2.8.1 보안 요구사항 정의

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.8 정보시스템 도입 및 개발 보안	2.8.1 보안 요구사항 정의
	2.8.2 보안 요구사항 검토 및 시험
	2.8.3 시험과 운영 환경 분리
	2.8.4 시험 데이터 보안
	2.8.5 소스 프로그램 관리
	2.8.6 운영환경 이관

---

 

---

도개변 타법취코인

시스템 도입 · 개발 · 변경 시

타당성 검토, 법적 요구사항, 최신 보안취약점, 안전한 코딩방법

핵심 키워드 & 내용

 

- 정보시스템의 도입 · 개발 · 변경 시
- 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 
- 보안 요구사항을 정의하고 적용
- 보안성 검증 기준 및 절차, 보안성 검토
- 정보시스템 도입 · 개발 · 변경 시 (개인)정보보호 타당성 검토 및 인수 절차 수립 ·  이행
- 정보시스템 도입 · 개발 또는 변경 시 보안 요구사항 정의 및 설계 단계부터 반영
- 시큐어코딩 표준 마련 및 적용

 

연관 두음

 

▶ 보안요구사항 정의 핵심 키워드

[두음] 도개변 타법취코인
도입, 개발, 변경, 
타당성 검토, 법적 요구사항, 취약점 점검, 안전한 코딩, 인수

---

 

인증기준

 

정보시스템의 도입 · 개발 · 변경 시
정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등
보안 요구사항을 정의하고 적용하여야 한다.

 

주요 확인사항

 

* 정보시스템을 신규로 도입 · 개발 또는 변경하는 경우
  정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립 · 이행하고 있는가?

* 정보시스템을 신규로 도입 · 개발 또는 변경하는 경우
  법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고
  설계 단계에서부터 반영하고 있는가?

* 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?

 

세부 설명

 

□ 정보시스템을 신규로 도입 · 개발 또는 변경하는 경우

   정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립 · 이행하여야 한다.

 

□ 정보시스템을 신규로 도입 · 개발 또는 변경하는 경우

   법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고

   설계 단계에서부터 반영하여야 한다.

 

□ 정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.

 

 

결함사례

 

사례 1 :
정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우

사례 2 :
신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나,
최근 도입한 일부 시스템에 대하여
인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우

사례 3 :
개발 관련 내부 지침에 개발과 관련된
주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우

사례 4 :
ʻ개발표준정의서ʼ에
사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어
관련 법적 요구사항을 적절히 반영하지 않는 경우

---

가상자산 사업자 대상 주요 확인사항

 

신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 
해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가?

 

주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 
해당 가상자산의 월렛 관련 상세 위험평가
(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로
보안요구사항을 도출하여 이를 설계에 반영하고 있는가?

---

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)