1. 클라우드 보안인증제의 개요
가. 클라우드 보안인증제의 정의
-클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도
나. 클라우드 보안인증제의 특징
-(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공
-(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보
-(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리
2. 클라우드 보안인증제의 구성
1) 인증 유형
| 구분 | 분야 | 통제항목 |
| IaaS | 14개 | 117개 |
| SaaS 표준 | 13개 | 78개 |
| SaaS 간편 | 11개 | 30개 |
| DaaS | 14개 | 110개 |
-SaaS 표준, 간편 인증은 CSAP 인증을 획득한 IaaS 사업자의 서비스를 이용하여 구축되어야 함
2) 평가 유형
| 구분 | 내용 |
| 최초 평가 | -CSAP 인증 획득을 위해 최초 진행하는 평가 |
| 사후 평가 | -지속적으로 인증기준 준수 여부를 확인하는 평가 |
| 갱신 평가 | -IaaS/SaaS 표준/DaaS의 경우 인증서 유효 기간 5년 -SaaS 간편의 경우 인증서 유효 기간 3년 -인증서 유효기간 만료 전에 인증을 연장하기 위해 실시하는 평가 |
3) 타 인증제도와 차이점
| 구분 | 내용 |
| ISMS-P | -인증기관(KISA, FSI)과 심사기관(KAIT, TTA, OPA)이 다름 -심사기관에서 해당 기관의 정보보호관리체계에 대한 점검 수행 -신청기관에서 자체 취약점 점검 및 위험평가를 실시 |
| CSAP | -인증/평가기관은 KISA에서 수행 -인증/평가기관에서 해당 기관의 클라우드 서비스와 관련하여 정보보호관리체계에 대한 점검 수행 -인증/평가기관에서 최초/갱신 평가 시에는 대상 시스템에 대해 CCE 전수 조사, 사후평가 시에는 샘플링 조사 수행 -CVE는 최초/갱신 평가 시에만 수행 -모의해킹은 외부에서 접근 가능한 서비스(WEB, APP)에 대해 점검 수행 |
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
| (CSAP) SDLC 상에서 정보보호 활동 (0) | 2021.04.11 |
|---|---|
| (CSAP) 품질 관리와 정보보호 관리의 비교 (1) (0) | 2021.04.11 |
| (CSAP) 품질 경영 시스템(QMS)과 정보보호 경영 시스템(ISMS) (0) | 2021.04.11 |
| (CSAP) 클라우드 보안인증제 확대 (DaaS) (0) | 2021.04.10 |
| (CSAP) 20년도 '보안기능 확인서' 제도의 대상과 유효기간 (0) | 2021.04.03 |
댓글