§4.4 규격 준수

• 1: §4.4.1 완전성
• 2: §4.4.2 기간

1 - §4.4.1 완전성

1. 조항 개요

§4.4.1은 ISO/IEC 5230 §3.6.1(적합성)에 대응하는 조항이다. §4.1.4에서 정의한 프로그램이 ISO/IEC 18974의 모든 요구사항을 충족함을 확인하는 문서를 작성해야 한다. 5230 §3.6.1과 구조는 동일하지만, 확인 대상이 18974의 25개 입증자료 항목 전체라는 점이 다르다. ISO/IEC 5230 인증과 18974 인증을 동시에 준비하는 경우 두 규격의 공통 항목을 통합 점검하고, 18974 전용 9개 항목(★ 표시)을 추가로 확인하는 방식이 효율적이다.

2. 해야 할 활동

• §4.1부터 §4.3까지 모든 조항의 입증자료(25개 항목)가 갖추어졌는지 자체 점검한다.
• 프로그램이 §4.1.4에서 정의한 적용 범위 내에서 ISO/IEC 18974의 모든 요구사항을 충족함을 확인하는 문서를 작성한다.
• 확인 문서에 검토자, 승인자, 확인 날짜를 기록한다.
• ISO/IEC 5230과 18974를 동시에 준수하는 경우 통합 점검표를 활용하여 중복 검토 부담을 줄인다.

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

4.4.1.1 규격 준수 확인 문서

준수 방법

§4.1.4에서 정의한 프로그램의 적용 범위 내에서 ISO/IEC 18974의 모든 요구사항을 충족한다는 사실을 확인하는 문서를 작성해야 한다. 이 문서가 입증자료 4.4.1.1이다. 아래 체크리스트를 활용하여 25개 입증자료 항목 전체를 점검하고, 확인 결과를 기록한다.

ISO/IEC 18974 준수 자체 점검 체크리스트

§4.1 프로그램 기반
□ 4.1.1.1 문서화된 보안 보증 정책
□ 4.1.1.2 정책 인식 전파 절차
□ 4.1.2.1 역할과 책임 목록
□ 4.1.2.2 역할별 역량 정의 문서
□ 4.1.2.3 참여자 목록 및 역할 매핑 ★
□ 4.1.2.4 역량 평가 증거
□ 4.1.2.5 주기적 검토 및 변경 증거 ★
□ 4.1.2.6 내부 모범 사례 일치 검증 ★
□ 4.1.3.1 참여자 인식 평가 증거
□ 4.1.4.1 프로그램 적용 범위 진술
□ 4.1.4.2 성과 메트릭 세트 ★
□ 4.1.4.3 지속적 개선 증거 ★
□ 4.1.5.1 8가지 취약점 처리 방법 문서화 절차 ★

§4.2 관련 업무
□ 4.2.1.1 공개된 취약점 문의 채널
□ 4.2.1.2 내부 취약점 문의 대응 절차
□ 4.2.2.1 역할 담당자 명시 문서
□ 4.2.2.2 인원 배치 및 예산 확인
□ 4.2.2.3 취약점 해결 전문성 명시 ★
□ 4.2.2.4 내부 책임 할당 절차

§4.3 콘텐츠 검토 및 승인
□ 4.3.1.1 SBOM 수명주기 지속 기록 절차
□ 4.3.1.2 오픈소스 컴포넌트 기록 (SBOM)
□ 4.3.2.1 취약점 탐지 및 해결 절차 ★
□ 4.3.2.2 취약점 및 조치 기록 ★

§4.4 규격 준수
□ 4.4.1.1 모든 요구사항 충족 확인 문서
□ 4.4.2.1 18개월 이내 요구사항 충족 확인 문서

★ = ISO/IEC 5230 대비 추가 항목 (9건)

고려사항

• 5230과 통합 점검: ISO/IEC 5230 인증을 보유한 경우 공통 항목(16건)은 기존 자료를 재활용하고 18974 전용 항목(9건)에 집중한다.
• 승인 절차: 오픈소스 프로그램 매니저의 검토와 경영진 승인을 거쳐 문서를 공식화한다.
• 규격 버전 명시: ISO/IEC 18974:2023(버전 1.0)을 준수 확인 규격으로 문서에 명시한다.

샘플

[ISO/IEC 18974 규격 준수 확인서]

프로그램 명칭: [회사명] 오픈소스 보안 보증 프로그램
적용 범위: [§4.1.4에서 정의한 범위]
준수 확인 규격: ISO/IEC 18974:2023 (버전 1.0)
확인 날짜: YYYY-MM-DD

본 문서는 위 프로그램이 ISO/IEC 18974:2023의 §4.1부터 §4.4까지
모든 요구사항(25개 입증자료 항목)을 충족함을 확인한다.

준수 확인 항목 요약:
- §4.1 프로그램 기반 (5개 조항, 13개 입증자료): 충족 ✓
- §4.2 관련 업무 (2개 조항, 6개 입증자료): 충족 ✓
- §4.3 콘텐츠 검토 및 승인 (2개 조항, 4개 입증자료): 충족 ✓
- §4.4 규격 준수 (2개 조항, 2개 입증자료): 충족 ✓

검토자: [오픈소스 프로그램 매니저 이름]
승인자: [경영진 또는 OSRB 책임자 이름]
승인일: YYYY-MM-DD

5. 참고

• 대응 ISO/IEC 5230 조항: §3.6.1 적합성
• ISO/IEC 18974 자가 인증: https://certification.openchainproject.org/
• 전체 조항 체크리스트: ISO/IEC 18974 준수 가이드

2 - §4.4.2 기간

1. 조항 개요

§4.4.2는 ISO/IEC 5230 §3.6.2(지속 기간)와 동일한 구조다. 적합성 인증을 취득한 후 18개월 이내에 이 규격의 모든 요구사항을 충족하고 있음을 확인하는 문서를 유지하도록 요구한다. 규격의 새 버전이 발행되면 18개월의 유예 기간 동안 이전 버전 기준 인증이 유지되며, 유예 기간 내에 최신 버전 기준으로 갱신하는 것을 권장한다.

2. 해야 할 활동

• 적합성 인증 취득 날짜를 기록하고 관리한다.
• 인증 취득 후 최근 18개월 이내에 규격의 모든 요구사항을 충족하고 있음을 재확인하고 문서화한다.
• 새로운 버전의 ISO/IEC 18974가 발행된 경우 18개월 이내에 최신 버전 기준으로 프로그램을 갱신하고 재확인한다.
• 정기적인 내부 감사를 통해 25개 입증자료 항목의 지속적 준수 여부를 점검한다.

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

4.4.2.1 18개월 이내 요구사항 충족 확인 문서

준수 방법

ISO/IEC 5230 §3.6.2.1과 동일한 방식으로, §4.4.1.1의 규격 준수 확인 문서를 최소 연 1회 재검토하고 갱신한다. 갱신 시마다 검토 날짜와 검토자를 기록하여 최근 18개월 이내에 검토가 이루어졌음을 증명한다.

ISO/IEC 5230과 18974를 동시에 운영하는 경우, 두 규격의 정기 재확인 일정을 통합하여 연 1회 통합 감사로 처리하면 관리 효율이 높다.

샘플

[ISO/IEC 18974 규격 준수 정기 재확인 기록]

최초 인증 취득일: YYYY-MM-DD
준수 확인 규격: ISO/IEC 18974:2023 (버전 1.0)

| 재확인 날짜 | 확인 결과 | 변경 사항 | 검토자 | 비고 |
|------------|-----------|-----------|--------|------|
| 2025-01-10 | 전체 충족 | 취약점 해결 전문성 문서 갱신 (§4.2.2.3) | 홍길동 | - |
| 2026-01-08 | 전체 충족 | 성과 메트릭 목표치 상향 (§4.1.4.2) | 홍길동 | - |

다음 재확인 예정일: YYYY-MM-DD
18개월 유효 기한: YYYY-MM-DD

5. 참고

• 대응 ISO/IEC 5230 조항: §3.6.2 지속 기간
• OpenChain 규격 최신 버전 확인: https://www.openchainproject.org/security-assurance