정보시스템 구축․운영 지침(2012.06.27 행안부)

 

정보시스템_구축ㆍ운영_지침_개정 전문.hwp

 

행정안전부고시 제2012-25호

 

「전자정부법」제45조제3항에 따른「정보시스템 구축․운영 지침(행정안전부고시 제2012-12호)」일부를 개정하고, 다음과 같이 고시합니다.

 

2012년 6월 27일

행정안전부장관

정보시스템 구축․운영 지침

 

제1장 총 칙

 

제1조(목적) 이 지침은 「전자정부법」 제45조에 따라 행정기관등의 장이 정보시스템을 구축ㆍ운영함에 있어서 준수해야 할 기준, 표준 및 절차와 같은 법 제49조제1항에 따른 상호운용성 기술평가에 관한 사항을 정함을 목적으로 한다.

 

제2조(정의) ① 이 지침에서 사용하는 용어의 정의는 다음과 같다

1. "사업계획서"란 정보화사업을 추진하기 위해 사업개요, 대상업무 현황, 사업추진계획, 사업내용, 소요예산 등을 구체화한 문서를 말한다.

2. "정보화사업"이란 「전자정부법」(이하 "법"이라 한다) 제2조제13호의 규정에 따른 정보시스템을 기획ㆍ구축ㆍ운영ㆍ유지보수, 감리 등을 하기 위한 사업을 말한다.

3. "기술참조모형"은 정보시스템에서 업무를 지원하는 응용기능을 구현하기 위하여 필요한 정보기술 및 표준을 분류하고 정의한 체계를 말한다.

4. "제안요청서"란 행정기관등의 장이 입찰에 참가하고자 하는 자에게 제안서의 제출을 요청하기 위하여 교부하는 서류를 말한다.

5. "제안서"란 입찰에 참가하고자 하는 자가 제안요청서 또는 입찰공고에 따라 작성하여 행정기관등의 장에게 제출하는 서류를 말한다.

6. "하도급"이란 도급받은 소프트웨어사업의 전부 또는 일부를 도급하기 위하여 수급인이 제3자와 체결하는 계약을 말하며, 하도급 받은 사업을 재하도급하는 경우를 포함한다.

7. "사전협의"란 법 제67조, 시행령 제82조 및 제83조에 따라 행정기관등의 장이 추진하고자 하는 정보화사업에 대해 중복성, 상호연계, 공동이용 등과 관련하여 사업발주 이전에 검토ㆍ협의하는 업무를 말한다.

8. "유지보수"란 사업자에게 용역을 주어 정보시스템을 유지보수하며, 정보시스템 개발ㆍ구축 완료 후 기능변경, 추가, 보완, 폐기, 사용방법의 개선, 문서 보완 등의 정보시스템 개선에 필요한 제반활동을 의미한다. 단, 하자보수기간 경과 후에 발견된 정보시스템의 결함에 대한 보수도 포함한다.

9. "운영"이란 개발 완료 후, 인도된 정보시스템에 대해 유지보수를 제외한 운영기획 및 관리, 모니터링, 테스트, 사용자 지원을 포함한 정보시스템의 정상적 운영에 필요한 제반활동을 의미한다.

10. “소프트웨어 보안약점”이란 소프트웨어 결함, 오류 등으로 해킹 등 사이버공격을 유발할 가능성이 있는 잠재적인 보안취약점을 말한다.

11. “소프트웨어 보안약점 진단도구(이하 “진단도구”라 한다)”란 개발과정에서 소스코드상의 소프트웨어 보안약점을 찾기 위하여 사용하는 도구를 말한다.

12. “소프트웨어 보안약점 진단원(이하 “진단원”이라 한다)”이란 소프트웨어 보안약점이 남아있는지 진단하여 조치방안을 수립하고 조치결과 확인 등의 활동을 수행하는 자를 말한다.

② 이 지침에서 사용하는 용어의 정의는 제1항에서 정한 것을 제외하고는 다른 법령 및 고시 등이 정하는 바에 따른다.

 

제3조(적용범위) 법 제2조에서 정하는 행정기관, 공공기관(이하 "행정기관등"이라 한다)이 정보화사업을 추진하고자 하는 경우에 이 지침을 적용한다.

 

제4조(기본원칙) 행정기관등의 장은 정보화사업을 추진함에 있어 다음 각 호 사항을 준수하여야 한다.

1. 행정기관등의 장은 기관의 정보기술아키텍처 또는 범정부 정보기술아키텍처를 기반으로 정보시스템을 구축ㆍ운영하여야 한다. 단, 영 제54조제3호에 따라 법 제2조제3호라목의 기관은 행정기관등의 장의 판단에 의해 적용할 수 있다.

2. 정보시스템에 적용되는 기술은 표준화된 개방형 기술을 사용하는 것을 원칙으로 한다. 단, 비표준의 폐쇄형 기술을 사용하는 경우에는 그 사유를 명시하여야 한다.

3. 데이터의 무결성, 일치성, 기밀성, 가용성 등을 고려하여 구축하여야 한다.

4. 법 제51조제1항에 따라 지정된 공유서비스를 우선적으로 사용하여야 한다.

5. 내부행정처리나 의사결정을 신속히 하여 사업기간을 충분히 확보하여야 한다.

6. 행정기관등의 장은 기관 내 발주자에게 정보화사업 관련 제도를 자문하고, 준수현황을 관리할 수 있는 전담인력을 지정하여야 한다.

 

제5조(다른 법령과의 관계) 사업계획 수립, 정보화사업 발주, 사업자선정 및 계약, 사업수행 등 정보시스템 구축ㆍ운영에 관하여 다른 법령에 특별한 규정이 있는 경우를 제외하고는 이 지침에서 정하는 바에 따른다.

 

제2장 사업계획 수립

 

제6조(하드웨어 및 상용소프트웨어 도입기준) ① 행정기관등의 장은 정보화사업에서 하드웨어를 도입하는 경우 한국정보통신기술협회에서 정한 "정보시스템 하드웨어 규모산정 지침"을 기본으로 하되 정보시스템 용도를 고려하여 조정할 수 있다.

② 행정기관등의 장은 정보화사업에서 소프트웨어를 개발하고자 하는 경우 다음 각 호의 제품을 확인하고 적용가능성을 검토하여 특별한 사유(개발 대비 비용이 높거나, 기능구현 또는 유지보수의 어려움 등)가 없으면 해당 제품을 도입하여야 한다.

1. 소프트웨어산업 진흥법 제13조에 따른 품질인증(GS인증) 제품

2. 산업기술혁신촉진법 제16조에 따른 신제품인증(NEP) 제품

3. 산업기술혁신촉진법 제15조의2에 따른 신기술인증(NET) 제품

③ 행정기관등의 장은 제2항 각 호의 제품 도입 시 중소기업자가 개발한 제품을 우선적으로 구매할 수 있도록 제안서 기술평가 기준에 평가항목으로 반영하여야 한다.

 

제7조(기술적용계획 수립 및 상호운용성 등 기술평가) ① 행정기관등의 장은 사업계획서 및 제안요청서 작성 시 별지 제1호서식의 기술적용계획표를 작성하여야 한다. 다만, 기관의 기술참조모형 또는 사업의 특성에 따라 기술적용계획표 항목을 조정하여 사용할 수 있다.

② 행정기관등의 장은 전자정부법시행령(이하 "영"이라 한다) 제57조, 제71조에 해당하는 정보화 사업을 추진하는 경우 사업계획서 확정 이전에 별지 제2호서식으로 상호운용성 등 기술평가를 수행하여야 한다.

③ 행정기관등의 장은 제2항 및 제6조제2항의 검토결과를 반영하여 사업계획서 및 제안요청서를 작성하여야 한다.

④ 행정기관등의 장은 사업자에게 제1항의 기술적용계획표가 포함된 제안서 및 사업수행계획서를 제출하게 하여야 한다. 다만, 사업자와 상호 협의하여 사업수행계획서내의 기술적용계획표는 수정할 수 있다.

 

제8조(보안성 검토 및 보안관리) ① 행정기관등의 장은 정보시스템을 신ㆍ증설하는 경우 "국가 정보보안 기본지침" 제26조, 제27조에 따라 국가정보원장에게 보안성 검토를 의뢰하여야 한다.

② 행정기관등의 장은 "국가 정보보안 기본지침" 제67조, 제68조에 따라 정보화 사업 발주, 관리, 운영 등에 필요한 보안대책을 강구하고, 사업자가 준수하도록 하여야 한다.

③ 행정기관등의 장은 개인정보를 수집ㆍ처리ㆍ활용하여 시스템의 구축 또는 운영, 유지보수 등의 사업을 추진할 경우에는 개인정보가 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 강구하여야 한다.

제9조(예산 및 사업대가 산정) ① 행정기관등의 장은 예산수립, 사업발주, 계약 등에 필요한 정보화사업의 원가 산정 시 소프트웨어산업진흥법 제26조에 따라 한국소프트웨어산업협회장이 공표하는 “SW사업 대가산정 가이드”와 한국정보화진흥원에서 공표하는 “DB구축비 대가기준 가이드”를 적용하여 산출하여야 한다.

② 하드웨어 및 소프트웨어 구입비는 다음 각 호의 기준에 따라 산정한다.

1. 조달품목인 경우 조달단가

2. 조달품목이 아닌 경우 최근 도입가격, 또는 유사한 거래 실례가격

3. 제1호, 제2호 외의 경우 3개 이상의 공급업체로부터 직접 받은 견적가격을 기준으로 한 최저가격

 

③ 행정기관등의 장은 예산수립 시 제12조에 따른 제안서보상에 관한 비용, 제30조, 제32조부터 제33조에 따른 제안서평가 관련 비용, 제41조에 따른 작업장소에 관한 비용을 포함하여 계상하여야 한다.

 

제10조(대기업인 소프트웨어사업자가 참여할 수 있는 사업금액의 하한) ① 행정기관등의 장은 중소소프트웨어사업자를 육성하고 참여를 확대하기 위하여 지식경제부장관이 고시한 "대기업인 소프트웨어사업자가 참여할 수 있는 사업금액의 하한"을 준수하여야 한다.

② 행정기관등의 장은 대기업인 소프트웨어사업자의 참여가 제한되는 사업인 경우 제안요청서, 제안안내서, 입찰공고문 등에 "대기업참여제한사업"임을 명시하여야 한다.

 

제11조(소프트웨어 분리발주) 행정기관등의 장은 소프트웨어산업진흥법 제20조제2항에 따라서 소프트웨어를 분리발주하는 경우에는 지식경제부장관이 고시한 "분리발주 대상 소프트웨어"에서 정하는 바에 따른다.

 

제12조(제안서 보상) ① 행정기관등의 장은 제안서평가에서 우수한 평가를 받은 자에 대해서는 예산의 범위안에서 제안서 작성비의 일부를 보상할 수 있다.

② 제1항에 따른 제안서 보상 기준 및 절차 등에 관한 사항은 지식경제부장관이 고시한 "소프트웨어사업의 제안서 보상기준 등에 관한 운영규정"에서 정한 바에 따른다.

 

제13조(감리) ① 행정기관등의 장은 정보시스템의 특성 및 사업 규모 등이 영 제71조에 정한 감리대상 사업에 해당하는 경우에는 법 제58조제1항에 따라 등록한 감리법인으로 하여금 정보시스템 감리를 하게 하여야 한다.

② 행정기관등의 장은 제1항에 따라 감리를 하는 경우에는 법 제57조제5항에 따라서 행정안전부장관이 고시한 "정보시스템 감리기준"을 준수하여야 한다.

 

제14조(사전협의) 행정기관등의 장은 영 제82조에 따른 사전협의 대상사업에 해당하는 경우 사업계획을 수립한 후 지체 없이 영 제83조의 방법 및 절차에 따라 행정안전부장관에게 사전협의를 요청하여야 하며 세부사항은 행정안전부 예규 "중앙행정기관 전자정부사업 사전협의 지침", "지방자치단체 정보화사업 사전협의 지침"에 따른다.

 

제3장 정보화사업 발주

 

제15조(요구사항 정의 명확화) ① 행정기관등의 장은 정보시스템의 기능목록, 요구사항명세서 등을 통해 제안요청서를 상세하게 작성하여야 한다.

② 정보시스템 구축사업을 추진하기 위한 목적으로 정보화전략계획(ISP) 등을 사전에 수립하는 경우에는 제1항과 같이 요구사항을 상세하게 도출하여 제안요청서에 반영하여야 한다.

③ 한국정보화진흥원장은 제1항 및 제2항에 따른 제안요청서의 요구사항을 상세화하기 위한 가이드를 정할 수 있다.

 

제16조(제안요청서 작성) ① 행정기관등의 장은 사업자를 선정하기 위하여 제안요청서를 작성하여야 한다.

② 제안요청서에는 다음 각 호의 사항을 명시하여야 한다.

1. 과업내용, 요구사항

2. 계약조건

3. 평가요소, 평가방법

4. 제안서의 규격ㆍ제출방법ㆍ제본형태

5. 제안서 보상에 관한 사항

6. 사업자가 준수해야 하는 다음 각 목에 관한 사항

가. 제19조에 따른 하도급 대금지급 등

나. 지식경제부장관이 고시한 "소프트웨어사업 하도급계약의 적정성 판단기준"에 따른 하도급 계약 승인 절차 및 하도급 계약 적정성 판단기준

다. 제7조제1항에 따른 기술적용계획표

라. 제50조 내지 제53조에 따른 "소프트웨어 개발보안" 적용

마. 제20조에 따른 사업관리자의 제안서 발표 의무화

바. 제45조에 따른 표준산출물 작성 및 제출

7. 그 밖에 필요한 사항

제17조(제안요청서 보안사항 등) 제안요청서를 통해 공개될 경우 보안침해 사고 등이 우려되는 다음 각 호에 관한 사항은 제안요청서에서 제외될 수 있도록 검토하여야 한다. 단, 입찰에 참가하고자 하는 사업자의 요청이 있는 경우 제안서 작성에 필요하다고 판단되면 보안서약서를 받고 담당자 입회하에 가능한 범위에서 열람하게 할 수 있다.

1. 정보시스템의 내ㆍ외부 IP 주소 현황

2. 정보시스템의 제조사, 제품버전 등 도입현황 및 구성도

3. 정보시스템의 환경파일 등 구성 정보

4. 사용자 계정 및 패스워드 등 시스템 접근권한 정보

5. 정보시스템 취약점분석 결과물

6. 방화벽ㆍ침입방지시스템(IPS) 등 정보보호제품, 라우터ㆍ스위치 등 네트워크장비 도입현황 및 설정 정보

7.「공공기관의 정보공개에 관한 법률」제9조제1항 단서에서 정한 비공개 대상

8.「개인정보 보호법」제2조제1호에 따른 개인정보

9.「보안업무규정」제4조의 비밀, 동 시행규칙 제7조제3항의 대외비

10. 그 밖에 행정기관등의 장이 공개가 불가하다고 판단한 자료

 

제18조(평가배점) 행정기관등의 장은 기술력이 우수한 사업자를 선정하여 정보화사업의 품질을 확보하기 위해 국가계약법 시행령 제43조의2, 지방계약법 시행령 제44조에 따라서 협상에 의한 계약체결 방법을 우선적으로 적용하고, 기술능력평가 배점한도를 90점으로 한다. 다만, 다음 각 호의 어느 하나에 해당하는 정보화사업은 기술능력평가의 배점한도를 80점으로 할 수 있다.

1. 추정가격 중 하드웨어의 비중이 50% 이상인 사업

2. 추정가격이 1억 미만인 개발사업

3. 그 밖에 행정기관등의 장이 판단하여 필요한 경우

 

제19조(하도급 대금지급 등) ① 행정기관등의 장은 원도급자가 하도급자에게 적정 대가를 지급할 수 있도록 다음 각 호와 같이 직접인건비, 제경비, 기술료에 대한 하도급 대금의 기준을 제안요청서에 명시하여야 한다.

1. 직접인건비는 한국소프트웨어산업협회장이 공표한 노임단가의 100%

2. 제경비와 기술료의 합은 제1항제1호 직접인건비의 20% 이상

② 행정기관등의 장은 원도급자가 지급하는 하도급 대금을 별지 제3호서식으로 제안서에 포함하여 제출하도록 제안요청서에 명시하여야 한다. 이 경우 하도급 대금은 제1항에서 정한 금액 이상이 되어야 한다.

③ 행정기관등의 장은 하도급자가 하도급 대금의 직접 지급을 원하는 경우 이해관계자(발주자, 원도급자, 하도급자 등) 간 합의서를 작성하고 하도급자에게 대금을 직접 지급하여야 한다. 다만, 원도급자가 특별한 사유로 인해 하도급 대금의 직접 지급에 합의하지 않는 경우 원도급자는 발주자로부터 선급금을 받은 날부터 15일 이내에 하도급자에게 선금을 현금으로 지급하고, 증빙서류를 발주자에게 제출하여야 한다.

④ 행정기관등의 장은 하드웨어 또는 상용소프트웨어를 직접 제조하는 자가 아닌 하도급자를 통해 구매하는 경우 그 하도급자와 제조사 간 기술 또는 판매와 관련된 관계임을 입증할 수 있는 증명을 제안서에 포함하여 제출하도록 제안요청서에 명시하여야 한다.

 

제20조(제안서 발표) 행정기관등의 장은 사업의 특성상 제안서 발표를 실시하는 경우 사업관리자(PM)의 전문성, 사업 이해도 등을 종합적으로 평가하기 위해 사업관리자가 직접 제안서를 발표하도록 제안요청서에 명시하여야 한다.

 

제21조(제안서 기술평가 기준) ① 제안서 기술평가를 위한 평가항목 및 배점한도, 평가방법 등은 지식경제부장관이 고시한 "소프트웨어 기술성 평가기준"에서 정하는 바에 따른다.

② 행정기관등의 장은 대기업인 소프트웨어사업자가 참여하는 입찰에 대하여는 제1항의 기준 중 "상생협력" 평가항목은 별표1에 따라 평가하여야 한다.

③ 행정기관등의 장은 기술평가 변별력이 확보되도록 사업의 특성을 고려하여 최소 6개 이상의 평가항목을 상대평가 항목으로 지정하여야 한다.

 

 

제22조(예정가격 비치) 행정기관등의 장은 국가계약법 시행령 제7조의2, 지방계약법 시행령 제8조에 따라서 제안서 제출 전까지 예정가격을 결정하고 이를 밀봉하여 미리 개찰장소 또는 가격협상장소 등에 두어야 하며 예정가격이 누설되지 아니하도록 하여야 한다.

 

제23조(예정가격의 결정기준 등) 예정가격 결정기준, 결정방법에 관한 사항은 국가계약법 시행령 제8조 및 제9조, 지방계약법 시행령 제9조 및 제10조에서 정한 바에 따른다.

 

제24조(제안요청서 사전공개) ① 행정기관등의 장은 입찰참여의 균등한 기회 제공을 통한 공정한 경쟁을 위하여 입찰공고 전에 제안요청서를 사전 공개ㆍ열람토록 하여 의견을 제시할 수 있도록 하여야 한다. 다만, 다음의 경우에는 사전공개 절차를 생략할 수 있다.

1. 경쟁에 부칠 여유가 없거나, 수의계약대상물품인 경우

2. 관계법령 등에 의한 비밀물자인 경우

3. 추정가격이 1억원 미만인 물품

4. 해당연도에 1회 이상 규격 사전공개를 실시한 품목

② 사전공개 기간은 공개일로부터 5일간으로 하고, 조달청 "나라장터(www.g2b.go.kr)" 및 행정기관의 홈페이지 등을 통해 다음 각 호의 사항을 공개하여야 한다. 다만, 긴급을 요하는 경우에는 3일간 공개할 수 있다

1. 사업명

2. 발주(공고)기관

3. 실수요기관

4. 배정예산액

5. 접수일시(의견등록마감일시)

6. 담당자(전화번호)

7. 납품기한

8. 제안요청서

9. 그 밖에 사전공개에 필요한 사항

 

제25조(사전공개 의견검토 등) ① 행정기관등의 장은 사전공개 결과 사업자 등으로부터 의견이 있을 때에는 적극 검토하여 그 결과를 의견제공자에게 통보하고, 수용한 의견은 제안요청서에 반영하여야 하며, 객관적이고 공정한 검토를 위하여 제안요청심의위원회를 구성하여야 한다. 다만, 다음 각 호의 경우에는 제안요청심의위원회 구성을 생략할 수 있다.

1. 사업자 등의 의견을 수용하여 제안요청서에 반영하는 경우

2. 행정기관등의 장이 자체 판단하여 의견검토가 가능한 경우

② 제1항의 제안요청심의위원회는 다음 각 호의 기준에 따라 구성한다.

1. 제안요청심의위원회는 학계, 연구계, 산업계 등 10인 이내로 구성하여야 하며, 관련분야별 전문가는 아래 각 목의 기관에 요청하여 구성할 수 있다.

가. 네트워크장비는 지식경제부 정보통신산업과

나. 가목 이외 분야는 한국정보화진흥원 또는 정보통신산업진흥원

2. 제안요청심의위원회는 사업계획서에 특정업체의 규격이 명시되었는지 여부를 심의하여야 한다.

3. 그 밖에 제안요청심의위원회 구성 및 운영에 관하여 필요한 세부사항은 행정기관등의 장이 정한다.

③ 입찰참가업체 등이 행정기관등의 장에게 직접 사전 공개에 대한 의견을 제시하기 곤란한 경우에는 정보통신산업진흥원 SW고충처리센터에 의견을 제시할 수 있다.

 

제26조(제안요청서의 교부 또는 열람 등) 제안요청서의 교부, 열람 등에 관한 사항은 기획재정부 계약예규 "협상에 의한 계약체결기준" 제5조, 행정안전부 예규 "지방자치단체 협상에 의한 계약체결기준"에서 정한 바에 따른다.

 

제27조(입찰공고 기간) ① 입찰공고는 국가계약법 시행령 제35조, 지방계약법 시행령 제35조에서 정한 바에 따른다.

② 국가계약법 시행령 제35조제5항제1호, 지방계약법 시행령 제35조제6항제1호에서 긴급을 요하는 경우는 다음 각 호와 같다

1. 법제도 개정, 재해재난 등으로 긴급하게 정보시스템 구축이 필요한 경우

2. 긴급공고를 하지 않을 경우 정보시스템 구축에 필요한 기간이 3개월 미만인 경우

3. 정보시스템감리 사업을 발주하는 경우

4. 국가를 당사자로 하는 계약에 관한 법률 시행령 제20조의 규정에 의한 재입찰 또는 재공고하는 경우

5. 그 밖에 행정기관등의 장이 긴급하다고 판단되는 경우

③ 행정기관등의 장은 제2항제5호의 경우에는 다음 각 호에서 정한 추정가격에 따라 공고기간을 정한다.

1. 10억원 미만인 경우 20일

2. 10억원 이상 40억원 미만인 경우 25일

3. 40억원 이상인 경우 30일

 

제28조(제안요청설명회 개최) ① 행정기관등의 장은 사업의 성질ㆍ규모 등을 고려하여 입찰참가자의 적정한 제안을 위한 설명을 실시할 수 있다.

② 제1항에 의한 설명을 실시하는 경우 입찰참가자가 알 수 있도록 제안 요청설명회 일시, 장소 등을 제안요청서에 명시하여 하여야 한다.

 

제29조(제안서 등의 제출) ① 입찰에 참가하고자 하는 자는 제안요청서에 정한 바 또는 입찰공고에 따라 제안서 및 가격 입찰서를 별도로 작성하여 행정기관등의 장에게 제출하여야 한다.

② 행정기관등의 장은 입찰참가자의 가격입찰서 모두를 함께 밀봉하여 제35조에 따른 입찰가격 개봉 및 평가 시까지 보관하여야 한다.

 

제4장 사업자선정 및 계약

 

제30조(평가위원회 구성) ① 행정기관등의 장은 사업자를 선정하기 위해 제안서 기술평가가 필요한 경우 제안서평가위원회를 구성하여야 한다.

② 행정기관등의 장은 기술제안서의 내용 및 기타 평가사항의 심사를 위하여 공무원, 산업계ㆍ학계ㆍ연구계 등의 해당분야 전문가로 구성된 평가위원회를 별표2의 사업규모에 따른 인원으로 구성ㆍ운영할 수 있다. 제안서평가위원회의 구성 및 운영에 관하여 필요한 세부사항은 행정기관등의 장이 정한다.

③ 행정기관등의 장은 제2항의 제안서평가위원회를 구성하기 위하여 전체 평가위원 중 과반수 이내에서 발주담당 공무원을 제외한 소속공무원을 평가위원으로 위촉할 수 있다. 단, 지방자치단체는 당해 자치단체 공무원을 평가위원으로 위촉할 수 없다.

 

④ 한국정보화진흥원장은 정보화사업 제안서 평가위원Pool을 구축ㆍ운영할 수 있으며 행정기관등의 장은 제2항의 제안서평가위원회를 구성하기 위하여 한국정보화진흥원에서 운영ㆍ관리하는 정보화사업 평가위원Pool을 이용할 수 있다.

⑤ 한국정보화진흥원장은 정보화사업 평가위원Pool의 운영ㆍ관리 등에 필요한 운영규정을 정하여 시행할 수 있다.

 

제31조(제안서 사전배포) ① 행정기관등의 장은 제안서의 내용에 대하여 평가위원의 상세한 검토가 필요하다고 판단되는 경우에는 제안서평가위원에게 제안서를 사전에 배포할 수 있다.

② 제1항에 의하여 제안서를 사전배포하는 경우에는 제안서의 내용 등이 외부에 유출되지 않도록 보안서약서 징구 등 필요한 보안대책을 강구하여야 한다.

 

제32조(제안서 평가) ① 행정기관등의 장은 제안서의 평가에 있어서 필요한 서류가 첨부되어 있지 않거나 제출된 서류가 불명확하여 인지할 수 없는 경우에는 제안서 내용의 변경이 없는 경미한 사항에 한하여 기한을 정하여 보완을 요구하여야 한다.

② 제1항에 의하여 기한까지 보완요구한 서류가 제출되지 아니한 경우에는 당초 제출된 서류만으로 평가하고, 당초 제출된 서류가 불명확하여 심사가 불가능한 경우에는 평가에서 제외한다.

③ 평가위원회의 요청이 있는 경우에는 제안서를 제출한 자에게 보완자료 등 평가에 필요한 자료를 제출하게 할 수 있다.

④ 평가위원회의 장은 제20조에서 정한 이행여부를 확인하기 위해 제안발표자의 신분증을 확인한 후 사업관리자와 다를 경우 제안발표를 제외하고 제안서 등 서류만으로 평가하게 하여야 한다.

 

제33조(제안서 검토시간 및 평가점수의 조정) ① 제안서 평가를 위하여 평가위원에게 제안서를 사전배포하지 않는 경우에는 입찰참가업체의 제안서발표 이전에 다음 각 호의 추정가격을 기준으로 평가위원에게 제안서 검토시간을 주어야 한다. 단, 입찰참가업체 수 등을 고려하여 제안서 검토시간을 추가할 수 있다.

1. 10억 미만 90분

2. 20억 미만 120분

3. 40억 미만 150분

4. 40억 이상 180분

② 평가위원회의 장은 평가위원별 평가점수를 확인하고 특정업체의 평가점수를 타 평가위원 보다 현저히 높거나 낮게 부여한 평가위원에게 설명을 요구하고 과반수 이상의 평가위원들이 동의하지 않는 경우 평가점수 조정을 요구할 수 있다. 단 해당 평가위원의 점수가 모든 입찰참가업체에 동일하게 높거나 낮게 부여된 경우는 그러하지 아니한다.

 

제34조(제안서 평가결과 공개 등) ① 행정기관등의 장은 추정가격이 20억원 이상인 사업의 제안서 평가결과는 다음 각 호의 내용에 따라 별지 제4호서식으로 입찰참가업체에게 공개하여야 한다.

1. 평가위원 실명은 비공개

2. 지식경제부 장관이 고시한 "소프트웨어 기술성 평가기준" 별표 1 또는 별표 2의 평가부문별 점수

② 행정기관등의 장은 한국정보화진흥원장이 구축ㆍ운영하는 제안서 평가위원Pool을 이용하여 평가한 경우 제안서평가 후 평가위원의 평가자질, 공정성 등을 평가하여 3일 이내 한국정보화진흥원장에게 송부하여야 한다.

 

제35조(입찰가격 개봉 및 평가) 행정기관등의 장은 제32조부터 제33조의 규정에 의한 제안서 평가 후 지체없이 입찰참가자가 참석한 자리에서 밀봉한 입찰서를 개봉하고 입찰가격에 대한 평가를 실시하여야 한다.

 

제36조(기술 및 가격협상 절차 등) ① 협상적격자 및 협상순위의 선정, 협상적격자에 대한 통지, 협상절차, 협상내용과 범위, 협상기간, 가격의 협상, 협상결과 통보 등은 다음 각 호에서 정한 바에 따른다.

1. 국가계약법 시행령 제43조에 따라서 계약을 체결하는 경우 기획재정부 계약예규 "협상에 의한 계약체결 기준" 제8조 부터 제15조

2. 지방계약법 시행령 제43조에 따라서 계약을 체결하는 경우 행정안전부 예규 "지방자치단체 협상에 의한 계약체결기준"

② 사업자는 기술협상 시 과업내용의 변경으로 인해 하도급 대금 지급비율 변경이 필요한 경우 그 사유를 명시하여 행정기관등의 장에게 승인을 요청하여야 한다.

③ 행정기관등의 장은 제2항의 요청을 받은 경우 하도급 대금 지급비율 변경의 적정성을 검토하고 그 결과를 기술협상 내용의 일부로 포함하여야 한다.

④ 행정기관등의 장은 기술협상 시 제19조제4항에 따라 사업자가 제출한 하도급자와 제조사의 기술 또는 판매와 관련된 증명의 적정성을 검토하여야 한다.

 

제5장 사업수행

 

제37조(하도급 승인 신청) ① 하도급 승인에 관한 절차, 제출서류 등은 소프트웨어산업 진흥법 시행규칙 제8조에서 정한 바에 따르며, 하도급 계약의 승인을 신청하는 사업자는 다음 각 호의 서류를 행정기관등의 장에게 제출하여야 한다. 단, 제안서에 포함된 하도급 승인신청은 계약 체결 후 7일 이내에 하여야 한다.

1. 소프트웨어산업 진흥법 시행규칙 별지 제10호서식에 따른 "소프트웨어사업 하도급ㆍ재하도급 계약승인신청서"

2. 하도급거래 공정화에 관한 법률 제3조의2 규정에 의한 "소프트웨어사업 표준하도급계약서(안)"와 하도급되는 부문의 세부 산출내역서

3. 하도급 사업수행계획서(세부 사업추진일정표 포함)

4. 지식경제부장관이 고시한 "소프트웨어사업 하도급 계약의 적정성 판단기준" 별지 제1호서식에서 정한 자기평가표 및 해당 증빙서류

② 사업자는 하도급 승인이 거절된 경우 지식경제부 장관이 고시한 "소프트웨어사업 하도급계약의 적정성 판단기준" 제11조에 따라 7일 이내에 하도급 계약의 적정성 판단을 다시 요청할 수 있다.

③ 다만, 지식경제부장관이 고시한 "소프트웨어사업 하도급계약의 적정성 판단기준" 제5조제1항에서 정한 소프트웨어사업은 하도급 계약 승인 대상에서 제외할 수 있다.

 

제38조(하도급 승인) ① 행정기관등의 장은 제37조제1항제2호 세부 산출내역서의 하도급 대금 지급비율이 제19조 또는 제36조제3항에서 명시한 하도급 대금지급 비율보다 낮은 경우 하도급 승인을 거절하여야 한다.

② 제37조제1항에 따른 신청을 받은 행정기관등의 장은 지식경제부장관이 고시한 "하도급 계약의 적정성 판단기준"에 따라 하도급 또는 재하도급 계약의 적정성 여부를 검토하여 14일 이내에 그 승인 여부를 사업자에게 알려야 한다.

③ 제2항에도 불구하고 하도급 적정성 판단에 상당한 시일이 요구되는 등 불가피한 사유가 있는 경우에는 1회에 한해 통지기간을 연장할 수 있으며, 통지기간을 연장한 경우에는 그 사유와 14일 이내의 통지예정 기한을 정하여 지체없이 사업자에게 알려야 한다.

④ 행정기관등의 장이 사업자에게 제2항의 하도급 승인여부를 기간내에 통지하지 아니하거나 제3항에 따라 통지기간연장을 통지하지 아니한 경우에는 제37조제1항 내지 제2항의 하도급을 승인한 것으로 본다.

 

제39조(착수 및 보고) ① 사업자는 계약체결 후 10일 이내에 별지 제5호서식의 정보화사업 착수계를 작성하여 행정기관등의 장에게 제출하여야 한다. 단, 하도급 승인이 필요한 경우 하도급 승인을 받은 날로부터 3일 이내에 제출하여야 한다.

② 제1항의 정보화사업 착수계는 제안요청서와 제안서, 기술협상 등을 근거로 작성하되 사업자의 의견이 있는 경우 행정기관등의 장과 사전협의를 통하여 반영할 수 있다.

③ 행정기관등의 장은 제1항의 착수계를 검토하고, 제안요청서 및 계약서의 내용에 부합하지 않을 경우 보완을 요구할 수 있으며, 사업자는 보완을 요구받은 날로부터 7일 이내에 보완하여 제출하여야 한다.

④ 행정기관등의 장은 사업자가 제안한 사업내용, 이행방법, 이행일정 등에 대하여 착수보고회 개최를 요청할 수 있다.

 

제40조(하도급 관리) ① 행정기관등의 장은 소프트웨어산업 진흥법 시행규칙 제8조제4항에 따라서 하도급 또는 재하도급 계약의 준수여부를 확인하기 위하여 필요한 경우 하도급 또는 재하도급을 승인받은 자로 하여금 소프트웨어산업 진흥법 시행규칙 별지 제11호서식의 "소프트웨어사업 하도급계약 준수실태 보고서"에 따라 그 준수여부를 보고하게 할 수 있다.

② 행정기관등의 장은 제1항의 준수여부 보고 시 하도급 대금의 지급방식(현금/어음 등), 지급시기, 지급율(선금/중도금/잔금)을 확인할 수 있는 증빙을 요구할 수 있다.

③ 행정기관등의 장은 제38조에서 승인한 대로 하도급 또는 재하도급 계약이 이행되지 않은 경우에는 지체없이「하도급거래 공정화에 관한 법률」제25조에 따른 조치를 취하여 줄 것을 공정거래위원회에 요청하여야 한다.

④ 행정기관등의 장은 승인 없이 하도급을 하거나, 하도급조건을 하도급자에게 불리하게 변경한 경우 등은 국가계약법 시행규칙 제76조제1항, 지방계약법 시행규칙 제76조제1항에서 정한 세부기준에 따라 입찰참가자격을 제한하는 등 필요한 조치를 취하여야 한다.

 

제41조(작업장소 등) ① 행정기관등의 장과 사업자는 소프트웨어사업수행을 위하여 필요한 장소 및 설비, 기타 작업환경(이하 "작업장소 등"이라고 한다)을 상호 협의하여 정한다.

② 행정기관등의 장이 작업장소 등에 관한 비용을 사업예산 또는 예정가격에 계상하지 아니한 경우에는 행정기관등의 장이 작업장소 등을 제공한다.

③ 제2항의 사업예산 또는 예정가격 작성 시 다음 각 호의 근거에 따라 작업장소 등에 관한 비용을 계상한다.

1. 기획재정부 계약예규 "예정가격 작성기준" 제11조제3항제9호에 해당하는 경비(지급임차료)

2. 한국소프트웨어산업협회장이 공표한 “SW사업 대가산정 가이드”에서 정의된 직접경비(현장운영비)

④ 사업자는 당해 계약의 효율적 이행을 위해 필요한 경우 그 사유 및 기간 등을 정하여 행정기관등의 장에게 승인을 받은 후 당해 사업에 투입되는 인력을 제1항의 작업장소 이외에서도 근무하게 할 수 있다.

⑤ 한국정보화진흥원장은 제4항에서 정하는 작업장소 이외에서 근무하는 경우 준수해야 하는 가이드를 정할 수 있다.

제42조(인력관리) ① 행정기관등의 장은 소프트웨어 개발비, 재개발비, 유지보수비 등에 대한 사업대가를 기능점수로 산정한 경우에는 제안요청서에 투입인력의 수와 기간에 의한 방식에 관한 요구사항을 명시할 수 없다. 단, 사업자가 제안서에 투입인력의 수와 기간을 명시한 경우에는 투입인력별 투입기간으로 관리할 수 있다.

② 사업대가를 기능점수로 산정하지 아니하는 경우에는 투입인력별 투입기간에 대하여 정보화사업 착수계, 하도급 사업수행계획서 등으로 관리할 수 있다.

③ 인력투입의 종료는 기획재정부 계약예규 "용역계약 일반조건" 제54조에 따른다.

④ 사업자는 정보화사업 단계별(요구정의, 분석, 설계, 구현, 테스트 등)로 과업이 완료된 경우에는 그 사실을 행정기관등의 장에게 서면으로 통지하여 검사를 받을 수 있으며, 검사가 완료된 때에는 관련 인력의 투입을 종료할 수 있다.

 

제43조(기술적용 계획 준수) ① 사업자는 제7조제1항 또는 제7조제4항에 따른 기술적용계획표를 준수하여 사업을 추진하여야 한다.

② 사업자는 사업 검사 및 최종감리 수행 시 별지 제1호서식의 기술적용결과표를 작성하여 제출하여야 한다.

 

제44조(표준산출물) ① 행정기관등의 장은 운영, 유지보수 등에 필요한 표준산출물을 지정하여 사업자에게 제출을 요구할 수 있다.

② 행정기관등의 장은 제1항에 따른 산출물을 기관의 정보시스템을 이용하여 체계적으로 관리하고 운영ㆍ유지보수 또는 고도화 사업 등에 활용될 수 있도록 유지ㆍ관리하여야 한다.

③ 한국정보화진흥원장은 제1항에 따른 표준산출물에 대한 가이드를 정할 수 있다.

 

제45조(과업내용의 변경) ① 행정기관등의 장은 기획재정부 계약예규 "용역계약 일반조건" 제16조, 지방자치단체 용역계약 일반조건에 따라 과업내용을 추가, 변경, 삭제할 수 있다.

 

② 사업자는 제1항에 의하여 하도급 대금지급 비율 변경이 발생하는 경우 그 사유와 변경 전ㆍ후의 별지 제3호 서식을 작성하여 행정기관등의 장에게 검토를 요청하고 승인을 받아야 한다.

제46조(과업내용의 변경절차) 행정기관등의 장은 과업내용을 변경하는 경우 소프트웨어산업진흥법 제20조의2, 기획재정부 계약예규 "용역계약 일반조건" 제53조의 절차를 준수하여야 한다.

 

제47조(과업변경 대가지급) 제46조에 따라 과업내용을 변경한 경우 계약금액조정은 국가계약법 시행령 제65조제1항부터 제6항, 지방계약법 시행령 제74조제1항부터 제7항을 준용한다.

 

제48조(정보자원 통합관리) ① 행정기관등의 장은 기관에서 보유한 정보자원을 법 제47조제3항에 따른 EA 지원시스템(www.geap.go.kr)에 등록하여야 한다.

② 행정기관등의 장은 법 제54조에서 규정한 정보자원의 현황 및 통계자료를 관리하기 위해 제1항의 시스템을 활용할 수 있다.

 

제49조(감리시행) ① 행정기관등의 장과 사업자는 단계별 감리수행결과보고서에 따라 시정조치를 수행하여야 한다.

② 감리법인은 제7조제1항 또는 제7조제4항에서 작성된 기술적용계획표와 제43조제2항의 기술적용결과표의 준수여부를 확인하여 그 결과를 감리수행결과보고서에 기술하여야 한다.

 

제6장 소프트웨어 개발보안

 

제50조(소프트웨어 개발보안 원칙) ① 행정기관등이 영 제71조제1항에 해당하는 정보화사업을 추진할 때에는 별표 3의 소프트웨어 보안약점이 없도록 소프트웨어를 개발 또는 변경(이하 ‘소프트웨어 개발보안’이라 한다)하여야 한다. 다만, 영 제71조제1항에 해당하지 않는 정보화사업도 소프트웨어 개발보안을 적용할 수 있다.

 

② 제1항에 따라 행정기관등의 장이 정보화사업 추진시 적용해야 할 소프트웨어 개발보안의 범위는 다음 각 호와 같다.

1. 신규개발의 경우 : 소스코드 전체

2. 유지보수의 경우 : 유지보수로 인해 변경된 소스코드 전체

③ 제2항에 따라 소프트웨어 개발보안 적용시 상용 소프트웨어는 제외한다.

 

제51조(소프트웨어 개발보안 활동) ① 행정기관등의 장은 제안서 평가시 소프트웨어 개발보안을 위해 소프트웨어 보안약점 진단도구 사용 여부, 개발절차와 방법의 적절성 등을 확인하고 평가에 반영할 수 있다.

② 사업자는 제50조에 따라 소프트웨어 개발보안을 적용하는 경우 행정안전부장관이 국가정보원장과 협의하여 공지하는 ‘소프트웨어 개발 보안가이드’를 참고할 수 있다.

③ 사업자는 정보화사업 착수단계에서 ‘소프트웨어 개발 보안가이드’ 등 소프트웨어 개발보안 관련 교육을 실시하고 이후 투입되는 인력은 개발에 투입하기 전 소프트웨어 개발보안 관련 교육을 실시하여야 한다.

 

제52조(보안약점 진단기준) 행정기관등의 장은 소프트웨어 보안약점을 진단할 때 별표 3의 소프트웨어 보안약점을 필수 진단항목으로 포함하여야 한다.

 

제53조(보안약점 진단절차) ① 행정기관등의 장은 정보화사업 감리를 수행 하는 경우, 감리법인으로 하여금 사업자가 별표 3의 소프트웨어 보안약점을 제거하였는지 진단하도록 하여야 한다.

② 감리법인은 제1항에 따라 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 “정보시스템 감리기준” 제10조제1항의 세부 검사항목에 소프트웨어 보안약점 제거 여부를 포함하여야 한다.

③ 감리법인은 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 “정보시스템 감리기준” 제5조제3항에 따라 제54조의 진단원을 우선적으로 배치할 수 있다.

 

④ 감리법인이 소프트웨어 보안약점 진단과정에서 소프트웨어 보안약점 진단도구를 사용할 경우, 행정안전부장관이 고시한 “정보보호시스템 평가․인증 지침”에 따라 국가정보원장이 인증한 보안약점 진단도구를 사용하여야 한다.

 

⑤ 행정기관등의 장은 영 제71조제1항에 해당하지 않는 정보화사업에 소프트웨어 개발보안을 적용할 경우에는 사업자로 하여금 보안약점을 진단․제거토록 하고 그 결과를 확인할 수 있다.

 

제54조(진단원) ① 행정안전부장관은 별표 4 제1호 진단원의 자격기준을 만족하고 별표 4 제2호의 교육을 이수한 자에게 진단원 자격을 부여한다.

② 행정안전부장관은 제1항과 관련하여 진단원 및 행정기관등의 요청이 있을 경우 진단원 자격 유무를 확인해 줄 수 있다.

③ 행정안전부장관은 진단원 양성과 관련된 업무를 한국인터넷진흥원과 국가보안기술연구소에 위탁할 수 있다.

 

제7장 검사 및 운영

 

제55조(지체상금) 사업자는 계약서에 정한 용역수행기한내에 용역을 완성하지 아니한 경우 지체상금 산출 및 공제, 지체일수 산정 등은 기획재정부 계약예규 "용역계약 일반조건" 제18조, 행정안전부 예규 "용역계약 일반조건"에서 정한 바에 따른다.

 

제56조(검사) ①검사의 통지, 기한, 시정조치, 재검사 등에 관한 사항은 기획재정부 계약예규 "용역계약 일반조건" 제20조, 행정안전부 예규 "용역계약 일반조건"에서 정한 바에 따른다.

② 행정기관등의 장은 검사 시 다음 각 호를 확인하여야 한다.

1. 제43조제1항에 따른 기술적용계획표와 제43조제2항에 따른 기술적용결과표의 준수여부

2. 제50조제1항에 따른 감리수행결과보고서의 부적합 조치 여부

 

제57조(인수) 행정기관등의 장은 당해용역의 특성상 계약목적물의 인수를 요하는 경우에는 기획재정부 계약예규 "용역계약 일반조건" 제21조, 행정안전부 예규 "용역계약 일반조건"에서 정한 바에 따른다.

 

제58조(정보자원의 민간활용) 행정기관등의 장은 법 제51조에 따라 지정된 정보자원 중 민간에서 활용할 수 있는 표준화된 정보자원은 한국정보화진흥원에서 운영하는 "공유자원 포털(www.data.go.kr)" 또는 자체정보 제공시스템을 통해 민간에 제공하도록 노력하여야 한다.

 

제59조(운영 및 유지보수) ① 행정기관등의 장은 정보시스템의 운영, 유지보수 등으로 인해 변경이 발생하는 경우 표준산출물과 일관성이 유지되도록 관리하여야 한다.

② 사업자는 운영 및 유지보수를 수행하면서 반복적으로 수행하는 사항을 매뉴얼로 작성ㆍ관리하고, 행정기관등의 장이 요구하는 경우 제공하여야 한다.

 

제60조(계약목적물의 지식재산권 귀속 및 기술자료 임치) ① 계약목적물의 지식재산권 귀속 등에 관한 사항은 기획재정부 계약예규 "용역계약 일반조건" 제56조에서 정한 바에 따른다.

② 사업자는 계약목적물의 기술자료를 제3의 기관에 임치하여야 하며, 세부사항은 기획재정부 계약예규 "용역계약 일반조건" 제57조에서 정한 바에 따른다.

보 칙

 

제61조(세부사항) 행정안전부장관은 한국정보화진흥원장에게 제15조, 제30조, 제41조, 제44조의 시행 및 적용에 대한 세부사항을 정하여 공지하게 할 수 있다.

 

제62조(재검토 기한) 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 고시 발령 후의 법령이나 현실 여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 하는 기한은 2015년 6월 26일까지로 한다.

 

부 칙

 

제1조(시행일) 이 지침은 고시한 날부터 시행한다. 다만, 제53조제4항은 2014년 1월 1일부터 시행한다.

 

제2조(소프트웨어 개발보안 적용유예) 제50조 내지 제53조는 본 지침 고시 후 6개월이 경과한 날부터 공고되는 정보화사업부터 적용하고 사업규모에 따라서 다음과 같이 적용시기를 유예한다.

1. 사업규모 20억원 이상 40억원 미만 : 2013년 12월 31일까지

2. 사업규모 20억원 미만 : 2014년 12월 31일까지

여기서, 사업규모는 총사업비 중 하드웨어ㆍ소프트웨어의 단순 구입비용을 제외한 금액을 말한다.

 

< 별표1 >

중소기업 참여 공동수급체 지분율별 평가점수

중소기업 참여 지분율	평가 점수	적용시기
45% 이상	5.0	고시 시행일부터 입찰공고하는 정보화사업
40% 이상～ 45% 미만	4.0
35% 이상～ 40% 미만	3.0
30% 이상～ 35% 미만	2.0
30% 미만	1.0

중소기업 참여 지분율	평가 점수	적용시기
50% 이상	5.0	2012년 7월 1일 입찰공고하는 정보화사업
45% 이상～ 50% 미만	4.0
40% 이상～ 45% 미만	3.0
35% 이상～ 40% 미만	2.0
35% 미만	1.0

 

 

< 별표2 >

사업규모별 제안서 평가위원 수

사업예산액	1억원 미만	1억원이상～ 10억원 미만	10억원 이상～ 50억원 미만	50억원 이상
위원수	6명 이하	7명 이상	8명 이상	9명 이상

< 별표 3 >

소프트웨어 보안약점 기준

 

1. 입력데이터 검증 및 표현 : 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점

번호	보안약점	설 명
1	SQL 삽입	사용자의 입력값 등 외부 입력값이 SQL 쿼리에 삽입되어 공격자가 쿼리를 조작해 공격할 수 있는 보안약점
2	자원 삽입	외부 입력값에 대한 검증이 없거나 혹은 잘못된 검증을 거쳐서 시스템 자원에 접근하는 경로 등의 정보로 이용될 때 발생하는 보안약점
3	크로스사이트스크립트	검증되지 않은 외부 입력값에 의해 브라우저에서 악의적인 코드가 실행되는 보안약점
4	운영체제 명령어 삽입	운영체제 명령어를 구성하는 외부 입력값이 적절한 필터링을 거치지 않고 쓰여져서 공격자가 운영체제 명령어를 조작할 수 있는 보안약점
5	위험한 형식 파일 업로드	파일의 확장자 등 파일형식에 대한 검증없이 업로드를 허용하여 발생하는 보안약점
6	신뢰되지 않는 URL 주소로 자동 접속 연결	사용자의 입력값 등 외부 입력값이 링크 표현에 사용되고, 이 링크를 이용하여 악의적인 사이트로 리다이렉트(redirect)되는 보안약점
7	XQuery 삽입	사용자의 입력값 등 외부 입력값이 XQuery 표현에 삽입되어 악의적인 쿼리가 실행되는 보안약점
8	XPath 삽입	사용자의 입력값 등 외부 입력값이 XPath 표현에 삽입되어 악의적인 쿼리가 실행되는 보안약점
9	LDAP 삽입	검증되지 않은 입력값을 사용해서 동적으로 생성된 LDAP문에 의해 악의적인 LDAP 명령이 실행되는 보안약점
10	크로스사이트 요청 위조	검증되지 않은 외부 입력값에 의해 브라우저에서 악의적인 코드가 실행되어 공격자가 원하는 요청(Request)이 다른 사용자(관리자 등)의 권한으로 서버로 전송되는 보안약점
11	디렉토리 경로 조작	지정된 경로 밖의 파일시스템 경로에 접근하게 되는 보안약점
12	HTTP 응답분할	사용자의 입력값 등 외부 입력값이 HTTP 응답헤더에 삽입되어 악의적인 코드가 실행되는 보안약점
13	정수 오버플로우	정수를 사용한 연산의 결과가 정수값의 범위를 넘어서는 경우 프로그램이 예기치 않은 동작될 수 있는 보안약점
14	보호메커니즘을 우회할 수 있는 입력값 변조	사용자에 의해 변경될 수 있는 값을 사용하여 보안결정(인증/인가/권한부여 등)을 수행하여 보안 메커니즘이 우회될 수 있는 보안약점

2. 보안기능 : 보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현시 발생할 수 있는 보안약점

번호	보안약점	설 명
1	적절한 인증 없는 중요기능 허용	적절한 인증없이 중요정보(계좌이체 정보, 개인정보 등)를 열람(또는 변경)할 수 있게 하는 보안약점
2	부적절한 인가	적절한 접근제어 없이 외부 입력값을 포함한 문자열로 서버자원에 접근(혹은 서버 실행 인가)을 할 수 있게 하는 보안약점
3	중요한 자원에 대한 잘못된 권한설정	중요자원(프로그램 설정, 민감한 사용자 데이터 등)에 대한 적절한 접근권한을 부여하지 않아, 의도하지 않는 사용자에 의해 중요정보가 노출․수정되는 보안약점
4	취약한 암호화 알고리즘 사용	중요정보(패스워드, 개인정보 등)의 기밀성을 보장할 수 없는 취약한 암호화 알고리즘을 사용하여 정보가 노출될 수 있는 보안약점
5	사용자 중요정보 평문 저장(또는 전송)	중요정보(패스워드, 개인정보 등) 저장(또는 전송)시 암호화 하지 않아 공격자에게 누출될 수 있는 보안약점
6	하드코드된 패스워드	소스코드내에 비밀번호를 하드코딩함에 따라 관리자 비밀번호가 노출되거나, 주기적 변경 등 수정(관리자 변경 등)이 용이하지 않는 보안약점
7	충분하지 않은 키 길이 사용	데이터의 기밀성, 무결성 보장을 위해 사용되는 키의 길이가 충분하지 않아 기밀정보 누출, 무결성이 깨지는 보안약점
8	적절하지 않은 난수 값 사용	예측 가능한 난수사용으로 공격자로 하여금 다음 숫자 등을 예상하여 시스템 공격이 가능한 보안약점
9	패스워드 평문 저장	기밀정보인 비밀번호를 암호화하지 않아 노출될 수 있는 보안약점
10	하드코드된 암호화 키	소스코드내에 암호화키를 하드코딩 하는 경우, 향후 노출될 수 있으며, 키 변경 등 수정이 용이하지 않는 보안약점
11	취약한 패스워드 허용	비밀번호 조합규칙(영문, 숫자, 특수문자 등) 및 길이가 충분하지 않아 노출될 수 있는 보안약점
12	사용자 하드디스크에 저장되는 쿠키를 통한 정보노출	쿠키(세션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장함으로써 개인정보 등 기밀정보가 노출될 수 있는 보안약점
13	보안속성 미적용으로 인한 쿠키 노출	쿠키에 보안속성을 적용하지 않을 경우, 쿠키에 저장된 중요데이터가 공격자에 노출될 수 있는 보안약점
14	주석문 안에 포함된 패스워드 등 시스템 주요정보	소스코드내의 주석문에 비밀번호가 하드코딩되어 비밀번호가 노출될 수 있는 보안약점
15	솔트 없이 일방향 해쉬 함수 사용	공격자가 솔트없이 생성된 해쉬값을 얻게 된 경우, 미리 계산된 레인보우 테이블을 이용하여 원문을 찾을 수 있는 취약점
16	무결성 검사없는 코드 다운로드	원격으로부터 소스 코드 또는 실행파일을 무결성 검사없이 다운로드 받고 이를 실행하는 경우 공격자가 악의적인 코드를 실행 할 수 있는 보안약점

3. 시간 및 상태 : 동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점

번호	보안약점	설 명
1	경쟁조건: 검사시점과사용시점(TOCTOU)	멀티 프로세스 상에서 자원을 검사하는 시점과 사용하는 시점이 달라서 발생하는 보안약점
2	제어문을 사용하지 않는 재귀함수	적절한 제어문 사용이 없는 재귀함수에서 무한재귀가 발생하는 보안약점

 

4. 에러처리 : 에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생할 수 있는 보안약점

번호	보안약점	설 명
1	오류메시지통한 정보노출	개발시 활용을 위한 오류정보의 출력메시지를 배포될 버전의 SW에 포함시킬 때 발생하는 보안약점
2	오류상황 대응 부재	시스템에서 발생하는 오류상황을 처리하지 않아 프로그램 다운 등 의도하지 않은 상황이 발생할 수 있는 보안약점
3	적절하지않은 예외처리	예외에 대한 부적절한 처리로 인해 의도하지 않은 상황이 발생될 수 있는 보안약점

5. 코드오류 : 타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점

번호	보안약점	설 명
1	널(Null) 포인터 역참조	Null로 설정된 변수의 주소값을 참조했을 때 발생하는 보안약점
2	부적절한 자원 해제	사용된 자원을 적절히 해제 하지 않으면 자원의 누수 등이 발생하고, 자원이 모자라 새로운 입력에 처리 못하게 되는 보안약점

 

6. 캡슐화 : 중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을 때 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점

번호	보안약점	설 명
1	잘못된 세션에 의한 데이터 정보 노출	잘못된 세션에 의해 권한 없는 사용자에게 데이터 노출이 일어날 수 있는 보안약점
2	제거되지 않고 남은 디버그 코드	디버깅을 위해 작성된 코드를 통해 권한 없는 사용자 인증우회(또는 중요중보)접근이 가능해지는 보안약점
3	시스템 데이터 정보노출	사용자가 볼 수 있는 오류 메시지나 스택 정보에 시스템 내부 데이터나 디버깅 관련 정보가 공개되는 보안약점
4	Public 메소드부터 반환된 Private 배열	private로 선언된 배열을 public으로 선언된 메소드를 통해 반환(return)하면, 그 배열의 레퍼런스가 외부에 공개되어 외부에서 배열의 수정될 수 있는 보안약점
5	Private 배열에 Public 데이터 할당	public으로 선언된 데이터 또는 메소드의 인자가 private 선언된 배열에 저장되면, private 배열을 외부에서 접근할 수 있게 되는 보안약점

 

7. API 오용 : 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점

번호	보안약점	설 명
1	DNS lookup에 의존한 보안결정	DNS는 공격자에 의해 DNS 스푸핑 공격 등이 가능함으로 보안결정을 DNS 이름에 의존할 경우, 보안결정 등이 노출되는 보안약점

< 별표 4 >

소프트웨어 보안약점 진단원의 자격기준

 

1. 자격기준

구분	자격기준	제출서류
기본요건	․6년이상 소프트웨어 개발분야 업무를 수행한 자 ․3년이상 소프트웨어 보안약점 또는 보안취약점 진단․ 분석업무를 수행한 자	. 해당 업체 또는 기관 에서 발급한 경력증 명서 (업무내용 포함)
교육요건	. 기본요건을 만족하고 제2호의 기본교육을 이수한 자

 

 

 

2. 진단원이 받아야 하는 교육

교육종류	교육내용	교육시기	교육시간
기본 교육	․ 소프트웨어 개발보안 제도․기준 ․ 소프트웨어 보안약점 진단․제거기술 등 ․ 진단 수행능력의 배양을 위한 교육	진단원 자격을 취득하고자 하는 경우	40시간
보수 교육	․지침․기준 등 제도 변경사항 ․최신보안약점, 진단․제거기술등 ․소프트웨어 개발보안 지식의 지속적인 습득 및 기술능력 유지를 위한 교육	진단원 자격을 유지하고자 하는 경우	1년마다 8시간

< 별지 제1호 서식 >

 

□ 기술적용계획표, □ 기술적용결과표

 

사업명
작성일

 

□ 법률 및 고시

구분	항 목
법률	o 국가정보화 기본법 o 공공기관의 정보공개에 관한 법률 o 개인정보 보호법 o 소프트웨어산업 진흥법 o 인터넷주소자원에 관한 법률 o 전자서명법 o 전자정부법 o 정보통신기반 보호법 o 정보통신망 이용촉진 및 정보보호 등에 관한 법률 o 통신비밀보호법 o 국가를 당사자로 하는 계약에 관한 법률 o 하도급거래 공정화에 관한 법률 o 지방자치단체를 당사자로 하는 계약에 관한 법률
고시 등	o 보안업무규정(대통령령) o 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령) o 장애인·고령자 등의 정보 접근 및 이용 편의 증진을 위한 지침(행정안전부고시) o 전자서명인증업무지침(행정안전부고시) o 전자정부서비스 호환성 준수지침(행정안전부고시) o 정보보호시스템 공통평가기준(행정안전부고시) o 정보보호시스템 평가인증 지침(행정안전부고시) o 정보시스템 감리기준(행정안전부고시) o 행정전자서명 인증업무지침(행정안전부고시) o 행정기관도메인명및IP주소체계표준(행정자치부고시) o 개인정보의 안전성 확보 조치 기준(행정안전부고시) o 전자정부 정보보호관리체계(G-ISMS) 인증 등에 관한 지침(행정안전부훈령) o 지방자치단체 입찰 및 계약집행 기준(행정안전부예규) o 지방자치단체 입찰시 낙찰자 결정기준(행정안전부예규) o 지방자치단체 용역계약 일반조건(행정안전부예규) o 표준개인정보보호지침(행정안전부 예규) o 엔지니어링사업 대가의 기준(지식경제부고시) o 소프트웨어 기술성 평가기준(지식경제부고시) o 소프트웨어사업의 제안서 보상기준 등에 관한 운영규정(지식경제부고시) o 분리발주대상 소프트웨어(지식경제부고시) o 대기업인 소프트웨어사업자가 참여할 수 있는 사업금액의 하한(지식경제부고시) o 소프트웨어 품질인증의 세부기준 및 절차(지식경제부고시) o 소프트웨어사업하도급계약의 적정성 판단기준(지식경제부고시) o 용역계약일반조건(기획재정부계약예규) o 협상에 의한 계약체결기준(기획재정부계약예규) o 하도급거래 공정화 지침(공정거래위원회지침) o 정보보호조치 및 안전진단 방법·절차·수수료에 관한 지침(방송통신위원회고시) o 개인정보의 기술적·관리적 보호조치 기준(방송통신위원회고시)

□ 서비스 접근 및 전달 분야

구 분		항 목	적용계획/결과				부분적용/미적용시 사유 및 대체기술
			적용	부분적용	미 적용	해당없음
기본 지침
정보시스템은 사용자가 다양한 브라우저 환경에서 서비스를 이용할 수 있도록 표준기술을 준수하여야 하고, 장애인, 저사양 컴퓨터 사용자 등 서비스 이용 소외계층을 고려한 설계·구현을 검토하여야 한다.
세부 기술 지침
외부 접근 장치	o 웹브라우저 관련 - HTML 4.01/HTML 5, CSS 2.1
	- XHTML 1.0
	- XML 1.0, XSL 1.0
	- ECMAScript 3rd
	- 한국형 웹 콘텐츠 접근성 지침 2.0
	o 모바일 관련 - 모바일 웹 콘텐츠 저작 지침 1.0 (KICS.KO-10.0307)
서비스 요구사항	서비스관리(KS X ISO/IEC 20000)/ ITIL v3
서비스 전달 프로토콜	IPv4
	IPv6

 

□ 인터페이스 및 통합 분야

구 분		항 목	적용계획/결과						부분적용/미적용시 사유 및 대체기술
			적용	부분적용	미 적용		해당없음
기본 지침
o 정보시스템간 서비스의 연계 및 통합에는 웹서비스 적용을 검토하고, 개발된 웹서비스 중 타기관과 공유가 가능한 웹서비스는 범정부 차원의 공유·활용이 가능하도록 지원하여야 한다.
세부 기술 지침
서비스 통합	o 웹 서비스 - SOAP 1.2, WSDL 2.0, XML 1.0
	- UDDI v3
	- RESTful
	o 비즈니스 프로세스 관리 - UML 2.0/BPMN 1.0
	- ebXML/BPEL 2.0/ XPDL 2.0
데이터 공유	o 데이터 형식 : XML 1.0
인터페이스	o 서비스 발견 및 명세 : UDDI v3, WSDL 2.0

□ 플랫폼 및 기반구조 분야

구 분		항 목	적용계획/결과					부분적용/미적용시 사유 및 대체기술
			적용	부분적용		미 적용	해당없음
기본 지침
정보시스템 운영에 사용되는 통신장비는 IPv4와 IPv6가 동시에 지원되는 장비를 채택하여야 한다.
하드웨어는 이기종간 연계가 가능하여야 하며, 특정 기능을 수행하는 임베디드 장치 및 주변 장치는 해당 장치가 설치되는 정보시스템과 호환성 및 확장성이 보장되어야 한다.
세부 기술 지침
네트워크	o 화상회의 및 멀티미디어 통신 : H.320~H.324, H.310
	o 부가통신: VoIP - H.323
	- SIP
	- Megaco(H.248)
운영체제 및 기반 환경	o 개방형 운영 체제 및 기반환경 : POSIX
	o 무선용 운영 체계 - android
	- IOS
	- 윈도우폰7
	o 무선용 기반환경 - Java
	- Objective C
데이터베이스	o DBMS - RDBMS
	- ORDBMS
	- OODBMS
	- MMDBMS
시스템 관리	o ITIL v3 / ISO20000
소프트웨어 공학	o 모델링 : UML2.0
	o 개발프레임워크 : 전자정부 표준프레임워크

□ 요소기술 분야

구 분		항 목	적용계획/결과				부분적용/미적용시 사유 및 대체기술
			적용	부분적용	미 적용	해당없음
기본 지침
o 응용서비스는 컴포넌트화하여 개발하는 것을 원칙으로 한다.
o 데이터는 데이터 공유 및 재사용, 데이터 교환, 데이터 품질 향상, 데이터베이스 통합 등을 위하여 표준화되어야 한다.
o 행정정보의 공동활용에 필요한 행정코드는 행정표준코드를 준수하여야 하며 그렇지 못한 경우에는 행정기관등의 장이 그 사유를 행정안전부 장관에 보고하고 행정안전부의“행정기관의 코드표준화 추진지침”에 따라 코드체계 및 코드를 생성하여 행정안전부에 표준 등록을 요청하여야 한다.
o 패키지소프트웨어는 타 패키지소프트웨어 또는 타 정보시스템과의 연계를 위해 데이터베이스 사용이 투명해야 하며 다양한 유형의 인터페이스를 지원하여야 한다.
세부 기술 지침
데이터 표현	o 정적표현 : HTML 4.01
	o 동적표현 - JSP 2.1
	- ASP
	- PHP
프로그래밍	o 개방형 프로그래밍 - J2EE 5, J2SE 5.0, Java Servlet 2.5
	o 웹프로그래밍 - XML 1.0, XSL 1.1
	- RDF
	- AJAX
데이터 교환	o 교환프로토콜: - XMI 2.0
	- SOAP 1.2
	o 문자셋 - EUC-KR
	- UTF-8(단, 신규시스템은 UTF-8 우선 적용)

□ 보안 분야

구 분		항 목	적용계획/결과							부분적용/미적용시 사유 및 대체기술
			적용	부분적용			미 적용		해당없음
기본 지침
o 정보시스템의 보안을 위하여 위험분석을 통한 보안 계획을 수립하고 이를 적용하여야 한다. 이는 정보시스템의 구축 운영과 관련된“서비스 접근 및 전달”,“플랫폼 및 기반구조”,“요소기술” 및 “인터페이스 및 통합” 분야를 모두 포함하여야 한다.
o 보안이 중요한 서비스 및 데이터의 접근에 관련된 사용자 인증은 공인전자서명 또는 행정전자서명을 기반으로 하여야 한다.
세부 기술 지침
관리적 보안	o 국가정보보안기본지침(국가정보원) - 국가 사이버안전 매뉴얼
기술적 보안	o 국가용 암호 제품 대상(국정원 보안적합성 인증 필요) - PKI제품
	- SSO제품
	- 디스크․파일 암호화 제품
	- 문서 암호화 제품(DRM)등
	- 메일 암호화 제품
	- 키보드 암호화 제품
	- 하드웨어 보안 토큰
	- DB암호화 제품
	o CC제품군(국제 CC인 경우 IT 보안인증사무국의 인증 필요) - 침입차단
	- 침입탐지
	- 침입방지
	- 통합보안관리
	- 보안관리서버
	- 웹방화벽
	- DDos 대응
	- VOIP 보안
	- 무선침입방지
	- 무선랜 인증
	- 가상사설망
	- 네트워크 접근통제
	- 스팸메일차단
	- 바이러스백신
	- PC매체제어
	- PC침입차단
	- 콘텐츠보안
	- 자료유출 방지
	- 메일보안
	- 서버보안
	- DB접근 통제
	- 다중영역구분
	- 스마트카드
	- 보안USB
	- 복합기 완전삭제

< 별지 제2호 서식 >

상호운용성 등 기술평가표

 

1. 정보시스템의 상호운용성

 

가. 기술적 요구사항 정의의 적절성

세부 평가항목	검토 여부	검토내용
해당 사업을 계획하게 된 배경 및 목적을 기술하였는가?
정보화 측면의 문제점 및 기술적 개선방향을 기술하였는가?
현행시스템 구성도를 최신버전으로 기술하였는가?
현행정보시스템에 해당되는 범정부 및 기관의 기술참조모형/표준프로파일을 검토하여 현행시스템의 표준을 기술하였는가?
신규구축 또는 개선될 목표시스템의 기능/비기능(업무절차, 응용서비스, DB, 네트워크, 성능, 보안, 품질 및 전환계획 등에 대한 시스템 요구사항) 내역을 기술하였는가?
목표시스템 개념도를 기술하였는가?
목표정보시스템에 해당되는 범정부 및 기관의 기술참조모형/표준프로파일을 검토하여 목표시스템의 표준을 기술하였는가?

 

나. 타 정보시스템과의 연계성

세부 평가항목	검토 여부	검토내용
타 정보시스템과의 연계 목적 및 필요성을 기술하였는가?
연계대상 기관, 연계대상 정보시스템을 기술하였는가?
연계대상 정보시스템과의 연계 기능 및 해당 정보(전달하는 정보, 전달받는 정보)를 기술하였는가?
연계대상 정보시스템과의 연계 처리 방식 및 처리 절차를 기술하였는가?

다. 정보시스템 통합성

세부 평가항목	검토 여부	검토내용
타 정보시스템과의 통합을 위한 목적 및 필요성을 기술하였는가?
통합대상 기존 업무절차, 응용기술, 데이터 및 정보시스템을 분석․기술하였는가?
통합을 위한 목표 업무절차, 응용기술, 데이터 및 정보시스템을 분석․기술하였는가?

 

2. 정보의 공동활용

 

가. 공동활용 정보의 식별

세부 평가항목	검토 여부	검토내용
범정부EA지원시스템 또는 개별기관 EA를 통해 공동활용 데이터․서비스를 식별․기술하였는가?

 

나. 데이터 표준화

세부 평가항목	검토 여부	검토내용
공동활용 대상 데이터 연동을 위한 메타 데이터 체계, 데이터 매핑규칙 등을 기술하였는가?
행정정보 데이터베이스 표준화지침 등 국가 데이터 표준 지침을 검토하였는가?

 

다. 정보공동활용 체계 구축 및 활용

세부 평가항목	검토 여부	검토내용
공동활용 데이터․서비스의 제공기관, 주기 및 연계방식 등의 기술환경을 기술하였는가?
공동활용 데이터․서비스 구조 및 내용을 기술하였는가?
공동 활용 데이터에 대한 접근규칙, 접근권한 및 공개수준을 기술하였는가?

라. 데이터의 안전성 및 신뢰성

세부 평가항목	검토 여부	검토내용
공동활용 데이터에 대한 무결성, 일관성 확보 방안, 암호화 요건 등 보안적용방안을 기술하였는가?

 

3. 정보시스템의 효율성

 

가. 정보시스템 용량산정 및 성능

세부 평가항목	검토 여부	검토내용
현행 업무 및 시스템에 대한 용량 및 성능 관련 자료를 기술하였는가?
시스템 용량산정을 위해 정보시스템의 사용자수, 최대 동시 접속자수, 요구 응답시간, 데이터량 등을 기술하였는가?
정보시스템의 사용환경(WEB, WAS, DB 등)에 따른 시스템 용량 산정(CPU, Memory, Disk 등)을 하였는가?
향후 업무확장, 인원 및 데이터 증가 정도를 기술하였는가?

 

나. 정보시스템 운영 및 유지보수

세부 평가항목	검토 여부	검토내용
정보시스템의 운영관리 및 유지보수에 필요한 절차, 조직, 계획 및 지침 등을 기술하였는가?
정보시스템의 운영관리 및 유지보수를 위한 기술이전방안을 기술하였는가?
정보시스템 구축 후 무상유지보수 기간 및 범위를 기술하였는가?
개발산출물(최종산출물, 개발 소프트웨어)의 저작권 귀속, 양도, 이용허락 등 관련 권리관계를 구체적으로 기술하였는가?
향후 업무확장, 인원 및 데이터 증가에 따른 시스템 업그레이드의 용이성을 기술하였는가?
공급 업체의 최신 패치 제공방안 및 적용방안의 용이성을 기술하였는가?

4. 정보접근을 위한 기술적 편의성

 

가. 접근 다양성

세부 평가항목	검토 여부	검토내용
정보접근을 위한 다양한 제공방식(키오스크, 웹브라우저, 모바일 등)을 기술하였는가?

 

나. 접근 편의성

세부 평가항목	검토 여부	검토내용
장애인, 컴퓨터 이용 초보자 등 사용자 특성에 따른 접근편의성 제고방안을 기술하였는가?
시스템 사용의 편리성을 제고하기 위한 교육 및 매뉴얼 작성방안을 기술하였는가?

 

5. 정보시스템 구축․운영 기술의 적합성

 

가. 정보시스템 구축·운영 기술의 적합성

세부 평가항목	검토 여부	검토내용
정보시스템의 구축·운영 지침의 <별지 제1호 서식> 기술적용계획표를 작성 및 검토하였는가?

 

※ 작성요령

o 검토여부에는 ‘검토’, ‘해당없음’ 중 하나를 기재

o 검토내용에는 ‘검토’한 경우에는 기술적 분석사항을, ‘해당없음’인 경우에는 사유 등이 포함된 세부내용을 기재

< 별지 제3호 서식 >

 

하도급 대금지급 비율 명세서
원도급자				하도급자
사 업 명				하 도 급 사 업 명
회 사 명				회 사 명
사업기간				하 도 급 기 간
				하도급 지급대금		원
하도급 지급 대금 세부내역	구분	기술 등급	①SW 월 노임단가	②투입인력 (MM)	③MM당 하도급 대가		④지급금액 (②x③)	⑤지급비율
	MM	기술사
		특급기술자
		고급기술자
		중급기술자
		초급기술자
		합 계
상기와 같이 합의하였음을 확인합니다.   년 월 일   (원도급자) 직인   (하도급자) 직인
첨부서류 : 하도급 부문 산출 내역서

① SW 월노임단가 : SW산업협회에서 공표하는 일노임단가 × 근무일수

③ SW하도급 대가 : 원도급자가 하도급자에게 지급하는 직접인건비+제경비+기술료

⑤ 지급비율 : ∑지급급액÷∑(SW 월노임단가 × 투입인력)

< 별지 제4호 서식 >

OOO사업 제안서평가 결과

 

□ 평가위원 : OOO1 위원

 

□ 평가점수

평가부문	입찰참가업체				비 고
	A	B	C	.....
XX부문
YY부문
∶
∶
∶
∶
합 계

< 별지 제5호 서식 >

 

정보화사업 착수계
사 업 명
계 약 번 호		계약년월일	년 월 일
계 약 금 액
계약수행기간	년 월 일 ~ 년 월 일
위의 사업의 착수계와 붙임서류를 제출합니다.     년 월 일 붙 임 : 1. 사업책임자계 1부 2. 사업수행계획서 1부 3. 청렴서약서 1부           사 업 자 직인     oooo장 귀하

사 업 책 임 자 계
사 업 명
계 약 번 호		계약금액
계약수행기간	년 월 일 ～ 년 월 일
위의 사업에 대하여 당사의 사업책임자를 아래와 같이 선정하고, 계약업무에 관한 일체의 업무를 위임 하였기에 책임자계를 제출합니다.     사업책임자 성 명 : 인 직 위 :     년 월 일     사 업 자 직인           oooo장 귀하

청렴 서약서   당사는「부패 없는 투명한 기업경영과 공정한 행정」이 사회발전과 국가 경쟁력에 중요한 관건이 됨을 깊이 인식하며, 국제적으로도 OECD뇌물방지 협약이 발효되었고 부패기업 및 국가에 대한 제재가 강화되는 추세에 맞추어 청렴계약 취지에 적극 호응하여 조달청에서 발주하는 모든 공사, 물품 및 용역 등의 입찰에 참여할 때 당사 및 하도급업체(하도급업체와 직ㆍ간접적으로 업무를 수행하는 자를 포함)의 임직원과 대리인은   1. 입찰가격의 유지나 특정인의 낙찰을 위한 담합을 하거나 다른 업체와 협정, 결의, 합의하여 입찰의 자유경쟁을 부당하게 저해하는 일체의 불공정한 행위를 않겠습니다.   2. 입찰, 낙찰, 계약체결 또는 계약이행과정(준공 이후도 포함)에서 관계공무원에게 직ㆍ간접적으로 금품ㆍ향응 등의 부당한 이익을 제공하지 않겠으며, 그러한 사실이 드러날 경우에는 계약체결 이전의 경우에는 낙찰자 결정 취소, 계약이행 전에는 계약취소, 계약이행 이후에는 해당 계약의 전부 또는 일부계약을 해제 또는 해지하여도 감수하겠습니다.   3. 회사 임ㆍ직원이 관계 공무원에게 금품, 향응 등을 제공하거나 담합 등 불공정 행위를 하지 않도록 하는 회사윤리강령과 내부비리 제보자에 대해서도 일체의 불이익처분을 하지 않는 사규를 제정토록 노력하겠습니다.   위 청렴계약 서약은 상호신뢰를 바탕으로 한 약속으로서 반드시 지킬 것이며, 낙찰자로 결정될 시 본 서약내용을 그대로 계약특수조건으로 계약하여 이행하고, 입찰참가자격 제한, 계약해지 등의 조치와 관련하여 당사가 손해배상을 청구하거나 당사를 배제하는 입찰에 관하여 민ㆍ형사상 어떠한 이의도 제기하지 않을 것을 서약합니다.   년 월 일   서 약 자 : ○○○회사 대표 ○○○ (인)   oooo장 귀하

 

 

 

사 업 수 행 계 획 서

 

 

 

 

사 업 명

 

 

 

 

 

 

 

년 월 일

 

 

 

 

 

 

 

 

 

(사 업 자)

 

 

목 차

 

 

1. 사 업 명

2. 사업기간

3. 사업목적

4. 사업범위

5. 사업추진체계

6. 사업추진절차

7. 산출물계획

8. 일정계획

9. 공정별 투입인력계획

10. 보고계획

11. 표준화계획

12. 품질보증계획

13. 위험관리계획

14. 보안대책

15. 교육계획

16. 발주기관 협조요청사항

1. 사 업 명

◎ 작성요령 : 계약서상의 사업명을 기입

 

2. 사업기간

◎ 작성요령 : 계약서상의 계약기간을 기입

 

3. 사업목적

◎ 작성요령 : 제안요청서상의 과제의 추진배경 및 목적을 기입

 

4. 사업범위

 

가. 개발대상업무

◎ 작성요령 : 제안요청서상의 업무범위를 근거로 작성

 

나. 개발 및 운영환경

◎ 작성요령 : - 소프트웨어, 하드웨어, 네트워크, 기타로 나누어 기술적인 사항을 개발기간 중과 개발 후 운영단계로 나누어 세부적으로 기술 - “정보시스템　구축․운영 지침”을 준수하여 기술

 

다. 기 타

◎ 작성요령 : 인터페이스 관련사항, 표준화, 업무절차재구축, 초기자료구축 등 가, 나에 기술되지는 않았지만 업무의 범위를 정하는데 필요한 사항을 기술

 

5. 사업추진체계

 

가. 총괄추진체계

◎ 작성요령 : 제안요청서를 근거로 발주기관과 협의하여 작성하되 발주기관의 검사 및 감독담당자가 명시되어야 함

나. 사업자 추진체계

 

- 사업자 조직도

 

◎ 작성요령 : 컨소시엄으로 구성된 경우 컨소시엄간 역할 및 업무분장이 명시되어야 함 ※ 분리발주된 SW공급자와의 협력방안을 기술

 

용역책임자

OO팀

OO팀

사업관리자

OO팀

- 업무분장

구 분	성 명	주 요 임 무

※ 공동수급체를 구성한 경우, 구성원별 이행부분이 구분될 수 있도록 작성(형식적인 공동수급체 구성을 방지하기 위함: 공동계약운용요령(기획재정부, 계약예규) 참조)

 

- 참여인력 총괄표 ('인력투입방식'에 의한 계약부분에 대해서만 작성)

◎ 작성요령 : - 참여인력 총괄표의 참여인력은 주사업자를 비롯한 컨소시엄 참여업체 및 소프트웨어산업진흥법에 따라 승인을 받은 하도급 업체에 한함

성 명	소 속	담당업무	등급(투입율)	총투입M/M

※ 투입율은 특별히 인정되는 경우를 제외하고는 100%를 원칙으로 함

※ 총투입M/M는 투입율 * 사업기간(월)으로 산정함

6. 사업추진절차

단계명 (phase)	세그먼트명 (segment)	단위업무명 (task)	수 행 업 무	산 출 물	비 고

※ 기술용역개발사업의 경우 개발방법론을 사용한다.

 

7. 산출물계획

◎ 작성요령 - 산출물을 명기하고 산출물 제출일정, 제출부수 등의 제출계획을 기술

 

8. 일정계획

구 분	M				M+1				M+2																M+n				비 고
	1	2	3	4	1	2	3	4	1	2	3	4													1	2	3	4

◎ 작성요령 : 구분은 단위업무(task)를 기입 - 주간단위로 작성하며, 기간은 막대형태로 표기

 

9. 공정별 투입인력계획

(단위 : M/M)

작업단계명 (TASK)	시작일～ 종료일	특급 기술자	고급 기술자	중급 기술자	초급 기술자	고급 기능사	중급 기능사	초급 기능사	계
계
비고

◎ 작성요령 : - 사업자가 투입인력계획을 제안서에 명시한 사업의 경우 작성 - 세로(작업단계별)계 : 투입등급별 M/M 합계 - 가로(투입등급별)계 = 작업단계별 M/M 합계

10. 보고계획

◎ 작성요령 : 주간, 월간, 단계별 보고를 포함하여 품질보증활동보고, 위험관리현황보고 등 전체적인 보고계획을 수립

 

11. 표준화계획

 

1) 표준화 항목

◎ 작성요령 : 아래 표준화 항목에 맞는 사업수행내역을 내역란에 기술 - 해당항목에 대한 사업수행내역이 없는 경우, <해당사항 없음> 으로 명시

구 분	항 목		내 역
행정 업무표준	업무	업무처리 절차
		업무처리에 필요한 정보항목
	정보 (데이터/코드)	업무용 코드/행정업무용 표준코드
		각종 서식
		정보공동활용에 필요한 연계 정보항목 및 연계 절차
	사업 관리	사업 관리, 유지보수, 평가 등에 대한 지침 및 규정
공통 서비스	공통서비스 대상발굴
	사용자디렉토리 (LDAP)
	통합인증
	민원안내
	민원발급
	민원서식
	전자지불
	본인확인
	웹서비스 등록저장소 (UDDI)
	단방향문자서비스 (SMS)

2) 정보화기반표준

◎ 작성요령 : - “정보시스템 구축․운영 지침”에 따라 상호운용성에 대한 평가를 실시하고 기술평가 검토서식을 작성․제출 - “정보시스템 구축․운영 지침” 기술적용계획표를 작성하고 준수

 

3) 행정정보데이터베이스 표준화 지침

◎ 작성요령 : - 행정정보데이터베이스 표준화 지침(행정안전부 고시 제2008-47호) 별지 서식에 따라 작성

 

4) 전자정부서비스 호환성 준수지침

◎ 작성요령 : - 전자정부서비스 호환성 준수지침(행정안전부 고시 제2010-40호)에 따른 웹호환성 확보에 대한 준수계획을 서술 ※ 한국형 웹 콘텐츠 접근성 지침2.0(TTA, 2009.12.22)을 참조하여 콘텐츠 제작시 활용

 

12. 품질관리계획

◎ 작성요령 : 품질목표, 추진체계, 내용, 품질보증절차 등을 제시

 

13. 위험관리계획

◎ 작성요령 : 위험관리목표, 추진체계, 절차 등을 제시

 

14. 보안대책

◎ 작성요령 : 생성된 문서의 보관, 통신보안, 시스템 보안 등의 보안대책과 개인정보보호 대책을 제시 “소프트웨어 개발보안 가이드” 준수를 위한 종합적인 대책 제시(개발자 교육, 시큐어 코딩 및 보안취약점 진단․보완조치 등)

 

15. 교육계획

◎ 작성요령 : 사업 완료이전, 이후를 포함한 모든 제공 교육에 대한 과목, 일정, 대상, 기간, 교육내용 및 지원사항을 기술

 

16. 발주기관 협조요청사항

◎ 작성요령 : 사업자의 입장에서 사업수행을 위해 필요한 사항 중 발주기관에서 조치해야 하는 사항을 기술(예 : 출입조치, 작업장소, 자료조사협조 등)

보 안 서 약 서   본인은 0000년 00월 00일부로 (정보시스템 포함)과 관련한 업무(연구개발, 제작, 입찰, 기타)를 수행함에 있어 다음 사항을 준수할 것을 엄숙히 서약합니다. 1. 나는 행정안전부 00000사업(정보시스템 포함)과 관련된 소관업무가 국가기밀 사항임을 인정하고 제반 보안관계규정 및 지침을 성실히 준수한다. 2. 나는 이 기밀을 누설함이 국가이익을 침해할 수도 있음을 인식하고 재직 중은 물론 퇴직 후에도 알게 된 모든 기밀사항을 일체 타인에게 누설하지 아니한다. 3. 나는 기밀을 누설한 때에는 아래의 관계법규에 따라 엄중한 처벌을 받을 것을 서약한다. 가. 전자정부법 제35조(금지행위) 및 제76조(벌칙)     년 월 일   서약자 소속 직급 생년월일 직위 성 명 인 서 약 소속 직급 집행자 직위 성 명 인