항목 : 2.9.1 변경관리
■ 인증기준 : 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.
■ 주요 확인사항
- 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행하고 있는가?
- 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
금융분야 추가확인사항
- 장애 또는 오류 등에 의한 전산원장 변경을 위하여 별도의 변경절차를 수립・운영하고 있는가?
- 안전하고 체계적인 일괄작업(batch) 수행을 위한 사항을 준수하고 있는가?
■ 관련 법규
- 전자금융감독규정 제27조(전산원장 통제) 제1항, 제2항
- 전자금융감독규정 제14조(정보처리시스템 보호대책) 제5호
- 전자금융감독규정 제30조(일괄작업에 대한 통제)
■ 세부 설명
① 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행 하여야 한다.
- 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU·메모리·저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경을 위한 공식적인 절차 수립 및 이행
금융분야 추가확인사항
② 전산원장은 금융회사의 가장 중요한 정보로써 이용자(고객) 본인의 정상적인 거래 시에만 변경되어야 하며, 프로그램 오류, 거래오류, 시스템 장애 등으로 불가피하게 전산원장에 직접 접근하여 변경(조회・수정・삭제・삽입)하여야 하는 경우에는 다음과 같은 엄격한 변경절차를 따라야 한다.
- 응용프로그램에 의한 전산원장 변경이 원칙
- 변경 대상 및 방법, 변경 권한자 지정
- 변경 전후내용 자동기록 및 보존
- 응용프로그램에 의한 전산원장 변경이 불가능한 경우 공식적인 승인 절차에 따른 변경 의뢰
- 변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경 의뢰 요청자 및 승인내용(요청내용의 적정성 판단 포함) 등을 포함
- 원장변경 의뢰내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인
③ 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.
- 정보시스템 통합, 전환 및 재개발 시 장애 등으로 정보시스템 운영에 지장이 초래되지 않도록 통제 절차 마련
금융분야 추가확인사항
- 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석(방화벽 등 보안시스템 정책 변경 필요성, 정책 변경 시 문제점 및 영향도 등)
- 변경에 따른 영향을 최소화할 수 있도록 변경을 이행
- 변경 실패에 따른 복구방안을 사전에 고려
금융분야 추가확인사항
④ 일괄작업(batch job)이란 프로그램을 올려놓고(load) 작업을 수행할 때 작업의 중단 없이 컴퓨터를 점유하여 처리하는 작업으로 하나의 프로그램에 의해 대량의 자료가 변경되기 때문에 데이터 무결성・신뢰성・정확성을 유지하기 위해 통제하여야 한다.
- 작업요청서에 의한 책임자 승인
- 소관업무 책임자의 일괄작업 실행파일 및 스크립트 검증
- 일괄작업은 최대한 자동화하여 오류 최소화
- 일괄작업 오류 발생 시 책임자 확인 및 조치
- 모든 일괄작업내용 기록・관리(최소 1년 이상 보관 권고)
- 일괄작업 수행자의 주요업무 관련 행위에 대한 책임자 모니터링
■ 증적예시
- 변경관리 절차
- 변경관리 수행 내역(신청·승인, 변경 내역 등)
- 변경에 따른 영향분석 결과
■ 결함사례
- 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우
- 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우
- 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.3 백업 및 복구관리) (0) | 2023.03.02 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.2 성능 및 장애관리) (0) | 2023.02.28 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.6 운영환경 이관) (0) | 2023.02.24 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.5 소스 프로그램 관리) (0) | 2023.02.24 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.4 시험 데이터 보안) (0) | 2023.02.24 |