주메뉴 바로가기 본문내용 바로가기
주메뉴 바로가기 본문내용 바로가기

Home > 클라우드 보안인증제 > 제도소개

제도소개

안전한 클라우드 컴퓨팅 서비스 정보보호 관리체계를 만들어갑니다.

제도소개

인증제도

목적 및 필요성

  • 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
  • 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보

추진근거

  • 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행
  • 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수여부 확인 (과학기술정보통신부 고시 제2016-41호)

보안 평가·인증 체계

  • 클라우드서비스 보안 평가·인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회, 기술자문기관, 신청기관, 이용자로 구분
  • 정책기관은 과학기술정보통신부, 평가/인증기관은 한국인터넷진흥원, 기술자문기관은 국가보안기술연구소에서 각각 역할 수행
보안 평가·인증 체계

평가·인증 종류

클라우드서비스 보안 평가·인증 종류는 최초평가, 사후평가, 갱신평가가 있습니다.
  • 최초평가는 보안인증을 처음으로 취득할 때 또는 기존 인증 범위에 중요한 변경이 있어 다시 인증을 신청할 때 실시
    ※ 최초평가를 통해 인증을 취득하면 3년의 유효기간 부여
  • 사후평가는 인증을 취득한 이후 지속적으로 클라우드 서비스 보안 평가·인증기준을 준수하고 있는지 확인하기 위해 인증 유효기간 중 매년 1회 이상 시행
  • 갱신평가는 클라우드 서비스 보안인증 유효기간 연장을 목적으로 실시

평가·인증범위 기준

  • 공공기관의 업무를 위하여 서비스를 제공하는 신청기관의 클라우드서비스를 모두 포함하여 설정
    ※ 클라우드서비스 보안인증제 도입 초기에는 클라우드컴퓨팅법 시행령 제33조제1호의 서비스로 한정하고, 동 시행령 제3조제2호, 제3조제3호는 향후 확대 예정
  • 해당 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설, 가상자원 등) 및 조직 등을 모두 포함
    ※ 서비스 운영·관리를 위한 자산 및 온·오프라인으로 접근 가능한 자산 모두 포함
  • 해당 클라우드 서비스의 안전성 및 신뢰성 확보를 위한 자산 (정보보호시스템, 백업시스템, 로그관리 시스템 등)은 모두 포함
  • 식별된 모든 자산 및 조직에 대해서는 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』의 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치를 준수하여야 함

인증기준

인증심사기준은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부분 117개 통제항목으로 구성
※ 세부 평가·인증기준은 자료실의 ‘클라우드 컴퓨팅 서비스 정보보호에 관한 기준’ 참조

심사종류
구분 통제분야 항목수
1. 정보보호 정책 및 조직 1.1. 정보보호 정책 3
1.2. 정보보호 조직 2
2. 인적보안 2.1. 내부인력 보안 6
2.2. 외부인력 보안 3
2.3. 정보보호 교육 3
3. 자산관리 3.1. 자산 식별 및 분류 3
3.2. 자산 변경관리 3
3.3. 위험관리 4
4. 서비스 공급망관리 4.1. 공급망 관리정책 2
4.2. 공급망 변경관리 2
5. 침해사고 관리 5.1. 침해사고 절차 및 체계 3
5.2. 침해사고 대응 2
5.3. 사후관리 2
6. 서비스 연속성 관리 6.1. 장애대응 4
6.2. 서비스 가용성 3
7. 준거성 7.1. 법 및 정책 준수 2
7.2. 보안감사 2
8. 물리적 보안 8.1. 물리적 보호구역 6
8.2. 정보처리 시설 및 장비보호 6
9. 가상화 보안 9.1. 가상화 인프라 6
9.2. 가상환경 4
10. 접근통제 10.1. 접근통제 정책 2
10.2. 접근권한 관리 3
10.3. 사용자 식별 및 인증 5
11. 네트워크 보안 11.1. 네트워크 보안 6
12. 데이터 보호 및 암호화 12.1. 데이터 보호 6
12.2. 매체 보안 2
12.3. 암호화 2
13. 시스템 개발 및 도입 보안 13.1. 시스템 분석 및 설계 5
13.2. 구현 및 시험 4
13.3. 외주 개발 보안 1
13..4. 시스템 도입 보안 2
14. 공공부문 추가 보안요구 사항 8
총계 117