정보시스템 감리 | 컨설팅 및 진단 | 개인정보영향평가
 
"any audit that encompasses the review and evaluation of all aspects(or any portion) of automated information processing systems, including related and non-automated processes, and the interfaces between them"
COBIT generally applicable and accepted standard for good practices for IT control
Control(COSO) The policies, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented or detected and corrected
IT control obejctives(SAC) A statement of the desired result or purpose to be achieved by implementing control procedures in a particularly IT activity
정보시스템의 신뢰성, 안전성, 효율성의 향상을 도모하고
정보화사회의 건전화에 이바지하기 위하여
시스템감사에 필요한 사항을 망라하여 보여주는 것
용어
설명
분야 매핑
신뢰성
정보시스템의 품질과 장해의 발생, 영향범위 및 회복의 정도
품질
안전성
정보시스템을 자연재해, 부정 접근 및 파괴행위로부터 보호하는 정도
보안
효율성
정보시스템의 자원활용 및 비용대효과의 정도
관리
일반기준
체제
감사
시스템감사인의 책임.권한
직업윤리
비밀엄수 의무
실시기준
기획업무 : 정보전략, 전체계획, 개발계획, 시스템분석.요구 정의
개발업무 : 개발순서, 시스템설계, 프로그램설계, 프로그래밍, 시스템시험, 이행
운용업무 : 운용관리, 입력관리, 데이터관리, 출력관리, 소프트웨어관리, 하드웨어관리, 구성관리, 건물.관련 설비관리
보수업무 : 보수순서, 보수계획, 보수의 실시, 보수의 확인, 이행(전환)
공통업무 : 문서관리 , 진척관리 , 요원관리, 외부위탁, 재해대책
보고기준
보고서 작성
보고
후속조치
ISO 9000 시리즈는 ISO 9000, 9001, 9002, 9003, 9004를 포괄하는 것으로 관련된 표준, 지침 초안 등 19종을 포함하고 있습니다. ISO 9000은 품질경영 및 품질보증 표준의 선정과 활용을 위한 지침으로, ISO 9000 시리즈의 개요와 표준의 선정 기준을 제공하고 있다. ISO 9001, 9002, 9003은 공급자, 수요자간의 계약에 관련된 외부 품질보증을 위한 표준이고 ISO 9004는 내부 품질경영 목적의 품질 표준입니다. 공급자에게서 요구되는 "기능상 또는 조직상의 능력"을 기준으로 ISO 9001, 9002, 9003은 다음과 같이 구분됩니다.
ISO 9001 : 설계/개발, 생산, 설치 및 서비스에서의 품질보증 모형
ISO 9002 : 생산과 설치에서의 품질보증 모형
ISO 9003 : 최종검사와 시험에서의 품질보증 모형

ISO 9001은 제조업에 적용할 것을 기준으로 작성된 품질보증 모형이기 때문에, 소프트웨어에 직접적으로 적용하기에는 여러 가지 어려움이 존재하였습니다. 따라서 소프트웨어에 적용하기 위한 지침으로 ISO 9000-3(소프트웨어 개발, 공급 및 유지보수에 ISO 9001의 적용)이 1991년에 제정되었으나 이 표준은 소프트웨어 품질경영시스템을 위한 지침으로 인증 목적으로는 사용되지 않은 표준입니다.

ISO 9000 시리즈와 관련된 주요 품질 표준들은 아래와 같은 것들이 있습니다.
종류
제목
목적및 주요내용
ISO 8402
품질 경영과 품질 보증 - 용어
- 품질 시스템 관련 용어들의 표준 제공
ISO 9000-1
품질 경영과 품질 보증 표준 Part 1 : 선정과 활용을 위한 지침
- 주요 품질 관련 개념의 제시
- ISO 9000 시리즈의 선정 및 활용을 위한 지침
ISO 9000-2
품질 경영과 품질 보증 표준 Part 2 : ISO 9001, ISO 9002, ISO 9003의 활용을 위한 일반적 지침
- ISO 9001, ISO 9002, ISO 9003을 적용하려는 사용자(공급자, 수용자, 부계약자, 감사자)에게 일관성과 이해를 돕기 위한 지침의 제공
ISO 9000-3
품질 경영과 품질 보증 표준 Part 3 : 소프트웨어 개발, 공급 및 유지보수에 대한 ISO 9001의 적용 지침
- 소프트웨어를 개발, 유지, 공급하는 조직에 ISO 9001을 적용하는 지침을 제공
ISO 9000-4
품질 경영과 품질 보증 표준 Part 4 : 신뢰성 프로그램 경영 지침
- 신뢰도 있고 유지보수 가능한 제품을 생산하기 위한 계획, 조직, 방향 및 자원통계에 대한 신뢰도 프로그램 경영 지침을 제공
ISO 9001
품질시스템
- 설계/개발, 생산, 설치 및 서비스를 위한 품질 보증 모델
- 설계/개발, 생산, 설치 및 서비스를 제공하는 공급자의 능력 시범이 요구되는 계약에서의 품질시스템 요구사항 정의
ISO 9002
품질시스템
- 생산, 설치 및 서비스를 위한 품질 보증 모델
- 생산, 설치 및 서비스를 제공하는 공급자의 능력을 가시화하기 위한 품질 시스템 요구사항 정의
ISO 9003
품질시스템
- 최종 검사 및 시험을 위한 품질 보증 모델
- 최종 검사 및 시험중에 제품의 부적합함을 검출하고 그 처리를 관리하기 위한 품질 시스템 요건 명시
ISO 9004
품질경영 및 품질시스템 요소 지침
- 내부적인 품질 경영을 위한 품질 경영 및 품질 시스템의 요소 제시
ISO 9004-1
품질경영 및 품질시스템 요소, Part 1 : 지침
- ISO 9004(1987년도 수정본)
ISO 9004-2
품질경영 및 품질시스템 요소, Part 2 : 서비스를 위한 지침
- ISO 9004(1987년에 근거하여, 서비스를 위한 품질 시스템의 포괄적인 개관을 다룸)
ISO 9004-3
품질경영 및 품질시스템 요소, Part 3 : 가공 제품을 위한 지침
- 반제품의 품질경을 위한 지침
ISO 9004-4
품질경영 및 품질시스템 요소 Part 4 : 품질 향상을 위한 지침
- 지속적인 품질개선 수행을 위한 관리지침을
제공
ISO 9004-5
품질경영 및 품질시스템 요소 Part 5 : 품질 계획 지침
- 특정 요구사항이 제품이나 프로젝트에 적절하게 계획되고 언급되어 있는지 보장하기 위한 품질계획서를 위한 지침
ISO 9004-7
품질경영 및 품질시스템 요소 Part 7 : 형상관리 지침
- 제품의 수명주기 전번에 걸쳐 가시성과 제품의 기능적, 물리적 특성을 제어하기 위한 형상 관리 지침을 제공
ISO 10011-1
품질시스템의 감사를 위한 지침 Part 1 - 감사
- 기본적인 감사 원칙, 기준, 관례를 제공
- 품질시스템의 감사를 설정, 계획, 수행 문서화 하기 위한 지침을 제공
ISO 10011-2
품질시스템의 감사를 위한 지침 Part 2 - 품질 시스템 감사자의 자격 기준
- 감사자의 자격 기준에 관한 지침으로 품질 시스템을 실행할 감사자의 선정시 활용 가능
ISO 10011-3
품질시스템의 감사를 위한 지침 Part 3 - 감사 프로그램의 관리
- 품질 시스템 감사 프로그램을 관리하기 위한 기본 지침을 제공
- ISO 10011-1의 권고에 따라 품질 시스템의 감사를 실시할 때 감사 프로그램 관리 기능의 설정 및 유지 관리에 적용됨
ISO 10012-1
측정 장비를 위한 품질 보증 요구사항 - Part 1 : 측정장비의 도량학적 확인 시스템
- 사용 측정 장비가 명세서에 적합함을 보증하기 위한 요구 사항
ISO/DIS10013
품질 매뉴얼 개발을 위한 지침
- ISO 시리즈 품질시스템 표준이 요구하는 문서화된 문서메뉴얼을 개발하기 위한 지침을 제공
표준구분
적용여부
ISO9001
i. 소프트웨어는 다른 산업의 제품들과는 많은 측면에서 달라 소프트웨어 산업의 프로세스는 다른 산업의 전형적인 프로세스와는 틀림
ii ISO9000-3 "Guidelines for the Application of ISO9001 to the Development, Supply and Maintenance of Software"이 이러한 차이점을 소프트웨어 생명주기와 지원활동을 참고하여 작성됨
ISO9000-3
iii. 기존의 ISO9000-3은 소프트웨어 공학의 개념이 전혀 반영되어 있지 않음
iv. 일반 물리적 제품을 만드는 대량생산의 경우와 달리 소프트웨어 산업은 개발시 창조적 활동이 필요하며, 생산시에는 단순 복사이므로 소프트웨어 공학 개념의 적극적 반영이 필요
v. 현재 9000-3은 수정중에 있음.
전문기술과 독립성을 지닌 품질보증팀에 의해 수행
표본검사나 기록검토를 통한 문제점 발견
문제점 보고의 책임만 있음
품질관리검토
품질시스템 감사
공정(process) 감사
제품(product) 감사
서비스 감사
현재 여러나라에서 인증 심사기준으로 많이 사용하는 소프트웨어 품질시스템 표준은 두가지로 구분할 수 있습니다. 첫째는 ISO 9001(지침은 ISO9000-3)이고, 두 번째는 영국 상무성(DTI)에서 ISO9001을 소프트웨어에 적용하기 위해서 만든 지침인 TickIT입니다.

※TickIT 제도(Shceme) : 소프트웨어 개발자의 능력이 ISO 9000-3을 만족하면서 ISO 9001의 요구사항을 만족함을 인증하는 목적으로 개발된 영국의 인증제도로서, 유럽에서는 물론 전 세계적으로 호응을 얻고 있는 제도입니다. TickIT제도의 장점은 권위있는 인증이 가능하다는데 있습니다. 즉, ISO 9001이 매우 추상적으로 정의되어있고 제조업 중심으로 되어 있어서 심사원에 따라 품질시스템에 대한 인증결과가 달라질 수 있습니다. 반면에 TickIT에서는 심사원의 자격부여가 정보기술 위주의 심사원 양성 교육과 영국 품질보증국과 영국 컴퓨터 협회의 합동 인터뷰를 통해서 이루어집니다. 이를 통해서 소프트웨어 품질시스템 심사에 적용할 지식과 경험을 가진 심사원의 확보가 가능하게 됩니다.

소프트웨어 생명주기 프로세스에 대한 공통 체계
소프트웨어를 포함하는 시스템의 구매, 공급, 개발, 운영, 유지보수에 적용되는 프로세스, 활동, 타스크 정의
소프트웨어 생명주기 프로세스의 아키텍쳐를 기술
활동/타스크의 구현방법은 기술하지 않고 있음.
양자간 계약(또는 비공식적 협약) 상황시 사용될 수 있도록 작성
특정 생명주기 모델이나 개발방법을 규정하지 않으나 본 표준의 사용자는 특정 생명주기 모델을 선택하고, 이를 본 표준에서 정하는 프로세스/활동/타스크와 비교하여 준수성 검증
ISO 12207
감사프로세스/활동
세부내용
프로세스 구현
- 프로젝트 계획에 감사 시점(주요 분기점) 명시
- 감사인은 독립성 유지
- 감사에 필요한 자원 합의
- 의제, 소프트웨어 제품, 감사 범위와 절차, 시작 및 종료기준 합의
- 감사 결과는 문서화되어 보고되고, 문제점은 문제해결 프로세스에서 처리
- 감사 결과에 대한 동의와 시정조치 및 책임에 대한 합의
감사
- 비용과 일정의 프로젝트 계획 준수여부 확인
- 관련 요구사항, 계획, 계약에 따른 활동 수행확인
- 소프트웨어 제품의 명세 만족여부 확인
- 시험 결과의 정확성 및 차이점의 해결 확인
- 인수를 위한 검토와 시험의 적절성 확인
1) 개요
소프트웨워 업계에서는 ISO9001과 마찬가지로 CMM 이 주목을 받고 있으며, 이것은 미국 Carnegie Mellon 대학(CMU)의 SEI(Software Engineering Institute,소프트웨어공학연구소)에서 개발되었습니다.
CMM(Capability Maturity Model) 레벨 인증이란 SEI가 규정한 소프트웨어 개발능력에 대한 심사체계로서, 소프트웨어 개발에 있어 내부 품질관리 능력을 5단계로 구분하여 평가합니다.
CMM은 원래 DoD(미국방청)가 외부 소프트웨어개발 조직에게 발주하는 소프트웨어 개발 프로젝트에서 납기를 크게 지연시키거나 납품된 소프트웨어의 발생 품질 문제를 해결하기 위해 외부 소프트웨어 개발 조직의 개발능력 Level을 객관적으로 평가하기 위해 SEI에 연구를 위탁한 것이 발단이 되었습니다.
이 때문에 미국, 일본, 유럽 등 선진국에서는 외부 조직으로 발주되는 소프트웨어 개발 안건에 대하여 「CMM 레벨 2」 이상 혹은 「CMM 레벨 3」이 아니면 입찰 자격을 주지 않는 계약 조건이 제시되고 있는 추세입니다.
당초 이 제도를 구축함에 있어 미국은 세계적인 컴퓨터 메이커를 비롯한 소프트웨어 개발 현장을 조사하여 그 결과를 반영하였다고 하는데 그 중에서도 품질과 생산성 사례 즉, Best Practice를 수집하고, 소프트웨어 개발 조직이 단계적으로 성숙해 간다는 가정 하에 체계적으로 정리한 것이 CMM for software입니다.
 
CMM은 소프트웨어 PROCESS의 성숙도(조직의 개발 능력)를 개선해 가기 위한 효과적인 "절차"를 나타낸 것.
그 배경에는 소프트웨어 PROCESS(개발 조직)의 능력을 「5단계 성숙도」로 분류하고, 그 조직의 LEVEL에 적합한 추진 방법이 있다고 정의하고 있으며, 전제는 현재 자신들의 조직 상태(LEVEL)를 인식하는 일이며, 그것을 Assessment라는 절차에 따라 알 수 있게 하고 있어, 현재의 LEVEL을 알게 됨과 동시에 Skill의 과부족을 알 수 있게 함.
CMM이란 이와 같은 「조직의 능력 개선 Model」임
LEVEL 2로의 추진으로서 제안되어 있는 주요 테마는 소프트웨어의 개발 한정되는 것은 아니며, 실제 H/W 조직에 대해서도 유효하다고 할 수 있으며, 이것을 기초로 다음 LEVEL로 높여가기 위한 노력의 조직에 필요성을 인식하게 됨.


2) CMM의 프로세스 성숙도(Process Maturity Level)

이것은 카네기멜론 대학에 있는 SEI(Software Engineering Institute)의 W. Humphrey를 중심으로 한 Group이 1989년에 발표한 소프트웨어 개발 조직(프로세스)의 "능력"을 판정하는 척도입니다

레벨
프로세스
1
초기 레벨
Initial
- 프로세스 성공은 개인 능력과 노력에 의존
- Unpredictable and poorly controlled
2
반복 레벨 Repeatable
- 기본적인 프로젝트 관리 프로세스로서 Cost, 일정, 기능을 추적
- 이 프로세스 훈련에 따라 동종의 프로젝트에서는 반복 가능하게 되며, 프로젝트의 조기 단계에서 성공이 보임
- Can repeat previously mastered tasks
3
정의 레벨 Defined
- 소프트웨어 프로세스의 management와 엔지니어링 활동이 정의, 표준화되어 조직 전체에 걸쳐 소프트웨어 프로세스로 통합화 된다.
- Process characterized, fairly well understood
4
관리 레벨
Managed
- 소프트웨어 프로세스와 상품 품질의 상세한 측정 결과가 수집.
- Process measured and controlled
5
최적화 레벨
Optimizing
- 프로세스, 새로운 아이디어나 기술의 실험 결과 등에서 정량적인 feedback이 되고, 프로세스 개선이 지속적으로 이루어진다.
- Focus on process improvement  
1) 개요
SPICE는 Software Process Improvement & Capability dEtermination-ISO 15504의 약자로 국제표준화기구(ISO/IEC) 공동기술위원회(JTC1/SC7)의 12개 공정평가작업반(WG) 중 WG10에서 만든 소프트웨어 사업자의 프로젝트 수행능력을 검사하고 평가하는 지침입니다.
ISO/IEC에서는 소프트웨어 프로세스 관리에 대해서 SPICE(Software Process Improvement and Capability dEtermination)프로젝트를 수행하으며, SPICE의 참조 모형으로는 CMM, Trillium, Bootstrap등 입니다.
SPICE의 목적 중의 하나는 CMM의 성숙도 수준과 같은 특정 개선 방법론을 피하면서 프로세스 능력을 측정하는 방법을 개발하려는 것이며 이러한 목적으로 SPICE에서 선정된 방법은 개별 프로세스의 구현과 제도화를 측정하는 것입니다. 반면에 CMM의 성숙도 수준은 개별 프로세스가 아니라 조직 전체의 성숙도를 측정합니다.
SPICE 참조 모형의 프로세스는 소프트웨어 생명주기 프로세스에 관한 국제 표준인 ISO/IEC 12207의 프로세스 구분을 상당부분 수용하였습니다. ISO/IEC12207은 소프트웨어 생명 주기 프로세스를 위한 공통의 개념적 준거틀을 제공하려는 것으로 참조모형의 프로세스 차원은 소프트웨어의 개발, 유지 보수, 획득, 공급, 운영과 관련된 프로세스들을 포함하고 있습니다.

2) SPICE의 구조
SPICE는 참조 모형의 이해도를 높이기 위하여 각 차원을 계층적으로 구성하고 있습니다. 프로세스 차원에서 가장 상위 수준의 단계는 프로세스 역(Process Category)이며 이것은 관련된 프로세스를 그룹핑한 것으로 5개의 범주로 구성되어 있고 모든 프로세스를 고객-공급자, 조직, 관리, 공학, 지원의 프로세스 영역으로 분류하고 있습니다.

고객-공급자 프로세스 : 고객에게 직접적인 영향을 미치고, 소프트웨어를 개발하여 고객에게 인도하는 것을 지원하고, 소프트웨어를 정확하게 사용하고 운용할 수 있도록 하는 프로세스로 구성.
공학 프로세스 (개발, 유지보수) : 시스템과 소프트웨어 제품을 직접적으로 명세화하고, 구현하고, 유지보수 하는 프로세스로 구성
지원 프로세스 : 소프트웨어 생명주기의 여러 곳에서 다른 프로세스에 의하여 이용되는 프로세스로 구성되며 문서화, 형상관리, 품질보증, 문제해결, 상세검토가 포함
관리 프로세스 : 소프트웨어 생명주기에서 프로젝트를 관리하는 사람들에 의하여 사용되는 일반적인 실무 절차를 포함하는 프로세스로 구성되며 프로젝트 생명주기 계획, 계획수립, 팀 구성, 요구사항 관리,품질관리, 위험관리, 자원 및 일정관리, 하청계약자 관리가 포함
조직 프로세스 : 조직의 업무 목적을 수립하고, 조직이 업무 목표를 달성하는데 도움을 주는 프로세스, 제품 및 자원을 개발하는 프로세스로 구성.

개발 프로세스를 5개의 프로세스 범위, 9개의 프로세스 속성으로 분류하고 각각에 대한 수행능력 수준을 6종류로 등급화 함. SPICE에서는 프로세스를 6개의 수준으로 구분하는데 CMM과의 차이점은 조직 전체의 수준을 평가하는 것이 아니라 프로세스별 수준을 평가하는 점입니다.

▣ 프로세스 수행능력 수준
레벨
단계
기능
레벨0
초기
(Incomplete)
- 요구사항 구현 미달, 목표 미달성
- 레벨 0은 가장 낮은 수준으로 기반 실무 절차가 수행되지 않으며, 프로세스를 식별할 만한 작업 산출물이나 결과물이 없는 상태.
레벨1
수행
(Performed)
- 요구사항 구현, 목표 달성
- 레벨 1은 기반 실무 절차가 일반적으로 수행되고 프로세스가 수행된다는 것을 나타내는 작업으로 산출물이 생산되나 수행 작업에 대한 공식적인 계획과 추적이 이루어지고 있지 못함.
- 전형적으로 개개인이 자신의 작업을 계획하고 자신의 작업 산출물에 대한 표준을 설정.
레벨2
관리
(Managed)
- 프로세스 수행의 계획 및 관리
- 레벨 2는 활동이 계획되고 계획에 대비하여 활동이 추적되는 단계로 작업 산출물이 정의된 표준에 대비하여 확인됨.
- 이 수준에서 계획은 프로젝트 단위로 수행되며 레벨 1과의 차이는 프로세스가 계획되고 관리된다는 점
레벨3
표준
(Established)
- 표준 프로세스의 적용 및 관리
- 레벨 3에서의 프로세스 활동은 작업과 작업 순서를 정의하는 조직 차원의 표준 프로세스와 작업 산출물 표준에 근거하여 수행하며,이러한 조직 차원의 모형은 프로젝트별로 조정되어 적용되며 여러 가지 환경을 반형하기 위하여 하나 이상의 조직 표준 프로세스가 존재할 수도 있음.
- 레벨 2와의 차이점은 표준 프로세스를 사용하여 프로세스가 계획되고 관리된다는 점.
레벨4
예측
(Predictable)
- 프로세스의 정량적 이해 및 통제
- 레벨 4에서는 프로세스와 제품의 품질에 대한 계량적인 통제를 하기 위하여 측정이 이루어지는 단계로 설정된 프로세스가 정의된 통제 한계 내에서 일관성 있게 수행됨. 레벨 3과의 차이는 정의된 프로세스가 정량적으로 이해되고 통제된다는 점.
- 이 레벨에서는 성능에 대한 상세한 측정치가 수집되고 분석되며 프로세스 능력에 대한 정량적인 이해 및 성능 예측이 가능하게 되며 프로세스의 성능이 객관적으로 관리되며 작업 산출물의 품질이 정량적으로 파악됨.
레벨5
최적화
(Optimizing )
- 프로세스의 지속적 개선활동
- 레벨 5는 새로운 아이디어와 기술의 도입이 적절하게 통제되고, 프로세스 수행과정에서 얻어지는 계량적인 피드백데이터를 이용하여 가능함
- 레벨 4와의 차이점은 정의된 프로세스와 표준 프로세스가 지속적으로 정제되고 개선된다는 점
▣ 타 표준과의 비교
비교항목
특 징
등 급
평가방법
ISO 9000
- 하드웨어, 제조업을 포함한 광범위한 품질관리시스템
- 최소한의 자격기준을 제시하는 증거(Evidence) 중심
인증/불인증
외부평가
CMM
- 소프트웨어 관련산업에 집중적용
- 계속적인 개선을 통한 프로세스 효율화가 목적임
- 자세한 실행 모델 제시
5등급
자체평가 가능
SPICE
- 개발프로세스를 5개 범위와 29개 프로세스로 세분화하여 각각 등급을 매김
- 각 프로세스 심사 표준을 통합함
6등급
자체평가 가능