원격지개발사업관리가이드 ( 보안 사업 품질영역 )

원격지개발사업관리가이드 ( 보안 사업 품질영역 ) 2011. 12

- 목차 - 1. 배경및필요성 1 2. 목적및적용범위 3 3. 가이드체계 3 1. 계획단계 8 2. 입찰및계약단계 9 3. 수행단계 10 3.1 보안관리 10 3.2 사업관리 12 3.3 품질관리 14 4. 완료단계 18 [ 별지 1] 대표자명의보안서약서 19 [ 별지 2] 참여인원보안서약서 20 [ 별지 3] 정보화용역사업자료관리대장 21 [ 별지 3-1] 정보화용역사업자료일별보안점검 22 [ 별지 4] 정보시스템관리대장 23 [ 별지 5] 휴대용저장매체반출 입대장 24 [ 별지 6] 정보시스템계정 & 비밀번호관리대장 ( 대외비 ) 25 [ 별지 7] 작업기록대장 26 [ 별지 8] 원격지개발월별점검표 27 [ 별지 9] 원격지개발일정계획 / 실적 30 - ii -

[ 별지 10] 원격지개발범위계획 / 확인 31 [ 별지 11] 원격지개발범위변경관리 32 [ 별지 12] 원격지개발위험관리대장 34 [ 별지 13] 표준및절차매뉴얼점검표 35 [ 별지 14] 품질보증계획서점검표 36 [ 별지 15] 원격지개발완료점검표 37 - iii -

I. 개요 그림 1 원격지개발센터의구조와온사이트와의관계 - 1 -

1) Interview: Jim Johnson of the Standish Group, Posted by Deborah Hartmann on Aug 25, 2006-2 -

2) Supervising Remote Development Projects, John Molinaro Partner Rolta/TUSC, Fusion Middleware & DW/BI Practices, 2005.10-3 -

그림 2 원격지개발가이드의 3 요소와작성관점 - 4 -

[ 표 1] 사업단계별발주자의원격지개발관리에대한감독활동의초점및관련산출물 사업단계 보안관리 사업관리 품질관리 계획단계 - 보안관리가곤란한일은원격지개발제외 - 원격지보안관리대책을 RFP에포함 - 사업관리가복잡한일은원격지개발제외 - 원격지사업관리방안을 RFP에포함 - 품질관리가어려운일은원격지개발제외 - 원격지품질관리방안을 RFP에포함 입찰 계약단계 - 제안평가요소로 - 제안평가요소로 - 제안평가요소로원격지보안관리원격지사업관리원격지품질관리포함포함포함 - 원격지보안관리를 - 원격지사업관리를 - 원격지품질관리를계약요건으로고려계약요건으로고려계약요건으로고려 별지 1( 적용 ) 사업수행단계 - 참여인원보안관리 별지 2 활용 - 개발장소및장비보안관리 별지 4 활용 - 노트북 USB 등휴대용저장매체보안관리 별지 5 활용 - 네트워크보안관리 별지 6, 7 활용 - 자료보안관리 별지 3, 3-1 활용 - 산출물마일스톤중심의일정관리 별지 9 활용 - 명세서, 변경절차에의거한범위관리 별지 10, 11 활용 - 의사소통필요성의최소화와매체다중화 - 사업관리, 보안관리, 품질중심의위험관리 별지 12 활용 - 표준및절차에기초한품질관리체계 별지 13 활용 - 품질조직의역할과책임기반의품질보증 별지 14 활용 - 산출물에대한검토및확인절차의확립 - 시험과기성중심의산출물가시성확립 - 감리에의한단계의마일스톤정립및활용 완료단계 별지 8 ( 매월 ) - 보안관리를필요로하는자료의회수, 삭제, 폐기등의조치 별지 15 활용 별지 8 ( 매월 ) - 산출물의검사및인도관련계약사항의이행 별지 15 활용 별지 8 ( 매월 ) - 납품산출물에대한하자보증관련계약사항검토 별지 15 활용 - 5 -

II. 원격지개발관리방법 예 ) 국방이나외교등국가안보와관련된업무로원격지개발이적합하지않다고판단되는업무는원격지개발에서제외 예 ) 원격지에서개발될시스템이기존정보시스템이나새롭게구축하는정보시스템과통합이어렵다고판단되거나현저한비용상승이초래될가능성이있다고판단되는경우는원격지개발에서제외 예 ) 보안사고, 의사소통, 발주관리, 품질관리, 비용증가등으로구분하여위험내용을식별하고, 위험발생가능성과위험시예상되는영향정도를분석하며, 원격지개발을하게될경우각위험에대한대응방안등을명시 3) 소프트웨어사업관리감독에관한일반기준 12p, [ 지식경제부고시 ] - 8 -

제안요청서에원격지개발에따른사업자의구체적인원격지보안관리대책을요청함 제안요청서에원격지개발방법, 사업관리및원격지개발산출물의품질관리방법등에대한구체적인방안을제시할것을포함 국가계약법시행령제76조 1항 18호근거 - 9 -

- 10 -

휴대용저장매체제어 S/W 구매 설치 - 11 -

정보시스템이위탁운영기관에있는경우, 해당기관에작업기록확인을요청하여야한다. - 12 -

- 13 -

- 14 -

- 15 -

마일스톤은원격지개발의중간단계의성공을확인하기위한것으로활용해야하 므로컴포넌트단위의기성을중심으로마일스톤을식별하는것이바람직하다. 예 를들면, 개발될시스템의핵심모듈을먼저개발완료하여사용자들의검토를받 는것등이다. 4) 마일스톤은개발일정에서기술이나인력의전환또는산출물의중간납품등이수반되는중요한이벤트가될만한일정으로대개단계말을마일스톤으로많이사용한다 - 16 -

마일스톤은원격지개발의중간단계의성공을확인하기위한것으로활용해야하므로컴포넌트단위의기성을중심으로마일스톤을식별하는것이바람직하다 5). 예를들면, 개발될시스템의핵심모듈을먼저개발완료하여사용자들의검토를받는것등이다 5) How to Manage an Outsourcing Relationship, SolovatSoft, 2004-17 -

- 18 -

부록 - 별지 [ 별지 1] 대표자명의보안서약서 보안서약서 사업수행중지득한모든자료를반납및파기하고 지득한정보에대한유출을절대금지할것이며 - 19 -

[ 별지 2] 참여인원보안서약서 보안서약서 본인은 년 월 일부로 정보시스템포함 과관련한업무 연구개발 제작 입찰 기타 를수행함에있어다음사항을준수할것을엄숙히서약합니다 나는 사업 정보시스템포함 과관련된소관업무가국가기밀사항임을인정하고제반정보보호관계규정및지침을성실히준수한다 나는이기밀을누설함이국가이익을침해할수도있음을인식하고재직중은물론퇴직후에도알게된모든기밀사항을일체타인에게누설하지아니한다 나는기밀을누설한때에는아래의관계법규에따라엄중한처벌을받을것을서약한다 가 국가보안법제 조제 항제 호 제 호 국가기밀누설등 나 형법제조 일반이적 및제 조 공무상비밀의누설 다 군형법제조 군사기밀누설 라 군사기밀보호법제조 누설 및제조 업무상누설 년월일서약자소속직급주민등록번호직위성명인서약소속직급집행자직위성명인 - 20 -

[ 별지 3] 정보화용역사업자료관리대장 연번제공정보명제공사유제공기간매체제공자인수자 삭제및회수확인 - 21 -

[ 별지 3-1] 정보화용역사업자료일별보안점검 연번제공정보명제공기간매체제공자인수자점검일자점검확인 - 22 -

[ 별지 4] 정보시스템관리대장 연 번 취급자 ( 성명 ) 관리번호 종류 ( 서버 PC 등 ) 네트워크 IP 정보보호 S/W ( 백신 등 ) 설치 등록 일자 해제 일자 - 23 -

[ 별지 5] 휴대용저장매체 ( 전산장비포함 ) 반출 입대장 장비명 관리번호 ( 시리얼번호 ) 사용자 용도 전출입일시 ( 입 출구분 ) 확인 - 24 -

[ 별지 6] 정보시스템계정및비밀번호관리대장 ( 대외비 ) 연번소속성명 접근 정보시스템계정비밀번호 접근권한 ( 접근가능디렉토리, 읽기 / 쓰기 / 삭제등 ) 비고 - 25 -

[ 별지 7] 작업기록대장 연번소속성명 접근정보시스템계정처리내용 ( 등록, 수정, 삭제 ) 처리일자 확인 - 26 -

[ 별지 8] 원격지개발월별점검표 분야점검항목평가 정보보호 인적 장비 네트워크 자료 비인가자출입및접근통제를위한물리적보안시설이갖추어져있는가? 사업참여인원변동사항현행화및보안서약서를징구하였는가? 참여인원에대한보안교육을통한보안의식을고취하였는가? 정보시스템관리대장및바이러스백신, 보조기억매체제어등정보보호 S/W 설치를확인하였는가? 월 1 회 내 PC 지키미수행 결과를확인하고보완하는가? 보조기억매체는사업책임자에한하여허용, 비인가보조기억매체사용여부를확인하였는가? 정보시스템반 출입대장확인및반입시악성코드감염여부의확인및반출시포맷후반출하는가? 방화벽등정보보호시스템을사용하여비인가네트워크를차단하였는가? 네트워크주소관리및참여인원별네트워크허용리스트를관리하고있는가? 웹서버등정보시스템에접근가능한참여인원은최소화하고계정별로접근권한을차등부여하였는가? 웹서버등정보시스템접근계정 & 패스워드관리및작업내역을기록하는가? 웹서버등정보시스템에작업후기록한작업내역과정보시스템로그를확인하는가? 서버및네트워크장비에비인가자접근이없는지운영자를통해매일확인 사용자계정 네트워크사용승인관리, 사용만료시즉시차단하는가? 정보보호시스템에대한로그최소 6 개월이상보관하는가? 누출금지대상정보관리대장을작성하고확인및점검하는가? 산출물지정파일서버저장 관리, 파일서버인터넷연결을금지하는가? 전자우편비밀번호설정시특수문자포함, 9 자리이상설정하고주기적으로변경하는가? 전자우편을통한공무원과업체간자료전송유무확인, 사용한경우, 업체자사메일로업무자료송수신후메일삭제조치하는가? - 27 -

분야점검항목평가 사업수행계획서의원격지개발계획이사용자요구사항에부합하는산출물의생산을보장할수있도록작성되었는가? 합동검토관련조직의요구사항및책임이문서화되었는가? 원격지개발산출물의품질관리를위하여통합산출물팀 (IPT: Integrated Product Team) 을조직하여운영하고있는가? 원격지개발관련공급자, 공동수급업체, 하도급업체간계약이행실태를지속적으로모니터링하고있는가? 원격지개발관련요구사항변경을지속적으로관리하고있는가? 요구사항변경이원격지개발에미치는영향을분석할때잠재위험이포함되었는가? 발주기관은공급자가필요로하는정보를제공하고문제와위험을함께해결하기위하여상호협력방안을수립 운영하고있는가? 사업관리 발주기관은원격지개발관련공급자의업무수행및문제처리에대해규칙적이고지속적인피드백을제공하는가? 원격지개발의관리실행에서다음사항이검토되었는가? - 산출물에대한품질기준충족여부 - 사업성과향상을위한개인및그룹의기술 / 능력개발 - 필요한팀원및사업관련자에게필요한정보의정기적배포 - 적절한원격지개발자선택 - 원격지개발자와의적절한우호관계유지 원격지개발의관리통제에서다음사항이검토되었는가? - 개발범위의검증 - 사업범위변화에따른조정 - 사업일정변화에따른조정 - 사업예산변화에따른조정 - 품질표준의충족여부검증 - 성과정보의수집및배포, 상태보고, 측정및예측 - 위험의추적및감시, 새로운위험의식별및효과성평가 - 28 -

분야점검항목비고 원격지개발의문서관리는다음사항이검토되었는가? - 문서화표준의준수 - 양식, 내용설명, 페이지번호, 그림 / 표배치, 소유권 / 보호표시, 문서의외관, 기타필요한표현항목등 - 문서작성에활용된입력자료의출처및적절성 - 문서의생산및배포 - 종이, 전자문서, 기타매체를사용하고, 원본은보존, 보호, 유지보수, 백업등의기준에라유지 - 변경통제및형상관리프로세스의준수 원격지개발의산출물에대한형상관리가되고있는가? - 형상식별 - 형상식별스키마는소프트웨어형상항목을식별하기위한명시자와각항목에대한유일식별자포함 - 형상통제 - 변경요구의식별, 기록변경의분석및평가, 승인또는비승인소프트웨어항목의수정검증및배포등 - 이력관리 - 형상통제수준에따른형상항목의기록을계약또는조직정책에명시되어있는기간동안유지 - 형상평가 - 소프트웨어형상항목이최신의기술을반영하도록보장 품질관리 원격지개발에대한품질보증활동이이루어지고있는가? - 품질표준준비 - 품질보증활동에필요한방법론, 도구와기법등 - 산출물보증 - 소프트웨어산출물이요구사항을만족시키고있고, 발주기관이인수가능함을검증및확인프로세스로보증함 - 프로세스보증 - 소프트웨어공학활동의실행과계약활동의이행 - 품질시스템보증 - 전사품질시스템을해당프로젝트차원에서품질보증표준으로활용 원격지개발의산출물에대한검증및확인이이루어지고있는가? - 검증활동 - 계약검증, 프로세스검증, 요구사항검증, 설계검증, 코드검증, 통합검증, 문서화검증등 - 확인활동 - 시험요구사항, 시험사례, 시험명세서의준비및시험수행, 시험결과의기대수준달성여부확인등 원격지개발의산출물에대한합동검토가이루어지고있는가? - 발주기관과사업자가함께참여하는공식적인검토회의를통해산출물을이수인계 원격지개발의산출물에대한외부감리가이루어지고있는가? - 단계말 ( 요구정의, 설계, 구축 ) 감리를통해산출물의품질을확인하여적합또는부적합여부를판단함 - 29 -

[ 별지 9] 원격지개발일정계획 / 실적 시스템공정산출물 착수일자완료일자검토일자비고 계획실제계획실제계획실제 - 30 -

[ 별지 10] 원격지개발범위계획 / 확인 시스템요구사항기능명 사양서명 ( 사양서 id) 제공날자 확인일자 계획실제계획실제 확인자 - 31 -

[ 별지 11] 원격지개발범위변경관리 ( 용역계약일반조건별지제 1 호서식및제 2 호서식적용 ) [ 별지제 1 호서식 ] 과업내용변경요청서 사업명 ( 추진단계 ) 변경요청일자 및처리기한 변경요청번호변경요청자인 요구사항유형 기능요구 성능요구 품질요구 기타제약사항 과업내용서 관련사항 기존 변경 변경요청내용 변경요청사유 변경영향평가 변경소요비용 소요비용변경규모 ( )FP/LOC 산출근거 변경요청결과 사업담당자 사업책임자 인 인 의사결정 승인 기각 검토의견 - 32 -

[ 별지서식제 2 호 ] 과업내용변경관리내역서 사업명 요청 번호 추진 단계 변경 요청자 요구사항 유형 변경 규모 소요 비용 변경요청 일자 처리 기한 처리일 - 33 -

[ 별지 12] 원격지개발위험관리대장 상태 정상 주의 경계 위험 id 위험명 발생 가능성 영향정도우선순위 관리 책임자 상태식별일자비고 - 34 -

[ 별지 13] 표준및절차매뉴얼점검표 분야 공통 (10%) 사업관리 (30%) 개발수행 (60%) 기타 ( 선택적 ) 점검항목 1) 표준및절차매뉴얼의목적, 범위, 기준이정의되어있는가? 2) 문서 ( 납품문서 / 작업파일 / 통제문서등 ) 의명명규칙이정의되어있는가? 3) 문서작성표준 ( 작성원칙 / 페이지설정 / 표지 / 개정이력 / 목차 / 머리말 꼬리말 / 서식 / 텍스트작성 / 표 그림작성등 ) 이정의되어있는가? 4) 문서관리체계 ( 관리기준 / 보관장소 / 폴더구성등 ) 가수립되어있는가? 1) 사업관리영역과영역별담당자가명시되어있는가? 2) 사업착수의각활동별개요, 흐름도, 수행절차, 가이드등이작성되어있는가? 3) 계획수립의각활동별개요, 흐름도, 수행절차, 가이드등이작성되어있는가? 4) 실행및통제의각활동별개요, 흐름도, 수행절차, 가이드등이작성되어있는가? 5) 사업종료의각활동별개요, 흐름도, 수행절차, 가이드등이작성되어있는가? 1) 개발수행공정의목적, 기대효과, 구성등이작성되어있는가? 2) 적용방법론의선정이유와적용대상이작성되어있는가? 3) 적용방법론별공정도와활동, 작업, 작업내용, 산출물, 작성자등이명시된공정기술서가작성되어있는가? 1) 기타사업수행에필요한관리지침이수립되어있는가? 종합평가 평가계획실행 - 35 -

[ 별지 14] 품질보증계획서점검표 분야 점검항목 평가계획실행 목표 (20%) 1) 품질목표가수립되어있는가? 2) 품질보증전략이수립되어있는가? 3) 품질관리대상및품질측정방안이수립되어있는가? 4) 품질활동의결과에대한보완절차가수립되어있는가? 품질관리 절차 (50%) 1) 사전품질관리절차가수립되어있는가? 2) 산출물접수및평가절차가수립되어있는가? 3) 산출물보완절차가수립되어있는가? 4) 산출물보관및형상관리절차가수립되어있는가? 품질관리 수행조직 (30%) 1) 품질관리팀의운영전략이수립되어있는가? 2) 품질관리팀의구성방안이수립되어있는가? 3) 품질관리팀의구체적인운영방안이정의되어있는가? 4) 품질관리팀의작업환경이준비되어있는가? 기타 ( 선택적 ) 1) 기타품질관리수행에필요한지침이수립되어있는가? 종합평가 - 36 -

[ 별지 15] 원격지개발완료점검표 분야점검항목평가 1) 원격지정보보호를위한전담반과정책이잘이행되었는가? 원격지 보안관리 (30%) 2) 원격지개발인력에대한보완관리대책이잘이행되었는가? 3) 원격지개발장비에대한보안관리대책이잘이행되었는가? 4) 원격지네트워크에대한보안관리대책이잘이행되었는가? 5) 원격지개발산출물에대한보안관리대책이잘이행되었는가? 1) 원격지개발계획이적절하게 ( 수정 보완 ) 잘이행되었는가? 2) 원격지개발범위와일정과공수가적절했는가? 원격지 사업관리 (30%) 3) 경험과자질을갖춘인력이원격지개발에적시에투입되었는가? 4) 프로젝트와원격지및원격지내의사소통이원만하게이루어졌는가? 5) 원격지개발에따른위험관리가적절히이루어졌는가? 6) 원격지하도급개발업체의선정과관리가적절했는가? 원격지 품질관리 (40%) 1) 원격지개발표준및절차를적절히준수했는가? 2) 원격지개발품질관리활동이적절히이행되었는가? 3) 원격지개발산출물의통합및형상관리가적절했는가? 4) 원격지개발에대한감리활동이적절했는가? 종합평가 - 37 -