X

클라우드 서비스 보안인증 (CSAP)

1. 클라우드 서비스 보안인증 (CSAP)의 개념 및 필요성

개념 클라우드컴퓨팅 서비스 사용자의 정보보호를 위해 클라우드컴퓨팅 서비스 사업자(CSP)가 제공하는 서비스에 대해 정보보호 기준의 준수 여부를 평가·인증하는 제도
필요성 – 공공기관에게 안정성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
– 클라우드 서비스 이용자의 보안 우려 해소 및 클라우드 서비스 경쟁력 확보
추진근거 – 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행
– 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2017-7호)
  • CSAP: Cloud Security Assurance Program
  • 한국인터넷진흥원(KISA)에서 평가/인증 시행

 

2. 클라우드 서비스 보안인증 대상 및 기준

(1) 클라우드 서비스 보안인증 대상

대상 보안인증 대상 서비스
IaaS 분야 – 컴퓨팅자원(CPU), 스토리지 등 정보시스템의 인프라 제공 서비스
SaaS 분야
(표준/간편)
– 인프라(IaaS)외 각종 응용프로그램(소프트웨어) 제공 서비스
– 표준 등급: 전자결재, 인사 및 회계관리, 보안서비스 등 중요 데이터 포함 서비스
– 간편 등급: 표준 등급 외 중요 데이터 미포함 서비스
DaaS 분야 – 가상 PC 인프라(네트워크, 보안장비, 하이퍼바이저) 제공 서비스
  • 단일 기관만을 위해 구축되는 사설 클라우드(Private Cloud)환경의 IaaS/SaaS/DaaS, 단순 설치형 소프트웨어 형태의 SaaS 등은 보안 인증 불필요

(2) 클라우드 서비스 보안인증 기준(통제 분야/항목)

# 통제 분야 통제 항목
1 정보보호 정책 및 조직 – 정보보호 정책
– 정보보호 조직
2 인적 보안 – 내부인력 보안
– 외부인력 보안
– 정보보호 교육
3 자산관리 – 자산 식별 및 분류
– 자산 변경관리
– 위험관리
4 서비스 공급망 관리 – 공급망 관리정책
– 공급망 변경관리
5 침해사고 관리 – 침해사고 절차 및 체계
– 침해사고 대응
– 사후관리
6 서비스 연속성 관리 – 장애대응
– 서비스 가용성
7 준거성 – 법 및 정책 준수
– 보안 감사
8 물리적 보안 – 물리적 보호구역
– 정보처리 시설 및 장비보호
9 가상화 보안 – 가상화 인프라
– 가상 환경
10 접근통제 – 접근통제 정책
– 접근권한 관리
– 사용자 식별 및 인증
11 네트워크 보안 – 네트워크 보안
12 데이터 보호 및 암호화 – 데이터 보호
– 매체 보안, 암호화
13 시스템 개발 및 도입 보안 – 시스템 분석 및 설계
– 구현 및 시험
– 외주 개발 보안
– 시스템 도입 보안
14 공공부문 추가 보안 요구사항 – 추가 보안 요구사항
  • 클라우드 서비스는 구축 형태, 서비스 유형이 다양하므로 준비단계(사전컨설팅)를 통해 최종 평가범위 결정

 

3. 클라우드 서비스 보안인증 절차

  • 신청부터 인증서 발급까지 총 2~5개월 정도 소요
  • 상기 절차는 최초평가 기준이며, 1년 단위 사후평가는 준비단계없이 평가단계부터 진행

 
[참고]

  • 한국인터넷진흥원(KISA), “클라우드서비스 보안인증제도 안내서”, 2020.11
Categories: 보안
도리: