728x90
1. 클라우드 보안인증제의 개요
가. 클라우드 보안인증제의 정의
-클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도
나. 클라우드 보안인증제의 특징
-(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공
-(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보
-(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리
2. 클라우드 보안인증제의 구성
1) 인증 유형
구분 | 분야 | 통제항목 |
IaaS | 14개 | 117개 |
SaaS 표준 | 13개 | 78개 |
SaaS 간편 | 11개 | 30개 |
DaaS | 14개 | 110개 |
-SaaS 표준, 간편 인증은 CSAP 인증을 획득한 IaaS 사업자의 서비스를 이용하여 구축되어야 함
2) 평가 유형
구분 | 내용 |
최초 평가 | -CSAP 인증 획득을 위해 최초 진행하는 평가 |
사후 평가 | -지속적으로 인증기준 준수 여부를 확인하는 평가 |
갱신 평가 | -IaaS/SaaS 표준/DaaS의 경우 인증서 유효 기간 5년 -SaaS 간편의 경우 인증서 유효 기간 3년 -인증서 유효기간 만료 전에 인증을 연장하기 위해 실시하는 평가 |
3) 타 인증제도와 차이점
구분 | 내용 |
ISMS-P | -인증기관(KISA, FSI)과 심사기관(KAIT, TTA, OPA)이 다름 -심사기관에서 해당 기관의 정보보호관리체계에 대한 점검 수행 -신청기관에서 자체 취약점 점검 및 위험평가를 실시 |
CSAP | -인증/평가기관은 KISA에서 수행 -인증/평가기관에서 해당 기관의 클라우드 서비스와 관련하여 정보보호관리체계에 대한 점검 수행 -인증/평가기관에서 최초/갱신 평가 시에는 대상 시스템에 대해 CCE 전수 조사, 사후평가 시에는 샘플링 조사 수행 -CVE는 최초/갱신 평가 시에만 수행 -모의해킹은 외부에서 접근 가능한 서비스(WEB, APP)에 대해 점검 수행 |
728x90
반응형
'법, 용어 > 용어' 카테고리의 다른 글
세는, 수량, 개수 단위 분류 (1) | 2023.02.15 |
---|---|
SI 유지관리 (0) | 2023.01.30 |
클라우드_도커 Docker (0) | 2022.12.16 |
DR 재해복구 (0) | 2022.12.15 |
용어_ISP EA ISMP (0) | 2022.12.12 |