ㅁ 필독
ㅁ 참고 자료
행정기관 및 공공기관 정보시스템 구축·운영 지침 제53조(보안약점 진단절차)
- 소프트웨어 보안약점 제거 여부를 국가정보원장이 인증한 진단 도구를 사용하여 확인
(웹 화면이 있는 경우) 웹 접근성 및 표준 준수 관련 내용을 감리 중점 검토사항에 포함하고, 자동화 평가도구와 전문가 진단을 실시하여 진단리포트를 종료단계 감리수행 결과보고서 내에 포함하여 제출
(대상 사업의 직접구매 SW) 감리 대상 사업의 직접구매(분리발주)SW는 감리 대상에 포함함.
(대상 사업에 하도급이 있는 경우) ‘하도급거래 공정화에 관한 법률’ 및 관련 기준에 따라 하도급 계약과 대금 집행의 적정성을 점검
(보안취약점 점검) 시스템 보안취약점, 네트워크 보안취약점, 서버 보안취약점 등 각종 보안취약점을 진단 도구를 사용하여 확인하고 그 결과 및 조치 결과를 종료단계 감리 시 감리수행 결과보고서에 포함
(취약점 분석대상 소스코드가 있는 경우) 소스코드 취약점 분석을 1회 이상 실시하고 그 결과를 종료단계 감리수행 결과보고서와 함께 제출
----------------------
가. 프로젝트 일반관리
범위관리의 적정성
- 범위의 구체화 및 승인의 적정성
- 범위관리 절차 및 기준 수립의 적정성, 범위변경
- 범위 이행의 적정성, 변경에 대한 영향분석 및 대책 수립
일정관리의 적정성
- 일정 진척 현황 측정 및 피드백의 적정성
- 일정변경관리 및 총괄적 사업계획서 변경관리의 적정성
계약이행의 적정성
- 제안서, 계약서 등에 의거한 모든 활동 및 산출물에 대한 이행
- 투입인력의 자격 및 인력관리의 적정성
위험 및 이슈관리의 적정성
- 기술, 일정, 비용 등 위험 식별 및 문서화, 위험관리 계획 및 추적관리
- 위험관리의 위험목록의 타당성과 처리 내용
형상관리의 적정성
- 형상 항목과 버전 식별 기준 및 절차
- 변경 통제의 체계적 관리
품질보증활동 등 지원관리의 적정성
- 품질보증 계획 및 수행, 품질보증조직 구성 및 운영
- 의사소통관리 및 문서관리
- 개발방법론, 프로젝트, 구축 등 표준 및 절차 준수 및 산출물 관리
사업장 보안관리의 적정성
- 자체 보안대책 강구(보안관리 수행 체계, 정보시스템 물리적 보안대책, 소프트웨어 기술적 보안대책, 시스템 장애 복구대책 등)
- 참여인원에 대한 보안관리(누출 정보 금지 조항, 보안 교육 및 점검 대책)
- 자료에 대한 보안관리(생산자료 관리 대책, 자료 보안 송수신 대책)
- 사무실 및 장비에 대한 보안관리(출입통제 대책, 보안점검 대책, 장비 출입 관리 대책, 저장매체 보안대책)
산출물의 적정성
- 공정별로 제출된 산출물의 적정성 여부
나. 시스템 구축 분야
시스템 아키텍처
- 시스템 아키텍처에 대한 요구사항 분석, 설계 결과의 적정성
- 요구사항 분석, 설계 결과에 따른 구축의 적정성
- 안전 및 신뢰성 설계의 적정성 및 구현
- 도입하는 HW, SW의 제안서 규격 준수 여부 확인
- 요구기능 충족을 위한 적용 기술의 적정성
- 운영 단계에서 안정성·신뢰성 확보를 위한 관리방안 수립
- 시스템 구성 및 서비스 가용성의 적정성
- 도입되는 HW, SW가 성능과 안정성이 검증된 최신 정품 여부와 SW의 라이선스 정책의 적정 여부를 최종 감리 시점까지 검토
다. 응용 프로그램 구현 분야(홈페이지 WEB, WAS 분리)
응용 프로그램 구현의 적정성
- 구현 시 코딩표준 설정 및 프로그램 설계 결과 반영
- 구현 프로그램의 분석/설계로부터 추적성 및 일관성
- 요구사항 식별 및 반영의 적절성
- 응용 프로그램 설계의 적절성
응용 프로그램 품질시험의 적정성
- 기능구현의 완성도 및 충분성
- 웹접근성, 웹표준, 웹호환의 준수의 적정성
- 각 단계별 산출물의 적정성
라. 데이터 이관 분야
데이터베이스 마이그레이션의 적정성
- 데이터베이스 마이그레이션 계획의 적정성
- 데이터베이스 마이그레이션 수행의 적정성
- 데이터베이스 마이그레이션 수행의 안정성
- 데이터베이스 마이그레이션 결과의 정합성
- 데이터베이스 마이그레이션 결과 검증의 적정성
자료(소스 등) 이관의 적정성
- 자료 이관 계획의 적정성
- 자료 이관 수행의 적정성
- 자료 이관 수행의 안정성
- 자료 이관 수행 결과의 정합성
- 자료 이관 결과 검증의 적정성
마. 시스템 성능검증 및 안정화 분야
시스템 성능 검증
- 구축된 시스템 성능의 적정성
- 시스템 성능검증 테스트 과정 및 결과의 적절성
시스템 안정화 및 최적화
- 안정화 및 최적화 통합시험 과정 및 결과의 적절성
- 시스템 성능 최적화를 위한 성능개선 활동의 적정성
- 백업 및 장애 복구 방안의 적정성
바. 사업관리 분야
사업 착수/계획 단계
- 사업관리를 위한 구체적이고 실행 가능한 계획 수립 여부
- 실행 결과의 요구사항 충족도
사업 실행/통제 단계
- 사업계획에 따른 실행 및 통제의 적절성
사업종료 단계
- 계획된 일정 내에 사업수행의 완성도 점검
사. 정보보안 및 개인정보보호 분야
공통
- 정보보안 및 개인정보보호 관련 법률 및 규정에서 요구하는 요건 반영 여부
- 제안요청서, 제안서, 사업수행계획서 등의 각종 정보보안 및 개인정보보호 관련 사항 이행 여부
- 관리적ㆍ물리적ㆍ기술적 보안정책 수립 및 관리체계 설정 여부
- 그 밖에 시스템 특성에 부합하는 정보보안 및 개인정보보호 구현을 위해 무결성, 안정성, 총족성 등을 점검하고 위험 요소를 파악하여 개선 방향 제시
응용 프로그램 보안
- 소프트웨어 개발 보안 가이드에 따른 시큐어코딩 적용 여부
- 웹취약점 분석 및 조치의 적정성
- 데이터 보안 및 DB 접근제어 적정성
- 소프트웨어 개발 보안대책 적정성
시스템 보안
- 보안 요구사항 충족 여부
- 보안취약점 진단 도구를 사용한 시스템 보안취약점 진단실시
- 시스템 장애 대책 및 복구대책의 적정성
- 데이터 보호 및 보안 기능구현의 적정성
- 개인식별 자료 등 자료의 암·복호화에 대한 보안체계 구축의 적정성
아. 기타 요구사항
설계 및 계약 변경에 관한 사항의 검토, 확인 및 보고
기술적용계획표 및 결과표 검수 검토 및 확인(착수, 종료)
감리 대상 사업 수행사에서 제출한 각종 서류 최종 검수 검토 및 확인
정보시스템 하도급 관리기준(감리 대상 사업의 제안요청서 참고)에 따라 하도급 준수실태를 점검하여 보고서 제출
감리중점검토 및 상제점검항목은 감리수행가이드에서 정한 “정보화 사업 감리점검표”를 참고하여 제안사가 직접 제안할 수 있다.
'법, 용어 > SI 법' 카테고리의 다른 글
행정기관 및 공공기관 정보시스템 구축 운영 지침_투입인력 예외 (0) | 2023.09.01 |
---|---|
물품 구매 - 총액계약 (1) | 2023.08.31 |
IT 감리 지침 (0) | 2023.08.31 |
소프트웨어 프로그램의 하자와 그에 따른 담보책임 (0) | 2023.08.27 |
보안_ 금융업 (0) | 2023.08.17 |