ISMS-P 인증 기준 2.8.4.시험 데이터 보안 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.8.정보시스템 도입 및 개발 보안|2.8.정보시스템 도입 및 개발 보안]]
== 개요 ==
{| class="wikitable"
!항목
!2.8.4.시험 데이터 보안
|-
| style="text-align:center"|'''인증기준'''
|시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립·이행하여야 한다.
|-
|'''주요 확인사항'''
|
* 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
* 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립∙이행하고 있는가?
|}
== 세부 설명 ==

* 정보시스템의 개발 및 시험 과정에서 실제 운영데이터의 사용을 제한하여야 한다.
** 개인정보 및 중요 정보가 시스템 시험과정에서 유출되는 것을 방지하기 위하여 시험데이터는 임의의 데이터를 생성하거나 운영데이터를 가공·변환한 후 사용
** 시험데이터 변환 및 사용에 따른 기준·절차 수립·이행
* 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립·이행하여야 한다.
** 운영데이터 사용 승인 절차 마련 : 데이터 중요도에 따른 보고 및 승인체계 정의 등
** 시험 기한 만료 후 데이터 폐기절차 마련 및 이행
** 운영데이터 사용에 대한 시험환경에서의 접근통제 대책 적용
** 운영데이터 복제·사용에 대한 모니터링 및 정기검토 수행 등
== 증거 자료 ==
* 시험데이터 현황
* 시험데이터 생성 규칙
* 운영데이터를 시험환경에 사용한 경우, 관련 승인 이력
* 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
== 결함 사례 ==
* 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
* 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 데이터 베이스에 대하여 운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
* 실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 데이터베이스에서 삭제하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)