1. 클라우드 서비스 보안인증 (CSAP)의 개념 및 필요성
| 개념 | 클라우드컴퓨팅 서비스 사용자의 정보보호를 위해 클라우드컴퓨팅 서비스 사업자(CSP)가 제공하는 서비스에 대해 정보보호 기준의 준수 여부를 평가·인증하는 제도 | |
|---|---|---|
| 필요성 | – 공공기관에게 안정성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 – 클라우드 서비스 이용자의 보안 우려 해소 및 클라우드 서비스 경쟁력 확보 | |
| 추진근거 | – 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행 – 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2017-7호) | |
- CSAP: Cloud Security Assurance Program
- 한국인터넷진흥원(KISA)에서 평가/인증 시행
2. 클라우드 서비스 보안인증 대상 및 기준
(1) 클라우드 서비스 보안인증 대상
| 대상 | 보안인증 대상 서비스 |
|---|---|
| IaaS 분야 | – 컴퓨팅자원(CPU), 스토리지 등 정보시스템의 인프라 제공 서비스 |
| SaaS 분야 (표준/간편) | – 인프라(IaaS)외 각종 응용프로그램(소프트웨어) 제공 서비스 – 표준 등급: 전자결재, 인사 및 회계관리, 보안서비스 등 중요 데이터 포함 서비스 – 간편 등급: 표준 등급 외 중요 데이터 미포함 서비스 |
| DaaS 분야 | – 가상 PC 인프라(네트워크, 보안장비, 하이퍼바이저) 제공 서비스 |
- 단일 기관만을 위해 구축되는 사설 클라우드(Private Cloud)환경의 IaaS/SaaS/DaaS, 단순 설치형 소프트웨어 형태의 SaaS 등은 보안 인증 불필요
(2) 클라우드 서비스 보안인증 기준(통제 분야/항목)
| # | 통제 분야 | 통제 항목 |
|---|---|---|
| 1 | 정보보호 정책 및 조직 | – 정보보호 정책 – 정보보호 조직 |
| 2 | 인적 보안 | – 내부인력 보안 – 외부인력 보안 – 정보보호 교육 |
| 3 | 자산관리 | – 자산 식별 및 분류 – 자산 변경관리 – 위험관리 |
| 4 | 서비스 공급망 관리 | – 공급망 관리정책 – 공급망 변경관리 |
| 5 | 침해사고 관리 | – 침해사고 절차 및 체계 – 침해사고 대응 – 사후관리 |
| 6 | 서비스 연속성 관리 | – 장애대응 – 서비스 가용성 |
| 7 | 준거성 | – 법 및 정책 준수 – 보안 감사 |
| 8 | 물리적 보안 | – 물리적 보호구역 – 정보처리 시설 및 장비보호 |
| 9 | 가상화 보안 | – 가상화 인프라 – 가상 환경 |
| 10 | 접근통제 | – 접근통제 정책 – 접근권한 관리 – 사용자 식별 및 인증 |
| 11 | 네트워크 보안 | – 네트워크 보안 |
| 12 | 데이터 보호 및 암호화 | – 데이터 보호 – 매체 보안, 암호화 |
| 13 | 시스템 개발 및 도입 보안 | – 시스템 분석 및 설계 – 구현 및 시험 – 외주 개발 보안 – 시스템 도입 보안 |
| 14 | 공공부문 추가 보안 요구사항 | – 추가 보안 요구사항 |
- 클라우드 서비스는 구축 형태, 서비스 유형이 다양하므로 준비단계(사전컨설팅)를 통해 최종 평가범위 결정
3. 클라우드 서비스 보안인증 절차
- 신청부터 인증서 발급까지 총 2~5개월 정도 소요
- 상기 절차는 최초평가 기준이며, 1년 단위 사후평가는 준비단계없이 평가단계부터 진행
[참고]
- 한국인터넷진흥원(KISA), “클라우드서비스 보안인증제도 안내서”, 2020.11