2020년 7월 24일 퀴즈(난이도 5)

다음 시나라오를 참고하여 결함 여부를 확인하고 해당하는 결함은 무엇인가?

 

심사원 : 이벤트 관리는 어떤 절차로 하나요?

담당자 : 망분리 요건을 만족하기 위해 이벤트 당첨자 정보를 다운로드 가능한 별도의 PC에서 당첨자 목록을 엑셀로 다운받아서 망 연계시스템을 통해 업무 PC에서 그룹웨어를 통해 메일로 보냅니다.

심사원 : 망 연계 시스템 통제는 어떻게 되나요?

담당자 : 인바운드는 자가 승인을 하고 있고 아웃바운드의 경우 CPO 승인까지 받도록 하고 있습니다.

심사원 : 유출 통제는 하시는데 악성코드 유입 가능성이 있네요.

담당자 : 파일전송 시 중간에서 바이러스 검사를 하고 있고 실행 파일은 인바운드에서 차단하고 있습니다.

심사원 : 개인정보 취급자는 5 명인데 개인정보 다운로드 PC 는 1 대밖에 없네요.

담당자 : 항상 사용하는 것이 아니라 공용으로 사용하고 있습니다. 대신 CCTV로 추후 추적 가능합니다.

심사원 : 접속 기록은 어떻게 관리되고 있나요?

담당자 : 접속 기록은 데이터베이스 테이블에 기록하고 있습니다.

심사원 : 권한 부여 로그도 테이블로 관리하고 있나요?

담당자 : 당연히 테이블로 관리하고 있습니다.

심사원 : 백업은 어떻게 되나요?

담당자 : 접속 기록은 별도 로그 서버로 보관하고 있지만 권한 변경로그는 따로 백업하진 않습니다.

 

① 2.9.4 로그 및 접속기록 관리

② 2.5.2 사용자 식별

③ 2.9.3 백업 및 복구관리

④ 2.9.5 로그 및 접속기록 점검

⑤ 아직 결함여부를 판단할 수 없다.

 

 

정답 : 5

 

권한부여 이력의 경우 꼭 로그 형태가 아니어도 됩니다. 그룹웨어의 신청서(수기문서)도 권한 변경 이력에 포함됩니다.
로그면 더 좋겠죠. 중간의 사람의 개입이 없으니까...
이와 별도로 접속 기록이 있습니다. 접속 기록은 위변조되지 않도록 안전하게 백업해야 합니다.

그런데 고시에 권한 부여 이력에 백업하라는 규정이 있던가요? 3년,5년간 보관하게 되어 있습니다.
위변조 안되게 보관하라는 요구사항도 없습니다.

관련 법규에서 요구하지 않은 사항도 결함으로 언급할 수 있지만
이 경우 타당한 이유를 제시해야 합니다.(쉽지 않죠 그래서 법률 규정이 있는 겁니다. 닥치고 해..이런 식으로)

하면 좋지만 결함이 아닌 것은 권고사항입니다.

개인적으로 권고사항은 필요없다고 생각합니다. 심사원은 인증기준 부합여부를 평가하는 사람이지 컨설턴트는 아니니까요.
굳이 원한다면 구두로는 가능할 것같으나 굳이 문서로 남길만한 사항은 아니라고 봅니다.
그래서 말많은 심사원을 좋아하지 않습니다. 심사원은 많이 들어야 하고 잘 들어야 정확히 판단할 수 있기 때문입니다.
말많은 떠벌이 심사원을 만나면 속으로 그만 좀 닥쳐 난 니 생각은 듣고 싶지 않다고, 신청기관 현황을 알고 싶다니까.. 니까 떠드니까 정착 신청기관 담당자는 말도 못하고 있잖아.. 좀 닥! ^^ 물런 속으로...