클라우드 서비스 보안인증 (CSAP)

1. 클라우드 서비스 보안인증 (CSAP)의 개념 및 필요성

개념클라우드컴퓨팅 서비스 사용자의 정보보호를 위해 클라우드컴퓨팅 서비스 사업자(CSP)가 제공하는 서비스에 대해 정보보호 기준의 준수 여부를 평가·인증하는 제도
필요성– 공공기관에게 안정성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
– 클라우드 서비스 이용자의 보안 우려 해소 및 클라우드 서비스 경쟁력 확보
추진근거– 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행
– 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2017-7호)
  • CSAP: Cloud Security Assurance Program
  • 한국인터넷진흥원(KISA)에서 평가/인증 시행

 

2. 클라우드 서비스 보안인증 대상 및 기준

(1) 클라우드 서비스 보안인증 대상

대상보안인증 대상 서비스
IaaS 분야– 컴퓨팅자원(CPU), 스토리지 등 정보시스템의 인프라 제공 서비스
SaaS 분야
(표준/간편)
– 인프라(IaaS)외 각종 응용프로그램(소프트웨어) 제공 서비스
– 표준 등급: 전자결재, 인사 및 회계관리, 보안서비스 등 중요 데이터 포함 서비스
– 간편 등급: 표준 등급 외 중요 데이터 미포함 서비스
DaaS 분야– 가상 PC 인프라(네트워크, 보안장비, 하이퍼바이저) 제공 서비스
  • 단일 기관만을 위해 구축되는 사설 클라우드(Private Cloud)환경의 IaaS/SaaS/DaaS, 단순 설치형 소프트웨어 형태의 SaaS 등은 보안 인증 불필요

(2) 클라우드 서비스 보안인증 기준(통제 분야/항목)

#통제 분야통제 항목
1정보보호 정책 및 조직– 정보보호 정책
– 정보보호 조직
2인적 보안– 내부인력 보안
– 외부인력 보안
– 정보보호 교육
3자산관리– 자산 식별 및 분류
– 자산 변경관리
– 위험관리
4서비스 공급망 관리– 공급망 관리정책
– 공급망 변경관리
5침해사고 관리– 침해사고 절차 및 체계
– 침해사고 대응
– 사후관리
6서비스 연속성 관리– 장애대응
– 서비스 가용성
7준거성– 법 및 정책 준수
– 보안 감사
8물리적 보안– 물리적 보호구역
– 정보처리 시설 및 장비보호
9가상화 보안– 가상화 인프라
– 가상 환경
10접근통제– 접근통제 정책
– 접근권한 관리
– 사용자 식별 및 인증
11네트워크 보안– 네트워크 보안
12데이터 보호 및 암호화– 데이터 보호
– 매체 보안, 암호화
13시스템 개발 및 도입 보안– 시스템 분석 및 설계
– 구현 및 시험
– 외주 개발 보안
– 시스템 도입 보안
14공공부문 추가 보안 요구사항– 추가 보안 요구사항
  • 클라우드 서비스는 구축 형태, 서비스 유형이 다양하므로 준비단계(사전컨설팅)를 통해 최종 평가범위 결정

 

3. 클라우드 서비스 보안인증 절차

  • 신청부터 인증서 발급까지 총 2~5개월 정도 소요
  • 상기 절차는 최초평가 기준이며, 1년 단위 사후평가는 준비단계없이 평가단계부터 진행

 
[참고]

  • 한국인터넷진흥원(KISA), “클라우드서비스 보안인증제도 안내서”, 2020.11

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^