이 조항은 Phase 5 — 적합성 확인 및 유지 단계에서 구축합니다. Phase 1~4의 모든 입증자료를 갖춘 후 진행합니다. 전체 구축 로드맵 보기
1. 조항 개요
§4.4.1은 ISO/IEC 5230 §3.6.1(적합성)에 대응하는 조항이다. §4.1.4에서 정의한 프로그램이 ISO/IEC 18974의 모든 요구사항을 충족함을 확인하는 문서를 작성해야 한다. 5230 §3.6.1과 구조는 동일하지만, 확인 대상이 18974의 25개 입증자료 항목 전체라는 점이 다르다. ISO/IEC 5230 인증과 18974 인증을 동시에 준비하는 경우 두 규격의 공통 항목을 통합 점검하고, 18974 전용 9개 항목(★ 표시)을 추가로 확인하는 방식이 효율적이다.
2. 해야 할 활동
- §4.1부터 §4.3까지 모든 조항의 입증자료(25개 항목)가 갖추어졌는지 자체 점검한다.
- 프로그램이 §4.1.4에서 정의한 적용 범위 내에서 ISO/IEC 18974의 모든 요구사항을 충족함을 확인하는 문서를 작성한다.
- 확인 문서에 검토자, 승인자, 확인 날짜를 기록한다.
- ISO/IEC 5230과 18974를 동시에 준수하는 경우 통합 점검표를 활용하여 중복 검토 부담을 줄인다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| §4.4.1 | 프로그램이 이 규격을 준수하는 것으로 간주되려면, 조직은 프로그램이 이 문서의 모든 요구사항을 충족한다고 확인해야 한다. | 4.4.1.1 §4.1.4에 명시된 프로그램이 이 문서의 모든 요구 사항을 충족함을 확인하는 문서화된 증거 |
영문 원문 보기
§4.4.1 Completeness In order for a program to be deemed conformant with this specification, the organization shall affirm that the program satisfies the requirements presented in this specification.
Verification Material(s): 4.4.1.1 Documented evidence affirming the program specified in §4.1.4 satisfies all the requirements of this specification.
4. 입증자료별 준수 방법 및 샘플
4.4.1.1 규격 준수 확인 문서
준수 방법
§4.1.4에서 정의한 프로그램의 적용 범위 내에서 ISO/IEC 18974의 모든 요구사항을 충족한다는 사실을 확인하는 문서를 작성해야 한다. 이 문서가 입증자료 4.4.1.1이다. 아래 체크리스트를 활용하여 25개 입증자료 항목 전체를 점검하고, 확인 결과를 기록한다.
ISO/IEC 18974 준수 자체 점검 체크리스트
§4.1 프로그램 기반
□ 4.1.1.1 문서화된 보안 보증 정책
□ 4.1.1.2 정책 인식 전파 절차
□ 4.1.2.1 역할과 책임 목록
□ 4.1.2.2 역할별 역량 정의 문서
□ 4.1.2.3 참여자 목록 및 역할 매핑 ★
□ 4.1.2.4 역량 평가 증거
□ 4.1.2.5 주기적 검토 및 변경 증거 ★
□ 4.1.2.6 내부 모범 사례 일치 검증 ★
□ 4.1.3.1 참여자 인식 평가 증거
□ 4.1.4.1 프로그램 적용 범위 진술
□ 4.1.4.2 성과 메트릭 세트 ★
□ 4.1.4.3 지속적 개선 증거 ★
□ 4.1.5.1 8가지 취약점 처리 방법 문서화 절차 ★
§4.2 관련 업무
□ 4.2.1.1 공개된 취약점 문의 채널
□ 4.2.1.2 내부 취약점 문의 대응 절차
□ 4.2.2.1 역할 담당자 명시 문서
□ 4.2.2.2 인원 배치 및 예산 확인
□ 4.2.2.3 취약점 해결 전문성 명시 ★
□ 4.2.2.4 내부 책임 할당 절차
§4.3 콘텐츠 검토 및 승인
□ 4.3.1.1 SBOM 수명주기 지속 기록 절차
□ 4.3.1.2 오픈소스 컴포넌트 기록 (SBOM)
□ 4.3.2.1 취약점 탐지 및 해결 절차 ★
□ 4.3.2.2 취약점 및 조치 기록 ★
§4.4 규격 준수
□ 4.4.1.1 모든 요구사항 충족 확인 문서
□ 4.4.2.1 18개월 이내 요구사항 충족 확인 문서
★ = ISO/IEC 5230 대비 추가 항목 (9건)
고려사항
- 5230과 통합 점검: ISO/IEC 5230 인증을 보유한 경우 공통 항목(16건)은 기존 자료를 재활용하고 18974 전용 항목(9건)에 집중한다.
- 승인 절차: 오픈소스 프로그램 매니저의 검토와 경영진 승인을 거쳐 문서를 공식화한다.
- 규격 버전 명시: ISO/IEC 18974:2023(버전 1.0)을 준수 확인 규격으로 문서에 명시한다.
샘플
[ISO/IEC 18974 규격 준수 확인서]
프로그램 명칭: [회사명] 오픈소스 보안 보증 프로그램
적용 범위: [§4.1.4에서 정의한 범위]
준수 확인 규격: ISO/IEC 18974:2023 (버전 1.0)
확인 날짜: YYYY-MM-DD
본 문서는 위 프로그램이 ISO/IEC 18974:2023의 §4.1부터 §4.4까지
모든 요구사항(25개 입증자료 항목)을 충족함을 확인한다.
준수 확인 항목 요약:
- §4.1 프로그램 기반 (5개 조항, 13개 입증자료): 충족 ✓
- §4.2 관련 업무 (2개 조항, 6개 입증자료): 충족 ✓
- §4.3 콘텐츠 검토 및 승인 (2개 조항, 4개 입증자료): 충족 ✓
- §4.4 규격 준수 (2개 조항, 2개 입증자료): 충족 ✓
검토자: [오픈소스 프로그램 매니저 이름]
승인자: [경영진 또는 OSRB 책임자 이름]
승인일: YYYY-MM-DD
5. 인증 방법 선택 가이드
ISO/IEC 18974 준수를 공식적으로 인정받는 방법은 세 가지이며, ISO/IEC 5230과 동일한 인증 경로를 공유한다.
| 인증 방법 | 비용 | 신뢰도 | 적합 상황 |
|---|---|---|---|
| 자가 인증 | 무료 | 낮음 | 처음 인증 준비, 내부 점검 목적 |
| 독립 평가 | 중간 | 중간 | 공급망 파트너에게 보안 보증 수준 증명 필요 시 |
| 제3자 인증 | 높음 | 높음 | 글로벌 공급망 요구사항 충족, 공식 인증서 필요 시 |
자가 인증 (Self-Certification)
OpenChain 자가 인증 플랫폼(certification.openchainproject.org)에서 25개 입증자료 항목을 직접 체크하는 방식이다. 비용이 없고 절차가 간단하여 처음 인증을 준비하는 조직에 적합하다. 자가 인증 결과는 공개 인증서 없이 내부 점검 목적으로 활용하거나, 공급망 파트너에게 자체 선언 형태로 제공할 수 있다.
독립 평가 (Independent Assessment)
조직이 자체적으로 내부 역량을 갖춘 제3자(외부 컨설턴트, 감사 기관 등)를 통해 준수 여부를 평가받는 방식이다. OpenChain 공식 인증 기관은 아니지만, 공급망 파트너에게 자가 인증보다 높은 신뢰도를 제공한다. 비용과 신뢰도 사이의 균형을 원하는 조직에 적합하다.
제3자 인증 (Third-Party Certification)
OpenChain이 승인한 인증 기관을 통해 공식 인증서를 취득하는 방식이다. 인증서는 글로벌 공급망 계약 요구사항 충족, 고객 감사 대응, 보안 보증 역량의 공식 증명에 활용된다. ISO/IEC 5230과 18974를 동시에 취득하면 한 번의 감사로 두 표준을 모두 커버할 수 있어 효율적이다.
처음 인증을 준비한다면: 자가 인증으로 시작하여 25개 입증자료 준비 상태를 점검하고 부족한 항목을 보완한 후, 필요에 따라 독립 평가 또는 제3자 인증으로 전환한다.
ISO/IEC 5230을 이미 보유한 경우: 공통 항목(16건)은 기존 자료를 재활용하고 18974 전용 항목(9건)만 추가 준비하면 되므로, 두 표준 동시 인증이 효율적이다.
6. 참고
- 대응 ISO/IEC 5230 조항: §3.6.1 적합성
- ISO/IEC 18974 자가 인증: https://certification.openchainproject.org/
- 전체 조항 체크리스트: ISO/IEC 18974 준수 가이드