ISO/IEC 18974 자체 인증 절차는 조직이 오픈소스 소프트웨어의 보안 보증 프로그램을 효과적으로 구현하고 있음을 스스로 확인하는 과정입니다. 이 절차는 준비 및 갭 분석, 구현 및 프로세스 개선, 자체 평가 및 인증 선언, 유지 및 갱신 단계로 구성됩니다.
6.1 준비 및 갭 분석
준비 및 갭 분석 단계는 ISO/IEC 18974 표준의 요구사항을 이해하고, 조직의 현재 오픈소스 보안 관리 수준을 평가하여 개선해야 할 부분을 식별하는 과정입니다. 이 단계는 다음과 같은 세부 작업으로 구성됩니다.
6.1.1 ISO/IEC 18974 표준 문서 상세 검토
- 핵심 요구사항 목록 작성
- ISO/IEC 18974 표준 문서를 철저히 검토합니다.
- 각 섹션별로 핵심 요구사항을 추출하여 목록화합니다.
- 요구사항의 우선순위를 정합니다.
- 용어 및 개념 이해
- 표준에서 사용되는 전문 용어와 개념을 정리합니다.
- 필요한 경우 용어집을 작성하여 조직 내에서 공유합니다.
- 자체 인증 체크리스트 확보
- OpenChain Project 웹사이트에서 최신 버전의 자체 인증 체크리스트를 다운로드합니다.
- 체크리스트의 구조와 내용을 숙지합니다.
표 6.1: ISO/IEC 18974 핵심 요구사항 예시
| 영역 | 요구사항 | 우선순위 |
|---|---|---|
| 정책 | 오픈소스 보안 정책 수립 | 높음 |
| SBOM | SBOM 생성 및 관리 프로세스 구축 | 높음 |
| 취약점 관리 | 취약점 스캐닝 및 대응 절차 수립 | 중간 |
| 교육 | 직원 대상 오픈소스 보안 교육 실시 | 중간 |
이 표는 ISO/IEC 18974의 주요 요구사항과 그 우선순위를 보여줍니다. 조직은 이를 바탕으로 구현 계획을 수립할 수 있습니다.
6.1.2 현행 오픈소스 보안 관리 프로세스 분석
- 기존 정책, 절차, 도구 목록화
- 현재 사용 중인 오픈소스 관련 정책, 절차, 도구를 식별합니다.
- 각 항목의 목적, 범위, 책임자를 명확히 합니다.
- 강점과 약점 식별
- 현재 프로세스의 효과적인 부분과 개선이 필요한 부분을 분석합니다.
- SWOT 분석을 수행하여 내부 강점과 약점, 외부 기회와 위협을 파악합니다.
- 프로세스 흐름도 작성
- 주요 오픈소스 관리 프로세스(예: 오픈소스 사용 승인, 취약점 대응)에 대한 흐름도를 작성합니다.
- 각 단계별 책임자와 소요 시간을 명시합니다.
표 6.2: 현행 오픈소스 보안 관리 프로세스 SWOT 분석 예시
| 구분 | 내용 |
|---|---|
| 강점(S) | - 개발팀의 높은 오픈소스 활용도 |
- 기존 보안팀의 전문성 | | 약점(W) | - 체계적인 SBOM 관리 부재
- 오픈소스 보안 교육 프로그램 미흡 | | 기회(O) | - 오픈소스 커뮤니티와의 협력 가능성
- 클라우드 기반 보안 도구의 발전 | | 위협(T) | - 증가하는 오픈소스 취약점
- 복잡해지는 라이선스 요구사항 |
이 SWOT 분석 표는 조직의 현재 오픈소스 보안 관리 상태를 종합적으로 보여줍니다. 이를 통해 개선이 필요한 영역을 파악할 수 있습니다.
6.1.3 갭 분석 수행
- 현재 상태와 요구사항 간 차이 파악
- ISO/IEC 18974 요구사항과 현재 프로세스를 항목별로 비교합니다.
- 각 요구사항에 대한 준수 여부를 ‘완전 준수’, ‘부분 준수’, ‘미준수’로 평가합니다.
- 개선 필요 영역 우선순위 지정
- 식별된 차이점을 바탕으로 개선이 필요한 영역의 우선순위를 결정합니다.
- 비즈니스 영향도, 구현 난이도, 자원 요구사항 등을 고려하여 우선순위를 정합니다.
- 구체적인 개선 목표 설정
- 각 개선 영역에 대해 구체적이고 측정 가능한 목표를 설정합니다.
- 목표 달성을 위한 시간표를 작성합니다.
표 6.3: 갭 분석 및 개선 계획 예시
| 요구사항 | 현재 상태 | 갭 | 개선 목표 | 우선순위 | 완료 예정일 |
|---|---|---|---|---|---|
| SBOM 관리 | 부분 준수 | 자동화된 SBOM 생성 부재 | SBOM 자동 생성 도구 도입 | 높음 | 3개월 후 |
| 취약점 관리 | 미준수 | 체계적인 취약점 스캐닝 부재 | 주간 취약점 스캔 프로세스 수립 | 높음 | 2개월 후 |
| 보안 교육 | 부분 준수 | 정기적인 교육 프로그램 부재 | 분기별 오픈소스 보안 교육 실시 | 중간 | 6개월 후 |
이 표는 갭 분석 결과와 그에 따른 개선 계획을 보여줍니다. 조직은 이를 바탕으로 구체적인 액션 플랜을 수립할 수 있습니다.
6.1.4 OpenChain Project 체크리스트 활용
OpenChain Project에서 제공하는 자체 인증 체크리스트는 ISO/IEC 18974 준수 여부를 평가하는 데 매우 유용한 도구입니다. 체크리스트 활용 방법은 다음과 같습니다:
- 체크리스트 다운로드 및 검토
- OpenChain Project 웹사이트에서 최신 버전의 체크리스트를 다운로드합니다.
- 체크리스트의 각 항목을 검토하고, 필요한 경우 조직의 상황에 맞게 용어를 조정합니다.
- 자체 평가 수행
- 체크리스트의 각 항목에 대해 ‘예’, ‘아니오’, ‘해당 없음’ 중 하나로 응답합니다.
- ‘아니오’ 또는 ‘해당 없음’ 응답에 대해서는 반드시 이유를 기록합니다.
- 증거 자료 수집
- 각 ‘예’ 응답에 대해 이를 뒷받침할 수 있는 증거 자료를 수집합니다.
- 증거 자료는 문서, 스크린샷, 로그 등 다양한 형태가 될 수 있습니다.
- 개선 계획 수립
- ‘아니오’ 응답 항목에 대해 개선 계획을 수립합니다.
- 각 개선 계획에 대해 책임자와 완료 예정일을 지정합니다.
표 6.4: OpenChain Project 체크리스트 예시
| 항목 | 질문 | 응답 | 증거 | 개선 계획 |
|---|---|---|---|---|
| 1.1 | 오픈소스 정책이 문서화되어 있는가? | 예 | 정책문서.pdf | - |
| 1.2 | 모든 소프트웨어 직원이 정책을 인지하고 있는가? | 아니오 | - | 전사 교육 실시 (3개월 내) |
| 1.3 | SBOM을 생성하고 관리하는 프로세스가 있는가? | 부분 | SBOM_관리_절차.docx | SBOM 자동화 도구 도입 (6개월 내) |
이 표는 OpenChain Project 체크리스트의 일부 항목과 그에 대한 자체 평가 결과를 보여줍니다. 이를 통해 조직은 현재의 준수 상태를 파악하고 개선 계획을 수립할 수 있습니다.
준비 및 갭 분석 단계를 통해 조직은 ISO/IEC 18974 구현을 위한 기초를 마련할 수 있습니다. 이 단계에서 수집된 정보와 수립된 계획은 다음 단계인 ‘구현 및 프로세스 개선’의 기반이 됩니다.
6.2 구현 및 프로세스 개선
이 단계에서는 갭 분석 결과를 바탕으로 오픈소스 보안 정책을 수립/개정하고, 관련 프로세스와 절차를 개선하며, 필요한 도구를 도입하고 구성합니다. 목표는 ISO/IEC 18974 요구사항을 충족하는 효과적인 오픈소스 보안 관리 체계를 구축하는 것입니다.
6.2.1 오픈소스 보안 정책 수립 또는 개정
- ISO/IEC 18974 요구사항 반영:
- 갭 분석 결과를 바탕으로 ISO/IEC 18974의 모든 요구사항이 정책에 반영되었는지 확인합니다.
- 특히, SBOM(Software Bill of Materials, 소프트웨어 자재 명세서) 관리, 취약점 관리, 라이선스 준수 등 핵심 요구사항을 빠짐없이 포함해야 합니다.
- 조직 특성에 맞는 세부 지침 개발:
- 조직의 규모, 산업, 기술 스택, 그리고 위험 관리 정책을 고려하여 정책을 구체화합니다.
- 예를 들어, 금융 회사의 경우 개인정보보호 및 금융 관련 규제를 준수하기 위한 추가적인 보안 조치를 정책에 명시해야 합니다.
- 최고 경영자 승인:
- 정책의 실행력을 확보하기 위해 최고 경영자(CEO) 또는 최고 정보 보안 책임자(CISO)의 승인을 받습니다.
- 승인된 정책은 공식 문서로 관리하고, 조직 내 모든 관련자에게 공유합니다.
표 6.5: 오픈소스 보안 정책 포함 내용
| 영역 | 세부 내용 | 예시 |
|---|---|---|
| 적용 범위 | 정책이 적용되는 대상 시스템, 프로젝트, 컴포넌트 | 모든 내부 개발 프로젝트, 외부 공급망 |
| 역할 및 책임 | 오픈소스 관리 관련 역할별 책임 | 개발자: 안전한 코딩, 보안팀: 취약점 스캔 |
| SBOM 관리 | SBOM 생성, 업데이트, 저장 절차 | 주기적인 SBOM 생성 및 버전 관리 |
| 취약점 관리 | 취약점 스캔, 평가, 대응 절차 | CVSS 점수 기반 우선순위 지정 및 패치 적용 |
| 라이선스 준수 | 라이선스 검토, 고지 의무 준수 절차 | 오픈소스 사용 전 라이선스 검토 의무화 |
| 예외 처리 | 정책 예외 상황 발생 시 처리 절차 | 긴급 상황 시 예외 승인 절차 |
6.2.2 프로세스 및 절차 개선
- SBOM 생성 및 관리 프로세스 구축:
- SBOM 생성: 소프트웨어 빌드 과정에서 SBOM을 자동으로 생성하는 프로세스를 구축합니다.
- SBOM 저장 및 관리: 생성된 SBOM을 안전하게 저장하고, 버전 관리 시스템과 연동하여 관리합니다.
- SBOM 배포: 필요한 경우 (예: 고객 요청 시, 보안 사고 발생 시) SBOM을 신속하게 배포할 수 있는 체계를 마련합니다.
- 도구 활용: SPDX Tools, FOSSLight, SW360 등 SBOM 생성 도구를 활용하여 프로세스를 자동화합니다.
- 취약점 모니터링 및 대응 체계 수립:
- 취약점 스캔: 오픈소스 컴포넌트의 취약점을 주기적으로 스캔하는 프로세스를 구축합니다.
- 도구 활용: OWASP Dependency-Check, Snyk, Black Duck 등 취약점 스캐닝 도구를 활용합니다.
- 스캔 주기: 프로젝트의 중요도와 변경 빈도를 고려하여 스캔 주기를 설정합니다.
- 취약점 평가 및 우선순위 지정: 발견된 취약점에 대해 심각도, 영향도, 악용 가능성 등을 평가하고, 대응 우선순위를 결정합니다.
- 취약점 대응: 평가 결과에 따라 패치 적용, 완화 조치, 또는 컴포넌트 교체 등 적절한 대응 조치를 취합니다.
- 대응 기한 설정: 취약점의 심각도에 따라 대응 기한을 설정하고, 기한 내에 해결되지 않는 경우 예외 처리 절차를 따릅니다.
- 취약점 스캔: 오픈소스 컴포넌트의 취약점을 주기적으로 스캔하는 프로세스를 구축합니다.
- 사고 발생 시 보고 체계 구축:
- 보고 절차: 오픈소스 관련 보안 사고 (예: 취약점 악용, 라이선스 위반) 발생 시 보고 절차를 명확히 정의합니다.
- 보고 대상: 보고해야 할 대상 (예: 보안팀, 법무팀, 경영진)을 지정합니다.
- 보고 양식: 보고에 필요한 정보 (예: 사고 발생 시점, 영향 범위, 관련 컴포넌트)를 포함하는 보고 양식을 마련합니다.
표 6.6: 프로세스 및 절차 개선 내용
| 프로세스 | 개선 내용 | 도구/방법 |
|---|---|---|
| SBOM 생성 | 자동 SBOM 생성 | SPDX Tools, FOSSLight, SW360 등 CI/CD 연동 |
| 취약점 스캔 | 주기적 스캔 및 평가 | OWASP Dependency-Check, Snyk, CVSS |
| 사고 보고 | 명확한 보고 절차 및 책임자 지정 | 보고 양식 작성, 보고 대상 지정 |
6.2.3 필요 도구 도입 및 구성
- 오픈소스 검색 및 취약점 스캐닝 도구 선정:
- 조직의 개발 환경, 기술 스택, 예산 등을 고려하여 적절한 도구를 선정합니다.
- 무료 오픈소스 도구와 상용 도구를 비교하고, 필요한 기능을 갖춘 도구를 선택합니다.
- 무료 도구: OWASP Dependency-Check, Bandit, Trivy 등
- 상용 도구: Snyk, Black Duck, WhiteSource 등
- 기존 개발 환경과의 통합:
- 선정된 도구를 IDE(Integrated Development Environment, 통합 개발 환경), CI/CD(Continuous Integration/Continuous Delivery, 지속적인 통합/지속적인 제공) 파이프라인 등 기존 개발 환경과 통합합니다.
- 통합을 통해 개발자들이 쉽게 도구를 사용하고, 보안 검사를 자동화할 수 있도록 지원합니다.
- 자동화 기능 활용:
- 도구의 자동화 기능을 최대한 활용하여 SBOM 생성, 취약점 스캔, 라이선스 검사 등의 작업을 자동화합니다.
- 자동화를 통해 인적 자원을 절약하고, 휴먼 에러 발생 가능성을 줄일 수 있습니다.
표 6.7: 오픈소스 보안 도구 선정 기준
| 기준 | 설명 | 고려 사항 |
|---|---|---|
| 기능 | 필요한 기능 제공 여부 | SBOM 생성, 취약점 스캔, 라이선스 검사 |
| 정확도 | 오탐 및 미탐 최소화 | 최신 취약점 데이터베이스 연동 |
| 사용 편의성 | 쉬운 설치 및 사용법 | 사용자 인터페이스, 문서화 |
| 호환성 | 기존 개발 환경과의 통합 | IDE, CI/CD 도구 연동 |
| 비용 | 예산 범위 내에서 합리적인 가격 | 무료 오픈소스 도구, 상용 도구 가격 비교 |
6.2.4 문서화 작업
- 정책, 프로세스, 절차에 대한 상세 문서 작성:
- 수립/개정된 정책, 개선된 프로세스, 관련 절차에 대한 상세 문서를 작성합니다.
- 문서는 명확하고 이해하기 쉬운 언어로 작성해야 하며, 조직 내 모든 관련자가 쉽게 접근할 수 있어야 합니다.
- 역할 및 책임 명확화:
- 각 프로세스 단계별 책임자와 담당자를 명확히 정의하고 문서화합니다.
- RACI(Responsible, Accountable, Consulted, Informed) 매트릭스를 활용하여 역할과 책임을 명확하게 정의할 수 있습니다.
- 문서 버전 관리:
- 문서의 변경 이력을 관리하고, 최신 버전을 유지하기 위해 문서 버전 관리 시스템을 구축합니다.
- Git, Subversion 등 버전 관리 도구를 활용하거나, SharePoint, Confluence 등 협업 도구를 활용할 수 있습니다.
표 6.8: 문서화 작업 내용
| 문서 | 내용 | 예시 |
|---|---|---|
| 오픈소스 보안 정책 | 오픈소스 사용 규칙, 책임, 제약 사항 | - 오픈소스 사용 승인 절차 - 라이선스 준수 가이드라인 |
| SBOM 관리 절차 | SBOM 생성, 저장, 배포 방법 | - SBOM 생성 도구 사용법 - SBOM 저장 위치 및 접근 권한 |
| 취약점 관리 절차 | 취약점 스캔, 평가, 대응 방법 | - 취약점 심각도별 대응 기한 - 패치 적용 방법 |
| 사고 대응 계획 | 오픈소스 관련 보안 사고 발생 시 대응 절차 | - 사고 보고 양식 - 비상 연락망 |
이 단계를 통해 조직은 ISO/IEC 18974 구현에 필요한 체계적인 기반을 마련하고, 지속적인 개선을 위한 준비를 마칠 수 있습니다. 다음은 자체 평가 및 인증 선언 단계입니다.
6.3 자체 평가 및 인증 선언
이 단계에서는 앞서 준비하고 개선한 내용을 바탕으로 조직 스스로 ISO/IEC 18974 요구사항을 충족하는지 평가하고, OpenChain Project 웹사이트에서 자체 인증을 선언합니다. 자체 평가는 객관적이고 체계적으로 수행되어야 하며, 인증 선언은 조직의 최고 책임자가 승인해야 합니다.
6.3.1 OpenChain Project 자체 인증 체크리스트 활용
- 최신 버전 체크리스트 다운로드:
- OpenChain Project 웹사이트(https://www.openchainproject.org/security-assurance)에서 ISO/IEC 18974 자체 인증을 위한 최신 버전의 체크리스트를 다운로드합니다.
- 체크리스트는 스프레드시트(.xlsx) 또는 문서(.pdf) 형식으로 제공될 수 있습니다.
- 체크리스트 항목 이해 및 해석:
- 체크리스트의 각 항목을 주의 깊게 읽고, 조직의 상황에 맞게 해석합니다.
- 체크리스트 항목은 일반적으로 ISO/IEC 18974 표준의 특정 요구사항을 반영하며, 조직이 해당 요구사항을 어떻게 충족하는지 평가하는 데 사용됩니다.
- 관련 증거 자료 준비:
- 각 체크리스트 항목에 대해 조직이 해당 요구사항을 충족하고 있음을 입증할 수 있는 증거 자료를 준비합니다.
- 증거 자료는 정책 문서, 절차서, 감사 보고서, 교육 자료, 시스템 로그 등 다양한 형태를 가질 수 있습니다.
6.3.2 체계적인 자체 평가 수행
- 각 요구사항에 대한 준수 여부 확인:
- 준비된 증거 자료를 검토하고, 체크리스트의 각 항목에 대해 조직이 해당 요구사항을 준수하고 있는지 여부를 판단합니다.
- 각 항목에 대해 “예”, “아니오”, “해당 없음” 중 하나로 응답합니다.
- 객관적인 시각 유지:
- 자체 평가 과정에서 주관적인 판단을 배제하고, 객관적인 근거에 기반하여 평가합니다.
- 평가 결과의 신뢰성을 높이기 위해 독립적인 감사팀 또는 외부 전문가의 도움을 받는 것을 고려합니다.
- 평가 결과 기록:
- 각 체크리스트 항목에 대한 평가 결과와 근거를 상세하게 기록합니다.
- 특히, “아니오” 또는 “해당 없음"으로 응답한 항목에 대해서는 그 이유와 개선 계획을 명확하게 기록합니다.
표 6.9: OpenChain Project 자체 인증 체크리스트 예시
| No. | 요구사항 | 준수 여부 | 증거 자료 | 설명 | 개선 계획 |
|---|---|---|---|---|---|
| 1.1 | 오픈소스 정책이 문서화되어 있는가? | 예 | opensource_policy.pdf | 조직의 오픈소스 정책이 문서화되어 있으며, 관련 이해관계자에게 공유되고 있다. | - |
| 1.2 | SBOM 생성 프로세스가 구축되어 있는가? | 예 | sbom_generation_procedure.pdf | 소프트웨어 빌드 과정에서 SBOM을 자동으로 생성하는 프로세스가 구축되어 있다. | - |
| 1.3 | 취약점 관리 프로세스가 운영되고 있는가? | 아니오 | - | 현재 취약점 스캐닝은 수동으로 진행되고 있으며, 자동화된 프로세스가 구축되어 있지 않다. | 자동 취약점 스캐닝 도구 도입 (6개월 이내) |
6.3.3 미충족 항목 식별 및 개선 계획 수립
- 부족한 부분에 대한 원인 분석:
- 자체 평가 결과 “아니오” 또는 “해당 없음"으로 응답한 항목에 대해 그 원인을 분석합니다.
- 원인 분석 시 기술적인 문제, 예산 부족, 인력 부족, 프로세스 미비 등 다양한 요인을 고려합니다.
- 단기 및 중장기 개선 방안 도출:
- 분석된 원인을 해결하기 위한 단기 및 중장기 개선 방안을 도출합니다.
- 단기 개선 방안은 비교적 쉽게 실행할 수 있는 것부터 시작하고, 중장기 개선 방안은 조직 전체의 역량 강화를 목표로 합니다.
- 개선 일정 및 책임자 지정:
- 각 개선 방안에 대한 실행 일정과 책임자를 명확하게 지정합니다.
- 책임자는 개선 계획의 진행 상황을 추적하고, 필요한 자원을 확보하며, 계획을 완료할 책임을 가집니다.
표 6.10: 미충족 항목에 대한 개선 계획 예시
| 항목 | 미충족 사유 | 개선 방안 | 책임자 | 완료 예정일 |
|---|---|---|---|---|
| 1.3 | 자동 취약점 스캐닝 도구 미비 | 자동 취약점 스캐닝 도구 도입 및 CI/CD 파이프라인 통합 | 보안팀 | 2025년 6월 30일 |
| 2.1 | 오픈소스 보안 교육 프로그램 부재 | 전 직원 대상 오픈소스 보안 교육 프로그램 개발 및 시행 | HR팀 | 2025년 3월 31일 |
6.3.4 OpenChain Project 웹사이트에서 인증 선언
- 자체 인증 페이지 접속:
- OpenChain Project 웹사이트(https://www.openchainproject.org/security-assurance)의 ISO/IEC 18974 자체 인증 페이지에 접속합니다.
- 필요 정보 입력:
- 조직 이름, 주소, 연락처 등 조직 기본 정보를 입력합니다.
- 자체 평가 결과, 개선 계획 등 인증 관련 정보를 입력합니다.
- 인증 책임자 이름, 직책, 연락처 등 담당자 정보를 입력합니다.
- 선언문 동의 및 제출:
- OpenChain Project의 자체 인증 선언문에 동의합니다.
- 입력된 정보를 확인하고, 조직의 최고 책임자(예: CISO, 법무팀장)의 승인을 받아 제출합니다.
- 인증 배지 획득:
- 인증 선언이 완료되면 OpenChain Project에서 제공하는 ISO/IEC 18974 인증 배지를 획득합니다.
- 획득한 인증 배지를 웹사이트, 마케팅 자료 등에 활용하여 조직의 오픈소스 보안 역량을 홍보할 수 있습니다.
이 단계를 완료함으로써 조직은 ISO/IEC 18974 요구사항 준수를 공식적으로 선언하고, 자체적인 오픈소스 보안 관리 체계를 구축했음을 대외적으로 알릴 수 있습니다. 다음은 인증 유지 및 갱신 단계입니다.
6.4 유지 및 갱신
ISO/IEC 18974 자체 인증은 일회성 이벤트가 아니라 지속적인 프로세스입니다. 이 단계를 통해 조직은 인증을 유지하고, 오픈소스 보안 관리 체계를 지속적으로 개선하며, 변화하는 위협 환경에 효과적으로 대응할 수 있습니다.
6.4.1 정기적인 내부 감사 실시
- 감사 계획 수립:
- 연간 또는 반기별로 내부 감사를 실시할 계획을 수립합니다.
- 감사 범위, 감사 주기, 감사 대상 부서 및 시스템, 그리고 감사 담당자를 명확하게 정의합니다.
- 감사 수행:
- 체크리스트, 인터뷰, 문서 검토, 시스템 로그 분석 등 다양한 방법을 활용하여 감사를 수행합니다.
- 감사 과정에서 ISO/IEC 18974 요구사항 준수 여부, 정책 및 절차의 효과성, 그리고 개선 기회 등을 평가합니다.
- 감사 결과 보고:
- 감사 결과를 문서화하고, 발견된 문제점, 개선 사항, 그리고 권고사항을 명확하게 제시합니다.
- 감사 보고서는 관련 이해관계자(예: CISO, 법무팀, 개발팀)에게 공유되어야 합니다.
- 개선 활동 추적:
- 감사 결과에 따라 시정 조치 계획을 수립하고, 실행합니다.
- 시정 조치 계획의 진행 상황을 정기적으로 추적하고, 완료 여부를 확인합니다.
표 6.11: 내부 감사 점검 항목 예시
| 점검 항목 | 설명 | 점검 내용 |
|---|---|---|
| 정책 준수 | 오픈소스 보안 정책 준수 여부 확인 | 정책 준수율, 정책 위반 사례 |
| SBOM 관리 | SBOM 생성, 업데이트, 관리 프로세스 점검 | SBOM 생성 주기, SBOM 정확도, SBOM 관리 시스템 |
| 취약점 관리 | 취약점 스캔, 평가, 대응 프로세스 점검 | 스캔 주기, 패치 적용률, 미해결 취약점 수 |
| 라이선스 준수 | 라이선스 검토 및 고지 의무 준수 여부 확인 | 라이선스 위반 사례, 라이선스 검토 프로세스 |
6.4.2 새로운 요구사항 및 업데이트 사항 추적
- 정보 획득:
- OpenChain Project 웹사이트, 뉴스레터, 커뮤니티 포럼 등을 통해 ISO/IEC 18974 관련 최신 정보를 수집합니다.
- 오픈소스 보안 관련 컨퍼런스, 세미나, 워크샵 등에 참여하여 최신 기술 동향과 모범 사례를 학습합니다.
- 보안 관련 법규 및 규제 (예: GDPR, CCPA, DORA, EU Cyber Resilience Act)의 변경 사항을 주시합니다.
- 영향 평가:
- 새로운 요구사항 또는 업데이트 사항이 조직의 오픈소스 보안 관리 체계에 미치는 영향을 평가합니다.
- 기존 정책, 절차, 도구 등을 변경해야 할 필요성이 있는지 확인합니다.
- 프로세스 반영:
- 평가 결과에 따라 필요한 변경 사항을 정책 및 절차에 반영합니다.
- 조직 구성원들에게 변경된 내용에 대해 교육하고, 새로운 도구를 도입합니다.
6.4.3 18개월 주기 공식 재검토 (권장)
- 전면적인 재평가:
- OpenChain Project에서 제공하는 최신 체크리스트를 사용하여 ISO/IEC 18974 요구사항 준수 여부를 다시 평가합니다.
- 이전 평가 대비 개선된 부분과 추가 개선이 필요한 영역을 식별합니다.
- 개선 계획 수립:
- 재평가 결과를 바탕으로 개선 계획을 수립하고, 실행합니다.
- 이 과정은 앞서 설명한 갭 분석 및 구현 단계를 반복하는 것과 같습니다.
- 문서 업데이트:
- 재평가 및 개선 활동 결과를 반영하여 정책, 절차, 그리고 관련 문서를 최신 상태로 유지합니다.
6.4.4 지속적 개선 활동
- 피드백 수집:
- 조직 내부 및 외부 이해관계자로부터 오픈소스 보안 관리 체계에 대한 피드백을 수집합니다.
- 설문 조사, 인터뷰, 워크샵 등 다양한 방법을 활용할 수 있습니다.
- 데이터 분석:
- 수집된 피드백과 함께 SBOM 데이터, 취약점 분석 결과, 감사 결과 등 다양한 데이터를 분석하여 개선 기회를 식별합니다.
- 개선 실행:
- 식별된 개선 기회에 대해 구체적인 실행 계획을 수립하고, 실행합니다.
- 새로운 기술 도입, 프로세스 개선, 교육 프로그램 개발 등 다양한 활동을 수행할 수 있습니다.
- 성과 측정:
- 개선 활동의 효과를 측정하기 위해 KPI(Key Performance Indicator, 핵심 성과 지표)를 설정하고, 정기적으로 측정합니다.
- 측정 결과를 분석하여 개선 활동의 효과성을 평가하고, 필요한 경우 계획을 수정합니다.
- 지식 공유:
- 개선 활동의 성공 사례와 실패 사례를 조직 내에 공유하여 학습 효과를 높입니다.
- 사내 위키, 블로그, 뉴스레터 등을 활용하여 지식을 공유하고, 커뮤니케이션을 활성화합니다.