ISMS(정보보호관리체계) 인증 기준 2.8.1 보안 요구사항 정의

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.1 보안 요구사항 정의

항목		상세내용
2.8.1	보안 요구사항 정의	정보시스템의 도입•개발•변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.
주요 확인사항		ㆍ정보시스템을 신규로 도입•개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립•이행하고 있는가? ㆍ정보시스템을 신규로 도입•개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? ㆍ정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?
관련 법규

 

● 중요사안

- 관련 법령을 확인하여 반영한다.
  > 개인정보보호법, 정보통신망법, 시행령, 고시 및 해설서
- 보안기술 실무 안내서를 확인하여 반영한다.
  > 암호기술 구현 안내서
  > 암호이용 안내서, 암호정책 수립기준 안내서
  > 보안서버구축 안내서, 홈페이지 SW개발보안 가이드, 웹서버 구축 보안점검 안내서, 웹어플리케이션 보안 안내서, 홈페이지 개발보안 안내서
  > 소프트웨어 개발보안 관련 가이드

 

● 운영현황

- 신규 개발 시 보안 요구사항 분석 및 설계단계에서 고려 가능한 보안기능을 선정하여 개발하고 있음
- 형상관리시스템을 운영하여 개발 프로젝트에 대한 사전 보안성 검토를 진행하고 관리자의 승인을 득한 후 운영단계로 이관하고 있음
- 정보시스템 신규 도입 시 인수시험을 시행하고 취약점 점검을 진행하며 OS보안설정을 적용한 후 개발/테스트 단계로 이관하고 있음

 

● 기록(증적자료)

- 개발보안지침 문서
- 시스템 개발 및 보안요구사항 분석서
- 보안성 검토 보고서
- 개인정보 영향평가 보고서
- 시큐어 코딩 표준 지침 문서

 

● 주요 결함사례

- 개발 관련 내부 지침 및 문서에 시스템 개발 또는 변경과 관련된 보안요구사항(인증 및 암호화, 보안로그, 접근권한관리 기능 등)을 정의하고 있지 않은 경우
- 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
- 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나 최근 도입한 일부 시스템에 대해 인수테스트(취약점 점검 등)등의 관련 보안성 검토 수행 증적이 확인되지 않은 경우
- 정보시스템 도입 관련 지침에 신규 도입, 변경 시 보안 요구사항(법적 요구사항, 최신 취약점 등)을 정의하고 있지 않은 경우
- 최근 도입한 정보시스템의 보안성 검토(취약점 진단 등) 이력이 확인되지 않은 경우