반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.8 정보시스템 도입 및 개발 보안 | 2.8.1 보안 요구사항 정의 |
| 2.8.2 보안 요구사항 검토 및 시험 | |
| 2.8.3 시험과 운영 환경 분리 | |
| 2.8.4 시험 데이터 보안 | |
| 2.8.5 소스 프로그램 관리 | |
| 2.8.6 운영환경 이관 |
운영 데이터 사용 제한, 통제 절차 수립 · 이행
책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등
테스트 데이터
핵심 키워드 & 내용
- 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립 · 이행
- 개발 및 시험 과정에서 실제 운영 데이터의 사용 제한
- 불가피한 사용 시 통제 절차를 수립·이행
- 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등
- 개발 및 시험 과정에서 실제 운영데이터 사용 제한
- 운영 데이터를 시험환경에서 사용 시 통제 절차 수립 · 이행
연관 두음
인증기준
시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여
시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립 · 이행하여야 한다.
주요 확인사항
* 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
* 불가피하게 운영데이터를 시험 환경에서 사용할 경우
책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립 · 이행하고 있는가?
세부 설명
□ 정보시스템의 개발 및 시험 과정에서 실제 운영데이터의 사용을 제한하여야 한다.
□ 불가피하게 운영데이터를 시험 환경에서 사용할 경우
책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립 · 이행하여야 한다.
결함사례
사례 1 :
개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
사례 2 :
타당한 사유 및 책임자 승인 없이
실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
사례 3 :
불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서,
테스트 데이터 베이스에 대하여
운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
사례 4 :
실 운영데이터를 테스트 용도로 사용한 후
테스트가 완료되었음에도 실 운영데이터를 테스트 데이터베이스에서 삭제하지 않은 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.8.6 운영환경 이관 (0) | 2023.01.13 |
|---|---|
| 2.8.5 소스 프로그램 관리 (0) | 2023.01.13 |
| 2.8.3 시험과 운영 환경 분리 (0) | 2023.01.13 |
| 2.8.2 보안 요구사항 검토 및 시험 (0) | 2023.01.13 |
| 2.8.1 보안 요구사항 정의 (0) | 2023.01.13 |
댓글