2. 보호대책 요구사항(4)

2.7 암호화 적용

2.7.1 암호정책 적용

- 개인정보 및 주요정보 보호를 위해 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장, 전송, 전달 시 암호화를 적용해야 함

 

2.7.2 암호키 관리

- 암호키의 생성, 이용, 보관, 배포, 파기를 위한 관리 절차를 수립/이행하고, 필요시 복구방안을 마련해야 함

 

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

- 정보시스템의 도입/개발/변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 함

• 타당성 검토 및 인수 절차

2.8.2 보안 요구사항 검토 및 시험

- 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위해 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립/이행하고, 발견된 문제점에 대한 개선조치 수행

 

2.8.3 시험과 운영 환경 분리

- 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위해 원칙적으로 분리해야 함

 

2.8.4 시험 데이터 보안

- 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위해 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립/이행해야 함

• 정보시스템 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?

2.8.5 소스 프로그램 관리

- 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 함

 

2.8.6 운영환경 이관

- 신규 도입/개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 함