운영4 (ISMS-P) 2.8.3. 시험과 운영 환경 분리 (항목) 2.8.3. 시험과 운영 환경 분리 (내용) 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다. 2021. 11. 24. (ISMS-P) 안전한 암호화 키 관리 절차 미흡 2.7.2 암호키 관리 암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다. 암호키는 제한된 인원에 의해 생성, 이용, 보관, 파기되어야 하며, 분실되지 않고 필요 시 사용 가능하도록 암호키를 안전한 곳에 보관하여야 한다. 법률에 따라 고유식별정보, 금융정보, 민감정보, 바이오정보 등은 양방향 암호화 알고리즘을 적용해야 하며 주로 대칭키 암호화 알고리즘을 사용한다. 대칭키 암호화 알고리즘을 사용한다는 것은 암호, 복호화 시에 암호화 키를 사용한다는 것을 의미하며 키를 안전하게 관리할 필요가 있다. 주요 결함사항 1) DB 내에 저장된 정보를 암호화하는 키를 설정 파일 내에 평문으로 보관하거나 소스코드 등에 하드코딩된 경우 2) 서비스별 동일한.. 2021. 11. 9. (ISMS-P) 2.3.1. 외부자 현황 관리 (항목) 2.3.1. 외부자 현황관리 (내용) 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보 통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호 대책을 마련하여야 한다. 2021. 11. 4. (ISMS-P) 2.2.2. 직무 분리 (항목) 2.2.2. 직무 분리 (내용) 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. 2021. 11. 3. 이전 1 다음
