주요사항
시스템 도입·개발·변경 시 타당성 검토, 인수절차 수립·이행
인증기준
정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.
확인사항
- 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립·이행하고 있는가?
- 정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
- 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?
가상자산 사업자 확인사항
- 신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가?
- 주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 해당 가상자산의 월렛 관련 상세 위험평가(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로 보안요구사항을 도출하여 이를 설계에 반영하고 있는가?
결함사례
- 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
- 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나 최근 도입한 일부 시스템에 대해 인수테스트(취약점 점검) 등의 관련 보안성 검토 수행 증적이 확인되지 않은 경우
- 개발 관련 내부 지침에 개발과 관련된 주요 보안요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
- ‘개발표준정의서’에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우
스와이프(Swipe)로 이전/다음 항목으로 이동