“정보보호ㆍ소프트웨어 인증제도 개선방안(과기정통부, 2024.4.25.)”에 따른 SaaS 인증서비스 사후 관리 방식 변경사항을 안내드립니다.

□ 변경 사항

○ 인증 받은 SaaS서비스 사후 평가 시, 인증기업에서 제출한 서류 기반으로 평가하는 ‘서면평가’ 방식 도입

- 대상 : SaaS 인증서비스 중 1년차, 3년차, 4년차 사후평가 대상 서비스

- 방식 : (기존) 현장평가 → (변경) 서면평가 또는 현장평가

※ 기업에서 제출한 서류 기반으로 서면 평가를 시행하며, 운영 현황 확인을위해 인증기업과 협의하여 1일 이상 현장방문 시행

□ 신청서류

○ 클라우드컴퓨팅서비스 보안인증 신청서 통합서식 1부

※ 통합서식에는 사후평가 신청서, 보안인증 명세서, 사업자등록증, 취약점 자체점검 명세서 등이 포함되어 있음

○ 클라우드컴퓨팅서비스 자산관리대장 최신본 1부

○ 클라우드컴퓨팅서비스 보안운영 명세서 1부

○ 사후 서면평가 증적자료 압축파일 1개

□ 적용 시점

○ ’25년 1월부터 사후평가를 수행해야 하는 SaaS서비스

□ 유의 사항

○ 인증기업 희망 시, 사후 서면평가(1년차, 3년차, 4년차)를 현장평가로 변경하여 수행 가능

○ 클라우드 보안인증 제도 수수료 개선 설명회(2025.1.15.)의견 등을 반영(한글, 엑셀 양식 이원화로 인한 관리 부담 예상)하여양식을 ‘보안운영명세서’(엑셀파일)로 일원화하여 인증 담당자 부담 완화 추진

- ‘보안운영명세서’에 운영현황을 상세히 기술하고, 인증기준별 필수제출 증적자료 리스트를 참고하여 증적자료 제출 필요

※ 사후 서면평가 시 보안인증기준에 따라 “필수 제출”로 분류되지 않은 증적 자료를 요청할 수 있음

○ ’25년 사후 서면평가 시, 취약점 점검(CCE, 소스코드)에 대한 자체점검 실시 결과를 제출해야 하며 모의침투 평가는 미시행

○ 사후평가의평가 절차, 점검 방법, 비용 등 수행 방식은 보안인증 제도 운영 정책에 따라 변경 가능

□ 문의처

○ 한국인터넷진흥원 클라우드인증팀

- 이메일 : cloud@kisa.or.kr