“정보보호ㆍ소프트웨어 인증제도 개선방안(과기정통부, 2024.4.25.)”에 따른 클라우드컴퓨팅서비스 보안인증 취약점 점검 절차 변경사항을 안내드립니다.
□ 변경 사항
○ 취약점 자체점검 적용 대상 : (기존) 사후평가 → (확대) 최초평가, 사후평가, 갱신평가
※ 해당 내용은 신청기업이 취약점 점검 방식을 선택(①평가기관에 요청하여 수행, ②신청기업이 취약점 점검을 수행하고 증적을 제출)하여 인증평가를 진행할 수 있음을 의미합니다.
□ 수행 절차
○ 신청기업 또는 전문기관이 인증 서비스에 대해 취약점 점검(점검, 보완조치) 수행
- 인증평가 신청 시 ‘클라우드 보안인증 취약점 자체점검 명세서’ 첨부
- 인증평가 진행 시 클라우드 보안인증 취약점 자체점검 명세서 외 신청기업이 수행한 취약점 점검 증적(자산관리대장, 점검 계획 및 세부 결과보고서 등)을 확인하여 적합 유무를 판단
□ 적용 대상
○ 인증평가 청구서 발행일이 ’24년 6월 7일 이후인 인증평가
□ 유의사항
○ 취약점 자체점검은 6개월 이내에 점검을 시작하여, 보완조치가 완료된 건을 의미함(인증신청 접수완료일 기준)
※ 예시) 인증신청 접수완료일이 7월 1일인 평가의 경우 1월 1일부터 점검을 시작한 취약점 점검 결과(증적) 유효
○ 취약점 점검 대상 : 인증범위에 포함된 모든 자산
※ 자산관리대장과 자체점검 명세서 및 결과보고서 내 점검대상 일치유무 확인
○ 취약점 자체점검 인정 기준 : 취약점 자체점검 시 발견된 모든 취약점에 대해 보완 조치까지 완료
※ 미조치한 취약점이 존재할 경우 신청기업의 정보보호최고책임자 또는 대표의 결재가 포함된 조치계획서 제출(자율양식)
○ 현장 평가 시 취약점 자체 점검 관련 상세자료(점검 추진계획, 조치내역 등)를 요청할 수 있음
□ 문의처
○ 한국인터넷진흥원 클라우드인증팀
- 이메일 : cloud@kisa.or.kr