2) 이용자 데이터에 대하여 정부 또는 제3자의 요청 시 제공하는 절차를 마련하고 있는가?

🔍 점검 취지 및 해설

■ 이용자 데이터에 대하여 정부 또는 제3자의 요청이 있는 경우 제공하는 절차를 수립하여야 한다.

- 이용자 데이터를 정부 또는 제3자에게 제공하는 경우 데이터 소유자의 동의 필요

- 개인정보가 포함된 경우 개인정보보호법에 정의된 절차 준수

✍️ 운영 현황 및 증적 기록

작성 완료됨

■ 이용자 데이터에 대하여 정부 또는 제3자의 요청이 있는 경우 제공하는 절차를 수립하여야 한다

--> 계약서 또는 SLA의 "회사의 의무" 에 전반적으로 명시하거나 서술합니다.

제11조 (회사의 의무)

① 회사는 별첨 1. SLA(Service Level Agreement)를 준수해야 합니다.

② 회사는 서비스 운영에 지장이 되는 장애가 발생했을 경우 이를 즉시 수리 또는 복구해야 하며, 안정적인 서비스 운영을 위해 최선을 다해야 합니다.

③ 회사는 고객이 정당하게 요구하는 의견이나 불만에 대해서 즉시 또는 회사가 정한 기간과 절차에 따라 처리해야 합니다.

④ 회사는 원활한 서비스 신청 및 운영을 위해 고객의 개인정보를 수집하여 보관하며 본인의 허락 없이는 제3자에게 이를 제공할 수 없습니다. 다만, 관계법령에 의한 수사상의 목적으로 관계기관으로부터 요구 받은 경우나 정보통신윤리위원회의 요청이 있는 경우, 회사의 이용요금을 체납하여 신용정보사업자 또는 신용정보집중기관에 제공하는 경우는 예외로 합니다.

⑤ 회사는 이용계약의 체결, 계약사항의 변경 및 해지 등 고객과의 계약관련 절차 및 내용 등에 있어 고객에게 편의를 제공하도록 노력합니다.

⑥ 회사는 장애로 인하여 정상적인 서비스가 어려운 경우 이를 신속하게 복구해야 하며, 신속한 처리가 어려울 경우, 그 사유와 복구 작업 소요 일정을 고객에게 통지해야 합니다.

⑦ 회사는 회사의 시스템 결함으로 인한 고객 개인 정보의 유출 또는 제3자로부터의 물리적/전자적 침해 등의 사고를 방지하기 위해 노력해야 합니다.

⑧ 회사는 고객이 서비스 이용 현황 및 요금 청구 내역을 알기 쉽게 확인할 수 있도록 조치해야 합니다.

⑨ 회사는 고객이 서비스 정보를 다른 사업자의 클라우드 서비스로 이전하고자 하는 경우 해당 작업에 협조해야 합니다.

⑩ 회사는 아래 각 호에 해당되는 경우가 발생하면 고객이 등록한 이메일, 전화, 휴대전화 번호, 홈페이지 공지 등을 통해 지체 없이 고객에게 해당 사실을 통지해야 합니다.

1. 침해사고
2. 이용자 정보의 유출
3. 서비스의 중단
4. 서비스의 종료
5. 그밖에 고객의 서비스 이용에 중대한 영향을 미치는 사항
또한 위의 제1호, 제2호, 제3호에 해당하는 사유가 발생한 경우에는 고객에게 해당 사실 통지할 때 아래 각 호의 사항을 반드시 포함해야 합니다.
1. 발생내용
2. 발생원인
3. 회사의 피해 확산 방지 조치 현황
4. 고객의 피해예방 또는 확산방지방법
5. 담당부서 및 연락처
기타 침해사고시 이용자정보를 유출한 경우 관계기관 신고를 위한 “이용자 정보 유출사실 신고서를 이용하여 관계기관에 보고합니다.

⑪ 회사는 제공되는 클라우드 컴퓨팅 서비스를 이용하는 고객에 적용한 정보보호 대책이 국가기관등의 보안요구사항이 정확하게 반영되었는지 지속적으로 모니터링을 수행합니다. 또한 고객의 요청시 또는 주기적 요청시 모니터링 결과를 통지합니다.

⑫ 회사는 고객사 데이터를 안전하게 보관하기 위해 적극적으로 노력하며 개인정보 및 고객사가 생성한 클라우드컴퓨팅 서비스 데이터에 대해서도 공공기관 민간클라우드 이용가이드 라인에 명시된 이용기준 및 절차를 순수하는 민간 클라우드 컴퓨팅 서비스 업체에 안전하게 보관 합니다.

⑬ 회사는 규정된 침해사고 대응 훈련을 매년 정기적으로 실시하며, 이를 통한 보완 사항을 도출하고 보완 조치를 진행합니다. 또한 고객사에서 침해사고 대응훈련 내용을 요구할 경우 침해사고 대응 훈련 시나리오, 계획서,결과서 일체를 변경 없이 제공합니다.

⑭ 회사는 고객사의 데이터 이관 요청을 접수 한 경우, 클라우드컴퓨팅 서비스의 영향이 미치지 않는 범위내에서 데이터를 이관 할 수 있도록 적극 협조합니다.
- 데이터 이관 범위 : 고객사에서 생성한 VM, Container, DBMS
- 데이터 이관 범위 미포함 : 로그 및 클라우드 컴퓨팅서비스 에서 자동 생성된 정보.

⑮ 국가기관등에 클라우드 서비스 제공을 위한 계약 시, 국가기관등의 보안요구사항을 정의하고 계약서(보안서비스 수준 협약 등)에 반영합니다.

공공기관 민간클라우드 이용 가이드 라인에 명시된 이용기준 및 절차 준수

- 한국인터넷진흥원(KISA)의 클라우드컴퓨팅서비스 보안인증을 받은 민간 클라우드 컴퓨팅 서비스 업체만을 사용하여 가상화 서버,보안서비스,백업서비스,관제서비스등 최고품질의 서비스만을 제공
* 민간 클라우드 컴퓨팅 서비스 업체 :

클라우드 컴퓨팅서비스 구축을 위해 도입되는 정보보호시스템과 네트워크 장비 중 CC인증 또는 보안기능 확인서 등 사전인증 필수 제품군은 국가정보원장이 안정성을 확인한 제품을 도입

- IDS (침입탐지서비스), IPS(침입방지서비스), Anti-DDoS(DDoS 공격 방어 서비스), WAF(웹방화벽서비스), Anti-Virus(서버백신서비스) 등의 보안시스템들을 가상화로 운영하며, 24x365 실시간 모니터링, 운영관리, 침해사고 대응, 로그관리, 월간보고서 서비스 등 CC인증 제품군

국가정보원, 행정안전부 등에서 권고하는 취약점 점검 항목에 따라 취약점 점검(웹 취약점, SW 개발보안 점검 등)을 실시하여 미비점을 보완

- 취약한 설정 값 제거 및 중요 보안 기능 활성화

- 정보시스템의 최신버전 유지 및 주요 보안패치 적용 등 포함

- 개인정보 등 중요 정보 암호화는 한국인터넷진흥원에서 권고하는 안전한 암호 알고리즘을 활용

접근권한 및 접속기록 관리

- 클라우드 시스템의 효율적인 통제‧관리 및 사고 발생 시 책임 추적성 확보 등을 위해 모든 시스템의 접속기록을 유지‧보관‧관리한다
* 클라우드 시스템의 접근권한의 부여, 변경, 말소내역을 계약 해지 후1년간 보관

- 사용자가 5회 이상에 걸쳐 로그인 실패 시 정보시스템 접속을 중단시키도록 시스템을 설정하고 비인가자의 침입여부를 확인 점검

- 클라우드 시스템의 내부 중요 정보(개인정보 포함)에 대한 비인가자의 접속 시도, 정보 위‧변조 및 무단 삭제 등의 정황이나 행위를 주기적으로 점검 및 관리
* 접속기록에 포함되는 항목: 접속자 정보, 접속 대상 정보, 로그 온‧오프 시간, 작업 시간, 작업 내역, 접속 성공‧실패, 외부발송 정보

- 서비스 로그인은 2factor 인증을 기본으로 정의하며 적용

16 회사는 제공하는 클라우드 컴퓨팅 서비스에 대한 사고 발생 또는 장애 발생시 발생규모,손해액 규모에 따라 대내외 유관기관과 협조체계를 구성하여 대응하고 국가정보원 및 이용기관의 대응에 적극 협조합니다.

17 회사는 클라우드 컴퓨팅 서비스 운영 관리에 따른 보안 취약점 개선·발굴, 사이버공격 위협에 대한 예방, 대응, 실태평가, 안전성 및 보안대책의 적합성과 이행여부 확인 등의 목적으로 클라우드 사업자 시설에 대한 현장실사 방문, 안전성 보안 측정실시, 보안진단·점검 등 수행 협조 요청이 있는 경우 적극적으로 협조합니다.

18 회사는 고객사의 현장실사, 안전성 보안측정 실시, 보안점검 등 수행 목적으로 기술적 지원을 요청할 시에 회사에서 보유한 모니터링 툴, 로그 수집 및 조회등을 적극적으로 수행하여 제공합니다. 단, 유상으로 사용해야 하는 서드파티 솔루션에 대해서는 고객사에서 제공하는 범위 내에서만 협조합니다.

19 국가정보원 및 고객사에서 사고조사 및 예방활동을 요청하는 경우 해당 활동을 위한 제반 환경을 제공합니다.

20 회사는 클라우드 컴퓨팅서비스에 영향을 미치는 제3자 및 하도급 관계에 대한 정보를 아래와 같습니다.

21 기타 국가기관등 보안 요구사항을 별도로 요구하는 경우 별도 상호 합의하고 그에 따라 조치를 완료한 후 적용 여부를 확인 할 수 있는 관련 증적을 제공합니다.

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.

[12.1.4 데이터 보호] 📖 2) 이용자 데이터에 대하여 정부 또는 제3자의 요청 시 제공하는 절차를 마련하고 있는가?

✍️ 운영 현황 및 증적 기록

검토 및 피드백 0