반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.8 정보시스템 도입 및 개발 보안 | 2.8.1 보안 요구사항 정의 |
| 2.8.2 보안 요구사항 검토 및 시험 | |
| 2.8.3 시험과 운영 환경 분리 | |
| 2.8.4 시험 데이터 보안 | |
| 2.8.5 소스 프로그램 관리 | |
| 2.8.6 운영환경 이관 |
상모변책
개발 및 시험 시스템과 운영시스템 분리,
보안성심의
핵심 키워드
개발 및 시험 시스템과 운영시스템 분리
분리 어려운 경우 보안대책 마련
상호검토, 상급자 모니터링, 변경 승인, 책임 추적성 확보 등
개발 및 시험환경을 운영환경과 분리
개발과 운영환경의 미분리 시 보완대책 마련
연관 두음
▶ 개발과 운영환경의 분리가 어려운 경우 보안대책
[두음] 상모변책
상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보
인증기준
개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여
원칙적으로 분리하여야 한다.
주요 확인사항
* 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
* 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우
상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?
세부 설명
□ 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하여야 한다.
□ 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우
상호검토, 상급자 모니터링, 변경 승인, 책임 추적성 확보 등의 보안대책을 마련하여야 한다.
결함사례
사례 1 :
타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고
운영환경에서 직접 소스코드 변경을 수행하고 있는 경우
사례 2 :
불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나,
이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우
사례 3 :
개발시스템이 별도로 구성되어 있으나,
개발환경으로부터 운영환경으로의 접근이 통제되지 않아
개발자들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우
가상자산 사업자 대상 주요 확인사항
가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가?
- 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경
- 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행
- 복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.8.5 소스 프로그램 관리 (0) | 2023.01.13 |
|---|---|
| 2.8.4 시험 데이터 보안 (0) | 2023.01.13 |
| 2.8.2 보안 요구사항 검토 및 시험 (0) | 2023.01.13 |
| 2.8.1 보안 요구사항 정의 (0) | 2023.01.13 |
| 2.7.2 암호키 관리 (0) | 2023.01.12 |
댓글