본 문서는 TODO 애플리케이션의 K-ISMS 인증 요구사항 충족 여부를 분석하고 매핑한 내용입니다.
- ✅ AWS 서비스 사용으로 기본적인 보안 정책 준수
- ❌ 조직 차원의 정보보호 정책 문서화 필요
- ❌ 정보보호 조직 구성 필요
- ❌ 담당자 지정 및 역할/책임 정의 필요
| 통제항목 | 구현상태 | 설명 |
|---|---|---|
| 접근통제 정책 | ✅ | - API Gateway를 통한 엔드포인트 보호 - CORS 정책 구현 |
| 사용자 접근 관리 | - 현재 인증 기능 미구현 - AWS IAM을 통한 백엔드 리소스 접근 제어 |
|
| 접근권한 관리 | ✅ | - Lambda 함수의 최소 권한 원칙 적용 - DynamoDB 테이블 접근 제한 |
| 통제항목 | 구현상태 | 설명 |
|---|---|---|
| 암호화 정책 | ✅ | - HTTPS/TLS 통신 사용 - API Gateway의 기본 암호화 적용 |
| 암호키 관리 | ✅ | - AWS KMS를 통한 키 관리 |
| 데이터 암호화 | - DynamoDB 저장 데이터 암호화 필요 |
| 통제항목 | 구현상태 | 설명 |
|---|---|---|
| 로깅 및 모니터링 | ✅ | - CloudWatch 로그 활성화 - Lambda 함수 로깅 구현 |
| 취약점 관리 | - 정기적인 보안 업데이트 체계 필요 - 의존성 패키지 버전 관리 필요 |
|
| 백업 및 복구 | ✅ | - DynamoDB 자동 백업 기능 활용 가능 |
| 통제항목 | 구현상태 | 설명 |
|---|---|---|
| 보안 요구사항 정의 | ✅ | - AWS 보안 모범 사례 준수 - IaC(CDK)를 통한 인프라 관리 |
| 시큐어 코딩 | - 입력값 검증 추가 필요 - 보안 취약점 점검 도구 도입 필요 |
|
| 테스트 및 검증 | ❌ | - 보안 테스트 계획 수립 필요 |
- 사용자 인증/인가 기능 구현
- 중요 데이터 암호화 적용
- 보안 취약점 점검 체계 수립
- 정보보호 정책 문서화
- 보안 테스트 프로세스 수립
- 로그 모니터링 강화
- 정보보호 조직 구성
- 백업 및 복구 프로세스 문서화
- 보안 교육 계획 수립
- ✅ CORS 정책 설정
- ✅ HTTPS 엔드포인트 사용
⚠️ API 키 또는 Cognito 인증 추가 필요
- ✅ 실행 역할 최소 권한 설정
- ✅ 환경 변수 암호화
- ✅ VPC 내 실행 가능
- ✅ 암호화된 저장소 사용
- ✅ 세분화된 접근 제어
- ✅ 백업 기능 활성화
현재 프로젝트는 AWS의 관리형 서비스를 활용하여 기본적인 보안 요구사항을 충족하고 있으나, K-ISMS 인증을 위해서는 추가적인 보안 통제와 프로세스 수립이 필요합니다.
주요 개선사항:
- 사용자 인증 체계 구현
- 보안 정책 및 프로세스 문서화
- 보안 테스트 및 모니터링 강화
- 정보보호 조직 구성 및 역할 정의
이러한 개선사항들을 단계적으로 구현하여 K-ISMS 인증 요구사항을 충족시켜 나갈 수 있습니다.