ISMS(정보보호관리체계) 인증 기준 2.8.4 시험 데이터 보안

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.4 시험 데이터 보안

항목		상세내용
2.8.4	시험 데이터 보안	시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립•이행하여야 한다.
주요 확인사항		ㆍ정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가? ㆍ불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립•이행하고 있는가?
관련 법규

 

● 중요사안

- 정보처리시스템에 대한 테스트를 할 때 실제 이용자 정보를 테스트 정보로 사용하지 아니하여야 한다.
- 부하테스트 등 사용이 불가피한 경우 책임자 승인 등의 인가 절차를 거쳐 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다.

 

● 운영현황

- 개발 및 테스트 단계에서 운영데이터의 사용을 원칙적으로 금지하고 있음
- 운영데이터 사용이 불가피한 경우 개인정보 등 중요정보를 비식별화하여 책임자의 검토 및 승인을 거친 후 한시적으로 사용 후 완전 파기하고 있음
- 운영데이터 사용에 대한 모니터링 및 접근통제를 수행하고 정기적으로 검토하고 있음

 

● 기록(증적자료)

- 개발보안지침
- 정보시스템 구축•운영 지침
- 시험데이터 생성 규칙
- 운영데이터 사용에 관한 승인 이력

 

● 주요 결함사례

- 개발 서버에서 사용할 시험데이터 생성 및 이용에 대한 구체적 정책 및 절차가 수립되어 있지 않은 경우
- 중요정보 비식별화, 사용기간 미지정, 사용승인 없이 실 운영 데이터를 테스트 데이터로 사용하고 있는 경우
- 실 운영 데이터를 저장하고 있는 테스트 DB에 대한 운영 DB와 동일한 수준의 보호대책을 적용하고 있지 않은 경우
- 테스트 완료 후에도 테스트 서버 내의 실 운영 데이터를 삭제하지 않은 경우
- 시험 환경에서 실운용 데이터에 대한 접근 권한 및 통제 절차가 수립되어 있지 않은 경우
- 불가피하게 시험환경에서 운용데이터를 사용하는 것에 대한 책임자 승인절차가 없는 경우