1. 관리적 보호조치
3. 기술적 보호조치
4. 국가기관등이 이용하는 클라우드컴퓨팅 서비스 보호조치
로그인
회원 가입
서비스 선택
1. 관리적 보호조치
3. 기술적 보호조치
4. 국가기관등이 이용하는 클라우드컴퓨팅 서비스 보호조치
🌐 모든 인증 유형 보기
🔹 SaaS 표준 항목만
🔸 SaaS 간편 항목만
📚 실무 가이드 모아보기
📂 9. 가상화 보안
0
📍 9.1 가상화 인프라
📄
9.1.1 가상자원 관리
표준
1) IaaS 사업자로부터 할당받은 가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등)의 생성, 변경, 회수 등에 대한 관리방안을 수립 및 이행하고 있는가?
📄
9.1.1 가상자원 관리
표준
2)가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등)의 생성, 변경, 회수 등에 대한 승인, 책임추적성 확보 방안 및 주기적 점검을 이행하고 있는가?
📄
9.1.5. 공개서버 보안
표준
간편
1) 웹서버, 메일서버 등 공개 서버를 운영하는 경우 이에 대한 보호 대책을 마련하고 있는가?
📄
9.1.5. 공개서버 보안
표준
간편
2) 공개 서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone) 영역에 설치하여 운영하고 있는가?
📄
9.1.5. 공개서버 보안
표준
간편
3) 공개 서버의 취약점 점검을 주기적으로 수행하고 발견된 취약점을 조치하고 있는가?
📍 9.2. 가상 환경
📄
9.2.1 악성코드 통제
표준
1) 바이러스, 웜, 트로이목마 등의 악성코드로부터 가상환경을 보호하기 위한 기술을 도입 또는 지원하고 있는가?
📄
9.2.1 악성코드 통제
표준
2) 이상 징후 발견 시 이용자에게 통지하고 사용 중지 및 격리 조치를 수행하고 있는가?
📄
9.2.2 인터페이스 및 API 보안
표준
1) 가상 환경(가상 PC, 가상서버, 가상 소프트웨어 등) 접근을 위한 인터페이스 및 API에 대한 보호 방안을 마련하고 있는가?
📄
9.2.3 데이터 이전
표준
1) 이용자의 데이터 이전 시, 안전하게 이전하고 있는가?
📄
9.2.4 가상 소프트웨어 보안
표준
1) 가상 환경 내에 출처, 유통경로 및 제작자가 명확하지 않은 가상 소프트웨어의 설치를 방지하고 있는가?
📂 10. 접근통제
0
📍 10.1 접근통제 정책
📄
10.1.1 접근통제 정책 수립
표준
1) 접근 통제영역을 정의하고 접근 통제영역별로 접근통제 정책을 수립하고 있는가? (접근통제 영역별 통제 규칙, 방법, 절차, 예외사항에 대한 안전한 관리절차 등)
📄
10.1.2 접근기록 관리
표준
간편
1) 클라우드 시스템(SaaS 서비스, 가상서버 등)의 사용자/관리자 접속 내역을 기록하고 보관하고 있는가?
📍 10.2. 접근 권한 관리
📄
10.2.1 사용자 등록 및 권한 부여
표준
1) 클라우드 시스템(SaaS 서비스, 가상서버 등) 내 사용자 계정에 대한 등록·변경·삭제에 관한 공식적인 검토·승인절차가 있는가?
📄
10.2.1 사용자 등록 및 권한 부여
표준
2) 클라우드 시스템(SaaS 서비스, 가상서버 등)의 사용자 계정 생성 및 변경 시 직무별, 역할별 접근권한 분류 체계를 수립하고 있으며, 업무상 필요한 최소한의 권한만을 부여하고 있는가?
📄
10.2.2 관리자 및 특수 권한 관리
표준
1) 관리자 및 특수 권한은 최소한의 인원에게만 부여하고, 권한 부여 시 책임자 승인 절차를 수립하고 있는가?
📄
10.2.2 관리자 및 특수 권한 관리
표준
2) 관리자 권한 및 특수 권한을 식별하여 별도 목록으로 관리하고 있는가?
📄
10.2.2 관리자 및 특수 권한 관리
표준
3) 외부자에게 부여하는 계정은 한시적으로 부여하고, 사용이 끝난 후에는 즉시 삭제 또는 정지하고 있는가?
📄
10.2.3 접근권한 검토
표준
1) 클라우드 시스템(SaaS 서비스, 가상서버 등)에 대한 접근권한 검토 기준, 검토주체, 검토방법, 주기 등을 정하여 정기적 검토를 이행하고 있는가?
📍 10.3 사용자 식별 및 인증
📄
10.3.1 사용자 식별
표준
1) 클라우드 시스템(SaaS 서비스, 가상서버 등)에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고, 추측 가능한 식별자의 사용을 제한하고 있는가?
📄
10.3.1 사용자 식별
표준
2) 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받고 있는가?
📄
10.3.2 사용자 인증
표준
간편
1) 클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증절차에 의해 통제하고 있는가?
📄
10.3.2 사용자 인증
표준
간편
2) 싱글사인온 등의 인증 방법을 사용하는 경우, 이에 대한 별도의 보호대책을 수립하고 있는가?
📄
10.3.3 강화된 인증수단 제공
표준
간편
1) 이용자 요구 시 인증(PKI)기반, OTP, 지문 등 다중 인증 수단을 제공할 수 있는가?
📄
10.3.4 패스워드 관리
표준
간편
1) 클라우드 시스템 또는 서비스에 대해 보안성 기준을 만족하는 안전한 사용자 및 이용자 패스워드 관리 절차를 수립∙이행하고 있는가?
📄
10.3.4 패스워드 관리
표준
간편
2) 클라우드 시스템 관리자 패스워드는 별도 목록(문서 또는 파일)으로 유지∙관리하고, 비밀등급에 준하는 보호대책을 적용하고 있는가?
📄
10.3.4 패스워드 관리
표준
간편
3) 이용자 계정 및 패스워드 관리절차 관련 내용을 홈페이지 또는 메일 등을 통하여 이용자가 쉽게 확인하고 이해할 수 있도록 공지하고 있는가?
📂 11. 네트워크 보안
0
📍 11.1 네트워크 보안
📄
11.1.1 네트워크 보안정책 수립
표준
1) 내·외부 네트워크를 통한 클라우드 시스템(SaaS 서비스, 가상서버 등)의 접근을 통제하는 보안정책이 수립되어 있는가?
📄
11.1.2 네트워크 모니터링 및 통제
표준
1) 접근통제 정책에 따라 인가된 사용자만이 내부 네트워크(서비스망, 관리망)에 접근할 수 있도록 네트워크 식별자(IP) 할당 등을 통제하고 있는가?
📄
11.1.2 네트워크 모니터링 및 통제
표준
2) 내부 네트워크를 구성하는 주요자산 목록, 구성도, IP 현황을 최신으로 유지하고 안전하게 관리하고 있는가?
📄
11.1.2 네트워크 모니터링 및 통제
표준
3) 관리망의 IP 주소는 사설 IP로 할당하고 국제권고표준을 따르고 있는가?
📄
11.1.2 네트워크 모니터링 및 통제
표준
4) DDoS, 비인가 접속 등으로 인한 서비스 중단 및 중요정보 유출 등을 예방하기 위해 네트워크를 모니터링하고 있는가?
📄
11.1.3 네트워크 정보보호시스템 운영
표준
1) 내·외부 네트워크를 보호하기 위하여 정보보호시스템(방화벽, IPS, IDS, VPN 등)가 운영되고 있는가?
📄
11.1.3 네트워크 정보보호시스템 운영
표준
2) 정보보호시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자 접근을 엄격하게 통제하고 있는가? (직접운영 시)
📄
11.1.3 네트워크 정보보호시스템 운영
표준
3) 정보보호시스템별 정책(룰셋 등) 신규 등록, 변경, 삭제 등 절차를 수립하고 정책의 타당성 검토를 주기적으로 수행하고 있는가? (직접운영 시)
📄
11.1.4 네트워크 암호화
표준
간편
1) 클라우드 시스템(SaaS 서비스, 가상서버 등)에서 중요정보를 송·수신하는 경우 암호화 통신 채널을 사용하고 있는가?
📄
11.1.5 네트워크 분리
표준
간편
1) 클라우드컴퓨팅서비스의 정보자산 등의 중요도 및 역할에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 있는가?
📂 12. 데이터 보호 및 암호화
0
📍 12.1 데이터 보호
📄
12.1.1 데이터 분류
표준
1) 클라우드컴퓨팅서비스 제공을 위해 이용자 데이터에 대한 생명주기를 수립하고 이용자 데이터에 대한 안전한 관리 방안을 마련하고 있는가?
📄
12.1.1 데이터 분류
표준
2) 클라우드 시스템(SaaS 서비스, 가상서버 등) 상에서 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 데이터의 중요도를 평가하기 위한 기준을 수립하고 있는가?
📄
12.1.2 데이터 소유권
표준
1) 이용자와의 클라우드컴퓨팅서비스 수준 협약 시 협약서 내에 생성되는 데이터에 대한 소유권(정의, 분류, 책임 등)을 명시하고 있는가?
📄
12.1.3 데이터 무결성
표준
1) 클라우드 시스템 내 이용자 데이터의 입력, 출력, 전송, 저장 시 데이터의 무결성을 보장하기 위해 기술적인 방안을 마련하고 있는가?
📄
12.1.4 데이터 보호
표준
간편
1) 데이터에 대한 접근제어 및 위·변조 방지 등의 데이터 보호 기능 방안을 마련하고 있는가?
📄
12.1.4 데이터 보호
표준
2) 이용자 데이터에 대하여 정부 또는 제3자의 요청 시 제공하는 절차를 마련하고 있는가?
📄
12.1.4 데이터 보호
표준
3) 클라우드컴퓨팅서비스 제공자는 법적으로 허용된 범위 외에는 이용자 소유의 파일에 접근하거나 파일 내용을 볼 수 없도록 하고 있는가?
📄
12.1.5 데이터 추적성
표준
1) 클라우드 이용자의 데이터가 어디에 저장·관리되고 있는지 확인할 수 있는 방안을 마련하고 있는가?
📄
12.1.6 데이터 폐기
표준
간편
1) 클라우드컴퓨팅서비스 이용 종료 또는 이전 시 이용자가 생산한 데이터의 폐기 시 정보가 복구되지 않는 방법으로 처리하고 있는가?
📍 12.3. 암호화
📄
12.3.1. 암호 정책 수립
표준
간편
1) 클라우드시스템에서 중요정보의 전송 및 저장 시 안전한 보호를 위한 암호 정책을 수립 ∙ 이행하고 있는가?
📄
12.3.1. 암호 정책 수립
표준
간편
2) 이용자(고객 등) 및 사용자(임직원 등)의 비밀번호 저장 시 암호 정책을 수립 ∙ 이행하고 있는가?
📄
12.3.2 암호키 관리
표준
간편
1) 암호키 생성, 이용, 보관, 배포, 복구, 파기 등에 관한 절차를 수립 ∙ 이행하고 있는가?
📄
12.3.2 암호키 관리
표준
간편
2) 암호키 생성 후 암호키는 별도의 안전한 장소에 소산 보관하고, 암호키 사용에 관한 접근권한 부여를 최소화하고 있는가?
📄
12.3.2 암호키 관리
표준
간편
3) 암호키 변경에 관한 정책을 수립 ∙ 이행하고 있는가?
📂 13. 시스템 개발 및 도입 보안
0
📍 13.1 시스템 분석 및 설계
📄
13.1.1 보안요구사항 정의
표준
1) 신규 시스템 개발 및 기존 시스템 변경 시 최신 보안취약점 대응, 인증, 로깅, 권한, 암호화, 접근제어 등 정보보호 기본요소, 법적 요구사항 등을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는가?
📄
13.1.2 인증 및 암호화 기능
표준
간편
1) 클라우드 서비스 설계 시 사용자 인증에 대한 보안 요구사항을 정의하여 반영하고 있는가?
📄
13.1.2 인증 및 암호화 기능
표준
간편
2) 중요정보의 입·출력(저장 및 조회) 시 암호화가 요구되는 경우 법적 요구사항을 고려한 적절한 암호화 방법을 사용하고 있는가?
📄
13.1.2 인증 및 암호화 기능
표준
간편
3) 개인정보 및 인증정보 등의 중요한 정보 전송 시 기밀성 및 무결성을 지원하는 안전한 채널을 통하여 송·수신하고 있는가?
📄
13.1.3 보안로그 기능
표준
1) 클라우드서비스 설계 시 보안관련 로그, 감사증적 등을 확보할 수 있는 기능을 반영하고 있는가?
📄
13.1.3 보안로그 기능
표준
2) 클라우드서비스 설계 시 보안로그를 보호하기 위한 대책을 마련하고 있는가?
📄
13.1.4 접근권한 기능
표준
1) 클라우드 서비스 설계 시 시스템 사용자의 업무 목적, 기능, 중요도에 따라 접근권한이 부여될 수 있도록 접근권한 부여 기능을 보안 요구사항 및 설계에 반영하고 있는가?
📄
13.1.5 시각 동기화
표준
1) 클라우드 서비스 설계 시 보안로그의 생성일시를 동기화하기 위하여 표준시각을 동기화하는 기능을 제공하고 있는가?
📍 13.2 구현 및 시험
📄
13.2.1 구현 및 시험
표준
간편
1) 클라우드서비스의 안전한 구현을 위한 코딩표준이 마련되어야 하며 이에 따라 구현하고 있는가?
📄
13.2.1 구현 및 시험
표준
간편
2) 구현된 기능이 사전 정의된 보안 요구사항을 충족하는지 시험을 수행하고 있는가?
📄
13.2.2 개발과 운영환경 분리
표준
1) 클라우드서비스의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
📄
13.2.2 개발과 운영환경 분리
표준
2) 운영환경으로의 이관 절차를 수립하고, 이에 따라 이행하고 있는가?
📄
13.2.3 시험 데이터 보안
표준
1) 시험데이터는 임의의 데이터를 생성하거나 운영데이터를 가공하여 사용하고 있는가?
📄
13.2.3 시험 데이터 보안
표준
2) 운영데이터를 시험 환경에서 불가피하게 사용할 경우 책임자 승인 등의 인가 후 제한된 환경에서 사용하고 있는가?
📄
13.2.3 시험 데이터 보안
표준
3) 시스템 및 어플리케이션이 활성화되기 전에 시험데이터와 계정을 제거하고 있는가?
📄
13.2.4 소스 프로그램 보안
표준
1) 클라우드 서비스 구현과 관련된 소스 프로그램(소스코드)에 대해 변경관리를 수행하고 있는가?
📄
13.2.4 소스 프로그램 보안
표준
2) 클라우드 서비스의 소스 프로그램(소스코드)은 인가된 사용자만이 소스 프로그램(소스코드)에 접근할 수 있도록 통제를 구현하고 있는가?
📍 13.3 외주 개발 보안
📄
13.3.1 외주 개발 보안
표준
1) 클라우드 서비스 개발을 외주 위탁하는 경우, 개발 시 준수해야할 보안 요구사항을 제안요청서에 기재하고 계약시에 반영하고 있는가?
📄
13.3.1 외주 개발 보안
표준
2) 외주 위탁업체가 계약서에 명시된 보안요구사항을 준수하는지 여부를 관리·감독하고 있는가?
📄
13.3.1 외주 개발 보안
표준
3) 클라우드 서비스 개발 완료 후, SW 보안취약점 제거여부 진단, SW 보안취약점 발견사항 조치 여부 등을 확인 후 검수·인수하고 있는가?