1. 시스템 라이프 사이클과 정보보호 활동
-시스템 도입 및 개발단계로부터 분석, 설계, 구현, 시험, 인수, 운영, 유지보수, 폐기까지 각 단계별 관련된 정보보호 활동을 식별
가. 시스템 도입 및 개발
| 단계 | 기법 | ICT | 정보보호 |
| 계획 | 예비 조사 기초 조사 |
-현 시스템의 상태 및 문제점 파악 -해결 방안 제안 -시스템 개발, 증설 여부 등 결정 -시스템 도입 및 개발 계획 수립 |
-시스템 도입 및 개발 시 고려사항 (CC, 암호화 검증필, 인증 등) |
| 요구사항 분석 | 기능 분석 예비 설계 비용 효과 |
-현 시스템의 문제점과 사용자 요구사항 식별 -요구분석 명세서 작성 -기업환경 및 요구기능, 활동 등 조사 |
-시스템 도입, 개발, 변경 시 법적 요구사항, 취약점 제거, 시큐어 코딩 등 보안요구사항 정의 |
| 설계 | 기본 설계 상세 설계 |
-요구분석 명세서를 기반으로 시스템을 설계 | |
| 구현 | 프로그래밍 단위 테스트 |
-설계 사양에 따라 프로그래밍 -코딩 결과를 디버깅 또는 검증(단위 테스트) |
-시험과 운영환경 분리 -시험 데이터 보안 -소스 프로그램 관리 |
| 검토 및 시험 | 통합 테스트 시스템 테스트 |
-요구사항에 따라 정확히 구현 여부 검증 | -사전 정의된 보안요구사항의 구현 여부를 검증 |
| 인수/설치 | 이관 배포 |
-시스템을 운영환경 | -운영환경으로 이관 시 통제된 절차에 따라 수행 |
나. 시스템 운영
| 단계 | 기법 | ICT | 정보보호 |
| 운영 | 변경관리 성능 모니터링 백업 로그 및 접속기록 관리 |
-실제 업무에 적용 | -재해 복구 계획 수립 및 훈련 -사고 예방 및 대응 |
| 유지보수 | 수정유지보수 적응유지보수 완전유지보수 예방유지보수 |
-시스템을 최상의 상태로 유지 | -변경 사항 발생시 보안요구사항 정의 |
다. 시스템 재사용 및 폐기
| 단계 | 기법 | ICT | 정보보호 |
| 시스템 재사용 및 폐기 | ALM | -시스템 활용 목적 달성 시 재사용 또는 폐기 검토 | -재사용 시, 주요 정보 완전 삭제 -폐기 시, 저장매체 완전 파기 |
2. 보호대책
| 구분 | 기법 | 내용 |
| 관리적 보호대책 | 보안 인식 교육 직무 분리 감사 증적 |
-법적 요구사항 등을 식별 -정책, 지침 등을 제개정 -정보보호 계획 수립 -주기적인 또는 상시 정보보호활동 검토 |
| 물리적 보호대책 | 출입통제 CCTV 잠금장치 생체인증 |
-자연재해 또는 침해, 사고 등으로부터 정보시스템 보호 |
| 기술적 보호대책 | 접근통제 암호기술 백업 인증 및 권한관리 시스템 및 정보보호시스템 등 관리 |
-주요 정보자산을 보호하기 위한 기술 적용 |
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
| (CSAP) 네트워크 구조 설계 시 논리적/물리적 분리 고려사항 (1) | 2021.04.13 |
|---|---|
| (CSAP) 체계적인 대응을 위한 시점별 통제활동 유형 (0) | 2021.04.11 |
| (CSAP) 품질 관리와 정보보호 관리의 비교 (1) (0) | 2021.04.11 |
| (CSAP) 클라우드 보안 인증제 (0) | 2021.04.11 |
| (CSAP) 품질 경영 시스템(QMS)과 정보보호 경영 시스템(ISMS) (0) | 2021.04.11 |
댓글