■모든 매체(스토리지, 백업 드라이브 등), 가상화된 이미지, 스냅샷에 대해 엄격한 접근 통제가 이루어져야 된다.
- 데이터에 대한 논리적 접근제어(가상화 이미지 및 스냅샷 등) ∙ 가상화 이미지 및 스냅샷에 대한 무단 변경을 탐지하기 위한 암호 체크섬
- 시스템 자원, 데이터 자산, 백업 매체에 대한 물리적 접근제어
- 데이터 입력, 처리, 통신, 전송, 출력, 저장 및 검색과 관련된 처리 및 전송 통제
- 접근 가능한 인원을 최소화하고 접근권한 부여 등을 통해 접근통제 수행
- 데이터에 접근할 수 있는 모든 경로 식별하여 접근통제 정책 적용 다음의 경우 데이터의 분실 방지 대책이 마련되어 있는지 확인하여야 한다.
- 저장 데이터 : 클라우드 시스템 내 스토리지에 저장된 데이터
- 이동 중인 데이터 : 클라우드서비스 중 내
·외부 네트워크에서 이동 중인 이용자 데이터 다수 이용자에게 서비스를 제공할 경우 데이터 개별 분리 (테넌트 분리, 테이블 분리, 물리적 분리 등)가 적용되어야 한다.
※ 예시) ∙ NAS의 디렉토리 접근 권한 방식 적용 불가 ∙ Object Storage를 통한 이용자별 접근통제 적용 가능
■SaaS의 경우 클라우드서비스 제공자는 중요 데이터(로그정보, 이용자 데이터 등)에 대한 접근을 통제하여야 한다.
- 접근 가능한 인원을 최소화하고 접근 권한 부여 등을 통해 접근통제 수행
■SaaS의 경우 클라우드서비스 제공자는 중요 데이터의 위변조를 방지하는 보호대책을 수립하여 적용하여야 한다.
- 데이터의 전송 및 저장 시 데이터의 위변조 방지를 위한 기술적 보호조치 적용 ∙ 암호 알고리즘, 해시 알고리즘 등을 이용한 위변조 방지기능 적용

∎ 이용자 데이터에 대하여 정부 또는 제3자의 요청이 있는 경우 제공하는 절차를 수립하여야 한다.
- 이용자 데이터를 정부 또는 제3자에게 제공하는 경우 데이터 소유자의 동의 필요
- 개인정보가 포함된 경우 개인정보보호법에 정의된 절차 준수

∎ 클라우드서비스 제공자는 범적으로 허용된 범위 외에는 이용자 데이터에 접근하거나 내용을 볼 수 없도록 조치하여야 한다.
※ 암호이용 안내서(KISA 발간) 참고