국가 정보보안 기본지침 제26조

IT 위키

내용

제26조(용역업체 보안)
  • ① 각급기관의 장은 용역업체에 정보화사업을 발주할 경우 다음 각 호의 보안사항을 준수하도록 계약서에 명시하여야 한다.
    • 1. 제13조제1항 각 호에 따른 제안요청서에 포함된 사항
    • 1의2. 제28조에 따른 원격지 개발, 제28조의2에 따른 원격지에서의 온라인 개발, 제52조에 따른 온라인 유지보수를 허용할 경우 보안 준수사항 <신설 2020.7.1.>
    • 2. 소프트웨어 개발보안에 필요한 사항
    • 3. 사업 참여인원의 보안관련 준수사항과 위반할 경우 손해배상 책임에 관한 사항
    • 4. 사업 수행과 관련한 보안교육, 보안점검 및 사업기간 중 참여인원 임의교체 금지
    • 5. 정보통신망 구성도ㆍIP주소 현황 등 업체에 제공하는 자료는 자료 인계인수대장을 비치하여 보안조치 후 인계ㆍ인수하고 무단 복사 및 외부반출 금지
    • 6. 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비는 반출ㆍ입시마다 악성코드 감염여부, 누출금지정보 무단 반출여부 등 점검
    • 7. 사업 종료시 업체의 노트북ㆍ휴대용 저장매체 등 관련 장비는 저장자료 복구가 불가하도록 완전 삭제
    • 8. 사업 종료 시 누출금지정보 전량 회수
    • 9. 그 밖에 해당 기관의 장이 보안관리가 필요하다고 판단하는 사항 또는 국가정보원장이 보안조치를 권고하는 사항
  • ② 각급기관의 장은 비밀 및 중요 용역사업을 수행할 경우 용역업체 참여인원이 다음 각 호에 해당되는 사실을 알게 된 경우 교체를 요구하여야 한다.
    • 1. 「국가공무원법」 제33조제3호부터 제6의4호까지에 해당하는 사람 <개정 2020.7.1.>
    • 2. 「국가를 당사자로 하는 계약에 관한 법률」 제27조제1항 각 호의 행위를 한 사람
  • ③ 각급기관의 장은 다음 각 호에 따른 보안 준수사항의 이행여부를 정기 또는 수시로 점검(불시 점검을 포함한다)하고 미비점을 발견한 경우 용역업체로 하여금 시정 조치하도록 하여야 한다. 이 경우 정보화사업담당관이 점검한 후 그 결과를 정보보안담당관에게 통보하여야 한다. <개정 2020.7.1.>
    • 1. 제1항에 따라 계약서에 명시된 보안 준수사항
    • 2. 제27조의2에 따른 발주기관내 작업장소 보안 준수사항
    • 3. 제28조에 따른 원격지 개발보안 및 제28조의2에 따른 원격지에서의 온라인 개발시 보안 준수사항 <개정 2020.7.1.> [제28조제2항에서 이동 <2020.7.1.>]
    • 4. 제51조에 따른 정보시스템 유지보수 및 제52조에 따른 온라인 유지보수시 보안 준수사항 <신설 2020.7.1.>
  • ④ 상급기관의 장은 해당 기관 및 관할 하급기관에 대하여 용역업체 보안관리 실태 점검을 실시할 수 있으며, 필요한 경우 국가정보원장에게 지원을 요청할 수 있다. <신설 2020.7.1.> [종전 제4항은 제7항으로 이동 <2020.7.1.>]
  • ⑤ 각급기관의 장은 제3항 및 제4항에 따른 점검 결과, 용역업체 보안대책 준수가 미흡하고 시정조치가 어렵다고 판단할 경우 제28조에 따른 원격지 개발, 제28조의2에 따른 원격지에서의 온라인 개발 또는 제52조에 따른 온라인 유지보수 허가를 취소할 수 있다. <개정 2020.7.1.> [제28조제3항에서 이동 <2020.7.1.>]
  • ⑥ 각급기관의 장은 제28조의2에 따른 원격지에서의 온라인 개발, 제52조에 따른 온라인 유지보수를 허용하고자 할 경우에는 용역업체의 온라인 접속을 통제하기 위한 온라인 용역 통제시스템을 구축ㆍ운영하여야 한다. <신설 2020.7.1.>
  • ⑦ 그 밖에 용역업체 보안과 관련한 사항은 국가정보원장이 배포한 「국가ㆍ공공기관 용역업체 보안관리 가이드라인」 을 준수하여야 한다. [제4항에서 이동 <2020.7.1.>]

해설