자가점검 워크북

다섯 분류의 점검 항목을 충족 여부, 근거 문서, 담당자, 목표 기한과 함께 기록하는 워크북 양식이다. 자가점검 페이지의 항목을 개선 계획으로 옮길 때 쓴다.

Tags:

Categories:

Guide

이 워크북은 자가점검 페이지의 점검 항목을 기록용 양식으로 옮긴 것이다. 점검만 하고 끝내지 않고, 부족한 부분의 담당자와 기한을 적어 개선 계획으로 잇기 위한 것이다.

쓰는 방법

각 항목의 충족 상태를 세 단계로 표시한다.

미충족: 관련 활동이나 문서가 없다.
부분 충족: 활동은 있으나 문서나 기록이 부족하다.
충족: 활동과 근거 문서를 모두 갖췄다.

부분 충족이나 미충족 항목에는 근거 문서가 무엇이어야 하는지, 누가 언제까지 갖출지를 적는다. 충족 항목에는 근거 문서의 이름과 위치를 적어, 그대로 ISO 자가 인증의 입증자료로 쓸 수 있게 한다.

아래 표를 복사해 조직의 점검 기록으로 채운다. 상태 칸에는 미충족·부분·충족 중 하나를 적는다.

식별

점검 항목	ISO 입증자료	상태	근거 문서·위치	담당자	목표 기한
오픈소스 관리의 적용 범위가 문서로 정의돼 있다	5230 3.1.4.1
새로 도입하는 오픈소스와 그 의존성을 빠짐없이 파악한다	5230 3.3.1.1
전이 의존성까지 펼쳐 식별한다	5230 3.3.1.1
이미 운영 중인 시스템의 레거시 오픈소스를 식별한다	5230 3.3.1.1
식별 결과를 표준 형식 SBOM으로 기록한다	5230 3.3.1.2
외주·전자금융보조업자 산출물의 오픈소스를 식별한다	5230 3.3.1.1 준용

이슈 파악 및 해결

점검 항목	ISO 입증자료	상태	근거 문서·위치	담당자	목표 기한
각 컴포넌트의 알려진 취약점을 점검한다	18974 4.3.2.1
위험 점수를 매기고 대응 기한을 정한다	18974 4.3.2.1
취약점 조치 결과를 기록한다	18974 4.3.2.2
라이선스 의무를 확인하고 충돌을 해결한다	5230 3.3.2.1
배포 시 GPL 계열 소스 공개 정책을 갖춘다	5230 3.3.2.1

승인

점검 항목	ISO 입증자료	상태	근거 문서·위치	담당자	목표 기한
사용 승인 절차와 검토 주체가 정해져 있다	5230 3.1.5.1
승인 결정과 근거를 기록한다	5230 3.1.5.1
망분리 예외 시 자체 위험평가서를 남긴다	(전자금융감독규정)
외주 계약에 오픈소스 요구사항을 넣는다	(권리 귀속은 전자금융감독규정 제21조, 그 외는 본 가이드 권고)

관리

점검 항목	ISO 입증자료	상태	근거 문서·위치	담당자	목표 기한
운영 시스템 SBOM을 등록해 지속 감시한다	18974 4.3.2
신규 취약점 공개 시 영향 시스템을 역추적한다	18974 4.3.2
정기 재평가 주기가 정해져 있다	18974 4.1.2.5
점검 기록을 감사 증적으로 보관한다	5230 3.4.1.2

기타

점검 항목	ISO 입증자료	상태	근거 문서·위치	담당자	목표 기한
선택 기준과 예외 승인 절차가 있다	5230 3.1.1.1
역할과 책임이 문서화돼 있다	5230 3.1.2.1, 18974 4.1.2.3
담당 인력과 예산이 확보돼 있다	5230 3.2.2.2
정책이 구성원에게 전파된다	5230 3.1.1.2
법률 자문 접근 경로가 있다	5230 3.2.2.3

각 점검 항목을 자세히 다루는 가이드 섹션은 자가점검 페이지의 표에서 링크로 연결돼 있다.

최종 검토일: 2026-06-10. 이 페이지는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.

최종 수정 2026년 6월 10일: guide(finance): 외부 검토 권고 반영(도구 레시피 보강·출처 추가·사례 표기·문체 정리) (19ce5e876)