과 업 지 시 서 사 업 명 단독주택 용지 등 인터넷 청약시스템 구축용역 주관기관 서울특별시 SH공사 2015. 07 담 당 성 명 소 속 전화번호 / FAX 이 상 구 전략정보팀 02)3410-7138/02)3410-7792
Ⅰ. 사업일반 1. 사업일반 가. 사업명 : 단독주택 용지 등 인터넷 청약시스템 구축용역 나. 사업기간 : 계약체결일로부터 2개월 다. 사업예산 : 금이천구백사십만원정( 29,400,000원)(부가세포함) 라. 계약방법 : 전자공개 수의계약 2. 추진 목적 및 방향 가. 선착순 분양 및 단독주택 용지 청약업무의 효과적 지원 나. 인터넷 청약을 통한 고객의 편의성 향상 다. 향후 유지보수를 위하여 현행 홈페이지와 동일한 기술을 적용하여 개발 라. 연차별 고도화가 가능하도록 기능 확장이 가능한 구조로 개발 3. 사업범위 가. 개발사항 선착순분 양 단독주택 용지 주요항목 청약공고 (관리지) 청약신청서관리 (관리자) 인터넷청약 청약공고 (관리지) 청약신청서관리 (관리자) 인터넷청약 요구사항 - 모집기간관리 - 청약자격관리 - 소득, 자산, 연령, 지역 제한설정 기준관리 - 신청자 집계 등 청약현황관리 - 신청물건관리 - 신청기본사항 설정 - 공고목록 보기 - 단지별 공고목록 보기 - 신청자 기본사항 등록 - 신청/취소 시 SMS발송 - 나의 청약내역 확인 - 모집기간관리 - 청약자격관리 - 소득, 자산, 연령, 지역 제한설정 기준관리 - 신청자 집계 등 청약현황관리 - 신청물건관리, 신청순위관리 - 신청기본사항 설정 - 공고목록 보기 - 단지별 공고목록 보기 - 신청자 기본사항 등록 - 신청/취소 시 SMS발송 - 나의 청약내역 확인 -2-
4. 기대효과 가. 인터넷청약 서비스 제공으로 고객만족도 향상 나. 정보시스템을 이용한 업무효율 향상 다. 인터넷청약을 통한 고객신뢰도 제고 5. 추진 일정 추진 업무 내용 추진 일정 비 고 구축계획 수립 2015.7월 전략정보팀 계약 체결 2015.7월 계약팀 시스템 개발 (분석, 설계, 구현, 시험 등) 2015.7월~8월(60일) 용역수행업체 전략정보팀 시스템 오픈 2015.9월 전략정보팀 6. 고려사항 가. 우리공사에서는 웹서비스환경(H/W, S/W)을 고려하여 용역 추진 나. 본 사업의 수행을 위하여 필요한 장소는 상호 협의하여 결정함 다. 본 사업은 소프트웨어사업 관리감독에 관한 일반기준(미래창조과학부 고시 제2014-16호, 2014.02.14)에 의거 진행 라. 기술적 측면 전자정부 표준프레임워크의 개발환경, 운영환경, 실행환경을 반영하고 공통컴포넌트 중 활용 가능한 모듈을 선정하여 적용 마. 보안표준화 측면 소프트웨어 개발보안 가이드(한국인터넷진흥원, 2013.11) OWASP TOP 10 등의 보안관련 지침 준수 홈페이지 취약점 진단제거 가이드(한국인터넷진흥원, 2013.12) 보안 프레임워크 설계 및 개발 프로세스 적용 주기적 소스코드 검증 및 보완 바. 기타 아래의 정보통신 및 정보보호에 관한 지침 및 가이드를 준수 공공기관 홈페이지 개인정보 노출방지 가이드라인(안전행정부, 2012.07) [붙임 1] 기술적용 계획표 준수 -3-
[붙임 1] 기 술 적 용 계 획 표 사업명 단독주택 용지 등 인터넷 청약시스템 구축용역 작성일 2015.6. 법률 및 고시 구분 법률 고시 등 항 목 o 국가정보화 기본법 o 공공기관의 정보공개에 관한 법률 o 개인정보 보호법 o 소프트웨어산업 진흥법 o 인터넷주소자원에 관한 법률 o 전자서명법 o 전자정부법 o 정보통신기반 보호법 o 정보통신망 이용촉진 및 정보보호 등에 관한 법률 o 통신비밀보호법 o 국가를 당사자로 하는 계약에 관한 법률 o 하도급거래 공정화에 관한 법률 o 지방자치단체를 당사자로 하는 계약에 관한 법률 o 행정기관 및 공공기관 정보시스템 구축 운영지침(행정자치부고시) o 보안업무규정(대통령령) o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령) o 장애인 고령자 등의 정보 접근 및 이용 편의 증진을 위한 지침(미래창조과학부고시) o 전자서명인증업무지침(미래창조과학부고시) o 전자정부서비스 호환성 준수지침(행정자치부고시) o 정보보호시스템 공통평가기준(미래창조과학부고시) o 정보보호시스템 평가 인증 지침(미래창조과학부고시) o 정보시스템 감리기준(행정자치부고시) o 전자정부사업관리 위탁에 관한 규정(행정자치부고시) o 전자정부사업관리 위탁용역계약 특수조건(행정자치부예규) o 행정전자서명 인증업무지침(행정자치부고시) o 행정기관 도메인이름 및 IP주소체계 표준(행정자치부고시) o 개인정보의 안전성 확보조치 기준(행정자치부고시) o 정보보호 관리체계 인증 등에 관한 고시(미래창조과학부고시) o 지방자치단체 입찰 및 계약 집행 기준(행정자치부예규) o 지방자치단체 입찰시 낙찰자 결정기준(행정자치부예규) o 지방자치단체 기술용역계약일반조건(행정자치부예규) o 표준 개인정보 보호지침(행정자치부고시) o 엔지니어링사업대가의 기준(산업통상자원부고시) o 소프트웨어 기술성 평가기준(미래창조과학부고시) o 소프트웨어사업의 제안서 보상기준 등에 관한 운영규정(미래창조과학부고시) o 분리발주 대상 소프트웨어(미래창조과학부고시) o 대기업인 소프트웨어사업자가 참여할 수 있는 사업금액의 하한(미래창조과학부고시) o 소프트웨어 품질인증의 세부기준 및 절차(미래창조과학부고시) o 소프트웨어사업 하도급계약의 적정성 판단기준(미래창조과학부고시) o 용역계약일반조건(기획재정부계약예규) o 협상에 의한 계약체결기준(기획재정부계약예규) o 하도급거래 공정화지침(공정거래위원회예규) o 정보보호조치에 관한 지침(미래창조과학부고시) o 개인정보의 기술적 관리적 보호조치 기준(방송통신위원회고시) o SH공사 보안업무 처리규칙 -4-
서비스 접근 및 전달 분야 구 분 항 목 기본 지침 정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계 구현을 검토하여야 한다. 세부 기술 지침 o 웹브라우저 관련 - HTML 4.01/HTML 5, CSS 2.1 적용계획/결과 적용 부분 적용 미 적용 해당 없음 부분적용/미 적용시 사유 및 대체기술 - XHTML 1.0 외부 접근 장치 - XML 1.0, XSL 1.0 - ECMAScript 3rd 서비스 요구사항 - 한국형 웹 콘텐츠 접근성 지침 2.0 o 모바일 관련 - 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307) 서비스관리(KS X ISO/IEC 20000)/ ITIL v3 서비스 전달 프로토콜 IPv4 IPv6 인터페이스 및 통합 분야 구 분 항 목 기본 지침 o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하 고, 개발된 웹서비스 중 타기관과 공유가 가능한 웹서비스는 범정부 차원의 공유 활용이 가능하도록 지원하여야 한다. 세부 기술 지침 o 웹 서비스 - SOAP 1.2, WSDL 2.0, XML 1.0 적용계획/결과 적용 부분 적용 미 적용 해당 없음 - UDDI v3 부분적용/미 적용시 사유 및 대체기술 서비스 통합 - RESTful o 비즈니스 프로세스 관리 - UML 2.0/BPMN 1.0 - ebxml/bpel 2.0/XPDL 2.0 데이터 공유 o 데이터 형식 : XML 1.0 인터페이스 o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0-5-
플랫폼 및 기반구조 분야 구 분 항 목 기본 지침 정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다. 하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임 베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다. 세부 기술 지침 o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310 적용계획/결과 적용 부분 적용 미 적용 해 당 없 음 부분적용/미 적용시 사유 및 대체기술 네트워크 o 부가통신: VoIP - H.323 - SIP - Megaco(H.248) o 개방형 운영 체제 및 기반환경 : POSIX o 무선용 운영 체계 - android 운영체제 및 기반 환경 - IOS - 윈도우폰7 o 무선용 기반환경 - Java - Objective C o DBMS - RDBMS 데이터베이스 - ORDBMS - OODBMS - MMDBMS 시스템 관리 소프트웨어 공 학 o ITIL v3 / ISO20000 o 모델링 : UML2.0 o 개발프레임워크 : 전자정부 표준프레임워크 -6-
요소기술 분야 구 분 항 목 기본 지침 적용계획/결과 부분적용/미적 용시 사유 및 적용 부분 미 해당 적용 적용 없음 대체기술 o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다. o 데이터는 데이터 공유 및 재사용, 데이터 교환, 데이터 품질 향상, 데 이터베이스 통합 등을 위하여 표준화되어야 한다. o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 안전행정부장관 에게 보고하고 안전행정부의 행정기관의 코드표준화 추진지침 에 따라 코 드체계 및 코드를 생성하여 안전행정부장관에게 표준 등록을 요청하여야 한다. o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연 계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스 를 지원하여야 한다. 세부 기술 지침 o 정적표현 : HTML 4.01 데이터 표현 o 동적표현 - JSP 2.1 - ASP - PHP 프로그래밍 o 개방형 프로그래밍 - J2EE 5, J2SE 5.0, Java Servlet 2.5 o 웹프로그래밍 - XML 1.0, XSL 1.1 - RDF - AJAX o 교환프로토콜: - XMI 2.0 데이터 교환 - SOAP 1.2 o 문자셋 - EUC-KR - UTF-8(단, 신규시스템은 UTF-8 우선 적용) -7-
보안 분야 구 분 항 목 기본 지침 o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된 서비스 접근 및 전달, 플랫폼 및 기반구조, 요소기술 및 인터페이스 및 통합 분야를 모두 포함하여야 한다. o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 공인 전자서명 또는 행정전자서명을 기반으로 하여야 한다. 적용계획/결과 적용 부분 적용 미 적용 해당 없음 부분적용/미 적용시 사유 및 대체기술 세부 기술 지침 관리적 o 국가정보보안기본지침(국가정보원) 보안 - 국가 사이버안전 매뉴얼 o 국가용 암호 제품 대상(국정원 보안적합성 인증 필요) - PKI제품 - SSO제품 - 디스크 파일 암호화 제품 - 문서 암호화 제품(DRM)등 - 메일 암호화 제품 - 키보드 암호화 제품 - 하드웨어 보안 토큰 - DB암호화 제품 o CC제품군(국제 CC인 경우 IT 보안인증사무국의 인증 필요) - 침입차단 - 침입탐지 - 침입방지 - 통합보안관리 - 보안관리서버 - 웹방화벽 기술적 - DDos 대응 보안 - VOIP 보안 - 무선침입방지 - 무선랜 인증 - 가상사설망 - 네트워크 접근통제 - 스팸메일차단 - 바이러스백신 - PC매체제어 - PC침입차단 - 콘텐츠보안 - 자료유출 방지 - 메일보안 - 서버보안 - DB접근 통제 - 다중영역구분 - 스마트카드 - 보안USB - 복합기 완전삭제 -8-
[붙임 2] 단독주택 용지 등 인터넷 청약시스템 구축용역을 위한 기술용역계약 특수조건 제1조 (목적) 이 계약조건은 SH공사(이하 발주기관 이라 한다)와 계약자(이하 계약상대자 이라 한다)간에 발주기관 의 선착순 분양 등 청약시스템 구축을 위한 용역계약을 체결함에 필요한 사항을 정한다. 단, 이 조건에 명시한 이외의 사항은 입찰유의서 및 계약일반조건 을 적용하되 항목이 중복되는 경우에는 본 특수조건 을 우선 적용한다. 제2조 (용역의 범위) 1 계약상대자 가 수행하여야 할 범위는 발주기관 이 제시한 "제안요청서" 에 의한다. 2 "제안요청서"의 내용을 충실하게 보완하기 위하여 변경이 필요한 사항은 발주기관 과 계 약상대자 가 협의하여 변경 또는 추가할 수 있다. 3 과업 제안요청서에 포함되지 않았더라도 계약상대자 의 제안서에 명시된 사항 및 추가 제 출자료는 본 과업 범위에 해당된다. 제3조 (계약의 이행) 1 계약상대자 는 계약 체결 후 10일 이내에 기술용역계약 일반조건(이하 일반조건 이라 한다) 제13조 제1항에 규정하는 착수신고서를 제출하여야 하며, 이때 발주기 관 은 필요시 내용의 보완을 지시 할 수 있다. 2 계약상대자 는 총괄관리책임자를 지정하여 본 용역을 책임수행 하여야 하며 발주기관 이 지정한 감독자의 지휘를 받아야 한다. 3 발주기관 은 계약상대자 가 효율적으로 용역을 수행할 수 있도록 아래 사항을 계약상대 자 에게 제공한다. 1. 사업수행을 위한 각종 활동(조사 및 면담 등)시 협조 및 지원 2. 사업수행을 위한 제반자료 제공 4 사업수행을 위한 시스템 및 기타 설비, 개발용 S/W, 사용물품 등은 계약상대자 의 비용으 로 확보 운영하여야 한다. 제4조 (손해배상 책임) 1 본 계약의 이행 중 계약상대자 의 귀책사유로 인하여 발주기관 측에 손해를 끼쳤을 경우 계약상대자 은 이를 배상할 책임을 지며, 책임을 면하고자 할 경우에는 고 의나 과실이 없다는 입증을 하여야 한다. 2 계약상대자 은 본 계약에 따라 계약상대자 가 개발 시 제공한 이미지 및 제품이 국 내외 지적 재산권을 침해하고 있다는 이유로 발주기관 을 상대로 한 소송이 제기 되었을 경우 계 약상대자 의 비용으로 이를 변호하고 발주기관 에게 부과된 손해 및 비용에 대하여 배상하여 야 한다. 제5조 (보안 책임) 1 계약상대자 는 발주기관 의 시설 출입시 발주기관 이 요구하는 보안사항 을 충실히 이행하여야 한다. 2 발주기관 은 계약상대자 의 개발요원 신원확인에 필요한 조치를 취할 수 있으며, 계약상 대자 은 이에 응하여야 한다. 3 계약상대자 는 발주기관 에서 직접, 간접으로 취득한 비밀을 제3자에게 누설하여서는 안된 다. 만일, 계약상대자 의 보안사항 누설로 문제가 발생한 경우에는 계약상대자 는 민 형사상 -9-
책임을 진다. 4 개발을 위해 계약상대자 에게 제공된 발주기관 의 시스템 접근경로 관리를 철저히 하고 개 발팀 이외에는 사용금지해야 하며, 해당경로를 통해 해킹 바이러스 등의 문제 발생 시 계약상대 자 의 책임으로 한다. 제6조 (계약의 해지) 1 다음 각 호에 해당되는 경우 발주기관 은 일정한 기간 내에 시정할 것을 요구하고, 그 기간 시정이 없는 경우 본 계약은 해지할 수 있다. 1. 계약상대자 가 본 계약에서 규정한 각종 의무를 이행하지 아니하거나, 기타 본 계약에 대 한 명백한 위반사항이 있을 경우 2. 계약상대자 가 본 계약에 의한 과업에 대하여 개발 능력이 없다고 판단되거나, 성실한 이 행의사가 없다고 판단되었을 경우 3. 기타 중대한 사유로 인하여 과제의 계속수행이 불가능하거나 불필요하다고 인정되는 경우 2제1항에서 정한 사항 이외에 발주기관 의 불가피한 사유로 인하여 본 계약을 해지 할 경우 계약해지 예정 30일전에 계약상대자 에게 서면으로 통보하고 발주기관 과 계약상대자 가 협의하여 본 계약을 해지할 수 있다. 제7조 (참여요원의 관리) 1 계약상대자 는 용역에 참여시키는 요원을 소프트웨어산업협회 공표자 료 에 의한 S/W기술자 등급별 적격자로 하여야 하며, 참여요원 자격에 관한 서류를 발주기관 에 제출하여야 한다. 2 계약상대자 는 용역수행 기간 중 통보된 참여요원을 임의로 교체하여서는 아니된다. 단 참여 요원의 사퇴 등 부득이한 경우에는 교체사유와 교체요원 등에 대하여 발주기관 의 승인을 받은 후 시행하여야 한다. 이 사항을 어길 경우 중대한 계약 위반으로 간주되어 계약해지 사유가 되 며, 계약상대자 는 손해배상의 책임을 져야 한다. 3 발주기관 은 참여요원이 본 용역 수행상 부적당하다고 판단되거나 자격미달인 경우 계약상 대자 에게 요원의 교체를 요구할 수 있으며 계약상대자 는 이에 응하여야 한다. 4 계약상대자 는 참여요원의 고의 및 과실로 인하여 발주기관 에 업무상 또는 시스템에 손해 를 발생시킨 경우 이에 대한 책임을 지고 변상 또는 원상회복 하여야 한다. 제8조 (자료관리) 1 계약상대자 는 발주기관 으로부터 대여 제공받은 제반자료를 본 계약의 목적 외에는 사용하지 아니한다. 2 계약상대자 는 용역수행과정에서 취득한 자료 중 보안을 요하는 자료는 발주기관 의 허락없 이 누설할 수 없다. 3 계약상대자 는 본 용역의 진행 중 또는 완료시 발주기관 으로 부터 대여 제공받은 제반자료 의 반환 요구를 받았을 경우에는 이를 즉시 반환하여야 한다. 제9조 (추진 상황보고) 계약상대자 는 용역수행의 효율적인 진도관리를 위하여 용역추진 상황을 다음과 같이 발주기관 에게 보고하여야 한다. 1. 주간보고 : 주간 업무수행상황 및 향후 개발계획 보고 2. 완료보고 : 프로젝트 종료시 전체 개발단계의 수행결과 보고 3. 수시보고 : 긴급 변경 사항 및 서면요구에 의해 지정된 내용 보고 제10조 (용역결과의 귀속) 1 본 용역의 제반 성과품 및 산출물에 대한 소유권은 SH공사가 소유한다. 단, 성과품 및 산출물에 따라 특수성을 고려하여 상호 협의에 의하여 따로 정할 수 있으며, 국 -10-
가안전, 국방, 개인정보, 정보보안 등 관련 법령이나 규정에 의하여 공개나 공유가 허용되지 않 는 경우에는 해당규정을 우선 따름을 원칙으로 한다. 2본 용역의 제반 성과물은 발주기관 의 서면동의 없이 제3자에게 양도하거나 사용케 할 수 없 다. 제11조 (제3자의 권리대상 사용) 계약상대자 는 본 용역의 수행과정 및 성과품이 제3자의 특허권 또는 저작권 등 권리대상을 침해하여 발주기관 을 상대로 손해배상 청구소송이 제기되면 계약 상대자 는 피해자 측에 합의 배상하여야 한다. 제12조 (정보시스템 연계) 계약상대자 는 발주기관 의 현행 운영중인 홈페이지 및 기간업무 시스 템과 상호 연계되도록 본 용역개발을 수행하여야 한다. 제13조 (교육훈련) 1 계약상대자 는 본 용역수행 중 발주기관 의 시스템 개발요원 및 운용실무자 를 참여시켜 기술능력을 배양할수 있도록 적극 협조하여야 한다. 2 계약상대자 는 본 용역 성과물을 발주기관 의 사용부서에 설치한 후 실무자가 개발된 시스 템을 원활히 활용할 수 있도록 교육을 실시하여야 한다. 3 계약상대자 는 교육에 필요한 제반자료를 발주기관 에게 제공하여야 한다. 제14조 (품질보증) 1 계약상대자 는 개발된 시스템이 설계상 어떠한 결함도 없다는 것을 보장하여 야 한다. 2개발된 시스템은 1일 24시간, 365일 상시 운영이 가능하여야 한다. 제15조 (하자보증) 1하자보증기간 중에 개발된 시스템에 하자가 발생될 경우에는 계약상대자 는 해당분야에 대해 무상으로 보수하여야 한다. 2하자보증기간은 최종성과물 검수일(준공일)로부터 12개월로 하며, 발주기관 이 필요하다고 판 단하는 경우 총 계약금액의 100분의5에 상당하는 하자보증금을 예치하여야 한다. 3 계약상대자 은 하자보증기간 동안 하자 및 유지보수를 위하여 개발에 참여한 요원으로 지원 체제를 구성 운영하여야 하며, 기술지원요원을 계약상대자 의 부담으로 발주기관 이 지정하는 장소에 상주시켜야 한다. 다만 시스템의 안정화가 이루어졌다고 발주기관 이 승인한 경우에는 출장근무로 대체할 수 있다. 4하자보증기간 종료 후 개발된 시스템을 효율적으로 운영하기 위하여 발주기관 은 계약상대 자 에게 유지관리용역계약 체결을 요청할 수 있으며 계약상대자 는 특별한 사유가 없는 한 이 에 응하여야 한다. 이 경우 계약상대자 는 본 용역에 참여한 요원으로 유지보수체계를 구성 운 영하여야 한다. 제16조 (시험운영) 1 계약상대자 는 개발시스템이 발주기관 의 운용환경에 적합토록 문제점을 보 완하고 시스템의 안정화를 기하기 위한 시험운영 기간을 본 용역기간에 포함하여야 한다. 2시험운영 기간이 종료된 후에도 보완이 완료되지 못하면 계약상대자 는 계약조건에 따른 책 임을 져야하며, 보완 완료시까지 추가비용에 대하여는 계약상대자 가 책임을 진다. 제17조 (용역보고서) 계약상대자 가 제출할 보고서(작성File 포함)의 종류는 다음과 같으며 제출방 법 및 부수는 쌍방 합의하에 결정한다. 1. 프로그램 Source 및 용역수행 단계별 산출물(CD) 2. 사용자 지침서, 관리자 지침서, 개발완료 보고서 제18조 (기타사항) 1 과업수행중 직제변경 등 발주기관 의 환경변화로 과업내용의 일부가 불가피 -11-
하게 변경되는 경우에 계약상대자 는 별도의 비용을 청구하지 아니하고 이를 수용하여 용역을 추진하여야 한다. 2본 계약에 정하지 아니한 사항이나 계약기간 중 발생하는 이례적인 사항에 대하여는 발주기 관 과 계약상대자 가 합의함으로써 그 효력이 발생한다. 3본 계약에 관한 분쟁이 발생하여 발주기관 과 계약상대자 가 상호 협의하여도 문제를 해결 하지 못하여 부득이 소송을 할 필요가 있을 때에는 발주기관 의 관할 법원으로 한다. -12-
[붙임 3] 단독주택 용지 등 인터넷 청약시스템 구축용역 위한 용역사업 보안특약 1 사업자는 SH공사의 보안정책을 위반하였을 경우 [붙임 4]의 위규처리 기준에 따라 위규자 및 관리자를 행정조치하고 [붙임 5]의 보안 위약금을 SH공사에 납부한다. 2 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술 적 보안대책 및 [붙임 6]의 SH공사 누출금지 대상정보 에 대한 보안관리계획을 사업계획서에 기재하여야 하며, 해당 정보 누출시 SH공사는 지방자치단체를 당사자로 하는 계약에 관한 법률 시행령 제92 조에 따라 사업자를 부정당업체로 등록한다. 3 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후 에도 이를 외부에 유출해서는 안되며, 사업종료 시 정보보안 담당자의 입회하에 완전 폐기 또는 반 납해야 한다. 4 사업자는 사업 최종 산출물에 대해 정보보안전문가 또는 전문보안 점검 도구를 활용 하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다. -13-
[붙임 4] 사업자 보안위규 처리기준 구 분 위 규 사 항 조치사항 1. 비밀 및 대외비 급 정보 유출 및 유출시도 가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출 사업참여 제한 나. 개인정보 신상정보 목록 유출 위규자 및 직속 감독자 심각 2. 정보시스템에 대한 불법적 행위 퇴출 (A급) 가. 관련 시스템에 대한 해킹 및 해킹시도 재발방지를위한조치계획 나. 시스템 구축 결과물에 대한 외부 유출 제출 다. 시스템 내 인위적인 악성코드 유포 1. 비공개 정보 관리 소홀 가. 비공개 정보를 책상 위 등에 방치 나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 다. 개인정보 신상정보 목록을 책상 위 등에 방치 중대 (B급) 라. 기타 비공개 정보에 대한 관리소홀 2. 사무실ㆍ보호구역 보안관리 허술 가. 인가되지 않은 내부 시스템 접근 나. 통제구역 내 장비 시설 등 무단 사진촬영 3. 전산정보 보호대책 부실 가. 보안 USB 사용규정 위반 나. 웹하드 P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수 발신 다. 개발 유지관리 시 미인가 원격작업 사용 라. 저장된 비공개 정보 패스워드 미부여 마. 외부용 PC를 업무망에 무단 연결 사용 바. 보안관련 프로그램 강제 삭제 사. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등) 퇴출 등 중징계 위규자 및 직속 감독자 사유서/경위서 징구(2회 이상 퇴출) 재발방지를위한조치계획 제출 위규자대상특별보안교육 실시 보통 (C급) 경미 (D급) 1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀 가. 주요 현안ㆍ보고 자료를 책상 위 등에 방치 나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 2. 사무실 보안관리 부실 가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근 나. 출입키를 책상 위 등에 방치 3. 전산정보 보호대책 부실 가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근 나. 비인가 메신저 무단 사용 다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근 라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여 마. PC 비밀번호를 모니터 옆 등 외부에 노출 바. 비인가 보조기억매체 무단 사용(보안USB 에이전트 미설치) 사. 사업 수행 전 PC(노트북포함) 반입 시 악성코드 감염여부 미확인 아. 노트북 무단 반입 및 시건장치 미설치 자. 유해사이트 접속 등에 의한 악성코드 감염 1. 업무 관련서류 관리 소홀 가. 진행 중인 업무자료를 책상 등에 방치, 퇴근 나. 복사기ㆍ인쇄기 위에 서류 방치 2. 전산정보 보호대책 부실 가. PC내 보안성이 검증되지 않은 프로그램 사용 나. 보안관련 소프트웨어의 주기적 점검 위반 자체내규 의거 경징계 등 문책 위규자 및 직속 감독자 사유서/경위서 징구(2회 이상 퇴출) 재발방지를위한조치계획 제출 위규자대상특별보안교육 실시 위규자 사유서 / 경위서 징구 재발방지를위한조치계획 제출 위규자대상특별보안교육 실시 -14-
[붙임 5] 사업자 보안 위약금 부과 기준 1. 위규 수준별로 A~D 등급으로 차등 부과 구분 위규 처리기준 A급 B급 C급 D급 위규 심각 1건 중대 1건 보통 2건 이상 경미 3건 이상 위약금 비중 부정당업자 등록 사업비의 5% 이하 사업비의 3% 이하 사업비의 1% 이하 2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과 3. 사업 종료 시 지출금액 조정을 통해 위약금 정산. -15-
[붙임 6] SH공사 누출금지 대상정보 1. 기관 소유 정보시스템의 내 외부 IP주소 현황 2. 세부 정보시스템 구성현황 및 정보통신망 구성도 3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보 4. 정보통신망 취약점 분석 평가 결과물 5. 용역사업 결과물 및 프로그램 소스코드 6. 국가용 보안시스템 및 정보보호시스템 도입 현황 7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보 8. 공공기관의 정보공개에 관한 법률 제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서 9. 개인정보보호법 제2조제1호의 개인정보 10. 보안업무규정 제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비 11. 그 밖에 각급기관의 장이 공개가 불가하다고 판단한 자료 -16-
[붙임 7] 사업자 보안관리 준수사항 1 참여 인력에 대한 보안관리 보안서약서 등 제출 - 사업 참여인원에 대해 사업투입 전 자체 보안 교육 후, 보안서약서, 기본보안교육 내 용을 제출해야 한다. 보안교육 실시 - 사업자는 보안인식제고를 위해 주기적으로 자체 보안 교육을 하며, SH공사가 요구하 는 보안교육에 참석해야 한다. 인력변동 관리 - 시스템 접근 권한을 승인받은 인력 또는 해당 인력의 업무 변동이 있는 경우, SH공사 정보보안담당에게 해당 사유가 발생한 후 1일 내에 신고해야 한다. 2 자료 정보 등의 보안관리 비밀 준수 대상 자료 정보 - 사업자는 아래의 자료나 정보(이하 비밀정보 라 한다)에 대하여 비밀을 유지하여야 한다. SH공사가 본 사업의 이행을 위하여 사업자에게 서면 또는 구두 등의 방법으로 비밀 에 해당한다고 고지하고 제공한 자료나 정보(DB정보, IP 정보, 상세 시스템 구성도 등) 법령 또는 SH공사의 내규에 의하여 공개가 제한되거나 비밀을 유지해야 하는 자료나 정보(미공개 출원 정보, 개인정보, 비밀지정문서 등) 사업자가 본 계약의 이행 중 SH공사가 제공한 비밀정보를 이용 가공하여 얻은 자료 나 정보 비밀정보의 관리 - 사업자는 비밀정보의 관리를 위하여 자료명, 자료용량 쪽수, 인계자/인수자 서명이 포 함된 비밀정보 관리대장을 작성해야 한다. - 사업자는 비밀정보를 업무별로 지정된 사용자만 접근이 가능하도록 관리하고, 비밀정 보를 다른 자료나 정보와 구분하여 보관하여야 한다. - 사업자는 비밀정보 출력시 출력물에 출력자, 출력일시, 보안경고문구 등을 표시해야 한 다. -17-
3 사무실 및 전산 장비 매체 보안관리 사무실 보안 관리 - 사업자는 사무실 또는 용역업무를 수행하는 공간에 대해 일일 보안점검을 해야 하며, SH공사 보안점검(별표5, 월 1회)에 따른 지적사항 발생시 별표6에 따른 벌칙 규정을 따른다. - SH공사 외에서 사업수행을 할 수 없다. 전산 장비 매체 보안 관리 - 사업자가 사용하는 모든 PC, 서버는 인터넷 연결을 금지한다. 다만, 사업 수행상 필요한 경우 SH공사 정보보안담당과 협의하여 인터넷 전용 PC를 사용할 수 있다. - 상기 인터넷 PC에 사업관련 자료를 저장을 금지하며, 업무용 PC 등과 완전히 분리, 구별하여야 한다. - 사업자는 PC, 노트북 등 전산장비를 반 출입하는 경우, 다음 사항을 사전 확인, 조치해 야 한다. 반입시 : 백신, 내 PC 지키미 등 PC 보안프로그램 설치 및 악성코드 감염 여부 검 사 반출시 : 저장 데이터 완전 삭제(SH공사 정보보안담당의 사전 확인 필요) - 사업자는 PC 봉인을 유지하고, 봉인해제 필요시 SH공사 정보보안담당의 사전 승인을 받아야 한다. - 사업자는 보안USB 외의 기타 보조기억매체는 사용할 수 없으며, 보안USB 외에는 자료를 저장할 수 없다. - 사업자는 전산 장비 매체를 승인권자 외의 사용자가 조작 탈취할 수 있도록 방치하면 안된다. 4 정보시스템 접근 보안관리 사업자는 정보시스템 사용자 계정 이용시 부여된 권한 목적 이외의 접근을 하면 안 되 며, 승인된 사용자만 접근해야 한다. 사업자는 공용계정을 사용하면 안 되며, 사용하지 않는 계정은 주기적으로 삭제해야 한 다. 공유 폴더는 사용해서는 안 된다. 상기 사업자 보안관리 준수사항 중 예외적 허용이 필요한 경우에는, SH공사 정보보안 담당에게 예외 허용사항에 대한 보안성 검토를 요청해야 한다. -18-
[붙임 8] 보안성 검토 체크리스트(사전 점검) 사업명 : 사업체명 : 작성자 : (서명) 구 분 항 목 Y N UC 사용자 인증 처리가 필요한가? 1.1 - 사용자 인증방식은 PKI기반 인증서방식을 권고하며, 기존 SH공사 통합인증(SSO) 시스템과 연동 또는 별도 인증방식 구현 - 사용자 인증 로그 별도 관리 및 불법접근 식별정보 기록 - ID/PW 사용 시, PW는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수 - 쿠키정보는 사용을 자제하고, 불가피하게 사용할 경우 쿠키정보는 암호화 필수 (모듈은 국가정보원 검증모듈 사용) - 사용자 인증과 관련된 정보는 PC 저장 금지 - I-PIN, G-PIN 등 사용자 정보 확인 및 행정안전부 GPKI 시스템(CA, LDAP 등) 사용 여부 인증 및 권한 중요 정보 취급 1.2 1.3 1.4 1.5 2.1 2.2 2.3 2.4 사용자 가입 절차가 필요한가? - 대민 시스템의 경우, 주민등록번호 대체 수단 (G-PIN) 사용 필수 - 개인정보보호 정책 등 보안관련 정책 수립 및 관련정책 게시 사용자별로 권한을 정의하는가? - 제공하는 정보의 중요도에 따라 권한 정의 필요 별도의 관리자 화면을 구현하는가? - 관리자 화면 접속에 대한 통제기능(중복인증, 접속 IP 통제 등) 필요 - 관리자에게 제공하는 기능 및 정보 범위 등 사전 협의 필요 SH공사 외부에서 접근 가능한가? - 외부접속에 대한 네트워크, 데이터 측면 안전대책 수립 필수 개인정보를 취급(수집, 저장, 제공 등)하는가? - 주요 개인정보 : 주민등록번호 및 계좌정보, 신용카드 정보 등의 금융정보 - 일반 개인정보 : 주소, 전화번호, 이메일 등 - 주요 개인정보는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수 청에서 보유 중인 개인정보가 필요한가? - 사용 범위, 제공 주기, 보안대책 등 협의 필요 미공개 출원 정보가 필요한가? - 사용 범위, 제공 주기, 보안대책 등 협의 필요 중요 정보에 대한 출력 기능을 제공하는가? - 중요 정보(개인정보, 미공개 출원 정보 등) 출력 시, DRM 등의 조치 필수 -19-
구 분 항 목 Y N UC 시스템 연동 시스템 보안 PC 보안 3.1 3.2 4.1 4.2 4.3 4.4 4.5 5.1 5.2 SH공사 내부 시스템과 연동하는가? - 대상 시스템, 연동 정보, 연동 방식 등 협의 필요 SH공사 외부(인터넷) 시스템과 연동하는가? - 대상 시스템, 연동 정보, 연동 방식 등 협의 필요 설치 시스템 중 보안 시스템(H/W, S/W)이 있는가? - 국가정보원 인증(CC인증 또는 국가용 암호제품 인증) 제품만 설치 가능 자체 보안 취약점 점검 계획이 있는가? - 웹 기반 시스템 개발인 경우, 외부 모의 해킹 수준의 점검 및 보완 필수 주요 사용자 사용 이력에 대한 관리 기능이 있는가? - 관리자 접근 이력 및 주요 정보 변경 이력 등 저장 필요 참여 인원 중 외부 상주 인원이 있는가? - 해당 인원의 업무수행 방식 협의 및 청 보안담당자 승인 필요 별도 개발 및 테스트 서버가 있는가? - 서버의 위치 확인(청내 개발서버군 또는 개발자 PC 네트워크 등) 필요 개발 PC에서 외부(인터넷)와 데이터 송수신이 필요한가? - 연결 대상 및 송수신 정보 등 협의 필수 파일서버를 운용하는가? - Windows Server 사용 시, 별도 협의 필수 - 파일서버에 대한 보안대책(접근통제, 데이터 유출 방지 등) 수립 필수 SH공사 정보보안담당자에게 제출하여 주시고 개발 중에 변경되는 항목이 발생하는 경우에는 사전에 협의하시기 바랍니다. -20-
[붙임 9] 보안성 검토 체크리스트(정보화사업 분석단계) 사업명 : 사업체명 : 작성자 : (서명) 구 분 항 목 Y N UC 1.1 보안담당자는 응용프로그램의 보안성, 안정성 및 신뢰성을 확보하기 위하여 개 발자에게 정보보호 교육 및 관련 자료를 제공한다. - 행정안전부의 웹 응용프로그램 개발보안 가이드 활용 - 월 1회 자체보안교육 실시 도입한 S/W, H/W, DB, 웹 어플리케이션 등 시스템의 기본 설정 정보를 수정 (삭제)한다. 1.2 - S/W 및 H/W의 기본 계정 및 기본설정 정보의 변경 및 삭제 필수 - SNMP, WEB/WAS/DB 서버 등 설정시 사용하지 않는 기능을 제한 설정, 디렉토리 리스팅 방 지 설정 등 기본 보안 설정에 오류 제거 - 외부인원 원격 접근 관련 SH공사 보안담당자와 협의 필수, 협의 시 보안대책 (접근통제 등) 강 구하여 제시 보안 일반 SH공사에서 인가한 장비(H/W, S/W)만을 사용하고 해당 장비에 대하여 관리 한다. 1.3 - PC의 경우 바이러스 백신, 보안USB, 내PC지키미 등 사용 - 회사 라이선스가 없는 S/W 사용금지, 사용불가 S/W(상용 메신저 등) 및 불법 S/W 사용금지 - OS 및 S/W 최신 패치 및 버전을 항시 유지 국가정보원 인증을 받은 보안 제품만 설치한다. 1.4 - 국가정보원 인증(CC인증 또는 국가용 암호제품 인증) 제품만 설치 가능 - http://service2.nis.go.kr/ IT보안인증사무국 국가기관 도입가능 제품 참조 - 보안적합성 검증 신청과 관련하여 관련자료 제출 등 관련업무수행 지원 소스 및 응용 서비스 관리 1.5 2.1 2.2 2.3 암호모듈은 국가정보원에서 승인한 제품(모듈)을 사용한다. - http://service2.nis.go.kr/ IT보안인증사무국 국가기관도입가능제품 검증필 암호모듈 참조 응용프로그램 소스에 대한 외부 접근을 차단한다. - 응용프로그램 및 라이브러리의 정보보호 침해를 막기 위해 개발 중인 소스에 대한 접근 제어 - 작업 중인 소스를 외부(회사 및 집 등) 열람 및 제공 금지 형상관리 도구를 사용하여 소스코드를 관리한다. - 형상관리 도구를 사용하여 변경 이력, 버전 관리 및 접근 제한 소스에 악성코드를 삽입하지 않는다. - 정보보호 정책을 우회하거나 응용프로그램 자체 기능에 위협하는 악성코드 삽입 금지 2.4 사용자 ID/PW를 하드 코딩하지 않는다. -21-
구 분 항 목 Y N UC - 소스 상에 ID/PW 삽입 금지 2.5 개발 중인 파일, 임시파일 및 Test 파일 등을 관리한다. - 운영 서비스와 무관한 백업파일, 테스트 파일 등 불필요 파일 삭제 웹서비스의 입력 값 및 게시판 등을 통제한다. 2.6 - <, >,, =, %, <, >, ',,, ;, :, #, &, Space, +, - 등의 특수문자에 대한 필터링 - 입력 문자열에 대한 길이를 제한한다. - 데이터베이스와 연동하는 스크립트의 모든 파라미터들을 점검하여 사용자의 입력 값에 SQL 구문으 로 사용되는 문자열(@variable, @@variable, or, and, insert 등)을 필터링 한다. - 웹 어플리케이션이 사용하는 데이터베이스 사용자 권한을 제한한다. - php.ini 설정 중 magic_quotes_gpc 값을 On으로 설정한다. - 입력화면에 스크립트(html 태그) 사용금지 - 모든 입력 값(헤더, 쿠키, 질의문, 폼 필드 등)의 대한 규칙검증 및 검증은 서버에서 실행 사용자 오류 시, 오류에 관한 정보만 제공한다. 2.7 - 사용자에게 별도 오류코드를 통한 오류 메시지만 표시(이미지 형태, 별도의 에러 페이지) - 상세오류(DB, APP오류 등)는 로그에 별도 기록 2.8 웹서비스의 메소드를 관리한다. - Post, Get 외의 App에서 사용하지 않는 메소드는 차단(Put, delete 등) 다운로드 파일을 통제한다. 2.9 - 다운로드 파일을 직접 URL에서 사용하거나 입력받지 않도록 서버에서 해당파일 다운로드 - 다운로드 위치는 지정된 저장소를 지정 및 상위 디렉토리 이동 금지 - '.,./ '와 같은 문자열 통제 업로드 파일 제한 및 임의 파일 실행을 차단한다. 2.10 - 게시판 및 첨부파일 폼에 대한 업로드 파일 제한 - jsp, exe 등 실행 소스 파일 업로드 불가(확장자 점검은 서버에서 실행) - hwp, zip, doc 등 허용된 파일명만 수용 - URL이나 파일시스템 참조 등 외부객체 참조 APP에서 입력파일 및 입력 외부객체 검증 - 참조객체이름에 URL 형태, 외부파일이 입력되지 않게 구현, PHP의 경우 사용자입력 함수 사 용금지 2.11 서비스의 기동/종료는 root가 아닌 별도 App 계정으로 수행한다. 자체 보안 취약점 점검을 한다. 2.12 - 정보보안 전문가 또는 전문 보안 점검 도구를 통한 소스코드 등 보안 취약점 점검 필수 - 웹 기반 시스템 개발인 경우, 모의 해킹 수준의 점검 필수 - 행정안전부 웹 어플리케이션 개발 보안가이드 2010' 취약점에 대한 점검 및 보완 -22-
구 분 항 목 Y N UC 응용프로그램은 사용자를 식별한 후, 동작한다. 3.1 - 사용자 인증방식은 PKI기반 인증서방식을 권고하며, 기존 SH공사 통합인증(SSO) 시스템과 연동 또는 별도 인증방식 구현 - 인증 세션 정보 탈취를 통한 인증 권한 획득을 방지하고, 인증서 외 우회 접속 경로를 차단 하도록 구현 - 사용자 패스워드 보안 대책(암호화 전송, 키보드 보안 솔루션 적용 등) 마련 - 사용자 인증과 관련된 로그는 별도로 관리되어야 하며, 불법접근과 관련된 식별정보 기록 - 쿠키정보는 사용을 자제하고, 불가피하게 사용할 경우 쿠키정보는 암호화 필수 (모듈은 국가정보 원 검증모듈 사용) - 사용자 인증과 관련된 정보는 PC 저장 금지 - URL 강제접속 등 인증 우회 금지 사용자 인증 3.2 3.3 강화된 사용자 가입 정책을 적용한다. - 대민 시스템의 경우, 주민등록번호 대체수단(G-PIN) 사용 필수 관리자는 보안이 강화된 방식으로 로그인한다. - 관리자 접근시 PKI방식 구현 권고(ID/PW 방식 금지) - 관리자 화면에 대한 접근 통제 - 관리 사용자의 최소화 및 IP, port 등 등록을 통한 이중통제 적용 - 패스워드 강화(특수문자, 숫자, 영문자 조합 8자리 이상) - 디폴트 관리자 계정 사용금지 3.4 인증정보는 하드 코딩하지 않는다. 인증 실패 시, 인증 실패에 대한 정보만을 제공한다. 3.5 3.6 - 인증 실패에 대한 외부 노출 화면은 실패정보만 제공 - 인증 실패 로그에는 상세 실패 로그 기록(실패 사유) 로그인 실패 횟수를 제한하고, 최종 접속기록을 표시한다. - 3회 또는 5회 이상 로그인 시도 실패 시, 해당 계정 접근 차단 관리자의 시스템 접속 및 수행 작업에 대한 로그를 관리한다. 3.7 4.1 - 서버에 접속하여 수행한 이력 기록 - 사용자 접속 후 무행위 시 일정시간 후 Timeout - 서비스 용도에 따라 세션 유지, 재시도 간격 등의 시간에 대한 관리통제 임시 사용자 계정 등록 시에는 사용기간을 명시하여 허용된 기간에만 사용할 수 있도록 한다. - 반드시 필요한 경우를 제외하고는 임시 계정 사용 금지 - 시스템 테스트 및 작업으로 임시 계정 등록이 불가피한 경우, 작업 후에는 삭제 사용자 계정 4.2 사용자 ID의 등록, 변경, 삭제 요청은 공식적인 절차(문서)로 이루어진다. 4.3 4.4 장기간 계정을 사용하지 않거나 퇴직 시, 계정을 사용 중지하거나 삭제한다. - 일정기간 미사용 시, 재사용 신청 등의 별도 절차 마련 개발 및 운영 시 청내 실사용자 인증서 및 ID 임시 사용 시 작업 완료 후 반납(삭제)한다. -23-
구 분 항 목 Y N UC - 대여한 인증서 및 ID는 작업 후 반납 확인 시 패스워드 변경 및 인증서 갱신 필요 - 개발자 및 운영자 PC에 타인의 인증서 및 관리 아이디/패스워드 보관 불가 5.1 사용자가 입력하는 패스워드를 화면에 표시하지 않도록 한다. - 패스워드는 추측할 수 없도록 화면상에 표시하지 않거나 인식 불가능한 문자로 표시 사용자 패스워드 5.2 5.3 사용자 PW는 암호화하여 저장한다. - PW는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수 강화된 패스워드 정책을 적용한다. - 빈값(NULL) 사용 금지 및 최소 8자리 이상, 최대 사용기간 90일 - 최초 패스워드 사용 시, 변경 요청 화면 도시 - 패스워드 의무갱신 기능 구현 - 사용자 ID와 동일하거나 반복되는 단어/숫자 사용 금지 5.4 패스워드 자동 입력을 통한 로그인 기능을 사용(제공)하지 않는다. - web 관리자 화면, telnet, ftp, 관리 콘솔 S/W 등 로그인 사용 시 자동 로그인 금지 사용자별로 권한을 정의한다. 사용자 권한 6.1 - 사용자를 사용자별, 직책별, 부서별 등으로 구분하여 접근 권한 필요 - 정보의 중요도에 따라 화면 및 메뉴에 대한 권한 정의 필요 - 관리자 화면 접속에 대한 통제기능(중복인증, 접속 IP 통제 등) 필요 - 멀티 user 환경에서 타 사용자 정보열람, 변경을 제한 - 공유 시스템자원(공유 폴더, 파일 등)에 대한 접근통제를 수행 6.2 관리자 화면에서는 필요한 최소의 정보만 열람하도록 한다. 6.3 업무와 보안요구 수준, 사용목적 등이 유사한 사용자 계정들을 그룹으로 묶어 관리한다. 취급(수집, 저장, 제공 등)하는 개인정보를 보호한다. 7.1 - 주요 개인정보 : 주민등록번호 및 계좌정보, 신용카드 정보 등의 금융정보 - 일반 개인정보 : 주소, 전화번호, 이메일 등 - 주요 개인정보는 국가정보원 인증 암호방식을 이용하여 암호화 저장 필수 - 개인정보 파일을 PC에 다운로드할 경우 해당 파일은 암호화하여 저장 정보 관리 개인정보 처리시스템에는 보안 솔루션을 설치한다. 7.2 - 키보드 해킹방지, 백신프로그램, 웹 방화벽, 개인정보 노출 차단 필터링 7.3 청에서 제공한 정보를 보호하도록 구현한다. 7.4 취급하는 미공개 출원 정보를 보호하도록 구현한다. 7.5 중요 정보 출력 시, 부분적인 은폐 등의 보안 기능을 제공한다. - 중요 정보 출력 시, DRM 등의 조치 필수 사용자 PC로 중요정보 전송 시 구간 암호화를 적용한다. 7.6 - 중요정보 : 인증정보, ID/PW, 주요 개인정보 등 - 사용자 PC부터 홈페이지(웹서버) 구간 간 암호화(SSL) -24-
구 분 항 목 Y N UC 시스템 연동 로그 7.7 8.1 8.2 8.3 9.1 9.2 9.3 전자우편 시스템에는 악성 메일(스팸, 피싱, 웜 바이러스, 트로이 목마 등)을 차단하기 위한 보안대책을 수립한다. - 바이러스 월 및 스팸 필터링 기능 등 기술적 장치 적용 전송 정보를 암호화하여 SH공사 내/외부 시스템과 연동한다. - 사용자 정보 및 SH공사 중요 자료는 암호화된 상태(또는 구간 암호화)로 전송 - 부인방지방안 반영 암호화 key를 관리한다. - 인가받은 사람만 암호화 key에 접근하도록 하고 암호화 key는 주기적으로 변경 시스템 간 연동 시 부적절한 접근을 통제한다. - NFS, r-command, 익명연결을 통한 FTP 등의 서비스를 이용한 시스템 연동 지양 주요 사용자 이력을 기록한다. - 관리자 접근 이력 및 주요 정보 변경 이력 등 저장 중요 자료 이력을 기록한다. - 미공개정보 및 개인정보 관련 이력 등 저장 보안 감사 기능을 제공한다. - 로그인, 파일 접근 등에 대한 성공/실패 여부 및 접근 시간 등에 대한 기록 확인 9.4 보안 관련 로그는 6개월 이상 보관(무결성 유지)한다. SH공사 보안담당자에게 제출하여 주시고 개발 중에 변경되는 항목이 발생하는 경우에는 사전에 협의하시기 바랍니 다. -25-
[별지서식 1] 보안 서약서(외부자용) 본인은 SH공사 (이하 공사 라고 함)가 추진하는 일원으로 업무를 수행함에 있어 다음 사항을 준수 할 것을 서약합니다. 1.본인은 공사의 정보자산(문서,전자파일,저장매체,IT 인프라 등)을 업무 이외에 개인목적으로 사용하지 않을 것이며,공사의 보안관련 규정/지침/기준을 성실히 수행한다. 2.본인은 공사 정보시스템 및 모든 임직원 PC에 불법 접근하여 시스템을 변경 하거나,파괴하는 행위,정보의 무단 복제/획득/유출하는 행위를 하지 않는다. 3.공사 정보통신분임보안담당관으로부터 승인 받지 않은 휴대용 저장매체,IT 장비를 공사에 무단반입하거나,사용하지 않는다. 4.공사에 반입되는 PC는 사용 전 공사 담당자의 입회하에 점검,CMOS 패스워드/Windows로그인 패스워드/ 화면 보호기 패스워드/ 공유폴더 패스워드 설정 등 공사에서 권고하는 보안수준을 준수한다. 5.본인은 본 을(를)수행 중 지득한 정보 및 생성한 모든 산출물의 소유권은 공사에 있음을 인지하며,이를 임의 사용 및 제 3자에게 공개하지 않는다. 6.업무 종료 후 사용하던 PC는 공사 담당자의 입회하에 포맷과정을 수행하며 수집된 모든 자료 및 정보는 공사 담당자에게 반납한다. 7.업무 수행 중 지득한 모든 정보 및 자료는 업무 관계자외 공사 임직원 및 외부에 누설하지 않는다. 이상과 같이 서약하며 본 서약을 위반하여 공사가 유형,무형의 손실을 입을 경우 민사,형사상의 모든 책임을 감수함을 확인코자 본서약서를 제출합니다. 년 월 일 서약자 소속 : 직급/직위 : 주민등록번호(앞자리): 성 명 : 인 서울특별시 SH공사 사장 귀하 -26-
[별지서식 2] 보 안 확 약 서 본인은 SH공사와 계약한 사업의 수행을 완료함 에 있어,다음 각호의 보안사항에 대한 준수 책임이 있음을 서약하며 이에 확약서를 제출합니다. 1.본 업체는 업체 및 사업 참여자가 사업수행 중 취득한 모든 자료를 반납 및 파기하 였으며,취득한 정보에 대한 유출을 절대 금지하겠습니다. 2.본 업체는 하도급업체에 대해 상기 항과 동일한 보안사항 준수 책임을 확인하고 보 안확약서 징구하였으며,하도급업체가 위의 보안 사항을 위반할 경우에 주사업자로 서 이에 동일한 법적책임을 지겠습니다. 3.본 업체(단체)는 상기 보안사항을 위반할 경우에 귀 기관의 사업에 참여 제한 또는 기 타 관련 법규에 따른 책임과 손해배상을 감수하겠습니다. 년 월 일 서약업체 대표 : 소 속 : 직 급 : 성 명 : (서명) 서울특별시 SH공사 사장 귀하 -27-