신뢰성 있는 전자기록관리기관 감사인증도구 개발에 관한 연구

Development Process and Methods of Audit and Certification Toolkit for Trustworthy Digital Records Management Agency

전자기록관리는 수많은 사회적 기술적 요소가 상호작용하는 하나의 시스템이다. 신뢰받는 상태를 계속 유지하기 위해 전자기록관리기관은 감사와 인증의 정규적인 수행이 필요할 것이다. 이에 따라 개별 전자기록관리기관에서는 스스로의 신뢰도를 지속적으로 평가해보는 도구로 사용할 수 있고 스스로의 환경과 시스템을 자체 평가하여 부족한 부분도 파악할 수 있게 하는 도구의 필요성이 생겼다. 본 연구의 목적은 OAIS 참조모형(ISO 14721)과 영국 UKDA와 TNA의 자가진단보고서, TRAC 및 DRAMBORA 등 4개 표준과 국제모범사례를 분석하고, MoReq2와 현행 국내 법령 및 표준 등을 종합, 분석하여 자체인증도구를 개발하고자 하는 것이었다. 본 연구에서는 이 인증도구의 개발과정과 전체적인 틀을 기술함으로써, 타 기관에서도 기관의 특성에 따라 이러한 도구를 개발하고 자체적으로 활용할 수 있는 개발방법론을 제시하고자 하였다. 본 연구의 진행 결과, (기관) 운영관리, 분류체계 및 기준정보 관리, 입수, 등록 기술, 저장 보존, 처분, 서비스, 검색도구 제공, 시스템 관리, 접근통제 보안, 모니터링 감사증적 통계, 위험관리 등 총 12개 영역으로 진단영역이 확정되었다. 설정된 12개 영역 각각에 대해 각 영역별로 프로세스 맵 또는 기능차트 등을 만들고 업무기능을 분석한 후, 영역별 주요 업무기능 단위를 중심으로 구성된 54개의 '평가지표'가 도출되었다. 각 평가지표 별로 실제 자가진단을 시행할 수 있는 측정 가능하고 증빙이 가능하도록 작성한 208개의 '평가세부지표'를 도출하였다. 본 연구의 결과물로 생성된 이 지표는 전자기록관리기관의 감사인증도구로 사용될 수 있어, 기관 스스로 정기적으로 자가진단을 실행하는 데에 활용함으로써, 발견된 미비점을 보완하고 향후 기관의 발전 전략에 반영할 수 있다.

Digital records management is one whole system in which many social and technical elements are interacting. To maintain the trustworthiness, the repository needs periodical audit and certification. Thus, individual electronic records management agency needs toolkit that can be used to self-evaluate their trustworthiness continuously, and self-assess their atmosphere and system to recognize deficiencies. The purpose of this study is development of self-certification toolkit for repositories, which synthesized and analysed such four international standard and best practices as OAIS Reference Model(ISO 14721), TRAC, DRAMBORA, and the assessment report conducted and published by TNA/UKDA, as well as MoRe2 and current national laws and standards. As this paper describes and demonstrate the development process and the framework of this self-certification toolkit, other electronic records management agencies could follow the process and develop their own toolkit reflecting their situation, and utilize the self-assessment results in-house. As a result of this research, 12 areas for assessment were set, which include (organizational) operation management, classification system and master data management, acquisition, registration and description, storage and preservation, disposal, services, providing finding aids, system management, access control and security, monitoring/audit trail/statistics, and risk management. In each 12 area, the process map or functional charts were drawn and business functions were analyzed, and 54 'evaluation criteria', consisted of main business functional unit in each area were drawn. Under each 'evaluation criteria', 208 'specific evaluation criteria', which supposed to be implementable, measurable, and provable for self-evaluation in each area, were drawn. The audit and certification toolkit developed by this research could be used by digital repositories to conduct periodical self-assessment of the organization, which would be used to supplement any found deficiencies and be used to reflect the organizational development strategy.