반응형
Ⅰ. 클라우드 서비스 보안인증 CSAP의 개요
| 개념 | - 클라우드 컴퓨팅 서비스 사용자의 정보보호를 위해 CSP가 제공하는 서비스에 대해 정보보호 기준 준수 여부 평가 인증하는 제도 |
| 필요성 | - 공공기관에게 안정성 및 신뢰성이 검증된 민간 클라우드 서니스 공급 - 클라우드 서비스 이용자의 보안 우려 해소 및 클라우드 서비스 경쟁력 확보 |
- 한국인터넷진흥원(KISA)에서 평가/인증 시행
Ⅱ. 클라우드 서비스 보안인증 체계 및 인증 종류
가. 보안인증 체계
나. 보안인증 종류
| 종류 | 설명 |
| 최초평가 | - 처음 인증 신청 시 실시 - 중요한 변경 있을 시 실시 |
| 사후평가 | - 보안인증 취득 후 지속 인증 |
| 갱신평가 | - 보안인증 유효기간(5년) 만료 전 연장 |
Ⅱ. 클라우드 서비스 보안인증 대상 및 기준
가. 클라우드 서비스 보안인증 대상
| 구분 | 대상 서비스 |
| IaaS | - 컴퓨팅 자원, 스토리지 등 정보시스템의 인프라 |
| SaaS | - 인프라 외 각종 응용프로그램(소프트웨어) - 표준 등급: 전자 결재, 보안서비스 등 데이터 포함 서비스 - 간편 등급: 표준 등급 외 데이터 미포함 서비스 |
| DaaS | - 가상 PC 인프라(네트워크, 보안장비, 하이퍼바이저) 제공 서비스 |
- 단알 기관을 위한 사설 클라우드, 단순 설치형 소프트웨어 형태의 SaaS는 인증 불필요
나. 클라우드 서비스 보안인증 기준
| 번호 | 통제 분야 | 통제 항목 |
| 1 | 정보보호 정책 및 조직 | - 정보보호 정책 - 정보보호 조직 |
| 2 | 인적 보안 | - 내부인력 보안 - 외부인력 보안 - 정보보호 교육 |
| 3 | 자산관리 | - 자산 식별 및 분리 - 자산 변경 관리 - 위험 관리 |
| 4 | 서비스 공급망 관리 | - 공급망 관리 정책 - 공급망 변경 관리 |
| 5 | 침해사고 관리 | - 침해사고 대응 절차 및 체계 - 침해사고 대응 - 사후관리 |
| 6 | 서비스 연속성 관리 | - 장애 대응 - 서비스 가용성 |
| 7 | 준거성 | - 법 및 정책 준수 - 보안 감사 |
| 8 | 물리적 보안 | - 물리적 보호구역 - 정보처리 시설 및 장비보호 |
| 9 | 가상화 보안 | - 가상화 인프라 - 가상 환경 |
| 10 | 접근 통제 | - 접근통제 정책 - 접근권한 관리 - 사용자 식별 및 인증 |
| 11 | 네트워크 보안 | - 네트워크 보안 |
| 12 | 데이터 보호 및 암호화 | - 데이터 보호 - 매체 보안 - 암호화 |
| 13 | 시스템 개발 및 도입 보안 | - 시스템 분석 및 설계 - 구현 및 시험 - 외주 개발 보안 - 시스템 도입 보안 |
| 14 | 공공부문 추가 보안 요구사항 | - 관리적 보호조치 - 물리적 보호조치 - 기술적 보호조치 |
반응형
'IT 기술 > 보안' 카테고리의 다른 글
| 이중서명(Dual Signature) (0) | 2024.09.26 |
|---|---|
| APT(Advanced Persistent Threat) (1) | 2024.09.26 |
| 시큐어 코딩 (Secure Coding) (1) | 2024.09.26 |
| CNAPP(Cloud Native Application Protection Platform) (1) | 2024.09.26 |
| VPN (SSL VPN, IPsec VPN) (0) | 2024.09.25 |