|
과 업 내 역 서 - 정보화시스템 유지보수 사업 - |
|
|
2015. 9
|
정보화시스템 유지보수 과업내역서 |
1. 과업명
□ 정보화시스템 유지보수
2. 과업기간
□ 계약일로부터 12개월
3. 과업목적
□ 안정적인 대내외 서비스 제공 및 업무연속성 보장을 위한 체계적인 정보화 운영 및 유지보수 체제 구축
□ 정보화시스템 24시간 365일 지원체계를 마련하여 장애 최소화 실현 및 복구시간 단축
□ SLA(Service Level Agreement) 기반의 표준운영업무 절차 설계 및 적용을 통한 체계적인 서비스 제공 환경 마련
4. 과업내용
가. 유지보수 대상 현황
□ 유지보수 대상 목록
|
구분 |
용도 |
서버/버전명 |
수량 |
도입 년월 |
도입금액 (천원) |
비 고 |
|
|
H/W |
백업 |
소산(라이브러리) |
Quantum Scalar i40 |
1 |
2013 |
31,350 |
|
|
백업시스템 |
HW: SYMC NBU 5230 |
1 |
2013 |
120,000 |
|||
|
SW: NetBackup V7.5 |
|||||||
|
통신 |
백본 |
Catalyst 4500 |
1 |
2007 |
35,000 |
||
|
모듈 증설 |
1 |
2012 |
28,028 |
||||
|
L2스위치 |
Catalyst 2960S |
15 |
2011 |
30,000 |
|||
|
L3스위치 |
Catalyst 3560X |
1 |
2013 |
3,106 |
|||
|
L4스위치 |
PAS- K1516 |
1 |
2013 |
11,000 |
|||
|
개인용전산기기 |
PC, 근거리통신망(포함) |
200 |
- |
1,200 |
|||
|
Printer(110대), Scanner(9대) |
110 |
- |
800 |
||||
|
보안 |
웹방화벽 |
Wapples 2000 |
1 |
2011 |
45,100 |
||
|
침입방지시스템 |
Sniper V7.0 IPS E2000 |
1 |
2011 |
45,100 |
|||
|
DB 암호화 |
D'Amo |
1 |
2011 |
19,800 |
|||
|
DB접근제어 |
Chakra C2000 |
1 |
2012 |
30,000 |
|||
|
DDoS솔루션 |
Sniper V5.1 ND2000 |
1 |
2012 |
35,000 |
|||
|
유해사이트 차단 |
HyBoost500 |
1 |
2013 |
27,500 |
|||
|
취약점점검 |
Secuguard WSE |
1 |
2013 |
15,400 |
|||
|
개인정보필터링 |
U- Privacy Safer V3.0 |
1 |
2013 |
19,800 |
|||
- 2 -
나. 정보시스템 운영관리
□ 서비스수준협약(SLA) 체결
○ 유지보수 사업의 서비스 수준 향상과 운영지원 업무의 효율성 향상을 위하여 SLA 적용
- 사업 착수 후 3개월간 시범운영 후 목표수준 협의 및 SLA 체결
(체결된 익월부터 적용)
○ SLA 개선
- 서비스 품질향상 및 정보기술 환경변화에 유연하게 대처할 수 있도록 지속적인 SLA 개선 및 적용 방안 제시
※ SLA에 의한 유지보수실적의 평가결과가 85점/100점 이상인 경우는 최대 3년까지 자동연장 가능
□ 표준운영업무절차 수립 및 적용
○ 요청관리, 장애관리, 변경관리, 구성관리, 백업관리, 복구관리, 성능관리 등 운영 업무의 ITILv2 기반의 표준 운영업무절차 설계 및 운영업무 적용(단, 연구원 규모에 맞게 조정하여 적용)
□ 정보시스템 운영관리
○ 사용자 요청에 대한 요청처리 목표시간 내에 처리
○ 모니터링 및 체계적인 처리 절차 구축
○ 네트워크 장비 및 근거리통신망 운영 및 유지관리
○ 보안솔루션 및 백업 등 운영 및 유지관리
○ 정보시스템 성능진단 및 개선방안 제시
○ 시스템 운영에 필요한 최신 기술자료 수집 및 기술지원
- 3 -
□ 장애처리 및 지원
○ 장애발생 시 조치 및 결과 절차 수립
○ 제조사 또는 공급사 등 2선 지원 체계 수립
○ 장애등급 및 장애 해결유형 표준화
○ 각종 전산장비 및 정보시스템 장애발생 시 긴급조치
○ 장애 조치 후 장애관리 절차에 따른 장애분석보고서 제출
○ 장애 발견 및 처리에 대해 표준운영업무 절차에 따른 보고
○ 장애 발생 요소에 대한 사전 예방 점검 및 원인제거
○ 장애발생 시 장애 관련 로그 수집 및 장애 처리 일지 작성
○ 지속적인 모니터링 및 시정부분에 대한 조치 실시
□ 변경 및 성능관리
○ 정보시스템의 변경사항 발생 시 표준운영업무 절차에 따른 변경관리 계획 보고
○ 정보시스템 성능 및 용량분석에 대한 월간, 연간 성능 변동추이 보고
○ 정보시스템의 지속적인 성능 측정을 통한 성능 개선 실시
○ 월 1회 이상 정보서비스별 업무 성능 분석 및 보고서 제출
□ 백업/복구 관리
○ 정보시스템 백업 및 복구관리 표준운영업무 절차 수립
○ 표준운영업무 절차에 정의된 백업주기에 따른 백업계획 보고
○ 필요 시 백업된 매체를 활용하여 자료의 안전한 복구수행
□ 정보자원 현황관리
○ 장비 및 S/W 현황관리 표준 분류체계 수립
○ 월 1회 이상 대상 전산장비 현황보고서 제출
다. 운영관리
□ 작업관리
○ 작업요청 및 의뢰 접수 및 처리
○ 일일, 주간, 월간 자료 백업 실시
○ 백업 여부 모니터링 및 결과 기록
○ 백업 데이터의 원격지 소산 작업
○ 각종 의뢰된 자료출력 및 관리
라. 정보자원 유지보수
□ H/W 유지보수
- 4 -
|
구분 |
항목 |
과 업 내 용 |
|
|
제품 관련 |
OS |
업그레이드 |
∙ 기존 시스템 소프트웨어의 기능을 보완하기 위하여 추가되는 서비스, OS 업그레이드, 그에 따르는 Migration |
|
패치 |
∙ 운영체제 패치 적용으로 시스템 품질 향상 |
||
|
H/W |
업그레이드 |
∙ 기존 시스템의 성능을 향상시키기 위하여 필요하다고 판단 시 새로운 장치나 부품으로 교체 지원 |
|
|
기술 지원 |
정기점검/조율 |
∙ 정기적으로 지원하는 정기 점검, 정기 성능 조율 |
|
|
예방보수 |
∙ 시스템의 장애를 사전에 예방하기 위하여 장애 가능성 사전 예측 및 문제점 보수 |
||
|
(긴급)장애처리 |
∙ 사용자가 긴급한 문제를 해결하기 위해 장애처리 및 정비 서비스를 요청한 경우에 문제를 해결하는 서비스 |
||
|
일상지원 |
∙ 전화/E- mail, 직접지원 등을 통한 질의ㆍ응답 |
||
|
교육 |
운영자교육 |
∙ 시스템 운영을 위한 운영자 교육 |
|
|
기술이전 |
∙ 시스템 운영 기술이전 |
||
|
운영 관리 |
부품지원 |
∙ 유지보수 대상 장비의 부품 보유 및 수리 시 부품 공급 ※ 부품 조달 비용은 연구원과 별도 협의가능 |
|
|
시스템 운영 |
∙ 시스템의 점검 및 유지보수 이력관리 ∙ 시스템 사용자 계정 관리 등 |
||
|
운영 활동 보고 |
∙ 운영 및 유지보수 작업 보고서 작성 |
||
□ 솔루션(S/W) 유지보수
|
구분 |
항목 |
과 업 내 용 |
|
|
제품 관련 |
제품 수정 및 보완 |
패치 |
∙ 새로운 기술의 적용이나 운영체제의 변화 등으로 발생하는 불일치 조정 |
|
업데이트 |
∙ 기존 소프트웨어 제품의 기능을 보완하기 위하여 추가되는 서비스 |
||
|
기능 향상 |
업그레이드 |
∙ 기존 소프트웨어 제품을 향상시키기 위하여 필요한 것으로 판단될 시 새로운 버전으로 교체하는 서비스 |
|
|
라이선스 유지 |
∙ 계속 사용에 따른 라이선스 구매가 필요한 소프트웨어의 라이선스 유지 |
||
|
기술 지원 |
일상지원 |
∙ 전화/Email, 직접지원 등을 통한 질의ㆍ응답 |
|
|
(긴급)장애처리 |
∙ 사용자가 긴급한 문제를 해결하기 위해 장애처리 및 정비 서비스를 요청한 경우에 고객 사이트를 방문하여 문제를 해결하는 서비스 |
||
|
예방/예측 지원 |
∙ 시스템의 장애를 사전에 예방하기 위하여 현장방문을 통해 정기적으로 지원하는 정기 점검, 정기 성능 조율 서비스 |
||
|
교육 |
운영자 교육 |
∙ 제품 운영을 위한 운영자 교육 |
|
|
사용자 교육 |
∙ 제품 사용을 위한 사용자 교육 |
||
|
운영 관리 |
시스템 운영 |
∙ 시스템의 점검 및 유지보수 이력관리 ∙ 시스템 사용자 계정 관리 등 |
|
|
운영 활동 보고 |
∙ 유지보수 및 운영 활동 작업 보고서 작성 |
||
- 5 -
□ 기술지원
|
구분 |
항목 |
과 업 내 용 |
|
기술 지원 |
시스템 성능 진단 |
∙ 정보화시스템의 성능 최적화를 위해 분야별 전문가로 구성된 성능 진단 조직을 운용 ∙ 진단 결과에 따라 품질 향상을 위한 방안을 제시 ※ 진단 대상 : 주요 소프트웨어 |
|
보안 취약점 점검 |
∙ 취약점 점검툴 등을 이용한 정보화 시스템에 대한 보안 취약점 점검 및 보완 조치 |
마. 운영 및 유지보수 인력
○ 상주인력은 특별한 사유가 없는 한 교체 불가
(단, 능력미달로 인해 연구원에서 교체요구가 있을 경우 즉시 교체)
○ 사업자의 사유로 교체가 필요한 경우 연구원의 승인을 받아야 하며, 적합한 인수인계절차 진행
5. 유지보수 일반사항
가. 장애대응 및 업무연속성 보장
□ 장애대응 및 업무연속성 보장
○ 재해 혹은 장애 발생 시 복구 목표와 절차를 제시하여 업무의 연속성 보장
○ 최적의 운영 방안 및 응급처리 방안 등을 포함하는 상세한 장애 복구 대책을 제시
○ 야간, 주말 및 휴일 운영에 정상정인 서비스를 수행할 수 없는 경우를 대비한 긴급 유지 보수 방안을 제시
□ 장애복구
- 6 -
○ 장애가 발생하였을 경우에 즉시 장애 관련 정보 수집 및 복구 작업을 우선 실시하여야 하며, 장애 원인 및 재발 방지책 또는 해결 방법 등을 보고
○ 유지보수 기간 중 발생한 장애 이력, 장애 조치 사항, 기술 지원 사항, 현황 내역 등을 유지 관리
○ 신속한 장애처리 및 예방을 위하여 장애유형에 따른 장애처리 및 장애 이력 관리
○ 유지보수 대상 정보시스템이 복구가 불가능하다고 판단될 경우, 동일 성능의 기기로 임시 대체하여 대체 처리된 전산시스템의 문제가 해결될 때까지 정상 가동을 보장
○ H/W장비에 대한 장비 부속품의 교체가 필요할 경우, 교체 부품은 제안사의 비용으로 제조업체에서 제공하는 동일한 부품 또는 동급 이상의 사양으로 선교체 후 연구원과 협의 가능
□ 장애대응 기준
○ 24시간×365일 장애대응을 보장하고, 제조사 또는 공급사 전문 기술자는 장애신고를 받은 후 2시간 이내 현장에 도착하여야 하며, 도착 후 SLA 명기된 장애등급별 복구시간 내에 장애처리 완료
○ 장애신고 및 처리 완료까지의 과정, 장애 원인 및 복구 결과를 조치 완료 후 7일 이내에 서면으로 제출
나. 품질보증
□ 품질보증 방안
○ 본 사업 추진 시 위험요소 및 기회요소들의 관리방법, 연구원과의 의사소통방안, 정보보호, 해당 과업 추진 시 문서화 방안 등 사업추진 시 제반 품질보증 방안에 대해 제시
○ 안정적 운영 추구 및 신속하고 정확한 인계를 위하여 사업기간 내 수행 업무에 대한 문서화 등 정리‧보관 방안 제시
다. 보안관리
□ 보안관리
○ 웜 등 보안 사고에 관련한 최신정보 공유 및 이에 대한 대처 방안 등을 마련
○ 시스템 및 데이터의 보안 유지 및 보안활동
○ 대상 정보시스템의 특성에 맞는 보안패치 관리
○ 사업 수행에 사용되는 인원, 문서, 장비 등의 보안 관리 계획을 수립하여야 하며, 보안상 결격사항이 없도록 조치 방안 제시
○ 사업 수행 중 인원, 문서 및 전산자료 보안 등 연구원이 요구하는 각종 보안 관리 사항을 준수할 것
○ 사업 수행과정에서 취득한 자료와 정보에 관해서는 사업 수행의 전후를
- 7 -
막론하고 연구원의 승인 없이 외부에 유출 또는 누설할 수 없음
○ 사업을 수행함에 있어서 보안각서, 개인용전산기기(노트북 등) 반입‧출 등 연구원의 보안기준을 준수하여야 함
○ 연구원은 보안통제 상태를 점검할 수 있으며, 보안상 필요하다고 판단 될 경우에는 이의 시정을 지시할 수 있으며, 제안사는 이를 수용해야 함
○ 사업자는 사업수행에 사용되는 인원, 문서, 장비 등의 보안관리 계획을 수립하여야 하며, 보안상 결격사항이 없도록 조치하여야 함
○ 사업자는 사업수행계획서 제출 시 투입인력의 보안서약서를 제출해야 하며, 대표이사 명의의 보안확약서를 제출하여야 함
○ 제안사는 사업수행 과정에서 취득한 자료와 정보에 관해서는 사업수행의 전후를 막론하고 우리 원의 승인 없이 외부에 유출 또는 누설하거나 세미나 등의 발표자료 등 다른 용도로 이용할 수 없으며, 이를 준수하지 않아 발생하는 민‧형사상의 모든 책임은 제안사가 져야 함
○ 제안사는 연구원의 보안 관련 제반 규정 이행을 위한 자율적 관리방안을 제시하야야 함
○ 제안사는 본 사업 수행을 수행하기 위하여 제공된 문서‧장비 및 산출물에 대한 관리방안을 제시하여야 함
○ 제안사는 사업 수행 중 인원, 문서 및 전산자료 등의 보안과 관련하여 제안요청서에서 특별히 명시하지 않은 사항에 대해서는 연구원의「보안규정」등 보안관련 규정에 따라야 함
- 본 사업에서 산출된 문서나 활용중인 책자는 그 중요도에 따라 기밀, 대외비, 일반정보로 분류하여 관리
- 사업 관련 자료 및 문서는 외부에 노출되지 않도록 보관‧관리하고 우리 원의 승인 없이 목적 외 사용이나 제 3자에게 제공하지 않음
- 사업완료 후 반드시 관련 자료 반환 및 소각 처리 등 조치 수행
○ 연구원이 지정한 누출금지 정보의 유출이 확인될 경우, 부정당업자 지정 및 관련법에 의거한 제재조치를 수용해야 하며, 이에 대한 사항을 제안서에 명시해야 함
○ 제안사 및 투입인력은 연구원의 보안관련 규정 및 상위 기관 보안규정을 반드시 준수해야 하며, 연구원이 정한 누출금지 정보에 대한 유출이 확인될 경우 아래 기준에 의거 부정당업자 지정 및 제재조치를 받을 수 있음에 동의한 것으로 간주함
○ 제안사는 국가계약법시행령 제76조 제1항 제18호 규정을 위반하여 누출금지 정보를 무단으로 누출할 경우 국가계약법에 의거 아래와 같이 입찰참가자격이 제한됨
- 정보 누출 횟수가 2회 이상인 경우 : 3월
- 정보 누출 횟수가 1회 이상인 경우 : 1월
- 8 -
<누출금지 정보의 범위>
① 연구원 소유 전산시스템의 내‧외부 IP주소 현황
② 세부 전산시스템 구성 현황 및 전산망 구성도
③ 사용자계정 및 패스워드 등 시스템 접근권한 정보
④ 전산시스템 취약점분석 및 모의해킹 결과물
⑤ 용역사업 결과물 및 프로그램 소스코드
- 시스템 연계정보, 보안적용정책, 사업구성현황 등 사업 결과물
- 시스템 해킹 및 중요 자료 유출이 가능한 프로그램 소스코드
⑥ 국가용 보안시스템 및 정보보호시스템 도입 현황
⑦ 방화벽‧IPS 등 정보보호제품의 설정정보 및 보안정책 정보
⑧ 라우터‧스위치 등 네트워크 장비 설정 정보
○ FTP, Telnet, Finger 등 불필요한 서비스 Port 제거, 운영 DB 및 시스템에 대한 접근통제, 로그관리 등 보안조치 하여야 함
○ 연구원 내 정보시스템의 기밀 보호를 위하여 연구원 보안정책, 복무정책 등을 준수해야 함
- 계약상대자는 사업 착수와 동시에 보안관리책임자(PM)를 지정하여야 함
- 계약상대자는 사업수행 중 보안 위규 사항 발생시 발주자의 "첨부 1. 외부 용역사업 보안특약"을 따른다.
- 제안서 제출 시 증빙서류 내 주민등록번호는 식별이 불가능하도록 뒷자리 마스킹 처리를 하여 제출하고, 업체 선정 후 계약 체결 시 주민등록번호가 필요한 경우 해당 서류는 별도 제출함
○ 제안사는 연구원에 반입하는 전산기기(노트북, PC 등)는 연구원과 협의 후 보안(백신, PC보안프로그램 등) 소프트웨어를 설치한 후 반입하여야 하며, 사업 종료 등으로 반출 시에는 저장매체를 복구 불가능한 방법으로 삭제 후 반출해야 함
라. 교육 및 기술 지원
□ 교육
○ 연구원에서 유지보수 대상인 정보시스템 관련 교육 요청 시 해당 사항에 대한 On- Site 교육을 실시하고, 필요시 전문 교육 기관의 교육 지원을 제공
○ On- Site 교육 시 또는 연구원의 요청이 있을 때에는 교육교재를 무상으로 제공
□ 기술지원
○ 본 사업 기간 동안 연구원의 정보시스템 구성변경, 신규 기술의 적용,
- 9 -
자료의 요청 등과 관련한 기술지원 요청 시 지원
○ 계약 후 3개월 이내에 유지보수 대상 전 품목에 대하여 시스템 운영 및 일상점검 리스트, 장애처리, 백업 및 복구 매뉴얼 등 운영 매뉴얼을 작성하여 제출
○ 계약 후 3개월 이내에 각 시스템별 구체적인 백업정책을 수립하고, 관련 내용을 제출 및 준수
○ 국내외 IT관련 최신의 정보기술 정보 및 자료 제공
□ 성능진단
○ 반복적인 시스템 과부하·성능저하 발생 시 시스템 성능진단 및 분석수행 후 개선방안 도출
○ 각 제조사별 소프트웨어 기능향상(upgrade), 패치(patch), 업데이트 수행 및 정보 제공
○ 시스템 성능 개선이 필요하다고 판단되는 경우 타 사업자와 협력하여 구조‧성능진단 등을 통한 개선방안(단기과제 개선 조치 포함) 제시
○ 해킹시도가 빈번히 발생하는 등의 필요 발생 시, 보안 전문업체를 통하여 연구원 정보화 시스템에 대한 모의해킹 및 취약점 진단을 수행하기 위한 보안 컨설팅 수행(연구원과 협의)
마. 보고
○ 사업수행 전반에 대한 주간회의, 월간회의, 수시회의를 실시하여야 하며, 회의 시 합의된 사항에 대해서는 계약 내용에 포함되지 않은 사항이라도 수행하고 그 결과 문서 제출
○ 사업 착수보고
- 계약 완료 후 14일 이내 구체적 사업계획서를 제출하고 30일 이내 사업 착수보고회 실시
|
주요 보고 |
시기 |
|
착수보고 |
계약완료 후 30일 이내 |
|
주간보고 |
연구원과 협의 |
|
월간보고 |
매월 말 보고 |
|
완료보고회 |
연구원과 협의 |
- 보고는 추진실적, 사용자 요구사항 반영, 계획 등을 포함하여 보고 및 월간 인력투입현황이 기술되어야 함
바. 인수‧인계
○ 인수 사항 발생 시 품질 유지 방안을 제시
○ 사업 종료 2주전까지 연간 사업성과에 대하여 주요 분야별로 정리한
- 10 -
완료보고서를 제출
- 완료보고서는 사업관리 분야, 사업수행 분야(주요 분야별), 개선을 위한 제언 등 사업의 연간 성과를 종합하여 파일 등으로 제출
- 사업 종료 2주전까지 사업 기간 동안 취득한 모든 정보를 파일 등으로 제출하여야 하며, 사업 종료 시점 신규 사업자 선정 시 유지보수 업무의 연속성을 확보할 수 있도록 차기 사업자에게 업무를 인계하여야 함
- 인계기간은 사업 종료 전후로 각 1주일이상 2주일 미만이며, 인계가 정상적으로 이루어지지 못하였을 경우, 이를 연장할 수 있으며 사업 종료 전 인계기간의 책임사항은 현 사업 수행자에게 있음
사. 기타
○ 추가적으로 발생하는 부분(유지보수 대상 및 유지보수 비용)에 대해서는 상호 협의를 거쳐 추가로 보충계약을 맺을 수 있음
- 11 -
【첨부1】
외부 용역사업 보안특약
① 사업자는 연구원의 보안정책을 위반하였을 경우 [별표1]의 위규처리기준에 따라 위규자 및 관리자를 행정조치하고 [별표2]의 보안 위약금을 연구원에 납부한다.
② 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 [별표3]의 ‘누출금지 대상정보’에 대한 보안관리계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 연구원은 국가계약법 시행령 제76조에 따라 사업자를 부정당업체로 등록한다.
③ 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안 되며, 사업 종료 시 연구원 정보보안담당자의 입회하에 완전 폐기 또는 반납해야 한다.
④ 사업자는 사업 최종 산출물에 대해 정보보안전문가 또는 전문보안점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다.
[별표 1] 사업자 보안위규 처리기준
[별표 2] 보안 위약금 부과 기준
[별표 3] 누출금지 대상 정보
[별표 4] 보안관리 세부 이행사항
- 12 -
【별표 1】
|
구 분 |
위 규 사 항 |
처 리 기 준 |
|
심 각 |
1. 비밀 및 대외비 급 정보 유출 및 유출시도 가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출 나. 개인정보·신상정보 목록 유출 다. 비공개 항공사진·공간정보 등 비공개 정보 유출 2. 정보시스템에 대한 불법적 행위 가. 관련 시스템에 대한 해킹 및 해킹시도 나. 시스템 구축 결과물에 대한 외부 유출 다. 시스템 내 인위적인 악성코드 유포 |
◦ 사업참여 제한 ◦ 위규자 및 관리자중징계 ◦ 재발 방지를 위한 조치계획 제출 ◦ 위규자 대상 특별보안교육 실시 |
|
중 대 |
1. 비공개 정보 관리 소홀 가. 비공개 정보를 책상 위 등에 방치 나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 다. 개인정보‧신상정보 목록을 책상 위 등에 방치 라. 기타 비공개 정보에 대한 관리소홀 2. 사무실ㆍ보호구역 보안관리 허술 가. 통제구역 출입문을 개방한 채 퇴근 등 나. 인가되지 않은 작업자의 내부 시스템 접근 다. 통제구역 내 장비·시설 등 무단 사진촬영 3. 전산정보 보호대책 부실 가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반 나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수·발신 다. 개발·유지보수 시 원격작업 사용 라. 저장된 비공개 정보 패스워드 미부여 마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장 바. 외부용 PC를 업무망에 무단 연결 사용 사. 보안관련 프로그램 강제 삭제 아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등) 자. 반입 노트북, PC 및 서버 등 정보통신 장비 무단 반출 |
◦ 위규자 및 관리자 중징계 ◦ 재발 방지를 위한 조치계획 제출 ◦ 위규자 대상 특별보안교육 실시 |
|
보 통 |
1. 연구원 제공 중요정책ㆍ민감 자료 관리 소홀 가. 주요 현안ㆍ보고 자료를 책상위 등에 방치 나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 2. 사무실 보안관리 부실 가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근 나. 출입키를 책상위 등에 방치 3. 보호구역 관리 소홀 가. 통제ㆍ제한구역 출입문을 개방한 채 근무 나. 보호구역내 비인가자 출입허용 등 통제 미실시 4. 전산정보 보호대책 부실 가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근 나. 네이트온 등 비인가 메신저 무단 사용 다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근 라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여 마. PC 비밀번호를 모니터옆 등 외부에 노출 바. 비인가 보조기억매체 무단 사용 |
◦ 위규자 교체 ◦ 위규자 및 직속 감독자 사유서 / 경위서 징구 ◦ 위규자 대상 특별보안교육 실시 |
|
경 미 |
1. 업무 관련서류 관리 소홀 가. 진행중인 업무자료를 책상 등에 방치, 퇴근 나. 복사기ㆍ인쇄기 위에 서류 방치 2. 근무자 근무상태 불량 가. 각종 보안장비 운용 미숙 나. 경보ㆍ보안장치 작동 불량 3. 전산정보 보호대책 부실 가. PC내 보안성이 검증되지 않은 프로그램 사용 나. 보안관련 소프트웨어의 주기적 점검 위반 |
◦ 위규자 서면ㆍ구두 경고 등 문책 ◦ 위규자 사유서 / 경위서 징구 |
- 13 -
【별표 2】
보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분 |
위규 수준 |
|||
|
A급(심각) |
B급(중대) |
C급(보통) |
D급(경미) |
|
|
위규 |
심각 1건 |
중대 1건 |
보통 2건 이상 |
경미 3건 이상 |
|
위약금 비중 |
부정당업자 등록 |
계약금액의 2% |
계약금액의 1% |
계약금액의 0.5% |
※ 위규 수준은 [별표1] 참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과
※ 보안 사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
3. 사업 종료 시 지출금액 조정을 통해 위약금 정산
4. 위 위약금과는 별도로 용역업체의 과실로 인한 정보유출 등 보안사고 관련 손해배상금, 과징금 등의 금전적 손실 발생 시에는 사업종료 후에도 연구원에 변상하여야 함
- 14 -
【별표 3】
누출금지 대상정보
1. 연구원 소유 정보시스템의 내‧외부 IP 주소 현황
2. 세부 정보시스템 구성현황 및 정보통신망 구성도
3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보
4. 정보통신망 취약점 분석·평가 결과물
5. 용역사업 결과물 및 프로그램 소스코드
6. 국가용 보안시스템 및 정보보호시스템 도입 현황
7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보
8.「공공기관의 정보공개에 관한 법률」제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서
9.「개인정보보호법」제2조제1호의 개인정보
10. 국정원「보안업무규정」제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비
11. 그 밖에 연구원에서 공개가 불가하다고 판단한 자료
- 15 -
【별표 4】
보안관리 세부 이행사항
■ 참여 인력에 대한 보안관리
① 사업 착수 시
- 사업 참여인원 및 업체 대표명의 보안서약서를 제출하여야 한다.
- 계약업체는 용역사업 수행 전 참여인원에 대해 법률 또는 연구원의 규정에 의한 비밀유지의무 준수 및 위반 시 처벌내용 등에 대한 보안교육을 실시하여야 한다.
② 사업 수행 시
- 계약업체는 보안인식강화를 위해 주기적으로 자체 보안교육을 실시해야 하며, 연구원이 요구하는 보안교육에 참석하여야 한다.
- 사업 참여인원은 용역사업자가 임의로 교체할 수 없으며, 부득이한 사유로 교체하여야 하는 경우(해외여행 포함) 발생 시 발주부서에 즉시 보고
- 용역사업과 관련한 보안관리 책임은 용역업체 대표에게 있으며, 대표는 용역사업 전반의 보안업무를 수행하는‘보안관리책임자’를 지정
‧ 보안관리책임자는 용역사업과 관련된 인원‧장비‧자료에 대한 보안업무 및 사업과 관련된 하도급업체의 보안관리 전반을 총괄
③ 사업 종료 시
- 계약업체는 연구원으로부터 제공받는 장비, 서류 및 중간‧최종산출물 등 모든 자료를 전량 연구원에 반납하고 삭제하여야 한다.
‧ 복사본 등 별도 보관 금지
- 노트북‧보조기억매체 등 전자적으로 기록된 자료는 국가정보원의 '정보시스템 저장매체 불용처리 지침(사안- 655, 06.3.13)'에 따라 초기화(Format) 후 반출
- 계약업체는 사업관련 자료를 보유하고 있지 않으며 이를 위반 시 향후 법적 책임이 있음을 포함한 “보안조치 시행 확약서” 작성하여 연구원에 제출하여야 한다.
■ 문서 및 전산자료에 대한 보안관리
① 연구원 정보보안업무지침에 의거 정보통신망 구성도, 정보시스템 구성도, IP 현황, 용역사업 산출물 및 개인정보 등은 대외비 및 비공개 자료로 분류하여 관리해야 한다.
② 계약업체는 비공개자료 중 출력물 형태로 제공받는 자료에 대해서는 ‘자료수불대장’을 작성하여 인계자(발주부서 담당자)와 인수자(용역업체 보안관리책임자)가 직접 서명한 후 인계‧인수해야 한다.
③ 발주부서가 계약업체에 제공한 내부 자료는 복사‧외부반출을 금지하며, 내부자료 중 비공개 자료는 매일 퇴근 시 발주부서에 반납토록 하며, 비밀문서를 제외한 일반문서는 시건장치가 된 보관함에 보관하여야 한다.
④ 용역사업 관련자료 및 사업과정에서 생산된 모든 산출물은 발주부서의 파일서버에 저장하거나 발주부서 담당자가 지정한 개인용전산기기(PC)에 저장‧관리하여야 한다.
⑤ 계약업체가 업무상 필요에 의해 부득이하게 외부에서 전자우편 등으로 연구원과 자료 송수신이
- 16 -
필요한 경우에는 암호화 등의 보안대책을 마련하여 수·발신해야 한다.
다만, 연구원 보안업무취급규정에 의한 비공개 자료, 대외비 자료 및 비밀자료는 전자우편으로 수‧발신을 금지한다.
⑥ 계약업체는 인터넷 이용 시 접속이 제한된 사이트 및 인터넷 파일공유(P2P)사이트 등에 접속을 시도하여서는 아니 되며, 사업수행 관련 자료는 인터넷, 웹하드 등 인터넷 자료공유사이트 및 개인 메일함에 저장을 금지한다.
⑦ 사업수행으로 생산되는 산출물 및 기록은 발주부서장의 허가 없이 무단 제공‧대여‧열람을 금지한다.
■ 사무실 및 장비에 대한 보안관리
① 용역사업 수행 장소는 시건장치와 통제가 가능한 사무실을 사용한다.
② 발주부서 담당자는 용역업체 사무실이 별도 있을 경우에는 정기적인 보안점검을 실시하여야 한다.
③ 반입된 개인용전산기기(노트북‧PC)는 사업 종료 시까지 반출 금지하며, 다만 부득이하게 외부 반출이 필요한 경우에는 최소한의 장비만 반출승인하고 자료유출에 대비한 발주부서 담당자의 보안조치를 실시한 후 전산장비 반·출입대장 기재 후 반출하여야 한다.
④ 계약업체는 용역사업에 이용되는 개인용전산기기(노트북‧PC)에 백신 등의 자체 개인용전산기기(PC) 보안프로그램 및 연구원에서 제공하는 자료유출방지 등을 위한 개인용전산기기(PC) 보안프로그램을 설치하여야 한다.
⑤ 계약업체는 개인용전산기기(노트북 및 PC)에 전원기동(CMOS) 패스워드, 윈도우 로그인 패스워드, 화면 보호기(10분 간격) 패스워드를 영문자 및 숫자가 조합된 9글자이상으로 설정하여야 한다.
⑥ 계약업체는 연구원에 서버, 네트워크, 보안장비 등 정보시스템을 구축하여 납품하는 경우 정보보안담당관이 요구한 정보시스템 보안 취약점 점검을 받아야 한다.
■ 내‧외부망 접근 시 보안관리
① 용역사업 수행 시 발주기관의 전산망 이용이 필요한 경우
- 사업 참여인원에 대한 사용자 계정(ID)은 하나의 그룹으로 등록하고 계정별로 정보시스템 접근권한을 부여한다.
- 계정별로 부여된 접속권한은 불 필요시 곧바로 권한을 해지하거나 계정 폐기
- 계약업체는 정보시스템 사용자 계정(ID) 이용시, 부여된 권한 이외의 접근을 하여서는 아니되며, 부여된 패스워드는 임의 변경 및 타인에게 알려서는 아니된다.
- 연구원의 전산망을 사용하는 계약업체의 개인용전산기기(노트북‧PC)을 인터넷에 연결을 금지한다. 다만, 사업 수행 상 필요한 경우에는 계약업체의 보안관리책임자가 직접 요청하고, 발주부서 담당자는 필요성이 인정될 경우 특정 개인용전산기기(노트북‧PC)을 지정하고 정보재무팀의 정보보안담당자에게 필요한 사이트만 접속토록 요청하여야 한다.
② 시스템 유지보수 및 관제는 원격관리를 원칙적으로 금지한다.
■ 보조기억매체 제한
❍ 계약업체는 USB 등 이동식 보조기억매체를 연구원 내외로 반‧출입 할 수 없다. 다만, 발주부서의
- 17 -
부서장이 그 필요성을 인정한 경우에는 연구원「정보보안업무지침 등」반출‧입 절차에 따라 반출‧입 할 수 있다.
■ 기타
❍ 상기 내용 중 언급되지 않은 사항은 국정원「보안업무규정」, 「연구원 정보보안업무지침」,「국가정보보안기본치침」등 관계법령 및 규정 적용
- 18 -
[서식 제1호]
보 안 서 약 서
( 용역 ‧ 파견업체용 )
한국여성정책연구원(이하‘연구원’)의 업무를 수행하는 협력회사, 상주파견업체, 기타 외부업체 직원들은 본 서약서가 근무기간뿐 아니라 파견해제 후에도 일정기간 적용될 수 있음을 인식하고 숙독하신 후 서명하시기 바랍니다.
1. 나는 귀사로부터 취득한 모든 정보를 귀사 관련 업무에 한해 이용하겠음.
2. 나는 귀사로부터 제공받은 정보자산(서류, 사진, 전자파일, 저장매체, 정보통신장비 등)을 무단변조, 복사하지 않겠으며, 훼손, 분실 등으로부터 안전하게 관리하겠음.
3. 나는 상대가 누구이건 간에(귀사직원, 고객, 혹은 계약직 사원) 알 필요가 없는 자에게 귀사 혹은 제3자의 소유정보를 누설하지 않겠음.
4. 나는 허가 받지 않은 정보나 시설에 접근하지 않으며, 귀사관련 업무를 수행할 때만 사내데이터 처리시설을 이용하고, 이 귀사 내에 사적 정보를 보관치 않겠음.
5. 나는 귀사에서 승인받지 않은 프로그램, 정보저장 매체(Zip Drive, CD- ROM, USB, 외장 HDD 등)를 귀사 내에서 사용치 않겠음.
6. 나는 귀사가 정보자산을 보호하기 위해 귀사통신망을 통해 수발신 되는 전자문서를 점검할 수 있음을 알고 있으며, 이에 협조하겠음.
7. 나는 귀사의 정보보호 정책 및 지침, 절차를 준수할 것이며, 업무와 관련한 문서의 생성, 사용, 폐기 시 문서규정에 의거 규정을 준수하겠음.
8. 나는 나에게 할당된 사용자 ID, 패스워드, 출입증 등을 타인과 공동사용 또는 누설치 않겠음.
9. 나는 퇴직(프로젝트 종료, 파견해제)시 귀사에서 제공받은 귀사소유 모든 정보자산을 반드시 반납할 것이며, 이후에도 귀사의 모든 영업비밀은 물론이고 기타 누설됨으로 인하여 귀사에 손해가 될 수 있는 각종 정보에 대하여는 이를 일체 누설치 않겠음.
상기 사항을 숙지하고 이를 성실히 준수할 것을 동의하며, 위 사항을 준수하지 않음으로서 발생하는 모든 문제에 대하여는 민‧형사상의 책임은 물론 어떠한 처벌도 감수할 것을 서약합니다. ·
20 년 월 일
소 속 : 생년월일 : 성 명: (서명)
담당자 확인
첨부 신분증 사본1부. (발급 시 담당자 확인 후 즉시 파기함)
한국여성정책연구원장 귀하
- 19 -
□ 개인정보 수집‧이용에 관한 일반사항
○ 수집목적: 보안사고 예방 및 사고 발생 시 경위 파악
○ 수집항목: 소속, 생년월일, 성명
○ 보유 및 이용기간: 5년(보유기간 경과 시 파쇄)
□ 동의하지 않을 권리 및 미동의시 불이익
○ 출입증 발급신청자 및 일일출입자는 우리 우리 원의 개인정보 수집 및 이용에 대한 동의를 거부할 권리가 있으나, 미동의시 보안업무취급규정 제 36조에 의거 연구 원 출입이 제한되거나 출입증 발급이 거부될 수 있음.
본인은 상기 내용에 대해 사전에 충분히 인지하였으며, 연구원의 개인정보 수집 및 이용에 동의합니다.
- 20 -
[서식 제2호]
보안조치 시행 확약서
( )용역이 종료됨에 따라 용역사업에 사용한 개발서버, PC, 노트북, 보조기억매체 등 일체의 정보시스템을 통해 연구원의 내부자료 및 용역 결과물이 유출 되는 것을 방지하기 위하여 관련 정보시스템을 복구가 불가능하도록 완전 소거하는 등의 보안조치를 시행하였으며, 본 용역관련 자료는 전혀 보유하고 있지 않음을 확약합니다.
20 . .
회 사 명 :
대표이사 : (서명)
- 21 -
[서식 제3호]
전산장비 반출ㆍ입 대장
용역사업명 : <관리책임자 : >
용역사업 업체명 : 용역기간 :
용역사업 발주부서 담당자 :
|
장비명 |
관리번호 |
사용자 |
용도 |
전출입 일시 (입ㆍ출 구분) |
반출시 중요데이터 존재 여부 점검 |
반입시 바이러스 백신점검 |
확인자성명 |
확인자서명 |
- 22 -
[서식 제4호]
자 료 수 불 대 장
용역사업명 :
용역사업 업체명 : 용역기간 :
용역사업 소관 담당자(회사) :
|
일 자 |
자 료 제 목 |
인수인 |
서 명 |
인계인 |
서 명 |
반납 일자 |
반납확인자 성명 |
서 명 |
비 고 |
- 23 -
【양식 1】 경력증명서
|
경 력 증 명 서 하기의 사람은 아래 내용과 틀림없이 관련 과업을 수행한 실적이 있음을 증명하여 주시기 바랍니다. |
||||
|
인적사항 |
성 명 |
소속회사 |
||
|
참여업무 |
참여기간 |
|||
|
경력 내용 |
계 약 명 |
|||
|
계약기간 |
||||
|
계약금액 (VAT 포함) |
||||
|
주요 역무 수행 내용 |
사업경력 및 수행 내용 반드시 포함 (PM은 사업관리책임자 관련 사항 표기) |
|||
|
증명기관 |
20 년 월 일 신청인 : (인) |
|||
|
위 사실을 증명함 기 관 명 : 주 소 : 대 표 사 : (인) |
||||
[작성방법]
1. 사업관리책임자(PM)의 유사 사업 구축 실적 각 건에 대해 개별로 경력증명서를 제출 하되 사업수행 당시의 소속기관(타 기관 실적 시 당시 소속기관)의 증명‧날인을 받아 제출
2. 부문별관리책임자(PL) 및 참여기술자는 해당 분야 실적 각 건에 대해 개별로 경력증명서를 제출하되, 사업수행 당시의 소속기관(타기관 실적시 당시 소속기관)의 증명‧날인을 받아 제출
3. 주요 업무내용 또는 계약명에는 반드시 참여 분야별 수행 역무와 관련된 내용이 있어야 함
4. 경력증명서 제출 건에 한해 평가에 반영, 허위 작성‧제출 시는 평가 대상에서 제외한다.
5. 실적 제출과 관련한 추가 확인 요청가능 서류 및 기타 사항은 납품실적증명서 작성방법에 의한다.
- 24 -
【양식 2】 제조사 기술지원 확약서
제조사 기술지원 확약서
수 신 : 한국여성정책연구원
참 조 :
사 업 명 :
당사는 상기 사업에 대하여 한국여성정책연구원과 의 계약 시 아래와 같이 해당 제품을 공급 및 유지보수 기술지원 할 것을 확약합니다.
- 아 래 -
|
제 조 사 |
공급받는 기관 |
||
|
제 품 명 |
모델명(수량) |
||
|
생산/판매시작일 |
판매중지 예상일 |
||
|
단종 제품 여부 |
단종 제품 아님(입찰등록일 기준) |
||
|
공급(기술지원) 확약 사항 |
하자보수 기간을 포함하여 검수 후 최소 년 간 연간 정비요율 범위 내에서 부품 공급 및 기술지원을 확약함.(단종 이후에도 보장) |
||
년 월 일
주 소 :
제 조 사 :
대표이사 : (인)
- 25 -