2.8.4 시험 데이터 보안¶
인증 기준¶
시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립·이행하여야 한다.
주요 확인사항¶
-
정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
-
불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립·이행하고 있는가?
세부 설명¶
-
정보시스템의 개발 및 시험 과정에서 실제 운영데이터의 사용을 제한하여야 한다.
-
개인정보 및 중요 정보가 시스템 시험과정에서 유출되는 것을 방지하기 위하여 시험데이터는 임의의 데이터를 생성하거나 운영데이터를 가공·변환한 후 사용
-
시험데이터 변환 및 사용에 따른 기준·절차 수립·이행
-
-
불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립·이행하여야 한다.
-
운영데이터 사용 승인 절차 마련 : 데이터 중요도에 따른 보고 및 승인체계 정의 등
-
시험 기한 만료 후 데이터 폐기절차 마련 및 이행
-
운영데이터 사용에 대한 시험환경에서의 접근통제 대책 적용
-
운영데이터 복제·사용에 대한 모니터링 및 정기검토 수행 등
-
증거자료¶
예시
시험데이터 현황
시험데이터 생성 규칙
운영데이터를 시험환경에 사용한 경우, 관련 승인 이력
결함사례¶
사례 1 : 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
사례 2 : 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
사례 3 : 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 데이터베이스에 대하여 운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
사례 4 : 실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 데이터베이스에서 삭제하지 않은 경우