제 안 요 청 서
|
과 제 명 |
2014년도 KISTEP 정보보안 인프라 개선 사업 |
|
주관기관 |
한국과학기술기획평가원 |
2014. 10. 28
|
사업 책임자 |
성명 |
전승수 |
연락처 |
윤은엽 (계약) |
Tel : 02- 589- 2875 |
|
E- mail : yyy@kistep.re.kr |
|||||
|
부서 |
지식정보실 |
Fax : 02- 589- 2228 |
|||
|
권정은 |
Tel : 02- 589- 2946 |
||||
|
직위 |
실장 |
E- mail : jekwon@kistep.re.kr |
|||
|
Fax : 02- 589- 2870 |
목 차
1. 사업 개요1
가. 추진배경 및 필요성1
나. 추진 목적1
다. 사업범위2
라. 도입품목3
마. 기대효과4
2. 일반 현황5
가. 관련 시스템 현황(관련 시스템 수정완료)5
3. 사업 추진 방안7
가. 추진전략7
나. 추진체계 및 역할8
다. 추진일정9
4. 제안요청 내용10
가. 제안요청 개요10
나. 목표시스템 구성도10
다. 도입 솔루션 사양 및 수량(상세내용 수정 완료)11
라. 세부 요구사항(정리)13
[별첨1] 사업수행자 보안조치사항37
[별첨2] 보안 위약금 부과 기준39
[별첨3] 위규 처리기준40
[별첨4] 누출금지 대상 정보42
- 2 -
1. 사업 개요
가. 추진배경 및 필요성
개인정보보호법 개정에 따라 개인정보보호 관리체계 강화 요구가 증가하고 있으며 이에 대외서비스 홈페이지에 개인정보 관리 기능 강화 필요
시스템별 발생하는 통합 로그관리 부재 및 정보자원의 낭비로 로그를 통합적으로 관리하고 모니터링 할 수 있는 관리체계 구축 필요
원내 서버의 증가로 인한 계정정보의 중앙 집중 관리 필요
기존 데이터백업 장비 제품의 단종으로 인한 유지보수, 부품수급의 불가 및 데이터 백업 용량 부족으로 증설 필요
나. 추진 목적
사이버 침해사고 대응 능력 향상을 위한 정보보호 관리 시스템 구축
- 개인정보의 생명주기(수집, 저장, 제공, 파기)에 따른 개인정보의 체계적 관리, 오·남용 및 대량 노출 방지를 위한 개인정보 종합관리 시스템 구축
통합로그 및 계정관리 시스템 구축
- 분산된 다수의 시스템에서 발생하는 모든 로그의 수집·저장과 효율적인 중앙통합관리가 가능한 통합로그관리 시스템 구축
- 전산관리자의 시스템 접근에 대해 사용자 인증, 행위 감사, 명령어 통제, 접근통제 기능을 수행 하여 효율적인 시스템관리 체계 구축(추가)
정보서비스 운영 효율화를 위한 노후장비 교체 및 신규 백업 시스템 구축
- 백업 어플리케이션 데이터의 백업·복구를 위한 VTL(Virtual Tape Library) 디스크기반 백업장비 교체
- 기존 LTO(Linear Tape- Open)백업장비와 연동을 통한 백업 이중화
- 메일시스템의 실시간 메일 백업 및 복구, 검색기능 강화를 통한 메
- 1 -
일 시스템 고도화
다. 사업 범위
개인정보 접속 기록 관리 솔루션 도입
- 대외 서비스 되고 있는 홈페이지 내 개인정보 접근 권한, 접속 로그 등의 체계적 관리를 위한 개인정보 종합관리 시스템 구축
통합 시스템로그 관리 솔루션 도입
- 분산된 시스템(서버, 네트워크, 보안장비) 에서 발생하는 모든 로그의 효율적인 수집 저장 및 중앙통합관리를 위한 시스템 구축
통합 시스템계정관리 솔루션 도입
- 주요 업무 서버 내 접근권한관리 및 역할기반 접근통제
데이터 백업장비 VTL(Virtual Tape Library) 교체
- 디스크 용량 부족으로 인한 백업중단 및 백업 어플리케이션 데이터의 백업·복구를 위한 VTL 백업장비 교체
기 도입되어 사용 중인 백신, 좀비탐지, 압축 프로그램의 라이센스 갱신(1년)
웹메일 아카이브(archive) 솔루션 도입
- 메일시스템의 검색기능 강화 및 실시간 메일 백업 및 복구를 위한 메일 아카이브 솔루션 도입
- 2 -
라. 도입품목
|
분류 |
구분 |
규격 |
수량 |
|
개인정보 접속 기록 관리 솔루션 |
H/W |
∙ 개인정보 접속기록 Manager Server |
1대 |
|
S/W |
∙ 상용 DBMS 5user License(인프라 S/W) |
1식 |
|
|
∙ 개인정보관리대상 Was용 client Agent S/W License |
8식 |
||
|
∙ 개인정보접속기록관리 Manager S/W License |
1식 |
||
|
통합 시스템로그 관리 솔루션 |
H/W |
∙ 통합 로그 관리용 Manager Server(Appliance) |
1대 |
|
S/W |
∙ 서버용 로그 agent S/W License |
20식 |
|
|
∙ 네트워크장비 로그 agent S/W License |
2식 |
||
|
∙ 보안장비 로그 agent S/W License |
2식 |
||
|
통합 시스템계정관리 솔루션 |
H/W |
∙ 통합시스템 계정관리 Manager Server |
1대 |
|
S/W |
∙ 통합시스템계정관리 서버용 agent S/W License |
26식 |
|
|
∙ 통합시스템계정관리 Manager S/W License |
1식 |
||
|
데이터 백업장비 |
H/W |
∙ 데이터백업용 VTL(Virtual Tape Library)장비 (Usable 11T 이상) |
1대 |
|
서버랙 (server Rack) |
H/W |
∙ 42U 표준 서버랙 (전원분배장치 이중화) |
1대 |
|
메일아카이브 솔루션 |
S/W |
∙ 메일 백업, 복구, 검색 가능한 메일아카이브 S/W |
1식 |
|
백신, 좀비탐지 시스템 라이센스 |
S/W |
∙ 백신 중앙관리 서버 라이센스(1년) |
1식 |
|
∙ PC용 백신 소프트웨어 라이센스(1년) |
300식 |
||
|
∙ 서버용 백신 소프트웨어 라이센스 (1년) |
10식 |
||
|
∙ 좀비PC 탐지 및 제거 시스템 소프트웨어 라이센스(1년), 유지보수 포함 |
1식 |
||
|
PC통합 유틸리티 라이센스 |
S/W |
∙ PC 사용자용 통합 유틸리티(압축, 파일뷰어 등) 라이센스(1년) |
300식 |
- 3 -
마. 기대효과
개인정보 생명주기(수집·저장·이용 및 활용·폐기)에 따른 개인정보의 체계적 관리와 오남용 및 대량노출사고 예방 처리 제공
시스템 로그에 대한 위·변조 방지 및 로그분석, 모니터링 기능 지원으로 실시간 보고체계 확립
데이터 백업 저장공간 확보로 타 업무 서비스 속도 향상, 안정화 및 정보보안 사고에 효과적인 대응
이메일 데이터의 백업 및 검색, 복구기능 강화로 인한 신뢰성 및 업무 편의성 향상
- 4 -
2. 일반 현황
가. 시스템 현황
※ 본 사업의 수행에 필요한 원내 정보시스템 현황으로 사업 제안에 필요하다고 판단되는 부가적인 내용은 이메일을 통해 질의·답변
- 개인정보접속기록솔루션 적용대상 웹사이트 목록
|
순번 |
업무기능 |
웹사이트명 |
URL |
개인정보 접속기록 적용대상 |
|
1 |
대국민용(외부) |
대표 홈페이지 |
www.kistep.re.kr |
○ |
|
2 |
대국민용(외부) |
과학기술정책동향 |
www.now.go.kr |
○ |
|
3 |
대국민용(외부) |
과학기술정책의 과학화기반 |
www.ikistep.re.kr |
○ |
|
4 |
대국민용(외부) |
기술예측 |
foresight.kistep.re.kr |
○ |
|
5 |
대국민용(외부) |
규제개선고 |
www.regulationfree.or.kr |
○ |
|
6 |
대국민용(외부) |
과학기술- 사회문제해결 |
www.bettersolutions.or.kr |
○ |
|
7 |
대국민용(외부) |
예비타당성 |
fac.kistep.re.kr |
○ |
|
8 |
업무용(내부) |
행정정보 |
mis.kistep.re.kr |
○ |
- 시스템 현황
|
순번 |
시스템명 |
제품명 |
비고 |
|
1 |
데이터 백업장비(LTO) |
Quantum Scalar i500 Quantum Scalar i40 |
|
|
2 |
메일솔루션 |
깨비메일 V5.0 |
|
|
3 |
백신, 좀비탐지 시스템 |
AhnLab V3 IS 9.0 & APC 4.0 AhnLab V3 net 9.0 & APC 4.0 |
|
|
4 |
PC통합 유틸리티 |
Estsoft altools 9.0 |
|
|
5 |
서버랙 (server Rack) |
APC NetShelter SX Intelligent Package - AR3100 RACK |
- 5 -
- 통합시스템계정관리 및 통합로그 적용대상 목록
|
구 분 |
용도 |
모델 |
OS |
통합계정관리 |
통합로그 |
|
서버 |
전자결재 |
IBM P6- 570 |
AIX 5.3 |
○ |
○ |
|
경영정보 |
IBM P6- 570 |
AIX 5.3 |
○ |
○ |
|
|
전자문서관리 |
IBM P6- 570 |
AIX 5.3 |
○ |
○ |
|
|
기관웹 |
IBM P6- 570 |
AIX 5.3 |
○ |
○ |
|
|
전자결재DB |
IBM P6- 550 |
AIX 5.3 |
○ |
○ |
|
|
경영정보DB |
IBM P6- 550 |
AIX 5.3 |
○ |
○ |
|
|
기관웹DB |
IBM P6- 550 |
AIX 5.3 |
○ |
○ |
|
|
K2WEB |
SUN T5120 |
solaris 10 |
○ |
○ |
|
|
K2WAS |
IBM P720 |
AIX 6.1 |
○ |
○ |
|
|
대량메일서버 |
IBM P720 |
AIX 5.3 |
○ |
○ |
|
|
메일서버 |
HP DL380 G7 |
solaris10 X86 |
○ |
○ |
|
|
대외서비스WAS |
IBM P730 |
AIX 5.3 |
○ |
○ |
|
|
K2DB |
SUN T5240 |
solaris 10 |
○ |
○ |
|
|
스팸메일방지서버 |
HP DL380 G7 |
Centos 5.5 |
○ |
○ |
|
|
K2검색 |
HP DL380 G7 |
Centos 5.5 |
○ |
○ |
|
|
securedisk |
HP DL380 G7 |
Redhat 5.6 |
○ |
○ |
|
|
internetdisk |
HP DL380 G7 |
Redhat 5.6 |
○ |
○ |
|
|
SSO인증서버 |
HP DL360 G7 |
windows 2008 |
○ |
○ |
|
|
spotfire |
HP DL380 G7 |
windows 2008 |
○ |
|
|
|
문서관리 |
HP DL380 G7 |
windows 2008 |
○ |
|
|
|
문서관리DB |
HP DL380 G7 |
centos 5.5 |
○ |
|
|
|
통합관제 |
HP DL380 G7 |
windows 2008 |
○ |
|
|
|
통합보안관제 |
SUN T5220 |
solaris 10 |
○ |
|
|
|
백업서버 |
SUN T2000 |
solaris 10 |
○ |
○ |
|
|
DMZ 백업 |
SUN X4450 |
solaris 10 X86 |
○ |
○ |
|
|
K2웹크롤러 |
HP DL380 G7 |
windows 2008 |
○ |
||
|
네트워크 |
연구망 스위치 |
cisco WS- C3750G |
○ |
||
|
백본 스위치 |
cisco WS- C6506- E |
○ |
|||
|
보안장비 |
방화벽 |
secui MF2 |
○ |
||
|
IPS |
Sniper ne2000 |
○ |
- 6 -
3. 사업 추진 방안
가. 추진전략
원내 정보보안지침 및 정책을 기반으로 사업 추진
- 원내 각종 정보보안 지침 및 정보시스템 보안관리 매뉴얼에 따라 사업 수행
국정원 암호화 알고리즘을 적용한 암호화 제품 사용
- 암호화 알고리즘이 존재하는 경우 국정원 인증 암호화 알고리즘을 사용하여 보안적합성에 문제가 없도록 추진
※ 국정원 검증필 암호모듈은 암호검증기준(KS X ISO/IEC 19790)에서 제시하는 알고리즘으로 암호화된 모듈
개인정보 접속 로그 관리시스템 및 통합로그 관리 시스템은 향후 기존 정보시스템 및 장비/서버의 확장을 고려하여 추진
데이터 백업장비(VTL)는 기존 사용중인 백업라이브러리(LTO)와 자동 분산 백업 연동이 고려하여 추진
기존 메일시스템과의 호환성을 고려한 아카이브 솔루션 도입으로 시스템 변경이 최소화 되도록 추진
- 7 -
나. 추진체계 및 역할
추진조직 구성도
|
한국과학기술기획평가원 |
|||||||
|
보안심사위원회 |
|||||||
|
평가분석본부 (정보보안책임관) |
|||||||
|
지식정보실 (정보보안담당관) |
국가정보원 |
||||||
|
사업 수행자 |
시스템 구축 담당자 (정보보안 담당자) |
유지보수 담당자 |
|||||
구성 및 주요 기능
|
구 분 |
주요 업무 내용 |
비 고 |
|
지식정보실 (주관 부서) |
○ 사업계획 및 사업추진 총괄 - 사업자 선정 - 사업추진과 관련한 주요 의사결정 - 사업진도 관리 및 성과물 검토 - 사업진척에 따른 단계별 보고 및 행정조치 - 검사‧검수 및 인수 총괄 - 유지‧보수 및 운영 등 후속조치 |
|
|
유지보수 담당자 |
○ 시스템구성 및 구축 지원 |
|
|
국가정보원 (보안성 검토) |
○ 동 사업과 관련한 자문 및 조언 ○ 보안성 검토 및 인증 |
|
|
사업자 (사업 수행자) |
○ 시스템 제안 및 납품, 인프라 구축 및 개발 ○ 운영교육, 유지보수 및 운영지원 ○ 기타 주사업자로서의 업무 수행 |
- 8 -
다. 추진일정
구축 기간 : 계약일로부터 ~ 12.15일
|
구분 |
사업 추진 일정 |
||||
|
1W~ |
3W~ |
5W~ |
6W |
||
|
개인정보 접속 기록 관리 솔루션 |
기반환경 분석/설계 |
|
|
|
|
|
시스템 구축 |
|
|
|
|
|
|
테스트 및 안정화 |
|
|
|
|
|
|
통합 시스템로그 관리 솔루션 |
기반환경 분석/설계 |
|
|
|
|
|
시스템 구축 |
|
|
|
|
|
|
테스트 및 안정화 |
|
|
|
|
|
|
통합 시스템계정관리 솔루션 |
기반환경 분석/설계 |
|
|
|
|
|
장비교체 |
|
|
|
|
|
|
데이터 백업장비 (VTL) |
기반환경 분석/설계 |
||||
|
시스템 구축 |
|||||
|
테스트 및 안정화 |
|
||||
|
서버랙 (server Rack) |
기반환경 분석/설계 |
|
|
|
|
|
장비교체 |
|
|
|
|
|
|
메일 아카이브 솔루션 |
기반환경 분석/설계 |
||||
|
시스템 구축 |
|||||
|
테스트 및 안정화 |
|
||||
|
백신, 좀비탐지 시스템 라이센스 |
기반환경 분석/설계 |
||||
|
시스템 구축 |
|||||
|
테스트 및 안정화 |
|
||||
|
PC 통합 유틸리티 라이센스 |
기반환경 분석/설계 |
||||
|
시스템 구축 |
|||||
|
테스트 및 안정화 |
|
||||
※ 사업추진 일정은 기관 사정에 따라 변경 가능
- 9 -
4. 제안요청 내용
가. 제안요청 개요
|
● 사 업 명 : 2014년도 KISTEP 정보보안 인프라 개선 사업 ● 사업기간 : 계약일로부터 ~ 2014.12.15일 ● 사업비용 : 271,000천원(VAT 포함) |
나. 목표시스템 구성도
- 10 -
다. 도입 솔루션 사양 및 수량
|
분류 |
구분 |
세부 규격 |
수량 |
|
개인정보 접속 기록 관리 솔루션 |
H/W |
∙ 개인정보 접속기록 Manager Server - CPU: Intel Xeon 2.4GHz(4Core) * 2 이상 - MEM: 32GB 이상 - DISK: Usable 4TB 이상 |
1대 |
|
S/W |
∙ 상용 DBMS (5user License) - Unix,Linux,Windows OS 플랫폼 지원 - SQL 작업 수행시 병렬처리 기능 지원 - 데이터 요약 기능 제공 (Materialized View) - 사용자 실수에 의한 데이터 삭제로부터 복구 가능한 기능 제공 (Flashback) - 데이터 복제를 통한 재난 복구 기능 제공 - PL/SQL and Java Server Pages 가능 - Multi table Insert가능 - External File System 지원 - Unicode (UTF- 16)지원 - 온라인 백업 및 복구 기능 - JDBC 표준지원 - 표준SQL,보안기능 |
1식 |
|
|
∙ 개인정보관리대상 Was용 client Agent S/W License |
8식 |
||
|
∙ 개인정보접속기록관리 Manager S/W License |
1식 |
||
|
통합 시스템로그 관리 솔루션 |
H/W |
∙ 통합 로그 관리용 Manager Server(Appliance) - CPU : Intel Xeon 2.4Ghz(4Core) *1 이상 - MEM : 32GB - HDD : 4TB(RAID5) - Performance : 30,000 EPS |
1대 |
|
S/W |
∙ 서버용 로그 agent S/W License |
20식 |
|
|
∙ 네트워크장비 로그 agent S/W License |
2식 |
||
|
∙ 보안장비 로그 agent S/W License |
2식 |
||
|
통합 시스템계정관리 솔루션 |
H/W |
∙ 통합시스템 계정관리 Manager Server - CPU : Quar- core 2.40GHz 이상 - MEM : 16GB 이상 - HDD : 500GB HDD * 2 이상 (SAS) - NIC : Gigabit Ethernet Adapter 100/1000 2Port 이상 - OS : Linux - DBMS: Mysql |
1대 |
|
S/W |
∙ 통합시스템계정관리 서버용 agent S/W License |
26식 |
|
|
∙ 통합시스템계정관리 Manager S/W License |
1식 |
||
|
데이터 백업장비 |
H/W |
∙ 데이터백업용 VTL(Virtual Tape Library)장비 - 가용량 11TB 이상 (중복제거 저장 공간 기준) - CPU : 8 Core 이상 제공 - MEM : 32GB 이상 제공 (최대 96GB 확장 지원) - 백업최대성능 : 5TB/h 이상의 속도 지원 - HDD: RAID6 구성, Disk Shelf당 1개이상의 Spare Disk제공 - 디스크 타입: 3TB 이상 NL- SAS Disk 제공 - 호스트 채널용 인터페이스 : 8Gb FC * 2포트 이상 - 네트웍 인터페이스 : 10GbE 2포트 이상 제공 |
1대 |
|
서버랙 (server Rack) |
H/W |
∙ 19인치 표준 서버랙 (42U) - Rack 전원분배장치(PDU) 수직형 2개 포함 - 전원 및 Rack Mount Kit - 기도입된 서버랙과 동일형태 및 호환성 유지 |
1대 |
|
메일아카이브 솔루션 |
S/W |
∙ 메일 백업, 복구, 검색 가능한 메일아카이브 S/W - 실시간 자동백업, 검색, 메일복구, 검색엔진(발신자, 수신자, 제목, 본문내용, 첨부파일명) - 원내 메일시스템과 호환성 보장 - 메일 데이터 마이그레이션 - 원내 포털시스템과 연동 구현 |
1식 |
|
백신, 좀비탐지 시스템 라이센스 |
S/W |
∙ 백신 중앙관리 서버 라이센스(1년) |
1식 |
|
∙ PC용 백신 소프트웨어 라이센스(1년) |
300식 |
||
|
∙ 서버용 백신 소프트웨어 라이센스 (1년) |
10식 |
||
|
∙ 좀비PC 탐지 및 제거 시스템 소프트웨어 라이센스(1년), 유지보수 포함 |
1식 |
||
|
PC통합 유틸리티 라이센스 |
S/W |
∙ PC 사용자용 통합 유틸리티(압축, 파일뷰어 등) 라이센스(1년)` |
300식 |
- 11 -
라. 세부 요구사항
|
구분 |
번호 |
요구사항 명칭 |
비고 |
|
시스템 및 장비구성 요구사항 |
ECR- 001 |
전산장비 정보시스템 개요 및 기능 목록(공통) |
|
|
ECR- 002 |
개인정보 접속 기록 관리 솔루션 |
||
|
ECR- 003 |
통합 시스템로그 관리 솔루션 |
||
|
ECR- 004 |
통합 시스템계정관리 솔루션 |
||
|
ECR- 005 |
데이터 백업장비(Virtual Tape Library) |
||
|
ECR- 006 |
19인치 표준 서버랙 |
||
|
ECR- 007 |
메일 아카이브 솔루션 |
||
|
ECR- 008 |
백신, 좀비탐지시스템 |
||
|
ECR- 009 |
PC통합 유틸리티 |
||
|
성능 요구 사항 |
PER- 001 |
안정적인 성능 제공 |
|
|
테스트 요구 사항 |
TER- 001 |
최종 검사 |
|
|
보안 요구 사항 |
SER- 001 |
보안지침 이행 |
|
|
품질 요구 사항 |
QUR- 001 |
품질 관리 방안 |
|
|
제약 사항 |
COR- 001 |
저작권, 특허권 보호 |
|
|
프로젝트 관리 요구 사항 |
PMR- 001 |
사업 수행 관리 |
|
|
프로젝트 지원 요구 사항 |
PSR- 001 |
시스템 운영과 안정화를 위한 기술지원 |
|
|
PSR- 002 |
기술 이전 및 교육 지원 |
||
|
유지관리 수행 요구 사항 |
MAR- 001 |
유지관리 지원 |
- 12 -
시스템 및 장비구성 요구사항
|
요구사항 고유번호 |
ECR- 001 |
||
|
요구사항 명 |
전산장비 정보시스템 개요 및 기능 목록(공통) |
||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 도입되는 모든 H/W 및 S/W는 적절한 자동 장애 복구기능을 제공하고, 장애발생시 관리자 통보 및 복구시간을 최소화하는 유연한 시스템 구현 - 효율적인 목표시스템 구성방안 추가 제시 가능하며, 관련 비용은 사업수행자가 부담 - 도입되는 장비(H/W, 상용S/W 및 N/W 등)는 기 운영 중인 시스템들과 원활한 연계가 가능하여야 하고, 향후 확장 가능하도록 구축 - 보안관련 H/W 및 S/W 도입 시 국정원 보안적합성 검증 및 국가정보원 홈페이지의 “국가기관 도입가능 제품”에 있는 제품을 도입 - 필요한 경우 기존 시스템에 대한 이전, 환경 설정, 최적화, 케이블 및 전원 등 제안요청서에 명시되지 않은 사항에 대해서도 사업수행자 부담으로 구축‧지원 - 제안하는 시스템의 H/W 및 OS는 안정성이 확인된 최신 사양 및 버전이어야 하며, 향후 사용자의 급격한 증가에 대비하여 시스템 구성 체계를 변경하지 않고 시스템의 호환성 및 확장성을 제공하여야 함 - 제안된 상용 S/W에 대해서는 제안 S/W 기능‧성능이 사업추진 과정에서 미흡하다고 판단될 경우 사업수행자 주관으로 BMT 등을 거쳐 기능‧성능을 평가하고, 비용 등의 자원 추가 투입 없이 타 우수제품을 도입해야 함 - 1년 이내에 최신 제품이 출시된 경우, 해당 제품으로 업그레이드 해야 함 - 기 보유장비(활용 또는 유휴)를 최대한 활용할 수 있는 방안을 강구하여야 하며, 구조‧기술‧조직 등 다양한 측면에서 효율적인 이용방안을 제시하여야 함 - 모든 데이터의 자료 전송은 안전한 보안채널을 통해 통신할 수 있도록 환경 구현 - 모든 도입 장비는 표준 랙(Rack)에 장착되어야 함 |
||
- 13 -
|
요구사항 고유번호 |
ECR- 003 |
||||||||||||
|
요구사항 명 |
통합 시스템로그 관리 솔루션 |
||||||||||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
||||||||||
|
요구사항 상세내용 |
○ 요구사항 및 수량
※ 사업금액 범위내에서 최적의 HW환경 제안 ○ 세부 구성 방안 - 실시간 원본로그 수집 및 저장 기능 제공 - 서버 CPU 부하율에 따라 Agent 로그 전송량 조절 기능 제공 - Agent SEED 암호화 로그 전송 기능 제공 - snmptrap, snmpget, syslog 을 통한 네트워크 로그수집 기능 제공 - Agent 설치 없이 ftp, ftps, sftp, scp 수집 지원 - 스토리지 SOFT WORM 기능으로 수집 로그 데이터의 위변조 방지 기능 제공 - CIFS, NFS 프로토콜 지원 백업 스토리지 연동 및 자동 백업 기능 제공 - 원본 로그 압축 저장 기능 제공 - 원본 로그 HASH 생성 및 검증 기능 제공 - 일정 기간이 지나거나, 스토리지 용량이 임계치에 도달할 경우 오래된 원본 로그 삭제 기능 제공 - 로그 사용자 정의 기능으로 신규 로그 형식 분석 지원 - 정형, 비정형, 바이너리 타입의 로그 분석 기능 제공 - 이기종의 다양한 로그에 대해 시간흐름분석 기능 제공 - 검색 결과 excel export 기능 제공 - 사용자 검색 쿼리에 AND, OR, <, >, =, != 등 논리 연산 기능 제공 - 분석, 검색 조건 및 결과 저장/불러오기 기능 제공 - 실시간 룰 기반 상관관계 분석 및 탐지 기능 제공 - 사용자 인터렉티브 분석 체인 기반 비정형 연관분석 기능 제공 - 리포트 자동생성 기능 제공 - excel, hwp, pdf 등 다양항 리포트 포맷 저장 지원 - 사용자 정의 모니터링 대시보드 기능 제공 · 사용자 개별의 다수 대시보드 정의 가능 - 테이블, 파이차트, 바차트, 타임라인 등의 분석 대시보드 차트 제공 - 로그 보관 관련 보안 컴플라이언스 가이드 제공 및 보관 로그 무결성 보장 기능 제공 - 사용자별 수집대상 그룹 설정 기능 제공 |
||||||||||||
|
요구사항 고유번호 |
ECR- 004 |
||||||||||
|
요구사항 명 |
통합 시스템계정관리 솔루션 |
||||||||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
||||||||
|
요구사항 상세내용 |
○ 요구사항 및 수량
※ 사업금액 범위내에서 최적의 HW환경 제안 ○ 세부 구성 방안 - 관리 대상 전체 시스템의 계정목록 조회 기능 제공 - 관리자 권한분리(담당 서버 분리, 역할 분리) 기능 제공 - 전체 시스템 또는 특정 시스템 계정정보 수동 동기화 및 주기적인 자동 동기화 기능 제공 - 주기적인 시스템 상태, 에이전트 운영현황 정보 업데이트 제공 - 사용목적에 따른 계정유형등록 및 유형별 관리(업무계정/시스템계정/임시계정/사용자계정/관리자계정/외주직원계정) - 계정관리시스템을 통하지 않은 비인가 생성계정 조회 및 삭제 - 계정생성규칙 정의 기능 제공 (접두어/홈 디렉터리지정/그룹값) - 패스워드생성규칙 정의 기능 제공 - 최대 로그인 시도 횟수 정의 및 정의된 시도횟수 이상 실패 시 지정시간동안 계정 잠금 기능 - 원격 에이전트 운영관리(시작/중지/모드변경) 기능 제공 - 본인소유 시스템 계정에 대한 패스워드 분실 또는 유출 시 패스워드 초기화 기능 - 계정 생성/변경/삭제 작업을 단일 서버, 서버 그룹 배포 기능 - 복수 계정 일괄 패스워드 변경 기능 제공 - 계정 생성/변경/삭제 작업에 대한 이력 조회 기능 제공 - 계정현황 분석 결과 제공(장기 미사용 계정, 암호 미변경 계정, 암호정책 위반 계정 공유사용, 퇴사자 계정, 외주직원 계정, 비인가 생성 계정 등) - 시스템 로그인 복합인증 지원(PKI 인증서 인증 자체 지원, OTP, Bio, ARS 등 연동 지원) - 복합인증에 기반한 실- 사용자 로그인 감사로그 제공 - 복합인증에 기반한 실- 사용자 행위 감사로그 제공 - 패스워드 노출 없이 일반 사용자에게 특권권한위임 기능 - 명령어 통제 기능 (스크립트 내부 명령어, 상대경로 입력 구분) - PKI 인증서 관리기능 제공 (발급/조회/폐기) - 접근통제 로그 / 사용자 행위로그 / 복합인증로그 검색 제공 - 다양한 검색 조건을 통한 결과 엑셀 출력 기능 제공 - 다양한 보고서 형식 지원 (PDF, DOC, HTML, EXCEL) 제공 - 시스템에 대한 원격 및 콘솔 접속에 대한 다양한 계정사용정책과 암호사용정책 적용 - 계정사용/미사용 분석에 로그인시간, SU로그인, 콘솔로그인, 복합인증 로그인 등을 종합적으로 분석 - 로그인 제어정책, 복합인증권한정책 등을 사용자 신청 기반으로 등록하고 사용기간 만료 시 자동 회수하는 기능 제공 - 서버 to 서버에 대한 로그인 접근제어 - 계정관리정책 중앙 일괄배포 기능 제공 (전체 시스템, 특정 그룹) |
||||||||||
- 14 -
|
요구사항 고유번호 |
ECR- 002 |
||||||||||||
|
요구사항 명 |
개인정보 접속 기록 관리 솔루션 |
||||||||||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
||||||||||
|
요구사항 상세내용 |
○ 요구사항 및 수량
※ 사업금액 범위내에서 최적의 HW환경 제안 ○ 세부 구성 방안 - 개인정보처리자에 의하여 개인정보처리시스템을 통한 개인정보 취급에 대하여 개인정보보호법 준수가 가능한 접속기록 생성 - 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보존, 관리토록 구축 - 필수 기록 항목 - 생성·보관된 접속기록을 볼 수 있는 웹기반 사용자 화면 제공 - 법규 준수가 가능한 개인정보 접속기록 보관조치 적용 - 접속기록 생성, 관리 ·개인정보 취급행위에 대한 기록생성 누락여부 ·접속기록 생성 행위에 대한 기록항목 누락 여부 ·접속기록 로그 송수신 및 저장 여부 ·접속기록 암호화 로깅 여부 점검 ·실시간 서비스, 성능저하 최소화 및 응답속도 점검 ·접속기록 최적화 실현 여부 ·대상 시스템별 보안정책 적용 및 업무 정상가동 여부 - 업무시스템에서 발생하는 모든 개인정보 처리 행위에 대하여 ·대상 업무처리시스템의 SW코드에 대한 일체의 수정 및 NW ·대상 개인정보 처리 시스템에 접속기록 생성 SW를 설치하여 개인정보보호법 준수 및 보안업무에 필요한 업무증적 생성 ·접속기록 생성대상 업무시스템을 통해 발생하는 모든 개인정보 취급 행위에 대하여 누락없이 100% 기록 · 모든 개인정보 취급행위에 대한 실제 정보사용자 판별이 100% 가능 - 접속기록 생성 시 다음 각 항목을 모두 포함 - 접속기록 최적화기능 제공 - 안정적이고 편리한 접속기록 생성 및 운영환경 제공 - 안정적인 접속기록 수집 · 대상 업무시스템에서 생성된 모든 접속기록을 누락없이 안정적 · 접속기록 수집 시 정보보안을 위한 암호화 송수신 기능 · Fail Over, Automatical Retransfer기능 · Disk Full 회피 기능 · 접속기록 송수신 확인 기능 - 접속기록 구조화 · 수집 접속기록에 대한 5W1H기반의 구조화 및 인덱스화 · 개인정보 취급행위별 유통경로 규명 및 가시화 - 접속기록 다차원 통합분석 · 개인정보 부정사용 및 부정사용자의 정확한 식별을 위하여 정보 · 개인정보 사용 행위 및 행위자에 대한 다차원 위험분석 수행 · 개인정보 사용행위에 대한 정량, 정성분석 수행 - 개인정보 부정사용 감시에 특화된 감시기능 제공 · 조직, 일별, 정보사용자, 사용정보별 위험 인식이 가능한 · 자산별, 노드별 위험 인식이 가능한 토폴로지보드 제공 - 업무시스템 위변조 등 위협 통합 감시 제공 - 위험지표 기반의 위험행위 탐지, 식별 기능 · 부정행위 및 이상행위 기준 위험 식별 · 다양한 기준 위험지표 제공 · 탐지 시나리오 관리 기능 제공 - 위험행위에 대한 예경보 기능 제공 · 이메일, SMS 등을 통해 예,경보 기능 - 다양한 분석정보 제공 · 내부 전체 개인정보 취급행위에 대한 전사 가시성 보장 · 행위별, 행위자별 위험도 및 위험등급 등 다양한 위험정보 제공 · 위험TOP정보, 위험트랜드 정보 등 다양한 정량, 정성정보 등 - 이상행위, 행위자 판별을 위한 다차원 추적도구 제공 · 행위기반 부정사용 추적 · 사용자기반 부정사용 추적 · 사용정보기반 부정사용 추적 - 집중 감시 및 관리 기능 제공 · 요주의자 집중관리 기능 - 수집된 원본 접속기록은 아래 항목을 모두 충족할 수 있도록 보관 · 원본기록에 대한 변형 및 손상에 대해 안전하게 보관 · 법규 준수가 가능하도록 보관 · 저장공간 절감을 위한 압축 보관 지원 - 접속기록 유실에 대비하여 다원화된 접속기록 보관 및 접속기록 위변조 발생 탐지 기능 제공 - 준법관리 기능 제공 - 정책 관리 기능 · 위험지표 및 시나리오 관리 기능 · 집중관리 대상자 관리 기능 · 민감정보, 중요정보 관리 기능 - 사용자별 권한 관리 - 시스템 운영,관리 기능 · 로그수집 정책 관리 기능 |
||||||||||||
|
요구사항 고유번호 |
ECR- 005 |
|||||
|
요구사항 명 |
데이터 백업장비(Virtual Tape Library) |
|||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
|||
|
요구사항 상세내용 |
○ 요구사항 및 수량
※ 사업금액 범위내에서 최적의 HW환경 제안 ○ 세부 구성 방안 - 백업과 동시에 중복 제거가 수행되는 In- Line 방식 지원 - 저장효율성이 가장 뛰어난 가변길이(Variable Length) 방식의 중복 제거 기능 제공 - 백업, 복구시 성능저하가 없도록 하드웨어(H/W) 기반의 256Bit 암호화 기능 지원 - 확장하는 만큼만 지불하는 COD(Capacity On Deman) 기반의 용량확장 방식 지원 - FC 포트 별 특정 호스트 및 드라이브 접근(LUN Masking) 제어 기능 지원 - 다양한 가상화 기능 지원 (최대 라이브러리/드라이브/슬롯 : 50/128/100,000 생성 지원) 다양한 IP 기반의 복제 및 어드레스 방식 지원 - 복제 시 네트웍 대역폭/전송량 조절(Throttle) 기능 지원 - 기존 백업 S/W와의 연동 구성을 통한 백업 장비 구성 지원 - 중복 제거된 데이터에 대한 암호화 원격 복제 기능 지원 - 중복제거 장치의 디스크, 팬, 파워 써플라이의 핫 스왑 기능 지원 - 백업 관리자 별 사용자 계정 생성 및 관리 권한 차등 부여 기능 지원 - 단일 웹 브라우저를 이용한 여러 대의 백업장비에 대한 통합 모니터링 지원 (VTL과 TAPE 통합관리 지원) - 다양한 LTO 드라이브 타입 생성 지원 - 향후 재해복구 체제 구축을 위한 원격복제 라이센스 기본 제공(제안용량 기준) - 향후 백업의 트랜드를 분석할 수 있도록 최소 3년 이상의 백업 History 정보를 제공 - 다양한 백업 현황파악이 가능하도록 파티션(가상 Library)당 중복제거 통계정보 제공하고 사용기간 만료시 자동 회수하는 기능 제공 - 기 도입되어 사용중인 LTO 제품과 연동설정 및 백업 가능 하여야 함 |
|||||
- 15 -
|
요구사항 고유번호 |
ECR- 007 |
|||||
|
요구사항 명 |
메일 아카이브 솔루션 |
|||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
|||
|
요구사항 상세내용 |
○ 요구사항 및 수량
○ 세부 구성 방안 - 송수신 메일의 저장 (내부메일, 아웃룩 발송메일까지 저장) - 이메일 압축저장기능 (50~60% 원본파일 압축) - 이메일 암호화 저장기능(AES방식) - 실시간 인덱싱 (이메일 실시간 인덱싱처리) - 검색기능 최적화 제공(메일 본문내용 및 첨부파일 검색) - 통계 및 모니터링 기능 제공(메일 수/발신, CPU, Memory, DISK 사용률) - Queue 방식으로 서버부하 최소화 - 삭제된 메일은 검색결과에서 별도로 구분하여 표시 - 검색된 모든 메일에 대한 선택 복원 - 메일 보관 정책설정으로 일정기일이 지난 메일 자동 삭제 - 일반유저, 관리자별로 사용권한 제한 - 검색목록에서 본문과 첨부파일을 확인, excel 파일로 검색 목록 저장 가능 - 기존 메일서버에 보관중인 데이터 마이그레이션 지원 - 일일레포트 기능(전일 통계) - 허용IP/ 차단IP 설정 기능 - 기존 메일데이터를 메일아카이브 시스템으로 마이그레이션 - 한국과학기술기획평가원(이하 평가원) 메일시스템과 호환성 보장 |
|||||
|
요구사항 고유번호 |
ECR- 006 |
|||||
|
요구사항 명 |
19인치 표준 서버랙 |
|||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
|||
|
요구사항 상세내용 |
○ 요구사항 및 수량
|
|||||
- 16 -
|
요구사항 고유번호 |
ECR- 008 |
|||||||||||
|
요구사항 명 |
백신, 좀비탐지 시스템 |
|||||||||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
|||||||||
|
요구사항 상세내용 |
○ 요구사항 및 수량
○ 세부 구성 방안 - 악성코드 검사 기능 ·PC 실시간 검사 기능 ·빠른검사 및 정밀검사 기능 ·USB/CD 드라이브 자동실행 방지 및 자동 검사기능 ·행위기반 진단기능 ·평판 기반 실행 차단 기능 (차단 수준 설정 기능) ·불필요한 프로그램(PUP), 평판이 낮은 프로그램, 네트워크 드라이브 검사 - 네트워크보안 기능 ·유해사이트 차단 기능(피싱사이트, 불필요한 사이트, 사용자 지정 사이트) ·네트워크 침입차단 기능 ·행위기반 침입차단 기능 (알려지지 않은 프로토콜 드라이버, 이상트래픽) ·IP/MAC/ARP스푸핑 차단 기능 - 사전방역 기능 ·현재 프로세스 형태 및 안전도 분석 기능 ·최근생성 파일 안전도 및 다운로드 상세내용 분석 기능 ·프로그램 주요 행위 프로세스 명, 대상 분석 기능 |
|||||||||||
- 17 -
|
요구사항 고유번호 |
ECR- 009 |
|||||
|
요구사항 명 |
PC 통합 유틸리티 |
|||||
|
분류 |
시스템 및 장비 구성 요구사항 |
응락수준 |
필수 |
|||
|
요구사항 상세내용 |
○ 요구사항 및 수량
○ 세부 구성 방안 - ZIP, RAR 등 압축파일 압축해체 기능 지원 - 윈도우7, 윈도우8에서 정상 동작 기능 지원 - 윈도우 탐색기 연동 압축 기능 지원 - JPG, BMP GIF 등의 이미지 보기기능 지원 - FTP, SFTP, WebDAV 등 파일 프로토콜 전송기능 지원 |
|||||
- 18 -
성능 요구사항
|
요구사항 고유번호 |
PER- 001 |
||
|
요구사항 명 |
안정적인 성능 제공 |
||
|
분류 |
성능요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 사업 기간 및 하자보수 기간 동안 안정적인 성능을 제공하기 위해 "수요 기관"의 요구에 따라 스토리지 운영 정책 및 백업 스케줄 설정 등을 지원하여야 함 |
||
테스트 요구사항
|
요구사항 고유번호 |
TER- 001 |
||
|
요구사항 명 |
기존 시스템과 연계를 통한 최종 검사 방안 |
||
|
분류 |
테스트 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 검사요청시 세부 검사 시나리오를 제출하여야 하며, 검사요청일(완료보고서 제출일)로부터 특별한 사정이 없는 한 14일 이내에 한다. - 시스템은 제공되기로 한 요구사항을 모두 제공하며, 초기 협의한 요구사항에서 변경관리 절차를 통해 승인을 획득한 요구사항을 최종 테스트 기준으로 간주한다. |
||
- 19 -
보안 요구사항
|
요구사항 고유번호 |
SER- 001 |
||
|
요구사항 명 |
인적·물리적 보안 대책 수립(공통) |
||
|
분류 |
보안 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 사업수행 과정의 인적‧물리적 보안 대책 수립 · 사업수행인원은 사업과 관련하여 취득한 모든 자료를 대외비로 취급 · 주관기관의 승인 없이는 절대로 외부에 유출 또는 다른 용도로 사용 금지 · 사업에 투입되는 모든 인력 및 단체에 대하여 보안서약서 징구 · 비밀 및 지정 문서는 보안성을 확보하기 위해 접근 권한을 차등 부여하여 관리 · 사업수행자 보안대책에 대한 상세한 사항은 [별첨1]을 참조 |
||
|
요구사항 고유번호 |
SER- 002 |
||
|
요구사항 명 |
보안 규정 및 원칙 준수(공통) |
||
|
분류 |
보안 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 사업수행자는 평가원에서 제공하는 관련 규정에 따라 보안관리 대책을 수립하여 시행 · 사업수행자가 평가원에서 요구하는 보안정책을 위반하였을 경우 [별첨2,3]의 보안 위약금 부과 기준에 따라 위규자 및 관리자를 행정조치하고 손해배상을 청구할 수 있음 - 정보보호 및 보안을 위한 정보시스템 설계 및 개발 원칙 준수 · 네트워크 보안 사항을 고려하여 정보시스템 아키텍처 설계 · 위험분석을 통하여 보안계획을 수립하고, 이를 토대로 하여 정보기술 및 시스템 보안정책을 수립 · 개인정보보호 및 주요 자료 노출 방지를 위해 일선 업무담당자의 권한을 최소화하고 법률상 요청되는 최소한의 정보를 전송범위로 하는 것을 원칙으로 하여 시스템 설계 · 정보 오‧남용을 방지하기 위해 접근기록과 상세로그 관리 · 비인가자의 접근 및 정보시스템의 불법적인 접근을 차단하기 위해 사용자별 또는 그룹별로 접근권한을 부여하여 관리 · 사업 또는 개인정보 가운데 보안을 요하는 정보는 비인가자의 접근 및 불법 유출을 방지하기 위하여 암호화하여 저장 |
||
- 20 -
품질 요구사항
|
요구사항 고유번호 |
QUR- 001 |
||
|
요구사항 명 |
품질 관리 방안 |
||
|
분류 |
품질 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 산출물별 제출시기를 지정하고 이를 준수 - 모든 산출물의 사전 승인 획득 - 요구사항의 변경과 품질점검항목을 주기적으로 관리 - 사업수행자 조직 차원의 품질보증 활동을 수행 |
||
제약사항
|
요구사항 고유번호 |
COR- 001 |
||
|
요구사항 명 |
저작권, 특허권 보호 |
||
|
분류 |
제약사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 사업수행자는 납품된 시스템이 국내ㆍ외 저작권 침해 등 법적 권리관계의 문제 발생 시 이에 대한 조치 및 책임을 져야 하며, 이에 따른 손해배상의 책임도 사업수행자에 있다. |
||
- 21 -
프로젝트 관리 요구사항
|
요구사항 고유번호 |
PMR- 001 |
||
|
요구사항 명 |
전문인력 투입 |
||
|
분류 |
프로젝트 관리 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 한국과학기술기획평가원(이하 평가원)은 참여요원이 사업 수행상 부적당하다고 판단하거나, 자격 미달인 경우 교체를 요구할 수 있으며, 사업수행자는 특별한 사유가 없는 한 이에 응해야 함 - 사업수행자의 사업 책임자 및 분야별 책임자를 포함한 투입인원은 반드시 본 사업에 참여하여야 함 · 다만, 사업수행자의 부득이한 사유가 있어 다른 인력으로 교체하고자 할 때에는 평가원의 사전승인을 득하고, 동등 또는 그 이상의 능력을 가진 자로 교체함 - 협력업체에 대해서 평가원의 서면 승인을 받아야함. 다만, 이 경우에는 계약상의 모든 책임은 사업수행자가 지며, 투입인원 전원은 해당업체의 소속자임을 증빙하는 서류를 제출하여야 함 |
||
|
요구사항 고유번호 |
PMR- 002 |
||||||||||||||||||||||
|
요구사항 명 |
사업보고 및 산출물 |
||||||||||||||||||||||
|
분류 |
프로젝트 관리 요구사항 |
응락수준 |
필수 |
||||||||||||||||||||
|
요구사항 상세내용 |
|
||||||||||||||||||||||
- 22 -
- 23 -
프로젝트 지원 요구사항
|
요구사항 고유번호 |
PSR- 001 |
||
|
요구사항 명 |
시스템 운영과 안정화를 위한 기술지원 |
||
|
분류 |
프로젝트 지원 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 네트워크 구성변화 및 기존장비 용도 변경에 따른 기존 장비들의 재구성, 이전, S/W 재설치 등의 작업이 필요한 경우 이에 대해 지원한다. |
||
|
요구사항 고유번호 |
PSR- 002 |
||
|
요구사항 명 |
기술 이전 및 교육 지원 |
||
|
분류 |
프로젝트 지원 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 시스템 구축 및 운영 관련 기술이전 대상 목록과 기술이전 방법 등에 대한 계획서를 제출하여야 하며 기술이전 내용과 일정 등은 "수요 기관"과 협의하여 결정한다. - 사업수행자는 시스템 운영과 사용에 필요한 교육을 실시하며, 사전에 교육계획서를 작성하여 평가원에 제출(교육내용, 일정 등은 평가원과 사전 협의)한다. - 교육계획서에는 교육 훈련에 대한 목적 및 내용, 교육대상, 방법, 일정, 장소, 강사진 등에 대한 상세사항을 포함한다. - 교육내용은 시스템의 운영, 감시 및 보안, 비상복구, 장애대처 방법 등 시스템 운영에 필요한 내용(개별 교육)과 일반 사용자의 시스템 사용에 관한 내용(집합 교육)으로 각각 구성한다. - 강사, 교육용 교재제작 등의 소요경비는 사업수행자가 부담한다. - 기타 시스템 구축 및 운영상 필요하다고 판단되어 평가원이 교육을 요구 시 이에 응한다. |
||
- 24 -
유지관리 수행 요구사항
|
요구사항 고유번호 |
MAR- 001 |
||
|
요구사항 명 |
유지관리 지원 |
||
|
분류 |
유지관리 수행 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 하자보수 기간은 검수 후 1년 이내로 함 - 하자보수 기간 동안 납품한 시스템의 설계, 성능, 제작, 설치 등에 하자가 발생할 경우 해당 분야에 대하여 무상으로 보수하거나 동일 장비의 신품으로 교환하여야 하며, 동일 장비의 조달이 어려운 경우 납품한 장비 이상의 장비로 교환하여야 함 - 시스템 하자보수 및 문제점 발생 시 최단시간 내에 해결을 위한 효율적인 지원 체계 및 방법을 제시해야 함 - 하자보수 만료 후 유상유지보수 요율은 시장 실례가를 적용하되, 세부 조건은 "수요 기관"과 상호 협의하여 결정함 |
||
- 25 -
|
요구사항 고유번호 |
MAR- 002 |
||
|
요구사항 명 |
시스템 구축 및 운영 |
||
|
분류 |
유지관리 수행 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 평가원 통합유지보수사업자와 긴밀한 업무협조체계 유지 및 문제발생 시 조기 대응체계 구축 - 안전 및 보안관리 · 권한 없는 내부사용자의 데이터 접근과 외부로부터의 정보유출 시도를 원천적으로 차단하고 관리할 수 있는 방안 마련, 추진 · 사업수행자는 본 사업 수행 중 취득한 지식에 대하여 과업수행 중은 물론 사업이 완료된 후에라도 비밀 보안 준수 · 본 사업에 종사하는 모든 인원은 별도양식에 의한 보안 각서의 제출 · 보안 관리자를 지정하고, 프로그램 소스코드 및 관련 SW의 유출을 방지하기 위해 디스크, CD, 출력물은 별도 관리 · 본 사업기간 중 취득한 일체의 정보 및 자료는 사업종료 후 파기하여야 하며 향후 타 사업에 사용 금지 - 사업수행자는 사업종료 이후 구축된 시스템이 24시간 정상 운용될 수 있도록 본 사업에서 구축한 전체 시스템의 운용 및 관리방안을 제시 · 시스템 안정화 계획, 운영 전문 인력 지원계획, 장애처리 대책, 하자보수 계획 및 운영 관리 지원 계획 등 - 시스템의 안정성과 신뢰성 확보를 위한 전산시스템의 장애예방 점검, 장애조치, 백업 등 시스템 운영‧관리지침을 수립 - 물리적 보안대책, 관리적 보안 대책, 기술적인 보안대책 등 안전 및 보안 관리에 대한 운영 규정을 마련하여 비상사태에 대비 - 사업수행자는 필요시 평가원의 요청이 있을 경우에는 관련 기술자를 상주 지원하여야 함 |
||
|
요구사항 고유번호 |
MAR- 003 |
||
|
요구사항 명 |
기술지원 요건 |
||
|
분류 |
유지관리 수행 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 사업종료 후 원활한 유지보수 전환을 위한 각종 지원을 하여야 함 - 사업기간 중 신규 시스템 구축 및 이전으로 업무지원이 필요한 경우 안정화 단계까지 사업수행자는 시스템 구축사와 최대한 협조하여 조속히 설치 및 안정화를 이룰 수 있도록 지원해야 함 - 유지보수 중인 시스템들에 대한 기술적인 질의사항이 발생할 경우 사업수행자는 이를 적극 지원, 협조하여야 함 - 낙뢰, 폭우 등 천재지변 혹은 예기치 못한 정전에 의한 시스템 하자 발생과 사용자 고의나 과실 또는 분실 등에 의한 시스템 유지보수의 책임은 원칙적으로 사용자가 책임을 지나 이에 대한 대책을 수립하여 시스템의 조속한 운영을 위한 기술, 인력 등을 지원해야 함 |
||
|
요구사항 고유번호 |
MAR- 004 |
||
|
요구사항 명 |
유지보수 요건 |
||
|
분류 |
유지관리 수행 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 개발된 시스템에 대한 하자보수 기간은 최종검수 완료 시점으로부터 1년이내 이어야 하며, 하자보수 기간 중 사무실 이전에 따른 소요비용발생시 장비분야에 대한 이전설치 지원을 포함해야 함 - 사업종료 후 유지보수확약서(1년간)를 제출하여야 함 - 유지보수 기간 중 시스템의 결함 발생 시 접수 후 6시간 이내에 장애 조치를 하여야 하고, 24시간 365일 신속한 대응이 가능하도록 상시지원체계 수립 - 효율적인 유지보수 방법, 지원 체계 등을 제시하여야 하며, 특히 장애 처리에 대하여 문제 발생 시부터 해결까지의 유지보수 절차 및 체계를 제시하여야 함 - 유지보수 지원은 평가원 근무시간을 기준으로 하되 긴급 장애 발생 등의 경우 근무시간 및 휴일에 관계없이 유지보수 - 유지보수인력, 유지보수방법 등을 포함한 합리적인 유지보수 계획의 수립하여야 함 - 유지보수 계획의 내용변경이 불가피한 경우 사전 협의 후 변경 - 하드웨어, 소프트웨어, 주변장치, 응용프로그램 등 장애 발생 시 원활한 지원 계획을 제시하여야 함 - 하자보수기간 중 마이너 업그레이드 및 패치 업그레이드의 경우는 무상으로 제공하여야 함 - 상용 SW(OS, DBMS 포함) 또는 개발된 SW 상의 오류 발생시 신속한 대처로 안정성 있는 서비스 유지하여야 함 - 유지보수요율은 평가원의 평균유지보수 요율(10%) 이하로 함 |
||
- 26 -
|
요구사항 고유번호 |
MAR- 005 |
||
|
요구사항 명 |
기타 |
||
|
분류 |
유지관리 수행 요구사항 |
응락수준 |
필수 |
|
요구사항 상세내용 |
- 기술지원 확인서 제출대상 장비는 요청 내용에 따라 제조사 또는 전문 업체의 확약서를 제출하는 것을 원칙으로 함 - 제안서 상의 내용과 관련하여 적정성 검토와 적절한 대체방안 제시 등을 통해 평가원의 사전 승인을 얻어 제안서 상의 요청사항을 변경할 수 있음 - 제안서에는 서비스 내용과 수준에 대한 명확한 정의를 통해 유지보수 활동과 산출물을 명확히 제시하여야 함 - 사업을 수행함에 있어서 발생하는 저작권, 사용권 또는 특허 등의 문제발생에 대하여는 사업수행자의 책임으로 함 - 과업수행을 위해 투입인력이 필요로 하는 PC(노트북 등), 부대기기 등 일체의 장비는 사업수행자가 준비하여야 하며 반·출입시 평가원 사업책임자 및 정보보안담당자의 확인을 받아야 함 - 사업수행을 위해 평가원에 상주하는 인력은 업무에 필요한 SW관리 규정에 따라 정품소프트웨어만을 사용하여야 하며 불법소프트웨어 사용에 따른 모든 책임은 사용자 개인과 사업수행자 측에 있음(각서 제출) - 검수 후 1년 이내 단종 또는 생산 중단(단종 또는 생산 중단 계획이 있을 경우 도입 금지)시 동급사양 이상의 제품으로 교체함 |
||
- 27 -
[별첨1] 사업수행자 보안조치사항
1. 참여인력에 대한 보안관리
◦ 사업 참여인원 중 최고 직급자를 보안책임자로 지정하고, 한국과학기술기획평가원(이하 평가원) 보안담당관의 승인을 받아야 한다.
◦ 참여인원 전원은 보안서약서를 작성 후, 평가원에 제출하여야 한다.
◦ 참여인원 전원은 사업 수행관련 보안교육을 수행하여야 하며 결과를 평가원에 제출하여야 한다.
◦ 참여인원은 업체 임의로 교체 할 수 없으며, 신상변동(해외여행 포함)사항 발생 시 사전에 평가원에 보고하여야 한다.
◦ 참여인원이 업무를 수행할 장소는 외부인의 출입을 통제하여야 하며, 부재 시에는 반드시 시건 장치를 하여야 한다.
◦ 사업 수행 중 평가원의 정보시스템에 위해를 가할 수 있는 행위는 절대 불가하며, 정보시스템 접근이 필요한 경우에는 평가원의 사전승인을 득한 후 평가원 담당자 입회하에 실시하여야 한다.
2. 내부 자료에 대한 보안관리
◦ 전산망구성도‧IP 현황 등 평가원 누출 금지 대상[별첨3]에 포함되는 내부 자료에 대해서는 상호간의 책임자가 직접 서명한 후 인수‧인계하여야 한다.
◦ 사업수행을 위해 제공된 내부 자료는 복사 및 외부반출을 금지한다.
◦ 제공된 내부 자료는 매일 퇴근 시 반납하여야 하며, 다만 비밀문서를 제외한 일반문서는 제공된 사무실에 시건 장치가 된 보관함이 있을 경우 이를 보관함에 보관할 수 있다.
◦ 사업수행자가 사용하는 PC 및 제공된 자료에 대해서는 월 1회 이상 점검을 실시하고 평가원의 보안담당자는 점검결과에 대한 개선을 요구 할 수 있다.
3. 장비에 대한 보안관리
◦ 평가원에 반입하는 사업수행 관련 PC(파일 및 프로그램 포함)는 백신프로그램의 점검을 통해 사전에 안전성이 확보되어야 한다.
◦ USB, CD- RW 및 외장하드디스크 등 탈착이 용이한 보조기억매체의 사용은 금지한다. 다만, 산출물작성 등의 보조기억매체가 필요한 경우에는 평가원의 보안담당자 승인 후에 사용하여야 한다.
- 28 -
◦ 사업 종료 시까지는 반입된 PC의 반출을 금지한다. 다만, 모의해킹 등 외부반출이 필요한 경우는 자료유출에 대비한 보안대책을 평가원에 제출하여 승인을 득한 후 최소한의 장비만 반출 할 수 있다.
- 참여인원이 퇴근 시에 외부로 반출 할 수 없으며, 반드시 제공된 사무실내의 시건 장치가 있는 보관함에 보관하여야 한다.
◦ 사업 종료 시 사업수행자의 PC 및 보조기억장치는 본 사업과 관련된 모든 자료를 완전삭제 후 반출하여야 한다.
◦ PDA 등의 휴대용 장비 내에 평가원의 내부자료 등이 기록되어져서는 아니 되며, 사업수행자의 보안책임자가 수시로 확인하고, 평가원 보안담당자의 점검을 득하도록 하여야 한다.
4. 내‧외부망 접근에 대한 보안관리
◦ 사업 수행 시 평가원 내부망에 대한 접속은 반드시 평가원 보안담당자의 사전승인 후 허용된 PC에서만 접근 할 수 있도록 한다.
◦ 업체에서 사용하는 PC는 인터넷 연결을 금지함을 원칙으로 한다. 다만, 사업 수행 상 필요한 경우는 업체의 보안책임자가 접속이 필요한 PC와 웹사이트‧서버를 선정하여 직접 보안담당자에게 요청하여 승인을 득한 후 사용하여야 한다.
- 개인적인 SMTP, FTP 및 P2P 등의 서비스 사용은 불가하며, 사업수행과 관련된 자료를 메일 등으로 전송하는 행위를 금지한다.
5. 산출물에 대한 보안관리
◦ 사업 수행 시 생산되는 모든 산출물은 평가원 보안담당자 관리 하에 있는 파일서버에 저장하여야 하고, 계정관리 및 접근권한 부여 관리를 철저히 하여야 한다.
◦ 사업 수행 시 생산된 산출물 및 기록은 평가원이 인가하지 않은 비인가자에게 제공‧대여‧열람을 금지한다.
◦ 사업 종료 후 중요문서에 대해 “대외비”임을 표기하여 평가원에 제출하여야 하며, 기타 자료는 삭제 및 세단 후 폐기하고 평가원의 점검을 받아야 한다.
◦ 최종산출물 및 개발에 사용한 자료는 사업수행자의 보관은 금지함을 원칙으로 한다. 다만, 유지보수 등으로 필요한 경우에는 보안담당자의 승인을 득한 후 사용할 수 있다.
- 29 -
[별첨 2] 보안 위약금 부과 기준
1. 위규 수준별로 A~D 등급으로 차등 부과
|
구분 |
위규수준 |
|||
|
A급 |
B급 |
C급 |
D급 |
|
|
위규 |
심각 1건 |
중대 1건 |
보통 2건 이상 |
경미 3건 이상 |
|
위약금 비중 |
부정당업자 등록 |
계약금의 10% |
계약금의 5% |
계약금의 3% |
※ 위규 처리 기준은 [별첨3] 참고
2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과
※ 보안 사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과
3. 사업 종료 시 지출금액 조정을 통해 위약금 정산
※ 사업완료 후 위규사항 위반 시에도 위 『보안 위약금 부과 기준』 동일 적용
- 30 -
[별첨 3] 위규 처리기준
|
구분 |
위규사항 |
처리기준 |
|
심각 |
1. 비밀 및 대외비 급 정보 유출 및 유출시도 가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출 나. 개인정보·신상정보 목록 유출 다. 비공개 항공사진·공간정보 등 비공개 정보 유출 2. 정보시스템에 대한 불법적 행위 가. 관련 시스템에 대한 해킹 및 해킹시도 나. 시스템 구축 결과물에 대한 외부 유출 다. 시스템 내 인위적인 악성코드 유포 |
○ 사업참여 제한 ○ 재발 방지를 위한 조치계획 제출 ○ 위규자 대상 특별 보안교육 실시 |
|
중대 |
1. 비공개 정보 관리 소홀 가. 비공개 정보를 책상 위 등에 방치 나. 비공개 정보를 휴지통·폐지함 등에 유기 또는 이면지 활용 다. 개인정보·신상정보 목록을 책상 위 등에 방치 라. 기타 비공개 정보에 대한 관리소홀 2. 사무실·보호구역 보안관리 허술 가. 통제구역 출입문을 개방한 채 퇴근 등 나. 인가되지 않은 작업자의 내부 시스템 접근 다. 통제구역 내 장비·시설 등 무단 사진촬영 3. 전산정보 보호대책 부실 가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반 나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 사업 관련 자료 수발신 다. 개발·유지보수 시 원격작업 사용 라. 저장된 비공개 정보 패스워드 미부여 마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장 바. 외부용 PC를 업무망에 무단 연결 사용 사. 보안관련 프로그램 강제 삭제 아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등) |
○ 재발 방지를 위한 조치계획 제출 ○ 위규자 대상 특별보안교육 실시 |
- 31 -
|
구분 |
위규사항 |
처리기준 |
|
보통 |
1. 기관 제공 중요정책·민감 자료 관리 소홀 가. 주요 현안·보고자료를 책상위 등에 방치 나. 정책·현안자료를 휴지통·폐지함 등에 유기 또는 이면지 활용 2. 사무실 보안관리 부실 가. 캐비넷·서류함·책상 등을 개방한 채 퇴근 나. 출입키를 책상위 등에 방치 3. 보호구역 관리 소홀 가. 통제·제한구역 출입문을 개방한 채 근무 나. 보호구역내 비인가자 출입허용 등 통제 미실시 4. 전산정보 보호대책 부실 가. 휴대용저장매체를 서랍·책상 위 등에 방치한 채 퇴근 나. 네이트온 등 비인가 메신저 무단 사용 다. PC 비밀 번호를 모니터 옆 등 외부에 노출 바. 비인가 보조기억매체 무단 사용 |
○ 위규자 및 직속 감독자 사유서 / 경위서 징구 ○ 위규자 대상 특별보안교육 실시 |
|
경미 |
1. 업무 관련서류 관리 소홀 가. 진행중인 업무자료를 책상 등에 방치, 퇴근 나. 복사기·인쇄기 위에 서류 방치 2. 근무자 근무상태 불량 가. 각종 보안장비 운용 미숙 나. 경보·보안장치 작동 불량 3. 전산정보 보호대책 부실 가. PC내 보안성이 검증되지 않은 프로그램 사용 나. 보안관련 소프트웨어의 주기적 점검 위반 |
○ 위규자 서명·구두 경고 등 문책 ○ 위규자 사유서/경위서 징구 |
- 32 -
[별첨 4] 누출금지 대상 정보
기관 소유 정보시스템의 내·외부 IP 주소 현황
세부 정보시스템 구성현황 및 정보통신망 구성도
사용자계정·비밀번호 등 정보시스템 접근권한 정보
정보통신망 취약점 분석·평가 결과물
사업 결과물 및 프로그램 소스코드
국가용 보안시스템 및 정보보호시스템 도입 현황
침입차단시스템‧방지시스템(IPS) 등 정보보호제품 및 라우터·스위치 등 네트워크 장비 설정 정보
「공공기관의 정보공개에 관한 법률」 제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서
「보안업무규정」제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비
그 밖에 각급기관의 장이 공개가 불가하다고 판단한 자료
- 33 -