클라우드 보안인증제 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
3번째 줄: | 3번째 줄: | ||
클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 | 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 | ||
===목적 및 필요성=== | === 목적 및 필요성 === | ||
*공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 | * 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 | ||
*객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 | * 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 | ||
===추진근거=== | === 추진근거 === | ||
*『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행 | * 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행 | ||
*『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2017-7호) | * 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2017-7호) | ||
===보안 평가·인증 체계=== | === 보안 평가·인증 체계 === | ||
*클라우드서비스 보안 평가·인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회, 기술자문기관, 신청기관, 이용자로 구분 | * 클라우드서비스 보안 평가·인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회, 기술자문기관, 신청기관, 이용자로 구분 | ||
*정책기관은 과학기술정보통신부, 평가/인증기관은 한국인터넷진흥원, 기술자문기관은 국가보안기술연구소에서 각각 역할 수행 | * 정책기관은 과학기술정보통신부, 평가/인증기관은 한국인터넷진흥원, 기술자문기관은 국가보안기술연구소에서 각각 역할 수행 | ||
[[파일:클라우드 보안인증제 평가 체계.jpg]] | [[파일:클라우드 보안인증제 평가 체계.jpg]] | ||
===평가·인증 종류=== | === 평가·인증 종류 === | ||
[[파일:클라우드 보안인증제 평가 인증 종류.PNG]] | [[파일:클라우드 보안인증제 평가 인증 종류.PNG]] | ||
*최초평가는 보안인증을 처음으로 취득할 때 진행하는 평가이며, 인증 취득기간 중 중요한 변경이 있을 경우 변경 사항에 대해 상시평가가 이루어 질 수 있음 | * 최초평가는 보안인증을 처음으로 취득할 때 진행하는 평가이며, 인증 취득기간 중 중요한 변경이 있을 경우 변경 사항에 대해 상시평가가 이루어 질 수 있음 | ||
**최초평가를 통해 인증을 취득하면, 5년(SaaS 간편등급은 3년)의 유효기간을 부여 | ** 최초평가를 통해 인증을 취득하면, 5년(SaaS 간편등급은 3년)의 유효기간을 부여 | ||
*사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(3~5년) 안에 매년 시행 | * 사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(3~5년) 안에 매년 시행 | ||
*갱신평가는 보안인증 유효기간(3~5년)이 만료되기 전에 클라우드서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가 | * 갱신평가는 보안인증 유효기간(3~5년)이 만료되기 전에 클라우드서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가 | ||
**갱신평가를 통과하는 경우, 3~5년의 유효기간을 다시 부여 | ** 갱신평가를 통과하는 경우, 3~5년의 유효기간을 다시 부여 | ||
===평가·인증범위 기준=== | === 평가·인증범위 기준 === | ||
*공공기관의 업무를 위하여 제공하는 클라우드서비스의 모든 서비스를 포함하여 설정 | * 공공기관의 업무를 위하여 제공하는 클라우드서비스의 모든 서비스를 포함하여 설정 | ||
**클라우드 서비스 보안인증제는 클라우드컴퓨팅법 시행령 제3조 제1호(IaaS), 제3조 제2호(SaaS)의 서비스를 대상으로 시행 | ** 클라우드 서비스 보안인증제는 클라우드컴퓨팅법 시행령 제3조 제1호(IaaS), 제3조 제2호(SaaS)의 서비스를 대상으로 시행 | ||
*해당 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등도 모두 포함하여 설정 | * 해당 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등도 모두 포함하여 설정 | ||
**서비스 운영·관리를 위한 온·오프라인 자산 및 지원서비스 | ** 서비스 운영·관리를 위한 온·오프라인 자산 및 지원서비스 | ||
**안전성 및 신뢰성 확보를 위한 자산(정보보호시스템, 로그관리시스템 등) | ** 안전성 및 신뢰성 확보를 위한 자산(정보보호시스템, 로그관리시스템 등) | ||
*식별된 자산 및 조직에 대해서는 『클라우드컴퓨팅서비스 정보보호에 관한 기준 고시』의 관리적·물리적·기술적 보호조치 및 공공기관용 클라우드서비스 추가 보호조치를 준하여야 함 | * 식별된 자산 및 조직에 대해서는 『클라우드컴퓨팅서비스 정보보호에 관한 기준 고시』의 관리적·물리적·기술적 보호조치 및 공공기관용 클라우드서비스 추가 보호조치를 준하여야 함 | ||
===인증기준=== | === 인증기준 === | ||
*인증심사기준은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부문 | * 인증심사기준은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부문 | ||
*IaaS는 117개, SaaS는 78개 통제항목의 준수 여부를 평가함 | * IaaS는 117개, SaaS는 78개 통제항목의 준수 여부를 평가함 | ||
{| class="wikitable" | {| class="wikitable" | ||
240번째 줄: | 240번째 줄: | ||
|} | |} | ||
===평가·인증 절차=== | === 평가·인증 절차 === | ||
[[파일:클라우드 보안인증제 평가 인증 절차.PNG|700x700픽셀]] | [[파일:클라우드 보안인증제 평가 인증 절차.PNG|700x700픽셀]] | ||
*상기 절차는 최초평가를 기준으로 하였으며, 1년 단위로 실시하는 사후평가에서는 사전컨설팅 없이 평가단계로 넘어감 | * 상기 절차는 최초평가를 기준으로 하였으며, 1년 단위로 실시하는 사후평가에서는 사전컨설팅 없이 평가단계로 넘어감 | ||
*주요 평가단계별 소요일수 | * 주요 평가단계별 소요일수 | ||
**'''IaaS 표준등급(총28일)''' : 사전컨설팅 3일 → 서면/현장평가(5일)·취약점점검(10일) (동시진행) 10일 → 모의침투테스트 10일 → 이행점검 5일 | ** '''IaaS 표준등급(총28일)''' : 사전컨설팅 3일 → 서면/현장평가(5일)·취약점점검(10일) (동시진행) 10일 → 모의침투테스트 10일 → 이행점검 5일 | ||
**'''SaaS 표준등급(총25일)''' : 사전컨설팅 3일 → 서면/현장평가(5일)·취약점점검(7일) (동시진행) 7일 → 모의침투테스트 10일 → 이행점검 5일 | ** '''SaaS 표준등급(총25일)''' : 사전컨설팅 3일 → 서면/현장평가(5일)·취약점점검(7일) (동시진행) 7일 → 모의침투테스트 10일 → 이행점검 5일 | ||
**'''SaaS 간편등급(총17일)''' : 사전컨설팅 2일 → 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 5일 | ** '''SaaS 간편등급(총17일)''' : 사전컨설팅 2일 → 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 5일 | ||
**평가단계별 소요일수는 클라우드서비스 자산 규모에 따라 일부 변동 될 수 있음 | ** 평가단계별 소요일수는 클라우드서비스 자산 규모에 따라 일부 변동 될 수 있음 | ||
===인증서 발급현황=== | === 인증서 발급현황 === | ||
*2020년 '''3''' 건 | * 2020년 '''3''' 건 | ||
*2019년 '''11''' 건 | * 2019년 '''11''' 건 | ||
*2018년 '''3''' 건 | * 2018년 '''3''' 건 | ||
*2017년 '''3''' 건 | * 2017년 '''3''' 건 | ||
*2016년 '''1''' 건 | * 2016년 '''1''' 건 | ||
==참고 문헌== | == 참고 문헌 == | ||
*[[한국인터넷진흥원]] [https://isms.kisa.or.kr/main/csap/issue/ 클라우드 보안인증제 웹사이트] | * [[한국인터넷진흥원]] [https://isms.kisa.or.kr/main/csap/issue/ 클라우드 보안인증제 웹사이트] | ||
<br /> | <br /> | ||