단계별 내부통제항목 - 예방(4)

 

 

⑤ 사무실 환경 보안
사무실 내에서의 중요 자산 보호 및 정보보호에 대한 대책을 수립하고 이행하여야 한다. 사무실 환경 보안은 “개인 업무 환경 보안”과 “공용업무 환경 보안”으로 분리해서 수행할 수 있다. “개인 업무 환경 보안”은 “이석 시 컴퓨터 화면 보호기 및 패스워드 설정”, “중요문서 및 저장매체 방치 금지”, “개인용컴퓨터 보안 설정”, “중요문서 파기” 등의 대책이 필요하며 “공용업무 환경 보안”은 공용으로 사용하는 사무 장비에 대한 보호 대책을 의미하며 “공용 사무기기”, “공용 컴퓨터”, “파일서버”, “문서고”, “공용 사무실” 등에 대한 중요 자산 및 정보보호에 대한 대책을 수립하여야 한다. 

관련표준 및 지침

K-ISMS	7.3.1 개인업부 환경 보안 7.3.2 공용업무 환경 보안
ISO/IEC 27002:2013	A.11.1.3 Securing offices, rooms and facilities A.11.1.4 Protecting against external and environmental threats A.11.2.9 Clear desk and clear screen policy
NIST SP 800-53	PE-3, PE-4, PE-5 CP-2, CP-6, CP-7, PE-1, PE-9, PE-13, PE-15, PE-18, PE-19 AC-1, AC-11, MP-1, MP-2, MP-4

 

 

6) 시스템 개발 보안
정보시스템 개발 및 변경 시 “보안요구사항”을 정의하고 소프트웨어 개발 생명 주기(Software Development Life Cycle)의 모든 단계에 일관성 있게 적용될 수 있도록 하여야 하며, “인증 및 암호화 기능”, “접근권한 기능”, “개발 및 시험”, “개발 환경 분리”, “운영환경 이관”, “테스트 데이터 보안”, “소스 프로그램 보안”, “외주 개발 보안”에 대한 대책을 수립하고 시행하여야 한다.

 

① 보안 요구사항 정의
신규 정보시스템 개발 및 기존 시스템 변경 시 “보안요구사항”을 정의하고 소프트웨어 개발 생명 주기(Software Development Life Cycle)의 모든 단계에 일관성 있게 적용될 수 있도록 하여야 한다. 보안요구사항은 “개인정보 처리에 관련된 법적 요구사항”, “최신 보안 취약점”, “보안 기본 요소”, “사용자 부서 및 기관의 보안 요구사항”, “보안 기술적인 요구사항” 등을 고려하여 작성되어야 한다. 

관련표준 및 지침

K-ISMS	8.1.1 보안 요구사항 정의
ISO/IEC 27002:2013	A.14.1.1 Information security requirements analysis and specification
NIST SP 800-53	PL-7, PL-8, RA-2, SA-3, SA-4, SA-8

 

 

② 인증 및 암호화 기능
정보시스템 설계 시 사용자 인증에 대한 보안 요구사항을 정의하고 방영하여야 하며, 입·출력 및 송·수신과정에서 “무결성” 및 “기밀성”이 보존될 수 있는 “적절한 암호화 방법”을 사용하여야 한다. 사용자 인증에 대한 보안 요구사항은 “패스워드”, “접근통제”, “추가적인 사용자 인증 절차” 등에 관한 내용을 포함하여야 하며, 암호화는 “안전성이 입증된 알고리즘과 키 길이”를 사용하여 암호화하여야 한다. 또한 개인정보와 같은 중요한 정보 송·수신 시 SSL과 같은 “암호화 통신”이 이루어져야 한다.  

관련표준 및 지침

K-ISMS	8.1.2 인증 및 암호화 기능
ISO/IEC 27002:2013	A.14.1.3 Protecting application services transactions
NIST SP 800-53	AC-3, AU-10, IA-2, IA-8, SC-2, SC-3, SC-7, SC-8, SC-13

 

 

③ 접근권한 기능
정보시스템 설계 시 사용자의 “업무 목적”, “기능”, “중요도”에 따라 “접근권한”이 부여될 수 있도록 하여야 한다. 접근권한은 “사용자별”, “사용자 업무 역할별”, “기능별”, “메뉴별”로 정의할 수 있다. 

관련표준 및 지침

K-ISMS	8.1.4 접근권한 기능
ISO/IEC 27002:2013	A.9.4.5 Access control to program source code
NIST SP 800-53	AC-3, AC-6, CM-5, CM-9, MA-5, SA-10

 

 

④ 개발 및 테스트
보안요구사항 및 “안전한 코딩(Secure Coding) 표준·규약”에 따라 정보시스템을 개발하고 보안요구사항이 적절하게 반영되었는지 확인하기 위하여 “테스트”를 수행하여야 한다. 최종 사용자는 요구사항이 정확히 반영되었는지를 “사용자 인수 테스트(User Acceptance Test)”를 통하여 최종 테스트하여야 한다. 또한 “기술적 보안취약점 점검”을 수행하여 취약점이 존재하는지를 검증하여야 한다. 

관련표준 및 지침

K-ISMS	8.2.1 구현 및 시험
ISO/IEC 27002:2013	A.14.1.2 Securing application services on public networks A.14.2.8 System security testing A.14.2.9 System acceptance testing
NIST SP 800-53	AC-3, AC-22, SI-3, SI-4, SI-5, SI-7, SI-10 CA-2, CA-6, CM-3, CM-4, CM-9, SA-4, SA-10, SA-11