ISMS-P 인증 기준 2.9.1.변경관리: Difference between revisions

From IT Wiki
(Imported from text file)
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.9.1.변경관리
!2.9.1.변경관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.
|정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립‧이행하고 있는가?
*정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립‧이행하고 있는가?
* 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
*정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
*(가상자산사업자)  장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용하고 있는가?
**변경 대상 및 방법 변경 권한자 지정
**변경 전후내용 자동기록 및 보존
**변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승 인내용 등을 포함
**원장변경 의뢰내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인
*(가상자산사업자)  안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음 사항을 준수하고 있는가?
**작업요청서에 의한 책임자 승인
**일괄작업의 최대한 자동화 및 오류 최소화
**일괄작업 오류 발생 시 책임자 확인 및 조치
**모든 일괄작업내용 기록관리
**일괄작업 수행자의 주요업무관련행위 책임자 모니터링
|}
|}
== 세부 설명 ==
==세부 설명==
 
*정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행 하여야 한다.
**운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU·메모리·저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경을 위한 공식적인 절차 수립 및 이행
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 변경절차에 포함되어야 할 사항(예시)'''
 
*변경 요청
*책임자 검토 및 승인
*변경 확인 및 검증
*관련 문서 식별 및 변경(자산목록, 운영 매뉴얼, 구성도 등)
*변경 이력관리 등</div>
 
*정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.
**정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석(방화벽 등 보안시스템 정책 변경 필요성, 정책 변경 시 문제점 및 영향도 등)
**변경에 따른 영향을 최소화할 수 있도록 변경을 이행
**변경 실패에 따른 복구방안을 사전에 고려
 
==증거 자료==
 
*변경관리 절차
*변경관리 수행 내역(신청·승인, 변경 내역 등)
*변경에 따른 영향분석 결과
 
==결함 사례==
 
*최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우
*최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우
*변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행 하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU·메모리·저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경을 위한 공식적인 절차 수립 및 이행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 변경절차에 포함되어야 할 사항(예시)
* 변경 요청
* 책임자 검토 및 승인
* 변경 확인 및 검증
* 관련 문서 식별 및 변경(자산목록, 운영 매뉴얼, 구성도 등)
* 변경 이력관리 등</div>
* 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.
** 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석(방화벽 등 보안시스템 정책 변경 필요성, 정책 변경 시 문제점 및 영향도 등)
** 변경에 따른 영향을 최소화할 수 있도록 변경을 이행
** 변경 실패에 따른 복구방안을 사전에 고려
== 증거 자료 ==
* 변경관리 절차
* 변경관리 수행 내역(신청·승인, 변경 내역 등)
* 변경에 따른 영향분석 결과
== 결함 사례 ==
* 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우
* 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우
* 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 05:49, 22 March 2023


개요[edit | edit source]

항목 2.9.1.변경관리
인증기준 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.
주요 확인사항
  • 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립‧이행하고 있는가?
  • 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
  • (가상자산사업자) 장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용하고 있는가?
    • 변경 대상 및 방법 변경 권한자 지정
    • 변경 전후내용 자동기록 및 보존
    • 변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승 인내용 등을 포함
    • 원장변경 의뢰내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인
  • (가상자산사업자) 안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음 사항을 준수하고 있는가?
    • 작업요청서에 의한 책임자 승인
    • 일괄작업의 최대한 자동화 및 오류 최소화
    • 일괄작업 오류 발생 시 책임자 확인 및 조치
    • 모든 일괄작업내용 기록관리
    • 일괄작업 수행자의 주요업무관련행위 책임자 모니터링

세부 설명[edit | edit source]

  • 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행 하여야 한다.
    • 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU·메모리·저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경을 위한 공식적인 절차 수립 및 이행

※ 변경절차에 포함되어야 할 사항(예시)

  • 변경 요청
  • 책임자 검토 및 승인
  • 변경 확인 및 검증
  • 관련 문서 식별 및 변경(자산목록, 운영 매뉴얼, 구성도 등)
  • 변경 이력관리 등
  • 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.
    • 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석(방화벽 등 보안시스템 정책 변경 필요성, 정책 변경 시 문제점 및 영향도 등)
    • 변경에 따른 영향을 최소화할 수 있도록 변경을 이행
    • 변경 실패에 따른 복구방안을 사전에 고려

증거 자료[edit | edit source]

  • 변경관리 절차
  • 변경관리 수행 내역(신청·승인, 변경 내역 등)
  • 변경에 따른 영향분석 결과

결함 사례[edit | edit source]

  • 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우
  • 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우
  • 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)