초 록

jksarm

한국기록관리학회지

Journal of Korean Society of Archives and Records Management

1598-1487 2671-7247

한국기록관리학회

Korean Society of Archives and Records Management

jksarm_2019_19_04_115

10.14404/JKSARM.2019.19.4.115

Research Article

기록 평가에 관한 국제표준의 적용방안 분석: ISO 15489-1과 ISO/TR 21946을 중심으로

Applying the International Standard Appraisal Methodologies of ISO 15489-1 and ISO/TR 21946

전

보배

Jun

Bobae

설

문원

Seol

Moon-won

¹_{제 1 저자} 부산교육대학교 기록연구사, 부산대학교대학원 문헌정보학과 기록관리학전공 박사과정 bonbon88@naver.com ²_교신저자 부산대학교 문헌정보학과 교수 seol@pusan.ac.kr

ORCID

Bobae Jun https://orcid.org/0000-0002-1380-4695

Moon-won Seol https://orcid.org/0000-0001-8696-8351

▪ 이 논문은 2018년 대한민국 교육부와 한국연구재단의 지원을 받아 수행된 연구임(NRF-2018S1A5A2A03036149).

11 2019

19 4 115 137 24 10 2019 25 10 2019 7 11 2019

©한국기록관리학회

This is an Open Access article distributed under the terms of the Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 () which permits use, distribution and reproduction in any medium, provided that the article is properly cited, the use is non-commercial and no modifications or adaptations are made.

초 록

ISO 15489-1 2016년판의 가장 큰 변화는 현용기록 관리에 ‘평가(appraisal)’를 핵심 절차 중의 하나로 다루고 있다는 점이다. 2018년 11월에는 ISO 15489-1(2016)에서 제시한 평가의 개념과 원칙을 실무에 적용할 수 있는 방법론을 설명하기 위하여 기록평가국제표준으로 ISO/TR 21946(Information and documentation - Appraisal for managing records)이 발간되었다. 본고에서는 이러한 국제표준에 나타난 평가 개념과 특징, 실제 적용 시 고려해야 할 내용을 중심으로 분석하였다. 특히, ISO/TR 21946에서 제시한 평가 프로세스를 각 단계별로 정리하고, 해당 프로세스를 국내 대학 사례에 적용해봄으로써 국제표준의 기록 평가방법론을 국내 기록관리 환경에 어떻게 적용할 수 있는지 모색하였다. 이 연구는 새로운 기록 평가국제표준에 대한 이해를 높이고, 국내 기록관리 및 평가 제도의 개선 방향 모색에 기초가 될 수 있을 것이다.

ABSTRACT

A significant change in the ISO 15489-1:2016 is the appraisal of records becoming one of the key procedures in managing current records. In November 2018, ISO/TR 21946 (Information and Documentation - Appraisal for managing records) was published as the international standard for the appraisal of records, explaining the methodology for the application of the concepts and principles of appraisal in ISO 15489-1. As such, the concept of appraisal and the characteristics of the contents presented in these international standards were examined in this paper. In particular, the appraisal methodologies of ISO/TR 21946 and how it can be applied to the Korean records management environment were investigated by analyzing the appraisal process proposed in ISO/TR 21946 at each step and applying the process to Korean university cases. Moreover, this paper is expected to be the basis of improving the understanding of new international standards for the appraisal of records and finding ways to improve records management and appraisal systems in Korea.

ISO 15489-1 ISO/TR 21946 기록 평가 기록 평가 절차

Appraisal Records Appraisal Archival Appraisal Appraisal Process

1. 머리말

전통적인 의미에서 ‘평가(appraisal)’는 남겨야 할 기록을 판정하는 것이었다. ‘생산된 기록’을 대상으로 보존가치를 확인한 후 보존기간을 책정하는 것이 핵심 작업이었고 이를 우리는 보존기록 평가(archival appraisal)라고 명명하였다. 그러나 전자업무 환경에서 생성되는 수많은 정보와 데이터 중에서 무엇이 기록인지 판단하는 것은 점점 더 어려워지고 있다. 따라서 ‘어떤 기록을 생산하고 획득해야 할지’를 정하는 일이 중요하게 부각되었고, 최근 개정된 국제표준(ISO 15489-1)에서는 ‘평가’가 별도의 장으로 구성되었으며 평가의 개념도 매우 넓게 확장하였다.

ISO 15489-1의 개정안을 반영하여 KS X ISO 15489-1도 개정 작업이 진행 중이다. 2016년 ISO 15489-1이 개정된 이후 국내 기록관리계에서도 새로운 평가 개념에 대한 관심이 촉구되었다(이젬마, 2016). 이젬마(2016)는 ISO 15489-1(2016)의 기록관리 방법론과 관련된 중요한 변경 사항 중 하나로 평가를 꼽으면서 “생산된 기록의 가치 판단을 의미했던 전통적인 평가 개념을 기록 생산 이전으로 확장하여 업무와 기록을 연결하기 위한 기록전문가의 활동을 평가의 개념으로 인식하는 매우 중요한 변화”라고 지적하였다(이젬마, 2016, p. 50). 이정은, 윤은하(2018, p. 106)도 ISO 15489-1 개정판(2016)의 가장 큰 변화 중 하나로 ‘평가’ 개념의 변화를 들었고 김명훈(2018) 역시 기록평가의 개념 변화에 주목하고 기록 평가의 원리와 절차를 분석하였다. 김명훈(2018)은 그동안 기록의 평가 선별 방식을 일반화하기 어렵다는 점에서 평가의 표준화가 시도되지 않았지만, 전자기록 환경에서 기능평가가 핵심 절차로 받아들여지면서 기록 평가가 국제표준화의 영역에 포함된 것으로 해석하고 있다(김명훈, 2018, p. 61).

그런데 ISO 15489-1에서는 평가의 개념과 원칙을 간략하게 제시하고 있을 뿐이다. ISO TC36 SC11은 ISO 15489-1에 제시한 평가의 개념을 실무적으로 적용할 수 있는 방법론을 설명하기 위하여 2018년 11월에 ISO/TR 21946(Information and documentation - Appraisal for managing records)을 발간하였다. 본고에서는 이러한 국제표준에 나타난 평가 개념 및 적용 방법론을 분석하고, 이를 우리나라 기록관리 환경에 어떻게 적용할 수 있는지 검토해 보고자 한다.

공공업무의 책임성을 높이고 국가적으로 남겨야할 기록을 선별하는 활동으로서 기록 평가는 그 의미가 더욱 커지고 있지만 기록 평가는 우리나라의 기록관리 정책에서 가장 낙후된 부분이라고 볼 수 있다(설문원, 2018, 2019). 그러나 기왕에 평가 정책을 재설계해야 한다면 서구의 오래된 기록 평가정책을 답습하기보다는 디지털 환경에 적합한 평가방법론으로의 이행을 고민해야 한다. 따라서 기록 평가에 대한 국제 규범을 면밀히 살펴보는 것은 이러한 이행을 준비하는 기초 작업이 될 것이다. 이 논문에서는 ISO 15489-1과 ISO/TR 21946의 기록평가에 대한 새로운 개념 정의를 살펴보았다. 특히 기록 평가의 방법론을 제시하고 있는 ISO/TR 21946의 내용을 상세 분석하였다. 또한 ISO/TR 21946의 평가 프로세스를 대학의 기록관리 사례에 적용해봄으로써 기록 평가국제표준의 국내 적용을 위한 시사점을 제시하였다.

2. 평가에 관한 국제표준의 특징 2.1 기록관리 원칙으로서 ‘평가 원칙’의 선언

전통적으로 평가는 보존기록 평가(archival appraisal)였으며, 고전적인 기록 평가론은 보존기록으로 남겨야 할 기록을 선별하기 위한 원칙과 방법론을 모색하는 것이었다. 현용기록관리(RM)에 초점을 맞춘 국제표준 ISO 15489-1이 처음 발행될 때 ‘평가’가 포함되지 않았던 것도 평가는 기본적으로 보존기록관리(AM)의 영역에 속한다고 보았기 때문이다. 그러나 디지털환경에서 사전적인 평가의 중요성이 강조되면서 처분 지침의 개발을 포함하는 RM 절차의 하나로 ‘records appraisal’이라는 용어 사용이 빈번해졌다.

그러다가 2016년 ISO 15489-1 개정판이 발간되면서 평가는 기록관리의 중요한 절차로 편입되었으며 기록관리의 원칙에도 반영되었다. 동 표준의 제4조 ‘기록관리 원칙’에서는 5가지 원칙을 제시하고 있는데 이 중 (d)항은 평가의 원칙에 해당한다. “기록의 생산·획득·관리에 관한 결정은 업무, 법규, 사회적 맥락에서의 업무활동 분석과 위험 평가를 기반으로 한다”(ISO 15489-1:2016, 4장)고 밝히고 있는데 이는 평가를 기록관리 원칙의 하나로 선언하는 의미를 가지면서 한편으로 새로운 평가의 핵심 내용을 말해주고 있다.

ISO/TR 21946은 ISO 15489-1:2016의 후속작업으로 작성되었다(이젬마, 2016, p. 54; 이정은, 윤은하, 2018, p. 108). ISO 15489-1에는 ‘7장 평가(appraisal)’가 편성되었으나 평가의 개념 등 일반사항(7.1), 평가의 범위(7.2) 설정, 업무에 대한 이해(7.3)와 같은 기본 사항만 담겨 있다. ISO/TR 21946에는 총 8개 장에 걸쳐 평가 프로세스를 구체적으로 설명하고 있으며 특히 정보수집과 분석, 평가(assessment)와 실행, 모니터링, 검토 및 수정의 과정을 상세히 다루고 있다. 또한 ISO/TR 21946에서는 ‘기록관리를 위한 평가(appraisal for managing records)’를 목적으로 두고 있다는 점에 주목할 필요가 있다. 대부분의 ISO 표준 문서에 동일하게 존재 하는 1장(범위), 2장(인용표준), 3장(용어 및 정의)를 제외하고 나머지 핵심 내용을 정리하면 <표 1>과 같다.

2.2 ‘기록 평가’에서 ‘기록관리를 위한 평가’로의 전환

ISO 15489-1에서는 평가(appraisal)를 “어떤 기록을 생산하고 획득해야 할지, 그리고 얼마 동안 보존해야 하는지 결정하기 위해 업무활동을 평가(evaluating)하는 과정”으로 정의 하였다. 이는 평가의 전통적인 개념을 확장한 것이며 “어떤 기록을 생산·획득할지, 시간 경과에 따라 기록을 어떻게 적절히 관리할지 결정하는 데에 필요한 업무맥락과 업무활동 분석과 위험에 대한 분석을 포함”하는 개념이라고 밝히고 있다(ISO 15489-1:2016, 7장).

ISO/TR 21946에서는 이와 유사하지만 미세한 차이가 있는 정의를 채택하고 있다. 이 문서에서는 ‘기록관리를 위한 평가(appraisal for managing records)’를 “어떤 기록을 생산하고 획득해야 하는지, 그 기록을 어떻게, 얼마 동안 보존해야 하는지를 결정하기 위해 업무 활동을 평가(evaluating)하는 반복적인 과정”으로 정의하고 있다(ISO/TR 21946, 서론).

<표 1> <xref ref-type="bibr" rid="B011">ISO/TR 21946</xref>의 구성

장 제목		주요 내용
서론		평가의 개념, 편익, 특징
4장	평가 프로세스	평가 프로세스 개념도, 평가업무를 촉발하는 요인
5장	정보 수집과 분석	5.1 일반 5.2 평가 범위 결정 5.3 평가 프로세스의 참여자 결정 5.4 정보 수집 5.5 업무 맥락 분석 5.6 기술 맥락(technological context) 분석 5.7 기능 분석 5.8 순차 분석 5.9 행위자 식별 5.10 주요 업무 영역 확인 5.11 기록 요건 결정 5.11.1 일반 　　　　　　　　 5.11.2 기록과 관련한 업무상의 요구사항 　　　　　　　　 5.11.3 기록에 대한 법규상의 요건 　　　　　　　　 5.11.4 기록에 대한 공동체 또는 사회적 기대
6장	평가(assessment)와 실행	6.1 일반 6.2 업무 기능 및 업무 프로세스에 대한 기록 요건 연계 6.3 기록 요건 실행과 관련된 위험 평가 및 처리 6.4 평가 프로세스의 문서화 6.5 평가 프로세스 결과 활용
7장	모니터링	평가와 그 산출물의 실행에 대한 지속적인 모니터링 필요성
8장	검토 및 시정조치	검토 및 시정조치의 필요성

지금까지 기록 평가는 기록의 보유요건을 파악하거나 처분지침을 만드는 작업으로 이해되어 왔지만 여기서 평가는 어떤 기록을 생산하고 획득해야할지 판단하고, 그 기록들을 어떤 방식으로 얼마동안 보존할지를 정하기 위한 활동으로 보고 있다.

<표 2>에서와 같이 ISO 15489-1과 ISO/TR 21946의 정의를 비교할 때 문구는 조금 다르지만 본질적으로 큰 차이는 없다. ISO 15489-1의 제7장을 살펴볼 때 ISO/TR 21946의 정의와 배치되는 내용은 없다. ISO/TR 21946의 정의는 ISO 15489-1의 정의를 보강한 것으로 이해할 수 있다. ‘어떻게’가 들어감으로써 ‘기록관리를 위한 평가’라는 것을 강조하고, 또한 평가가 반복적으로 이루어져야 한다는 점을 분명히 하고 있다.

<표 2> 표준 문서에서의 ‘평가’의 정의

표준	ISO 15489-1	ISO/TR 21946
명칭	평가(appraisal)	기록관리를 위한 평가(appraisal for managing records)
정의	어떤 기록을 생산하고 획득해야 할지, 그리고 얼마 동안 보존해야 하는지를 결정하기 위해 업무 활동을 평가(evaluating)하는 과정	어떤 기록을 생산하고 획득해야 하는지, 그 기록을 어떻게, 얼마 동안 보존해야 하는지를 결정하기 위해 업무 활동평가(evaluating)를 되풀이하는 과정(recurrent process)

그렇다면 이때 평가는 무엇에 대한 평가인가? 앞의 원칙에서 밝혔듯이 평가는 ‘업무맥락 및 활동 분석’과 ‘위험 평가’를 기본 내용으로 한다. 전통적인 평가는 기록의 가치를 평가하는 것이었다. 즉 기록의 생산맥락으로서 기능을 평가한다 해도 궁극적으로 이것은 기록의 가치를 밝히기 위한 과정이었다. 그러나 국제표준에서 평가는 a) 업무맥락을 이해하는 작업과 b) 기록을 통해 충족시켜야 하는 업무 증거의 요건을 확인하는 작업이 결합된 활동이라고 본다 (ISO 15489-1:2016, 7.1조). 이러한 활동의 결과물 중 하나로 기록의 보존기간이 포함된 처분지시서가 만들어지지만 평가의 결과물은 이외에도 매우 다양하다. 따라서 국제표준에서의 평가는 기록의 생산 및 관리를 둘러싼 맥락을 판단하는 매우 다각적인 ‘분석’이라고 볼 수 있다. 평가의 이러한 본질 때문에 두 가지 특징이 도출된다. 첫째, 반복성이다. 맥락의 변화가 발생할 때마다 평가가 다시 반복되어야 한다는 것이다. 조직에서 업무활동 환경이나 위험요소에 변화가 있을 때 평가를 다시 수행해야 한다. ISO 15489-1에 비해 ISO/TR 21946에서는 평가를 착수해야 하는 계기(triggers)를 좀 더 상세하게 서술하고 있는데 이를 간추리면 <표 3>과 같다(ISO/TR 21946, 4장).

특히 주목할 점은 기록 생산이나 관리 맥락의 변화가 일어났을 뿐 아니라 기록관리 자체의 문제가 발생한 경우에도 평가를 실시할 수 있다고 밝힌 점이다. 기록 생산 및 관리에 관한 문제들 예를 들어 생산되어야 할 기록이 누락 되었거나 기록에 대한 무단 접근이나 무단 폐기 등도 평가 프로세스가 시작되는 계기가 될 수 있다(ISO/TR 21946, 제4장)

둘째, 평가는 사전적이고 예방적인 활동이다. 맥락에 대한 다각적 분석 결과가 기록관리의 여러 활동에 반영될 수 있도록 해야 한다. 즉 평가는 “기록의 생산 및 획득, 관리에 대한 사후 대응적 접근이기보다 전략적이고 사전 예방적인 접근법”이 된다(ISO/TR 21946, 서론).

<표 3> 평가 프로세스를 촉발시키는 요인

구분	설명 및 사례
조직 변화	조직 신설, 조직의 구조 또는 합병 등의 변화, 부서의 신설 등 조직 내부의 변화
업무 변화	업무기능이나 활동의 신설 및 변경, 권역 간 공유 프로젝트를 수행할 때 협업 기록관리를 위한 조치 도입
내외 규제요건 변화	법적·규제적 요건의 신설 및 변화, 실무나 내부 업무 요건의 변경
기술 변화	새로운 기술이나 시스템의 도입
사회적 기대 변화	조직의 기록관리에 대한 대중의 기대치 변화(접근성과 이용성에 대한 새로운 기대 등)
기록관리 상의 문제 발생	생산 누락, 무단 접근, 무단 폐기 확인

출처: ISO15489-1, 제7장; ISO/TR 21946 제4장을 토대로 정리

2.3 평가 범위 및 참여자의 선택적 결정

ISO 15489-1에서는 모든 평가가 동일한 절차를 거쳐야 하는 것은 아니라는 점을 명시하고 있다. 이와 관련하여 평가 범위 설정의 중요성을 강조한다(ISO 15489-1, 7.3조). <표 3>에서와 같이 평가를 유발하는 요인들은 다양하며, 그 평가를 왜 시작했는지에 따라 범위가 달라진다. ISO/TR 21946에서는 그 사례를 <표 4>와 같이 제시한다.

<표 4> 평가 범위의 결정 관련 사례

평가 유발 요인(사례)	사례 설명	평가의 범위
업무 시스템 교체	• 교체 중인 업무시스템을 책임지는 관리자가 수행하는 평가 • 이 시스템은 단일 기능을 지원하지만 온라인으로 협업하는 수많은 조직 개체가 수행하는 기능을 지원	• 하나의 기능으로 한정 • 참여하는 조직 개체별 맥락, 위험, 요건 고려
두 조직의 합병	• 새로운 시스템으로의 기록 마이그레이션에 관한 의사결정과 처분지침의 통합 등을 결정하기 위한 평가	• 두 조직의 업무 기능을 포괄
새로운 업무 시스템 도입	• 새로운 업무 시스템의 사양에 포함시켜야 하는 기록 요건을 정의하기 위한 평가	• 시스템이 지원하는 업무 기능의 분석에 중점을 두고 평가
조직 전체의 처분 지시서 개발 필요	• 보존기록(archives)으로 선별할 클래스 식별을 위하여 조직 전체 영역에 걸친 처분 규칙(disposition rules)을 개발하기 위한 평가 프로세스	• 전체 영역에 걸쳐 높은 수준의 업무 맥락과 기능, 활동, 요건, 위험을 포함하는 광범위한 분석 필요 • 의사결정의 일관성을 보장하기 위한 작업의 성격 지님 • 영역 전체를 한 단계로 평가할 수도 있고, 영역 내의 여러 조직들과 협력하여 다단계로 평가할 수도 있음

출처: ISO/TR 21946, 5.2조의 내용을 토대로 정리

즉 평가 프로세스를 시작하는 목적에 따라 평가의 범위가 달라지는데, 이는 평가 참여자의 결정에도 영향을 미친다. 예를 들어, 사회적 관점이 집중되는 평가의 경우 외부 행위자의 참여가 많아져야 하고, 업무적 관심만 존재하는 범위에 대해서는 업무 대표자의 참여가 확대될 필요가 있다(ISO/TR 21946, 5.2조).

평가는 기록관리 전문가 업무의 토대이므로 기록전문가 그룹이 평가 활동을 계획하고 주관하여 이끌어 나가는 것이 가장 적절하다. 그러나 평가절차에서는 기록전문가뿐만 아니라 다양한 이해관계자들이 평가에 참여할 수 있도록 해야 한다(ISO/TR 21946, 5.3조).

3. 평가 절차 분석

ISO/TR 21946에서는 기록관리를 위한 평가(Appraisal for managing records)의 개념을 어떤 기록이 생산·획득되어야 하는지, 그 기록을 보존할 방법과 기간을 결정하기 위해 업무 활동을 평가(evaluating)하는 반복적 작업(ISO/TR 21946, 서론)으로 규정했다. 이러한 평가 개념에 따라 평가 프로세스도 기존과 다르게 제시하고 있다. ISO/TR 21946에서는 <그림 1>과 같이 평가 절차를 ‘정보 수집과 분석’, ‘평가(assessment)와 실행’, ‘모니터링’, ‘검토’ 단계로 구분하고 있다(ISO/TR 21946, 그림 1). 또한 각 단계는 순차적일 수도 있고, 동시에 수행될 수도 있으며, 기록의 생산과 획득, 관리에 영향을 미치는 요건이나 환경 변화에 따라 반복되는 과정이다. 즉, 기록 평가는 조직과 업무, 규제 요건, 기술, 사회적 기대의 변화나 기록관리 상의 문제 발생 등과 같은 평가 유발 요인들의 가변적 성격으로 인해 상황에 따른 반복 수행이 필요하다(ISO/TR 21946, 4조).

<그림 1> 기록관리를 위한 평가의 반복 실행(<xref ref-type="bibr" rid="B011">ISO/TR 21946, 그림 1</xref>)

특히 평가의 전 과정 중 정보 수집과 분석, 평가와 실행에 대한 부분이 표준의 상당 분량을 차지하며, 중요하게 다루어지고 있다. 먼저 ISO/TR 21946의 제5장 정보수집과 분석에서는 기록 평가과정의 참여자 결정, 업무에 대한 이해, 기록요건 결정을 위한 구체적인 내용을 다룬다. 그리고 제6장에서는 평가(assessment)와 실행으로 업무 기능과 프로세스에 대한 기록요건 연계, 기록 요건 실행 관련 위험 평가 및 처리 등에 관한 내용을 다룬다. 그리고 제7장과 제8장에서는 모니터링과 검토를 각각의 단계로 구분하고 있다. 이 논문의 3장에서는 ISO/TR 21946의 <그림 1>에서 제시한 기록 평가의 절차에 따른 각 단계별 내용을 살펴보고자 한다(3.1 정보 수집과 분석, 3.2 평가와 실행, 3.3 모니터링과 검토). 다만, 표준에서는 모니터링과 검토를 별도의 단계(표준 7장 및 8장)로 구분하여 도식화하고 있으나, 앞서 행해진 평가 결과에 대한 지속적인 모니터링과 시정조치로 보고 이 장에서는 하나의 절(3.3)로 함께 다루고자 한다.

3.1 정보 수집과 분석 3.1.1 평가 범위와 참여자 결정

평가 프로세스의 시작 단계에서는 평가 범위를 명확하게 규정하여야 한다. 이 범위는 <표 4>와 같이 여러 평가 유발 요인(trigger events)과 평가 참여자의 역할 및 책임에 영향을 받는다(ISO/TR 21946, 5.2조). 또한 평가 범위 설정과 함께 평가 참여자를 결정하여야 한다. 기록전문가 그룹의 계획과 주관하에 조직 내·외부의 여러 그룹이 평가 과정에 반드시 참여하여야 한다. ISO/TR 21946에서는 평가 참여자 사례를 <표 5>와 같이 제시하고 있다. 평가 프로세스에 다양한 내·외부 관계자의 참여를 정의한 것은 평가 프로세스가 조직의 업무와 위험관리 전반에 영향을 미친다고 보기 때문이다.

평가 관련 내·외부 관계자 예시를 보면, 조직 내에서는 조직 대표 및 업무별 전문가(정보, 법률, 전산 등)가 포함되며, 조직 외에서는 고객 및 외부 감시 기구와 분야별 전문가(개인정보, 정보보안), 조직 활동의 영향을 받는 개인 이나 집단 등이 포함된다. 특히 외부 관계자 중 정보공개 및 알 권리 옹호 단체도 참여할 수 있는데, 만약 기록관리에 대한 사회적 기대 변화에 따라 평가가 실시되었다면 이들 집단의 참여를 통해 평가의 실효성을 높일 수 있을 것이다. 한편 기록의 대상, 즉 기록주체(the subjects of records)¹⁾가 되는 개인도 평가에 참여할 수 있다. 이렇게 다양한 외부 관계자의 참여 필요성을 명시한 것은 조직의 사회적 책임을 기록 평가프로세스에 반영해야 한다는 것으로 이해할 수 있다.

<표 5> 조직 내·외부 행위자 및 이해관계자 사례

내부 관계자

외부 관계자

• 업무 대표자

• 법률대리인

• 고위/최고 관리자

• 거버넌스 기구(이사회, 감사원 등)

• 개인정보 담당자, 사서, 정보공개 담당자 등 데이터 관리 및 보존 전문가

• 커뮤니케이션 전문가

• 정보 기술 전문가

• 주주, 고객

• 외부 감사, 규제 당국

• 주제 전문가, 전문 협회 및 학계

• 기록관리기관의 대표자

• 정보공개, 알 권리 옹호 개인/시민단체(transparency advocates)

• 개인정보보호 및 정보보안 전문가

• 정부/기업 활동의 영향을 받는 개인/집단

• 기록의 대상, 즉 기록주체(the subjects of records)인 개인(예: 정부보조금을 받은 개인 등)

출처: ISO/TR 21946, 5.3조의 내용을 토대로 정리

3.1.2 정보 수집

기록 평가 초기 단계에서는 조직의 이해관계자 파악을 포함하여 조직과 관련한 정보를 수집하여 기록 평가 프로세스 전반에 걸친 다양한 유형의 분석에 활용하여야 한다. ISO/TR 21946에서는 크게 문서 자료와 인물 관련 자료로 나뉜다. 문서 자료로는 조직도, EA(Enterprise Architecture) 문서, 위험 등록부(risk registers), 정부 보고서, 감사보고서, 기록관리용 기존 시스템 목록 및 시스템 설명서, 언론 보도자료 등이 있으며, 인물 관련 자료로는 업무 담당자 및 이해관계자와의 인터뷰 기록 등 다양한 출처의 정보들을 예시로 들고 있다(ISO/TR 21946, 5.4조). 이 단계에서는 기록 평가프로세스에서 파악해야 할 광범위한 기록 요건과 위험들을 포괄하기 위해 조직 내·외의 인물은 물론 다양한 출처의 정보원을 조사·분석하도록 하였다.

3.1.3 업무 분석

업무 분석은 앞 단계에서 확인한 정보 출처와 관련 인물과의 인터뷰에 기초하여 이루어진다. 구체적으로는 업무 맥락 분석 및 기술 맥락(technological context) 분석, 기능 분석, 순차 분석, 행위자 식별, 주요 업무 영역 확인이 있다(ISO/TR 21946, 5.5조, 5.6조, 5.7조, 5.8조, 5.9조, 5.10조). 각 단계의 분석 과정과 결과는 환경의 변화에 대응하여 주기적으로 문서화되고 검토되어야 한다. 또한 이렇게 업무 분석의 결과로 기록된 문서들은 평가와 관련한 조직의 의사결정을 지원하고 타당성을 뒷받침해 준다. ISO/TR 21946에서 제시한 업무 분석 단계별 설명과 고려해야 할 사항들의 예시를 정리하면 <표 6>과 같다.

<표 6> 단계별 업무 분석 내용 및 고려 사항

구분	내용	분석 대상 및 고려 요소(예시)
업무 맥락 분석	조직 운영에 영향을 미치는 내·외부 요인	• 조직의 행위 및 전략적 방향 • 적용되는 운영상의 요건 및 규제 요건 등 • 자원 • 이해관계자 요구사항 • 관리 대상 위험 전반 • 상위 기능 및 작업 프로세스
기술 맥락 분석	기존 사용 중인 기술(technologies)	• 독점 기술 및 타 영역과의 협업 기술 • 기존에 사용 중인 시스템 • 아웃소싱 서비스(클라우드 기반 기술 등) • 필수/우선 이행 기술 표준 • 기록 및 정보 처리/보존 포맷 • 기존 기술과 시스템, 표준 관련 유효 정보
기능 분석 및 순차 분석	(기능 분석) 조직 목표와 목적에서 처리행위 분석으로 내려가는 하향식 분석 (순차 분석) 기능 분석을 보완하며, 업무 프로세스의 순차와 타 업무 간 연계사항을 지도화 함	• 조직의 목표와 전략 • 목표 달성을 위한 조직의 기능 • 기능을 구성하는 조직의 과정 • 각 과정의 모든 구성 요소 • 과정 내에서 처리행위의 순차 • 다른 과정과의 연계사항 　※ KS X ISO TR 26122 참조
행위자 식별	기록 생산과 획득, 관리 프로세스를 책임지거나 그에 관여하는 개인, 그룹, 조직	• 업무 담당자 • 기록관리 담당자 • 정기적으로 기록 프로세스를 수행/유발하는 S/W APP 등(예: 교통신호의 오작동 시 정비 기관으로 신호 수리 프로세스를 유발하는 자동 메시지 전송)
주요 업무 분야 확인	조사된 이해관계자 그룹과 수집 정보, 업무 분석에 근거하여 주요 업무 분야를 중요도에 따라 파악함	• 규정 미준수에 따른 불리한 규제사항이 큰 분야 • 영역 간 관련이 많거나 수준 높은 의사결정이 필요한 분야 • 논쟁의 여지가 있거나 대중의 관심이 큰 분야 • 대규모 건설 사업이나 환경에 직접적 영향이 큰 분야 • 개인에게 강한 영향을 주는 행위 및 서비스(건강, 시민권, 재산권 등)

출처: ISO/TR 21946, 5.5조∼5.10조의 내용을 토대로 정리

업무 맥락 분석에서는 조직의 업무 활동에 영향을 미치는 여러 요인들을 파악한다. 기술맥락 분석은 조직이 사용 중인 기술과 표준, 시스템 등을 확인하여 향후 기록 생산과 관리를 위한 기술적 대응 방향을 제안하고, 평가 결과의 활용 단계에서 기술설계 및 실행을 지원해 준다. 기능 분석과 순차 분석의 기본 수행 단계는 기록을 위한 업무과정 분석 표준인 ISO/TR 26122를 참조하도록 안내하고 있다. 특히 주요업무 영역 확인 단계에서는 평가 프로세스 내 모든 업무 중 다른 영역보다 중요한 업무 분야를 확인하여 평가 프로세스 실행에 우선순위를 부여한다. 주요 업무 영역은 조직마다 또는 조직이 처한 환경에 따라 다를 수 있으며, 조직의 대표자나 고위 경영진의 합의나 승인을 필요로 한다.

3.1.4 기록 요건 결정

기록 요건(records requirements)은 업무 활동의 증거 또는 정보 자산으로서 기록을 생산 및 획득, 관리를 할 때 충족시켜야 할 조건을 말한다. 이는 앞 단계에서 진행한 업무 활동 분석 및 맥락에 근거하여 추출해야 한다(ISO/TR 21946, 5.11조). 기록 요건에는 업무상 요건, 법규상 요건, 사회적 기대 요건이 있으며, 각 요건별 결정을 위한 자료 출처 정보와 사례를 정리하면 <표7>과 같다.

기록과 관련한 업무상의 요건 결정은 기록을 조직의 업무 자산으로 활용할 수 있도록 하며, 조직의 업무성과 향상에 도움이 된다. 이 요건 들은 어떤 기록이 생산되어야 하며, 얼마 간 보관되어야 하는지와 같은 처분지침에 대한 의견이나 접근 권한 등의 승인 요건과 시스템 설계 요건 식별에 활용될 수 있다. 법규상 요건은 조직 내외의 규제 환경에 따른 기록 접근과 보유에 대한 의사결정에 영향을 줄 수 있다. 따라서 기록 평가프로세스에서는 기록과 관련한 개인정보보호, 정보보안, 상업적 이익, 정보 접근권 등에 대한 구체적인 법규상 요건들을 검토하여야 한다. 그 외에도 조직은 사회에 대한 책임과 기대에 따른 다양한 요구사항들을 파악하고 기록 요건으로 포함시켜야 한다. 이렇게 도출된 기록 요건의 실행은 조직의 위험 평가 및 처리와도 연계될 수 있다.

3.2 평가(assessment)와 실행

ISO/TR 21946에서는 기록 요건을 결정한 후에 해당 요건을 조직의 업무와 연계하는 작업을 수행하도록 하고 있다. 이 작업은 도출된 기록 요건들을 업무 맥락 내에 위치시키는 작업으로, 이를 통해 요건 충족과 관련한 책임 소재 확인, 충족 여부 및 방법에 대한 평가, 모니터링 등이 가능하다. 또한 요건 충족 여부와 관련한 추가적인 위험 평가를 통해 조직 경영진이 요건 충족 여부 정보에 근거한 의사결정을 할 수 있도록 돕는다. 표준 제6장 평가와 실행에서는 업무 기능과 기록 요건 연계, 기록 요건 실행 관련 위험 평가 및 처리, 평가 프로세스의 문서화, 평가 결과의 활용을 다루고 있다(ISO/TR 21946, 6장).

3.2.1 업무 기능과 기록 요건 연계

기록 요건은 업무 관련 위험 평가와 업무 프로세스나 업무 기능, 활동 또는 트랜잭션과 연계되어야 한다. 업무 기능과 기록 요건 연계 시에는 다음과 같이 몇 가지 유의사항이 있다(ISO/TR 21946, 6.2조).

<표 7> 기록 요건 결정을 위한 출처정보 및 사례

구분	출처	사례
업무상 요건	• 업무 계획 • 조직 정책 및 절차 • 공정도(process diagrams) • 계약서 • 유사 업무 활동에 대한 타 영역에서의 평가 결과 • 업무 행위자와의 면담	(서비스 부서의 고객 문의 대응을 위한) • 제품 설명서 생산 의무 • 해당 제품 설명서를 기록으로서 필요기간 동안 획득·관리해야 할 의무 • 해당 기록의 실시간 이용 가능성 • 고객 서비스 직원의 업무 목적 내 접근권한 • 지식자원으로 활용 가능한 업무시스템
법규상 요건	• 증거, 기록, 접근권, 개인정보, 정보보호, 전자상거래 관련 법률 및 규정 • 법규 및 판례, 선례에 근거한 내부 결정 • 회계사, 고위 임원 및 법무 담당자 등 법규 및 지침, 산업표준 전문가와의 면담	• 개인정보 보호법에 따른 개인정보파일 등록·공표 의무 • 개인정보의 최소 수집 의무
사회적 기대 요건	• 기록 및 설명책임 관련 언론자료 • 국회 의사 진행 중인 정치적 논의사항 • 공공기관 민원 접수 및 처리사항 • 학술자료 및 소셜미디어 동향 • 과거 정부나 기업활동에 영향을 받은 전문가, 정보공개 단체 등	• 정부를 대상으로 민원을 제기한 민원인의 민원 기록 서비스의 적정 수준 및 온라인 이용권에 대한 기대 • 소셜미디어 이용자의 기업에 대한 개인정보 열람권과 엄격한 보안 수준 향상에 대한 기대 • 연구 목적의 정보 이용권에 대한 기대

출처: ISO/TR 21946, 5.11조의 내용을 토대로 정리

(1) 기록 요건은 기록 생산, 획득, 관리의 모든 측면과 관련된다.

(2) 기능이 아웃소싱될 경우, 기록 요건은 IT서비스 제공자 등 제3자의 활동과 연계되며 제3자도 기록 요건 실행에 대한 계약상 의무를 진다.

(3) 조직은 평가 과정에서 확인된 기록 요건에 따라 기존 기록의 생산 여부를 확인 할 수 있으며, 그 결과에 따라 업무 분석에서 재작업을 수행할 수도 있다.

(4) 평가 프로세스의 범위에 따라 평가 행위자의 관점이나 목적에 영향을 받을 수 있다.

평가 프로세스의 범위와 목적에 따라 기록 요건은 복수의 또는 단일의 업무 프로세스 및 순차 분석의 결과나 여러 기능 간 다중 계층 분석의 결과와 같은 업무 활동 분석 결과와 연계할 수 있다. 또한 이용 가능한 도구와 자원, 정보 포맷에 따라 기록 요건과 업무 프로세스 간 연계 방식도 다양하다. 예를 들면 스프레드시트나 데이터베이스, 기록 통제 도구 설계 전문소프트웨어 등이 있다.

3.2.2 위험 평가 및 처리

선행 단계에서 확인된 기록 요건의 충족 여부 결정은 위험 평가에 근거해야 한다. 위험은 요건으로 확인된 기록을 생산, 획득, 관리하지 않거나 생산된 기록을 요건에 맞게 획득, 관리하지 않는 것과 관련된다. 위험을 분석하고 평가할 때 사건의 발생 가능성과 그 결과, 위험 처리에 따른 비용 등을 함께 검토해야 한다(ISO/TR 21946, 6.3조).

위험이 초래하는 결과는 유형(예: 정식 기소 또는 처벌) 혹은 무형(예: 명예훼손)일 수 있다. 조직은 이러한 위험을 평가하고 처리함으로써 구체적인 정보에 입각하여 위험을 관리하고 위험 완화를 위하여 어느 정도의 자원을 투입할지 결정할 수 있다. 또한 조직은 기록관리 시스템 개선 등을 통한 업무 효율 증진과 같은 부가적인 이점도 기대할 수 있으며, 관련 자원의 투자를 정당화하는 근거로 활용할 수도 있다. 한편 위험 분석과 평가를 위하여 ISO/TR 18128을 참고할 수 있는데, 이 기술보고서에서는 기록 프로세스 및 시스템과 관련된 위험에 적용할 수 있는 위험관리 프로세스에 대한 지침과 예시를 제시한다.

3.2.3 평가 프로세스의 문서화

기록 평가 프로세스 수행의 각 단계별 결과는 반드시 문서화되어야 한다. 평가 프로세스의 문서화는 조직의 의사결정에 대한 (1) 설명 책임을 보장하고, (2) 평가 실행과 관련한 결과 논의, (3) 특정 업무 활동에서 기록이 생산, 관리되는 이유에 대한 향후 연구와 같은 목적을 위해 매우 중요한 작업이다. 문서화 방법으로는 조사 결과의 공식 보고서, 기록 요건 및 위험 프로파일 등의 상세 문서, 업무 활동의 계층적/순차적 기술, 기록 요건과 업무 프로세스 연계와 같이 다양하지만 정보의 분석과 재사용이 용이하도록 가능한 구조화된 방법으로 관리하여야 한다(ISO/TR 21946, 6.4조). 이처럼 승인된 형태의 평가 프로세스 결과 문서는 추후에 발생 가능한 평가의 반복 수행에서 참고할 정보원이 될 수도 있다.

3.2.4 기록 평가 결과의 활용

평가 프로세스의 결과는 그 목적, 범위 및 관련자들에 따라 달라지며, 기록 평가를 활용한 산출물(products of appraisal)의 실행 방법 역시 업무 환경, 가용 자원 및 기록의 성격에 따라 달라진다. 기록 평가의 결과는 업무적, 법규적, 사회적 맥락의 문서화 및 업무 이력, 기능적/순차적 업무 분석, 위험 평가 및 완화 전략, 업무 관련 기록 요건 등을 포함한다. 기록 평가결과는 <표 8>과 같이 기록 시스템이나 기록 통제도구의 설계와 실행, 기록의 식별, 기록관리와 관련한 정책 및 절차의 제/개정 목적으로 다양하게 활용될 수 있다. 이러한 기록 평가 결과를 활용한 산출물들의 실행은 조직 내 역할 부여, 훈련 및 지속적인 모니터링이 함께 수반되어야 한다(ISO/TR 21946, 6.5조).

<표 8> 기록 평가 결과의 활용 목적 및 사례

목적	사례
시스템 및 도구 설계/실행	• 기록 시스템 설계/실행 • 기록 메타데이터 스키마 설계/실행 • 업무 분류 체계 설계/실행 • 접근 및 사용 권한 규칙 설계/실행 • 처분 지침 설계/실행
기록 식별	• 기록관리 전문기관으로의 이관 대상 기록 식별 • 개인정보 포함 기록 식별 • 공개/비공개 정보를 포함한 기록 식별
정책 및 절차 제·개정	• 업무 운영 절차 • 기록 생산 및 관리 정책/절차 • 정보 거버넌스 정책/절차 • 개인정보 및 정보보안 정책/절차 • 마이그레이션 전략 정책/절차 • 업무 연속성 계획 정책/절차 • 위험 관리 계획 정책/절차

출처: ISO/TR 21946, 6.5조의 내용을 토대로 정리

3.3 모니터링과 검토

기록 평가와 그 결과를 활용한 산출물의 실행은 지속적인 모니터링, 검토 및 시정조치가 필요하다. 기록 평가 결과와 관련해서 실행되고 있는 산출물들이 효과적으로 운영되고 있는지 여부와 업무 자체의 변경 사항 또는 업무수행 맥락 변경 등은 새로운 평가 프로세스의 범위 지정이나 평가 프로세스 개시를 유발할 수 있으므로, 정기적인 모니터링이 필요하다. 효과적인 모니터링과 검토를 지원하기 위해서 모니터링 대상, 관련 인물 그룹, 분석 및 평가(evaluation)방법, 수행 빈도, 결과 분석 시기 등을 검토해야 한다(ISO/TR 21946, 7장). 지속적인 모니터링과 분석은 ISO/TR 21946에서 나타난 기록 평가의 특성인 반복성을 뒷받침해준다.

조직은 모니터링 분석 결과를 바탕으로 대응 방법에 관한 의사결정을 내린다. 또한 앞서 수행한 평가 프로세스와 마찬가지로 모니터링 활동의 분석 결과 역시 문서화 되어야 하며, 평가 결정의 적절한 실행을 보장하기 위해 지속적인 검토와 수정이 필요하다. 모니터링 결과로 기록 평가 결과의 산출물이 효과적으로 실행되지 않았다고 판단할 경우, 적절한 시정조치를 취할 수도 있다. 예를 들면, 생산되어야 할 기록이 제대로 생산되지 않을 경우, 기존의 업무 프로세스를 변경하여 업무 프로세스 연속 상 업무별 작업 처리 후, 미리 정의된 기록의 생산, 획득 요건을 필수적으로 설정하는 것이다(ISO/TR 21946, 8장).

4. 평가 절차 적용 방안 및 사례 4.1 평가 개념과 범위 재설정

앞에서도 밝혔듯이 ISO 15489 개정판(2016)에서는 기존의 기록 평가(appraisal) 개념을 확장하였다. <표 9>와 같이 국내 공공기록물 관리 표준에서는 ISO 15489-1 및 ISO/TR 21946과 달리 기록 평가에 대한 개념을 기록관리 전문기관(기록관, 영구기록물관리기관)으로 이관된 기록의 보존기간이 만료되었을 때 최종 폐기 여부를 판단하는 과정으로 정의 하고 있다. 반면에 ISO/TR 21946에서는 기록 평가를 조직 내·외의 다양한 이해관계자와 함께 조직의 업무를 분석하여 조직 운영에 필요한 기록으로서 생산, 관리해야 할 대상의 범위를 정하고, 이 기록을 얼마간 그리고 어떻게 관리하는지에 대한 반복 작업의 개념으로 보고 있다.

<표 9> 국내 법규와 국제표준의 평가 개념 비교

국내 법규	보존기간이 만료된 기록물을 대상으로 행정적·사회적·역사적 가치를 검토하여 보존여부를 판단하는 업무절차(NAK5-1 2014(v2.2), 3 용어정의)
국제 표준	생산되어야 할 기록을 어떻게 얼마 동안 기록으로 보존할 것인지와 같이 어떤 기록을 생산·획득해야 하는지를 결정하기 위해 업무 활동을 평가하는 반복 작업(ISO/TR 21946, 서론)

기존의 기록 평가 개념은 기록관리 전문기관 영역 내 일부 업무에 한정되어 있다. 하지만 새로운 국제표준에 따른 평가는 조직의 업무 활동 분석에 초점을 맞추고 있으며, 조직 전체의 업무 활동 및 위험 분석·처리 등을 포함한 광범위한 영역의 업무를 의미하며, 환경변화에 따라 반복 수행하는 작업으로 규정되어 있다.

그렇지만 ISO/TR 21946의 기록 평가 프로세스가 국내 공공기록물 관리 영역과 완전히 동떨어진 개념은 아니다. 국제표준에서 제시하는 프로세스 중 일부 기능은 현재 국내 공공기록물 관리 영역에서도 수행 중이다. 다만 국내 공공기록물 관리에서는 ‘기록 평가’를 기록처분(disposition)의 개념으로 한정하여 해당 개념과 범위, 처리절차 등을 정의하고 있으며, ISO/TR 21946에서 포함하고 있는 기록 평가의 과정과 절차 일부는 기록 평가외 다른 기록관리 업무 영역으로 구분하여 개별적으로 운영 하고 있다.

ISO/TR 21946의 항목별 평가 실행 절차와 국내 현행 공공기록물 관리 법령 및 표준, 지침을 대조하면 <표 10>과 같다. 먼저 평가의 범위에서 앞서 살펴본 바와 같이 ISO/TR 21946에서는 기록이 생산되기 전 어떤 기록을 생산·획득해야 하는지를 결정하기 위해 업무 활동을 평가하는 과정부터 기록 평가의 범위에 포함시킨다. 하지만 국내 기록관리 제도에서는 기록 평가와 기록의 생산, 관리에 관한 내용을 따로 구분지어 정의하고 있다. 국제표준에서 정의한 기록평가의 개념이 국내 기록관리 법령인 「공공기록물 관리에 관한 법률」에서는 제4장(기록물의 생산)과 제5장(기록물의 관리)에서 나타나고 있으며, 기록의 생산부터 보존, 관리, 폐기에 이르는 전 과정을 포함하고 있지만, 국제표준에서 제시한 범위 중 극히 일부에만 해당한다.

<표 10> <xref ref-type="bibr" rid="B011">ISO/TR 21946</xref> 항목별 국내 공공기록물 평가 제도 비교

구분	ISO/TR 21946	국내 공공기록물 관리 제도
평가의 정의	어떤 기록을 생산·획득해야 하는지를 결정하기 위해 업무 활동을 평가하는 과정 전체 [ISO/TR 21946, 1, 5.2]	보존기간이 만료된 기록물을 대상으로 행정적·사회적·역사적 가치를 검토하여 보존여부를 판단하는 업무절차* [NAK5-1 2014(v2.2), 기록물 평가 폐기 절차-제1부 기록관용(v2.2), 3 용어 정의] ※ ISO 15489-1(2016)의 기록 처분(disposition)**과 유사 개념 [ISO 15489-1:2016, 3. Terms and definitions, 3.8 disposition]
평가 참여자 결정	평가 프로세스 전반에 조직 내·외부의 다양한 관계자가 참여할 것을 규정함 [ISO/TR 21946, 1, 5.3]	기록 처분에 관한 업무에 한정하여 기록물평가심의회에 민간위원을 포함하도록 규정함 [ 「공공기록물 관리에 관한 법률」 제27조의2(기록물평가심의회)]
업무 분석	업무에 대한 이해는 ISO 26122의 기록을 위한 업무과정 분석을 주로 인용함 [ISO/TR 21946, 5.4 ∼ 5.10]	국제표준인 ISO 26122를 그대로 채택한 국가표준 KS X ISO 26122에 따라 업무과정을 분석함 [KS X ISO 26122 문헌정보-기록을 위한 업무과정 분석]
평가와 실행	‘업무와 기록요건 연계’, ‘위험평가와 관리’, ‘평가의 문서화’, ‘평가 결과 활용’에 대한 내용을 규정함 [ISO/TR 21946, 6]	「공공기록물법」 에서는 기록요건에 관한 사항들을 규정하며, ｢ 정부기능의 분류 및 관리에 관한 규정 ｣ 에 따라 업무와 기록요건의 연계에 관한 사항을 규정함. 반면, 위험평가와 관리에 관한 제도는 미비함 [ 「공공기록물 관리에 관한 법률 시행령」 제25조 ∼ 제31조]
모니터링 및 검토	업무 자체의 변화 등을 반영한 새로운 평가 프로세스의 조정 및 개시 여부를 지속적으로 모니터링하고 검토함. [ISO/TR 21946, 7 ∼ 8]	-

다음으로 평가 참여자 결정에 관한 내용과 관련하여 국내 기록관리 제도에서 구체적으로 명시하고 있는 부분은 법률 제27조의2(기록물평가심의회)에서 “공공기관의 장 및 영구기록물관리기관의 장은 보존 중인 기록물의 평가 및 폐기를 위하여 민간전문가를 포함한 기록물 평가심의회를 구성·운영하여야 한다.”는 내용이다. 그 외 공공기록물 관리 영역에서 법률상 기록관리의 주체는 ‘공공기관’으로 규정되며, 구체적인 참여자 결정에 대한 규정사항은 없다. 또한 업무에 대한 이해와 관련하여 국내기록관리 제도에서는 국제표준과 유사하게 국가표준인 KS X ISO 26122를 적용하고 있다.

국제표준의 평가와 실행에 해당하는 ‘업무와 기록요건 연계’, ‘위험평가와 관리’, ‘평가의 문서화’, ‘평가 결과 활용’에 해당하는 국내 기록관리 제도로는 「공공기록물 관리에 관한 법률 시행령」 제5장제1절(기록물 관리기준)이 있다. 공공기록물법시행령 제5장제1절에서는 기록관리기준표와 보존기간, 공개여부의 구분관리, 접근 권한 관리, 보존방법, 보존장소, 비치기록물의 지정에 관한 사항을 규정하고 있다. 또한 공공기록물법에서 규정한 기록관리기준표는 「정부기능의 분류 및 관리에 관한 규정」에 따른 정부기능분류체계의 단위과제별로 작성하는 것을 원칙으로 하되, 공개 여부 및 접근 권한 등은 공공기관별로 달리 정할 수 있도록 규정하고 있다. 그 외에 ISO/TR 21946의 평가 실행 과정 중 하나인 위험평가 및 관리, 평가 과정에 대한 모니터링과 검토에 관한 부분은 국내 기록관리 제도로 규정되어 있는 부분은 없다.

기록 평가 국제표준을 국내 공공기록물 관리영역에 적용하기 위해서는 우선 기존의 기록 평가개념 정의에 대한 재고가 필요하다. ISO/TR 21946에서 정의한 기록 평가의 개념이 기록의 생산 이전단계를 포함한 업무 활동 평가의 반복 작업이라는 점에서 기록 평가의 범위 확장이 선행되어야 한다. 이를 위해 기존 국내 기록관리 법령 및 표준에서 정의하고 있는 기록 처분 개념의 기록 평가에서 벗어나 좀 더 광범위한 기록관리 전반의 영역에 걸친 평가 개념으로 국내 기록관리 법령과 국가표준 및 공공표준 등의 재정비가 필요하다.

4.2 평가 절차 적용 사례

이 절에서는 국내 공공기록물 관리 영역의 평가에 제3장에서 정리한 ISO/TR 21946의 평가 프로세스를 적용한 사례를 살펴보고자 한다. 구체적으로는 대학의 사례로 대학의 여러 업무 중 ‘시험 및 성적관리’ 업무에 대한 평가 프로세스를 순차적으로 실행해보고, 기록 평가국제표준의 적용 가능성을 살펴보았다.

4.2.1 기록 평가 프로세스 개시 및 사전 준비

대학의 업무 중 ‘시험 및 성적관리’ 업무는 대학마다 해당 업무를 수행하는 부서와 범위에 약간의 차이가 있을 수 있지만 대체로 대학의 학사과에서 수행하는 업무로 크게 시험관리, 성적관리, 학사경고와 같은 범위의 세부 업무를 다룬다. ‘시험 및 성적관리’ 업무도 앞의 <표 3>에서 제시한 평가 프로세스를 유발하는 요인들로 인해 평가 프로세스가 개시될 수 있다. 예를 들면 시험 및 성적처리 관련 기록의 무단 폐기 사건이 해당 업무에 대한 평가 프로세스를 개시하는 요인(trigger events)이 될 수 있다. 이러한 평가 유발 요인에 따라 평가가 개시되면 평가의 범위는 ‘시험 및 성적관리’ 업무의 기록관리 개선 목적의 처분 지침 개발 및 운용을 위한 것으로 업무 영역 전체에 걸쳐 업무 맥락과 기능, 활동, 기록 요건, 위험 평가 등을 광범위하게 포괄한다. ISO/TR 21946에 따른 대학의 ‘시험 및 성적관리’ 업무 관련 평가 프로세스 절차를 도식화하면 <그림 2>와 같다.

4.2.2 정보 수집 및 분석

대학의 ‘시험 및 성적관리’ 업무에 대해 ISO/TR 21946의 평가 프로세스 첫 번째 단계인 정보 수집 및 분석을 수행하여 평가 범위, 평가 참여자와 관련 정보 출처들을 정리하면 <표11>과 같다. 이 단계에서는 대학 내·외부 관련 인물 그룹과 업무 관련 상위 법규 및 지침, 업무 연계 시스템과 같은 다양한 정보를 수집·분석하여야 한다. 대학의 시험과 성적관리는 대학에서 교수와 학생 간 강의 진행 후 사후 평가를 위한 업무로, 시험 출제 및 성적 평가를 주관하는 ‘교수’와 시험 응시자이면서 성적 피평가자인 ‘학생’이 주된 관련 인물이다. 또한 시험 및 성적처리 과정에서 각 학과의 조교, 학사과의 업무담당자, 성적의 전산 처리를 위한 학사관리시스템 담당자 등이 내부 관련자 그룹에 포함된다. 그 외에 성적 확인 및 통지와 관련되는 학부모, 국내 대학 행정업무 관련 법령과 기준 제시 및 감사 등을 관할하는 교육부(대학학사제도과)도 외부 관련자 그룹에 포함될 수 있다. 또한 ‘시험 및 성적관리’ 업무와 관련하여 수집해야 할 정보로는 「고등교육법」 및 그에 기초한 대학의 자체 학칙과 학사운영 규정, 시험 및 성적관리 지침 등의 법규와 성적 및 학적 사항의 전산 처리를 위한 시스템인 학사관리시스템 등이 있다.

다음으로 ‘시험 및 성적관리’ 업무 분석 결과를 정리하면 <그림 3>과 같이 도식화해 볼 수 있다. 이 단계에서는 ‘시험 및 성적관리’ 업무 담당자와의 면담 기록과 근거 규정을 토대로 업무 맥락 분석과 기술 맥락 분석, 기능 및 순차분석, 행위자 및 주요 업무 분야를 파악하였다. 이를 위해 우선 해당 업무를 순차적인 세부 업무별로 분해하여 계층적 구조를 파악하였다. 또한 업무별 관련 행위자와 주요 생산기록물, 연계 시스템 및 업무를 함께 조사하였다.

<그림 2> ‘시험 및 성적관리’ 업무의 평가 프로세스

<표 11> ‘시험 및 성적관리’ 업무의 평가 범위 결정 및 정보 수집(사례)

구분		내용
평가 범위		‘시험 및 성적관리’ 업무에 관한 처분 지침 개발 및 운용을 위한 평가 프로세스로, 업무 영역 전체에 걸쳐 업무 맥락과 기능, 활동, 기록 요건, 위험 평가 등을 광범위하게 포괄함
상세 업무*		(시험관리) 중간, 기말시험 실시계획을 수립 및 공고하고 성적산출 및 성적경고대상자 처리, 착오나 누락된 성적정정 및 졸업생의 석차 처리 등의 각종 성적관리 업무(성적관리) 학생들의 수학 정도를 평가하여 성적을 기록하고, 장학생 선발, 성적 증명의 자료로 활용하기 위한 업무(학사경고) 시험, 성적처리 결과 학사경고에 해당하는 학생에게 학사경고를 취하고, 관련 정보를 학사일정에 적용하여 관리하는 업무
관련 인물 및 그룹	내부	교수, 강사, 학과 조교, 학사과, 교무과, 학생장학과 업무담당자, 학사관리시스템 담당자, 개인정보 및 정보보안 담당자
	외부	학생, 학부모, 교육부(대학학사제도과), 학부모 교육 시민단체
정보 수집을 위한 출처		고등교육법, ○○ 대학교 학칙, ○○ 대학교 학사운영 규정, ○○ 대학교 시험운영 지침, 학사관리시스템 설명서

* 참조: 교육부 (2018). 2018년 대학 기록물 보존기간 책정기준 가이드

<그림 3> 대학의 ‘시험 및 성적관리’ 업무 분석 사례

‘시험 및 성적관리’ 업무는 크게 시험실시 계획을 수립한 후, 시험 문제 출제, 시험실시, 성적 평가, 성적 열람 및 정정, 성적 확인 및 통지순으로 세부 업무가 진행된다. 이 과정에서 학사과 업무담당자와 교수, 학생, 학사관리시스템 담당자, 학적관리 담당자 등이 행위 주체 또는 협조자가 되며, 주요 기록물로 시험운영 계획, 시험지와 답안지, 성적전표, 성적 정정 신청서, 성적통지서 등이 생산된다. 또한 해당 업무가 수행되는 동안 또는 수행된 후 학사관리시스템과 증명서발급시스템, 학적관리 업무, 장학관리 업무 등이 연계 가능한 시스템과 업무인 것으로 파악하였다. 특히, 대학이 최근 투명한 성적처리와 관련한 사회적 이슈에 민감하다면 ‘출결관리’와 ‘시험 실시’ 세부 업무나 생산된 답안지의 보존이나 관리를 다른 영역보다 중요한 업무로 간주할 수도 있다.

‘시험 및 성적관리’ 업무와 관련한 기록 요건은 <표 12>와 같이 정리해 볼 수 있다. 기록의 생산, 획득, 관리를 위한 업무상 요건이나 법규상 요건, 사회적 기대 요건들을 포함한다. 세부적으로는 생산 시점, 생산 유형, 보유기간, 기록에 대한 접근권한 등으로 “성적전표가 시험 종료 후, 성적 입력 기간 내에 전자파일 형태로 작성·제출되어야 한다.”, “시험답안지는 3년 이상 보존하여야 한다.” 등으로 관련 업무 처리절차상 또는 규정상 준수해야 할 사항들을 포함한다. 또한 이 단계에서 업무 담당자와의 면담을 통해 파악 가능한 업무상 기록 요건과 관련 규정에서 필수적으로 준수해야 할 법규상 요건들을 모두 포함하여야 한다.

<표 12> ‘시험 및 성적관리’ 업무의 기록 요건 결정 사례

기록 요건	출처
• 성적전표는 학기말시험 종료 후 성적 입력기간 내에 전산입력 및 작성·제출하여야 한다.	학사팀장과의 면담 (2019. 9. 15.)
• 시험과 성적에 관한 정보는 학사관리시스템상의 전자파일로 보유되어야 하며, 학생 계정을 통해 볼 수 있어야 한다. • 학생의 성적 정보는 학생 제증명 발급시스템과 연계되어야 한다. • 학사경고에 해당하는 학생 정보는 학적부에 기록·관리하여야 한다. • 시험 및 성적관리와 관련한 학생 개인정보는 ‘학사관리’ 개인정보파일로 일괄 작성·관리한다.	학사팀장과의 면담 (2019. 9. 15.)
• 시험답안지는 3년 이상 보존하여야 한다.	○○ 대학교 학사운영 규정

4.2.3 평가 및 실행

이 단계에서는 앞서 정보 수집 및 분석 단계에서 파악한 ‘시험 및 성적관리’ 업무의 기록 요건을 업무 맥락과 연계하고, 업무 처리 시 발생할 수 있는 위험 평가를 수행한다. 먼저 <표 13>과 같이 기록 요건과 업무 프로세스, 영향 관계에 있는 시스템 및 규정 등을 묶어서 정리해 볼 수 있다. 이 단계에서는 업무 프로세스별 기록 요건과 관계되는 시스템이나 규정들을 확인한다. 예를 들면, 학생의 성적은 학적관리를 위한 학사관리시스템과 성적 증명을 위한 제증명 발급시스템과 연계되어야 하며, 경우에 따라 학사경고자에 대한 학적관리, 성적우수자에 대한 장학관리 등의 업무와도 영향을 주고받게 된다. 또한 ○○대학교가 운영 중인 학사관리시스템이 유지 보수를 위해 외주업체와의 업무 협약을 체결하고 있다면 해당 외주업체도 <표 13>에 포함된 시스템 관련 기록 요건 실행에 관한 계약상 의무를 지며, 기관 간 상호 계약 조건에 포함시켜야 한다.

<표 13> ‘시험 및 성적관리’ 업무의 기록 요건과 업무 프로세스 연계 사례

기록 요건	업무 프로세스	관련 시스템 및 규정
• 성적전표는 학기말시험 종료 후 성적 입력기간 내에 전산입력 및 작성·제출 하여야 한다.	성적전표 작성·제출	학사관리시스템
• 시험과 성적에 관한 정보는 학사관리시스템상의 전자파일로 보유되어야 하며, 학생 계정을 통해 볼 수 있어야 한다. • 학생의 성적 정보는 학생 제증명 발급시스템과 연계되어야 한다. • 학사경고에 해당하는 학생 정보는 학적부에 기록·관리하여야 한다. • 시험 및 성적관리와 관련한 학생 개인정보는 ‘학사관리’라는 개인정보파일로 일괄 작성·관리한다.	성적 열람/확인 학적부 관리 장학 관리	학사관리시스템 증명서발급시스템
• 시험답안지는 3년 이상 보존하여야 한다.	시험 실시	시험 운영 매뉴얼 처분지침

‘시험 및 성적관리’ 업무 처리 중 기록 요건과 관련한 위험 평가 및 처리 사례는 <표 14>와 같이 정리해 볼 수 있다. 성적 확인 시 발생할 수 있는 학생의 성적 정보 접근 권한 부여 오류로 인한 학생 민원 발생 위험이나, 시험답안지의 3년 이상 보유 의무사항에 대한 상위 규정의 준수 여부와 관련한 법률상 처벌 등 업무 수행에서 발생할 수 있는 위험 요소들을 확인한다. 또한 이와 관련한 위험 수준, 미충족 시 발생 가능한 유·무형적 비용과 처리 방법 등을 상세하게 파악한다. 이러한 위험 분석을 통해 대학은 위험 처리와 관련한 기록 요건 충족을 위한 의사결정을 뒷받침하고, 해당 분석 결과를 위험에 대비한 적정 수준의 자원 투자와 인력배분의 근거로 활용할 수 있다.

<표 14> ‘시험 및 성적관리’ 업무의 위험 평가 및 처리 사례

요건	미충족시 위험	위험도 (가능성X영향)	미충족시 비용 (유/무형)	처리방법 및 비용 (유/무형)
성적정보에 대한 학생의 접근 권한 부여	학생이 성적 열람 불가	높음	학생 민원 발생, 교육부 감사에 따른 징계 처분	성적 열람 및 정정기간 내 학생의 성적 열람을 필수 절차로 설정
시험답안지의 3년 이상 보유 의무	성적 정정 신청 시 확인 및 증명 불가	낮음	학생 민원 발생, 교육부 감사에 따른 징계 처분, 공공기록물법에 따른 최고 3천 만원 이하의 벌금형	기록관의 정기적인 처리과 지도점검 및 자체 처분지침에 따른 기록관리

기록 평가 프로세스의 전 단계별 결과는 반드시 문서화되어야 하며, 조직 구성원의 합의나 관리자의 승인을 얻어야 한다. 이렇게 문서화된 기록 평가 결과는 조직의 의사결정에 대한 근거가 될 뿐만 아니라 향후 평가 프로세스의 반복 실행 시 참고할 수 있는 정보원으로 재사용될 수 있다. 또한 ‘시험 및 성적관리’ 업무의 평가 결과로 문서화된 업무 분석 결과와 기록 요건 목록, 위험 평가 및 처리 사항들은 시스템 설계 및 기록 식별, 정책 개발 등의 목적으로 활용될 수 있다. 예를 들면 평가 결과에서 도출한 기록 요건과 위험 평가 결과는 대학의 학사관리시스템 개발 시 학생 접근 및 사용 권한 부여 규칙의 수립과 적용에 활용할 수 있다. 또한 업무 처리 시 생산된 기록 중 주요 기록을 이관 대상으로 선별하고, 학생정보 등이 포함된 기록에 대해 공개/비공개 구분사항을 결정할 수도 있다. 업무 처리 시 발생하는 학생의 개인정보 관리 및 정보보안 정책을 강화하기 위한 근거 자료로 기록 요건을 연계하여 활용할 수도 있다. 이렇게 새로운 평가 프로세스에 따른 결과는 기존 기록 처분 개념의 평가와 달리 기록의 이관·폐기에 국한되지 않고, 조직의 운영을 비롯한 정책 결정, 시스템 설계, 기록 식별 등 다방면에서 활용이 가능하다.

4.2.4 모니터링 및 검토

조직은 이전의 기록 평가가 완료되더라도 기록 평가 결과를 활용한 산출물들이 적절하게 실행되고 있는지 혹은 상위법 개정이나 사회적 요구사항 등 조직 내·외 환경의 변화에 따라 조정이 필요한 지 등을 지속적으로 모니터링 해야 한다. 모니터링 결과에 따라 평가가 재실시될 수 있다.

그리고 조정이 필요한 영역에 대한 검토와 시정조치가 실행될 수도 있다. 예를 들면 현재 ○○대학교에서는 ‘시험 답안지의 3년 보유 의무’와 같은 기록 요건에 따른 처분지침이 운용 되고 있으나, 최근 대학 재학생의 졸업 유예 신청률이 급증하면서 시험 및 성적 관련 기록에 대한 증명 및 공개 요구가 함께 증가하게 되어 이에 대한 대응으로 평가 프로세스를 재개하여 처분지침에 해당 기록의 보유 기한 상향을 검토하여 반영할 수도 있다

5. 맺음말

디지털 환경으로의 급속한 변화에 발맞춰 기록관리 국제표준 ISO 15489-1 개정판에서는 ‘기록 평가’ 업무를 기록관리의 중심으로 부상 시켰다. 이어 2018년 11월에는 ISO/TR 21946이 발간됨으로써 새로운 개념의 평가를 실제로 이행할 수 있는 ‘평가 프로세스’를 제시하였다.

국제표준이 제시하는 이러한 평가를 우리나라 공공기록물 관리 제도에 즉시 접목하기는 어렵다. ISO 15489-1과 ISO/TR 21946은 단순히 ‘기록의 가치를 평가하는 업무’에만 국한되어 있지 않으며 기록의 생산 및 관리 전반에 이르는 전환을 필요로 하기 때문이다.

앞에서 살펴본 바와 같이 ISO/TR 21946에서 정의한 기록 평가의 개념은 현재 국내 공공기록물 관리 제도에서 정의한 기존 기록 평가의 개념보다 확장된 범위의 것이다. 또한 국제표준에서 규정한 기록 평가프로세스는 조직의 업무 활동을 반복적으로 평가하는 것으로 현용 단계의 마지막 단계에서 기록을 선별하는 기존의 기록 평가와 비교할 때 전략적이면서도 사전 예방적인 접근법이다.

그러나 현재의 기록관리 및 기록 평가방식은 가속도로 변화하는 환경 변화에 대응할 수 없다. 국제 기록관리계는 이러한 점을 직시하여 보다 능동적이면서도 포괄적인 접근법을 국제표준에 담아낸 것이다. ISO 15489-1이나 ISO/TR 21946은 기록관리의 모범실무(best practice)를 제시하는 표준이다. 이 표준들은 바람직한 실무상을 보여줌으로써 기록관리 및 평가정책이 나아가야 할 방향을 보여준다. 우리는 이러한 국제표준의 변화를 주시하고 그 내용을 면밀히 검토함으로써 기록관리제도의 변화를 모색해야 할 것이다. 기록생산 및 관리환경은 시시각각으로 변화를 거듭하고 있는데, 기록관리제도가 이에 능동적으로 대응하지 못한다면 기록관리제도는 도태되거나 그 역할이 매우 미약해질 것이다.

이러한 문제의식에 따라 이 연구에서는 기록평가국제표준에서 새롭게 정의된 평가의 개념과 평가 절차, 내용을 항목별로 정리하고, 대학의 업무를 사례로 ISO/TR 21946의 평가 프로세스를 적용해보았다. ‘시험 및 성적관리’ 업무와 관련한 평가 프로세스 개시에 따라 1) 정보수집·분석 단계에서는 업무 관련 문서 정보와 인물 정보를 조사하고, 해당 업무의 절차 및 상세 내용, 기록요건들을 분석하였다. 또한 2) 평가 및 실행 단계에서 업무 프로세스와 기록요건을 연계하고, 업무 관련 위험 분석도 함께 수행하였다. 3) 모니터링과 검토 단계에서는 대학 내·외의 환경 변화에 따라 실행 가능한 검토 및 시정조치들을 점검해 보았다. 이 연구에서 다루는 사례가 대학 기록관리 영역에 국한 되는 한계가 있지만, 새로운 기록 평가 국제표준(ISO/TR 21946)에 따라 기록의 생산과 관리 전반에 걸친 평가 프로세스를 국내 사례에 적용해보았다는 점에서 의의가 있다.

이러한 작업은 국제표준에 대한 이해를 높이고 앞으로 기록관리 및 평가 제도의 개선 방향을 모색하는 데에 기초자료가 될 수 있을 것이다. 앞으로 우리나라 기록관리 제도에도 국제표준에 걸맞은 평가 개념이 도입되고 이를 토대로 평가절차 재설계에 관한 논의가 활발하게 이루어지길 기대한다.

우리나라 개인정보 보호법에서는 ‘정보주체’라는 용어를 사용하고 있는데 이는 “처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다”라고 정의하고 있다(개인정보 보호법 제2조).

참 고 문 헌 1

교육부 (2018) 2018년 대학 기록물 보존기간 책정기준 가이드 세종

교육부

Ministry of Education (2018). ｢Guideline for Prescribing Retention Period of University Records｣. Sejong: Ministry of Education

국가기록원 (2014) 기록물 평가·폐기 절차-제1부: 기록관용 NAK 5-1:2014(v2.2) 대전

국가기록원

National Archives or Korea (2014). ｢Records Appraisal and Destruction Procedures, Part 1: Records Center NAK 5-1:2014(v2.2)｣. Daejeon: National Archives or Korea

김

명훈

(2018)

기록 평가의 표준화: ISO 15489 개정판에서의 평가 원리 및 절차 분석

한국기록관리학회지 184 4568

10.14404/JKSARM.2018.18.4.045

Kim, Myoung-hun (2018). The Standardization on the Appraisal of Records: Analysis of the Appraisal Principles and Process in ISO 15489-1:2016. Journal of Korean Society of Archives and Records Management, 18(4), 45-68. http://dx.doi.org/10.14404/JKSARM.2018.18.4.045

설

문원

(2018)

공공기관의 책임성 강화를 위한 기록평가제도의 재설계

기록학연구 55 538

10.20923/kjas.2018.55.005

Seol, Moon-won (2018). Redesigning Archival Appraisal Policies for Improving Accountability of Public Bodies. The Korean Journal of Archival Studies, 55, 5-38. http://dx.doi.org/10.20923/kjas.2018.55.005

설

문원

(2019)

기록이란 무엇인가? 활동의 고정적 재현물로서의 개념 탐구

기록학연구 59 546

10.20923/kjas.2019.59.005

Seol, Moon-won (2019). Exploring the Concepts of Records as Persistent Representation of Activities. The Korean Journal of Archival Studies, 59, 5-46. http://dx.doi.org/10.20923/kjas.2019.59.005

이

정은

윤

은하

(2018)

ISO 15489 개정판의 주요 특징에 관한 연구

기록학연구 57 75111

10.20923/kjas.2018.57.075

Lee, Jung-eun & Youn, Eun-ha (2018). A Study on the Major Characteristics of the Revised ISO 15489 in 2016. The Korean Journal of Archival Studies, 57, 75-111. http://dx.doi.org/10.20923/kjas.2018.57.075

이

젬마

(2016)

ISO 15489 개정이 향후 기록관리에 미치는 영향

2016년 기록관리 표준 거버넌스 포럼 자료집

4555 Lee, Jem Ma (2016). Impact of ISO 15489 Revision on Future Records Management. 2016 Records Management Standard Governance Forum Resources, 46-55

2001

제1부: 일반사항

KS X ISO 15489-1:2001 문헌정보 - 기록관 KS X ISO 15489-1:2001 Information and documentation - Records management -Part 1: General

KS X ISO 26122:2008 문헌정보 - 기록을 위한 업무과정 분석 KS X ISO 26122:2008 Information and documentation - Work process analysis for records

ISO (2016)

part 1: Concepts and principles

ISO 15489-1 Information and documentation - Records management

ISO (2018) ISO/TR 21946 Information and documentation - Appraisal for managing records

[ 관련 법령 ] 12

개인정보 보호법 (법률 제14839호) Privacy Act

공공기록물 관리에 관한 법률 (법률 제14613호) Public Records Management Act

공공기록물 관리에 관한 법률 시행령 (대통령령 제29563호) Enforcement Decree of the Public Records Management Act