그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.1 보안 요구사항 정의)

_그사람 2023. 2. 22. 08:10

항목 : 2.8.1 보안 요구사항 정의

 

■ 인증기준 : 정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.

 

■ 주요 확인사항

  • 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립·이행하고 있는가? 
  • 정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? 
  • 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?

 

금융분야 추가확인사항

■ 관련 법규

  • 전자금융감독규정 제20조(정보처리시스템 구축 및 전자금융거래 관련 사업 추진) 제1호, 제2호, 제3호, 제29조(프로그램 통제
  • 전자금융감독규정 제20조(정보처리시스템 구축 및 전자금융거래 관련 사업 추진) 제4호

 

 세부 설명

① 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립·이행하여야 한다.

  • 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립

       - 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석

       - 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건

       - 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준, 개인정보의 기술적·관리적           보호조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수

  • 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용 
  • 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준 수립

       - 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립

       - 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영

② 정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다.

  • 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등 
  • 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항
  • 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등 
  • 최신 보안취약점 등

금융분야 추가확인사항

  • 정보보호 관련 기술적 요구사항 : 인증(비밀번호, 접근통제, 추가인증 등), 암호화, 위변조 방지, 백업, 개발보안 등
  • 전자금융거래 관련 법적 요구사항 : 인력, 조직, 프로그램 통제 등

③ 정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.

  • 알려진 기술적 보안취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련
  • Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함
  • 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행

 

 

 증적예시

  • 정보시스템 인수 기준 및 절차 
  • 정보시스템 도입 RFP(제안요청서) 및 구매계약서 
  • 개발 산출물(사업수행계획서, 요구사항정의서, 화면설계서, 보안아키텍처 설계서, 시험계획서 등) 
  • 시큐어 코딩 표준

 

 결함사례

  1. 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
  2. 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 시스템에 대하여 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우 
  3. 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우 
  4. ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우

금융분야 추가확인사항

   5.  금융회사등이 정보시스템 도입 및 개발, 서비스 변경 건에 대해 자체보안성심의(검증)를 실시하지 않는 등 충분한 테스트(기밀성, 무결성, 가용성)를 진행하지 않았거나, 책임자의 승인절차를 누락한 경우

   

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람

저작자표시 비영리 변경금지

'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.3 시험과 운영 환경 분리)  (0) 2023.02.23
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.2 보안 요구사항 검토 및 시험)  (2) 2023.02.23
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.7 암호화 적용(2.7.2 암호키 관리)  (0) 2023.02.22
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.7 암호화 적용(2.7.1 암호정책 적용)  (2) 2023.02.22
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.7 인터넷 접속 통제)  (0) 2023.02.21

'그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)'의 다른글

  • 현재글ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.1 보안 요구사항 정의)

관련글

티스토리툴바