한국과학기술정보연구원한국과학기술정보연구원한국과학기술정보연구원한국과학기술정보연구원

기기기기술술술술동동동동향향향향보보보보고고고고서서서서

전전전전략략략략경경경경영영영영을을을을 위위위위한한한한 CIO 역역역역할할할할과과과과

IT 거거거거버버버버넌넌넌넌스스스스 구구구구축축축축 방방방방안안안안연연연연구구구구

머머머머 리리리리 말말말말

최근 많은 조직들이 IT를 경영전략의 핵심적 요소로 인식하고 IT투자를 확대하면서 IT의 효율적 관리와 전략적 활용의 중요성이 커짐에 따라 CIO 기능 강화와 IT 거버넌스 체제 구축에 많은 노력을 기울이고 있습니다. 그러나 아직까지는 학계나 산업계에서 IT 거버넌스의 개념이 통일되어 있지 못하고, 구성요소와 체계 및 실행방법 등도 조직의 특성에 따라 매우 다양하게 접근되고 있습니다.한편, 정부는 정보자원에 대한 중장기 목표 및 정책, 통합 및 최적관리를 위해 정보시스템의 효율적 도입 및 운영에 관한 법률(ITA법)을 제정하여 공공기관에서의 정보기술 아키텍쳐 도입을 권장하고 있습니다. KISTI도 과학기술분야 정보 전담기관으로써 2007년 ITA 도입계획을 수립하여 정보시스템의 효율적 도입 및 운영 기반을 마련한 바 있으며, 동시에 성과중심의 전략경영을 효과적으로 지원할 수 있도록 BSC 기반의 전략경영시스템을 구축하는 등 IT의 효율적 관리와 전략적 활용 극대화에 박차를 가하고 있습니다. 이러한 시점에서 KISTI의 CIO 역할은 매우 중요하고 정보화에 대한 총괄기획, 정책수립, 운영 프로세스 관리, 정보화사업 관리 등 기관 정보화에 대한 총괄자로서의 CIO 역할과 IT 거번넌스 체제를 KISTI 특성에 맞도록 정립하는 것은 매우 시급하고 필수적이라 할 수 있습니다.

본 보고서는 IT 거버넌스와 CIO의 역할 및 전략경영의 이론적인 이해와 KISTI의 정보자원 및 정보화사업 현황 조사 분석을 바탕으로 KISTI에서의 CIO역할 및 IT 거버넌스 체제 구축 방안을 연구한 것으로 향후 KISTI 정보자원의 효율적 관리의 틀을 마련하기 위한 것이며, 본 연구의 결과가 KISTI와 같은 상황에 있는 조직의 CIO 역할 정립과 IT 거버넌스 체제 구축에 많은 도움이 되기를 바랍니다. 끝으로 본 보고서 집필을 위해 수고를 아끼지 않은 연구원들에게 감사드리며, 본 보고서에 수록된 내용은 연구자 개인의 의견으로서 한국과학기술정보연구원의 공식 의견이 아님을 밝혀 두고자 합니다.

2008년 1월 한국과학기술정보연구원 원 장 양양양양 병병병병 태태태태

- i -

목 목 목 목 차차차차

I 서서서서론론론론 ····························································································································································································································································································································································1

1 연구의 목적 ···············································································1 2 연구의 내용 및 제한점 ···························································2II 정정정정보보보보환환환환경경경경 최최최최적적적적화화화화를를를를 위위위위한한한한 거거거거버버버버넌넌넌넌스스스스 ························································································································4

1 전략경영 ·····················································································4 2 전략경영정보체계 ·····································································7 3 IT 거버넌스의 이해 ·······························································13 가. IT 거버넌스 개념 ····························································13 나. Enterprise Transformation를 위한 IT 거버넌스 ·········15 다. IT 거버넌스의 주요 영역 ··············································17 라. IT 거버넌스와 COBIT····················································23 마. IT 거버넌스와 ITA 연계성 ···········································39 4 CIO····························································································42 가. CIO 정의 및 역할 ···························································42 나. 기업에서의 CIO 역할 ·····················································47 다. 공공에서의 CIO 역할 ·····················································51III KISTI 환환환환경경경경 조조조조사사사사 및및및및 분분분분석석석석 ········································································································································································53

1 업무 및 정보화 현황 ·····························································53 가. 업무 및 정보화 구성현황 ··············································53 나. 업무 및 구성 현황 분석 ················································55 나. 정보자산 및 정보화 현황 ··············································57 2 정보화 수준 평가 현황 ·························································60 가. 개요 ····················································································60 나. 평가절차 ············································································61

- ii -

다. 추진체계 ············································································62 3 정보화 사업 검토 현황 ·························································64 가. 관련근거 ············································································64 나. 추진목적 ············································································64 다. 대상과제 ············································································64 라. 시행방안 ············································································64 마. 작성자료 ············································································65 바. 운영방법 ············································································65 사. 사례분석 ············································································67IV KISTI CIO역역역역할할할할 및및및및 IT 거거거거버버버버넌넌넌넌스스스스의의의의 구구구구축축축축 ····························································70

1 CIO 역할 설계 ······································································70 가. 기준 ····················································································70 나. 평가 ····················································································70 다. KISTI CIO 역할 정의 ·····················································71 2 KISTI IT 거버넌스 체계 ·······················································74 가. 기본방향 ············································································74 나. IT 거버넌스 체계 ····························································76 3 IT거버넌스 구축을 위한 로드맵의 구성 ·························78 4 2008년도 로드맵 정립 방안 ···············································81V 결결결결언언언언 ················································································································································································································································································································································83

참참참참고고고고문문문문헌헌헌헌 ····························································································································································································································································································································85

- iii -

표표표표 목목목목 차차차차

<표-1>전략의 특징 ·································································5

<표-2>IT 거버넌스의 구성요소 ·········································19

<표-3>ITA 성숙도 모델 ······················································40

<표-4>CIO리더가 지향해야 할 10가지 주요 과제 ········44

<표-5>조사항목 ·····································································58

<표-6>KISTI 정보자원 현황(H/W)···································59

<표-7>KISTI 정보자원 현황(DB)·······································59

<표-8>정보화 수준평가 용어 정의 ···································60

<표-9>정보화 수준평가 지표 ·············································61

<표-10>평가항목 및 지표별 담당부문 ·····························63

<표-11>연구 용역 및 기술용역 기준 ·······························67

<표-12>프로세스별 ITA활용 요령 ····································68

<표-13>CIO 역할 정의 ························································71

<표-14>KISTI CIO 역할 정의 ············································73

<표-15>조직관점에서의 IT거버넌스 ··································77

<표-16>IT 거버넌스 의사 결정 ··········································78

<표-17>IT 거버넌스 구성을 위한 프로세스 도출 ··········79

- iv -

그그그그 림림림림 목목목목 차차차차

<그림-1>전략경영의 전개과정 ·············································6

<그림-2>경영관리체계 ···························································9

<그림-3>CPM 구성요소 ························································9

<그림-4>CPM 발전단계 ······················································11

<그림-5>Total enterprise Transformation의 3가지 관점 ····17

<그림-6>4가지 계층적 관점의 IT 가치 창출 과정 ········21

<그림-7>COBIT의 진화 ·······················································24

<그림-8>관련 표준과의 상대적 비교 ·······························25

<그림-9>COBIT의 구성 ·······················································26

<그림-10>COBIT 프레임워크의 특징 ·······························27

<그림-11>COBIT의 기본원칙 ·············································28

<그림-12>비즈니스목표와 IT목표의 연계 ························30

<그림-13>COBIT의 프로세스 모델 ···································32

<그림-14>통제 모델 ·····························································33

<그림-15>일반통제와 어플리케이션 통제 ·······················35

<그림-16>COBIT 성숙도 단계 설명 ·································36

<그림-17>COBIT 성숙도 평가 ···········································38

<그림-18>COBIT 성숙도 모델 ···········································40

<그림-19>솔루션의 구현 ·····················································41

<그림-20>ITA성과측면의 연계성 ······································42

<그림-21>조직에서의 CIO의 역할 ····································43

<그림-22>한국기업의 성공적 CIO의 역할 ······················49

<그림-23>KISTI 업무 구성 현황 ·······································53

<그림-24>KISTI 행정지원 응용시스템 현황 ···················54

- v -

<그림-25>BSC 전략경영시스템 구축 목표 ······················55

<그림-26>응용시스템 업무지원 분석 프레임워크 ·······55

<그림-27>응용시스템 업무지원 분석 정도 ·····················56

1제1장

I. 서서서서론론론론

1. 연연연연구구구구의의의의 목목목목적적적적

급변하는 비즈니스 환경은 많은 기업들에게 고객별 차별화, 파트너들과의 긴밀한 협력, 시장변화에 빠르게 대응할 수 있는 적응력 확보를 요구하고 있다. 최근 이러한 변화는 산업별로 차이를 보이고 있지만, 이를 위한 대응전략을 위해 IT의 중요성을 강조하는 것은 보편화된 현실이라고 할 수 있다. 최근 기업들은 경영환경의 변화에 유연하고 신속하게 대응할 수 있는 방안과 자사의 경쟁력 확보를 위해 여러 경영 혁신 방법들을 도입하고 지속적인 변화를 시도해 가고 있는 실정이며, 그 하나의 대안으로 기관의 비전과 목적을 달성하기 위한 전략과 경영지원 활동을 접목하는 전략경영 체제 구축을 통해 경영 혁신을 이루고자 하고 있다. 특히, 정보기술이 발달하면서 업무의 IT 의존도가 높아지고 정보시스템의 규모와 복잡성이 증가함에 따라 전략경영 지원의 일환으로 전사 차원의 정보화 총괄기획 및 관리, 정보자원의 체계적인 통합관리 및 최적화, 정보자원 투자 효과 및 성과 제고 등을 위한 혁신적인 정보화체제 구축이 필요하다. KISTI는 ‘07년도에 성과경영과 경영의 자율 및 책임제를 목적으로 BSC를 구축하였으며, 전략경영 지원 체제 구축을 위해 기존 BSC 기반의 전략경영시스템을 중심으로 경영정보 제반 시스템 통합․연계를 추진하고 있다.

2 이에 KISTI는 전략목표 달성 촉진과 전략경영 지원을 위한 전략경영 지원 통합 시스템구축이 필요하며, 정보화에 대한 총괄기획, 정책수립, 운영 프로세스 관리, 정보화사업 관리 등 기관 정보화에 대한 총괄자로서의 기능(CIO)이 정의되어야한다. 또한, 기관 특성상 타 기관에 비해 정보화사업과 정보자원이 월등히 많음에 따라 이에 대한 전사적인 관리 및 통제를 위한 정책 및 프로세스에 대한 표준화 제정과 프로젝트 전과정에 대한 모니터링 및 이슈해결 및 위험관리를 위한 IT 거버넌스 도입이 절실히 요구되어 있다.본 연구는 전략경영, CIO 및 IT거버넌스에 대하여 알아보고 KISTI의 현황을 분석하여, 향후 KISTI의 CIO의 역할 정의 및 IT거버넌스의 설계와 IT거버넌스의 체계완성을 위한 로드맵을 연구하고 제시하는데 그 목적이 있다.2. 연연연연구구구구의의의의 내내내내용용용용 및및및및 제제제제한한한한점점점점

본 연구는 향후 국가 과학기술정보 대표기관인 KISTI의 CIO 역할 및 정보화 사전통제부터 프로젝트 진행의 모니터링, 최종산출 및 운영을 위한 IT 거버넌스의 관련 정보화 도입사례와 관련 동향에 대한 문헌 및 연구논문의 자료를 수집하여 비교, 분석을 실시하였다. 또한 수집된 자료의 분석도 단순히 가시적인 효과보다는 전략경영을 위한 정보화 체제의 기본 사상을 이해하고, 그 바탕위에 현재 기관의 비전 및 전략목표를 달성하기 위한 관련 지원 및 관리 도구에 대한 종합적인 동향을 분석, 반영하는 접근 방식으로 실시하였다.

3 본고는 전체 5장으로 구성하였으며 그 내용을 살펴보면 제1장에서는 본 연구에 대한 목적과 연구범위 및 방법에 대해 기술하였다. 2장에서는 IT 거버넌스의 이론적 이해를 돕도록 하였다. IT 거버넌스의 전체 부분을 기술한 것이 아니고 KISTI의 상황에 맞는 부분을 발췌하여 정리하였다. IT 거버넌스와 CIO의 역할 및 전략경영의 이론적인 이해를 기술하고 있으며 3장에서는 KISTI의 정보자원 및 정보화사업현황에 대하여 조사하고 4장에서는 KISTI에서의 CIO역할 및 IT 거버넌스 및 2008년도 사업의 로드맵에 대하여 기술한다.

4제2장

II. 정정정정보보보보환환환환경경경경 최최최최적적적적화화화화를를를를 위위위위한한한한 거거거거버버버버넌넌넌넌스스스스

1. 전전전전략략략략경경경경영영영영

전략이란 말은 원래 군사용어로 많이 사용되어 “전쟁에서의 승리를 위해 여러 전투를 계획․조직․수행하는 방책1)”으로 사전에서는 정의하고 있으며, 시대의 변천에 따라 무기기술이 발전되었듯이 전략의 개념도 발전되어 군사적 개념으로서의 통규(通規)를 벗어나 기업전략 등 비군사적 분야에도 응용되고 있다. 특히, 기업을 위한 경영전략으로서의 현대 경영학의 중요한 일부분이 된 것은 1950년대와 1960년대를 통해 미국의 다각화 기업들이 거대해진 기업을 어떻게 효율적으로 운영할 것인가 하는 현실적인 문제를 직면하면서부터 이다. 1948년 Von Neumann과 Morgensterm에 의해 경영학에서 처음 사용되기 시작하였으며, Chandler(1962)는 전략을 “기업의 장기 목표와 목적을 결정하고 이 목표들을 실현하기 위해 필요한 행동 경로를 채택하고 자원을 할당하는 것”으로 정의하였고, Quinn(1980)도 “기업 조직의 주요 목표, 정책, 행위들을 하나의 응집체로 통합시키려는 계획”이라고 정의하였다. 이렇게 전략의 개념에 대한 다양한 정의가 광범위하게 논의되어 왔지만 일반적으로 전략이란 “시장에서 경쟁자와 어1) 두산백과사전 EnCyber & EnCyber.com

5떻게 싸울 것인가?”라는 문제뿐만 아니라 집단적인 인식체계이자 행위체계인 기업조직을 보다 근원적으로 이해하기 위한 문제들을 다루는 개념이라고 할 수 있다.다음 <표-1>은 전략에 대한 일반적인 특징2)을 나타낸다.1. 전략에 의해 각종 기업행동이 통합된다.2. 어떠한 국면에서도 활용이 가능하다.3. 기업행동 그 자체를 특징짓는다.4. 문제해결(Problem Solving) 지향이 강하다.5. 결과에 대한 평가를 쉽사리 내릴 수 있다.

<표-1> 전략의 특징전략경영은 하버드 비즈니스 스쿨의 교수진에 의해 발달된 기업전략(Corporate Strategy)의 개념에 그 기원을 두고 있으며, 현재 기업환경을 고려하여 기업전체 차원, 사업부서 차원, 그리고 기능별 차원에서 각각 일관성 있는 전략을 수립 및 실행함으로써 경쟁우위를 확보하려고 하는 방향으로 나아가고 있다.전략경영의 전개과정에 대한 구체적 내용은 다음 <그림-1>과 같이 나타낼 수 있다.2) 미야 에이지, 변명식 편역, 경영전략사전, 한국산업훈련연구소, 1996.

6

기업 사명과 목표 설정외부환경 분석 내부자원 분석전략 수립전략 실행전략 통제• 전략대안 도출• 평가 및 선택• 과정과 성과의 점검• 문제점 규명 및 조치

Strategy FormulationStrategy FormulationStrategy FormulationStrategy FormulationStrategy ImplementationStrategy ImplementationStrategy ImplementationStrategy ImplementationStrategic ControlStrategic ControlStrategic ControlStrategic Control

<그림-1> 전략경영의 전개과정

첫째, 기업의 존재이유와 무엇을 해야 하는지에 대한 목표를 설정한다. 기업은 이러한 목표에 근거하여 전략을 수립하고 평가한다. 둘째, 기업 조직 내부의 강․약점을 파악하여 기업 내부 역량파악과 조직 활성화를 위한 내부환경을 분석한다. 셋째, 기업을 둘러싸고 있는 외적인 기회와 위협을 분석하여 경쟁환경을 구축하기 위한 기업의 외부 환경을 분석한다. 넷째, 전략적 대안을 도출하고 가장 바람직한 전략을 선택한다. 다섯째, 기업이 추구하는 목표와 이의 실현을 위해 분석된 기업 내/외부의 환경 및 선택되어진 전략을 구현한다. 여섯째, 전략 실천의 결과를 평가하여 미래 의사결정에 피드백 한다. 이러한 전략경영의 전개과정은 합리적인 전략의 수립과 실천을 통하여 목표달성에 유리한 방향으로 외부환경과 상호작

7용 하도록 하는데 그 목적이 있다. 그러나 전략이란 근본적으로 상대적이며, 절대적인 전략이 존재하지 않는다. 조직의 크기 및 구조, 환경변화에의 대응 능력, 변화 의지 등의 요소들이 적절한 조화를 이룰 때 경쟁우위 확보를 위해 작용하게 되는 것이다. 따라서, 전략경영이란 조직의 미션과 비전을 규정하고, 목표 달성을 위한 효과적 전략을 수립하여 실행하는 일련의 의사결정 과정과 행동으로 정의할 수 있을 것이다.2. 전전전전략략략략경경경경영영영영정정정정보보보보체체체체계계계계

전략경영정보화체제는 전략경영이 제대로 수행될 수 있도록 지원해주는 정보화체계로, 경영진과 관리자들로 하여금 가치창출에 경영활동을 집중하도록 기관의 비전, 목표, 전략을 정렬하며 전략과 운영을 연계하고 경영성과를 제고하기 위한 관리기법이라고 정의할 수 있다. 전략경영정보화체제는 기관의 전략과 운영업무의 통합기반을 제공하며 기관의 전략적 의사결정에 필요한 정보를 경영층에 제공할 뿐만 아니라 이를 통해 기관의 업무를 추진하는 구성원들에게 일관된 방향으로 업무를 추진할 수 있게끔 도와줌으로써 전략 집중형 조직(Strategy Focused Organization)을 달성할 수 있도록 한다. 그리고, 경영층은 제공된 정보를 바탕으로 기업의 가치를 제고할 수 있는 가치동인(Value driver)들을 명확히 하고, 이를 효과적으로 관리, 최대가치를 창출하는 방향으로 인적, 물적 자원을 재배분하여 궁극적으로 기업가치 극대화를 이룰 수 있게 하는 것이다. 나아가 전략적 의사결정에 필요한 정보

8를 생성하기 위하여 데이터 활용을 극대화하므로 이에 필요한 정보시스템 도입 등 기관의 IT투자효과를 극대화시킨다고 볼 수 있다. 전략경영정보화체제는 IT 전문 리서치기관이나 IT서비스업체에 따라, 전략적기업관리(SEM: Strategic Enterprise

Management), 기업성과관리(CPM: Corporate Performance Management), 전사성과관리(EPM: Enterprise Performance Management), 비즈니스성과관리(BPM: Business Performance Management) 등 다양한 용어로 표현되고 있지만, 그 의미는 모두 동일하다고 할 수 있으며, 본 연구에서는 세계적인 IT 전문 리서치 기관인 가트너에서 사용되는 CPM을 전략경영정보체제와 동일한 의미로 사용하고자 한다. Plan(계획) - Do(운영) - See(평가)라는 경영관리체계(경영Cycle)와 관련하여 조직의 CEO는 항상 세 가지 주요한 고민에 부딪히게 된다. 첫째, 우리 조직은 비전 및 조직의 전략 목표 달성을 위해 어떻게(How) 업무를 수행하고 있는지의 성과 모니터링 문제, 둘째 전략이나 목표에 대비하여 성과가 저조할 시 왜(Why)라는 원인 분석, 셋째 그러면 잘못되고 있는 부분을 개선하기 위해서는 무엇(What)을 해야 하는가 라는 목표설정과 전략적 방향에 대한 고민이라고 할 수 있다. CPM은 이러한 세 가지 의문에 대한 해답을 제공하고 또한, 전략 효과와 실행 효율을 극대화하여 비즈니스 성과를 최적화할 수 있도록 Plan-Do-See 경영관리체계를 지원하는 통합성과 관리모델 및 솔루션이라고 할 수 있다.

9

<그림-2> 경영관리체계

가트너의 CPM 구성요소에 대한 정의에 따르면 ‘CPM은 기업의 비즈니스 성과를 측정하고 관리하기 위한 방법론(methodology), 측정지표(metrics), 프로세스(process) 및 시스템(system)을 의미하는 포괄적인 용어이다'라고 정의하고 있다.

<그림-3> CPM 구성요소

10 이러한 구성요소에서 방법론은 균형성과관리(BSC), 식스 시그마, 가치창조경영(VBM), 활동기준원가(ABC), 무형자산관리, 품질관리 등을 포함하며, CPM을 실행하기 위해서는 조직의 특성을 반영하여 이 중 여러 방법론을 도입하여 구성할 수 있는 것이다. 또한, 프로세스 측면에서는 목표설정, 전략수립, 예산편성과 예측, 성과 피드백, 비즈니스 활동관리 등을 포함한다고 정의하였으며, 측정지표는 재무 및 비재무적 지표의 통합관리, 단기 및 중장기적 지표의 균형관리, 선행 및 후행지표 연계성의 강화 등의 관점이 중요하다고 보았다. 그리고, 시스템은 방법론과 프로세스, 측정지표를 지원하기 위한 인프라로 경영계획(BPS : Business Planning & Simulation), 균형성과관리(BSC: Balanced Scorecard), 비즈니스 인텔리전스(BI : Business Intelligence)로 구성된다고 볼 수 있다. 가트너 그룹은 위와 같은 CPM에 대하여 다음과 같은 총체적인 접근법을 강조하고 있다.

1) 사용될 적합한 방법론과 측정지표를 명확하게 인지할 것 2) 이러한 방법론과 측정지표가 기업 내/외부에 어떻게 Communicate될 것인지를 고려할 것

3) CPM을 지원하는 내부 프로세스나 시스템을 수행할 것 4) 기업의 관리자와 종업원 모두에게 인지시키고 수행할 것

CPM의 발전 단계3)를 주요 년도별로 살펴보면 다음과 같3) Oracle Applications Day 발표자료, 박상곤, 2006

11<그림-5> CPM 발전단계이 나타낼 수 있다.

우선, 1970년대 화두가 되었던 의사결정지원시스템(Decision Support System)은 조직이 경영상의 이슈(Issue)를 모델화 하는데 기여하였다.즉, 메인프레임 기반의 다차원기술과 운영관리기술들을 통해 유통채널, 고객, 제품라인 등을 분석하는데 유용하였지만, 이는 통합시스템이라기 보다는 특정한 문제해결에 중점을 두고 있었다. 1980년대 임원정보시스템(Executive Information System)은 프로그래머의 도움이 없이 경영진에게 조직의 강점과 약점을 분석할 수 있도록 하는 다양한 기능을 제공하였다.예컨대, 생산현황, 재고현황, 자금현황, 판매전황 등 기관 및 조직의 부문별로 성과현황을 파악하는데 효과적인 정보를 제

12공하였지만 부문별 단편적인 요약정보는 전략적인 통찰력을 제공하는데 한계가존재하였다. 1990년대 초 가트너 그룹의 하워드 드레스너(Howard Dresner)에 의해 제창된 비즈니스 인텔리전스(BI : Business Intelligence)는 비즈니스를 분석하고 바라보는 관점을 획기적으로 바꿔 놓았다. 데이터웨어하우스(Data Warehouse)와 데이터마트(Data Mart) 등에 의한 데이터 통합과 OLAP (On-Line Analytical Processing)등의 다차원 분석기술, 데이터패턴을 탐구하는 데이터마이닝(Data Mining) 기술들이 업무프로세스와 분석에 적용되었으며, 특히, ERP에 의한 업무프로세스 통합은 비즈니스 인텔리전스를 위한 충실한 기반을 다져주게 되었고 비즈니스 인텔리전스가 정보기술의 트렌드를 형성하는데 견인차 역할을 하였다. 위와 같은 과정을 거쳐, 최근 2000년대에 들어서는 기술적인 측면에 앞서 비즈니스 이슈를 효과적으로 해결하고 기업의 성과 향상을 위한 다양한 모델들이 등장하였으며, 구체적으로 현실에 적용되기에 이르렀다. 이러한 상황에서 CPM은 기업의 전략적 문제를 효과적으로 해결할 수 있는 대안으로 등장하게 되었으며, 나아가 가치창조경영(VBM: Value Based Management), 균형성과관리(BSC: Balanced Scorecard), 활동기준원가(ABC : Activity Based Costing) 등의 모델이 시스템으로 구체화 되었고, 최근에는 이러한 CPM의 기능을 확장하면서 좀 더 통합성을 강화하는 방향으로 진화해 나아가고 있는 상황이다. 이러한 발전 과정을 살펴봄으로써 다음과 같은 동향을 파악할 수가 있는데, 최초에 이론적으로 제시된 CPM 개념이

13 단순한 비전 제시에서 실제 실행(practice)으로 옮겨지고 있는 추세이며, 이러한 이유를 살펴보면, 1) 기업이 과거 ERP 시스템 등을 통한 효율성 추구에서 벗어나 정보를 전략적인 경쟁 무기로 인식하고 있으며, 2) Sarbanes-Oxley 등의 규제 법규 제정으로 기업이 단순한 규제준수(regulatory compliance) 에서 기업의 경쟁차별요소로 투명성을 추구하는 방향으로 나아가고 있고, 3) 또한 CPM 구현을 위해 필요한 기반기술이 발전하고 있기 때문이라고 할 수 있다. 3. IT 거거거거버버버버넌넌넌넌스스스스의의의의 이이이이해해해해

가가가가. IT거거거거버버버버넌넌넌넌스스스스의의의의 개개개개념념념념

거버넌스라는 용어는 많은 학문 및 실무분야에서 사용되고 있다. 사전적인 의미로는 권력을 통한 지배(To rule by right of authority), 대상 분야에 대한 영향력 행사, 가이드 또는 통제로 사용되고 있다. IT 거버넌스는 이러한 관점에서 정리하여 보면 IT가 조직과 연계되고 예상효과를 실현하기 위하여 조직이 IT의 위험을 적절하게 관리하고 IT자원에 대한 책임성을 부과하여 가장 적절하고 효율적으로 활용할 수 있도록 통제한 것이라 할 수 있다. ITGI4)에서 정의하고 있는 IT 거버넌스의 일반적 개념은 매우 간단하다. IT 거버넌스란 "이사회나 경영진의 책임 아래 4) IT Governance Institute, 정보기술관리협회, 기업의 정보기술을 총괄하고 관리하는 데 있어서 국제적 의견과 표준을 추진하고 통제하기 위한 목적으로 1998년에 설립된 협회 정보기술관리협회 ITGI 는 기업체 간부들과 이사회가 IT관리에 대한 책무를 다할 수 있도록 지원하기 위해서 심포지엄 조사 및 사례연구 등을 제공한다

14수행되는 기업지배 구조의 일부로 IT가 조직의 전략과 목표를 유지하고 확장할 수 있게 하는 리더십, 조직구조, 프로세스"라고 정의하고 있다. IT 거버넌스는 최신동향에 있어서 새로운 개념이 아니다. 기업이 IT를 사용한 이후부터 어떤 식이든 투자에 대한 의사결정을 수행하고, 여러 가지 방법을 아용하여 규범 정의와 통재를 수행하여 왔다. 그렇다면 최근에 IT 거버넌스가 Key Issue로 등장하게 된 배경은 무엇인지를 알아보자. 첫째, 비즈니스에서 IT에 대한 의존도가 높아짐에 따라 비즈니스의 목표와의 연계성에 대한 필요가 증대되었다. 이는 초기 IT원가절감을 위한 자동화, 지식기반 조직을 위한 정보화에서부터 조직의 사명과 운영을 위하여 IT가 조직에게 새로운 전략적 기회를 제공하는 전환적 단계에 이르기까지 미래 조직의 조직운영과 경영관리에서 부적절한 실행요소들을 바로잡는 도구로서 표명하게 된 것이다. 둘째, 외부규제에 대한 대응과 관련하여 정보시스템 감사가 IT로 처리되고 IT에 저장된 회계자료의 무결성을 검증하기 위한 목적으로 IT 거버넌스의 필요성이 제기되었다. 셋째, IT투자비용이 증가함에 따라 IT자산에 대한 할당 및 효과적인 관리의 필요성이 중요시 되었다. 마지막으로, IT 투자에 대한 중복 방지 및 투명성 제고이다. 과거에 IT투자라고 함은 대규모임에도 불구하고 이를 위한 투자가치분석방법이나 혹은 이를 위한 체계적인 계획 및 책임규명이 필요하였다. 이러한 등장배경을 고려해 볼 때 IT 거버넌스는 "기업의 전략과 목표달성을 위하여 비즈니스와 IT 연계강화, IT투자성과 및 위험관리, 효과적인 IT자원관리체계를 수립하고, IT조직 구조 및 프로세스 재정립, IT투자 의사결정 체계 수립, 체계

15적인 IT운영 관리하는 활동"으로 구체화 할 수 있다.나나나나. Enterprise Transformation를를를를 위위위위한한한한 IT 거거거거버버버버넌넌넌넌스스스스

IT 투자의 무게중심이 업무비용절감이나 품질 향상을 위한 IT의 잠재역량에 두기보다는 기업의 전략적 잠재가치 창출과 향상에 있다. 나아가서는 IT를 통해 신규시장을 민첩하게 개척하고 글로벌 경쟁력을 강화할 수 있다는 의미로 해석된다. 또한, IT는 남보다 빠르게 선행제품을 만들게 하고, 기존 제품의 매출 향상에도 중요한 역할을 하게 된다. 즉, 비즈니스 업무에 커다란 영향을 미칠 것이라는 판단이 이제는 기업의 가치종인(Value Driver)으로서 자리매김하게 될 것이라고 예측하는 것이다. 이러한 환경에서 기업들은 전략적인 IT 거버넌스를 통하여 기업은 측정과 통제가 가능한 매출향상과 비용절감이라는 목표를 달성할 수 있게 되었다. 기업의 가치 목표를 달상하기 위한 다음의 세가지 측면(가치향상, 성과통제 및 관리, 비용절감)의 전략적 기본원칙이 IT 거버넌스 도입의 새로운 방향을 제시하고 있다.1)가치향상 기업의 경영전략에 기반한 IT의 도출이나 핵심역량강화 과제를 포함하는 기업 경영전략과의 체계화를 통하여 비즈니스 업무지원과 업무프로세스 전반의 비용절감을 위한 잠재역량이 나타나게 된다. IT 가치를 정확하게 이해하고 충분한 잠재역량을 활용하고 실행할 수 있게 하는 의식적인 변화가 기업에서 이루어지게 하는 것이 IT 거버넌스의 과제이다. 이러한 과제를 통하여 IT뿐만 아니라 비즈니스 프로세스체계에도 상

16당한 변화가 요구될 것이다.2) 성과통제 및 관리 IT의 가치는 측정가능하기 때문에 통제가 가능하다, 이를 위해서 기업이 갖추어야 할 요간은 거버넌스라는 조직적 의사결정체계5)에 관련된 규정이다. IT가치는 전사적인 IT 리더십과 Control 도구인 IT성과관리를 통하여 비즈니스 목표와 전략과 연계하여 정량적 내지는 정성적으로 분석되고, 평가 및 관리되어야 한다.3) 비용절감 IT 비용절감은 전사적 관점에서 기업성과향상(Performance Improvement)에 기여할 수 있다. 이는 최소의 투자비용으로 비즈니스 업무 프로세스를 최대한 지원하는 것을 보장하는 전사적 업무를 최적화하는 방안이다. IT투자는 기업의 투자비용과 마찬가지로 매출과 전체비용에 어떠한 영향을 미치는지 이에 따른 기업가치 향상에 어떠한 역할을 하고 있는지에 대해서 통제되고 측정되어야 한다. 기업의 혁신은 "기업이 적극적으로 환경을 극복하고, 자기초월적 목표를 수립하여 역동적으로 변해나가는 일련의 과정을 경영혁신이라고 가정했을 때, 이러한 혁신과제를 기업의 전략적 측면과 조직․문화적 측면, 조직의 기능적 측면으로 구분하여 총체적인 기업의 경영혁신을 추지하는 체계 수립"을 의미한다. 이러한 접근방법을 "Total Enterprise Transformation 접근방법"이라고 할 수 있다. Total Enterprise Transformation 접5) Plan Governance, Value Governance, Execution Governance, Monitoring

Governance

17근 방법을 통하여 기업이 추진하는 경영혁신은 개별과제 중심의 단기적이고 부분적 현식이 아닌, 총체적이고 효과적인 경영혁신 목표를 달성할 수 있게 한다.<그림-6> Total enterprise Transformation의 3가지 관점

기업 혁신 도구로서 활용되는 Total Enterprise

Transformation 접근방법은 크게 비즈니스적 측면, 관리적 측면, 운영적 측면으로 구분되는데 Business Transformation (BT) 방안은 기업의 전략적 단계에서의 혁신을 Management Transformation(MT) 방안은 기업의 조직 및 문화적 단계에서의 혁신을, Operation Transformation(OT)은 기업의 기능적 측면에서의 혁신으로 구분되어진다. 다다다다. IT 거거거거버버버버넌넌넌넌스스스스의의의의 주주주주요요요요 영영영영역역역역

성공적인 IT 거버넌스를 추진하려면 분명한 목적과 원칙을

18세우고 필요한 영역을 올바르게 식별해야 하며, 성과를 계속 측정해 개선할 수 있는 프로세스를 만들어야 한다. IT 환경의 복잡성과 신속한 변화에 대응하기 위한 효과 있는 의사결정 프로세스가 필요하며, 기업의 경영 방침이나 문화에 맞게 IT 거버넌스 스타일을 정착하는 게 중요하다. 무엇보다 전사 차원의 이슈로 인식하고 최고 경영진이 적극 참여하고 지원해야 한다. 효과 있는 IT 거버넌스는 비즈니스 향상을 위해 IT의 가치를 제공할 수 있어야 하고, IT 서비스에 내재된 위험을 완화할 수 있어야 한다. IT의 가치는 전사 비즈니스 전략과 IT 전략이 충실히 연계돼야만 제대로 전달될 수 있고, IT에 내재된 위험은 IT 사용에 대한 책임을 강화해 줄일 수 있다. 이와 함께 적합한 IT 자원이 지원돼야 하며, 사용 결과에 대한 측정과 피드백이 계속돼야 한다. ITGI는 이런 개념에 기초해 IT 거버넌스를 첫째, IT의 전략적 연계(Strategic Alignment) 둘째, IT의 가치 전달(Value Delivery) 셋째, 위험 관리(Risk Management) 넷째, 자원 관리(Resource Mana- gement) 다섯째, 성과 측정(Performance Measurement) 등 5가지 영역으로 구분하고 있으며, 각각은 연속된 라이프사이클로 진행된다. 여기서 ‘IT의 가치 전달’과 ‘위험 관리’는 결과적(outcomes)인 것이며, ‘IT의 전략적 연계’, ‘자원 관리’, ‘성과 관리’는 동인적(drivers)인 것이다.

19구성요소 세부설명 관련기술Strategic Alignment

경영/사업/기술 전략의 제휴를 통한 최적의 의사결정 방향 제시 ITA/EA

IT Value Delivery

전략적 비즈니스 목표 달성을 위한 개별 비즈니스 프로세스의 최적화 BPM, CRM,

ERP

Risk Management제해복구 및 비즈니스 연속성 확보를 위한 전사적 위험관리 BCP, DRS

Resource Management

비즈니스 요구사항에 신속히 대응하기 위한 IT 자원 활용의 극대화 ITAM

Performance Measurement 무형자산의 가치를 포함한 IT ROI평가 BSC자료 :정보산업연합회, 2006

<표-2> IT 거버넌스의 구성요소

① IT의 전략적 연계 - 비즈니스와 IT 솔루션의 연계 기업이 IT에 투자할 때 가장 큰 관심사는 그것이 과연 기업 전략과 목표 달성에 부합해 비즈니스 가치를 제공할 수 있느냐이다. 이를 위해서 기업 전략을 IT 전략과 연계해야 하고, 기업의 운영 활동을 IT의 운영 활동과 연계해야 한다. 이는 복잡하고 다양한 측면이 고려돼야 하며, 때로는 경영 환경이 빠르게 변하므로 완벽하게 구현될 수 없다. 그런데도 IT 투자에 상응하는 가치를 얻으려면 올바른 방향을 제시하는 활동이 계속 이뤄져야 한다. 전략 측면에서 IT는 제품 및 서비스의 부가가치를 제공하고 시장에서 경쟁력 있는 포지셔닝을 지원할 수 있으며 운영 관리의 효율성을 향상하고 경영의 효과성을 제고할 수 있어야 한다. 따라서 IT 전략을 세울 때 비즈니스 목표와 기업의 경쟁 환경, 현재·미래의 필요 IT 정의 및 관련 비용·위험·효과, IT 조직과 IT 측면의 구현 요소 및 투자 범위, 현재 운영 중인 IT의 비용과 비즈니스 효과, 과거의 성공·실패에 따른 교훈 등을 고려해야 한다.

20 IT의 전략적 연계를 성공리에 수행하려면 먼저 최고 경영진이 IT의 전략적 중요성을 인식해야 하고, IT가 비즈니스에 어떤 역할을 하게 될 것인지 명확히 정의해야 하며, 비즈니스 원칙에 근거해 IT의 개발·구축·운영에 관한 원칙을 세워야 하며, IT의 영향과 효과를 계속 모니터링하고 평가해야 한다.② IT의 가치 전달 - 비용 최적화와 IT의 가치 증명 IT의 가치 전달을 위한 기본 원칙은 약속한 품질의 IT 서비스를 주어진 기간과 예산 내에서 제공하는 것이며, 투입 비용과 ROI를 관리해야 제대로 전달될 수 있다. IT 산출물은 비즈니스 요구 사항 충족, 미래 요구 사항에 대한 유연성, 처리 및 반응 시간의 적합성, 사용의 용이성․복구성·보안성, 정보의 무결성․정확성․전달성 등이 요구된다. 또 비즈니스 부문은 IT 부문에 대해 제품의 적시 제공, 비용과 시간의 관리, 성공적인 파트너십, IT 직원의 능숙한 기술을 기대한다. 이런 요구와 기대를 충족하려면 비즈니스 및 IT 부문 간에는 사실에 기초한 공통 용어 사용 및 상호 공감대 형성이 필요하다. 이는 경영진 및 사용자의 다양한 계층별로 IT 가치를 서로 다르게 인식하기 때문이다. 또 계층별로 성과 측정의 난이도가 다르며, 가치 창출 과정과 최종 성과 사이에 괴리가 있으므로 최종 성과 측정(예: 재무 가치)뿐만 아니라 가치 창출 과정에서 성과 측정(예: 애플리케이션 구축시간)도 중요하다. 이런 특성을 고려해 BSC 같은 균형 있는 관점의 성과 측정이 필요하다. IT 가치를 비즈니스에 효과 있게 전달하려면 고객·프로세스·시장 등에 관한 신뢰할 수 있는 정보를 제때 제공할 수 있어야 하고, 생산성 있고 효과 있는 내부 프로세스(예: 성과 측정, 지식 관리 등)를 구축해야 하며, IT의 통합 구현 능력을

21갖춰야 한다.<그림-7> 4가지 계층적 관점의 IT 가치 창출 과정

③ 위험 관리 - IT 자산의 보호와 재난복구 능력 기업의 위험은 여러 측면에서 발견할 수 있으며, 최근에는 기업들의 IT 의존도가 높아지고 IT의 취약성이 노출되면서 IT 인프라 및 정보 자산에 대한 위험 관리의 중요성도 높아지고 있다. 효과 있는 위험 관리를 위해서는 전사 차원에서 위험과 취약성을 먼저 분석해야 하며, 이를 바탕으로 미리 인지된 위험과 취약성을 관리할 수 있는 방안을 마련해야 한다. 위험 분석은 자산의 가치 평가에서 시작해 취약성 및 위협 평가를 바탕으로 위험을 평가하게 되며, 대응책을 마련해 통제 효과성을 평가하고 잔존 위험을 정의한 뒤 실행 계획을 세우는 순환 절차로 진행된다. 위험 관리는 일반적으로 위험 완화(보안 기술 등 내부통제시스템 구현), 위험 전이(파트너와 위험을 공유하거나 보험

22가입), 위험 수용(위험의 존재를 인정하고 모니터링) 방안이 사용되고 있다.④ 자원 관리 - 지식과 인프라의 최적화 IT 자원(직원·애플리케이션․기술․시설․데이터 등)의 최적화된 투자․사용․할당은 IT성과 창출을 위한 중요한 성공 요소이지만 대다수 기업들은 IT 자원의 효율성을 극대화하고 비용을 최적화하는 데 실패하고 있다. 최근에는 어느 분야를 어떤 방식으로 아웃소싱 할 것이며, 원하는 서비스 수준을 얻기 위해 가격을 얼마나 지불해야 하며 어떻게 관리할 지에 대한 문제가 기업들의 큰 고민거리다. 대개 IT 예산의 가장 큰 비중을 차지하는 운영 예산에 대한 비용 기반의 효과 있는 통제가 필요하며, 이를 위해 비즈니스를 지원하는 속성에 따라서 IT 서비스를 명확히 정의하고 우선순위를 평가하며 성과를 계속 측정해 반영하는 비즈니스 중심의 서비스수준계약(SLA)을 실시할 필요가 있다. IT 자원에 대한 효과 있는 관리는 비용의 최적화뿐만 아니라 비즈니스 요구 사항 및 기술의 끊임없는 변화에 대응하고 신뢰할 수 있는 서비스 품질을 보장하기 위해서도 매우 중요하다. 특히 유지비가 늘어나고 있는 인적 자원에 대해 요구되는 핵심 역량을 정의하고, 이에 기초한 효과 있는 채용·유지·훈련을 위한 프로그램을 실행해야 IT를 통해 얻고자 하는 목표를 더욱 효과 있게 달성할 수 있을 것이다. 또 정보시스템이나 서비스에 대한 구매 관리, 프로젝트 수행이나 시스템 관리를 위한 방법론과 기술도 자원 관리의 중요한 요소다.⑤ 성과 측정 - 프로젝트 산출물 및 IT 서비스 모니터링 정보에 기반을 둔 글로벌 경제에서 기업 내 무형자산의 중요성이 강조되고 있으나 기존 재무 방법으로는 이를 평가하기 어렵다. 한편으로는 BSC에 관련된 성과측정에 관련된 부

23분을 주장하기도 한다.라라라라. IT 거거거거버버버버넌넌넌넌스스스스와와와와 COBIT

1) 개개개개요요요요 COBIT6)은 정보기술 보안과 통제에 대하여 일반적으로 적용이 가능하고 모범적인 관행들에 대한 참조 프레임워크를 경영층 및 일반 사용자와 정보시스템 감사 통제 및 보안분야 종사자에게 제공하는데 그 목적이 있다고 하겠다.이 COBIT은 계획 및 조직, 도입 및 구축, 운영 및 지원, 모니터링 4가지 분야의 활동을 통하여 IT 거버넌스 체계를 구축하여 최종적으로는 조직의 전략적인 경영목적을 달성하는게 최종 목적이다IT 감사를 하는 이유는 "그 조직의 IT시스템의 전략목표를 달성하기 위하여 IT시스템이 효율적이고 효과적으로 운영하는 것을 보증"하는 것이다.IT시스템의 목적은 또 "그 조직의 전략목표를 달성하기 위하여 IT시스템을 효율적이고 효과적으로 운영하는 것"이라고 할 수 있다결국 우리가 조직에서 어떤 행위를 하는 것은 최종적으로는 조직의 전략목표 달성을 위해서 하는 것으로 그러한 행위가 전체적으로 유기적으로 융합되어 원하는 전략목표가 달성되었을 때 그것을 나는 기업 거버넌스라고 부르고 그러한 거버넌스 측면 중 IT가 충분히 지원해 주었을 때는 그것이 바로 IT 거버넌스라고 부르는 것이다6) control objectives for information and realted technology

242) IT 거거거거버버버버넌넌넌넌스스스스 프프프프로로로로세세세세스스스스 COBIT

COBIT는 1969년에 창립된 미국의 국제정보시스템감사통제협회(ISACA)에서 1992년에 초판을 출간한 이후로 IT 거버넌스 협회(ITGI)를 통해 발간되고 있다. 'Control Objectives'를 초판으로 하는 COBIT는 1996년에 정식으로 COBIT라는 이름으로 발간됐으며, 2년 뒤 제 2판이 발간됐다. 2000년에는 IT 거버넌스 개념이 포함된 3번째 버전이 발간됐으며, 가장 최신 버전인 COBIT 4.0은 2005년 12월에 출간됐다. <그림-8> COBIT의 진화

COBIT 4.0은 ITIL이나 CMMI, COSO, PMBOK, ISO 17799 등 기타 표준들이 채택하고 있는 정의나 개념을 수용하면서 IT 거버넌스를 위한 보다 구체적인 내용을 담고 있다. (그림 7)에서 보는 바와 같이 COBIT는 시대의 변화에 따라 COBIT 1.0에서부터 감사→통제→관리→거버넌스 순으로 지속적으로 확장 혹은 진화되고 있음을 알 수 있다. 한편, (그림 8)를 살펴보면 COBIT는 ITIL이나 CMMI, PMBOX 등 다른 관련 표준과 비교했을 때, 내용이나 깊이 측면에서 상대적으로 훨씬 상세하고 포괄적인 내용을 다루고 있음을 알 수 있다.

25<그림-9> 관련 표준과의 상대적 비교

가가가가) COBIT의의의의 구구구구성성성성과과과과 특특특특성성성성 COBIT는 고위 경영진과 이사회, 비즈니스나 IT 관리자, 거버넌스나 보증, 통제, 보안 전문가들을 지원하기 위해 (그림-9와 같이 세 가지 수준으로 구성돼 있다.' IT 거버넌스 이사회 브리핑'7)은 고위 경영진들이 IT 거버넌스가 왜 중요하고, 관련된 이슈에는 어떤 것들이 있으며, IT 관리에 있어 그들의 책임이 무엇인지를 이해할 수 있도록 고안됐다. 주로 비즈니스나 IT 관리자들이 관심을 가지는 부분인 '관리지침서(Management Guideline)'는 책임을 할당하고, 성과를 측정하며, 역량을 벤치마킹해 격차를 해소하는 것을 도와주는 도구다. 7) Board Briefing on IT Governance

26거버넌스나 보증, 통제, 보안 전문가들은 '프레임워크'나 '통제목적(Control Objectives)'에 관심을 가질 것이다. 프레임워크는 COBIT가 IT 거버넌스의 목적과 베스트 프랙티스들을 IT 도메인과 프로세스로 조직화하고, 이들을 비즈니스 요구사항과 연계하는 방법을 설명한다. 통제목적은 모든 IT 활동에 대한 일반적인 베스트 프랙티스 관리 목적을 제시한다. 참고로 미국의 ITGI에서 COBIT 4.0을 다운로드 받을 수 있는데, 4.0에는 관리지침서, 프레임워크, 통제목적이 모두 포함돼 있다.

<그림-10> COBIT의 구성

조직은 다음과 같은 기능을 수행하는 IT 거버넌스 혹은 통제 프레임워크를 도입해 구축하지 않고서는 비즈니스나 거버넌스를 위한 요구사항을 충족시킬 수 없다.

27 ·비즈니스 요구사항과의 연계 ·이런 요구사항에 대한 성과의 투명성 확보 ·일련의 활동들을 널리 인정받고 있는 프로세스 모델로 조직화 ·활용할 주요 자원의 식별 ·고려해야 할 관리 통제목적의 정의 이런 요구에 대응해 비즈니스에 초점을 맞추고(business - focused), 프로세스 지향적이며(process - oriented), 통제를 기반으로 하는(control - based) 측정 주도적인(measurement - driven) COBIT 프레임워크가 개발됐다. COBIT 프레임워크의 특성을 정확하게 파악하는 것이 COBIT를 보다 잘 이해할 수 있는 첩경이기에 각각의 특성별로 구체적으로 살펴보자.

<그림-11> COBIT 프레임워크의 특징

28나나나나) 비비비비즈즈즈즈니니니니스스스스에에에에 초초초초점점점점 비즈니스 지향성은 COBIT의 주된 주제이다. COBIT는 서비스 제공자와 사용자, 감사인 뿐만 아니라 보다 중요한 대상인 경영진과 비즈니스 프로세스 책임자들을 위한 종합적인 지침이 될 수 있도록 고안됐다. COBIT는 (그림-11)와 같은 원칙을 기반으로 하고 있다. 즉, 조직이 그 목적을 달성하는데 필요로 하는 정보를 제공하기 위해서는 요구되는 정보 서비스를 제공하기 위한 일련의 구조적인 프로세스를 이용해 IT 자원을 관리하고 통제할 필요가 있다는 것이다.

 <그림-12> COBIT의 기본원칙

····COBIT의의의의 정정정정보보보보기기기기준준준준(Information Criteria)

정보가 비즈니스 목적을 만족시키기 위해서는 일련의 통제 기준을 준수해야 한다. COBIT는 이를 '정보에 대한 비즈니스 요구사항(Business requirements for information)'이라 부르며, 보다 광범위한 품질과 주주에 대한 수탁책임, 보안 요구

29사항 등을 기반으로 다음과 같은 7개의 정보 기준을 정의했다. - 효과성(Effectiveness) : 적시에 정확하고 일관성 있으며, 사용 가능한 방식으로 정보 제공- 효율성(Efficiency) : 최적의(가장 생산적이며 경제적인) 자원 활용을 통한 정보 제공- 기밀성(Confidentiality) : 민감한 정보를 불법적인 유출로부터 보호- 무결성(Integrity) : 비즈니스 가치와 기대에 합당한 것뿐만 아니라 정보의 기밀성과 완전성 제공- 가용성(Availability) : 현재와 미래에 비즈니스 프로세스가 요구할 때 이용 가능한 정보- 준거성(Compliance) : 내부정책과 외부에서 부과된 비즈니스 기준 준수- 신뢰성(Reliability) : 경영진이 조직을 운영하고 주주에 대한 수탁책임과 거버넌스 책임을 수행하기 위한 적절한 정보의 제공 ····비비비비즈즈즈즈니니니니스스스스 목목목목표표표표와와와와 IT 목목목목표표표표 정보 기준이 비즈니스 요구사항들을 정의하기 위한 일반적인 방법을 제시하는 반면, 일련의 일반적인 비즈니스나 IT 목표를 정의하는 것은 비즈니스 요구사항들을 수립하고, 이런 목표 대비 측정 기준을 개발하기 위한 비즈니스 지향적이고 정교한 기반을 제공한다. COBIT의 부록 1에서는 일반적인 비즈니스 목표와 IT 목표의 측정 기준을 제시하고, 이런 목표들이 정보 기준에 어떻게 매핑되는지를 보여준다.

30 이와 같은 예들은 조직의 비즈니스 요구사항이나 목표, 측정 기준 등을 결정하는데 지침으로 활용될 수 있다.

<그림-13> 비즈니스목표와 IT목표의 연계

참고로 (그림-12)에서 보면, 비즈니스 목표가 BSC(Balanced Score Card) 방법을 토대로, 즉 재무와 고객, 내부 프로세스, 그리고 학습이나 성장 관점에서 정리돼 있다는 것을 알 수 있다. IT 목표가 숫자로 표시돼 있는 것은 지면의 한계로 다 나타낼 수 없기 때문이며, 숫자에 해당하는 IT 목표는 COBIT 부록 1에 구체적으로 정리돼 있다. 그리고 비즈니스 목표와 IT 목표가 어떤 정보 기준과 밀접하게 관련돼 있는지도 명시돼 있다.

31 ····IT 자자자자원원원원 COBIT에서는 IT 자원을 다음과 같이 정의하고 있으며, 각 프로세스별로 어떤 자원과 밀접하게 연관되어 있는지를 제시하고 있다. - 애플리케이션(Applications) : 정보를 처리하는 자동화된 사용자 시스템과 수작업 절차- 정보(Information) : 비즈니스 부문에 의해 사용되는 모든 형태의 데이터로, 정보시스템에 의해 입력이나 처리, 출력되는 모든 형식의 데이터- 인프라(Infrastructure) : 애플리케이션의 처리를 가능하게 해주는 기술과 시설(하드웨어, 운영체계, DBMS, 환경 등)- 인력(People) : 정보시스템이나 서비스에 대한 계획 수립과 조직화, 획득, 구현, 제공, 지원, 모니터링과 평가하는 사람.  다다다다) 프프프프로로로로세세세세스스스스 지지지지향향향향적적적적 COBIT는 IT 활동을 4개의 도메인을 갖춘 하나의 일반적인 프로세스 모델로 정의하고 있다. 그 프로세스 모델은 (그림 7)과 같이 계획수립과 조직화(Plan and Organize), 도입과 구축(Acquire and Implement), 운영과 지원(Deliver and Support), 모니터링과 평가(Monitor and Evaluate)라는 도메인으로 구성돼 있다. 이런 도메인은 IT 부문의 전통적인 책임 영역인 계획 수립, 구축, 운영, 모니터링에 매핑된다.

32<그림-14> COBIT의 프로세스 모델

(그림-13)에서 도메인 명칭 아래에 있는 숫자(예 : PO 10Ps)는 그 도메인을 구성하고 있는 프로세스의 개수를 뜻한다. 예를 들어 계획 수립과 조직화 도메인은 PO로 표시돼 있으며, 10개의 프로세스로 구성돼 있다는 의미다. 참고로 온더넷에 IT 거버넌스에 관한 연재를 시작하면서 9월 호에 COBIT 프로세스 모델 전체를 제시한 바가 있으니 참조하기 바란다(온더넷 9월호, 124쪽) 한편, COBIT는 이런 프로세스 별로 수행 활동이나 입출력물을 명시하고 있으며, 책임이나 역할에 있어서도 RACI 차트로 보다 구체적으로 제시하고 있다. RACI 차트란, Responsibility(수행책임), Accountability(최종책임), Consulted (자문), Informed(통보)를 나타내는 말이다.  

33라라라라) 통통통통제제제제 기기기기반반반반 통제는 비즈니스 목적을 달성하고 바람직하지 못한 사건들의 예방과 탐지, 수정을 적절하게 보증하기 위한 정책이나 절차, 사례, 조직구조 등으로 정의된다. IT 통제 목적이란 특정한 IT 활동에 통제 절차를 구현함으로써 달성하려는 결과나 목적을 선언한 것이다. COBIT에서 제시하는 통제 목적은 개별 IT 프로세스의 효과적인 통제를 위한 최소한의 요구사항들이다. 각각의 프로세스에 대한 통제 목적은 다음 호에서 구체적으로 설명하기로 하자. (그림-14)은 표준적인 통제모델을 제시하고 있는데, 다음과 같은 비유를 통해서 설명할 수 있다."난방시스템(Process)으로 실내온도(Standard)를 설정할 때, 현재의 실내온도(Control Information)를 지속적으로 점검하고(Compare), 온도를 높이거나 낮추는 신호를 보낸다(Act)."

<그림-15> 통제 모델

34····IT 일일일일반반반반통통통통제제제제와와와와 애애애애플플플플리리리리케케케케이이이이션션션션통통통통제제제제 일반통제(General controls)는 IT 프로세스나 서비스에 내재된 통제를 말하는 것으로, 시스템 개발이나 변경관리, 보안, 컴퓨터 운영 등을 포함한다. 반면 비즈니스 프로세스 애플리케이션에 내재된 통제를 흔히 애플리케이션통제(Application controls)라 하는데, 완전성이나 정확성, 타당성, 승인, 직무분리 등이 이에 속한다. COBIT는 자동화된 응용통제의 설계와 구현 IT 부문의 책임이고, (그림 7)에서 살펴본 프로세스 모델의 '도입과 구축' 도메인에서 수행하는 활동으로 간주하고 있다. 하지만 애플리케이션통제의 운영적인 관리와 통제 책임은 IT 부문이 아닌 비즈니스 프로세스 부문의 몫이라고 말한다. COBIT의 IT 프로세스들은 애플리케이션통제가 아닌 IT 일반통제를 담당하고 있다. 애플리케이션통제는 비즈니스 프로세스 부문의 책임이면서 비즈니스 프로세스에 통합돼 있기 때문이다. 한편, COBIT는 다음과 같은 일련의 애플리케이션통제 목적 그룹들을 권고안으로 제시하고 있다. 각 통제목적 그룹별로 구체적인 통제목적을 포함하고 있다.  - 데이터 생성/승인 통제 - 데이터 입력 통제 - 데이터 처리 통제 - 데이터 출력 통제 - 주변 통제

35<그림-16> 일반통제와 어플리케이션 통제

마마마마) 측측측측정정정정 주주주주도도도도 모든 조직의 기본적인 요구는 자신들의 IT 시스템 현황을 이해하고, 조직이 제공해야 할 관리나 통제 수준을 결정하는 것이다. 하지만 조직의 성과 수준에 대한 객관적인 시각을 확보하는 것이 용이한 일은 아니다. 무엇을 측정하고 어떻게 측정해야 하는지, 그리고 현재 자신들의 위치가 어디쯤이며 어느 부문에 개선이 필요한지를 측정하고, 이런 개선을 모니터링하기 위한 관리 도구들을 구현해야 한다. 이런 질문에 대한 답을 제시하기 위해 COBIT는 성숙도 모델(Maturity Model)과 성과목표와 측정 기준(Performance goals and metrics), 활동 목표(Activity goals) 등을 제공하고 있다.  ····성성성성숙숙숙숙도도도도 모모모모델델델델조직은 비용 대비 효과를 고려해 적절한 수준의 관리와 통제를 수행해야 한다. COBIT의 성숙도 모델은 이를 위해 미국의 SEI(Software Engineering Institute)가 소프트웨어 개발 역량

36부문에서 정의한 성숙도 모델을 기반으로 작성됐다. 성숙도 모델을 이용해 조직 내 실제 성과조직의 현재 위치나 업계의 현황, 조직의 개선 목표나 조직이 원하는 위치 등과 같은 사항을 파악할 수 있다. 성숙 단계는 현재는 물론 미래의 상태에 대한 설명으로 인식할 수 있는 IT 프로세스의 프로파일로 작성됐다. 이 성숙 단계는 하위 단계의 모든 조건들을 충족시키지 않고는 다음 단계로 발전할 수 없는 임계치(Threshold) 모델로 개발된 것은 아니다. COBIT의 성숙도 모델 각 단계에 대한 일반적인 설명은 (그림-16)과 같다.

 

<그림-17> COBIT 성숙도 단계 설명

37조직은 COBIT의 34개 IT 프로세스 각각에 대해 부재 단계(0 단계)부터 최적 단계(5 단계) 중의 하나로 평가할 수 있다. COBIT는 각 프로세스별로 0∼5 단계에 대한 성숙도 모델을 제시하고 있기 때문에 이를 활용해 체크 리스트나 진단표를 만들어 설문을 통해 판단할 수 있다. 성숙도 모델은 (그림-16)과 같은 일반적인 정성적 모델로부터 출발해 단계가 올라갈수록 다음과 같은 속성들에 대한 원칙들이 점차 추가된다. - 인식 및 전파- 정책, 표준 및 절차- 도구 및 자동화- 스킬 및 전문성- 수행 책임 및 최종 책임 소재- 목표 설정 및 측정 여기서 우리가 알아둬야 할 것은 COBIT의 성숙도 모델은 역량(Capability)에 초점을 맞춘 것이지 성과(Performance)에 중점을 둔 것은 아니라는 점이다. 그리고 이런 역량의 달성 정도는 비용 대비 효과에 입각한 의사결정에 따른다. 예를 들면, 높은 수준의 보안 관리는 조직에서 가장 중요한 시스템에만 초점을 맞추면 되는 것이다. COBIT은 34개 IT 프로세스 각각에 대해 부재 단계(0 단계)에서부터 최적 단계(5 단계)까지 (표 1)과 같은 성숙도 속성을 제시하고 있다

38<그림-18> 성숙도 모델

····성성성성과과과과 측측측측정정정정 COBIT에서 목표와 측정 기준은 다음과 같은 세 가지 수준으로 정의된다.- IT 목표와 측정 기준 비즈니스가 IT로부터 기대하는 것- 프로세스 목표와 측정 기준 IT 프로세스가 IT 목적을 지원하기 위해서 제공해야 하는 것- 프로세스 성과 측정 기준 목표가 충족될 가능성이 있는지를 나타낼 수 있도록 프로세스가 얼마나 잘 수행되고 있는지 측정하는 것

39 한편, COBIT는 두 가지 종류의 지표를 사용한다. 목표지표와 성과지표가 그것으로, 하위 수준에서의 목표지표들은 상위 수준에서의 성과지표가 된다. 핵심목표지표(Key Goal Indicator, KGI)는 IT 프로세스가 비즈니스 요구사항을 달성했는지를 사후적으로 말해주는 지표로, 보통 정보기준 용어로 표현된다. 반면 핵심성과지표(Key Performance Indicator, KPI)는 IT 프로세스가 목표를 달성할 수 있도록 얼마나 잘 수행되고 있는지를 파악하는 지표로, 목표의 달성 가능성을 나타내는 선행지표 역량이나 사례, 스킬 등을 잘 나타낸다.마마마마. IT거거거거버버버버넌넌넌넌스스스스와와와와 ITA의의의의 연연연연계계계계성성성성

1) IT 거거거거버버버버넌넌넌넌스스스스와와와와 ITA 연연연연관관관관성성성성 효과적인 IT 거버넌스 아키텍처는 EA 및 IT가치 창출 동인과 일치가 필요하며, RA 및 IT가치 창출동인은 비즈니스 가치 창출동인과 연계되어야 한다. 아래 그림에서 ITA 성숙도 모델에서 Level3(EA 개발)단계 까지는 ITA 개발에 초점이 맞춰지지만, Level4(완성/활용), Level5(관리/개선)에 가기 위해서는 ITA활용을 통한 IT 거버넌스 정립에 초점이 맞춰줘야 한다.(윤의석, 2006)

40<그림-19> ITA 성숙도 모델

Level 단계 설명1

인지(Creating EA Awareness)

- EA를 인식하기 시작하는 단계로 EA를 사용하거나 향상시킬 계획이 없으며, EA에 대한 효과를 인식하지 못하는 상태임2

기반구축(Building the EA M a n a g e m e n t Foundation)

- EA관리기반을 구축하는 단계로 EA 프로젝트 개발을 위한 계획수립과 R&R을 정의함- EA Framework 및 관리체계를 수립

3

EA개발( D e v e l o p i n g A r c h i t e c t u r e Products)

- 아키텍처 프로젝트 개발단계로 실질적인 EA프로젝트 개발에 초점을 둠- 전사를 포함하는 범위에 대해서 제도적인 정책 및 지침을 정의

4완성/활용(Completing EA Products)

- EA 프로젝트 완성단계로 기관이 사용할 수 있도록 결정된 EA 프로젝트들이 정보기술 투자자원 구성을 통ㅈ하고 선택하는 것을 지원- IT자원관리를 통하여 투자의사결정 자료를 수집하고 IT 투자를 EA에 따라서 하도록 하는 정책을 수립

5

관리/개선(Leveraging the EA for Managing Chance)

- 변화관리 수단으로 EA를 사용하고 EA유지보스수를 위해 문서화하고 승인된 정책에 따라 프로젝트를 진화- 조직의 의사결정에 EA를 연관시키고 EA의 효과성을 측정하기 위한 매트릭스를 적용출처 : GAO, EA 성숙도 모델, 2002. 2

<표-3> ITA 성숙도 모델

41

<그림-20> 솔루션의 구현

2) ITA 활활활활용용용용을을을을 통통통통한한한한 IT거거거거버버버버넌넌넌넌스스스스 실실실실현현현현 IT 거버넌스의 실현을 위해서는 PPM, ISTM, IT ROI, IRM 등의 ITA를 비롯한 구체적인 솔루션 구축이 이루어져야 할 것이다. 많은 전문가들은 IT 거버넌스의 구현을 위하여 도입해야할 솔루션 및 컨설팅 분야는 너무 광범위하고 복잡하다, 솔루션 도입은 Big bang 방식보다는 Phase Approach 방식으로 도입하여 구현하는 것을 권고하고 있다.

2) IT 성성성성과과과과 측측측측면면면면의의의의 연연연연계계계계성성성성 IT 거버넌스와 ITA의 궁극적인 목적은 비즈니스 전략과 IT전략을 연계하고, IT성과를 제고하는 것이다.효율적인 IT성과를 위하여 재무적인 성과뿐만이 아니라 비즈니스 전략과 연계된 BSC방법론과 EA성과 참조모델인 PRM을 적용하여 유․무형의 효과를 측정할 필요성이 있다.

42<그림-21> IT 성과측면의 연계성

자료 : 윤의석, IT Governance와 ITA 연관성 및 활용방안, 2006

4. CIO

가가가가. CIO의의의의 정정정정의의의의와와와와 역역역역할할할할

CIO(Chief Information Officer)는 정보자원관리의 중요성이 부각되면서 Synnot & Gruber(1081)의 연구에서 처음 사용되었으며 정보가 핵심자원이 됨에 따라 CIO는 경영자, 관리자, 기술자가 되어야 한다고 하였다. O'Riordan(1987)은 조직이 정보기술을 성공적으로 사용할 수 있도록 관리하는 사람이 CIO라고 정의하면서 CIO의 요건에 대해 5가지를 제시하고 있다. ①조직에서 기술 전문가 보다는 경영자기 되어야 하고 ②담당 업무에만 한정적이기 보다는 거시적 경영관점을 유지하여야 하고 ③부서간의 경계를 탈피하여 경영관점에서 기술을 이해할 수 있어

43야 하며 ④혁신성과 유연성이 있어야 하고, ⑤조직 내 다양한 사람들과 원활한 위사소통을 하여야 한다고 하였다. 조직이 IT를 성공적으로 사용할 수 있도록 관리하고, 사업운영에 대한 지식과 전략적 안목을 가지고 신기술을 파악하며, 최고경영진과 내부사용자들에게 도입 필요성이나 도입효과의 전파를 주 업무로 하는 조직의 정보화 및 정보자원관리의 책임자를 정보담당임원(CIO)라고 정의한다. 이러한 역할들을 수행하기 위해 CIO는 조직혁신을 단행함으로써 기업의 경영성과를 극대화하고, 평가절차를 확립하여 IS활용의 성과를 입증해야 한다.(박종순 외, 2005)

<그림-22> 조직에서의 CIO의 역할

자료 : 박종순, 이동욱, 전중양, 정보담당임원의 리더십이 정보시스템 성과에 미치는 영향 관한 연구, 한국인터넷정보학회, 7권2호 P104, 2005

세계적인 IT조사업체인 가트너는 지난해 `혁신적인 CIO리더(The New CIO Leader)'라는 제하의 보고서를 선보인 바 있다. 이 보고서는 가트너가 전 세계 CIO 2000명을 대상으로 한 인터뷰와 각종 연구 자료를 토대로 작성된 것이다. 보고서는 새로운 경쟁 환경에서 CIO들이 겪고 있는 고민을 토대로

44미래의 혁신적인 CIO리더가 지향해야 할 10가지 주요 과제를 제시하고 있다.과제 상세 설명리더가 되라 CIO 리더십을 위해서는 리더십과 관리능력을 모두 보유환경의 이해 기업이 속한 산업과 그 산업의 경쟁적 환경을 제대로 이해명쾌한 비전을 창조 CIO는 IT를 이용해 회사의 비즈니스 목표를 달성할 수 있다는 비전을 가져야 한다기대치를 알려라 IT가 능력을 발휘하는 기업의 모습을 그려내고 기대치를 알려라

IT거버넌스를 구성 효율적인 관리체계는 IT와 비즈니스 전략을 서로 조합하고, 지속적인 신뢰와 믿음을 형성할 수 있도록 만들어준다. 사업전략과 IT전략을 연계 IT전략은 성공적인 IT포트폴리오를 만들고, 이를 적극적으로 관리새로운 IT조직을 만들라. 프로세스중심의 업무체제 도입, 전략적 IT서비스 소싱, 건전한 재무기반 구축높은 성과를 낼 수 있는 팀을 만들고 육성 새로운 IT조직은 과거와는 다른 능력을 확보해야 한다새로운 기업리스크와 IT리스크를 관리 현대의 기업은 정보보호, 자료보안, 사이버 테러, 새로운 규제 등에 제대로 대응할 수 있는 능력을 갖춰야 한다현업의 언어로 IT성과를 소통하라 CIO는 IT 지표가 주주가치와 기업가치에 얼마나 기여하고 있는지 알고, 이를 전달

<표-4> CIO리더가 지향해야 할 10가지 주요 과제

o 관리자의 옷을 벗고 리더가 되라. 새로운 CIO 리더십을 위해서는 리더십과 관리능력을 모두

45보유해야 한다. 리더십은 변화에 관한 것이며, 다른 사람들이 변화하도록 영향을 미치는 것이다. 이를 위해서는 정보와 IT가 어떻게 기업을 효율적으로 만들 수 있는지에 대한 개인적인 비전과 견해를 가지고 있어야 한다. 진정한 CIO 리더십을 확보하려면 기업의 리더들이 중요하게 여기는 것을 찾는 데 앞장서야 할 뿐만 아니라 IT부서가 그에 걸맞게 비효율적인 서비스를 제공할 수 있도록 이끌 수 있어야 한다.o 당신이 처한 환경을 이해하라. 해당 기업이 속한 산업과 그 산업의 경쟁적 환경을 제대로 이해해야 하며, 주요 의사결정권자들과 이해 당사자들의 동참을 이끌어 낼 수 있어야 한다. o IT가 조직을 어떻게 성공적으로 이끌 것인가에 관한 명쾌한 비전을 창조하라. CIO는 IT부서의 다른 간부들과 달리 IT가 사업과 조직에 어떻게 능력을 부여하는지에 대한 명확한 비전을 제시할 수 있어야 한다. CIO는 IT를 이용해 회사의 비즈니스 목표를 달성할 수 있다는 비전을 가져야 한다. ④IT가 능력을 발휘하는 기업의 모습을 그려내고 기대치를 알려라. 이는 CIO의 핵심능력이라고 할 수 있다. CIO는 핵심적인 사업의 필요성과 전략, 이를 수행할 수 있는 도구 등을 찾아내고, 이를 위해 필요한 IT 가이드라인을 명료하게 표현할 수 있어야 한다. o 명확하고 적절한 IT거버넌스를 만들라. 거버넌스는 성공의 비결이다. 효율적인 관리체계는 IT와 비즈니스 전략을 서로 조합하고, 지속적인 신뢰와 믿음을 형성할 수 있도록 만들어준다.o 사업전략과 IT전략을 연계하라. IT전략은 성공적인 IT포트폴리오를 만들고, 이를 적극적으

46로 관리해 나가는 것을 의미한다. 이는 곧 경영층과 동료들의 중요한 평가기준이 된다.o 새로운 IT조직을 만들라. 새로운 CIO리더와 마찬가지로 전통적인 IT조직보다 가벼우면서도 더 집중적인 조직이 필요하다. 새로운 IT조직이 성공하기 위해서는 운영 모델로 변화해야 한다. 프로세스중심의 업무체제 도입, 전략적 IT서비스 소싱, 건전한 재무기반 등 3가지 조건이 필요하다.o IT조직 내에 높은 성과를 낼 수 있는 팀을 만들고 육성 새로운 IT조직은 과거와는 다른 능력을 확보해야 한다. 새로운 IT조직에 필요한 역량들을 파악하고, 조직의 효율성을 높일 수 있는 방안을 마련해야 한다. o 새로운 기업리스크와 IT리스크를 관리하라. 과거에 비해 IT 관련 리스크는 훨씬 더 광범위하고 심각하게 기업을 위협하고 있다. 현대의 기업은 정보보호, 자료보안, 사이버 테러, 새로운 규제 등에 제대로 대응할 수 있는 능력을 갖춰야 한다. CIO는 이런 과정을 잘 이끌어야 한다.o 현업의 언어로 IT성과를 소통하라. CIO는 IT 지표가 주주가치와 기업가치에 얼마나 기여하고 있는지 알고, 이를 전달할 수 있어야 한다. 또한, 가트너가 제시한 `혁신적인 CIO가 지향해야 할 10가지 과제'는 CIO의 능력이나 덕목과 함께 새로운 IT조직이 지향해야 할 모습을 잘 제시하고 있다. 10대 과제 중 `새로운 IT조직을 만들라'는 항목과 IT조직내에 높은 성과를 낼 수 있는 팀을 육성하라'는 항목은 최근 국내 업계의 화두로 부상하고 있는 `IT역량 업그레이드' 움직임

47이 시대의 대세임을 잘 보여준다. 특히 가트너는 `새로운 IT조직'과 관련해 전통적인 IT조직의 역할 중 상당부분이 외부 아웃소싱 업체나 회사 내 사업부문으로 이관되는 추세인 만큼 이에 걸맞은 조직체계와 프로세스를 확보해야 한다고 강조하고 있다. 가트너는 회사 내 현업 부서를 지원하는 수요측면과 외부 아웃소싱 업체와의 공급 측면을 고려해 새로운 IT조직의 갖춰야 할 5가지 핵심 역할로 ①IT리더십 ②아키텍처 개발 ③비즈니스 개선 ④기술진보 ⑤IT공급업체 관리 등을 꼽고 있다.나나나나. 기기기기업업업업에에에에서서서서의의의의 CIO 역역역역할할할할

CIO란 무엇인가? 현대 기업경영에서 CIO는 절대적으로 필요한가? 필요하다면 CIO는 어떤 역할을 해야 하는가? 성공적인 CIO의 자격은 무엇인가? 이러한 질문은 대부분의 한국 기업들이 공통적으로 안고 있으면서도 해결하기 어려운 사안이다. 일반적으로 CIO는 과거 전산만을 주로 담당했던 전산부장과 같은 직책과는 근본적으로 다른 새로운 직책이다. 즉, CIO는 경영전략을 이해하고 이를 근간으로 정보시스템의 비전을 제시하고 정보시스템 전략을 수립한다. 그리고 정보시스템 전략을 실행하는 과정에서 발생하는 변화의 요인과 갈등 등을 조정하고 정보시스템에 대한 투자를 전략적인 관점에서 관리하는 역할을 한다. 1) 조조조조직직직직목목목목표표표표와와와와 정정정정보보보보기기기기술술술술의의의의 이이이이해해해해, 조조조조화화화화 한국 기업의 CIO는 정보기술과 조직목표의 중간입장에서

48이를 잘 이해하고 서로가 필요한 요구사항을 잘 정리해서 기업의 비전과 목표를 달성할 수 있도록 해야 한다. 따라서 정보기술의 특성과 잠재능력을 충분히 이해하고 이를 기업조직의 당면 문제해결과 궁극적인 경쟁우위 확보에 공헌할 수 있는 방향으로 정리, 전달할 수 있는 구체적인 실행계획을 만들 수 있어야 한다. 이와 동시에 CIO는 기업조직의 전략방향과 활동계획을 충분히 인식하고 이를 정보기술에 접목함으로써 궁극적으로 성공적인 조직목표에 달성할 수 있도록 해야만 한다. 한국 조직에 정보기술이 도입되기 시작한 것은 1960년대 말부터이나, 정보기술 담당부서와 경영 담당부서간은 서로 협력관계가 그리 좋지 못했다. 그러나 1980년대 이후 경영환경이 급변하고 조직과 경영의 패러다임이 완전히 변화함에 따라 이제는 서로 협력관계를 유지하지 못하면 기업조직목표 자체가 실패할 수밖에 없는 상황이 되었다. 따라서 CIO의 조직목표와 정보기술을 조화시킬 수 있는 능력은 조직목표 달성의 핵심요건이 되었다고 할 수 있다. 정보기술에 대한 전문지식뿐만 아니라 경영과 관련된 충분한 경험과 지식은 CIO의 필수조건이다. 2) 최최최최고고고고경경경경영영영영층층층층과과과과 전전전전산산산산그그그그룹룹룹룹, 사사사사용용용용자자자자그그그그룹룹룹룹의의의의 요요요요구구구구 만만만만족족족족 대부분의 조직을 구분해보면 대개 '경영자그룹' , '사용자그룹', '전산그룹'으로 구성되어 있다. 이러한 기업환경에서 위로는 조직의 CEO(Chief Executive Officer)와 최고경영진(Top Management)을 모시고 이들이 요구하는 다양한 주문을 만족시켜야만 하며, 나머지 조직구성원들의 요구사항과 능력을 이들에게 알리고 이해시키는 역할을 해야만 한다.

49 아래로는 정보기술을 다루는 전문가집단의 채용, 교육훈련, 평가, 보상 및 그들의 요구사항을 종합적으로 관리해야 하는 역할이 필요하다. 수평적으로는 조직의 사업을 위해 반드시 협력해야 하는 현업 부서장들과 다양한 사용자그룹 구성원들의 끊임없는 요구사항을 수용하고 만족시켜야만 한다.

<그림-23> 한국기업의 성공적 CIO의 역할3) 조조조조직직직직 전전전전체체체체적적적적 관관관관리리리리능능능능력력력력 ㅡㅡㅡㅡ 아아아아웃웃웃웃소소소소싱싱싱싱업업업업체체체체 관관관관리리리리 1990년대 중반부터 불어 닥친 기업정보화 열기와 경영혁신의 노력 속에서 대부분의 한국 기업은 작게는 단위부서의 문제해결로부터 크게는 전사적인 경영전략 및 정보 전략의 수립, 그리고 계열사의 경우는 대부분의 시스템개발과 운영까지 외부업체에게 아웃소싱(outsourcing)하고 있는 실정이다. 이러한 현상은 정보화 성숙과정에서 조직 내부적으로 필요한 지식기반(knowledge domain)이 없을 경우, 또는 있더라도 다른 조직역학상의 필요에서 다양한 아웃소싱이 발생하는 지극히 자연스런 과정이라고 할 수 있다. 그런데 한국 기업의 경우 1994년과 1995년 사이에 이러한 컨설팅 및 외주운영이 집중되면서 공급이 수요를 감당하지 못하는 과정에서 고객조직(client firm)의 수준과 능력여하에

50따라 컨설팅 및 외주운영으로부터 기대하는 효과가 천차만별로 달라지는 현상을 보였다. 이러한 현상은 부문별로는 정보전략계획(ISP) 수립, 비지니스프로세스리엔지니어링(BPR), 다운사이징(downsizing)과 클라이언트/서버(client/server) 환경으로의 이행, 네트워크 통합(network integration), 데이터웨어하우징(data wherehousing) 등 시스템통합과 시스템 매니지먼트 영역에서 폭넓게 관찰되고 있다. 따라서 성공적인 CIO는 각 부문별 컨설팅업체나 외주업체의 특징과 능력, 그들이 활용하는 방법론의 장단점과 자기 기업에의 적용 및 활용가능성, 컨설턴트 인력의 구조 등 외주와 관련된 것을 완전히 소화해 부릴 수 있는 능력을 갖추어야 한다. 컨설팅업체를 활용할 수 있는 능력, 외주업체를 치밀하게 감독할 수 있는 능력은 필수적이다. 4) 전전전전략략략략경경경경영영영영자자자자 한국 기업의 CIO는 무엇보다도 전략경영자의 역할을 수행해야만 한다. 시장상황과 자사가 생산하는 제품 및 서비스의 특징을 파악하고, 직간접적으로 경쟁사의 능력과 동태를 파악하고, 자사의 일반적 역량을 파악한 후 경쟁무기로 활용할 수 있는 다양한 정보기술의 잠재능력을 적용하여 자사의 핵심역량을 개발하고 극대화할 수 있는 전략전술을 계획하고 실행할 수 있는 능력이 요구되는 것이다. 지난 30여 년 동안 한국 기업의 전산화는 주로 기술적 백그라운드를 가지고 있는 전산부장 및 실장에 의해서 주도되어 왔다. 따라서 전략경영자로서의 경험이나 능력이 거의 없

51었다고 해도 과언이 아니다. 그러나 1990년대 이후 한국 기업의 최고경영층은 과거의 전산실장 그룹에게 전략경영자로서의 역할을 기대했으나 대부분 만족할만한 성과를 보이지 못했고, 다시 기존의 기획 혹은 영업부서 임원에게 CIO의 전략경영자로서의 역할을 기대했으나 이 역시 정보기술이라는 병기와 전산인력이라는 병사에 대한 이해부족으로 소기의 성과를 달성하지 못하였다. 최근에 들어서 최고경영자는 이러한 전략경영자로서의 CIO 기능의 중요성과 희소성을 인식하게 되었으며, CIO의 전략경영자로서의 역할은 기업조직이 경쟁시대 속에서 생존할 수 있는 방안이라 할 수 있다.다다다다. 공공공공공공공공에에에에서서서서의의의의 CIO의의의의 역역역역할할할할

1) 정정정정부부부부의의의의 CIO 역역역역할할할할 우리나라도 1980년대 이후 정부의 생산성과 민원서비스를 향상시키고자 정부부문 정보화를 꾸준히 추진하여 왔으며, 1998년부터 본격적으로 전자정부 사업을 전개하여 왔다. 하지만 이러한 노력에도 불구하고, 정보부문의 경쟁력은 1995도 세계 18위에서 2000년에는 세계 26위로 떨어졌다(매일경제, 2000). 여러 가지 원인이 있겠지만 경쟁력 저하의 주요요인은 정보화가 국가의 비전․전략이 상호연관성 없이 독자적으로 추진되어 왔다는 사실과 정부혁신 과정에서 정보화의 필요성과 거시적인 청사진을 확보하지 못한 사실을 들 수 있다(행정자치부, 1998). 물론 정부에서는 정부부문의 정보화를 업무의 효율성에서 조직의 개혁으로 이어지도록 하기 위해 여러 제도적 ․ 기술

52적 노력을 기울여 왔다. 그 중의 하나가 바로 정호화책임관(CIO)제도의 도입이라 하겠다. 정부는 1998년 5월 21일 개최된 제1차 정보화전략회의에서 정부부문의 정보화와 혁신을 연계 추진하기 위하여 각 부처에 정보화책임관을 두기로 하고 이에 따라 “행정기관의정보화책임관지정 ․ 운영에관한지침”(대통령 훈령 제73호)을 마련하였다. 현재 52개 중앙행정기관에서는 기획관리실장 등 기획조정 부셔ㅓ의 장을 정보화채기임관으로 지정하고 있고, 대부분의 지방자치단체에서도 CIO를 지정 ․ 운영하고 있다(김경섭, 2001)8). 2) 공공공공공공공공기기기기관관관관의의의의 CIO 역역역역할할할할 정부조직을 제외한 공기업 및 공공기관의 CIO의 역할에 명문화된 관련 근거를 찾을 수 없었다. 그러나 과학기술 분야 정부출연(연)의 정보화수준 제고 및 정보보호 강화를 위하여, 과학기술부에서 시행하고 있는『과학기술 정보화 수준평가』를 실시하고 있으며 그 평가 내용 중 CIO의 정보화 추진의지 항목과 정보화 제도․조직 및 인력, 정보화 추진전략 계획 및 실행, 정보보호를 포함한 정보인프라 확보 및 관리, 정보화 수준 개선 등의 항목을 평가하고 있어 포괄적 공공기관의 CIO의 역할로 규정해도 무리가 없을 것이다.8) 김경섭, 정부정보화챔임관(CIO)들이 인지하는 전자정부의 주요이슈, 정보통신정책ISSUE, 제13권3호 통권27호, 2001

53제3장

III. KISTI 현황 조사 및 분석

1. 업업업업무무무무 및및및및 정정정정보보보보화화화화 현현현현황황황황

가가가가. 업업업업무무무무 및및및및 정정정정보보보보화화화화 구구구구성성성성 현현현현황황황황

KISTI는 과학기술 지식정보인프라의 연구개발 및 서비스체계 확립을 통해 국가 과학기술 진흥과 산업의 발전 및 국민복지 증진에 기여하고, 과학기술 지식정보 인프라의 선도 연구개발 및 수요자 중심의 서비스 혁신을 통해 고객의 가치창조를 실현하는 것을 목표로 하고 있다. 이를 위해 슈퍼컴퓨팅, 정보유통, 정보 분석의 고유 업무 기능과 이를 지원하는 행정의 총 4개의 업무 대기능으로 구성되어 있으며, 세부적으로 12개의 업무 중기능, 61개의 업무 소기능으로 구성되어 있다.

<그림-24> KISTI 업무 구성 현황

54KISTI는 고유 업무를 지원하는 시스템과 이러한 고유 업무 외에 기관 내부 차원에서 경영을 지원하는 행정지원정보시스템이 존재한다. 행정지원정보시스템은 인사 및 급여, 구매, 회계 등의 기능 등으로 구성되어 있는 KISTI MIS가 존재하며, KISTI MIS와 연동하고 연구관리시스템에서 연구성과물 정보의 KISTI 내 활용을 제공하는 지식검색시스템과 KISTI 구성원들의 일반적인 전자메일, 전자결재, 부내 정보 게시판 등의 그룹웨어와 홈페이지, RAS 등이 경영지원을 위한 행정지원정보시스템으로 갖추어져 있다.

<그림-25> KISTI 행정지원 응용시스템 현황

또한, 최근 부서 및 개인의 성과목표치의 불명확성에 따른 성과달성을 위한 책임의식 미흡 및 창출된 성과의 전체적인 방향성 결여라는 지적에 따라 전략과 연관된 BSC 평가지표를 개발하고, 구성원에 대한 개인 평가 및 평가 지표의 활용을 통한 객관성 확보를 목표로 조직 전체의 연구원, 조직, 구성

55원 간에 직렬된 종합적인 성과관리시스템(KISTI-BSC)을 구축 중에 있다.<그림-26> BSC 전략경영시스템 구축 목표

나나나나. 업업업업무무무무 및및및및 정정정정보보보보화화화화 구구구구성성성성 현현현현황황황황 분분분분석석석석

<그림-27> 응용시스템 업무지원 분석 프레임워크

56 현재 KISTI에서 운영 중인 행정지원시스템의 업무 지원 정도를 분석하기 위해, KISTI의 행정지원시스템을 시스템성격에 따라 분류하고, 이를 통해 지원 정도를 분석한 결과, 현재 KISTI의 행정 업무를 지원하기 위한 시스템은 MIS 및 그룹웨어의 지원을 받고 있지만, 이러한 시스템에서 도출된 데이터의 취합 및 분석하여 가치 있는 정보를 제공하기 위한 정보화 영역과 의사결정자들이 기관의 전략 및 목표 달성을 위해 의사결정을 내릴 수 있도록 지원하는 정보화영역은 미흡한 것으로 나타났다.

<그림-28> 응용시스템 업무지원 분석 정도

이를 근거로, KISTI는 전사관점에서의 통합된 정보자원관리체계가 부족하며, 기관 내의 경영전략 및 중장기 발전계획과 이를 지원하는 정보기술과의 연관성 및 연계성의 불일치 등 서로 간에 개별적으로 진행되고 있는 바, 정보기술과 경영전

57략이 융합된 청사진이 부재하며, KISTI의 비전과 경영목표 및 미션 달성에 필요한 현재와 미래의 바람직한 IT 환경을 체계적이고 완전하게 정의한 정보화 설계도 필요하다. KISTI는 기관의 효율적인 업무 수행을 지원하고 기관의 비전 및 전략을 달성하기 위해 업무 운영, 관리 및 지원 시스템에서의 정보를 취합하여 분석 및 활용할 수 있도록 하고, 이러한 분석된 정보를 바탕으로 정보화 중복투자 방지, 예산 집행 투명성 확보로 정보화 투자효과 및 성과 제고를 위한 통제조직과 체계 구축이 필요할 것이다.다다다다. 정정정정보보보보자자자자원원원원 및및및및 정정정정보보보보화화화화 현현현현황황황황

정보자원이란 조직에서 필요한 정보를 창출해 내기 위한 도구라고 할 수 있으며 정보자원의 범위는 협의로 해석할 경우와 광의로 해석할 경우에 따라 적용범위가 크게 달라진다. 협의로 해석할 경우 정보시스템, 정보기술, Infrastructure가 해당되며, 광의로 해석할 경우에는 정보와 관련된 계획, 예산, 조직, 교육, 통제, 인력, 등의 관련자원을 포함한다. 미국 연방예산관리국9)에서는 정보자원을 광의로 해석하여 정보자원관리를 '정부 정보와 관련된 계획, 예산, 조직, 지도, 교육, 통제작업'이라 정의하고 있다. 본고에서는 정보화사업은 정보활동 산출물로서 정보 및 지식과 정보 및 지식 생산수산으로서의 정보시스템 및 체계로 정의하고 정보자산은 정보시스템을 구성하는 정보기술 및 기반구조로 정의하여 기술한다. 국가 정보화정책 수립 및 정보자원의 효율적 활용을 위9) OMB : Office Of Management Budget

58한 기초자료로 활용하고 공공부문 정보자원의 효율적이고 체계적인 관리와 공공부문 ITA 도입 실태 분석 및 정책 추진 방향 수립을 위하여 KISTI에서 해당 현황을 조사를 하고 있다. 조사 항목의 구성은 네트워크, 서버, 보안시스템 등 10개 부문, 56개 세부항목으로 구성하고 있다.부부부부문문문문 조조조조사사사사항항항항목목목목I. 전산실 및 기반시설 전산실 및 기반시설(항온항습기, UPS, 출입감시시스템, 출입통제시스템, 소화시설)II. 네트워크 백본망, 인트라넷회선, 익스트라넷회선, 인터넷회선, 백업 및 재해복구회선, 네트워크장비, 정보통신 고도화 계획, 정보통신망 운영관리체계, 정보통신망 관리계획III. 서버(주전산기기) 운영 서버현황, DB현황(자체구축DB, 제공DB, 이용DB, 공동활용화DB), 홈페이지, 인트라넷IV. PC PC 및 프린터현황, PC용 운영시스템, PC용 상용SWV. 정보보호시스템 및 백업시스템 보안시스템, 자체 및 원격지 백업시스템VI. 활용서비스 전자결재, 전자문서유통, 전자우편, 전자거래, 전자민원처리, 민원처리 인터넷 공개 시스템, 아웃소싱VII. 정보화 인력교육 정보화 인력의 고용형태별, 업무별, 경력별 현황정보화 교육의 계획수립 및 교육형태, 과정별 현황VIII. 정보화 예산 정보화 예산 비율, 정보화 예산의 재원별, 세부내역별 현황정보보호 예산 비율IX. 정보화 사업 추진정보화 사업(분야, 형태별 현황)감리수감 비율, 하드웨어 유지보수 사업, 정보화 관련 지침X. 응용정보자원관리 정보자원 관리(전담조직, 관리수준, 연계시스템), 콜센터, 자료관, 정보공개시스템, EP, BPM, ECM, BCP,

TMS, ERP, CRM, SCM, EAI, PMS, KMS, DW 도입현황

<표-5> 조사항목

59구 분 종류 수량 및 용량

H/W

서버 정보 서비스용 리눅스 서버 219대정보 서비스용 유닉스 서버 43대저장장치 KISTI 정보서비스 데이터 92TB

Image 데이터 및 백업용 디스크 75TB보안장치 침입차단시스템(1대), 침입방지시스템(2),웹방화벽(2) 3대백업장치 데이터 백업 및 복구 4대<표-6> KISTI 정보자원 현황(H/W)

구구구구 분분분분 DB명명명명 누계과학기술문헌 학술지(서지/원문) 30,003,244분석․동향 정보 6,614,043해외도입 신기술 172,105분석․동향 정보 정보분석보고서 4,369기술특허 105,122과학기술 기반정보 182,053해외도입 신기술 INSPEC(전자) 9,332,051

FSTA(식품) 742,729종합목록 학술지 종합목록 60,778기술특허 한국특허 2,686,270해외특허 15,652,279과학기술 기반정보 과학기술 인력정보 333,132과학기자재 28,307사실정보 생명정보, 신약 화합물정보 228,785,956나노기술(NT) 전문정보 111,004부품소재(MCT) 전문정보 3,600,402합합합합 계계계계 298,413,844

<표-7> KISTI 정보자원 현황(DB)

602. 정정정정보보보보화화화화 수수수수준준준준평평평평가가가가 현현현현황황황황

가가가가. 개개개개요요요요

『과학기술기본법』제 26조 동법 시행령 제 40조 및『전자정부 구현을 위한 행정업무 등의 전자화 촉진에 관한 법률』제 52조를 근거로 과학기술 분야 정부출연(연)의 정보화수준 제고 및 정보보호 강화를 위하여, 과학기술부에서 시행하고 있는『과학기술 정보화 수준평가』를 실시하고 있으며 평가항목․지표 등에 대한 평가목표․방법․근거 등을 살펴보겠다. 정보화수준평가의 목적은 과학기술 분야 정부출연(연)의 정보화수준 진단･평가를 통하여 각 기관의 정보화 수준 제고 및 정보보호를 강화하고, 향후, 과학기술 분야 정보화 및 정보보호 정책 수립･집행 시 근거자료로 활용하고 평가 결과의 실효성 제고를 위하여 기관평가에 반영하고, 평가결과 우수 기관에 대해 기관 포상 및 인센티브 제공하기 위한 것이다(관련자료 별첨)구구구구 분분분분 내내내내 용용용용공통지표 각급기관의 정보화 추진 시 필수사항개별지표 각급기관의 정보화 추진 시 기관특성에 따른 선택사항정 량 적 사실여부 확인 등 객관적인 데이터를 통한 평가 항목정 성 적 평가위원의 주관적인 판단을 통한 평가 항목혼 합 형 객관적 데이터와 평가위원의 주관적 판단이 모두 필요한평가 항목

<표-8> 정보화 수준평가 용어 정의

61평가 평가 평가 평가 항목항목항목항목 평가 평가 평가 평가 지표지표지표지표 비 비 비 비 고고고고대분류대분류대분류대분류 중분류중분류중분류중분류� 정보화기반조성 � 정보화 리더십 � CEO･CIO의 정보화 추진의지 ■■■■, ◇◇◇◇� 정보화 관련 예산 투자 수준 □□□□, ◈◈◈◈� 정보화 제도･조직 및 � 정보화 관련 규정･지침 보유현황 ■■■■, ◆◆◆◆� 정보화 관련 조직･인력 현황 □□□□, ◈◈◈◈

� 정보화적용 ･운영 정보화 추진전략 수준 정보화 전략계획 수립현황 및조직정책･전략과의 연계성 수준 ■■■■, ◇◇◇◇� 당해년도 정보화 추진계획･실행현황 ■■■■, ◇◇◇◇� 연간 정보보호 추진계획･실행현황 ■■■■, ◈◈◈◈ 정보화 인프라 수준 � 소프트웨어 자원 확보･관리 수준 ■■■■, ◆◆◆◆� 네트워크 자원 확보･관리 수준 ■■■■, ◆◆◆◆� 데이터베이스 확보･관리 수준 ■■■■, ◆◆◆◆� 정보보호시스템 확보･관리 수준 □□□□, ◆◆◆◆� 정보화 응용 수준 � 핵심 업무의 정보화 수준 □□□□, ◇◇◇◇� 그룹웨어 운영 현황 ■■■■, ◆◆◆◆� 온라인 서비스 운영 현황 ■■■■, ◆◆◆◆�정 보화효과 � 정보화 수준 개선정도 � 업무효율성 향상 수준 ■■■■, ◈◈◈◈� 지식･정보 공유 활성화 수준 ■■■■, ◆◆◆◆� 정보보호 수준 개선 정도 � 대외 모의훈련 대응 수준 ■■■■, ◆◆◆◆� 07년 을지 사이버 戰 대응 수준 ■■■■, ◆◆◆◆※※※※범례 : ■(공통지표), □(개별지표), ◆(정량적), ◇(정성적), ◈(혼합형)

<표-9> 정보화 수준평가 지표

나나나나. 평평평평가가가가절절절절차차차차1111단계단계단계단계 2222단계단계단계단계 3333단계단계단계단계 4444단계단계단계단계기관등급 분류 ➡자체평가 수행 ➡

평가결과 검증 ➡패널평가 및 평가종합과학기술부(MOST) KISTI 평가지원단(MOST) 평가단(MOST)

62나나나나. 추추추추진진진진체체체체계계계계

o 자체평가총괄 - 선임연구부장 : 평가계획 수립 및 총괄 - 평가지원 총괄 : 정보보호센터o 정보화 기반조성 - 정보화전략실, 예산팀, 총무팀, 정보보호사업팀o 정보화 적용․운영 - 정보화전략실, 혁신기획팀, 정보보호사업팀, 시설자재팀, 연구망사업팀, 정보시스템운영팀, 서비스개발팀, 슈퍼컴퓨팅사업팀, 정책연구실o 정보화 응용수준 - 총무팀, 시설자재팀, 경영혁신팀, 기획예산팀, 정보보호사업팀

63평가 평가 평가 평가 항목항목항목항목 담당부서담당부서담당부서담당부서부문부문부문부문 성과유형성과유형성과유형성과유형 평가 평가 평가 평가 지표지표지표지표� 정보화기 반조성 � 정보화 리더십 � CEO･CIO의 정보화 추진의지 정보화전략실정보화전략실정보화전략실정보화전략실� 정보화 관련 예산 투자 수준 예산팀예산팀예산팀예산팀� 정보화 제도･조직 및 인력수준 � 정보화 관련 규정･지침 보유현황 정보화전략실정보화전략실정보화전략실정보화전략실, , , , 총무총무총무총무, , , , 정보보호사업팀정보보호사업팀정보보호사업팀정보보호사업팀� 정보화 관련 조직･인력 현황 총무팀총무팀총무팀총무팀, , , , 정보보호사업팀정보보호사업팀정보보호사업팀정보보호사업팀

� 정보화적용･운영 정보화 추진전략 수준 정보화 전략계획 수립현황 및조직정책･전략과의 연계성 수준 정보화전략실정보화전략실정보화전략실정보화전략실� 당해년도 정보화 추진계획･실행현황 정보화전략실정보화전략실정보화전략실정보화전략실� 연간 정보보호 추진계획･실행현황 정보보호사업팀정보보호사업팀정보보호사업팀정보보호사업팀 정보화 인 프 라 수준 � 소프트웨어 자원 확보･관리 수준 혁신기획팀혁신기획팀혁신기획팀혁신기획팀시설자재팀시설자재팀시설자재팀시설자재팀� 네트워크 자원 확보･관리 수준 연구망사업팀연구망사업팀연구망사업팀연구망사업팀� 데이터베이스 확보･관리 수준 혁신기획팀혁신기획팀혁신기획팀혁신기획팀,,,,정보시정보시정보시정보시스템운영팀스템운영팀스템운영팀스템운영팀,,,,서비스서비스서비스서비스개발팀개발팀개발팀개발팀, , , , 설자재팀설자재팀설자재팀설자재팀� 정보보호시스템 확보･관리 수준 연구망사업팀연구망사업팀연구망사업팀연구망사업팀, , , , 슈퍼컴퓨팅사업팀슈퍼컴퓨팅사업팀슈퍼컴퓨팅사업팀슈퍼컴퓨팅사업팀, , , , 정보비스템운영팀정보비스템운영팀정보비스템운영팀정보비스템운영팀� 정보화 응용 수준 � 핵심 업무의 정보화 수준 정보화전략실정보화전략실정보화전략실정보화전략실, , , , 정책연구실정책연구실정책연구실정책연구실� 그룹웨어 운영 현황 혁신기획팀혁신기획팀혁신기획팀혁신기획팀� 온라인 서비스 운영 현황 서비스개발팀서비스개발팀서비스개발팀서비스개발팀� 정보 화효과 � 정보화 수준 개선정도 � 업무효율성 향상 수준 혁신기획팀혁신기획팀혁신기획팀혁신기획팀� 지식･정보 공유 활성화 수준 혁신기획팀혁신기획팀혁신기획팀혁신기획팀, , , , 총무팀총무팀총무팀총무팀� 정보보호 수준 개선 정도 � 대외 모의훈련 대응 수준 정보보호사업팀정보보호사업팀정보보호사업팀정보보호사업팀� 07년 을지 사이버 戰 대응 수준 정보보호사업팀정보보호사업팀정보보호사업팀정보보호사업팀

<표-10> 평평평평가가가가항항항항목목목목 및및및및 지지지지표표표표별별별별 담담담담당당당당부부부부문문문문

643. 정정정정보보보보화화화화 사사사사업업업업 검검검검토토토토 현현현현황황황황

정보화 사업 검토 현황은 기존의 관련 근거를 확인하여 추진목적, 대상과제, 운영방법 및 절차, 그리고 첨부되는 양식에 대하여 살펴보았고 우정사업본부의 ITA기반의 제안요청서 관리지침의 사례분석을 통한 시사점을 살펴본 결과 제안요청서 관리의 주체가 분산되어 있으며, 각 부분별 관리의 선정 및 상세화를 위한 정리가 필요한 것으로 판단된다.가가가가. 관관관관련련련련근근근근거거거거

제2003-기술-1회 연구심의위원회 의사록나나나나. 추추추추진진진진목목목목적적적적

각 부서에서 수행되는 기술 용역 과제의 산출물이 KISTI의 정보시스템과 상호 연계되어 운영될 수 있도록 하기 위한 것이다.다다다다. 대대대대상상상상과과과과제제제제

KISTI에서 수행하는 기본사업 및 수탁사업 수행과정에서 발생하는 정보유통 관련 시스템 개발 기술용역과제를 대상으로 한다.라라라라. 시시시시행행행행방방방방안안안안

3천만원 이상의 용역과제에 대하여 연구용역 과제와 같이 시행이전에 연구심의워원회 심의를 거쳐 승인을 득한 후 시행한다. o 세부시행방안

65 - 기본사업, 자체사업 : 예산확정후 일괄심의 - 수탁사업 : 개별적으로 발주시 심의 o 제안요청서 연계성 검토 - 기술용역과제 개발 산출물의 상호 운영성 촉진 및 중복시행 방지를 위하여 기술용역과제 제안요청서를 사전 검토하는 체계를 운영한다.마마마마. 작작작작성성성성자자자자료료료료(별별별별첨첨첨첨)

정보화 사업 검토와 관련하여 작성하는 자료는 RFP 검토의견서, 최종산출물 검토의견서, 연계성 검토회의 결과보고서이다.바바바바. 운운운운영영영영방방방방법법법법

정보화사업의 외주용역에 대한 관리 감독 일환으로 정보화전략실에서는 용역사업초기에 작성되는 RFP10)에 대한 검토와 사업 마무리 시점에서의 최종산출물에 대한 검토 업무를 하고 있으며 절차는 다음과 같다.o 각 부서에서 연말에 사업계획 및 용역과제 계획을 수립한다.(관련조직 : 연구관리팀, 연구심의위원회, 해당부서)o 해당부서에서 용역과제 발주에 앞서 RFP를 작성하고 시설자재팀과 협의 후 시스템개발 관련 사업의 경우에는 정보화전략실에 “RFP 검토의견서”11)를 요청한다. o 정보화전략실에서는 RFP 검토 시 시스템중복여부 체크, 원내 타 시스템과 상호 연계될 필요성이 있는지 여부 확인, 정보시스템운영팀에 서버 및 DB 할당 등과 관련하여 사전 10) 제안요청서, Request For Proposal11) RFP 검토의견서 구성항목 : 사업개요, 주요내용, 검토의견 및 검토회의, 최종검수 방법과 회수

66협조 요청할 것, KISTI 웹 개발지침(웹 스타일 가이드 포함)을 준수할 것을 요청하는 내용으로 RFP 검토의견서를 작성하여 해당부서에 전달한다.o 해당부서에서 연구관리팀에 “계약추진승인신청서”를 제출한다. 이때 RFP, RFP 검토의견서, 과업지시서, 체크리스트를 첨부하여 제출한다.o 용역과제 진행 중 이루어지는 검토회의 및 최종검수 시 RFP 검토부서에서 참석한다. (과거 RFP 담당부서에서는 참석하였으나, 현재 정보화전략실에서는 참석하고 있지 않음)

6) 용역과제가 완료된 후 해당부서에서 정보화전략실에 최종산출물 검토 의견서를 요청하면 용역과제 발주 시 작성되었던 체크리스트 및 RFP 검토 의견서를 기준으로 제시된 내용이 어떻게 반영되었는지를 “최종산출물 검토의견서”12)로 작성하여 해당부서에 전달한다.o 해당부서에서 시설자재팀에 최종산출물검토의견서 및 용역과제 최종결과서를 제출하면 시설자재팀에서 검사조서를 체크하고 해당업체에 잔금청구를 지시한다. RFP관련 프로세스는 상기 절차상에서 기술되었듯이 각 부서별로 분산되어 관리하고 있으며, 그 책임규정도 미약하다. 검토절차를 살펴보면 필요 산출물의 내용은 제외되어 있으며, 분류별(DB구축, 시스템 개발, 정비도입, 컨설팅 및 연구과제) 표준프로세스 및 산출물의 지침도 미약한 상태이다. 각 사업별 보증사항, 장애대책 및 지원에 대한 관련사항도 12) 최종산출물 검토의견서 구성항목 : 사업개요, 주요산출물, 진행과정 및 결과, 검토의견, 문제점 및 보완사항

67미약한 것으로 조사되어, 사업전체적인 이력관리가 부족한 것으로 판단되며 사업완료 유지보수 측면에서도 관리를 강화해야 할 것이다.구분 연구용역 기술용역 비고용어정의 "위탁연구"라 함은 "연구원"이 수행하는 사업 중 특수성, 전문성 등으로 인하여 그 일부 또는 전부를 연구원 이외의 기관인 연구기관, 대학, 학회 등 주로 비영리기관에 위탁하여 수행하는 연구사업 형태를 말한다.

(위탁연구요령 제3조)"기술용역계약"이라 함은 "연구원에서 수행중인 용역업무의 일부 또는 정부에 대하여 연구의 위탁 도는 업무수행에 필요한 기술용역의 제공에 관한 계약을 말한다.(계약업무요령 제56조)용역내용 불확실성, 결과물의 미예(기행착오 가능성이 있음) 예측 가능산출물 연구보고서무형의 산출물 개발된 프로그램 등 유형의 산출물결과물검수 보고서 검수 산출물 성능 검수준용규정 주관사업 관리규정윈규(위탁연구 관리요령) 정부계약법원규(계약업무요령)연구비산종기준 및 정산 주관사업규정에 위한 산정기준연구비 사후정산 원가계산(엔지니어링사업 및 소프트웨어사업대가 기준)용역비 비정산시행방법 공고 입찰관리부서 연구관리과 시설자재과

<표-11> 연구 용역 및 기술용역 기준

사사사사. 사사사사례례례례분분분분석석석석

정보통신부 우정사업본부는 정보화 사업의 계획․구축․운영․평가 등 관련 업무 전 과정에서 구축된 정보기술아키텍처(ITA)의 효과적 활용방안 및 구체적 활용시나리오를 제

68시하고 이다.ITA활용 주요대상 업무를 정보화기본계획수립, 정보화촉진시행계획 수립, 제안요청서 수립, 정보화 사업시행의 4가지로 선정하고 있다. 이중 제안요청서관련 자료만 정리를 하면 운영적 측면에서 정보자산 도입 시 기술검토에 활용하고 있으며, 유지보수 대상 자원 식별, 재사용이 가능한 정보자원식별의 프레임워크를 구축하여 운영하고 있으며, 세부적인 내용을 살펴보면 다음과 같다.구분 작성단계 세부항목 활용방법

정보화사업시행 및 운영 제안요청서업무현황 AS-IS 아키텍처>업무구성도/정의서 >해당업무 업무기능분할도/기술서 활용시스템 현황 AS-IS 아키텍처>업무구성도/정의서 >해당업무 업무기능분할도/기술서>속성창 활용공급 및 설치조건 AS-IS 아키텍처>기술참조모델>서비스 접근 및 전달>가술항목 참조인턴페이스 정의AS-IS 아키텍처>업무구성도/정의서>해당업무 업무기능분할도/기술서>속성창 활용장비도입시 기술검토 AS-IS 아키텍처>기술참조모델>플랫폼 및 기반구조>하드웨어>시스템 서버 참조유휴자산식별 메뉴 아키텍처 활용> 정형질의>특정SW가 설치된 하드웨어현황 조회>검색기능 활용

<표-12> 프로세스별 ITA활용 요령

69 또한, 우정사업본부의 정보화사업의 사업계획서 및 제안요청서 작성 시 참고 규정 및 지침을 마련하여 시행하고 있으며 관련내용을 살펴보면 사업계획 및 제안요청서의 내용에 구매 지침, 평가지침, 유지보수 서비스 가이드라인, ITA활용통보, 사업 대사의 기준, 예산 집행지침, 정보시스템 저장매체 불용처리지침으로 구분하여 시행하고 있으며, 특히, 인터넷 웹 콘텐츠 접근성 지침은 인식의 용이성, 운영의 용이성, 이행의 용이성, 기술적 진보성의 항목으로 구분하여 지침을 마련하고 평가하고 있는 것이 특징이라고 하겠다.

70제4장

IV. KISTI CIO역역역역할할할할 및및및및 IT 거거거거버버버버넌넌넌넌스스스스 구구구구축축축축

1. CIO 역역역역할할할할 설설설설계계계계

가가가가. 기기기기준준준준

앞서 살펴본 CIO 이론적 구성에서 기술되었던 CIO의 10가지 주요과제를 CIO의 일반적인 역할로 규정하고 현재 과기부에서 시행하고 있는 정보화수준평가의 내용은 총괄책임을 선임연구부장으로 지정하고 있어 이는 KISTI의 CIO로 선정한 것으로 사료되며, 각 평가항목을 공공에서의 CIO역할로 정의한다면 각각의 항목을 매칭한다면 KISTI에서 IT 거버넌스 체계하의 CIO역할을 도출할 수 있다.나나나나. 평평평평가가가가

KISTI의 CIO는 CIO의 고유역할과 IT 거버넌스에서 추진하는 전략경영을 위한 조직의 역할부분을 포함한 업무의 범위가 규정되어야 한다. 아래 표에서 확인할 수 있듯이 CIO의 역할과 정보화 수준평가의 거의 모든 항목들이 매칭되고 있으며, IT거버넌스에서 제시하고 있는 의사결정 방향제시, 전략적 비즈니스 목표를 위한 개별 비즈니스 프로세스의 체적화, 위험관리와 무형자산의 가치를 포함한 IT ROI평가들의

71역할을 포함하여 CIO의 역할을 재정의 한다.CIO 리더 항목 정보화 수준평가리더가 되라 CEO･CIO의 정보화 추진의지환경의 이해명쾌한 비전을 창조 정보화 전략계획 수립현황 및 조직정책･전략과의 연계성 수준기대치를 알려라 핵심 업무의 정보화 수준

IT거버넌스를 구성 정보화 관련 규정･지침 보유현황소프트웨어 자원 확보･관리 수준네트워크 자원 확보･관리 수준데이터베이스 확보･관리 수준그룹웨어 운영 현황온라인 서비스 운영 현황사업전략과 IT전략을 연계 정보화 관련 예산 투자 수준새로운 IT조직을 만들라. 정보화 관련 조직･인력 현황높은 성과를 낼 수 있는 팀을 만들고 육성 당해년도 정보화 추진계획･실행현황연간 정보보호 추진계획･실행현황새로운 기업리스크와 IT리스크를 관리 정보보호시스템 확보･관리 수준대외 모의훈련 대응 수준07년 을지 사이버 戰 대응 수준현업의 언어로 IT성과를 소통하라 업무효율성 향상 수준지식･정보 공유 활성화 수준

<표-13> CIO 역할 정의

다다다다. KISTI CIO의의의의 역역역역할할할할 정정정정의의의의

KISTI에서의 CIO의 역할을 위 표에서 매칭된 내용들을 중심으로, 인간관계적 측면과 정보적 측면, 의사결정측면으로 나누어서 기술한다.o 인간관계적 측면

72 전사 전산의 기능을 관리하고 정보화 비전을 제시함으로써 관련부서의 사기와 효율성 제고하는 지도자의 역할과 전산부서와 최고 경영층 사이의 연락자로서 역할과 전산부서와 다른 부서간의 연락자의 역할을 수행하는 것으로 이는 CIO 리더 항목의 현업의 언어로 IT성과를 소통하는 것과 일맥상통하는 것이다.o 정보적 측면 전산부서가 조직의 전략적 목표에 공헌하고 있는지를 감시하는 책임이 있고 기업의 전략적 목표를 달성하는데 도움을 줄 수 있는 신기술을 발견하기 위해 외부환경을 주시하는 감독자의 역할과 IT에 대한 잠재적인 효과, 원가, 위험 등에 관하여 전산부서의 대변인 역할을 수행하는 전도자의 역할을 담당하여야 한다.o 의사결정측면 기관이 효과적으로 움직일 수 있는데 도움이 될 수 있는 의사결정의 개념을 가지는 임원으로서 활동과 전산부서의 정해진 목표를 달성하기 위해, 조직의 내부에서, 그리고 시스템과 전산 서비스를 제공하는 기업 외부의 관계자들에 대한 교섭자 역할을 수행하고, 전산부서의 성과에 대한 책임을 지고 있으므로, 어떤 문제가 생겼을 때 이러한 일들을 조정하고 해결하는 장애처리자의 역할을 수행하여야 하며, 프로젝트를 추진하거나 시스템을 운영하면서 사람과 자원을 어떻게 적절하게 배분해야 하는지를 결정하여야 한다.

73구분 역할 설명 CIO 리더 항목인간관계적 측면 지도자의 역할 전사 전산의 기능을 관리하고 정보화 비전을 제시함으로써 관련부서의 사기와 효율성 제고 리더가 되라명쾌한 비전을 창조연락자의 역할 전산부서와 최고 경영층 사이의 연락자로서 역할과 전산부서와 다른 부서간의 연락자 역할 현업의 언어로 IT성과를 소통하라기대치를 알려라정보적 측면 감독자의 역할 전산부서가 조직의 전략적 목표에 공헌하고 있는지를 감시하는 책임이 있음기업의 전략적 목표를 달성하는데 도움을 줄 수 있는 신기술을 발견하기 위해 외부환경을 주시 새로운 IT조직을 만들라.전도자의 역할 IT에 대한 잠재적인 효과, 원가, 위험 등에 관하여 전산부서의 대변인 역할을 수행 IT거버넌스를 구성

의사결정 측면기업가의 역할 기관이 효과적으로 움직일 수 있는데 도움이 될 수 있는 ‘판매’개념을 가지는 기업가로서 활동 사업전략과 IT전략을 연계교섭가의 역할 기관이 효과적으로 움직일 수 있는데 도움이 될 수 있는 의사결정의 개념을 가지는 임원으로서 활동과 전산부서의 정해진 목표를 달성하기 위해, 조직의 내부에서, 그리고 시스템과 전산 서비스를 제공하는 기업 외부의 관계자들에 대한 교섭자 역할을 수행

IT거버넌스를 구성높은 성과를 낼 수 있는 팀을 만들고 육성장애처리자의 역할 전산부서의 성과에 대한 책임을 지고 있으므로, 어떤 문제가 생겼을 때 이러한 일들을 조정하고 해결하는 장애처리자의 역할을 수행 새로운 기업리스크와 IT리스크를 관리자원배분자의 역할 프로젝트를 추진하거나 시스템을 운영하면서 사람과 자원을 어떻게 적절하게 배분해야 하는지를 결정 IT거버넌스를 구성

<표-14> KISTI CIO 역할 정의

742. IT 거거거거버버버버넌넌넌넌스스스스의의의의 체체체체계계계계 구구구구축축축축

가가가가. 기기기기본본본본 방방방방향향향향

- 전사적 정보화 비전․전략제시 및 종합정보전략시스템 아키텍처 개발 - IT 자원에 대한 합리적인 투자 및 자원 활용의 극대화를 위한 총괄관리 역할 수행 - 전사적 정보화 관련업무의 총괄 기획 조정 업무 및

HELP DESK 역할과 재해복구 및 비즈니스 연속성 확보를 위한 전사적 위험관리 - 정보시스템 구축 및 운영관련 외부용역․아웃소싱을 종합관리 조정하는 기능 수행 - KISTI 정보시스템의 효율적인 지원을 위한 기반시스템 인프라 구축 및 지속 운영1) 전사적 정보화 비전․전략제시 및 종합정보전략시스템 아키텍처 개발 단순한 정보시스템 구축 및 운영에서 벗어나 기관의 비전 및 경영전략을 이해하고 이를 근간으로 기관 차원의 종합적인 의사결정 지원 정보시스템으로 발전할 수 있도록 추진하며, 국가 대표정보기관 위상에 걸 맞는 기관의 정보화 비전․전략 제시 및 구체적인 실행 아키텍처를 수립하여야 한다.2) IT 자원에 대한 합리적인 투자 및 자원 활용의 극대화를 위한 총괄관리 역할 수행

75 ITA, BSC 등 KISTI의 현한 문제 추진과 더불어 정보유통 뿐만 아니라 정보 분석, 슈퍼컴, 네트워크 부문을 포괄하는 KISTI의 종합 정보시스템 투자 및 운영전략을 수립하고 이를 통해 부문별 중복투자 방지, 표준화 등을 기반으로 부문간 시스템적 연계 운용 전략을 수립한다.3) 전사적 정보화 관련업무의 총괄 기획 조정 업무 및 HELP DESK 역할과 재해복구 및 비즈니스 연속성 확보를 위한 전사적 위험관리

ITA, BSC 업무뿐만 아니라 현재 기획부에서 담당하고 있는 경영정보시스템까지 종합관리하며, 총무, 회계, 시설자재 시스템 부부터 연구사업 시스템에 이르기까지 종합 조정, 관리 할 수 있는 시스템을 구축하여야 한다. 또한, 각 사업별 이슈사항 종합 관리 및 HELP DESK의 역할을 담당하여야 한다.4) 정보시스템 구축 및 운영관련 외부용역․아웃소싱을 종합관리 조정하는 기능 수행 각 연구사업 부문별 정보시스템 관련 외부 용역 맟 아웃소싱을 종합적으로 검토․평가․조정하며, 창구일원화를 통해 체계적이고 효율적인정보시스템 구축 및 자원관리 가능하도록 하여야 한다.5) KISTI 정보시스템의 효율적인 지원을 위한 기반시스템 인프라 구축 및 지속 운영 국제 표준 기술 및 ITA기반의 정보시스템 구축 및 지원과 정보시스템 실시간 모니터링 등 시스템 운영의 최적

76화 및 안정화 구현, KISTI 정보유통 시스템 도입, 관리, 운영 등에 대한 종합적 마스터플랜을 수립하여야 한다.나나나나. IT거거거거버버버버넌넌넌넌스스스스 체체체체계계계계

o 조정, 관리 통제 조직으로의 역할 설계 정보화전략실은 프로젝트 수행을 위한 전사적 PMO의 역할을 담당하여야 한다.PMO의 역할은 크게 전체 IT조직내에서 진행중인 복수의 프로젝트를 관리하는 Multi Project Management 역할과 프로젝트 단위당 관리적 포인트를 가지는 Single Project Management는 일상적인 신규개발 및 유지보수 프로젝트에 대한 자원, 일정, 이슈관리를 통해 프로젝트의 원활한 진행지원을 목적으로 하며, Single Project Management는 단위 프로젝트별 가이드라인을 제공하고, 프로젝트 진행 모니터링을 수행하며, 이슈에 대한 관리를 수행한다. PMO는 표준제정, 프로젝트 가이드라인 제시, 진행사업의 모니터링, 각 사업주체별 의사소통을 위한 HELP DESK역할, 복수의 프로젝트에 대한 통제 및 지원으로 정의할 수 있다.

77구분 관리 역할

Multi Proejct

Management

통합일정관리 - 프로젝트 포트폴리오 관리- 향후 대규모개발 프로젝트 중 한정된 자원을 조정하기 위해 각 프로젝트간 일정 조정프로젝트 관리가이드 라인제공 - 조직내 공통적용 가능한 프로젝트 관리 정책 수립- 개별 프로젝트에 특화된 관리 가이드라인 제시(의사소통체계, 산출물 등)

Sinlgle Project

Management프로젝트 진행모니터링 - 프로젝트 진행상황을 모니터링

- 프로젝트 산출물 관리 및 통제 기능 담당이슈관리 - 발생한 프로젝트 이슈를 취합하고 해결 방안을 검토- 프로젝트 간 이슈 증제 및 조정

<표-15> 조직관점에서의 IT거버넌스

o IT 의사 결정 조직 IT투자와 우선순위 결정, IT아키텍처 의사결정, IT인프라 의사결정에 대한 조직으로의 역할을 다하여야 한다. - IT투자와 우선순위 결정은 KISTI의 목표를 명확히 함으로써 다른 모든 의사결정들의 방향을 제시하기 때문에 명확한 정의가 선행되어야 한다, 원칙이 명확하지 않으면 다른 의사결정들의 이미 있는 결합이 쉽지 않기 때문이다. - IT 아키텍처 의사결정은 IT원칙을 통합과 표준화를 위한 요구로 변환(데이터, 어플리케이션, 인프라 구성 논리를 말하며, 정책, 관계, 기술 선택으로 표현)시키며 필

78 요한 역량들의 공급을 기술로드맵을 작성하여야 한다. IT 투자와 우선순위결정은 어디에 얼마나 IT투자를 할 것인지에 대한 의사결정을 말하며, 프로젝트 승인이나 타당성 검토를 통해 자원을 할당하여야 한다.

IT 원칙IT아키텍처 IT인프라 IT투자와우선순위비즈니스어플리케이션 요구<표-16> IT 거버넌스 의사 결정

3. IT 거거거거버버버버넌넌넌넌스스스스 구구구구축축축축을을을을 위위위위한한한한 로로로로드드드드맵맵맵맵의의의의 구구구구성성성성

KISTI는 정보기술 및 정보자원에 대한 체계적이고 통합적인 관리를 위하여 CIO의 역할 및 IT 거버넌스를 정의하고 있다. 그러나 2008년 ITA의 도입을 준비하고 있으며 이에 맞는 ITA 거버넌스의 역할을 정의함으로써 궁극적인 목표인 IT 거버넌스가 완성될 것이다. IT 거버넌스 수단으로서의 COBIT은 IT 활동들을 4개의 업무도매인으로 구분하고 각 도매인별로 프로세스를 정의하고 있다. 즉, 계획수립과 조직화 도메인에는 10개의 프로세스, 도입과 구축도메인에는 7개의 프로세스, 운영과 지원 도메인에는 13개의 프로세스, 모니터링과 평가 도메인에는 4개의 프로세스를 정의하고 있다.34개의 프로세스 중 KISTI에서 필요한 부분을 도출하여 정리하면 다음과 표와 같다.

79도메인 프로세스

계획수립과조직화(9)P01 IT 전략계획수립P02 정보아키텍처의 정의P03 기술방향 결정P04 IT 프로세스, 조직 및 관계 정의P05 IT 투자관리P06 경영진의 목표 및 방침 전파P08 품질 관리P09 IT 위험 평가 및 관리P10 프로젝트 관리도입과 구축

(6)

A2 응용소프트 도입 및 유지보수A3 기술 인프라 도입 및 유지보수A4 운영 및 사용지원A5 IT 자원 구매A6 변경관리A7 솔루션 및 변경 설치 인가모니터링과평가(3) 품질과 통제요구 사항의 준수측면에서 정기적인 평가 필요(IT프로세스) - 성과 관리 - 내부통제의 모니터링 - 거버넌스의 제공운영과 지원

(5)

DS3 성능 및 용량관리DS5 시스템 보안성 확보DS8 서비스 데스크 및 인시던트 관리DS10 문제관리DS13 운영관리

<표-17> IT거버넌스 구성을 위한 프로세스 도출

계획수립과 조직화 도메인에서는 9개 프로세스, 도입과 구축 도메인은 6개의 프로세스, 모니터링과 평가 도메인은 3개의 프로세스, 운영과 지원 도메인은 5개의 프로세스를 도출하였다.

80 도출된 프로세스를 시급성, 성공가능성, ITA와의 연계성 및 IT거버넌스의 필수조건을 고려하여 전체 로드맵을 구성한다.ITA 구축 전 까지 정보화 및 정보자산에 대한 타당성 평가 및 내부 모니터링을 실시하고, BSC 기준의 프로젝트 진도관리를 시행으로 BSC를 기준으로 구체화하며, ITA 거버넌스 범위를 벗어나는 부분은 COBIT의 프로세스 기준으로 전체 로드맵을 구성하였다.o IT 거버넌스 체계구축(준비) - 2008년 - ITA 도입 전까지 제도 및 규정 마련을 마련하는 단계로서, 전사적 프로젝트의 통제 및 조정 기능 구성 - 프로젝트간의 의사소통 채널 역할 및 각 부서별 IT 관련 이슈사항을 수집 전사적으로 수집하고 해결하는 HELP

DESK, 사전 RFP 검토 및 최종산출물의 검수를 통하여 IT자원에 대한 조정 및 통제의 모니터링 체계 구축

- 경영진의 목표 및 방침을 전파 - 개발, 운영, 장비도입, DB구축 등의 지침 개발하여 전사적인 표준으로 제정 및 시행 - ITA 구축을 위한 정보화 전략계획 수립 - 정보 아키텍처의 정의 - 전사적 프로젝트 관리를 위한 정보시스템의 구축 ․프로젝트 관리를 정보화하여, 위험요소의 형상화를 통한 사업의 사업 위험 감소와 각 프로젝트별 이슈사항을 지식정보화 함으로써, 위험 및 실수 요소의 반복을 최소화하며, 최종산출물의 표준화를 통한 KISTI가 요구하는 품질 확보.

81o 성숙 - 2009 ~ 2010

- ITA가 도입됨에 따라 도입기에서 마련된 제도 및 규정을 성숙하는 단계로서, 투자 및 보안 기능 구성 - ITA 관점에서의 중복투자에 대한 관리 - 시스템 변경에 따른 조정 기능 - 관련시스템 확보 - IT 거버넌스 관점에서의 형상관리 시스템 구축 - 성과관리시스템과의 연계o 완성 - 2011 ~

- 완성단계로서 운영 및 변경 기능 구성 - 변경관리 및 IT 자원의 운영, 사용 관리4. 2008년년년년도도도도 사사사사업업업업 내내내내용용용용

2008년도 사업 중에서 RFP 및 최종산출에 대한 내용을 상세히 기술한다.o RFP 작작작작성성성성 프프프프로로로로세세세세스스스스의의의의 재재재재정정정정립립립립 전략사업실은 KISTI 정보시스템 구축 및 관리의 효율화를 위한 ITA 시스템 구축과 BSC를 기반으로 한 혁신경영시스템 구축을 통하여 기관의 정보기술 업무 및 경영혁신을 이룩할 수 있는 업무를 수행하는 조직으로 IT거버넌스의 역역 중 하나인 프로젝트 산출물과 IT서비스 모니터링 및 IT자원의 최

82적화를 위한 일환의 하나로 RFP를 검토함으로써 투자의 효과를 극대화하는 것이 그 목적이다. 목적 달성을 위한 IT 거버넌스 영역에서의 RFP 검토에 관련된 개선사항을 도출하면 다음과 같다.o 웹웹웹웹 개개개개발발발발 지지지지침침침침서서서서의의의의 확확확확대대대대 보보보보완완완완 현재 활용중인 웹 개발 지침서를 DB구축, 장비도입, 컨설팅 및 연구과제 등으로 확대하며, 관련 내용은 명명규칙, 관리지침, 개발지침, 유지보수지침 등의 관련 내용을 추가하여 관리하여야 한다. 특히, 산출물의 경우 필수항목과 선택항목으로 구분하여 RFP에 반영되어야 한다.o RFP의 검토절차의 표준 규정 - 현업은 2중의관리를 받지 않도록 하여야 한다. - 시설자재팀과 공동의 검수 등을 검토 - 불합격인 경우 관리지침 마련이 바람직 - RFP 사전 검토 및 최종산출물의 규정화가 필요 - 위험관리차원에서 장애대책, 보증사항, 교육훈련 규정을 마련하고 관련 관리체계를 구성하여야 한다.

83제5장

V. 결결결결 언언언언

IT투자 증대에 따라 IT의 위험이 증가하고 그 성과에 대한 기대 또한 높아지면서 IT를 기업 경영전략의 핵심적 요소로 인식하게 된 기업 중에 KISTI도 예외일 수 없다. 정보자산의 효율적인 도입 및 관리를 위한 정보기술아키텍처(ITA) 중 업무아키텍처에 대한 일부를 구축하였으며 전면적인 ITA도입을 2008년도에 계획하고 있다. 또한 전사 차원의 정보화 총괄기획 및 관리, 정보자원의 체계적인 통합관리 및 최적화, 정보자원 투자 효과 및 성과 제고 등을 위하여 ‘07년도에 성과경영과 경영의 자율 및 책임제를 목적으로 BSC를 구축하였다. 그러나 전략경영을 위한 정보시스템의 도입으로 관련 업무의 확대에 따른 정보시스템의 관리는 무엇보다 중요한 시점이다. KISTI는 정보기술 및 정보자원에 대한 체계적․통합적 관리를 위해 KISTI의 CIO 역할 및 기능을 정의하고 ITA기반의 IT거버넌스의 역할을 규정하였다. KISTI ITA 및 CIO 체제 구축 및 IT거버넌스를 통해 KISTI의 정보시스템 및 정보자원에 대한 도입 및 운영에 대한 관리 통제 규정을 마련하여, 향후 ITA 수행에 대한 기반을 조성함으로써 ITA 도입시 시행착오 감소와 안정적인 정착을 기대할 수 있을 것이다. IT 거버넌스 ISP를 통해 CIO 역할 및 기능을 정립함으로써 체계적 원내 정보화 추진, 중복개발 및 정보자원의 낭비 방지, 재활용성

84증대, 투자효과 개선 등에 대한 기반 마련, 또한 향후 기관 IT 거버넌스 목표를 달성하기 위한 기초로 활용될 것이다. 또한, 기관 CIO 역할 정립과 IT 거버넌스 방안 연구결과는 정보화 전략 부서의 역할과 절차 정립을 위한 시발점이 될 것이다.

85참참참참 고고고고 문문문문 헌헌헌헌

[1] 강재혁, 조직의 ITA/EA 기능이 IT거버넌스에 미치는 영향, 국내대학교 석사논문, 2006[2] 구본재, 권민영, 김종석, 경영혁신을 위한 IT거버넌스, 네모북스, 2007.9[3] 김경섭, 정부 정보화첵임관(CIO)들이 인지하는 전자정부의 주요이슈, 정보통신정책ISSUE, 제13권 3호 통권 127호, 2001.4[4] 김상일, IT거버넌스, 외형보다 본질에 집중하라, LG주간경제,

2006.7

[5] 김왕성, 전략적 기업 경영시스템의 이해, 삼성 SDS IT Review, 2002. 8

[6] 박종순, 이동욱, 전중양, 정보담당임원(CIO)의 리더십이 정보시스템(IS) 성과에 미치는 영양에 관한 연구, 한국인터넷정보학회(7권 2호), 2006. 3[7] 전성현, EA와 IT거버넌스, 이슈레포트, KERIS, 2006.12[8] 안상협, 김창대, 정보담당 임원(CIO)의 조직내 의사소통 역할에 관한 연구, 동서대학교 동서눈문집, pp479~496, 1999.12[9] KIPA, IT거버넌스 국내동향과 전망, KIPA, 2006.12[10] 임혁백, IT와 공공거버넌스의 새로운 페러다임, 정보통신정책연구원, 2005.2[11] 윤의석, IT Governance와 ITA 연관성 및 활용방안, 정보사회연구원, 2006. 4[12] 피터웨일, 진 로스, 류명제 역, 거버넌스 최고 기업들의 IT 의사결정방법, 인터워크솔루션(주), 2006.3[13] http://blog.naver.com/winrate/120029824631

[14] http://blog.naver.com/winrate/120029824753

86

부 부 부 부 록록록록

87<별첨> 연계성 검토회의 결과보고서본과제명사업기간 연구책임자용역과제명수행기간 용역업체명회의일자 회수검토회의결과문제점 및 보완사항

200 . . .담당 실장 부장

88RFP 검토 의견서본과제명사업기간 연구책임자용역과제명수행기간 용역업체명RFP 검토의견서

연계성 검토회의(2회 이상)최종검수(1회이상)

200 . . .담당 실장 부장

89최종 산출물 검토의견서본과제명사업기간 연구책임자용역과제명수행기간 용역업체명검수일자 회수최종산출물 검토의견문제점 및 보완사항

200 . . .담당 실장 부장

과학기술 과학기술 과학기술 과학기술 분야분야분야분야

「정보화수준평가 항목․지표」

해설집해설집해설집해설집

2222 0000 0000 7777

과 학 기 술 부

과과과과학학학학기기기기술술술술 분분분분야야야야

「정보화수준평가 항목․지표」

해해해해설설설설집집집집

2222 0000 0000 7777

과 학 기 술 부

이 해설집은『과학기술기본법』제 26조 동법 시

행령 제 40조 및『전자정부 구현을 위한 행정업

무 등의 전자화 촉진에 관한 법률』제 52조를 근

거로 과학기술 분야 정부출연(연)의 정보화수준

제고 및 정보보호 강화를 위하여, 과학기술부에

서 시행하고 있는『과학기술 정보화 수준평가』

의 평가항목․지표 등에 대한 평가목표․방법․

근거 등을 설명하고 있으며, 전문연구진 및 관련

기관과의 협의 하에 작성되었음.

평가 항목

□□□□ 과학기술과학기술과학기술과학기술『『『『정보화 정보화 정보화 정보화 수준평가수준평가수준평가수준평가』』』』 항목항목항목항목････지표지표지표지표평가 평가 평가 평가 항목항목항목항목 평가 평가 평가 평가 지표지표지표지표 비 비 비 비 고고고고대분류대분류대분류대분류 중분류중분류중분류중분류� 정보화기반조성 � 정보화 리더십 � CEO･CIO의 정보화 추진의지 ■■■■, , , , ◇◇◇◇� 정보화 관련 예산 투자 수준 □□□□, , , , ◈◈◈◈� 정보화 제도･조직 및 � 정보화 관련 규정･지침 보유현황 ■■■■, , , , ◆◆◆◆� 정보화 관련 조직･인력 현황 □□□□, , , , ◈◈◈◈� 정보화적용･운영

정보화 추진전략 수준 정보화 전략계획 수립현황 및조직정책･전략과의 연계성 수준 ■■■■, , , , ◇◇◇◇� 당해년도 정보화 추진계획･실행현황 ■■■■, , , , ◇◇◇◇� 연간 정보보호 추진계획･실행현황 ■■■■, , , , ◈◈◈◈ 정보화 인프라 수준 � 소프트웨어 자원 확보･관리 수준 ■■■■, , , , ◆◆◆◆� 네트워크 자원 확보･관리 수준 ■■■■, , , , ◆◆◆◆� 데이터베이스 확보･관리 수준 ■■■■, , , , ◆◆◆◆� 정보보호시스템 확보･관리 수준 □□□□, , , , ◆◆◆◆� 정보화 응용 수준 � 핵심 업무의 정보화 수준 □□□□, , , , ◇◇◇◇� 그룹웨어 운영 현황 ■■■■, , , , ◆◆◆◆� 온라인 서비스 운영 현황 ■■■■, , , , ◆◆◆◆�정보화효과 � 정보화 수준 개선정도 � 업무효율성 향상 수준 ■■■■, , , , ◈◈◈◈� 지식･정보 공유 활성화 수준 ■■■■, , , , ◆◆◆◆� 정보보호 수준 개선 정도 � 대외 모의훈련 대응 수준 ■■■■, , , , ◆◆◆◆� 07년 을지 사이버 戰 대응 수준 ■■■■, , , , ◆◆◆◆※※※※ 범례 범례 범례 범례 : : : : ■■■■((((공통지표공통지표공통지표공통지표), ), ), ), □□□□((((개별지표개별지표개별지표개별지표), ), ), ), ◆◆◆◆((((정량적정량적정량적정량적), ), ), ), ◇◇◇◇((((정성정성정성정성적적적적), ), ), ), ◈◈◈◈((((혼합형혼합형혼합형혼합형))))

951111 정보화 정보화 정보화 정보화 기반조성기반조성기반조성기반조성

���� 정보화 정보화 정보화 정보화 리더십리더십리더십리더십

����『『『『CEO CEO CEO CEO 및 및 및 및 CIOCIOCIOCIO』』』』의 의 의 의 정보화 정보화 정보화 정보화 추진의지추진의지추진의지추진의지번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 『『『『CEO』』』』의의의의 정정정정보보보보화화화화에에에에 대대대대한한한한 관관관관심심심심도도도도 공통지표정 성 적∘『CEO』가 기관 정보화 관련 현황에 대하여 알고 있는가 ?∘『CEO』가 기관 핵심 정보화전략에 대하여 이해하고 있는가 ?����-2-2-2-2 『『『『CIO』』』』의의의의 정정정정보보보보화화화화 활활활활동동동동정정정정도도도도 및및및및 이이이이해해해해도도도도 공통지표정 성 적∘『CIO』가 직책을 맡은 후 역점을 두고 있는 사안은 무엇인가 ?∘ 기관의 핵심 정보화전략은 무엇인가?∘ 기관 정보화의 가장 시급한 문제는 무엇이라고 생각하는가 ?∘ 급변하는 정보화 환경변화에 대한 기관의 현재 위치와 향후 추진방향은 무엇이라 생각하는가?평가항목 평가항목 평가항목 평가항목 해설해설해설해설평평평평가가가가목목목목표표표표 ∘ 종합적∘체계적인 기관 정보화 추진을 위해서는 기관장 및 정보화담당관의 역할정립과 지속적인 관심 및 참여가 중요한 요소이다.∘ 이에, 기관장∘정보화담당관이 기관의 전체적인 정보화를 적극적으로 추진하고자 하는 의지를 보유하고 있는지를 확인하고자 한다.평평평평가가가가방방방방법법법법 ∘ 패널평가 시 상세지표(6개) 질의&응답을 통한『인터뷰』수행 ※ 각 질문내용에 대한 CEO와 CIO의 응답이 정보화 추진의지와 부합된다고 판단되면 ‘예’, 그렇지 않으면 ‘아니오’를 부여

평평평평가가가가근근근근거거거거 ∘∘∘∘『『『『CEO』』』』의의의의 정정정정보보보보화화화화 추추추추진진진진의의의의지지지지에에에에 대대대대한한한한『『『『인인인인터터터터뷰뷰뷰뷰』』』』결결결결과과과과 (정정정정성성성성적적적적)

- 정보화 현황(예산, 인력, 부서현황 등) 파악 정도 및 자체적으로 현재 정보화 수준을 진단∘판단하고 인식하고 있는지 여부 - 정보화 추진전략이 기관장 승인 하에 추진되고 있는지, 핵심 내용에 대해 어느 정도 관심을 가지고 있는지 여부∘∘∘∘『『『『CIO』』』』의의의의 정정정정보보보보화화화화 추추추추진진진진에에에에 대대대대한한한한 이이이이해해해해∘∘∘∘활활활활동동동동 정정정정도도도도『『『『인인인인터터터터뷰뷰뷰뷰』』』』결결결결과과과과 -『CIO』의 직무에 대한 이해정도 및 재직 기간 중 역점을 두어 추진하고 있는 핵심 사안(사업, 인력 등)이 구체적∘체계적인지 여부 - 기관 정보화 추진전략 핵심내용이 구체적이고 체계적인지 여부 - 정보화 추진 시 애로사항 및 현재 기관 정보화 추진 수준과 향후 정보화 관련 비전이 구체적이고 체계적인지 여부 ※ 정보화 개념은 정보보호를 포괄하는 상위 개념

96 ���� 정보화 정보화 정보화 정보화 관련 관련 관련 관련 예산 예산 예산 예산 투자 투자 투자 투자 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 정보화 정보화 정보화 정보화 예산 예산 예산 예산 투자 투자 투자 투자 수준수준수준수준 개별지표혼 합 형∘ 기관의 2007년도 전체 경영예산 중에서 정보화 예산 투자 비율의 전년대비 개선 정도는 어느 정도 수준인가 ? ① +10% 이상 ② -10% 이상 ~ +10% 미만 ③ -10% 미만평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관 정보화 수준 진단․ 분석을 통해 종합적이고 체계적으로 관리하기 위해서는 기관 환경에 따른 적절한 예산 투자가 선행되어야 한다.∘ 이에, 기관 환경에 따른 정보화 추진을 위한 예산이 적정 수준으로 책정되어 투자되고 있는지 여부를 확인하고자 한다.

평가방법평가방법평가방법평가방법∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로현장평가(사실여부 확인) 및 패널평가(소명사유 인정여부 판단) 수행 - 06년도 정보화 예산 투자 비율 산정방법 ⓐ 06년도 전체 경영 예산 ⓑ 06년도 정보화 예산 ⓒ 06년도 정보화 예산 투자 비율 = ( ⓑ ÷ ⓐ ) × 100 - 07년도 정보화 예산 투자 비율 산정방법 ⓓ 07년도 전체 경영 예산 ⓔ 07년도 정보화 예산 ⓕ 07년도 정보화 예산 투자 비율 = ( ⓔ ÷ ⓓ ) × 100 - 전년대비 정보화 예산의 개선 정도(%) = ( ( ⓕ ÷ ⓒ ) × 100 ) - 100

평가근거평가근거평가근거평가근거 ∘ 기관 정보화 추진을 위해 투자된 예산 입증 자료 제시 - 정보화 추진을 위해 투자된 예산이 전년도에 집중되어 당해연도 투자 비율이 현저히 줄어들었을 경우, 이에 대한 구체적인 사유 제시 필요 ※ 평가위원의 판단 하에 평가결과에 반영 ※ 기관 전체 경영 예산 : 기본사업 + 수탁사업 + 일반사업 모두 포함 ※ 기관 정보화 예산 : 기관 행정 + 경영 효율성 제고 위한 예산으로 한정

97번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 정보보호 정보보호 정보보호 정보보호 예산 예산 예산 예산 투자 투자 투자 투자 수준수준수준수준 개별지표혼 합 형∘ 기관의 2007년도 정보화 예산 중에서 정보보호 예산 투자 비율의 전년대비 개선 정도는 어느 정도 수준인가 ? ① +10% 이상 ② -10% 이상 ~ +10% 미만 ③ -10% 미만평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관 정보보호 수준 진단․ 분석을 통해 종합적이고 체계적으로 관리하기 위해서는 기관 환경에 따른 적절한 예산 투자가 선행되어야 한다.∘ 이에, 기관 환경에 따른 정보보호를 추진하기 위한 예산이 적정 수준으로 책정되어 투자되고 있는지 여부를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로현장평가(사실여부 확인) 및 패널평가(소명사유 인정여부 판단) 수행 - 06년도 정보보호 예산 투자 비율 산정방법 ⓐ 06년도 정보화 예산 ⓑ 06년도 정보보호 예산 ⓒ 06년도 정보보호 예산 투자 비율 = ( ⓑ ÷ ⓐ ) × 100 - 07년도 정보보호 예산 투자 비율 산정방법 ⓓ 07년도 정보화 예산 ⓔ 07년도 정보보호 예산 ⓕ 07년도 정보보호 예산 투자 비율 = ( ⓔ ÷ ⓓ ) × 100 - 전년대비 정보보호 예산의 개선 정도(%) = ( ( ⓕ ÷ ⓒ ) × 100 ) - 100평가근거평가근거평가근거평가근거 ∘ 기관 정보보호 추진을 위해 투자된 예산 입증 자료 제시 - 정보보호 추진을 위해 투자된 예산이 전년도에 집중되어 당해연도 투자 비율이 현저히 줄어들었을 경우, 이에 대한 구체적인 사유 제시 필요 ※ 평가위원의 판단 하에 평가결과에 반영 ※ 기관 정보화 예산 : 기관 행정 + 경영 효율성 제고 위한 예산으로 한정 ※ 기관 정보보호 예산 : 기관의 내부 정보시스템 및 자원에 대한 정보보호 업무를 위한 예산에 한정

98���� 정보화 정보화 정보화 정보화 제도제도제도제도････조직 조직 조직 조직 및 및 및 및 인력 인력 인력 인력 수준수준수준수준

���� 정보화 정보화 정보화 정보화 관련 관련 관련 관련 규정규정규정규정････지침 지침 지침 지침 보유 보유 보유 보유 현황현황현황현황번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 정보화 정보화 정보화 정보화 관련 관련 관련 관련 규정규정규정규정････지침 지침 지침 지침 보유 보유 보유 보유 여부여부여부여부 공통지표정 량 적∘ 정보화 관련 규정･지침이 마련되어 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 체계적인 정보화 추진을 위해서는 규정․제도 마련이 필수적이다.∘ 특히, 정보화․ 정보보호 관련 업무에 대한 규정 및 운영지침 등을 원규집 또는 규정집 내에 포함시켜 추진하는 것이 바람직하다.∘ 이에, 기관의 정보화 및 정보보호 업무를 종합적･체계적으로 추진하기 위한 제도적 차원의 상위 규정, 운영지침 등이 제정되어 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 다음과 같은 경우 정보화 관련 규정･지침의 보유를 인정함 ⓐ 최상위 규정집(원규) 내에 정보화 및 정보보호 관련 규정이 포함되어 있는 경우 인정 ⓑ 최상위 규정집(원규) 내에 “정보화 및 정보보호 관련 규정은 OOO운영지침을 따른다.”라는 형태로 명시되어 있으며, 별도의 운영지침이 마련되어 있는 경우 인정평가근거평가근거평가근거평가근거 ∘ 기관 정보화 및 정보보호 관련 규정･지침 입증 자료 제시 - 최상위 규정집(원규), 정보화 또는 정보보호 운영지침 등 ※ 별도의 운영지침을 두고 이를 준수한다고 명시한 경우,기관 내부에서 자체적으로 제정하여 활용하고 있는 규정 및 지침만 인정 (예컨대, ‘국가정보원 OOO 규정을 준수함’과 같은 형태는 불인정)

99번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 정보시스템 정보시스템 정보시스템 정보시스템 비상계획 비상계획 비상계획 비상계획 관련 관련 관련 관련 지침 지침 지침 지침 보유 보유 보유 보유 여여여여부부부부 공통지표정 량 적∘ 정보시스템 비상계획에 관한 지침･절차가 마련되어 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 체계적인 정보화 추진을 위해서는 규정․제도 마련이 필수적이다.∘ 특히, 비상시 정보시스템에 대한 신속하고 체계적인 대응이 이루어질 수 있도록 대응 절차 및 지침을 마련하여 추진하는 것이 바람직하다.∘ 이에, 기관의 정보화 및 정보보호 업무를 종합적･체계적으로 추진하기 위한 제도적 차원의 정보시스템 비상계획 관련 절차, 운영지침 등이 제정되어 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 다음과 같은 경우 정보시스템 비상계획 관련 지침･절차의 보유를 인정 ⓐ 기관 자체적으로 사이버안전 분야『위기대응 실무매뉴얼』을 작성하여 운용하고 있는 경우 인정 ⓑ 과학기술부 사이버안전 분야『위기대응 실무매뉴얼』내에 명시된 항목들에 대하여 별도의 세부 운영지침 및 절차를 자체적으로 작성하여 운용하고 있는 경우 인정평가근거평가근거평가근거평가근거 ∘ 기관 정보시스템 비상계획 관련 절차･지침 입증 자료 제시 - 기관 자체적으로 사이버안전 분야『위기대응 실무 매뉴얼』또는 이에 준용하는 모든 정보시스템 비상계획 절차 및 운영지침 등

100번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 정보시스템 정보시스템 정보시스템 정보시스템 보안관리 보안관리 보안관리 보안관리 관련 관련 관련 관련 지침 지침 지침 지침 보유 보유 보유 보유 여부여부여부여부 공통지표정 량 적∘ 정보시스템 보안 관리에 관한 지침･절차가 마련되어 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 체계적인 정보화 추진을 위해서는 규정․제도 마련이 필수적이다.∘ 특히, 사이버 위협 상황으로부터 정보시스템 및 중요연구정보를 보호하기 위한 대응 절차 및 지침을 마련하여 추진하는 것이 바람직하다.∘ 이에, 기관의 정보화 및 정보보호 업무를 종합적･체계적으로 추진하기 위한 제도적 차원의 정보시스템 보안관리 관련 절차․운영지침 등이 제정되어 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 다음과 같은 보안관리 관련 지침･절차 중 3개 이상을 세분화･명문화하여 운용중인 경우 정보시스템 보안관리 관련 지침･절차의 보유를 인정 ⓐ 개인정보보호 지침･절차 ⓑ『USB』관리 지침･절차 ⓒ 정보공개 관련 지침･절차 ⓓ 기타 (정보보호 또는 보안관리와 관련되어 세부적인 절차 등을 명시한 별도의 지침이 존재할 경우 이를 인정)평가근거평가근거평가근거평가근거 ∘ 기관 정보시스템 보안관리 관련 절차･지침 입증 자료 제시 - 정보보호 또는 보안관리 관련 세부 절차, 운영지침 등 ※ 기관 내부에서 자체적으로 제정하여 활용하고 있는 운영지침만 인정 (예컨대, ‘국가정보원 OOO 지침을 준수함’과 같은 형태는 불인정)

101 ���� 정보화 정보화 정보화 정보화 관련 관련 관련 관련 조직조직조직조직････인력 인력 인력 인력 현황현황현황현황번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 보안심사위원회 보안심사위원회 보안심사위원회 보안심사위원회 구성구성구성구성････운영 운영 운영 운영 여부여부여부여부 개별지표정 량 적∘ 보안심사위원회를 구성하여 주기적으로 운영하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보보호 업무를 효과적으로 추진하기 위해서는 정보보호 업무 전반에 걸쳐 체계적인 의사결정 절차․ 조직이 요구되어진다.∘ 특히, 보안심사위원회를 구성하여 이를 통해 정보보호 관련 중요 안건에 대한 토의-결정-보고-시행을 추진하는 것이 바람직하다.∘ 이에, 기관의 정보보호 업무를 종합적･체계적으로 추진할 수 있도록 적절한 관련 조직을 구성하여 주기적으로 운영하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 다음 사항을 모두 만족하는 경우『보안심사위원회』구성 및 주기적 운영 여부를 인정 ⓐ 보안심사위원회를 구성하고 소속 위원들에 대한 인사발령을 명문화 ⓑ 보안심사위원회를 통해 연간 1회 이상 주기적으로 운영 ⓒ 보안심사위원회를 회의 시 정보보호 안건을 연간 1회 이상 논의평가근거평가근거평가근거평가근거 ∘『보안심사위원회』구성 및 주기적 운영 입증 자료 제시 - 보안심사위원회 소속 위원에 대한 인사발령 자료 - 보안심사위원회 운영 회의록 ※ 보안심사위원회의 주기적 운영을 입증하기 위하여 최근 2년간의 운영 회의록(정보보호 관련 안건이 포함되어야 함)을 제시할 경우 인정

102번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 정보보호 정보보호 정보보호 정보보호 전문가 전문가 전문가 전문가 보유 보유 보유 보유 여부여부여부여부 개별지표정 량 적∘ 정보보호 업무를 수행하기 위하여 전문가를 1인 이상 확보하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보보호 업무를 효과적으로 추진하기 위해서는 정보보호 인력 확충 및 역량강화를 위한 지속적인 노력이 요구되어진다.∘ 특히, 정보보호 업무 특수성으로 인하여 해당 분야에 대한 전문지식․ 경험을 갖춘 전문가 확보를 통해 정보보호 업무를 추진하는 것이 바람직하다.∘ 이에, 기관의 정보보호 업무를 효율적으로 추진할 수 있도록 적절한 인력 수준을 갖추고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 다음과 같은 경우 정보보호 전문가 확보 여부를 인정 ⓐ 정보보호 관련 전공(석사, 박사)을 이수한 정규직원이 현재 기관의 정보보호 업무를 담당하고 있는 경우 ⓑ 정보보호 관련 경력이 3년 이상인 정규직원이 현재 기관 정보보호 업무를 담당하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 정보보호 전문가 보유 여부 입증 자료 제시 - 정보보호 전공 학위 또는 경력 증빙자료 - 정보보호 전문가 인사발령 서류 ※ 해당 정보보호 전문가가 현재 정보보호 업무를 수행하고 있음을 입증할 수 있어야 인정 (정보보호 업무 담당 부서 내 해당 전문가의 업무내용을 증빙할 수 있는 업무분장표 등을 함께 제시해야 함)

103번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 정보화 정보화 정보화 정보화 역량강화 역량강화 역량강화 역량강화 계획수립계획수립계획수립계획수립････시행 시행 시행 시행 여부여부여부여부 개별지표정 량 적∘ 기관 인력에 대한 지속적인 정보화 역량 강화를 위한 교육계획을 수립하여 시행하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보보호 업무를 효과적으로 추진하기 위해서는 정보보호 인력 확충 및 역량강화를 위한 지속적인 노력이 요구되어진다.∘ 특히, 급변하는 정보기술 환경에 신속하고 정확하게 대응하기 위해서는 기관 인력 전반에 걸친 체계적인 정보화 교육계획을 수립하여 지속적으로 역량강화를 추진하는 것이 바람직하다.∘ 이에, 기관 인력에 대한 지속적인 정보화 역량 강화를 위해 적절한 수준의 교육을 계획․ 시행하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 다음 사항을 모두 만족하는 경우 정보화 역량강화 계획수립･시행 여부 인정 ⓐ 기관 전체 인력을 대상으로 하는 연간 정보화 교육계획서를 작성하고 내부결재를 획득 ⓑ 연간 정보화 교육계획 대비 90% 이상 교육을 시행평가근거평가근거평가근거평가근거 ∘ 정보화 교육 계획수립･시행 여부 입증 자료 제시 - 연간 정보화 교육 계획서 ※ 정보화 교육 계획서는 내부결재를 득하여야 하며, 기관 전체 인력에 대한 교육계획을 명시하고 있어야 인정함 - 교육 시행 또는 이수 확인 증빙자료 ※ 기관 내부 집합교육, 세미나, 워크숍, 정규교육기관 등에서 수행된 교육을 모두 인정하며, 교육 시행․ 이수를 확인할 수 있도록 객관적인 데이터(계획 대비 교육이수 인원 수, 교육시행 건수, 교육시간 등)를 함께 제시해야 함

104

평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표

∘ 기관의 정보보호 업무를 효과적으로 추진하기 위해서는 정보보호 인력 확충 및 역량강화를 위한 지속적인 노력이 요구되어진다.∘ 특히, 급변하는 정보기술 및 정보보호 환경에 신속･정확하게 대응하기 위해서는 기관 인력 전반에 걸친 체계적인 정보보호 교육을 통해 지속적으로 역량강화를 추진하는 것이 바람직하다.∘ 이에, 기관 인력에 대한 지속적인 정보보호 역량 강화를 위하여 적절한 수준의 교육을 이수하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 수행 - 정보보호 집합교육 시행 수준 ⓐ 기관 전직원 대상 정보보호 집합교육의 시행 수준을 선택 ․ 상(10점) : 연간 4회 이상 시행 ․ 중( 6점) : 연간 2회 이상 시행 ․ 하( 2점) : 연간 2회 미만 시행 - 사이버 정보보호 교육 시행 수준 ⓑ 기관 전 직원 대상 사이버 정보보호 교육의 시행 수준을 선택

번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-4-4-4-4 정보보호 정보보호 정보보호 정보보호 교육 교육 교육 교육 수준수준수준수준 개별지표정 량 적∘ 기관 인력에 대한 지속적인 정보보호 역량 강화를 위한 교육을 어느 정도 수준으로 시행하고 있는가 ? ① 상 ② 중 ③ 하

105 ․ 상( 5점) : 연간 12회 이상 시행 ․ 중( 3점) : 연간 6회 이상 시행 ․ 하( 1점) : 연간 6회 미만 시행 - 전문 정보보호 교육 참여 수준 ⓒ 기관 전 직원 대상 전문 정보보호 교육의 이수 수준을 산정= ( 교육 이수자 수 ÷ 정보화 인력 수 ) × 15점 × 시간가중치가중치가중치가중치가중치 설 설 설 설 명명명명1 정보화 인력 1인당 평균 정보보호 교육훈련 시간이 350.8 정보화 인력 1인당 평균 정보보호 교육훈련 시간이 21~ 35시간 미만0.6 정보화 인력 1인당 평균 정보보호 교육훈련 시간이 21 - 정보보호 교육 수준 ( ⓐ + ⓑ + ⓒ ) ․ 상 : 항목별 점수의 합계가 25점 이상인 경우 ․ 중 : 항목별 점수의 합계가 15점 이상인 경우 ․ 하 : 항목별 점수의 합계가 15점 미만인 경우평가근거평가근거평가근거평가근거

∘ 정보보호 교육 이수 여부 입증 자료 제시 - 연간 정보보호 집합교육 시행문 및 교육자료 - 연간 사이버 정보보호 교육 게시물 및 교육자료 - 연간 전문 정보보호 교육 이수증 ※ 세미나, 워크숍 참석 등은 불인정하며, 정보보호 전문 교육기관에서 수행된 교육만을 인정 ※ 기관 정보화 업무를 수행하고 있는 정규직 직원을 대상으로 한정, 1일당 교육이수 시간은 7시간으로 계상

106번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-5-5-5-5 정보화 정보화 정보화 정보화 인력 인력 인력 인력 개선 개선 개선 개선 수준수준수준수준 개별지표혼 합 형∘ 기관의 전체 인력 중에서 정보화 인력 비중의 전년대비 개선 정도는 어느 정도 수준인가? ① +0.1% 이상 ② -0.1% 이상 ~ +0.1% 미만 ③ -0.1% 미만평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보보호 업무를 효과적으로 추진하기 위해서는 정보보호 인력 확충 및 역량강화를 위한 지속적인 노력이 요구되어진다.∘ 특히, 급변하는 정보기술 환경에 신속･정확하게 대응하기 위해서는 정보화 인력구조의 계획적인 개선을 통해 적재적소에 배치하는 것이 바람직하다.∘ 이에, 기관의 지속적인 정보화 역량 강화를 위하여 적절한 수준의 인력구조 개선이 이루어지고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 및 패널평가(소명사유 인정여부 판단) 수행 - 06년도 정보화 인력 비중 산정방법 ⓐ 06년도 기관 전체 정규직원 인력 수 ⓑ 06년도 기관 내부 정보화 업무 담당 정규직원 인력 수 ⓒ 06년도 정보화 인력 비중 = ( ⓑ ÷ ⓐ ) × 100 - 07년도 정보화 인력 비중 산정방법 ⓓ 07년도 기관 전체 정규직원 인력 수 ⓔ 07년도 기관 내부 정보화 업무 담당 정규직원 인력 수 ⓕ 07년도 정보화 인력 비중 = ( ⓔ ÷ ⓓ ) × 100 - 전년대비 정보화 인력 비중의 개선 정도(%)= ( ( ⓕ ÷ ⓒ ) × 100 ) - 100평가근거평가근거평가근거평가근거 ∘ 기관 정보화 인력 비중 입증 자료 제시 - 정보화 인력이 전년도 대량 확충 등으로 인해 당해연도 인력 비중이 크게 줄어들었을 경우, 이에 대한 구체적인 사유를 제시해야 함 ※ 평가위원의 판단 하에 평가결과에 반영 ※ 인력 수 산정은 당해연도 12월 말 기준으로 함

1072222 정보화 정보화 정보화 정보화 적용적용적용적용････운영운영운영운영

���� 정보화 정보화 정보화 정보화 추진전략 추진전략 추진전략 추진전략 수준수준수준수준

���� 정보화 정보화 정보화 정보화 전략계획 전략계획 전략계획 전략계획 수립현황 수립현황 수립현황 수립현황 및 및 및 및 조직정책조직정책조직정책조직정책････전략과의 전략과의 전략과의 전략과의

연계성 연계성 연계성 연계성 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분�-1 정보화 정보화 정보화 정보화 전략계획 전략계획 전략계획 전략계획 수립 수립 수립 수립 여부여부여부여부 공통지표정 성 적∘ 전사적『정보화 전략계획』을 수립하고, 이를 기반으로 체계적인 기관 정보화를 추진하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보화에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 기관의 특수성 및 정보기술의 환경변화 등을 분석하여 장기적인 정보화 추진 로드맵이라 할 수 있는 전사적 정보화 추진계획․ 전략을 수립하여 체계적으로 정보화를 추진하는 것이 바람직하다.∘ 이에, 현실적인 단기-중기-장기 정보화 추진계획․전략 수립을 기반으로 기관 정보화를 효과적으로 추진하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 패널평가 수행 (정보화 추진계획․ 전략 인정여부 판단) - 다음과 같은 경우 정보화 전략계획 수립 여부를 인정함 ⓐ 기관 내부에서 자체적으로 단기-중기-장기적 정보화 추진계획･전략을 수립하고, 이를 기반으로 정보화를 추진하고 있는 경우 ⓑ 기관 외부의 전문 컨설팅 기관에 의뢰하여 단기-중기-장기 정보화 추진계획･전략을 수립, 이를 기반으로 정보화를 추진하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 전사적 정보화 추진계획전략계획 수립 입증 자료 제시 - 전사적 정보화 추진계획․전략 수립서 (3년 이내) ※ 단기-중기-장기로 구분된 정보화 추진계획･전략이 명시되어 있으며, 기관장의 결재를 득한 문서의 경우도 인정함 ※ 이를 기반으로 수행된 정보화 실행내역을 증빙할 수 있는 자료를 함께 제출해야 함(예컨대, 정보화 전략계획 내에 정보시스템 도입 항목이 명시되어 있을 경우, 해당 정보시스템을 도입한 검수조서 등을 제시)

108번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분�-2 정보화 정보화 정보화 정보화 전략계획과 전략계획과 전략계획과 전략계획과 기관 기관 기관 기관 정책정책정책정책････전략과의 전략과의 전략과의 전략과의 연연연연계성 계성 계성 계성 수준수준수준수준 공통지표정 성 적∘ 전사적『정보화 전략계획』을 수립하고, 이를 기반으로 체계적인 기관 정보화를 추진하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보화에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 정보화 추진과 관련된 정부의 정책과 기관의 주요정책․ 전략을 분석하고 이를 정보화 추진계획․전략에 반영하여 체계적으로 정보화를 추진하는 것이 바람직하다.∘ 이에, 전사적 정보화 추진계획․ 전략이 기관의 주요정책과 연계되어 실행되고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 패널평가 수행 (연계성 인정여부 판단) - 다음과 같은 경우 정보화 추진계획․ 전략과 기관 주요정책과의 연계성 여부를 인정함 ⓐ 기관의 주요 정책을 지원하기 위한 내용이 전사적『정보화 추진계획․전략서』에 포함되어 있는 경우평가근거평가근거평가근거평가근거 ∘ 정보화 추진 계획과 기관의 주요 정책의 연계성 입증 자료 제시 - 전사적 정보화 추진계획․전략 수립서 (3년 이내) - 기관의 주요 정책･전략･계획이 포함된 주요 문서 ※ 주요 문서는 기관장의 결재를 득한 문서로 한정함

109 ���� 당해연도 당해연도 당해연도 당해연도 정보화 정보화 정보화 정보화 추진계획 추진계획 추진계획 추진계획 및 및 및 및 실행 실행 실행 실행 현황현황현황현황번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 당해연도 당해연도 당해연도 당해연도 정보화 정보화 정보화 정보화 추진계획 추진계획 추진계획 추진계획 수립수립수립수립････이행 이행 이행 이행 여부여부여부여부 공통지표정 성 적∘ 당해연도 정보화 추진계획을 수립하고, 이를 기반으로 정보시스템의 도입 및 개선이 이루어지고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보화에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 전사적 정보화 추진계획․전략을 근간으로 당해연도 정보하 추진계획을 수립하여 체계적으로 정보화를 추진하는 것이 바람직하다.∘ 이에, 당해연도의 정보화 추진계획을 근간으로 효과적인 정보시스템 도입 및 개선이 추진되고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 패널평가 수행 (당해연도 정보화 추진계획 인정여부 판단) - 다음 사항을 모두 만족하는 경우 당해연도 정보화 추진계획 수립･이행 여부를 인정함 ⓐ 전사적 정보화 추진계획․ 전략을 근간으로 당해연도 정보화 추진계획을 수립한 경우 ⓑ 당해연도 정보화 추진계획을 기반으로 정보시스템 도입 및 개선 을 추진한 경우평가근거평가근거평가근거평가근거 ∘ 당해연도 정보화 추진계획 수립･이행 입증 자료 제시 - 당해연도 정보화 추진계획서 ※ 기관장의 결재를 득한 문서로 한정함 - 당해연도 정보시스템 도입 및 개선 사업 내역 설명자료

110번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 기관 기관 기관 기관 내부 내부 내부 내부 자원의 자원의 자원의 자원의 연계 연계 연계 연계 수준수준수준수준 공통지표정 성 적∘ 기관 업무를 처리하기 위하여 요구되어지는 내부 자원들이 적절하게 연계되도록 계획되었는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보화에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 사업계획 수립 시 기관 내부 자원들에 대한 연계, 공동 활용방안 등을 고려하여 불필요한 자원․ 예산의 낭비를 미연에 방지함으로 정보화 추진 효율을 극대화시키는 것이 바람직하다.∘ 이에, 기관 내 관련 정보자원 연계를 위한 검토내역을 사업계획에 반영하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 패널평가 수행 (내부 자원 연계 인정여부 판단) - 다음과 같은 경우 내부 자원 연계 여부를 인정함 ⓐ 기관 내부 자원의 연계를 위한 검토내역을 사업계획에 반영 ※ 자원의 범주 : 정보, 인적 자원, 물적 자원 등 ※ 계획의 범주 : 컨텐트, 인력, 시설, 장비, 교재 등 물적 자원의 연계 또는 공동 활용방안 등평가근거평가근거평가근거평가근거 ∘ 내부 자원 연계 여부 입증 자료 제시 - 기관 내부 자원 연계에 대한 검토내역 - 자원 연계에 대한 검토내역이 반영된 사업계획서 ※ 기관 내･외부 업무보고 자료를 인정함

111 ���� 연간 연간 연간 연간 정보보호 정보보호 정보보호 정보보호 추진계획 추진계획 추진계획 추진계획 및 및 및 및 실행 실행 실행 실행 현황현황현황현황번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 연간 연간 연간 연간 정보보호 정보보호 정보보호 정보보호 활동 활동 활동 활동 추진계획 추진계획 추진계획 추진계획 수립 수립 수립 수립 여부여부여부여부 공통지표정 성 적∘ 기관의 연간 정보보호 활동 추진계획을 수립하고, 이를 기반으로 정보보호 활동을 수행하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관 정보보호를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보보호에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 첨예화되어가는 사이버 위협상황으로부터 핵심 연구정보자원을 효과적으로 보호하기 위해서는 급변하는 정보보호 기술 환경에 대한 검토를 통해 연간 정보보호 활동 추진계획을 수립하여 이를 근간으로 시행하는 것이 바람직하다.∘ 이에, 기관에서 연간 정보보호 활동 추진계획을 수립하여 시행하는지 여부를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 패널평가 수행 (연간 정보보호 활동 추진계획 인정여부 판단) - 다음과 같은 경우 연간 정보보호 활동 추진계획 수립 여부를 인정함 ⓐ 기관의 연간 정보보호 활동에 대한 추진계획을 수립･시행평가근거평가근거평가근거평가근거 ∘ 연간 정보보호 활동 추진계획 수립 입증 자료 제시 - 연간 정보보호 활동 추진계획서 ※ 내부결재를 득한 문서로 한정함

112번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 정보보호 정보보호 정보보호 정보보호 활동 활동 활동 활동 계획의 계획의 계획의 계획의 심사심사심사심사････승인 승인 승인 승인 여부여부여부여부 공통지표정 량 적∘ 기관의 정보보호 관련 활동 계획은『보안심사위원회』에 의하여 심사 및 승인되었는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관 정보보호를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보보호에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 보안심사위원회를 통해 정보보호 활동 계획의 심사․ 승인을 추진하고, 이를 통해 체계적인 정보보호 업무를 추진하는 것이 바람직하다.∘ 이에, 기관의 정보보호 관련 활동 계획이 보안심사위원회에 의하여 심사･승인되고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 정보보호 활동 계획의 심사･승인 여부를 인정함 ⓐ 보안심사위원회를 통해 정보보호 활동 계획이 심사․ 승인되는 경우평가근거평가근거평가근거평가근거 ∘ 정보보호 관련 활동 계획의 심사･승인 입증 자료 제시 - 보안심사위원회 회의록 ※ 보안심사위원회의 안건 중에서 정보보호 관련 활동 계획이 포함되어 있는 경우에만 인정함

113번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 웹 웹 웹 웹 취약점 취약점 취약점 취약점 개선 개선 개선 개선 계획 계획 계획 계획 수립 수립 수립 수립 여부여부여부여부 공통지표정 량 적∘ 기관에서 구축･운영 중인 홈페이지에 대한 웹 취약점 개선을 위하여 종합계획을 수립하였는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관 정보보호를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보보호에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 최근 해커의 주요 공격은 홈페이지 취약점을 이용하고 있는데, 기관의 주요 홈페이지 점검․ 분석을 통한 종합적인 개선계획을 수립하여 체계적으로 정보보호 업무를 추진하는 것이 바람직하다.∘ 이에, 기관의 정보보호 업무 개선을 위한 계획을 수립하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 정보보호 업무 개선 계획 수립 여부를 인정함 ⓐ 과학기술정보보호센터(S&T-SEC)를 통하여 기관에서 운영 중인 대표 홈페이지에 대한 웹 취약점 점검･분석 결과 도출된 문제점을 개선하기 위한 단계별 종합계획을 수립하여 제출했을 경우에만 인정평가근거평가근거평가근거평가근거 ∘ 웹 취약점 개선을 위한 종합계획 입증 자료 제시 - 웹 취약점 개선을 위한 종합계획서

114번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-4-4-4-4 연간 연간 연간 연간 정보보호 정보보호 정보보호 정보보호 대외활동 대외활동 대외활동 대외활동 수준수준수준수준 공통지표정 성 적∘ 정보보호 관련 기관과의 정보공유 및 상호협력 기반을 강화하기 위하여 대외적인 활동을 수행하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관 정보보호를 종합적․ 체계적으로 추진하기 위해서는 단기-중기-장기 추진계획․ 전략을 수립하고, 이를 기반으로 정보보호에 대한 지속적인 분석과 관리가 필수적이다.∘ 특히, 정보보호 업무 수행의 효율성을 극대화하기 위해 관련 기관과의 긴밀한 협력체계를 구축하고 활발한 정보공유 및 대외활동 수행을 기반으로 정보보호 업무를 추진하는 것이 바람직하다.∘ 이에, 기관의 정보보호 관련 기관과의 대외활동을 수행하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 정보보호 대외활동 수행 여부를 인정함 ⓐ 관련 기관으로부터 정보보호와 관련된 평가 및 자문들을 공식적으로 요청받아 이를 수행하였을 경우 ⓑ 정보보호 관련 기관에 대하여 기관 내부의 정보보호와 관련된 평가 및 자문 등을 공식적으로 요청하여 이를 수행하였을 경우평가근거평가근거평가근거평가근거 ∘ 정보보호 대외활동 수행 입증 자료 제시 - 정보보호 대외활동 수행을 위한 공문 및 결과보고서 ※ 비공식적인 절차를 통해 대외활동을 수행하였을 경우에는 이를 인정하지 않음 (예컨대, e-mail을 통한 참석여부 요청 및 답변내용)

115���� 정보화 정보화 정보화 정보화 인프라 인프라 인프라 인프라 수준수준수준수준

���� 소프트웨어 소프트웨어 소프트웨어 소프트웨어 자원 자원 자원 자원 확보 확보 확보 확보 및 및 및 및 관리 관리 관리 관리 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 주요 주요 주요 주요 상용 상용 상용 상용 소프트웨어 소프트웨어 소프트웨어 소프트웨어 보유 보유 보유 보유 수준수준수준수준 공통지표정 량 적∘ 기관의 주요 업무 수행에 필수적인 상용 소프트웨어를 적절하게 도입하여 활용하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 기관의 인력이 업무를 수행하기 위하여 기본적으로 필요한 PC의 사무용 소프트웨어 자원을 충분히 확보함으로 주요 업무 수행을 유도하는 것이 바람직하다.∘ 이에, 기관의 주요 업무 수행에 필수적인 상용 소프트웨어 자원을 적절하게 확보하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) 수행 - 다음 사항을 모두 만족하는 경우 상용 소프트웨어 보유여부를 인정함 ⓐ 기관에서 사용하는 개인용 컴퓨터(PC)와 노트북에 운영체제가 모두 설치되어 운영되고 있는 경우 ⓑ 기관에서 사용하는 개인용 컴퓨터(PC)와 노트북에 기본적인 사무용 소프트웨어가 모두 설치되어 운영되고 있는 경우 ⓒ 기관에서 사용하는 개인용 컴퓨터(PC)와 노트북에 설치･운영 중인 운영체제 및 사무용 소프트웨어에 대하여 기관 인력 규모 대비 100% 라이센스를 보유하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 주요 상용 소프트웨어 보유 입증 자료 제시 - 주요 상용 소프트웨어 라이센스 증서 ※ 운영체제 : 윈도우즈, 상용 리눅스 2종으로 제한 ※ 사무용 소프트웨어 : 글, MS오피스 2종으로 제한 ※ 라이센스 : 기관 통합 라이센스 계약 또는 단위(패키지) 라이센스를 모두 인정하며, 단위(패키지) 라이센스의 경우 비정규직을 포함한 기관 전체 인력 수를 100% 충족시킬 수 있음을 증명하여야만 인정함

116번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 주요 주요 주요 주요 상용 상용 상용 상용 소프트웨어의 소프트웨어의 소프트웨어의 소프트웨어의 통합관리 통합관리 통합관리 통합관리 여부여부여부여부 공통지표정 량 적∘ 기관의 주요 업무 수행에 필수적인 상용 소프트웨어의 배포, 관리를 중앙집중형으로 수행하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 기관의 인력이 업무를 수행하기 위해 기본적으로 필요한 모든 상용 소프트웨어는 기관 차원에서 중앙집중형으로 배포, 관리함으로 기관의 소프트웨어 자원을 체계적으로 관리하는 것이 바람직하다.∘ 이에, 기관의 주요 업무 수행에 필수적인 상용 소프트웨어 자원을 적절하게 관리하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 주요 상용 소프트웨어의 통합관리 여부를 인정함 ⓐ 기관에서 사용하는 주요 상용 소프트웨어를 중앙 관리 서버에서 배포하는 경우 ⓑ 기관에서 사용하는 주요 상용 소프트웨어를 기관 차원의 전담 부서를 통해 통합 관리하는 경우평가근거평가근거평가근거평가근거 ∘ 주요 상용 소프트웨어 통합관리 입증 자료 제시 - 중앙 관리서버 운영 현황을 증명할 수 있는 자료(검수조서, 로그데이터 등) 또는 전담 관리부서의 관리대장 ※ 주요 상용 소프트웨어(윈도우즈, 상용 리눅스, 글, MS오피스 4종으로 제한) ※ 부서별 관리대장을 활용한 관리형태는 불인정

117번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 불법 불법 불법 불법 소프트웨어 소프트웨어 소프트웨어 소프트웨어 점검점검점검점검････지도 지도 지도 지도 수행 수행 수행 수행 여부여부여부여부 공통지표정 량 적∘ 불법 소프트웨어 사용에 대한 정기적인 점검･지도를 수행하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 무분별한 불법 소프트웨어 사용으로 인한 저작권 침해 등에 대한 문제의 경각심을 일깨우고 정품 소프트웨어 사용을 권장하기 위해 정기적인 불법 소프트웨어 점검․ 지도를 수행하는 것이 바람직하다.∘ 이에, 기관에서 불법 소프트웨어 사용의 점검․ 지도를 수행하는지 여부를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 불법 소프트웨어의 점검･지도 여부를 인정함 ⓐ 기관 내부에서 자체적으로 불법 소프트웨어 점검･지도를 정기적으로 수행하고 있는 경우 ⓑ 기관 외부에서 불법 소프트웨어 점검･지도를 정기적으로 수행하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 불법 소프트웨어 점검･지도 입증 자료 제시 - 불법 소프트웨어 점검 결과 보고서 ※ 불법 소프트웨어 점검･지도를 1년에 1회 이상, 2년 이상 연속으로 수행하고 있을 경우 정기적 수행 여부를 인정함 (기관 내부･외부 모두 포함)

118 네트워크 네트워크 네트워크 네트워크 자원 자원 자원 자원 확보 확보 확보 확보 및 및 및 및 관리 관리 관리 관리 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 네트워크 네트워크 네트워크 네트워크 이용 이용 이용 이용 만족도 만족도 만족도 만족도 수준수준수준수준 공통지표정 량 적∘ 기관의 규모, 업무 특성에 적절한 네트워크 성능을 확보하여 제공하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 정보화 사회의 핵심요소인 인터넷을 활용한 정보자원의 유통･활용 수준이 매우 중요하며, 이를 위하여 기관의 환경을 고려한 적절한 네트워크 (인터넷)자원․ 성능을 확보하는 것이 바람직하다.∘ 이에, 기관의 주요 업무 수행에 필요한 네트워크(인터넷)자원을 적절하게 확보하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 적절한 네트워크 성능 보유 여부를 인정함 ⓐ 기관 내 전 직원 대상으로『네트워크 이용 만족도 설문조사』를 실시한 결과 평균 75점 이상일 경우 ※ 만족도 수준 = 응답 항목 환산점수의 합계 ÷ 전체 응답자 수 ※ 항목별 점수 환산 방법 : 매우만족(100점), 만족(75점), 보통(50점), 불만족(25점), 매우불만족(0점)평가근거평가근거평가근거평가근거 ∘ 적절한 네트워크 성능 보유 여부 입증 자료 제시 - 네트워크 이용 만족도 설문조사 결과 및 통계자료 ※ 설문조사 결과 : [부록 1. 정보화 자원 이용자 만족도 설문조사 양식]의 1번 항목

119번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 네트워크 네트워크 네트워크 네트워크 사용자 사용자 사용자 사용자 IP IP IP IP 통합관리 통합관리 통합관리 통합관리 여부여부여부여부 공통지표정 량 적∘ 기관의 내 네트워크 사용자의 IP에 대한 관리를 중앙집중형으로 수행하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 기관의 인력이 업무를 수행하기 위하여 기본적으로 필요한 네트워크 자원은 기관 차원에서 중앙집중형으로 배포･관리함으로써 기관의 네트워크 자원을 체계적･효율적으로 관리하는 것이 바람직하다.∘ 이에, 기관의 주요 업무 수행에 필요한 네트워크 자원을 적절하게 관리하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 네트워크 사용자 IP 통합관리 여부를 인정함 ⓐ 기관 내 네트워크 사용자 IP를 기관 차원의 전담 관리부서를 통해 통합 관리하는 경우 ⓑ 기관 내 네트워크 사용자 IP를 중앙 관리시스템을 통해 관리하는 경우평가근거평가근거평가근거평가근거 ∘ 네트워크 사용자 IP 통합관리 여부 입증 자료 제시 - 전담 관리부서의 사용자 IP 관리(승인)대장 또는 중앙 관리시스템 운영 현황을 증명할 수 있는 자료(검수조서, 로그데이터 등) ※ 사용자 IP 승인 시 내부결재를 득하여야만 인정함 ※ 부서별 관리대장을 활용한 관리 형태는 불인정

120번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 네트워크 네트워크 네트워크 네트워크 장애처리 장애처리 장애처리 장애처리 대응 대응 대응 대응 수준수준수준수준 공통지표정 량 적∘ 기관에서 최근 1년간 발생된 네트워크 장애의 복구에 소요된 평균 시간은 어느 정도인가 ? ① 5분 이내 ② 10분 이내 ③ 10분 초과평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 기관의 인력이 업무를 수행하기 위하여 기본적으로 필요한 네트워크 자원의 가용성을 극대화하기 위하여 네트워크 장애처리 관리대장을 통해 체계적인 네트워크 장애를 관리하는 것이 바람직하다.∘ 이에, 기관의 네트워크 장애발생에 대한 처리-대응-복구를 적절하게 수행하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 네트워크 장애 복구 평균시간 산정 방법 ⓐ 연간 네트워크 장애 발생 건수 ⓐ 연간 네트워크 장애 발생 건수별 복구시간의 합계(분) ⓒ 연간 네트워크 장애 복구 평균시간 = ( ⓑ ÷ ⓐ ) × 100평가근거평가근거평가근거평가근거 ∘ 네트워크 장애 복구 평균 시간 입증 자료 제시 - 연간 네트워크 장애 관리대장/일지 및 통계자료 ※ 네트워크 장애 : 기관에서 통제 가능한 경우에 대해서만 장애로 인정함 (예컨대, ISP의 네트워크 관리 전산센터의 실수로 인한 네트워크 단절 등은 장애 대상에서 제외함)

121 데이터베이스 데이터베이스 데이터베이스 데이터베이스 확보 확보 확보 확보 및 및 및 및 관리 관리 관리 관리 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분-1-1-1-1 내부 내부 내부 내부 데이터베이스 데이터베이스 데이터베이스 데이터베이스 이용 이용 이용 이용 만족도 만족도 만족도 만족도 수준수준수준수준 공통지표정 량 적∘ 기관의 규모, 업무 특성에 적절한 데이터베이스 용량 및 성능을 확보하여 제공하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히,정보화 사회의 핵심요소인 디지털 자료를 생성-관리-유통하기 위한 데이터베이스 자원의 확보가 매우 중요하며, 이를 위하여 기관의 특성을 고려한 적절한 데이터베이스 자원 및 성능을 확보하는 것이 바람직하다.∘ 이에, 기관의 주요 업무 수행에 필요한 데이터베이스 자원을 적절하게 확보하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 적절한 데이터베이스 용량･성능 보유여부를 인정함 ⓐ 기관 내 전 직원 대상으로『데이터베이스 이용 만족도 설문조사』를 실시한 결과 평균 75점 이상일 경우 ※ 만족도 수준 = 응답 항목 환산점수의 합계 ÷ 전체 응답자 수 ※ 항목별 점수 환산 방법 : 매우만족(100점), 만족(75점), 보통(50점), 불만족(25점), 매우불만족(0점)평가근거평가근거평가근거평가근거 ∘ 적절한 데이터베이스 용량성능 보유 여부 입증 자료 제시 - 데이터베이스 이용 만족도 설문조사 결과 및 통계자료 ※ 설문조사 결과 : [부록 1. 정보화 자원 이용자 만족도 설문조사 양식]의 2번 항목

122번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분-2-2-2-2 데이터베이스 데이터베이스 데이터베이스 데이터베이스 자원 자원 자원 자원 관리 관리 관리 관리 수준수준수준수준 공통지표정 량 적∘ 기관 내 데이터베이스에 대한 유지보수 계약이 체결･갱신되어 지속적으로 관리되고 있는가? ① 예 ② 아니오 ③ 해당 없음평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 기관에서 구축-관리-유통하는 디지털 자료에 대한 지속적인 관리가 매우 중요하며, 이를 위하여 데이터베이스에 대한 유지보수 계약을 체결･갱신하여 데이터베이스 자원에 대하여 지속적으로 관리하는 것이 바람직하다.∘ 이에, 기관의 주요 업무 수행에 필요한 데이터베이스 자원을 적절하게 관리하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 지속적인 데이터베이스 관리 여부를 인정함 ⓐ 기관 내 주요 업무 수행에 필요한 모든 데이터베이스 자원에 대한 유지보수 계약이 체결되어 있으며 만료되지 않은 경우평가근거평가근거평가근거평가근거 ∘ 지속적인 데이터베이스 관리 여부 입증 자료 제시 - 해당 데이터베이스 유지보수 계약서 (만료일 기재) ※ 주요 데이터베이스 : 기관 내부 경영정보 관련 데이터베이스 및 대외적으로 서비스 중인 데이터베이스 ※ 기관 내부 인력에 의하여 관리가 충분히 이루어지고 있다고 판단되어 별도의 유지보수 계약을 체결하지 않았을 경우 “해당없음”으로 선택하고 사유서를 제출

123번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분-3-3-3-3 외부 외부 외부 외부 데이터베이스 데이터베이스 데이터베이스 데이터베이스 이용 이용 이용 이용 만족도 만족도 만족도 만족도 수준수준수준수준 공통지표정 량 적∘ 기관에서 대외적으로 구축･유통･관리하는 데이터베이스에 대하여 적절한 용량 및 성능을 확보하여 제공하고 있는가? ① 예 ② 아니오 ③ 해당없음평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 기관에서 대외적으로 서비스 중인 디지털자료에 대한 실효성 여부를 판단하여 양질의 데이터베이스를 생성-관리-유통하는 것이 매우 중요하며, 이를 위하여 대외적으로 서비스 중인 데이터베이스에 대한 이용자 만족도 조사를 통하여 주기적으로 피드백을 수행하는 것이 바람직하다.∘ 이에, 기관에서 대외적으로 서비스 중인 데이터베이스 자원을 적절하게 확보하여 제공하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 대외적으로 서비스 중인 데이터베이스에 대한 적절한 용량-성능 보유 여부를 인정함 ⓐ 기관에서 대외적으로 서비스 중인 데이터베이스 중 규모가 가장 큰 데이터베이스 사용자를 대상으로『데이터베이스 이용 만족도 설문조사』를 실시한 결과 평균 75점 이상일 경우평가근거평가근거평가근거평가근거 ∘ 외부 데이터베이스 이용 만족도 수준 입증 자료 제시 - 데이터베이스 이용 만족도 설문조사 결과 및 통계자료 ※ 설문조사 방법 : 기관에서 제공하는 서비스 특성에 적합한 설문항목을 5개 이상 개발하여 설문조사 실시(항목별 점수 환산 방법은 [부록 1] 관련 환산방법 참조) ※ 기관에서 대외적으로 서비스 중인 데이터베이스･디지털자료가 존재하지 않을 경우 “해당 없음”으로 선택

124 ���� 정보보호시스템 정보보호시스템 정보보호시스템 정보보호시스템 확보 확보 확보 확보 및 및 및 및 관리 관리 관리 관리 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분-1-1-1-1 단계별 단계별 단계별 단계별 정보보호시스템 정보보호시스템 정보보호시스템 정보보호시스템 구축구축구축구축････운영 운영 운영 운영 수준수준수준수준 개별지표정 량 적∘ 기관의 중요 정보를 효과적으로 보호하기 위하여 정보보호시스템을 어느 정도 확보하여 운영하고 있는가? - 수준 : %평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보보호를 수행하기 위해서는 관련 인프라 구축이 필수적이다.∘ 특히, 급변하는 사이버 위협상황에 신속-정확하게 대응하기 위해서는 정보보호시스템의 구축･운영이 매우 중요하며, 이를 위하여 지속적으로 정보보호시스템에 대한 적절한 예산 투자 및 관리를 추진하는 것이 바람직하다.∘ 이에, 기관의 중요정보를 보호하기 위한 정보보호시스템의 확보 수준과 운영 상태를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 단계별 정보보호시스템 구축･운영 수준 산정 방법 ⓐ 1단계 : 구축･운영 시스템 항목 수 (해당 항목에 O 표기)구 분 침입차단 침입탐지･방지 바이러스 차단 스팸차단 바이러스 백신필수사항 ⓑ 2단계 : 구축･운영 시스템 항목 수 (해당 항목에 O 표기)구 분 웹방화벽 패치관리 안티스파이웨어 바이러스월 웹화면제어 DB보안(감사) DB보안(암호)강화사항 ⓒ 3단계 : 구축･운영 시스템 항목 수 (해당 항목에 O 표기)구 분 통합보안관리 위협관리 서버보안 무결성점검 취약성분석 웹취약점분석 웹감시 이메일메신저보안 문서보안 PC보안권장사항 ⓓ 단계별 정보보호시스템 구축･운영 수준(%)= ( ⓐ × 5 ) + ( ⓑ × 5 ) + ( ⓒ × 4 )평가근거평가근거평가근거평가근거 ∘ 단계별 정보보호시스템 구축･운영 입증 자료 제시 ※ 단계별 정보보호시스템 현황 작성방법 : [부록 3.] 참조 - 시스템 검수조서 및 최근 1개월 이내의 로그데이터 ※ 최근 1개월 이내의 로그데이터를 제시하지 않을 경우 해당 정보보호시스템 운영 여부 불인정

125���� 정보화 정보화 정보화 정보화 응용 응용 응용 응용 수준수준수준수준

���� 핵심 핵심 핵심 핵심 업무의 업무의 업무의 업무의 정보화 정보화 정보화 정보화 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 핵심 핵심 핵심 핵심 업무의 업무의 업무의 업무의 정보화 정보화 정보화 정보화 현황현황현황현황 개별지표정 성 적∘ 기관의 핵심 업무를 위한 정보화 추진 현황 및 수준은 어느 정도라고 판단되는가? ① 상 ② 중 ③ 하평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 기관에서 중점을 두고 추진하여야 하는 핵심 업무에 대한 정보화 응용은 실질적인 정보화 성과를 달성하기 위해서는 필수적이므로, 기관 핵심 업무들에 대하여 적절한 정보화 수준을 달성하도록 지속적･체계적인 노력을 기울이는 것이 바람직하다.∘ 이에, 기관의 핵심 업무에 대한 정보화 현황 및 수준을 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 패널평가 수행 (핵심 업무의 정보화 수준 인정여부 판단) - 기관 핵심 업무의 정보화 수준 산정 방법 ⓐ 기관의 핵심 업무 3개 도출(기관 특성, 주요업무 등 핵심업무 도출에 대한 근거가 명확해야함) ⓑ 핵심 업무 각각에 대한 정보화 필요성 및 현황 분석 ⓒ 핵심 업무 각각에 대한 정보화 수준을 자체적으로 진단 ⓓ 다음 판단 근거에 의하여 핵심 업무에 대한 정보화 종합수준 도출구 분 개별 정보화 수준 평가점수 종합 수준(개별 평가점수 합계)상 중 하핵심업무 1 10 6 2 상 상 상 상 : : : : 26~3026~3026~3026~30점점점점중 중 중 중 : : : : 18~2518~2518~2518~25점점점점하 하 하 하 : : : : 6~176~176~176~17점점점점핵심업무 2 10 6 2핵심업무 3 10 6 2평가근거평가근거평가근거평가근거 ∘ 핵심 업무의 정보화 현황 및 수준 입증 자료 제시 - 기관 핵심 업무의 정보화 현황 및 수준에 대한 설명자료 ※ 핵심업무에 대해 다음 4개 항목을 포함하는 설명자료를 제시해야함 (기관의 주요 업무 및 특성 소개, 핵심 업무 설명 및 채택 근거, 핵심 업무의 정보화 필요성․현황, 핵심 업무 정보화 수준의 자체진단 결과)

126 그룹웨어 그룹웨어 그룹웨어 그룹웨어 운영 운영 운영 운영 현황현황현황현황번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 전자결재시스템 전자결재시스템 전자결재시스템 전자결재시스템 구축구축구축구축････운영 운영 운영 운영 여부여부여부여부 공통지표정 량 적∘ 기관에서 전자결재시스템을 구축하여 운영하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 필수 정보화 적용 대상으로 분류할 수 있는 결재업무 경우 적절한 정보시스템을 구축･운영을 통해 기관의 업무 정보화 효율을 향상시키는 것이 필수적이다.∘ 이에, 기관 내 의사결정 지원을 위한 전자결재시스템이 도입되어 운영하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 전자결재시스템 구축･운영 여부를 인정함 ⓐ 기관의 업무 수행에 수반되는 결재 처리를 정보시스템을 활용하여 전자적으로 수행하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 전자결재시스템 구축･운영 여부 입증 자료 제시 - 시스템 검수조서 및 최근 1개월 이내의 로그데이터 ※ 최근 1개월 이내의 로그데이터를 제시하지 않을 경우 해당 시스템 운영 여부 불인정

127번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 정보공유 정보공유 정보공유 정보공유 그룹웨어 그룹웨어 그룹웨어 그룹웨어 구축구축구축구축････운영 운영 운영 운영 여부여부여부여부 공통지표정 량 적∘ 기관 내부 구성원 간의 정보 공유를 위한 그룹웨어를 구축․ 운영하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 정보화 사회의 핵심요소인 정보자료의 수집-분석-가공은 개인의 경쟁력 향상뿐만 아니라 국가-기관 차원의 경쟁력 향상을 위한 중요 요소이므로, 기관 내부 구성원 간 원활한 정보공유를 통한 업무수행 효율성을 극대화 시키는 것이 바람직하다.∘ 이에, 기관 내 정보 공유를 위한 지원시스템이 도입되어 운영하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 정보공유 그룹웨어 구축･운영 여부를 인정함 ⓐ 기관의 각종 업무수행과 직･간접적으로 관련되는 다양한 정보들을 구성원들 간에 공유하여 쉽게 검색하고 이용할 수 있는 정보시스템 또는 기능을 구축하여 운영하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 정보공유 그룹웨어 구축･운영 여부 입증 자료 제시 - 시스템 검수조서 및 최근 1개월 이내의 로그데이터 ※ 그룹웨어 : 조직 내 구성원들이 컴퓨터로 연결된 작업장에서 서로 협력하여 업무를 수행하는 그룹 작업을 지원하기 위한 소프트웨어 또는 소프트웨어를 포함하는 구조 ※ 최근 1개월 이내의 로그데이터를 제시하지 않을 경우 해당 시스템 운영 여부 불인정 ※ 정보 공유를 위한 전용 그룹웨어 또는 정보 공유 기능이 내포된 그룹웨어를 모두 인정 (단, 개인용으로 구축된 웹 게시판 등은 불인정)

128번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 통합형 통합형 통합형 통합형 그룹웨어 그룹웨어 그룹웨어 그룹웨어 구축구축구축구축････운영 운영 운영 운영 여부여부여부여부 공통지표정 량 적∘ 기관 내 전자결재, 정보공유, 의사결정 지원 기능이 단일 시스템으로 통합되어 운영되고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 기관의 주요 업무수행에 필요한 업무별 단위 정보시스템의 혼재로 인하여 발생되는 문제점을 해결하기 위해서는 올-인-원 형태의 통합형 그룹웨어를 활용함으로 업무 수행 효율성을 극대화 시키는 것이 바람직하다.∘ 이에, 기관 내 주요 정보시스템 기능을 단일 정보시스템으로 통합한 통합형 그룹웨어를 구축하여 운영하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 통합형 그룹웨어 구축･운영 여부를 인정함 ⓐ 기관의 각종 업 수행에 필요한 전자결재, 정보공유, 의사결정 지원 기능 등이 단일 그룹웨어 시스템으로 통합하여 구축･운영함으로써 “Non-Stop” 업무 수행이 가능한 경우평가근거평가근거평가근거평가근거 ∘ 통합형 그룹웨어 구축･운영 여부 입증 자료 제시 - 시스템 검수조서 및 최근 1개월 이내의 로그데이터 ※ 통합형 그룹웨어 : 최소한 3개 기능(전자결재, 정보공유, 의사결정 지원 기능) 이상을 통합하여 단일 시스템 내에서 지원하는 경우에만 인정 ※ 최근 1개월 이내의 로그데이터를 제시하지 않을 경우 해당 시스템 운영 여부 불인정

129번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-4-4-4-4 그룹웨어 그룹웨어 그룹웨어 그룹웨어 활성화 활성화 활성화 활성화 수준수준수준수준 공통지표정 량 적∘ 기관에서 구축･운영 중인 그룹웨어 시스템은 구성원들의 업무 수행에 활발히 이용되고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 기관에서 구축･운영 중인 정보시스템 및 그룹웨어에 대한 이용 현황 등을 주기적으로 조사-분석함으로써 문제점 개선, 이용 활성화 방안 및 업무 수행의 효율성을 극대화 시키는 것이 바람직하다.∘ 이에, 기관에서 구축･운영 중인 그룹웨어의 활성화 정도를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 그룹웨어 활성화 수준을 인정함 ⓐ 기관 내 전 직원 대상으로『그룹웨어 이용 현황 설문조사』를 실시한 결과 평균 75점 이상일 경우 ※ 만족도 수준 = 응답 항목 환산점수의 합계 ÷ 전체 응답자 수 ※ 항목별 점수 환산 방법 : 5회 이상(100점), 2~4회(50점), 1회 이하(0점)평가근거평가근거평가근거평가근거 ∘ 그룹웨어 활성화 수준 입증 자료 제시 - 그룹웨어 이용 현황 설문조사 결과 및 통계자료 ※ 설문조사 결과 : [부록 1. 정보화 자원 이용자 만족도 설문조사 양식]의 3번 항목 ※ 다수의 그룹웨어를 구축･운영 중인 경우, 가장 규모가 크고 중요도 및 활용도가 높다고 판단되는 시스템을 설문조사 대상 그룹웨어로 선택

130 ���� 온라인 온라인 온라인 온라인 서비스 서비스 서비스 서비스 운영 운영 운영 운영 현황현황현황현황번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분 -1-1-1-1 전자민원처리 전자민원처리 전자민원처리 전자민원처리 서비스 서비스 서비스 서비스 제공 제공 제공 제공 여부여부여부여부 공통지표정 량 적∘ 기관에서 제공하는 온라인 서비스 상에서 외부 고객을 대상으로 하는 민원처리 서비스를 제공하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 기관에서 구축･운영 중인 온라인 서비스 이용자에 대한 민원처리를 수행함으로 서비스 이용자의 불편 해소 등 만족도 향상을 통해 서비스 품질을 제고하는 것이 바람직하다.∘ 이에, 온라인 서비스 이용자를 대상으로 전자민원처리 서비스가 제공되고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음 사항을 모두 만족하는 경우 전자민원처리 서비스 제공 여부를 인정함 ⓐ 기관의 대표 홈페이지 내에 서비스 이용자의 민원을 처리하기 위한 “Q&A” 게시판을 제공 ⓑ 기관의 대표 홈페이지 내에 서비스 이용자의 민원을 처리하기 위한 “FAQ” 게시판을 제공평가근거평가근거평가근거평가근거 ∘ 전자민원처리 서비스 제공 여부 입증 자료 제시 - 온라인 서비스 시스템 기능명세서 및 해당 화면덤프 ※ 온라인 서비스 : 기관에서 구축･운영 중인 대표 홈페이지 서비스만을 대상으로 한정함

131번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분 -2-2-2-2 전자민원처리 전자민원처리 전자민원처리 전자민원처리 절차 절차 절차 절차 보유 보유 보유 보유 여부여부여부여부 공통지표정 량 적∘ 기관에서 제공하는 온라인 서비스 상에서 외부 고객의 질의 및 요청사항에 대하여 체계적으로 대응하고 있는가 ? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 기관에서 구축･운영 중인 온라인 서비스 이용자에 대한 만족도 향상을 위하여 신속･정확한 민원처리 절차를 마련하여 서비스 품질을 제고하는 것이 바람직하다∘ 이에, 온라인 서비스 이용자를 대상으로 체계적인 전자민원처리 서비스가 제공되고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법

∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 전자민원처리 절차 보유 여부를 인정함 ⓐ 기관에서 구축･운영 중인 온라인 서비스 상의 전자민원처리 절차 등을 정의한 규정이 마련되어 있으며, 민원처리 담당자가 지정되어 있을 경우 ⓑ 기관에서 구축･운영 중인 온라인 서비스 상의 전자민원처리 절차 등을 정의한 지침이 마련되어 있으며, 민원처리 담당자가 지정되어 있을 경우 ⓒ 기관에서 구축･운영 중인 온라인 서비스 상의 전자민원처리에 대한 절차가 정의되어 있으며, 민원처리 담당자가 지정되어 있을 경우평가근거평가근거평가근거평가근거 ∘ 전자민원처리 절차 보유 여부 입증 자료 제시 - 전자민원처리 관련 규정, 지침 또는 절차가 정의된 문서 - 전자민원처리 담당자 인사발령 공문 ※ 인사발령 공문 이외에도 전자민원처리 담당자가 지정되어 있다는 사실을 증명할 수 있으면 인정

132번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분 -3-3-3-3 온라인 온라인 온라인 온라인 서비스 서비스 서비스 서비스 피드백 피드백 피드백 피드백 수행 수행 수행 수행 여부여부여부여부 공통지표정 량 적∘ 기관에서 제공하는 온라인 서비스에 대하여 외부 고객들로부터 주기적으로 피드백을 수행하고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화를 수행하기 위해서는 구축･운영 중인 인프라를 활용하여 기관 업무에 적절히 활용하는 것이 중요하다.∘ 특히, 기관에서 구축･운영 중인 온라인 서비스 이용자에 대한 설문조사를 수행하고 이를 통해 온라인 서비스에 대한 주기적인 조사-분석-개선을 추진함으로써 서비스 품질을 제고하는 것이 바람직하다∘ 이에, 기관에서 제공하는 온라인 서비스에 대하여 피드백을 수행하고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 온라인 서비스 피드백 수행 여부를 인정함 ⓐ 기관에서 구축･운영 중인 주요 온라인 서비스 이용자를 대상으로 설문조사를 실시하고 결과를 분석하여 해당 온라인 서비스의 개선을 추진하고 있는 경우평가근거평가근거평가근거평가근거 ∘ 온라인 서비스 피드백 수행 여부 입증 자료 제시 - 최근 1년 이내 수행한 주요 온라인 서비스에 대한 고객 설문조사 시행 안내문 및 결과 보고서 ※ 주요 온라인 서비스 : 기관 대표 홈페이지 또는 대외적으로 서비스 중인 온라인 서비스 1개를 선택

1333333 정보화 정보화 정보화 정보화 효과효과효과효과

���� 정보화 정보화 정보화 정보화 수준 수준 수준 수준 개선 개선 개선 개선 정도정도정도정도

���� 업무효율성 업무효율성 업무효율성 업무효율성 향상 향상 향상 향상 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 정보화를 정보화를 정보화를 정보화를 통한 통한 통한 통한 업무효율성 업무효율성 업무효율성 업무효율성 향상 향상 향상 향상 사례사례사례사례 공통지표혼 합 형∘ 정보화를 통한 정보시스템의 도입･개선을 통하여 기관의 업무효율성을 제고한 사례가 존재하는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화 추진의 목적은 업무효율성을 극대화시키고 이를 통해 고객만족도를 향상시키기 위한 것이라 할 수 있다.∘ 특히, 기관의 정보화를 통한 업무효율성 향상 수준과 같은 구체적인 결과물을 도출하고 이를 분석함으로써 현재 정보화 추진의 적절성과 향후 발전방향을 모색하는 것이 바람직하다.∘ 이에, 기관의 정보화 적용･운영을 통해 도입된 정보시스템을 활용하여 기관의 생산성, 효율성 등의 업무효율성 향상이 이루어지고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가(사실여부 확인) 및 패널평가(해당 사례의 인정여부 판단) 수행 - 다음과 같은 사례의 경우 업무효율성 향상 사례로 인정함 ⓐ 업무처리비용 절감 사례 ⓑ 고객 요구 및 불만 처리시간 단축 사례 ⓒ 내･외부 고객에게 서비스를 적시에 제공하지 못하는 경우 감소 사례 ⓓ 업무처리시간 및 단계의 감소 사례 ⓔ 업무처리 오류의 감소 및 수정의 용이성 증대 사례 ⓕ 의사소통 및 의사결정시간 단축 사례평가근거평가근거평가근거평가근거 ∘ 기관 정보화를 통한 업무효율성 향상 사례 입증 자료 제시 - 해당 사례를 입증할 수 있는 관련 자료와 함께 상세한 정보를 제시해야만 인정함(예컨대, 업무처리비용 절감 사례의 경우 정보시스템 도입을 통해 절감된 비용을 산정하여야 함) ※ 업무효율성 향상 사례는 기관에서 가장 성공적인 사례로 판단되는 대표사례 1개를 선별하여 제시하며, 기관 자체 판단이 어려울 경우 최대 3개의 사례를 제시할 수 있음

134 ���� 지식지식지식지식････정보 정보 정보 정보 공유 공유 공유 공유 활성화 활성화 활성화 활성화 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 지식공유 지식공유 지식공유 지식공유 활동 활동 활동 활동 수준수준수준수준 공통지표정 량 적∘ 조직원 간의 지식공유 활동이 활발하게 수행되고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화 추진의 목적은 업무효율성을 극대화시키고 이를 통해 고객만족도를 향상시키기 위한 것이라 할 수 있다.∘ 특히, 지식･정보 공유의 활성화 방안을 모색하여 정보화 효과를 극대화시키는 것이 바람직하다.∘ 이에, 기관 내 구성원 간의 지식･정보의 공유 활성화 수준을 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 지식공유 활동이 활발하게 수행되고 있음을 인정함 ⓐ 지식 등록 및 공유를 위한 전용시스템(지식관리시스템 등)을 활용하여 구성원 간의 공유 활동이 이루어지고 있는 경우 ⓑ 지식등록 및 공유기능이 포함된 정보시스템(인트라, 전자게시판 등)을 활용하여 구성원 간의 공유 활동이 이루어지고 있는 경우평가근거평가근거평가근거평가근거 ∘ 구성원 간의 지식공유 활동 수행 입증 자료 제시 - 연간 지식등록 건수 - 연간 지식공유 건수 - 전년대비 지식등록 및 공유 건수의 증가율 ※ 활용 매개체(시스템)의 종류와 상관없이 정보화 솔루션을 활용하여 지식･정보가 구성원 간에 등록 및 공유되고 있으면 인정함 ※ 지식･정보 등록 및 공유에 대한 시스템 내 로그데이터와 연간 통계데이터를 함께 제시하여야 함

135번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-2-2-2-2 지식관리 지식관리 지식관리 지식관리 제도 제도 제도 제도 마련 마련 마련 마련 여부여부여부여부 공통지표정 량 적∘ 지식관리를 위한 제도가 마련되어 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화 추진의 목적은 업무효율성을 극대화시키고 이를 통해 고객만족도를 향상시키기 위한 것이라 할 수 있다.∘ 특히, 정보화 효과를 극대화시키기 위해서는 지식관리를 위한 각종 제도 마련을 통해 지식･정보 공유를 활성화 시키는 것이 바람직하다.∘ 이에, 기관의 체계적인 지식･정보관리 체계 마련 수준을 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 지식관리 제도 마련 여부를 인정함 ⓐ 지식 등록･공유에 따른 각종 인센티브 방안 등을 포함하는 지식관리 제도가 마련되어 운영되는 경우 인정 ⓑ 지식 등록･공유에 따른 각종 인센티브 방안 등을 포함하는 지식관리 운영지침이 마련되어 운영되는 경우 인정평가근거평가근거평가근거평가근거 ∘ 지식관리 제도･지침 입증 자료 제시 - 지식관리 제도 또는 운영지침 ※ 제도 및 운영지침은 기관 내부에서 자체적으로 제정하여 활용하고 있는 경우에만 인정함 (예컨대, ‘OO부처의 지식관리 제도･지침을 준수함’과 같은 형태는 불인정)

136번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-3-3-3-3 지식관리시스템 지식관리시스템 지식관리시스템 지식관리시스템 구축구축구축구축････운영 운영 운영 운영 여부여부여부여부 공통지표정 량 적∘ 지식･정보의 통합 관리를 위한 지식관리시스템(KMS)이 구축 및 운영되고 있는가? ① 예 ② 아니오평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보화 추진의 목적은 업무효율성을 극대화시키고 이를 통해 고객만족도를 향상시키기 위한 것이라 할 수 있다.∘ 특히, 지식･정보의 통합 관리를 위한 지식관리시스템을 구축함으로써 지식･정보 공유의 활성화 및 효과를 극대화시키는 것이 바람직하다.∘ 이에, 기관의 체계적인 지식･정보관리 체계 및 이를 기반으로 하는 지식･정보의 활성화를 극대화시킬 수 있는 지식관리시스템의 구축･운영 수준을 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대한 기관 자체평가 결과를 토대로 현장평가 수행 (사실여부 확인) - 다음과 같은 경우 지식관리시스템 구축･운영 여부를 인정함 ⓐ 기관 내･외의 다양한 지식원천(정보광장, 게시판, 전문가맵 등)에 존재하는 지식을 통합적으로 관리할 수 있는 지식관리시스템이 구축･운영되고 있을 경우 인정평가근거평가근거평가근거평가근거 ∘ 지식관리시스템 구축･운영 입증 자료 제시 - 지식관리시스템 구축 완료에 대한 검수 문서 - 지식관리시스템 유지보수 관련 문서 ※ 지식관리시스템의 운영 여부를 확인하여 위하여 최근 1개월 간의 시스템 운영 로그데이터를 제시하여야 인정함

137���� 정보보호 정보보호 정보보호 정보보호 수준 수준 수준 수준 개선 개선 개선 개선 정도정도정도정도

���� 대외 대외 대외 대외 모의훈련 모의훈련 모의훈련 모의훈련 대응 대응 대응 대응 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 정보보호 정보보호 정보보호 정보보호 관련 관련 관련 관련 모의훈련 모의훈련 모의훈련 모의훈련 대응 대응 대응 대응 결과결과결과결과 공통지표정 량 적∘ 정보보호 관련 외부기관에 의하여 수행된 사이버 모의훈련 결과 취약점이 발견되었는가? ① 아니오 (0회) ② 예 (1회) ③ 예 (2회) ④ 해당없음평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표 ∘ 기관의 정보보호 업무 수행의 목적은 사이버 위협상황으로부터 중요 연구정보자원 및 이용자 개인정보를 보호함으로 안정적인 정보화 추진 및 성과를 이끌어내기 위한 것이라 할 수 있다.∘ 특히, 악의적 해커에 의해 발생 가능한 사이버 위협요소를 사전에 탐지하고 신속-정확하게 대응하기 위해서는 정부 주도 하에 매년 비정기적으로 실시되고 있는 모의훈련에 적극적으로 참여함으로써 현재의 정보보호 수준을 분석하고 향후 개선방향을 모색하는 것이 바람직하다.∘ 이에, 기관의 정보보호 활동의 일환으로 관련 외부기관에 의해 수행된 사이버 모의훈련을 통해 정보보호를 위한 기술적 대응이 효과적으로 이루어지고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대하여 과학기술부의 모의훈련 분석 결과 반영 - 다음과 같은 경우 취약점 발견 건수로 인정함 ⓐ 2007년 국가정보원 주관 사이버 모의훈련 결과 취약점 발견 사실을 통보받은 경우 ⓑ 2007년 국회 디지털포럼 주관 사이버 모의훈련 결과 취약점 발견 사실을 통보받은 경우평가근거평가근거평가근거평가근거 ∘ 대외 사이버 모의훈련 결과 취약점 발견 사실 입증 자료 제시 - 국가정보원 주관 사이버 모의훈련 결과 통보 공문 - 국회 디지털포럼 주관 사이버 모의훈련 결과 통보 공문 ※ 최종적으로 과학기술부에서 파악된 대외 사이버 모의훈련 분석 결과를 기준으로 사실여부 확인 작업을 수행 ※ 국가정보원 및 국회 주관 사이버 모의훈련 대상기관이 아니었을 경우 “해당 없음”으로 선택

���� 2007200720072007년 년 년 년 을지 을지 을지 을지 사이버전 사이버전 사이버전 사이버전 대응 대응 대응 대응 수준수준수준수준번호번호번호번호 평가 평가 평가 평가 항목항목항목항목 평가구분평가구분평가구분평가구분����-1-1-1-1 과학기술부 과학기술부 과학기술부 과학기술부 자체 자체 자체 자체 을지 을지 을지 을지 사이버전 사이버전 사이버전 사이버전 모의훈련 모의훈련 모의훈련 모의훈련 대응 대응 대응 대응 결과결과결과결과 공통지표정 량 적∘ 07년 을지연습 시 과학기술부 주관으로 수행된 자체 사이버전 모의훈련 평가 결과는?평가항목 평가항목 평가항목 평가항목 해설해설해설해설평가목표평가목표평가목표평가목표

∘ 기관의 정보보호 업무 수행의 목적은 사이버 위협상황으로부터 중요 연구정보자원 및 이용자 개인정보를 보호함으로 안정적인 정보화 추진 및 성과를 이끌어내기 위한 것이라 할 수 있다.∘ 특히, 정보보호 중요성을 인식한 과학기술부는 중앙행정기관 중 최초로사이버안전 분야『위기대응 실무매뉴얼』을 작성하여 시행하고 있으며, - 매뉴얼의 적정성 검증과 확고한 전주기적 체계적 대응기반 마련을 위해 07년 을지포커스 기간 동안 시행된 사이버 전 모의훈련에 적극적으로 참여함으로써 현재의 정보보호 수준을 분석하고 향후 개선방향을 모색하는 것이 바람직하다.∘ 이에, 기관의 정보보호 활동의 일환으로 07년 을지포커스와 연계하여 수행된 과학기술부 주관 자체 사이버 戰 모의훈련 결과를 통해 정보보호를 위한 체계적인 절차마련, 기술적 대응이 효과적으로 이루어지고 있는지를 확인하고자 한다.평가방법평가방법평가방법평가방법 ∘ 다음 각 항목에 대하여 과학기술부의 모의훈련 평가 결과 반영 - 2007년 을지연습 시 과학기술부 주관 자체 사이버전 모의훈련 결과평가근거평가근거평가근거평가근거 ∘ 과학기술부 사이버전 모의훈련 대응 결과 반영 - 을지연습 시 과학기술부 자체 사이버전 모의훈련 결과 보고서(과학기술부)

KISTI 웹개발 지침서

140= 개정이력 =개정일자개정일자개정일자개정일자 버전버전버전버전 개정내역개정내역개정내역개정내역 작성자작성자작성자작성자 확인자확인자확인자확인자20060328 001 KISTI 개발 지침서 지식정보센터 한선화

141ⅠⅠⅠⅠ.... ISOC 개발 및 보안지침

1. ISOC 개발 지침ISOC13)시스템은 네트워크와 서버등이 모두 이중화되어있고, Active:Active 방식의 SLB14) 체계임. <그림 1 >참조

그림 1 정보유통시스템 형상(Topology)<그림 1>과 같은 형상(Topology)을 유지하기 위하여 개발자는 다음 사항을 준수하여야 한다. 가. Traffic Manager(<그림 1>의 DNS)용 Active-X Control 13) ISOC(Information System Operation Center) - KISTI 정보유통시스템 14) SLB(Server Load Balance) - 지능형 도메인네임서버(DNS)를 이용한 서버 부하 분산 체계

142 Module(Enpia Client Agent)을 모든 정보서비스 홈페이지의 초기 페이지에(예: Index.html) 삽입하여야 한다. 나. 응용프로그램 내에서 서버상호간 access는 IP Address가 아닌 Domain Name(Host Name)을 기준으로 코딩하여야 한다. ∵ 지능형 Domain Name Server를 통하여 SLB되므로. 다. System 영역과 DATA 영역의 명확한 분리 즉, O.S 및 각종 Pkg.는 각 서버의 Internal Disk에 위치하며, DATA는 통합저장장치에 두어야 한다. 이때 통합저장장치는 NFS15)로 연결하여 사용되며, SLB 서버 간에 공유된다. 라. <그림 2>와 같이 5개의 서버 기능이 분리되도록 설계하고 코딩하여야 한다.

그림 2 서버 기능 분리 구성15) NFS(Network File System) - NAS(Network Attached Storage)를 대상으로 DATA를 공유하는 기술

143 ◦ web 서버: httpd 데몬 및 PHP, CGI 등의 프로그램을 운영한다 ◦ Mail 서버: Mail 서버 외에는 메일 발송 및 수신기능을 처리하지 않는다. ◦ WAS 서버: WAS 서버에서만 JAVA Application을 운영한다. ◦ 검색 서버: 검색 서버에서만 검색한다. ◦ DBMS 서버: DBMS 는 DBMS 서버에만 설치 운영된다. 마. 응용프로그램에서 DB를 다룰 때는 동일 기능을 수행하는 서버가 2대 이상인 점을 감안하여, 일련번호겹침 문제 등이 발생되지 않도록 주의하여 코딩하여야 한다. 예) 서버_A의 User_a가 DBMS 서버로 특정 문서번호를 쿼리하여 편집하고 있는 중에, 서버_B의 User_b가 동일 DBMS 서버에게 같은 문서번호를 쿼리하여 편집하고 저장했다면 결국 먼저 저장한 User_a의 문서가 지워지는 오류 발생. 바. 통합저장장치내에 임의 백업본을 두지말 것. ∵ ISOC 시스템은 고성능의 백업 및 복구 솔루션을 갖추고, 완전 복구를 보장함. ◦ 장기보관을 요하는 자료가 있을 때는 별도의 Tape 백업/보관을 요청하기 바람. 사. 임의의 정보서비스를 개시하고자 하면, 서비스 오픈 전에 웹 스트레스 테스트 및 프로그램 정확성 테스트 등 서비스 안정성 테스트를 통과하여야 한다. (테스트 Tool 및 테스트 방법은 서비스 운영부서와 협의하여 실시함.)

144 2. ISOC 보안 지침□ 정보보호를 위하여 개발자는 다음 사항을 준수하여야 하며, 산출물 검토의뢰 단계에서 ISOC 개발자 보안 체크리스트가 제출 되어야 한다.□ 웹서비스 기능상 게시판을 사용해야 할 경우, 부득이한 경우를 제외하고는 KISTI 자체 개발한 게시판 프로그램을 사용해야 한다.( KISTI 자체 게시판 프로그램 사용에 대한 문의는 시스템 개발부서와 협의)□ 국가사이버안전센터 “홈페이지 보안관리 매뉴얼. 2005.5” 기준 8가지 취약점 중 다음 4가지 항목에 대한 문제를 해결해야 한다. ❶ 파일 업로드 취약점 ◦ 게시판을 운영하여 파일 업로드를 허용하는 경우에는 시스템 파일과 같은 확장자를 갖는 파일이나, 시스템 binary 파일이나 batch 성 script를 의미하는 확장자를 갖는 파일은 허용하지 않도록 한다. ◦ 저장되는 파일은 반드시 실행 권한이 없는 지정된 디렉토리나 실행 권한이 없는 하위 디렉토리에 저장되어야 한다. ◦ 게시판의 업로드 디렉토리를 지정함으로써 악성코드가 “../../tmp" 등의 형태에 의해 파일이 저장되는 것을 막을 수 있어야 한다. ❷ 파일 다운로드 취약점 ◦ 게시판에 첨부된 파일은 다운로드만이 가능하도록 설계되어야 한다. 다운로드를 위해서는 별도의 third-party 프로그램이나 모듈을 이용하는 것도 좋은 방법이다.

145 ◦ 게시판에 지정된 디렉토리 이외의 곳에 있는 파일이 다운로드가 되어서는 안 된다. ❸ Cross Site Script 취약점 ◦ 게시판에 저장된 JSP, ASP 등 웹을 구성하는 시스템 구문이 해석되어서는 안 된다. ◦ 시스템 구문이 해석되면 악성 사용자의 악성 코드를 담은 웹사이트에서 사용자의 PC로 악성 코드가 전달되는 매개체가 될 수 있다. ❹ SQL Injection 취약점 ◦ 로그인 ID와 암호를 갖는 경우 허용 범위를 명확히 정하여야 한다. 로그인 ID, 암호 항목에 대해서는 SQL 구문이 해석되어서는 안 된다.□ OWASP16)의 10가지 취약점과 관련하여 다음과 3가지 취약점은 해결되어야 한다. ❶ 입력 값 검증 부재 ◦ 모든 HTTP 입력값에 대해 중앙 집중적으로 검증 처리하는 하나의 컴포넌트나 라이브러리를 사용하여 스펙상에 허용된 값만을 받아들이는 "허용(Positive) 방식" 으로 필터링하여야 한다. 예1) 글쓰기가 가능한 게시판의 경우 html 문서가 아닌 web의 시스템 파일인 jsp, asp, php등의 문법을 갖춘 글이 글쓰기 허용되면 안된다. 16) OWASP (The Open Web Application Security Project) http://www.owasp.org/documentation/topten.html

146 예2) 사용자의 정보를 입력받고 출력하는 부분에서 jsp, asp, php등의 문법을 갖춘 글로 정보란을 채울 수 없어야 한다. ❷ 취약한 접근통제 ◦ 어떤 유형의 사용자들이 시스템에 접근 가능한지, 각각의 사용자들이 어떤 기능이나 컨텐츠에 접근 가능한지를 접근 통제 표(access control matrix)로써 문서화하고 시행해야 한다. 예1) 권한 있는 자만이 볼 수 있는 페이지를 운영할 경우에는 파일/Dir 별 권한이 체크되어야 한다. ❸ 취약한 인증 및 세션 관리 ◦ 패스워드는 최소 길이와 복잡도의 제한을 두어야 하며, 계정정보 변경시에는 항상 이전 패스워드를 물어보아야 하고 세션 ID를 URL에 포함하지 않아야 하며, 인증 및 세션 관련 정보는 GET 요청의 일부에 포함되어 전송되어선 안된다. 이런 경우에는 POST 요청을 사용하여야 한다. ◦ 쿠기 값은 128비트(16바이트) 이상으로 암호화하고, 세션 타임아웃 시간을 주어 일정시간 이후에는 재 로그인하도록 처리하여 세션 하이재킹에 의한 정보 유출을 막아야 한다. 3. 문의처□ 담당부서 : 지식정보센터 시스템운영팀□ 담 당 자 : 유진승 선임연구원 (☎ 042-869-0659)ⅡⅡⅡⅡ.... KKKKIIIISSSSTTTTIIII 웹웹웹웹스스스스타타타타일일일일 가가가가이이이이드드드드

147□ 사이트 전략을 각 관련 사이트에 일관성 있게 실행하고 유지하고자 본 가이드는 컬러, 이미지 구성요소, 그리드 시스템, 페이지 템플릿, 서체, 네비게이션 디자인, 표/다이어그램, 아이콘/버튼/불릿,배너 등 구체적인 시각적 요소들의 정책을 제공한다.□ 실행적인 적용을 위한 모든 샘플 HTML리소스, Flash 소스 등은 각 예시 화면에서 다운로드를 받을 수 있다.(guide.kisti.re.kr)1. 정보설계 가이드 □ 정보설계는 웹 사이트에서 제공하는 컨텐츠와 서비스에 대하여 그 대상에게 전달하는 가장 효율적인 방법론의 체계를 말한다. □ 정보설계의 차원은 대체로 다음 세 가지 영역으로 구분할 수 있다. ❶ 내용의 분류와 그룹화 ❷ 내용에 대한 효과적인 접근을 위한 명명체계와 구조 ❸ 내용과 정보서비스의 절차와 순서 □ 정보설계는 추상적인 의미의 “정보”라는 목적물과 그의 “이용자”간의 효과적인 의사소통의 과정을 위한 매체/매개물의 구조화라고도 볼 수 있는데, 이의 가장 직접적인 결과물은 시지각적 형태로 나타나는 User Interface이다. □ 정보설계를 효과적으로 하기 위해서는 사용자에 대한 이해와 사용자의 정보 수요/정보 욕구를 명확하게 분석해야 하며, 제공하고자 하는 컨텐츠와 서비스의 특성을 잘 이해하여야 한다. 제공되는 컨텐츠와 서비스에 대한 이해가 전제되는 만큼, 통상적인 정보설계의 경우 공급자 중심으로 치우치기 쉬우나, 활용도가 높고 유용한 정보서비스 시스템을 설계하고

148 자 한다면 사용자에 대한 이해와 적절한 분류가 필수적이다. □ KISTI의 정보설계는 다각도의 사용자조사를 거쳐 다음과 같은 3가지 계층의 사용자들의 정보욕구에 맞추어 설계되었다. ❶ 일반인 ❷ 과학기술 전문가 ❸ 산업계 전문가 □ 사용자에 대한 분류는 정보의 체계와 서비스 목적을 결정짓는 중요한 출발점이며, 이 가설의 변경과 조정은 전체적인 정보시스템의 수정을 불가피하게 된다. 따라서 기존 체계의 변경 또는 일정 부분 이상의 수정이 이루어질 경우에는 사용자 정보욕구에 대한 조사와 분석을 반드시 선행하여야 한다.2. 메뉴-용어표기법 □ KISTI 사이트 내 표기법은 기본적으로 <한글 맞춤법>(국립국어원)과 <외래어 표기법>(국립국어원)의 규정을 준수하도록 한다. □ 외래어 표기법의 “제 1장 표기의 기본원칙”은 다음과 같다. ❶ 외래어는 국어의 현용 24 자모만으로 적는다. ❷ 외래어의 1 음운은 원칙적으로 1 기호로 적는다. ❸ 받침에는 'ㄱ, ㄴ, ㄹ, ㅁ, ㅂ, ㅅ, ㅇ'만을 쓴다. ❹ 파열음 표기에는 된소리를 쓰지 않는 것을 원칙으로 한다. ❺ 이미 굳어진 외래어는 관용을 존중하되, 그 범위와 용례는 따로 정한다. □ 메뉴 명칭의 표기법상의 최소한의 원칙은 다음과 같다. ❶ 메뉴 명칭의 표기는 한글 표기를 원칙으로 한다. 단, 웹 사이트의 이용을 지원하기 위한 전역 메뉴(global menu) 등에서는 영문표기를

149허용 하도록 하되, 일반적인 웹 사이트에서 사용하는 평이한 용어 수준을 따르도록 한다. ❷ 고유명사의 경우 또는 영문 약어의 경우 대문자로 표기하여 메뉴에 사용할 수 있다. ❸ 메뉴 명칭은 가급적 두 단어 이내로 표기하도록 하되, 명확한 의미전달을 위해 불가피한 경우는 예외로 간주한다. ❹ 두 단어 이상으로 이루어진 메뉴의 경우 “/”기호를 사용하여 병기하도록 한다. ❺ 두 단어 이상으로 이루어진 한글 표기의 경우, 의미의 혼란이 발생하지 않는 한 띄어쓰기를 무시할 수 있다. 단, 사용자의 인지상의 편의를 돕기 위한 경우 띄어쓰기를 맞춤법 표기법에 맞게 사용할 수 있다. ❻ 이미 고유명사화 한 표기법은 종래의 관습적 명칭을 따르도록 한다. ☞ 참고 : 국립국어원 (http://www.korean.go.kr/)3. 디자인 가이드 □ 디자인가이드 섹션은 디자인 컨셉, 컬러 컨셉과 이미지 구성요소 등 구체적인 시각요소 적용 등에 대한 정책을 제공한다. ① Design Identity : KISTI의 온라인 브랜드 전략, 사이트 디자인 컨셉, 컬러 정책, 디자인 등의 개념을 소개한다. ② Grid System : 향후 확장성이 높으므로 심플하고 구조화하기 좋은 grid system이 적용되어야 한다. ③ Key Page Template : 전 사이트에 쓰여지는 이미지들을 타입별로 분류하여 이미지 샘플과 PSD 소스들을 제공한다. ④ Area Definition : 사이트에 사용되는 네비게이션 시스템들을 소개한

150 다. ⑤ Visual / Image : 밝고, 미래지향적이며 감성적인 Visual로 KISTI의 이미지를 전달한다. ⑥ Type : 사이트의 타입 디자인 설명과 폰트 시스템에 따른 타이틀 규칙의 가이드와 샘플을 보여준다. ⑦ Navigation Design : 글로벌/Main 네비게이션, Footer 네비게이션, 좌측과 우측 네비게이션 등을 소개한다. ⑧ Color : KISTI 내의 관련 사이트에 Primary Color와 Secondary Color를 제공한다, ⑨ Logo : KISTI 로고와 Application의 적용가이드를 설명해 준다. ⑩ Table / Diagram : 표, 다이어그램 디자인 가이드를 제공한다.(색상, 크기, align, 코딩 소스 포함) ⑪ Button/ Icon/ Bullet : 버튼과 불릿, 아이콘과 배너시스템을 생산하기 위한 디자인과 프로덕션 가이드가 제공되고 있다. ⑫ Banner / Quick Link : 배너와 퀵링크 디자인과 프로덕션 가이드가 제공되고 있다. ⑬ Popup / Mail form : 팝업과 메일폼 디자인과 프로덕션 가이드가 제공되고 있다.상기 상기 상기 상기 제시된 제시된 제시된 제시된 3333가지 가지 가지 가지 가이드중 가이드중 가이드중 가이드중 ““““디자인가이드디자인가이드디자인가이드디자인가이드””””는 는 는 는 준수해야 준수해야 준수해야 준수해야 하며하며하며하며, , , , ““““디자인디자인디자인디자인가이드가이드가이드가이드””””에서도 에서도 에서도 에서도 ①①①①번번번번, , , , ⑥⑥⑥⑥번번번번, , , , ⑦⑦⑦⑦번번번번((((글로벌글로벌글로벌글로벌/Main /Main /Main /Main 네비게이션네비게이션네비게이션네비게이션, , , , Footer Footer Footer Footer 네비네비네비네비게이션게이션게이션게이션), ), ), ), ⑧⑧⑧⑧번번번번, , , , ⑨⑨⑨⑨번은 번은 번은 번은 준수하나준수하나준수하나준수하나, , , , 나머지 나머지 나머지 나머지 항목에 항목에 항목에 항목에 대해서는 대해서는 대해서는 대해서는 선별하여 선별하여 선별하여 선별하여 사용사용사용사용하여도 하여도 하여도 하여도 됨됨됨됨....☞☞☞☞ 자세한 자세한 자세한 자세한 사항은 사항은 사항은 사항은 가이드라인사이트 가이드라인사이트 가이드라인사이트 가이드라인사이트 참조참조참조참조 ((((http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003))))4. 문의처 □ 담 당 부 서 : 지식정보센터 지식포털팀 □ 담 당 자 : 김지영 연구원(☎02-3299-6091) □ 참조사이트 : http://guide.kisti.re.kr/guide/index.jsp

151ⅢⅢⅢⅢ.... SSSSSSSSOOOO((((SSSSiiiinnnngggglllleeee SSSSiiiiggggnnnn----OOOOnnnn)))) 이이이이용용용용을을을을 위위위위한한한한 개개개개발발발발

지지지지침침침침

1. 개 요□ 본 문서는 KISTI Single Sign On 체제를 구축하기 위하여 SSO서비스를 반영하는 원내 및 원외 사이트의 추가 개발 및 수정을 하는 개발자를 위한 지침서이다.□ 본 문서를 이해하기 위해 KISTI SSO구축 체제를 이해함과 부분별 적용 기술에 대한 이해를 바탕으로 개별 사이트의 개발 및 수정 작업을 진행해야 한다.□ KISTI-SSO시스템은 다음의 전제 조건을 기준으로 출발 한다. ◦ 단일한 고객정보 저장 관리 - 개별 사이트의 고객정보는 sso.kisti.re.kr에서 등록,수정 등의 일관된 관리를 받는다. - 단, sso.kisti.re.kr의 관리 내용은 여러 고객정보 중 표준으로 정한 공통항목에만 국한되며 나머지의 부가 항목은 각 개별 사이트별로 추가 개발된 프로그램을 sso.kisti.re.kr의 프로세스에 접목 시켜 관리된다. ◦ 웹 프로그램 단일화 - 이용자 등록, 수정, 로그인, 아이디/비밀번호 찾기, 탈퇴, 로그아웃 기능은 본 문서에 정의한 내용을 준수하여 개발 작업을 진행해야 한다. - 고객정보의 입, 출력에 대한 표준 및 사용자의 행동양식에 대한 분석 정보 수집의 단일화로 원내 사이트의 종합적인 분석을 위해서이다. ◦ Single Sign On 구현 기반기술 준수 - SSO 기능 구현을 위해 Client Agent, Server Agent 기반기술을 습득하고 이를 반드시 사이트 개발에 적용하여야 한다.

152가. 시스템 구성도 및 프로세스 흐름도

웹로그웹로그웹로그웹로그 연결연결연결연결D B 연결연결연결연결# 위위위위 A D , 로그분석로그분석로그분석로그분석 서버서버서버서버추가추가추가추가 도입도입도입도입 필요필요필요필요로그분석로그분석로그분석로그분석 서버서버서버서버웹웹웹웹 연결연결연결연결A D (A c tiv e

D ire c to ry )서버서버서버서버S SO A g e n t프로그램프로그램프로그램프로그램웹웹웹웹 서버서버서버서버기존기존기존기존 D B

구축구축구축구축 후후후후 생성생성생성생성범범범범 례례례례웹로그웹로그웹로그웹로그 연결연결연결연결D B 연결연결연결연결# 위위위위 A D , 로그분석로그분석로그분석로그분석 서버서버서버서버추가추가추가추가 도입도입도입도입 필요필요필요필요로그분석로그분석로그분석로그분석 서버서버서버서버웹웹웹웹 연결연결연결연결A D (A c tiv e

D ire c to ry )서버서버서버서버S SO A g e n t프로그램프로그램프로그램프로그램웹웹웹웹 서버서버서버서버기존기존기존기존 D B

구축구축구축구축 후후후후 생성생성생성생성범범범범 례례례례개별개별개별개별 사이트사이트사이트사이트 A개별개별개별개별 사이트사이트사이트사이트 B

부 가정 보부 가정 보

...

통 합 고 객D B (공 통 )

개별개별개별개별 사이트사이트사이트사이트 C

부 가정 보고 객 D B복 사 본S S OS SO권 한관리권 한관리권 한관리권 한관리권한관리권한관리권한관리권한관리 시스템시스템시스템시스템시스템시스템시스템시스템W in d ow s

A D 1

A D 2웹 브 라 우 져+ S S O C lie n t A g e n t사 용 자

로 그 분 석 서 버 통 합 웹 서 버통 합통 합통 합통 합통합통합통합통합 고객고객고객고객고객고객고객고객 D B D B 운영운영운영운영운영운영운영운영 시스템시스템시스템시스템시스템시스템시스템시스템사 용자사 용자사 용자사 용자사용자사용자사용자사용자 P C P C 환경환경환경환경환경환경환경환경

고객고객고객고객고객고객고객고객 D B D B 통합통합통합통합통합통합통합통합 대상대상대상대상대상대상대상대상 시스템시스템시스템시스템시스템시스템시스템시스템개별개별개별개별 사이트사이트사이트사이트 A개별개별개별개별 사이트사이트사이트사이트 B

부 가정 보부 가정 보

...

통 합 고 객D B (공 통 )

개별개별개별개별 사이트사이트사이트사이트 C

부 가정 보고 객 D B복 사 본S S OS SO권 한관리권 한관리권 한관리권 한관리권한관리권한관리권한관리권한관리 시스템시스템시스템시스템시스템시스템시스템시스템W in d ow s

A D 1

A D 2웹 브 라 우 져+ S S O C lie n t A g e n t사 용 자

로 그 분 석 서 버 통 합 웹 서 버통 합통 합통 합통 합통합통합통합통합 고객고객고객고객고객고객고객고객 D B D B 운영운영운영운영운영운영운영운영 시스템시스템시스템시스템시스템시스템시스템시스템사 용자사 용자사 용자사 용자사용자사용자사용자사용자 P C P C 환경환경환경환경환경환경환경환경

고객고객고객고객고객고객고객고객 D B D B 통합통합통합통합통합통합통합통합 대상대상대상대상대상대상대상대상 시스템시스템시스템시스템시스템시스템시스템시스템[그림 시스템 구성도]□ 프로세스 흐름도

개별 사이트(개별업무서버)와 SSO인증서버(sso.kisti.re.kr)가 서비스를 제공하기 위한 Process의 설명은 다음과 같다. ○ 사용자가 서비스 이용 시 처음에만 이루어지는 단계: 1~4 1. 개별 업무 서버에 접속(최초 접속)

153 2. 개별 업무서버에서 SSO 서버에게 클라이언트 설치 요구 3. SSO 서버에서 ActiveX 배포 4. 사용자 PC에ActiveX 설치 ○ 사용자 서비스 요청시 개별업무 서버가 SSO서버에 서비스 요청하는 단계로 반복적 : 5~9 5. 업무서버로 접속 및 인증토큰 제출 5. 1개별 업무서버에서 토큰 정보 유효성 검사 6. 토큰정보가 유효하지 않으면 SSO 서버에 인증토큰 발급 요청 7. SSO 서버는 LDAP 서버에게 인증 정보 확인 8. 사용자 인증 정보가 확인되면 인증토큰 발급 9. 발급받은 인증토큰을 가지고 사용자가 업무서버로 로그인 및 SSO연관 업무 처리 나. SSO서비스 요청 및 인증 방식1) 개별사이트의 SSO서비스 요청 방식

◦ 위 그림에서와 같이 개별 업무 서버에서 sso.kisti.re.kr의 서비스를 요청하기 위해서는 공용 스크립트

154 <script language="JavaScript" src="http://sso.kisti.re.kr/js/TT_User_CommonJSP.js"></script> 을 요청 페이지에서 포함시켜 자바스크립트 함수를 호출 하는 형식을 이용한다. <위 예에서는 바닥에 개별사이트가 로그인 서비스를 요청하여 SSO의 로그인 처리 창이 open window가 나타난 것이다.> ◦ 이는 모든 SSO 연계 사이트에서 공통된 표준을 만들기 위함이며 또한 요청 처리 URL을 sso.kisti.re.kr에서 관장하기 위함이다. 즉, 개별 사이트에서 javascript 함수의 URL을 직접 호출할 경우 운영 및 개편 시 서비스 URL이 바뀌면 서비스를 보장할 수 없지만 공용 javascript 함수를 통한 호출의 경우는 이를 보장하게 된다. ◦ 아래의 예제 프로그램을 보고 간단히 이해 할 수 있다.<script language="JavaScript" src="http://sso.kisti.re.kr/js/TT_User_CommonJSP.js"></script>..........<form name="LoginForm"> <input type="hidden" name="returnURL" value="http://AAA.com/tokenCheck.asp"> <input type="hidden" name="server_num" value="SS01"> <input type="text" name="userid"> <input type="text" name="passwd"> <img src="login.gif" OnClick="TT_UserLogin('LoginForm')"></form> <표 개별사이트 로그인 요청 입력 화면 코딩 예>

위 코드에서 공용 javascript 함수를 include하여 실제 로그인 submit을 하는 img에 “TT_UserLogin('LoginForm')" 함수를 호출하여 사용한 것을 볼 수 있다.2) 토큰 유효성 검증 방법 ◦ 개별 업무 서버와 SSO서버는 서로 다른 도메인을 사용하므로 다른 도

155메인끼리의 서비스 요청 시에요청 내용이 유효한지를 우선적으로 검증을 한고 유효한 경우에 한해서 서비스를 제공하여야 한다. ◦ 이 과정 중 요청에 대한 유효성을 검증하기 위해서 인증 토큰을 사용한다. 인증토큰은 도메인과 무관하게 사용자의 개인PC에 ActiveX ( SSO Client Agent ) 형태의 객체에 저장되며 구분자를 포함한 String 형태를 가지고 있다. (토큰 String의 구조는 다음 장에서 상세히 설명 된다.) ◦ 이 토큰정보는 사용자의 요청 시에 SSO서버에서 암호화 된 형태로 최초 만들어지며 개별업무 서버에서는 이 정보를 복호화 해서 사용하게 된다. ◦ 아래의 예제 프로그램을 보고 간단히 이해 할 수 있다.<script language="JavaScript"> function checkSSO() { var ret = document.KISTI_CLIENT.GetToken(); if (ret != "" && ret.length > 2) document.location.href="login_ps.asp?ret=" +ret;}</script><body OnLoad="checkSSO();"> <OBJECT ID='KISTI_CLIENT' CLASSID='clsid:579CC802-2AF6-436B-8B9C-10F0B6C99FFE' CODEBASE="http://sso.kisti.re.kr/auth/kisti_client.cab#version=1.0.0.2"> </OBJECT></body>

<표 개별사이트 토큰정보 이용 코딩 예>

가) 토큰정보 읽기 ( Client Script ) ◦ 토큰정보는 개인PC의 ActiveX를 이용해 저장,확인 되므로 Client Script에만 읽을 수 있다. 이렇게 정보를 읽어 개별업무 서버로 암호

156 화된 정보를 보내야 Server Script에서 받아 처리 할 수 있다. 나) 토큰정보 해석하기 ( Server Script -예) JSP )<%String ret = request.getParameter("ret");String srvNum = "SS01";// 대상 시스템에 제공할 복호화 라이브러리를 이용해 암호화한 토큰을 복호화 한다.byte[] btDec = PentaCipherUtil.PentaByteDecrypt(ret.getBytes());String strDec = new String( btDec );/*토큰값의 유효성 검사 함수 - 개별 사이트에서 구현해야 하는 함수 tokenValidate 함수는 토큰String과 , 개별사이트 서버코드를 받아 --> 토큰값 expiretime과 접근 서버코드를 비교하여 유효한지를 검사하고 true, false를 return 하는 함수이다.*/if ( tokenValidate( strDec, srvNum ) ) { //- 토큰 유효성 검증 완료 후 처리할 기능 구현 예) 로그인 처리로 Session 셋팅 }else{ //- 토큰 유효성 위배후 처리 해야 하는 기능 구현. 예) 인증 필요로 로그인 입력 폼 페이지로 이동 }%>3) 인증토큰 구조 가) 인증토큰 평문(text plan) 구성 항목 토큰항목토큰항목토큰항목토큰항목 설명설명설명설명 비고비고비고비고Session ID SSO 인증서버에서 정한 Session ID 인증서버사용자ID KISTI 사용자ID KISTI 통합ID사용자명 사용자 한글명관리자 권한 시스템 사용권한 구분 일반,관리자소속기관 사용자의 소속기관(회사) 선택사항부서명 사용자의 부서명 선택사항이용자구분 내국/외국/국외거주/기업우편번호 우편번호로그인 서버 ID 처음 로그인한 서버 ID 웹사이트 코드명클라이언트 IP 웹브라우저 실행 클라이언트 IP client IP address로그인시간 처음 로그인한 시간(인증서버) ****서버시간(‘YYYYMMDD HH:mm')ExpireTime 로그인 상태를 강제로 끝내는 시간 ****time out 시간접속가능 서버 ID 사용자가 접속 가능한 서버ID ****구분자: ,(콤마)

157 ☑ 인증토큰을 발급받으면 토큰정보는 레지스트리에 암호화된 상태로 저장됨 ☑ 암호화된 인증토큰을 복호화 하는 작업은 서버측에서 암호화 라이브러리를 사용해 복호화함 ☑ 복호화한 토큰정보의 각 항목은 구분자(‘|’)로 연결되어 있어서, 필요한 항목은 토큰을 잘라서 이용함 * 토큰의 마지막 항목에는 사용자가 접속 가능한 서버ID가 구분자(,)로 구성되어 있음 예) TokenStr="sessionID|admin|홍길동|1|samsung|management|0|163123|SS23|localhost| 20040820 10:10|20040821 10:10|SS23,SS24,SS25" ☑ 로그인 시간 및 ExpireTime 의 형식 - (YYYYMMDD HH:mm) ..HH의 형태는 (00~23)시 형태로 되어있다. ☑ 접속가능 서버 의 형식 - (SS01,SS02,SS03).. 서버아이디가 1개 이상일 경우 콤마(,) 와 결합하여 더해진다.4) 사이트 처리 업무 정의 ◦ Kisti 통합 인증 시스템의 이용은 개별 사이트에서 아래 내역을 개발 구현 하여야 가능하다. 아래 표는 개별 사이트 개발자들을 위한 업무 처리 내역 리스트임과 동시에 sso.kisti.re.kr을 운영하는 운영 담당자가 개별 사이트를 통합 인증 시스템을 이용하도록 등록하는데 Check List로 활용될 것이다. ◦ 개별 사이트 개발자는 자신의 사이트에 Single Sign On 기능을 구축하기 위해 아래 업무를 반드시 구현하여야 한다.

158 구분 분류 업무명 설명 비고1 DB 셋팅 스키마 정의 부가 테이블 생성 DB의 통합에 따라 기존 User 테이블에서 통합DB로 통합이 되지 않은 나머지 컬럼들이 저장될 옵션테이블을 만듬. 　2 데이터 정제 기존 데이터 정제 　 　3

프로그램로그인 요청 페이지 SSO 로의 이용자 인증요청 　4 리턴 페이지 셋팅된 토큰값 유무 확인 　5 로그인 처리 토큰정보의 유효시간과 서버코드를 비교, 유효하면 로그인처리 　6 이용자 가입 요청 페이지 공통정보 입력을 위한 SSO 가입처리 　7 부가정보 입력폼 공통정보를 제외한 개별 정보 입력 ★8 부가정보 입력처리 DB 통합과정에서 나뉘어진 개별정보 테이블에 Insert 처리 　9 가입완료 후 처리 SSO 로의 가입완료확인 후 로그인 처리 　10 아이디/비밀번호찾기 요청 페이지 SSO 의 통합DB정보검색을 통한 처리 　11 리턴 페이지 로그인화면 　12 이용자 정보수정 요청 페이지 공통정보 수정을 위한 SSO 수정처리 　13 부가정보 수정폼 리턴파라미터 userid 를 통한 개별정보테이블 수정폼 ★14 부가정보수정처리 입력된 수정정보를 개별정보 테이블에 Update 　15 수정완료 후 처리 SSO 로의 요청. 수정완료확인 후 리턴 　16 로그 아웃 요청 페이지 SSO 로의 요청. 토큰정보 및 세션 삭제, 사용자 이벤트 정보 남기기후 리턴 　17 로그아웃 처리 세션소거후 로그아웃처리 　18 이용자 탈퇴 요청 페이지 SSO 로의 요청. 요청유효성검사 및 탈퇴사유 입력폼을통한 탈퇴정보 반영후 리턴 　19 탈퇴 처리 세션소거 및 로그아웃처리 　20 ID 변경 아이디 변경 처리 SSO 로의 이용자 인증 및 통합 DB 업데이트후 리턴 페이지에서의 개별정보(ID) 업데이트   ★21 웹로그 접근정보 제공 　 웹로그 수집을 위한 접근정보 제공. FTP 접속정보 및 로그파일 경로제공  ★★ 사전에 sso.kisti.re.kr 운영자에게 관련 프로그램의 URL을 제공 해야 하는 것

159순번 작 업 내 역 비 고1 처음 호출 되는 페이지에 토큰인증 관련 모듈 적용세부사항은 http://guide.kisti.re.kr/guide/board/View.jsp?menu_id=105008&sType=&sText=&pageSize=10&gotoPage=1&seq=4참조

2 로그인이 필요한 페이지에 이용자 인증 관련 모듈 적용3 로그아웃을 했을 때 이용자 인증 해제 모듈 적용4 이용자 등록 시 호출 모듈 적용 및 2차 추가 항목 등록 관련 프로그램 개발(개발된 페이지 통합DB에 기록)5 이용자 수정 시 호출 모듈 적용 및 2차 추가 항목 수정 관련 프로그램 개발(개발된 페이지 통합DB에 기록)6 이용자 탈퇴 시 호출 모듈 적용7 ID/Password 찾기 시 호출 모듈 적용8 관리자 등급에 따른 호출 모듈 적용9 통합 DB쪽과 데이터 연계 시 필요한 작업은 Stored Procedure 로 호출 한다.이때 작성된 프로시져명은 통합 DB쪽에 기록 한다.2. 통합고객정보 테이블 구조

160컬럼명(영문) 설 명 Data Type 필수 비고userid 아이디 VARCHAR2(30) M PKuserlevel 이용자별 레벨 CHAR(1) M 주1)userpart 내국/외국/국외거주/기업 CHAR(1) M 주2)state 이용 상태 CHAR(1) M 주3)password 비밀번호 VARCHAR2(30) Musername 이용자 이름 VARCHAR2(50) Memail_1 이메일 아이디 VARCHAR2(50) Memail_2 이메일 도메인 VARCHAR2(50) Memail_dcode 이메일 도메인선택 CHAR(4) Maddrtype 주소 유형 CHAR(1) M 주4)zipcode 우편 번호 VARCHAR2(10) Maddr_1 선택된 주소 VARCHAR2(300) Maddr_2 나머지 주소 VARCHAR2(150) Mphone_0 국가 번호 VARCHAR2(4) Mphone_1 지역번호 VARCHAR2(4) Mphone_2 국번 VARCHAR2(4) Mphone_3 번호 VARCHAR2(4) Mhpno_0 국가 번호 VARCHAR2(4) Ohpno_1 지역번호 VARCHAR2(4) Ohpno_2 국번 VARCHAR2(4) Ohpno_3 번호 VARCHAR2(4) Ofax_0 국가 번호 VARCHAR2(4) Ofax_1 지역번호 VARCHAR2(4) Ofax_2 국번 VARCHAR2(4) Ofax_3 번호 VARCHAR2(4) Odegree 최종학위 CHAR(5) O 주5)major 전공 CHAR(5) O 주5)subject 분야 CHAR(5) O 주5)job 직업구분 CHAR(6) M 주5)company 소속기관/회사 VARCHAR2(200) O 주6)post 부서코드 CHAR(5) O 주5)branch 부서명 VARCHAR2(100) Ocountry 거주국 CHAR(3) Ocomseq 사업자등록번호 VARCHAR2(10) O 주6)applydate 가입일자 DATE Mchangedate 변경일자 DATE Mexpiredate 해지일자 DATE Mlastconnect 최종접속일자 DATE Mclientip 이용자가 접속한 IP VARCHAR2(30) Mssn_code 주민번호 대체 식별 코드 CHAR(8) M 주7)birthday 생년 VARCHAR2(30) M 주7)sex 성별 CHAR(1) M 남:M, 여:F 주7) M: 필수항목, O: 선택항목 주1) userlevel '0' 일반이용자, '1' 사이트관리자, '2' 슈퍼관리자,

161 주2) state '0' 중지상태, '1' 가입상태 주3) userpart '0' 국내거주자, '1' 국외거주자, '2' 기업 주4) addrtype '0' 자택, '1' 직장, 주5) 홈페이지 이용자 정보항목 표준 참고(KISTI-2004-I-01) 주6) 기업 ID 인 경우 필수 항목임. 주7) 기업 ID 인 경우 필수 항목이 아님.3. 문의처□ 담 당 부 서 : 지식정보센터 지식포털팀□ 담 당 자 : 이태석 선임연구원(☎ 02-3299-6074)□ 관련 자료실 : guide.kisti.re.kr(Home 자료실 개발 관련 자료)

162웹웹웹웹 로로로로그그그그 축축축축적적적적을을을을 위위위위한한한한 지지지지침침침침

1. 개요KISTI에서는 서비스되고 있는 서버들의 웹로그를 수집하여 분석하기 위해 각 서비스별 웹 로그를 수집하고 있다. 따라서, 신규 시스템 개발시 웹로그 축적을 위한 지침에 따라 개발하여야 한다.2. 웹로그 수집

가. 웹로그 분석시스템 구성도종합종합종합종합 웹로그웹로그웹로그웹로그 분석분석분석분석 실행실행실행실행사이트별사이트별사이트별사이트별웹로그웹로그웹로그웹로그접속접속접속접속 정보정보정보정보웹로그웹로그웹로그웹로그 웹로그웹로그웹로그웹로그로딩로딩로딩로딩IP 기반기반기반기반 분석분석분석분석

자동 스케줄or수동실행종종종종 료료료료 페이지뷰방문횟수 일평균유일IP수지역 업종기관페이지뷰방문횟수 일평균유일IP수지역 업종기관

나. 웹서버 로그 설정 사항□ 웹서버 로그 파일 생성 규칙 - APACHE의 경우 access_log.%Y%m%d의 형태로 적재되어야 함. - IIS의 경우는 default 날짜별 적재

163□ 사이트별 로그파일 접근 - 사이트 오픈 및 운영 개시 1주일 전 지식포털팀 통보 - 로그파일이 남는 디렉토리를 읽을 수 있는 계정, 경로, 호스트 정보 통보 및 접근 허용 조치□ 로그포맷 형식 - 에이전트, 레퍼러, 쿠키정보를 추가로 기록□ 설정 예 ◦ APACHELogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{Cookie}i\"" ◦ IISdate, time, c-ip, cs-uri-stem, cs-uri-query, sc-status, sc-bytes, cs(Referer), cs(User-Agent), cs(Cookie)3. 문의처□ 담 당 부 서 : 지식정보센터 지식포털팀□ 담 당 자 : 이태석 선임연구원(☎ 02-3299-6074)□ 관련 자료실 : guide.kisti.re.kr(Home 자료실 개발 관련 자료)

164KKKKRRRRIIIISSSSTTTTAAAALLLL사사사사용용용용을을을을 위위위위한한한한 지지지지침침침침

1. 개요KRISTAL을 이용하여 데이터베이스 구축 및 운영과 관련 응용프로그램 작성 시 다음의 지침에 따라 개발하여야 한다.2. KRISTAL 서버 측 부분

가. 운영체제 및 하드웨어 장비□ KRISTAL 서버 운영 장비는 “Ⅰ. ISOC 개발 및 보안지침”에서 권고하는 하드웨어 및 운영체제를 이용하도록 한다. 나. KRISTAL 설치 및 버전 관리□ 장비에 KRISTAL 설치 시, 특정계정(예: kristal)을 이용하여 설치하고, 서비스 계정에서 심볼릭 링크(symbolic link)를 이용하여 KRISTAL을 사용하도록 권고하며, 서비스 계정에 직접 KRISTAL을 설치하는 행위는 지양한다. KRISTAL에 대한 설치 및 버전 관리는 “KRISTAL 개발 부서”에서 담당하는 것을 원칙으로 한다. 다. 데이터베이스 설계 및 관리□ 데이터베이스 환경화일, 데이터베이스 볼륨, 스키마, 데이터 등의 디렉토리가 적절한 위치에 설정되어야 한다.□ 데이터베이스 설계 작업시 또는 작업후, “KRISTAL 개발 부서”와 상의하여 적절하게 데이터베이스가 설계되었는지 검증하는 작업을 수행한다.

165 - 테이블 설계 작업. 기본 키(Primary Key)가 적절하게 설정되어야 한다.. 데이터의 용량 또는 특성에 따라 테이블 들이 적절하게 나누어져야 한다.. 대상 문서의 크기가 크고(1M 이상) 색인량이 많을 경우, 문서 삽입/삭제/수정 작업을 위한 데이터베이스 환경설정파일(DB_CONFIG)이 제대로 설정되었는지 확인한다.. 대상 데이터의 규모가 크고 삽입/삭제/수정이 빈번한 시스템인 경우, 보조테이블을 사용하도록 권고한다.. 보조테이블을 사용하는 시스템의 경우, 주기적으로 “데이터베이스 최적화”작업을 수행하도록 설계되어야 한다. - 색인 설계 작업. 각각의 섹션에 대해 불필요한 색인이 지정되지 않도록 주의한다.. 각각의 섹션에 대해 적절한 색인이 지정되었는지 “KRISTAL 개발 부서”에 검증을 요청한다.. 검색을 위해 가상섹션(virtual section) 및 통합섹션(Union section)이 적절하게 지정되었는지 “KRISTAL 개발 부서”에 검증을 요청한다. 라. 데몬 관리 부분□ 검색의 양에 따라 데몬의 개수가 적절하게 설정되었는지 검증한다.□ 질의 및 검색결과에 대한 옵션들이 적절하게 설정되었는지 검증한다.□ 외부접근 IP에 대한 리스트가 보안을 유지하도록 설정되어야 한다.3. KRISTAL 클라이언트 측 부분

가. 검색 관련 부분

166□ 검색모델이 서비스에 적합하게 설정되었는지 “KRISTAL 개발 부서”에 검증을 요청한다.□ 검색과 관련된 옵션들이 서비스에 적합하게 설정되었는지 “KRISTAL 개발 부서”에 검증을 요청한다. 나. 응용프로그램 부분□ KRISTAL 버전의 업그레이드가 용이한 구조로 응용프로그램을 개발해야 한다.□ 응용프로그램에 대한 설계서 및 주석 등이 제대로 작성되어 향후 수정이나 유지보수가 용이하도록 개발되어야 한다.□ KRISTAL의 API에 대한 잘못된 사용으로 전체적인 서비스 속도에 영향을 끼치지 않도록 해야 한다.□ 검색 후 정렬 등의 작업이 자주 일어나는 작업인 경우 메모리 DB를 사용하여야 한다.3. 교육부분KRISTAL기반 개발 경험이 없는 외주 업체나 내부 개발부서는 과제수행 이전에 반드시 KRISTAL 관련 교육을 이수하여야 한다.4. 문의처□ 담 당 부 서 : 지식정보센터 시스템개발팀□ 담 당 자 : 최윤수 선임연구원(☎ 042-828-5045, armian@kisti.re.kr)

167KKKKOOOOIIII식식식식별별별별체체체체계계계계 적적적적용용용용을을을을 위위위위한한한한 개개개개발발발발지지지지침침침침

1. 개 요□ 본 문서는 KOI(Knowledge Object Identifier) 식별체계를 적용에 필요한 기술적 사항과 절차를 설명하는 것으로서 시스템 개발자를 위한 지침서이다.□ KOI는 과학기술분야 지식정보 전반을 대상으로 하고 있으며, 국내학술지, 국내연구보고서, 국가전문인력정보, 과학기술동향, 산업기술분석정보, 학위논문, 연구기자재정보, 국가연구개발 관련 정보 등의 디지털 객체에 적용한다.□ 시스템 개발시에 KOI를 적용하기 위해서는 KOI 식별체계를 이해하고 연계방법에 대하여 숙지하여 웹개발 및 수정 작업을 진행해야 한다.□ KISTI가 서비스하는 지식정보에 대하여 KOI 식별체계통합관리시스템에 등록함으로써, KOI번호를 발급받게되며, 해당 정보의 링크시에는 발급받은 KOI번호를 이용하여 변환서비스를 받게 된다. ※ KOI 변환서비스 링크방법 : "http://koix.kisti.re.kr/KOI번호"가. KOI 기반 정보구축 및 서비스(예시)

168

[그림 1] KOI기반 정보구축 및 서비스 흐름 예시□□□□ 프로세스 프로세스 프로세스 프로세스 흐름 흐름 흐름 흐름 설명설명설명설명[그림 1]은 KOI기반으로 과학기술정보를 등록하고, 검색서비스하는 흐름을 예시한 것으로서 프로세스는 다음과 같다.- KOI 등록 절차 : 1～31. 콘텐트의 URL을 포함한 식별메타데이터를 KOI식별체계 통합관리시스템에 전송․등록 요청2. 해당 정보에 대한 KOI번호를 발급하여 응용 시스템에 전송해 줌(1.의 등록요청시 KOI번호를 지정하여 전송한 경우는 해당 KOI번호로 등록됨)3. 서비스를 위한 응용 시스템에 KOI를 포함한 콘텐트를 저장함으로써

169KOI 등록 완료- 정보서비스에서 KOI번호를 이용해서 콘텐트를 열람하는 절차 : a～da. 예를 들어, 정보이용자가 과학기술정보 종합서비스사이트(yesKISTI)에서 정보를 검색하고 검색한 결과의 목록보기와 상세보기에서 ‘콘텐트보기’ 단추를 클릭b. 해당 콘텐트의 KOI번호가 KOI 식별체계 통합관리시스템에 자동으로 전송c. 변환(Resolving)과정을 통해 해당 콘텐트url을 제공 받음d. 정보이용자는 해당 url의 콘텐트를 열람 가능나. KOI 식별체계 설명KOI는 구문구조, 식별메타데이터, 운영관리시스템으로 구성되며, 본 절에서는 KOI번호 형식을 나타내는 구문구조와 KOI 등록시 전송해야 할 식별메타데이터에 대하여 설명한다.1) 1) 1) 1) KOI KOI KOI KOI 구문구조구문구조구문구조구문구조유형 접두부(Prefix) 구분자 접미부(Suffix)학술잡지 등록관리기관.등록기관 / 자료유형.종정보.권호정보.시작페이지[확장코드]비학술잡지 등록관리기관.등록기관 / 자료유형.관리정보[확장코드] ▷ 예; [학술잡지] KOI번호 샘플: KISTI.1013/JNL.1229-6821.v11.n4.65 KISTI : 등록관리기관으로서 “한국과학기술정보연구원“ 1013 : 등록기관 코드(예를 들어, “한국정보관리학회”) JNL : 자료유형 코드로서 “학술지”를 의미 (<첨부 1> 참조) 1229-6821.v11.n4.65 : ISSN이 1229-6821인 학술지, 11권, 4호,

170 [비학술잡지] KOI번호 샘플: KISTI1.1006/RPT.TRKO200300001574 KISTI1 : 등록관리기관으로서 “한국과학기술정보연구원1“ 1006 : 등록기관 코드(예를 들어, “화학연구원”) RPT : 자료유형 코드로서 “연구보고서”를 의미 (<첨부 1> 참조) TRKO200300001574 : 연구보고서 관리번호 [기타 KOI 번호 생성 예] KISTI1.1010/VOD.0001-0142-001-000 (동영상) KISTI.1003/HMN.9959341204999 (인력)※ 해당 콘텐트의 열람을 위한 하이퍼링킹 방법 : “http://koix.kisti.re.kr/koi번호”2) 2) 2) 2) KOI KOI KOI KOI 식별 식별 식별 식별 메타데이터메타데이터메타데이터메타데이터정보등록을 하기 위하여 KOI서버에 제출해야 할 KOI 식별메타데이터 요소는 <표 1> 과 같고, KOI, 제목, 저작권자, 저작권역할 요소는 필수요소이며, 나머지는 선택 요소이다.요소명 정의 빈도수한글 영문KOI KOI KISTI에서 디지털콘텐츠에 부여한 유일한 번호(Knowledge Object Identifier) 1..1기존식별자 Identifier 기존에 부여된 식별자 0..n제목 Title 알려져 있는 디지털콘텐츠의 이름 1..n년도 Year 디지털콘텐츠 제작년도 0..n저작권자 Copyright owner 디지털콘텐츠에 대한 책임을 가진 주체의 이름 1..1저작권역할 Copyright Owner role 디지털콘텐츠에 대한 책임을 가진 주체의 역할 1..1분류 Classification 디지털콘텐츠 분류값 0..n자료유형 Type 디지털콘텐츠 자료유형(학술지, 연구보고서 등) 0..1파일형태 File format 디지털콘텐츠 파일형태 0..1설명 Description 디지털콘텐츠 설명 0..1

<표 1> KOI 식별 메타데이터 요소

171각 요소에 해당하는 데이터를 KOI 서버로 전송시 <표 2>의 스키마를 참고하여 항목의 유형 및 사이즈에 맞도록 해야 한다.<표 2> KOI 메타데이터 스키마(시스템 관리항목은 제외)컬럼명 유형 키속성 규정 비고KOI VARCHAR2(255) PK NOT NULL KOI 번호CONNECT_NO VARCHAR2(1024) 기존식별자KOJIC VARCHAR2(256) KOJICPUB_ROLE_CODE VARCHAR2(4) 저작권역할코드TITLE_2ND VARCHAR2(1024) 제 목 ( 2 n d Lang)GROUP_VALUE VARCHAR2(256) 분류TITLE VARCHAR2(1024) 제목PUB_NAME VARCHAR2(256) 저작권자APPLY_NO VARCHAR2(64) 출원번호YEAR VARCHAR2(4) 년도PUBLIC_NO VARCHAR2(64) 공개번호PUBLIC_DATE VARCHAR2(8) 공개일INVENT_NAME VARCHAR2(512) 특허발명자REG_DATE VARCHAR2(20) 등록일CLASS_INFO CHAR(3) 자료유형AUTH_FLAG CHAR(1) 인증구분FORMAT VARCHAR2(32) 파일형태2. KOI 식별체계 적용 방법□ KOI 식별체계를 적용하기 위해서는 개발하고자 하는 시스템 설계시에 KOI 식별 메타데이터 스키마를 참조하여 필요한 요소를 DB설계시 반영해야 하며, 정보생성에 관련된 기능의 개발시에는 KOI식별체계통합관리시스템과 연계하여야 한다.가. KOI 적용을 위한 작업 절차- 정보설계 단계에서 DB스키마에 KOI번호 필드를 포함하여 설계한다.- 정보생성시 서지정보구축 단계에서 KOI 식별메타데이터를 KOI 식별체계

172

정보유통단계 작업 내역 KOI 시스템 정보 설계 - KOI 식별 메타데이터를  반영한 서지정보 DB 설계 (KOI번호 필드 포함) - KOI 식별 MD 스키마 제공 정보생성 서지정보구축 - KOI 식별 메타데이터 전송을 통한 KOI 발급 요청- 등록처리 결과에 따른 KOI번호 수신- 서지정보에 KOI번호 저장 - 온라인 방식: 1건- 배치 방식 : 1건 이상 정보검색 서비스 검색결과생성 - 정보검색결과에 따른 기사별 콘텐트열람 링크 생성(형식: http://koix.kisti.re.kr/해당koi번호) - 각 정보서비스 시스템콘텐트열람- 콘텐트열람링크를 클릭하는 경우 자동적으로  KOI 변환서버를 Call하게 됨. - KOI 변환서버

통합관리시스템에 전송하고 KOI 번호를 발급 받아 서지정보(DB)에 KOI번호를 저장한다.- 정보검색서비스를 위해서 검색결과에 대한 기사별 콘텐트 또는 상세정보를 열람하기 위한 링크를 생성할 때는 “http://koix.kisti.re.kr/해당KOI번호” 형식을 준수하여 링크를 생성한다. - 개발하려고 하는 신규 시스템의 간략보기 또는 상세보기 화면 등의 콘텐트 링크화면에서 KOI 변환서비스 요청 아이콘을 생성한다. ※ http://koix.kisti.re.kr는 KOI 변환 서버임.□□□□ KOI KOI KOI KOI 적용을 적용을 적용을 적용을 위한 위한 위한 위한 작업 작업 작업 작업 내역내역내역내역

나. KOI 적용을 위한 작업 설명1) DB설계 단계 응용시스템 개발시 DB설계함에 있어서 KOI에 정보 등록후 발급받은 KOI번호를 저장할 수 있도록 스키마에 KOI번호 필드를 정의해야 하며, KOI 식별메타데이터(<표 1>, <표 2> 참조)에 해당하는 필드들을 정의해야 한다.2) KOI 등록 기능 개발 디지털 콘텐트 생성시 KOI에 등록하는 방법에는 3가지가 있으며, KOI 등록관리시스템의 UI를 이용하여 직접 입력/편집 방식, 연계모듈에 의한 KOI 등록, 배치처리 방식의 KOI 등록 방식이다.

173 가) KOI 등록관리시스템의 UI를 이용하여 직접 입력/편집 방식 이 방식은 KOI 식별체계 통합관리시스템 자체의 입력 UI를 이용하여 정보등록자가 메타데이터를 직접 입력 또는 편집하는 방법으로서, KOI 메타데이터에 해당하는 항목을 직접 1건씩 입력함으로써 KOI를 등록하는 것이다. 이 방식에서는 KOI 메타데이터 입력을 위한 링크를 제공하도록 개발하면 된다.[그림 2]는 국내학위논문에 대한 KOI등록 화면 예이다. 메타데이터를 입력하면 KOI번호를 발급받을 수 있다.

[그림 2] 국내학위논문 KOI 메타데이터 입력/수정 화면 예 나) 연계모듈에 의한 KOI등록 방식 연계모듈에 의한 KOI등록 방식은 응용시스템 개발시에 콘텐트의 생성․저장단계에서 KOI 식별체계 통합관리시스템을 호출하여(KOI연계등록 데몬) 등록하고자 하는 콘텐트의 식별메타데이터를 전송함으로써 KOI등록 요청을 하게되며, KOI 식별체계 통합관리시스템은 KOI번호를 발급하고 처리결과를 응답하게 된다. 이 방식의 구현시 <첨부 1>의 KOI 연계등록 모듈 Sample을 참

174고하면 된다. 연계모듈에 의한 KOI 연계등록 절차는 [그림 3]과 같다.< < < < 개발개발개발개발응용시스템응용시스템응용시스템응용시스템>>>> < KOI 연계등록Demon > 식별MDVector수신/parsing메타데이터유효성검증식별메타데이터저장ip, port 지정송신용Vector 전송결과수신처리 KOI등록요청에러정보,벡터정보등록OK,벡터정보

< KOI< KOI< KOI< KOI식별체계식별체계식별체계식별체계통합관리시스템통합관리시스템통합관리시스템통합관리시스템>>>>DB KOI 발급

[그림 3] KOI 연계등록 절차도 다) 배치처리를 통한 KOI 등록 방식 이 방식은 개발하고자 하는 응용시스템에서 KOI서버와 연계하여 처리하지 않고, 관리자가 KOI서버에 배치등록요청을 하는 방식이다. 따라서, 응용시스템 개발시에 KOI서버와의 기능적인 연계를 위하여 개발은 필요없으나, 배치처리를 위한 등록데이터 생성에 사용할 기능 개발이 필요하다. 배치처리를 위해 사용할 데이터 형식은 <첨부 1>의 KOI 배치등록화일 형식을 참조하면 된다.3) 정보검색결과 열람기능 개발 콘텐트의 생성시에 KOI 등록을 하면 KOI번호를 발급받게 되며, 정보검색 기능을 개발할 경우에 검색결과에 대한 콘텐트를 링크하는 방법은 이전에 설명한 것 처럼 “http://koix.kisti.re.kr/koi번호”와 같이 하이퍼링크를 생성해 주면 된다. 이용자가 검색결과를 클릭하면 KOI 변환서버(koix.kisti.re.kr)는

175KOI번호에 해당하는 콘텐트 위치를 제공하여 열람할 수 있도록 한다. 변환서비스에는 두가지가 있는데, 일반적으로 하나의 KOI번호에 하나의 콘텐트 개체를 링크하는 방법과 하나의 KOI번호에 선택적으로 콘텐트를 열람할 수 있도록 하기 위한 방법으로 다중변환으로 나눌 수가 있다. 예를 들어, 동일한 논문인데 하나는 PDF화일 형식이고, 또 하나는 HWP화일인 경우에 선택적으로 PDF화일만을 링크하기 위하여 “http://koix.kisti.re.kr/koi번호@확장기호” 형식으로 링크하는 방식이다.3. KOI 식별체계 등록관리시스템 기능 설명KOI 식별체계 등록관리시스템은 KOI의 등록 및 관리기능을 제공하는 시스템으로서 장르별로 복수개가 존재한다. 현재는 3가지 장르가 있는데, 학술지 등록관리(RA1), 보고서 등록관리(RA2), 기반정보 등록관리시스템(RA3)이다. 주요 기능은 KOI 등록, 변환, 통계, 운영기능이며, 장르별 KOI 식별체계 등록관리시스템 서버 주소는 다음과 같다.RA1 학술지(국내학술지, 학술회의, 논문) http://koixra1.kisti.re.kr:8081/userRA2 보고서(분석, 동향, 국내연구보고서) http://koixra2.kisti.re.kr:8081/userRA3 기반정보(특허, 인력, 동영상 등) http://koixra3.kisti.re.kr:8081/user가. 기능 설명□ 메타데이터 관리메타데이터 관리는 메타데이터의 등록 및 수정, 조회, 삭제 등의 기능으로 구성되며, 등록자가 등록관리시스템에 등록하고자하는 메타데이터를 등록할 수 있다.

176□ 정보등록 KOI 적용대상정보에 대한 KOI 메타데이터를 받아서 KOI 식별자를 부여하고 저장한다. 또한 KOI 메타데이터에 대한 입력/수정/삭제 기능을 제공한다. 식별체계 등록처리기에서 처리된 데이터를 KOI 메타데이터베이스에 저장한다. 저장방법은 1건 또는 배치로 저장한다.□ 식별 메타데이터 검색등록기관별로 등록된 메타데이터 정보를 KOI번호, 명칭, 저작자, 년도별 등으로 제한 또는 통합하여 검색할 수 있는 기능을 제공한다.□ 2차 변환KOI 메타데이터베이스에 저장된 디지털콘텐츠에 대하여 식별자검색기능을 통해 요청된 KOI번호에 대해 실제 존재하는 콘텐트의 위치로 변환하는 식별자변환 서비스를 처리한다.□ 통계 조회메타데이터 등록 현황과 KOI변환 로그, 참조연계이용현황, URL오류현황, URL유효성체크현황 등을 다양한 형태(기간별, 등록관리기관별 등)의 통계 정보를 제공한다□ 등록자 관리등록관리기관이 등록자를 관리하기 위한 기능으로 등록자 등록, 승인, 관리기능으로 구성된다.□ 시스템 관리 기능시스템을 효율적으로 운영․관리하기 위하여 KOI 등록관리기관 및 등록기관에 대한 기관코드 등의 관리 기능, KOI 등록관리기관이 디지털콘텐츠와 등록기관을 관리할 수 있는 기능, 개인 사용자/기관의 사용권한에 대한 등급별 관리기능, 디지털콘텐츠 URL에 대한 링크관리, KOI 메타정합성 체크 기능 등의 대한 시스템 관리 기능을 처리한다.

177IIIITTTTAAAA 운운운운영영영영관관관관리리리리를를를를 위위위위한한한한 지지지지침침침침

1. 개요□ ITA는 정보자원을 효율적으로 관리하기 위한 표준 및 가이드라인을 수립하는데 목적이 있음. □ ITA를 구축함으로써 업무에 대한 IT의 대응력이 높아지고, IT관리 향상과 IT투자비용의 효율화를 이룰 수 있음 - 업무에 대한 IT의대응력 증가 - IT 투자비용효율화 - IT 서비스/관리 향상 □ 현재 KISTI에서 ITA를 추진하지 않은 상태이므로 향후 ITA 구축을 예상하여 범정부 프레임워크에서 정의한 산출물을 기준을 통한 최소한의 가이드라인을 제시하고자 한다. - 2005년 11월에 ‘정보기술아키텍처(ITA)에 관한 법안’이 제정되고, 2006년 7월부터 법이 시행됨에 따라 KISTI에서도 조만간 ITA를 구축해야 하는 실정임. 2. 범정부 프레임워크에서 정의한 산출물 작성

및 제출

가. 범정부 표준 ITA 산출물 리스트□ ITA Matrix는 범정부 ITA Matrix를 기반으로 정의하였으며, 범정부 표준 ITA 산출물은 40종의 산출물로 구성되어 있으나, KISTI에서는 이중 23개 산출물만 관리 대상으로 함.

178□ 필수 산출물(색칠된 부분)은 계획자, 소유자까지 이며, 보조 산출물은 설계자, 개발자 수준에 적용 관점관점관점관점 시각시각시각시각 업 업 업 업 무무무무 응 응 응 응 용용용용 데이터데이터데이터데이터 기 기 기 기 술술술술계획자계획자계획자계획자 - 조직구성도/정의서- 업무구성도/정의서 - 응용시스템구성도/ 정의 - 데이터구성도/ 정의서- 데이터 주제영역 정의서 - 기반구조구성도/ 정의서책임자책임자책임자책임자 - 업무기능관계도/ 기술서- 업무기능분할도/ 기술서 - 응용시스템관계도/ 기술서- 응용기능분할도/ 기술서 - 개념데이터관계도/ 기술서- 데이터교환기술서 - 기반구조관계도/ 기술서설계자 설계자 설계자 설계자 - 업무절차설계도/ 설계서 - 응용기능설계도/ 설계서 - 논리데이터모델- 데이터교환설계서 - 기반구조설계도/ 설계서- 시스템성능설계서개발자개발자개발자개발자 - 업무매뉴얼 - 응용프로그램목록 - 물리데이터모델 - 제품목록(표) 표준 ITA 산출물 나. 산출물 제출 □ KISTI에서 추진하는 정보화사업 수행 이후, 최소한 위 ITA 매트릭스 상에 정의된 필수 산출물을 제출 - 산출물은 ITA 모델링 툴을 사용하여 작성 - 사업수행자는 산출물을 “NTIS사업단 표준화기술지원팀”에 제출하고, 표준화기술지원팀은 향후 개발 예정인 ITA 리파지토리에 저장하고 관리3. 문의처□ 담 당 부 서 : NTIS사업단 표준화기술지원팀□ 담 당 자 : 조성남 선임연구원(☎ 02-3299-6072, chosn@kisti.re.kr)