클라우드 보안인증제

1. 클라우드 보안인증제의 개요

가. 클라우드 보안인증제의 정의

-클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도

 

나. 클라우드 보안인증제의 특징

-(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공

-(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보

-(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리

 

2. 클라우드 보안인증제의 구성

1) 인증 유형

구분	분야	통제항목
IaaS	14개	117개
SaaS 표준	13개	78개
SaaS 간편	11개	30개
DaaS	14개	110개

-SaaS 표준, 간편 인증은 CSAP 인증을 획득한 IaaS 사업자의 서비스를 이용하여 구축되어야 함

 

2) 평가 유형

구분	내용
최초 평가	-CSAP 인증 획득을 위해 최초 진행하는 평가
사후 평가	-지속적으로 인증기준 준수 여부를 확인하는 평가
갱신 평가	-IaaS/SaaS 표준/DaaS의 경우 인증서 유효 기간 5년 -SaaS 간편의 경우 인증서 유효 기간 3년 -인증서 유효기간 만료 전에 인증을 연장하기 위해 실시하는 평가

 

3) 타 인증제도와 차이점

구분	내용
ISMS-P	-인증기관(KISA, FSI)과 심사기관(KAIT, TTA, OPA)이 다름 -심사기관에서 해당 기관의 정보보호관리체계에 대한 점검 수행 -신청기관에서 자체 취약점 점검 및 위험평가를 실시
CSAP	-인증/평가기관은 KISA에서 수행 -인증/평가기관에서 해당 기관의 클라우드 서비스와 관련하여 정보보호관리체계에 대한 점검 수행 -인증/평가기관에서 최초/갱신 평가 시에는 대상 시스템에 대해 CCE 전수 조사, 사후평가 시에는 샘플링 조사 수행 -CVE는 최초/갱신 평가 시에만 수행 -모의해킹은 외부에서 접근 가능한 서비스(WEB, APP)에 대해 점검 수행

출처: https://thegap.tistory.com/31#:~:text=%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%20%EB%B3%B4%EC%95%88%EC%9D%B8%EC%A6%9D%EC%A0%9C%EC%9D%98%20%EC%A0%95%EC%9D%98%20-%20%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%20%EC%84%9C%EB%B9%84%EC%8A%A4%20%EC%A0%9C%EA%B3%B5%EC%9E%90%EA%B0%80%20%EC%A0%9C%EA%B3%B5%ED%95%98%EB%8A%94,%EB%82%98.%20%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%20%EB%B3%B4%EC%95%88%EC%9D%B8%EC%A6%9D%EC%A0%9C%EC%9D%98%20%ED%8A%B9%EC%A7%95%202.%20%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%20%EB%B3%B4%EC%95%88%EC%9D%B8%EC%A6%9D%EC%A0%9C%EC%9D%98%20%EA%B5%AC%EC%84%B1