This is the multi-page printable view of this section. Click here to print.

Return to the regular view of this page.

3.4 Adherence to the specification requirements

    조직이 오픈소스 보안 보증 프로그램을 운영하고 있다고 주장하기 위해서는, 해당 프로그램이 ISO/IEC 18974 표준의 모든 요구사항을 준수해야 합니다. 이 단원에서는 조직이 표준 준수를 어떻게 확인하고, 유지할 수 있는지에 대한 지침을 제공합니다.

    4.4.1 Completeness (완전성)

    프로그램이 ISO/IEC 18974 표준을 준수한다고 선언하기 위해서는, 조직은 프로그램이 표준에 제시된 모든 요구사항을 충족한다는 것을 공식적으로 확인해야 합니다. 일부 요구사항만 충족하는 것으로는 충분하지 않습니다.

    4.4.1.1 요구사항 충족 증거

    조직은 프로그램이 ISO/IEC 18974 표준의 모든 요구사항을 충족한다는 것을 입증하는 문서화된 증거를 제시해야 합니다. 이 증거는 프로그램 운영의 모든 측면을 포괄해야 하며, 객관적이고 신뢰할 수 있어야 합니다.

    구현 방법 및 고려사항:

    1. 요구사항 매핑:
      • ISO/IEC 18974 표준의 각 요구사항을 조직의 프로그램의 특정 정책, 절차, 또는 활동에 매핑합니다.
      • 매핑 결과는 문서화하고, 프로그램 참여자들이 쉽게 접근할 수 있도록 합니다.
    2. 준수 증거 수집:
      • 각 요구사항에 대한 준수 여부를 입증하는 증거를 수집합니다.
      • 증거는 문서, 기록, 로그, 그리고 테스트 결과 등 다양한 형태가 될 수 있습니다.
      • 증거는 객관적이고 신뢰할 수 있어야 하며, 최신 정보를 반영해야 합니다.
    3. 내부 감사:
      • 독립적인 감사팀이 프로그램의 운영 실태를 평가하고, ISO/IEC 18974 표준 준수 여부를 확인합니다.
      • 감사 결과는 문서화하고, 경영진에게 보고합니다.
      • 감사 결과에 따라 필요한 시정 조치를 취합니다.
    4. 경영진 검토:
      • 경영진은 프로그램의 운영 현황과 감사 결과를 검토하고, ISO/IEC 18974 표준 준수 여부를 최종적으로 확인합니다.
      • 경영진은 프로그램의 지속적인 개선을 위한 지침을 제공합니다.

    예시 증거 자료:

    • 정책 문서:
      • 오픈소스 정책, 보안 정책, 그리고 라이선스 관리 정책 등
    • 절차 문서:
      • 취약점 관리 절차, 사고 대응 절차, 그리고 SBOM 관리 절차 등
    • 기록:
      • 취약점 스캔 결과, 코드 리뷰 결과, 그리고 보안 테스트 결과 등
    • 로그:
      • 시스템 접근 로그, 변경 로그, 그리고 감사 로그 등
    • 테스트 결과:
      • 기능 테스트 결과, 보안 테스트 결과, 그리고 성능 테스트 결과 등

    구현 시 고려사항:

    • 증거는 객관적이고 신뢰할 수 있어야 합니다.
    • 증거는 최신 정보를 반영해야 합니다.
    • 증거는 체계적으로 관리하고, 접근 권한을 적절하게 제어해야 합니다.

    이러한 접근 방식을 통해 조직은 프로그램이 ISO/IEC 18974 표준의 모든 요구사항을 충족한다는 것을 입증하고, 대외적으로 신뢰를 확보할 수 있습니다.

    4.4.2 Duration (기간)

    ISO/IEC 18974 표준 준수는 일회성 이벤트가 아니라, 지속적인 과정입니다. 따라서, 조직은 표준 준수를 획득한 후에도, 해당 상태를 유지하기 위해 지속적으로 노력해야 합니다. 이 섹션에서는 표준 준수 기간과 관련된 요구사항을 설명합니다.

    4.4.2.1 준수 기간 확인 문서

    ISO/IEC 18974 표준을 준수하는 프로그램은 준수 검증을 받은 날로부터 18개월 동안 유효합니다. 따라서, 조직은 프로그램이 준수 검증을 받은 후 18개월 이내에, 해당 프로그램이 여전히 표준의 모든 요구사항을 충족한다는 것을 확인하는 문서를 제시해야 합니다. 이는 프로그램이 시간이 지남에 따라 표준에서 벗어나지 않고, 지속적으로 개선되고 있다는 것을 입증하는 데 중요합니다.

    구현 방법 및 고려사항:

    1. 준수 검증 일자 기록:
      • 프로그램이 ISO/IEC 18974 표준 준수 검증을 받은 날짜를 정확하게 기록합니다.
      • 준수 검증 인증서 또는 관련 문서 등을 증거 자료로 보관합니다.
    2. 준수 갱신 계획 수립:
      • 준수 기간 만료 전에, 준수 상태를 재검증하고, 필요한 경우 갱신하기 위한 계획을 수립합니다.
      • 계획에는 준수 상태 자체 평가, 내부 감사, 그리고 외부 심사 등의 활동이 포함될 수 있습니다.
    3. 정기적인 준수 상태 검토:
      • 준수 기간 동안 프로그램이 여전히 ISO/IEC 18974 표준의 모든 요구사항을 충족하는지 정기적으로 검토합니다.
      • 검토는 최소 6개월에 1회 이상 수행하고, 검토 결과를 문서화합니다.
      • 검토 결과, 표준을 준수하지 않는 부분이 발견되면, 즉시 시정 조치를 취합니다.
    4. 갱신 전 전체 요구사항 재검토:
      • 준수 기간 만료 전에, 프로그램이 ISO/IEC 18974 표준의 모든 요구사항을 다시 한번 충족하는지 전체적으로 재검토합니다.
      • 재검토는 독립적인 감사팀 또는 외부 전문가에 의해 수행될 수 있습니다.
      • 재검토 결과는 문서화하고, 경영진에게 보고합니다.

    예시 증거 자료:

    • 준수 검증 인증서: ISO/IEC 18974 표준 준수 검증을 받았음을 증명하는 공식 문서.
    • 준수 갱신 계획: 준수 상태를 유지하고 갱신하기 위한 구체적인 계획을 기술한 문서.
    • 정기 검토 보고서: 준수 상태를 정기적으로 검토한 결과를 기록한 보고서.
    • 전체 요구사항 재검토 보고서: 준수 갱신 전에 프로그램이 표준의 모든 요구사항을 충족하는지 재검토한 결과를 기록한 보고서.

    구현 시 고려사항:

    • 준수 상태 유지는 지속적인 노력과 자원 투입이 필요합니다.
    • 조직은 ISO/IEC 18974 표준의 변경 사항을 주시하고, 프로그램에 필요한 조정을 수행해야 합니다.
    • 프로그램 참여자들에게 표준 준수의 중요성을 강조하고, 책임을 부여해야 합니다.

    이러한 접근 방식을 통해 조직은 ISO/IEC 18974 표준 준수 상태를 지속적으로 유지하고, 고객에게 안전하고 신뢰할 수 있는 오픈소스 소프트웨어를 제공할 수 있습니다.