fbpx

클라우드서비스 보안인증 제도

Cloud Security Assurance Program

클라우드서비스 보안 인증 프로그램(CSAP, Cloud Security Assurance Program)은 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도입니다.
본 제도를 통해 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급하고, 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁을 확보할 수 있습니다.

평가·인증 종류

클라우드 서비스 보안인증의 인증 종류는 IaaS, SaaS 표준등급, SaaS 간편등급, DaaS가 있으며, 평가 종류는 최초평가, 사후평가, 갱신평가가 있습니다.

최초 평가

보안인증을 처음으로 취득할 때 진행하는 평가이며, 인증 취득기간 중 서비스의 형상변경이 발생한 경우 인증사업자는 상시평가를 신청할 수 있음
※ 최초평가를 통해 인증을 취득하면, 5년(SaaS 간편등급은 3년)의 유효기간을 부여

사후 평가

보안인증을 취득한 이후 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(3~5년) 안에 매년 시행

갱신 평가

보안인증 유효기간(3~5년)이 만료되기 전에 클라우드서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가
※ 갱신평가를 통과하는 경우, 3~5년의 유효기간을 다시 부여

평가·인증 대상 및 범위

평가·인증 대상

클라우드 서비스 보안 평가·인증대상은 다음과 같습니다.

  • 공공기관의 업무를 위하여 클라우드서비스를 제공하려는 자(클라우드서비스제공자)
  •  클라우드컴퓨팅 기술을 이용하여 정보시스템의 인프라(서버, 저장장치, 네트워크 등), 응용프로그램, 개발환경(소프트웨어 개발·배포·운영·관리 등) 중 어느 하나 이상을 제공하는 클라우드서비스

컴퓨팅 자원(CPU), 스토리지 등 정보시스템의 인프라를 제공하는 서비스

인프라(IaaS) 외에 각종 응용프로그램(소프트웨어)을 제공하는 서비스

SaaS 서비스는 기본적으로 클라우드서비스 보안인증을 받은 IaaS 서비스 환경에서 구축되어야 하며, 다수의 기관을 대상으로 퍼블릭(Public)한 형태로 소프트웨어를 제공하여야 한다. 전자결재, 인사 및 회계관리, 보안서비스, PaaS 등 중요데이터를 다루는 SaaS는 서비스 표준등급을 받아야 하며, 그 외 서비스는 사업자가 표준, 간편등급 중 선택하여 신청이 가능하다.

SaaS 표준등급 필수 서비스 유형은 다음과 같습니다.

  • 전자결재 : 기관 내부업무에 관한 문서의 승인, 신고 등을 처리
  • 회계관리 : 회계관리, 예산관리
  • 인적자원관리 : 채용, 인사평가, 승진, 배치 / 급여, 인센티브 관리
  • 보안 서비스 : 웹 방화벽, 암호화, 개인정보 유통 보안, 생체인증 등 보안, 해킹 대응, 모바일 보안관리
  • PaaS : 소프트웨어의 개발 환경(개발, 배포, 운영, 관리 등)

보안서비스(SECaaS)의 경우, ’24년 12월까지 클라우드 보안인증(SaaS 표준등급)이 유효하다면 별도의 사전인증(CC인증, 보안기능 확인서 등) 없이 행정·공공기관에 제공이 가능합니다.

가상 PC 제공을 위한 서비스 (※행정·공공기관 인터넷망 PC 대체를 위해 도입하는 가상PC)

DaaS 서비스는 인프라(네트워크, 보안장비, 하이퍼바이저 등) 영역에 구성되어야 하며, DaaS의 필수 보안요건을 만족하여야 한다.

※ 클라우드서비스 보안인증 불필요 유형 예시 : 단일 기관만을 위해 구축되는 Private Cloud 환경의 IaaS/SaaS/DaaS, 단순 설치형 SW 형태의 SaaS 등

평가·인증범위

  • 공공기관의 업무를 위하여 제공하는 클라우드서비스의 모든 서비스를 포함하여 설정
  • 해당 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등도 모두 포함하여 설정
  • 식별된 자산 및 조직에 대해서는 『클라우드컴퓨팅서비스 정보보호에 관한 기준 고시』의 관리적·물리적·기술적 보호조치 및 공공기관용 클라우드서비스 추가 보호조치를 준하여야 함

평가·인증기준

  • IaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 117개 통제항목으로 구성
  • SaaS 표준등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개분야 78개 통제항목으로 구성
  • SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개분야 30개 통제항목으로 구성
  • DaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성

    ※ 관리적 보호조치 항목은 ISMS 인증시 점검 대체 가능합니다. 

평가·인증 절차

클라우드서비스 보안인증의 평가·인증 절차는 준비단계, 평가단계, 인증단계로 진행되며,  1년 단위로 실시하는 사후 평가에서는 준비단계 없이 평가 단계로 넘어갑니다.
평가·인증 신청부터 인증서 발급까지는 총 2~5개월 정도가 소요됩니다.

평가·인증 단계별 소요일수

• IaaS (총22일) : 사전컨설팅 2일 → 서면/현장평가(5일)·취약점점검(10일) (동시진행) 10일 → 모의침투테스트 5일 → 이행점검 5일

SaaS 표준등급(총17일) : 사전컨설팅 2일 → 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 5일

SaaS 간편등급(총14일) : 사전컨설팅 2일 → 서면/현장평가(4일)·취약점점검(4일) (동시진행) 4일 → 모의침투테스트 5일 → 이행점검 3일

DaaS (총19일) : 사전컨설팅 2일 → 서면/현장평가(5일)·취약점점검(7일) (동시진행) 7일 → 모의침투테스트 5일 → 이행점검 5일

사후평가 단계별 소요일수

• IaaS (총12일) : 서면/현장평가(5일)·취약점점검(7일)·모의침투테스트(5일) (동시진행) 7일 → 이행점검 5일

• SaaS 표준등급(총9일) : 서면/현장평가(5일)·취약점점검(5일)·모의침투테스트(5일) (동시진행) 5일 → 이행점검 4일

• SaaS 간편등급(총7일) : 서면/현장평가(4일)·취약점점검(4일)모의침투테스트(4일)(동시진행) 4일 → 이행점검 3일

• DaaS (총11일) : 서면/현장평가(5일)·취약점점검(7일)·모의침투테스트(5일) (동시진행) 7일 → 이행점검 4일

클라우드 보안 인증 컨설팅 문의

1. 클라우드서비스 보안인증제도

클라우드서비스 보안인증제도 개요 및 보안 평가·인증체계

2. 평가·인증 대상 및 범위

클라우드서비스 보안 평가·인증대상, 보안 평가·인증범위, 보안 평가·인증기준

3. 평가·인증 절차

클라우드서비스 보안 평가·인증 절차 및 사후 관리 절차

4. 평가·인증 IaaS 통제항목표

클라우드서비스 보안 인증 IaaS 통제항목표

4. 평가·인증 SaaS 통제항목표

클라우드서비스 보안 인증 SaaS 통제항목표

4. 평가·인증 DaaS 통제항목표

클라우드서비스 보안 인증 DaaS 통제항목표