항목 : 2.8.6 운영환경 이관
■ 인증기준 : 신규 도입·개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다.
■ 주요 확인사항
- 신규 도입·개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립·이행하고 있는가?
- 운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가?
- 운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가?
금융분야 추가확인사항
■ 관련 법규
- 전자금융감독규정 제29조(프로그램 통제) 제6호, 제7호, 제10호
■ 세부 설명
① 신규 도입·개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립·이행하여야 한다.
- 개발자 본인 이외의 이관담당자 지정
- 시험 완료 여부 확인
- 이관 전략(단계적 이관, 일괄적 이관 등)
- 이관 시 문제 대응 방안(복귀 방안, 이전 버전의 시스템 보관 방안 등)
- 이관에 대한 책임자 승인
- 이관에 대한 기록 보존 및 검토 등
금융분야 추가확인사항
- 전자금융거래에 사용되는 전산프로그램은 실제 업무를 처리하는 정보처리시스템에 설치하기 전에 자체 보안성 검증 실시
② 운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하여야 한다.
- 운영환경으로 정보시스템 이관이 원활하게 이루어지지 않았을 경우 복귀(Rollback) 방안
- 이전 버전의 시스템 보관 방안(소프트웨어, 부가 프로그램, 구성파일, 파라미터 등) 등
③ 운영환경에는 서비스 실행에 필요한 파일만을 설치하여야 한다.
- 운영환경에는 승인되지 않은 개발도구(편집기 등), 소스 프로그램 및 백업본, 업무 문서 등 서비스 실행에 불필요한 파일이 존재하지 않도록 관리
금융분야 추가확인사항
④ 운영환경으로 이관 시 소스 프로그램 반출, 실행프로그램의 생성, 운영시스템 등록은 해당 프로그램 담당자 이외의 자가 수행하여야 한다
- 운영시스템에 프로그램 적용 시 해당 프로그램 개발자가 아닌 별도 이관 담당자(전산자료 관리자 등)가 수행
■ 증적예시
- 이관 절차
- 이관 내역(신청·승인, 시험, 이관 등)
■ 결함사례
- 개발·변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우
- 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등)이 존재하는 경우
- 내부 지침에 운영환경 이관 시 안전한 이관·복구를 위하여 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나, 관련 문서가 확인되지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.2 성능 및 장애관리) (0) | 2023.02.28 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.1 변경관리) (2) | 2023.02.27 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.5 소스 프로그램 관리) (0) | 2023.02.24 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.4 시험 데이터 보안) (0) | 2023.02.24 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.3 시험과 운영 환경 분리) (0) | 2023.02.23 |