현재 인증심사 받고 보완조치하고 심사팀장 이행점검까지 받았고
결과보고서에 추가되어야 할 서류 작성하고 있습니다.
회사 정보, 조직도, 네트워크 구성도, 자산목록 등등 작성하고 있습니다.
문제는 ◎ OS 중 EoS 대상에 대한 계획(상세정보) 라는 칸을 작성해야 하는데..
위험평가 보고서에는 EoS 자산에 대해 '향후 상위 라인업으로 업그레이드 예정 - 예정일자 : 미정' 으로 해놔서 문제입니다
- 업그레이드 하는게 제일 좋지만, DB나 서버를 단기적으로 업글이 불가능한 상황이니 ㅠㅠ
당연히 윗분들도 업그레이드보다는 UTM, WAF로 보안강화 하는 스탠스로 대응하고 있습니다.
심사팀장님께 물어보니 미정이라고 쓰면 무조건 빠꾸먹는다 하셨네요..
혹시 최근에 최초심사나 갱신심사 받으신 분 계시면, EoS 대상에 대한 계획은 어떻게 제출하셨는지 의견 묻기위해 질문글 남깁니다.
3개의 답변이 있습니다.
EoS에 대한 계획을 적는것은 당연히 심사하다보면 EoS 된 하드웨어가 있기 마련입니다.
거기에 대한 대안을 미정이라고만 적지마시고, 향후 업데이트를 한다고 적고, EoS가 만료가 되면 해당 제품군은 별도의 폐쇄망으로 전환시켜 패치되지 않아 취약할 수 있는 부분에 대해 어떻게 진행하는지만 제대로 적게 되면 문제될 건 없습니다.
위 처럼 폐쇄망으로 빼든지, 별도로 계속하여 수동으로 패치 지원을 받는다든지, 그런 구체적인 계획만 작성하시면 문제 없습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입예전에 기존 솔루션에 상위버전에 보증을 받지 못해 업그레이드를 못했던 적이 있었습니다.
보안 강화를 위해 EoS 대상 서버를 네트워크 망분리하여 별도의 네트워크 zone으로 격리한다는
내용으로 작성했고 향후 업그레이드 하겠다고 했던적이 있습니다.
위 내용도 실현 불가능하면 언급 안하는게 좋습니다.
경이든 중이든 부적합 사항이면 계속 이행 점검합니다.
그리고 심사원의 성향에 따라 다를 수 있어 복불복입니다. 참고하세요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입EoS에 대한 계획이기 때문에...
버전업을 하거나, 버전업을 하지 않더라도 문제점인 취약점에 대한 대응 방안을 세우면 되지 않을까 싶은데요.
기술 지원되는 버전으로 업그레이드를 하지 못한다면, 보안 솔루션을 이용해서 대비하는 계획안을 세우면 되지 않을까요..?
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입