클라우드
KISA - 클라우드 보안인증제
iiliiiili
2021. 8. 30. 12:27
민간분야 주요정보통신기반시설 클라우드 이용 가이드라인- https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=36035&queryString=cGFnZT0xJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9
보안 평가·인증 체계
- 클라우드서비스 보안 평가·인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회, 기술자문기관, 신청기관, 이용자로 구분
- 정책기관은 과학기술정보통신부, 평가/인증기관은 한국인터넷진흥원, 기술자문기관은 국가보안기술연구소에서 각각 역할 수행
평가·인증 종류
▶인증 종류
- IaaS 분야 및 DaaS 분야 인증의 유효기간은 5년으로 운영
SaaS 분야 인증은 표준등급에 대해서는 유효기간을 5년, 간편등급에 대해서는 유효기간을 3년으로 운영
▶평가 종류
- 최초평가는 보안인증을 처음으로 취득할 때 진행하는 평가이며, 인증 취득기간 중 중요한 변경이 있을 경우 변경 사항에 대해 상시평가가 이루어 질 수 있음
※ 최초평가를 통해 인증을 취득하면, 5년(SaaS 간편등급은 3년)의 유효기간을 부여 - 사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(3~5년) 안에 매년 시행
- 갱신평가는 보안인증 유효기간(3~5년)이 만료되기 전에 클라우드서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가
※ 갱신평가를 통과하는 경우, 3~5년의 유효기간을 다시 부여
평가·인증범위 기준
- 공공기관의 업무를 위하여 제공하는 클라우드서비스의 모든 서비스를 포함하여 설정
※ 클라우드서비스 보안인증제는 클라우드컴퓨팅법 시행령 제3조의 서비스를 대상으로 시행 - 해당 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등도 모두 포함하여 설정
※ 서비스 운영·관리를 위한 온·오프라인 자산 및 지원서비스
※ 안전성 및 신뢰성 확보를 위한(정보보호시스템, 로그관리시스템 등) - 식별된 자산 및 조직에 대해서는 『클라우드컴퓨팅서비스 정보보호에 관한 기준 고시』의 관리적·물리적·기술적 보호조치 및 공공기관용 클라우드서비스 추가 보호조치를 준하여야 함
인증기준
- IaaS 인증은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 117개 통제항목으로 구성
- SaaS 표준등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개 분야 78개 통제항목으로 구성
- SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제항목으로 구성
- DaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성
| 통제 분야 | 통제 항목 | 통제 항목 수 | |||
| IaaS | SaaS 표준 |
SaaS 간편 |
DaaS | ||
| 1. 정보보호 정책 및 조직 | 1.1. 정보보호 정책 | 3 | 3 | - | 3 |
| 1.2. 정보보호 조직 | 2 | 2 | 2 | 2 | |
| 2. 인적보안 | 2.1. 내부인력 보안 | 6 | 4 | 1 | 4 |
| 2.2. 외부인력 보안 | 3 | - | - | 3 | |
| 2.3. 정보보호 교육 | 3 | 1 | 1 | 1 | |
| 3. 자산관리 | 3.1. 자산 식별 및 분류 | 3 | 1 | - | 3 |
| 3.2. 자산 변경관리 | 3 | 1 | - | 3 | |
| 3.3. 위험관리 | 4 | 1 | - | 4 | |
| 4. 서비스 공급망 관리 | 4.1. 공급망 관리정책 | 2 | 2 | - | 2 |
| 4.2. 공급망 변경관리 | 2 | 1 | - | 2 | |
| 5. 침해사고 관리 | 5.1. 침해사고 절차 및 체계 | 3 | 3 | 1 | 3 |
| 5.2. 침해사고 대응 | 2 | 2 | 1 | 2 | |
| 5.3. 사후관리 | 2 | 2 | - | 2 | |
| 6. 서비스 연속성 관리 | 6.1. 장애대응 | 4 | 4 | 1 | 4 |
| 6.2. 서비스 가용성 | 3 | 2 | 1 | 3 | |
| 7. 준거성 | 7.1. 법 및 정책 준수 | 2 | 1 | 1 | 2 |
| 7.2. 보안 감사 | 2 | 2 | - | 2 | |
| 8. 물리적 보안 | 8.1. 물리적 보호구역 | 6 | - | - | 6 |
| 8.2. 정보처리 시설 및 장비보호 | 6 | - | - | 6 | |
| 9. 가상화 보안 | 9.1. 가상화 인프라 | 6 | 2 | 1 | 5 |
| 9.2. 가상 환경 | 4 | 4 | - | 2 | |
| 10. 접근통제 | 10.1. 접근통제 정책 | 2 | 2 | 1 | 2 |
| 10.2. 접근권한 관리 | 3 | 3 | - | 3 | |
| 10.3. 사용자 식별 및 인증 | 5 | 5 | 4 | 5 | |
| 11. 네트워크 보안 | 6 | 5 | 2 | 6 | |
| 12. 데이터 보호 및 암호화 | 12.1. 데이터 보호 | 6 | 6 | 2 | 6 |
| 12.2. 매체 보안 | 2 | - | - | 2 | |
| 12.3. 암호화 | 2 | 2 | 2 | 2 | |
| 13. 시스템 개발 및 도입 보안 | 13.1. 시스템 분석 및 설계 | 5 | 5 | 1 | 5 |
| 13.2. 구현 및 시험 | 4 | 4 | 1 | 4 | |
| 13.3. 외주 개발 보안 | 1 | 1 | - | 1 | |
| 13..4. 시스템 도입 보안 | 2 | - | - | 2 | |
| 14. 공공부문 추가 보안요구 사항 | 8 | 7 | 7 | 8 | |
| 총계 | 117 | 78 | 30 | 110 | |