ISO27001:2022 8. 기술적 통제항목에 대한 질문과 증적 예시

A.8.1 User endpoint devices

질문: 사용자 단말기(PC, 모바일 등)는 보안 통제가 적용되는가?

증적: 자산 관리대장, EDR/MDM 로그


A.8.2 Privileged access rights

질문: 특권 계정 권한은 승인·제한적으로 관리되는가?

증적: 관리자 계정 승인 기록, 권한 매트릭스


A.8.3 Information access restriction

질문: 정보 접근은 최소 권한 원칙에 따라 제한되는가?

증적: 접근 통제 정책, 권한 검토 기록


A.8.4 Access to source code

질문: 소스코드 접근은 승인된 사용자만 가능한가?

증적: Git 접근제어 설정, 코드 접근 로그


A.8.5 Secure authentication

질문: 안전한 사용자 인증 메커니즘(MFA 등)이 적용되는가?

증적: MFA 정책, 인증 로그


A.8.6 Capacity management

질문: 시스템은 성능 및 용량을 사전에 관리하는가?

증적: 용량 관리 정책, 모니터링 리포트


A.8.7 Protection against malware

질문: 악성코드 방지 통제가 적용되는가?

증적: 백신 로그, EDR 탐지 보고서


A.8.8 Management of technical vulnerabilities

질문: 기술적 취약점은 정기적으로 식별·조치되는가?

증적: 취약점 진단 보고서, 패치 관리 로그


A.8.9 Configuration management

질문: 시스템 및 네트워크는 보안 구성을 준수하는가?

증적: 보안 설정 기준서, 구성 변경 기록


A.8.10 Information deletion

질문: 불필요한 정보는 안전하게 삭제되는가?

증적: 데이터 삭제 절차, 삭제 증명서


A.8.11 Data masking

질문: 민감정보는 필요 시 마스킹 처리되는가?

증적: 데이터 마스킹 정책, DB 설정 문서


A.8.12 Data leakage prevention

질문: 데이터 유출 방지(DLP) 대책이 적용되는가?

증적: DLP 정책, 탐지/차단 로그


A.8.13 Information backup

질문: 정기적으로 백업과 복원 테스트가 수행되는가?

증적: 백업 정책, 백업/복구 로그


A.8.14 Redundancy of information processing facilities

질문: 정보처리 시설은 이중화가 되어 있는가?

증적: DR 센터 구성도, 이중화 테스트 보고서


A.8.15 Logging

질문: 보안 로그는 수집·보관되는가?

증적: 로그 정책, SIEM 리포트


A.8.16 Monitoring activities

질문: 로그와 보안 이벤트는 모니터링되는가?

증적: 보안 모니터링 보고서, 경보 기록


A.8.17 Clock synchronization

질문: 모든 시스템은 표준 시간으로 동기화되는가?

증적: NTP 설정, 동기화 로그


A.8.18 Use of privileged utility programs

질문: 특권 유틸리티 프로그램은 통제되는가?

증적: 사용 제한 정책, 실행 로그


A.8.19 Installation of software on operational systems

질문: 운영시스템에는 승인된 소프트웨어만 설치되는가?

증적: 소프트웨어 관리 정책, 설치 승인 기록


A.8.20 Networks security

질문: 네트워크는 방화벽, IDS/IPS 등으로 보호되는가?

증적: 네트워크 다이어그램, 방화벽 정책


A.8.21 Security of network services

질문: 네트워크 서비스는 보안 요구사항을 충족하는가?

증적: 계약서, 서비스 설정 문서


A.8.22 Segregation of networks

질문: 네트워크는 중요도에 따라 분리되어 있는가?

증적: VLAN/망 분리 설계도, 방화벽 정책


A.8.23 Web filtering

질문: 웹 사용은 필터링을 통해 제어되는가?

증적: 웹 필터링 정책, 차단 로그


A.8.24 Use of cryptography

질문: 암호화는 정책에 따라 적용되는가?

증적: 암호화 정책, 키 관리 절차


A.8.25 Secure development life cycle (SDLC)

질문: 시스템 개발 생명주기에 보안이 반영되는가?

증적: SDLC 보안 정책, 코드 리뷰 기록


A.8.26 Application security requirements

질문: 애플리케이션은 보안 요구사항에 따라 개발·운영되는가?

증적: 보안 요구사항 명세서, 테스트 보고서


A.8.27 Secure system architecture and engineering principles

질문: 시스템 설계에 보안 원칙이 반영되는가?

증적: 아키텍처 다이어그램, 보안 설계 문서


A.8.28 Secure coding

질문: 안전한 코딩 규칙이 적용되는가?

증적: 보안 코딩 가이드, 정적 분석 보고서


A.8.29 Security testing in development and acceptance

질문: 개발 및 인수 단계에서 보안 테스트가 수행되는가?

증적: 보안 테스트 계획, 모의해킹/DAST 결과


A.8.30 Outsourced development

질문: 아웃소싱 개발 시 보안 요구사항이 계약 및 절차에 반영되는가?

증적: 외부 개발 계약서(보안 조항 포함), 외부 개발자 접근통제 로그, 코드 보안 점검 결과


A.8.31 Separation of development, test and production environments

질문: 개발·테스트·운영 환경은 서로 분리되어 있는가?

증적: 환경 분리 정책, 네트워크 아키텍처, 접근 로그


A.8.32 Change management

질문: 변경(시스템, 애플리케이션, 네트워크 등)은 승인·검토 후 적용되는가?

증적: 변경 관리 정책, 변경 요청서, ITSM 변경 로그


A.8.33 Test information

질문: 테스트 환경에서 사용하는 정보는 보호되는가?

증적: 테스트 데이터 관리 정책, 데이터 마스킹/익명화 보고서, 접근 로그


A.8.34 Protection of information systems during audit testing

질문: 감사·테스트 수행 중에도 정보보안이 보장되는가?

증적: 감사/테스트 절차, 보호조치 기록