Q. 기업 실사 중 다음과 같은 결함들을 발견하였다. 어떤 심사기준에 따라 결함으로 볼 수 있는지 알맞은 항목을 모두 고르시오.
- 개발시스템이 별도로 구성되어 있으나, 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우
- 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
-
12.8.3 시험과 운영 환경 분리
-
22.9.4 로그 및 접속기록 관리
-
32.9.6 시간 동기화
-
42.9.7 정보자산의 재사용 및 폐기
-
52.11.1 사고 예방 및 대응체계 구축
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.8. 정보시스템 도입 및 개발 보안 |
| 항목 | 2.8.3 시험과 운영 환경 분리 자세히 보기 |
| 인증기준 | 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.9. 시스템 및 서비스 운영관리 |
| 항목 | 2.9.4 로그 및 접속기록 관리 자세히 보기 |
| 인증기준 | 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위·변조, 도난, 분실 되지 않도록 안전하게 보존·관리하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.9. 시스템 및 서비스 운영관리 |
| 항목 | 2.9.6 시간 동기화 자세히 보기 |
| 인증기준 | 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.9. 시스템 및 서비스 운영관리 |
| 항목 | 2.9.7 정보자산의 재사용 및 폐기 자세히 보기 |
| 인증기준 | 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.11. 사고 예방 및 대응 |
| 항목 | 2.11.1 사고 예방 및 대응체계 구축 자세히 보기 |
| 인증기준 | 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. |