ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
23번째 줄: | 23번째 줄: | ||
==== 불가피한 경우 보완 대책 ==== | ==== 불가피한 경우 보완 대책 ==== | ||
불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, | 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임 추적성 확보 등의 보안대책을 마련하여야 한다. | ||
* 조직 규모가 매우 작거나 인적 자원 부족, 시스템 특성 등의 사유로 인하여 불가피하게 개발과 | * 조직 규모가 매우 작거나 인적 자원 부족, 시스템 특성 등의 사유로 인하여 불가피하게 개발과 운영 환경의 분리가 어려운 경우, 이에 따른 보안 위험을 감소할 수 있도록 적절한 보완통제 수단 적용 | ||
** 직무자 간 상호검토 | ** 직무자 간 상호검토 | ||
* 변경 승인 | |||
** 상급자의 모니터링 및 감사 | ** 상급자의 모니터링 및 감사 | ||
* 백업 및 복구 방안, 책임추적성 확보 등 | |||
== 증거 자료 == | == 증거 자료 == | ||
* 네트워크 구성도(시험환경 구성 포함) | * 네트워크 구성도(시험환경 구성 포함) | ||
35번째 줄: | 35번째 줄: | ||
* 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 '''운영환경에서 직접 소스코드 변경을 수행'''하고 있는 경우 | * 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 '''운영환경에서 직접 소스코드 변경을 수행'''하고 있는 경우 | ||
* 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우 | * 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우 | ||
* 개발시스템이 별도로 구성되어 있으나, 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 '''개발시스템을 경유하여 불필요하게 운영시스템 접근'''이 가능한 경우 | * 개발시스템이 별도로 구성되어 있으나, '''개발환경으로부터 운영환경으로의 접근이 통제되지 않아''' 개발자들이 '''개발시스템을 경유하여 불필요하게 운영시스템 접근'''이 가능한 경우 | ||
== 관련 인증 기준 == | == 관련 인증 기준 == | ||
62번째 줄: | 62번째 줄: | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | * [[ISMS-P 인증 기준 세부 점검 항목]] | ||
== 참고 문헌 == | == 참고 문헌 == | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |