1) 클라우드 보안 요구사항의 준수여부를 보증하기 위해 독립적 감사 계획을 수립하여 시행하고 있는가?

🔍 점검 취지 및 해설

■ 독립적인 보안감사 계획을 수립하여 연1회 이상 수행하여야 한다.

- 보안감사 점검 인원 ·내부인력 활용 시 클라우드서비스 업무와 독립적인 업무를 담당하는 자 중 보안감사 역량을 보유한 자를 선임 ·제공되는 클라우드서비스 업무담당자 및 관련자는 보안감사 수행인력으로 적합하지 않음

- 보안감사 일정 및 범위 ·일반적으로 보안감사 계획에서 일정 및 범위를 정의함 ·보안감사 계획은 연초에 수립하고 제공하는 클라우드서비스의 모든 영역이 누락되지 않도록 보안감사 범위를 정하여야 함

- 클라우드컴퓨팅 및 정보보호 관련 법률, 규정 및 지침 등의 준수사항을 포함한 이행점검 항목

✍️ 운영 현황 및 증적 기록

작성 완료됨

■ 독립적인 보안감사 계획을 수립하여 연1회 이상 수행하여야 한다.

매년 1회 "외주 인력" 또는 CSAP를 인증 받으려는 서비스와 상관없는 인력을 통해 정책서/지침서/절차서/매뉴얼 및 인증에 필요한 증적을 감사 받아야 합니다.

본 점검항목으로 "부적합" 받는 경우

감사인력의 소속과 경력에서 기준에 부합하지 않는 경우
CSAP 인증 받으려는 서비스와 연관 있는 인력(예, 기획자등)

보안 감사 관련하여 CSIO 결재를 득하고,

보안감사 완료 후 결과서를 작성하여 결재를 받아야 합니다.

보안 감사 계획서(셈플)

1. 개요

1.1. 목적

본 보고서는 OOO사의 정보보호 활동이 적절하게 수행되고 있는지를 독립적으로 점검하여 개선안을 제시함으로써 정보보호 사고를 예방하고, 정보보호 수준을 제고하는데 그 목적이 있다.

1.2. 감사 범위

정보보호 관련 규정을 바탕으로 아래 영역에 대하여 감사를 수행한다.

• 정보보호 정책 및 조직

• 인적보안

• 자산관리

• 서비스 공급망 관리

• 침해사고관리

• 서비스연속성관리

• 준거성

• 가상화보안

• 접근통제

• 네트워크 보안

• 데이터 보호 및 암호화

• 시스템 개발 및 도입 보안

• 공공기관 보안요구사항

1.3. 감사 도구

정보보호 관련 규정을 바탕으로 총13개 영역 137개 항목의 감사체크리스트를 활용하여, 각 담당자와의 인터뷰 및 문서/시스템 열람 등을 통해 감사를 수행한다.

[표 1] 감사 도구

번호	영역	분류	항목수
1	정보보호 정책 및 조직	정보보호 정책	3
1	정보보호 정책 및 조직	정보보호 조직	2
2	인적보안	내부인력 보안	4
2	인적보안	정보보호 교육	1
3	자산관리	자산 식별 및 분류	1
		자산 변경관리	1
		위험관리	1
4	서비스 공급망 관리	공급망 관리 정책	2
4	서비스 공급망 관리	공급망 변경관리	1
5	침해사고관리	침해사고 대응 절차 및 체계	3
		침해사고 대응	2
		사후관리	2
6	서비스연속성관리	장애대응	4
6	서비스연속성관리	서비스 가용성	2
7	준거성	법 및 정책 준수	1
7	준거성	정보시스템 감사	2
8	가상화 보안	가상화 인프라	2
8	가상화 보안	가상 환경	4
9	접근통제	접근통제 정책	2
		접근 권한 관리	3
		사용자 식별 및 인증	4
10	네트워크 보안	네트워크 보안	5
11	데이터 보호 및 암호화	데이터 보호	6
11	데이터 보호 및 암호화	암호화	2
12	시스템 개발 및 도입 보안	시스템 분석 및 설계	5
		구현 및 시험	4
		외주 개발 보안	1
13	공공기관 보안요구사항	관리적 보호조치	4
		물리적 보호조치	2
		기술적 보호조치	3
항목 수 합계			79

1.4. 감사 대상

정보보호 관리체계 인증 범위로 정의한 아콘소프트 클라우드서비스 서비스에 해당하는 정보자산을 대상으로 하며, 해당 정보자산으로는 정보보호 시스템, 네트워크 장비, 운영 관련 서버, PC, 문서 등이 포함된다.

[표 2] 감사 대상

번호	구분	상세구분	대상 수	인터뷰 대상자
1	서버
2	WEB
3	WAS
4	DBMS
5
6
7	Container
8	PC
9	PC
10	정보보호시스템
11	RabbitMQ
12	Nodejs
13	NginX-Ingress
14	Jetty
15	방화벽

1.5. 감사 일정

일시 : 2025년 OO월 OO일 ~ OO월 OO일

1.6. 감사팀 구성

보안점검 및 준수 지침의 감사 기준에 의거하여 정보보호 전문인력을 구성원으로 감사팀을 구성한다.

[표 3] 감사 수행 인원

소속	성명	역할	감사영역
OOO	OOO	정책문서, 서비스 시연 및 테스트, 인터뷰 등을 통해 점검	1.정보보호 정책 및 조직 2.인적보안 3.자산관리 4.서비스 공급망 관리 5.침해사고관리
OOO	AAA	정책문서, 서비스 시연 및 테스트, 인터뷰 등을 통해 점검	6.서비스 연속성관리 7.준거성 9.가상화 보안 10.접근통제 11.네트워크 보안 12.데이터 보호 13.시스템 개발 및 도입보안 14.공공부문 추가 보안 요구사항
BBB	지정인력 수행	취약점 점검	서버, DBMS, Container, PC, 정보보호시스템, RabbitMQ, Nodejs
BBB	지정인력 수행	모의침투 테스트	WEB, WAS

1.7. 상세 감사 일정

아콘소프트 감사 수행 상세 일정은 다음과 같다.

[표 4] 상세 감사 일정

일정	대상	담당자	감사내용	감사수행주체
	OOO서비스 관련 정책문서 및 시스템 개발 구현 확인	각 팀별	정책, 지침, 절차서 및 매뉴얼 점검, 칵테일 클라우드 서비스 점검	지정인력 수행
		각 팀별
		각 팀별
		각 팀별
	OOO서비스 구성 자산	각 팀별	취약점 진단	지정인력 수행
	OOO서비스 홈페이지 2개	프론트엔드팀	모의침투

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.

[7.2.1 독립적 보안감사] 📖 1) 클라우드 보안 요구사항의 준수여부를 보증하기 위해 독립적 감사 계획을 수립하여 시행하고 있는가?

✍️ 운영 현황 및 증적 기록

검토 및 피드백 0