ISMS-P 인증 기준 2.8.1.보안 요구사항 정의 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
26번째 줄: | 26번째 줄: | ||
* 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립 | * 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립 | ||
** 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석 | ** 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석 | ||
* 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건 | |||
** 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수 | ** 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준, 개인정보의기술적·관리적 보호조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수 | ||
* 정보보호 및 개인정보보호 측면의 요구사항을 '''제안요청서(RFP)에 반영'''하고 업체 또는 제품 선정 시 기준으로 활용 | * 정보보호 및 개인정보보호 측면의 요구사항을 '''제안요청서(RFP)에 반영'''하고 업체 또는 제품 선정 시 기준으로 활용 | ||
* 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준 수립 | * 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준 수립 | ||
** 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립 | ** 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립 | ||
* 시스템 도입 과정에서 인수기준을 준수하도록 '''구매계약서 등에 반영''' | |||
==== 보안 요구사항 설계 단계에서 반영 ==== | ==== 보안 요구사항 설계 단계에서 반영 ==== | ||
52번째 줄: | 52번째 줄: | ||
== 결함 사례 == | == 결함 사례 == | ||
* 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우 | * 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우 | ||
* 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 | * 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 시스템에 대하여 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우 | ||
* 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우 | * 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우 | ||
* ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 '''관련 법적 요구사항을 적절히 반영하지 않는 경우''' | * ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 '''관련 법적 요구사항을 적절히 반영하지 않는 경우''' | ||
82번째 줄: | 82번째 줄: | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | * [[ISMS-P 인증 기준 세부 점검 항목]] | ||
== 참고 문헌 == | == 참고 문헌 == | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |