▣ 행정기관 및 공공기관 정보시스템 구축 운영 지침_소프트웨어 개발보안 원칙, 보안약점 진단절차
[시행 2021. 1. 19.] [행정안전부고시 제2021-3호, 2021. 1. 19., 일부개정]
제50조(소프트웨어 개발보안 원칙) ① 행정기관등이 영 제71조제1항에 해당하는 정보시스템 사업을 추진할 때에는 별표 3의 소프트웨어 보안약점이 없도록 소프트웨어를 개발 또는 변경(이하 ‘소프트웨어 개발보안’이라 한다)하여야 한다. 다만, 영 제71조제1항에 해당하지 않는 정보시스템 사업도 소프트웨어 개발보안을 적용할 수 있다.
② 제1항에 따라 행정기관등의 장이 정보시스템 사업 추진 시 적용해야 할 소프트웨어 개발보안의 범위는 다음 각 호와 같다.
1. 신규개발의 경우 : 설계단계 산출물 및 소스코드 전체
2. 유지관리의 경우 : 유지관리로 인해 변경된 설계단계 산출물 및 소스코드 전체
③ 제2항에 따라 소프트웨어 개발보안 적용시 상용 소프트웨어는 제외한다.
제50조의2(소프트웨어 개발보안 업무의 위탁) 행정안전부장관은 보안약점 진단, 이행점검, 진단원 양성 등 소프트웨어 개발보안 관련 업무의 일부를 한국인터넷진흥원 또는 한국전자통신연구원 부설 국가보안기술연구소(이하 "국가보안기술연구소"라 한다)에 위탁할 수 있다.
제51조(소프트웨어 개발보안 활동) ① 행정기관등의 장은 제안서 평가시 소프트웨어 개발보안을 위한 소프트웨어 보안약점 진단도구 사용 여부, 개발절차와 방법의 적절성, 제3항에 의한 교육계획의 적정성 등을 확인하고 평가에 반영할 수 있다.
② 사업자는 제50조에 따라 소프트웨어 개발보안을 적용하는 경우 행정안전부장관이 국가정보원장과 협의하여 공지하는 "소프트웨어 개발 보안가이드"를 참고할 수 있다.
③ 사업자는 정보시스템 사업 착수단계에서 "소프트웨어 개발 보안가이드" 등 소프트웨어 개발보안 관련 교육을 실시하고 이후 투입되는 인력은 개발에 투입하기 전 소프트웨어 개발보안 관련 교육을 실시하여야 한다.
제52조(보안약점 진단기준) 행정기관등의 장은 소프트웨어 보안약점을 진단할 때 별표 3의 소프트웨어 보안약점을 필수 진단항목으로 포함하여야 한다.
제53조(보안약점 진단절차) ① 행정기관등의 장은 정보시스템 사업에 대한 감리를 수행하는 경우, 감리법인으로 하여금 사업자가 별표 3의 소프트웨어 보안약점을 제거하였는지 진단하도록 하여야 한다.
② 감리법인은 제1항에 따라 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 「정보시스템 감리기준」 제10조제1항의 세부 검사항목에 소프트웨어 보안약점 제거 여부를 포함하여야 한다.
③ 감리법인은 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 「정보시스템 감리기준」 제5조제3항에 따라 제54조의 진단원을 우선적으로 배치할 수 있다.
④ 감리법인이 소프트웨어 보안약점 진단과정에서 소프트웨어 보안약점 진단도구를 사용할 경우에는 과학기술정보통신부장관이 고시한 「정보보호시스템 평가·인증 지침」에 따라 국가보안기술연구소장이 인증한 보안약점 진단도구를 사용하여야 한다. 이 경우, 감리법인은 보안약점 진단도구가 지원하는 진단항목이 별표 3의 소프트웨어 보안약점을 진단하는지 여부를 확인하여야 한다.
⑤ 행정기관등의 장은 영 제71조제1항에 해당하지 않는 정보시스템 사업에 소프트웨어 개발보안을 적용할 경우에는 사업자로 하여금 보안약점을 진단·제거토록 하고 그 결과를 확인할 수 있다.
2016년 21번
정답 : 3번
- 유지보수의 경우는 유지보수로 인해 변경된 소스코드만을 대상으로 함
- 감리대상 사업이 아닌 경우 사업자로 하여금 SW 보안약점 진단, 제거하게 할 수 있음
2018년 22번
정답 : 3번
감리법인은 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 「정보시스템 감리기준」 제5조제3항에 따라 제54조의 진단원을 우선적으로 배치할 수 있다
2021년 22번
정답 : 4번
1. 신규개발의 경우 : 설계단계 산출물 및 소스코드 전체
2. 유지관리의 경우 : 유지관리로 인해 변경된 설계단계 산출물 및 소스코드 전체
③ 제2항에 따라 소프트웨어 개발보안 적용시 상용 소프트웨어는 제외
■ 소프트웨어 보안 약점 기준
'감리' 카테고리의 다른 글
| 소프트웨어산업진흥법_소프트웨어 품질성능 평가시험(BMT) (0) | 2021.09.05 |
|---|---|
| 공공기관의 데이터베이스 표준화 지침_데이터베이스 표준화활동, 업무담당자 업무, 행정안정부, 품질관리 지침, 행정DB (0) | 2021.09.05 |
| 전자정부법 시행령_감리법인의 업무범위, 업무절차, 감리 기준 (0) | 2021.09.05 |
| 정보시스템 감리기준_감리 절차, 요구정의 단계, 설계단계, 종료단계, 3단계, 요구사항정의서, 대비표, 시정조치 (0) | 2021.09.05 |
| 전자정부법시행령_감리 법인에 대한 행정처분 기준, 등록취소, 경고, 업무정지, 위반행위 (0) | 2021.09.05 |