🔎 9강. 평가 체크리스트와 Traceability, 진짜 연결이 보인다!

“보안했어요!”보다 “흔적까지 추적 가능해요!”가 핵심입니다 💡

안녕하세요, 보안 실무 마스터를 향해 달려가는 여러분! 🚀
이번 시간엔 Audit보다 더 기술적인 감각이 필요한
Assessment에 딱 맞춘 체크리스트 구성법과 Traceability 확보 전략을 알려드릴게요!

이건 단순한 ‘질문 리스트’가 아니라,
“우리가 한 보안 활동의 모든 연결고리를 설명할 수 있어요!” 라는 신뢰의 지도입니다 🗺️

🎯 오늘의 학습 목표

Assessment 전용 체크리스트를 어떻게 설계할지 이해하기
Traceability(요구사항↔산출물)의 개념과 실무 적용법 파악
실무에서 흔히 놓치는 “흔적 관리”의 핵심 포인트 습득

🧠 Assessment 체크리스트, 어떻게 다를까?

Audit이 조직 전반을 본다면, Assessment는 프로젝트의 내부를 해부! 🩺

그래서 체크리스트도 “어떤 활동을 했는가?”보다
“그 활동이 어떻게 요구사항을 충족했는가”에 초점이 맞춰집니다.

📋 예시 – 보안 요구사항 대응 체크 항목

No	항목	질문	관련 Clause	증적 예시
1	자산 식별	프로젝트에서 보호 대상 자산은 정의되었는가?	ISO/SAE 21434 - 9	Asset List, Threat Model
2	TARA 수행	위협 및 위험 분석 결과는 요구사항으로 연결되었는가?	Clause 15	TARA Report, Req. Trace Map
3	보안 요구사항 정의	TARA 기반 보안 요구사항은 문서화되었는가?	Clause 10	CS Requirement Spec
4	구현	요구사항이 구현에 반영되었는가?	Clause 11	Design Doc, SW Code Ref
5	검증	구현된 기능은 테스트로 검증되었는가?	Clause 13	Test Plan, Result Log

🔍 즉, 요구사항이 어떻게 산출물로 이어졌는지 추적하는 게 핵심입니다.

🔗 Traceability 확보 전략 – 연결고리는 생명이다!

💡 Traceability란?

“요구사항 → 설계 → 구현 → 검증 → 유지보수” 전 단계 간 이력과 연결성을 기록하고 관리하는 것!

Assessment에서는 이 흐름이 빠짐없이 연결되어 있는가를 중점적으로 봅니다.

🧩 Requirements to Work Product Mapping

요구사항 하나가 실제로 어떤 문서, 코드, 테스트로 이어졌는지를 매핑하는 테이블 형태를 만듭니다.

보안 요구사항 ID	구현 항목	설계 문서	테스트 항목	상태
SEC-REQ-001	암호화 알고리즘 적용	SW_Design_v1.3.docx	Test_TC_Encrypt_01	완료
SEC-REQ-002	Key Rotation 기능	HLD_KeyMgmt_v2.pptx	Test_TC_KeyRotate_03	진행중
SEC-REQ-003	부팅 인증 절차	SecureBoot_Spec.pdf	Test_TC_BootAuth_05	완료

💡 실무 팁!

Excel, Jira, Doors, Polarion(ALM) 등 툴을 활용하면 자동화도 가능해요!
ID 체계를 일관되게 구성하세요. (REQ-001, TST-001 등)

📁 증적은 문서가 전부가 아니다! 흔적까지 관리하자

Assessment에서 보는 건 단지 문서 유무가 아닙니다.

문서, 로그, 회의록, 코드 주석, 이슈 트래킹까지 “흔적”의 신뢰성이 평가됩니다.

🔎 흔적 관리의 좋은 예

TARA 회의 → 회의록 + 버전관리된 TARA 보고서
요구사항 리뷰 → 승인자 서명 포함된 기록
구현 결과 → Git 커밋 로그에 이슈 ID 연결
테스트 결과 → 테스트 실행 일자 + 테스트 로그 파일

📌 모든 흔적은 누가, 언제, 왜 했는가? 가 보이도록 구성해야 합니다!

💬 자주 하는 실수와 방지 팁

실수	방지 팁
요구사항은 있는데 구현 매핑 없음	Trace Map에서 빠진 항목은 빨간색 표시로 보완
여러 문서에 중복 기록	단일화된 소스 문서 유지 (Single Source of Truth)
증적은 있는데 ID 체계 없음	요구사항 ID, 문서 버전, 파일명 규칙 통일
테스트 결과만 있고 요구사항 없음	요구사항 추적표에 검증 목적 명시

📝 오늘의 한 줄 요약

Assessment는 “우리는 잘했어요”가 아니라,
“우리가 잘한 모든 흔적을 연결해서 보여드릴게요!”입니다!

Traceability는 평가의 기본 언어이고,
체계적인 체크리스트는 그 언어의 문법입니다! 🧾

🔜 다음 시간 예고

10강 – 부적합(NC) 대응과 개선조치 프로세스 정리

NC 발생 시 가장 먼저 해야 할 일은?
CAPA(시정 및 예방조치) 문서는 어떻게 작성할까?
심사관이 “좋다”고 하는 개선 대응 전략은 무엇?

💬 *"보안은 연결이다. 그리고 연결은 증명될 수 있어야 한다."*
다음 시간엔 ‘문제가 생겼을 때’ 어떻게 대처할지를 알려드립니다! 🔧

'Cybersecurity > ISO.PAS 5112' 카테고리의 다른 글

(ISO/PAS 5112 11강) 사례 분석①: 조직 수준 감사 실사 대응 전략 (8)	2025.07.14
(ISO/PAS 5112 10강) 부적합(NC)이 떴다고요? 괜찮아요, 대응이 중요합니다! (2)	2025.07.09
(ISO/PAS 5112 8강) 감사 체크리스트, 이렇게 만들면 심사관이 웃는다! (2)	2025.06.28
(ISO/PAS 5112 7강) 심사에서 살아남으려면? 증빙자료가 전부다! (2)	2025.06.24
(ISO/PAS 5112 6강) Assessment는 Audit과 뭐가 달라요? (0)	2025.06.20

(ISO/PAS 5112 9강) 평가 체크리스트와 Traceability, 진짜 연결이 보인다!