ISMS-P 인증 기준 2.8.6.운영환경 이관: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 25: | Line 25: | ||
** 이관에 대한 책임자 승인 | ** 이관에 대한 책임자 승인 | ||
** 이관에 대한 기록 보존 및 검토 등 | ** 이관에 대한 기록 보존 및 검토 등 | ||
※ 클라우드 환경에서 DevOps 방식을 적용한 경우, CI/CD 파이프라인 상에서 통제된 절차에 따라 운영환경으로의 안전한 배포가 | ※ 클라우드 환경에서 DevOps 방식을 적용한 경우, CI/CD 파이프라인 상에서 통제된 절차에 따라 운영환경으로의 안전한 배포가 수행될 수 있도록 DevSecOps 관점의 통제 방안 적용 | ||
* 운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하여야 한다. | *운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하여야 한다. | ||
** 운영환경으로 정보시스템 이관이 원활하게 이루어지지 않았을 경우 복귀(Rollback) 방안 | **운영환경으로 정보시스템 이관이 원활하게 이루어지지 않았을 경우 복귀(Rollback) 방안 | ||
** 이전 버전의 시스템 보관 방안(소프트웨어, 부가 프로그램, 구성파일, 파라미터 등) 등 | **이전 버전의 시스템 보관 방안(소프트웨어, 부가 프로그램, 구성파일, 파라미터 등) 등 | ||
* 운영환경에는 서비스 실행에 필요한 파일만을 설치하여야 한다. | *운영환경에는 서비스 실행에 필요한 파일만을 설치하여야 한다. | ||
** 운영환경에는 승인되지 않은 개발도구(편집기 등), 소스 프로그램 및 백업본, 업무 문서 등 서비스 실행에 불필요한 파일이 존재하지 않도록 관리 | **운영환경에는 승인되지 않은 개발도구(편집기 등), 소스 프로그램 및 백업본, 업무 문서 등 서비스 실행에 불필요한 파일이 존재하지 않도록 관리 | ||
== 증거 자료 == | ==증거 자료 == | ||
* 이관 절차 | *이관 절차 | ||
* 이관 내역(신청·승인, 시험, 이관 등) | *이관 내역(신청·승인, 시험, 이관 등) | ||
== 결함 사례 == | ==결함 사례== | ||
* 개발·변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우 | *개발·변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우 | ||
* 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등)이 존재하는 경우 | *운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등)이 존재하는 경우 | ||
* 내부 지침에 운영환경 이관 시 안전한 이관·복구를 위하여 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나, 관련 문서가 확인되지 않은 경우 | *내부 지침에 운영환경 이관 시 안전한 이관·복구를 위하여 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나, 관련 문서가 확인되지 않은 경우 | ||
== 같이 보기 == | *내부 지침에는 모바일 앱을 앱마켓에 배포하는 경우 내부 검토 및 승인을 받도록 하고 있으나, 개발자가 해당 절차를 거치지 않고 임의로 앱마켓에 배포하고 있는 경우 | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | ==같이 보기== | ||
* [[ISMS-P 인증 기준]] | *[[정보보호 및 개인정보보호관리체계 인증]] | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | *[[ISMS-P 인증 기준]] | ||
== 참고 문헌 == | *[[ISMS-P 인증 기준 세부 점검 항목]] | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ==참고 문헌== | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23) | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23) |
Revision as of 19:32, 20 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.8.정보시스템 도입 및 개발 보안
개요
항목 | 2.8.6.운영환경 이관 |
---|---|
인증기준 | 신규 도입·개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다. |
주요 확인사항 |
|
세부 설명
- 신규 도입·개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립·이행하여야 한다.
- 개발자 본인 이외의 이관담당자 지정
- 시험 완료 여부 확인
- 이관 전략(단계적 이관, 일괄적 이관 등)
- 이관 시 문제 대응 방안(복귀 방안, 이전 버전의 시스템 보관 방안 등)
- 이관에 대한 책임자 승인
- 이관에 대한 기록 보존 및 검토 등
※ 클라우드 환경에서 DevOps 방식을 적용한 경우, CI/CD 파이프라인 상에서 통제된 절차에 따라 운영환경으로의 안전한 배포가 수행될 수 있도록 DevSecOps 관점의 통제 방안 적용
- 운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하여야 한다.
- 운영환경으로 정보시스템 이관이 원활하게 이루어지지 않았을 경우 복귀(Rollback) 방안
- 이전 버전의 시스템 보관 방안(소프트웨어, 부가 프로그램, 구성파일, 파라미터 등) 등
- 운영환경에는 서비스 실행에 필요한 파일만을 설치하여야 한다.
- 운영환경에는 승인되지 않은 개발도구(편집기 등), 소스 프로그램 및 백업본, 업무 문서 등 서비스 실행에 불필요한 파일이 존재하지 않도록 관리
증거 자료
- 이관 절차
- 이관 내역(신청·승인, 시험, 이관 등)
결함 사례
- 개발·변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우
- 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등)이 존재하는 경우
- 내부 지침에 운영환경 이관 시 안전한 이관·복구를 위하여 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나, 관련 문서가 확인되지 않은 경우
- 내부 지침에는 모바일 앱을 앱마켓에 배포하는 경우 내부 검토 및 승인을 받도록 하고 있으나, 개발자가 해당 절차를 거치지 않고 임의로 앱마켓에 배포하고 있는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)