2026년 e하늘 장사정보시스템 개인정보 관리체계 강화

1. 사업 개요

• 목적: 2026년 e하늘 장사정보시스템의 개인정보 보호·보안 수준을 대폭 강화하여, 2026 년 ‘공공기관 보호수준 평가’와 ISMS‑P(정보보호·개인정보보호 관리체계) 인증을 대비하고, 개인정보 오·남용·유출 위험을 사전에 차단한다.
• 범위: DB 접속·다운로드·사용 기록을 2 년 이상 수집·보관·분석·통제하고, 사전/사후 결재, 자동 파기·관리, 권한·접근 제어 강화, 대규모 접속 제어·우회 차단, 개인정보보호 교육 영상·교재 개발, 웹 접근성(KWCAG 2.2) 인증, 시큐어 코딩·취약점 진단·위험 평가·ISMS‑P 인증 전·후 절차 수립·운영, 시스템 시험·안정화·복구 등 전 과정을 포함한다.
• 기간: 계약일로부터 9 개월(270 일) 이내.
• 예산: 입찰설명서·예산서에 명시된 금액(※ 상세 금액은 입찰설명서 참조).
• 계약·낙찰 방식: 「국가를 당사자로 하는 계약에 관한 법률」 시행령 43조·「협상에 의한 계약체결기준」에 따라 제한경쟁 입찰 → 기술(90 %) + 가격(10 %) 평가 후 협상·계약.

2. 주요 자격요건

• 법적·조달 요건

  1. 국가·공공기관 입찰 참여 자격(조달청 G2B 소프트웨어사업자 등록, 부정당업자 제한 없음).
  2. 중소기업·소기업·소상공인 확인(중기업·소기업·소상공인 확인서 소지) – 대기업·상위 80 억·40 억 매출 기업은 제외.
  3. SW 사업자 일반 현황 관리 확인서(최근 결산 포함) 제출.

• 사업 수행 역량

  1. 공공·행정 분야 e‑정부·정보시스템 구축·운용 경험(특히 장례·문화·복지 분야).
  2. ISMS‑P 인증 컨설팅·위험 평가·취약점 진단·보안·개인정보 보호 실무 인력 보유.
  3. 시큐어 코딩·OWASP·행정안전부 보안 가이드라인 준수·개발·검증 경험.
  4. 웹 접근성(KWCAG 2.2) 설계·검증·인증(3개 지정기관) 수행 실적.
  5. 대용량 접속 제어·대기실 UI·실시간 큐 관리 구현 경험.
  6. 개인정보보호 교육 영상·교재(50 분 이하, MP4·PowerPoint) 제작·저작권·보안 관리 체계 보유.

• 조직·인력

  1. 제안서·사업 수행 조직표 제출(공동수급 시 공동수급표준협정서·합의각서 포함).
  2. 1 개월 시스템 안정화·1 개월 시험·운영·복구·대응 계획 수립·전담 인력 배치.
  3. 보안 책임자 지정·보안 서약·월 1 회 정보보안 교육 수행.

• 제출 서류·양식

  • 제안서 표지·요약·본문(A4 세로, 150 페이지 이하)
  • 일반현황·조직·인력·자본·주요실적·사업이행실적증명서 등 필수 별지 서식(10 여장)
  • 제안요청 수용여부 참조표(○/△/X)와 보안확약서, 정보비공개동의서
  • SW사업 영향평가 결과서(SW사업 영향평가 수행)
  • 소프트웨어사업 하도급 계획서(하도급 > 10 % 또는 > 50 % 시)
  • 공동수급표준협정서(공동이행방식)(공동수급 시)

3. 핵심 기술·물품 요구사항

| 구분 | 핵심 요구사항(주요 항목) |
|------|------------------------|
| 기능 | • DB 접속·다운로드·사용 기록 자동 수집·2 년 보관 <br>• 개인정보 취급 탐지·모니터링·소명·판정·통제 기능 <br>• 사전·사후 전자결재(2‑Factor) <br>• 개인정보 파일 자동 파기·파기 건수 관리 <br>• 접근 권한(조회·변경·마스킹 해제·IP 기반) 차등 부여·3 년 이상 보관 <br>• 대량 접속 순차 제어·대기실 UI·실시간 인원·대기시간 표시 <br>• 개인정보보호 교육 영상(≤ 50 분, MP4)·교재(Editable PowerPoint) <br>• OpenAPI 확대·행정정보공동이용센터 연계 <br>• 웹 접근성(KWCAG 2.2) 인증·자동 평가 도구(K‑WAH) 90 % 이상 통과 |
| 보안 | • 국가·기관 보안 지침·기밀·정보보안 기본지침 준수 <br>• 시큐어 코딩 진단·전체 소스 1차·2차 리포트 <br>• 개인정보 암호화(주민등록번호·성명 등) <br>• 비상·장애 대응·복구·백업·DR 플랜 <br>• 내부·외부 네트워크 물리·논리 분리(행정망·인터넷망) <br>• 보안 조직 지정·운영·전담자 1 명 상시 배치 |
| 품질·성능 | • 화면 조회 ≤ 5 초(정규 조회) – SQL 튜닝·전문가 검증 <br>• 성능 테스트·부하 테스트·통합 테스트·인수 테스트 계획서·결과서 제출 <br>• 단위·통합·성능·부하·인수 테스트 전 단계별 상세 시나리오·데이터·예상 결과 <br>• 품질보증(QA) 조직·절차·산출물(품질보증 계획서·결과서) |
| 데이터 | • 데이터 표준(용어·도메인·코드) 정의·DB 표준화 지침(공공기관 DB 표준화) 준수 <br>• 데이터 구조 설계·검증·변경 이력 관리 <br>• 데이터 값 검증·업무 규칙(BR) 정의·메타데이터 현행화·공공데이터 포털 개방 지원 |
| 시스템 운영 | • 24 시간 365 일 상시 운영·시스템 일반·안정화·시험·복구·장애 관리 <br>• 운영·시험·안정화 ≥ 1 개월, 복구·대응 매뉴얼·시스템 장애·복구 시나리오 <br>• 시스템 시험 운영·통합·성능·사용자 승인 테스트 방안 |
| 제약·표준 | • 기존 HW·SW·NW 재활용·모듈화·확장성 확보 <br>• 전자정부 표준 프레임워크·공통 컴포넌트 적용·문제점·대응 방안 <br>• 최신 ‘행정기관·공공기관 정보시스템 구축·운영 지침’(2025‑1 호)·‘소프트웨어사업 계약 및 관리감독 지침’(2024‑11 호)·‘웹 접근성 지침’(KWCAG 2.2)·‘모바일 전자정부 서비스 관리 지침’·‘장애인·고령자 정보접근 증진 고시’ 등 전부 준수 |
| 프로젝트 관리·지원 | • 프로젝트 관리 방법·일정·위험·변경·형상·품질·테스트·인수·교육·유지·보수·하자보수·기밀·비상대책 등 전 과정 상세 계획서 제출 <br>• 개발방법론·표준프레임워크·품질보증·교육·유지·보수·하자보수·기밀·비상대책·SW사업 영향평가·SW사업 하도급 계획서 등 필수 부속서 포함 |

4. 주의사항

• SME 제한 – 대기업·상위 80 억·40 억 매출 기업은 참여 불가(소프트웨어 진흥법 제 48조).
• 하도급 제한 – 소프트웨어 금액 ≤ 50 % 초과 하도급 금지(단, 신기술·전문기술 등 예외 사유 시에만 허용). 하도급 > 10 % 시 SW사업 하도급 계획서와 하도급 대금지급 비율 명세서 제출 필수.
• 제안서 구성 – 한글 A4 세로, 150 페이지 이하(양면 150 페이지 권고). 홍보 동영상 금지. 페이지 하단 중앙에 일련번호 표기.
• 제안요청 수용여부 – 제안요청서 전체 항목을 제안요청 수용여부 참조표(○/△/X)와 페이지 번호를 명시하지 않으면 묵시적 수용으로 간주.
• 보안·기밀 – 모든 인력은 보안서약서 서명·보안 책임자 지정·월 1 회 정보보안 교육·자료·산출물 비공개·완전 삭제·PC 완전 포맷·반입·반출 통제·USB·외장하드 사용 금지(필수 시 사전 승인). 위반 시 부정당업자 등록·위규자 중징계.
• 웹 접근성 – KWCAG 2.2 준수·24 항목 ≥ 90 % 통과·자동 평가 도구(K‑WAH) 결과서·국가공인 인증기관(한국웹접근성평가센터·웹와치·장애인단체총연합회) 인증 필요.
• 시큐어 코딩 – 전체 소스 1차·2차 시큐어코딩 진단·리포트·개선·검증 포함. 행정안전부 시큐어코딩 가이드(2021) 준수.
• ISMS‑P 인증 – 인증 범위 정의·위험·취약점 진단·갭‑분석·정책·매뉴얼·인증 준비·모의 심사·결함 보완·사후 관리까지 전 단계 문서(인증 신청서·운영 명세서·범위 정의서·현황·취약점·위험관리·대책·사후 관리 등) 제공.
• 시험·인수 – 단위·통합·성능·부하·인수 테스트 계획서·결과서·사용자 승인 테스트 절차·테스트 데이터·점검·보완·반복 테스트 포함. 인수 테스트 불참 시 0점.
• 가격 평가 – 가격 입찰서는 봉함 후 제출, 가격 10 % 평가. 가격 > 예산 초과 시 기술점수 90 % 이상이어도 탈락 가능.
• 제안서 발표 – 발표 15 분·질의응답 5 분, 발표 미참석 시 기술점수 0점. 발표 자료는 제안서에 없는 내용 포함 시 추가 제안으로 간주.
• 문서 반환·보관 – 제출 서류는 반환되지 않으며, 모든 비용은 입찰자 부담.
• 공동수급 – 2 개사 이하, 각 구성사 ≥ 10 % 지분, 공동수급표준협정서·합의각서 제출, 구성사 변경 시 발주기관 승인 필요.
• 소프트웨어사업 영향평가 – 별지 1호 서식에 따라 SW사업 영향평가 결과서를 반드시 첨부.
• 기타 – 제안서 보상 없음, 계약 후 12 개월 하자보수, 1 개월 시스템 안정화·시험·운영, 1 개월 복구·대응·장애 관리 계획, 제안서 보안 · 저작권 · 지식재산권 공동소유(소프트웨어 개발분만) 등.

※ 위 사항은 입찰공고·제안요청서·관련 고시·법령을 종합한 핵심 내용이며, 실제 계약·수행 시 세부 일정·비용·범위는 발주기관과 협의하여 확정됩니다.