∎ 국가기관등에 클라우드 서비스 제공을 위한 계약 시, 국가기관등의 보안요구사항을 정의하고 계약서(보안서비스 수준 협약 등)에 반영하여야 한다. ∎ 국가기관등에 클라우드서비스를 제공하는 경우, 계약 또는 보안서비스 수준 협약 과정에서 다음 사항들을 고려하여야 한다.
- 클라우드컴퓨팅서비스 제공 범위
- 국가기관등과 SaaS 사업자의 책임 명시
- 이용자 데이터 소유권, 저장 위치, 이관 및 보호 방법 (국가기관등 클라우드컴퓨팅서비스의 물리적 위치는 국내로 한정)
- 계약의 만료 또는 종료 시 데이터의 처리
- 고객에게 영향을 미치는 제3자 또는 하도급 업체 관계에 대한 정보
- 서비스 수준 미달성시의 대응 절차 및 보상 방법
- 사고 또는 장애발생 시 대내
·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하고, 국가정보원 및 이용기관의 대응에 협조
- 사전인증이 필요한 제품군은 CC인증, 보안기능확인서 등을 받은 제품 도입
- 사고 또는 장애발생 시 대내
·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하고, 국가정보원 및 이용기관의 사고
·장애 대응 및 예방보안 활동 등에 협조
- 클라우드 컴퓨팅 서비스 망 운용 관리에 따른 보안 취약점 개선
·발굴, 사이버공격 위협에 대한 예방, 대응, 실태평가, 안전성 및 보안대책의 적합성과 이행여부 확인 등의 목적으로 클라우드 사업자 시설에 대한 현장실사 방문, 안전성 보안 측정 실시, 보안진단
·점검 등 수행 협조 사항 명기
- 현장실사, 안전성 보안측정 실시, 보안점검 등 수행 목적으로 기술적 지원을 요청할 시에 모니터링 도구, 로그 수집 기술 등의 제반 환경을 제공 사항 명기
- 기타 국가기관등 보안 요구사항 (기관의 특성에 따라 달라질 수 있음)

■ 클라우드컴퓨팅서비스 제공자는 클라우드 서비스를 구축하면서 적용한 정보보호대책이 국가기관등의 보안요구사항을 정확하게 반영하고 있는지 지속적으로 모니터링하고 서비스를 이용하는 국가기관등의 정보보호대책이 유지되는지 검토하여야 한다.
- 서비스 제공자는 자신이 수립한 정보보호대책이 도입 국가기관등의 정보보호대책과 일관성을 유지하고 있는지 확인
- 서비스를 이용하는 국가기관등의 정보보호대책이 의도한 대로 운영되는지 확인 (자산목록, 가상머신 내 운영체제, 가상 소프트웨어, 보안정책 등의 변경여부에 대한 모니터링 결과, 형상 변경시의 보안영향분석결과 등)
- 서비스 제공자가 산출된 결과물을 서비스를 이용하는 국가기관등에게 보고하는 절차의 수립 및 이행 여부
■ 국가기관 등의 보안요구사항 구현 여부 등에 대해서 주기적으로 국가기관등에 보고하여야 한다.