제목 없음

1. 목적

   주기적인 취약점 점검을 통하여 클라우드 서비스 정보자산의 보안 체계를 강화하고, 위험 요소 파악 및 조치하여 서비스의 신뢰도를 높임

2. 점검 대상

   SaaS 서비스 관련 모든 서버, 네트워크 장비, 웹사이트, 소스코드, PC

   • 구체적인 자산 목록은 SaaS 자산관리대장에 명시

3. 점검 내용

   점검 일시: 2024년 6월 3일 ~ 7일(5일)

   점검 대상: SaaS 서비스 관련 모든 자산

   점검 주기: 매년 1회

   점검 담당자 및 책임자

   구분	부서	담당자	담담 업무
   총괄 책임자	정보보호팀	CISO	취약점 점검 총괄
   시스템 점검	CSAP 최초평가팀	외부평가원	인프라 취약점 점검(CCE, CVE)
   소스코드 점검	CSAP 최초평가팀	외부평가원	소스코드 점검
   모의침투 테스트	CSAP 최초평가팀	외부평가원	WEB 모의침투 테스트

   취약점 점검 절차 및 방법

   • 시스템 점검(CCE, CVE) : KISA 최초평가팀 평가원을 통해서 클라우드 인프라 전수 점검
   • 소스코드 점검 : KISA 최초평가팀 평가원을 통해서 소스코드 점검
   • 모의침투 테스트 : KISA 최초평가팀 평가원을 통해서 WEB 모의침투 테스트 진행

   취약점 점검 결과 및 보고서

   • KISA 사후평가팀의 결과보고서 확인

   취약점 이행 조치 계획 및 보고서 승인

   • 결과보고서에 명시된 모든 취약점에 대해서 30일 안에 보완 조치 완료 (최장 60일 연추가 연장 가능)
   • CISO에게 보완 조치 보고 후 승인