1. 관리적 보호조치
3. 기술적 보호조치
4. 국가기관등이 이용하는 클라우드컴퓨팅 서비스 보호조치
로그인
회원 가입
서비스 선택
1. 관리적 보호조치
3. 기술적 보호조치
4. 국가기관등이 이용하는 클라우드컴퓨팅 서비스 보호조치
🌐 모든 인증 유형 보기
🔹 SaaS 표준 항목만
🔸 SaaS 간편 항목만
📚 실무 가이드 모아보기
📂 1. 정보보호 정책 및 조직
0
📍 1.1. 정보보호 정책
📄
1.1.1. 정보보호 정책 수립
표준
1) 클라우드 정보보호 정책을 수립하고, 정책 시행을 위한 관련 지침, 절차, 매뉴얼 등을 문서화하고 있는가?
📄
1.1.1. 정보보호 정책 수립
표준
2) 클라우드 정보보호 정책은 정보보호 최고책임자로부터 제 ∙ 개정 시 승인을 받고 있는가?
📄
1.1.1. 정보보호 정책 수립
표준
3) 클라우드 정보보호 정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 최신본으로 전달하고 있는가?
📄
1.1.2 정보보호 정책 검토 및 변경
표준
1) 클라우드 서비스 제공자는 클라우드 정보보호 정책 및 정책 시행문서에 대한 타당성 검토를 최소 연 1회 이상 수행하고 있는가?
📄
1.1.2 정보보호 정책 검토 및 변경
표준
2) 중요한 변경 발생시 클라우드 정보보호정책 및 정책시행 문서의 변경 여부를 검토하여 필요 시 변경을 하고 있는가?
📄
1.1.3 정보보호 정책문서 관리
표준
1) 클라우드 정보보호 정책 및 정책 시행문서의 제정, 개정, 배포, 폐기 등의 이력을 확인할 수 있도록 관리절차를 수립·이행하고 있는가?
📄
1.1.3 정보보호 정책문서 관리
표준
2) 클라우드 정보보호 정책 및 정책 시행문서는 최신본으로 관리하고 있는가?
📍 1.2. 정보보호 조직
📄
1.2.1 조직 구성
표준
간편
1) 클라우드 서비스 제공자는 안전한 서비스 제공을 위해 별도의 실무조직 구성과 정보보호 최고책임자를 임명하고 있는가?
📄
1.2.2 역할 및 책임 부여
표준
1) 정보보호 최고책임자와 정보보호 관련 담당자의 역할 및 책임을 정의하고 있는가?
📄
1.2.2 역할 및 책임 부여
표준
2) 클라우드서비스 수준 협약(SLA) 또는 계약서에 이용자의 정보보호 역할과 책임이 반영되어 있는가?
📂 2. 인적보안
0
📍 2.1 내부인력 보안
📄
2.1.1 고용계약
표준
1) 고용 계약서에 정보보호 정책 및 관련 법률을 준수하도록 하는 조항 또는 조건을 포함되어 있는가?
📄
2.1.1 고용계약
표준
2) 새로 채용하거나 합류한 근무 인력이 고용 계약서에 서명 후 클라우드 서비스의 설비, 자원, 자산에 접근이 이루어지고 있는가?
📄
2.1.2 주요 직무자 지정 및 감독
표준
간편
1) 클라우드컴퓨팅서비스를 제공하기 위한 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하고 있는가?
📄
2.1.2 주요 직무자 지정 및 감독
표준
간편
2) 주요직무자는 최소의 인원으로 지정되고 있는가?
📄
2.1.3 직무 분리
표준
1) 직무의 권한 오남용을 예방하기 위하여 정보보호 관련 주요직무 분리 기준을 수립하고 직무별 역할과 책임을 명확하게 기술하고 있는가?
📄
2.1.3 직무 분리
표준
2) 직무 분리가 어려운 경우 직무자 간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?
📄
2.1.4 비밀유지서약서
표준
1) 직원 채용, 직무 변경, 고용 해지 시 정보보호 책임이 명시된 정보보호서약서 및 비밀유지 서약서를 받고 있는가?
📄
2.1.4 비밀유지서약서
표준
2) 임시직원 혹은 외주용역과 같은 외부인력에게 정보자산에 대한 접근권한을 부여할 경우, 정보보호에 대한 책임을 계약서에 명시하고 이에 대한 정보보호서약서를 받고 있는가?
📄
2.1.4 비밀유지서약서
표준
3) 정보보호서약서 및 비밀유지서약서는 법적 분쟁 발생 시 증거자료로 사용할 수 있도록 안전하게 보존하고 용이하게 찾아볼 수 있도록 관리하고 있는가?
📍 2.3 정보보호 교육
📄
2.3.2. 교육 시행
표준
간편
1) 내부의 모든 직원과 외부인력(외주 용역)을 대상으로 연 1회 이상 기본 정보보호 교육을 수행하고 있는가?
📄
2.3.2. 교육 시행
표준
간편
2) 정보보호 정책 및 절차의 중대한 변경, 조직 내·외부 보안사고 발생, 정보보호 및 클라우드 관련 법률 변경 등이 발생 시 이에 대한 추가 교육을 수행하고 있는가?
📂 3. 자산관리
0
📍 3.1. 자산 식별 및 분류
📄
3.1.1 자산 식별
표준
간편
1) 정보자산(정보시스템, 소프트웨어 등)의 분류기준을 수립하고 클라우드서비스 제공하기 위한 모든 정보자산을 식별하고 있는가?
📄
3.1.1 자산 식별
표준
간편
2) 식별된 정보자산을 별도 목록으로 관리하고 있는가?
📄
3.1.1 자산 식별
표준
간편
3) 정기적으로 정보자산 현황을 조사하고 정보자산목록을 최신으로 유지하고 있는가?
📍 3.2 자산 변경관리
📄
3.2.1 변경관리
표준
1) ) 클라우드 시스템 관련 자산(시설, 장비, 소프트웨어 등) 변경에 관한 절차를 수립·이행하고 있는가?
📄
3.2.1 변경관리
표준
2) 클라우드서비스 관련 자산 변경 중 이용자에게 큰 영향을 주는 변경에 대해서는 사전에 공지하고 있는가?
📍 3.3 위험관리
📄
3.3.2. 취약점 점검
표준
1) 클라우드서비스 취약점 점검 절차를 수립하여 연1회 이상 점검을 수행하고 있는가?
📄
3.3.2. 취약점 점검
표준
2) 인터넷 및 클라우드 서비스 관리 네트워크에서 침투테스트를 실시하고 있는가?
📄
3.3.2. 취약점 점검
표준
3) 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하는가?
📂 4. 서비스 공급망 관리
0
📍 4.1 공급망 관리 정책
📄
4.1.1 공급망 관리 정책 수립
표준
1) 클라우드컴퓨팅서비스에 대한 접근과 서비스 연속성을 저해하는 위험을 식별하고 있는가?
📄
4.1.1 공급망 관리 정책 수립
표준
2) 식별된 위험을 최소화하기 위한 보안 요구사항을 포함하는 공급망 관리정책을 수립하고 있는가?
📄
4.1.2 공급망 계약
표준
1) 클라우드서비스 범위 및 보안 요구사항을 공급망 계약에 포함하고 다자간 협약 시 각각의 역할과 책임을 명시하고 있는가?
📍 4.2 공급망 변경관리
📄
4.2.1 공급망 변경 관리
표준
1) 공급망 변경과 관련하여 계약서 등을 공급망 상의 이해관계자들에게 제시하고 있는가?
📄
4.2.1 공급망 변경 관리
표준
2) 안정성 확보를 위해 필요시 클라우드 공급망에 대한 보안 위험을 재평가 하고 있는가?
📂 5. 침해사고관리
0
📍 5.1 침해사고 대응 절차 및 체계
📄
5.1.1 침해사고 대응 절차 수립
표준
간편
1) 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생 시 보고 및 대응절차, 침해사고 대응조직의 구성 등을 포함한 침해사고 대응절차를 수립하고 있는가?
📄
5.1.2 침해사고 대응 체계 구축
표준
1) 침해사고를 모니터링하여 신속하게 대응할 수 있도록 모니터링 및 대응 방법, 절차, 대응조직 및 인력, 보고 및 승인 방법 등을 포함한 중앙집중적인 대응체계를 수립하고 있는가?
📄
5.1.2 침해사고 대응 체계 구축
표준
2) 외부 관제시스템 업체 등 외부 기관을 통해 침해사고 대응체계를 구축·운영하는 경우 보안사고 대응 절차의 세부사항을 계약서에 반영하고 있는가?
📄
5.1.2 침해사고 대응 체계 구축
표준
3) 침해사고의 모니터링, 대응 및 처리와 관련된 정부 부처, 외부전문가, 전문업체, 전문기관(KISA) 등과의 협조체계를 수립하고 있는가?
📄
5.1.3 침해사고 대응 훈련 및 점검
표준
1) 침해사고 대응 절차에 관한 년1회 이상 모의훈련 계획을 수립하고 이에 따라 주기적으로 훈련을 실시하고 있는가?
📄
5.1.3 침해사고 대응 훈련 및 점검
표준
2) 침해사고 대응 모의훈련 결과를 이용자가 요청할 경우 이를 문서화하여 제공하고 있는가?
📍 5.2 침해사고 대응
📄
5.2.1 침해사고 보고
표준
간편
1) 침해사고의 징후 또는 침해사고 발생을 인지한 경우 정의된 침해사고 보고 절차에 따라 신속하게 보고가 이루어지고 있는가?
📄
5.2.1 침해사고 보고
표준
간편
2) 침해사고보고서에는 사고 날짜, 사고내용 등 필요 내용을 모두 포함하고 있는가?
📄
5.2.1 침해사고 보고
표준
간편
3) 침해사고 발생 시 관련 법률 및 규정에 따라 신고, 통지하는 절차를 따르고 있는가?
📄
5.2.2 침해사고 처리 및 복구
표준
1) 침해사고가 발생한 경우 절차에 따라 처리 및 복구를 수행하고 그 기록을 남기고 있는가?
📍 5.3. 사후관리
📄
5.3.1 침해사고 분석 및 공유
표준
1) 침해사고가 종결된 후 사고의 원인을 분석하고 그 결과를 이용자에게 고지하고 있는가?
📄
5.3.1 침해사고 분석 및 공유
표준
2) 침해사고 정보와 발견된 취약점을 관련 조직 및 인력과 공유하고 있는가?
📄
5.3.2 재발방지
표준
1) 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?
📂 6. 서비스 연속성 관리
0
📍 6.1 장애대응
📄
6.1.1 장애 대응절차 수립
표준
1) 클라우드 시스템(SaaS 서비스, 가상서버 등) 장애를 즉시 인지하고 대응하기 위한 절차를 수립 ∙ 이행하고 있는가?
📄
6.1.2 장애 보고
표준
간편
1) 장애 대응절차에 클라우드서비스 중단이나 피해가 발생 시 법적 통지 및 신고 의무에 따른 장애 보고절차가 마련되어 있는가?
📄
6.1.3 장애 처리 및 복구
표준
1) 장애 발생 시 절차에 따라 조치하고 장애 조치보고서 등을 통해 기록 ∙ 관리하고 있는가?
📄
6.1.4. 재발방지
표준
1) 심각도가 높은 장애의 경우 원인분석을 통한 재발방지대책을 수립·이행하고 있는가?
📍 6.2 서비스 가용성
📄
6.2.1 성능 및 용량 관리
표준
간편
1) 클라우드 시스템(SaaS 서비스, 가상서버 등)의 성능 및 용량을 지속적으로 모니터링하기 위한 절차를 수립·이행하고 있는가?
📄
6.2.1 성능 및 용량 관리
표준
간편
2) 클라우드시스템(SaaS 서비스, 가상서버 등) 성능 및 용량 요구사항(임계치)을 초과하는 경우 조치절차를 수립·이행하고 있는가?
📄
6.2.2 이중화 및 백업
표준
1) 정보처리설비(예 : 클라우드컴퓨팅서비스를 제공하는 물리적인 서버, 스토리지, 네트워크 장비, 통신 케이블, 접속 회선 등)의 장애로 서비스가 중단되지 않도록 정보 처리설비를 이중화하여 운영하고 있는가?
📄
6.2.2 이중화 및 백업
표준
2) 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하고 있는가?
📄
6.2.2 이중화 및 백업
표준
3) 중요정보가 저장된 백업매체의 경우 재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
📂 7. 준거성
0
📍 7.1 법 및 정책 준수
📄
7.1.1 법적요구사항 준수
표준
간편
1) 정보보호 관련 법적 요구사항을 식별하고 준수하고 있는가?
📍 7.2 정보시스템 감사
📄
7.2.1 독립적 보안감사
표준
1) 클라우드 보안 요구사항의 준수여부를 보증하기 위해 독립적 감사 계획을 수립하여 시행하고 있는가?
📄
7.2.1 독립적 보안감사
표준
2) 감사결과를 정보보호 최고책임자에게 보고하고 발견된 사항에 대해 개선조치를 취하고 있는가?
📄
7.2.2 감사기록 및 모니터링
표준
1) 보안감사 증적(로그)을 식별하고 로그유형 및 보존기간을 정의하여 법적 요건을 고려하여 기록(보관)하고 검토하고 있는가?
📄
7.2.2 감사기록 및 모니터링
표준
2) 로그기록을 별도 저장장치를 통해 백업하고 비인가된 접근 및 변조로부터 보호하고 있는가?