익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
클라우드 보안인증제
편집하기
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
'''CSAP; Cloud Security Assurance Program''' 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 ===목적 및 필요성=== *공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 *객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 ===추진근거=== *『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행 *『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2017-7호) ===보안 평가·인증 체계=== *클라우드서비스 보안 평가·인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회, 기술자문기관, 신청기관, 이용자로 구분 *정책기관은 과학기술정보통신부, 평가/인증기관은 한국인터넷진흥원, 기술자문기관은 국가보안기술연구소에서 각각 역할 수행 [[파일:클라우드 보안인증제 평가 체계.jpg]] ===평가·인증 종류=== [[파일:클라우드 보안인증제 평가 인증 종류.PNG]] *최초평가는 보안인증을 처음으로 취득할 때 진행하는 평가이며, 인증 취득기간 중 중요한 변경이 있을 경우 변경 사항에 대해 상시평가가 이루어 질 수 있음 **최초평가를 통해 인증을 취득하면, 5년(SaaS 간편등급은 3년)의 유효기간을 부여 *사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(3~5년) 안에 매년 시행 *갱신평가는 보안인증 유효기간(3~5년)이 만료되기 전에 클라우드서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가 **갱신평가를 통과하는 경우, 3~5년의 유효기간을 다시 부여 ===평가·인증범위 기준=== *공공기관의 업무를 위하여 제공하는 클라우드서비스의 모든 서비스를 포함하여 설정 **클라우드 서비스 보안인증제는 클라우드컴퓨팅법 시행령 제3조 제1호(IaaS), 제3조 제2호(SaaS)의 서비스를 대상으로 시행 *해당 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등도 모두 포함하여 설정 **서비스 운영·관리를 위한 온·오프라인 자산 및 지원서비스 **안전성 및 신뢰성 확보를 위한 자산(정보보호시스템, 로그관리시스템 등) *식별된 자산 및 조직에 대해서는 『클라우드컴퓨팅서비스 정보보호에 관한 기준 고시』의 관리적·물리적·기술적 보호조치 및 공공기관용 클라우드서비스 추가 보호조치를 준하여야 함 ===인증기준=== *인증심사기준은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부문 *IaaS는 117개, SaaS는 78개 통제항목의 준수 여부를 평가함 {| class="wikitable" |+ ! rowspan="2" |통제 분야 ! rowspan="2" |통제 항목 ! colspan="3" |통제항목 수 |- !IaaS 표준 !SaaS 표준 !SaaS 간편 |- | rowspan="2" |1. 정보보호 정책 및 조직 |1.1. 정보보호 정책 |3 |3 | - |- |1.2. 정보보호 조직 |2 |2 |2 |- | rowspan="3" |2. 인적보안 |2.1. 내부인력 보안 |6 |4 |1 |- |2.2. 외부인력 보안 |3 | - | - |- |2.3. 정보보호 교육 |3 |1 |1 |- | rowspan="3" |3. 자산관리 |3.1. 자산 식별 및 분류 |3 |1 | - |- |3.2. 자산 변경관리 |3 |1 | - |- |3.3. 위험관리 |4 |1 | - |- | rowspan="2" |4. 서비스 공급망 관리 |4.1. 공급망 관리정책 |2 |2 | - |- |4.2. 공급망 변경관리 |2 |1 | - |- | rowspan="3" |5. 침해사고 관리 |5.1. 침해사고 절차 및 체계 |3 |3 |1 |- |5.2. 침해사고 대응 |2 |2 |1 |- |5.3. 사후관리 |2 |2 | - |- | rowspan="2" |6. 서비스 연속성 관리 |6.1. 장애대응 |4 |4 |1 |- |6.2. 서비스 가용성 |3 |2 |1 |- | rowspan="2" |7. 준거성 |7.1. 법 및 정책 준수 |2 |1 |1 |- |7.2. 보안 감사 |2 |2 | - |- | rowspan="2" |8. 물리적 보안 |8.1. 물리적 보호구역 |6 | - | - |- |8.2. 정보처리 시설 및 장비보호 |6 | - | - |- | rowspan="2" |9. 가상화 보안 |9.1. 가상화 인프라 |6 |2 |1 |- |9.2. 가상 환경 |4 |4 | - |- | rowspan="3" |10. 접근통제 |10.1. 접근통제 정책 |2 |2 |1 |- |10.2. 접근권한 관리 |3 |3 | - |- |10.3. 사용자 식별 및 인증 |5 |5 |4 |- | colspan="2" |11. 네트워크 보안 |6 |5 |2 |- | rowspan="3" |12. 데이터 보호 및 암호화 |12.1. 데이터 보호 |6 |6 |2 |- |12.2. 매체 보안 |2 | - | - |- |12.3. 암호화 |2 |2 |2 |- | rowspan="4" |13. 시스템 개발 및 도입 보안 |13.1. 시스템 분석 및 설계 |5 |5 |1 |- |13.2. 구현 및 시험 |4 |4 |1 |- |13.3. 외주 개발 보안 |1 |1 | - |- |13..4. 시스템 도입 보안 |2 | - | - |- | colspan="2" |14. 공공부문 추가 보안요구 사항 |8 |7 |7 |- | colspan="2" |총계 |117 |78 |30 |} ===평가·인증 절차=== [[파일:클라우드 보안인증제 평가 인증 절차.PNG|700x700픽셀]] *상기 절차는 최초평가를 기준으로 하였으며, 1년 단위로 실시하는 사후평가에서는 사전컨설팅 없이 평가단계로 넘어감 *주요 평가단계별 소요일수 **'''IaaS 표준등급(총28일)''' : 사전컨설팅 3일 → 서면/현장평가(5일)·취약점점검(10일) (동시진행) 10일 → 모의침투테스트 10일 → 이행점검 5일 **'''SaaS 표준등급(총25일)''' : 사전컨설팅 3일 → 서면/현장평가(5일)·취약점점검(7일) (동시진행) 7일 → 모의침투테스트 10일 → 이행점검 5일 **'''SaaS 간편등급(총17일)''' : 사전컨설팅 2일 → 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 5일 **평가단계별 소요일수는 클라우드서비스 자산 규모에 따라 일부 변동 될 수 있음 ===인증서 발급현황=== *2020년 '''3''' 건 *2019년 '''11''' 건 *2018년 '''3''' 건 *2017년 '''3''' 건 *2016년 '''1''' 건 ==참고 문헌== *[[한국인터넷진흥원]] [https://isms.kisa.or.kr/main/csap/issue/ 클라우드 보안인증제 웹사이트] <br /> [[분류:클라우드]] [[분류:보안]] [[분류:인증/평가]] [[분류:컴플라이언스]]
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록