소프트웨어 개발보안 체계

CODEDRAGON Security/SecureCoding

반응형

   

SW 개발보안 체계

   

SW 개발보안관련 활동주체는 발주기관(행정기관등), 사업자, 감리법인 등이며

각 활동주체별로 잘 정의된 개발보안 활동과 서로간의 유기적인 협력이 필요합니다

   

   

활동 주체별 개발보안의 역할

구분

내용

기관

안전행정부

•국정원과 협의하여 'SW 개발보안 가이드' 공지

•진단원 양성과 관련된 업무 수행

•교육 및 자격부여, 자격유무 확인 등

KISA

(정책·기술지원)

발주기관

•SW 개발보안 계획 수립

•제안요청서에 'SW 개발보안 적용 명시

•SW 개발보안 능력을 갖춘 사업자 선정

•SW 개발보안 준수여부 점검

•SW 개발보안 진단능력을 갖춘 감리법인 선정

•사업종료 결과물 및 증빙서류 등 최종 확인

발주자

사업자

•SW 개발보안 관련 기술수준 및 적용계획 명시

•개발인력 대상 SW 개발보안 관련 교육 실시

•SW 개발보안 가이드를 참조하여 개발

•자체적으로 보안약점 진단 및 제거

•SW 보안약점 관련 시정요구 이행

•SW 보안약점이 제거된 사업결과물 및 증빙서류 등 제출

 -

감리법인

•감리계획수립 및 협의

•SW 보안약점 제거여부 진단 및 조치결과 확인

진단도구 사용시, CC인증(국정원)받은 도구 사용('2014년 1월부터 적용)

진단원활용

   

   

출처

안행부, SW개발보안가이드