보안성 검토에 대해 알아보겠습니다

Ⅰ. 보안성 검토란 

 기업 및 조직에서 정보시스템, 소프트웨어 등을 도입하고 개발하는 사업을 진행할 때 보안 취약점을 사전에 제거하고 보다 체계적인 보안 관리를 하기 위해 수행하는 일련의 과정을 뜻합니다.

Ⅱ. 단계별 보안성 검토 심의 절차
 보안성 검토 절차는 사업 초기의 기획 단계, 사업자 선정 후의 설계/구현 단계, 그리고 마지막 검수 단계 등 3가지로 나눠볼 수 있습니다.

 

 1) 기획 단계에서는 내부의 규정, 지침 및 매뉴얼과 외부 기관을 통해 취득한 인증에 반하는 내용이 없는지 살펴보고 정보보안 관련 법률 준수 여부에 대해 검토합니다. 사업자와 계약 시, 도입되는 제품이 보안성 인증 제품(CC인증 등)으로 선정하도록 되 있는지, 추가적인 비용 산정은 적절하게 포함되었는지 등 정보보안 관련 사항이 계약서에 제대로 명시돼 있는지를 검토합니다.

 2) 설계/구현 단계에서는 사업자(수행사)가 설계하고 구현한 정보시스템 및 소프트웨어에 대해 CCE, CVE 에 대해 조치가 가능한지, 프로그래밍 할 때 시큐어코딩이 적용되었는지, 웹 서버일 경우 OWASP 10 에 대해 조치가 되었는지 등등을 포함한 물리적, 기술적 점검을 실시합니다.

 

 3) 검수 단계에서는 설계/구현 단계에서 점검했던 사항들이 모두 다 완벽히 이행되어 있는지를 확인합니다.

(사진 출처 : 이글루시큐리티)