2024/01/09 2

ISMS-P 결함사례 고찰 #2.8. 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의 인증기준: 정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. 결함사례#1 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우가 있다. 정보시스템에 대한 보안성 기준과 절차를 마련하는 것은 언제나 필수적인 일이다. 이것에 따라 타당성을 검토하여 인수할 준비를 할 수 있기 때문이다. 부동산을 살 때 그 부동산에 대한 정보, 입지, 미래에 가격이 오를만한 가능성 등을 전부 검토하지 않는가. 그거와 다를 바가 없다. 도입하기 전에는 도입 계획이 필요한 법이고, 그에 따라 검토는 필수적으로 이뤄져야 한다. 결함사례#2 신규 시스템 도입 시 기존 운영환경에..

보안/개념 2024.01.09

ISMS-P 결함사례 고찰 #2.7. 암호화 적용

2.7.1 암호정책 적용 인증기준: 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. 결함사례#1 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우가 있다. 대상 별로 어떻게 암호화를 해야 하고, 어떤 암호화 알고리즘을 적용해야 하는지도 이미 성문화 되어있고, 그렇기에 역할 및 책임에 대해 명시하는 것은 어려운 일이 아니라고 본다. 개인적으로 '책임'을 명시하는 것을 정말 중요시 여겨야 한다고 생각하는데, 개인적으로는 자리가 사람을..

보안/개념 2024.01.09
728x90