ISO 입증자료 충족 여부 점검 결과
개요
이 파일은 content/ko/guide/ 가이드가 ISO/IEC 5230(오픈소스 컴플라이언스)과
ISO/IEC 18974(보안 보증) 각 입증자료 요건을 충족하는지 점검한 결과를 누적 기록한다.
- 점검 커맨드:
/project:guide-verify-evidence {표준번호} {입증자료번호} - 점검 기준 정의:
.claude/commands/guide-verify-evidence.md - 판정 기준:
- ✅ 충족 — 요건을 가이드·템플릿에서 명시적으로 다루며 기업이 따르면 실제 제출 가능한 수준
- ⚠️ 부분 충족 — 관련 내용은 있으나 설명 부족 또는 샘플 없음
- ❌ 누락 — 관련 내용이 어디에도 없음
점검 이력
| 점검일 | 대상 표준 | 점검 항목 수 | ✅ | ⚠️ | ❌ | 비고 |
|---|---|---|---|---|---|---|
| 2026-03-29 | ISO/IEC 5230:2020 | 25 | 25 | 0 | 0 | 최초 전수 점검 |
| 2026-03-29 | ISO/IEC 18974:2023 | 25 | 25 | 0 | 0 | 최초 전수 점검 |
점검 주기 권장
| 트리거 | 권장 조치 |
|---|---|
| 연 1회 정기 | 전체 50개 항목 재점검, 이 파일의 점검 이력 갱신 |
| 가이드 대규모 수정 후 | 영향받는 조항 입증자료만 선택적 재점검 |
| ISO 표준 신규 버전 발행 시 | 변경된 입증자료 항목 확인 후 가이드 반영 |
| ⚠️/❌ 항목 발생 시 | 해당 항목 즉시 수정 후 재점검하여 이 파일 업데이트 |
ISO/IEC 5230 (25개 입증자료)
| 번호 | 입증자료 요약 | 충족 여부 | 근거 파일 | 비고 |
|---|---|---|---|---|
| 3.1.1.1 | 문서화된 오픈소스 정책 | ✅ | iso5230_guide/1-program-foundation/1-policy/, templates/1-policy/ | 정책 목적·범위·승인 절차 샘플 포함 |
| 3.1.1.2 | 정책 전파 절차 | ✅ | iso5230_guide/1-program-foundation/1-policy/ | 복수 채널 가이드 + 공지 이메일 샘플 포함 |
| 3.1.2.1 | 역할과 책임 목록 문서 | ✅ | iso5230_guide/1-program-foundation/2-competence/, templates/1-policy/appendix/ | 6개 역할별 책임 테이블 샘플 포함 |
| 3.1.2.2 | 역할별 필요 역량 문서 | ✅ | iso5230_guide/1-program-foundation/2-competence/ | 역할별 역량 정의표 샘플 포함 |
| 3.1.2.3 | 역량 평가 증거 | ✅ | iso5230_guide/1-program-foundation/2-competence/ | 역량 평가 기록부 샘플 포함 |
| 3.1.3.1 | 참여자 인식 평가 증거 | ✅ | iso5230_guide/1-program-foundation/3-awareness/ | 인식 평가 기록부 + 정책 인식 확인서 샘플 포함 |
| 3.1.4.1 | 프로그램 적용 범위 진술 | ✅ | iso5230_guide/1-program-foundation/4-scope/, templates/1-policy/ §1.4 | 적용대상·제외·조직범위 진술 샘플 포함 |
| 3.1.5.1 | 라이선스 의무 검토 절차 | ✅ | iso5230_guide/1-program-foundation/5-license-obligations/ | 5단계 절차 + 주요 라이선스 의무 요약표 포함 |
| 3.2.1.1 | 외부 문의 공개 채널 | ✅ | iso5230_guide/2-relevant-tasks/1-access/ | 역할 기반 이메일 주소 + 한·영 게시 샘플 포함 |
| 3.2.1.2 | 외부 문의 내부 대응 절차 | ✅ | iso5230_guide/2-relevant-tasks/1-access/ | 5단계 절차 샘플(접수·배정·검토·답변·기록) 포함 |
| 3.2.2.1 | 역할 담당자 이름 문서 | ✅ | iso5230_guide/2-relevant-tasks/2-resourced/, templates/1-policy/appendix/ | 역할-담당자-연락처 현황표 샘플 포함 |
| 3.2.2.2 | 역할 배치 및 예산 확인 | ✅ | iso5230_guide/2-relevant-tasks/2-resourced/ | 투입 비율·연간 예산 기재 리소스 배정 확인서 샘플 포함 |
| 3.2.2.3 | 법률 자문 접근 방법 | ✅ | iso5230_guide/2-relevant-tasks/2-resourced/ | 내부 법무팀 + 외부 자문 활용 기준 문서 샘플 포함 |
| 3.2.2.4 | 내부 책임 할당 절차 | ✅ | iso5230_guide/2-relevant-tasks/2-resourced/ | RACI 매트릭스 샘플(6개 업무 × 5개 역할) 포함 |
| 3.2.2.5 | 미준수 사례 검토·시정 절차 | ✅ | iso5230_guide/2-relevant-tasks/2-resourced/ | 5단계 절차 + 심각도 3단계(높음·중간·낮음) 처리 기한 포함 |
| 3.3.1.1 | SBOM 관리 절차 | ✅ | iso5230_guide/3-content-review/1-sbom/ | 식별→검토→승인→생성→배포→갱신→보관 7단계 절차 샘플 포함 |
| 3.3.1.2 | 오픈소스 컴포넌트 기록(SBOM) | ✅ | iso5230_guide/3-content-review/1-sbom/ | SPDX-2.3 형식 SBOM 샘플(컴포넌트명·버전·라이선스·출처) 포함 |
| 3.3.2.1 | 라이선스 사용 사례 처리 절차 | ✅ | iso5230_guide/3-content-review/2-license-compliance/ | 6개 사용 사례 처리표 + 바이너리 배포 5단계 절차 샘플 포함 |
| 3.4.1.1 | 컴플라이언스 산출물 준비·배포 절차 | ✅ | iso5230_guide/4-artifacts/1-compliance-artifacts/ | 산출물 유형 결정→작성→검토·승인→제공 4단계 절차 샘플 포함 |
| 3.4.1.2 | 컴플라이언스 산출물 보관 절차+기록 | ✅ | iso5230_guide/4-artifacts/1-compliance-artifacts/ | 보관 기한(최소 3년) 명시 + 버전별 보관 기록부 샘플 포함 |
| 3.5.1.1 | 오픈소스 기여 정책 | ✅ | iso5230_guide/5-community/1-contributions/ | 기여 허용 범위·저작권 귀속·CLA·금지 항목 포함 정책 샘플 |
| 3.5.1.2 | 오픈소스 기여 관리 절차 | ✅ | iso5230_guide/5-community/1-contributions/ | 규모별 승인 구분 포함 5단계 절차 샘플(제안→승인→CLA→제출→기록) |
| 3.5.1.3 | 기여 정책 인식 절차 | ✅ | iso5230_guide/5-community/1-contributions/ | 온보딩 포함 전파 가이드 + 공지 이메일 샘플 포함 |
| 3.6.1.1 | 규격 전체 요구사항 충족 확인 문서 | ✅ | iso5230_guide/6-conformance/1-conformance/ | §3.1~§3.6 전 조항 충족 여부 선언문 + 검토자·승인자 기재 샘플 포함 |
| 3.6.2.1 | 18개월 이내 요구사항 충족 확인 문서 | ✅ | iso5230_guide/6-conformance/2-duration/ | 정기 재확인 기록부 + 새 버전 발행 대응 체크리스트 샘플 포함 |
ISO/IEC 18974 (25개 입증자료)
| 번호 | 입증자료 요약 | 충족 여부 | 근거 파일 | 비고 |
|---|---|---|---|---|
| 4.1.1.1 | 문서화된 보안 보증 정책 | ✅ | iso18974_guide/1-program-foundation/1-policy/ | CVSS 조치 기한·CVD 방침·정기 검토 조항 포함 정책 섹션 샘플 |
| 4.1.1.2 | 보안 보증 정책 인식 절차 | ✅ | iso18974_guide/1-program-foundation/1-policy/ | 5230 전파 채널 재활용 + 전파 절차 검토 주기 명시 + 공지 이메일 샘플 |
| 4.1.2.1 | 역할과 책임 목록 문서 | ✅ | iso18974_guide/1-program-foundation/2-competence/ | 5230 §3.1.2.1 준용 + 보안 담당(DevSecOps) 역할 명시 |
| 4.1.2.2 | 역할별 필요 역량 문서 | ✅ | iso18974_guide/1-program-foundation/2-competence/ | 5230 §3.1.2.2 준용 + 보안 담당 CVSS·취약점 분석 도구 역량 추가 |
| 4.1.2.3 | 참여자 목록 및 역할 ★ | ✅ | iso18974_guide/1-program-foundation/2-competence/ | 이름·역할·연락처·지정일 매핑 테이블 샘플 포함 |
| 4.1.2.4 | 역량 평가 증거 | ✅ | iso18974_guide/1-program-foundation/2-competence/ | 5230 §3.1.2.3 준용 |
| 4.1.2.5 | 주기적 검토 및 프로세스 변경 증거 ★ | ✅ | iso18974_guide/1-program-foundation/2-competence/ | 검토 날짜·내용·변경사항·검토자 기재 정기 검토 기록 샘플 포함 |
| 4.1.2.6 | 내부 모범 사례 일치 검증 ★ | ✅ | iso18974_guide/1-program-foundation/2-competence/ | 담당자 지정·참조 기준(NIST SSDF)·검토 결과 기재 확인서 샘플 포함 |
| 4.1.3.1 | 참여자 인식 평가 증거 | ✅ | iso18974_guide/1-program-foundation/3-awareness/ | 보안 특화 3요소(취약점 목표·기여·미준수 영향) 평가 + 보안 인식 확인서 샘플 |
| 4.1.4.1 | 프로그램 적용 범위 진술 | ✅ | iso18974_guide/1-program-foundation/4-scope/ | 5230 §3.1.4.1 준용 + 취약점 대응 범위 포함 명시 |
| 4.1.4.2 | 성과 메트릭 세트 ★ | ✅ | iso18974_guide/1-program-foundation/4-scope/ | 6개 정량 메트릭 테이블 샘플(SBOM 완전성·대응시간·재발률 등) |
| 4.1.4.3 | 지속적 개선 증거 ★ | ✅ | iso18974_guide/1-program-foundation/4-scope/ | 메트릭 실적·발견 개선사항·조치 완료 기재 정기 검토 기록 샘플 |
| 4.1.5.1 | 취약점 대응 8가지 방법 절차 ★ | ✅ | iso18974_guide/1-program-foundation/5-standard-practice/ | 8가지 방법 각각 절차 샘플 완비(위협식별·탐지·후속조치·고객통보·배포후분석·보안테스트·검증·수출) |
| 4.2.1.1 | 공개된 취약점 문의 채널 | ✅ | iso18974_guide/2-relevant-tasks/1-access/ | security@company.com + security.txt + SECURITY.md 샘플 포함 |
| 4.2.1.2 | 내부 취약점 문의 대응 절차 | ✅ | iso18974_guide/2-relevant-tasks/1-access/ | CVD 원칙 기반 5단계 절차(접수→검증→패치→공개→기록) 샘플 포함 |
| 4.2.2.1 | 역할 담당자 명시 문서 | ✅ | iso18974_guide/2-relevant-tasks/2-resourced/ | 5230 §3.2.2.1 준용 + 보안 담당(DevSecOps) 역할 포함 안내 |
| 4.2.2.2 | 인원 배치 및 예산 확인 | ✅ | iso18974_guide/2-relevant-tasks/2-resourced/ | 5230 §3.2.2.2 준용 + 취약점 스캔 도구·보안 교육 예산 포함 안내 |
| 4.2.2.3 | 취약점 해결 전문성 명시 ★ | ✅ | iso18974_guide/2-relevant-tasks/2-resourced/ | 내부 전문성 목록 + 외부 기관(KrCERT) + 에스컬레이션 기준 샘플 포함 |
| 4.2.2.4 | 내부 책임 할당 절차 | ✅ | iso18974_guide/2-relevant-tasks/2-resourced/ | 취약점 업무 특화 RACI 매트릭스(7개 업무×4개 역할) 샘플 포함 |
| 4.3.1.1 | SBOM 수명주기 지속 기록 절차 | ✅ | iso18974_guide/3-content-review/1-sbom/ | 개발→빌드→배포→배포후모니터링→갱신→아카이브 6단계 절차 샘플 포함 |
| 4.3.1.2 | 오픈소스 컴포넌트 기록(SBOM) | ✅ | iso18974_guide/3-content-review/1-sbom/ | 5230 §3.3.1.2 준용 + 취약점 현황 연계 안내 |
| 4.3.2.1 | 취약점 탐지·해결 절차 ★ | ✅ | iso18974_guide/3-content-review/2-security-assurance/ | 플로우차트 + 6단계 절차(탐지→점수산정→조치결정→고객통보→조치→모니터링) 샘플 포함 |
| 4.3.2.2 | 취약점 및 조치 기록 ★ | ✅ | iso18974_guide/3-content-review/2-security-assurance/ | 컴포넌트별 CVE·CVSS·조치내용·담당자·재스캔 결과 기록부 샘플 포함 |
| 4.4.1.1 | 전체 요구사항 충족 확인 문서 | ✅ | iso18974_guide/4-conformance/1-completeness/ | 25개 항목 자체 점검 체크리스트 + 준수 확인서 샘플 포함 |
| 4.4.2.1 | 18개월 이내 요구사항 충족 확인 | ✅ | iso18974_guide/4-conformance/2-duration/ | 5230과 통합 연 1회 감사 방법 + 정기 재확인 기록 샘플 포함 |
상세 점검 결과
ISO/IEC 18974 §4.4 규격 요구사항 준수 (점검일: 2026-03-29)
입증자료 4.4.1.1
§4.1.4에 명시된 프로그램이 이 문서의 모든 요구사항을 충족함을 확인하는 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/4-conformance/1-completeness/_index.md§4 “4.4.1.1”: 25개 입증자료 항목 전체를 §4.1.2.3·4.1.2.5·4.1.2.6·4.1.4.2·4.1.4.3·4.1.5.1·4.2.2.3·4.3.2.1·4.3.2.2 등 18974 전용 ★ 항목 구분 포함 자체 점검 체크리스트 제공- 프로그램 명칭·적용 범위·규격 버전(ISO/IEC 18974:2023 v1.0)·확인 날짜·검토자·승인자 기재 준수 확인서 샘플 제공
- ISO/IEC 5230 인증 보유 시 공통 16건 재활용·전용 9건 집중 검토 방법 안내
입증자료 4.4.2.1
적합성 검증 획득 후 지난 18개월 이내에 이 규격의 모든 요구사항을 충족함을 확인하는 문서
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/4-conformance/2-duration/_index.md§4 “4.4.2.1”: 재확인 날짜·결과·변경사항(§4.2.2.3 갱신, §4.1.4.2 목표치 상향 등)·검토자 기재 정기 재확인 기록 샘플 제공- ISO/IEC 5230과 18974 정기 재확인을 연 1회 통합 감사로 처리하는 효율화 방법 안내
ISO/IEC 18974 §4.3 콘텐츠 검토 및 승인 (점검일: 2026-03-29)
입증자료 4.3.1.1
공급 소프트웨어에 사용되는 모든 오픈소스 소프트웨어가 수명주기 동안 지속적으로 기록되도록 보장하는 문서화된 절차 (아카이브 포함)
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/3-content-review/1-sbom/_index.md§4 “4.3.1.1”: 5230 §3.3.1.1 대비 수명주기 전 단계·아카이브·취약점 도구 연동 강화. ①개발(도입 즉시 등록) → ②빌드(자동 생성+취약점 스캔 연동) → ③배포(SBOM 확정·아카이브·Dependency-Track 임포트) → ④배포후 모니터링(신규 CVE 자동 대조) → ⑤갱신 트리거 → ⑥아카이브 보관(지원 종료+3년) 6단계 절차 샘플 제공
입증자료 4.3.1.2
문서화된 절차가 올바르게 수행되었음을 입증하는 오픈소스 소프트웨어 컴포넌트 기록
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/3-content-review/1-sbom/_index.md§4 “4.3.1.2”: 5230 §3.3.1.2 준용, 보안 보증 관점에서 SBOM에 각 컴포넌트 알려진 취약점 현황 또는 취약점 관리 도구 링크를 추가 기록하여 §4.3.2와 연계하는 방법 안내
입증자료 4.3.2.1 ★ 5230에 없는 18974 전용 신규 항목
공급 소프트웨어의 오픈소스 소프트웨어 컴포넌트에 대해 알려진 취약점의 탐지 및 해결을 처리하기 위한 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/3-content-review/2-security-assurance/_index.md§4 “4.3.2.1”: SBOM→스캔→CVE탐지→CVSS점수산정→심각도분류→고객영향판단→조치결정(패치/완화/위험수용)→재스캔검증→지속모니터링 전 과정 Mermaid 플로우차트 + 6단계 절차 샘플 제공- 위험 수용 시 보안 담당자+오픈소스 PM 공동 승인 의무 명시
입증자료 4.3.2.2 ★ 5230에 없는 18974 전용 신규 항목
각 오픈소스 소프트웨어 컴포넌트에 대해 식별된 알려진 취약점 및 취해진 조치(조치가 필요하지 않은 경우도 포함)에 대한 기록이 유지 관리되어야 함
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/3-content-review/2-security-assurance/_index.md§4 “4.3.2.2”: 소프트웨어명·버전·컴포넌트·CVE ID·CVSS·심각도·조치내용·조치일·담당자·재스캔 결과 기재 기록부 샘플 제공- “탐지 없음(조치 불필요)” 케이스도 스캔 날짜와 결과를 명시적으로 기록해야 함을 안내
ISO/IEC 18974 §4.2 관련 업무 정의 및 지원 (점검일: 2026-03-29)
입증자료 4.2.1.1
제3자가 알려진 취약점 또는 새로 발견된 취약점에 대한 문의를 할 수 있도록 공개적으로 볼 수 있는 방법
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/2-relevant-tasks/1-access/_index.md§4 “4.2.1.1”: 보안 전용 채널(security@company.com) 분리 운영 가이드, RFC 9116security.txt표준 활용 안내- 웹사이트 보안 정책 페이지·SECURITY.md 파일 한·영 병기 샘플(수신 확인 기한·CVD 방침 명시) 제공
입증자료 4.2.1.2
제3자의 알려진 취약점 또는 새로 발견된 취약점 문의에 응답하기 위한 내부 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/2-relevant-tasks/1-access/_index.md§4 “4.2.1.2”: CVD 원칙 기반 ①접수·수신 확인(3영업일) → ②취약점 검증·CVSS 산정(7영업일) → ③패치 개발·조치(심각도별 7~90일) → ④공개(보안 권고문·CVE ID 발급·고객 통보) → ⑤기록 보관(3년) 5단계 절차 샘플 제공
입증자료 4.2.2.1
프로그램 역할에 지정된 개인, 그룹 또는 기능의 이름이 포함된 문서
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/2-relevant-tasks/2-resourced/_index.md§4 “4.2.2.1”: 5230 §3.2.2.1 작성 방법 준용, 보안 보증 역할(DevSecOps 엔지니어·취약점 분석 담당) 명시 안내
입증자료 4.2.2.2
식별된 프로그램 역할이 적절히 인력 배치되었으며 충분한 예산이 제공되었음을 나타내는 문서
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/2-relevant-tasks/2-resourced/_index.md§4 “4.2.2.2”: 5230 §3.2.2.2 준용, 취약점 스캔 도구 구독·보안 교육·외부 보안 컨설팅 예산 항목을 리소스 배정 확인서에 포함할 것 안내
입증자료 4.2.2.3 ★ 5230 §3.2.2.3(법률 자문)과 성격 다름 — 보안 전문성으로 초점 전환
식별된 알려진 취약점을 해결하기 위해 이용 가능한 전문성을 명시한 문서
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/2-relevant-tasks/2-resourced/_index.md§4 “4.2.2.3”: 내부 전문성(보안 담당 CVE 분석·DevSecOps 팀 컨테이너 취약점) + 외부 활용 기준(Zero-day·펌웨어·암호화 취약점, 30일 내 해결 불가 시) + 외부 기관(보안 컨설팅사·KrCERT/CC) 문서 샘플 제공
입증자료 4.2.2.4
보안 보증을 위해 내부 책임을 할당하는 절차를 문서화한 자료
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/2-relevant-tasks/2-resourced/_index.md§4 “4.2.2.4”: 취약점 탐지·CVE 분류·CVSS 평가·패치 적용·고객 통보·CVD 대응·기록 관리 7개 보안 업무 × 오픈소스PM·보안담당·IT·개발자 4개 역할 RACI 매트릭스 샘플 제공
ISO/IEC 18974 §4.1 프로그램 기반 (점검일: 2026-03-29)
입증자료 4.1.1.1
문서화된 오픈소스 소프트웨어 보안 보증 정책
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/1-policy/_index.md§4 “4.1.1.1”: 보안 취약점 식별·추적·대응 원칙, CVSS 기반 조치 기한(Critical 7일/High 30일/Medium 90일/Low 다음 릴리스), CVD 방침, 정기 검토 주기(연 1회) 명시 포함 오픈소스 정책 §5 보안 보증 섹션 샘플 제공- ISO/IEC 5230 기존 정책에 통합하거나 별도 문서로 관리하는 두 가지 방법 모두 안내
입증자료 4.1.1.2
프로그램 참여자가 보안 보증 정책을 인식하도록 하기 위한 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/1-policy/_index.md§4 “4.1.1.2”: 5230 §3.1.1.2 전파 채널 재활용 방법, 전파 절차 문서에 검토 주기·검토자 명시(절차 자체의 유효성 관리), 보안 보증 정책 전파 공지 이메일 샘플(차기 검토 예정일 포함) 제공
입증자료 4.1.2.1
여러 프로그램 참여자에 대한 해당 책임이 있는 문서화된 역할 목록
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/2-competence/_index.md§4 “4.1.2.1”: 5230 §3.1.2.1 작성 방법 준용, 보안 관점에서 보안 담당(DevSecOps·취약점 분석) 역할을 역할 목록에 명시적으로 포함할 것 안내
입증자료 4.1.2.2
각 역할에 대한 역량을 식별하는 문서
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/2-competence/_index.md§4 “4.1.2.2”: 5230 §3.1.2.2 준용, 보안 담당 역량에 CVSS 점수 해석·취약점 분석 도구(OSV-SCALIBR, Dependency-Track) 운용·DevSecOps 이해를 추가 포함할 것 안내
입증자료 4.1.2.3 ★ 5230 대비 추가 항목
참여자 목록 및 해당 역할
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/2-competence/_index.md§4 “4.1.2.3”: 실제 인원 이름·역할·연락처·지정일 기재 참여자-역할 매핑 테이블 샘플 제공, 겸임 명시·인사 변동 시 즉시 갱신 지침 포함
입증자료 4.1.2.4
각 프로그램 참여자에 대해 평가된 역량에 대한 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/2-competence/_index.md§4 “4.1.2.4”: 5230 §3.1.2.3 작성 방법 준용 (역량 평가 기록부 샘플은 5230 가이드에 포함)
입증자료 4.1.2.5 ★ 5230 대비 추가 항목
주기적인 검토 및 프로세스 변경에 대한 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/2-competence/_index.md§4 “4.1.2.5”: 역량 체계(역할·역량 기준·평가 방법) 정기 검토 기록 샘플 제공 — 검토 날짜·내용·변경 사항(보안 도구·CVSS 버전 반영)·검토자 기재. 연 1회 및 조직 변경 시 즉시 검토 지침
입증자료 4.1.2.6 ★ 5230 대비 추가 항목
프로세스가 회사 내부 모범 사례와 일치하며 최신 상태를 유지하고 있는지, 이를 확인하는 담당자가 지정되었는지에 대한 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/2-competence/_index.md§4 “4.1.2.6”: 역량 체계 관리 담당자·마지막 정합성 검토일·참조 기준(사내 보안 교육 기준·NIST SSDF 1.1)·검토 결과 기재 내부 모범 사례 정합성 확인서 샘플 제공
입증자료 4.1.3.1
프로그램 목표·개인 기여·프로그램 미준수 영향에 대한 참여자 인식 평가 문서화 증거
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/3-awareness/_index.md§4 “4.1.3.1”: 보안 특화 3요소(①취약점 탐지·평가·대응·CVD 목표 ②보안 체계 기여 방법 ③미준수 시 보안침해·법적 책임·사업 위험) 포함 보안 보증 정책 인식 확인서 샘플 제공. 역할별 심화 평가 기준 안내
입증자료 4.1.4.1
프로그램의 범위와 제한 사항을 명확하게 정의하는 서면 진술
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/4-scope/_index.md§4 “4.1.4.1”: 5230 §3.1.4.1 준용, 보안 보증 관점에서 “알려진 취약점 및 새로 발견된 취약점 대응"을 적용 범위에 명시할 것 안내
입증자료 4.1.4.2 ★ 5230 대비 추가 항목
프로그램이 개선하기 위해 달성해야 하는 메트릭 세트
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/4-scope/_index.md§4 “4.1.4.2”: 6개 정량 메트릭 세트 샘플 제공 — SBOM 완전성(100%/분기), Critical 취약점 대응 시간(7일/분기), High 취약점 대응 시간(30일/분기), 취약점 재발생률(10% 이하/반기), 신규 참여자 인식 평가 완료율(100%/분기), 외부 문의 응답 준수율(95%/분기)
입증자료 4.1.4.3 ★ 5230 대비 추가 항목
지속적인 개선을 입증하기 위한 각 검토·업데이트·감사의 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/4-scope/_index.md§4 “4.1.4.3”: 메트릭 실적(목표 대비 달성 여부), 발견된 개선 사항, 조치 내용·완료 날짜, 다음 검토 예정일 기재 정기 검토 기록 샘플 제공. 메트릭 연계 및 이전 감사 문제 해결 여부 추적 지침 포함
입증자료 4.1.5.1 ★ 5230에 없는 18974 전용 신규 항목
8가지 취약점 처리 방법 각각에 대한 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso18974_guide/1-program-foundation/5-standard-practice/_index.md§4: ISO/IEC 18974가 요구하는 8가지 방법 전체에 대한 절차 샘플 완비- 위협 식별: 위협 모델링(STRIDE/PASTA) + 분기별 의존성 트리 분석 + 위험 레지스트리 등록
- 취약점 탐지: CI/CD SCA 통합 + OSV·NVD·GitHub Advisory DB 다중 참조 + 자동 알림
- 후속 조치: CVSS 기반 4단계 우선순위 및 조치 기한 + 패치 없을 시 완화 조치 승인 절차
- 고객 통보: Critical/High 영향 시 통보 채널·기한·내용 명시
- 배포 후 신규 취약점 분석: SBOM 보관 + Dependency-Track 자동 대조 + 주간 보고
- 지속적 보안 테스트: 커밋 시 SAST·SCA / PR 머지 시 보안 게이트 / 릴리스 시 DAST
- 위험 해결 검증: 패치 후 재스캔 + Critical/High 보안 담당자 승인 + 미해결 출시 시 경영진 승인
- 위험 정보 수출: CVD 채널 상류 보고 + VEX 형식 공급망 공유 + 법무 검토 후 수출
ISO/IEC 5230 §3.4 컴플라이언스 산출물 생성 및 제공 (점검일: 2026-03-29)
입증자료 3.4.1.1
식별된 라이선스가 요구하는 컴플라이언스 산출물을 준비하고, 이를 공급 소프트웨어와 함께 제공하기 위한 프로세스를 설명하는 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/4-artifacts/1-compliance-artifacts/_index.md§4 “3.4.1.1 컴플라이언스 산출물 준비 및 배포 절차”: ①산출물 유형 결정(라이선스별 NOTICES/GPL 소스코드/written offer 구분) → ②산출물 작성(자동화 도구 활용 포함) → ③검토 및 승인 → ④소프트웨어와 함께 제공 4단계 절차 샘플 제공- 제공 방식(제품 동봉·웹사이트 게시·요청 시 제공) 선택 기준 및 written offer 3년 유효 요건 명시
입증자료 3.4.1.2
공급 소프트웨어의 컴플라이언스 산출물 사본을 보관하기 위한 문서화된 절차. 절차가 올바르게 수행되었음을 입증하는 기록이 존재해야 함
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/4-artifacts/1-compliance-artifacts/_index.md§4 “3.4.1.2 컴플라이언스 산출물 보관 절차”: 보관 기간 최소 3년 명시, 버전별 관리 지침, 보관 위치 및 접근성 요건 안내- 소프트웨어명·버전·배포일·산출물 유형·보관 위치·보관 기한·담당자 기재 보관 기록부 샘플 제공 → 절차 이행 증거로 직접 활용 가능
ISO/IEC 5230 §3.5 오픈소스 커뮤니티 참여 (점검일: 2026-03-29)
입증자료 3.5.1.1
문서화된 오픈소스 기여 정책
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/5-community/1-contributions/_index.md§4 “3.5.1.1 오픈소스 기여 정책”: 기여 허용 범위(버그 수정·문서·기능 추가·이슈 리포트), 저작권 귀속(회사/개인 구분), 기여 금지 항목(영업 비밀·미공개 특허·제3자 IP), CLA 처리 절차 포함 정책 샘플 제공- 기여를 허용하지 않는 조직도 명시적 불허 정책 문서화 권고
입증자료 3.5.1.2
오픈소스 기여를 관리하는 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/5-community/1-contributions/_index.md§4 “3.5.1.2 오픈소스 기여 관리 절차”: ①기여 제안 → ②검토·승인(소규모 버그 수정: 간소 승인 / 대규모 기능 추가: 법무 검토 후 승인) → ③CLA 처리 → ④기여 제출 → ⑤기여 기록(PR/커밋 URL 포함) 5단계 절차 샘플 제공
입증자료 3.5.1.3
모든 프로그램 참여자가 오픈소스 기여 정책의 존재를 인식하도록 하는 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/5-community/1-contributions/_index.md§4 “3.5.1.3 기여 정책 인식 절차”: §3.1.1.2 정책 전파 절차와 통합 관리 방법 안내, 온보딩 필수 포함·정책 변경 시 재공지·증거 보관(3년) 요건 명시- 기여 정책 전파 공지 이메일 샘플(사내 포털 링크·주요 내용·버전 포함) 제공
ISO/IEC 5230 §3.6 규격 요구사항 준수 (점검일: 2026-03-29)
입증자료 3.6.1.1
§3.1.4에서 명시한 프로그램이 이 규격의 모든 요구사항을 충족함을 확인하는 문서
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/6-conformance/1-conformance/_index.md§4 “3.6.1.1 규격 준수 확인 문서”: 프로그램 명칭·적용 범위·규격 버전(ISO/IEC 5230:2020 v2.1)·확인 날짜 기재, §3.1~§3.6 전 조항 충족 여부 요약 표시, 검토자·승인자·승인일 포함 준수 확인서 샘플 제공- OpenChain 자가 인증 웹사이트 링크 포함
입증자료 3.6.2.1
프로그램이 적합성 인증을 획득한 후 지난 18개월 동안 이 규격 버전의 모든 요구사항을 충족하고 있음을 확인하는 문서
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/6-conformance/2-duration/_index.md§4 “3.6.2.1 18개월 이내 요구사항 충족 확인 문서”: 재확인 날짜·결과·변경사항·검토자 기재 정기 재확인 기록부 샘플 제공 (최근 재확인일로부터 18개월 유효 기한 명시)- 새 버전 발행 대응 체크리스트(발행일·대응 기한 포함 5개 항목) 및 인증 만료 관리 방법 안내
ISO/IEC 5230 §3.3 오픈소스 콘텐츠 검토 및 승인 (점검일: 2026-03-29)
입증자료 3.3.1.1
공급 소프트웨어를 구성하는 오픈소스 컴포넌트에 대한 정보를 식별, 추적, 검토, 승인 및 보관하는 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/3-content-review/1-sbom/_index.md§4 “3.3.1.1 오픈소스 컴포넌트 관리 절차”: ①식별(CI/CD SCA 자동 탐지) → ②라이선스 확인 및 의무 검토 → ③사용 승인 → ④SBOM 생성·등록(SPDX/CycloneDX) → ⑤배포 시 SBOM 제공 → ⑥변경 시 갱신 → ⑦보관 7단계 절차 샘플 제공- SBOM 갱신 트리거(컴포넌트 추가·업그레이드·제거·라이선스 변경) 및 승인 절차 명시
- 관련 도구(FOSSology, ORT, Syft, cdxgen) 링크 포함
입증자료 3.3.1.2
문서화된 절차가 적절히 준수되었음을 보여주는 공급 소프트웨어에 대한 오픈소스 컴포넌트 기록
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/3-content-review/1-sbom/_index.md§4 “3.3.1.2 오픈소스 컴포넌트 기록(SBOM)”: SPDX-2.3 형식 SBOM 샘플 제공 (PackageName·PackageVersion·PackageLicenseConcluded·PackageLicenseDeclared·PackageCopyrightText 필드 포함)- 릴리스 버전별 SBOM 관리, SW360·Dependency-Track 활용 가이드, 고객 제공 절차 안내
입증자료 3.3.2.1
공급 소프트웨어 내의 오픈소스 컴포넌트에 대해 일반적인 오픈소스 라이선스 사용 사례를 처리하기 위한 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/3-content-review/2-license-compliance/_index.md§4 “3.3.2.1 라이선스 사용 사례별 처리 절차”: ISO/IEC 5230이 요구하는 6개 사용 사례(바이너리 배포·소스코드 배포·수정본 포함·비호환 라이선스 결합·저작권 고지 요건) 전체 처리표 제공- 바이너리 배포 시 5단계 절차(SBOM 확인→의무 분류→산출물 준비→검토·승인→배포) 샘플 포함
- 비호환 라이선스(GPL-2.0+Apache-2.0) 법무 에스컬레이션 기준 명시
ISO/IEC 5230 §3.2 관련 업무 정의 및 지원 (점검일: 2026-03-29)
입증자료 3.2.1.1
제3자가 오픈소스 라이선스 컴플라이언스에 대해 문의할 수 있는 공개된 방법
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/1-access/_index.md§4 “3.2.1.1 공개된 외부 문의 채널”: 역할 기반 이메일(oss@company.com) 사용 가이드, 게시 위치(제품 고지문·웹사이트) 안내- 한국어·영어 병기 공개 연락처 샘플 제공
입증자료 3.2.1.2
제3자의 오픈소스 라이선스 컴플라이언스 문의에 대응하기 위한 내부의 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/1-access/_index.md§4 “3.2.1.2 내부 외부 문의 대응 절차”: ①접수·분류(A/B/C 유형) → ②담당자 배정·초기 응답(3영업일) → ③검토·답변 작성(14영업일) → ④답변 발송 → ⑤기록 보관(3년) 5단계 절차 샘플 제공- C유형(법적 경고) 즉시 에스컬레이션 기준 명시
입증자료 3.2.2.1
프로그램 내 각 역할을 담당하는 인원, 그룹 또는 직무의 이름을 기재한 문서
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/2-resourced/_index.md§4 “3.2.2.1 역할 담당자 명시 문서”: 역할·담당자·연락처 3열 현황표 샘플, 직무명 사용 및 겸임 명시 지침 포함templates/1-policy/appendix/_index.md: 전체 담당자 현황 Appendix 양식 제공
입증자료 3.2.2.2
프로그램 내 각 역할을 담당하는 인원이 적합하게 배치되고, 예산이 적절하게 지원되어야 함
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/2-resourced/_index.md§4 “3.2.2.2 인원 배치 및 예산 지원 확인”: 역할별 투입 비율(예: 50%)과 연간 예산 항목 기재 리소스 배정 확인서 샘플 제공- 경영진 승인·서명란 포함, 전담/겸임 구분 기록 방법 안내
입증자료 3.2.2.3
오픈소스 라이선스 컴플라이언스 문제 해결을 위해 내부 또는 외부의 전문 법률 자문을 이용할 수 있는 방법
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/2-resourced/_index.md§4 “3.2.2.3 법률 자문 접근 방법”: 내부 법무팀 연락처·에스컬레이션 기준 + 외부 자문 활용 기준(계약 현황, OpenChain 파트너사 참조) 문서 샘플 제공
입증자료 3.2.2.4
오픈소스 컴플라이언스에 대한 내부 책임을 할당하는 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/2-resourced/_index.md§4 “3.2.2.4 내부 책임 할당 절차”: 6개 업무(사용 승인·라이선스 검토·SBOM·취약점·산출물·외부 문의) × 5개 역할 RACI 매트릭스 샘플 제공
입증자료 3.2.2.5
미준수 사례를 검토하고 이를 수정하기 위한 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/2-relevant-tasks/2-resourced/_index.md§4 “3.2.2.5 미준수 사례 검토 및 시정 절차”: ①식별·보고 → ②심각도 평가(높음 48시간/중간 7일/낮음 30일) → ③원인 분석·시정 → ④재발 방지 → ⑤기록 보관(3년) 5단계 절차 샘플 제공
ISO/IEC 5230 §3.1 프로그램 기반 (점검일: 2026-03-29)
입증자료 3.1.1.1
문서화된 오픈소스 정책
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/1-policy/_index.md§4: 정책 필수 포함 항목(목적·범위·역할·SBOM·보안·검토 주기) 및 정책 본문 샘플 제공templates/1-policy/_index.md: 승인 이력·버전 관리를 갖춘 완전한 정책 템플릿 제공 (ISO/IEC 5230 & 18974 양쪽 요건 반영)
입증자료 3.1.1.2
프로그램 참여자가 오픈소스 정책의 존재를 알 수 있게 하는 문서화된 절차 (교육, 내부 위키, 혹은 기타 실질적인 전달 방법 등)
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/1-policy/_index.md§4 “3.1.1.2 정책 인식 방법 문서화”: 복수 채널(사내 위키·이메일·온보딩) 활용 가이드, 신규 입사자 처리, 증거 보관(최소 3년) 요건 명시- 공지 이메일 샘플(제목·수신·주요내용·버전 포함) 제공하여 전파 증거로 즉시 활용 가능
입증자료 3.1.2.1
프로그램의 여러 참여자에 대한 역할과 각 역할의 책임을 나열한 문서
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/2-competence/_index.md§4 “3.1.2.1 역할과 책임 목록 문서”: 오픈소스 프로그램 매니저·법무·IT·보안·개발문화·사업부서 6개 역할별 구체적 책임 테이블 샘플 제공templates/1-policy/appendix/_index.md: 담당자 현황 Appendix로 역할-담당자 매핑 양식 제공
입증자료 3.1.2.2
각 역할을 위해 필요한 역량을 기술한 문서
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/2-competence/_index.md§4 “3.1.2.2 역할별 필요 역량 문서”: 역할별 필요 역량 정의표 샘플 제공, 역량 수준 구분(기본 이해/실무 적용/전문가) 기준 안내
입증자료 3.1.2.3
각 프로그램 참여자의 역량을 평가한 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/2-competence/_index.md§4 “3.1.2.3 역량 평가 증거”: 이름·역할·평가항목·방법·결과·평가일 기재 역량 평가 기록부 샘플 제공, 정기 평가 주기(연 1회) 및 미흡 시 재평가 절차 명시
입증자료 3.1.3.1
프로그램의 목표, 프로그램 내에서의 참여자 기여 방법 및 프로그램을 준수하지 않을 경우 미치는 영향에 대한 프로그램 참여자의 인식을 평가하였음을 나타내는 문서화된 증거
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/3-awareness/_index.md§4 “3.1.3.1 참여자 인식 평가 증거”: 인식 평가 3요소(목표·기여방법·미준수 영향) 모두 포함한 평가 기록부 샘플 제공- 정책 인식 확인서(서명란 포함) 샘플 제공하여 감사 제출 가능한 증거 형식 안내
입증자료 3.1.4.1
프로그램의 적용 범위와 한계를 명확하게 정의한 문서화된 진술
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/4-scope/_index.md§4 “3.1.4.1 프로그램 적용 범위 진술”: 적용 대상·적용 제외·조직 범위를 구분한 진술 샘플, 갱신 주기 안내 포함templates/1-policy/_index.md§1.4: 외부 배포·기여·오픈소스화 활동에 대한 적용 범위 진술 포함
입증자료 3.1.5.1
각 식별된 라이선스에 의해 부여된 의무, 제한 및 권리를 검토하고 기록하기 위한 문서화된 절차
충족 여부: ✅ 충족
근거 파일:
iso5230_guide/1-program-foundation/5-license-obligations/_index.md§4 “3.1.5.1 라이선스 의무 검토 절차”: 식별→분석→법무의뢰→기록→의무이행 확인 5단계 절차 샘플 제공- MIT·Apache-2.0·GPL-2.0/3.0·LGPL·AGPL·MPL·BSD 등 9개 주요 라이선스 의무 요약표 제공, SPDX 활용 및 에스컬레이션 기준 안내