IT감리
정보시스템 감리란?
정보시스템의 효율성을 향상시키고 안전성을 확보하기 위해, 독립된 제3자적 관점에서 전문성을 바탕으로 하여 정보시스템 구축에 관한 사항을 종합적으로 점검하고 문제점을 개선하도록 하는 것 입니다.
정보시스템 감리의 목적
ο 정보시스템 계획의 타당성 검증 및 정보기술자원의 효율적 관리
ο 정보시스템 구축과정 및 구현기능의 정확성 지향
ο 정보자원 보호 및 운영의 투명성 보장
ο 기술 및 품질 측면에서 정보기술의 타당성 검토
정보시스템 감리의 필요성
ο 정보화 수준 향상
ο 소프트웨어의 대형화, 복잡화
ο 소프트웨어의 개발 실패
ο 정보시스템의 안전성, 효과성 및 효율성 저하
▶ 위험 및 문제의 사전예방 및 통제의 필요성
법적 근거 및 지침
ο 전자정부법 (법률 제18744호 2022. 1. 11, 시행 2022. 7. 12, 일부개정)
ο 전자정부법 시행령 (대통령령 제32635호 2022. 5. 9, 시행 2022. 8. 18, 타법개정)
ο 정보시스템 감리기준 (행정안전부고시 제2021-4호, 2021.1.19 일부개정)
ο 정보시스템 감리수행가이드 (한국지능정보사회진흥원, 2022.02)
공공기관 감리 대상사업 범위
| 구분 | 대상기준 및 범위 | 감리대상 |
|---|---|---|
| 사업비 규모 |
|
O |
| 정보시스템 특성 |
|
O |
| 기관장의 판단 |
|
O |
감리서비스 형태
| 구분 | 주요내용 | 수행시기 및 방법 |
|---|---|---|
| 단계별 감리 | 개발공정의 주요단계 완료 후 점검을 수행하는 일반적인 형태의 감리 서비스 |
- 대규모 사업 : 3단계(요구정의, 설계, 종료) - 중/소규모 사업 : 2단계 (설계, 종료) |
| 상시 감리 | 사업 수행 중 수시로 점검활동을 수행하는 서비스 | 단계별 감리 사이에 실시 (단계별 감리 외 추가 수행 형식) |
| 상주 감리 | 현장에 상주하며 발주자의 프로젝트관리 지원 및 사업자의 수행활동을 전담하여 점검하는 서비스 |
대규모 사업 또는 위험도가 높은 사업에 대한 현장 밀착지원 수행 |
감리서비스 수행절차
감리서비스 분야
| 사업유형 | 서비스 내용 및 점검항목 |
|---|---|
| 시스템통합/연계 | - 범정부 정보기술 아키텍처(EA) 적용 및 관련 산출물 작성 점검 |
| 웹/포털 | - 관련 시스템에 대한 분석 점검 - 관련 담당자/기관과의 협조적 의사소통 점검 - 프로그램, 데이터베이스 설계시 성능 최적화 측면 고려 및 점검 - 시스템의 사용 편의성 미흡 및 웹 접근성 지침 준수 점검 - 관련 시스템 연계의 안정성 확보 미흡 및 데이터 연계 지연 점검 - 현행 시스템 분석에 따른 포털 운영 프로세스 등 개선 효과 점검 |
| DB구축 | - 구축대상 자료 수집 미흡 - 자료 유형별 디지털화 작업 표준 지침 준수 미흡 - 구축 자료의 품질 목표 달성 여부 - 구축 대상 목표량 달성 미흡 - DB 구축 작업생산성에 의한 공정진척관리가 적정하게 수행 여유 - 관련 시스템 탑재 및 정보 서비스 제공 여부 |
| 교육 (교육관련기관, 대학교) |
- 업무 프로세스 개선의 적절성 - 현업부서 참여 저조 및 주요 의사결정 지연 - 도입 솔루션에 대한 커스터마이징 미흡 점검 - 기존 운영 시스템 데이터 이관 점검 - 개인정보보호 등 보안기술 적용 점검 |
| GIS/공간정보 | - 사업수행 시 다수 인력 소요로 투입인력에 대한 관리가 어려움 - 지형도의 폴리콘 위치가 적절하지 않음 - 지역별 연계 구간의 연결 상태 부적절 - GIS 관련 표준 준수 미흡 - GIS 정보서비스 솔루션이 다양하여 시스템별 별도 구축 필요 |
| ICT 융복합 (IoT/USN/RFID) |
- 분석, 설계, 구축, 테스트, 전개 등 시스템 구축 단계별 업무활동의 적정성 점검 - 인터페이스/프로토콜/임베디드/미들웨어/RFID/USN 설비의 성능 적합성 점검 - RFID 태그/리더기 설치 부적절로 인식율 미흡 - RFID 미들웨어의 기능 지원 미흡 - 국내외 관련 표준 반영 미흡 - VPN등 보안장비의 부적절한 구성으로 정보보안 확보 미흡 |
| 특화 (금융, 보건) |
- 정보화 사업 추진상의 예측되는 문제점 사전 도출 및 예방 - 사용자 요구사항 요건의 충족여부 및 구현 기능의 완전성 파악 - 기관과 사업수행기관의 원활한 의사소통 지원 - 관의 위험 및 이슈 요소 집중 점검 - 연계시스템 간의 표준 준수 여부 - 정보의 실시간성 점검 - 개인정보보호의 적정성 |
감리서비스 장점
ο 객관적으로 검증된 고품질 감리 서비스- 자체 개발된 감리방법론 및 DB점검 도구 등을 적용한 신뢰성 있는 점검 수행
- 한국정보화진흥원의 감리품질 평가에서 90점 이상 다수 획득
ο 최고 수준의 감리 전문인력 보유
- 기술사, 정보시스템 감리사, 수석감리원 등 IT분야 최고 수준의 전문인력 보유
- SW 프로세스 인증 심사원, 응용시스템 SW테스트 전문가, 보안전문가
- DB관련 DAP(데이터아키텍처전문가), 정보통신감리원 등
ο 컨설팅 차원의 충실한 감리 서비스 제공
- 개선 필요사항에 대한 구체적인 개선방향 제시
- 시정조치결과에 대한 충실한 확인 및 사후지원
ο 다양한 분야의 감리경험 및 실적 보유
- 통합정보시스템, DB구축, 교육/학사행정정보, 공간정보, ICT 융복합, 금융 등
ο 감리기술 적용계획 및 핵심적 예상문제점/점검항목 제시
- 사업 수행 단계별로 적합한 감리 기술 및 감리 기법의 적용 계획 제시
- 분야/영역별로 핵심적인 예상문제점 및 주요 점검항목 제시
감리서비스 적용사례
| 사업유형 | 적용사례 |
|---|---|
| 시스템통합/연계 | 서울특별시, 한국식품연구원, 국제교류재단, 식품의약품안전처, 기초과학연구원 |
| 웹/포털 | 행정자치부, 한국문화관광연구원, 노인인력개발원, 전라남도, 식품의약품안전처 |
| DB구축 | 행정자치부, KOTRA, 국토교통부, 식품의약품안전평가원 |
| 교육 (교육관련기관, 대학교) |
교육부, 한국교육개발원, 창원문성대학, 동덕여자대학교, 한국대학교육협의회 |
| GIS/공간정보 | 국토교통부, 한국농어촌공사, 산림청, 문화재청, 국토지리정보원 |
| ICT 융복합 (IoT/USN/RFID) |
경기도, 국토해양부, 관세청, 전라북도 고창군, 제주도 우리농장, 부천시 |
| 특화 (금융, 보건) |
우정사업본부, 금융정보분석원, 식품의약품안전처, 한국건강증진개발원 |
감리방법론(AMiPAT)
당사의 AMiPAT(Audit Methodology In Prime A&C And Tools)은
“성공적인 정보시스템 개발, 유지보수 및 효율적 시스템 운영체계 구축 지원”을 감리 목표로, 정보시스템 감리기준 및 감리지침, 다양한 상용 개발방법론을 기반으로 하고, IT 업무 프로세스 및 품질관련 국제표준과 제안사의 다양한 감리/컨설팅 경험을 반영하여, 분야별 감리 프로세스 및 감리 점검사항을 실무 지향적으로 체계화한 방법론입니다.
수행체계 및 특징
ο AMiPAT의 프레임워크
ο AMiPAT의 특징
- 행정안전부, 한국지능정보사회진흥원 등의 감리기준/감리지침의 반영
- COBIT, CMMI 등 IT 프로세스 표준 및 품질기준을 반영한 방법론
- 다수의 공공/민간 감리와 컨설팅 수행 경험을 반영한 사례 중심의 실제적 감리 가이드라인 제공
- 다양한 사업유형 및 개발환경을 지원하는 사업 특성별 감리 경로 구축
- 지식 베이스와 연계한 효율적 활용 체계 구축
감리수행 유형 및 단계 구성
감리수행 자동화 도구
| 구분 | 도 구 명 | 주요점검 항목 | 적용단계 |
|---|---|---|---|
| 응용시스템 소스점검 |
PMD | · 프로그램 소스의 코딩표준, 정합성 점검 | 종료단계 |
| 웹 접근성/ 표준 점검 |
A=CoolCheck!/ N-WAX |
· 한국형 웹 접근성지침(KWCAG 2.1) 기준 접근성 점검 |
종료단계 |
| 시스템 성능 | JMeter | · 웹 어플리케이션 성능 및 부하(load) 점검 |
종료단계 |
| 데이터베이스 점검 |
DBAudit/ DQ Analyzer |
· 데이터베이스 무결성 및 정합성 검증 · 데이터 품질 점검 |
설계/종료 |
| ER-WIN | · 데이터 모델링 점검 | 설계/종료 | |
| 보안 취약점 점검 |
Acunetix/ Code Ray |
· 웹서버 보안관점의 취약점 분석 · 웹 어플리케이션 취약점 분석 |
종료단계 |
- PMD(Programming Mistake Detector) is a source code analyzer. It finds common programming flaws like unused variables, empty catch blocks, unnecessary object creation, and so forth. It supports Java, JavaScript, XML, XSL
- Code Ray is a static code analysis tool that is performed without actually executing programs, detecting critical software vulnerabilities at the early
stages of software development
- Apache JMeter™ application is open source software, a 100% pure Java application designed to load test functional behavior and measure performance
- Acunetix is a web vulnerability scanner tool. www.acunetix.com
- DBAudit is a professional database auditing solution enabling tracking and analysis of any database activity including database access, logons, security breaches, user and application activities, data creation, change or deletion.