ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
23번째 줄: 23번째 줄:


==== 불가피한 경우 보완 대책 ====
==== 불가피한 경우 보완 대책 ====
불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하여야 한다.
불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임 추적성 확보 등의 보안대책을 마련하여야 한다.
* 조직 규모가 매우 작거나 인적 자원 부족, 시스템 특성 등의 사유로 인하여 불가피하게 개발과 운영환경의 분리가 어려운 경우, 이에 따른 보안 위험을 감소할 수 있도록 적절한 보완통제 수단 적용
* 조직 규모가 매우 작거나 인적 자원 부족, 시스템 특성 등의 사유로 인하여 불가피하게 개발과 운영 환경의 분리가 어려운 경우, 이에 따른 보안 위험을 감소할 수 있도록 적절한 보완통제 수단 적용
** 직무자 간 상호검토
** 직무자 간 상호검토
** 변경 승인
* 변경 승인
** 상급자의 모니터링 및 감사
** 상급자의 모니터링 및 감사
** 백업 및 복구 방안, 책임추적성 확보 등
* 백업 및 복구 방안, 책임추적성 확보 등
== 증거 자료 ==
== 증거 자료 ==
* 네트워크 구성도(시험환경 구성 포함)
* 네트워크 구성도(시험환경 구성 포함)
35번째 줄: 35번째 줄:
* 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 '''운영환경에서 직접 소스코드 변경을 수행'''하고 있는 경우
* 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 '''운영환경에서 직접 소스코드 변경을 수행'''하고 있는 경우
* 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우
* 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우
* 개발시스템이 별도로 구성되어 있으나, 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 '''개발시스템을 경유하여 불필요하게 운영시스템 접근'''이 가능한 경우
* 개발시스템이 별도로 구성되어 있으나, '''개발환경으로부터 운영환경으로의 접근이 통제되지 않아''' 개발자들이 '''개발시스템을 경유하여 불필요하게 운영시스템 접근'''이 가능한 경우


== 관련 인증 기준 ==
== 관련 인증 기준 ==
62번째 줄: 62번째 줄:
* [[ISMS-P 인증 기준 세부 점검 항목]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.8.3.시험과_운영_환경_분리"