12. 시스템개발및도입보안지침

inswave-wiki
Wikiadmin (토론 | 기여)님의 2025년 10월 16일 (목) 10:32 판 (새 문서: __NOTOC__ <div style="border:2px solid #888; padding:20px; background-color:#f9f9f9; border-radius:8px;"> = 시스템 개발 및 도입보안 지침 = '''문서 버전: 1.0''' '''시행일: 2025.04.30''' '''담당: 정보보호 최고책임자 / 정보보호 관리자''' ※ 본 지침은 클라우드컴퓨팅 서비스를 제공하기 위한 운영문서로서 검토되고 승인됨. </div> == 문서 제·개정 이력 == {| class="wikitable" style="width:80%; text-al...)
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 이동 검색으로 이동


시스템 개발 및 도입보안 지침

문서 버전: 1.0 시행일: 2025.04.30 담당: 정보보호 최고책임자 / 정보보호 관리자

※ 본 지침은 클라우드컴퓨팅 서비스를 제공하기 위한 운영문서로서 검토되고 승인됨.

문서 제·개정 이력

번호 날짜 내용 담당자
1.0 2025.04.30 - 최초 작성 정보보호 관리자

제1장 총칙

제1조 (목적)

이 지침은 ㈜인스웨이브(이하 “회사”)의 「정보보호정책서」에 의거 시스템 개발 및 도입과 관련한 보안 사항을 규정함을 목적으로 한다.

제2조 (적용범위)

이 지침은 회사의 클라우드컴퓨팅 서비스 업무에 종사하는 임직원과 해당 업무를 수행하는 외부 계약업체 직원에게 적용된다.

제3조 (용어 정의)

  1. “외부인”이라 함은 「직제규정」에서 정한 “직원”이 아닌 자로서,
 특정 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
  1. “외부위탁”이라 함은 특정 업무를 외부업체에 위탁하여 처리하는 방식을 말한다.

제2장 시스템 분석 및 설계

제4조 (보안 요구사항 정의)

  1. 클라우드컴퓨팅 서비스 개발 시 정보보호 관련 법적 요구사항,
 최신 보안 취약점, 기밀성·무결성·가용성 요소를 고려한 보안 요구사항을 정의·적용해야 한다.
  1. 신규 시스템 개발 및 기존 시스템 변경 시 다음 사항을 반영한다.
    1. 개인정보 처리 관련 법적 요구사항 (권한 부여 기록, 접속기록, 암호화 등)
    2. 이용자 및 기관의 보안 요구사항 (접근통제, 암호화 대상, 외주보안요건 등)
    3. 기술적 요구사항 (개발보안, 인증, 암호화 등)

제5조 (인증 및 암호화 기능)

  1. 인증 설계 시 다음 항목을 포함한다.
    1. 인증 시기: 이용자 접근, 관리자 페이지 접근, 중요 DB 접근 시
    2. 패스워드 정책: 실패 5회 잠금, SHA-2 암호화, 9자 이상·문자+숫자+특수문자 조합, 분기별 변경
    3. 세션관리: 비활성 시 자동 타임아웃
    4. 추가인증: 중요시스템(예: 개인정보처리시스템)에 OTP 등 적용
  2. 중요정보 송·수신 시 TLS 1.2 이상, SSL 또는 SSH 등 안전한 통신 채널을 사용해야 한다.

제6조 (보안로그 기능)

  1. 보안사고 추적을 위해 다음 로그를 확보해야 한다.
    1. 접속기록(로그인/로그아웃), 권한 부여·변경·말소, 중요정보 접근/다운로드, 특수권한 접근, 주요업무 행위
  2. 감사기록의 변조·삭제 방지를 위한 접근통제를 적용해야 한다.
  3. 감사기록 저장소의 용량 초과 시 관리자 경보 기능을 포함해야 한다.
  4. IaaS, WEB, WAS, DB 등 주요 시스템의 접속로그를 매월 검토해야 한다.

제7조 (접근 권한 기능)

사용자를 역할별로 분류하고, 최소권한 원칙에 따라 접근 범위를 설정해야 한다.

제8조 (시각 동기화)

  1. 로그기록의 정확성 보장을 위해 표준시각으로 동기화해야 한다.
  2. 시스템의 시각 동기화 상태를 주기적으로 점검해야 한다.

제9조 (구현 및 시험)

  1. 안전한 코딩표준에 따라 다음 사항을 고려해 구현해야 한다.
    1. 입력값 유효성 검증, SQL 삽입 방지, 안전한 세션관리 등
  2. 시험계획서, 시나리오, 체크리스트를 작성하여 보안요구사항 반영 여부를 검증해야 한다.
  3. 시험결과를 문서화하고 기술적 취약성 존재 여부를 점검해야 한다.

제10조 (개발과 운영환경 분리)

  1. 개발·시험환경과 운영환경을 분리해야 한다.
  2. 부득이하게 통합운영 시 다음을 포함한 보안대책을 수립해야 한다.
    1. 개발 영향 범위 및 복구대책
    2. 장애대응 절차 및 승인 절차
    3. 운영데이터 사용 시 보호대책 및 승인 절차

제11조 (시험 데이터 보안)

  1. 시험데이터는 무작위 생성 또는 익명화·비식별화된 데이터를 사용해야 한다.
  2. 운영데이터를 사용할 경우 다음 절차를 거친다.
    1. 개인정보 여부 확인 후 익명화
    2. 개인정보 보호책임자 승인 획득
    3. 최소 정보 사용 및 생성이력 기록
    4. 승인된 환경 내에서만 사용, 외부 반출 시 승인 필수
  3. 시험 완료 후 데이터는 즉시 파기한다.

제12조 (소스프로그램 보안)

  1. 소스코드 변경관리 절차를 수립하고 형상관리 베이스라인을 정의해야 한다.
  2. 접근은 승인된 인력만 가능하며, 식별 및 인증 절차를 거쳐야 한다.
  3. 형상관리 서버는 안전한 위치에 설치하고, 운영환경과 분리해야 한다.

제13조 (외주개발 보안)

  1. 외주개발 계약 시 다음 요구사항을 명시해야 한다.
    1. 설계·구현·시험 보안요건, 개발환경 보안요건, 소스코드 관리, 코딩규약, 인수 절차 등
  2. 계약 이행 여부를 관리·감독해야 한다.
  3. 개발 완료 후 보안요구사항 반영, SW취약점 점검, 계정삭제 여부를 확인해야 한다.
  4. 수탁자는 업무 중 습득한 기밀을 누설하지 않도록 보안서약서를 제출해야 한다.

[별지 제1호 서식] 시험서(샘플)

항목 내용
시험항목 시험 대상 보안 기능 서술(예: 관리자 로그인 기능)
시험목적 관리자 로그인 시 입력값 검증, 연속인증 실패 대응, 피드백 보호 등 확인
시험환경 및 도구 시험 네트워크 환경, 사용 도구 및 버전 명시
시험절차 단계별 상세 기술 (반복 가능하도록)
시험결과 시험 목적 부합 여부 서술

[별지 제2호 서식] 시험데이터 사용 요청서

구분 항목
신청인 소속 / 직급 / 성명 / 연락처
구분 내부자 / 외부자
사용 목적 시험 목적 및 상세 기술
개인정보 항목 포함 여부 및 관리방안
사용 기간 기간 및 폐기 예정일 명시

[별지 제3호 서식] 검수확인서

구분 내용
위탁명
계약번호
착수일자 / 완료일자
위탁사업 내용
위탁개발 내역 업무 분석 / 설계 / 개발 / 테스트 단계의 적합 여부 확인
종합의견 검수 결과 이상 없음

[별지 제4호 서식] 보안서약서

보안서약서

본인은 ㈜인스웨이브 관련 업무 수행 중 알게 된 모든 내용을 기밀로 유지하며, 누설 시 관련 법령 및 계약에 따라 처벌 및 불이익을 감수할 것을 서약합니다.

| 연월일 | 서약자 성명 | 소속 | 직위 | 업체명 | |---------|--------------|------|-------|---------|

[별지 제5호 서식] 시스템 이력카드

항목 내용
관리번호
장비명 / 규격 CPU / MEMORY / HDD / OS
제조사
설치일자 / 장소
용도 / 교정주기
수리 및 교정이력 일자 / 내역 / 비고

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=12._시스템개발및도입보안지침&oldid=556"