감사 증적 목록

Mon, 01 Jan 0001 00:00:00 +0000

금융권은 내외부감사와 금융감독원의 정보기술(IT) 검사에 대비해 오픈소스 관리 활동의 증적을 보관해야 한다. 관리 단계의 점검 기록이 그대로 증적이 되므로, 따로 만들지 말고 평소 활동에서 나오는 기록을 체계적으로 모은다. 자세한 맥락은 관리를 참고한다.

증적 체크리스트

아래 증적은 ISO/IEC 5230·18974의 입증자료와 겹친다. ISO 자가 인증을 준비하며 만든 문서가 그대로 감사 증적이 된다. 보관 위치와 기간은 조직 규정에 맞게 정한다.

증적	생성 활동	관련 ISO 입증자료	보관 위치(예시)	비고
오픈소스 정책 문서와 개정 이력	거버넌스	5230 3.1.1.1	문서 관리 시스템	버전 이력 포함
역할·책임 문서, 담당자 지정 기록	거버넌스	5230 3.1.2.1, 3.2.2.1	문서 관리 시스템
SBOM과 갱신 이력	식별	5230 3.3.1.1, 3.3.1.2	SBOM 관리 도구	시스템별
취약점 점검 결과	이슈 파악·해결	18974 4.3.2.1, 4.3.2.2	취약점 관리 도구	날짜별
취약점 조치 기록(조치 불필요 판단 포함)	이슈 파악·해결	18974 4.3.2.2	취약점 관리 도구	VEX 포함
라이선스 검토 기록	이슈 파악·해결	5230 3.3.2.1	문서 관리 시스템
사용 승인 신청·검토·결정 기록	사용 승인	5230 3.1.5.1	승인 관리 도구	위원회 결정 근거
망분리 예외 자체 위험평가서	사용 승인	(전자금융감독규정)	문서 관리 시스템	정보보호위원회(CISO) 승인 이력, 재평가 이력
반입 승인 기록	폐쇄망 운영	—	문서 관리 시스템	검증 결과 포함
정기 재평가 결과	관리	18974 4.1.2.5	문서 관리 시스템	주기별
컴플라이언스 산출물(고지문 등)	관리	5230 3.4.1.1, 3.4.1.2	배포 산출물 저장소	배포 소프트웨어
외주 계약의 오픈소스 요구 조항과 제출 SBOM	사용 승인	(전자금융감독규정 제21조 내부통제)	계약 관리 시스템	전자금융보조업자

증적은 만드는 것만큼 지키는 것이 중요하다.