2.9.1 변경관리

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.9 시스템 및 서비스 운영관리	2.9.1 변경관리
	2.9.2 성능 및 장애관리
	2.9.3 백업 및 복구관리
	2.9.4 로그 및 접속기록 관리
	2.9.5 로그 및 접속기록 점검
	2.9.6 시간 동기화
	2.9.7 정보자산의 재사용 및 폐기

---

---

정보시스템 관련 자산의 모든 변경내역 관리 절차 수립 · 이행

변경 전 영향 분석

핵심 키워드 

 

정보시스템 자산 변경 절차 수립 · 이행
정보시스템 자산 변경 수행 전 성능 및 보안 영향 분석

 

연관 두음

 

---

 

인증기준

 

정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립 · 이행하고,
변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.

 

주요 확인사항

 

* 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한
  절차를 수립 · 이행하고 있는가?

* 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?

 

세부 설명

 

□ 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한

   절차를 수립 · 이행 하여야 한다.

 

▶ 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경,

     CPU · 메모리 · 저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우

     변경을 위한 공식적인 절차 수립 및 이행

 

□ 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.

 

결함사례

 

사례 1 :
최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나,
변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행 · 승인 증적이 확인되지 않은 경우

사례 2 : ★
최근 네트워크 변경 작업을 수행하였으나
관련 검토 및 공지가 충분히 이루어지지 않아
네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의
접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우

사례 3 :
변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시
성능 및 보안에 미치는 영향을 분석  ·협의하고 관련 이력을 관리하도록 하고 있으나,
해당 시스템을 통하지 않고도 시스템 변경이 가능하며,
관련 변경사항이 적절히 검토되지 않는 경우

---

가상자산 사업자 대상 주요 확인사항

 

장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립 · 운용하고 있는가?

-변경 대상 및 방법 변경 권한자 지정
-변경 전후내용 자동기록 및 보존
-변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 
 변경의뢰 요청자 및 승인내용 등을 포함
- 원장변경 의뢰내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인

 

안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수하고 있는가?

- 작업요청서에 의한 책임자 승인
- 일괄작업의 최대한 자동화 및 오류 최소화
- 일괄작업 오류 발생 시 책임자 확인 및 조치
- 모든 일괄작업내용 기록관리
- 일괄작업 수행자의 주요업무관련행위 책임자 모니터링

---

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)