PCI DSS 감사를 매년 진행하면서 이미 진행했어야 하는 사항을 빠트리기 쉽고 과거진행했어야 할 사항은
감사시점에서 증빙을 제시하기 어려운것이 많으므로 미리미리 준비해야한다.
1. 매일 체크해야할 사항
- Log Reviews for Servers and network devices
2. 매주 체크해야할 사항
- File Integrity monitoring Review
- Anti-virus scan reports
3. 매월 체크해야할 사항
- 보안패치 반영사항
4. 분기별 확인사항
- 카드번호 검색 (데스크탑, 파일서버 및 데이터베이스)
- 내부 취약점 Scanning
- 모든 공개 IP에 대한 ASV scanning
- 유저 Account Privilege Review and removal of users not logged in last 90 days
- 무선망 취약점 분석
5. 반기별 확인사항
- 방화벽 및 라우터 룰셋 점검
6. 연간 확인사항
- 매년 암호화 키 로테이션
- Physical Security Review of Off-site Tape Backup location
- Media Inventories of medias stored onsite and offsite locations
- Internal Penetration Testing (Network and Application)
- Risk Assessment for the environment in scope
- External Penetration Testing (Network and Application)
- Policies & Procedures Review
- Incident Response Testing
- Information Security Awareness Training
- Sign-off from employees that they have read and understood the information security policies and procedures
댓글 없음:
댓글 쓰기