ISMS(정보보호관리체계) 인증 기준 2.9.1 변경관리

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.1 변경관리

항목		상세내용
2.9.1	변경관리	정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립•이행하고 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.
주요 확인사항		ㆍ정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립•이행하고 있는가? ㆍ정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 옇양을 분석하고 있는가?
관련 법규

 

● 중요사안

- 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.
> 영향 분석 시 일반적으로 기술되어야 할 내용(예시)
   * 변경 전 후, 무엇이 달라졌는지에 대한 설명
   * 수정/변경에 따른 잠재적 요인들이 시스템 안정성에 미치는 영향
   * 수정/변경이 발생함에 따라 추적성을 갖추어야 함(산출물 기록 및 이력 등)
- 정보시스템 자산 변경절차르 수립하여야 한다.
- 정보시스템 자산 변경에 대한 공식적인 지침/절차에 대해 사내 게시판에 공지하고 주기적인 업무교육을 통해 관련 부서가 준수하도록 하여야 한다.
- 정보시스템 자산을 변경하는 경우 업무 및 주변 환경(시스템에)에 미치는 성능 및 보안상의 영향을 사전에 파악할 수 있도록 업무 프로세스를 운영하여야 한다. 더불어 변경 실패 시 이전으로 되돌아 갈 수 있는 복구방안을 마련하여야 한다.

 

● 운영현황

- 정보시스템 및 정보보호시스템 변경관리 절차를 수립하고 있으며, 작업 전 품의를 통해 책임자의 승인을 득한 후 이행하고 있음
- 정보시스템의 중대한 변경이 필요한 경우, 개발/테스트, DR, 메인 단계로 적용하고 각 단계별 책임자의 승인절차를 거치고 있음
- 자산의 변경 수행 이전에 영향도를 분석/파악하고, 변경이 원활하게 이루어지지 않았을 경우를 대비한 복구방안을 수립하여 수행하고 있음

 

● 기록(증적자료)

- 정보시스템 변경관리 절차서
- 변경관리 신청서
- 변경결과 보고서
- 변경관리대장
- 사전영향평가서

 

● 주요 결함사례

- 자산에 대한 변경관리 절차를 마련하여 수행하고 있으나, 긴급하게 변경한 건이 일부 변경관리대장, 변경결과보고서에 관한 증적이 확인되지 않는 경우
- 사전 영향 분석을 통해 성능 및 보안에 관한 사항을 변경계획서 내 반영하였으나, 실제 변경이 이루어지지 않았거나, 증적이 확인되지 않는 경우
- 정보시스템 변경 작업을 수행하였으나 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행•승인 증적이 확인되지 않은 경우
- 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석•협의하고 관련 이력을 관리하도록 하고 있으나 해당 시스템을 통하지 않고도 시스템 변경이 가능하며 관련 변경사항이 적절히 검토되지 않는 경우