본문 바로가기
ISMS-P 인증 기준/보호대책 요구사항

ISMS-P 인증 기준, 보안 요구사항 정의

by 세진파파 2025. 3. 3.
반응형

 

ISMS-P 인증 

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

2.8.2 보안 요구사항 검토 및 시험

2.8.3 시험과 운영 환경 분리

2.8.4 시험 데이터 보안

2.8.5 소스 프로그램 관리

2.8.6 운영환경 이관

 

ISMS-P 간편인증(7의2)

2.7 정보시스템 도입 및 개발 보안

2.7.1 보안 요구사항 정의

2.7.2 시험과 운영 환경 분리

2.7.3 시험 데이터 보안

2.7.4 소스 프로그램 관리

 

ISMS-P 간편인증(7의3) 

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

2.8.2 시험 데이터 보안

2.8.3 소스 프로그램 관리

 

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.

 

주요확인사항

* 정보시스템을 신규로 도입‧개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립‧이행하고 있는가?
* 정보시스템을 신규로 도입‧개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? 
* 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?

세부 설명

1. 보안성 검토 절차 수립 및 이행
정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립·이행하여야 한다.

1 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립
* 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
* 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건
* 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수
2. 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용
* 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준 수립
* 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립
* 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영

 

2. 보안 요구사항 설계 단계에서 반영
정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다.

* 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등
* 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항
* 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등
* 최신 보안취약점 등


3. 개발 코딩 보안 표준 마련
정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.

* 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련
* Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함
* 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행

 

증거자료

* 정보시스템 인수 기준 및 절차
* 정보시스템 도입 RFP(제안요청서) 및 구매계약서
* 개발 산출물(사업수행계획서, 요구사항정의서, 화면설계서, 보안아키텍처 설계서, 시험계획서 등)
* 시큐어 코딩 표준

 

결함사례

* 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
* 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 정보시스템에 대하여 인수 시 보안요건에 대해 세부 기준 및 계획이 수립되지 않았으며, 이에 따라 인수 시 보안성검토가 수행되지 않은 경우
* 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
* ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우

 

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf
8.11MB

반응형

'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글

ISMS-P 인증 기준, 시험과 운영 환경 분리  (0) 2025.03.05
ISMS-P 인증 기준, 보안 요구사항 검토 및 시험  (0) 2025.03.04
ISMS-P 인증 기준, 암호키 관리  (0) 2025.02.28
ISMS-P 인증 기준, 암호정책 적용  (0) 2025.02.27
ISMS-P 인증기준, 무선 네트워크 접근  (0) 2025.02.26

관련글

티스토리툴바