정보보호 컨설팅 방법론2
작성자 - 재감자숭이번 보고서는 지난 게시물에 이어서 설계 부분을 지나 지원파트의 이행 지원부터 다시 정리를 진행하였다.
S-IS. 이행 지원
이행지원 단계에서는 이행 계획에 따른 보호대책을 효과적으로 구현하고 있는지 이행결과의 정확성 및 효과성을 점검하고, 심사 및 평가에서 도출된 결함사항에 대한 대응방안을 제공
| 목표 |
| - 고객사의 담당자들이 보안 요구사항에 부합되게 조치를 수행하도록 이행점검 지원 - 심사 및 평가 결함사항에 대한 후속조치 지원 |
| 주요 고려사항 |
| - 이행 계획에 따른 진행경과를 파악, 미 이행 또는 일정지연 시 원인 분석 및 이행계획 변경 지원 - 보완조치 내역서 작성 시 고객사와 협의하여 고객사에서 작성 가능한 결함조치 사항과 컨설턴트가 작성해야 할 사항을 구분하여 업무분담 후 보완조치 내역서 검토 지원 |
이행 점검
- 증적 자료 관리, 이행 점검
사후 관리
- 후속조치 지원
증적 자료 관리
- 정보보호 정책/지침, 정보보호 관리체계 통제 기준을 고려하여 이행증적 목록을 작성
- 이행증적 목록 작성 시 이행증적 명칭, 수행주기, 시스템/문서 여부, 담당부서/담당자 등을 포함
- 정보보호 정책/지침에 따른 이행증적 목록 작성 시 해당 목록이 없는 경우 템플릿 등 문서 양식을 제공하거나 담당자 교육을 통해 관련 부서 및 담당자가 증적자료를 쌓게 지원
이행 점검
- 이행점검은 기술적 취약점 진단 결과 보고서, 중장기 마스터 플랜, 이행증적 목록을 활용해 이행 여부에 대해 점검
- IT인프라, 웹 어플리케이션, 모바일 앱의 취약점에 대한 보호대책의 적용 여부 점검을 위해 취약점 점검을 실시
후속조치 지원
- 심사 및 평가에서 도출된 결함사항에 대한 후속조치를 지원
- 결함사항 보완조치 내역서 작성에 대한 검토를 지원
S-SS. 시스템 구축 지원
시스템 구축 지원 단계에서는 고객의 요구사항, 위험조치 계획에 따라 보안 약점을 제거하기 위해 필요한 보안솔루션의 사양과 기능을 결정하고 일정을 수립하고 계획에 따라 구축한다.
| 목표 |
| - 정보보호 관리체계의 안전한 유지관리를 위해 필요한 보안솔루션을 결정하고 구축 |
| 주요 고려사항 |
| - 보안솔루션에 대한 고객의 요구사항, 취약점 진단 결과 또는 위험평가 결과를 참고하여 필요한 보안 솔루션 확정 - 구축 예정인 보안솔루션의 요구 사양(기능, 성능, 용량)과 위험조치 계획을 참고하여 보안 솔루션 확정 |
보안솔루션 요건 정의 및 선정
- 보안솔루션 요건 정의, 보안솔루션 선정 평가, 보안솔루션 선정
보안솔루션 구축
- 솔루션 구축 및 운영이관
보안솔루션 요건 정의
- 보호대책 구현을 위해 필요한 보안솔루션의 유형과 성능, 기능, 용량을 정의
- 제조사에 RFI를 전달하여 보안솔루션의 성능, 용량, 기능, 특성을 조사
보안솔루션 선정 평가
- 보안솔루션 요건 정의 내용을 참고하여 평가기준을 선정하고 필요한 보안솔루션 유형과 제조사를 조사하고 평가 대상 업체를 선정
- 보안솔루션 요건 정의 내용을 반영한 제안요청서를 제조사 대상으로 발송
- 참여업체의 수, 평가 대상 보안솔루션의 종류를 고려하여 평가계획을 수립하고 평가기준에 따라 평가를 실시
보안솔루션 선정
- 보안솔루션 평가기준을 만족하는 제품에 대해 가격, 고객 요구사항, 유지보수 역량 등을 종합적으로 고려하여 보안솔루션을 선정
- 선정 결과를 제조사에 통보하고 제조사 별로 구축 계획을 수립
물리적 환경 구축 지원
- 보안솔루션 구축 계획에 제조사 별로 일정에 따라 설치
- 설치완료 후 보안정책을 적용, 안정화 기간을 거쳐 안정성이 검증된 경우 운영으로 이관
- 제조사에게 각 보안솔루션의 구축 후 안정한 운영을 위해 표준운영절차(SOP)를 요구
- 주기적으로 모니터링 및 정책 검토 절차를 수립하여 시행하도록 함
S-AU. 보안감사
보안감사 단계에서는 전체적인 정보보안 수준 파악을 목적으로 하며, 조직의 전체적인 보안 활동을 통제항목 기준에 맞게 운영하고 있는지 객관적인 제3자의 입장에서 점검하여 미흡한 분야에 대한 보안성을 강화한다.
| 목표 |
| - 정보보호 관련 활동의 적정성을 확인하기 위해 문제점을 사전에 도출하여 운영 지원 |
| 주요 고려사항 |
| - 고객사에서 정의한 정책/지침/매뉴얼을 기반으로 문서의 근거를 확인 - 보안감사에서 지적된 사항은 심사 및 평가 시 동일하게 지적될 가능성이 있음 - 보안감사 결과의 객관성을 유지하기 위해 감사인은 컨설팅을 진행한 컨설턴트가 아닌 제3자가 수행해야 함 |
보안감사 수행
- 보안감사 범위 결정, 보안감사 준비, 보안감사 수행, 보안감사 결과
보안감사 범위 결정
- 보안감사의 목적, 대상 및 범위, 시기 등을 포함한 보안감사 계획서를 작성
- 정기 보안감사의 경우 보안영역 전반을 대상으로 실시
- 수시 보안감사의 경우 보안사고 발생, 서비스 범위 확대, 신규 서비스 오픈 등 관련 업무에 대해 보안감사가 필요하다고 판단되는 경우 실시
보안감사 준비
- 감사 대상 및 감사 기법, 일정, 수행인력 등을 포함한 보안감사 실행 계획을 작성
- 감사 목적에 근거하여 대상에 맞는 감사 체크리스트를 제작
- 보안감사 대상에 대한 자료 및 증거를 피감사부서에 요청하여 수집
보안감사 수행
- 현업부서의 업무에 미치는 영향을 최소화하면서 효율적으로 감사가 이루어질 수 있도록 최적화된 방법을 사용하여 보안감사를 진행
수행방법: 보안감사 대상에 대해 담당자 인터뷰, 시스템 설정 및 운영 현황 실사, 취약점 진단 및 분석 등
- 감사 체크리스트를 토대로 정보보호 및 개인정보보호 운영 현황에 대한 보안감사를 실시
보안감사 결과
- 보안감사 실시 후 보안감사 조서를 기반으로 피감사부서, 목적, 범위, 주요 감사 내용, 지적사항 등을 포함한 보안감사 결과 보고서를 작성하여 정보보호 담당자에게 제출
- 감사 결과 나온 결함사항에 대해 확인하고 시정조치 요구서를 작성하여 고객사 담당자에게 전당
- 피감사 부서는 결함내역에 대해 시정조치 계획을 수립하고 그 결과를 정보보호 담당부서에 제출하도록 함
S-ED. 교육
교육단계에서는 정보보호 및 개인정보보호 관리체계의 지속적인 유지관리 및 법적 준거성 만족을 위해 관련 인력 실무교육과 노르마의 전문가를 통한 선진사례, 최신 보안동향에 대한 교육을 실시한다.
| 목표 |
| - 고객사의 정보보안수준 유지 및 향상에 필요한 실무인력 전문성 향상 및 인증심사 대응 교육 등 다양한 정보보호 교육을 제공 |
| 주요 고려사항 |
| - 고객사와 협의하여 교육 내용 및 세부 일정을 확정 |
실무인력 교육
- 정보보호 및 개인정보보호 담당자 및 시스템 운영 담당자 등 수행인력에게 실무교육을 실시하여 담당자의 보안수준 제고 및 보안기술 역량을 강화
인증 교육
- 인증심사 및 평가에 대비해 절차 및 대응기법, 주의사항, 주요 결함사항 등 내용을 교육
- 인증심사 수검 임직원을 대상으로 인증의 목적 및 필요성, 인증절차를 교육
S-SV. 보안 서비스
보안 서비스단계에서는 정보보호 관리체계 수립한 고객사의 지속적인 관리체계의 운영 보장과 이행 증거자료의 확보를 위해 연간 보안 서비스를 제공한다.
| 목표 |
| - 고객사의 정보보호 관리체계의 지속적 운영에 필요한 연간 서비스를 계획하고 제공 |
| 주요 고려사항 |
| - 기존에 수립된 고객사의 정보보호 관리체계를 확인한 후 필요한 연간 서비스 항목을 선정 |
연간 서비스 제공
- 컨설팅 서비스는 프로젝트 단위를 기본으로 제공되나, 일부 연간 서비스도 제공
- 고객사의 비즈니스 환경을 분석하여 필요한 서비스 종류를 구체화하고, 범위가 방대할 경우 단계별로 컨설팅 서비스를 계획하여 연간 단위로 진행
PM. 프로젝트 관리
프로젝트 관리단계에서는 프로젝트의 수행 및 수행과정에서 발생 가능한 사업 범위, 일정 및 인력 등의 변경사항에 대응하기 위한 구체적 방안을 수립하는 것을 목표로 한다.
| 목표 |
| - 컨설팅 조직과 고객사간의 원활한 커뮤니케이션 및 상황보고를 위한 체계를 수립 - 사업 또는 사업 범위의 변경으로 인한 일정 변경 및 인력 구성 변경에 대한 구체적 |
| 주요 고려사항 |
| - 고객사 환경을 고려하여 안전하고 원활한 보고체계 수립 - 프로젝트 수행 중 일어날 수 있는 다양한 변화에 대해 대처가능하도록 사전 준비 - 일정 및 인력의 변경 시 잔여 업무 및 일정, 제안요청서 상의 인력요건을 고려하여 담당자와 협의 |
보고체계 수립 - 업무보고체계 수립
변경 관리 – 사업 및 업무 범위 통제, 일정 변경 관리
인력관리 – 전문인력 구성, 인력 구성인원 변경, 참여인력 사전교육
업무보고체계 수립
- 프로젝트의 수행계획과 계획에 따른 진척보고, 이슈사항 보고를 위한 정기/비정기 보고와 의사결정을 위한 보고체계를 수립
- 보고체계 수립 시 보고 목적, 방법, 회의 소집 시 참석자 등을 협의
- 보고는 착수보고, 사업 수행 중 정기 보고, 사업종료 보고로 구분
- 보고서에 대한 고객사 피드백이 있을 경우 수정·보완하여 다시 보고
사업 및 업무 범위 통제
- 프로젝트 초기에 정의한 수행계획서, 착수보고서 내 사업 범위와 추진 과제에 대한 변동이 발생한 경우 변경된 내용으로 인한 다른 추진과제의 수행에 미치는 영향을 분석
- 분석 결과를 토대로 고객사 담당자와 사업 변경에 따른 일정, 수행방안에 대해 협의
- 변경으로 인해 추가되거나 기존 산출물 중 수정된 내용들에 대해 재검토하고 프로젝트 관리자는 최종 승인
PRM. 프로젝트 위험관리
프로젝트 위험관리단계에서는 프로젝트 수행 중 발생할 수 있는 위험에 대한 대응 방안을 수립하여 원활한 프로젝트 수행을 목표로 한다.
| 목표 |
| - 위험 식별 시 신속한 보고 및 위험평가를 진행 - 관계자들의 위험처리방안을 빠르게 이행할 수 있도록 함 - 향후 동일 위험의 재발을 방지하기 위해 조치된 결과를 공표 |
| 주요 고려사항 |
| - 프로젝트 수행 중 발생한 위험의 처리를 위한 프로세스 사전 수립 - 발생한 위험의 종류에 따른 신속한 관련 인원 수집 |
PQM. 프로젝트 품질관리
프로젝트 품질관리단계에서는 프로젝트 수행 산출물의 품질보증을 위하여 QA가 수립한 계획에 따라 검증하여 미흡한 부분에 대해 조치를 진행한다.
| 목표 |
| - 전체 산출물에 대한 품질 향상을 위한 품질보증계획을 수립 - 품질 점검 활동을 통해 미흡한 내용 또는 오류에 대한 보완 및 시정사항 도출 |
| 주요 고려사항 |
| - QA의 품질보증계획에 대한 검수 - 산출물 검토를 통해 도출된 시정사항에 대한 신속한 조치 이행 - 수행원과 PM, QA의 정확한 의사소통이 필요 |
PSM. 프로젝트 보안관리
프로젝트 보안관리 단계에서는 프로젝트 수행 중 준수해야 할 보안사항 및 각종 매체 및 산출물의 관리에 대해서 정의한다.
| 목표 |
| - 고객사의 운영중인 정보보호 정책을 준수하며 프로젝트를 수행 - 장비, 저장매체, 문서 등의 산출물에 대한안전한 관리를 위한 방안을 수립, 이행 |
| 주요 고려사항 |
| - 고객사 담당자가 요구하지 않더라도 보안서약서 및 프로젝트 수행 시 필요한 서류를 작성할 수 있도록 먼저 요청할 필요가 있음 - 산출물 및 고객사 관련 정보 등을 다루는 과정에서 정보유출 우려를 감소시키기 위해 적극적인 관리절차를 준수할 필요가 있음 |
S-IS. 이행 지원
이행지원 단계에서는 이행 계획에 따른 보호대책을 효과적으로 구현하고 있는지 이행결과의 정확성 및 효과성을 점검하고, 심사 및 평가에서 도출된 결함사항에 대한 대응방안을 제공
| 목표 |
| - 고객사의 담당자들이 보안 요구사항에 부합되게 조치를 수행하도록 이행점검 지원 - 심사 및 평가 결함사항에 대한 후속조치 지원 |
| 주요 고려사항 |
| - 이행 계획에 따른 진행경과를 파악, 미 이행 또는 일정지연 시 원인 분석 및 이행계획 변경 지원 - 보완조치 내역서 작성 시 고객사와 협의하여 고객사에서 작성 가능한 결함조치 사항과 컨설턴트가 작성해야 할 사항을 구분하여 업무분담 후 보완조치 내역서 검토 지원 |
이행 점검
- 증적 자료 관리, 이행 점검
사후 관리
- 후속조치 지원
증적 자료 관리
- 정보보호 정책/지침, 정보보호 관리체계 통제 기준을 고려하여 이행증적 목록을 작성
- 이행증적 목록 작성 시 이행증적 명칭, 수행주기, 시스템/문서 여부, 담당부서/담당자 등을 포함
- 정보보호 정책/지침에 따른 이행증적 목록 작성 시 해당 목록이 없는 경우 템플릿 등 문서 양식을 제공하거나 담당자 교육을 통해 관련 부서 및 담당자가 증적자료를 쌓게 지원
이행 점검
- 이행점검은 기술적 취약점 진단 결과 보고서, 중장기 마스터 플랜, 이행증적 목록을 활용해 이행 여부에 대해 점검
- IT인프라, 웹 어플리케이션, 모바일 앱의 취약점에 대한 보호대책의 적용 여부 점검을 위해 취약점 점검을 실시
후속조치 지원
- 심사 및 평가에서 도출된 결함사항에 대한 후속조치를 지원
- 결함사항 보완조치 내역서 작성에 대한 검토를 지원
S-SS. 시스템 구축 지원
시스템 구축 지원 단계에서는 고객의 요구사항, 위험조치 계획에 따라 보안 약점을 제거하기 위해 필요한 보안솔루션의 사양과 기능을 결정하고 일정을 수립하고 계획에 따라 구축한다.
| 목표 |
| - 정보보호 관리체계의 안전한 유지관리를 위해 필요한 보안솔루션을 결정하고 구축 |
| 주요 고려사항 |
| - 보안솔루션에 대한 고객의 요구사항, 취약점 진단 결과 또는 위험평가 결과를 참고하여 필요한 보안 솔루션 확정 - 구축 예정인 보안솔루션의 요구 사양(기능, 성능, 용량)과 위험조치 계획을 참고하여 보안 솔루션 확정 |
보안솔루션 요건 정의 및 선정
- 보안솔루션 요건 정의, 보안솔루션 선정 평가, 보안솔루션 선정
보안솔루션 구축
- 솔루션 구축 및 운영이관
보안솔루션 요건 정의
- 보호대책 구현을 위해 필요한 보안솔루션의 유형과 성능, 기능, 용량을 정의
- 제조사에 RFI를 전달하여 보안솔루션의 성능, 용량, 기능, 특성을 조사
보안솔루션 선정 평가
- 보안솔루션 요건 정의 내용을 참고하여 평가기준을 선정하고 필요한 보안솔루션 유형과 제조사를 조사하고 평가 대상 업체를 선정
- 보안솔루션 요건 정의 내용을 반영한 제안요청서를 제조사 대상으로 발송
- 참여업체의 수, 평가 대상 보안솔루션의 종류를 고려하여 평가계획을 수립하고 평가기준에 따라 평가를 실시
보안솔루션 선정
- 보안솔루션 평가기준을 만족하는 제품에 대해 가격, 고객 요구사항, 유지보수 역량 등을 종합적으로 고려하여 보안솔루션을 선정
- 선정 결과를 제조사에 통보하고 제조사 별로 구축 계획을 수립
물리적 환경 구축 지원
- 보안솔루션 구축 계획에 제조사 별로 일정에 따라 설치
- 설치완료 후 보안정책을 적용, 안정화 기간을 거쳐 안정성이 검증된 경우 운영으로 이관
- 제조사에게 각 보안솔루션의 구축 후 안정한 운영을 위해 표준운영절차(SOP)를 요구
- 주기적으로 모니터링 및 정책 검토 절차를 수립하여 시행하도록 함
S-AU. 보안감사
보안감사 단계에서는 전체적인 정보보안 수준 파악을 목적으로 하며, 조직의 전체적인 보안 활동을 통제항목 기준에 맞게 운영하고 있는지 객관적인 제3자의 입장에서 점검하여 미흡한 분야에 대한 보안성을 강화한다.
| 목표 |
| - 정보보호 관련 활동의 적정성을 확인하기 위해 문제점을 사전에 도출하여 운영 지원 |
| 주요 고려사항 |
| - 고객사에서 정의한 정책/지침/매뉴얼을 기반으로 문서의 근거를 확인 - 보안감사에서 지적된 사항은 심사 및 평가 시 동일하게 지적될 가능성이 있음 - 보안감사 결과의 객관성을 유지하기 위해 감사인은 컨설팅을 진행한 컨설턴트가 아닌 제3자가 수행해야 함 |
보안감사 수행
- 보안감사 범위 결정, 보안감사 준비, 보안감사 수행, 보안감사 결과
보안감사 범위 결정
- 보안감사의 목적, 대상 및 범위, 시기 등을 포함한 보안감사 계획서를 작성
- 정기 보안감사의 경우 보안영역 전반을 대상으로 실시
- 수시 보안감사의 경우 보안사고 발생, 서비스 범위 확대, 신규 서비스 오픈 등 관련 업무에 대해 보안감사가 필요하다고 판단되는 경우 실시
보안감사 준비
- 감사 대상 및 감사 기법, 일정, 수행인력 등을 포함한 보안감사 실행 계획을 작성
- 감사 목적에 근거하여 대상에 맞는 감사 체크리스트를 제작
- 보안감사 대상에 대한 자료 및 증거를 피감사부서에 요청하여 수집
보안감사 수행
- 현업부서의 업무에 미치는 영향을 최소화하면서 효율적으로 감사가 이루어질 수 있도록 최적화된 방법을 사용하여 보안감사를 진행
수행방법: 보안감사 대상에 대해 담당자 인터뷰, 시스템 설정 및 운영 현황 실사, 취약점 진단 및 분석 등
- 감사 체크리스트를 토대로 정보보호 및 개인정보보호 운영 현황에 대한 보안감사를 실시
보안감사 결과
- 보안감사 실시 후 보안감사 조서를 기반으로 피감사부서, 목적, 범위, 주요 감사 내용, 지적사항 등을 포함한 보안감사 결과 보고서를 작성하여 정보보호 담당자에게 제출
- 감사 결과 나온 결함사항에 대해 확인하고 시정조치 요구서를 작성하여 고객사 담당자에게 전당
- 피감사 부서는 결함내역에 대해 시정조치 계획을 수립하고 그 결과를 정보보호 담당부서에 제출하도록 함
S-ED. 교육
교육단계에서는 정보보호 및 개인정보보호 관리체계의 지속적인 유지관리 및 법적 준거성 만족을 위해 관련 인력 실무교육과 노르마의 전문가를 통한 선진사례, 최신 보안동향에 대한 교육을 실시한다.
| 목표 |
| - 고객사의 정보보안수준 유지 및 향상에 필요한 실무인력 전문성 향상 및 인증심사 대응 교육 등 다양한 정보보호 교육을 제공 |
| 주요 고려사항 |
| - 고객사와 협의하여 교육 내용 및 세부 일정을 확정 |
실무인력 교육
- 정보보호 및 개인정보보호 담당자 및 시스템 운영 담당자 등 수행인력에게 실무교육을 실시하여 담당자의 보안수준 제고 및 보안기술 역량을 강화
인증 교육
- 인증심사 및 평가에 대비해 절차 및 대응기법, 주의사항, 주요 결함사항 등 내용을 교육
- 인증심사 수검 임직원을 대상으로 인증의 목적 및 필요성, 인증절차를 교육
S-SV. 보안 서비스
보안 서비스단계에서는 정보보호 관리체계 수립한 고객사의 지속적인 관리체계의 운영 보장과 이행 증거자료의 확보를 위해 연간 보안 서비스를 제공한다.
| 목표 |
| - 고객사의 정보보호 관리체계의 지속적 운영에 필요한 연간 서비스를 계획하고 제공 |
| 주요 고려사항 |
| - 기존에 수립된 고객사의 정보보호 관리체계를 확인한 후 필요한 연간 서비스 항목을 선정 |
연간 서비스 제공
- 컨설팅 서비스는 프로젝트 단위를 기본으로 제공되나, 일부 연간 서비스도 제공
- 고객사의 비즈니스 환경을 분석하여 필요한 서비스 종류를 구체화하고, 범위가 방대할 경우 단계별로 컨설팅 서비스를 계획하여 연간 단위로 진행
PM. 프로젝트 관리
프로젝트 관리단계에서는 프로젝트의 수행 및 수행과정에서 발생 가능한 사업 범위, 일정 및 인력 등의 변경사항에 대응하기 위한 구체적 방안을 수립하는 것을 목표로 한다.
| 목표 |
| - 컨설팅 조직과 고객사간의 원활한 커뮤니케이션 및 상황보고를 위한 체계를 수립 - 사업 또는 사업 범위의 변경으로 인한 일정 변경 및 인력 구성 변경에 대한 구체적 |
| 주요 고려사항 |
| - 고객사 환경을 고려하여 안전하고 원활한 보고체계 수립 - 프로젝트 수행 중 일어날 수 있는 다양한 변화에 대해 대처가능하도록 사전 준비 - 일정 및 인력의 변경 시 잔여 업무 및 일정, 제안요청서 상의 인력요건을 고려하여 담당자와 협의 |
보고체계 수립 - 업무보고체계 수립
변경 관리 – 사업 및 업무 범위 통제, 일정 변경 관리
인력관리 – 전문인력 구성, 인력 구성인원 변경, 참여인력 사전교육
업무보고체계 수립
- 프로젝트의 수행계획과 계획에 따른 진척보고, 이슈사항 보고를 위한 정기/비정기 보고와 의사결정을 위한 보고체계를 수립
- 보고체계 수립 시 보고 목적, 방법, 회의 소집 시 참석자 등을 협의
- 보고는 착수보고, 사업 수행 중 정기 보고, 사업종료 보고로 구분
- 보고서에 대한 고객사 피드백이 있을 경우 수정·보완하여 다시 보고
사업 및 업무 범위 통제
- 프로젝트 초기에 정의한 수행계획서, 착수보고서 내 사업 범위와 추진 과제에 대한 변동이 발생한 경우 변경된 내용으로 인한 다른 추진과제의 수행에 미치는 영향을 분석
- 분석 결과를 토대로 고객사 담당자와 사업 변경에 따른 일정, 수행방안에 대해 협의
- 변경으로 인해 추가되거나 기존 산출물 중 수정된 내용들에 대해 재검토하고 프로젝트 관리자는 최종 승인
PRM. 프로젝트 위험관리
프로젝트 위험관리단계에서는 프로젝트 수행 중 발생할 수 있는 위험에 대한 대응 방안을 수립하여 원활한 프로젝트 수행을 목표로 한다.
| 목표 |
| - 위험 식별 시 신속한 보고 및 위험평가를 진행 - 관계자들의 위험처리방안을 빠르게 이행할 수 있도록 함 - 향후 동일 위험의 재발을 방지하기 위해 조치된 결과를 공표 |
| 주요 고려사항 |
| - 프로젝트 수행 중 발생한 위험의 처리를 위한 프로세스 사전 수립 - 발생한 위험의 종류에 따른 신속한 관련 인원 수집 |
PQM. 프로젝트 품질관리
프로젝트 품질관리단계에서는 프로젝트 수행 산출물의 품질보증을 위하여 QA가 수립한 계획에 따라 검증하여 미흡한 부분에 대해 조치를 진행한다.
| 목표 |
| - 전체 산출물에 대한 품질 향상을 위한 품질보증계획을 수립 - 품질 점검 활동을 통해 미흡한 내용 또는 오류에 대한 보완 및 시정사항 도출 |
| 주요 고려사항 |
| - QA의 품질보증계획에 대한 검수 - 산출물 검토를 통해 도출된 시정사항에 대한 신속한 조치 이행 - 수행원과 PM, QA의 정확한 의사소통이 필요 |
PSM. 프로젝트 보안관리
프로젝트 보안관리 단계에서는 프로젝트 수행 중 준수해야 할 보안사항 및 각종 매체 및 산출물의 관리에 대해서 정의한다.
| 목표 |
| - 고객사의 운영중인 정보보호 정책을 준수하며 프로젝트를 수행 - 장비, 저장매체, 문서 등의 산출물에 대한안전한 관리를 위한 방안을 수립, 이행 |
| 주요 고려사항 |
| - 고객사 담당자가 요구하지 않더라도 보안서약서 및 프로젝트 수행 시 필요한 서류를 작성할 수 있도록 먼저 요청할 필요가 있음 - 산출물 및 고객사 관련 정보 등을 다루는 과정에서 정보유출 우려를 감소시키기 위해 적극적인 관리절차를 준수할 필요가 있음 |