라스컴 시큐리티
HOME
  • 정보보호관리체계
  • 클라우드 보안인증 컨설팅
  • 정보보호관리체계

    클라우드 보안인증 컨설팅

    클라우드 보안인증 컨설팅

    클라우드 보안인증 컨설팅은 클라우드 서비스(IaaS/PaaS/SaaS) 제공자의 보안 요구사항을 조사, 분석, 평가하여
    클라우드 보안 인증제도(CSAP)에 맞게 정보보호 관리체계를 수립하고 클라우드 보안인증을 취득할 수 있도록 지원하는 서비스입니다.

    이를 통해 기업과 기관은 내ㆍ외부의 정보보호 요건에 맞게 보안 체계가 구축되고 클라우드 서비스의 보안 수준이 향상됩니다.

    개요

    클라우드 보안 인증제도(CSAP)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스에 대한 보안 인증 제도로
    「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증기준에 적합한 클라우드 서비스에 대해 보안인증을 수행하는 제도입니다.

    클라우드 보안 인증제도(CSAP)는 역할과 책임에 따라 정책기관, 인증/평가기관, 인증위원회, 기술자문기관, 인증신청인, 이용자로 구분합니다.
    정책기관은 과학기술정보통신부, 인증기관은 한국인터넷진흥원, 평가기관은 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관, 공공부문 기술자문기관은 국가보안기술연구소에서 그 역할을 수행하고 있습니다.

    기업이 국가 또는 공공기관에게 안정성과 신뢰성이 검증된 클라우드 서비스를 공급하고 이용자에게 안전한 클라우드 서비스를 제공하기 위한 목적으로 시행되고 있습니다.

    점검항목

    인증 종류는 IaaS, SaaS(표준), SaaS(간편), DaaS 총 4 개로 구분되며 아래의 표와 같이 각 인증마다 인증항목 개수, 유효기간은 상이합니다.

    항목 구분
    IaaS SaaS DaaS
    표준 간편
    1. 보호 정책 및 조직 5 5 2 5
    2. 인적보안 11 5 2 8
    3. 자산관리 10 3 - 10
    4. 서비스 공급망 관리 4 3 - 4
    5. 침해사고관리 7 7 2 7
    6. 서비스 연속성 관리 7 6 2 7
    7. 준거성 4 3 1 4
    8. 물리적 보안 11 - - 11
    9. 가상화 보안 10 6 1 7
    10. 접근통제 9 9 4 9
    11. 네트워크 보안 6 5 2 6
    12. 데이터 보호 및 암호화 10 8 4 10
    13. 시스템 개발 및 도입 보안 12 10 2 12
    14. 국가기관등의 보안요구사항 10 9 9 10
    총계 116 79 31 110
    유효기간 5년 5년 3년 5년
    *「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드서비스 보안인증제도 시행 *「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행

    수행절차

    기대 효과

    • - 조직이 정보자산을 식별하고 관리하며, 정보보안에 대해 적절한 조치 가능
    • - 보안 위협을 식별하고 관리하는 방법을 제시하여 위험에 대비하고 대응이 가능
    • - 발생 가능한 보안 위험을 사전에 발견하고 제거 가능
    • - 클라우드 서비스 이용 시 발생하는 보안 우려 해소