아오.. 겨우 다 만들고 이제 자야지 ㅠㅜ;
분석 및 설계 보안관리
8.1.1 보안 요구사항 정의
- 법적/보안 요구사항을 정의하고 반영하는가?
8.1.2 인증 및 암호화 기능
- 사용자 인증에 대한 보안 요구사항을 정의하여 반영하는가?
- 법적 요구사항을 고려한 적절한 암호화 방법을 사용하는가?
- 중요 정보 전송 시 SSL보안서버를 통하여 암호화 하는가?
8.1.3 보안로그 기능
- 보안관련 로그, 감사증적 등 확보할 수 있는 기능을 반영하는가?
- 보안로그를 보호하기 위한 대책을 마련하고 있는가?
8.1.4 접근권한 기능
- 목적 및 중요도에 따라 접근권한을 부여하도록 설계되어 있는가?
구현 및 이관 보안
8.2.1 구현 및 시험
- 안전한 구현을 위한 코딩 표준이 마련되고 이에 따라 구현하고 있는가?
- 기술적 보안취약점 점검을 하고 있는가?
- 구현된 기능이 정의된 보안 요구사항을 충족하는 지 시험을 수행 하는가?
8.2.2 개발과 운영 환경 분리
- 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
8.2.3 운영환경 이관
- 운영환경으로의 이관 절차를 수립/이행하고 있는가?
- 이관 시 발생할 수 있는 문제 대응 방안을 마련하고 있는가?
- 운영환경에서 서비스 실행에 필요한 파일만을 설치하고 있는가?
8.2.4 시험데이터보안
- 시스템 시험 과정에서 실제 운영 데이터 사용을 제한하고 있는가?
- 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인 등의 인가 절차를 수립/이행하고 있는가?
8.2.5 소스 프로그램 보안
- 소스 프로그램에 대한 변경이력을 관리하고 있는가?
- 비상시를 대비하여 이전 시스템의 소스 프로그램을 보관하고 있는가?
- 비인가된 자의 접근을 통제하기 위하여 절차를 수립/이행하고 있는가?
외주개발 보안
8.3.1 외주개발보안
- 준수해야할 보안 요구사항을 제안요청서에 기재하고 계약시 반영하는가?
- 계약서에 명시된 보안요구사항을 준수하는 지 여부를 관리/감독하고 있는가?
- 개발 완료 후 S/W 보안취약점 제거 여부 진단, 보안취약점 발견사항 조치 여부 등을 확인 후 검수/인수하고 있는가?