반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.8 정보시스템 도입 및 개발 보안 | 2.8.1 보안 요구사항 정의 |
| 2.8.2 보안 요구사항 검토 및 시험 | |
| 2.8.3 시험과 운영 환경 분리 | |
| 2.8.4 시험 데이터 보안 | |
| 2.8.5 소스 프로그램 관리 | |
| 2.8.6 운영환경 이관 |
형상관리 시스템
소스 프로그램 접근통제, 운영환경이 아닌 곳에 안전하게 보관, 변경이력 관리
소스 프로그램 접근통제, 형상관리
핵심 키워드 & 내용
- 비인가자에 의한 소스 프로그램 접근 통제 절차를 수립 · 이행
- 소스 프로그램은 운영환경이 아닌 곳에 안전하게 보관
- 소스 프로그램에 대한 변경이력 관리
- 형상관리 시스템
- 소스 프로그램 접근 통제 절차 수립 · 이행
- 운영 환경에 아닌 곳에 소스 프로그램 보관
- 소스 프로그램 변경이력 관리
연관 두음
인증기준
소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고,
운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.
주요 확인사항
* 비인가자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립 · 이행하고 있는가?
* 소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가?
* 소스 프로그램에 대한 변경이력을 관리하고 있는가?
세부 설명
□ 비인가자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립 · 이행하여야 한다.
□ 소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하여야 한다.
□ 소스 프로그램에 대한 변경이력을 관리하여야 한다.
결함사례
사례 1 :
별도의 소스 프로그램 백업 및 형상관리 시스템이 구축되어 있지 않으며,
이전 버전의 소스 코드를 운영 서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우
사례 2 :
형상관리시스템을 구축하여 운영하고 있으나
형상관리시스템 또는 형상관리시스템에 저장된 소스코드에 대한
접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우
사례 3 :
내부 규정에는 형상관리시스템을 통하여 소스 프로그램 버전관리를 하도록 되어 있으나,
최신 버전의 소스 프로그램은 개발자 PC에만 보관되어 있고
이에 대한 별도의 백업이 수행되고 있지 않은 경우
가상자산 사업자 대상 주요 확인사항
월렛과 관련된 소스프로그램은 개발자 및 관리자 등에 대한 접근 권한을 구분하고
인가된 사용자만이 접근할 수 있도록 엄격하게 통제하고 있는가?
중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등)
접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립ㆍ이행하고 있는가?
※ 취급업소에서 클라우드 또는 외부 형상관리 솔루션을 통해 소스코드 버전관리를 하는 경우,
중요 소스 프로그램에 대해 외부에서 접속/다운로드 가능한 위험이 존재
※ 상용 KMS 솔루션, HSM 등의 키관리 장비 외에도,
키관리용 소프트웨어를 자체 개발하여 사용하는 경우가 있으므로,
이때 사용되는 소스 프로그램에 대한 안전한 관리가 필요함
소스 프로그램 변경이 필요한 경우 해당 프로그램을 개발 또는 시험 시스템에 복사 후 변경하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.9.1 변경관리 (0) | 2023.01.13 |
|---|---|
| 2.8.6 운영환경 이관 (0) | 2023.01.13 |
| 2.8.4 시험 데이터 보안 (0) | 2023.01.13 |
| 2.8.3 시험과 운영 환경 분리 (0) | 2023.01.13 |
| 2.8.2 보안 요구사항 검토 및 시험 (0) | 2023.01.13 |
댓글