클라우드 보안인증 컨설팅은 클라우드 서비스(IaaS/PaaS/SaaS) 제공자의 보안 요구사항을 조사, 분석, 평가하여
클라우드 보안 인증제도(CSAP)에 맞게 정보보호 관리체계를 수립하고 클라우드 보안인증을 취득할 수 있도록 지원하는 서비스입니다.
이를 통해 기업과 기관은 내ㆍ외부의 정보보호 요건에 맞게 보안 체계가 구축되고 클라우드 서비스의 보안 수준이 향상됩니다.
클라우드 보안 인증제도(CSAP)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스에 대한 보안 인증 제도로
「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증기준에 적합한 클라우드 서비스에 대해 보안인증을 수행하는 제도입니다.
클라우드 보안 인증제도(CSAP)는 역할과 책임에 따라 정책기관, 인증/평가기관, 인증위원회, 기술자문기관, 인증신청인, 이용자로 구분합니다.
정책기관은 과학기술정보통신부, 인증기관은 한국인터넷진흥원, 평가기관은 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관, 공공부문 기술자문기관은 국가보안기술연구소에서 그 역할을 수행하고 있습니다.
기업이 국가 또는 공공기관에게 안정성과 신뢰성이 검증된 클라우드 서비스를 공급하고 이용자에게 안전한 클라우드 서비스를 제공하기 위한 목적으로 시행되고 있습니다.
인증 종류는 IaaS, SaaS(표준), SaaS(간편), DaaS 총 4 개로 구분되며 아래의 표와 같이 각 인증마다 인증항목 개수, 유효기간은 상이합니다.
| 항목 | 구분 | |||
|---|---|---|---|---|
| IaaS | SaaS | DaaS | ||
| 표준 | 간편 | |||
| 1. 보호 정책 및 조직 | 5 | 5 | 2 | 5 |
| 2. 인적보안 | 11 | 5 | 2 | 8 |
| 3. 자산관리 | 10 | 3 | - | 10 |
| 4. 서비스 공급망 관리 | 4 | 3 | - | 4 |
| 5. 침해사고관리 | 7 | 7 | 2 | 7 |
| 6. 서비스 연속성 관리 | 7 | 6 | 2 | 7 |
| 7. 준거성 | 4 | 3 | 1 | 4 |
| 8. 물리적 보안 | 11 | - | - | 11 |
| 9. 가상화 보안 | 10 | 6 | 1 | 7 |
| 10. 접근통제 | 9 | 9 | 4 | 9 |
| 11. 네트워크 보안 | 6 | 5 | 2 | 6 |
| 12. 데이터 보호 및 암호화 | 10 | 8 | 4 | 10 |
| 13. 시스템 개발 및 도입 보안 | 12 | 10 | 2 | 12 |
| 14. 국가기관등의 보안요구사항 | 10 | 9 | 9 | 10 |
| 총계 | 116 | 79 | 31 | 110 |
| 유효기간 | 5년 | 5년 | 3년 | 5년 |
