이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.

이 페이지의 일반 화면으로 돌아가기.

§4.4.1 완전성

    1. 조항 개요

    §4.4.1은 ISO/IEC 5230 §3.6.1(적합성)에 대응하는 조항이다. §4.1.4에서 정의한 프로그램이 ISO/IEC 18974의 모든 요구사항을 충족함을 확인하는 문서를 작성해야 한다. 5230 §3.6.1과 구조는 동일하지만, 확인 대상이 18974의 25개 입증자료 항목 전체라는 점이 다르다. ISO/IEC 5230 인증과 18974 인증을 동시에 준비하는 경우 두 규격의 공통 항목을 통합 점검하고, 18974 전용 9개 항목(★ 표시)을 추가로 확인하는 방식이 효율적이다.

    2. 해야 할 활동

    • §4.1부터 §4.3까지 모든 조항의 입증자료(25개 항목)가 갖추어졌는지 자체 점검한다.
    • 프로그램이 §4.1.4에서 정의한 적용 범위 내에서 ISO/IEC 18974의 모든 요구사항을 충족함을 확인하는 문서를 작성한다.
    • 확인 문서에 검토자, 승인자, 확인 날짜를 기록한다.
    • ISO/IEC 5230과 18974를 동시에 준수하는 경우 통합 점검표를 활용하여 중복 검토 부담을 줄인다.

    3. 요구사항 및 입증자료

    조항 번호요구사항 (KO)입증자료
    §4.4.1프로그램이 이 규격을 준수하는 것으로 간주되려면, 조직은 프로그램이 이 문서의 모든 요구사항을 충족한다고 확인해야 한다.4.4.1.1 §4.1.4에 명시된 프로그램이 이 문서의 모든 요구 사항을 충족함을 확인하는 문서화된 증거
    영문 원문 보기

    §4.4.1 Completeness In order for a program to be deemed conformant with this specification, the organization shall affirm that the program satisfies the requirements presented in this specification.

    Verification Material(s): 4.4.1.1 Documented evidence affirming the program specified in §4.1.4 satisfies all the requirements of this specification.

    4. 입증자료별 준수 방법 및 샘플

    4.4.1.1 규격 준수 확인 문서

    준수 방법

    §4.1.4에서 정의한 프로그램의 적용 범위 내에서 ISO/IEC 18974의 모든 요구사항을 충족한다는 사실을 확인하는 문서를 작성해야 한다. 이 문서가 입증자료 4.4.1.1이다. 아래 체크리스트를 활용하여 25개 입증자료 항목 전체를 점검하고, 확인 결과를 기록한다.

    ISO/IEC 18974 준수 자체 점검 체크리스트

    §4.1 프로그램 기반
□ 4.1.1.1 문서화된 보안 보증 정책
□ 4.1.1.2 정책 인식 전파 절차
□ 4.1.2.1 역할과 책임 목록
□ 4.1.2.2 역할별 역량 정의 문서
□ 4.1.2.3 참여자 목록 및 역할 매핑 ★
□ 4.1.2.4 역량 평가 증거
□ 4.1.2.5 주기적 검토 및 변경 증거 ★
□ 4.1.2.6 내부 모범 사례 일치 검증 ★
□ 4.1.3.1 참여자 인식 평가 증거
□ 4.1.4.1 프로그램 적용 범위 진술
□ 4.1.4.2 성과 메트릭 세트 ★
□ 4.1.4.3 지속적 개선 증거 ★
□ 4.1.5.1 8가지 취약점 처리 방법 문서화 절차 ★

§4.2 관련 업무
□ 4.2.1.1 공개된 취약점 문의 채널
□ 4.2.1.2 내부 취약점 문의 대응 절차
□ 4.2.2.1 역할 담당자 명시 문서
□ 4.2.2.2 인원 배치 및 예산 확인
□ 4.2.2.3 취약점 해결 전문성 명시 ★
□ 4.2.2.4 내부 책임 할당 절차

§4.3 콘텐츠 검토 및 승인
□ 4.3.1.1 SBOM 수명주기 지속 기록 절차
□ 4.3.1.2 오픈소스 컴포넌트 기록 (SBOM)
□ 4.3.2.1 취약점 탐지 및 해결 절차 ★
□ 4.3.2.2 취약점 및 조치 기록 ★

§4.4 규격 준수
□ 4.4.1.1 모든 요구사항 충족 확인 문서
□ 4.4.2.1 18개월 이내 요구사항 충족 확인 문서

★ = ISO/IEC 5230 대비 추가 항목 (9건)

    고려사항

    • 5230과 통합 점검: ISO/IEC 5230 인증을 보유한 경우 공통 항목(16건)은 기존 자료를 재활용하고 18974 전용 항목(9건)에 집중한다.
    • 승인 절차: 오픈소스 프로그램 매니저의 검토와 경영진 승인을 거쳐 문서를 공식화한다.
    • 규격 버전 명시: ISO/IEC 18974:2023(버전 1.0)을 준수 확인 규격으로 문서에 명시한다.

    샘플

    [ISO/IEC 18974 규격 준수 확인서]

프로그램 명칭: [회사명] 오픈소스 보안 보증 프로그램
적용 범위: [§4.1.4에서 정의한 범위]
준수 확인 규격: ISO/IEC 18974:2023 (버전 1.0)
확인 날짜: YYYY-MM-DD

본 문서는 위 프로그램이 ISO/IEC 18974:2023의 §4.1부터 §4.4까지
모든 요구사항(25개 입증자료 항목)을 충족함을 확인한다.

준수 확인 항목 요약:
- §4.1 프로그램 기반 (5개 조항, 13개 입증자료): 충족 ✓
- §4.2 관련 업무 (2개 조항, 6개 입증자료): 충족 ✓
- §4.3 콘텐츠 검토 및 승인 (2개 조항, 4개 입증자료): 충족 ✓
- §4.4 규격 준수 (2개 조항, 2개 입증자료): 충족 ✓

검토자: [오픈소스 프로그램 매니저 이름]
승인자: [경영진 또는 OSRB 책임자 이름]
승인일: YYYY-MM-DD

    5. 참고