JJANG-JOON
article thumbnail
Published 2023. 8. 8. 18:00
[보안]'CSAP' 란 무엇인가? 보안
반응형

csap(cloud security assurance program)

클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도이다.

 

보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2조제3항에 따라 보안인증을 받은 클라우드컴퓨팅서비스에 대해 표시할 수 있다.
보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행규칙」 제4조에 따라 표시도안의 크기를 용도에 맞게 같은 배율로 조정할 수 있으며, 알아보기 쉽게 표시하여야 한다.
표시도안의 색상 및 글씨체는 임의로 변경할 수 없다.

 

목적 및 필요성

-국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드서비스 공급

-객관적이고 공정한 클라우드서비스 보안인증를 실시하여 이용자의 보안 우려를 해소하고, 클라우드서비스의 경쟁력 확보

 

추진 근거

- 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드서비스 보안인증제도 시행

- 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행

 

보안인증체계

- 클라우드서비스 보안인증체계는 역할과 책임에 따라 정책기관, 인증/평가기관, 인증위원회, 기술자문기관, 인증신청인, 이용자로 구분한다. 정책기관은 과학기술정보통신부, 인증기관은 한국인터넷진흥원, 평가기관은 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관, 공공부문 기술자문기관은 국가보안기술연구소에서 그 역할을 수행하고 있다.

 

 

보안인증 유형 등

▶ 보안인증 유형

클라우드서비스 보안인증 유형은 IaaS, SaaS, DaaS가 있으며, 유효기간은 모두 5년이다.
※ 기존 인증제도(IaaS, SaaS(표준등급, 간편등급), DaaS 등)는 상·중 등급 시행 전까지 인증 신청 가능


▶ 보안인증 등급

클라우드서비스 보안인증 등급은 상·중·하로 구분된다.
※ 하 등급은 고시에 반영되어 있으며, 상·중 등급은 추후 반영 예정


▶ 인증평가 종류

최초평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가이다.
※ 최초평가를 통해 인증을 취득하면, 5년의 유효기간을 부여

사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 보안인증 유효기간(5년) 안에 매년 시행된다.

갱신평가는 보안인증 유효기간(5년)이 만료되기 전에 클라우드서비스에 대한 보안인증의 연장을 원하는 경우에 실시하는 평가이다.
※ 갱신평가를 통과하는 경우, 5년의 유효기간을 다시 부여

 

보안인증 범위

클라우드서비스 보안인증 범위는 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등을 모두 포함하여 설정한다.
※ 클라우드서비스란 클라우드컴퓨팅법 시행령 제3조의 서비스를 의미

 

보안인증 기준

▶ 기존 보안인증제도의 유형에 따른 보안인증기준은 다음과 같다.

 

-IaaS 보안인증은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 116개 통제항목으로 구성

-SaaS 표준등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개 분야 79개 통제항목으로 구성

-SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 31개 통제항목으로 구성

-DaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성


▶ 등급제 시행에 따른 보안인증기준은 다음과 같다.

 

-하등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 64개 통제항목으로 구성

-하등급 SaaS 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제항목으로 구성

https://isms.kisa.or.kr/main/csap/intro/index.jsp

 

 

반응형

'보안' 카테고리의 다른 글

[보안] Gobuster ? 알아볼게요  (0) 2023.08.31
[보안] OSINT ? 알아볼게요  (0) 2023.08.31
[보안] 코드로 보는 인공지능과 기계 학습을 활용한 보안  (0) 2023.08.11
[보안] ISMS-P 인증 이란?  (0) 2023.08.09
[보안] ISMS 인증 이란?  (0) 2023.08.09
profile

JJANG-JOON

@JJANG-JOON

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

profile on loading

Loading...

검색 태그

Frida
코드
JavaScript
C언어
리눅스
취약점진단
루팅
시스템
Android
클라우드
security
보안
cloud
코딩
해킹
Kali
네트워크
커널
모바일
안드로이드
취약점
csap
Python
IT
오류
하드웨어
ios
XenServer

티스토리툴바