- 당사 홈페이지 게시판의 문제로 표기에 오류가 있을 수 있으니, 첨부파일의 공고문으로 확인해 주시기 바랍니다.
연세의료원_SAP ERP 접속기록 보안솔루션 구축 (솔루션) 입찰
(입찰공고번호: HB-220824-001)
1. 사업 개요
① 추진방법: 제한경쟁입찰
② 사업명: 연세의료원_SAP ERP 접속기록 보안솔루션 구축 (솔루션)
③ 업체등록: 2022년08월19일(금) 12:00까지
입찰참가서신청서 및 제반 서류 제출 / 헤론헬스정보시스템 사무실
④ 현장설명회: 2022년08월22일(월) 15:00 ~ / 헤론헬스정보시스템 사무실
⑤ 투찰일시: 2022년08월24일(수) 15:00 ~ / 헤론헬스정보시스템 사무실
- 각사 견적서 양식 사용(봉투 필요시 본사 제공), 제출서류 중 사용인감계의 사용인감만 인정
- 입찰은 예정가격 내 최저가격 투찰업체 낙찰을 원칙으로 진행하며, 최대 4차까지 투찰 예정
- 4차 투찰까지 낙찰이 안될 경우, 재입찰 추진 예정(재입찰도 같은 방식으로 진행하며, 4차 투
찰까지 낙찰이 되지 않을 경우, 입찰참여업체 중 최저가 투찰업체와 우선협상을 진행하여 조
사가격 내 낙찰사 선정을 원칙으로 함)
⑥ 참가자격
- 헤론헬스정보시스템 구매 규정이 정하는 바에 따라 등록기간 내에 등록을 필한 업체.
- 현장설명회 참여 및 날인 업체.
- 국가를 당사자로 하는 계약에 관한 법률 시행령 제12조 및 동법 시행규칙 제14조 규정에 따라 입찰 참가자격을 갖춘 업체로서 동법 제27조 및 동법 시행령 제76조에 의한 부정당업자의 입찰참가자격 제한을 받은 사실이 없는 업체.
- 제품의 정상적인 납품을 위하여 원 제조사(외국계인 경우 국내 지사 가능)가 발급한 “물품공급 및 기술지원 확약서” 원본을 제출할 수 있는 업체(입찰등록 시 제출)여야 함. [미 제출로 인한 계약해제 시 부정당업자 입찰참가자격 제한]
- 원활한 기술지원을 위해 기술인력의 소재지가 연세의료원에 1시간 이내에 방문할 수 있는 곳에 위치한 업체 이어야 한다.
2. 제출서류
① 입찰 업체 등록 서류(업체 등록일까지)
- 사업자등록증
(사본)
- 입찰참가신청서
(원본 : 당사 양식
)
- 대상 제품의 제조사가 발급한 물품공급 및 기술지원 확약서
(원본)
- 초기 견적서
(파일)
- 실적 증빙자료
(파일 : 입찰 대상)
② 투찰 시 서류
- 법인인감 또는 사용인감+사용인감계(법인인감일 경우 제외)
(원본)
- 위임장(대표자 본인일 경우 제외)
(원본)
- 입찰보증증권 or 입찰보증금: 5/100이상의 현금 또는 보증보험증권(당사 구매 규정)
(원본)
: 정당한 사유 없이 계약을 체결하지 않을 경우 본사로 귀속
③ 기타
- 계약시 계약이행보증증권 : 계약기간에 대하여 계약금액의 10/100 이상의 현금 또는 보증보험증권(당사 구매규정)
(원본)
- 검수후 하자이행보증증권 : 무상유지보수기간에 대하여 계약금액의 10/100 이상의 현금 또는 보증보험증권(당사 구매규정)
(원본)
3. 입찰 항목 [세부내역 과업지시서 참고]
① 대상기관: 연세의료원
② 구축 대상 : 무상 유지보수 기간 : 1년
| 부문 |
구분 |
내용 |
접속기록
보안
솔루션 |
개인정보 암호화
솔루션 |
· DB 암호화
· 개인 정보/ 민감정보 필드 UI 마스킹
· 암호키 관리 |
접속기록
솔루션 |
· 개인정보 접근권한 통제 및 로그관리
· 접속기록 및 개인정보 사용기록 로그관리, 추적관리
· 접속이력 및 사용현황 점검 리포트 |
1) 범위
| 구분 |
세부사양 |
개인정보
암호화 |
[개인정보 DB 암호화]
1) 개인정보보호법[시행 2017. 7. 26]에 고시한 고유식별정보와 민감정보의 DB 보안 요건 충족
2) 업무 데이터 중 개인정보 및 민감정보를 암호화하여 유사시 개인정보 유출로 인한 피해를 예방할 수 있는 체제를 지원 및 구축
3) 정부에서 권고하는 안전한 암호화 알고리즘 적용 가능
- 양방향 알고리즘:
ARIA/AES(128/192/256), SEED(128), DES(64), 3DES(TDES,192)
- 일방향 알고리즘: SHA 256이상
4) SAP 내 암호화된 데이터와 암호화되지 않은 데이터를 빠르게 검색하여 추가 암호화 할 수 있는 모니터링 기능 지원
5) 필드단위 암호화(카드번호, 계좌번호, 주민번호, 기밀정보 등)가 가능해야 하며 암호화 적용 필드에 대해 부분적으로 암호화하는 부분 암호화 지원
6) 원본 데이터 길이와 데이터 타입을 유지한 채로 부분 암호화 수행
7) 개인정보보호법에 따라 주기적인 암호화키 변경을 위해 Downtime 없는 실시간 키 변경 기능을 지원 (마스터 키가 아닌 실제 데이터의 키값 변경)
8) 운영에 있는 개인정보 데이터를 개발/품질로 Client Copy시 의미 없는 데이터로 변조하여 보내는 기능 지원
9) 초기 데이터 마이그레이션을 위해 대량 데이터에 대한 암호화 적용 방안 지원
10) 암호화 적용 필드에 대해 데이터 속성 및 길이의 변경 없이 암호화 지원
11) 암복호화 적용 시 테이블 및 프로그램 변경 최소화
12) SAP사용자/IP 주소/T-CODE/SAP 표준 Role 등 다양한 복호화 권한설정 지원
13) 사용자의 암복호화 수행 이력(사용자 계정, 접속 IP, 접속 시간, T-Code 및 화면ID, 작업 내역, 작업 결과 등) 로깅 지원
14) 암호화 대상 선정 시 관련 법에 정의된 내용을 필수적으로 암호화, 중요하다 판단되는 정보에 대해 암호화 지원
15) Legacy 시스템 연동 시 데이터의 정합성 보장 및 암/복호화 함수 지원
16) 암/복호화시 빠른 성능을 제공하여 안정적인 운영 보장
17) Debug 또는 소스의 오 남용에 대한 방지
18) 관련 법규 요구사항 충족
- 개인정보보호법 제 23, 24조
- 전자금융거래법 제 26조
- 정보통신망 이용촉진 및 정보보호 등에 관련 법률 시행령
19) 인증된 암호 알고리즘 채택, 암호화 키 기밀성 확보
20) SAP 표준 DB 구조 유지
[개인정보/민감정보 필드 UI Masking]
1) 부분암호화, 숫자 타입 적용 가능
2) 원한는 길이와 Masking 값 설정 방식 지원
3) 데이터의 일부를 특정 기호로 처리하기 위한 리턴 마스킹 기능 제공
4) 권한별 화면 마스킹 상태 표현 |
접속기록
솔루션 |
[접속 기록]
1) 「(개인정보보호위원회) 개인정보의 안전성 확보조치 기준」 준수를 위한 “제8조 접속기록의 보관 및 점검” 항목 만족
2) 접속기록 항목으로 법에서 요구하는 계정, 접속일시, 접속지 정보, 정보주체 정보, 수행업무 항목이 포함
3) 개인정보 처리 행위는 개인정보에 대한 조회, 수정, 삭제, 다운로드, 프린트 행위 등 검출
4) 개인정보 검출 시 정규식 이외에 T-code, Field name을 이용한 탐지기능 제공
5) SAP 사용자 계정 및 IP주소, 수행 프로그램(T-code), 입력/출력 값에 대한 로그 저장 기능 제공
6) 수집된 원본로그는 최소 2년 이상 보관이 가능하여야 하며, 향후 보관 기간의 추가 확장 등이 가능
7) 접속로그의 보관 시 개인정보는 암호화되어야 하며, 위변조 방지를 위한 무결성 검증 기능 보장
8) 수집된 로그의 조회 및 Excel 등으로 저장, 보고서 출력 기능을 제공
9) 로그에 대한 아카이빙 기능을 지원하여 특정기간이 경과한 로그는 자동 삭제
10) 별도의 마운트 작업 없이 백업/복원/아카이브 파일 직접 조회
11) Web GUI 접속기록에 대해서 로그 용량을 줄일 수 있는 방법을 제시
12) SAP 시스템 접속 기록
13) SAP 시스템 내 개인정보에 대한 접근 기록
14) 사용자의 업무 수행 데이터의 입력/수정 행위에 대한 로그 저장
15) SAP 공통 USER 사용 시 IP별 업무 행위에 대한 로그 저장
16) 시스템 내 오류 발생 유형에 대한 기록
- 업무 수행권한 부족, 시스템 내 Dump발생, 프로그램 수행 실패 등
17) 접속기록 보존
- 접속한 기록을 최소 2년이상 보존/관리
- 접속기록 항목 : ①식별자, ②접속일시, ③접속자를 알 수 있는 정보,
④수행업무(열람, 수정, 삭제, 인쇄, 입력, 다운로드 등)
- 접근권한 변경이력은 3년 이상 로그 기록, 최종 로그가 아닌, 변경 내역을 모두 확인할 수 있어야 함
※ 단, 주민등록번호, 계좌번호 등 민감한 개인정보가 포함되지 않도록 주의
18) 암/복호화 권한설정, 정책설정, Transaction, 암/복호화에 대한 History 로그
조회기능 제공
19) 암호화 데이터에 대한 접속 주체 정보조회 기능 제공
20) 암화화 데이터 및 암호화되지 않은 개인정보에 대한 로그기록 정보 주체정보조회
21) 사용자와 SAP의 모든 통신기록 저장을 위한 네트워크 장비 제공
[접근 통제]
1) 비인가 계정 및 IP 접근 시 차단 기능 제공
2) 특정정보에 대한 어플리케이션, 사용자 및 시간대 별 접근내역 분석 기능 제공
3) SAP ID, IP, 프로그램, 데이터를 이용한 이력 검색 기능을 제공하여 보안사고 발생 시 사후 감사 및 증빙자료로 활용 가능
4) 검색된 로그에 대해 담당자가 쉽게 인지할 수 있도록 상세한 로그정보 및 사용자 화면 재생기능 제공
5) SAP 사용자 ID, IP, 기간에 따른 SAP 시스템 접근 통제
6) 관리자 화면 접근통제
- 관리자 화면 접속을 위한 제한적 관리 지정(IP, MAC)
- 관리자 페이지는 보안을 위한 일반 사용자와 분리
7) 운영서버의 데이터를 QAS 및 DEV 서버에 이관 시 개인정보에 대한 데이터 변조 기능 제공
8) SAP 사용자가 SAP GUI, Web GUI, RFC, Fiori, UI5, WebDynpro 등 다양한 방법으로 접근하는 이력 관리 |
| 공통 |
[공통 필수 항목]
1) SAP ECC, HANA 기반의 인증 제품
2) SAP 성능 및 장애에 대한 영향 없이 구축
3) 국정원 검증필 암호모듈 검증 및 모듈 탑재 제품
4) SAP 패치 및 Upgrade 시에 영향을 최소화할 수 있는 방안 제시
5) SAP 사용자 PC에 별도의 S/W 설치나 업무용 어플리케이션의 기능에 대한 수정 없이 적용 가능
6) SAP 프로그램의 신규 및 변경(업그레이드 포함) 시에도 영향이 없어야 함
7) SAP S/4 HANA를 지원하며, 적용 사례 보유 및 제시
8) 정상적인 SAP Upgrade 및 Notes나 Patch 가능해야 함
9) 장비, 네트워크 등 장애 발생 시 ERP 시스템 장애 대응 및 복구 방안 제시
10) 업무중단 및 복구 절차 없이 서비스 연속성 보장
11) 응용프로그램 수정 범위 : STANDARD/CBO 프로그램 전체
12) SAP 보안 프로토콜(SNC)을 지원
13) 암호화 데이터 및 암호화되지 않은 개인정보에 대한 로그기록 정보 주체정보조회
14) 감사에 대한 다양한 조회 및 리포트 기능 제공
15) 암호화 데이터 모니터링 기능 제공
16) 탐지정책 설정을 통한 중요 모니터링 대상 관리기능 제공
17) 사용자별 시스템 사용현황, 보안 위배 사항 등에 대한 통계자료 제공
18) 관리자 역할에 따른 권한관리 기능 제공
19) 관리자 접근 시 특정 IP만 허용 및 SSL을 통한 암호화 통신방식 지원
20) 시스템 비인가 접근 등에 대한 로깅 지원
21) 기 도입 운영 중인 개인정보 이력관리 시스템과 연동 지원
22) 차세대 ERP(SAP S/4HANA) 업그레이드 시 추가 라이선스 도입 없이 적용 가능
23) 무상유지보수 기간은 검수일로부터 1년으로 함
24) 무상유지보수 기간 이후 연간 유상유지보수 가격정책은 납품가액의 10% 이하로 제시하여야 함.
25) 의료원 정보보안팀의 보안성 검토 사항 전체 “적합” 판정 필요 |
4. 솔루션 설치 범위
- “수급자”는 의료원이 지정하는 장소에 납품 솔루션을 설치하여야 하며, 이를 수행 중에 발생할 수 있는 안전사고 및 행정적, 기술적 일체의 제반 비용(설치비, 소모품비, 도입대상 솔루션내역에 언급되지 않은 주요 부품 및 S/W 등)에 대하여 부담하여야 한다.
- “수급자”는 납품(설치) 전 “의료원”의 운영 환경에 관한 기술적 검토 및 안정성을 검증하여야 하며, 필요시 “의료원”에 협조를 요청하여야 한다(만일, 사전 검증 없이 발생된 제반 문제에 대해서는 “수급자”가 모든 책임을 져야 한다).
- “수급자”는 도입되는 모든 솔루션에 대하여 초기 설치 시 발생할 수 있는 다양한 보안 취약점을 사전 분석하여 제거한 후에 안전한 구성환경에서 설치하여야 한다.
- “수급자”는 시스템 이관 및 이전에 따른 장비 교체 시, 장비 및 네트워크 환경변화에 따른 영향도 분석을 통해 최적의 구축 방법을 제안하여야 한다.
- “수급자”는 본 계약 체결 시, 본 과업지시서에 명시된 사항 외에 “의료원”이 별도로 상세기술사항을 작성할 경우 상호협의 후 따르도록 한다.
- 과업지시서에 대해 해석상의 이견이 있을 때는 “의료원”의 해석에 따르고, 과업지시서에 명시되지 않은 사항은 의료원과 협의하여 해결하도록 한다.
5. 시험운영 및 검수
- “수급자”는 검수 전 검수 및 검사에 필요한 기본교육 및 운용에 필요한 기술 자료를 연세의료원의 검수자(시스템 관리자)에게 충분히 제공하여야 한다.
- 솔루션 기능 확인이 어렵거나 미흡한 경우, “수급자”는 관련 증빙서류 제출 또는 기타 확인 과정을 통하여 입증하여야 한다.
- 검수 결과 하자가 발생하였을 경우에는 개선에 필요한 모든 작업을 “수급자”의 부담으로 시행 조치하여야 한다.
- 최종 검수 및 검사결과, 시스템 운영이 불가하다고 판단되거나 솔루션의 하자 발생으로 계약조건을 이행하지 못하는 것으로 판단될 경우, 연세의료원의 요구에 의해 “수급자”는 납품ㆍ설치한 솔루션을 제거 및 원상복구하여야 하며 그 비용은 “수급자”의 부담으로 한다.
- 현장 시험 운영하는 동안에 연세의료원의 보완 요구사항이 제시되면 “수급자”는 이를 전면 수용하여 솔루션을 보완해야 한다.
- 솔루션 검수에 필요한 보조장비 및 S/W는 “수급자”가 검수기간 동안 무상으로 제공하고, 장비에 대한 관련기술 및 모든 자료의 인계를 연세의료원으로부터 확인 받아야 한다.
- 요구되는 기능에 대하여 각 솔루션별로 성능 및 품질을 증명할 수 있는 자료를 제출하여야 한다.
6. 장애대책
- 시스템 운영시간은 365일(1일 24시간) 가동을 원칙으로 한다.
- 설치 중 장애에 대비하기 위한 계획을 수립하여 제시하여야 한다.
- 시스템 운영 시 발생될 수 있는 문제의 조기 발견 및 즉각적인 장애처리를 위해서 장애 요소를 유형별로 구분하여 장애대책을 수립하며, 발생되는 장애는 체계적으로 관리하여 빠른 시간 안에 복구되도록 지원방안을 제시하여야 한다.
- 환경적, 업무적, 재해, 장애, 침해사고, 업무적 실수 등의 기술적 위험요소에 대한 관리방안을 제시하여야 한다.
7. 안전관리 및 보안
- “수급자”는 설치에 있어서 작업자의 안전관리 및 재해방지를 위하여 필요한 안전수칙 준수 및 위험방지책을 강구하여야 하며, 만일의 사고 발생시에는 “수급자”가 민ㆍ형사상 책임을 진다.
- “수급자”는 연세의료원에서 요구하는 제반 보안사항을 충실히 이행하여야 하며, 요구하는 관련 서류를 제출하여야 한다.
- “수급자”는 솔루션 설치ㆍ구축 및 유지보수와 관련하여 취득한 일체의 보안사항에 대하여 보안을 유지하여야 하며, 이에 따른 보안사항 유출 등 문제가 발생시에는 당사자와 “수급자”가 모든 민ㆍ형사상 책임을 진다.
8. 유지보수 및 기술지원 사항
- 납품 솔루션의 무상유지보수기간은 최종 검수 완료 후 1년으로 한다.
- “수급자”는 계약 시 유지보수 인력 및 운영방안 등을 기술한 세부 유지보수 계획서를 제시하여야 하며, 휴일이나 야간작업이 필요한 경우 추가비용 없이 작업한다.
- “수급자”는 무상유지보수 기간 동안 최신 패치 적용 및 시스템의 보안상 문제점이 발견될 시에는 즉각 그 대책을 수립하여 해결하여야 한다.
- 설치 및 무상유지보수기간 중 운용 시 Major Upgrade, 발생되는 문제점 등 개선요구사항은 하자보증기간 동안 “수급자”가 무상으로 개선하여야 한다.
- “수급자”는 본 계약과 관련하여 연세의료원에게 모든 안전사고, 재해 또는 피해를 입혔을 경우, 완전복구(인적, 물적)의 책임을 져야 한다.
- 향후 연세의료원이 납품 솔루션을 이용한 확장서비스 등의 사유가 발생할 경우 “수급자”는 이에 적극 지원ㆍ협조하여야 한다.
- 무상유지보수기간 이후의 유지보수 정책을 제시하여야 한다.
- “수급자”는 무상유지보수기간 만료 후 유지보수료는 도입가의 10% 이내로 한다.
9. 교육 훈련
- “수급자”는 계약 시 시스템 운영을 위한 교육 훈련에 대한 내용과 교육계획 및 교육 방안을 제출하여야 한다.
- 교육내용은 해당 제품의 운영 및 유지보수를 위한 시스템의 전반적 사항을 포함하여야 한다.
- “수급자”는 도입 솔루션과 관련하여 연세의료원이 변경, 증설, 업그레이드 등을 수행할 경우 기술지원을 하여야 한다.
- “수급자”는 연세의료원에게 해당 솔루션의 운영을 위한 분석 및 점검 결과, 조치 방법에 대하여 알기 쉽게 전달 교육을 실시하며, 추가적인 교육 요청 시 지원하여야 한다.
- 시스템 구축 후, 운영 및 관리할 인력을 대상으로 교육을 실시하여야 하며, 시스템의 원활한 운영 및 유지보수를 위하여 운영자 교육(필요 시 외부교육 포함)을 실시하여야 한다.
- 교재, 미디어 작성 등 교육 시 소요되는 모든 비용은 “수급자”가 부담한다.
- 시스템의 운영, 감시 및 보안, 비상복구 방법 등 운영에 필요한 시스템 구성 방법과 장애 대처 방법 등 장애 대비 매뉴얼을 제공하여야 한다.
10. 유의사항
- 본 공고문에 명시되지 않은 사항은 과업지시서 문서를 따릅니다.
- 입찰에 필요한 제반 사항을 바르게 숙지하신 후 응찰하시기 바랍니다.
- 소정기일 내 입찰등록(본사 양식)을 필하고, 현장설명회에 참여한 업체로 본사 결격 사유가 없는 업체를 한정 합니다.
- "국가를 당사자로 하는 계약에 관한 법률 시행령" 제76조 1항"에 해당하는 경우 부정당업체로 제재합니다.
- "국가를 당사자로 하는 계약에 관한 법률 시행령" 제12조 및 동법시행규칙 제14조의 규정에
적합한 업체로 한정합니다
- 기타 자세한 사항은 구매파트 김민원 과장(010-6309-2612, FAX: 02-365-6100, E-mail: tenlapasion@heronhis.co.kr) 에게 문의 하시기 바랍니다.
- 계약 체결 전, 연세의료원의 사정에 의해 본 입찰은 취소 또는 요구조건의 변경이 있을 수 있습니다.
주식회사 헤론헬스정보시스템 [직인생략]
첨부파일 2
과업지시서_연세의료원_SAP ERP 접속기록 보안솔루션 구축 (솔루션) 입찰.pdf (146.7 KB)
입찰입찰공고 상세