2.10.1 보안시스템 운영 인증기준: 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립·이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. 결함사례#1 침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우가 있다. 보안정책에 대한 검토는 정기적으로 수행하며 각 정책의 타당성을 따지는 작업이 필요하다. 이게 참 신기하게도, 한 번 하고 끝나는 일이 될 수가 없다. 1월에는 타당했던 정책이 7월에는 타당하지 않을 수도 있다. 진짜로 그렇다. 법의 개정 때문일 수도 있고, 이유야 다양하다. 침입차단시스템만 그런 게 아니라, 정책, 지침, 프레임워크라는 것에 대해서는 주기적인 검토가 필요하다...