∎ 이용자의 데이터 이전 시, 다음과 같은 기술적 방안을 마련하여야 한다.
->이용자 데이터 이전시 기술적 절차가 명시되어야 합니다.
통상적으로 실제 이전을 진행하는 경우는 거의 없으나, SaaS서비스에 있던 내용을 폐쇄망으로 이전하는등 이슈가 발생하는 경우가 왕왕 있습니다. 이때를 위한 지침과 절차가 마련되어야 합니다.
지침에는 다음과 같이 명시합니다.
제7조(인터페이스 및 API 보안) ① 클라우드 서비스 환경에서 상위 서비스(IaaS, PaaS 등)로 통신하는 인터페이스 및 API 뿐만 아니라 SaaS 이용자가 클라우드 서비스 환경으로 접근할 수 있는 인터페이스 및 API를 식별하여야 한다. ② 상위 서비스(IaaS, PaaS 등) 사업자가 제공하는 안전한 인터페이스 및 API를 사용하여야 하며 상위 서비스(IaaS, PaaS 등) 사업자가 제공하는 인터페이스 및 API가 아닌 경우 해당 인터페이스 및 API가 안전한지 여부를 확인하고 사용되어야 한다. ③ 식별된 인터페이스를 통한 중요 데이터 통신 시 암호화 등을 통하여 보호하여야 한다. ④ 다른 IaaS 공급사 간 데이터 통신(하이브리드 클라우드등)이 필요하거나 이용자의 요청으로 인하여 IaaS공급사간 데이터 통신이 발생하는 경우 상호간 통신 구성은 별도의 분리된 암호화 통신을 통해 보호해야 한다. 제8조(데이터 이전) ① 이용자의 데이터 이전 시 안전한 이전을 위하여 VPN 기능을 제공하여야 한다. ② VPN에서 사용되는 암호 알고리즘 및 암호키는 안전성이 확보된 메커니즘을 적용하여야 한다. ③ 이용자의 공식적인 요청으로 인해 다른 IaaS 공급사의 컴퓨팅 클라우드로 이전을 하게 될 경우, 이용자 데이터 이전시 정보보호최고책임자의 승인 및 감독하에 수행하며 수행결과를 이용자에게 상세하게 통보한다 |
특히 폐쇄망 또는 온 프레미스 환경으로 이전시 디스크등을 통해서 데이터만 이전하는 경우, 절차서나 흐름도를 별도로 작성하는 것이 유리합니다.
등록된 검토 의견이 없습니다.