응용프로그램 보안지침

 

 

제1조(응용 프로그램 보안구현방법)
  ① 패스워드 설계 및 구현
     1. 패스워드는 문자/숫자를 조합하여 8자리 이상으로 한다.
     2. 사용자 패스워드는 암호화하여 조회가 불가하도록 해야 한다.
     3. 사용자 비밀번호는 화면 및 출력물에 노출되어서는 안된다.
  ② 인터넷/인트라넷 설계 및 구현
     1. 디렉토리 리스팅을 금한다.
     2. 인증이 필요한 경우임에도 인증과정 없이 중간페이지로 직접 접속하는 것을 금지한다.
     3. 사용자의 주요 정보는 암호화하여 전송한다.
  ③ 응용프로그램 보안 확인 및 보고
     1. 응용프로그램 개발/유지보수 책임자는 응용프로그램 보안관련 설계 및 구현 사항에 대해서 각각 설계단계 종료 후 및 구현 종료 후 확인하며 확인결과를 응용프로그램 보안설계/구현표로 작성하여 정보보안관리자에게 제출한다.
  ④ 응용프로그램의 외주 개발시 공급자로부터 아래항목을 포함한 개발 소프트웨어 무결성 증명서를 받아 두어야 한다.
     1. 시스템 개발시 감사업무 수행에 필요한 자료를 생성하도록 감사기능을 설계한다.
     2. 개발된 소프트웨어의 기능이 문서화 내용과 차이가 없어야 한다.
     3. 정보보호를 위협하는 은폐구조가 없어야 한다.
     4. 실행 중 보안/통제 설계의 오류나 설계된 보안구조를 회피하거나 변경시키는 코드가 없어야 한다.

 

제2조(응용프로그램 사용자 계정 및 패스워드 관리)
  ① 계정 등록을 원하는 사용자는 다음의 사항을 준수한다.
     1. 사용자계정 등록은 사용자가 포탈시스템에서 본인사항을 확인 후 등록 요청에 의해 등록이 완료된다.
     2. 계정은 각 사용자별로 부여한다. 부서별 공동 사용자 계정은 생성이 금지된다.
     3. 사용자 계정의 재확인은 다음사항에 대하여 실시한다.
       (가) 퇴사여부, 업무 필요성 여부
     4. 패스워드가 없거나 패스워드가 계정이름과 동일한 계정을 허용해서는 안된다.
  ② 패스워드 관리
     1. 신규 사용자에게 시스템 사용에 대한 권한을 부여할 때에는 반드시 패스워드를 받도록 해야 한다.
     2. 모든 사용자는 패스워드 인증을 통해서만 시스템을 사용할 수 있게 하여야 한다.
     3. 정보보안관리자는 응용프로그램 보안 설계대로 패스워드 기능이 작동하는지 확인한다.

 

제3조(개발업무 보안지침)
  ① 개발 담당자 계정 부여 및 관리
     1. 각 개발 담당자별로 사용자 계정을 부여하는 것을 원칙으로 한다.
     2. 계정공동 사용 시 그 상황 및 활동내역을 기록한다.
  ② 개발 담당자 계정 부여 절차
     1. 담당자의 계정 부여 내역은 정보보안관리자가 주기적으로 확인한다.
  ③ 개발 담당자 접근권한
     1. 개발 담당자의 접근권한은 데이터 관리지침에 의해 현황을 정리한다.
     2. 개발 담당자의 담당업무 변경, 전출, 퇴직 등의 사유 발생시 기존에 허용했던 전산자원의 접근권한을 제한하도록 한다.
     3. 중요하고 민감한 응용프로그램 및 라이브러리는 시스템관리자가 지정하고 정보보안관리자가 확인하며, 이에 대한 내역을 기록하며 접근권한을 최소한으로 필요성이 있는 경우에만 부여한다.
  ④ 개발 담당자 접근통제
     1. 개발 담당자는 다음의 구역에 원칙적으로 접근을 금하며 부득이한 경우 보안서약서를 작성한 후에 출입한다.
       (가) 시스템운영실 출입 통제
       (나) 운영체제 관련 다큐멘테이션이 보관된 장소 출입 통제
     2. 개발 담당자는 다음과 같은 사항에 논리적인 접근을 가능한 금하고 금하기 어려운 경우 허가를 득하며 로깅을 통해 접근내역을 기록한다.
       (가) 담당업무이외의 응용프로그램 및 다큐멘테이션 접근
       (나) 시스템 운영과 관련된 유틸리티 응용프로그램, 시스템 운영 용도의 응용프로그램과 라이브러리 접근
     3. 개발 담당자 그룹별로 할당 라이브러리를 지정하여 할당된 라이브러리만 접근하고 그 외의 라이브러리는 접근을 금지하거나 조회만 가능하도록 한다. 타 라이브러리의 접근이 필요할 경우 해당 라이브러리 책임자에게 접근권한 요청서를 제출하여 접근사유의 승인을 득한 후 접근을 수행한다.
     4. 개발 담당자 그룹별로 디렉토리 권한이 할당되어 타 개발 담당자 그룹에 접근하거나 OS의 파일들을 조작하지 않도록 한다.
  ⑤ 응용프로그램 및 데이터 처리 단말의 운영
     1. 단말기에 업무 및 이용자관련 자료를 보관해서는 안 되고, 부득이한 상황으로 보관할 경우 비밀번호 등 주요 정보를 암호화하여 보관하여야 한다.
  ⑥ 개발업무 보안점검
     1. 시스템관리자는 주기적으로 개발업무와 관련된 보안점검을 실시하고 개발업무 보안점검결과서에 기록한다.
     2. 시스템관리자와 정보보안관리자는 보안점검의 적정성을 확인한다.

 


부 칙

이 지침은 2013년 5월 13일부터 시행한다.


※ 별지 1~4호는 첨부파일 참조.