ISMS-P 인증 기준 2.8.1.보안 요구사항 정의: Difference between revisions
From IT Wiki
(Imported from text file) |
(Imported from text file) |
||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | * '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
* '''분류''': [[ISMS-P | * '''분류''': [[ISMS-P 인증 기준 2.8.정보시스템 도입 및 개발 보안|2.8.정보시스템 도입 및 개발 보안]] | ||
== 개요 == | == 개요 == | ||
{| class="wikitable" | {| class="wikitable" |
Revision as of 23:13, 7 May 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.8.정보시스템 도입 및 개발 보안
개요
항목 | 2.8.1.보안 요구사항 정의 |
---|---|
인증기준 | 정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. |
주요 확인사항 |
|
세부 설명
- 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립·이행하여야 한다.
- 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립
- 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
- 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건
- 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준, 개인정보의기술적·관리적 보호조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수
- 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용
- 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준 수립
- 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립
- 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영
- 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립
- 정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다.
- 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등
- 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항
- 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등
- 최신 보안취약점 등
- 정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.
- 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련
- Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함
- 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행
증거 자료
- 정보시스템 인수 기준 및 절차
- 정보시스템 도입 RFP(제안요청서) 및 구매계약서
- 개발 산출물(사업수행계획서, 요구사항정의서, 화면설계서, 보안아키텍처 설계서, 시험계획서 등)
- 시큐어 코딩 표준
결함 사례
- 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
- 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 시스템에 대하여 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우
- 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
- ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)