1. 관리적 보호조치
3. 기술적 보호조치
4. 국가기관등이 이용하는 클라우드컴퓨팅 서비스 보호조치
관리자 로그인
📂 14.1 관리적 보호조치
📄 국가기관등의 보안 요구사항이 반영된 보안서비스 수준 협약을 체결하고, 클라우드컴퓨팅서비스 관련 정보보호 정보를 국가기관등에게 제공하여야 한다.
📄 클라우드컴퓨팅서비스 구축을 위해 도입되는 보안기능을 가진 정보통신제품 중에서 전자정부법 제56조에 규정된 전자문서의 위조ㆍ변조ㆍ훼손 또는 유출을 방지하기 위한 목적으로 도입하는 제품은 국가정보원장이 안전성을 확인한 제품을 사용하여야 한다.
📄 클라우드컴퓨팅서비스 운영 장소 및 망은 국가기관등 내부 정보시스템 운영 보안수준에 준하여 보안 관리하여야 한다.
📄 클라우드컴퓨팅서비스를 제공하는 민간 사업자는 사고 또는 장애 발생시 관계 법령이 정하는 바에 따라 해당 국가기관, 대내‧외 관련 기관 및 전문가와 협조체계를 구성하여 대응하여야 하며, 피해확산 및 재발방지와 복구 등에 필요한 조치를 위해 국가정보원 및 이용기관의 보안관제 및 사고조사, 예방보안활동 등에 적극 협조하여야 한다.
📂 14.2 물리적 보호조치
📄 클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치는 국내로 한정하여야 한다. 또한, 국가기관용 클라우드컴퓨팅서비스의 물리자원(서버, 네트워크, 보안장비 등), 출입통제, 운영인력 등은 데이터 및 프로세스 등의 간섭없이 국가기관등의 보안관제, 사고조사, 예방보안활동 유지를 위한 제반 환경을 만족시킬 수 있도록 일반 이용자용 클라우드컴퓨팅서비스 영역과 물리적으로 분리하여 운영하여야 한다.
📄 클라우드컴퓨팅서비스를 제공하는 사업자는 네트워크 스위치, 스토리지 등 중요장비를 이중화하고 서비스의 가용성을 보장하기 위해 백업체계를 구축하여야 한다.
📂 14.3 기술적 보호조치
📄 클라우드컴퓨팅서비스를 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 국가표준암호화 기술을 제공하여야 한다.
📄 클라우드컴퓨팅서비스는 보안관제가 이뤄지는 서비스 네트워크 이외의 비정상 통신경로가 발생하지 않도록 주기적으로 검토하고 점검하는 체계 마련 등 기술적 대책을 수립하여야 한다.
📄 국가기관용 클라우드컴퓨팅서비스와 일반 이용자용 클라우드컴퓨팅서비스는 영역분리를 통해 데이터 및 프로세스 등의 간섭없이 국가기관등의 보안관제, 사고조사, 예방 보안활동 유지를 위한 제반환경을 만족시킬 수 있도록 기술적 보호조치를 취해야 하며, 영역 분리를 훼손하여 데이터에 접근할 수 있는 취약점을 방지/완화/제거 하고, 비인가 접근을 모니터링 해야 한다.