본문 바로가기 주메뉴 바로가기

정보시스템감리

Auditing, Consulting and Evaluation for Information System

전문가진단

SW개발보안은 SW개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 발생될 수 있는 보안 취약점, 보안약점들을 최소화하여 사이버 보안위협에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 보안활동을 의미

중SW개발보안 기준 및 절차
구분 사업유형 대상
대상
  • 정보시스템 감리대상 정보화사업
 ‘전자정부법 시행령 제71조 제1항’ 참조
범위
  • 설계단계 산출물 소스코드(신규개발 전체, 유지보수로 변경된 부분)
 상용 SW 제외
기준
  • 설계단계 보안설계 기준(총 20개 항목)
  • 구현단계 보안약점 제거 기준(총 47개 항목)
※ 행정기관 및 공공기관 정보시스템 구축·운영 지침 ‘별표3’
※ 정보시스템 감리기준(제10조 제1항 세부검사항목)에 포함 		진단기준
기타
  • 감리법인이 진단도구 사용시, 국정원장이 인증한 도구 사용
※ 정보보호시스템 평가·인증 지침
  • 감리법인은 SW 보안약점 진단시, 진단원을 우선적으로 배치
※ 감리대상 外 사업은 자체적으로 SW 보안약점 진단 제거결과 확인
※ 행정기관 및 공공기관 정보시스템 구축·운영 지침 ‘별표4’ 		진단원 활용
소프트웨어 보안 약점 진단 내용
소프트웨어 개발단계에서 적정한 보안활동이 수행되었는지 점검하는 활동
  • ① 사업 수행 단계별 보안약점 제거를 위한 Secure Coding 계획, 절차, 진단 및 결과 점검
  • ② CC인증을 획득한 SW 보안약점 자동화 진단 도구를 활용
  • ③ SW 보안약점 진단툴을 활용하여 SW 보안약점 진단 및 개선 적정성 검토
소프트웨어 보안약점 진단 절차