2009년 11월 22일 일요일

PCI DSS 주기적으로 해야할 체크리스트

PCI DSS 감사를 매년 진행하면서 이미 진행했어야 하는 사항을 빠트리기 쉽고 과거진행했어야 할 사항은
감사시점에서 증빙을 제시하기 어려운것이 많으므로 미리미리 준비해야한다.

1. 매일 체크해야할 사항
- Log Reviews for Servers and network devices

2. 매주 체크해야할 사항
- File Integrity monitoring Review
- Anti-virus scan reports

3. 매월 체크해야할 사항
- 보안패치 반영사항

4. 분기별 확인사항
- 카드번호 검색 (데스크탑, 파일서버 및 데이터베이스)
- 내부 취약점 Scanning
- 모든 공개 IP에 대한 ASV scanning
- 유저 Account Privilege Review and removal of users not logged in last 90 days
- 무선망 취약점 분석

5. 반기별 확인사항
- 방화벽 및 라우터 룰셋 점검

6. 연간 확인사항
- 매년 암호화 키 로테이션
- Physical Security Review of Off-site Tape Backup location
- Media Inventories of medias stored onsite and offsite locations
- Internal Penetration Testing (Network and Application)
- Risk Assessment for the environment in scope
- External Penetration Testing (Network and Application)
- Policies & Procedures Review
- Incident Response Testing
- Information Security Awareness Training
- Sign-off from employees that they have read and understood the information security policies and procedures

댓글 없음:

댓글 쓰기