하는 응용기능을 구현하
기 위하여 필요한 정보기술 및 표준을 분류하고 정의한 체계를 말한다.
6. "제안요청서"란 행정기관등의 장이 입찰에 참가하고자 하는 자에게 제 안서의 제출을 요청하기 위하여 교부하는 서류를 말한다.
7. "제안서"란 입찰에 참가하고자 하는 자가 제안요청서 또는 입찰공고에 따라 작성하여 행정기관등의 장에게 제출하는 서류를 말한다.
8. "하도급"이란 도급받은 정보시스템 사업을 도급하기 위하여 수급인이 제3자와 체결하는 계약을 말하며, 하도급 받은 사업을 재하도급하는 경우 를 포함한다.
9. "사전협의"란 법 제67조, 「전자정부법 시행령」(이하 "영"이라 한다) 제 82조 및 제83조, 「소프트웨어 진흥법」 제47조에 따라 행정기관등의 장 이 추진하고자 하는 정보시스템 사업에 대해 중복성, 상호연계, 공동이용 등과 관련하여 사업발주 이전에 검토·협의하는 업무를 말한다.
10. "유지관리"란 정보시스템 개발·구축 완료 후 기능변경, 추가, 보완, 폐 기, 사용방법의 개선, 문서 보완 등의 정보시스템 개선에 필요한 제반활동 을 의미한다. 단, 하자보수기간 경과 후에 발견된 정보시스템의 결함에 대 한 보수도 포함한다.
11. "운영"이란 개발 완료 후, 인도된 정보시스템에 대해 유지관리를 제외 한 운영기획 및 관리, 모니터링, 테스트, 사용자 지원을 포함한 정보시스 템의 정상적 운영에 필요한 제반활동을 의미한다.
12. "소프트웨어 보안약점"이란 소프트웨어 결함, 오류 등으로 해킹 등 사 이버공격을 유발할 가능성이 있는 잠재적인 보안취약점을 말한다.
13. "소프트웨어 보안약점 진단도구(이하 "진단도구"라 한다)"란 개발과정
에서 소스코드상의 소프트웨어 보안약점을 찾기 위하여 사용하는 도구를 말한다.
14. "소프트웨어 보안약점 진단원(이하 "진단원"이라 한다)"이란 소프트웨 어 보안약점이 남아있는지 진단하여 조치방안을 수립하고 조치결과 확인 등의 활동을 수행하는 자를 말한다.
② 이 지침에서 사용하는 용어의 정의는 제1항에서 정한 것을 제외하고는 다른 법령 및 고시 등이 정하는 바에 따른다.
제3조(적용범위) 법 제2조에서 정하는 행정기관, 공공기관(이하 "행정기관등 "이라 한다)이 정보시스템 사업을 추진하고자 하는 경우에 이 지침을 적용 한다.
제4조(기본원칙) 행정기관등의 장은 정보시스템 사업을 추진함에 있어 다음 각 호의 사항을 준수하여야 한다.
1. 행정기관등의 장은 기관의 정보기술아키텍처 또는 범정부 정보기술아키 텍처를 기반으로 정보시스템을 구축·운영하여야 한다. 단, 영 제54조제3호 에 따라 법 제2조제3호라목의 기관은 행정기관등의 장의 판단에 의해 적 용할 수 있다.
2. 정보시스템에 적용되는 기술은 표준화된 개방형 기술을 사용하는 것을 원칙으로 한다. 단, 비표준의 폐쇄형 기술을 사용하는 경우에는 그 사유를 명시하여야 한다.
3. 데이터의 무결성, 일치성, 기밀성, 가용성 등을 고려하여 구축하여야 한
다.
4. 행정기관등의 장은 정보시스템을 고도화하거나 신규로 구축하는 경우
「공공데이터의 제공 및 이용 활성화에 관한 법률」(이하 “공공데이터 법”이라 한다)에 따른 국민의 공공데이터 이용권을 보장할 수 있도록
「공공데이터 관리지침」을 준수하여야 한다.
5. 법 제51조제1항에 따라 지정된 공유서비스를 우선적으로 사용하여야 한 다.
6. 행정기관의 장은 「소프트웨어사업 계약 및 관리감독에 관한 지침」 제 4조에 따라 사업이 제때에 발주될 수 있도록 하여 적정 사업기간을 보장 하여야 한다.
7. 행정기관의 장은 「지능정보화 기본법」 제8조에 의한 지능정보화책임 관으로 하여금 기관 내 발주자에게 정보시스템 사업, 정보시스템 감리사 업, 전자정부사업관리 위탁사업(이하 ”정보시스템 사업등“이라 한다)에 관 한 제도를 자문하고, 준수현황을 관리하도록 하여야 한다.
8. 공공기관의 장은 「지능정보화기본법」 제8조를 준용 전담인력을 지정 하여 기관 내 발주자에게 정보시스템 사업등에 관한 제도를 자문하고, 준 수현황을 관리하도록 하여야 한다.
제4조의2(정보시스템 사업의 고충해소 지원 등) ① 행정안전부장관은 정보 시스템 사업 계약 당사자 간 고충해소 지원 및 제도개선 등을 위하여 고충 지원센터를 설립할 수 있다.
② 제1항에 따른 고충지원센터는 다음 각 호의 업무를 수행한다.
1. 정보시스템 사업 추진과정에 발생하는 불공정 관행 신고 접수 및 해결 지원
2. 정보시스템 사업의 수·발주 제도의 조사·연구 및 개선사항 발굴
3. 정보시스템 사업의 수·발주 관련 교육
4. 그 밖에 고충해소 지원 및 정보시스템 사업 관련 제도개선 지원을 위해 필요한 사항
③ 고충지원센터는 제2항 각호에 따른 업무를 수행하기 위하여 고충해소 지원에 필요한 범위 내에서 관련 당사자에게 필요한 자료를 요청할 수 있 다.
④ 행정안전부장관은 고충지원센터의 설립·운영에 대한 전문성과 객관성을 확보하기 위하여 한국지능정보사회진흥원에 위탁할 수 있다.
제4조의3(수발주 상생협의체 구성·운영) 행정안전부장관은 정보시스템 사 업의 현장 의견 및 애로사항을 청취하고 제도개선에 반영하기 위하여 기업, 관계 공무원 및 전문가 등으로 구성된 전자정부사업 협의체를 구성·운영할 수 있다.
제5조(다른 법령과의 관계) 사업계획 수립, 정보시스템 사업 발주, 사업자선 정 및 계약, 사업수행 등 정보시스템 구축·운영에 관하여 다른 법령에 특별 한 규정이 있는 경우를 제외하고는 이 지침에서 정하는 바에 따른다.
제2장 사업계획 수립
제5조의2(성과목표 설정) 행정기관등의 장은 정보시스템 사업계획 수립 시 사업을 통해 달성하고자하는 성과목표와 목표치를 설정하고 목표달성 여부 를 객관적으로 측정할 수 있는 성과지표를 제시하여야 한다.
제6조(하드웨어 및 소프트웨어 도입기준) ① 행정기관등의 장은 정보시스 템 사업에서 하드웨어 및 소프트웨어 등 정보자원을 교체 또는 신규 도입 이 필요한 경우 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이 하 "클라우드컴퓨팅법"이라 한다) 제12조 및 제20조에 따라 클라우드 컴퓨 팅 활용을 우선 검토한다.
② 행정기관등의 장은 정보시스템 사업에서 하드웨어를 도입하는 경우 한 국정보통신기술협회에서 정한 "정보시스템 하드웨어 규모산정 지침"을 기 본으로 하되 정보시스템 용도를 고려하여 조정할 수 있다.
③ 행정기관등의 장은 정보시스템 사업에서 소프트웨어를 개발하고자 하는 경우 전자정부표준개발프레임워크의 적용을 우선적으로 고려하여야 한다.
④ 하드웨어 및 상용SW를 구매하려는 경우에는 다음 각 호의 제품을 우 선 구매하여야 한다.
1. 「소프트웨어 진흥법」 제20조에 따른 품질인증(GS인증) 1등급 제품
2. 산업기술혁신촉진법 제16조에 따른 신제품인증(NEP) 제품
3. 산업기술혁신촉진법 제15조의2에 따른 신기술인증(NET) 제품
⑤ 행정기관등의 장은 제4항 각 호의 제품 도입 시 중소기업자가 개발한 제품을 우선적으로 구매할 수 있도록 제안서 기술평가 기준에 평가항목으
로 반영하여야 한다.
제7조(기술적용계획 수립 및 상호운용성 등 기술평가) ① 행정기관등의 장 은 사업계획서 및 제안요청서 작성 시 별지 제1호 서식의 기술적용계획표 를 작성하여야 한다. 다만, 기관의 기술참조모형 또는 사업의 특성에 따라 기술적용계획표 항목을 조정하여 사용할 수 있다.
② 행정기관등의 장은 영 제57조, 제71조에 해당하는 정보시스템 사업을 추진하는 경우 사업계획서 확정 이전에 별지 제2호 서식으로 상호운용성 등 기술평가를 수행하여야 한다.
③ 행정기관등의 장은 제2항 및 제6조제1항부터 제4항까지의 검토결과를 반영하여 사업계획서 및 제안요청서를 작성하여야 한다.
④ 행정기관등의 장은 사업자에게 제1항의 기술적용계획표가 포함된 제안 서 및 사업수행계획서를 제출하게 하여야 한다. 다만, 사업자와 상호 협의 하여 사업수행계획서내의 기술적용계획표는 수정할 수 있다.
제7조의2(소프트웨어 설치없는 웹사이트) 행정기관 등의 장은 전자적 대민 서비스를 구축할 때, 사용자가 별도의 소프트웨어 설치 없이 웹 브라우저만 으로 서비스를 이용할 수 있도록 웹 표준기술을 사용하여 구축하여야 한다.
제7조의3(서비스 안정화) 행정기관등의 장은 전자적 대민서비스의 안정 적인 제공을 위해 정보기술 분야 전문가 및 사용자 테스트, 데이터베이 스 최적화 점검, 모의해킹, 부하테스트 등을검토하여 필요한 사항을 사업
계획서 및 제안요청서에 반영하여야 한다.
제8조(보안성 검토 및 보안관리) ① 행정기관등의 장은 정보시스템을 신·증 설하는 경우 「국가 정보보안 기본지침」 제14조부터 제19조까지에서 규정 한 보안성 검토를 이행하여야 한다.
② 행정기관등의 장은 「국가 정보보안 기본지침」 제11조부터 제39조까지 및 제51조, 제52조에 따라 정보시스템 사업등의 발주, 관리, 운영 등에 필요 한 보안대책을 강구하여야 하며, “국가 공공기관 용역업체 보안관리 가이드 라인”을 준용하여 용역사업 수행업체에 대한 보안관리를 수행하여야 한다.
③ 행정기관등의 장은 개인정보를 수집·처리·활용하여 시스템의 구축 또는 운영, 유지관리 등의 사업을 추진할 경우에는 개인정보가 분실·도난·누출· 변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 강구하여야 한다.
④ 행정기관 등의 장은 전자적으로 처리할 수 있는 개인정보파일 및 개인 정보처리시스템을 신규 구축·운용 또는 변경하려고 하는 경우, 「개인정보 영향평가에 관한 고시」 제9조의2에 따라 개인정보 영향평가를 정보시스템 설계완료 전에 수행하여야 한다.
제9조(예산 및 사업대가 산정) ① 행정기관등의 장은 예산수립, 사업발주, 계약 등에 필요한 정보시스템 사업의 원가 산정 시 「소프트웨어 진흥법」 과 같은 법 시행령에 따른 소프트웨어사업 관련 대가산정 기준을 적용하여 산출하여야 한다.
② 하드웨어 및 소프트웨어 구입비는 다음 각 호의 기준에 따라 산정한다.
1. 조달품목인 경우 조달단가
2. 조달품목이 아닌 경우 최근 도입가격, 또는 유사한 거래 실례가격
3. 제1호, 제2호 외의 경우 3개 이상의 공급업체로부터 직접 받은 견적가격 을 기준으로 한 적정가격
③ 제2항에 따라 구입한 소프트웨어의 유지관리비를 산정하는 경우 「소 프트웨어 진흥법」 과 같은 법 시행령에 따른 소프트웨어사업 관련 대가산 정 기준을 적용하고 그 요율을 명시하여야 한다.
④ 행정기관등의 장은 예산수립 시 제12조에 따른 제안서보상에 관한 비 용, 제30조, 제32조부터 제33조에 따른 제안서평가 관련 비용, 제41조에 따 른 작업장소에 관한 비용을 포함하여 계상하여야 한다.
제9조의2(총사업비관리대상사업 예산관리) ① 총사업비관리대상 사업 중 정보화사업의 총사업비는 「총사업비 관리지침」에 따라 예비타당성 조사, ISMP, 구축단계(분석, 설계, 개발) 중 분석, 설계 단계가 완료될 때 마다 기획재정부와 변경여부를 협의하여야 한다.
② 다음 연도에 구축완료되는 사업에 사업규모, 총사업비, 사업기간 등 의 변경이 필요한 경우, 기획재정부에 당해 연도 5월31일까지 총사업비 조정을 요구하여야 한다.
③ 그밖에 사업규모, 총사업비, 사업기간 등의 변경 등의 세부사항은
「총사업비관리지침」 의 규정을 따른다.
제10조(대기업인 소프트웨어사업자가 참여할 수 있는 사업금액의 하한)
① 행정기관등의 장은 중소소프트웨어사업자를 육성하고 참여를 확대하기 위하여 과학기술정보통신부장관이 고시한 「중소 소프트웨어사업자의 사업 참여 지원에 관한 지침」을 준수하여야 한다.
② 행정기관등의 장은 대기업인 소프트웨어사업자의 참여가 제한되는 사업 인 경우 제안요청서, 제안안내서, 입찰공고문 등에 "대기업참여제한사업"임 을 명시하여야 한다.
제11조(상용 소프트웨어 구매) ① 행정기관등의 장은 「소프트웨어 진흥 법」 제54조에 따라서 상용 소프트웨어를 구매하는 경우에는 과학기술정보 통신부장관이 고시한 「소프트웨어사업 계약 및 관리감독에 관한 지침」에 서 정하는 바에 따른다.
② 「소프트웨어 진흥법」 제55조에 따라 상용 소프트웨어에 대한 품질성 능 평가시험을 실시하는 경우에는 과학기술정보통신부장관이 고시한 「소 프트웨어 품질성능 평가시험 운영에 관한 지침」에서 정하는 바에 따른다.
제12조(제안서 보상) ① 행정기관등의 장은 제안서평가에서 우수한 평가를 받은 자에 대해서는 예산의 범위안에서 제안서 작성비의 일부를 보상할 수 있다.
② 제1항에 따른 제안서 보상 기준 및 절차 등에 관한 사항은 과학기술정 보통신부장관이 고시한 「소프트웨어사업 계약 및 관리감독에 관한 지침」 에서 정한 바에 따른다.
제13조(감리) ① 행정기관등의 장은 정보시스템의 특성 및 사업 규모 등이 영 제71조제1항에 정한 감리대상 사업에 해당하는 경우에는 법 제58조제1 항에 따라 등록한 감리법인으로 하여금 정보시스템 감리를 하게 하여야 한 다. 다만, 영 제71조제2항의 경우에는 그러하지 아니하다.
② 행정기관등의 장은 제1항에 따라 감리를 하는 경우에는 법 제57조제5항 에 따라서 행정안전부장관이 고시한 「정보시스템 감리기준」을 준수하여 야 한다.
제13조의2(전자정부사업관리의 위탁) ① 행정기관등의 장은 전자정부사업 을 효율적으로 수행하기 위하여 영 제78조의2제1항에 따른 전자정부사업의 관리·감독 업무를 영 제78조의3에 따른 전자정부사업관리자에게 위탁할 수 있다.
② 행정기관등의 장은 제1항에 따라 전자정부사업관리를 위탁하는 경우에 는 행정안전부 예규 「전자정부사업관리 위탁용역계약 특수조건」 및 행정 안전부장관이 고시한 「전자정부사업관리 위탁에 관한 규정」을 준수하여 야 한다.
③ 행정기관등의 장은 제1항에 따라 다음 년도에 전자정부사업관리를 위탁 하고자 하는 경우에는 기획재정부의 "예산안 편성 및 기금운용계획안 작성 세부지침"에 따라 전자정부사업관리 위탁 예산을 포함하여 요구한다. 이 경 우 위탁용역 대가산정은 행정안전부장관이 고시한 「전자정부사업관리 위 탁에 관한 규정」을 적용하여 적정규모를 산정한다.
제14조(사전협의) 행정기관등의 장은 영 제82조에 따른 사전협의 대상사업 에 해당하는 경우 사업계획을 수립한 후 지체 없이 영 제83조의 방법 및 절차에 따라 행정안전부장관에게 사전협의를 요청하여야 하며 세부사항은 행정안전부 고시 「전자정부 성과관리 지침」에 따른다.
제14조의2(웹사이트 관리) ① 행정기관등의 장은 웹사이트 구축․운영시 개발 및 품질관리에 관한 사항에 대하여 「전자정부 웹사이트 품질관리 지침」을 준수하여야 한다.
② 행정기관등의 장은 신규 웹사이트 구축 시 불필요한 웹사이트의 통·폐 합 계획을 수립하여 운영 중인 웹사이트의 총량이 증가되지 않도록 하여야 한다.
③ 제2항에도 불구하고, 다음 각호의 웹사이트는 기존 웹사이트 통·폐합 없이 신설할 수 있다.
1. 법령상 구축이 필요한 웹사이트
2. 월10만명 이상 사용이 예상되는 웹사이트
3. 행정기관등의 내부업무용 웹사이트
4. 기관 대표 웹사이트
5. 외국인 대상 웹사이트 등
④ 행정기관등의 장은 기존 운영 중인 웹사이트 중에서 이용빈도가 낮은 웹사이트를 유사 웹사이트에 통합하는 등 웹사이트 총량의 지속적인 감축 을 위해 노력하여야 한다.
⑤ 행정안전부 장관은 매년 각 기관별로 운영 중인 웹사이트 총량을 조사
할 수 있다.
제14조의3(사용자 확인) ① 행정안전부장관은 영 제12조에 따른 민원인 등 의 본인 확인을 위하여 생체인증 등 다양한 인증수단을 제공하는 통합인증 공통기반을 구축 운영할 수 있다.
② 행정기관등의 장은 법 제10조에 따라 전자정부서비스 이용자를 확인 하는 경우 특별한 사유가 없는 한 다음 각호의 방법이 포함되도록 하여 야 한다.
1. 영 제12조제4항에 따른 방법으로 민원인등의 신원을 확인하는 데 공 통적으로 적용되는 운영기반을 활용하는 방법
2. 아이디를 이용하는 경우 제1항에 따른 통합인증 공통기반을 활용하는 방법
제14조의4(분할발주) 행정기관등의 장은 「소프트웨어 진흥법」 제44조에 따라 상세한 요구사항을 작성하기 위하여 외부전문기관 등을 활용하거나 별도로 분석 또는 설계사업을 분할하여 발주할 수 있다.
제3장 정보시스템 사업 발주
제15조(요구사항 정의 명확화) 행정기관등의 장이 제16조에 따라 제안요청 서를 작성할 경우에는 「소프트웨어 진흥법」 제44조와 과학기술정보통신 부장관이 고시한 「소프트웨어사업 계약 및 관리감독에 관한 지침」 제11
조에 따라 요구사항을 상세하게 작성하여야 한다.
제16조(제안요청서 작성) ① 행정기관등의 장은 협상에 의한 계약 또는 경 쟁적 대화에 의한 계약체결 방식으로 사업자를 선정하기 위하여 제안요청 서를 작성하여야 한다.
② 제안요청서에는 다음 각 호의 사항을 명시하여야 한다.
1. 과업내용, 요구사항
2. 계약조건
3. 평가요소, 평가방법
4. 제안서의 규격·제출방법·제본형태
5. 제안서 보상에 관한 사항
6. 사업자가 준수해야 하는 다음 각 목에 관한 사항 가. 제19조에 따른 하도급 대금지급 등
나. 과학기술정보통신부장관이 고시한 「소프트웨어사업 계약 및 관리감 독에 관한 지침」 제19조에 따른 소프트웨어사업 하도급 계획서 제출 요청 및 하도급계약의 적정성 판단 세부기준
다. 제7조제1항에 따른 기술적용계획표
라. 제50조 내지 제53조에 따른 "소프트웨어 개발보안" 적용 마. 제20조에 따른 사업관리자의 제안서 발표 의무화
바. 제44조에 따른 표준산출물 작성 및 제출
사. 사업수행 관련 협력사(하드웨어 또는 상용SW 납품업체 등)에 대한 대금의 지급 시기 등
7. 과학기술정보통신부장관이 고시한 「소프트웨어사업 계약 및 관리감독 에 관한 지침」 제10조에 따른 적정사업기간 산정에 관한 사항
8. 「소프트웨어 진흥법 시행령」 제47조제6항에 따라 사업자가 과업심의 위원회 개최를 요청할 수 있다는 사실 등 과업변경 절차에 관한 사항
9. 「소프트웨어 진흥법」 제49조제3항에 따라 소프트웨어 유지 관리를 제 외한 소프트웨어사업을 발주할 때 소프트웨어사업자가 사업수행 장소를 제 안 가능함을 명시(정보 보안에 관한 사항 등 사업수행 장소에 대한 요건 제시 가능)
10. 그 밖에 필요한 사항
제17조(제안요청서 보안사항 등) 제안요청서를 통해 공개될 경우 보안침해 사고 등이 우려되는 다음 각 호에 관한 사항은 제안요청서에서 제외될 수 있도록 검토하여야 한다. 단, 입찰에 참가하고자 하는 사업자의 요청이 있 는 경우 제안서 작성에 필요하다고 판단되면 보안서약서를 받고 담당자 입 회하에 가능한 범위에서 열람하게 할 수 있다.
1. 정보시스템의 내·외부 IP 주소 현황
2. 정보시스템의 제조사, 제품버전 등 도입현황 및 구성도
3. 정보시스템의 환경파일 등 구성 정보
4. 사용자 계정 및 패스워드 등 시스템 접근권한 정보
5. 정보시스템 취약점분석 결과물
6. 방화벽·침입방지시스템(IPS) 등 정보보호제품, 라우터·스위치 등 네트워 크장비 도입현황 및 설정 정보
7.「공공기관의 정보공개에 관한 법률」 제9조제1항 단서에서 정한 비공개 대상
8.「개인정보 보호법」 제2조제1호에 따른 개인정보
9.「보안업무규정」 제4조의 비밀, 동 시행규칙 제16조제3항의 대외비
10. 그 밖에 행정기관등의 장이 공개가 불가하다고 판단한 자료
제18조(평가배점) ① 행정기관등의 장은 기술력이 우수한 사업자를 선정하 여 정보시스템 사업등의 품질을 확보하기 위해 「국가계약법 시행령」 제 43조의2, 「지방계약법 시행령」 제44조에 따라서 협상에 의한 계약체결 방 법을 우선적으로 적용할 수 있고, 기술능력평가 배점한도를 90점으로 한다. 다만, 기술능력평가 배점한도 90점을 초과하고자 하는 경우에는 기획재정부 장관과 협의하여야 한다.
② 행정기관등의 장은 제1항에도 불구하고 다음 각 호의 어느 하나에 해당 하는 정보시스템 사업등은 기술능력평가의 배점한도를 80점으로 할 수 있 다.
1. 추정가격 중 하드웨어의 비중이 50% 이상인 사업
2. 추정가격이 1억 미만인 개발사업
3. 그 밖에 행정기관등의 장이 판단하여 필요한 경우
③ 행정기관등의 장은 제1항에도 불구하고 「국가계약법 시행령」 제43조의 3제1항, 「지방계약법 시행령」 제44조의2제1항 각 호의 어느 하나에 해당 하는 정보시스템 사업에 대해서는 경쟁적 대화에 의한 계약을 체결할 수 있 다. 이 경우 계약 체결에 관한 사항은 기획재정부 계약예규 「경쟁적 대화
에 의한 계약체결 기준」을 따른다.
제19조(하도급 대금지급 등) ① < 삭제 >
② < 삭 제 >
③ 행정기관등의 장은 하도급자가 하도급 대금의 직접 지급을 원하는 경우 이해관계자(발주자, 원도급자, 하도급자 등) 간 합의서를 작성하고 하도급자 에게 대금을 직접 지급하여야 한다. 다만, 원도급자가 특별한 사유로 인해 하도급 대금의 직접 지급에 합의하지 않는 경우 원도급자는 발주자로부터 선급금을 받은 날부터 15일 이내에 하도급자에게 선금을 현금으로 지급하 고, 증빙서류를 발주자에게 제출하여야 한다.
④ 행정기관등의 장은 하드웨어 또는 상용소프트웨어를 직접 제조하는 자 가 아닌 하도급자를 통해 구매하는 경우 그 하도급자와 제조사 간 기술 또 는 판매와 관련된 관계임을 입증할 수 있는 증명을 제안서에 포함하여 제 출하도록 제안요청서에 명시하여야 한다.
제20조(제안서 발표) 행정기관등의 장은 사업의 특성상 제안서 발표를 실시 하는 경우 사업관리자(PM)의 전문성, 사업 이해도 등을 종합적으로 평가하 기 위해 사업관리자가 직접 제안서를 발표하도록 제안요청서에 명시하여야 한다.
제21조(제안서 기술평가 기준) ① 제안서 기술평가를 위한 평가항목 및 배 점한도, 평가방법 등은 과학기술정보통신부장관이 고시한 「소프트웨어 기
술성 평가기준 지침」에서 정하는 바에 따른다.
② < 삭 제 >
③ 행정기관등의 장은 공동수급체 구성을 통한 입찰에 대하여는 제1항의 기준 중 "상생협력" 평가항목은 별표 1에 따라 평가하여야 한다.
④ 행정기관등의 장은 기술평가 변별력이 확보되도록 사업의 특성을 고려 하여 최소 6개 이상의 평가항목을 상대평가 항목으로 지정하여야 한다.
제22조(예정가격 비치) ① 행정기관등의 장은 「국가계약법」 제8조의2,
「지방계약법」 제11조에 따라서 제안서 제출 전까지 예정가격을 결정하고 이를 밀봉하여 미리 개찰장소 또는 가격협상장소 등에 두어야 하며 예정가 격이 누설되지 아니하도록 하여야 한다.
② 행정기관등의 장은 「국가계약법 시행령」 제7조의2제2항, 「지방계약법 시행령」 제8조제2항에 해당하는 경우 예정가격을 작성하지 아니할 수 있 다.
제23조(예정가격의 결정기준 등) 예정가격 결정기준, 결정방법에 관한 사항 은 「국가계약법 시행령」 제8조 및 제9조, 「지방계약법 시행령」 제9조 및 제10조에서 정한 바에 따른다.
제24조(제안요청서 사전공개) ① 행정기관등의 장은 입찰참여의 균등한 기 회 제공을 통한 공정한 경쟁을 위하여 입찰공고 전에 제안요청서를 사전 공개·열람토록 하여 의견을 제시할 수 있도록 하여야 한다. 다만, 다음의
경우에는 사전공개 절차를 생략할 수 있다.
1. 경쟁에 부칠 여유가 없거나, 수의계약 대상인 경우
2. 지방계약법 적용기관으로서 「지방계약법 시행령」 제32조의2제2항에 해당하는 경우
② 사전공개 기간은 공개일로부터 5일간으로 하되, 조달청 "나라장터 (xxx.x0x.xx.xx)" 및 행정기관 등의 홈페이지, 사회관계망서비스(SNS) 등 가용한 정보통신망을 최대한 활용하여 다음 각 호의 사항을 공개하여야 한 다. 다만, 긴급을 요하는 경우에는 3일간 공개할 수 있다.
1. 사업명
2. 발주(공고)기관
3. 실수요기관
4. 배정예산액
5. 접수일시(의견등록마감일시)
6. 담당자(전화번호)
7. 납품기한
8. 제안요청서
9. 그 밖에 사전공개에 필요한 사항
제25조(사전공개 의견검토 등) ① 행정기관등의 장은 사전공개 결과 사업자 등으로부터 의견이 있을 때에는 적극 검토하여 그 결과를 의견제공자에게 통보하고, 수용한 의견은 제안요청서에 반영하여야 하며, 객관적이고 공정 한 검토를 위하여 제안요청심의위원회를 구성하여야 한다. 다만, 다음 각
호의 경우에는 제안요청심의위원회 구성을 생략할 수 있다.
1. 사업자 등의 의견을 수용하여 제안요청서에 반영하는 경우
2. 행정기관등의 장이 자체 판단하여 의견검토가 가능한 경우
② 제1항의 제안요청심의위원회는 다음 각 호의 기준에 따라 구성한다.
1. 제안요청심의위원회는 학계, 연구계, 산업계 등 10인 이내로 구성하여야 하며, 관련분야별 전문가는 아래 각 목의 기관에 요청하여 구성할 수 있 다.
가. 네트워크장비는 과학기술정보통신부 정보통신산업과
나. 가목 이외 분야는 한국지능정보사회진흥원 또는 정보통신산업진흥원
2. < 삭 제 > 제4항으로 이동
3. 그 밖에 제안요청심의위원회 구성 및 운영에 관하여 필요한 세부사항은 행정기관등의 장이 정한다.
③ 입찰참가업체 등이 행정기관등의 장에게 직접 사전 공개에 대한 의견을 제시하기 곤란한 경우에는 정보통신산업진흥원 SW수발주제도상담센터에 의견을 제시할 수 있다.
④ 제안요청심의위원회는 사업계획서에 특정업체의 규격이 명시되었는지 여부를 심의하여야 한다.
제26조(제안요청서의 교부 또는 열람 등) 제안요청서의 교부, 열람 등에 관 한 사항은 기획재정부 계약예규 「협상에 의한 계약체결기준」 제5조, 행정 안전부 예규 「지방자치단체 입찰시 낙찰자 결정기준」 제5장에서 정한 바 에 따른다.
제27조(입찰공고 기간) ① 입찰공고는 「국가계약법 시행령」 제35조, 「지 방계약법 시행령」 제35조에서 정한 바에 따른다.
② 제1항에도 불구하고 국가를 당사자로 하는 계약이 「국가계약법」 제4 조에 따라 기획재정부장관이 정하여 고시하는 금액 이상으로 국제입찰에 따른 정부조달계약의 범위에 해당하는 경우에는 「특정조달을 위한 국가계 약법 시행령 특례규정」 제11조 제4항에 따라 입찰공고 기간을 단축할 수 있다.
③ 「국가계약법 시행령」 제35조제5항, 「지방계약법 시행령」 제35조제6 항에 따라 다음 각 호의 어느 하나에 해당하는 경우에는 제안서 제출 마감 일의 전날부터 기산하여 10일 전까지 공고할 수 있다.
1. 「국가계약법 시행령」 제20조제2항 및 「지방계약법 시행령」 제19조 제2항에 따른 재공고입찰의 경우
2. 지방자치단체를 당사자로 하는 계약에 관하여 국가 또는 지방자치단체 의 재정정책상 예산의 조기집행을 위하여 필요한 경우
3. 국가를 당사자로 하는 계약에 관하여 다른 국가사업과 연계되어 일정조 정을 위하여 불가피한 경우
4. 지방자치단체를 당사자로 하는 계약에 관하여 국가사업 또는 지방자치 단체의 다른 사업과 연계되어 사업의 일정조정을 위하여 불가피한 경우
5. 긴급한 행사 또는 긴급한 재해예방·복구 등을 위하여 필요한 경우
6. 추정가격이 「국가계약법」 제4조제1항에 의거하여 기획재정부장관이 고시한 금액 미만인 경우
7. 그 밖에 제2호부터 제4호까지의 어느 하나에 준하는 경우 또는 국가를 당사자로 하는 계약에 관하여 제5호에 준하는 경우로서 입찰을 긴급히 입 찰공고 할 필요가 있는 경우
제28조(제안요청 설명회 개최) ① 행정기관등의 장은 사업의 성질·규모 등 을 고려하여 입찰참가자의 적정한 제안을 위한 설명을 실시할 수 있다. 다 만, 추정가격이 20억원 이상인 사업에 대해서는 제안요청 설명회를 실시하 여야 한다.(감염병 예방 등으로 필요한 경우 영상회의 등 온라인 설명회 가 능) 그럼에도 불구하고 최초 공고와 사업범위 및 내용이 동일한 재공고 입 찰의 경우에는 그러하지 아니할 수 있다.(「지방계약법 시행령」 제43조제7 항에 따라 설명회 참석업체만이 입찰에 참가할 수 있을 경우 제외)
② 제1항에 의한 설명을 실시하는 경우 입찰참가자가 알 수 있도록 제안요 청 설명회 일시, 장소 등을 제안요청서에 명시하여 하여야 한다.
제29조(제안서 등의 제출) ① 입찰에 참가하고자 하는 자는 제안요청서에 정한 바 또는 입찰공고에 따라 제안서 및 가격 입찰서를 별도로 작성하여 행정기관등의 장에게 제출하여야 한다.
② 행정기관등의 장은 입찰참가자의 가격입찰서 모두를 함께 밀봉하여 제 35조에 따른 입찰가격 개봉 및 평가 시까지 보관하여야 한다.
제4장 사업자 선정 및 계약
제30조(평가위원회 구성) ① 행정기관등의 장은 사업자를 선정하기 위해 제 안서 기술평가가 필요한 경우 제안서평가위원회를 구성하여야 한다.
② 행정기관등의 장은 기술제안서의 내용 및 기타 평가사항의 심사를 위하 여 공무원, 산업계·학계·연구계 등의 해당분야 전문가로 구성된 평가위원회 를 별표 2의 사업규모에 따른 인원으로 구성·운영할 수 있다. 제안서평가위 원회의 구성 및 운영에 관하여 필요한 세부사항은 행정기관등의 장이 정한 다.
③ 행정기관등의 장은 제2항의 제안서평가위원회를 구성하기 위하여 전체 평가위원 중 과반수를 외부전문가로 위촉하여야 하며, 나머지는 발주담당직 원을 제외한 소속직원을 평가위원으로 위촉할 수 있다. 단, 지방자치단체는 당해 자치단체 공무원을 평가위원으로 위촉할 수 없다.
④ (삭제)
제31조(제안서 사전배포) ① 행정기관등의 장은 제안서의 내용에 대하여 평 가위원의 상세한 검토가 필요하다고 판단되는 경우에는 제안서평가위원에 게 제안서를 사전에 배포할 수 있다.
② 제1항에 의하여 제안서를 사전 배포하는 경우에는 제안서의 내용 등이 외부에 유출되지 않도록 보안서약서 징구 등 필요한 보안대책을 강구하여 야 한다.
제32조(제안서 평가) ① 행정기관등의 장은 제안서의 평가에 있어서 필요한 서류가 첨부되어 있지 않거나 제출된 서류가 불명확하여 인지할 수 없는
경우에는 제안서 내용의 변경이 없는 경미한 사항에 한하여 기한을 정하여 보완을 요구하여야 한다.
② 제1항에 의하여 기한까지 보완 요구한 서류가 제출되지 아니한 경우에 는 당초 제출된 서류만으로 평가하고, 당초 제출된 서류가 불명확하여 심사 가 불가능한 경우에는 평가에서 제외한다.
③ 평가위원회의 요청이 있는 경우에는 제안서를 제출한 자에게 보완자료 등 평가에 필요한 자료를 제출하게 할 수 있다.
④ 평가위원회의 장은 제20조에서 정한 이행여부를 확인하기 위해 제안발 표자의 신분증을 확인한 후 사업관리자와 다를 경우 제안발표를 제외하고 제안서 등 서류만으로 평가하게 하여야 한다.
⑤ 행정기관등의 장은 재공고입찰을 하였으나 「국가계약법 시행령」 제27 조제1항 또는 「지방계약법 시행령」 제26조제1항에 따라 수의계약을 체결 하는 경우에는 기술능력평가 분야 배점한도의 85% 이상일 때 수의계약 대 상자로 정할 수 있다.
제33조(제안서 검토시간 및 평가점수의 조정) ① 제안서 평가를 위하여 평 가위원에게 제안서를 사전 배포하지 않는 경우에는 입찰참가업체의 제안서 발표 이전에 다음 각 호의 추정가격을 기준으로 평가위원에게 제안서 검토 시간을 주어야 한다. 단, 입찰참가업체 수, 평가내용의 난이도 등을 고려하 여 제안서 검토시간을 조정할 수 있다.
1. 추정가격이 10억원 미만 60분 이상
2. 추정가격이 10억원 이상 50억원 미만 90분 이상
3. 추정가격이 50억원 이상 200억원 미만 120분 이상
② 평가위원회의 장은 평가위원별 평가점수를 확인하고 특정업체의 평가점 수를 타 평가위원 보다 현저히 높거나 낮게 부여한 평가위원에게 설명을 요구하고 과반수 이상의 평가위원들이 동의하지 않는 경우 평가점수 조정 을 요구할 수 있다. 단 해당 평가위원의 점수가 모든 입찰참가업체에 동일 하게 높거나 낮게 부여된 경우는 그러하지 아니한다.
제34조(제안서 평가결과 공개 등) 행정기관등의 장은 추정가격이 20억원 이상인 사업의 제안서 평가결과는 다음 각 호의 내용에 따라 별지 제4호 서식으로 입찰참가업체에게 공개하여야 한다.
1. 평가위원 실명은 비공개
2. 과학기술정보통신부장관이 고시한 「소프트웨어 기술성 평가기준 지 침」 별표 1 또는 별표 2의 평가부문별 점수
제35조(입찰가격 개봉 및 평가) 행정기관등의 장은 제32조부터 제33조의 규 정에 의한 제안서 평가 후 지체없이 입찰참가자가 참석한 자리에서 밀봉한 입찰서를 개봉하고 입찰가격에 대한 평가를 실시하여야 한다.
제36조(기술 및 가격협상 절차 등) ① 협상적격자 및 협상순위의 선정, 협 상적격자에 대한 통지, 협상절차, 협상내용과 범위, 협상기간, 가격의 협상, 협상결과 통보 등은 다음 각 호에서 정한 바에 따른다.
1. 「국가계약법 시행령」 제43조에 따라서 계약을 체결하는 경우 기획재
정부 계약예규 「협상에 의한 계약체결 기준」 제8조 부터 제15조
2. 「지방계약법 시행령」 제43조에 따라서 계약을 체결하는 경우 행정안 전부 예규 「지방자치단체 입찰시 낙찰자 결정기준」 제5장
② 사업자는 기술협상 시 과업내용의 변경으로 인해 하도급 대금 지급비율 변경이 필요한 경우 그 사유를 명시하여 행정기관등의 장에게 승인을 요청 하여야 한다.
③ 행정기관등의 장은 제2항의 요청을 받은 경우 하도급 대금 지급비율 변 경의 적정성을 검토하고 그 결과를 기술협상 내용의 일부로 포함하여야 한 다.
④ 행정기관등의 장은 기술협상 시 제19조제4항에 따라 사업자가 제출한 하도급자와 제조사의 기술 또는 판매와 관련된 증명의 적정성을 검토하여 야 한다.
제36조의2(장기계속계약) ① 행정기관등의 장은 사업 이행에 수년을 요하는 다음 각 호의 사업 계약에 있어서는 「국가계약법」 제21조제2항 및 같은 법 시행령 제69조제1항과 제3항부터 제4항까지, 「지방계약법」 제24조제1 항 및 같은 법 시행령 제78조제1항과 제3항부터 제4항까지의 규정에 의하 여 장기계속계약을 체결할 수 있다. 이 경우 각 회계연도 예산의 범위에서 해당 계약을 이행하게 하여야 한다.
1. 사업수행기간 및 업무연속성 확보가 중요한 사업으로 다음 각 목의 요 건을 모두 충족하는 정보시스템 구축사업
가. 정보화전략계획(ISP)을 통하여 연차별 사업내용을 수립한 경우
나. 연도별 계약결과물의 완성여부를 판단(검사)할 수 있는 경우
2. 장기계속계약을 체결하는 제1호의 사업에 대한 전자정부사업관리 위탁 사업 또는 정보시스템 감리사업
3. 정보시스템 운영 및 유지관리 사업
② 제1항제3호에 따라 장기계속계약을 체결하고자 하는 경우에는 각 소속 중앙관서(「행정권한의 위임 및 위탁에 관한 규정」 제3조에 따라 각 소속 중앙관서의장으로부터 해당 권한을 위임·위탁 받은 경우에는 위임·위탁 받 은 행정기관등을 말한다)의 장의 승인을 얻어 단가에 대한 계약으로 체결 할 수 있다. 그밖에 제1항의 계약 체결에 관한 세부적인 사항은 「국가계약 법 시행령」 제69조 및 「지방계약법 시행령」 제78조 등 관련 규정에 따 른다.
③ 행정기관등의 장은 제1항에 따라 장기계속계약을 체결하는 경우에는 계 약의 이행이 지연되지 아니하도록 노력하여야 한다. 특히 제1항제3호의 경 우에는 지속적인 유지관리 서비스의 품질확보를 위한 대책을 마련하고 시 행하여야 한다.
제36조의3(정보시스템 사업등의 계약정보 공개) 행정기관등의 장은 정보시 스템 사업등에 대해 기획재정부 계약예규 「용역계약 일반조건」 제61조,
「지방계약법 시행령」 제124조에 따라 다음 각 호의 사항을 공개하여야 한다.
1. 발주계획(사업명, 발주물량 또는 그 규모, 예산액을 포함한다)
2. 입찰공고(「국가계약법 시행령」 제30조제2항 및 「지방계약법 시행
령」 제30조제2항에 따라 2인 이상으로부터 견적서를 제출받은 수의계약 의 공고를 포함한다)
3. 개찰의 결과
4. 계약체결의 현황(하도급 현황을 포함한다)
5. 과업내용 등 계약내용의 변경(입찰공고와 다른 조건으로 계약이 체결된 경우를 포함한다)에 관한 사항
6. 감리·감독·검사의 현황
7. 대가의 지급현황
제5장 사업수행
제37조(하도급 승인 신청) ① 「소프트웨어 진흥법」 제51조제5항에 따른 하도급 및 재하도급에 대한 승인 절차, 제출서류 등은 「소프트웨어 진흥법 시행규칙」 제14조에서 정한 바에 따르며, 하도급 계약의 승인을 신청하는 사업자는 다음 각 호의 서류를 행정기관등의 장에게 제출하여야 한다.
1. 「소프트웨어 진흥법 시행규칙」 별지 제21호 서식에 따른 "소프트웨어 사업 하도급·재하도급 계약승인신청서"
2. 「하도급거래 공정화에 관한 법률」 제3조의2 규정에 의한 "소프트웨어 사업 표준하도급계약서(안)"와 하도급되는 부문의 세부 산출내역서
3. 하도급 사업수행계획서(세부 사업추진일정표 포함)
4. 하도급 계약 적정성 판단 자기평가표
② 사업자는 하도급 승인이 거절된 경우 과학기술정보통신부장관이 고시한
「소프트웨어사업 계약 및 관리감독에 관한 지침」 제21조제5항에 따라 7 일 이내에 하도급 계약의 적정성 판단을 다시 요청할 수 있다.
③ <삭제>
제38조(하도급 승인) ① 행정기관등의 장은 제16조제2항제6호나목에 따라 제안요청서에서 제시한 하도급계약의 적정성 판단 세부기준에 따라 하도급 승인여부를 판단하여야 한다.
② 제37조제1항에 따른 신청을 받은 행정기관등의 장은 과학기술정보통신 부장관이 고시한 「소프트웨어사업 계약 및 관리감독에 관한 지침」에 따 라 하도급 또는 재하도급 계약의 적정성 여부를 검토하여 10일 이내에 그 승인 여부를 사업자에게 서면(전자문서를 포함한다.)으로 알려야 한다.
③ 제2항에도 불구하고 하도급 계약의 적정성 판단에 상당한 시일이 요구 되는 등 불가피한 사유가 있는 경우에는 통지기간을 한 차례만 연장할 수 있으며, 통지기간을 연장한 경우에는 통지예정 기한을 정하여 지체 없이 사 업자에게 알려야 한다.
④ 행정기관등의 장이 사업자에게 제2항의 하도급 승인여부를 기간내에 통 지하지 아니하거나 제3항에 따라 통지기간연장을 통지하지 아니한 경우에 는 제37조제1항 내지 제2항의 하도급을 승인한 것으로 본다.
제39조(착수 및 보고) ① 사업자는 계약체결 후 10일 이내에 별지 제5호 서 식의 정보시스템 사업 착수계를 작성하여 행정기관등의 장에게 제출하여야 한다. 단, 하도급 승인이 필요한 경우 하도급 승인을 받은 날로부터 3일 이
내에 제출하여야 한다.
② 제1항의 정보시스템 사업 착수계는 제안요청서와 제안서, 기술협상 등 을 근거로 작성하되 사업자의 의견이 있는 경우 행정기관등의 장과 사전협 의를 통하여 반영할 수 있다.
③ 행정기관등의 장은 제1항의 착수계를 검토하고, 제안요청서 및 계약서 의 내용에 부합하지 않을 경우 보완을 요구할 수 있으며, 사업자는 보완을 요구받은 날로부터 7일 이내에 보완하여 제출하여야 한다.
④ 행정기관등의 장은 사업자가 제안한 사업내용, 이행방법, 이행일정 등에 대하여 착수보고회 개최를 요청할 수 있다.
제40조(하도급 관리) ① 행정기관등의 장은 계약상대자가 입찰 및 계약체결 시 제출한 소프트웨어 하도급 및 재하도급 계획서 등을 확인하여 다음 각 호의 제한 범위를 준수하도록 관리하여야 한다.
1. 「소프트웨어 진흥법」 제51조제1항에 따라 전체 사업금액을 기준으로 100분의 50을 초과하여 하도급을 할 수 없다. 다만, 「소프트웨어 진흥 법」 제51조제2항에 각 호에 해당하는 물품의 설치 및 유지관리와 신기술 또는 전문기술이 필요한 경우에는 그러하지 아니하다.
2. 「소프트웨어 진흥법 시행령」 제48조제2항에 따라 하도급받은 사업금액 의 100분의 50을 초과하여 재하도급을 할 수 없다.
② 행정기관등의 장은 「소프트웨어 진흥법 시행규칙」 제14조제3항에 따 라서 하도급 또는 재하도급 계약의 준수여부를 확인하기 위하여 필요한 경 우 하도급 또는 재하도급을 승인받은 자로 하여금 「소프트웨어 진흥법 시
행규칙」 별지 제22호 서식의 소프트웨어사업 하도급계약 준수실태 보고서 를 제출하도록 요청할 수 있다.
③ 행정기관등의 장은 제1항의 준수여부 보고 시 하도급 대금의 지급방식 (현금/어음 등), 지급시기, 지급율(선금/중도금/잔금)을 확인할 수 있는 증빙 을 요구할 수 있다.
④ 행정기관등의 장은 제38조에서 승인한 대로 하도급 또는 재하도급 계약 이 이행되지 않은 경우에는 지체없이 「하도급거래 공정화에 관한 법률」 제25조에 따른 조치를 취하여 줄 것을 공정거래위원회에 요청하여야 한다.
⑤ 행정기관등의 장은 승인 없이 하도급을 하거나, 하도급조건을 하도급자 에게 불리하게 변경한 경우 등은 「국가계약법 시행규칙」 제76조, 「지방 계약법 시행규칙」 제76조제1항에서 정한 세부기준에 따라 입찰참가자격을 제한하는 등 필요한 조치를 취하여야 한다.
제41조(작업장소 등) ① 행정기관등의 장과 사업자는 소프트웨어사업수행을 위하여 필요한 장소 및 설비, 기타 작업환경(이하 "작업장소 등"이라고 한 다)을 상호 협의하여 정한다. 다만, 핵심 개발인력이 아닌 지원인력의 근무 장소는 보안 등 특별한 사유가 있는 경우를 제외하고는 계약상대방이 달리 정할 수 있다.
② 행정기관등의 장이 작업장소 등에 관한 비용을 사업예산 또는 예정가격 에 계상하지 아니한 경우에는 행정기관등의 장이 작업장소 등을 제공한다.
③ 제2항의 사업예산 또는 예정가격 작성 시 다음 각 호의 근거에 따라 작 업장소 등에 관한 비용을 계상한다.
1. 기획재정부 계약예규 「예정가격 작성기준」 제11조제3항제9호에 해당 하는 경비(지급임차료)
2. 한국소프트웨어산업협회장이 공표한 "SW사업 대가산정 가이드"에서 정 의된 직접경비(현장운영비)
④ 사업자는 당해 계약의 효율적 이행을 위해 필요한 경우 그 사유 및 기 간 등을 정하여 행정기관등의 장에게 승인을 받은 후 당해 사업에 투입되 는 인력을 제1항의 작업장소 이외에서도 근무하게 할 수 있다.
⑤ 한국지능정보사회진흥원장은 제1항 및 제4항에서 정하는 작업장소 이외 에서 근무하는 경우 준수해야 하는 가이드를 정할 수 있다.
⑥ 행정기관등의 장은 제1항에 따른 작업장소 협의시 사업자가 제안한 작 업장소를 우선 검토하여야 하며, 우선 검토 시 과학기술정보통신부장관이 고시한 「소프트웨어사업 계약 및 관리감독에 관한 지침」 제14조제2항에 따른 사항을 우대 할 수 있다.
제42조(인력관리 금지) 행정기관등의 장은 제안요청서에 투입인력의 수와 기간에 의한 방식에 관한 요구사항을 명시할 수 없고, 사업을 추진함에 있 어 투입인력별 투입기간을 관리할 수 없다. 단, 다음사항의 사업은 예외로 한다.
1. 정보화전략계획수립, 업무재설계, 정보시스템 구축계획 수립, 정보보안컨 설팅 등 컨설팅 성격의 사업
2. 정보시스템 감리사업, 전자정부사업관리 위탁사업
3. 데이터베이스 구축 사업, 디지털콘텐츠 개발 사업
4. 관제, 고정비(투입공수방식 운영비) 방식의 유지관리 및 운영 사업 등 인력관리 성격의 사업
제43조(기술적용 계획 준수) ① 사업자는 제7조제1항 또는 제7조제4항에 따 른 기술적용계획표를 준수하여 사업을 추진하여야 한다.
② 사업자는 사업 검사 및 최종감리 수행 시 별지 제1호 서식의 기술적용 결과표를 작성하여 제출하여야 한다.
제44조(표준산출물) ① 행정기관등의 장은 운영, 유지관리 등에 필요한 표 준산출물을 지정하여 사업자에게 제출을 요구할 수 있다.
② 행정기관등의 장은 제1항에 따른 산출물을 기관의 정보시스템을 이용하 여 체계적으로 관리하고 운영·유지관리 또는 고도화 사업 등에 활용될 수 있도록 관리하여야 한다.
③ 한국지능정보사회진흥원장은 제1항에 따른 표준산출물에 대한 가이드를 정할 수 있다.
제45조(과업내용의 변경) ① 행정기관등의 장은 기획재정부 계약예규 「용 역계약 일반조건」 제16조, 행정안전부 예규 「지방자치단체 입찰 및 계약 집행기준」 제14장제6절에 따라 과업내용을 추가, 변경, 삭제할 수 있다.
② 사업자는 제1항에 의하여 하도급 비율 변경이 발생하는 경우 행정기관 등의 장에게 검토를 요청하고 승인을 받아야 한다.
제46조(과업내용의 변경절차) 행정기관등의 장은 과업내용을 변경하는 경우
「소프트웨어 진흥법」 제50조, 기획재정부 계약예규 「용역계약 일반조 건」 제53조의 절차를 준수하여야 한다.
제47조(과업변경 대가지급) ① 제46조에 따라 과업내용을 변경한 경우 계 약금액조정은 「국가계약법 시행령」 제65조제1항부터 제6항, 「지방계약법 시행령」 제74조제1항부터 제7항을 준용한다.
② SW사업 과업의 증가에 따른 추가 소요 사업비는 별도의 예산이 확보 되어 있지 않은 경우 예산담당기관과 사전협의 후 낙찰차액을 우선적으로 사용하여야 하며, 이 경우 「소프트웨어 진흥법」 제50조에 따라 과업심의 위원회의 과업변경심의를 받은 사업에 한 한다.
제48조(정보자원 통합관리) ① 행정기관등의 장은 기관에서 보유한 정보자 원을 법 제47조제3항에 따른 범정부 EA포털(www.geap.go.kr)에 등록하여 야 한다.
② 행정기관등의 장은 법 제54조에서 규정한 정보자원의 현황 및 통계자료 를 관리하기 위해 제1항의 시스템을 활용할 수 있다.
제48조의2(정보시스템 등급제) ① 행정기관등의 장은 소관 정보시스템에 대하여 중요도, 가용성 등에 따라 등급을 분류하고 등급별로 장애관리, 행 정정보 관리, 보안관리 등을 수행하여야 한다.
② 행정안전부장관은 제1항의 등급 분류 및 관리를 위한 기준을 정하여 제
공할 수 있다. 다만, 보안관리에 관한 사항은 국가정보원장과 사전에 협의 하여야 한다.
③ 행정안전부장관은 행정기관등에 제1항에 따른 소관 정보시스템의 등급 분류 및 관리에 대한 자료제출을 요구할 수 있다.
제49조(감리시행) ① 행정기관등의 장과 사업자는 단계별 감리수행결과보고 서에 따라 시정조치를 수행하여야 한다.
② 감리법인은 제7조제1항 또는 제7조제4항에서 작성된 기술적용계획표와 제43조제2항의 기술적용결과표의 준수여부를 확인하여 그 결과를 감리수행 결과보고서에 기술하여야 한다.
제6장 소프트웨어 개발보안
제50조(소프트웨어 개발보안 원칙) ① 행정기관등이 영 제71조제1항에 해 당하는 정보시스템 사업을 추진할 때에는 별표 3의 소프트웨어 보안약점이 없도록 소프트웨어를 개발 또는 변경(이하 ‘소프트웨어 개발보안’이라 한다) 하여야 한다. 다만, 영 제71조제1항에 해당하지 않는 정보시스템 사업도 소 프트웨어 개발보안을 적용할 수 있다.
② 제1항에 따라 행정기관등의 장이 정보시스템 사업 추진 시 적용해야 할 소프트웨어 개발보안의 범위는 다음 각 호와 같다.
1. 신규개발의 경우 : 설계단계 산출물 및 소스코드 전체
2. 유지관리의 경우 : 유지관리로 인해 변경된 설계단계 산출물 및 소스코
드 전체
③ 제2항에 따라 소프트웨어 개발보안 적용시 상용 소프트웨어는 제외한 다.
제50조의2(소프트웨어 개발보안 업무의 위탁) 행정안전부장관은 보안약점 진단, 이행점검, 진단원 양성 등 소프트웨어 개발보안 관련 업무의 일부를 한국인터넷진흥원 또는 한국전자통신연구원 부설 국가보안기술연구소(이하 "국가보안기술연구소"라 한다)에 위탁할 수 있다.
제51조(소프트웨어 개발보안 활동) ① 행정기관등의 장은 제안서 평가시 소프트웨어 개발보안을 위한 소프트웨어 보안약점 진단도구 사용 여부, 개 발절차와 방법의 적절성, 제3항에 의한 교육계획의 적정성 등을 확인하고 평가에 반영할 수 있다.
② 사업자는 제50조에 따라 소프트웨어 개발보안을 적용하는 경우 행정안 전부장관이 국가정보원장과 협의하여 공지하는 “소프트웨어 개발 보안가이 드”를 참고할 수 있다.
③ 사업자는 정보시스템 사업 착수단계에서 “소프트웨어 개발 보안가이드” 등 소프트웨어 개발보안 관련 교육을 실시하고 이후 투입되는 인력은 개발 에 투입하기 전 소프트웨어 개발보안 관련 교육을 실시하여야 한다.
제52조(보안약점 진단기준) 행정기관등의 장은 소프트웨어 보안약점을 진단 할 때 별표 3의 소프트웨어 보안약점을 필수 진단항목으로 포함하여야 한
다.
제53조(보안약점 진단절차) ① 행정기관등의 장은 정보시스템 사업에 대한 감리를 수행하는 경우, 감리법인으로 하여금 사업자가 별표 3의 소프트웨어 보안약점을 제거하였는지 진단하도록 하여야 한다.
② 감리법인은 제1항에 따라 소프트웨어 보안약점을 진단할 경우 행정안전 부장관이 고시한 「정보시스템 감리기준」 제10조제1항의 세부 검사항목에 소프트웨어 보안약점 제거 여부를 포함하여야 한다.
③ 감리법인은 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시 한 「정보시스템 감리기준」 제5조제3항에 따라 제54조의 진단원을 우선적 으로 배치할 수 있다.
④ 감리법인이 소프트웨어 보안약점 진단과정에서 소프트웨어 보안약점 진 단도구를 사용할 경우에는 다음 각 호 중에서 어느 하나에 해당하는 보안약 점 진단도구를 사용하여야 하며, 이 경우, 감리법인은 보안약점 진단도구가 지 원하는 진단항목이 별표 3의 소프트웨어 보안약점을 진단하는지 여부를 확인 하여야 한다.
1. 과학기술정보통신부장관이 고시한 「정보보호시스템 평가·인증 지침」에 따라 국가보안기술연구소장이 인증한 보안약점 진단도구
2. 과학기술정보통신부장관이 고시한 「정보보호제품 성능평가 운영지침」 에 따라 한국인터넷진흥원장이 확인한 보안약점 진단도구
3. 국가정보원장이 고시한 「국가정보보안기본지침」에 따라 ‘보안기능 확인서’가 발 급된 보안약점 진단도구
⑤ 행정기관등의 장은 영 제71조제1항에 해당하지 않는 정보시스템 사업에 소프트웨어 개발보안을 적용할 경우에는 사업자로 하여금 보안약점을 진 단·제거토록 하고 그 결과를 확인할 수 있다.
제53조의2(개발보안 자료요청 등) 행정안전부장관은 개발보안 제도개선 및 적용 현황을 확인하기 위하여 행정기관등의 장에게 자료요청 및 현장방문 을 실시할 수 있다. 이 경우 행정기관등의 장은 특별한 사유가 없는 한 이 에 응해야 한다.
제54조(진단원) ① 행정안전부장관은 별표 4 제1호 진단원의 자격기준을 만 족하고 별표 4 제2호의 교육을 이수한 자에게 진단원 자격을 부여한다. 다 만, 기본요건에 대한 사실 확인이 필요하다고 판단되는 경우 제50조의2의 위탁기관으로 하여금 4대보험 가입증명서 등 추가자료를 제출받아 확인하 도록 할 수 있다.
② 행정안전부장관은 제1항과 관련하여 진단원 및 행정기관등의 요청이 있 을 경우 진단원 자격 유무를 확인해 줄 수 있다.
제7장 검사 및 운영
제55조(지체상금) 사업자는 계약서에 정한 용역수행기한내에 용역을 완성하 지 아니한 경우 지체상금 산출 및 공제, 지체일수 산정 등은 기획재정부 계 약예규 「용역계약 일반조건」 제18조, 행정안전부 예규 「지방자치단체 입
찰 및 계약 집행기준」 제14장제7절에서 정한 바에 따른다.
제56조(검사) ① 검사의 통지, 기한, 시정조치, 재검사 등에 관한 사항은 기 획재정부 계약예규 「용역계약 일반조건」 제20조, 행정안전부 예규 「지방 자치단체 입찰 및 계약 집행기준」 제14장제8절에서 정한 바에 따른다.
② 행정기관등의 장은 검사 시 다음 각 호를 확인하여야 한다.
1. 제43조제1항에 따른 기술적용계획표와 제43조제2항에 따른 기술적용결 과표의 준수여부
2. 제49조제1항에 따른 감리수행결과보고서의 부적합 조치 여부
제57조(인수) 행정기관등의 장은 당해용역의 특성상 계약목적물의 인수를 요하는 경우에는 기획재정부 계약예규 「용역계약 일반조건」 제21조, 행정 안전부 예규 「지방자치단체 입찰 및 계약 집행기준」 제14장제8절에서 정 한 바에 따른다.
제58조(정보자원의 민간활용) 행정기관등의 장은 법 제51조에 따라 지정 된 정보자원 중 민간에서 활용할 수 있는 표준화된 정보자원을 민간에 제공하도록 노력하여야 한다. 이 경우, 「공공데이터법」 제2조제2호에 따른 공공데이터는 같은 법 제21조제1항에 따른 "공공데이터 포털 (www.data.go.kr)"을 통하여 제공하여야 한다.
제58조의2(도로명주소의 활용) 행정기관등의 장은 정보시스템 구축·운영 시
주소정보나 위치정보로서 도로명주소를 적극 활용하여야 하며 이때 도로명 주소 데이터베이스 활용과 도로명주소 검색기능 등은 도로명주소 안내시스 템(www.juso.go.kr)에서 제공하는 가이드를 적용하여야 한다.
제59조(운영 및 유지관리) ① 행정기관등의 장은 정보시스템의 운영, 유지 관리 등으로 인해 변경이 발생하는 경우 표준산출물과 일관성이 유지되도 록 관리하여야 한다.
② 행정기관등의 장은 구축이 완료되어 서비스가 운영되는 정보시스템에 대하여 행정안전부장관이 고시한 「전자정부 성과관리 지침」에 따라 운영 성과를 측정해야 한다.
③ 사업자는 운영 및 유지관리를 수행하면서 반복적으로 수행하는 사항을 매뉴얼로 작성·관리하고, 행정기관등의 장이 요구하는 경우 제공하여야 한 다.
제59조의2(정보시스템에 저장되어 있는 행정정보의 보존) ① 행정기관등 의 장은 운영중인 정보시스템에 저장되어 있는 행정정보를 데이터 분석 등에 활용할 수 있도록 주기를 정하여 저장하는 등 보존 노력을 하여야 한다.
② (삭제)
③ 행정안전부장관은 행정기관 등이 제1항에 따른 행정정보를 보존할 수 있도록 필요한 지원을 할 수 있다.
제60조(계약목적물의 지식재산권 귀속 및 기술자료 임치) ① 계약목적물 의 지식재산권 귀속 등에 관한 사항은 기획재정부 계약예규 「용역계약 일 반조건」 제56조에서 정한 바에 따른다.
② 사업자는 계약목적물의 사용을 보장하고 지식재산권을 보호하기 위해 사업자의 사업수행에 따른 계약목적물의 기술자료를 제3의 기관에 임치하 여야 하며, "기술자료"란 아래의 각호의 것을 의미한다.
1. 소스코드 및 오브젝트 코드의 복제물
2. 기술정보(매뉴얼, 설계서, 사양서, 플로우차트, 유지관리자료 등)
③ 기술자료 임치에 관한 세부사항은 기획재정부 계약예규 「용역계약 일 반조건」 제57조에서 정한 바에 따른다.
제8장 보칙
제61조(세부사항) 행정안전부장관은 한국지능정보사회진흥원장에게 제30조, 제41조, 제44조의 시행 및 적용에 대한 세부사항을 정하여 공지하게 할 수 있다.
제62조(재검토 기한) 행정안전부장관은 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2022년 7월 1일 기준으로 매3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
부칙
제1조(시행일)이 지침은 고시한 날부터 시행한다.
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별표 1]
중소기업 참여 공동수급체 지분율별 평가점수(제21조제3항 관련)
중소기업 참여 지분율 | 평가 점수 | 비고 |
50% 이상 | 5.0 | |
45% 이상~ 50% 미만 | 4.0 | |
40% 이상~ 45% 미만 | 3.0 | |
35% 이상~ 40% 미만 | 2.0 | |
35% 미만 | 1.0 |
※ 평가항목 배점에 따라 평가점수는 조정 가능하며 단독입찰에 대해서는 아래 기준에 따름
1. 중소기업인 소프트웨어 사업자 단독으로 입찰에 참가한 경우 최고 등급 부여
2. 중소기업기본법 제2조제3항에 따라 중소기업이 그 규모의 확대 등으로 중소기업에 해당하지 아니하게 된 경우라도 그 사유가 발생한 연도의 다음 연도부터 3년간은 최 고 등급을 부여
3. 중소기업 외의 기업과 합병하거나 그 밖에 중소기업기본법 시행령 제9조에 따른 사 유로 중소기업에 해당하지 아니하게 된 경우에는 ‘0’점 부여
4. 중견기업 성장촉진 및 경쟁력 강화에 관한 특별법에 따른 중견기업 또는 대기업인 소프트웨어 사업자 단독으로 입찰에 참가한 경우는 ‘0’점 부여
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별표 2]
사업규모별 제안서 평가위원 수(제30조제2항 관련)
사업예산액 | 1억원 미만 | 1억원이상 ~ 50억원 미만 | 50억원 이상 |
위원수 | 7명 이상 | 8명 이상 | 9명 이상 |
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별표 3]
소프트웨어 보안약점 기준1)(제52조 관련)
☐ (설계단계) 보안설계 기준
1. 입력데이터 검증 및 표현 : 사용자와 프로그램의 입력 데이터에 대한 유효성검증* 체 계를 갖추고, 유효하지 않은 값에 대한 처리방법 설계
* 유효성검증(Validation) : 데이터가 특정 요구사항을 충족했다는 것을 확인하여 의도치 않는 동작 방지
번호 | 설계항목 | 설 명 | 비 고 |
1 | DBMS 조회 및 결과 검증 | DBMS 조회시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법 설계 | 입출력 검증 |
2 | XML 조회 및 결과 검증 | XML 조회시 질의문(XPath, XQuery 등) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법 설계 | |
3 | 디렉토리 서비스 조회 및 결과 검증 | 디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회 결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값 에 대한 처리방법 설계 | |
4 | 시스템 자원 접근 및 명령어 수행 입력값 검증 | 시스템 자원접근 및 명령어를 수행할 때 입력값에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법 설계 | |
5 | 웹 서비스 요청 및 결과 검증 | 웹 서비스(게시판 등) 요청(스크립트 게시 등)과 응답결과 (스크립트를 포함한 웹 페이지)에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계 | |
6 | 웹 기반 중요 기능 수 행 요청 유효성 검증 | 비밀번호 변경, 결제 등 사용자 권한 확인이 필요한 중요 기능을 수행할 때 웹 서비스 요청에 대한 유효성 검증 방법 설계 및 유효하지 않은 값에 대한 처리방법 설계 | |
7 | HTTP 프로토콜 유효성 검증 | 비정상적인 HTTP 헤더, 자동연결 URL 링크 등 사용자가 원하지 않은 결과를 생성하는 HTTP 헤더·응답결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계 | |
8 | 허용된 범위내 메모리 접근 | 해당 프로세스에 허용된 범위의 메모리 버퍼에만 접근하여 읽기 또는 쓰기 기능을 하도록 검증방법 설계 및 메모리 접근 요청이 허용범위를 벗어났을 때 처리방법 설계 | |
9 | 보안기능 입력값 검증 | 보안기능(인증, 권한부여 등) 입력 값과 함수(또는 메소드)의 외부입력 값 및 수행결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계 | |
10 | 업로드·다운로드 파일 검증 | 업로드·다운로드 파일의 무결성, 실행권한 등에 관한 유효성 검증방법 설계 및 부적합한 파일에 대한 처리방법 설계 | 파일 검증 |
1) 소프트웨어 보안약점 기준은 소프트웨어 개발 시 반드시 배제해야 하는 필수 보안약점 진단항목으로, 상세한 내용은 ‘SW 개발보안 가이드’를 참고
2. 보안기능 : 인증, 접근통제, 권한관리, 비밀번호 등의 정책이 적절하게 반영될 수 있도록 설계
번호 | 설계항목 | 설 명 | 비 고 |
1 | 인증 대상 및 방식 | 중요정보·기능의 특성에 따라 인증방식을 정의하고 정의된 인증방식을 우회하지 못하게 설계 | 인증 관리 |
2 | 인증 수행 제한 | 반복된 인증 시도를 제한하고 인증 실패한 이력을 추적하 도록 설계 | |
3 | 비밀번호 관리 | 생성규칙, 저장방법, 변경주기 등 비밀번호 관리정책별 안전한 적용방법 설계 | |
4 | 중요자원 접근통제 | 중요자원(프로그램 설정, 민감한 사용자 데이터 등)을 정의하고, 정의된 중요자원에 대한 신뢰할 수 있는 접근통제 방법(권한관리 포함) 설계 및 접근통제 실패 시 처리방법 설계 | 접근 권한 관리 |
5 | 암호키 관리 | 암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리방법을 안전하게 설계 | 암호 관리 |
6 | 암호연산 | 국제표준 또는 검증필 암호모듈로 등재된 안전한 암호 알 고리즘을 선정하고 충분한 암호키 길이, 솔트, 충분한 난수 값을 적용한 안전한 암호연산 수행방법 설계 | |
7 | 중요정보 저장 | 중요정보(비밀번호, 개인정보 등)를 저장·보관하는 방법이 안전하도록 설계 | 중요 정보 관리 |
8 | 중요정보 전송 | 중요정보(비밀번호, 개인정보, 쿠키 등)를 전송하는 방법이 안전하도록 설계 |
3. 에러처리 : 에러 또는 오류상황을 처리하지 않거나 불충분하게 처리되어 중요정보 유출 등 보안약점이 발생하지 않도록 설계
번호 | 설계항목 | 설 명 | 비 고 |
1 | 예외처리 | 오류메시지에 중요정보(개인정보, 시스템 정보, 민감 정보 등)가 노출되거나, 부적절한 에러·오류 처리로 의도치 않은 상황이 발생하지 않도록 설계 | 에러 처리 |
4. 세션통제 : 다른 세션간 데이터 공유 금지 등 세션을 안전하게 관리할 수 있도록 설계
번호 | 설계항목 | 설 명 | 비 고 |
1 | 세션통제 | 다른 세션 간 데이터 공유금지, 세션ID 노출금지, (재)로그인시 기존 세션ID 재사용금지 등 안전한 세션 관리방안 설계 | 세션 통제 |
☐ (구현단계) 보안약점 제거 기준
1. 입력데이터 검증 및 표현 : 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터형식을 잘못 지정하여 발생하는 보안약점
번호 | 보안약점 | 설 명 | 비 고 |
1 | SQL 삽입 | SQL 질의문을 생성할 때 검증되지 않은 외부 입력 값 을 허용하여 악의적인 질의문이 실행가능한 보안약점 | |
2 | 코드 삽입 | 프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 악의적인 코드가 실행 가능한 보안약점 | |
3 | 경로 조작 및 자원 삽입 | 시스템 자원 접근경로 또는 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접 근 및 악의적인 행위가 가능한 보안약점 | |
4 | 크로스사이트 스크립트 | 사용자 브라우저에 검증되지 않은 외부 입력값을 허 용하여 악의적인 스크립트가 실행 가능한 보안약점 | |
5 | 운영체제 명령어 삽입 | 운영체제 명령어를 생성할 때 검증되지 않은 외부 입 력값을 허용하여 악의적인 명령어가 실행 가능한 보안 약점 | |
6 | 위험한 형식 파일 업로드 | 파일의 확장자 등 파일형식에 대한 검증없이 파일 업 로드를 허용하여 공격이 가능한 보안약점 | |
7 | 신뢰되지 않는 URL 주소로 자동접속 연결 | URL 링크 생성에 검증되지 않은 외부 입력값을 허용하여 악의적인 사이트로 자동 접속 가능한 보안약점 | |
8 | 부적절한 XML 외부 개체 참조 | 임의로 조작된 XML 외부개체에 대한 적절한 검증 없이 참조를 허용하여 공격이 가능한 보안약점 | |
9 | XML 삽입 | XQuery, XPath 질의문을 생성할 때 검증되지 않은 외 부 입력값을 허용하여 악의적인 질의문이 실행가능한 보안약점 | |
10 | LDAP 삽입 | LDAP 명령문을 생성할 때 검증되지 않은 외부 입력 값 을 허용하여 악의적인 명령어가 실행가능한 보안약점 | |
11 | 크로스사이트 요청 위조 | 사용자 브라우저에 검증되지 않은 외부 입력 값을 허용 하여 사용자 본인의 의지와는 무관하게 공격자가 의도한 행위가 실행 가능한 보안약점 | |
12 | 서버사이드 요청 위조 | 서버 간 처리되는 요청에 검증되지 않은 외부 입력값을 허용하여 공격자가 의도한 서버로 전송하거나 변조하는 보안약점 | |
13 | HTTP 응답분할 | HTTP 응답헤더에 개행문자(CR이나 LF)가 포함된 검증 되지 않은 외부 입력값을 허용하여 악의적인 코드가 실 행 가능한 보안약점 | |
14 | 정수형 오버플로우 | 정수형 변수에 저장된 값이 허용된 정수 값 범위를 벗어나 프로그램이 예기치 않게 동작 가능한 보안약점 | |
15 | 보안기능 결정에 사용 되는 부적절한 입력값 | 보안기능(인증, 권한부여 등) 결정에 검증되지 않은 외부 입력값을 허용하여 보안기능을 우회하는 보안약점 | |
16 | 메모리 버퍼 오버플로 우 | 메모리 버퍼의 경계값을 넘어서 메모리값을 읽거나 저장하여 예기치 않은 결과가 발생하는 보안약점 | |
17 | 포맷 스트링 삽입 | printf 등 포맷 스트링 제어함수에 검증되지 않은 외부 입 력값을 허용하여 발생하는 보안약점 * 포맷 스트링: 입·출력에서 형식이나 형태를 지정해주는 문자열 |
2. 보안기능 : 보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 부적절하게 구현 시 발생하는 보안약점
번호 | 보안약점 | 설 명 | 비 고 |
1 | 적절한 인증 없는 중요 기능 허용 | 중요정보(금융정보, 개인정보, 인증정보 등)를 적절한 인증없이 열람(또는 변경) 가능한 보안약점 | |
2 | 부적절한 인가 | 중요자원에 접근할 때 적절한 제어가 없어 비인가자의 접 근이 가능한 보안약점 | |
3 | 중요한 자원에 대한 잘못된 권한 설정 | 중요자원에 적절한 접근 권한을 부여하지 않아 중요정보가 노출·수정 가능한 보안약점 | |
4 | 취약한 암호화 알고리 즘 사용 | 중요정보(금융정보, 개인정보, 인증정보 등)의 기밀성을 보장할 수 없는 취약한 암호화 알고리즘을 사용하여 정보가 노출 가능한 보안약점 | |
5 | 암호화되지 않은 중요 정보 | 중요정보(비밀번호, 개인정보 등) 전송 시 암호화 또 는 안전한 통신채널을 이용하지 않거나, 저장 시 암호 화하지 않아 정보가 노출 가능한 보안약점 | |
6 | 하드코드된 중요정보 | 소스코드에 중요정보(비밀번호, 암호화키 등)를 직접 코딩하여 소스코드 유출 시 중요정보가 노출되고 주기적 변경이 어려운 보안약점 | |
7 | 충분하지 않은 키 길이 사용 | 암호화 등에 사용되는 키의 길이가 충분하지 않아 데이터 의 기밀성·무결성을 보장할 수 없는 보안약점 | |
8 | 적절하지 않은 난수 값 사용 | 사용한 난수가 예측 가능하여, 공격자가 다음 난수를 예상 해서 시스템을 공격 가능한 보안약점 | |
9 | 취약한 비밀번호 허용 | 비밀번호 조합규칙(영문, 숫자, 특수문자 등) 미흡 및 길이가 충분하지 않아 비밀번호가 노출 가능한 보안약점 | |
10 | 부적절한 전자서명 확인 | 프로그램, 라이브러리, 코드의 전자서명에 대한 유효성 검증이 적절하지 않아 공격자의 악의적인 코드가 실행 가능한 보안약점 | |
11 | 부적절한 인증서 유효 성 검증 | 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안약점 | |
12 | 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 | 쿠키(세션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장되어 중요정보가 노출 가능한 보안약점 | |
13 | 주석문 안에 포함된 시스 템 주요정보 | 소스코드 주석문에 인증정보 등 시스템 주요정보가 포함되어 소스코드 노출 시 주요정보도 노출 가능한 보안약점 | |
14 | 솔트 없이 일방향 해쉬 함수 사용 | 솔트*를 사용하지 않고 생성된 해쉬 값으로부터 공격자가 미리 계산된 레인보우 테이블을 이용하여 해쉬 적용 이전 원본 정보를 복원가능한 보안약점 * 해쉬 적용하기 전 평문인 전송정보에 덧붙인 무의미한 데이터 | |
15 | 무결성 검사 없는 코드 다운로드 | 소스코드 또는 실행파일을 무결성 검사 없이 다운로드 받아 실행하는 경우, 공격자의 악의적인 코드가 실행 가능한 보안약점 | |
16 | 반복된 인증시도 제한 기능 부재 | 인증 시도 수를 제한하지 않아 공격자가 반복적으로 임의 값을 입력하여 계정 권한을 획득 가능한 보안약점 |
3. 시간 및 상태 : 동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점
번호 | 보안약점 | 설 명 | 비 고 |
1 | 경쟁조건: 검사 시점과 사용 시점(TOCTOU) | 멀티 프로세스 상에서 자원을 검사하는 시점과 사용하는 시점이 달라서 발생하는 보안약점 | |
2 | 종료되지 않는 반복문 또는 재귀 함수 | 종료조건 없는 제어문 사용으로 반복문 또는 재귀 함수가 무한히 반복되어 발생할 수 있는 보안약점 |
4. 에러처리 : 에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생하는 보안약점
번호 | 보안약점 | 설 명 | 비 고 |
1 | 오류 메시지 정보노출 | 오류메시지나 스택정보에 시스템 내부구조가 포함되어 민감한 정보, 디버깅 정보가 노출 가능한 보안약점 | |
2 | 오류상황 대응 부재 | 시스템 오류상황을 처리하지 않아 프로그램 실행정지 등 의도하지 않은 상황이 발생 가능한 보안약점 | |
3 | 부적절한 예외 처리 | 예외사항을 부적절하게 처리하여 의도하지 않은 상 황이 발생 가능한 보안약점 |
5. 코드오류 : 타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범하는 코딩오류로 인해 유발되는 보안약점
번호 | 보안약점 | 설 명 | 비 고 |
1 | Null Pointer 역참조 | 변수의 주소 값이 Null인 객체를 참조하는 보안약점 | |
2 | 부적절한 자원 해제 | 사용 완료된 자원을 해제하지 않아 자원이 고갈되어 새로운 입력을 처리할 수 없는 보안약점 | |
3 | 해제된 자원 사용 | 메모리 등 해제된 자원을 참조하여 예기치 않은 오 류가 발생하는 보안약점 | |
4 | 초기화되지 않은 변수 사용 | 변수를 초기화하지 않고 사용하여 예기치 않은 오류가 발생하는 보안약점 | |
5 | 신뢰할 수 없는 데이터 의 역직렬화 | 악의적인 코드가 삽입·수정된 직렬화 데이터를 적절한 검증 없이 역질렬화하여 발생하는 보안약점 *직렬화: 객체를 전송 가능한 데이터형식으로 변환 *역직렬화: 직렬화된 데이터를 원래 객체로 복원 |
6. 캡슐화 : 중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을 때, 인가되지 않은 사용 자에게 데이터 누출이 가능해지는 보안약점
번호 | 보안약점 | 설 명 | 비 고 | |
1 | 잘못된 세션에 의한 데이터 정보 노출 | 잘못된 세션에 의해 인가되지 않은 사용자에게 중 요정보가 노출 가능한 보안약점 | ||
2 | 제거되지 않고 남은 디버그 코드 | 디버깅을 위한 코드를 제거하지 않아 인가되지 않 은 사용자에게 중요정보가 노출 가능한 보안약점 | ||
3 | Public 메소드부터 반환된 Private 배열 | Public으로 선언된 메소드에서 Private로 선언된 배열을 반환(return)하면 Private 배열의 주소 값이 외부에 노출되어 해당 Private 배열값을 외부에서 수정 가능한 보안약점 | ||
4 | Private 배열에 Public 데 이터 할당 | Public으로 선언된 데이터 또는 메소드의 인자가 Private으로 선언된 배열에 저장되면 이 Private 배열을 외부에서 접근하여 수정 가능한 보안약점 |
7. API 오용 : 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점
번호 | 보안약점 | 설 명 | 비 고 |
1 | DNS lookup에 의존한 보안결정 | 도메인명 확인(DNS lookup)으로 보안결정을 수행 할 때 악의적으로 변조된 DNS 정보로 예기치 않은 보안위협에 노출되는 보안약점 | |
2 | 취약한 API 사용 | 취약한 함수를 사용해서 예기치 않은 보안위협에 노출되는 보안약점 |
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별표 4]
소프트웨어 보안약점 진단원의 자격기준(제54조 관련)
1. 자격기준
구 분 | 자격기준 | 제출서류 |
기본요건 | ․ 6년 이상 소프트웨어 개발분야 업무를 수행한 자 ․ 3년 이상 소프트웨어 보안약점 또는 보안취약점 진단․분석업무를 수행한 자 | ․해당 업체 또는 기관에서 발급한 경력증명서 (업무내용 포함) |
교육요건 | ․기본요건을 만족하고 제2호의 기본교육을 이수 한 자 |
2. 진단원이 받아야 하는 교육
교육종류 | 교육 내용 | 교육 시기 | 교육시간 |
기본교육 | ․소프트웨어 개발보안 제도 ․ 기준 ․소프트웨어 보안약점 진단 ․ 제거기술 등 ․진단 수행능력의 배양을 위한 교육 | 진단원 자격을 취득하고자 하 는 경우 | 40시간 |
보수교육 | ․지침 ․ 기준 등 제도 변경사항 ․최신 보안약점, 진단 ․ 제거기술 등 ․소프트웨어 개발보안 지식의 지속적인 습득 및 기술능력 유지를 위한 교육 | 진단원 자격을 유지하고자 하 는 경우 | 1년마다 8시간 |
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별지 제1호 서식]
[ ] 기술적용계획표, [ ] 기술적용결과표
사업명
작성일
□ 법률 및 고시
구분 | 항 목 |
법률 | o 지능정보화 기본법 o 공공기관의 정보공개에 관한 법률 o 개인정보 보호법 o 소프트웨어 진흥법 o 인터넷주소자원에 관한 법률 o 전자서명법 o 전자정부법 o 국가정보원법 o 정보통신기반 보호법 o 정보통신망 이용촉진 및 정보보호 등에 관한 법률 o 통신비밀보호법 o 국가를 당사자로 하는 계약에 관한 법률 o 하도급거래 공정화에 관한 법률 o 지방자치단체를 당사자로 하는 계약에 관한 법률 o 공공데이터의 제공 및 이용 활성화에 관한 법률 |
고시 등 | o 보안업무규정(대통령령) o 사이버안보 업무규정(대통령령) o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령) o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 고시(과학기술정보통신부고시) o 전자서명인증업무 운영기준(과학기술정보통신부고시) o 전자정부 웹사이트 품질관리 지침(행정안전부고시) o 정보보호시스템 공통평가기준(미래창조과학부고시) o 정보보호시스템 평가·인증 지침(과학기술정보통신부고시) o 정보시스템 감리기준(행정안전부고시) o 전자정부사업관리 위탁에 관한 규정(행정안전부고시) o 전자정부사업관리 위탁용역계약 특수조건(행정안전부예규) o 행정전자서명 인증업무지침(행정안전부고시) o 행정기관 도메인이름 및 IP주소체계 표준(행정안전부고시) o 개인정보의 안전성 확보조치 기준(개인정보보호위원회) o 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회) o 지방자치단체 입찰 및 계약 집행 기준(행정안전부예규) o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규) o 표준 개인정보 보호지침(개인정보보호위원회) o 엔지니어링사업대가의 기준(산업통상자원부고시) o 소프트웨어 기술성 평가기준 지침(과학기술정보통신부고시) o 소프트웨사업 계약 및 관리감독에 관한 지침(과학기술정보통신부고시) o 중소 소프트웨어사업자의 사업 참여 지원에 관한 지침(과학기술정보통신부고시) o 소프트웨어 품질성능 평가시험 운영에 관한 지침(과학기술정보통신부고시) |
구분 | 항 목 |
o 용역계약일반조건(기획재정부계약예규) o 협상에 의한 계약체결기준(기획재정부계약예규) o 경쟁적 대화에 의한 계약체결기준(기획재정부계약예규) o 하도급거래공정화지침(공정거래위원회예규) o 정보보호조치에 관한 지침(과학기술정보통신부고시) o 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회) o 행정정보 공동이용 지침(행정안전부예규) o 공공기관의 데이터베이스 표준화 지침(행정안전부고시) o 공공데이터 관리지침(행정안전부고시) o 모바일 전자정부 서비스 관리 지침(행정안전부예규) o 행정기관 및 공공기관 정보자원 통합기준(행정안전부고시) o 국가정보보안기본지침(국가정보원) |
□ 서비스 접근 및 전달 분야
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사유 및 대체기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 |
기본 지침
o 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
세부 기술 지침
관련규정 | o 전자정부 웹사이트 품질관리 지침 o 한국형 웹 콘텐츠 접근성 지침 2.1 | |||||
o 모바일 전자정부 서비스 관리 지침 | ||||||
외부 접근 장치 | o 웹브라우저 관련 | |||||
- HTML 4.01/HTML 5, CSS 2.1 | ||||||
- XHTML 1.0 | ||||||
- XML 1.0, XSL 1.0 | ||||||
- ECMAScript 3rd | ||||||
o 모바일 관련 | ||||||
- 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307) | ||||||
서비스 요구사항 | 서비스관리(KS X ISO/IEC 20000)/ ITIL v3 | |||||
서비스 전달 프로토콜 | IPv4 | |||||
IPv6 |
□ 인터페이스 및 통합 분야
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사유 및 대체기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 |
기본 지침
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토 하고, 개발된 웹서비스 중 타기관과 공유가 가능한 웹서비스는 범정부 차원의 공유·활용이 가능하도록 지원하여야 한다.
세부 기술 지침
서비스 통합 | o 웹 서비스 | |||||
- SOAP 1.2, WSDL 2.0, XML 1.0 | ||||||
- UDDI v3 | ||||||
- RESTful | ||||||
o 비즈니스 프로세스 관리 | ||||||
- UML 2.0/BPMN 1.0 | ||||||
- ebXML/BPEL 2.0/XPDL 2.0 | ||||||
데이터 공유 | o 데이터 형식 : XML 1.0 | |||||
인터페이스 | o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0 |
□ 플랫폼 및 기반구조 분야
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사유 및 대체기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 |
기본 지침
o 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다. | |||||
o 하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행 하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보 시스템과 호환성 및 확장성이 보장되어야 한다. |
세부 기술 지침
네트워크 | o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310 | |||||
o 부가통신: VoIP | ||||||
- H.323 | ||||||
- SIP | ||||||
- Megaco(H.248) |
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사유 및 대체기술 | ||||
적용 | 부분 적용 | 미적용 | 해당 없음 | ||||
운영체제 및 기반 환경 | o | 서버용(개방형) 운영 체제 및 기반환경 | |||||
- POSIX.0 | |||||||
- UNIX | |||||||
- Windows Server | |||||||
- Linux | |||||||
o | 모바일용 운영 체계 및 기반환경 | ||||||
- android | |||||||
- IOS | |||||||
- Windows Phone | |||||||
데이터베이스 | o | DBMS | |||||
- RDBMS | |||||||
- ORDBMS | |||||||
- OODBMS | |||||||
- MMDBMS | |||||||
시스템 관리 | o ITIL v3 / ISO20000 | ||||||
소프트웨어 공학 | o 개발프레임워크 : 전자정부 표준프레임워크 |
□ 요소기술 분야
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사유 및 대체기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 |
기본 지침
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다. | |||||
o 데이터는 데이터 공유 및 재사용, 데이터 교환, 공공데이터 제공, 데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다. | |||||
o 데이터는 공공데이터(법 제2조제2호의 행정정보를 말한다)로 제공하기 위하여 기계 판독이 가능한 형태로 정비, 공공데이터법상 제공제외 대상의 별도 테이블 분리·설계, 품질확보 등이 수행 되어야 한다. |
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사유 및 대체기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 | |||
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수 하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부장관에게 보고하고 행정안전부의“행정기관의 코드 표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정 안전부장관에게 표준 등록을 요청하여야 한다. | ||||||
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다. |
세부 기술 지침
관련규정 | o 공공기관의 데이터베이스 표준화 o 공공데이터 관리지침 o 공공데이터 제공·관리 매뉴얼 | 지침 | ||||||
데이터 표현 | o 정적표현 : HTML 4.01 | |||||||
o 동적표현 | ||||||||
- JSP 2.1 | ||||||||
- ASP.net | ||||||||
- PHP | ||||||||
- 기타 ( | ) | |||||||
프로그래밍 | o 프로그래밍 | |||||||
- C | ||||||||
- C++ | ||||||||
- Java | ||||||||
- C# | ||||||||
- 기타 ( | ) | |||||||
데이터 교환 | o 교환프로토콜 | |||||||
- XMI 2.0 | ||||||||
- SOAP 1.2 | ||||||||
o 문자셋 | ||||||||
- EUC-KR | ||||||||
- UTF-8(단, 신규시스템은 UTF-8 우선 적용) |
□ 보안 분야
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사 유 및 대체 기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 |
기본 지침
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 “서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터 페이스 및 통합” 분야를 모두 포함하여야 한다. | |||||
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 전자서명 또는 행정전자서명을 기반으로 하여야 한다. | |||||
o 네트워크 장비 및 네트워크 보안장비에 임의 접속이 가능한 악의적인 기능 등 설치된 백도어가 없도록 하여야 하고 보안기능 취약점 발견 시 개선․조치하여야 한다. |
세부 기술 지침
관련 규정 | o | 전자정부법 | |||||
o | 국가정보보안기본지침(국가정보원) | ||||||
o | 네트워크 장비 구축·운영사업 추가특수조건(조달청 지침) | ||||||
제품별 도입 요건 및 보안 기준 준수 | o | 국정원 검증필 암호모듈 탑재ㆍ사용 대상(암호가 주기능인 | 정보보호제품) | ||||
- PKI제품 | |||||||
- SSO제품(보안기능 확인서 또는 CC인증 필수) | |||||||
- 디스크ㆍ파일 암호화 제품 | |||||||
- 문서 암호화 제품(DRM)(보안기능 확인서 또는 CC인증 필수) | |||||||
- 메일 암호화 제품 | |||||||
- 구간 암호화 제품 | |||||||
- 하드웨어 보안 토큰 | |||||||
- DB암호화 제품(보안기능 확인서 또는 CC인증 필수) | |||||||
- 상기제품(8종)이외 중요정보 보호를 위해 암호기능이 내장된 제품 | |||||||
- 암호모듈 검증서에 명시된 제품과 동일 제품 여부 | |||||||
o | 보안기능 확인서 또는 CC인증 필수제품 유형군(국제 CC인 | 경우 보안적합성 | 검증 | 필요) | |||
- (네트워크)침입차단 | |||||||
- (네트워크)침입방지(침입탐지 포함) | |||||||
- 통합보안관리(통합로그관리 포함) | |||||||
- 웹 응용프로그램 침입차단 | |||||||
- DDos 대응(성능평가로 도입 가능) |
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사 유 및 대체 기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 | |||
- 인터넷 전화 보안 | ||||||
- 무선침입방지 | ||||||
- 무선랜 인증 | ||||||
- 가상사설망(검증필 암호모듈 탑재 필수) | ||||||
- 네트워크 접근통제 | ||||||
- 망간 자료전송(2022.1 이전 인증제품) | ||||||
- 안티 바이러스(성능평가로 도입 가능) | ||||||
- 패치관리 | ||||||
- 스팸메일 차단 | ||||||
- 서버 접근통제 | ||||||
- DB접근 통제 | ||||||
- 스마트카드 | ||||||
- 디지털 복합기 (비휘발성 저장매체 장착 제품에 대한 완 전삭제 혹은 암호화 기능) | ||||||
- 소스코드 보안약점 분석도구(성능평가로 도입 가능) | ||||||
- 스마트폰 보안관리 | ||||||
- 소프트웨어기반 보안USB(2020.1.1이전 인증제품, 검증필 암호모듈 탑재 필수) | ||||||
- 호스트 자료유출 방지(2021.1.1이전 인증제품, 매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모 듈 탑재 필수) | ||||||
- 네트워크 자료유출방지(2021.1.1 이전 인증제품) | ||||||
- CC인증서에 명시된 제품과 동일 제품 여부 | ||||||
o 보안기능 확인서 필수제품 유형군 | ||||||
- 소프트웨어기반 보안USB(검증필 암호모듈 탑재 필수) | ||||||
- 호스트 자료유출 방지(매체제어제품 포함, 자료저장 기능이 있는 경우 국정원 검증필 암호모듈 탑재 필수) | ||||||
- 망간 자료전송 | ||||||
- 네트워크 자료유출방지 | ||||||
- 네트워크 장비(L3 스위치 이상) | ||||||
- 가상화관리제품 |
구 분 | 항 목 | 적용계획/결과 | 부분적용/ 미적용시 사 유 및 대체 기술 | |||
적용 | 부분 적용 | 미적용 | 해당 없음 | |||
o 모바일 서비스(앱·웹) 등 | ||||||
- 보안취약점 및 보안약점 점검·조치 (모바일 전자정부 서비스 관리 지침) | ||||||
- 국가·공공기관 모바일 활용업무에 대한 보안가이드라인 | ||||||
o 민간 클라우드 활용 | ||||||
- 클라우드 서비스 보안인증(CSAP)을 받은 서비스 | ||||||
- 국가·공공기관 클라우드 컴퓨팅 보안가이드 | ||||||
백도어 방지 기술적 확인 사항 | o 보안기능 준수 | |||||
- 식별 및 인증 | ||||||
- 암호지원 | ||||||
- 정보 흐름 통제 | ||||||
- 보안 관리 | ||||||
- 자체 시험 | ||||||
- 접근 통제 | ||||||
- 전송데이터 보호 | ||||||
- 감사 기록 | ||||||
- 기타 제품별 특화기능 | ||||||
o 보안기능 확인 및 취약점 제거 | ||||||
- 보안기능별 명령어 등 시험 및 운영방법 제공 | ||||||
- 취약점 개선(취약점이 없는 펌웨어 및 패치 적용) | ||||||
- 백도어 제거(비공개 원격 관리 및 접속 기능) | ||||||
- 오픈소스 적용 기능 및 리스트 제공 |
※ 최신 기준은 ‘국가정보원ㆍ국가사이버안보센터’ 홈페이지 참조
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별지 제2호 서식]
상호운용성 등 기술평가표
1. 정보시스템의 상호운용성
가. 기술적 요구사항 정의의 적절성
세부 평가항목 | 검토 여부 | 검토내용 |
해당 사업을 계획하게 된 배경 및 목적을 기술 하였는가? | ||
정보화 측면의 문제점 및 기술적 개선방향을 기술 하였는가? | ||
현행시스템 구성도를 최신버전으로 기술하였는가? | ||
현행정보시스템에 해당되는 범정부 및 기관의 기술 참조모형/표준프로파일을 검토하여 현행시스템의 표준을 기술하였는가? | ||
신규구축 또는 개선될 목표시스템의 기능/비기능 (업무절차, 응용서비스, DB, 네트워크, 성능, 보안, 품질 및 전환계획 등에 대한 시스템 요구사항) 내역을 기술하였는가? | ||
목표시스템 개념도를 기술하였는가? | ||
목표정보시스템에 해당되는 범정부 및 기관의 기술 참조모형/표준프로파일을 검토하여 목표시스템의 표준을 기술하였는가? |
나. 타 정보시스템과의 연계성
세부 평가항목 | 검토 여부 | 검토내용 |
타 정보시스템과의 연계 목적 및 필요성을 기술 하였는가? | ||
연계대상 기관, 연계대상 정보시스템을 기술하였는가? | ||
연계대상 정보시스템과의 연계 기능 및 해당 정보 (전달하는 정보, 전달받는 정보)를 기술하였는가? | ||
연계대상 정보시스템과의 연계 처리 방식 및 처리 절차를 기술하였는가? |
다. 정보시스템 통합성
세부 평가항목 | 검토 여부 | 검토내용 |
타 정보시스템과의 통합을 위한 목적 및 필요성을 기술하였는가? | ||
통합대상 기존 업무절차, 응용기술, 데이터 및 정보시스템을 분석․기술하였는가? | ||
통합을 위한 목표 업무절차, 응용기술, 데이터 및 정보시스템을 분석․기술하였는가? |
2. 행정정보 공동활용 및 공공데이터 제공
가. 행정정보 공동활용 및 공공데이터 제공을 위한 정보의 식별
세부 평가항목 | 검토 여부 | 검토내용 |
범정부EA지원시스템 또는 개별기관 EA를 통해 공동 활용 데이터․서비스를 식별․기술하였는가? | ||
기관 정보시스템에서 생성·관리하고 있는 행정 정보 중에서 공공데이터 제공대상을 식별하였는가? |
나. 데이터 표준화
세부 평가항목 | 검토 여부 | 검토내용 |
공동활용 대상 데이터 연동을 위한 메타 데이터 체계, 데이터 매핑규칙 등을 기술하였는가? | ||
공공기관의 데이터베이스 표준화 지침 등 국가 데이터 표준 지침을 검토하였는가? |
다. 정보공동활용 체계 구축 및 활용
세부 평가항목 | 검토 여부 | 검토내용 |
공동활용 데이터․서비스의 제공기관, 주기 및 연계 방식 등의 기술환경을 기술하였는가? | ||
공동활용 데이터․서비스 구조 및 내용을 기술하였는가? | ||
공동 활용 데이터에 대한 접근규칙, 접근권한 및 공개수준을 기술하였는가? |
3. 정보시스템의 효율성
가. 정보시스템 용량산정 및 성능
세부 평가항목 | 검토 여부 | 검토내용 |
현행 업무 및 시스템에 대한 용량 및 성능 관련 자료를 기술하였는가? | ||
시스템 용량산정을 위해 정보시스템의 사용자수, 최대 동시 접속자수, 요구 응답시간, 데이터량 등을 기술하였는가? | ||
정보시스템의 사용환경(WEB, WAS, DB 등)에 따른 시스템 용량 산정(CPU, Memory, Disk 등)을 하였는가? | ||
향후 업무확장, 인원 및 데이터 증가 정도를 기술 하였는가? |
나. 정보시스템 운영 및 유지관리
세부 평가항목 | 검토 여부 | 검토내용 |
정보시스템의 운영관리 및 유지관리에 필요한 절차, 조직, 계획 및 지침 등을 기술하였는가? | ||
정보시스템의 운영관리 및 유지관리를 위한 기술 이전방안을 기술하였는가? | ||
정보시스템 구축 후 하자보수 기간 및 범위를 기술 하였는가? | ||
개발산출물(최종산출물, 개발 소프트웨어)의 저작권 귀속, 양도, 이용허락 등 관련 권리관계를 구체적 으로 기술하였는가? | ||
향후 업무확장, 인원 및 데이터 증가에 따른 시스템 업그레이드의 용이성을 기술하였는가? | ||
공급 업체의 최신 패치 제공방안 및 적용방안의 용이성을 기술하였는가? |
4. 정보접근을 위한 기술적 편의성
가. 접근 다양성
세부 평가항목 | 검토 여부 | 검토내용 |
정보접근을 위한 다양한 제공방식(키오스크, 웹 브라우저, 모바일 등)을 기술하였는가? |
나. 접근 편의성
세부 평가항목 | 검토 여부 | 검토내용 |
장애인, 컴퓨터 이용 초보자 등 사용자 특성에 따른 접근편의성 제고방안을 기술하였는가? | ||
시스템 사용의 편리성을 제고하기 위한 교육 및 매뉴얼 작성방안을 기술하였는가? |
5. 정보시스템 구축․운영 기술의 적합성
가. 정보시스템 구축·운영 기술의 적합성
세부 평가항목 | 검토 여부 | 검토내용 |
행정기관 및 공공기관 정보시스템 구축·운영 지침의 <별지 제1호 서식> 기술적용계획표를 작성 및 검토 하였는가? |
※ 작성요령
1. 검토여부에는‘검토’,‘해당없음’ 중 하나를 기재
2. 검토내용에는‘검토’한 경우에는 기술적 분석사항을,‘해당없음’인 경우에는 사유 등이 포함된 세부 내용을 기재
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별지 제3호 서식] 삭제
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별지 제4호 서식]
OOO사업 제안서평가 결과
□ 평가위원 : OOO 위원
□ 평가점수
평가부문 | 입찰참가업체 | 비 고 | |||
A | B | C | ..... | ||
XX부문 | |||||
YY부문 | |||||
∶ | |||||
∶ | |||||
∶ | |||||
∶ | |||||
합 계 |
■ 행정기관 및 공공기관 정보시스템 구축·운영 지침 [별지 제5호 서식]
정보화사업 착수계
(1쪽)
사 업 명 | |||
계 약 번 호 | 계약년월일 | 년 월 일 | |
계 약 금 액 | |||
계약수행기간 | 년 월 일 ∼ 년 월 일 |
위의 사업의 착수계와 붙임서류를 제출합니다.
년 월 일
붙 임 1. 사업책임자계 1부.
2. 사업수행계획서 1부.
3. 청렴서약서 1부.
4. 보안서약서 1부.
직인
사 업 자
○ ○ ○ ○ 장 귀하
210㎜×297㎜〔백상지(120g/㎡) 또는 백상지(80g/㎡)〕
사 업 책 임 자 계
(2쪽)
사 업 명 | |||
계 약 번 호 | 계약금액 | ||
계약수행기간 | 년 월 일 ∼ 년 월 일 |
위의 사업에 대하여 당사의 사업책임자를 아래와 같이 선정하고, 계약업무에 관한 일체의 업무를 위임 하였기에 책임자계를 제출합니다.
사업책임자
성 명 : (서명 또는 인)
직 위 :
년 월 일
직인
사 업 자
○ ○ ○ ○ 장 귀하
210㎜×297㎜〔백상지(120g/㎡) 또는 백상지(80g/㎡)〕
청렴 서약서
(3쪽)
당사는「부패 없는 투명한 기업경영과 공정한 행정」이 사회발전과 국가 경쟁력에 중요한 관건이 됨을 깊이 인식하며, 국제적으로도 OECD뇌물방지 협약이 발효되었고 부패기업 및 국가에 대한 제재가 강화되는 추세에 맞추어 청렴계약 취지에 적극 호응하여 조달청에서 발주하는 모든 공사, 물품 및 용역 등의 입찰에 참여할 때 당사 및 하도급업체(하도급업체와 직ㆍ간접적으로 업무를 수행하는 자를 포함)의 임직원과 대리인은
1. 입찰가격의 유지나 특정인의 낙찰을 위한 담합을 하거나 다른 업체와 협정, 결의, 합의하여 입찰의 자유경쟁을 부당하게 저해하는 일체의 불공정한 행위를 않겠습니다.
2. 입찰, 낙찰, 계약체결 또는 계약이행과정(준공 이후도 포함)에서 관계공무원에게 직ㆍ간접적으로 금품ㆍ향응 등의 부당한 이익을 제공하지 않겠으며, 그러한 사실이 드러날 경우에는 계약체결 이전의 경우에는 낙찰자 결정 취소, 계약이행 전에는 계약취소, 계약이행 이후에는 해당 계약의 전부 또는 일부계약을 해제 또는 해지하여도 감수하겠습니다.
3. 회사 임ㆍ직원이 관계 공무원에게 금품, 향응 등을 제공하거나 담합 등 불공정 행위를 하지 않도록 하는 회사윤리강령과 내부비리 제보자에 대해서도 일체의 불이익처분을 하지 않는 사규를 제정토록 노력하겠습니다.
위 청렴계약 서약은 상호신뢰를 바탕으로 한 약속으로서 반드시 지킬 것이며, 낙찰자로 결정될 시 본 서약내용을 그대로 계약특수조건으로 계약하여 이행하고, 입찰참가자격 제한, 계약해지 등의 조치와 관련하여 당사가 손해배상을 청구하거 나 당사를 배제하는 입찰에 관하여 민ㆍ형사상 어떠한 이의도 제기하지 않을 것을 서약합니다.
년 월 일
서 약 자 : ○○○회사 대표 ○○○ (서명 또는 인)
○○○ 장 귀하
사 업 수 행 계 획 서
사 업 명
년 월 일
(사 업 자)
목 차
1. 사 업 명
2. 사업기간
3. 사업목적
4. 사업범위
5. 사업추진체계
6. 사업추진절차
7. 산출물계획
8. 일정계획
9. 공정별 투입인력계획
10. 보고계획
11. 표준화계획
12. 품질보증계획
13. 위험관리계획
14. 보안대책
15. 교육계획
16. 발주기관 협조요청사항
1. 사 업 명
◎ 작성요령 : 계약서상의 사업명을 기입
2. 사업기간
◎ 작성요령 : 계약서상의 계약기간을 기입
3. 사업목적
◎ 작성요령 : 제안요청서상의 과제의 추진배경 및 목적을 기입
4. 사업범위
가. 개발대상업무
◎ 작성요령 : 제안요청서상의 업무범위를 근거로 작성
나. 개발 및 운영환경
◎ 작성요령 :
- 소프트웨어, 하드웨어, 네트워크, 기타로 나누어 기술적인 사항을 개발기간 중과 개발 후 운영단계 로 나누어 세부적으로 기술
- “행정기관 및 공공기관 정보시스템 구축․운영 지침”을 준수하여 기술
다. 기 타
◎ 작성요령 : 인터페이스 관련사항, 표준화, 업무절차재구축, 초기자료구축 등 가, 나에 기술되지는 않 았지만 업무의 범위를 정하는데 필요한 사항을 기술
5. 사업추진체계
가. 총괄추진체계
◎ 작성요령 : 제안요청서를 근거로 발주기관과 협의하여 작성하되 발주기관의 검사 및 감독담당자 가 명시되어야 함
나. 사업자 추진체계
- 사업자 조직도
용역책임자
OO팀
OO팀
OO팀
사업관리자
◎ 작성요령 : 컨소시엄으로 구성된 경우 컨소시엄간 역할 및 업무분장이 명시되어야 함
※ 분리발주된 SW공급자와의 협력방안을 기술
- 업무분장
구 분 | 성 명 | 주 요 임 무 |
※ 공동수급체를 구성한 경우, 구성원별 이행부분이 구분될 수 있도록 작성(형식적인 공동수급체 구 성을 방지하기 위함: 공동계약운용요령(기획재정부, 계약예규) 참조)
- 참여인력 총괄표
◎ 작성요령 :
- 참여인력 총괄표의 참여인력은 주사업자를 비롯한 컨소시엄 참여업체 및 소프트웨어 진흥법에 따라 승인을 받은 하도급 업체에 한함
- ‘인력투입방식'에 의한 계약부분에 대해서는 아래 ①만 작성하고 그 외의 경우는 ②만 작성
① 제42조(인력관리 금지) 중 예외사업(컨설팅 전자정부사업관리 위탁 감리용역사업)에 의한 계약일 경우에만 작성
성 명 | 소 속 | 담당업무 | 직무(투입율) | 총투입M/M |
※ 투입율은 특별히 인정되는 경우를 제외하고는 100%를 원칙으로 함
※ 총투입M/M는 투입율 * 사업기간(월)으로 산정함
② 제42조(인력관리 금지) 중 예외사업(컨설팅 전자정부사업관리 위탁 감리용역사 업) 외의 사업에 의한 계약일 경우에만 작성
성 명 | 소 속 | 담당업무 |
6. 사업추진절차
단계명 (phase) | 세그먼트명 (segment) | 단위업무명 (task) | 수 행 업 무 | 산 출 물 | 비 고 |
※ 기술용역개발사업의 경우 개발방법론을 사용한다.
7. 산출물계획
◎ 작성요령
- 산출물을 명기하고 산출물 제출일정, 제출부수 등의 제출계획을 기술
8. 일정계획
구 분 | M | M+1 | M+2 | M+n | 비 고 | ||||||||||||||||||||||||
1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | ||||||||||||||
◎ 작성요령 : 구분은 단위업무(task)를 기입
- 주간단위로 작성하며, 기간은 막대형태로 표기
9. 공정별 투입인력계획
(단위 : M/M)
작업단계명 (TASK) | 시작일~ 종료일 | … | 데이터 분석가 | 데이터 아키텍트 | UI/UX 개발자 | 시스템S W 개발자 | 응용 SW 개발자 | … | 계 |
계 | |||||||||
비고 | |||||||||
◎ 작성요령 : 제42조(인력관리 금지) 중 예외사업(컨설팅‧전자정부사업관리 위탁‧감리용역사업)에 의한 계 약일 경우에만 작성 - 세로(작업단계별)계 : 투입직무별 M/M 합계 - 가로(투입직무별)계 = 작업단계별 M/M 합계 |
10. 보고계획
◎ 작성요령 : 주간, 월간, 단계별 보고를 포함하여 품질보증활동보고, 위험관리현황보고 등 전체적 인 보고계획을 수립
11. 표준화계획
1) 표준화 항목
◎ 작성요령 : 아래 표준화 항목에 맞는 사업수행내역을 내역란에 기술
- 해당항목에 대한 사업수행내역이 없는 경우, <해당사항 없음> 으로 명시
구 분 | 항 목 | 내 역 | |
행정 업무 표준 | 업무 | 업무처리 절차 | |
업무처리에 필요한 정보항목 | |||
정보 (데이터 /코드) | 업무용 코드/행정업무용 표준코드 | ||
각종 서식 | |||
정보공동활용에 필요한 연계 정보항목 및 연계 절차 | |||
사업 관리 | 사업 관리, 유지관리, 평가 등에 대한 지침 및 규정 | ||
공통 서비스 | 공통서비스 대상발굴 | ||
사용자디렉토리 (LDAP) | |||
통합인증 | |||
민원안내 | |||
민원발급 | |||
민원서식 | |||
전자지불 | |||
본인확인 | |||
웹서비스 등록저장소 (U DI) | |||
단방향문자서비스 (SMS) |
2) 정보화기반표준
◎ 작성요령 :
- “행정기관 및 공공기관 정보시스템 구축․운영 지침”에 따라 상호운용성에 대한 평가를 실시하 고 기술평가 검토서식을 작성․제출
- “행정기관 및 공공기관 정보시스템 구축․운영 지침” 기술적용계획표를 작성하고 준수
3) 공공기관의 데이터베이스 표준화 지침
◎ 작성요령 :
- 공공기관의 데이터베이스 표준화 지침(행정안전부고시) 별지 서식에 따라 작성
4) 전자정부 웹사이트 품질관리 지침
◎ 작성요령 :
- 전자정부 웹사이트 품질관리 지침(행정안전부고시)에 따른 웹사이트 품질관리에 관한 사항을 서술
※ 한국형 웹 콘텐츠 접근성 지침2.1(KCS,OT-10.0003/R2 2015.3.13)을 참조하여 콘텐츠 제작시 활용
12. 품질관리계획
◎ 작성요령 : 품질목표, 추진체계, 내용, 품질보증절차 등을 제시
13. 위험관리계획
◎ 작성요령 : 위험관리목표, 추진체계, 절차 등을 제시
14. 보안대책
◎ 작성요령 : 생성된 문서의 보관, 통신보안, 시스템 보안 등의 보안대책과 개인정보보호 대책을 제시 “소프
트웨어 개발보안 가이드” 준수를 위한 종합적인 대책 제시(개발자 교육, 시큐어 코딩 및 보안 취약점 진단․보완조치 등)
15. 교육계획
◎ 작성요령 : 사업 완료이전, 이후를 포함한 모든 제공 교육에 대한 과목, 일정, 대상, 기간, 교육내 용 및 지원사항을 기술
16. 발주기관 협조요청사항
◎ 작성요령 : 사업자의 입장에서 사업수행을 위해 필요한 사항 중 발주기관에서 조치해야 하는 사항 을 기술(예 : 출입조치, 작업장소, 자료조사협조 등)
(5쪽)
보 안 서 약 서
본인은 0000년 00월 00일부로 (정보시스템 포함)과 관련한 업무 (연구개발, 제작, 입찰, 기타)를 수행함에 있어 다음 사항을 준수할 것을 엄숙히 서약합니다.
1. 나는 00000사업(정보시스템 포함)과 관련된 소관업무가 국가기밀 사항임을 인정하고 제반 보안관계규정 및 지침을 성실히 준수한다.
2. 나는 이 기밀을 누설함이 국가이익을 침해할 수도 있음을 인식하고 재직 중은 물론 퇴직 후에도 알게 된 모든 기밀사항을 일체 타인에게 누설하지 아니한다.
3. 나는 기밀을 누설한 때에는 아래의 관계법규에 따라 엄중한 처벌을 받을 것을 서약 한다.
가. 전자정부법 제35조(금지행위) 및 제76조(벌칙)
년 월 일
서약자 소속 직급 생년월일
직위 성 명 (서명 또는 인)
서약 집행자 소속 직급
직위 성 명 (서명 또는 인)
210㎜×297㎜〔백상지(120g/㎡) 또는 백상지(80g/㎡)〕