항목 : 2.8.2. 보안 요구사항 검토 및 시험
■ 인증기준 : 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.
■ 주요 확인사항
- 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가?
- 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가?
- 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가?
- 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석·설계 단계에서 영향평가기관을 통하여 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?
■ 관련 법규
- 개인정보 보호법 제33조(개인정보 영향평가)
- 개인정보 영향평가에 관한 고시
금융분야 추가확인사항
- 전자금융감독규정 제29조(프로그램 통제) 제6호, 제36조(자체 보안성심의) 제1항, 제2항
- 전자금융감독규정 시행세칙 제3조(자체 보안성심의 기준 등)호
■ 세부 설명
① 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 검토기준과 절차를 수립하고 이에 따른 시험을 수행하여야 한다.
- 정보시스템 인수 전 인수기준 적합성 여부를 확인하기 위한 시험 수행
- 정보시스템이 사전에 정의한 보안 요구사항을 만족하여 개발·변경 및 도입되었는지 확인하기 위한 인수기준 및 절 차 수립
- 정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통하여 확인한 후 인수 여부를 결정
- 시스템 보안 설정, 불필요한 디폴트 계정 제거 여부, 최신 보안취약점 패치 여부 등 확인 필요
- 개발·변경 및 구현된 기능이 사전에 정의된 보안 요구사항을 충족하는지 시험 수행
- 시험 계획서, 체크리스트, 시험 결과서 등에 반영
② 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검을 수행하여야 한다.
- 코딩 완료 후 안전한 코딩 표준 및 규약 준수 여부를 점검하고 기술적 보안 취약점이 존재하는 지 점검 수행
- 시스템이 안전한 코딩표준에 따라 구현하는지 소스코드 검증(소스코드 검증도구 활용 등)
- 코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부 점 검
금융분야 추가확인사항
- 운영시스템 적용은 정보의 기밀성・무결성・가용성을 고려하여 테스트 및 관련 책임자의 승인 후 실
③ 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하여야 한다.
- 발견된 문제점은 시스템 오픈 전에 개선될 수 있도록 개선계획 수립, 내부 보고, 이행점검 등의 절차 수립·이행
- 불가피한 사유로 시스템 오픈 전에 개선이 어려울 경우에는 이에 따른 영향도 평가, 보완 대책, 내부 보고 등 위험을 줄일 수 있는 대책 마련
④ 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석·설계 단계에서 영향평가 기관을 통하여 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하여야 한다(개인정보 보호법 시행령 제35조 참고).
- 공공기관은 개인정보처리시스템 신규 개발 또는 변경을 위한 계획 수립 시 개인정보 영향평가 의무 대상 여부를 검토하여 의무 대상인 경우에 영향평가 계획을 수립하고 관련 예산 확보
- 공공기관은 개인정보처리시스템 신규 개발 및 변경 시 분석·설계 단계에서 개인정보보호위원회가 지정한 영향평가기관을 통하여 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영
- 영향평가기관 지정현황은 ʻ개인정보보호 종합포털(www.privacy.go.kr)ʼ에서 확인 가능
- 영향평가 수행절차, 평가기준 등은 ʻ개인정보 영향평가 수행안내서ʼ 참고
- 공공기관은 개인정보 영향평가서를 개인정보처리시스템 오픈 전 및 영향평가 종료 후 2개월 이내에 개인정보보호위원회에 제출
- 개인정보보호 종합지원시스템(intra.privacy.go.kr)에 영향평가서 등록
- 개인정보 영향평가 결과에 따른 개선요구사항에 대하여 이행 여부를 관리
- 개선요구사항에 대한 상세 이행계획 수립
- 정기적인 이행 상황 점검
- 불가피하게 기간 내 조치가 어려운 경우 타당한 사유를 기록·보고하고 향후 조치를 위한 이행계획 수립
- 영향평가서를 받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행현황을 1년 이내에 개인 정보보호위원회에 제출(개선계획 이행점검 확인서)
금융분야 추가확인사항
⑤ 전자금융 관련하여 업무 수행 시 자체보안성심의 또는 검증을 실시하여야 한다.
- 전자 금융거래에 사용되는 전산프로그램은 실제 업무 처리하는 정보처리시스템에 설치 전 자체 보안성 검증 실시
- 정보통신망을 이용하여 이용자를 대상으로 신규 전자금융업무 실시
- 자체 보안성심의 기준에 따라 보안성심의 실시 후 정보보호최고책임자 승인
- 복수의 금융회사 또는 전자금융업자가 공동으로 전자금융거래 관련 표준 제정
- 자체 보안성심의 기준에 따라 보안성심의 실시
- 자체 보안성심의를 수행한 날로부터 7일 이내 자체 보안성심의 결과보고서를 금융감독원에 제
※ 신규 전자금융업무에 따른 보안성심의의 경우 신규 전자금융업무가 제공 또는 시행된 날을 기준으로 과거 1년 이내 에 전자금융사고가 발생하지 않은 금융회사 또는 전자금융업자는 미제출 가능
■ 증적예시
- 정보시스템 인수 시험 결과
- 요구사항 추적 매트릭스
- 시험 계획서, 시험 결과서
- 취약점 점검 결과서
- 개인정보 영향평가서
- 개인정보 영향평가 개선계획 이행점검 확인서
■ 결함사례
- 정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안 요구사항을 시험하지 않고 있는 경우
- 응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목 일부가 누락된 경우
- 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약성에 대한 개선조치를 이행하지 않은 경우
- 공공기관이 5만 명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인 정보파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가를 실시하지 않은 경우
- 공공기관이 영향평가를 수행한 후 영향평가기관으로부터 영향평가서를 받은 지 2개월이 지났음에도 불구하고 영향평가서를 개인정보보호위원회에 제출하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.4 시험 데이터 보안) (0) | 2023.02.24 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.3 시험과 운영 환경 분리) (0) | 2023.02.23 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.1 보안 요구사항 정의) (0) | 2023.02.22 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.7 암호화 적용(2.7.2 암호키 관리) (0) | 2023.02.22 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.7 암호화 적용(2.7.1 암호정책 적용) (2) | 2023.02.22 |