2.9.1 변경 관리

1.통제 목적

정보시스템 관련 자산의 모든 변경 내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.

 

2.주요 확인 사항

• 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 등) 변경에 관한 절차를 수립·이행하고 있는가?
• 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?

 

3.결함 사례

 

1)최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나 변경 후 발생할 수 있는 보안위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않는 경우

 

2)최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, DB접근제어 시스템등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우

 

3)변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의 하고 관련 이력을 관리하도록 하고 있으나 해당 시스템을 통하지 않고도 시스템 변경이 가능하며 관련 변경사항이 적절히 검토되지 않은 경우