이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.

이 페이지의 일반 화면으로 돌아가기.

§4.1.4 프로그램 범위

    1. 조항 개요

    §4.1.4는 ISO/IEC 5230 §3.1.4(프로그램 범위)에 입증자료 2건이 추가된 조항이다. 5230이 프로그램 적용 범위를 명확히 정의한 진술만 요구하는 반면, 18974는 여기에 프로그램이 달성해야 하는 성과 메트릭(4.1.4.2)지속적 개선을 입증하는 검토·감사 증거(4.1.4.3) 를 추가로 요구한다. 이 두 항목은 보안 보증 프로그램이 정적인 규정 준수에 그치지 않고 측정 가능한 목표를 가지고 지속적으로 개선되는 체계임을 입증하기 위한 것이다.

    2. 해야 할 활동

    • 프로그램 적용 범위(대상 소프트웨어, 조직 단위, 제외 항목)를 명확히 정의한 문서화된 진술을 작성한다 (5230과 동일).
    • 프로그램이 개선하기 위해 달성해야 하는 성과 메트릭을 정의한다 (18974 추가).
    • 정기 검토·업데이트·감사를 통해 지속적 개선이 이루어지고 있음을 증명하는 기록을 유지한다 (18974 추가).
    • 메트릭 목표 대비 실적을 주기적으로 측정하고 기록한다.
    • 개선 필요 사항을 도출하고 후속 조치 이력을 문서화한다.

    3. 요구사항 및 입증자료

    조항 번호요구사항 (KO)입증자료
    §4.1.4프로그램의 적용 범위가 명확하게 정의되어야 하며, 프로그램 개선을 위한 메트릭과 지속적 개선 증거를 유지해야 한다.4.1.4.1 프로그램의 범위와 제한 사항을 명확하게 정의하는 서면 진술
    4.1.4.2 프로그램이 개선하기 위해 달성해야 하는 메트릭 세트 ★
    4.1.4.3 지속적인 개선을 입증하기 위한 각 검토, 업데이트 또는 감사에서 얻은 문서화된 증거 ★

    ★ = ISO/IEC 5230 §3.1.4 대비 추가 항목

    영문 원문 보기

    §4.1.4 Program Scope Different programs may be designed to address different scopes depending on the supplier’s needs and business model. The scope needs to be clear.

    Verification Material(s): 4.1.4.1 A written statement that clearly defines the scope and limits of the program. 4.1.4.2 A set of metrics the program seeks to improve upon. 4.1.4.3 Documented evidence from each review, update, or audit to demonstrate continuous improvement.

    4. 입증자료별 준수 방법 및 샘플

    4.1.4.1 프로그램 적용 범위 진술

    ISO/IEC 5230 §3.1.4.1과 동일하다. 작성 방법은 §3.1.4.1 프로그램 적용 범위 진술을 참고한다. 보안 보증 관점에서 “알려진 취약점 및 새로 발견된 취약점 대응"이 적용 범위 내에 포함됨을 명시한다.

    4.1.4.2 성과 메트릭 세트 ★

    준수 방법

    보안 보증 프로그램이 개선하고자 하는 성과 메트릭을 정의하고 문서화해야 한다. 메트릭은 측정 가능하고 현실적이어야 하며, 프로그램의 주요 목표(취약점 탐지율, 대응 시간, SBOM 완전성 등)와 연결되어야 한다. 메트릭 세트 자체가 입증자료 4.1.4.2다.

    고려사항

    • 측정 가능성: 정성적 서술보다 수치 기반 지표를 설정한다.
    • 현실적 목표: 초기에는 달성 가능한 수준으로 목표를 설정하고 점진적으로 높인다.
    • 주기적 측정: 메트릭을 최소 분기별로 측정하고 결과를 기록한다.

    샘플

    [보안 보증 프로그램 성과 메트릭]

| 메트릭 | 측정 방법 | 목표 | 측정 주기 |
|--------|-----------|------|-----------|
| SBOM 완전성 | 배포 소프트웨어 중 SBOM 보유 비율 | 100% | 분기 |
| Critical 취약점 평균 대응 시간 | 탐지일~패치 적용일 | 7일 이하 | 분기 |
| High 취약점 평균 대응 시간 | 탐지일~패치 적용일 | 30일 이하 | 분기 |
| 취약점 재발생률 | 동일 컴포넌트 재취약점 비율 | 10% 이하 | 반기 |
| 신규 참여자 인식 평가 완료율 | 입사 30일 이내 평가 완료 비율 | 100% | 분기 |
| 외부 취약점 문의 응답 준수율 | 14일 이내 응답 완료 비율 | 95% 이상 | 분기 |

    4.1.4.3 지속적 개선 증거 ★

    준수 방법

    정기 검토, 프로세스 업데이트, 내부 감사 등을 통해 보안 보증 프로그램이 실제로 개선되고 있음을 보여주는 기록을 유지해야 한다. 각 검토·감사 시마다 발견된 문제점, 수행된 개선 조치, 개선 결과를 문서화한다. 이 기록 자체가 입증자료 4.1.4.3이다.

    고려사항

    • 정기 감사 일정: 최소 연 1회 전체 프로그램 감사를 실시하고 결과를 기록한다.
    • 개선 이력 추적: 이전 감사에서 제기된 문제가 다음 감사에서 해결되었는지 추적하여 기록한다.
    • 메트릭 연계: 4.1.4.2에서 정의한 메트릭의 실적 추이를 개선 증거로 활용한다.

    샘플

    [보안 보증 프로그램 정기 검토 기록]

검토 날짜: 2026-01-10
검토자: 홍길동 (오픈소스 프로그램 매니저), 김철수 (보안 담당)

메트릭 실적:
- SBOM 완전성: 97% → 100% (목표 달성)
- Critical 취약점 평균 대응 시간: 9일 → 6일 (목표 달성)
- High 취약점 평균 대응 시간: 35일 → 28일 (목표 달성)

발견된 개선 사항:
1. 외부 취약점 문의 응답 준수율 88% → 95% 목표 미달
   조치: 문의 모니터링 담당자 추가 지정 (2026-02-01 완료)
2. 신규 참여자 인식 평가 지연 사례 발생
   조치: 온보딩 체크리스트에 인식 평가 필수 항목 추가 (2026-01-20 완료)

다음 검토 예정일: 2027-01-09

    5. 참고