주요사항

불가피한 경우 보완통제

인증기준

개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.

확인사항

  • 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
  • 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?

가상자산 사업자 확인사항

  • 가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가?
    - 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경
    - 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행
    - 복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정

결함사례

  • 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 운영환경에서 직접 소스코드 변경을 수행하고 있는 경우
  • 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우
  • 개발시스템이 별도로 구성되어 있으나 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우