코르벤 도입은 사전 검토에서 시작해 분기 갱신까지 네 단계로 진행됩니다. 메인 페이지에서 다루지 못한 각 단계의 검토 항목, 일정, 협의 절차, 비용 정책을 구체적으로 설명합니다.
사전 검토는 도입 기관과 코르벤이 처음 만나는 단계입니다. 이 단계에서 도입 기관의 환경이 코르벤 시스템과 맞는지, 도입이 도입 기관에게 실질적인 보호를 제공할 수 있는지를 함께 판단합니다.
| 데이터 흐름 | 도입 기관에서 보호가 필요한 정보가 어떻게 생성되고, 누가 받고, 어디에 저장되고, 언제 폐기되는지의 흐름. |
|---|---|
| 보안 환경 | 현재 사용 중인 인증 체계, 메일 환경, 파일 서버, 메시징 도구. 코르벤 시스템과 어떻게 끼워 맞출지의 검토. |
| 법적 요건 | 도입 기관에 적용되는 법령(개인정보보호법, 의료법, 변호사법, 기관별 개별법)에 따라 요구되는 보호 수준. |
| 운영 책임 | 도입 후 코르벤이 운영을 어디까지 가져갈지, 도입 기관이 어디까지 직접 운영할지의 경계 협의. |
| 예상 사고 시나리오 | 도입 기관에서 일어날 수 있는 사고 시나리오와 코르벤의 대응 절차. |
사전 검토는 약 4-6주에 걸쳐 진행됩니다. 도입 기관 책임자, 정보보안 담당자, 법무 담당자가 코르벤 자문단과 함께 검토 회의에 참여합니다. 사전 검토 단계에는 비용이 발생하지 않습니다. 코르벤이 적합하지 않다고 판단하는 경우 도입을 권하지 않으며, 도입 기관이 다른 결정을 내리는 경우에도 비용이 청구되지 않습니다.
사전 검토에서 도입이 결정되면 운영 정착 단계가 시작됩니다. 도입 후 첫해는 시스템을 도입 기관의 기존 업무 흐름 안에 자연스럽게 끼워 넣는 데 집중합니다.
운영 정착 기간은 약 12개월입니다. 매월 한 차례 도입 기관 책임자와 코르벤 운영 책임자가 진척도를 점검합니다. 12개월이 지나면 첫 번째 분기 검토가 진행되고, 통과하는 경우 인증마크가 처음 발급됩니다.
운영 정착이 끝난 도입 기관에서는 운영의 일정한 패턴이 자리 잡습니다. 둘째 해부터는 이 패턴을 기준으로 반복적인 작업을 표준화하고, 그 중 일부를 자동화합니다.
표준화된 작업 중 자동화 가능한 영역을 도입 기관과 협의해 단계적으로 자동화합니다. 자동화 범위는 도입 기관의 요청에 따라 결정되며, 코르벤이 임의로 자동화 범위를 확장하지 않습니다. 자동화 후에도 도입 기관이 자동화를 해제하고 수동 처리로 돌아갈 수 있도록 양방향 운영이 보장됩니다.
표준화·자동화가 진행되면서 도입 기관 내부 인력이 직접 운영하는 영역과 코르벤이 운영하는 영역을 명확히 구분합니다. 책임 영역은 분기마다 재검토되며, 도입 기관의 인력 구성 변화에 따라 조정됩니다.
도입 기관은 매 분기 첫째 주에 코르벤 자문단과 함께 운영 지표를 검토합니다. 검토 항목은 인증마크 페이지에서 자세히 다루며, 여기서는 검토 회의의 진행 방식을 설명합니다.
| 참석자 | 도입 기관 책임자, 코르벤 운영 책임자, 자문단(법률·정보보안·공공 부문 각 1인 이상). |
|---|---|
| 회의 시간 | 분기당 약 2-3시간. 도입 기관의 일정에 맞춰 조정됩니다. |
| 형식 | 대면 회의를 원칙으로 하며, 자문단의 일정에 따라 일부 자문위원이 비대면으로 참여하는 경우가 있습니다. |
| 장소 | 도입 기관 내부 또는 코르벤이 지정한 외부 회의 공간. 보안이 확보된 공간만 사용됩니다. |
자문단이 마크 갱신 가능 여부를 의결합니다. 자문단의 의결권은 코르벤 직원과 분리되어 있으며, 코르벤이 자문단의 의결을 거부할 수 없습니다. 자문단이 마크 회수를 의결한 경우, 코르벤은 즉시 회수 절차를 진행합니다.
의결 결과는 회의 종료 후 24시간 안에 도입 기관 책임자에게 공식 통지됩니다. 갱신이 통과된 경우 새 분기 코드가 함께 전달되며, 갱신이 거부된 경우 회수 사실과 다음 분기 검토 일정이 함께 안내됩니다.
도입 계약은 매 분기 갱신 시점에 양측이 종료를 결정할 수 있습니다. 종료가 결정되면 다음 절차가 진행됩니다.