ISMS-P 인증심사원 인증 기준 풀이 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
*'''상위 문서: [[ISMS-P 인증심사원 교본]]''' | *'''상위 문서: [[ISMS-P 인증심사원 교본]]''' | ||
결함을 찾는 문제가 헷갈리는 이유는 | 결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를 찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다. | ||
== 유사한 인증 기준 == | == 유사한 인증 기준 == | ||
27번째 줄: | 27번째 줄: | ||
** 안전한 암호화 알고리즘 사용은 법적 요구사항이지만, 2.7.1 기준이 별도로 있기 때문에 취약한 암호화 알고리즘 사용은 2.7.1 결함이다.<ref>단, 오래전에 제정된 규정이, 개정되지 않아 취약해진 경우라면 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]] 결함일수도 있다. (안전한 암호화 알고리즘의 기준 정립은 꽤 오래 전에 이루어졌으므로 그럴 가능성이 낮긴 함)</ref> | ** 안전한 암호화 알고리즘 사용은 법적 요구사항이지만, 2.7.1 기준이 별도로 있기 때문에 취약한 암호화 알고리즘 사용은 2.7.1 결함이다.<ref>단, 오래전에 제정된 규정이, 개정되지 않아 취약해진 경우라면 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]] 결함일수도 있다. (안전한 암호화 알고리즘의 기준 정립은 꽤 오래 전에 이루어졌으므로 그럴 가능성이 낮긴 함)</ref> | ||
** 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.<ref>코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토 기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)</ref> | ** 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.<ref>코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토 기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)</ref> | ||
== 제목으로 유추가 어려운 인증 기준 == | == 제목으로 유추가 어려운 인증 기준 == | ||
55번째 줄: | 50번째 줄: | ||
* 소스코드를 운영 환경에 두지 않기<ref>소스코드 뿐만 아니라 운영서버에 서비스 실행에 불필요한 파일(배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등) 모두 해당</ref> | * 소스코드를 운영 환경에 두지 않기<ref>소스코드 뿐만 아니라 운영서버에 서비스 실행에 불필요한 파일(배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등) 모두 해당</ref> | ||
■ [[ISMS-P 인증 기준 2.10.8.패치관리|'''2.10.8.패치관리''']] | ■ [[ISMS-P 인증 기준 2.10.8.패치관리|'''2.10.8.패치관리''']] | ||
137번째 줄: | 129번째 줄: | ||
** B에 대한 문제인데, 1번 인증기준은 A, B, C에 모두 해당될 수 있는 경우이고 2번 인증 기준은 B에만 해당될 수 있다면 2번 인증 기준이 정답이 된다. | ** B에 대한 문제인데, 1번 인증기준은 A, B, C에 모두 해당될 수 있는 경우이고 2번 인증 기준은 B에만 해당될 수 있다면 2번 인증 기준이 정답이 된다. | ||
위 두 가지 기준으로 판단된 실제 사례들은 아래를 통해 확인할 수 있다.<blockquote>'''사용자 계정 발급 절차 없이 하나의 계정을 여러 명이 쓰거나 한 명이 여러 개의 계정을 만들어 사용하여 계정별 사용자에 대한 식별이 불가한 경우'''</blockquote> | |||
*'''(참고)''' 관련 인증 기준 | *'''(참고)''' 관련 인증 기준 |