- 보안감사 완료 후 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보보호책임자 등 경영진에게 보고
■ 보안감사 결과 개선이 필요한 사항이 발견된 경우에는 해당 사항에 대한 조치계획을 수립하여 이행하여야 한다.
- 개선 활동이 이행되고 실제 개선되었는지 확인을 하여야 함
✍️ 운영 현황 및 증적 기록
작성 완료됨■ 보안감사 결과보고서를 작성하여 정보보호 최고책임자에게 보고하여야 한다.
7.2.1. 1)항에 명시한 것 처럼 보안 감사 결과 보고서를 작성하여 CSIO 결재를 득해야 합니다.
감사보고서 중 일부내용
 |
감사항목은 CSAP 인증 항목이 기준입니다.
평가 기준 표
1.1.1. 정보보호 정책 및 조직
[표 3] 정보보호 정책 및 조직 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 1.1 | 정보보호 정책 | 정보보호 정책 수립 | Y | 클라우드 정보보호 정책을 수립하여 운영하고 있음 |
| 정보보호 정책 검토 및 변경 | Y | 클라우드 정보보호 정책의 제 ∙ 개정 시 정보보호 최고책임자로부터 승인을 받고 있음 | ||
| 정보보호 정책 문서 관리 | Y | 클라우드 정보보호 정책을 최신화하고 임직원 및 외부 업무 관련자에게 이해하기 쉬운 형태로 전달하고 있음 | ||
| 1.2 | 정보보호 조직 | 조직 구성 | Y | 클라우드 정보보호 정책 및 시행문서의 제 ∙ 개정 내역에 최소 연 1회 이상 타당성 검토를 수행하고 검토한 내역이 있음 정보보호 정책 및 시행문서 검토시에는 정보보호 실무조직 인원과 이해관계자가 참여하여 검토하고 있음 |
| 역할 및 책임 부여 | Y | 정보보호 최고책임자가 정보보호 관련 업무를 총괄 관리하고 있으며 정보보호 실무자가 정보보호 업무를 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하고 있음 |
1.1.2.인적보안
[표 4] 인적보안 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 2.1 | 내부인력 보안 | 고용계약 | Y | 고용 계약서 작성시 정보보호 서약서 및 비밀유지서약서를 별도로 징구하여 정보보호 정책 및 관련 법률을 준수하도록 하고 있음 클라우드컴퓨팅서비스 업무에 종사하는 인력에 대해 고용 계약서 작성 및 서명이 이루어진 후 클라우드컴퓨팅서비스의 설비, 자원, 자산에 접근이 가능하도록 하고 있음 |
| 주요 직무자 지정 및 감독 | Y | 클라우드컴퓨팅서비스를 제공하기 위한 중요 정보자산을 취급하는 직무를 주요 직무로 정의하고 있고, 주요 직무를 수행하는 임직원을 주요 직무자로 지정하고 있음 주요 직무자의 경우 최소한의 인원으로 지정하고 있고, 한 명의 직무자에게 과도한 권한이 부여되지 않도록 적절히 직무를 분배하고 있음 | ||
| 직무 분리 | Y | 직무별 권한과 책임을 분산시켜 직무간 상호견제를 할 수 있도록 직무 분리 기준을 수립하고 있음 직무기술서에 클라우드컴퓨팅서비스를 운영하기 위해 필요한 직무를 정의하고 해당 직무에 대한 기본 자격을 정의하고 있음 직무 분리가 어려운 경우 별도의 보완통제 방안을 수립하여 적용하도록 정의하고 있음 | ||
| 비밀유지서약서 | Y | 클라우드컴퓨팅서비스 업무를 수행하는 모든 인력으로부터 근로계약서 내에 정보보호 및 개인정보보호에 대한 내용이 포함된 비밀유지서약서를 받고 있음 클라우드컴퓨팅서비스 업무를 수행하는 모든 인력으로부터 비밀유지서약서를 징구하고 인력 변동이 발생하는 경우 추가적으로 해당 인력으로부터 비밀유지서약서를 징구하고 있음 | ||
| 2.3 | 정보보호 교육 | 교육 시행 | Y | 연초에 정보보호 교육계획을 수립하여 정보보호 최고책임자의 승인을 받아 진행하고 있으며 연 1회 이상 정보보호 교육을 시행하고 있음 |
1.1.3. 자산관리
[표 5] 자산관리 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 3.1 | 자산 식별 및 분류 | 자산 식별 | Y | 정보자산 분류 기준을 수립하고, 이에 따른 정보자산을 식별하고 있음 식별된 정보자산에 대한 정보를 확인할 수 있도록 별도의 목록으로 관리하고 있음 신규 도입, 변경, 폐기되는 정보자산 현황을 확인할 수 있도록 정기적으로 정보자산 조사를 수행하고 정보자산목록을 최신으로 유지하고 있음 |
| 3.2 | 자산 변경관리 | 변경관리 | Y | 클라우드컴퓨팅시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석하는 보안영향평가를 실시하여 변경에 따른 영향을 최소화할 수 있도록 하고, 변경 실패에 따른 복구방안을 사전에 고려하고 있음 클라우드 서비스 관련 정보자산 변경 시 이용자에게 영향을 주는 변경에 대해 검토 및 공지 절차를 수립하고 이행하고 있음 |
| 3.3 | 위험관리 | 취약점 점검 | Y | 취약점 점검 절차를 수립하여 연 1회 이상 정기적으로 수행하고 있음 취약점 점검 완료 후 이력관리가 될 수 있도록 '점검일시', '점검대상', '점검방법', '점검내용 및 결과', '발견사항', '조치사항' 등이 포함된 결과보고서를 작성하고 있음 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치를 수행하고 있으며 문서화하고 있으며, 책임자에게 보고하고 있음 |
1.1.4. 서비스 공급망 관리
[표 6] 서비스 공급망 관리 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 4.1 | 공급망 관리 정책 | 공급망 관리 정책 수립 | Y | 클라우드컴퓨팅서비스에 보안위험을 식별 및 보안요구사항을 계약서에 명시하고 있음 IaaS 및 MSP 계약서 및 SLA문서에 보안 요구사항을 포함하는 인프라 사업자, 위탁사업자 등 공급망 이해관계자의 역할과 책임, 프로세스 등을 명시하고 있음 |
| 공급망 계약 | Y | 침해사고 시 책임, 장애 시 복구 등 정보보호 및 서비스 연속성 등과 관련된 보안요구사항을 수립하고 있고, IaaS 및 MSP 계약 시 해당 보안 요구사항이 반영되어 있음 클라우드 인프라사업자(KT G-Cloud)와 서비스 범위를 고려하여 각각의 역할과 책임을 명시한 서비스 수준 계약(SLA)을 체결하였음 | ||
| 4.2 | 공급망 변경 관리 | 공급망 변경 관리 | Y | 사고발생시 계약해지 및 재계약 통제 등 제재 사항들을 포함하는 협력사 변경 가능에 대해 계약서에 명시하고, 이를 공급망 상 이해관계자들에게 제시하고 있음 |
1.1.5. 침해사고 관리
[표 7] 침해사고 관리 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 5.1 | 침해사고 대응 절차 및 체계 | 침해사고 대응 절차 수립 | Y | 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생시 보고 및 대응 절차, 침해사고 대응조직의 구성 등을 포함한 침해사고 대응절차를 수립하여 문서화하고 있음 |
| 침해사고 대응 체계 구축 | Y | 침해사고를 탐지 및 대응할 수 있는 중앙집중적인 대응체계를 구축하고, 이벤트 기록을 유지하고 있음 해킹 또는 중요 정보 유출 등의 침해사고 발생을 대비하여 지속적인 정보시스템 모니터링을 수행하고 있음 침해사고 대응체계를 MSP 업체를 통해 구축하고 있으며, 수립된 침해사고 대응절차 및 체계의 세부사항을 계약서에 반영하고 있음 침해사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가, 전문업체, 전문기관(KISA) 등과의 연락 및 협조체계를 수립하고 있음 | ||
| 침해사고 대응 훈련 및 점검 | Y | 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 년1회 이상 주기적으로 침해사고 대응 모의훈련을 수행하고 있음 이용자가 침해사고 대응 모의훈련의 결과를 요청할 경우 이를 문서화하여 제공하고 있음 | ||
| 5.2 | 침해사고 대응 | 침해사고 보고 | Y | 침해사고 보고절차가 수립되어 있음 클라우드컴퓨팅서비스 상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 침해사고 보고절차에 따라 신속하게 보고하고 있음 침해사고 발생시 사고 날짜, 사고 내용 등 필요 내용을 모두 포함한 침해사고보고서를 작성하고 있음 침해사고 발생 시 관련 법률 및 규정(정보통신망법, 개인정보보호법, 클라우드 발전법)에 따라 신고, 통지하는 절차를 수립하고 있음 |
| 침해사고 처리 및 복구 | Y | 침해사고 처리 및 복구 절차가 수립되어 있으며, 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하고 있음 | ||
| 5.3 | 사후관리 | 침해사고 분석 및 공유 | Y | 침해사고가 종결된 후 사고 원인에 대한 분석을 수행하고 있으며, 그 결과를 이용자에게 고지하고 있음 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하고 있음 |
| 재발방지 | Y | 침해사고 분석을 통해 얻어진 정보를 활용하여 유사사고가 반복되지 않도록 하는 침해사고 분석 및 재발방지 대책을 수립하고 있으며, 필요시 사고대응체계에 반영하고 있음 |
1.1.6. 서비스 연속성 관리
[표 8] 서비스 연속성 관리 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 6.1 | 장애대응 | 장애 대응절차 수립 | Y | 클라우드컴퓨팅시스템 장애유형 및 심각도를 정의하고, 장애 발생 시 유형 및 심각도에 따른 장애 대응 절차를 수립 ∙ 이행하고 있음 |
| 장애 보고 | Y | 장애 대응 절차에 클라우드컴퓨팅서비스 중단이나 피해 발생 시 법적 통지 및 신고 의무에 따른 장애보고절차가 마련되어 있음 장애에 따른 이용자 통지 절차에 통지내용 및 방법 등이 명시되어 있음 | ||
| 장애 처리 및 복구 | Y | 장애 발생 시 장애처리 및 복구절차에 따라 조치하고, 장애조치보고서를 작성하여 장애발생에 관한 이력을 기록하고 관리하고 있음 | ||
| 재발방지 | Y | 심각도가 높은 장애의 경우 원인분석을 통해 재발방지대책을 수립하고 이행하고 있음 | ||
| 6.2 | 서비스 가용성 | 성능 및 용량 관리 | Y | 클라우드컴퓨팅시스템의 성능 및 용량을 지속적으로 모니터링하기 위한 절차를 수립하고 있음 서비스의 연속성을 보장할 수 있도록 주요 가상 서버 및 스토리지의 성능 및 용량을 지속적으로 모니터링하고 있음 클라우드컴퓨팅시스템의 성능 및 용량 현황을 지속적으로 모니터링하고 있으며, 임계치를 초과하는 경우의 조치방안을 수립하고 이행하고 있음 |
| 이중화 및 백업 | Y | 정보처리설비의 장애로 서비스 중단이 발생하지 않도록 서버부터 소프트웨어까지 정보처리설비를 3중화하여 운영하고 있음 클라우드컴퓨팅서비스 손상 시 적시에 복구가 가능하도록 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립하였고 KT G-Cloud DR센터를 통해 비상시 대응가능하도록 구성 함
|
1.1.7. 준거성
[표 9] 준거성 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 7.1 | 법 및 정책 준수 | 법적요구사항 준수 | Y | 정보보호 관련 법적 요구사항을 식별하여 정보보호정책에 반영하고 준수하고 있음 |
| 7.2 | 정보시스템 감사 | 독립적 보안감사 | Y | 클라우드 보안요구사항 준수를 위해 독립적 보안감사 계획을 수립하고 최소 연 1회 이상 수행하고 있음 보안감사에서 발견된 사항에 대해 보완조치 계획을 수립 및 이행하고 정보보호 최고책임자에게 보고하고 있음 |
| 감사기록 및 모니터링 | Y | 법적요건을 고려한 보안감사 로그유형 및 보존기간을 정의하여, 1년 이상 보관하고 매월 검토하고 있음 로그기록은 별도 저장장치를 사용하여 백업하고 있고, 로그기록에 대한 접근권한부여는 최소화하여 비인가 된 접근 및 변조로부터 보호하고 있음 |
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 9.1 | 가상화 인프라 | 가상자원 관리 | Y | KT G-Cloud(IaaS사업자)로부터 할당 받아 이용하는 가상자원의 생성, 변경, 회수 등에 대한 관리방안을 수립하여 서비스기술팀을 가상자원관리자로 지정하여 운영하고 있음 |
| 공개서버 보안 | Y | 공개서버 운영에 관련하여 보안서버 구축, 계정 별 접근권한 설정 등의 보호대책을 마련하고 있음 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 있으며, 접근통제 정책을 적용하고 있음 공개서버의 취약점 점검을 주기적으로 수행하고 있고, 발견된 취약점을 조치하고 있음 웹 서버의 경우 최소한 OWASP 취약점 진단 및 조치를 하고 있음 | ||
| 9.2 | 가상 환경 | 악성코드 통제 | Y | 바이러스, 웜, 트로이목마 등의 악성코드로부터 가상 환경을 보호하기 위해서 MSP업체를 통해 클라우드 기반 보안서비스를 적용하고 있음 클라우드 기반 보안서비스에서 이상 징후 발견 시 이용자에게 통지하고 사용 중지 및 격리 조치를 수행하는 절차가 마련되어 있음 |
| 인터페이스 및 API 보안 | Y | 클라우드컴퓨팅서비스 환경으로 접근을 위한 안전한 인터페이스 및 API를 식별하고 있으며, 중요 데이터 통신 시 TLS 인증서, SSH 암호화, 비공개 API 사용 등의 방식을 통해 보호하고 있음 | ||
| 데이터 이전 | Y | 클라우드컴퓨팅시스템 내 이용자의 기존 데이터 이전은 수행하지 않음 | ||
| 가상 소프트웨어 보안 | Y | 가상 환경 내에 출처, 유통경로 및 제작자가 명확하지 않은 소프트웨어의 설치를 방지하고 있으며, 주기적으로 점검하고 있음 |
1.1.9. 접근통제
[표 11] 접근통제 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 10.1 | 접근통제 정책 | 접근통제 정책 수립 | Y | 접근 통제 영역을 정의하고, 영역별 접근통제 규칙, 방법, 절차 등을 포함하여 접근통제 정책을 수립하고 있음 |
| 접근기록 관리 | Y | 클라우드컴퓨팅시스템의 사용자/관리자가 접속내역을 1년 이상 기록하고 있음 백업 및 복구 매뉴얼에 관리자의 권한부여, 변경, 삭제 로그는 5년 보존하도록 명시하고 있음 | ||
| 10.2 | 접근 권한 관리 | 사용자 등록 및 권한 부여 | N | 클라우드컴퓨팅시스템 내 사용자 계정 및 접근권한에 대해 등록 ∙ 변경 ∙ 삭제(비활성화)에 관한 공식적인 검토 ∙ 승인절차를 수립하여 이행하고 있음 사용자 계정 생성 및 변경 시 직무 별, 역할별, 서비스 유형별 접근권한 분류체계를 수립하고 관리하고 있으며 최소한으로 부여하고 있음 사용자 터미널 접속 기능을 사용하지 않고, 컨테이너에 직접 접속 할 수 있는 경로가 없음 |
| 관리자 및 특수 권한 관리 | N | 클라우드컴퓨팅시스템의 관리자 및 특수 권한은 최소한의 인원에게만 부여하고 있으며, 권한 부여 시 책임자 승인을 받고 있음 관리자 권한 및 특수권한을 식별하여 별도 목록으로 관리하고 있음 클라우드컴퓨팅시스템의 관리자 및 특수권한은 외부자에게 부여하고 있지 않음 외부자에게 부여하는 계정은 필요시에만 생성하고, 사용기간을 정하여 사용 후 즉시 삭제하고 있음 | ||
| 접근권한 검토 | Y | 클라우드컴퓨팅시스템에 대한 접근권한 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 수행하고 있음 | ||
| 10.3 | 사용자 식별 및 인증 | 사용자 식별 | Y | 클라우드컴퓨팅시스템에서 사용자별 개인계정을 부여하고 있으며, 추측 가능한 식별자 사용을 제한하고 있음 공용계정에 대해 사유와 타당성 검토 후 책임자의 승인을 받아 사용하고 있음 |
| 사용자 인증 | Y | 클라우드컴퓨팅시스템에 대한 접근은 사용자 인증(ID/PW), 로그인 횟수 제한, 불법 로그인 시도 경고(5회), 이중인증 등 안전한 사용자 인증 절차에 의해 통제하고 있음 싱글사인온(SSO) 인증방법을 사용하지 않고 있음 | ||
| 강화된 인증 수단 제공 | Y | 이용자의 안전한 서비스 이용을 위해 계정 및 패스워드 관리 절차(복잡도, 초기 패스워드 변경, OTP 인증 등)를 수립하고 이행하고 있음 | ||
| 패스워드 관리 | Y | 클라우드컴퓨팅시스템에 대해 정보통신망법, 개인정보보호법에 따른 안전한 사용자 패스워드 관리 절차(복잡도, 초기 패스워드 변경 등)를 수립하고 이행하고 있음 관리자 패스워드는 일반 사용자와 별도로 관리하고 있음 이용자 계정 및 패스워드 관리절차 관련 사항을 계정 발급 또는 패스워드 변경 페이지에서 쉽게 확인할 수 있도록 하고 있음 |
1.1.10. 네트워크 보안
[표 12] 네트워크 보안 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 11.1 | 네트워크 보안 | 네트워크 보안정책 수립 | Y | 내 · 외부 네트워크를 통한 클라우드컴퓨팅시스템의 접근 시 IP 접근제어, VPN 접속 등 접근 경로별로 통제 정책을 수립하고 적용하고 암호화 통신하고 있음 |
| 네트워크 모니터링 및 통제 | Y | 접근통제 정책에 따라 인가된 사용자/장치만이 내부 네트워크에 접근할 수 있도록 IP할당을 통제하고 있음 관리망의 주소 체계는 사설 IP로 할당하고, 국제표준에 따른 사설 IP주소대역을 사용하고 있음 MSP 업체를 통해 DDoS, 비인가 접속 등의 서비스 중단 및 중요 정보 유출 등을 예방하기 위해 네트워크 모니터링 방안을 수립하고 이행하고 있음 | ||
| 네트워크 정보보호시스템 운영 | Y | 칵테일아이오에서 KT G-Cloud 내 클라우드컴퓨팅시스템 접근 시 VPN을 통한 접근통제를 적용하고 있으며, 클라우드컴퓨팅시스템을 보호하기 위하여 MSP 업체를 통해 정보보호서비스를 제공받고 있음 칵테일아이오 본사 VPN장비에 대한 사용자/관리자 계정을 최소화하고 있으며 비인가자 접근을 통제하고 있음 VPN장비에 대한 사용자/관리자 계정 및 접근권한 통제절차를 수립하고 있으며, 주기적으로 검토하고 있음 | ||
| 네트워크 암호화 | Y | 클라우드컴퓨팅시스템에서 중요 정보를 송수신하는 경우 쿠버네티스에서 제공하는 암호화통신을 사용하고 있고, 컨테이너 OS 접근 시 SSH 통신을 사용하고 있음 | ||
| 네트워크 분리 | Y | 클라우드컴퓨팅서비스를 운영하는 운영네트워크와 서비스 개발을 위한 개발 네트워크를 분리하고 있음 |
1.1.11. 데이터 보호 및 암호화
[표 13] 데이터 보호 및 암호화 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 12.1 | 데이터 보호 | 데이터 분류 | Y | 클라우드컴퓨팅서비스 이용자의 데이터에 대한 생명주기를 수립하고 데이터 흐름도/흐름표 등을 통하여 관리하고 있음 클라우드컴퓨팅시스템 상에서 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 데이터의 중요도를 평가하기 위한 기준을 수립하고 있음 |
| 데이터 소유권 | Y | 이용자와의 클라우드 서비스 수준 협약에서 서비스 제공 시 발생되는 모든 데이터에 대한 명확한 소유권(정의, 분류, 책임 등)을 명시하고 있음 | ||
| 데이터 무결성 | Y | 데이터의 무결성을 보장해야 하는 데이터에 대한 정의를 하고 있으며, 데이터 무결성 보장을 위한 쿠버네티스에서 제공하는 인증 체계를 사용하고 있음 | ||
| 데이터 보호 | Y | 중요 데이터에 대한 계정별 접근제어를 적용하고 있으며, 비밀번호 및 중요 데이터에 대한 암호화를 통해 안전하게 처리·보관하고 있음(비밀번호: SHA-265, 중요데이터: AES-256) 이용자 데이터에 대하여 정부 또는 제3자의 요청 시 이용자 동의 후 제공하는 절차가 마련되어 있음 클라우드컴퓨팅서비스 제공자는 법적으로 허용된 범위 외에는 이용자 소유의 파일에 접근하거나 파일 내용을 볼 수 없도록 하고 있음 | ||
| 데이터 추적성 | Y | 클라우드컴퓨팅서비스 제공 계약서 및 SLA 등에 이용자 데이터 저장 및 처리되는 위치를 명시하고 있음 | ||
| 데이터 폐기 | Y | 클라우드 서비스 이용 종료 또는 이전 시, 이용자의 데이터를 재사용 할 수 없도록 정보를 삭제하고 있음 | ||
| 12.3 | 암호화 | 암호 정책 수립 | Y | 클라우드컴퓨팅시스템에서 중요정보에 대해 전송 및 저장 시 암호정책을 수립하고 있으며, 쿠버네티스에서 제공하는 인증체계를 사용하고 있음 (비밀번호 저장(SHA-256) 시 암호 정책을 수립∙이행) |
| 암호 키 관리 | Y | 암호 키 생성, 이용, 보관, 배포, 파기에 대해 정책 및 절차를 수립하고 이행하고 있음 생성된 암호 키는 별도의 매체에 저장 후 안전한 장소에 소산 보관하고 있으며 접근권한 부여는 최소화하고 있음 암호 키 변경에 관한 정책을 수립 ∙ 이행하고 있음 |
1.1.12. 시스템 개발 및 도입 보안
[표 14] 시스템 개발 및 도입 보안 감사 결과
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 13.1 | 시스템 분석 및 설계 | 보안요구사항 정의 | Y | 신규 클라우드컴퓨팅시스템 개발 및 기존 시스템 변경 시 정보보호 기본요소와 법적 요구사항 등을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 구현, 시험, 이관까지 일관성 있게 적용하고 있음 |
| 인증 및 암호화 기능 | Y | 클라우드컴퓨팅시스템 설계 시 칵테일 온라인(웹), 가상자원, HARBOR 등에서 사용자 인증에 대한 보안 요구사항을 정의하고, 이를 반영하고 있음 중요정보의 입출력 시 암호화가 요구되는 경우 법적 요구사항을 고려하여 적절한 암호화 방법을 사용하고 있음 쿠버네티스 가이드라인에 따른 ETCD 암호화 패스워드 SHA-256 알고리즘으로 암호화 중요정보를 송 ∙ 수신 시, 법적 요구사항을 고려한 보안서버(TLS 인증서 ver1.2)를 사용하여 안전한 채널을 지원하고 있음 쿠버네티스에서 제공하는 인증체계를 사용하고 있음(API인증, 컨테이너 접근 시 SSH 통신 사용) | ||
| 보안로그 기능 | Y | 클라우드 서비스 설계 시 책임 추적을 위한 보안관련 로그, 감사증적 등을 확보할 수 있는 기능을 반영할 수 있도록 설계하였음 보안로그의 비인가 된 변조 및 삭제를 방지하기 위해 플랫폼관리자만 접근 가능하도록 접근통제를 적용하고 있음 | ||
| 접근권한 기능 | Y | 시스템 사용자의 업무 목적, 기능, 중요도에 따라 접근권한이 부여될 수 있도록 접근권한 부여 기능을 보안 요구사항 및 설계에 반영하고 있음 | ||
| 시각 동기화 | Y | 클라우드컴퓨팅시스템은 NTP서버로부터 아시아 타임 존으로 설정하여 표준시각 동기화를 하고 있음 | ||
| 13.2 | 구현 및 시험 | 구현 및 시험 | Y | KISA의 개발보안가이드를 준수하여 안전한 코딩 표준 및 규약을 마련하고 있고, 이에 따라 클라우드컴퓨팅시스템을 구현하고 있음 시스템 및 애플리케이션 구현 완료 후 사전 정의된 보안 요구사항 충족여부에 대해 테스트를 진행하고 있음 |
| 개발과 운영환경 분리 | Y | 클라우드 서비스의 개발 및 시험 시스템을 운영 시스템과 분리하고 있음 이관 전 테스트, 이관 담당자 지정 등 운영환경 이관절차를 수립하여 이행하고 있음 | ||
| 시험 데이터 보안 | Y | 시험데이터는 임의의 데이터를 생성하여 사용하고 있으며, 운영데이터는 사용하고 있지 않음 시험과정에서 사용되는 데이터와 계정은 운영 이관 과정 전에 모두 삭제하고 있음 | ||
| 소스 프로그램 보안 | Y | 소스 프로그램에 대한 변경관리는 GITHUB를 통해 형상관리를 관리하고 있으며, 릴리즈 버전을 포함한 모든 버전을 관리하고, 계정 유형별로 접근권한을 차등부여하고 있음 소스코드는 GITHUB를 통해 관리하고 있으며 마스터 계정, 개발자 별 개인 계정을 부여하여 인가된 사용자만이 소스코드에 접근할 수 있도록 통제하고 있음 | ||
| 13.3 | 외주 개발 보안 | 외주 개발 보안 | N/A | 클라우드 서비스 개발을 외주 위탁하고 있지 않음 |
| 번호 | 세부분야 | 통제항목 | 결과 | 현황 |
| 14.1 | 관리적 보호조치 | 보안서비스 수준 협약 | Y | 공공기관에 클라우드 서비스 제공을 위하여 표준계약서 및 서비스수준 협약서(SLA)에 보안요구사항을 정의하고 있음 |
| 도입 전산장비 안정성 | Y | 클라우드 보안인증을 받은 인프라(KT G-Cloud)를 활용하여 SaaS 서비스를 구축함 | ||
| 보안관리 수준 | Y | SaaS 서비스는 KISA의 개발보안가이드를 준수하여 안전하게 개발되어 운영하고 있음 SaaS 서비스의 보안성 강화를 위하여 각 사용자/고객 별 접근 권한 차등 부여, 고객별 접근 가능 영역 분리, 암호화 통신 사용 등 보안성 강화 방안을 마련하여 운영하고 있음 | ||
| 사고 및 장애 대응 | Y | 공공기관의 클라우드 보안사고 및 장애 대응 절차를 반영할 수 있도록 표준계약서 및 서비스수준 협약(SLA) 양식을 마련하고 있음 사고 및 장애 발생 시 장애 대응 절차를 수립하고 있음 이용자 신고, 통지 절차를 마련하여 운영하고 있음 공공기관용 클라우드 서비스의 사고 및 장애 대응절차에 해당 공공기관, 대내외 관련기관과의 협조체계가 반영되어 있음 | ||
| 14.2 | 물리적 보호조치 | 물리적 위치 및 분리 | Y | SaaS 운영 환경 및 처리되는 데이터에 대한 물리적 위치는 국내(KT G-Cloud)로 한정되어 있음 클라우드 보안인증을 받은 인프라(KT G-Cloud)를 이용하여 SaaS 서비스를 구축하였으며, 공공기관용 SaaS 서비스 운영 인력을 지정하고 있음 |
| 중요장비 이중화 및 백업체계 구축 | Y | SaaS 서비스의 가용성을 보장하기 위한 백업체계를 구축하고 있으며, 정기적으로 백업을 수행하고 있으며 KT -G Cloud DR 센터를 통해 비상시 서비스 연속성을 유지하고 있음 | ||
| 14.3 | 기술적 보호조치 | 검증필 암호화 기술 제공 | Y | 클라우드 보안인증을 받은 인프라(KT G-Cloud)를 활용하여 SaaS 서비스를 구축함 |
| 시스템 격리 | Y | 보안관제가 이루어지는 서비스 네트워크 외에 통신경로를 차단하고 있으며, 정기적으로 비정상 통신경로를 점검하고 있음 | ||
| 영역분리 | Y | 클라우드 보안인증을 받은 공공 KT G-Cloud를 이용하여 SaaS 서비스를 구축하였으며, 공공기관용과 민간 이용자용 클라우드를 분리하고 있음 MSP 업체를 통하여 보안관제를 하고 있음 |
등록된 검토 의견이 없습니다.