ISO/IEC 38500 IT 거버넌스 — 기술사 답안
IT 거버넌스 국제표준 · EDM 모델 · 6대 원칙 | 개념 · 개념도 · 주요구성요소 · 비교 | 정보관리기술사 대비
기술사 1~2교시형
IT 거버넌스 도메인
38507·42001 모표준
경영진·이사회 거버넌스
ISO 인증 불가 (지침)
Ⅰ. 개념
정의: 조직의 이사회·최고경영진(지배구조 주체)이 IT 자원의 사용을 효과적·효율적·수용 가능하게 지시·통제·평가하도록 지침을 제공하는 국제표준. IT를 단순 기술 문제가 아닌 경영 전략 자산으로 다룸
등장 배경: 2000년대 초 닷컴 버블 붕괴·엔론 사태 이후 IT 투자 실패와 IT 리스크 미관리 문제가 경영진의 책임 문제로 부상. "이사회는 IT를 모른다"는 변명이 더 이상 통하지 않는 시대를 반영하여 제정. Sarbanes-Oxley법의 IT 통제 요구와도 직결
Ⅱ. 개념도 — EDM 거버넌스 모델 + 6대 원칙
E — 평가 (Evaluate)
현재·미래 IT 사용 현황, 위험·기회를 경영 관점에서 평가. 이해관계자 요구 파악
D — 지시 (Direct)
IT 정책·전략·책임을 명확히 지시. 경영진이 IT 계획을 준비하고 실행하도록 방향 설정
M — 모니터 (Monitor)
IT 성과·정책 준수를 지속 감시. KPI·보고 체계로 목적 달성 여부 확인
↻ 이사회 수준의 지속적 거버넌스 순환 — 관리(Management)와 구별되는 지배구조(Governance) 행위
6대 원칙 — "책전인성준인"
책
책임성
(Responsibility)
IT 역할·책임 명확 정의. 공급·수요 모두 책임 귀속
전
전략
(Strategy)
IT가 조직 전략을 지원하고 미래 역량을 확보
인
인수
(Acquisition)
IT 도입 결정은 명확한 근거·적정 조달·지속 개선 기반
성
성과
(Performance)
IT가 필요한 서비스 수준·품질로 현재·미래 수요 지원
준
준법성
(Conformance)
법·규제·계약·정책 준수. 내부 정책도 포함
인
인간행동
(Human Behavior)
IT 정책이 사람의 행동·필요·웰빙을 존중
6원칙 두문자: "책전인성준인" — 앞 '인'은 인수(Acquisition), 뒤 '인'은 인간행동(Human Behavior)
Ⅲ. 주요 구성 요소 — EDM × 6원칙 매트릭스
| 원칙 |
평가 (Evaluate) |
지시 (Direct) |
모니터 (Monitor) |
| 책임성 | IT 책임자·역할 현황 평가 | CIO·CISO 등 책임 구조 지시 | 책임 이행 여부 감시 |
| 전략 | IT 전략과 비즈니스 전략 정합성 평가 | IT 전략 계획 수립 지시 | 전략 목표 달성 KPI 모니터 |
| 인수 | IT 투자·조달 포트폴리오 평가 | 투자 의사결정 기준 지시 | 프로젝트 ROI·편익 실현 감시 |
| 성과 | IT 서비스 수준·품질 현황 평가 | SLA·서비스 목표 수준 지시 | 서비스 성과 지표 모니터 |
| 준법성 | 법·규제 준수 현황 평가 | 컴플라이언스 정책 지시 | 감사 결과·위반 사항 모니터 |
| 인간행동 | IT 정책의 인적 영향 평가 | 사람 중심 IT 사용 정책 지시 | 직원 웰빙·문화 영향 모니터 |
Ⅳ. 거버넌스(Governance) vs 관리(Management) — 핵심 차별화
| 구분 |
거버넌스 (ISO 38500) |
관리 (Management) |
| 주체 | 이사회·최고경영진 (지배구조 기구) | CIO·IT 관리자·실무진 |
| 행위 | 평가(E)·지시(D)·모니터(M) | 계획·조직·지휘·통제 |
| 시간 지평 | 전략적·장기적 | 운영적·단기적 |
| 책임 범위 | 조직 전체·이해관계자 가치 | IT 부서·프로젝트·서비스 |
| 관련 표준 | ISO 38500 · ISO 38507 (AI거버넌스) | ITIL · COBIT · ISO 20000 |
| 핵심 질문 | "무엇을 해야 하는가? (방향·목적)" | "어떻게 할 것인가? (실행·방법)" |
시험 차별화 포인트: "거버넌스는 올바른 방향을 선택하는 것이고, 관리는 그 방향으로 올바르게 나아가는 것이다" — EDM과 PDCA의 차이를 이 문장으로 설명하면 채점관이 구분을 명확히 이해한 수험생으로 인식
Ⅴ. 추가 요소 — ISO 38500 표준 생태계 및 AI 거버넌스 연계
ISO 38500 패밀리 구조
ISO/IEC 38500 — 핵심 원칙 (2015)
모든 규모·업종의 조직에 적용 가능한 IT 거버넌스 6원칙 + EDM 모델
ISO/IEC 38501
거버넌스 구현 지침
(2015)
ISO/IEC 38502
거버넌스·관리
프레임워크 (2017)
ISO/IEC 38507
AI 거버넌스 지침
(2022) ← AI 확장
38507은 38500 위에 AI 거버넌스 레이어를 추가 — 독립 표준이 아닌 확장
ISO 38500과 COBIT 비교
ISO 38500: 원칙 기반(Principles-based), 짧고 간결, 이사회 독자, 지침(guidance)
COBIT 2019: 프로세스 기반(Process-based), 상세한 통제목표, 관리자 독자, 프레임워크
보완 관계: 38500이 "무엇을 해야 하는가"를 정의하면, COBIT이 "어떻게 구현하는가"를 제공
실무: 이사회 → 38500으로 거버넌스, CIO → COBIT으로 관리 체계 구축
AI 거버넌스로의 확장 경로
ISO 38500 (IT 거버넌스)
↓ AI 특화 확장
ISO 38507 (AI 거버넌스)
↓ 경영시스템 구축
ISO 42001 (AI 경영시스템)
↓ 위험 식별
ISO 23894 (AI 위험관리)
핵심: 38500이 없으면 38507도 없다 — 모든 AI 거버넌스의 뿌리
Ⅵ. 결론 — 연관 이론 및 핵심 암기
ISO 42001과 분업
38500이 이사회 수준 방향 설정(EDM), 42001이 경영 수준 실행(PDCA). 거버넌스(38500)와 관리(42001)의 명확한 역할 분리
Sarbanes-Oxley 연계
SOX 302·404조의 IT 내부통제 보고 의무가 38500 준법성 원칙과 직결. 상장사의 IT 거버넌스 필수 기반
ITIL·ISO 20000과 관계
38500은 "왜·무엇을"(거버넌스), ITIL·ISO 20000은 "어떻게"(서비스 관리). 계층적 분업 — 혼동하면 감점
💡 킬러 문장: "ISO 38500은 IT를 이사회의 안건으로 만든 표준이다. IT 거버넌스는 CIO의 문제가 아니라 이사회의 책임이며, 평가(E)·지시(D)·모니터(M)의 EDM 순환이 그 책임의 실천 방법이다. ISO 38507(AI거버넌스)·ISO 42001(AI경영시스템)은 모두 이 철학 위에 세워진 확장 표준이다."
✍️ 핵심 암기 정리
| 두문자어 | 풀이 | 기억 포인트 |
|---|
| 책전인성준인 | 책임성·전략·인수·성과·준법성·인간행동 | ISO 38500 6대 원칙 |
| EDM | 평가(Evaluate)·지시(Direct)·모니터(Monitor) | 거버넌스 3행위 — PDCA와 혼동 금지 |
| 거vs관 | 거버넌스=방향선택(이사회), 관리=올바른실행(경영진) | 38500 vs COBIT·ITIL 구분 |
| 38500→38507→42001 | IT거버넌스→AI거버넌스→AI경영시스템 | AI 거버넌스 계보 — 3단계 흐름 |