ISMS-P 인증 기준 2.8.4.시험 데이터 보안
From CS Wiki
- 영역: 2.보호대책 요구사항
- 분류: 2.8.정보시스템 도입 및 개발 보안
개요[edit | edit source]
항목 | 2.8.4.시험 데이터 보안 |
---|---|
인증기준 | 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립·이행하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
- 정보시스템의 개발 및 시험 과정에서 실제 운영데이터의 사용을 제한하여야 한다.
- 개인정보 및 중요 정보가 시스템 시험과정에서 유출되는 것을 방지하기 위하여 시험데이터는 임의의 데이터를 생성하거나 운영데이터를 가공·변환한 후 사용
- 시험데이터 변환 및 사용에 따른 기준·절차 수립·이행
- 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립·이행하여야 한다.
- 운영데이터 사용 승인 절차 마련 : 데이터 중요도에 따른 보고 및 승인체계 정의 등
- 시험 기한 만료 후 데이터 폐기절차 마련 및 이행
- 운영데이터 사용에 대한 시험환경에서의 접근통제 대책 적용
- 운영데이터 복제·사용에 대한 모니터링 및 정기검토 수행 등
증거 자료[edit | edit source]
- 시험데이터 현황
- 시험데이터 생성 규칙
- 운영데이터를 시험환경에 사용한 경우, 관련 승인 이력
- 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
결함 사례[edit | edit source]
- 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
- 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
- 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 데이터 베이스에 대하여 운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
- 실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 데이터베이스에서 삭제하지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)