|
『전주대학교 개인정보 영향평가 사업』 사업계획서 |
|||
2016. 6.
|
목 차 Ⅰ. 사업 개요 1 1. 개요 1 2. 추진배경 및 필요성 1 3. 사업범위 1 4. 기대효과 2 Ⅱ. 사업추진 방안 3 1. 추진 목표 3 2. 추진 방법 및 절차 3 3. 추진 체계 4 4. 추진 일정 5 Ⅳ. 사업 내용 6 1. 요구사항 총괄표 6 2. 요구사항 목록 6 3. 요구사항 세부내용 7 |
I. 사업 개요
1. 개요
가. 사 업 명 : 전주대학교 개인정보 영향평가 사업
나. 사업기간 : 계약일로부터 2개월 이내
다. 사업예산 : 57,000,000원(부가세 포함)
2. 추진배경 및 필요성
가. 「개인정보 보호법」 시행에 따른 공공기관 개인정보 영향평가 의무화
- 동법 부칙 제6조에 따라 현재 운영 중인 정보시스템은 영 시행일(2011. 9. 30.)로부터 5년 이내(2016. 9. 30.)에 영향평가 수행을 완료하여야 함
나. 개인정보 영향평가를 통해 사전에 개인정보 침해 요인을 파악하고, 개선방안을 수립‧적용하여 개인정보 침해사고를 사전에 예방
다. 개인정보 관련 법‧제도 요건 충족여부, 개인정보보호 현황, 개인정보 유출 위험을 사전에 예방으로 對 국민(학생) 신뢰도 확보
라. 현재 운용 중인 대학종합정보시스템이 개인 및 조직에 미치는 개인정보 침해 요인 파악 필요
3. 사업범위
가. 개인정보 영향평가
- 우리대학에서는 운영 중인 개인정보처리시스템 중 개인정보 영향평가 의무 대상시스템(필수) 및 기타 개인정보처리시스템(선택)
- 개인정보 영향평가 완료 후 문제점 분석을 통한 개선 과제(개인정보 보호 보완‧미이행 사항 등) 조치 및 관리
※ 영향평가 대상 선정기준 : 개인정보보호법 시행령 제35조 준용
나. 개인정보보호 관리체계 컨설팅
- 개인정보보호 규정 제‧개정 및 조직 구성 등에 대한 컨설팅
- 개인정보보호법 등 관계 법령의 이행여부 점검 및 미비점 보완 방안 수립
- 개인정보보호 관리체계 및 시스템 구축을 위한 기능, 프로세스, 자원(인력, 예산) 계획 수립
※ 개인정보 영향평가 및 관리체계 컨설팅을 통한 개선 방안 도출 후 정보시스템 개선 사항 등은 정보화추진위원회 심의 후 추진
- 1 -
4. 기대효과
가. 개인정보 법제도에 대한 이해 제고 및 개인정보 보호체계 확립
나. 안전하고 신뢰성 있는 개인정보 관리체계 구축
다. 개인정보 침해요인에 대한 보완 및 개선을 통한 정보시스템 신뢰성 제고
라. 개인정보보호 관련 법·규제 준수 이행
- 2 -
II. 사업추진 방안
1. 추진 목표
가. 개인정보보호법에서 요구하는 영향평가의 수행 및 조치를 통해 개인정보보호 관리체계 수립
나. 개인정보 처리 업무 전반에 대한 취약점 도출 및 위협요인 제거를 통해 개인정보보호 안정성 제고 및 개선방안 도출
다. 개인정보보호법 준수를 위한 개선계획서, 영향평가보고서 등 결과물 도출
라. 개인정보보호 관리체계 및 시스템 구축을 위한 기능, 프로세스, 자원(인력, 예산) 계획 수립
2. 추진 방법 및 절차
- 3 -
3. 추진 체계
가. 추진조직
|
전주대학교 |
|||||||||
|
추 진 팀 |
사 업 자 |
||||||||
|
정보통신원 총무지원실 개인정보처리부서 |
영향평가기관 |
||||||||
나. 추진조직 역할
|
조 직 |
역 할 |
|
|
추 진 팀 |
정보통신원 |
·사업 총괄 및 관리·감독 ·세부추진실적 점검 및 검수 ·영향평가 및 실태점검 관리 |
|
총무지원실 |
·영향평가 및 실태점검 지원 ·영향평가팀 구성 지원 ·개인정보 처리부서와의 협력체계 구축·관리 |
|
|
개인정보 처리부서 |
·영향평가 및 실태점검 협조 ·개선방안 이행 |
|
|
영향평가기관 |
·평가계획 수립 ·영향평가팀 구성 ·영향평가 사업 수행 : 사업진도 및 인력관리, 영향평가 및 실태점검 추진, 침해요인 도출 및 개선방안 제시, 세부추진 실적보고, 사용자 교육 및 기술이전 ·평가업무 간 수집된 자료와 산출물에 대한 보안관리 ·평가를 위한 중간 산출물 및 평가 결과보고서 작성 ·산출물에 대한 품질보증 ·영향평가 이행점검 ·기타 주관사업자가 수행할 필요가 있는 업무 등 |
|
- 4 -
4. 추진 일정
가. 사업기간 : 계약일로부터 2개월 이내
나. 사업일정
|
구분 |
업무내역 |
일 정 |
비고 |
|||||||
|
M |
M+1 |
|||||||||
|
W1 |
W2 |
W3 |
W4 |
W1 |
W2 |
W3 |
W4 |
|||
|
사업수행 |
사업자 선정 및 계약 |
|||||||||
|
영향평가 계획수립 |
||||||||||
|
평가자료 수집 및 분석 |
||||||||||
|
개인정보 흐름 분석 |
||||||||||
|
침해요인 도출 |
||||||||||
|
개선 계획 수립 |
||||||||||
|
관리체계 고도화 컨설팅 |
||||||||||
|
프로젝트 완료 |
검수 |
|||||||||
|
완료 보고 |
||||||||||
5. 추진 방안
가. 입찰 및 평가방식
|
구분 |
방 식 |
비고 |
|
입찰 방식 |
일반경쟁입찰 |
|
|
사업자선정 방식 |
협상에 의한 계약 |
|
|
평가방식 |
기술평가(90) / 가격평가 (10) |
※ 국가를 당사자로 하는 계약에 관한 법률, 동법 시행령 및 시행규칙, 협상에 의한 계약체결기준(기획재정부 회계예규 2200.04- 158- 3, 2009.09.21), 소프트웨어기술성평가기준(지식경제부 고시 제2010- 53호, 2010.2.26) 준용
- 5 -
III. 사업 내용
1. 요구사항 총괄표
|
요청사항 구분 |
약자 |
설 명 |
요구사항수 |
|
컨설팅 요구사항 |
CNR |
Consulting Requirement |
20 |
|
보안 요구사항 |
SER |
Security Requirement |
4 |
|
품질 요구사항 |
QUR |
Quality Requirement |
2 |
|
제약사항 |
COR |
Constraint Requirement |
1 |
|
프로젝트 관리 요구사항 |
PMR |
Project Management Requirement |
2 |
|
프로젝트 지원 요구사항 |
PSR |
Project Support Requirement |
2 |
|
합 계 |
31 |
||
|
요구사항 |
고유번호 |
요구사항 명칭 |
|
컨설팅 요구사항 |
CNR- 001 |
개인정보 영향평가 일반사항 |
|
CNR- 002 |
개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(1) |
|
|
CNR- 003 |
개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(2) |
|
|
CNR- 004 |
개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(1) |
|
|
CNR- 005 |
개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(2) |
|
|
CNR- 006 |
개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(3) |
|
|
CNR- 007 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(1) |
|
|
CNR- 008 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(2) |
|
|
CNR- 009 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(3) |
|
|
CNR- 010 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(4) |
|
|
CNR- 011 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(5) |
|
|
CNR- 012 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(1) |
|
|
CNR- 013 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(2) |
|
|
CNR- 014 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(3) |
|
|
CNR- 015 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(4) |
|
|
CNR- 016 |
개인정보 영향평가 수행 요구사항 – 개선 계획 수립(1) |
|
|
CNR- 017 |
개인정보 영향평가 수행 요구사항 – 개선 계획 수립(2) |
|
|
CNR- 018 |
개인정보 영향평가 수행 요구사항 – 영향평가 보고서 작성 |
|
|
CNR- 019 |
영향평가 이행점검 요구사항 |
|
|
CNR- 020 |
개인정보 관리체계 고도화 |
|
|
보안 요구사항 |
SER- 001 |
공통 보안요구사항 |
|
SER- 002 |
사업 착수시 보안요구사항 |
|
|
SER- 003 |
사업 수행시 보안요구사항 |
|
|
SER- 004 |
사업 완료시 보안요구사항 |
|
|
품질 요구사항 |
QUR- 001 |
품질관리 및 보증 방안 |
|
QUR- 002 |
산출물 관리 |
|
|
제약사항 |
COR- 001 |
프로젝트 장소 및 환경 |
|
프로젝트 관리 요구사항 |
PMR- 001 |
업무보고 요구사항 |
|
PMR- 002 |
사업수행 조직구성 |
|
|
프로젝트 지원 요구사항 |
PSR- 001 |
교육계획 수립 |
|
PSR- 002 |
하자ㆍ유지보수 |
- 6 -
3. 요구사항 세부내용
가. 컨설팅 요구사항
|
요구사항 고유번호 |
CNR- 001 |
|||
|
요구사항 명칭 |
개인정보 영향평가 일반사항 |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
영향평가 일반사항 |
||
|
세부 |
◦ 대학자원관리시스템 및 스마트 학생지원시스템을 대상으로 영향평가를 수행 ◦ 관리적⋅기술적 보호조치의 적정성 및 법적 의무사항 준수여부 등을 확인하여야 함 ◦ 「개인정보 영향평가에 관한 고시」 및 「공공기관 개인정보 영향평가 수행 안내서」 등을 준용하여 사업을 수행하여야 함 ◦ 개인정보보호 관리체계의 적정성 분석과 개선방안 수립을 수행하여야 함 - 기관의 개인정보보호 조직, 개인정보보호 추진계획, 개인정보보호방침, 개인정보 위탁 및 제공 시 안전조치, 개인정보 침해대응, 개인정보 처리구역 보호 등의 분석 및 개선방안 제시 - 대상시스템의 개인정보 취급자, 취급 내용, 보유기간 등의 적정성 및 개선방안 제시 ◦ 개인정보 처리단계별 보호의 적정성 분석 및 조치방안을 마련하여야 함 - 개인정보 수집, 저장 및 보유, 이용 및 연계‧제공, 파기단계에 이르는 각 단계별 보호조치의 적정성 분석 ◦ 개인정보보호 점검결과에 따른 개선방안 및 후속조치방안을 마련하여야 함 - 개인정보보호 관련 법규 위반사항에 대한 개선방안 마련 등 - 개인정보영향평가 결과에 따른 시스템 개선방안 도출 * 개선방안 및 후속조치방안은 조치가 가능하도록 상세히 제시(내부정책자료의 경우 초안, 양식 제공 등의 컨설팅 지원)되어야 함 |
|||
|
산출정보 |
||||
|
요구사항 고유번호 |
CNR- 002 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(1) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개인정보영향평가 계획 수립 |
||
|
세부 |
◦ 효율적인 평가 수행을 위한 영향평가 수행계획 수립 ◦ 개인정보영향평가 계획 수립 - 평가목적, 평가대상 및 범위, 평가주체(평가팀), 평가기간, 평가절차(방법), 주요 평가사항, 평가기준 및 항목, 자료 수집 및 분석 계획 등을 포함 |
|||
|
산출정보 |
개인정보 영향평가 수행계획서 |
|||
- 7 -
|
요구사항 고유번호 |
CNR- 003 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(2) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개인정보 영향평가팀 구성 및 운영계획 수립 |
||
|
세부 |
◦ 개인정보영향평가팀 구성 방안 및 운영계획 수립 - 평가하고자 하는 사업 자체에 대한 이해와 개인정보보호 관련 법제 및 정책, 전략 수립, 기술·시스템 분석 및 정보보안(Security) 등의 광범위하고 다양한 전문 지식과 정보를 보유한 기관 내 유관 부서, 사업을 구축하는 업체(개발용역업체), 외부 전문가 등으로 팀을 구성 - 영향평가팀에 참여하는 부서 및 유관 기관 담당자의 역할 및 책임 배분 ※ 역할 및 책임 배분 시 담당자의 업무를 명확히 정의하고 업무의 중복을 가급적 지양할 것 |
|||
|
산출정보 |
개인정보 영향평가팀 구성‧운영 계획서 |
|||
|
요구사항 고유번호 |
CNR- 004 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(1) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
내부 정책 평가자료의 수집 및 분석 |
||
|
세부 |
◦ 개인정보보호 관련 기관 내부 정책 환경 분석의 적절성 확보 ◦ 개인정보 영향평가를 위한 내부 정책 자료의 수집 및 분석 - (조직·체계 자료) 기관 내 개인정보 보호지침, 개인정보 관리계획, 개인정보보호업무 관련 직제표, 개인정보 보호규정, 정보보안 규정 등의 분석 - (인적 통제·교육 자료) 개인정보 관련 조직 내 업무 분장표 및 직급별 업무 권한 현황, 정보시스템의 접근 권한에 대한 내부 규정, 시스템 운영자 및 정보취급자에 대한 교육 계획, 위탁 업체 관리 규정 등의 분석 - (정보 보안 자료) 방화벽 등 침입차단 시스템 및 백신프로그램 도입 현황, 보안시스템 네트워크 구조도 등의 분석 |
|||
|
산출정보 |
평가자료 분석서 |
|||
- 8 -
|
요구사항 고유번호 |
CNR- 005 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(2) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
외부 정책 평가자료의 수집 및 분석 |
||
|
세부 |
◦ 개인정보보호 관련 기관 외부 정책 환경 분석의 적절성 확보 ◦ 개인정보 영향평가를 위한 외부 정책 자료의 수집 및 분석 - 공공기관에게 공통적으로 해당되는 일반 정책 자료의 분석 - 평가 대상 사업에 한해 제한적으로 적용되는 특수 정책 자료의 분석 ※ 개인정보보호 관련 법규 준수 여부 평가(법령, 지침, 가이드라인, 훈령 등) |
|||
|
산출정보 |
평가자료 분석서 |
|||
|
요구사항 고유번호 |
CNR- 006 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(3) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
평가 대상사업 관련자료의 수집 및 분석 |
||
|
세부 |
◦ 대상사업 분석의 적절성 확보 ◦ 개인정보 영향평가 대상사업 관련 자료의 수집 및 분석 - (사업수행자료) 사업추진 계획서, 제안 요청서, 과제 수행 계획서, 요구사항 정의서, 업무 매뉴얼(기 구축 시) 등의 분석 - (외부연계) 위탁 계획서, 연계 계획서 등의 분석 - (개발산출물) 시스템 설계서, 요건 정의서, 업무 흐름도, 기능 정의서, Data Flow Diagram, 테이블 정의서, 화면 설계서, 메뉴 구조도, 아키텍쳐 설계서, 시스템 구조도 등의 분석 |
|||
|
산출정보 |
평가자료 분석서 |
|||
|
요구사항 고유번호 |
CNR- 007 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(1) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
평가대상 업무 현황 분석 자료 검토 |
||
|
세부 |
◦ 영향평가 대상사업을 면밀히 분석하고 업무를 정의하여 해당 사업을 통해 처리되는 업무 중 개인정보 취급이 수반되는 업무를 도출 ◦ 개인정보 처리업무 현황 분석 자료 검토 - 대상 정보시스템 개발 관련 산출물 분석 및 담당자 인터뷰 등을 통해 수행 - (영향평가 업무명) 영향평가 대상시스템에서 개인정보가 처리되는 업무를 주요 업무단위로 기재 - (취급 개인정보) 평가 업무명 단위로 처리되는 개인정보 기재 - (개인정보 영향도) 처리개인정보의 중요도에 따라 영향도를 산정 ※ 개인정보 처리업무 현황 분석으로 도출된 업무별로 개인정보 처리 업무표 작성할 것 |
|||
|
산출정보 |
개인정보 처리 업무표 |
|||
- 9 -
|
요구사항 고유번호 |
CNR- 008 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(2) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
평가대상 업무 흐름도 작성 |
||
|
세부 내용 |
◦ 도출된 개인정보 처리 업무별로 개인정보 처리 업무표의 개인정보 처리 업무별 세부 업무절차를 작성 ◦ 개인정보 처리업무 흐름도 작성 - 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성 ※ 개인정보 처리업무 흐름도는 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계 기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성할 것 |
|||
|
산출정보 |
개인정보 처리업무 흐름도 |
|||
|
요구사항 고유번호 |
CNR- 009 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(3) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개인정보 흐름표 작성 |
||
|
세부 내용 |
◦ 개인정보 처리 단계별로 취급되는 개인정보 현황 및 처리 내역 등을 용이하게 식별 할 수 있도록 개인정보 흐름표를 작성 ◦ 개인정보를 처리 업무별로 개인정보의 수집·보유·이용/제공·파기로 구분하여 구체적으로 작성 ◦ 개인정보 흐름표 작성 - 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성 ※ 개인정보 흐름표에는 업무명을 기반으로 개인정보의 수집·보유·이용/제공- 파기에 이르는 Life- Cycle별 현황 등을 기재하여 개인정보의 흐름을 한눈에 이해할 수 있도록 작성할 것 |
|||
|
산출정보 |
개인정보 흐름표 |
|||
|
요구사항 고유번호 |
CNR- 010 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(4) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개인정보 흐름도 작성 |
||
|
세부 내용 |
◦ 개인정보 취급이 수반되는 업무별로 개인정보의 수집·보유·이용/제공·파기되는 개인정보의 흐름을 한 눈에 파악할 수 있도록 개인정보 흐름도를 작성 ◦ 개인정보 흐름도 작성 - 개인정보와 관련한 업무를 기재하고, 업무와 관련하여 개인정보 취급과 관련한 담당자 및 담당부서, 정보주체 등을 포함하여 기재 - 개인정보를 취급하는 관련업무, 취급과 관련하여 사용되는 매체(PC, 노트북, 신청서등의 문서)와 수집한 개인정보를 처리할 때 관련한 IT시스템(DB, 웹서버 등)을 표시하고 각 요소들 간의 이동 시 전송되는 개인정보 항목을 기재 ※ 개인정보 흐름도는 개인정보를 취급 업무별로 개인정보 흐름표를 기준으로 수집·보유·이용/제공·파기 등의 생명주기를 기반으로 해당 업무처리자 및 시스템의 구성사항을 고려하여 구체적으로 작성할 것 |
|||
|
산출정보 |
개인정보 흐름도 |
|||
- 10 -
|
요구사항 고유번호 |
CNR- 011 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(5) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
정보시스템 구조도 및 정보보호 시스템 목록 작성 |
||
|
세부 내용 |
◦ 정보시스템 구조도 작성 ◦ 정보보호 기술적·물리적·관리적 보안 메커니즘 목록 작성 ※ 방화벽, 침입탐지시스템과 같은 보안 메커니즘을 포함하여 전송 데이터 암호화, DB 암호화 등 개인정보보호를 위한 기술적·물리적·관리적 보안 메커니즘의 타당성을 검토할 것 |
|||
|
산출정보 |
정보시스템 구조도 및 정보보호 시스템 목록 |
|||
|
요구사항 고유번호 |
CNR- 012 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(1) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
평가 기준 수립 및 개인정보보호 조치 사항 파악을 위한 평가항목 작성 |
||
|
세부 내용 |
◦ 「공공기관 개인정보 영향평가 안내서」의 영향평가 항목을 기준으로 영향 평가영역을 구성 ◦ 영향평가기준 및 평가항목 수립 - 개인정보 취급 업무 및 개인정보 흐름이 다수 존재하는 경우에는 각 흐름별로 평가항목을 각각 작성 - 평가 항목 외에도 관련 근거, 항목 설명, 확인 자료 등을 제시하여 작성 |
|||
|
산출정보 |
개인정보 평가 기준 및 평가항목 정의서 |
|||
|
요구사항 고유번호 |
CNR- 013 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(2) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
자료 분석, 현장 실사, 담당자 인터뷰 등을 통해 개인정보보호 조치 현황 파악 |
||
|
세부 내용 |
◦ 개인정보 조치사항 및 계획 등을 파악 ◦ 평가기준 및 평가항목에 따라 자료분석, 현장실사, 담당자 및 취급자 대상 인터뷰를 통한 분석 수행 ◦ 개인정보 흐름분석 시 도출된 업무 흐름표를 활용하여 개인정보 라이프 사이클별로 구분한 후, 위험요소별 개인정보 침해요인 분석 |
|||
|
산출정보 |
개인정보 보호조치 현황 분석서 |
|||
- 11 -
|
요구사항 고유번호 |
CNR- 014 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(3) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
도출된 개인정보 침해 요인에 대한 위험도 산정 |
||
|
세부 내용 |
◦ 위험요인 분석 및 위험도 산정 - 자산별 침해요인 연계 개념도 작성 - 중요도와 취약점, 위협요소 등을 고려하여 위험요소 분석 및 위험도 산정 |
|||
|
산출정보 |
개인정보 침해요인 위험도 산정표 |
|||
|
요구사항 고유번호 |
CNR- 015 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(4) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
침해요인에 대한 위험 관리 방안 수립 |
||
|
세부 내용 |
◦ 위험도의 우선순위에 따라 나열하여 해당 기관이 수용 가능한 수준을 정하여 단기, 중·장기로 구분하여 개선방안을 도출 |
|||
|
산출정보 |
개인정보 침해요인별 개선 방안표 |
|||
|
요구사항 고유번호 |
CNR- 016 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개선 계획 수립(1) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개선 과제 도출 |
||
|
세부 |
◦ 도출된 개인정보 침해요인 및 도출된 개선 방안을 기반으로 개선 과제 도출 - 위험 요소를 제거하거나 최소화할 수 있는 대처 방안 마련 - 위험 요소 해결을 위해 유사 사례에 대한 벤치마킹 등을 수행 - 담당자(개인정보취급자)들이 취약 사항을 시정하기 위해 취해야 할 조치 사항과 책임 사항 등을 마련 |
|||
|
산출정보 |
개선과제 정의서 |
|||
|
요구사항 고유번호 |
CNR- 017 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 개선 계획 수립(2) |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개선 계획 수립 |
||
|
세부 |
◦ 개선 계획은 위험평가를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선 계획표 작성 - 당해 기관 내 보안 조치 현황, 예산, 인력, 정보화 사업 일정 등을 고려 |
|||
|
산출정보 |
개선계획표 |
|||
- 12 -
|
요구사항 고유번호 |
CNR- 018 |
|||
|
요구사항 명칭 |
개인정보 영향평가 수행 요구사항 – 영향평가 보고서 작성 |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개인정보 영향평가 결과 보고서 작성 및 주요 이슈 사항 검토 |
||
|
세부 |
◦ 개인정보 영향평가 결과서 작성 - 영향평가 전 과정 및 산출물을 정리하여 개선계획서, 영향평가서 등 결과 보고서 작성 ◦ 주요 이슈 사항 검토 - 잔존 위험이나 이해관계자 간의 의견 충돌이 있는 경우에는 최고의사 결정권자(기관장 등)를 토론에 참여시킴으로써 해당 사업의 중단·지속 여부 및 개인정보보호 정도에 대한 합의 도출 ◦ 영향평가 보고서를 최종적으로 검토 또는 승인할 수 있는 조직 내 최고 의사결정권자(기관장)에게 보고 |
|||
|
산출정보 |
개인정보 영향평가 결과 보고서 |
|||
|
요구사항 고유번호 |
CNR- 019 |
|||
|
요구사항 명칭 |
영향평가 이행점검 요구사항 |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
선택 |
|
|
요구사항 세부내용 |
정의 |
이행점검 |
||
|
세부 |
◦ 사업 완료 후 수행사에서 개인정보 영향평가 결과물에 대한 개선방안을 이행하였는지에 대해 이행점검을 하여야 함 ◦ 전주대학교의 요청에 따라 이행점검을 실시하며, 이행점검 계획, 방법 및 결과보고서를 제출하여야 함 ※ 이행점검 수행 방법 1. 영향평가기관이 구축사업 등이 종료된 시점에 영향평가 시 개선요구한 사항의 반영여부를 점검 2. 구축사업 등의 감리사업자를 활용하여 영향평가 개선요구사항의 반영여부를 점검하게 함 3. 사업관리자가 직접 영향평가 개선요구사항의 시스템 반영여부를 점검 |
|||
|
산출정보 |
이행점검 결과보고서 |
|||
|
요구사항 고유번호 |
CNR- 020 |
|||
|
요구사항 명칭 |
개인정보 관리체계 컨설팅 |
|||
|
요구사항 분류 |
컨설팅 요구사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
개인정보 관리체계 고도화 컨설팅 |
||
|
세부 |
◦ 개인정보 보호체계 확립 및 관련 규제 준수이행을 위한 고도화 방안 수립 ◦ 주관기관과 충분한 협의 후 고도화 방안 제시 |
|||
|
산출정보 |
개인정보 관리체계 고도화 방안 |
|||
- 13 -
나. 보안 요구사항
|
요구사항 고유번호 |
SER- 001 |
|||
|
요구사항 명칭 |
공통 보안요구사항 |
|||
|
요구사항 분류 |
보안 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
공통 보안 |
||
|
세부 내용 |
◦ 당해 제안과정 또는 업무수행 과정을 통하여 취득한 정보는 절대 외부에 누설, 유출해서는 안 되며, 이를 위반한 경우에는 민·형사상 또는 관계법규에 따라 어떠한 조치와 처벌도 감수해야 함 ◦ 유지관리 인력의 전산실 출입 등 업무수행 시 발주자가 요구하는 보안관련 규정을 충실히 이행하여야 함 |
|||
|
산출정보 |
||||
|
요구사항 고유번호 |
SER- 002 |
|||
|
요구사항 명칭 |
사업 착수시 보안요구사항 |
|||
|
요구사항 분류 |
보안 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
사업 착수시 보안 |
||
|
세부 내용 |
◦ 사업수행에 사용되는 문서, 인원, 장비 등에 대한 물리적, 관리적, 기술적 보안대책 및 보안관리 계획을 수립하여 용역에 투입되는 인력(대표자 포함)에 대한 보안서약서와 함께 제출하여야 하며, 해당 정보 누출시 주관기관은 「국가를 당사자로 하는 계약에 관한 법률」 시행령 제76조에 따라 해당 사업자를 부정당업체로 등록 ◦ 투입인력에 대해 법률 또는 규정에 의한 비밀유지의무 준수 및 위반 시 처벌내용 등에 대한 보안교육 실시 |
|||
|
산출정보 |
||||
|
요구사항 고유번호 |
SER- 003 |
|||
|
요구사항 명칭 |
사업 수행시 보안요구사항 |
|||
|
요구사항 분류 |
보안 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
사업 수행시 보안 |
||
|
세부 내용 |
◦ 보안인식 강화를 위하여 주기적으로 자체 보안교육을 실시하여야 하며, 주관기관이 요구하는 보안교육에 참석해야 함 ◦ 사업수행 중 주관기관의 보안정책을 위반하였을 경우, 위규자 및 관리자를 행정조치하고, 보안위약금을 주관기관에 납부하여야 함 ◦ 과업수행을 위해 제공받은 내부자료에 대해 용역수행책임자(PM)는 “자료관리대장”을 작성하여, 인수인계시 직접 서명·관리해야 함 |
|||
|
산출정보 |
||||
- 14 -
|
요구사항 고유번호 |
SER- 004 |
|||
|
요구사항 명칭 |
사업 완료시 보안요구사항 |
|||
|
요구사항 분류 |
보안 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
사업 완료시 보안 |
||
|
세부 내용 |
◦ 사업 수행과정상 취득한 모든 자료와 정보는 사업수행 중은 물론, 사업완료 후에도 이를 유출해서는 안 되며, 사업종료 시 정보보안담당자 입회하에 반환, 소각 및 완전 폐기 등 필요한 조치 이행 ◦ 사업 종료시, 사업수행업체의 노트북, PC 등은 포맷(Format) 후 반출 ◦ 사업 최종 산출물에 대해 정보보안 전문가 또는 전문보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다. ◦ 제공받은 제반자료, 장비, 서류와 중간ㆍ최종 산출물 등을 전량 반납하고, 업체에 복사본 등 별도 보관은 금지한다. ◦ 사업 관련자료 회수 및 삭제조치 후 복사본 등 사업관련 자료를 보유하고 있지 않다는 대표 명의 확약서 제출하여야 한다. |
|||
|
산출정보 |
||||
다. 품질 요구사항
|
요구사항 고유번호 |
QUR- 001 |
|||
|
요구사항 명칭 |
품질관리 및 보증 방안 |
|||
|
요구사항 분류 |
품질 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
품질관리 및 보증 방안 |
||
|
세부 내용 |
◦ 사업자는 최근의 자료를 이용하여야 하며, 지침 등에 저촉되지 않도록 하여야 함 ◦ 사업자는 각종 과업을 신중히 검토하여야 하며, 그 정당성, 정확도 및 안정성 등에 섬세하고 세밀한 평가를 하여야 함 ◦ 본 사업 수행목적으로 사용한 모든 공식자료 및 통계는 서면으로 그 근거를 제시하여야 함 ◦ 사업자는 본 사업에 관련된 모든 보고서의 조사‧분석된 사항과 정리된 자료의 출처, 연도, 참고사항 등과 분석 자료 등 이에 관련된 기타서류를 제출함 |
|||
|
산출정보 |
||||
|
요구사항 고유번호 |
QUR- 002 |
|||
|
요구사항 명칭 |
산출물 관리 |
|||
|
요구사항 분류 |
품질 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
품질관리(프로젝트 관리 관점) |
||
|
세부 |
◦ 선정된 사업자는 사업추진 과정에서 생산되는 제반 작업 단위별 산출물에 대하여 작업 일정계획 및 품질보증계획과 연계하여 산출물의 종류, 주요 내용, 작성 및 제출 시기, 제출 부수 등을 제시하여야 함 ◦ 산출물 관리방안을 제시하여야 함 |
|||
|
산출정보 |
산출물 관리계획서 |
|||
- 15 -
라. 제약사항
|
요구사항 고유번호 |
COR- 001 |
|||
|
요구사항 명칭 |
프로젝트 장소 및 환경 |
|||
|
요구사항 분류 |
제약사항 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
프로젝트 장소 및 환경 |
||
|
세부 |
◦ 주관기관은 본 사업수행에 필요한 최소한의 작업공간을 제공할 예정이며, 작업공간을 제외한 각종 집기비품 등은 제안사가 부담한다. |
|||
|
산출정보 |
||||
마. 프로젝트 관리 요구사항
|
요구사항 고유번호 |
PMR- 001 |
|||
|
요구사항 명칭 |
업무보고 요구사항 |
|||
|
요구사항 분류 |
프로젝트 관리 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
업무 보고 |
||
|
세부 내용 |
◦ 계약일로부터 10일 이내에 사업수행계획서를 제출하여야 하고, 사업 종료 7일전까지 결과보고서(10부, CD 3매, 요약보고서 포함)를 제출하여야 한다. ◦ 협의된 양식에 의거 정기보고서(주간, 월간 등)를 작성/제출하고 업무보고를 실시하여야 한다. ◦ 사업진행 중 착수보고회, 완료보고회를 개최하여야 하며 개최방법은 전주대학교와 협의한다. ◦ 사업수행 중 발생하는 비정기적인 사안에 대해서 주관기관은 수시보고서 제출을 요구할 수 있다. |
|||
|
산출정보 |
사업수행계획서, 결과보고서, 정기보고서 |
|||
|
요구사항 고유번호 |
PMR- 002 |
|||
|
요구사항 명칭 |
사업수행 조직구성 |
|||
|
요구사항 분류 |
프로젝트 관리 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
사업수행 조직구성 |
||
|
세부 내용 |
◦ 본 사업을 수행할 추진 조직, 인력 구성 및 프로파일과 단계별 인력 투입계획 및 역할, 투입률 등을 제시하여야 하고, 특히 PM, PL의 경우 투입인력의 기술 수준을 상세히 제시하여야 하며, 추후 인력은 본 기관의 동의 없이 사업자 임의로 변경할 수 없음 - 용역 수행 책임자(PM)는 반드시 주관사업자 소속이어야 함 - 특별한 사유가 없는 한 인력 교체는 불가하며, 불가항력 사유로 인력교체 필요 시 인력교체 안정화 및 품질저하방지대책을 제시해야 함 ◦ 프로젝트 추진 일정에 따른 인력 투입계획(전주대학교 투입인력 감안)을 제시하여야 함 ◦ 참여인력은「개인정보 영향평가에 관한 고시(행정자치부 제2015- 53호, ‘15. 12.31) 제5조의 수행인력 자격을 갖추어야 함 - 특급인력을 최소 1인 이상 포함하며, 사업기간 내 영향평가가 완료될 수 있도록 충분한 인력이 투입되어야 함 ◦ 사업자는 투입인력의 개인정보영향 평가관련 자격 및 경력, 기술등급 등을 확인할 수 있는 서류(경력증명서, 경력수첩사본 및 소프트웨어산업협회의 SW기술자경력증명서 등)를 제안 시 제출해야 함 ◦ 본 용역 수행에 있어 자격미달, 근무태도 불량, 기술능력 부족 등으로 판단될 경우에는 해당 기술 인력의 교체를 요구할 수 있으며, 사업자는 특별한 사유가 없는 한 해당 기술 인력을 즉시 교체하여야 하며 인력 교체 시 동급이상의 인력으로 교체하여야 함 |
|||
|
산출정보 |
||||
- 16 -
바. 프로젝트 지원 요구사항
|
요구사항 고유번호 |
PSR- 001 |
|||
|
요구사항 명칭 |
교육계획 수립 |
|||
|
요구사항 분류 |
프로젝트 지원 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
교육계획 수립 |
||
|
세부 내용 |
◦ 개인정보 영향평가 결과물에 대한 사항을 전문가를 통해 개인정보보호 책임자 및 담당자에게 교육을 실시하여야 함 ◦ 사업수행기간 중 개인정보에 필요한 교육을 실시하며, 사업수행계획서에 교육계획서를 포함하여 제출하여야 함 - 전 직원 및 개인정보취급자 대상 교육 - 교육에 필요한 교재 및 소요경비는 업체가 부담 ◦ 개인정보 영향평가 결과물로 주관기관의 업무 처리시 유의사항을 정리하여 직원교육용 자료를 제공하여야 함 ◦ 사업종료 이후에도 추가적인 교육 요구 및 개인정보보호에 대한 자문 역할을 수행하여야 함 |
|||
|
산출정보 |
교육계획서 |
|||
|
요구사항 고유번호 |
PSR- 002 |
|||
|
요구사항 명칭 |
하자ㆍ유지보수 |
|||
|
요구사항 분류 |
프로젝트 지원 |
응낙수준 |
필수 |
|
|
요구사항 세부내용 |
정의 |
하자ㆍ유지보수 |
||
|
세부 내용 |
◦ 무상하자보수기간은 검수일로부터 1년으로 하며, 제안시 하자 및 유지보수 방안을 상세하게 제시하여야 함 - 하자보증 이행으로 발생하는 모든 비용은 제안사가 부담 ◦ 개인정보 영향평가 결과물을 행정자치부에 제출 후 지적된 사항에 대한 보완을 위하여 사업자는 지원체계, 인력을 제시하여야 함 - 행정자치부에 제출한 영향평가서에 대한 보완이 있을 경우 제안사는 추가비용 없이 영향평가서를 보완하여야 함 ◦ 사업 완료 후 도출된 취약점 개선 완료 시까지 자문을 수행하여야 함 |
|||
|
산출정보 |
유지보수 계획서 |
|||
- 17 -
- 18 -