정보화사업 발주기관 보안활동 정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동 1)기획 ·검토, 계획수립 행정기관등의 발주자는 신규 사업을 발굴하여 사업계획서를 작성 및 검토합니다. 사업계획서에는 수립된 SW 개발보안적용계획이 반영되어야 합니다. 안전행정부주최 'SW 개발보안교육'수강(권장) SW 개발보안 적용계획 수립 SW 개발보안 적용 및 결과 확인방법 마련 감리 수행시, 감리법인 활용계획 수립 감리 미수행시, 자체인력 또는 SW 보안약점 진단원 활용계획 수립 2) 사업자 선정 계약 행정기관등의 발주자는 제안요청서에 근거하여 사업자 선정 및 계약을 수행해야 합니다. 제안요청서에 'SW 개발보안'요구사항 반영 제안서 평가를 통해 요구사항을 만족하는 사업자 션정 3) 개발 구축 행정기관등의 발주자..

정보화사업 단계/활동 행정기관등의 정보화사업 단계 기획 · 검토, 계획수립, 사업자선정 · 계약, 개발 및 구축, 감리, 검사 · 종료 단계로 구분 정보화사업 주체별 보안활동 사업단계발주기관사업자감리법인기획·검토(SW 개발보안 교육수강)--계획수립SW 개발보안계획수립--사업자 선언 및 계약제안요청서에 SW개발 보안 요구사항 반영 SW개발보안 능력을 갖춘 사업자 선정SW개발보안 관련 기술수준 및 적용계획 명시감리계획 수립 및 협의 진단도구 적용 및 진단원 투입여부등 포함개발 및 구축SW개발보안 준수여부 점검 사전교육 실시, 자체진단/제거 활동, 진단도구 적용여부 등SW개발보안 교육수강 SW개발보안 가이드 준수 SW보안약점 진단 및 제거 조치 검증된 진단도구 적용SW개발보안 중간점검 사전교육수강, 진단도구 ..

SW 개발보안 체계 SW 개발보안관련 활동주체는 발주기관(행정기관등), 사업자, 감리법인 등이며 각 활동주체별로 잘 정의된 개발보안 활동과 서로간의 유기적인 협력이 필요합니다 활동 주체별 개발보안의 역할 구분내용기관안전행정부•국정원과 협의하여 'SW 개발보안 가이드' 공지 •진단원 양성과 관련된 업무 수행 •교육 및 자격부여, 자격유무 확인 등KISA (정책·기술지원)발주기관•SW 개발보안 계획 수립 •제안요청서에 'SW 개발보안 적용 명시 •SW 개발보안 능력을 갖춘 사업자 선정 •SW 개발보안 준수여부 점검 •SW 개발보안 진단능력을 갖춘 감리법인 선정 •사업종료 결과물 및 증빙서류 등 최종 확인발주자사업자•SW 개발보안 관련 기술수준 및 적용계획 명시 •개발인력 대상 SW 개발보안 관련 교육 실시 ..

목적 구분설명목적정보화 사업 수행 시 안전한 SW 개발을 위한 시큐어코딩 기법 제시대상전자정부 SW 개발자범위신규로 개발되거나 유지보수로 변경되는 소스코드 개발시 적용 (행정기관등이 추진하는 정보화 사업 단계 중 구현단계에 초점) 행정기관 등 전자정부법 제2조에서 정의하는 행정기관, 공공기관 구분설명행정기관국회·법원·헌법재판소·중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다. 이하 같다) 및 그 소속 기관, 지방자치단체공공기관「공공기관의 운영에 관한 법률」 제4조에 따른 법인·단체 또는 기관 「지방공기업법」에 따른 지방공사 및 지방공단 특별법에 따라 설립된 특수법인 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학..

SW 개발보안 SW 개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거하고 SW 개발생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발 · 운영하기 위한 목적으로 적용하는 개발체계입니다. 가이드에는 SW 개발과정 중 소스코드 구현단계에서 보안약점을 배제하기 위한 '시큐어코딩' 중심 발주자, 사업자, 감리법인 등 다양한 참여 주체가 기획 · 검토 단계부터 개발, 검사 · 종료에 이르는 다양한 단계에서의 수행해야 할 활동을 포괄적으로 정의 2013년8월에 개정 · 고시된 '행정기관및 공공기관 정보시스댐 구축 · 운영 지침(안전행정부고시 제2013-36호)' 개발보안과 관련하여 행정기관 및 공공기관이 정보화사업을 추진할 경우 준수해야 할 SW 개발보안 기준..

국내의 개발보안 현황 구분현황2009년~SW 개발단계에서 SW 보안약점을 진단하여 제거하는 SW 개발보안 (시큐어코딩) 관련 연구 진행2009년~2011년전자정부지원사업을 대상으로 SW 보안약점 진단 시범사업 수행2012년~SW 보안약점 제거 · 조치 성과에 따라 2012년SW 개발보안 제도가 도입되어 12월부터는 행정/공공기관들의 시큐어코딩 의무제 시행