통제목적

1. 정보시스템 동작, 문제 발생 시 재동작 및 복구, 오류, 예외사항 처리 등 시스템 운영을 위한 절차를 수립하여야 한다.

2. 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립하고 변경 전 시스템의 전반적인 성능 및 보안에 미치는 영향을 분석하여야 한다.

Security Life Cycle 목적

: 보안의 3요소 (무결성, 가용성, 기밀성)가 보장되며, 권한을 가진 사람들에게 공개함으로써 보안 등급이 올라가는 것을 보여준다. 또한 운영절차와 변경관리가 무엇인지에 관한 파일을 올림으로써 정확한 정보를 알 수 있다.

Security Life Cycle을 이용한 운영절차 활용사례

1. 내 페이지

-기본 페이지를 보여주며 설정이 가능. ID, 사용자명, 조직명을 포함한 간단한 정보가 보여짐

- 중요한 기능은 협업을 하고 있을 시 제목과 상태가 보여지며 자신이 남긴 HISTORY를 확인가능

2. 전체화면 예시

- 연구원과 운영보안관리자가 서로 필요한 자료를 요청하여 파일을 올릴 수 있으며 간단한 코멘트를 나누는 것을 확인 가능

- 상태가 바뀌거나 해결된 이슈, 우선 사항 , 시작일자, 종료일자 수정 가능

3. COMMENT, HISTORY자세히 보기

- 연구원과 운영보안 관리자는 서로 COMMENT를 남기며 자신이 요청한 자료나 게시한 글은 HISTORY로 남게 됨

1)운영 보안 관리자가 운영 수립에 필요한 지침을 요구 -> 연구원은 변경관리지침, 장애관리지침, 재해복구지침, 백업 및 복구 관리 지침, 전산실 관리 지침 파일 업로드

2) 운영 보안 관리자가 변경관리부분은 시스템 성능 및 보안에 미치는 영향을 분석하여 표로 정리 요구->

연구원은 변경 전후, 수정, 변경에 따른 잠재적 요인,변경관리에 관한 일반 승인 흐름도, 긴급 변경 승인 흐름도 관한 내용 첨부 파일 업로드

4. 운영절차와 변경관리에 필요한 파일

-운영 절차 관련 문서 : 정보시스템 운영 절차서(메뉴얼), 정보시스템 변경 절차서, 위탁운영 계약서 등

-변경 관리 관련 문서 : 정보시스템 변경관리 절차서, 변경 신청서, 변경결과 보고서, 변경관리 대장,

사전 영향 평가서 등