(CSAP) 금융사 CSP 안전성 평가와 비교

1. CSAP (클라우드 서비스 보안 인증)

가. CSAP의 정의

• 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제23조 제2항에 따라 정보보호 기준의 준수 여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도

 

나. CSAP의 특징

• (공공기관 이용 대상), 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 목적
• (민간 클라우드 관리체계), 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보

다. CSAP의 근거

• 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(2015)의 클라우드 보안인증제 시행
• 『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』 제7조에 따른 정보보호 기준의 준수 여부 확인 (과학기술정보통신부 고시 제2017-7호)

 

2. CSAP의 인증체계 및 인증 유형

가. CSAP의 인증체계

나. CSAP의 인증 유형

인증유형	통제항목 (개)	유효기간 (년)
IaaS	117	5
DaaS	110	5
SaaS 표준	78	5
SECaaS	78	5
SaaS 간편	30	3

-SECaaS는 SaaS 표준과 같은 통제항목을 적용하며 SaaS 간편의 경우 인증서 유효기간이 3년

 

3. 금융사 CSP 안전성 평가와 비교

구분	CSAP	CSP 안전성 평가
법적 근거	-『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 -『클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시』	-『전자금융거래법』 -『전자금융감독규정』
적용 대상	-공공기관 이용 서비스	-금융기관 이용 서비스
평가 주체	-KISA	-금융사 (금보원 지원)
절차	-서비스 전 인증 획득 후 공공기관에게 서비스 제공 가능	-사전 중요도 및 건전성, 안전성 평가 -위수탁 운영기준 마련 -정보보호위원회 심의, 의결 -고유식별정보/개인신용정보를 처리하거나 전자금융거래의 안전성/신뢰성에 영향을 주는 경우 금융감독원 보고 (7영업일 이전)
이용 요건	-서비스 제공 전 사전 인증 획득 필요	-금융기관 자체 평가 후 이용 가능
인증기준 (기본 보호조치)	-각 인증 유형에 따른 상세 통제항목 (관리적, 물리적, 기술적)	-CSAP의 통제항목과 동일 기준 (관리적, 물리적, 기술적)
추가 요구사항 준수	-공공기관 보안요구사항	-금융부문 추가 보호조치
비고	-클라우드서비스제공자가 KISA에 인증 신청 후 심사 진행	-기본 보호조치의 경우 CSP가 획득한 국내/외 보안 인증 여부에 따라 생략 가능 -CSP 평가를 마친 금융사가 타 금융사에 해당 CSP 평가결과를 공유 가능 -금융보안원이 CSP에 대한 대표평가 시행하여 금융보안원이 평가 결과 공유 가능

-CSP 안정성 평가 시에 반드시 CSAP 인증을 받은 서비스 제공자를 선택해야 하는 것은 아니며 해외 서비스 제공자도 선택 가능 (단 데이터를 처리하는 모든 시스템은 국내에 설치)