2.8.1 보안 요구사항 정의
상세 내용
정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.
주요 확인사항
•
정보시스템을 신규로 도입∙개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립∙이행하고 있는가?
•
정보시스템을 신규로 도입∙개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
•
정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?
2.8.2 보안 요구사항 검토 및 시험
상세 내용
사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립∙이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.
주요 확인사항
•
정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가?
•
정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가?
•
시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가?
•
공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석∙설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?
2.8.3 시험과 운영 환경 분리
상세 내용
개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.
주요 확인사항
•
정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
•
불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?
2.8.4 시험 데이터 보안
상세 내용
시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립∙이행하여야 한다.
주요 확인사항
•
정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
•
불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립∙이행하고 있는가?
2.8.5 소스 프로그램 관리
상세 내용
소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.
주요 확인사항
•
비인가된 자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립∙이행하고 있는가?
•
소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가?
•
소스 프로그램에 대한 변경이력을 관리하고 있는가?
2.8.6 운영환경 이관
상세 내용
신규 도입∙개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다.
주요 확인사항
•
신규 도입∙개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립∙이행하고 있는가?
•
운영환경으로의 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가?
•
운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가?