SW안전 등급평가 체계운영 및 SW안전 거버넌스 모델 마련 (다운로드 : 183회)

SW safety rating system operation and SW safety governance model preparation

박태형/진회승/류현숙/김경우/박중훈/김서용/김대훈/김평

■ 목차

제1장 서 론

제1절 연구의 배경 및 필요성

제2절 연구의 목적

제3절 연구의 구성

제2장 선행연구

제1절 산업의 안전(위험) 평가에 관한 선행연구

제2절 SW안전 평가에 관한 선행연구

제3절 기존 연구와의 차별성

제3장 해외 주요국 안전(위험) 평가제도 및 거버넌스 체계

제1절 주요국의 안전(위험) 평가제도 및 거버넌스

제2절 해외 주요국의 SW안전성 평가제도

제3절 소결

제4장 교육 현황 및 정책 수요 조사

제1절 조사 개요

제2절 조사결과

제3절 소결

제4장 국내 안전관리제도 현황 및 사례 조사

제1절 안전관리제도 및 거버넌스 체계 벤치마킹

제2절 국내 산업 도메인별 안전 평가제도 현황

제3절 국내 SW 안전등급 평가제도 시사점

제5장 SW안전 평가제도 구축 방안을 위한 의견수렴

제1절 전문가 인터뷰 조사

제2절 전문가 인터뷰 시사점

제6장 SW안전 평가제도 및 거버넌스 정립을 위한 정책 대안

제1절 SW안전 평가체계

제2절 소프트웨어 안전 평가를 위한 거버넌스

제7장 결 론

제1절 주요 연구 내용의 요약

제2절 연구의 정책적 함의와 향후 연구 방향

■ 요약문

1. 제 목

- SW안전 평가체계 운영 및 SW안전 거버넌스 모델 마련

2. 연구 목적 및 필요성

SW안전 확보가 필요한 소프트웨어라 할지라도 요구되는 등급을 분류하고 그에 따른 SW안전 확보 활동을 적용함으로써, 과도하거나 과소한 SW안전 확보 활동으로 인해 발생되는 위험요소에 대비하면서도 비용효과를 고려한 바람직한 결과를 도출할 수 있다. 따라서, ‘소프트웨어진흥법’과 ‘소프트웨어안전 확보를 위한 지침’이 시행되는 시점에서 SW안전(위험) 평가제도를 구축하는 데 대한 선제적인 연구는 공공부문의 SW안전을 확보하는 데 무엇보다 필요하다.

이러한 필요성 하에 본 연구는 다음과 같은 목적을 가진다.

첫째, 공공기관이 국가 안전신뢰성 제고를 위해 SW안전 확보 활동을 적절하게 수행하고 있는지를 평가하는 체계를 제안하는 것이다.

둘째, 공공부문의 SW안전성을 제고를 위한 절차적이고, 행정적인 효율성을 향상시킬 수 있는 SW안전 거버넌스 모델을 제안하고자 하였다.

3. 연구의 구성 및 범위

본 연구는 서론 및 결론을 포함하여 총 7장으로 구성된다.

제2장 선행연구에서는 산업별 안전(위험) 평가에 관한 선행연구와 SW안전 평가에 관한 선행연구를 중심으로 검토하고, 기존 연구와의 차별성을 강조하였다.

제3장에서는 미국, 영국, 호주, 캐나다 등 해외 주요국을 중심으로 안전(위험)평가 관련 국내외 현황 분석을 통해 안전(위험)평가 제도를 수립하는 경우, 평가의 주체, 평가의 시기, 평가의 방법 등 평가제도의 주요 요소들을 확인하고 국내 SW안전 평가제도에 필요한 요소를 도출하였다. 또한 평가제도와 관련한 거버넌스 체계 사례를 분석함으로써 향후 SW안전 평가체계를 운영함에 있어 효과적인 거버넌스 모델 구축의 시사점을 도출하였다.

제4장에서는 국내 안전관리제도에 대한 현황 분석과 사례조사 분석을 통해 국내 실정에 적합한 SW안전 평가제도의 운영체계와 거버넌스 모델 수립을 위한 시사점을 제시하였다.

제5장에서는 SW안전 평가제도 구축방안을 위한 의견수렴 결과를 정리하였고, 제6장에서는 SW안전 등급제도와 연동할 수 있는 평가제도(안)과 소프트웨어 안전 평가를 위한 거버넌스 모델을 제안하였다.

마지막으로 제7장 결론에서는 연구의 정책적 함의와 향후 연구 방향에 대한 논의를 하는 것으로 구성하였다.

4. 연구 내용 및 결과

해외 주요국의 재난관리·산업안전·의료·철도·항공 분야의 안전성 평가 절차를 검토한 결과를 토대로 소프트웨어 안전성 평가에게 적용할 수 있는 시사점을 다음과 같이 제시하였다. 1) 소프트웨어 안전성 평가 또는 위험성 분석이 독립적으로 이루어지기보다 위험·안전관리 차원에서 위험요인에 대한 대처까지 종합적으로 고려하도록 필요가 있다. 2) 소프트웨어 안전성 평가 시에 평가 수행주체가 다양한 정보출처를 참고하도록 하여 위험요인을 포괄적으로 식별하도록 유도할 수 있다. 3) 소프트웨어 안전성 평가에 대한 포괄적인 절차를 개발하는 데에 분야의 특성을 반영하여 유연한 절차 또는 거버넌스 체계를 제시할 필요가 있다. 4) 소프트웨어 안전성 분석·평가를 주관 정부기관의 특성을 고려하여 평가·인증 체계에서 적절한 분업이 필요하다. 5) 소프트웨어 안전성 평가가 주관기관이 아닌 제3의 기관이나 대리인에 의해 수행될 경우, 그 수행능력을 담보할 장치가 필요하다. 6) 소프트웨어 안정성 평가의 주관기관은 체계적으로 진행되도록 평가체계에 참여하는 조직들의 대표들로 구성된 조정 그룹을 구축할 필요가 있다.

한편, 국내 안전관리제도에 대한 현황 분석과 사례조사 분석을 통해 도출한 SW안전등급 평가제도의 시사점을 정리하면 다음과 같다. 1) SW안전 등급제의 필요, 2) SW안전 등급 평가대상 기관 또는 산업의 명확화, 3) SW안전 등급 평가 관련 역할의 분담, 4) SW안전 등급 평가대상과 범위의 구체화, 5) SW안전 확보 단계별 등급 평가요소 및 부여기준의 마련, 6) SW안전 등급 설정 기준과 등급의 구분, 7) SW안전 등급 평가를 위한 법체계의 정비, 8) SW안전 관련 국제표준과의 관계 정립, 9) SW안전 등급평가 관련 교육 기관의 설립

이러한 국내외 안전(위험) 평가제도와 거버넌스 체계에 대한 분석을 토대로, 사전예방적 안전관리의 지속적인 환류체계를 강조하는 SW안전 평가체계를 제안하고, 인증 차원 접근 방식의 거버넌스와 주기적 안전평가 차원 접근 방식의 거버넌스 체계를 제안하였다.

5. 정책적 활용

본 연구는 ‘소프트웨어진흥법’과 ‘소프트웨어안전 확보를 위한 지침’이 시행되는 시점에서 향후 도입이 필요한 SW안전 등급 평가제도와 그 운영의 거버넌스의 모델을 제안하는 데 목적을 두었다.

따라서 본 연구의 결과는 ‘소프트웨어진흥법’ 내지 ‘소프트웨어안전 확보를 위한 지침’ 등의 개정을 통해 SW안전 등급제가 시행되는 경우, 보다 신속하게 평가체계를 구축하는 데 기초자료로 활용할 수 있을 것이다.

■ SUMMARY

1. Title

- SW safety evaluation system operation and SW safety governance model preparation

2. Research purpose and necessity

Even for software that needs to secure SW safety, by classifying the required grade and applying the SW safety securing activity accordingly, it produces desirable results considering cost effectiveness while preparing for risk factors arising from excessive or insufficient SW safety securing activities. can do.

Therefore, at the time when the'Software Promotion Act' and the'Guidelines for Securing Software Safety' are implemented, preemptive research on establishing a software safety (risk) evaluation system is essential to securing SW safety in the public sector.

Under this necessity, this study has the following objectives.

First, it proposes a system for evaluating whether public institutions are properly carrying out SW safety security activities to improve national safety reliability.

Second, it attempted to propose a SW safety governance model that can improve procedural and administrative efficiency to improve SW safety in the public sector.

3. Composition and scope of the study

This study consists of a total of 7 chapters including an introduction and conclusion.

In Chapter 2, the preceding studies focused on the previous studies on safety (risk) evaluation by industry and on SW safety evaluation, and emphasized the difference from the existing studies.

In Chapter 3, through analysis of domestic and overseas status related to safety (risk) assessment, centering on major overseas countries such as the United States, the United Kingdom, Australia, and Canada, the major elements of the evaluation system were identified, and the necessary elements for the domestic SW safety evaluation system were derived.

In addition, by analyzing the case of the governance system related to the evaluation system, the implications of establishing an effective governance model in operating the software safety evaluation system in the future were derived.

Chapter 4 presents implications for establishing the operating system and governance model of the SW safety evaluation system suitable for the domestic situation through analysis of the current status of the domestic safety management system and case study analysis.

Chapter 5 summarizes the results of collecting opinions for the establishment plan of the SW safety evaluation system, and Chapter 6 proposes an evaluation system (draft) that can be linked with the SW safety rating system and a governance model for software safety evaluation.

Finally, the conclusion of Chapter 7 consists of discussing the policy implications of the study and future research directions.

4. Research contents and results

Based on the results of reviewing the safety evaluation procedures in the disaster management, industrial safety, medical, railroad, and aviation sectors of major overseas countries, the implications applicable to software safety evaluation are presented as follows.

1) Rather than independent software safety evaluation or risk analysis, it is necessary to comprehensively consider dealing with risk factors in terms of risk and safety management. 2) When evaluating the safety of software, it is possible to induce comprehensive identification of risk factors by allowing the evaluation subject to refer to various sources of information. 3) In developing a comprehensive procedure for software safety evaluation, it is necessary to present a flexible procedure or governance system reflecting the characteristics of the field. 4) Appropriate division of labor is required in the evaluation/certification system in consideration of the characteristics of the government agency in charge of software safety analysis and evaluation. 5) When the software safety evaluation is performed by a third party or agent other than the host organization, a system to secure the performance capability is required. 6) The supervisory agency for software safety evaluation needs to establish a coordination group composed of representatives of organizations participating in the evaluation system so that the evaluation proceeds systematically.

On the other hand, the implications of the SW safety rating system derived through analysis of the current status of the domestic safety management system and case study analysis are summarized as follows.

1) the need for a SW safety rating system, 2) clarification of the agency or industry for SW safety rating evaluation, 3) allocation of roles related to SW safety rating evaluation, 4) specification of the evaluation target and scope of SW safety rating, 5) Establishment of grading evaluation elements and grading standards for each stage of securing SW safety, 6) Classification of SW safety level setting standards and grades, 7) Improvement of legal system for SW safety rating evaluation, 8) Establishment of relationship with international standards related to SW safety, 9) Establishment of educational institutions related to SW safety rating evaluation.

Based on the analysis of the domestic and overseas safety (risk) evaluation system and governance system, a SW safety evaluation system that emphasizes the continuous feedback system of preventive safety management was proposed.

5. Use to policy

The purpose of this study is to propose a software safety rating system that needs to be introduced in the future and a model for governance of its operation at the time the'Software Promotion Act' and the'Guidelines for Securing Software Safety' are implemented.

Therefore, the results of this study can be used as basic data to establish an evaluation system more quickly when the software safety rating system is implemented through revisions such as the'Software Promotion Act' or'Guidelines for securing software safety'.

■ CONTENTS

Chapter 1. Introduction

Chapter 2. Literature Review

Chapter 3. Safety (risk) assessment system and governance system in major overseas countries

Chapter 4. Domestic safety management system status and case study

Chapter 5. Collecting opinions on establishing a software safety evaluation system

Chapter 6. SW safety evaluation system and policy alternatives for establishing governance

Chapter 7. Conclusion

키워드 SW안전 평가 SW안전 거버넌스 모델