iv
-<그림-1>전략경영의 전개과정 ·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
6
<그림-2>경영관리체계 ·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
9
<그림-3>CPM 구성요소 ·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
9
<그림-4>CPM 발전단계 ·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
11
<그림-5>
Total enterprise Transformation의 3가지 관점
·
·
·
·17
v
제2장
II.
정
정보
정
정
보
보
보환
환경
환
환
경
경 최
경
최
최
최적
적
적
적화
화를
화
화
를
를
를 위
위
위
위한
한
한 거
한
거버
거
거
버
버
버넌
넌
넌
넌스
스
스
스
1.
전
전
전
전략
략
략경
략
경
경
경영
영
영
영
전략이란 말은 원래 군사용어로 많이 사용되어 “전쟁에서
의 승리를 위해 여러 전투를 계획․조직․수행하는 방책
1)”으
로 사전에서는 정의하고 있으며, 시대의 변천에 따라 무기기
술이 발전되었듯이 전략의 개념도 발전되어 군사적 개념으로
서의 통규(通規)를 벗어나 기업전략 등 비군사적 분야에도 응
용되고 있다.
특히, 기업을 위한 경영전략으로서의 현대 경영학의 중요한
일부분이 된 것은 1950년대와 1960년대를 통해 미국의 다각
화 기업들이 거대해진 기업을 어떻게 효율적으로 운영할 것
인가 하는 현실적인 문제를 직면하면서부터 이다.
1948년 Von Neumann과 Morgensterm에 의해 경영학에서
처음 사용되기 시작하였으며, Chandler(1962)는 전략을 “기업
의 장기 목표와 목적을 결정하고 이 목표들을 실현하기 위해
필요한 행동 경로를 채택하고 자원을 할당하는 것”으로 정의
하였고, Quinn(1980)도 “기업 조직의 주요 목표, 정책, 행위들
을 하나의 응집체로 통합시키려는 계획”이라고 정의하였다.
이렇게 전략의 개념에 대한 다양한 정의가 광범위하게 논
의되어 왔지만 일반적으로 전략이란 “시장에서 경쟁자와 어
를 생성하기 위하여 데이터 활용을 극대화하므로 이에 필요
한 정보시스템 도입 등 기관의 IT투자효과를 극대화시킨다고
볼 수 있다.
전략경영정보화체제는 IT 전문 리서치기관이나 IT서비스업
체에 따라, 전략적기업관리(SEM: Strategic Enterprise
Management),
기업성과관리(CPM: Corporate Performance
Management),
전사성과관리(EPM: Enterprise Performance
Management),
비즈니스성과관리(BPM: Business Performance
Management)
등 다양한 용어로 표현되고 있지만, 그 의미는
모두 동일하다고 할 수 있으며, 본 연구에서는 세계적인 IT
전문 리서치 기관인 가트너에서 사용되는 CPM을 전략경영정
보체제와 동일한 의미로 사용하고자 한다.
<그림-2> 경영관리체계
가트너의 CPM 구성요소에 대한 정의에 따르면 ‘CPM은
기업의 비즈니스 성과를 측정하고 관리하기 위한 방법론
(methodology),
측정지표(metrics), 프로세스(process) 및 시스
템(system)을 의미하는 포괄적인 용어이다'라고 정의하고 있
다.
이러한 구성요소에서 방법론은 균형성과관리(BSC), 식스 시
그마, 가치창조경영(VBM), 활동기준원가(ABC), 무형자산관리,
품질관리 등을 포함하며, CPM을 실행하기 위해서는 조직의
특성을 반영하여 이 중 여러 방법론을 도입하여 구성할 수
있는 것이다.
또한, 프로세스 측면에서는 목표설정, 전략수립, 예산편성과
예측, 성과 피드백, 비즈니스 활동관리 등을 포함한다고 정
의하였으며, 측정지표는 재무 및 비재무적 지표의 통합관리,
단기 및 중장기적 지표의 균형관리, 선행 및 후행지표 연계성
의 강화 등의 관점이 중요하다고 보았다.
그리고, 시스템은 방법론과 프로세스, 측정지표를 지원하기
위한 인프라로 경영계획(BPS : Business Planning &
Simulation),
균형성과관리(BSC: Balanced Scorecard), 비즈니
스 인텔리전스(BI : Business Intelligence)로 구성된다고 볼 수
있다.
가트너 그룹은 위와 같은 CPM에 대하여 다음과 같은 총체
적인 접근법을 강조하고 있다.
1)
사용될 적합한 방법론과 측정지표를 명확하게 인지할 것
2)
이러한 방법론과 측정지표가 기업 내/외부에 어떻게
Communicate될 것인지를 고려할 것
3) CPM
을 지원하는 내부 프로세스나 시스템을 수행할 것
4)
기업의 관리자와 종업원 모두에게 인지시키고 수행할 것
CPM의 발전 단계
3)를 주요 년도별로 살펴보면 다음과 같
<그림-5> CPM 발전단계
이 나타낼 수 있다.
우선, 1970년대 화두가 되었던 의사결정지원시스템
(Decision Support System)은 조직이 경영상의 이슈(Issue)를
모델화 하는데 기여하였다.
즉, 메인프레임 기반의 다차원기술과 운영관리기술들을 통해
유통채널, 고객, 제품라인 등을 분석하는데 유용하였지만, 이
는 통합시스템이라기 보다는 특정한 문제해결에 중점을 두고
있었다.
1980년대 임원정보시스템(Executive Information System)은
프로그래머의 도움이 없이 경영진에게 조직의 강점과 약점을
분석할 수 있도록 하는 다양한 기능을 제공하였다.
공하였지만 부문별 단편적인 요약정보는 전략적인 통찰력을
제공하는데 한계가존재하였다.
1990년대 초 가트너 그룹의 하워드 드레스너(Howard
Dresner)에 의해 제창된 비즈니스 인텔리전스(BI : Business
Intelligence)는 비즈니스를 분석하고 바라보는 관점을 획기적
으로 바꿔 놓았다.
데이터웨어하우스(Data
Warehouse)와
데이터마트(Data
Mart)
등에 의한 데이터 통합과 OLAP (On-Line Analytical
Processing)등의 다차원 분석기술, 데이터패턴을 탐구하는 데
이터마이닝(Data Mining) 기술들이 업무프로세스와 분석에
적용되었으며, 특히, ERP에 의한 업무프로세스 통합은 비즈
니스 인텔리전스를 위한 충실한 기반을 다져주게 되었고 비
즈니스 인텔리전스가 정보기술의 트렌드를 형성하는데 견인
차 역할을 하였다.
위와 같은 과정을 거쳐, 최근 2000년대에 들어서는 기술적
인 측면에 앞서 비즈니스 이슈를 효과적으로 해결하고 기업
의 성과 향상을 위한 다양한 모델들이 등장하였으며, 구체적
으로 현실에 적용되기에 이르렀다.
이러한 상황에서 CPM은 기업의 전략적 문제를 효과적으로
해결할 수 있는 대안으로 등장하게 되었으며, 나아가 가치창
조경영(VBM: Value Based Management), 균형성과관리
(BSC: Balanced Scorecard),
활동기준원가(ABC : Activity
Based Costing)
등의 모델이 시스템으로 구체화 되었고, 최근
에는 이러한 CPM의 기능을 확장하면서 좀 더 통합성을 강화
하는 방향으로 진화해 나아가고 있는 상황이다.
이러한 발전 과정을 살펴봄으로써 다음과 같은 동향을 파
단순한 비전 제시에서 실제 실행(practice)으로 옮겨지고 있
는 추세이며, 이러한 이유를 살펴보면, 1) 기업이 과거 ERP
시스템 등을 통한 효율성 추구에서 벗어나 정보를 전략적인
경쟁 무기로 인식하고 있으며, 2) Sarbanes-Oxley 등의 규제
법규
제정으로
기업이
단순한
규제준수(regulatory
compliance)
에서 기업의 경쟁차별요소로 투명성을 추구하는
방향으로 나아가고 있고, 3) 또한 CPM 구현을 위해 필요한
기반기술이 발전하고 있기 때문이라고 할 수 있다.
3. IT
거
거
거버
거
버
버넌
버
넌
넌
넌스
스의
스
스
의
의
의 이
이
이
이해
해
해
해
가
가
가
가
. IT
거
거버
거
거
버
버
버넌
넌
넌스
넌
스의
스
스
의
의 개
의
개
개
개념
념
념
념
거버넌스라는 용어는 많은 학문 및 실무분야에서 사용되고
당한 변화가 요구될 것이다.
2)
성과통제 및 관리
IT의 가치는 측정가능하기 때문에 통제가 가능하다, 이를
위해서 기업이 갖추어야 할 요간은 거버넌스라는 조직적 의
사결정체계
5)에 관련된 규정이다. IT가치는 전사적인 IT 리더
십과 Control 도구인 IT성과관리를 통하여 비즈니스 목표와
전략과 연계하여 정량적 내지는 정성적으로 분석되고, 평가
및 관리되어야 한다.
3)
비용절감
IT
비용절감은 전사적 관점에서 기업성과향상(Performance
Improvement)에 기여할 수 있다. 이는 최소의 투자비용으로
비즈니스 업무 프로세스를 최대한 지원하는 것을 보장하는
전사적 업무를 최적화하는 방안이다.
IT투자는 기업의 투자비용과 마찬가지로 매출과 전체비용
에 어떠한 영향을 미치는지 이에 따른 기업가치 향상에 어떠
한 역할을 하고 있는지에 대해서 통제되고 측정되어야 한다.
기업의 혁신은 "기업이 적극적으로 환경을 극복하고, 자기초
월적 목표를 수립하여 역동적으로 변해나가는 일련의 과정을
경영혁신이라고 가정했을 때, 이러한 혁신과제를 기업의 전략
적 측면과 조직․문화적 측면, 조직의 기능적 측면으로 구분
하여 총체적인 기업의 경영혁신을 추지하는 체계 수립"을 의
미한다.
이러한 접근방법을 "Total Enterprise Transformation 접근
방법"이라고 할 수 있다. Total Enterprise Transformation 접
근 방법을 통하여 기업이 추진하는 경영혁신은 개별과제 중
심의 단기적이고 부분적 현식이 아닌, 총체적이고 효과적인
경영혁신 목표를 달성할 수 있게 한
다.
<그림-6> Total enterprise Transformation의 3가지 관점
세우고 필요한 영역을 올바르게 식별해야 하며, 성과를 계속
측정해 개선할 수 있는 프로세스를 만들어야 한다. IT 환경의
복잡성과 신속한 변화에 대응하기 위한 효과 있는 의사결정
프로세스가 필요하며, 기업의 경영 방침이나 문화에 맞게 IT
거버넌스 스타일을 정착하는 게 중요하다. 무엇보다 전사 차
원의 이슈로 인식하고 최고 경영진이 적극 참여하고 지원해
야 한다.
효과 있는 IT 거버넌스는 비즈니스 향상을 위해 IT의 가치
를 제공할 수 있어야 하고, IT 서비스에 내재된 위험을 완화
할 수 있어야 한다. IT의 가치는 전사 비즈니스 전략과 IT 전
략이 충실히 연계돼야만 제대로 전달될 수 있고, IT에 내재된
위험은 IT 사용에 대한 책임을 강화해 줄일 수 있다. 이와 함
께 적합한 IT 자원이 지원돼야 하며, 사용 결과에 대한 측정
과 피드백이 계속돼야 한다.
ITGI는 이런 개념에 기초해 IT 거버넌스를 첫째, IT의 전략
적 연계(Strategic Alignment) 둘째, IT의 가치 전달(Value
Delivery)
셋째, 위험 관리(Risk Management) 넷째, 자원 관
리(Resource Mana- gement) 다섯째, 성과 측정(Performance
Measurement)
등 5가지 영역으로 구분하고 있으며, 각각은
연속된 라이프사이클로 진행된다.
분을 주장하기도 한다.
라
라
라
라
. IT
거
거
거
거버
버
버넌
버
넌스
넌
넌
스
스
스와
와
와
와
COBIT
1)
개
개요
개
개
요
요
요
COBIT
6)은 정보기술 보안과 통제에 대하여 일반적으로 적
용이 가능하고 모범적인 관행들에 대한 참조 프레임워크를
경영층 및 일반 사용자와 정보시스템 감사 통제 및 보안분야
종사자에게 제공하는데 그 목적이 있다고 하겠다.
이 COBIT은 계획 및 조직, 도입 및 구축, 운영 및 지원, 모니
터링 4가지 분야의 활동을 통하여 IT 거버넌스 체계를 구축
하여 최종적으로는 조직의 전략적인 경영목적을 달성하는게
최종 목적이다
IT
감사를 하는 이유는 "그 조직의 IT시스템의 전략목표를 달
성하기 위하여 IT시스템이 효율적이고 효과적으로 운영하는
것을 보증"하는 것이다.
IT시스템의 목적은 또 "그 조직의 전략목표를 달성하기 위하
여 IT시스템을 효율적이고 효과적으로 운영하는 것"이라고 할
수 있다
결국 우리가 조직에서 어떤 행위를 하는 것은 최종적으로는
조직의 전략목표 달성을 위해서 하는 것으로 그러한 행위가
전체적으로 유기적으로 융합되어 원하는 전략목표가 달성되
었을 때 그것을 나는 기업 거버넌스라고 부르고 그러한 거버
넌스 측면 중 IT가 충분히 지원해 주었을 때는 그것이 바로
IT
거버넌스라고 부르는 것이다
2) IT
거
거버
거
거
버
버넌
버
넌
넌스
넌
스 프
스
스
프
프로
프
로
로세
로
세
세
세스
스
스
스 COBIT
COBIT는 1969년에 창립된 미국의 국제정보시스템감사통제
협회(ISACA)에서 1992년에 초판을 출간한 이후로 IT 거버넌
스 협회(ITGI)를 통해 발간되고 있다. 'Control Objectives'를
초판으로 하는 COBIT는 1996년에 정식으로 COBIT라는 이름
으로 발간됐으며, 2년 뒤 제 2판이 발간됐다. 2000년에는 IT
거버넌스 개념이 포함된 3번째 버전이 발간됐으며, 가장 최신
버전인 COBIT 4.0은 2005년 12월에 출간됐다.
<그림-8> COBIT의 진화
COBIT 4.0은 ITIL이나 CMMI, COSO, PMBOK, ISO 17799
등 기타 표준들이 채택하고 있는 정의나 개념을 수용하면서
IT
거버넌스를 위한 보다 구체적인 내용을 담고 있다.
(그림 7)에서 보는 바와 같이 COBIT는 시대의 변화에 따라
COBIT 1.0에서부터 감사→통제→관리→거버넌스 순으로 지속
적으로 확장 혹은 진화되고 있음을 알 수 있다.
<그림-9> 관련 표준과의 상대적 비교
가
가
가
가) COBIT의
의
의
의 구
구
구성
구
성과
성
성
과
과
과 특
특
특성
특
성
성
성
COBIT는 고위 경영진과 이사회, 비즈니스나 IT 관리자, 거
버넌스나 보증, 통제, 보안 전문가들을 지원하기 위해 (그림-9
와 같이 세 가지 수준으로 구성돼 있다.
' IT
거버넌스 이사회 브리핑'
7)은 고위 경영진들이 IT 거버
넌스가 왜 중요하고, 관련된 이슈에는 어떤 것들이 있으며,
IT
관리에 있어 그들의 책임이 무엇인지를 이해할 수 있도록
고안됐다.
주로 비즈니스나 IT 관리자들이 관심을 가지는 부분인 '관
리지침서(Management Guideline)'는 책임을 할당하고, 성과
를 측정하며, 역량을 벤치마킹해 격차를 해소하는 것을 도와
주는 도구다.
·비즈니스 요구사항과의 연계
·이런 요구사항에 대한 성과의 투명성 확보
·일련의 활동들을 널리 인정받고 있는 프로세스 모델로 조
직화
·활용할 주요 자원의 식별
·고려해야 할 관리 통제목적의 정의
이런 요구에 대응해 비즈니스에 초점을 맞추고(business -
focused),
프로세스 지향적이며(process - oriented), 통제를 기
반으로 하는(control - based) 측정 주도적인(measurement -
driven) COBIT
프레임워크가 개발됐다. COBIT 프레임워크의
특성을 정확하게 파악하는 것이 COBIT를 보다 잘 이해할 수
있는 첩경이기에 각각의 특성별로 구체적으로 살펴보자.
나
나
나
나
)
비
비
비
비즈
즈
즈
즈니
니
니스
니
스에
스
스
에
에
에 초
초
초
초점
점
점
점
비즈니스 지향성은 COBIT의 주된 주제이다. COBIT는 서비
스 제공자와 사용자, 감사인 뿐만 아니라 보다 중요한 대상인
경영진과 비즈니스 프로세스 책임자들을 위한 종합적인 지침
이 될 수 있도록 고안됐다.
COBIT는 (그림-11)와 같은 원칙을 기반으로 하고 있다. 즉,
조직이 그 목적을 달성하는데 필요로 하는 정보를 제공하기
위해서는 요구되는 정보 서비스를 제공하기 위한 일련의 구
조적인 프로세스를 이용해 IT 자원을 관리하고 통제할 필요
가 있다는 것이다.
<그림-12> COBIT의 기본원칙
·
·
·
·
COBIT
의
의
의
의 정
정
정
정보
보기
보
보
기
기
기준
준
준
준
(Information Criteria)
정보가 비즈니스 목적을 만족시키기 위해서는 일련의 통제
<그림-14> COBIT의 프로세스 모델
(그림-13)에서 도메인 명칭 아래에 있는 숫자(예 : PO 10Ps)
는 그 도메인을 구성하고 있는 프로세스의 개수를 뜻한다. 예
를 들어 계획 수립과 조직화 도메인은 PO로 표시돼 있으며,
10개의 프로세스로 구성돼 있다는 의미다. 참고로 온더넷에
IT
거버넌스에 관한 연재를 시작하면서 9월 호에 COBIT 프
로세스 모델 전체를 제시한 바가 있으니 참조하기 바란다(온
더넷 9월호, 124쪽)
한편, COBIT는 이런 프로세스 별로 수행 활동이나 입출력
물을 명시하고 있으며, 책임이나 역할에 있어서도 RACI 차트
로 보다 구체적으로 제시하고 있다. RACI 차트란,
Responsibility(수행책임), Accountability(최종책임), Consulted
(자문), Informed(통보)를 나타내는 말이다.
한편, COBIT는 두 가지 종류의 지표를 사용한다. 목표지표
와 성과지표가 그것으로, 하위 수준에서의 목표지표들은 상위
수준에서의 성과지표가 된다.
<그림-20> 솔루션의 구현
2) ITA
활용
활
활
활
용
용을
용
을
을 통
을
통
통한
통
한
한
한
IT
거버
거
거
거
버
버
버넌
넌
넌스
넌
스 실
스
스
실
실현
실
현
현
현
IT
거버넌스의 실현을 위해서는 PPM, ISTM, IT ROI, IRM
등의 ITA를 비롯한 구체적인 솔루션 구축이 이루어져야 할
것이다.
많은 전문가들은 IT 거버넌스의 구현을 위하여 도입해야할
<그림-21> IT 성과측면의 연계성
자료 : 윤의석, IT Governance와 ITA 연관성 및 활용방안, 20064. CIO
가
가
가
가
. CIO
의
의
의
의 정
정
정
정의
의와
의
의
와
와
와 역
역
역
역할
할
할
할
야 하며 ④혁신성과 유연성이 있어야 하고, ⑤조직 내 다
양한 사람들과 원활한 위사소통을 하여야 한다고 하였다.
조직이 IT를 성공적으로 사용할 수 있도록 관리하고, 사
업운영에 대한 지식과 전략적 안목을 가지고 신기술을 파악
하며, 최고경영진과 내부사용자들에게 도입 필요성이나 도입
효과의 전파를 주 업무로 하는 조직의 정보화 및 정보자원관
리의 책임자를 정보담당임원(CIO)라고 정의한다.
이러한 역할들을 수행하기 위해 CIO는 조직혁신을 단행함으
로써 기업의 경영성과를 극대화하고, 평가절차를 확립하여 IS
활용의 성과를 입증해야 한다.(박종순 외, 2005)
<그림-22> 조직에서의 CIO의 역할
자료 : 박종순, 이동욱, 전중양, 정보담당임원의 리더십이 정보시스 템 성과에 미치는 영향 관한 연구, 한국인터넷정보학회, 7권 2호 P104, 2005세계적인 IT조사업체인 가트너는 지난해 `혁신적인 CIO리
보유해야 한다. 리더십은 변화에 관한 것이며, 다른 사람들
이 변화하도록 영향을 미치는 것이다. 이를 위해서는 정보와
IT가 어떻게 기업을 효율적으로 만들 수 있는지에 대한 개
인적인 비전과 견해를 가지고 있어야 한다. 진정한 CIO 리
더십을 확보하려면 기업의 리더들이 중요하게 여기는 것을
찾는 데 앞장서야 할 뿐만 아니라 IT부서가 그에 걸맞게 비
효율적인 서비스를 제공할 수 있도록 이끌 수 있어야 한다.
o
당신이 처한 환경을 이해하라.
해당 기업이 속한 산업과 그 산업의 경쟁적 환경을 제대
로 이해해야 하며, 주요 의사결정권자들과 이해 당사자들의
동참을 이끌어 낼 수 있어야 한다.
o IT가 조직을 어떻게 성공적으로 이끌 것인가에 관한 명쾌
한 비전을 창조하라.
따라 컨설팅 및 외주운영으로부터 기대하는 효과가 천차만별
로 달라지는 현상을 보였다.
이러한 현상은 부문별로는 정보전략계획(ISP) 수립, 비지니
KISTI는 고유 업무를 지원하는 시스템과 이러한 고유 업무
외에 기관 내부 차원에서 경영을 지원하는 행정지원정보시스
템이 존재한다.
략이 융합된 청사진이 부재하며, KISTI의 비전과 경영목표 및
미션 달성에 필요한 현재와 미래의 바람직한 IT 환경을 체계
적이고 완전하게 정의한 정보화 설계도 필요하다.
KISTI는 기관의 효율적인 업무 수행을 지원하고 기관의 비
전 및 전략을 달성하기 위해 업무 운영, 관리 및 지원 시스템
에서의 정보를 취합하여 분석 및 활용할 수 있도록 하고, 이
러한 분석된 정보를 바탕으로 정보화 중복투자 방지, 예산 집
행 투명성 확보로 정보화 투자효과 및 성과 제고를 위한 통
제조직과 체계 구축이 필요할 것이다.
다
다
다
다
.
정
정
정
정보
보
보자
보
자
자
자원
원
원 및
원
및 정
및
및
정
정
정보
보
보화
보
화
화
화 현
현
현
현황
황
황
황
정보자원이란 조직에서 필요한 정보를 창출해 내기 위한
도구라고 할 수 있으며 정보자원의 범위는 협의로 해석할
경우와 광의로 해석할 경우에 따라 적용범위가 크게 달라
진다.
협의로 해석할 경우 정보시스템, 정보기술, Infrastructure
가 해당되며, 광의로 해석할 경우에는 정보와 관련된 계획,
예산, 조직, 교육, 통제, 인력, 등의 관련자원을 포함한다.
미국 연방예산관리국
9)에서는 정보자원을 광의로 해석하
여 정보자원관리를 '정부 정보와 관련된 계획, 예산, 조직,
지도, 교육, 통제작업'이라 정의하고 있다.
본고에서는 정보화사업은 정보활동 산출물로서 정보 및
지식과 정보 및 지식 생산수산으로서의 정보시스템 및 체
계로 정의하고 정보자산은 정보시스템을 구성하는 정보기
술 및 기반구조로 정의하여 기술한다.
국가 정보화정책 수립 및 정보자원의 효율적 활용을 위
평가
평가
평가
평가 항목
항목
항목
항목
평가
평가
평가
평가 지표
지표
지표
지표
비
비
비
비 고
고
고
고
대분류
대분류
대분류
대분류
중분류
중분류
중분류
중분류
숔 정보 화 기반 조성 셗 정보화 리더 십 섕 CEO섖 정보화 관련 예산 투자 수준・CIO의 정보화 추진의지 □■■□, □□■■, ◈◈◈◇◇◇◇◈ 션 정보화 제도・ 조직 및 섗 정보화 관련 규정섘 정보화 관련 조직・・인력 현황지침 보유현황 ■, ■□□□□■■, ◆◆◆◆◈◈◈◈ 숕 정보 화 적 용 ・ 운영 셙 정보화 추진 전략 수준 섙 정보화 전략계획 수립현황 및 조직정책・전략과의 연계성 수준 ■■, ■■ ◇◇◇◇ 섚 당해년도 정보화 추진계획・실행현 황 ■■■■, ◇◇◇◇ 섛 연간 정보보호 추진계획・실행현황 ■■■, ■ ◈◈◈◈ 셚 정보화 인프 라 수준 서 소프트웨어 자원 확보・관리 수준 ■■■■, ◆◆◆◆ 석 네트워크 자원 확보・관리 수준 ■■, ■■ ◆◆◆◆ 섞 데이터베이스 확보・관리 수준 ■■, ■■ ◆◆◆◆ 섟 정보보호시스템 확보・관리 수준 □□□□, ◆◆◆◆ 셛 정보화 응용 수준 선 핵심 업무의 정보화 수준 □□, □□ ◇◇◇◇ 섡 그룹웨어 운영 현황 ■■, ■■ ◆◆◆◆ 섢 온라인 서비스 운영 현황 ■■, ■■ ◆◆◆◆ 숖 정 보 화효과 셜 정보화 수준 개선정도 섣 업무효율성 향상 수준설 지식・정보 공유 활성화 수준 ■, ■■■, ■■■■ ◈◈◈◈◆◆◆◆ 셝 정보보호 수 준 개선 정 도 섥 대외 모의훈련 대응 수준 ■■, ■■ ◆◆◆◆ 섦 07년 을지 사이버 戰 대응 수준 ■■, ■■ ◆◆◆◆※
※
※
※
범례 : ■(공통지표), □(개별지표), ◆(정량적), ◇(정성적), ◈(혼합형)<표-9> 정보화 수준평가 지표
나
나
나
나
.
평
평
평
평가
가
가절
가
절
절
절차
차
차
차
1111단계
단계
단계
단계
2222단계
단계
단계
단계
3333단계
단계
단계
단계
4444단계
단계
단계
단계
기관등급
분류
➡
자체평가
수행
➡
평가결과
검증
➡
패널평가 및
평가종합
과학기술부
-
기본사업, 자체사업 : 예산확정후 일괄심의
-
수탁사업 : 개별적으로 발주시 심의
o
제안요청서 연계성 검토
-
기술용역과제 개발 산출물의 상호 운영성 촉진 및 중복
시행 방지를 위하여 기술용역과제 제안요청서를 사전
검토하는 체계를 운영한다.
마
마
마
마
.
작
작
작
작성
성
성자
성
자
자
자료
료
료
료
(
별
별첨
별
별
첨
첨
첨
)
정보화 사업 검토와 관련하여 작성하는 자료는 RFP 검토의
견서, 최종산출물 검토의견서, 연계성 검토회의 결과보고서이
다.
바
바
바
바
.
운
운
운
운영
영
영방
영
방
방
방법
법
법
법
정보화사업의 외주용역에 대한 관리 감독 일환으로 정보화
전략실에서는 용역사업초기에 작성되는 RFP
10)에 대한 검토와
사업 마무리 시점에서의 최종산출물에 대한 검토 업무를 하
고 있으며 절차는 다음과 같다.
o
각 부서에서 연말에 사업계획 및 용역과제 계획을 수립한
다.(관련조직 : 연구관리팀, 연구심의위원회, 해당부서)
o
해당부서에서 용역과제 발주에 앞서 RFP를 작성하고 시설
자재팀과 협의 후 시스템개발 관련 사업의 경우에는 정보
화전략실에 “RFP 검토의견서”
11)를 요청한다.
o
정보화전략실에서는 RFP 검토 시 시스템중복여부 체크, 원
내 타 시스템과 상호 연계될 필요성이 있는지 여부 확인,
정보시스템운영팀에 서버 및 DB 할당 등과 관련하여 사전
10) 제안요청서, Request For Proposal
제4장
IV. KISTI CIO
역
역
역할
역
할
할 및
할
및
및
및
IT
거
거버
거
거
버
버
버넌
넌
넌스
넌
스 구
스
스
구
구
구축
축
축
축
1. CIO
역
역
역
역할
할
할 설
할
설
설
설계
계
계
계
가
가
가
가
.
기
기
기
기준
준
준
준
앞서 살펴본 CIO 이론적 구성에서 기술되었던 CIO의 10
가지 주요과제를 CIO의 일반적인 역할로 규정하고 현재 과기
부에서 시행하고 있는 정보화수준평가의 내용은 총괄책임을
선임연구부장으로 지정하고 있어 이는 KISTI의 CIO로 선정
한 것으로 사료되며, 각 평가항목을 공공에서의 CIO역할로
정의한다면 각각의 항목을 매칭한다면 KISTI에서 IT 거버넌
스 체계하의 CIO역할을 도출할 수 있다.
나
나
나
나
.
평
평
평
평가
가
가
가
구분
관리
역할
Multi Proejct
Management
통합일정관리
-
프로젝트 포트폴리오 관리
-
향후 대규모개발 프로젝트 중 한정
된 자원을 조정하기 위해 각 프로젝
트간 일정 조정
프로젝트 관리
가이드 라인제공
-
조직내 공통적용 가능한 프로젝트
관리 정책 수립
-
개별 프로젝트에 특화된 관리 가이
드라인 제시(의사소통체계, 산출물
등)
Sinlgle Project
Management
프로젝트 진행
모니터링
-
프로젝트 진행상황을 모니터링
-
프로젝트 산출물 관리 및 통제 기능
담당
이슈관리
-
발생한 프로젝트 이슈를 취합하고
해결 방안을 검토
-
프로젝트 간 이슈 증제 및 조정
<표-15> 조직관점에서의 IT거버넌스
o IT
의사 결정 조직
증대, 투자효과 개선 등에 대한 기반 마련, 또한 향후 기관
IT
거버넌스 목표를 달성하기 위한 기초로 활용될 것이다. 또
참
참
참
참 고
고
고 문
고
문
문
문 헌
헌
헌
헌
[1] 강재혁, 조직의 ITA/EA 기능이 IT거버넌스에 미치는 영향, 국내대학교 석사논문, 2006 [2] 구본재, 권민영, 김종석, 경영혁신을 위한 IT거버넌스, 네모북 스, 2007.9 [3] 김경섭, 정부 정보화첵임관(CIO)들이 인지하는 전자정부의 주 요이슈, 정보통신정책ISSUE, 제13권 3호 통권 127호, 2001.4 [4] 김상일, IT거버넌스, 외형보다 본질에 집중하라, LG주간경제, 2006.7 [5] 김왕성, 전략적 기업 경영시스템의 이해, 삼성 SDS IT Review, 2002. 8 [6] 박종순, 이동욱, 전중양, 정보담당임원(CIO)의 리더십이 정보 시스템(IS) 성과에 미치는 영양에 관한 연구, 한국인터넷정보 학회(7권 2호), 2006. 3[7] 전성현, EA와 IT거버넌스, 이슈레포트, KERIS, 2006.12
[8] 안상협, 김창대, 정보담당 임원(CIO)의 조직내 의사소통 역할
에 관한 연구, 동서대학교 동서눈문집, pp479~496, 1999.12 [9] KIPA, IT거버넌스 국내동향과 전망, KIPA, 2006.12
부
부
부
1
1
1
1
정보화
정보화
정보화 기반조성
정보화
기반조성
기반조성
기반조성
뿾
뿾
뿾
뿾 정보화
정보화
정보화
정보화 리더십
리더십
리더십
리더십
섕
섕
섕
섕
『
『
『
『CEO
CEO
CEO
CEO 및
및
및 CIO
및
CIO』
CIO
CIO
』
』
』의
의
의
의 정보화
정보화
정보화
정보화 추진의지
추진의지
추진의지
추진의지
번호
번호
번호
번호
평가
평가
평가
평가 항목
항목
항목
항목
평가구분
평가구분
평가구분
평가구분
섕 섕 섕 섕-1-1-1-1 『 『 『 『CEO』』의』』의의 정의 정보정정보보보화화화화에에 대에에 대대대한한한한 관관관관심심심심도도도도 공통지표 정 성 적 ∘『CEO』가 기관 정보화 관련 현황에 대하여 알고 있는가 ? ∘『CEO』가 기관 핵심 정보화전략에 대하여 이해 하고 있는가 ? 섕 섕 섕 섕-2-2-2-2 『 『 『 『CIO』』의』』의의 정의 정보정정보보화보화화화 활활활활동동정동동정정정도도도도 및및 이및및 이이이해해해해도도도도 공통지표 정 성 적 ∘『CIO』가 직책을 맡은 후 역점을 두고 있는 사안 은 무엇인가 ? ∘ 기관의 핵심 정보화전략은 무엇인가? ∘ 기관 정보화의 가장 시급한 문제는 무엇이라고 생각하는가 ? ∘ 급변하는 정보화 환경변화에 대한 기관의 현재 위치와 향후 추진방향은 무엇이라 생각하는가?평가항목
평가항목
평가항목
평가항목 해설
해설
해설
해설
평 평 평 평가가가가목목목표목표표표 ∘ 종합적∘체계적인 기관 정보화 추진을 위해서는 기관장 및 정보화 담당관의 역할정립과 지속적인 관심 및 참여가 중요한 요소이 다. ∘ 이에, 기관장∘정보화담당관이 기관의 전체적인 정보화를 적극적 으로 추진하고자 하는 의지를 보유하고 있는지를 확인하고자 한다. 평 평 평Ⅰ
Ⅰ
Ⅰ
Ⅰ
.... ISOC 개발 및 보안지침
1. ISOC 개발 지침
ISOC13)시스템은 네트워크와 서버등이 모두 이중화되어있고, Active:Active 방식의 SLB14) 체계임. <그림 1 >참조 그림 1 정보유통시스템 형상(Topology) <그림 1>과 같은 형상(Topology)을 유지하기 위하여 개발자는 다음 사항 을 준수하여야 한다.가. Traffic Manager(<그림 1>의 DNS)용 Active-X Control
13) ISOC(Information System Operation Center) - KISTI 정보유통시스템 14) SLB(Server Load Balance) - 지능형 도메인네임서버(DNS)를 이용한 서버 부
Module(Enpia Client Agent)을 모든 정보서비스 홈페이지의 초기 페이지에(예: Index.html) 삽입하여야 한다.
나. 응용프로그램 내에서 서버상호간 access는 IP Address가 아닌 Domain Name(Host Name)을 기준으로 코딩하여야 한다. ∵ 지능형 Domain Name Server를 통하여 SLB되므로.
다. System 영역과 DATA 영역의 명확한 분리
즉, O.S 및 각종 Pkg.는 각 서버의 Internal Disk에 위치하며, DATA
는 통합저장장치에 두어야 한다. 이때 통합저장장치는 NFS15)로 연결
하여 사용되며, SLB 서버 간에 공유된다.
라. <그림 2>와 같이 5개의 서버 기능이 분리되도록 설계하고 코딩하 여야 한다.
그림 2 서버 기능 분리 구성
◦ web 서버: httpd 데몬 및 PHP, CGI 등의 프로그램을 운영한다 ◦ Mail 서버: Mail 서버 외에는 메일 발송 및 수신기능을 처리하지
않는다.
◦ 게시판에 지정된 디렉토리 이외의 곳에 있는 파일이 다운로드가 되 어서는 안 된다.
❸ Cross Site Script 취약점
◦ 게시판에 저장된 JSP, ASP 등 웹을 구성하는 시스템 구문이 해석 되어서는 안 된다. ◦ 시스템 구문이 해석되면 악성 사용자의 악성 코드를 담은 웹사이트 에서 사용자의 PC로 악성 코드가 전달되는 매개체가 될 수 있다. ❹ SQL Injection 취약점 ◦ 로그인 ID와 암호를 갖는 경우 허용 범위를 명확히 정하여야 한다. 로그인 ID, 암호 항목에 대해서는 SQL 구문이 해석되어서는 안 된 다. □ OWASP16)의 10가지 취약점과 관련하여 다음과 3가지 취약점은 해결되 어야 한다. ❶ 입력 값 검증 부재 ◦ 모든 HTTP 입력값에 대해 중앙 집중적으로 검증 처리하는 하나의 컴포넌트나 라이브러리를 사용하여 스펙상에 허용된 값만을 받아들 이는 "허용(Positive) 방식" 으로 필터링하여야 한다. 예1) 글쓰기가 가능한 게시판의 경우 html 문서가 아닌 web의 시 스템 파일인 jsp, asp, php등의 문법을 갖춘 글이 글쓰기 허 용되면 안된다.
16) OWASP (The Open Web Application Security Project)
허용 하도록 하되, 일반적인 웹 사이트에서 사용하는 평이한 용어 수 준을 따르도록 한다. ❷ 고유명사의 경우 또는 영문 약어의 경우 대문자로 표기하여 메뉴에 사용할 수 있다. ❸ 메뉴 명칭은 가급적 두 단어 이내로 표기하도록 하되, 명확한 의미전 달을 위해 불가피한 경우는 예외로 간주한다. ❹ 두 단어 이상으로 이루어진 메뉴의 경우 “/”기호를 사용하여 병기하 도록 한다. ❺ 두 단어 이상으로 이루어진 한글 표기의 경우, 의미의 혼란이 발생하 지 않는 한 띄어쓰기를 무시할 수 있다. 단, 사용자의 인지상의 편의 를 돕기 위한 경우 띄어쓰기를 맞춤법 표기법에 맞게 사용할 수 있 다. ❻ 이미 고유명사화 한 표기법은 종래의 관습적 명칭을 따르도록 한다. ☞ 참고 : 국립국어원 (http://www.korean.go.kr/)
3. 디자인 가이드
□ 디자인가이드 섹션은 디자인 컨셉, 컬러 컨셉과 이미지 구성요소 등 구 체적인 시각요소 적용 등에 대한 정책을 제공한다.① Design Identity : KISTI의 온라인 브랜드 전략, 사이트 디자인 컨셉, 컬러 정책, 디자인 등의 개념을 소개한다.
② Grid System : 향후 확장성이 높으므로 심플하고 구조화하기 좋은 grid system이 적용되어야 한다.
③ Key Page Template : 전 사이트에 쓰여지는 이미지들을 타입별로 분 류하여 이미지 샘플과 PSD 소스들을 제공한다.
다.
⑤ Visual / Image : 밝고, 미래지향적이며 감성적인 Visual로 KISTI의 이미지를 전달한다.
⑥ Type : 사이트의 타입 디자인 설명과 폰트 시스템에 따른 타이틀 규칙 의 가이드와 샘플을 보여준다.
⑦ Navigation Design : 글로벌/Main 네비게이션, Footer 네비게이션, 좌측과 우측 네비게이션 등을 소개한다.
⑧ Color : KISTI 내의 관련 사이트에 Primary Color와 Secondary Color 를 제공한다,
⑨ Logo : KISTI 로고와 Application의 적용가이드를 설명해 준다. ⑩ Table / Diagram : 표, 다이어그램 디자인 가이드를 제공한다.(색상,
크기, align, 코딩 소스 포함)
⑪ Button/ Icon/ Bullet : 버튼과 불릿, 아이콘과 배너시스템을 생산하 기 위한 디자인과 프로덕션 가이드가 제공되고 있다.
⑫ Banner / Quick Link : 배너와 퀵링크 디자인과 프로덕션 가이드가 제공되고 있다.
⑬ Popup / Mail form : 팝업과 메일폼 디자인과 프로덕션 가이드가 제 공되고 있다. 상기 상기 상기 상기 제시된 제시된 제시된 제시된 3333가지 가지 가지 가지 가이드중 가이드중 가이드중 가이드중 ““““디자인가이드디자인가이드””””는 디자인가이드디자인가이드는 는 는 준수해야 준수해야 준수해야 준수해야 하며하며하며, , , , ““““디자인하며 디자인디자인디자인 가이드 가이드 가이드
가이드””””에서도 에서도 에서도 에서도 ①①①①번번번, , , , ⑥번 ⑥⑥⑥번번번번, , , , ⑦⑦번⑦⑦번번((((글로벌번글로벌글로벌글로벌/Main /Main 네비게이션/Main /Main 네비게이션네비게이션, , , , Footer 네비게이션 Footer Footer Footer 네비네비네비네비 게이션 게이션 게이션 게이션), ), ⑧), ), ⑧⑧⑧번번번번, , , , ⑨⑨⑨번은 ⑨번은 번은 준수하나번은 준수하나, , , , 나머지 준수하나준수하나 나머지 나머지 항목에 나머지 항목에 항목에 대해서는 항목에 대해서는 대해서는 선별하여 대해서는 선별하여 선별하여 선별하여 사용사용사용사용 하여도 하여도 하여도 하여도 됨됨됨됨.... ☞ ☞ ☞ ☞ 자세한 자세한 자세한 사항은 자세한 사항은 사항은 가이드라인사이트 사항은 가이드라인사이트 가이드라인사이트 가이드라인사이트 참조참조참조참조
((((http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003http://guide.kisti.re.kr/guide/Main_style.jsp?menu_id=103003))))
4. 문의처
□ 담 당 부 서 : 지식정보센터 지식포털팀 □ 담 당 자 : 김지영 연구원(☎02-3299-6091)
Ⅲ
Ⅲ
Ⅲ
Ⅲ
.... S
S
S
SS
S
SO
S
O
O((((S
O
S
S
Siiiin
ng
n
n
g
g
glllle
e
e
e S
S
Siiiig
S
g
g
gn
n-
n
n
-
-
-O
O
On
O
n
n)))) 이
n
이
이용
이
용을
용
용
을
을 위
을
위
위
위한
한 개
한
한
개
개
개발
발
발
발
지
지
지
지침
침
침
침
1. 개 요
□ 본 문서는 KISTI Single Sign On 체제를 구축하기 위하여 SSO서비스를 반영하는 원내 및 원외 사이트의 추가 개발 및 수정을 하는 개발자를 위 한 지침서이다. □ 본 문서를 이해하기 위해 KISTI SSO구축 체제를 이해함과 부분별 적용 기술에 대한 이해를 바탕으로 개별 사이트의 개발 및 수정 작업을 진행해 야 한다. □ KISTI-SSO시스템은 다음의 전제 조건을 기준으로 출발 한다. ◦ 단일한 고객정보 저장 관리 - 개별 사이트의 고객정보는 sso.kisti.re.kr에서 등록,수정 등의 일관된 관리를 받는다. - 단, sso.kisti.re.kr의 관리 내용은 여러 고객정보 중 표준으로 정한 공통 항목에만 국한되며 나머지의 부가 항목은 각 개별 사이트별로 추가 개 발된 프로그램을 sso.kisti.re.kr의 프로세스에 접목 시켜 관리된다. ◦ 웹 프로그램 단일화 - 이용자 등록, 수정, 로그인, 아이디/비밀번호 찾기, 탈퇴, 로그아웃 기 능은 본 문서에 정의한 내용을 준수하여 개발 작업을 진행해야 한다. - 고객정보의 입, 출력에 대한 표준 및 사용자의 행동양식에 대한 분석 정보 수집의 단일화로 원내 사이트의 종합적인 분석을 위해서이다. ◦ Single Sign On 구현 기반기술 준수
<script language="JavaScript" src="http://sso.kisti.re.kr/js/TT_User_CommonJSP.js"></script> 을 요청 페이지에서 포함시켜 자바스크립트 함수를 호출 하는 형식을 이용한다. <위 예에서는 바닥에 개별사이트가 로그인 서비스를 요청하여 SSO의 로그인 처리 창이 open window가 나타난 것이다.> ◦ 이는 모든 SSO 연계 사이트에서 공통된 표준을 만들기 위함이며 또한 요청 처리 URL을 sso.kisti.re.kr에서 관장하기 위함이다. 즉, 개별 사이 트에서 javascript 함수의 URL을 직접 호출할 경우 운영 및 개편 시 서 비스 URL이 바뀌면 서비스를 보장할 수 없지만 공용 javascript 함수를 통한 호출의 경우는 이를 보장하게 된다. ◦ 아래의 예제 프로그램을 보고 간단히 이해 할 수 있다. <script language="JavaScript" src="http://sso.kisti.re.kr/js/TT_User_CommonJSP.js"></script> ... <form name="LoginForm">
<input type="hidden" name="returnURL" value="http://AAA.com/tokenCheck.asp"> <input type="hidden" name="server_num" value="SS01">
<input type="text" name="userid"> <input type="text" name="passwd">
<img src="login.gif" OnClick="TT_UserLogin('LoginForm')"> </form>
<표 개별사이트 로그인 요청 입력 화면 코딩 예>
위 코드에서 공용 javascript 함수를 include하여 실제 로그인 submit을 하는 img에 “TT_UserLogin('LoginForm')" 함수를 호출하여 사용한 것 을 볼 수 있다.
2) 토큰 유효성 검증 방법
메인끼리의 서비스 요청 시에
요청 내용이 유효한지를 우선적으로 검증을 한고 유효한 경우에 한해서 서비스를 제공하여야 한다.
◦ 이 과정 중 요청에 대한 유효성을 검증하기 위해서 인증 토큰을 사용한 다. 인증토큰은 도메인과 무관하게 사용자의 개인PC에 ActiveX ( SSO Client Agent ) 형태의 객체에 저장되며 구분자를 포함한 String 형태를 가지고 있다. (토큰 String의 구조는 다음 장에서 상세히 설명 된다.) ◦ 이 토큰정보는 사용자의 요청 시에 SSO서버에서 암호화 된 형태로 최 초 만들어지며 개별업무 서버에서는 이 정보를 복호화 해서 사용하게 된다. ◦ 아래의 예제 프로그램을 보고 간단히 이해 할 수 있다. <script language="JavaScript"> function checkSSO() {
var ret = document.KISTI_CLIENT.GetToken();
화된 정보를 보내야 Server Script에서 받아 처리 할 수 있다. 나) 토큰정보 해석하기 ( Server Script -예) JSP )
<%
String ret = request.getParameter("ret"); String srvNum = "SS01";
// 대상 시스템에 제공할 복호화 라이브러리를 이용해 암호화한 토큰을 복호 화 한다.
byte[] btDec = PentaCipherUtil.PentaByteDecrypt(ret.getBytes()); String strDec = new String( btDec );
/*토큰값의 유효성 검사 함수 - 개별 사이트에서 구현해야 하는 함수 tokenValidate 함수는 토큰String과 , 개별사이트 서버코드를 받아 --> 토
큰값 expiretime과 접근 서버코드를 비교하여 유효한지를 검사하고 true, false를 return 하는 함수이다.
*/
if ( tokenValidate( strDec, srvNum ) ) {
□ 사이트별 로그파일 접근 - 사이트 오픈 및 운영 개시 1주일 전 지식포털팀 통보 - 로그파일이 남는 디렉토리를 읽을 수 있는 계정, 경로, 호스트 정보 통 보 및 접근 허용 조치 □ 로그포맷 형식 - 에이전트, 레퍼러, 쿠키정보를 추가로 기록 □ 설정 예 ◦ APACHE LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{Cookie}i\"" ◦ IIS
date, time, c-ip, cs-uri-stem, cs-uri-query, sc-status, sc-bytes, cs(Referer), cs(User-Agent), cs(Cookie)
3. 문의처
□ 담 당 부 서 : 지식정보센터 지식포털팀
□ 담 당 자 : 이태석 선임연구원(☎ 02-3299-6074)
□ 관련 자료실 : guide.kisti.re.kr(Home 자료실 개발 관련 자
- 테이블 설계 작업 . 기본 키(Primary Key)가 적절하게 설정되어야 한다. . 데이터의 용량 또는 특성에 따라 테이블 들이 적절하게 나누어져야 한 다. . 대상 문서의 크기가 크고(1M 이상) 색인량이 많을 경우, 문서 삽입/삭 제/수정 작업을 위한 데이터베이스 환경설정파일(DB_CONFIG)이 제 대로 설정되었는지 확인한다. . 대상 데이터의 규모가 크고 삽입/삭제/수정이 빈번한 시스템인 경우, 보조테이블을 사용하도록 권고한다. . 보조테이블을 사용하는 시스템의 경우, 주기적으로 “데이터베이스 최 적화”작업을 수행하도록 설계되어야 한다. - 색인 설계 작업 . 각각의 섹션에 대해 불필요한 색인이 지정되지 않도록 주의한다. . 각각의 섹션에 대해 적절한 색인이 지정되었는지 “KRISTAL 개발 부 서”에 검증을 요청한다.