[9.1.1 가상자원 관리] 📖 2)가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등)의 생성, 변경, 회수 등에 대한 승인, 책임추적성 확보 방안 및 주기적 점검을 이행하고 있는가?

9. 가상화 보안 > 9.1 가상화 인프라
🔍 점검 취지 및 해설
■ 가상자원의 생성·변경·회수 시 승인절차가 마련되어야 한다. 가상자원의 생성·변경·회수에 대하여 주기적으로 점검을 수행하고 점검 이력을 남겨야 한다.

- 예) 점검사항으로는 가상자원의 생성·변경·회수에 대한 책임자의 승인 여부, 담당자의 실행 여부, 업무

■수행 이슈가 발생한 경우 사후조치를 수행하였는지 여부, 승인된 범위를 벗어난 생성·변경·회수 등이 발생 했는지 등 점검
✍️ 운영 현황 및 증적 기록
작성 완료됨

■ 가상자원의 생성·변경·회수 시 승인절차가 마련되어야 한다.

->가상자원 신청/변경/삭제 프로세스가 존재해야 합니다.

통상적으로 SaaS에 시스템 구축 후 변경되는 경우는 거의 없습니다. 그러나 기능 변경, 메이저 버전업등 이슈 발생시 가상자원이 생성된다면 이를 기록하고 생성·변경·회수 증적이 존재해야 합니다.

(테스트 시스템 제외)

첨부 파일 템플릿 또는 회사 양식에 맞추어 작성

■수행 이슈가 발생한 경우 사후조치를 수행하였는지 여부, 승인된 범위를 벗어난 생성·변경·회수 등이 발생 했는지 등 점검

이 평가항목 주의 사항.

구분 내용
VM,Container,pod,docker 생성시

생성시 취약점 점검을 수행해야 합니다.

인증평가시 자주 지적받는 사항 중 하나입니다.
가상 라우터 생성시

정책 검증 및 all-allow 정책이 없어야 합니다.
공통

자원 생성시 CISO 결재 증적이 존재해야 합니다.

DevOps 에서 임의생성하더라도 서비스에 필요한 자산이라면 자산대장에 추가 하여 결재를 받아야 합니다.

📎 첨부된 증적 파일

가상자원 생성, 변경, 회수 신청서_템플릿.docx
내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.
검토 및 피드백 0

등록된 검토 의견이 없습니다.