ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안

구분	변경 전		변경 후
항목	2.8.1 보안 요구사항 정의		-
상세내용	정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.		-
주요 확인사항	∙ 정보시스템을 신규로 도입∙개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립∙이행하고 있는가? ∙ 정보시스템을 신규로 도입∙개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? ∙ 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.8.2 보안 요구사항 검토 및 시험		-
상세내용	사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립∙이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.		-
주요 확인사항	∙ 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가? ∙ 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가? ∙ 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가? ∙ 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석∙설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.8.3 시험과 운영 환경 분리		-
상세내용	개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.		-
주요 확인사항	∙ 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가? ∙ 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.8.4 시험 데이터 보안		-
상세내용	시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립∙이행하여야 한다.		-
주요 확인사항	∙ 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가? ∙ 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립∙이행하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.8.5 소스 프로그램 관리		-
상세내용	소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.		-
주요 확인사항	∙ 비인가된 자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립∙이행하고 있는가? ∙ 소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가? ∙ 소스 프로그램에 대한 변경이력을 관리하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.8.6 운영환경 이관		-
상세내용	신규 도입∙개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다.		-
주요 확인사항	∙ 신규 도입∙개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립∙이행하고 있는가? ∙ 운영환경으로의 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가? ∙ 운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가?		-