SecureCoding(28)
-
정보화사업 감리법인 보안활동
정보화사업 감리법인 보안활동 정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동 1) 감리계획 수립 및 협의 단계. 감리법인은 발주자의 개발보안 요구사항을 수용할 수 있는 계획을 수립합니다. 진단도구 적용 및 투입 진단인력 및 일정 등을 포함하여 계획 수립 감리착수회의 2)SW 개발보안 중간점검 감리법인은 사업사의 개발 내용에 관한 중간점검을 수행합니다. 사업자 SW 개발보안 계획 점검 SW 개발보안 수행 계획 대비 실적 점검 3)SW 개발보안 최종확인. 감리법인은 사업자의 개발 내용에 관한 최종확인을 합니다. SW 개발보안 준수여부 점검 SW 개발보안 감리보고서 작성
-
정보화사업 수주사업자 보안활동
정보화사업 수주사업자 보안활동 정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동 1)사업자선정 •계약단계 사업자는 제안요청서의 내용을 반영하여 제안서와 사업수행계획서를 작성합니다. SW 개발보안 적용계획(안) 수립 제안서와 사업수행계획서에 SW 개발보안 적용계획 명시 2) 개발 •구축 사업자는 제안서의 내용이 충실히 수행될 수 있도록 필요한 개발보안 활동을 수행합니다. 개발자 대상의 SW 개발보안 사전교육 • 수강 SW 개발보안가이드준수 SW보안약점 진단 및 제거 조치(검증된 진단도구 적용) 보안약점 진단 및 제거에 관한 증적자료 작성 3) 감리 사업자는 감리업체의 진단보고서를 토대로 개발보안 활동이 충실히 수행될 수 있도록 합니다. SW 보안약점 관련 시정요구 이행 4) 검사•종료 사업자는 사업..
-
정보화사업 발주기관 보안활동
정보화사업 발주기관 보안활동 정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동 1)기획 ·검토, 계획수립 행정기관등의 발주자는 신규 사업을 발굴하여 사업계획서를 작성 및 검토합니다. 사업계획서에는 수립된 SW 개발보안적용계획이 반영되어야 합니다. 안전행정부주최 'SW 개발보안교육'수강(권장) SW 개발보안 적용계획 수립 SW 개발보안 적용 및 결과 확인방법 마련 감리 수행시, 감리법인 활용계획 수립 감리 미수행시, 자체인력 또는 SW 보안약점 진단원 활용계획 수립 2) 사업자 선정 계약 행정기관등의 발주자는 제안요청서에 근거하여 사업자 선정 및 계약을 수행해야 합니다. 제안요청서에 'SW 개발보안'요구사항 반영 제안서 평가를 통해 요구사항을 만족하는 사업자 션정 3) 개발 구축 행정기관등의 발주자..
-
정보화사업 단계/활동
정보화사업 단계/활동 행정기관등의 정보화사업 단계 기획 · 검토, 계획수립, 사업자선정 · 계약, 개발 및 구축, 감리, 검사 · 종료 단계로 구분 정보화사업 주체별 보안활동 사업단계발주기관사업자감리법인기획·검토(SW 개발보안 교육수강)--계획수립SW 개발보안계획수립--사업자 선언 및 계약제안요청서에 SW개발 보안 요구사항 반영 SW개발보안 능력을 갖춘 사업자 선정SW개발보안 관련 기술수준 및 적용계획 명시감리계획 수립 및 협의 진단도구 적용 및 진단원 투입여부등 포함개발 및 구축SW개발보안 준수여부 점검 사전교육 실시, 자체진단/제거 활동, 진단도구 적용여부 등SW개발보안 교육수강 SW개발보안 가이드 준수 SW보안약점 진단 및 제거 조치 검증된 진단도구 적용SW개발보안 중간점검 사전교육수강, 진단도구 ..
-
소프트웨어 개발보안 체계
SW 개발보안 체계 SW 개발보안관련 활동주체는 발주기관(행정기관등), 사업자, 감리법인 등이며 각 활동주체별로 잘 정의된 개발보안 활동과 서로간의 유기적인 협력이 필요합니다 활동 주체별 개발보안의 역할 구분내용기관안전행정부•국정원과 협의하여 'SW 개발보안 가이드' 공지 •진단원 양성과 관련된 업무 수행 •교육 및 자격부여, 자격유무 확인 등KISA (정책·기술지원)발주기관•SW 개발보안 계획 수립 •제안요청서에 'SW 개발보안 적용 명시 •SW 개발보안 능력을 갖춘 사업자 선정 •SW 개발보안 준수여부 점검 •SW 개발보안 진단능력을 갖춘 감리법인 선정 •사업종료 결과물 및 증빙서류 등 최종 확인발주자사업자•SW 개발보안 관련 기술수준 및 적용계획 명시 •개발인력 대상 SW 개발보안 관련 교육 실시 ..
-
SW 개발보안 가이드 목적 및 구성
목적 구분설명목적정보화 사업 수행 시 안전한 SW 개발을 위한 시큐어코딩 기법 제시대상전자정부 SW 개발자범위신규로 개발되거나 유지보수로 변경되는 소스코드 개발시 적용 (행정기관등이 추진하는 정보화 사업 단계 중 구현단계에 초점) 행정기관 등 전자정부법 제2조에서 정의하는 행정기관, 공공기관 구분설명행정기관국회·법원·헌법재판소·중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다. 이하 같다) 및 그 소속 기관, 지방자치단체공공기관「공공기관의 운영에 관한 법률」 제4조에 따른 법인·단체 또는 기관 「지방공기업법」에 따른 지방공사 및 지방공단 특별법에 따라 설립된 특수법인 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학..