반응형
2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.5 소스 프로그램 관리
| 항목 | 상세내용 | |
| 2.8.5 | 소스 프로그램 관리 | 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다. |
| 주요 확인사항 | ㆍ비인가된 자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립•이행하고 있는가? ㆍ소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가? ㆍ소스 프로그램에 대한 변경이력을 관리하고 있는가? |
|
| 관련 법규 | ||
● 중요사안
- 소스 프로그램의 변경관리를 통해 비상시 이전 상태로 복귀(rollback)될 수 있어야 한다.
- 불필요한 소스 프로그램의 백업 파일이 운영시스템에 존재하지 않아야 한다.
● 운영현황
- 형상관리솔루션을 운영하여 소스코드별 접근권한을 설정하고 비인가자의 접근을 통제하고 있음
- 운영환경과 분리하여 소스코드를 보관하고 백업하고 있음
- 소스코드의 변경 시 책임자 검토 및 승인 절차를 통해 이력을 관리하고 있음
● 기록(증적자료)
- 소스 프로그램 변경 이력
- 개발보안 지침
- 형상관리솔루션 통제 현황
● 주요 결함사례
- 별도의 백업•형상관리 시스템이 구축되어 있지 않으며, 이전 버전의 소스 코드를 운영서버 또는 개발자PC에 승인 및 이력관리 없이 보관하고 있는 경우
- 형상관리시스템을 구축하여 운영하고 있으나 형상관리시스템 또는 형상관리시스템에 저장된 소스코드에 대한 접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우
- 소스코드를 별도 보관하지 않고 운영환경의 서버에 저장하여 관리하는 경우
- 이전 버전의 소스코드를 저장하고 있는 서버에 대한 비인가자 접근통제가 이루어지지 않는 경우
반응형
'보안담당자로 살아가기 > ISMS(정보보호관리체계)' 카테고리의 다른 글
| ISMS(정보보호관리체계) 인증 기준 2.9.1 변경관리 (1) | 2024.12.19 |
|---|---|
| ISMS(정보보호관리체계) 인증 기준 2.8.6 운영환경 이관 (0) | 2024.12.17 |
| ISMS(정보보호관리체계) 인증 기준 2.8.4 시험 데이터 보안 (0) | 2024.12.16 |
| ISMS(정보보호관리체계) 인증 기준 2.8.3 시험과 운영 환경 분리 (0) | 2024.12.16 |
| ISMS(정보보호관리체계) 인증 기준 2.8.2 보안 요구사항 검토 및 시험 (3) | 2024.12.14 |