■ 국가기관등에 클라우드 서비스 제공을 위한 계약 시, 국가기관등의 보안요구사항을 정의하고 계약서(보안서비스 수준 협약 등)에 반영하여야 한다.

■ 국가기관등에 클라우드서비스를 제공하는 경우, 계약 또는 보안서비스 수준 협약 과정에서 다음 사항들을 고려하여야 한다.

- 클라우드컴퓨팅서비스 제공 범위

- 국가기관등과 SaaS 사업자의 책임 명시

- 이용자 데이터 소유권, 저장 위치, 이관 및 보호 방법 (국가기관등 클라우드컴퓨팅서비스의 물리적 위치는 국내로 한정)

- 계약의 만료 또는 종료 시 데이터의 처리

- 고객에게 영향을 미치는 제3자 또는 하도급 업체 관계에 대한 정보

- 서비스 수준 미달성시의 대응 절차 및 보상 방법

- 사고 또는 장애발생 시 대내·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하고, 국가정보원 및 이용기관의 대응에 협조

- 사전인증이 필요한 제품군은 CC인증, 보안기능확인서 등을 받은 제품 도입

- 사고 또는 장애발생 시 대내·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하고, 국가정보원 및 이용기관의 사고·장애 대응 및 예방보안 활동 등에 협조

- 클라우드 컴퓨팅 서비스 망 운용 관리에 따른 보안 취약점 개선·발굴, 사이버공격 위협에 대한 예방, 대응, 실태평가, 안전성 및 보안대책의 적합성과 이행여부 확인 등의 목적으로 클라우드 사업자 시설에 대한 현장실사 방문, 안전성 보안 측정 실시, 보안진단·점검 등 수행 협조 사항 명기

- 현장실사, 안전성 보안측정 실시, 보안점검 등 수행 목적으로 기술적 지원을 요청할 시에 모니터링 도구, 로그 수집 기술 등의 제반 환경을 제공 사항 명기

- 기타 국가기관등 보안 요구사항 (기관의 특성에 따라 달라질 수 있음)