ISMS-P 인증 기준, 변경관리

 

ISMS-P 인증 

2.9. 시스템 및 서비스 운영관리

2.9.1.변경관리
2.9.2.성능 및 장애관리
2.9.3.백업 및 복구관리
2.9.4.로그 및 접속기록 관리
2.9.5.로그 및 접속기록 점검
2.9.6.시간 동기화
2.9.7.정보자산의 재사용 및 폐기

 

ISMS-P 간편인증(7의2)

2.8. 시스템 및 서비스 운영관리

2.8.1. 변경관리

2.8.2. 백업 및 복구관리

2.8.3. 로그 및 접속기록 관리

 

ISMS-P 간편인증(7의3) 

2.9. 시스템 및 서비스 운영관리

2.9.1. 변경관리

2.9.2. 백업 및 복구관리

2.9.3. 로그 및 접속기록 관리

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.

 

주요확인사항

* 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립‧이행하고 있는가?
* 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?

세부 설명

1. 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행 하여야 한다.
운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU·메모리·저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경을 위한 공식적인 절차 수립 및 이행

※ 변경절차에 포함되어야 할 사항(예시)
* 변경 요청
* 책임자 검토 및 승인
* 변경 확인 및 검증
* 관련 문서 식별 및 변경(자산목록, 운영 매뉴얼, 구성도 등)
* 변경 이력관리 등

 

2. 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다.
* 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석(방화벽 등 보안시스템 정책 변경 필요성, 정책 변경 시 문제점 및 영향도 등)
* 변경에 따른 영향을 최소화할 수 있도록 변경을 이행
* 변경 실패에 따른 복구방안을 사전에 고려

 

증거자료

* 변경관리 절차
* 변경관리 수행 내역(신청·승인, 변경 내역 등)
* 변경에 따른 영향분석 결과

결함사례

* 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우
* 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우
* 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않는 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB