다시 뛰는 공정도시 서울!

문서번호 스마트도시담당관-5651 결재일자 2020.5.21. 공개여부 부분공개(7) 방침번호 시 민 주무관 스마트도시기획팀장 스마트도시담당관 윤경애 김숙희 05/21 고경희 협 조 복지정책과장 이해선 지역돌봄복지과장 하영태 주무관 김연숙 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 종료에 따른 사업 준공 계획 2020. 5. 스마트도시정책관 (스마트도시담당관) ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 종료에 따른 사업 준공 계획 ‘코로나19 재난긴급생활비’ 지원 관련, 안정적 운영을 위해 추진한 온라인 접수대행 서비스 종료에 따라 자료 이관·폐기 등 후속 조치 후 검수？준공하고자 함 1 개 요 ？？ 추진근거 ○「서울시 재난 긴급생활비 지원 대책」기본계획 (시장방침, '20.3.) ○ ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 구축 계획 ('20.4.1.) ？？ 사업개요 ○ 사 업 명 : ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 구축 ○ 운영기간 : '20. 3. 30. (월) ~ 5. 15. (금), 47일간 ※ 과업종료일 : 운영 종료 후 10일 (서비스 종료 후 자료 이관, 폐기 등 조치 수행) ○ 운영업체 : (주)진학어플라이 (대표 : 신원근) ○ 운영내용 : ‘재난 긴급 생활비’ 지원과 관련한 서울시민 대상 온라인 접수대행 서비스 운영 － 온라인 접수대행 서비스 운영 － 관리자 기능(실시간 접수내역 확인을 통한 오프라인 업무 지원) － 개인정보(접수관리)의 보호를 위한 보안 조치 등 ○ 검수기간 : '20. 5. 16. (토) ~ 6. 5.(금) 2 검수 및 준공 계획 ？？ 과업 수행 내역 ○ 운영기간 : '20. 3. 30.(월) ~ 5. 15. (금) ※ 구축기간 : '20. 3. 27.(금) ~ 3. 29. (일) ① 온라인 접수대행 서비스 운영 ○ 온라인 접수대행 사이트 운영 : https://wiss.seoul.go.kr － 서울시 재난 긴급 생활비 지원 접수 서비스 통합 운영 (창구 단일화) － 복지포털, 서울시 홈페이지, 민간포털을 통한 접근 지원 ② 관리자 기능 제공 ③ 개인정보 보호 및 보안조치 ？？ 검수계획 ○ 검수방법 : 부서간 역할 분담을 통한 공동 검수 － 스마트도시담당관 : 계약 절차에 따른 사업 검수 및 준공 처리 － 복지정책과 : 자료의 이관, 폐기 등 검수 － 지역돌봄복지과 : 자치구 동 주민센터 대상 업무 종료일 준수 안내 ○ 검수기간 : '20. 5. 16. (토) ~ 6. 5.(금) (기본 14일, 연장 7일) － 연장사유 : 동 주민센터 재난 기금 지원 업무 유지 및 대행사 자료 이관 폐기 등의 절차 수행에 따른 검수 기간 연장 － 주요내용 ？ 관리자 페이지 기능 운영 (신청서 다운로드, 각종 통계 정보 확인 등) ？ 서울시 복지포털에 데이터 형식에 맞춘 자료 이관 및 기존 자료 파기 ○ 데이터 이관 및 파기 － 대상자료 : 재난 긴급생활비 지원 접수 대행 업무와 관련된 자료 일체 － 수행주관 : 복지정책과 － 수행방법 ？ 담당 공무원 입회 하에 복구가 불가능한 방법으로 파기 절차 수행 ？ 파기 과정의 증빙자료를 첨부하여 서면 (공문) 보고 및 보안서약서 징구 ○ 검수 관련 자료 현황 사업단계 제출서류 주관부서 비고 사업착수시 개인정보 처리 위탁계약서 스마트도시담당관 개인정보처리위탁 취급 보안서약서 스마트도시담당관 보안서약서(대표자, 사업 참여자) 스마트도시담당관 교육 결과보고서 (개인정보처리자 및 취급자) 스마트도시담당관 웹취약점점검서, 개인정보처리시스템별 점검표 스마트도시담당관 요구시 사업종료시 서비스 운영결과 및 보고서 스마트도시담당관 보안서약서 (대표자) 스마트도시담당관 생성된 데이터 일체 회수·폐기 복지정책과 개인정보처리시스템의 접근 권한 부여, 말소？변경에 대한 내역 (로그화일) 복지정책과 개인정보 파기 후 서면 보고서 (증빙자료 포함 공문제출) 복지정책과 (스마트도시담당관 제출) ？？ 추진일정 ○ 동 주민센터 업무 정비 : '20. 5. 16. (토) ~ 5. 28. (목) ○ 자료 변환 및 이관 : '20. 5. 29. (금) ~ 6. 3. (수) ○ 자료 파기 : '20. 6. 4. (목) ○ 검수 및 준공 : '20. 6. 5. (금) ？？ 행정사항 ○ 스마트도시담당관 : 검수 및 준공 총괄, 검수기간 연장 처리 ○ 복지정책과 : 자료 이관, 폐기 검수, 자료 파기 확인서 제출 ○ 지역돌봄복지과 : 자료 파기에 따른 동 주민센터 업무 마감일 엄수 【 붙임 1 】 개인정보 취급 보안 서약서 서울시스마트도시담당관(이하 “발주기관”라 한다)과 (주)진학사(이하 “계약상대자”라 한다)는 “발주기관”의 개인정보 처리업무를 “계약상대자”에게 위탁함에 있어 개인정보 및 개인정보관리시스템(DBMS)의 안전한 보호를 위해 아래의 사항을 준수한다. 제1조 (위탁업무의 목적 및 범위) “계약상대자”는 계약이 정하는 바에 따라 과업지시서상의 위임업무 수행을 목적으로 다음과 같은 개인정보 처리 업무를 수행한다. 1. 회원가입을 위한 성명, 이메일 등 2. 서비스 운영(온라인 접수 신청)을 위한 주민번호, 성명, 주소, 연락처, 가족사항 등 제2조 (위탁업무 수행 목적 외 개인정보의 처리 금지) “계약상대자”는 “발주기관”부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니된다. 제3조 (개인정보의 기술적？관리적 보호 조치) ①“계약상대자”는 개인정보가 분실, 도난, 누출 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 보호조치를 강구하여야 한다. ②개인정보는 원칙적으로 개인정보의 수집 및 이용목적이 달성되면 지체 없이 파기하여야 하며 개인정보를 파기하는 때에는 다음 방법에 의한다. 1. 종이에 출력된 개인정보 : 분쇄기로 분쇄하거나 소각 2. 전자적 파일 형태로 저장된 개인정보 : 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제 제4조 (재위탁 제한) ① “계약상대자”는 “발주기관”의 사전 승낙을 얻은 경우를 제외하고 “발주기관”의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다. ② “계약상대자”가 재위탁받은 수탁회사를 선임한 경우 “계약상대자”는 당해 재위탁계약서와 함께 그 사실을 즉시 “발주기관”에 통보하여야 한다. 제5조 (개인정보의 안전성 확보조치) “계약상대자”는 개인정보보호법 제29조, 동법 시행령 제30조 및 「개인정보의 안전성 확보조치 기준」(행정안전부고시 제2019-47호)에 따라 개인정보의 안전성 확보에 필요한 관리적？기술적 조치를 취하여야 한다. 제6조 (개인정보의 처리제한) ① “계약상대자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다. ② “계약상대자”는 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보보호법」시행령 제16조에 따라 즉시 파기하거나 “발주기관”에게 반납하여야 한다. ③ 제2항에 따라 “계약상대자”가 개인정보를 파기한 경우 지체 없이 “발주기관”에게 그 결과를 통보하여야 한다. 제7조 (수탁자에 대한 관리·감독 등) ① “발주기관”은 “계약상대자”에 대하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, “계약상대자”는 특별한 사유가 없는 한 이에 응하여야 한다. 1. 개인정보의 처리 현황 2. 개인정보의 접근 또는 접속현황 3. 개인정보 접근 또는 접속 대상자 4. 목적 외 이용？제공 및 재위탁 금지 준수여부 5. 암호화 등 안전성 확보조치 이행여부 6. 그 밖에 개인정보의 보호를 위하여 필요한 사항 ② “발주기관”은 “계약상대자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “계약상대자”는 특별한 사유가 없는 한 이행하여야 한다. ③ “발주기관”은 처리위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 1회 “계약상대자”를 교육할 수 있으며, “계약상대자”는 이에 응하여야 한다. ④ 제1항에 따른 교육의 시기와 방법 등에 대해서는 “발주기관”은 “계약상대자”와 협의하여 시행한다. ⑤ “계약상대자”는 개인정보보호와 관련된 교육을 1년에 2회 이상 자체적으로 실시하고 그 실시결과를 “발주기관”에게 제출하여야 한다. 제8조 (손해배상) ① “계약상대자” 또는 “계약상대자”의 임직원, 기타 “계약상대자”의 수탁자가 위탁 또는 재위탁받은 업무를 수행함에 있어 이 서약서에 따른 의무를 위반하거나 “계약상대자” 또는 “계약상대자”의 임직원, 기타 “계약상대자”의 수탁자의 귀책사유로 인하여 계약이 해지되어 “발주기관” 또는 개인정보주체, 기타 제3자에게 손해가 발생한 경우 “계약상대자”는 그 손해를 배상하여야 한다. ② 제1항과 관련하여 개인정보주체, 기타 제3자에게 발생한 손해에 대하여 “발주기관”이 전부 또는 일부를 배상한 때에는 “발주기관”은 이를 “계약상대자”에게 구상할 수 있다. 상기 서약서의 내용을 숙지하고 이를 성실히 준수할 것을 서약함. 년 월 일 업체명 : 대표자 : (인) 【 붙임 2 】 개인정보처리위탁 계약서 “발주기관”과 “계약상대자”는 “발주기관”의 개인정보 처리업무를 “계약상대자”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다. 제1조 (목적) 이 계약은 “발주기관”이 개인정보처리업무를 “계약상대자”에게 위탁하고, “계약상대자”는 이를 승낙하여 “계약상대자”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다. 제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는「개인정보 보호법」시행령 및 시행규칙,「개인정보의 안전성 확보조치 기준」(행정안전부고시 제2019-47호) 및「표준 개인정보 보호지침」(행정안전부 고시 제2016-21호)에서 정의된 바에 따른다. 제3조 (위탁업무의 목적 및 범위) “계약상대자”는 계약이 정하는 바에 따라 “서울시 재난 긴급생활비 지원 온라인 접수대행 서비스” 등의 원활한 운영을 위한 목적으로 다음과 같은 개인정보 처리 업무를 수행한다. 1. 회원가입을 위한 성명, 이메일 등 2. 접수신청을 위한 주민번호, 성명, 주소, 연락처, 가족사항 등 제4조 (재위탁 제한) ① "계약상대자"는 "발주기관"의 사전 승낙을 얻은 경우를 제외하고 "발주기관"과의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다. ② “계약상대자”가 재위탁받은 수탁회사를 선임한 경우 "계약상대자"는 당해 재위탁계약서와 함께 그 사실을 즉시 "발주기관"에 통보하여야 한다. 제5조 (개인정보의 안전성 확보조치) "계약상대자"는「개인정보 보호법」제24조제3항 및 제29조, 동법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」에 따라 개인정보의 안전성 확보에 필요한 관리적？기술적 조치를 취하여야 한다. 제6조 (개인정보의 처리제한) ① "계약상대자"는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다. ② "계약상대자"는 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법」시행령 제16조 및「개인정보의 안전성 확보조치 기준」에 따라 즉시 파기하거나 "발주기관"에게 반납하여야 한다. ③ 제2항에 따라 “계약상대자”가 개인정보를 파기한 경우 지체없이 "발주기관"에게 그 결과를 통보하여야 한다. 제7조 (수탁자에 대한 관리·감독 등) ① "발주기관"은 “계약상대자”에 대하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, "계약상대자"는 특별한 사유가 없는 한 이에 응하여야 한다. 1. 개인정보의 처리 현황 2. 개인정보의 접근 또는 접속현황 3. 개인정보 접근 또는 접속 대상자 4. 목적외 이용？제공 및 재위탁 금지 준수여부 5. 암호화 등 안전성 확보조치 이행여부 6. 그 밖에 개인정보의 보호를 위하여 필요한 사항 ② "발주기관"은 “계약상대자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, "계약상대자"는 특별한 사유가 없는 한 이행하여야 한다. ③ "발주기관"은 처리위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 2회 “계약상대자”를 교육할 수 있으며, "계약상대자"는 이에 응하여야 한다. 「개인정보 안전성 확보조치 기준 고시」행정안전부고시 제2019-47호 및 「개인정보 보호법」 제26조에 따라 개인정보처리자 및 취급자는 개인정보보호에 관한 교육을 의무적으로 시행하여야 한다. ④ 제1항에 따른 교육의 시기와 방법 등에 대해서는 "발주기관"은 “계약상대자”와 협의하여 시행한다. 제8조 (손해배상) ① “계약상대자” 또는 “계약상대자”의 임직원 기타 “계약상대자”의 수탁자가 이 계약에 의하여 위탁 또는 재위탁받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 “계약상대자” 또는 “계약상대자”의 임직원 기타 “계약상대자”의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 "발주기관" 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 "계약상대자"는 그 손해를 배상하여야 한다. ② 제1항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 "발주기관"이 전부 또는 일부를 배상한 때에는 "발주기관"은 이를 “계약상대자”에게 구상할 수 있다. 본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, "발주기관"과 “계약상대자”이 서명 또는 날인한 후 각 1부 씩 보관한다. 발주기관 서울특별시스마트도시담당관 (인) 계약상대자 (인) 【 붙임 3 】 개인정보처리시스템별 점검표 코드 질 의 문 시스템 비고 이행 (Y) 부분 이행 (P) 미 이행 (N) 해당없음 (N/A) 2.1 대상시스템의 개인정보 관리 2.1.1 대상시스템에서 취급하는 개인정보 보호를 위한 개인정보 취급자를 지정하도록 계획하였습니까? 　 2.1.2 대상시스템의 개인정보취급자에게 개인정보취급자의 의무를 교육하도록 계획을 수립하고 있습니까? 　 2.2 개인정보 취급내용 공개 2.2.1 대상시스템에서 취급하는 개인정보 파일의 명칭, 보유목적, 포함되는 개인정보 항목 등이 개인정보 처리방침에 반영되고 인터넷홈페이지ㆍ관보 등을 통해 공개되도록 설계 하고 있습니까? 2.2.2 대상시스템에서 취급하는 개인정보를 위탁하여 처리 하는 경우 위탁 목적, 범위 등의 사항을 개인정보 처리방침에 기재하고 인터넷 홈페이지ㆍ관보 등을 통해 공개하도록 설계하고 있습니까? 2.2.3 대상시스템에서 취급하는 개인정보를 제3자 제공하는 경우 이용의 법적 근거 및 목적, 범위 등을 개인정보 처리방침에 기재하고 인터넷 홈페이지ㆍ관보 등을 통해 공개하도록 설계하고 있습니까? 2.2.4 대상시스템에서 취급하는 개인정보를 보유 목적 외로 이용할 경우 이용의 법적 근거 및 목적, 범위 등을 개인정보 처리방침에 기재하고 인터넷 홈페이지ㆍ관보 등을 통해 공개하도록 설계하고 있습니까? 2.2.5 대상시스템에서 취급하는 개인정보를 양도ㆍ합병 등으로 다른 사람에게 이전하는 경우 이전사실, 이전 받는 자 등에 관한 정보를 개인정보 처리방침에 기재하고 인터넷 홈페이지ㆍ관보 등을 통해 공개하도록 설계하고 있습니까? 2.2.6 대상시스템에서 취급하는 개인정보파일의 보유기간 및 파기 등에 대한 사항을 개인정보 처리 방침에 기재하고 인터넷 홈페이지ㆍ관보 등을 통해 공개하도록 설계하고 있습니까? 3.1 수집단계 3.1.1 개인정보 수집시 목적에 필요한 최소한의 범위에서만 수집하도록 설계하고 있습니까? 3.1.2 개인정보 수집시 법적인 근거를 마련하거나 정보주체의 동의를 받도록 설계하고 있습니까? 3.1.3 정보주체의 동의에 의한 개인정보 수집시 각각의 동의사항을 구분하여 정보주체(법정 대리인 포함)가 이를 명확히 인지 할 수 있도록 목적, 보유기간, 이용범위, 목적달성 후 처리방법, 이의제기 절차 등을 알리고 각각 동의를 받도록 설계하고 있습니까? 3.1.4 개인정보를 수집하는 경우 정보주체가 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여 동의를 받도록 설계하고 있습니까? 3.1.5 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 않을 경우에도 서비스를 이용할 수 있도록 설계하고 있습니까? 3.1.6 만 14세 미만 아동의 개인정보를 수집하는 경우 법정대리인의 동의를 받도록 설계하고 있습니까? 3.1.7 개인정보 수집시 정보주체에게 수집사실을 안내하도록 설계하고 있습니까? 3.1.8 개인정보 수집 사실을 안내 하는 경우 개인정보의 수집ㆍ이용 목적, 수집항목, 보유 및 이용기간, 정보주체의 권리 등을 포함하도록 설계하고 있습니까? 3.1.9 주민등록번호를 사용하지 않고 인터넷 홈페이지 회원으로 가입할 수 있도록 설계하고 있습니까? 3.1.10 웹사이트에서 주민등록번호 등의 중요 개인정보를 수집(전송)하는 경우 암호화하도록 설계하고 있습니까? 3.1.11 실명확인 목적으로 주민등록번호를 입력받을 경우 실명확인 목적을 달성한 후 즉시 삭제 도록 설계하고 있습니까? 3.1.12 자릿수를 별표() 등의 임의문자로 변환하여 개인정보노출을 차단하도록 설계하고 있습니까? 3.2 저장 및 보유단계 3.2.1 평가대상 시스템에서 개인정보파일을 신규로 보유하거나 기존 파일을 변경하는 경우 행정안전부장관에게 등록하도록 설계하고 있습니까? 3.2.2 평가대상 시스템에서 행정 정보공동이용센터를 통하여 개인정보 파일을 연계ㆍ제공 하는 경우 개인정보 보호위원회의 심의를 거쳐 공동이용 승인을 얻도록 설계하고 있습니까? 3.2.3 평가대상 시스템에서 신규로 보유하거나 변경되는 개인정보를 개인정보파일대장에 반영하도록 설계하고 있습니까? 3.2.4 중요 개인정보(고유식별정보, 패스워드 및 바이오정보)를 저장 및 보유하는 경우 암호화 하도록 설계하고 있습니까? 3.3 이용 및 연계ㆍ제공단계 3.3.1 업무상 필요한 최소한의 범위로 최소한의 인원에게 개인정보에 대한 접근 권한을 부여하도록 설계하고 있습니까? 3.3.2 법률에 근거한 보유목적 및 정보주체에게 동의 받은 목적외로 개인정보를 이용 할 경우 별도의 동의를 받거나 관련 법률에 근거하도록 하고 있습니까? 3.3.3 개인정보를 타 기관에 연계ㆍ제공 할 경우 별도의 동의를 받거나 관련 법률에 근거하도록 하고 있습니까? 3.3.4 개인정보를 목적외의 용도로 타 기관에 연계ㆍ제공할 경우 문서로 요청하도록 하고 있습니까? 3.3.5 개인정보를 목적외로 이용하는 경우 이용 목적에 맞는 최소한의 항목으로 제한하고 있습니까? 3.3.6 개인정보를 타 기관에 연계ㆍ제공하는 경우 이용 및 제공 목적에 맞는 최소한의 항목으로 제한하고 있습니까? 3.3.7 개인정보를 타 기관(부서)에 연계ㆍ제공할 경우 암호화 조치 등 개인정보 보호에 필요한 안전성 확보조치를 하도록 설계하고 있습니까? 3.3.8 타 기관에 개인정보 연계ㆍ제공시 타 기관에서 보유하는 기간을 명확히 지정하고 있습니까? 3.3.9 한 명의 직원에게 한 개의 고유 ID를 부여하도록 설계하고 있습니까? 3.3.10 패스워드를 사용하여 사용자를 인증할 경우 패스워드 조합규칙을 적용하도록 설계하고 있습니까? 3.3.11 정기적으로 안전하지 않은 패스워드를 검출하여 재등록 하도록 활동계획을 수립하고 있습니까? 3.3.12 일정 횟수 이상 패스워드 입력 오류가 발생할 경우 경고 메시지가 뜨고 사용이 차단되도록 설계하고 있습니까? 3.3.13 아이디와 패스워드를 사용시 패스워드는 복호화되지 않도록 일방향으로 암호화하여 저장하도록 설계하고 있습니까? 3.3.14 대량의 개인정보 또는 민감한 개인정보를 취급하는 자를 공인인증서(GPKI 또는 NPKI 등), I-PIN 등의 안전한 방식으로 인증하도록 설계하고 있습니까? 3.3.15 개인정보취급자가 변경되었을 경우 개인정보처리시스템의 접근권한을 변경 또는 말소하도록 설계하고 있습니까? 3.3.16 개인정보처리시스템 이용시 일정시간이 지나면 세션이 자동으로 종료되도록 설계하고 있습니까? 3.3.17 개인정보처리시스템 이용 시간을 지정하여 개인정보 처리시스템 이용시간을 제한하도록 설계하고 있습니까? 3.3.18 개인정보처리시스템 이용시 하나의 계정으로 동시 접속을 제한하도록 설계 하고 있습니까? 3.3.19 웹 어플리케이션 개발시 공표된 중요 최신 취약점(OWASP Top 10, 국정원 발표 취약점 등)에 대응할 수 있도록 설계하고 있습니까? 3.3.20 관리자 계정으로 로그인 및 로그인 시도시 필요한 경우에 관리자에게 자동 고지함으로써 관리자계정의 노출 및 도용 여부를 쉽게 파악할 수 있도록 설계하고 있습니까? 3.3.21 개인정보처리시스템에 대해 필요한 경우에는 사용자별 또는 그룹별로 권한 관리를 할 수 있도록 설계하고 있습니까? 3.3.22 개인정보처리시스템의 권한설정에 따라 저장, 출력, 복사 등의 기능을 통제하도록 설계하고 있습니까? 3.3.23 업무용 단말과 원격지 PC에 개인정보 작업내역이 남지 않도록 설계하고 있습니까? 3.3.24 개인정보처리 단말기와 응용프로그램 간에 개인정보를 송수신할 경우 암호화하도록 설계하고 있습니까? 3.3.25 프로그램 테스트시 개인정보가 포함된 데이터를 사용하지 않으며 사용하는 경우 테스트를 마친 후 모든 개인정보가 제거되도록 설계하고 있습니까? 3.3.26 개인정보취급자의 업무화면에 표시되는 중요 개인정보의 특정 자릿수를 별표() 등 임의문자로 변환하여 개인정보 노출을 차단하도록 설계하고 있습니까? 3.3.27 개인정보 취급 업무시 화면상의 우측마우스 버튼의 소스보기 기능, 화면 캡처 기능 및 키보드나 마우스를 이용한 Drag, Drop, Copy 및 Paste 기능이 통제되도록 설계하고 있습니까 3.3.28 개인정보를 처리하는 단말기에 악성프로그램을 점검, 치료할 수 있는 백신 프로그램을 설치하도록 설계하고 있습니까? 3.3.29 유무선 개인정보처리 단말기에서 ID, 패스워드, 계좌번호, 카드번호 등 민감정보 입력시 키보드 해킹 방지기술을 적용하도록 설계하고 있습니까? 3.3.30 개인정보취급자가 개인정보를 종이로 출력할 경우 출력ㆍ복사물에 해당 기관의 명칭 및 로고, 일련 번호, 출력기기 고유번호, 출력자 성명, 출력시간 등을 표시하도록 설계하고 있습니까? 3.3.31 개인정보취급 업무시 사전에 담당자의 사전 승인을 얻도록 설계하고 있습니까? 3.3.32 개인정보취급 업무시 승인 요청 내역을 6하 원칙(누가, 무엇을, 언제, 어디서, 왜, 어떻게)에 따라 온라인전자결재시스템 등에 기록하고 안전하게 보관하도록 설계하고 있습니까? 3.3.33 원격시스템으로부터 비정상적인 개인정보 조회 및 요청이 들어올 경우에 이에 대한 경고 및 차단 조치하도록 설계하고 있습니까? 3.3.34 개인정보처리 업무를 원격지에서 처리할 때 송ㆍ수신되는 개인정보가 노출되지 않도록 GVPN, VPN 등을 이용하여 암호화되도록 설계하고 있습니까? 3.3.35 기관 내 개인정보 이용 및 외부기관 간에 개인정보 연계ㆍ제공을 위한 온라인 전송시 정부고속망 등의 전용선 또는 행정정보중계시스템을 이용할 수 있게 설계하고 있습니까? 3.3.36 기관 내 개인정보 이용 및 외부기관과의 개인정보 연계ㆍ제공을 위한 온라인 전송시 암호화하여 전송하도록 설계하고 있습니까? 3.3.37 다양한 프로토콜(이메일, 인스턴트 메신저, FTP, HTTP 등)의 네트워크 통신 트래픽으로 네트워크상에서 개인정보의 유출을 차단하도록 설계하고 있습니까? 3.3.38 개인정보처리시스템의 처리내역에 관한 사항을 로그파일로 기록할 수 있게 설계하고 있습니까? 3.3.39 개인정보 처리내역을 모니터링하여 권한을 벗어난 조회나 과도하게 많은 개인정보의 조회에 대해 탐지할 수 있게 설계하고 있습니까? 3.3.40 개인정보DB 접근 및 이용로그를 안전하게 기록하고 보존하기 위해 분리된 내부망에 존재하는 별도 저장장치에 백업 보관 할 수 있게 설계하고 있습니까? 3.4 파기단계 3.4.1 대상시스템에서 취급되는 개인정보파일의 보유기간이 경과 되거나 보유 목적이 달성되었을 때 파기하거나 다른 법률에 근거하여 보존되도록 계획하고 있습니까? 3.4.2 이용 목적을 달성한 개인정보를 보관할 경우 해당 개인정보 파일을 다른 개인정보와 분리하여 보관하도록 계획하고 있습니까? 3.4.3 대상시스템에서 취급되는 개인정보의 보유기간이 종료되어 개인정보를 파기할 경우 복구 또는 재생되지 않는 방법으로 파기하도록 계획하고 있습니까? 【 붙임 4 】 외주 용역사업 보안특약 조항 ① 사업자는 서울특별시의 보안정책을 위반하였을 경우 [별표1]의 위규처리 기준에 따라 위규자 및 관리자를 행정조치하고 [별표2]의 보안 위약금을 서울특별시에 납부한다. ② 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 [별표3]의 ‘누출금지 대상정보’에 대한 보안관리계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 서울특별시는「지방자치단체를 당사자로 하는 계약에 관한 법률 시행령」제92조에 따라 사업자를 부정당업체로 등록한다. ③ 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안 되며, 사업 종료 시 정보보안담당자의 입회하에 완전 폐기 또는 반납해야 한다. ④ 사업자는 사업 최종 산출물에 대해 정보보안전문가 또는 전문보안 점검도구를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다. <별표 1> 사업자 보안위규 처리기준 <별표 2> 보안 위약금 부과 기준 <별표 3> 누출금지 대상 정보 【 붙임 4 】 - <별표 1> 사업자 보안위규 처리기준 구 분 위 규 사 항 처 리 기 준 심 각 1. 비밀 및 대외비 급 정보 유출 및 유출시도 가. 정보시스템에 대한 구조, 데이터베이스 등의 정보 유출 나. 개인정보·신상정보 목록 유출 다. 비공개 항공사진·공간정보 등 비공개 정보 유출 2. 정보시스템에 대한 불법적 행위 가. 관련 시스템에 대한 해킹 및 해킹시도 나. 시스템 구축 결과물에 대한 외부 유출 다. 시스템 내 인위적인 악성코드 유포 ？ 사업참여 제한 ？ 위규자 및 직속 감독자 등 중징계 ？ 재발 방지를 위한 조치계획 제출 ？ 위규자 대상 특별 보안교육 실시 중 대 1. 비공개 정보 관리 소홀 가. 비공개 정보를 책상 위 등에 방치 나. 비공개 정보를 휴지통·폐지함 등에 유기 또는 이면지 활용 다. 개인정보·신상정보 목록을 책상 위 등에 방치 라. 기타 비공개 정보에 대한 관리소홀 2. 사무실·보호구역 보안관리 허술 가. 통제구역 출입문을 개방한 채 퇴근 등 나. 인가되지 않은 작업자의 내부 시스템 접근 다. 통제구역 내 장비·시설 등 무단 사진촬영 3. 전산정보 보호대책 부실 가. 업무망 인터넷망 혼용사용, 보안 USB 사용규정 위반 나. 웹하드·P2P 등 인터넷 자료공유사이트를 활용하여 용역사업 관련 자료 수발신 다. 개발·유지보수 시 원격작업 사용 라. 저장된 비공개 정보 패스워드 미부여 마. 인터넷망 연결 PC 하드디스크에 비공개 정보를 저장 바. 외부용 PC를 업무망에 무단 연결 사용 사. 보안관련 프로그램 강제 삭제 아. 사용자 계정관리 미흡 및 오남용(시스템 불법접근 시도 등) ？ 위규자 및 직속 감독자 등 중징계 ？ 재발 방지를 위한 조치계획 제출 ？ 위규자 대상 특별 보안교육 실시 구 분 위 규 사 항 처 리 기 준 보 통 1. 기관 제공 중요정책ㆍ민감 자료 관리 소홀 가. 주요 현안·보고자료를 책상 위 등에 방치 나. 정책·현안자료를 휴지통ㆍ폐지함 등에 유기 또는 이면지 활용 2. 사무실 보안관리 부실 가. 캐비넷·서류함·책상 등을 개방한 채 퇴근 나. 출입키를 책상 위 등에 방치 3. 보호구역 관리 소홀 가. 통제·제한구역 출입문을 개방한 채 근무 나. 보호구역내 비인가자 출입허용 등 통제 미실시 4. 전산정보 보호대책 부실 가. 휴대용저장매체를 서랍·책상 위 등에 방치한 채 퇴근 나. 비인가 메신저 무단 사용 다. PC를 켜 놓거나 보조기억 매체(CD, USB 등)를 꽂아 놓고 퇴근 라. 부팅·화면보호 패스워드 미부여 또는 "1111" 등 단순숫자 부여 마. PC 비밀번호를 모니터 옆 등 외부에 노출 바. 비인가 보조기억매체 무단 사용 ？ 위규자 및 직속 감독자 등 경징계 ？ 위규자 및 직속 감독자 사유서 / 경위서 징구 ？ 위규자 대상 특별 보안교육 실시 경 미 1. 업무 관련서류 관리 소홀 가. 진행 중인 업무자료를 책상 등에 방치, 퇴근 나. 복사기·인쇄기 위에 서류 방치 2. 근무자 근무상태 불량 가. 각종 보안장비 운용 미숙 나. 경보·보안장치 작동 불량 3. 전산정보 보호대책 부실 가. PC내 보안성이 검증되지 않은 프로그램 사용 나. 보안관련 소프트웨어의 주기적 점검 위반 ？ 위규자 서면ㆍ구두 경고 등 문책 ？ 위규자 사유서 / 경위서 징구 【 붙임 4】 - <별표 2> 보안 위약금 부과 기준 1. 위규 수준별로 A~D 등급으로 차등 부과 구분 위규 수준 A급 B급 C급 D급 위규 심각 1건 중대 1건 보통 2건 이상 경미 3건 이상 위약금 비 중 부정당업자 등록 계약금액의 5%이하 계약금액의 3%이하 계약금액의 1%이하 위규 수준은 <별표 1> 참고 2. 보안 위약금은 다른 요인에 의해 상쇄, 삭감이 되지 않도록 부과 보안사고는 1회의 사고만으로도 그 파급력이 큰 것을 감안하여 타 항목과 별도 부과 3. 사업 종료 시 지출금액 조정을 통해 위약금 정산 【 붙임 2 】 - <별표 3> 누출금지 대상정보 1. 기관 소유 정보시스템의 내？외부 IP주소 현황 2. 세부 정보시스템 구성현황 및 정보통신망 구성도 3. 사용자계정ㆍ비밀번호 등 정보시스템 접근권한 정보 4. 정보통신망 취약점 분석·평가 결과물 5. 용역사업 결과물 및 프로그램 소스코드 6. 국가용 보안시스템 및 정보보호시스템 도입 현황 7. 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보 8. 『공공기관의 정보공개에 관한 법률』제9조제1항에 따라 비공개 대상 정보로 분류된 기관의 내부문서 9. 『개인정보보호법』제2조제1호의 개인정보 10. 『보안업무규정』제4조의 비밀 및 동 시행규칙 제7조제3항의 대외비 11. 그 밖에 각급기관의 장이 공개가 불가하다고 판단한 자료 【 붙임 5 】- 용역사업 착수시 보 안 서 약 서 (용역업체 대표자용) 본인은 년 월 일부로 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스를 수행함에 있어 다음사항을 준수할 것을 엄숙히 서약합니다. 본인은 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 수행 중 알게 될 일체의 내용이 직무상 기밀 사항임을 인정하고, 용역 수행 중 취득한 각종 성과품(문서, 도면, 동영상, 사진 등)은 귀 청의 직원이라고 하여도 본 사업에 직접 관여하지 않는 자에 대해서는 공개 또는 누설하지 않으며, 사업 수행 중은 물론 종료 후에도 자신 또는 제3자를 위하여 사용하지 않는다 2. 본 사업 추진의 사실 및 그 성과가 귀청에 의하여 적법하게 공개된 경우라고 하여도 미공개 부문에 대해서는 비밀을 유지한다. 3. 본 사업이 완료되거나 사업 진행 중에 어떠한 사유로든 본인이 본 사업을 수행할 수 없게 된 경우, 그 시점에서 본인이 보유하고 있는 기밀사항을 포함한 관련 자료를 즉시 귀청에 반납하고 비밀을 유지한다. 4. 본인 회사의 직원이 기밀을 누설하거나 관계 규정을 위반한 경우에도 총괄 책임을 지겠으며, 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다. 5. 본인은 하도급업체를 통한 사업 수행시 하도급업체로 인해 발생하는 위반사항에 대하여 모든 책임을 부담한다. 6. 상기 보안 서약 미준수 시 관계법규에 따라 엄중한 처벌을 받을 것을 서약한다. 가. 국가보안법 제4조 제1항 제2호 및 5호(국가기밀누설 등) 나. 형법 제98조, 제99조, 제113조 및 제127조 등 보안 관련 법규 년 월 일 서 약 자 업 체 명 : (용역업체 대표자) 직 위 : 성 명 : (서명) 생 년 월 일 : 서약 집행자 소 속 : (담당 공무원) 직 위 : 성 명 : (서명) 생 년 월 일 : 【 붙임 5 】- 용역사업 착수시 보 안 서 약 서 (용역업체 직원용) 본인은 년 월 일부로 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 을 수행함에 있어 다음사항을 준수할 것을 엄숙히 서약합니다. 본인은 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 수행 중 알게 될 일체의 내용이 직무상 기밀 사항임을 인정하고, 용역수행중 취득한 각종 성과품(문서, 도면, 동영상, 사진 등)은 귀 청의 직원이라고 하여도 본 사업에 직접 관여하지 않는 자에 대해서는 공개 또는 누설하지 않으며, 사업 수행 중은 물론 종료 후에도 자신 또는 제3자를 위하여 사용하지 않는다. 2. 본 사업 추진의 사실 및 그 성과가 귀청에 의하여 적법하게 공개된 경우라고 하여도 미공개 부문에 대해서는 비밀을 유지한다. 3. 본 사업이 완료되거나 사업 진행 중에 어떠한 사유로든 본인이 본 사업을 수행할 수 없게 된 경우, 그 시점에서 본인이 보유하고 있는 기밀사항을 포함한 관련 자료를 즉시 귀청에 반납하고 비밀을 유지한다. 4. 상기 보안 서약 미준수 시 관계법규에 따라 엄중한 처벌을 받을 것을 서약한다. 가. 국가보안법 제4조 제1항 제2호 및 5호(국가기밀누설 등) 나. 형법 제98조, 제99조, 제113조 및 제127조 등 보안 관련 법규 년 월 일 서 약 자 업 체 명 : (용역업체 직원) 직 위 : 성 명 : (서명) 생 년 월 일 : 서약 집행자 소 속 : (담당 공무원) 직 위 : 성 명 : (서명) 생 년 월 일 : 【 붙임 5 】- 용역사업 완료시 보 안 서 약 서 (용역업체 대표자용) 본인은 년 월 일부로 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 을 종료함에 있어 다음사항을 준수할 것을 엄숙히 서약합니다. 1. 본인은 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 수행 중 알게 된 일체의 내용이 직무상 기밀 사항임을 인정하고, 용역완료 후에는 제3자에게 누설·유출하지 않으며 성과품(문서, 도면, 동영상,사진 등)은 파기하고 보관하지 않는다. 2. 본인은 이 기밀을 누설함이 국가안전보장 및 국가이익에 위해가 될 수 있음을 인식하여 업무수행 중 지득한 제반 기밀사항을 일체 누설하거나 공개하지 아니한다. 3. 본인이 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다. 가. 국가보안법 제4조 제1항 제2호 및 5호(국가기밀누설 등) 나. 형법 제98조, 제99조, 제113조 및 제127조 등 보안관련 법규 4. 본인은 하도급업체를 통한 사업 수행시 하도급업체로 인해 발생하는 위반사항에 대하여 모든 책임을 부담한다. 년 월 일 서 약 자 업 체 명 : (용역업체 대표자) 직 위 : 성 명 : (서명) 생 년 월 일 : 서약 집행자 소 속 : (담당 공무원) 직 위 : 성 명 : (서명) 생 년 월 일 : 【 붙임 5 】- 용역사업 완료시 보 안 서 약 서 (용역업체 직원용) 본인은 년 월 일부로 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 을 종료함에 있어 다음사항을 준수할 것을 엄숙히 서약합니다. 1. 본인은 ‘재난긴급생활비’ 지원 온라인 접수대행 서비스 수행 중 알게 된 일체의 내용이 직무상 기밀 사항임을 인정하고, 용역완료후에는 제3자에게 누설·유출하지 않으며 성과품(문서,도면,동영상,사진 등)은 파기하고 보관하지 않는다. 2. 본인은 이 기밀을 누설함이 국가안전보장 및 국가이익에 위해가 될 수 있음을 인식하여 업무수행 중 지득한 제반 기밀사항을 일체 누설하거나 공개하지 아니한다. 3. 본인이 이 기밀을 누설하거나 관계 규정을 위반한 때에는 관련 법령 및 계약에 따라 어떠한 처벌 및 불이익도 감수한다. 가. 국가보안법 제4조 제1항 제2호 및 5호(국가기밀누설 등) 나. 형법 제98조, 제99조, 제113조 및 제127조 등 보안관련 법규 년 월 일 서 약 자 업 체 명 : (용역업체 직원) 직 위 : 성 명 : (서명) 생 년 월 일 : 서약 집행자 소 속 : (담당 공무원) 직 위 : 성 명 : (서명) 생 년 월 일 :

23000639

20210927114258

본청

스마트도시담당관-5651

D0000039996466