ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
22번째 줄: | 22번째 줄: | ||
***복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정 | ***복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정 | ||
*시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가? | *시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가? | ||
* | *공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석‧설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가? | ||
|- | |- | ||
|'''관련 법규''' | |'''관련 법규''' | ||
| | | | ||
*개인정보 보호법 제33조(개인정보 영향평가) | * 개인정보 보호법 제33조(개인정보 영향평가) | ||
*개인정보 영향평가에 관한 고시 | * 개인정보 영향평가에 관한 고시 | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====보안 요구사항 적용 검토 기준·절차 수립 및 시험==== | ==== 보안 요구사항 적용 검토 기준·절차 수립 및 시험 ==== | ||
정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 검토기준과 절차를 수립하고 이에 따른 시험을 수행하여야 한다. | 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 검토기준과 절차를 수립하고 이에 따른 시험을 수행하여야 한다. | ||
*정보시스템 인수 전 인수기준 적합성 여부를 확인하기 위한 시험 수행 | *정보시스템 인수 전 인수기준 적합성 여부를 확인하기 위한 시험 수행 | ||
**정보시스템이 사전에 정의한 보안 요구사항을 만족하여 개발·변경 및 도입되었는지 확인하기 위한 인수기준 및 절차 수립 | **정보시스템이 사전에 정의한 보안 요구사항을 만족하여 개발·변경 및 도입되었는지 확인하기 위한 인수기준 및 절차 수립 | ||
*정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통하여 확인한 후 인수 여부를 결정 | *정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통하여 확인한 후 인수 여부를 결정 | ||
** | **시스템 보안 설정, 불필요한 디폴트 계정 제거 여부, 최신 보안취약점 패치 여부 등 확인 필요 | ||
*개발·변경 및 구현된 기능이 사전에 정의된 보안 요구사항을 충족하는지 시험 수행 | *개발·변경 및 구현된 기능이 사전에 정의된 보안 요구사항을 충족하는지 시험 수행 | ||
**시험 계획서, 체크리스트, 시험 결과서 등에 반영 | **시험 계획서, 체크리스트, 시험 결과서 등에 반영 | ||
====취약점 점검 수행==== | ==== 취약점 점검 수행 ==== | ||
정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검을 수행하여야 한다. | 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검을 수행하여야 한다. | ||
*코딩 완료 후 안전한 코딩 표준 및 규약 준수 여부를 점검하고 기술적 보안 취약점이 존재하는 지 점검 수행 | *코딩 완료 후 안전한 코딩 표준 및 규약 준수 여부를 점검하고 기술적 보안 취약점이 존재하는 지 점검 수행 | ||
46번째 줄: | 46번째 줄: | ||
*코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부 점검 | *코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부 점검 | ||
====발견된 취약점 개선계획 수립 및 이행점검==== | ==== 발견된 취약점 개선계획 수립 및 이행점검 ==== | ||
시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하여야 한다. | 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하여야 한다. | ||
*발견된 문제점은 시스템 오픈 전에 개선될 수 있도록 개선계획 수립, 내부 보고, 이행점검 등의 절차 '''수립·이행''' | *발견된 문제점은 시스템 오픈 전에 개선될 수 있도록 개선계획 수립, 내부 보고, 이행점검 등의 절차 '''수립·이행''' | ||
*불가피한 사유로 시스템 '''오픈 전에 개선이 어려울 경우'''에는 이에 따른 영향도 평가, 보완 대책, 내부 보고 등 위험을 줄일 수 있는 '''대책 마련''' | *불가피한 사유로 시스템 '''오픈 전에 개선이 어려울 경우'''에는 이에 따른 영향도 평가, 보완 대책, 내부 보고 등 위험을 줄일 수 있는 '''대책 마련''' | ||
====공공기관 개인정보처리시스템 영향평가==== | ==== 공공기관 개인정보처리시스템 영향평가 ==== | ||
공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석·설계 단계에서 | 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석·설계 단계에서 영향평가 기관을 통하여 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하여야 한다(개인정보 보호법 시행령 제35조 참고). | ||
*공공기관은 개인정보처리시스템 신규 개발 또는 변경을 위한 계획 수립 시 개인정보 영향평가 의무 대상 여부를 검토하여 의무 대상인 경우에 영향평가 계획을 수립하고 관련 예산 확보 | *공공기관은 개인정보처리시스템 신규 개발 또는 변경을 위한 계획 수립 시 개인정보 영향평가 의무 대상 여부를 검토하여 의무 대상인 경우에 영향평가 계획을 수립하고 관련 예산 확보 | ||
<blockquote>'''※ 개인정보 영향평가 의무 대상''' | <blockquote>'''※ 개인정보 영향평가 의무 대상''' | ||
*'''(5만 명 조건)''' 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 | *'''(5만 명 조건)''' 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 | ||
*'''(50만 명 조건)''' 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 | *'''(50만 명 조건)''' 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 | ||
*'''(100만 명 조건)''' 100만 명 이상의 정보주체에 관한 개인정보파일 | *'''(100만 명 조건)''' 100만 명 이상의 정보주체에 관한 개인정보파일 | ||
*'''(변경 시)''' 영향평가를 받은 후 개인정보파일의 운용체계를 변경하는 경우 변경된 부분에 대해서는 영향평가를 실시 | *'''(변경 시)''' 영향평가를 받은 후 개인정보파일의 운용체계를 변경하는 경우 변경된 부분에 대해서는 영향평가를 실시 | ||
</blockquote> | </blockquote> | ||
91번째 줄: | 91번째 줄: | ||
*공공기관이 5만 명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인 정보파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가를 실시하지 않은 경우 | *공공기관이 5만 명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인 정보파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가를 실시하지 않은 경우 | ||
*공공기관이 영향평가를 수행한 후 영향평가기관으로부터 영향평가서를 받은 지 2개월이 지났음에도 불구하고 영향평가서를 개인정보보호위원회에 제출하지 않은 경우 | *공공기관이 영향평가를 수행한 후 영향평가기관으로부터 영향평가서를 받은 지 2개월이 지났음에도 불구하고 영향평가서를 개인정보보호위원회에 제출하지 않은 경우 | ||
==관련 인증 기준== | == 관련 인증 기준 == | ||
'''[[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|2.8.1.보안 요구사항 정의]]''' | '''[[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|2.8.1.보안 요구사항 정의]]''' | ||
*정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. | * 정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. | ||
'''[[ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리|2.8.3.시험과 운영 환경 분리]]''' | '''[[ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리|2.8.3.시험과 운영 환경 분리]]''' | ||
*개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다. | * 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다. | ||
'''[[ISMS-P 인증 기준 2.8.4.시험 데이터 보안|2.8.4.시험 데이터 보안]]''' | '''[[ISMS-P 인증 기준 2.8.4.시험 데이터 보안|2.8.4.시험 데이터 보안]]''' | ||
107번째 줄: | 106번째 줄: | ||
'''[[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|2.8.5.소스 프로그램 관리]]''' | '''[[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|2.8.5.소스 프로그램 관리]]''' | ||
*소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다. | * 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다. | ||
'''[[ISMS-P 인증 기준 2.8.6.운영환경 이관|2.8.6.운영환경 이관]]''' | '''[[ISMS-P 인증 기준 2.8.6.운영환경 이관|2.8.6.운영환경 이관]]''' | ||
*신규 도입·개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다. | * 신규 도입·개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다. | ||
==같이 보기== | ==같이 보기== | ||
121번째 줄: | 120번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |