Flexer Server

목 차

Ⅰ. 사업 개요 1

1. 개요 1

2. 추진배경 및 필요성 1

3. 사업범위 1

4. 기대효과 1

Ⅱ. 평가 대상 및 주요 현황 2

1. 평가 대상 시스템 2

2. 주요 현황 2

Ⅲ. 사업추진 방안 4

1. 추진 목표 4

2. 추진 방법 및 절차 4

3. 추진 체계 4

4. 추진 일정 5

Ⅳ. 제안요청 내용 6

1. 요구사항 총괄표 6

2. 요구사항 목록 6

3. 요구사항 세부내용 7

Ⅴ. 제안서 작성 안내 19

1. 제안서 작성 요령 19

2. 제안서 목차 및 작성방법 20

Ⅵ. 제안서 안내사항 22

1. 입찰방식 22

2. 제안서 평가방법 22

3. 평가 항목 및 배점 23

4. 제출 서류 25

5. 제안서 제출 일정 및 방법 25

6. 제안요청 설명회 25

7. 제안서 제출 및 발표 25

8. 입찰시 유의사항 25

Ⅶ. 기타 27

1. 기타 제안관련 정보 27

[별지, 붙임, 별표, 서식 ] 제안서 작성 관련 서식 목록28

- 2 -

I. 사업 개요

1. 개요

가. 사 업 명 : 전주대학교 개인정보 영향평가 사업

나. 사업기간 : 계약일로부터 2개월 이내

다. 사업예산 : 57,000,000원(부가세 포함)

라. 계약방법 : 협상에 의한 계약체결

마. 참가제한 : 개인정보 영향평가기관에 한함(행정자치부 지정)

2. 추진배경 및 필요성

가. 「개인정보 보호법」 시행에 따른 공공기관 개인정보 영향평가 의무화

- 동법 부칙 제6조에 따라 현재 운영 중인 정보시스템은 영 시행일(2011. 9. 30.)로부터 5년 이내(2016. 9. 30.)에 영향평가 수행을 완료하여야 함

나. 개인정보 영향평가를 통해 사전에 개인정보 침해 요인을 파악하고, 개선방안을 수립‧적용하여 개인정보 침해사고를 사전에 예방

다. 개인정보 관련 법‧제도 요건 충적여부, 개인정보보호 현황, 개인정보 유출 위험을 사전에 예방으로 對 국민(학생) 신뢰도 확보

라. 현재 운용 중인 대학종합정보시스템이 개인 및 조직에 미치는 개인정보 침해 요인 파악 필요

3. 사업범위

가. 개인정보 영향평가

- 우리대학에서는 운영 중인 개인정보처리시스템 중 개인정보 영향평가 의무 대상시스템(필수) 및 기타 개인정보처리시스템(선택)

- 개인정보 영향평가 완료 후 문제점 분석을 통한 개선 과제(개인정보 보호 보완‧미이행 사항 등) 조치 및 관리

※ 영향평가 대상 선정기준 : 개인정보보호법 시행령 제35조 준용

나. 개인정보보호 관리체계 컨설팅

- 개인정보보호 규정 제‧개정 및 조직 구성 등에 대한 컨설팅

- 개인정보보호법 등 관계 법령의 이행여부 점검 및 미비점 보완 방안 수립

- 개인정보보호 관리체계 및 시스템 구축을 위한 기능, 프로세스, 자원(인력, 예산) 계획 수립

※ 개인정보 영향평가 및 관리체계 컨설팅을 통한 개선 방안 도출 후 정보시스템 개선 사항 등은 정보화추진위원회 심의 후 추진

- 1 -

II. 평가 대상 및 주요 현황

1. 평가 대상 시스템

<2015. 10. 1. 기준>
시스템	업 무	비 고
대학통합관리시스템(천잠)	학사	학적, 학적변동, 교직이수, 증명(인터넷·우편 발급, 전자학적부 포함), 졸업(졸업인증포함), 교육과정, 개설강좌, 수강신청, 성적, 강의평가, 등록(신입생, 재학생), 장학(신입생, 재학생), 학생생활, 공학인증, 교류학생, 예비군, 학생경력, 학생증, 장애학생, 학점교류학생관리, 외국인학생관리, 전자출결, inSTAR(학생포털웹서비스), 학생통학버스관리, 사회봉사활동, 현장실습, 학생상담StarT, 동아리관리, 채플관리, 해외봉사, 취업통계조사, 교직관리
	행정	인사(총무, 교무), 증명, 급여, 예산, 회계, 구매, 강사료, 연말정산, 학생생활관, 평생교육원, 민간경비교육센터, 가족회사, 웹 천잠정보, 휴양소관리, 신협관리, 도서관관리, 서무관리, 기획실관리, 그룹웨어(핸디), 모바일그룹웨어, E- Book(자료/홍보관), 시설물대여관리, 교육연수원 관리, 교원업적관리, 교수인명록, 영재아카데미, 교원출판, 교목관리, 발전기금, 홈페이지(대표홈페이지 포함)
	시스템관리	DB, WAS, 개발환경(공통환경 포함)
입학관리시스템	입학	대학(수시, 정시, 추가), 편입학, 대학원(일반, 특수)
학교기업시스템	행정	회계, 예산, 구매
학교기업시스템	기타	약고추장, 농생명환경연구센터
산학연구지원시스템	연구비관리	연구과제관리 연구비지출관리, 연구원관리
	인사급여	인사, 급여, 연말정산
	기타	학생연구원 과제참여정보

2. 주요 현황

가. 개인정보파일

<2015. 10. 1. 기준>
기관(부서)	개 수	기관(부서)	개 수
수업학적지원실	6	평생교육지원실	1
정보통신지원실	1	학생지원실	5
도서관	2	현장실습지원센터	1
국제교류지원실	4	대학원	4
대외협력홍보실	1	중등교육연수원	1
취업지원실	8	예비군연대	1
재무지원실	3	입학지원실	2
학생생활관	1
계(15개 기관)		48개

- 3 -

나. 대학조직

<2015. 10. 1. 기준>
기 구	기 구 수
본부	6처 9실 1팀
대학원	8
단과대학 / 학부(과)	10 / 59
교육기본시설	1
부속기관	9
부설연구소	12

다. 학생 및 교직원

<2015. 10. 1. 기준>
구 분			인 원
교원	전임교원	교수	184
		부교수	62
		조교수	117
	조교		172
	겸임교수		42
	초빙교수		67
	기타 비전임		184
	명예교수		41
	시간강사		384
직원	행정·기술직		123
	별정직		2
	계약직		143
교직원 소계			1,521
학생	대학		16,972
	대학원		1276
학생 소계			18,248
총 계			19,769

※ 교직원 : 재직·휴직, 학생 : 재학·휴학 기준임

라. 시스템 구성도 : 방문 후 열람가능

마. 서버 시스템 내역 : 방문 후 열람가능

- 4 -

3. 추진 체계

가. 추진조직


	전주대학교


추 진 팀		사 업 자
정보통신원 총무지원실 개인정보처리부서		영향평가기관

나. 추진조직 역할

조 직		역 할
추 진 팀	정보통신원	·사업 총괄 및 관리·감독 ·세부추진실적 점검 및 검수 ·영향평가 및 실태점검 관리
	총무지원실	·영향평가 및 실태점검 지원 ·영향평가팀 구성 지원 ·개인정보 처리부서와의 협력체계 구축·관리
	개인정보 처리부서	·영향평가 및 실태점검 협조제공 ·개선방안 이행
영향평가기관		·평가계획 수립 ·영향평가팀 구성 ·영향평가 사업 수행 : 사업진도 및 인력관리, 영향평가 및 실태점검 추진, 침해요인 도출 및 개선방안 제시, 세부추진 실적보고, 사용자 교육 및 기술이전 ·평가업무 간 수집된 자료와 산출물에 대한 보안관리 ·평가를 위한 중간 산출물 및 평가 결과보고서 작성 ·산출물에 대한 품질보증 ·영향평가 이행점검 ·기타 주관사업자가 수행할 필요가 있는 업무 등

- 6 -

4. 추진 일정

가. 사업기간 : 계약일로부터 2개월 이내

나. 사업일정

구분	업무내역	일 정								비고
		M				M+1
		W1	W2	W3	W4	W1	W2	W3	W4
사업수행	사업자 선정 및 계약
	영향평가 계획수립
	평가자료 수집 및 분석
	개인정보 흐름 분석
	침해요인 도출
	개선 계획 수립
	관리체계 고도화 컨설팅
프로젝트 완료	검수
프로젝트 완료	완료 보고

- 7 -

IV. 제안요청 내용

1. 요구사항 총괄표

요청사항 구분	약자	설 명	요구사항수
컨설팅 요구사항	CNR	Consulting Requirement	20
보안 요구사항	SER	Security Requirement	4
품질 요구사항	QUR	Quality Requirement	2
제약사항	COR	Constraint Requirement	1
프로젝트 관리 요구사항	PMR	Project Management Requirement	2
프로젝트 지원 요구사항	PSR	Project Support Requirement	2
합 계			31

2. 요구사항 목록

요구사항	고유번호	요구사항 명칭
컨설팅 요구사항	CNR- 001	개인정보 영향평가 일반사항
	CNR- 002	개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(1)
	CNR- 003	개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(2)
	CNR- 004	개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(1)
	CNR- 005	개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(2)
	CNR- 006	개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(3)
	CNR- 007	개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(1)
	CNR- 008	개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(2)
	CNR- 009	개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(3)
	CNR- 010	개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(4)
	CNR- 011	개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(5)
	CNR- 012	개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(1)
	CNR- 013	개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(2)
	CNR- 014	개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(3)
	CNR- 015	개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(4)
	CNR- 016	개인정보 영향평가 수행 요구사항 – 개선 계획 수립(1)
	CNR- 017	개인정보 영향평가 수행 요구사항 – 개선 계획 수립(2)
	CNR- 018	개인정보 영향평가 수행 요구사항 – 영향평가 보고서 작성
	CNR- 019	영향평가 이행점검 요구사항
	CNR- 020	개인정보 관리체계 고도화
보안 요구사항	SER- 001	공통 보안요구사항
	SER- 002	사업 착수시 보안요구사항
	SER- 003	사업 수행시 보안요구사항
	SER- 004	사업 완료시 보안요구사항
품질 요구사항	QUR- 001	품질관리 및 보증 방안
품질 요구사항	QUR- 002	산출물 관리
제약사항	COR- 001	프로젝트 장소 및 환경
프로젝트 관리 요구사항	PMR- 001	업무보고 요구사항
프로젝트 관리 요구사항	PMR- 002	사업수행 조직구성
프로젝트 지원 요구사항	PSR- 001	교육계획 수립
프로젝트 지원 요구사항	PSR- 002	하자ㆍ유지보수

- 8 -

3. 요구사항 세부내용

가. 컨설팅 요구사항

요구사항 고유번호		CNR- 001
요구사항 명칭		개인정보 영향평가 일반사항
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	영향평가 일반사항
	세부 내용	◦ 대학자원관리시스템 및 스마트 학생지원시스템을 대상으로 영향평가를 수행 ◦ 관리적⋅기술적 보호조치의 적정성 및 법적 의무사항 준수여부 등을 확인하여야 함 ◦ 「개인정보 영향평가에 관한 고시」 및 「공공기관 개인정보 영향평가 수행 안내서」 등을 준용하여 사업을 수행하여야 함 ◦ 개인정보보호 관리체계의 적정성 분석과 개선방안 수립을 수행하여야 함 - 기관의 개인정보보호 조직, 개인정보보호 추진계획, 개인정보보호방침, 개인정보 위탁 및 제공 시 안전조치, 개인정보 침해대응, 개인정보 처리구역 보호 등의 분석 및 개선방안 제시 - 대상시스템의 개인정보 취급자, 취급 내용, 보유기간 등의 적정성 및 개선방안 제시 ◦ 개인정보 처리단계별 보호의 적정성 분석 및 조치방안을 마련하여야 함 - 개인정보 수집, 저장 및 보유, 이용 및 연계‧제공, 파기단계에 이르는 각 단계별 보호조치의 적정성 분석 ◦ 개인정보보호 점검결과에 따른 개선방안 및 후속조치방안을 마련하여야 함 - 개인정보보호 관련 법규 위반사항에 대한 개선방안 마련 등 - 개인정보영향평가 결과에 따른 시스템 개선방안 도출 * 개선방안 및 후속조치방안은 조치가 가능하도록 상세히 제시(내부정책자료의 경우 초안, 양식 제공 등의 컨설팅 지원)되어야 함
산출정보

- 9 -

요구사항 고유번호		CNR- 002
요구사항 명칭		개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(1)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개인정보영향평가 계획 수립
	세부 내용	◦ 효율적인 평가 수행을 위한 영향평가 수행계획 수립 ◦ 개인정보영향평가 계획 수립 - 평가목적, 평가대상 및 범위, 평가주체(평가팀), 평가기간, 평가절차(방법), 주요 평가사항, 평가기준 및 항목, 자료 수집 및 분석 계획 등을 포함
산출정보		개인정보 영향평가 수행계획서

요구사항 고유번호		CNR- 003
요구사항 명칭		개인정보 영향평가 수행 요구사항 - 개인정보영향평가 계획 수립(2)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개인정보 영향평가팀 구성 및 운영계획 수립
	세부 내용	◦ 개인정보영향평가팀 구성 방안 및 운영계획 수립 - 평가하고자 하는 사업 자체에 대한 이해와 개인정보보호 관련 법제 및 정책, 전략 수립, 기술·시스템 분석 및 정보보안(Security) 등의 광범위하고 다양한 전문 지식과 정보를 보유한 기관 내 유관 부서, 사업을 구축하는 업체(개발용역업체), 외부 전문가 등으로 팀을 구성 - 영향평가팀에 참여하는 부서 및 유관 기관 담당자의 역할 및 책임 배분 ※ 역할 및 책임 배분 시 담당자의 업무를 명확히 정의하고 업무의 중복을 가급적 지양할 것
산출정보		개인정보 영향평가팀 구성‧운영 계획서

요구사항 고유번호		CNR- 004
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(1)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	내부 정책 평가자료의 수집 및 분석
	세부 내용	◦ 개인정보보호 관련 기관 내부 정책 환경 분석의 적절성 확보 ◦ 개인정보 영향평가를 위한 내부 정책 자료의 수집 및 분석 - (조직·체계 자료) 기관 내 개인정보 보호지침, 개인정보 관리계획, 개인정보보호업무 관련 직제표, 개인정보 보호규정, 정보보안 규정 등의 분석 - (인적 통제·교육 자료) 개인정보 관련 조직 내 업무 분장표 및 직급별 업무 권한 현황, 정보시스템의 접근 권한에 대한 내부 규정, 시스템 운영자 및 정보취급자에 대한 교육 계획, 위탁 업체 관리 규정 등의 분석 - (정보 보안 자료) 방화벽 등 침입차단 시스템 및 백신프로그램 도입 현황, 보안시스템 네트워크 구조도 등의 분석
산출정보		평가자료 분석서

- 10 -

요구사항 고유번호		CNR- 005
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(2)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	외부 정책 평가자료의 수집 및 분석
	세부 내용	◦ 개인정보보호 관련 기관 외부 정책 환경 분석의 적절성 확보 ◦ 개인정보 영향평가를 위한 외부 정책 자료의 수집 및 분석 - 공공기관에게 공통적으로 해당되는 일반 정책 자료의 분석 - 평가 대상 사업에 한해 제한적으로 적용되는 특수 정책 자료의 분석 ※ 개인정보보호 관련 법규 준수 여부 평가(법령, 지침, 가이드라인, 훈령 등)
산출정보		평가자료 분석서

요구사항 고유번호		CNR- 006
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 평가자료의 수집 및 분석(3)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	평가 대상사업 관련자료의 수집 및 분석
	세부 내용	◦ 대상사업 분석의 적절성 확보 ◦ 개인정보 영향평가 대상사업 관련 자료의 수집 및 분석 - (사업수행자료) 사업추진 계획서, 제안 요청서, 과제 수행 계획서, 요구사항 정의서, 업무 매뉴얼(기 구축 시) 등의 분석 - (외부연계) 위탁 계획서, 연계 계획서 등의 분석 - (개발산출물) 시스템 설계서, 요건 정의서, 업무 흐름도, 기능 정의서, Data Flow Diagram, 테이블 정의서, 화면 설계서, 메뉴 구조도, 아키텍쳐 설계서, 시스템 구조도 등의 분석
산출정보		평가자료 분석서

요구사항 고유번호		CNR- 007
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(1)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	평가대상 업무 현황 분석 자료 검토
	세부 내용	◦ 영향평가 대상사업을 면밀히 분석하고 업무를 정의하여 해당 사업을 통해 처리되는 업무 중 개인정보 취급이 수반되는 업무를 도출 ◦ 개인정보 처리업무 현황 분석 자료 검토 - 대상 정보시스템 개발 관련 산출물 분석 및 담당자 인터뷰 등을 통해 수행 - (영향평가 업무명) 영향평가 대상시스템에서 개인정보가 처리되는 업무를 주요 업무단위로 기재 - (취급 개인정보) 평가 업무명 단위로 처리되는 개인정보 기재 - (개인정보 영향도) 처리개인정보의 중요도에 따라 영향도를 산정 ※ 개인정보 처리업무 현황 분석으로 도출된 업무별로 개인정보 처리 업무표 작성할 것
산출정보		개인정보 처리 업무표

- 11 -

요구사항 고유번호		CNR- 008
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(2)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	평가대상 업무 흐름도 작성
	세부 내용	◦ 도출된 개인정보 처리 업무별로 개인정보 처리 업무표의 개인정보 처리 업무별 세부 업무절차를 작성 ◦ 개인정보 처리업무 흐름도 작성 - 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성 ※ 개인정보 처리업무 흐름도는 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계 기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성할 것
산출정보		개인정보 처리업무 흐름도

요구사항 고유번호		CNR- 009
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(3)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개인정보 흐름표 작성
	세부 내용	◦ 개인정보 처리 단계별로 취급되는 개인정보 현황 및 처리 내역 등을 용이하게 식별 할 수 있도록 개인정보 흐름표를 작성 ◦ 개인정보를 처리 업무별로 개인정보의 수집·보유·이용/제공·파기로 구분하여 구체적으로 작성 ◦ 개인정보 흐름표 작성 - 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성 ※ 개인정보 흐름표에는 업무명을 기반으로 개인정보의 수집·보유·이용/제공- 파기에 이르는 Life- Cycle별 현황 등을 기재하여 개인정보의 흐름을 한눈에 이해할 수 있도록 작성할 것
산출정보		개인정보 흐름표

- 12 -

요구사항 고유번호		CNR- 010
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(4)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개인정보 흐름도 작성
	세부 내용	◦ 개인정보 취급이 수반되는 업무별로 개인정보의 수집·보유·이용/제공·파기되는 개인정보의 흐름을 한 눈에 파악할 수 있도록 개인정보 흐름도를 작성 ◦ 개인정보 흐름도 작성 - 개인정보와 관련한 업무를 기재하고, 업무와 관련하여 개인정보 취급과 관련한 담당자 및 담당부서, 정보주체 등을 포함하여 기재 - 개인정보를 취급하는 관련업무, 취급과 관련하여 사용되는 매체(PC, 노트북, 신청서등의 문서)와 수집한 개인정보를 처리할 때 관련한 IT시스템(DB, 웹서버 등)을 표시하고 각 요소들 간의 이동 시 전송되는 개인정보 항목을 기재 ※ 개인정보 흐름도는 개인정보를 취급 업무별로 개인정보 흐름표를 기준으로 수집·보유·이용/제공·파기 등의 생명주기를 기반으로 해당 업무처리자 및 시스템의 구성사항을 고려하여 구체적으로 작성할 것
산출정보		개인정보 흐름도

요구사항 고유번호		CNR- 011
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 흐름 확인(5)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	정보시스템 구조도 및 정보보호 시스템 목록 작성
	세부 내용	◦ 정보시스템 구조도 작성 ◦ 정보보호 기술적·물리적·관리적 보안 메커니즘 목록 작성 ※ 방화벽, 침입탐지시스템과 같은 보안 메커니즘을 포함하여 전송 데이터 암호화, DB 암호화 등 개인정보보호를 위한 기술적·물리적·관리적 보안 메커니즘의 타당성을 검토할 것
산출정보		정보시스템 구조도 및 정보보호 시스템 목록

요구사항 고유번호		CNR- 012
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(1)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	평가 기준 수립 및 개인정보보호 조치 사항 파악을 위한 평가항목 작성
	세부 내용	◦ 「공공기관 개인정보 영향평가 안내서」의 영향평가 항목을 기준으로 영향 평가영역을 구성 ◦ 영향평가기준 및 평가항목 수립 - 개인정보 취급 업무 및 개인정보 흐름이 다수 존재하는 경우에는 각 흐름별로 평가항목을 각각 작성 - 평가 항목 외에도 관련 근거, 항목 설명, 확인 자료 등을 제시하여 작성
산출정보		개인정보 평가 기준 및 평가항목 정의서

- 13 -

요구사항 고유번호		CNR- 013
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(2)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	자료 분석, 현장 실사, 담당자 인터뷰 등을 통해 개인정보보호 조치 현황 파악
	세부 내용	◦ 개인정보 조치사항 및 계획 등을 파악 ◦ 평가기준 및 평가항목에 따라 자료분석, 현장실사, 담당자 및 취급자 대상 인터뷰를 통한 분석 수행 ◦ 개인정보 흐름분석 시 도출된 업무 흐름표를 활용하여 개인정보 라이프 사이클별로 구분한 후, 위험요소별 개인정보 침해요인 분석
산출정보		개인정보 보호조치 현황 분석서

요구사항 고유번호		CNR- 014
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(3)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	도출된 개인정보 침해 요인에 대한 위험도 산정
	세부 내용	◦ 위험요인 분석 및 위험도 산정 - 자산별 침해요인 연계 개념도 작성 - 중요도와 취약점, 위협요소 등을 고려하여 위험요소 분석 및 위험도 산정
산출정보		개인정보 침해요인 위험도 산정표

요구사항 고유번호		CNR- 015
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개인정보 침해요인 도출(4)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	침해요인에 대한 위험 관리 방안 수립
	세부 내용	◦ 위험도의 우선순위에 따라 나열하여 해당 기관이 수용 가능한 수준을 정하여 단기, 중·장기로 구분하여 개선방안을 도출
산출정보		개인정보 침해요인별 개선 방안표

요구사항 고유번호		CNR- 016
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개선 계획 수립(1)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개선 과제 도출
	세부 내용	◦ 도출된 개인정보 침해요인 및 도출된 개선 방안을 기반으로 개선 과제 도출 - 위험 요소를 제거하거나 최소화할 수 있는 대처 방안 마련 - 위험 요소 해결을 위해 유사 사례에 대한 벤치마킹 등을 수행 - 담당자(개인정보취급자)들이 취약 사항을 시정하기 위해 취해야 할 조치 사항과 책임 사항 등을 마련
산출정보		개선과제 정의서

- 14 -

요구사항 고유번호		CNR- 017
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 개선 계획 수립(2)
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개선 계획 수립
	세부 내용	◦ 개선 계획은 위험평가를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선 계획표 작성 - 당해 기관 내 보안 조치 현황, 예산, 인력, 정보화 사업 일정 등을 고려
산출정보		개선계획표

요구사항 고유번호		CNR- 018
요구사항 명칭		개인정보 영향평가 수행 요구사항 – 영향평가 보고서 작성
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개인정보 영향평가 결과 보고서 작성 및 주요 이슈 사항 검토
	세부 내용	◦ 개인정보 영향평가 결과서 작성 - 영향평가 전 과정 및 산출물을 정리하여 개선계획서, 영향평가서 등 결과 보고서 작성 ◦ 주요 이슈 사항 검토 - 잔존 위험이나 이해관계자 간의 의견 충돌이 있는 경우에는 최고의사 결정권자(기관장 등)를 토론에 참여시킴으로써 해당 사업의 중단·지속 여부 및 개인정보보호 정도에 대한 합의 도출 ◦ 영향평가 보고서를 최종적으로 검토 또는 승인할 수 있는 조직 내 최고 의사결정권자(기관장)에게 보고
산출정보		개인정보 영향평가 결과 보고서

요구사항 고유번호		CNR- 019
요구사항 명칭		영향평가 이행점검 요구사항
요구사항 분류		컨설팅 요구사항	응낙수준	선택
요구사항 세부내용	정의	이행점검
	세부 내용	◦ 사업 완료 후 수행사에서 개인정보 영향평가 결과물에 대한 개선방안을 이행하였는지에 대해 이행점검을 하여야 함 ◦ 전주대학교의 요청에 따라 이행점검을 실시하며, 이행점검 계획, 방법 및 결과보고서를 제출하여야 함 ※ 이행점검 수행 방법 1. 영향평가기관이 구축사업 등이 종료된 시점에 영향평가 시 개선요구한 사항의 반영여부를 점검 2. 구축사업 등의 감리사업자를 활용하여 영향평가 개선요구사항의 반영여부를 점검하게 함 3. 사업관리자가 직접 영향평가 개선요구사항의 시스템 반영여부를 점검
산출정보		이행점검 결과보고서

- 15 -

요구사항 고유번호		CNR- 020
요구사항 명칭		개인정보 관리체계 컨설팅
요구사항 분류		컨설팅 요구사항	응낙수준	필수
요구사항 세부내용	정의	개인정보 관리체계 고도화 컨설팅
	세부 내용	◦ 개인정보 보호체계 확립 및 관련 규제 준수이행을 위한 고도화 방안 수립 ◦ 주관기관과 충분한 협의 후 고도화 방안 제시
산출정보		개인정보 관리체계 고도화 방안

나. 보안 요구사항

요구사항 고유번호		SER- 001
요구사항 명칭		공통 보안요구사항
요구사항 분류		보안	응낙수준	필수
요구사항 세부내용	정의	공통 보안
	세부 내용	◦ 당해 제안과정 또는 업무수행 과정을 통하여 취득한 정보는 절대 외부에 누설, 유출해서는 안 되며, 이를 위반한 경우에는 민·형사상 또는 관계법규에 따라 어떠한 조치와 처벌도 감수해야 함 ◦ 유지관리 인력의 전산실 출입 등 업무수행 시 발주자가 요구하는 보안관련 규정을 충실히 이행하여야 함
산출정보

요구사항 고유번호		SER- 002
요구사항 명칭		사업 착수시 보안요구사항
요구사항 분류		보안	응낙수준	필수
요구사항 세부내용	정의	사업 착수시 보안
	세부 내용	◦ 사업수행에 사용되는 문서, 인원, 장비 등에 대한 물리적, 관리적, 기술적 보안대책 및 보안관리 계획을 수립하여 용역에 투입되는 인력(대표자 포함)에 대한 보안서약서와 함께 제출하여야 하며, 해당 정보 누출시 주관기관은 「국가를 당사자로 하는 계약에 관한 법률」 시행령 제76조에 따라 해당 사업자를 부정당업체로 등록 ◦ 투입인력에 대해 법률 또는 규정에 의한 비밀유지의무 준수 및 위반 시 처벌내용 등에 대한 보안교육 실시
산출정보

- 16 -

요구사항 고유번호		SER- 003
요구사항 명칭		사업 수행시 보안요구사항
요구사항 분류		보안	응낙수준	필수
요구사항 세부내용	정의	사업 수행시 보안
	세부 내용	◦ 보안인식 강화를 위하여 주기적으로 자체 보안교육을 실시하여야 하며, 주관기관이 요구하는 보안교육에 참석해야 함 ◦ 사업수행 중 주관기관의 보안정책을 위반하였을 경우, 위규자 및 관리자를 행정조치하고, 보안위약금을 주관기관에 납부하여야 함 ◦ 과업수행을 위해 제공받은 내부자료에 대해 용역수행책임자(PM)는 “자료관리대장”을 작성하여, 인수인계시 직접 서명·관리해야 함
산출정보

요구사항 고유번호		SER- 004
요구사항 명칭		사업 완료시 보안요구사항
요구사항 분류		보안	응낙수준	필수
요구사항 세부내용	정의	사업 완료시 보안
	세부 내용	◦ 사업 수행과정상 취득한 모든 자료와 정보는 사업수행 중은 물론, 사업완료 후에도 이를 유출해서는 안 되며, 사업종료 시 정보보안담당자 입회하에 반환, 소각 및 완전 폐기 등 필요한 조치 이행 ◦ 사업 종료시, 사업수행업체의 노트북, PC 등은 포맷(Format) 후 반출 ◦ 사업 최종 산출물에 대해 정보보안 전문가 또는 전문보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다. ◦ 제공받은 제반자료, 장비, 서류와 중간ㆍ최종 산출물 등을 전량 반납하고, 업체에 복사본 등 별도 보관은 금지한다. ◦ 사업 관련자료 회수 및 삭제조치 후 복사본 등 사업관련 자료를 보유하고 있지 않다는 대표 명의 확약서 제출하여야 한다.
산출정보

다. 품질 요구사항

요구사항 고유번호		QUR- 001
요구사항 명칭		품질관리 및 보증 방안
요구사항 분류		품질	응낙수준	필수
요구사항 세부내용	정의	품질관리 및 보증 방안
	세부 내용	◦ 사업자는 최근의 자료를 이용하여야 하며, 지침 등에 저촉되지 않도록 하여야 함 ◦ 사업자는 각종 과업을 신중히 검토하여야 하며, 그 정당성, 정확도 및 안정성 등에 섬세하고 세밀한 평가를 하여야 함 ◦ 본 사업 수행목적으로 사용한 모든 공식자료 및 통계는 서면으로 그 근거를 제시하여야 함 ◦ 사업자는 본 사업에 관련된 모든 보고서의 조사‧분석된 사항과 정리된 자료의 출처, 연도, 참고사항 등과 분석 자료 등 이에 관련된 기타서류를 제출함
산출정보

- 17 -

요구사항 고유번호		QUR- 002
요구사항 명칭		산출물 관리
요구사항 분류		품질	응낙수준	필수
요구사항 세부내용	정의	품질관리(프로젝트 관리 관점)
	세부 내용	◦ 선정된 사업자는 사업추진 과정에서 생산되는 제반 작업 단위별 산출물에 대하여 작업 일정계획 및 품질보증계획과 연계하여 산출물의 종류, 주요 내용, 작성 및 제출 시기, 제출 부수 등을 제시하여야 함 ◦ 산출물 관리방안을 제시하여야 함
산출정보		산출물 관리계획서

라. 제약사항

요구사항 고유번호		COR- 001
요구사항 명칭		프로젝트 장소 및 환경
요구사항 분류		제약사항	응낙수준	필수
요구사항 세부내용	정의	프로젝트 장소 및 환경
	세부 내용	◦ 주관기관은 본 사업수행에 필요한 최소한의 작업공간을 제공할 예정이며, 작업공간을 제외한 각종 집기비품 등은 제안사가 부담한다.
산출정보

마. 프로젝트 관리 요구사항

요구사항 고유번호		PMR- 001
요구사항 명칭		업무보고 요구사항
요구사항 분류		프로젝트 관리	응낙수준	필수
요구사항 세부내용	정의	업무 보고
	세부 내용	◦ 계약일로부터 10일 이내에 사업수행계획서를 제출하여야 하고, 사업 종료 7일전까지 결과보고서(10부, CD 3매, 요약보고서 포함)를 제출하여야 한다. ◦ 협의된 양식에 의거 정기보고서(주간, 월간 등)를 작성/제출하고 업무보고를 실시하여야 한다. ◦ 사업진행 중 착수보고회, 완료보고회를 개최하여야 하며 개최방법은 전주대학교와 협의한다. ◦ 사업수행 중 발생하는 비정기적인 사안에 대해서 주관기관은 수시보고서 제출을 요구할 수 있다.
산출정보		사업수행계획서, 결과보고서, 정기보고서

- 18 -

요구사항 고유번호		PMR- 002
요구사항 명칭		사업수행 조직구성
요구사항 분류		프로젝트 관리	응낙수준	필수
요구사항 세부내용	정의	사업수행 조직구성
	세부 내용	◦ 본 사업을 수행할 추진 조직, 인력 구성 및 프로파일과 단계별 인력 투입계획 및 역할, 투입률 등을 제시하여야 하고, 특히 PM, PL의 경우 투입인력의 기술 수준을 상세히 제시하여야 하며, 추후 인력은 본 기관의 동의 없이 사업자 임의로 변경할 수 없음 - 용역 수행 책임자(PM)는 반드시 주관사업자 소속이어야 함 - 특별한 사유가 없는 한 인력 교체는 불가하며, 불가항력 사유로 인력교체 필요 시 인력교체 안정화 및 품질저하방지대책을 제시해야 함 ◦ 프로젝트 추진 일정에 따른 인력 투입계획(전주대학교 투입인력 감안)을 제시하여야 함 ◦ 참여인력은「개인정보 영향평가에 관한 고시(행정자치부 제2015- 53호, ‘15. 12.31) 제5조의 수행인력 자격을 갖추어야 함 - 고급인력을 최소 1인 이상 포함하며, 사업기간 내 영향평가가 완료될 수 있도록 충분한 인력이 투입되어야 함 ◦ 사업자는 투입인력의 개인정보영향 평가관련 자격 및 경력, 기술등급 등을 확인할 수 있는 서류(경력증명서, 경력수첩사본 및 소프트웨어산업협회의 SW기술자경력증명서 등)를 제안 시 제출해야 함 ◦ 본 용역 수행에 있어 자격미달, 근무태도 불량, 기술능력 부족 등으로 판단될 경우에는 해당 기술 인력의 교체를 요구할 수 있으며, 사업자는 특별한 사유가 없는 한 해당 기술 인력을 즉시 교체하여야 하며 인력 교체 시 동급이상의 인력으로 교체하여야 함
산출정보

바. 프로젝트 지원 요구사항

요구사항 고유번호		PSR- 001
요구사항 명칭		교육계획 수립
요구사항 분류		프로젝트 지원	응낙수준	필수
요구사항 세부내용	정의	교육계획 수립
	세부 내용	◦ 개인정보 영향평가 결과물에 대한 사항을 전문가를 통해 개인정보보호 책임자 및 담당자에게 교육을 실시하여야 함 ◦ 사업수행기간 중 개인정보에 필요한 교육을 실시하며, 사업수행계획서에 교육계획서를 포함하여 제출하여야 함 - 전 직원 및 개인정보취급자 대상 교육 - 교육에 필요한 교재 및 소요경비는 업체가 부담 ◦ 개인정보 영향평가 결과물로 주관기관의 업무 처리시 유의사항을 정리하여 직원교육용 자료를 제공하여야 함 ◦ 사업종료 이후에도 추가적인 교육 요구 및 개인정보보호에 대한 자문 역할을 수행하여야 함
산출정보		교육계획서

- 19 -

요구사항 고유번호		PSR- 002
요구사항 명칭		하자ㆍ유지보수
요구사항 분류		프로젝트 지원	응낙수준	필수
요구사항 세부내용	정의	하자ㆍ유지보수
	세부 내용	◦ 무상하자보수기간은 검수일로부터 1년으로 하며, 제안시 하자 및 유지보수 방안을 상세하게 제시하여야 함 - 하자보증 이행으로 발생하는 모든 비용은 제안사가 부담 ◦ 개인정보 영향평가 결과물을 행정자치부에 제출 후 지적된 사항에 대한 보완을 위하여 사업자는 지원체계, 인력을 제시하여야 함 - 행정자치부에 제출한 영향평가서에 대한 보완이 있을 경우 제안사는 추가비용 없이 영향평가서를 보완하여야 함 ◦ 사업 완료 후 도출된 취약점 개선 완료 시까지 자문을 수행하여야 함
산출정보		유지보수 계획서

- 20 -

V. 제안서 작성 안내

1. 제안서 작성 요령

가. 제안서의 효력

1) 제안서에 제시된 내용과 전주대학교 요구에 의하여 수정, 보완, 변경된 제안내용은 계약서에 명시하지 아니하더라도 계약서와 동일한 효력을 갖는다. 다만, 계약서에 명시된 경우는 계약서가 우선한다.

2) 전주대학교는 필요시 제안사에 대하여 추가 제안 또는 자료를 요구할 수 있으며, 이에 따라 제출된 자료는 제안서와 동일한 효력을 갖는다.

3) 정부의 조치나 전주대학교의 환경 변화에 따라 제안서의 일부 또는 전부가 변경되거나 취소되더라도 제안사가 이의를 제기할 수 없다.

4) 제출된 제안서의 내용은 전주대학교가 요청하지 않는 한 변경할 수 없다.

5) 제안서에 대한 해석상의 문제가 있을 경우 상호 협의하여 조정한다.

나. 제안서 작성지침 및 유의사항

1) 제안서는 제안요청서에서 요구하는 모든 사항이 기술되어야 하며, 향상된 내용으로 제안할 수 있다.

2) 제안서는 제시된 제안서 목차 및 제안서 세부작성지침을 준용하여 각각 세분하여 누락 없이 작성하고, 제안요청서의 요구항목들이 제안서의 어느 부분에 기술되었는지 참조표를 제시하여야 한다.

3) A4지 3hole 바인더 사용을 권고한다.

- 제안서 본문 내용은 100페이지 이내로 작성 권고

- 양면 및 단색(제안설명회 설명자료 포함)으로 인쇄 권고

- 제안설명시 홍보용 동영상 활용 금지

4) 제안서는 A4종 방향작성을 원칙으로 하되, 부득이한 경우 A4횡 또는 기타 용지를 일부 사용할 수 있다.

5) 제안서의 각 페이지는 쉽게 참조할 수 있도록 페이지 하단 중앙에 일련번호를 붙이되, 각 장별로 번호를 부여한다.

6) 제안서는 한글작성이 원칙이며, 사용된 영문약어에 대해서는 약어표를 제공해야 한다.

7) 제안서의 내용을 객관적으로 입증할 수 있는 관련 자료는 제안서의 별첨으로 제출하여야 한다.

8) 제안서의 내용은 명확한 용어를 사용하여 표현. 예를 들어, “사용가능하다”,“할 수 있다”, “고려하고 있다” 등과 같이 모호한 표현은 평가 시 불가능한 것으로 간주하며, 계량화가 가능한 것은 계량화하여야 한다.

- 21 -

2. 제안서 목차 및 작성방법

항 목	작성 방법	비 고
Ⅰ. 제안개요	제안사는 본 사업의 제안요청 내용을 명확하게 이해하고 본 제안의 목적, 범위, 전제조건 및 제안의 특징 및 장점을 요약하여 기술하여야 한다.
Ⅱ. 제안업체 일반
1. 제안사 일반현황	제안사의 일반현황 및 주요 연혁, 최근 3년간의 자본금 및 부문별 매출액 등 재정 상태를 제시한다.	별지 제2호 별지 제3호 신용평가등급확인서 개인정보영향평가기관지정서
2. 제안사의 조직 및 인원	제안사(컨소시엄 포함)의 조직 및 인원현황을 제시하여야 한다.
3. 주요사업 실적	제안사의 3년 이내의 개인정보영향평가 사업실적을 제시하여야 한다.	별지 제4호
4. 수행조직 및 업무분장	본 사업을 수행할 조직 및 업무분장 내용을 상세히 제시하여야 한다. - 용역책임자는 임원급으로 제시 - 컨소시엄 업체가 있는 경우 업무분장 내역에 공동수급업체별 참여비율을 명시
5. 투입인력 및 이력사항	본 사업을 수행할 투입인력(PM, PL, 주요 기술자 등)에 대한 이력사항을 제시하여야 한다. - 성명, 소속, 최종학력, 해당분야근무경력, 보유 자격증 현황, 본사업 참여임무, 근무경력 및 기술경력, 목표투입공수(M/M), 최근 3년간 주요경력(유사BPR/ISP, 컨설팅) ※ 제안요청 내용과 연관 없는 불필요한 학력사항 및 자격사항은 배재	별지 제5호
Ⅲ. 사업수행 부문
1. 사업이해도	제안사는 해당사업의 제안요청 내용을 명확하게 이해하고 본 제안의 목적, 범위, 전제조건 및 제안의 특징 및 장점을 요약하여 기술하여야 한다.
2. 추진전략	제안사는 사업을 효과적으로 수행하기 위한 추진전략(위험요소를 고려하여 창의적이고 타당한 대안)을 제시하여야 한다.
3. 적용기술	제안사는 사업수행을 위한 주요 적용기술 및 세부수행방법론, 적용기술의 실현가능성 등을 제시하여야 한다.
4. 사업수행 방법론	업무개발에 적용할 방법론 절차 및 기법의 활용방안을 제시하여야 하며, 적용방법론의 경험을 기술한다. 사업수행방법론에 따른 제출할 산출물의 종류 및 내역, 제출시기를 기술한다.
Ⅳ. 기술 및 품질관리
1. 컨설팅 요구사항 수행방안	제안사는 영향평가 일반 요구사항, 영향평가 수행 요구사항, 영향평가 이행점검 요구사항 등으로 구분하여 각 구분별 제안내역 등을 제시하고 구체적인 요구사항 수행방안을 기술하여야 한다.
2. 보안 요구사항 수행방안	보안요구사항 및 대상 시스템과의 관련성을 분석하고 적용할 보안기술, 표준, 제안방안 등을 구체적으로 제시하여야 한다.
3. 품질 요구사항수행방안	각 사업수행 단계별 품질 요구사항의 점검 및 검토 방안을 구체적으로 제시하여야 한다.
4. 제약사항 수행방안	기능 및 품질 등 요구사항 구현 시 관련 제약사항과 대응방안을 구체적으로 기술하여야 한다.
Ⅴ. 프로젝트 관리
1. 관리방법론	사업위험, 사업진도, 사업수행시 보안을 관리하는 방법, 사업수행 성과물이나 산출물의 형상 및 문서를 관리하는 방법 등을 구체적으로 제시하여야 한다.
2. 관리역량	프로젝트 관리자(PM)의 타 프로젝트 사업관리 실적, 유사 프로젝트 관리 경험, 의사소통 능력 등 프로젝트 관리 역량을 제시하여야 한다.
3. 일정계획	사업수행에 필요한 활동을 도출하여 정확한 활동 기간, 자원, 인력, 조직 등을 제시하여야 한다.
Ⅵ. 프로젝트 지원
1. 품질보증	조직, 인원, 방법, 절차 등 해당 사업의 수행을 위한 품질보증 방안을 제시하여야 한다.
2. 교육훈련	사용자, 관리자 등 시스템의 이용대상자별로 구분하여 교육훈련 횟수, 방법, 내용, 교육일정, 교육훈련 조직 등을 상세히 제시하여야 한다.
3. 유지보수	하자보수 및 유지보수 계획, 조직, 절차, 범위 및 기간과 이와 관련된 기타의 활동 등을 종합적으로 제시하여야 한다. 특히, 사업수행 완료 후 이행점검 단계에 대한 구체적인 지원방안을 제시하여야 한다.
4. 기밀보안	기밀보안 체계 및 대책, 저작권 존중여부 명시, 시스템 보안성 확보방안과 개인정보보호 대책을 제시하여야 한다.
Ⅶ. 기타사항
1. 기타	상기 항목에서 제시되지 않은 기타 내용을 기술한다.
2. 서약서		서식 1,2,3호

- 22 -

VI. 제안서 안내사항

1. 입찰방식

가. 사업자 선정방식

1) 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제43조 및 제43조의2에 의거 「협상에 의한 계약체결」 방법을 적용한다.

2) 계약체결에 필요한 세부적인 사항은 기획재정부 계약예규 「협상에 의한 계약체결기준」을 적용한다.

나. 입찰참가 자격기준

1) 「국가를 당사자로 하는 계약에 관한 법률 시행령」 제12조(경쟁입찰의 참가자격) 및 동법 시행규칙 제14조(입찰참가자격요건의 증명) 규정에 의한 경쟁입찰 참가자격을 갖추어야 한다.

2) 제안사(공동수급인 경우 공동수급체 포함)는 「개인정보보호법」 제33조 및 동법 시행령 제37조, 제38조에 따라 행정자치부에서 개인정정보 영향평가 기관으로 지정된 업체여야 한다.

3) 「국가를 당사자로 하는 계약에 관한 법률」제27조 및 동법 시행령 제 76조(부정당업자의 입찰참가자격 제한)에 해당되지 않은 업체이어야 한다.

4) 본 사업은 전문성 확보를 위하여 제안사(공동수급의 경우 공동수급체 구성원 포함)가 직접 수행함을 원칙으로 하며 하도급은 불허한다.

5) 본 사업에 필요한 모든 비용은 가격입찰금액에 포함시켜야 한다.

2. 제안서 평가방법

가. 기술평가와 가격평가를 실시하여 종합평가점수로 평가

1) 평가비율 : 기술평가(90%), 가격평가(10%)

2) 종합평가점수 = 기술평가점수 + 입찰가격 평가점수

3) 동점 시 처리방침

- 종합평가점수가 동점인 경우 기술평가 점수가 높은 업체를 선정

- 기술평가점수도 동일한 경우 배점이 높은 평가항목에서 점수가 높은 업체 선정

나. 기술평가 방법

1) 제안서의 공정한 평가를 위해 전문가로 구성된 기술평가위원회 구성한다.

2) 각 항목별 평가배점과 방법은 「3. 평가 항목 및 배점」에 의한다.

3) 각 평가위원의 평가점수를 산술평균한 점수를 90점 만점으로 환산하며 기술능력평가 분야 배점한도의 85%(76.5점) 이상인 자를 협상적격자로 선정한다.

- 23 -

4) 평가점수 결과는 소수점 셋째 자리에서 반올림한다.

다. 우선협상대상자 선정 및 계약체결

1) 협상대상자 중 기술평가점수와 가격평가점수를 합한 점수가 1위인 제안사를 우선협상대상자로 선정하여 기타 지원조건 등을 협상한다.

2) 협상대상자와 협상이 모두 결렬되면 재공고하여 재입찰 추진한다.

3) 기타 규정되지 않은 사항은 조달청 규정에 의한다.

3. 평가 항목 및 배점

가. 평가 항목 및 배점 기준

평가부문			평가항목	평가요소	배점
기술평가 (90)	일반부문 (10점)	정량 평가	경영상태	∙ 신용평가기관의 신용평가 등급	5
	일반부문 (10점)	정량 평가	주요사업 수행실적	∙ 개인정보영향평가 용역 수행 실적	5
	전략 및 방법론 (10점)	정성 평가	사업이해도	∙ 대상업무 및 제안요청사항에 대한 이해도	5
	전략 및 방법론 (10점)	정성 평가	추진전략	∙ 추진전략의 창의성 및 타당성, 실현 가능성	5
	사업수행 방안 (30점)	정성 평가	영향평가 방법론	∙ 수행방안 및 방법론 제시 - 추친체계, 추진전략, 구체적 계획 및 추진방안, 지원방안 ∙ 평가방법, 항목 등 영향평가체계의 우수성 ∙ 이행여부 점검 등 제안요청사항에 대한 수행방안의 적절성	20
	사업수행 방안 (30점)	정성 평가	산출물내역	∙ 제출할 산출물의 종류 및 내역, 제출시기의 적정성 ∙ 개선방안 및 후속조치방안의 구체성	10
	프로젝트 관리 (25점)	정성 평가	수행조직	∙ 영향평가 수행실적의 질적 평가 - 실적유형(공공/민간/금융), 수행규모, 수행기관 등 ∙ 영향평가 투입인력의 자질 및 경험, 숙련도 등 ∙ 고급수행인력(책임자포함) 투입비율 등 인력구성 우수성	10
			책임자	∙ 책임자(PM)의 기술자격, 보안 및 영향평가 수행경력 등 전문성 보유여부	10
			일정계획	∙ 사업수행에 필요한 활동 기간산정의 적절성 ∙ 활동간 배열의 합리성 및 투입자원의 적절성	5
	프로젝트 지원 (15점)	정성 평가	품질보증	∙ 업무의 품질 보증을 위한 조직 및 방법	5
			교육훈련	∙ 교육훈련 조직, 일정, 방법, 내용의 적정성 및 구체성	5
			유지보수	∙ 사업종료 후 자문 등 지원체계 운영방안 ∙ 행정자치부 지적사항 보완을 위한 지원 방안	5
	기술평가 계				90
가격평가 (10)	입찰가격제안(10)			∙ 협상에 의한 계약체결 기준에 의함	10
합 계					100

- 24 -

나. 정량적 평가요소 배정 기준

1) 경영상태 평가

객관적 평가지표 배점 기준
신용평가등급			배점	평점
회사채	기업어음	기업신용	배점	평점
A- 이상	A2- 이상	A- 이상	5	5.00
BBB+	A3+	BBB+		4.81
BBB0	A30	BBB0		4.62
BBB-	A3-	BBB-		4.33
BB+, BB0	B+	BB+, BB0		4.25
BB-	B0	BB-		4.06
B+, B0, B-	B-	B+, B0, B-		3.87
CCC+ 이하	C 이하	CCC+ 이하		3.68
◦ 「신용정보의 이용 및 보호에 관한 법률」제4조제1항 제1호 또는 제4호의 업무를 영위하는 신용정보업자가 입찰공고일 이전에 평가한 유효기간 내에 있는 회사채, 기업어음, 기업신용평가등급을 기준으로 평가하되 가장 최근의 신용평가등급으로 평가한다. ◦ ‘신용평가등급 확인서’가 확인되지 않은 경우에는 최저등급으로 평가하며, 유효기간 만료일이 입찰공고일인 경우에도 유효한 것으로 평가한다. ◦ 합병한 업체에 대하여는 합병후 새로운 신용평가등급으로 심사하여야 하며 합병 후의 새로운 신용평가등급이 없는 경우에는 합병대상 업체 중 가장 낮은 신용평가등급을 받은 업체의 신용평가등급으로 심사한다.

2) 주요사업 수행실적 평가

구 분

해당 사업규모 대비 입찰공고일 기준 최근 3년간 사업수행실적 비율[합산 금액기준]

동등이상 사업

100% 이상

70% 이상 ~

100% 미만

40% 이상 ~

70% 미만

10% 이상 ~

40% 미만

10% 미만

배 점

4.67

4.34

4.01

3.87

- 25 -

4. 제출 서류

가. 제출서류 : “입찰공고문” 에 따름

나. 제안서 기재내용을 입증할 수 있는 서류는 제안서에 별첨 첨부

5. 제안서 제출 일정 및 방법

가. 제출기한 및 제출방법 : “입찰공고문” 참조

나. 문의처

1) 사업진행 관련 : 전주대학교 정보통신원 ☎063- 200- 2983

1) 입찰‧계약 관련 : 전주대학교 총무지원실 ☎063- 200- 2145

다. 제출종류 및 부수

1) 제안서(첨부자료 포함) 5부

2) 제안요약서, 제안서 설명회 발표자료 각 5부

3) 제안서 및 제안요약서, 발표자료 내용을 수록한 CD 3장

※ 제안서와 제안요약서, 발표자료를 별도 파일로 저장하여야 함

6. 제안요청 설명회 : 별도 실시하지 않음

7. 제안서 제출 및 발표

가. 제출장소 및 일시 : 제안서 접수 마감 후 개별 통보

나. 유의사항

1) 제안 설명은 제안사(주사업자)의 실무책임자(PM)가 직접 발표하여야 한다.

2) 참석자는 제안사 소속 근무자임을 증빙하는 서류를 제출하여야 한다.

8. 입찰시 유의사항

가. 제출된 제안서는 일체 반환하지 않으며, 본 제안과 관련된 일체의 소요비용은 입찰참가자의 부담으로 한다.

나. 낙찰자로 결정된 이후에 공동수급 구성원을 변경할 수 없다.

다. 제안서 인력은 단독 또는 공동수급 구성원의 자사인력으로 구성하여야 한다.

라. 공동수급체 소속 외의 인력은 하도급으로 간주하며, 발주사의 승인을 얻지 못할 경우에는 공동수급체 구성원 자사인력으로 대체하여야 한다.

※ 단, 외부 자문인력 등 통상적인 개발인력이 아닌 경우는 참여인력에서 제외함

마. 공동계약의 경우, 공동수급 구성원 중 정당한 이유 없이 공동계약이행계획서에

- 26 -

VII. 기타

1. 기타 제안관련 정보

가. 무상 하자보수는 일괄 수행체계를 갖추고 사업 완료 (검수) 후 1년으로 하며, 동기간 중 산출물의 하자 발생 시 즉시 보완해야 한다.

- 하자보증 이행으로 발생하는 모든 비용은 납품업체가 부담(하자보증은 과업의 일부로 부실에 대한 부담은 납품업체가 부담)

나. 하자보수 범위는 사업 수행 산출물을 포함한 전체 사업 수행 범위로 한다.

다. 본 사업의 수행 결과물(계약목적물)에 대한 지식재산권은 전주대학교와 계약상대자가 공동으로 소유하며, 별도의 정함이 없는 한 지분은 균등한 것으로 한다. 다만, 개발의 기여도 및 계약목적물의 특수성(보안, 영업비밀 등)을 고려하여 계약당사자간의 협의를 통해 지식재산권 귀속주체 등에 대해 공동소유와 달리 정할 수 있다. 또한, 지식재산권의 타용도 및 상업적 활용 시 반드시 전주대학교와 협의하여야 한다.

라. 본 사업은 수주자(공동계약의 경우 공동수급체 구성원 포함)가 직접 수행함을 원칙으로 한다.

마. 전주대학교에서는 (별표3) 같이 누출금지 대상정보 및 누출시 제재조치 사항을 지정하며, 입찰 및 사업 수행과정에서 무단으로 누출할 경우 관련 법령에 따라 부정당업자로 입찰참가자격을 제한한다.

바. 용역수행을 위해 투입되는 인력에 필요한 특정 S/W 및 라이선스는 전주대학교에서 제공하지 않는다.

- 28 -

[별지 제1호 서식]

제안서 평가 조견표

평가부문	평가항목	제안서쪽수	비고
일반부문	경영상태
일반부문	주요사업 수행실적
전략 및 방법론	사업이해도
전략 및 방법론	추진전략
사업수행 방안	영향평가 방법론
사업수행 방안	산출물내역
프로젝트 관리	수행조직
	책임자
	일정계획
프로젝트 지원	품질보증
	교육훈련
	유지보수

- 30 -

[별지 제3호 서식]

자본금 및 매출액 (최근 3년)

(단위 : 천원)

구 분		M- 2 년도	M- 1년도	M 년도
자 본 금
매 출 액	⃝⃝부문 ⃝⃝부문 ⃝⃝부문 ⃝⃝부문
매 출 액	합 계

※ 컨설팅 매출액의 경우 개인정보영향평가, BPR/ISP, 전략컨설팅, 보안컨설팅, 감리, 기타로 구분하여 기재한다.

- 32 -

[별지 제4호 서식]

주요사업 수행실적

업 체 명	(대표자 : )
사 업 명	사 업 기 간	계 약 금 액 (천원)	발 주 처	비 고

실적금액 총 합계	천원

※ 주요사업 수행실적은 최근 3년 이내(2013.5월~2016.4월)에 사업이 완료된 개인정보영향평가 수행 실적을 최근 수행연도 순으로 기재한다.

※ 하도급은 발주처가 승인한 경우에 한하여 작성하며 비고란에 원도급회사를 기재한다.

※ 공동도급계약일 경우에는 계약금액란에 제안사의 지분만을 기재한다.

※ 사업별 사용 개발방법론을 비고에 기재한다.

※ 한국소프트웨어산업협회에서 발급하는 이행실적확인서를 활용 가능하다.

※ 실적을 확인할 수 있는 실적증명서, 계약서 등의 증거서류제출, 확인이 불가능한 실적은 인정하지 않는다.

※ 실적증명자료는 붙임으로 첨부하여야 하며, 실적증명첨부서류에 페이지를 명시하여 주요 사업실적 비고란에 페이지를 표시하여야 한다.

- 33 -

[별지 제5호 서식]

참여인력 이력현황

성 명		소 속	직 책	연 령	세
학 력	대학교 전공		근무경력 및 기술경력	년 개월
	대학원 전공		자 격 증
본사업참여임무				목표투입공수

경 력

사 업 명

참 여 기 간

(년월 ～ 년월)

담 당 업 무

발 주 처

비 고

※ 근무 경력확인서, 기술 경력확인서는 소프트웨어산업 진흥법 시행규칙(미래창조과학부령 제1호, 2013.03.24.) 제13조(소프트웨어기술자의 신고절차 등)에 근거하여 근무 경력확인서 및 기술 경력확인서를 사용자(대표자) 또는 소프트웨어 사업 발주자 확인을 받아 제출해야 한다.(소프트웨어기술자 경력관리기관의 소프트웨어 기술경력증명서)

※ 자격증, 경력 및 수행업무와 관련된 사항을 증명할 수 있는 자료를 붙임으로 첨부하여야 하며, 첨부되지 않은 자료에 대하여는 인정하지 않는다.

※ 소속회사에 대한 재직증명서와 국민연금 가입자 가입증명(국민연금 : www.nps.or.kr) 또는 건강보험자격득실확인서(국민건강보험공단, www.nhic.or.kr) 자료를 제시하여야 한다.

※ 영향평가 참여인력은 「개인정보 영향평가에 관한 고시」제5조에 근거하여 영향평가 전문인력 인증서를 부여받은 인력만 평가업무를 수행할 수 있다.

- 34 -

[별지 제6호 서식]

입찰참가신청서 ※ 아래 사항 중 해당되는 경우에만 기재하시기 바랍니다.						처리기간
						즉 시
신 청 인	상호 또는 법인 명칭			법인등록번호
	주 소			전 화 번 호
	대 표 자
입 찰 개 요	입 찰 공 고 (지 명) 번 호	제2016 - 호		입 찰 일 자	2016. . .
	입 찰 건 명	전주대학교 개인정보 영향평가 사업(협상)
입 찰 보 증 금	납 부	‧ 보증금율 : 5 % ‧ 보 증 액 : 금 원정(￦ ) ‧ 보증금 납부방법 :
	납부면제 및 지 급 확 약	‧ 사 유 : 해당없음 ‧ 본인은 낙찰 후 계약 미체결 시 귀 대학교의 낙찰금액에 해당하는 소정의 입찰보증금을 현금으로 납부할 것을 확약합니다.
대 리 인 ‧ 사 용 인 감	본 입찰에 관한 일체의 권한을 다음의 자에게 위임합니다. ‧ 성 명 : ‧ 주민등록번호 :		‧ 본 입찰에 사용할 인감을 다음과 같이 신고합니다. 사용인감 󰄫
당사는 위의 번호로 공고 한 귀 대학교의 일반(제한)경쟁입찰에 참가하고자 귀교에서 정한 공사(용역)입찰유의서 및 입찰공고사항을 모두 승낙하고 별첨 서류를 첨부하여 입찰참가 신청을 합니다. 붙 임 : 공고로서 정한 서류 각 1부. 끝. 2016. . . 입 찰 참 가 자 : (인) 전주대학교 총장 귀하

- 35 -

[별지 제7호 서식]

가 격 입 찰 서
입 찰 내 용	공 고 번 호	제 2016 - 호	입 찰 일 자	2016. .
	입 찰 명	전주대학교 개인정보 영향평가 사업(협상)
	금 액	금 원정(￦ ) 【부가가치세 포함】
	용 역 기 간
입 찰 참 가 자	상호 또는 법인명칭		사업자 등록번호
	주 소		전 화 번 호
	대 표 자
당사는 귀 대학교의 입찰공고 및 용역입찰유의서에서 정한 바에 따라 응찰하여 이 입찰이 귀교에 의하여 계약자로 선정되면 용역계약 특수조건 등 일반조건‧설계서 및 현장설명 내용에 따라 위의 입찰금액으로 준공기한 내에 신의와 성실로써 용역을 완공할 것을 확약하며 입찰서를 제출합니다. 붙 임 : 세부 산출 내역서 1 부. 2016. . . 입 찰 상 호 명 : 󰄫 전주대학교 총장 귀하

- 36 -

[붙임1] 외주용역사업 비밀유지 계약서

외주용역사업 비밀유지 계약서

전주대학교(이하 “갑”이라 한다)와 (주)ooo (이하 “을”이라 한다)는 “갑”의 전주대학교 개인정보 영향평가 사업을 “을”이 수행함에 있어 다음과 같은 내용으로 비밀유지 계약을 체결한다.

제1조 (목적) 이 계약은 “갑”의 전주대학교 개인정보 영향평가 사업“을”이 수행하고, “을”은 이를 승낙하여 “을”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 보안관련 사항을 정함을 목적으로 한다.

제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는 「국가정보보안기본지침, 교육부 정보보안기본지침 및 전주대학교 정보보안기본지침」에서 정의된 바에 따른다.

제3조 (보안위규 처리 기준) “을”은 “갑”의 보안정책을 위반하였을 경우 [붙임1]의 (별표1)‘사업자 보안위규 처리기준’에 따라 위규자 및 관리자를 행정조치 한다.

제4조 (누출금지대상 정보 및 누출시 제재 조치사항) “을”은 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책을 수립하여야 하며, 별 [붙임1]의 (별표3)의 누출금지 대상 정보를 외부에 누출하지 않아야 한다. 이를 위반 시 (별표3)의 제재 조치가 된다.

4조 (누출금지대상 정보) “을”은 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책을 수립하여야 하며, [붙임1]의 (별표3)의 누출금지 대상 정보를 외부에 누출하지 않아야 한다. 이를 위반 시 (별표3)의 제재 조치가 된다.

제5조 (보안 위규 처벌 및 위약금 부과)① (별표3)의 ‘누출금지 대상 정보’ 누출 시 (별표2)의 보안 위규 처벌 및 위약금이 부과된다.

②“을”이 누출금지 대상정보를 포함하여 “갑”의 내부 자료를 무단으로 유출할 경우 “을”의 직원에 대하여는 퇴출, 전자정부법에 의한 형사고발 조치하고, “을”에 대하여는 손해배상 시 민‧형사상 손해배상 청구할 수 있다.

③“을”이 “국가정보보안기본지침”, “교육부 정보보안기본지침”, “전주대학교 정보보안기본지침” 등에 의한 보안준수 사항을 위반한 경우 “을”의 직원에 경고 및 퇴출 조치 할 수 있다.

제6조 (하도급) “을”은 사업에 대한 하도급 계약을 체결할 경우 본 사업 계약 수준의 비밀유지 계약을 체결하여야 한다.

제7조 (서약서 징구) “을”은 사업 참여인원에 대하여 정보 누출 금지 등에 대한 개인의 친필 서명이 들어간 보안 서약서[서식1,2] 를 제출하여야 한다.

제8조 (관리·감독 및 세부이행사항 등) ① “갑”은 “을”에 대하여 [붙임1]의 (별표4)

보안관리 세부 이행사항을 요구할 수 있으며, “을”은 특별한 사유가 없는 한 이에 응하여야 한다.

② “갑”은 “을”에 대하여 제①항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “을”은 특별한 사유가 없는 한 이행하여야 한다.

③ “갑”은 “을”의 참여인원에 대하여 법적 또는 “갑”의 규정에 의한 비밀유지 의무 준수 및 위반 시 처벌내용에 대하여 1년에 1회 이상 “을”을 교육할 수 있으며, “을”은 이에 응하여야 한다.

④ 제①항에 따른 교육의 시기와 방법 등에 대해서는 “갑”은 “을”과 협의하여 시행한다.

제9조 (정보의 파기 및 자료 반환) “을”은 사업수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업완료 후에도 이를 외부에 유출해서는 안 되며, 정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 되며, “을”은 계약이 해지되거나 또는 계약기간이 만료된 경우 업무와 관련하여 보유하고 있는 정보를 즉시 파기하거나 “갑”에게 반납하여야 한다. 또한, “을”이 “갑”의 정보를 파기한 경우 지체 없이 “갑”에게 그 결과를 통보하여야 한다.

본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “갑”과 “을”이 서명 또는 날인한 후 각 1부씩 보관한다.

(별표1) 사업자 보안 위규 처리기준

(별표2) 보안 위규 처벌 및 위약금 부과 기준

(별표3) 누출금지 대상정보 및 누출 시 제재조치 사항

갑

전북 전주시 완산구 천잠로 303

전주대학교

성 명 : (인)

을 ㈜ ○○○

○○시 ○○구 ○○동 ○○번지

성 명 : (인)

- 37 -

(별표1) 사업자 보안 위규 처리기준

구 분

위 규 사 항

처 리 기 준

심 각

1. 비밀 및 대외비 급 정보 유출 및 유출시도

가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출

나. 개인정보·신상정보 목록 유출

다. 비공개 항공사진·공간정보 등 비공개 정보 유출

2. 정보시스템에 대한 불법적 행위

가. 관련 시스템에 대한 해킹 및 해킹시도

나. 시스템 구축 결과물에 대한 외부 유출

다. 시스템 내 인위적인 악성코드 유포

◦사업 참여제한

(부정당업체 등록)

◦위규자 및 직속 감독자 등 중징계

◦재발 방지를 위한 조치계획 제출

◦위규자 대상 특별 보안교육 실시

중 대

1. 비공개 정보 관리 소홀

가. 비공개 정보를 책상 위 등에 방치

나. 비공개 정보를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용

다. 개인정보‧신상정보 목록을 책상 위 등에 방치

라. 기타 비공개 정보에 대한 관리소홀

2. 사무실ㆍ보호구역 보안관리 허술

가. 통제구역 출입문을 개방한 채 퇴근 등

나. 인가되지 않은 작업자의 내부 시스템 접근

다. 통제구역 내 장비·시설 등 무단 사진촬영

3. 전산정보 보호대책 부실

가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반

나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신

다. 개발·유지관리 시 원격작업 사용

라. 저장된 비공개 정보 패스워드 미부여

마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장

바. 외부용 PC를 업무망에 무단 연결 사용

사. 보안관련 프로그램 강제 삭제

아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등)

◦위규자 및 직속 감독자 등 중징계

◦재발 방지를 위한 조치계획 제출

◦위규자 대상 특별 보안교육 실시

- 38 -

구 분

위 규 사 항

처 리 기 준

보 통

1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀

가. 주요 현안ㆍ보고 자료를 책상 위 등에 방치

나. 정책ㆍ현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용

2. 사무실 보안관리 부실

가. 캐비넷ㆍ서류함ㆍ책상 등을 개방한 채 퇴근

나. 출입키를 책상위 등에 방치

3. 보호구역 관리 소홀

가. 통제ㆍ제한구역 출입문을 개방한 채 근무

나. 보호구역내 비인가자 출입허용 등 통제 미실시

4. 전산정보 보호대책 부실

가. 휴대용저장매체를 서랍ㆍ책상 위 등에 방치한 채 퇴근

나. 네이트온 등 비인가 메신저 무단 사용

다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근

라. 부팅ㆍ화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여

마. PC 비밀번호를 모니터 옆 등 외부에 노출

바. 비인가 보조기억매체 무단 사용

◦위규자 및 직속 감독자 등 경징계

◦위규자 및 직속 감독자 사유서 /경위서 징구

◦위규자 대상 특별 보안교육 실시

경 미

1. 업무 관련서류 관리 소홀

가. 진행 중인 업무자료를 책상 등에 방치, 퇴근

나. 복사기ㆍ인쇄기 위에 서류 방치

2. 근무자 근무상태 불량

가. 각종 보안장비 운용 미숙

나. 경보ㆍ보안장치 작동 불량

3. 전산정보 보호대책 부실

가. PC내 보안성이 검증되지 않은 프로그램 사용

나. 보안관련 소프트웨어의 주기적 점검 위반

◦위규자 서면ㆍ구두 경고 등 문책

◦위규자 사유서 /경위서 징구

- 39 -

(별표2) 보안 위규 처벌 및 위약금 부과기준

1. 위규 수준별로 A~D 등급으로 차등 부과

구분	위규 수준
구분	A급	B급	C급	D급
위규	심각 1건	중대 1건	보통 2건 이상	경미 3건 이상
위약금 비중	부정당업자 등록	총 사업비의 2%	총 사업비의 1%	총 사업비의 0.5%

* 위규 수준은 ((별표1) 사업자 보안위규 처리기준) 참고

2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과

* 보안 사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과

3. 사업 종료 시 지출금액 조정을 통해 위약금 정산

- 40 -

(별표3) 누출금지 대상정보 및 누출시 제재조치 사항

o 계약업체는 국가를 당사자로 하는 계약에 관한 법률 시행령 제76조 제1항 제18호 규정을 위반하여 아래의 누출금지 대상정보를 무단으로 누출할 경우 아래와 같이 입찰참가자격이 제한(부정당업체 제재 조치)된다.

- 정보 누출 횟수가 2회 이상인 경우 : 3개월

- 정보 누출 횟수가 1회 이상인 경우 : 1개월

<누출 금지 대상정보>

① 정보시스템의 내・외부 IP주소

② 세부 정보시스템 구성현황 및 정보통신망 구성도

③ 사용자 계정, 비밀번호 등 정보시스템 접근권한 정보

④ 정보시스템 취약점 분석, 평가 결과물

⑤ 정보화 용역사업 결과물 및 관련 프로그램 소스코드

⑥ 정보보호시스템 도입현황

⑦ 침입차단시스템(F/W), 침입방지시스템(IPS) 등 정보보호 제품 및 라우터, 스위치 등 네트워크 장비 설정 정보

⑧ 「공공기관의 정보공개에 관한 법률」제9조 제1항에 따라 비공개 대상 정보로 분류된 내부정보

⑨ 「개인정보 보호법」제2조 제1호의 개인정보

⑩ 그 밖에 공개가 불가하다고 판단한 자료

※ 사업기간 중 공개불가 자료 발생 시 상호 협의하여 추가 할 수 있음

o 계약업체가 누출금지 대상정보를 포함하여 전주대학교 내부자료를 무단으로 유출할 경우 용역직원에 대하여는 퇴출, 전자정부법에 의한 형사고발 조치하고, 용역업체에 대하여는 손해배상시 민‧형사상 손해배상 청구할 수 있다.

o 계약업체가“개인정보보호법”,“국가정보보안기본지침”,“교육부 정보보안기본지침”,“전주대학교 정보보안기본지침”등에 의한 보안준수 사항을 위반한 경우 용역직원에 경고 및 퇴출 조치 할 수 있다.

- 41 -

(별표4) 보안관리 세부 이행사항

■ 참여 인력에 대한 보안관리

① 사업 착수 시

- 사업 참여인원 및 업체 대표명의 보안서약서 [서식1,2]를 제출하여야 한다.

- 계약업체는 용역사업 수행 전 참여인원에 대해 법률 또는 보안규정, 지침에 의한 비밀유지의무 준수 및 위반 시 처벌내용 등에 대한 보안교육을 실시하여야 한다.

② 사업 수행 시

- 계약업체는 보안인식강화를 위해 주기적으로 자체 보안교육을 실시해야 하며, 대학이 요구하는 보안교육에 참석하여야 한다.

- 사업 참여인원은 용역사업자가 임의로 교체할 수 없으며, 부득이한 사유로 교체하여야 하는 경우(해외여행 포함) 발생 시 정보통신원에 즉시 보고

- 용역사업과 관련한 보안관리 책임은 용역업체 대표에게 있으며, 대표는 용역사업 전반의 보안업무를 수행하는 ‘보안관리책임자’를 지정

▪ 보안관리책임자는 용역사업과 관련된 인원‧장비‧자료에 대한 보안업무 및 사업과 관련된 하도급업체의 보안관리 전반을 총괄

③ 사업 종료 시

- 계약업체는 대학으로부터 제공받는 장비, 서류 및 중간‧최종산출물 등 모든 자료를 전량 대학에 반납하고 삭제하여야 한다.

▪ 복사본 등 별도 보관 금지

- 노트북‧보조기억매체 등 전자적으로 기록된 자료는 「교육부 정보보안 기본지침」제39조 제4항의 규정에 의한 '정보시스템 저장매체 불용처리 지침에 의한 저장매체·자료별 삭제방법에 따라 삭제 후 반출

- 계약업체는 사업관련 자료를 보유하고 있지 않으며 이를 위반시 향후 법적 책임이 있음을 포함한 “대표자 및 참여자의 보안확약서” [서식3]를 작성하여 전주대학교에 제출하여야 한다. 또한 정보통신원 담당자는 보안조치 내용을 확인 후 ‘보안조치 확인서’를 작성하여야 한다.

■ 문서 및 전산자료에 대한 보안관리

① 정보통신망 구성도, 정보시스템 구성도, IP 현황, 용역사업 산출물 및 개인정보 등은 비밀, 대외비 또는 비공개 자료로 분류하여 관리해야 한다.

② 계약업체는 비공개자료 중 출력물 형태로 제공받는 자료에 대해서는 ‘제공자료(정보) 관리대장’을 작성하여 인계자(발주부서 담당자)와 인수자(용역업체 보안관리책임자)가 직접 서명한 후 인계‧인수해야 한다.

③ 발주부서가 계약업체에 제공한 내부 자료는 복사‧외부반출을 금지하며, 내부자료 중 비공개 자료는 매일 퇴근 시 발주부서에 반납토록 하며, 비밀문서를 제외한 일반문서는 시건장치가 된 보관함에 보관하여야 한다.

④ 용역사업 관련자료 및 사업과정에서 생산된 모든 산출물은 발주 부서의 파일서버에 저장하거나 발주부서 담당자가 지정한 PC에 저장‧관리하여야 한다.

⑤ 계약업체가 업무상 필요에 의해 부득이하게 외부에서 전자우편 등으로 대학과 자료 송수신이 필요한 경우에는 암호화 등의 보안대책을 마련하여 수발신해야 한다.

다만, 대학 보안업무규정에 의한 비공개 자료, 대외비 자료 및 비밀자료는 전자우편으로 수‧발신을 금지한다.

⑥ 계약업체는 인터넷 이용 시 접속이 제한된 사이트 및 인터넷 파일공유(P2P)사이트 등에 접속을 시도하여서는 아니 되며, 사업수행 관련 자료는 인터넷, 웹하드 등 인터넷 자료공유사이트 및 개인 메일함에 저장을 금지한다.

⑦ 사업수행으로 생산되는 산출물 및 기록은 발주부서장의 허가 없이 무단 제공‧대여‧열람을 금지한다.

■ 사무실 및 장비에 대한 보안관리

① 용역사업 수행 장소는 시건장치와 통제가 가능한 사무실을 사용한다.

② 발주부서 담당자는 용역업체 사무실에 대한 정기적인 보안점검을 실시하여야 한다.

③ 반입된 노트북‧PC는 사업 종료시까지 반출 금지하며, 다만 부득이하게 외부 반출이 필요한 경우에는 최소한의 장비만 반출승인하고 자료유출에 대비한 발부부서 담당자의 보안조치를 실한 후 반출하여야 한다.

④ 계약업체는 용역사업에 이용되는 노트북‧PC에 백신 등의 자체 PC보안프로그램 및 대학에서 제공하는 자료유출방지 등을 위한 PC보안프로그램을 설치하여야 한다.

⑤ 계약업체는 노트북 및 PC에 전원기동(CMOS) 패스워드, 윈도우 로그인 패스워드, 화면 보호기(10분 간격) 패스워드를 영문자 및 숫자가 조합된 9글자이상으로 설정하여야 한다.

■ 내‧외부망 접근시 보안관리

① 용역사업 수행시 발주기관의 전산망 이용이 필요한 경우

- 사업 참여인원에 대한 사용자 계정(ID)은 하나의 그룹으로 등록하고 계정별로 정보시스템 접근권한을 부여한다.

- 계정별로 부여된 접속권한은 불 필요시 곧바로 권한을 해지하거나 계정 폐기

- 계약업체는 정보시스템 사용자 계정(ID) 이용시, 부여된 권한 이외의 접근을 하여서는 아니되며, 부여된 패스워드는 임의 변경 및 타인에게 알려서는 아니된다.

- 발주기관의 전산망을 사용하는 계약업체의 노트북‧PC는 인터넷 연결을 금지한다. 다만, 사업 수행 상 필요한 경우에는 계약업체의 보안관리책임자가 직접 요청하고, 발주부서 담당자는 필요성이 인정될 경우 특정 노트북‧PC을 지정하고 정보시스템실의 보안담당자에게 필요한 사이트만 접속토록 요청하여야 한다.

② 시스템 유지관리 및 관제는 원격관리를 금지한다.

■ 보조기억매체 제한

❍ 계약업체는 USB 등 이동식 보조기억매체를 대학 내외로 반‧출입 할 수 없다. 다만, 정보보안담당관이 그 필요성을 인정한 경우에는 「보안업무규정 등」반출입 절차에 따라 반출‧입 할 수 있다

■ 기타

❍ 상기 내용 중 언급되지 않은 사항은 「보안업무규정」, 「교육부 정보보안 기본지침」,「국가정보보안 기본치침」등 관계법령 및 규정 적용

- 42 -

[서식1] 보안서약서(업체대표용)

보안 서약서

본인은 년 월 일부로 전주대학교 개인정보 영향평가 사업(업무)을 수행함에
있어 다음 사항을 준수할 것을 엄숙히 서약합니다.

1. 본인은 전주대학교 개인정보 영향평가 사업 관련 업무 중 알게 될 일체의 내용이 직무상 기밀 사항임을 인정한다.

2. 본인은 이 기밀을 누설함이 국가안전보장 및 국가이익에 위해가 될 수 있음을 인식하여 업무수행 중 지득한 제반 기밀사항을 일체 누설하거나 공개하지 아니한다.

3. 본인이 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다.

4. 본인은 하도급업체를 통한 사업 수행 시 하도급업체로 인해 발생하는 위반

사항에 대하여 모든 책임을 부담한다.

년 월 일

서 약 자 업 체 명 :

(업체 대표) 직 위 :

성 명 : (서명)

서약집행자 소 속 :

(담당직원) 직 위 :

성 명 : (서명)

전주대학교 총장 귀하

- 43 -

[서식2] 보안서약서(업체참여직원용)

보안 서약서

본인은 년 월 일부로 전주대학교 개인정보 영향평가 사업(업무)을 수행함에

있어 다음 사항을 준수할 것을 엄숙히 서약합니다.

1. 본인은 전주대학교 개인정보 영향평가 사업 관련 업무 중 알게 될 일체의 내용이 직무상 기밀 사항임을 인정한다.

3. 본인이 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다.

년 월 일

서 약 자 업 체 명 :

직 위 :

성 명 : (서명)

서약집행자 소 속 :

(담당직원) 직 위 :

성 명 : (서명)

전주대학교 총장 귀하

- 44 -

[서식3] 보안확약서

보 안 확 약 서

본인은 귀 기관과 계약한 전주대학교 개인정보 영향평가 사업의 수행을 완료함에 있어, 다음 각 호의 보안사항에 대한 준수 책임이 있음을 서약하며 이에 확약서를 제출합니다.

1. 본 업체(단체)는 업체(단체) 및 사업 참여자가 사업수행 중 지득한 모든 자료를 반납 및 파기하였으며, 지득한 정보에 대한 유출을 절대 금지하겠습니다.

2. 본 업체(단체)는 하도급업체에 대해 상기 항과 동일한 보안사항 준수 책임을 확인하고 보안확약서 제출받았으며, 하도급업체가 위의 보안사항을 위반할 경우에 주사업자로서 이에 동일한 법적책임을 지겠습니다.

3. 본 업체(단체)는 상기 보안사항을 위반할 경우에 귀 기관의 사업에 참여 제한 또는 기타 관련 법규에 따른 책임과 손해배상을 감수하겠습니다.

년 월 일

서 약 자 업 체 명 :

직 위 :

성 명 : (서명)

전주대학교 총장 귀하

- 45 -

회 사 명		대 표 자
사 업 분 야
주 소
회사설립년도	년 월
해당부문 사업기간	년 월 ～ 년 월 ( 년 개월)
주요 연혁