본 기준은 수탁자의 보안 의무 위반 시 부과되는 위약금의 등급, 금액, 부과 절차를 정의함.
| 등급 | 위약금 | 적용 기준 |
|---|
| 1급 (중대) | 계약금액의 5% | 개인정보 유출, 시스템 임의 변경 등 중대한 보안 사고 |
| 2급 (주의) | 계약금액의 3% | 보안 절차 미준수, 접근권한 위반 등 주의 필요 사항 |
| 3급 (경미) | 계약금액의 1% | 보안 교육 미이수, 보안 점검 누락 등 경미한 위반 |
| 번호 | 위반 사항 | 세부 내용 |
|---|
| 1 | 개인정보 유출 | 고객 개인정보(이름, 전화번호, 주소, 이메일 등)를 외부에 유출한 경우 |
| 2 | 시스템 임의 변경 | 발주처 승인 없이 운영 시스템의 설정, 코드, 데이터베이스를 임의로 변경한 경우 |
| 3 | 백업 데이터 유출 | 백업 데이터를 외부 저장매체에 무단으로 복사하거나 반출한 경우 |
| 4 | 관리자 계정 무단 사용 | 관리자 계정을 무단으로 생성하거나 타인에게 공유한 경우 |
| 5 | 보안 시스템 무력화 | 방화벽, 침입탐지시스템 등 보안 시스템을 임의로 중단하거나 우회한 경우 |
| 6 | 악성코드 유입 | 고의 또는 중과실로 악성코드를 시스템에 유입시킨 경우 |
| 7 | 데이터 무단 삭제 | 발주처 승인 없이 운영 데이터를 삭제하거나 파기한 경우 |
| 번호 | 위반 사항 | 세부 내용 |
|---|
| 1 | 보안 절차 미준수 | 접근 통제, 암호화, 로그 기록 등 보안 절차를 준수하지 않은 경우 |
| 2 | 접근권한 위반 | 부여받지 않은 시스템 또는 데이터에 무단으로 접근한 경우 |
| 3 | 비밀번호 관리 소홀 | 비밀번호를 타인과 공유하거나 안전하지 않은 방법으로 보관한 경우 |
| 4 | 보안 패치 미적용 | 보안 취약점 패치를 기한 내에 적용하지 않은 경우 |
| 5 | 외부 네트워크 무단 연결 | 발주처 승인 없이 외부 네트워크에 시스템을 연결한 경우 |
| 6 | 보안 사고 미보고 | 보안 사고 발생 시 즉시 보고하지 않고 은폐하거나 지연 보고한 경우 |
| 번호 | 위반 사항 | 세부 내용 |
|---|
| 1 | 보안 교육 미이수 | 연간 필수 보안 교육을 이수하지 않은 경우 |
| 2 | 보안 점검 누락 | 정기 보안 점검을 실시하지 않거나 점검 결과를 제출하지 않은 경우 |
| 3 | 접속 기록 미보관 | 시스템 접속 기록을 규정된 기간 동안 보관하지 않은 경우 |
| 4 | 보안 문서 미제출 | 보안 관련 문서(보안 계획서, 점검 보고서 등)를 기한 내에 제출하지 않은 경우 |
| 5 | 작업 일지 미작성 | 시스템 작업 일지를 작성하지 않거나 부실하게 작성한 경우 |
- 발주처는 위반 사실 확인 후 7일 이내에 수탁자에게 서면으로 통지함.
- 통지 내용: 위반 사항, 위반 등급, 위약금 금액, 이의 신청 방법 및 기한
- 수탁자는 통지를 받은 날로부터 14일 이내에 서면으로 이의를 신청할 수 있음.
- 이의 신청 시 소명 자료를 첨부하여야 함.
- 발주처는 이의 신청을 받은 날로부터 14일 이내에 심사 결과를 통보함.
- 이의 신청이 없거나 이의 신청이 기각된 경우, 위약금이 확정됨.
- 발주처는 확정된 위약금을 계약금액에서 공제하거나 별도로 청구할 수 있음.
- 발주처는 확정된 위약금을 다음 대금 지급 시 공제함.
- 잔여 계약금액이 위약금보다 적은 경우, 수탁자는 부족분을 현금으로 납부하여야 함.
- 동일한 위반 사항이 재발한 경우, 위약금을 1.5배로 가중함.
- 3회 이상 위반 시, 발주처는 계약을 해지할 수 있음.
다음 각 호의 경우, 위약금 부과를 면제하거나 감경할 수 있음.
- 천재지변, 전쟁, 테러 등 불가항력적 사유로 인한 경우
- 발주처의 지시 또는 승인에 따라 발생한 경우
- 수탁자가 위반 사실을 즉시 보고하고 신속하게 시정 조치를 취한 경우
- 위반으로 인한 피해가 경미하고 재발 방지 대책이 수립된 경우
※ 변호사 검토 후 확정
- 본 기준에 명시되지 않은 위반 사항은 발주처와 수탁자가 협의하여 결정함.
- 위약금 부과는 손해배상 청구권을 제한하지 않음.
- 본 기준은 계약 체결 시 계약서의 일부로 편입됨.
