이 워크북은 자가점검 페이지의 점검 항목을 기록용 양식으로 옮긴 것이다. 점검만 하고 끝내지 않고, 부족한 부분의 담당자와 기한을 적어 개선 계획으로 잇기 위한 것이다.
쓰는 방법
각 항목의 충족 상태를 세 단계로 표시한다.
- 미충족: 관련 활동이나 문서가 없다.
- 부분 충족: 활동은 있으나 문서나 기록이 부족하다.
- 충족: 활동과 근거 문서를 모두 갖췄다.
부분 충족이나 미충족 항목에는 근거 문서가 무엇이어야 하는지, 누가 언제까지 갖출지를 적는다. 충족 항목에는 근거 문서의 이름과 위치를 적어, 그대로 ISO 자가 인증의 입증자료로 쓸 수 있게 한다.
아래 표를 복사해 조직의 점검 기록으로 채운다. 상태 칸에는 미충족·부분·충족 중 하나를 적는다.
식별
| 점검 항목 | ISO 입증자료 | 상태 | 근거 문서·위치 | 담당자 | 목표 기한 |
|---|---|---|---|---|---|
| 오픈소스 관리의 적용 범위가 문서로 정의돼 있다 | 5230 3.1.4.1 | ||||
| 새로 도입하는 오픈소스와 그 의존성을 빠짐없이 파악한다 | 5230 3.3.1.1 | ||||
| 전이 의존성까지 펼쳐 식별한다 | 5230 3.3.1.1 | ||||
| 이미 운영 중인 시스템의 레거시 오픈소스를 식별한다 | 5230 3.3.1.1 | ||||
| 식별 결과를 표준 형식 SBOM으로 기록한다 | 5230 3.3.1.2 | ||||
| 외주·전자금융보조업자 산출물의 오픈소스를 식별한다 | 5230 3.3.1.1 준용 |
이슈 파악 및 해결
| 점검 항목 | ISO 입증자료 | 상태 | 근거 문서·위치 | 담당자 | 목표 기한 |
|---|---|---|---|---|---|
| 각 컴포넌트의 알려진 취약점을 점검한다 | 18974 4.3.2.1 | ||||
| 위험 점수를 매기고 대응 기한을 정한다 | 18974 4.3.2.1 | ||||
| 취약점 조치 결과를 기록한다 | 18974 4.3.2.2 | ||||
| 라이선스 의무를 확인하고 충돌을 해결한다 | 5230 3.3.2.1 | ||||
| 배포 시 GPL 계열 소스 공개 정책을 갖춘다 | 5230 3.3.2.1 |
승인
| 점검 항목 | ISO 입증자료 | 상태 | 근거 문서·위치 | 담당자 | 목표 기한 |
|---|---|---|---|---|---|
| 사용 승인 절차와 검토 주체가 정해져 있다 | 5230 3.1.5.1 | ||||
| 승인 결정과 근거를 기록한다 | 5230 3.1.5.1 | ||||
| 망분리 예외 시 자체 위험평가서를 남긴다 | (전자금융감독규정) | ||||
| 외주 계약에 오픈소스 요구사항을 넣는다 | (권리 귀속은 전자금융감독규정 제21조, 그 외는 본 가이드 권고) |
관리
| 점검 항목 | ISO 입증자료 | 상태 | 근거 문서·위치 | 담당자 | 목표 기한 |
|---|---|---|---|---|---|
| 운영 시스템 SBOM을 등록해 지속 감시한다 | 18974 4.3.2 | ||||
| 신규 취약점 공개 시 영향 시스템을 역추적한다 | 18974 4.3.2 | ||||
| 정기 재평가 주기가 정해져 있다 | 18974 4.1.2.5 | ||||
| 점검 기록을 감사 증적으로 보관한다 | 5230 3.4.1.2 |
기타
| 점검 항목 | ISO 입증자료 | 상태 | 근거 문서·위치 | 담당자 | 목표 기한 |
|---|---|---|---|---|---|
| 선택 기준과 예외 승인 절차가 있다 | 5230 3.1.1.1 | ||||
| 역할과 책임이 문서화돼 있다 | 5230 3.1.2.1, 18974 4.1.2.3 | ||||
| 담당 인력과 예산이 확보돼 있다 | 5230 3.2.2.2 | ||||
| 정책이 구성원에게 전파된다 | 5230 3.1.1.2 | ||||
| 법률 자문 접근 경로가 있다 | 5230 3.2.2.3 |
각 점검 항목을 자세히 다루는 가이드 섹션은 자가점검 페이지의 표에서 링크로 연결돼 있다.
최종 검토일: 2026-06-10. 이 페이지는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.