📖 정보보호 정책을 문서화하고, 정보보호 최고책임자의 승인 후 정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 제공하여야 한다.

점검항목 1. 1) 클라우드 정보보호 정책을 수립하고, 정책 시행을 위한 관련 지침, 절차, 매뉴얼 등을 문서화하고 있는가?
SaaS 표준
🔍 점검 취지 및 요건
■ 클라우드 서비스 제공자(CSP)는 클라우드 서비스 운영에 필요한 모든 정보보호 활동의 근거가 될 수 있는 정보보호 정책과 이를 시행하기 위한 세부적인 방법, 절차 등을 포함한 시행문서(지침/절차/매뉴얼 등)를 수립하여 문서화하여야 한다.
- 정책서와 시행문서에 포함된 내용은 일관성이 있어야 하며, 시행문서는 정보보호 정책에서 수립한 정책을 실제 수행하기 위한 지침서이므로 정보보호 활동 인력이 지침을 기반으로 정보보호 활동을 수행할 수 있도록 상세하게 작성하여야 한다.
✍️ 운영 현황 및 증적 기록

클라우드 정보보호 정책을 수립하고 있고, 정책 시행을 위한 세부적인 방법, 절차 등을 포함한 관련문서(지침, 절차, 매뉴얼 등)를 수립하여 문서화 해야 합니다.

  1. 정보보호정책서
    정보보호정책서에는 회사 또는 CSAP 인증받을 서비스의 전반에 걸친 정보보호 관련된 정책을 정의 합니다.
    아래는 정보보호정책서 셈플입니다. 

1장 총칙

 

1(목적)

본 정보보호 정책서는 클라우드 컴퓨팅 서비스 제공을 위해 필요한 정보보호 정책을 수립하고 관리적, 물리적, 기술적인 정보보호 조치를 정의하기 위하여 작성되었다.

 

2(용어의 정의)

이 정책서에서 사용하는 용어의 뜻은 다음과 같다.

1.   정보자산이라 함은 회사가 사업을 수행하기 위해 꼭 필요한 정보체는 물론 그 정보를 만들거나 보관, 전송하는 장치 또는 시설물, 기록문서, 인쇄물, 도면, 전산시스템 등 모든 유/무형의 물질을 말한다.

2.    “정보보호”라 함은 모든 정보에 대해 사용자의 고의나 실수, 불법적인 파괴, 유출, 변조 행위로부터 안전하게 보호하여 정보의 무결성, 가용성, 기밀성을 확보함으로써 업무상 필요한 정보가 항상 원활하게 활용되도록 하는 제반 행위를 말한다.

3.   “기밀성”이라 함은 정보자산이 인가된 자에 의해서만 접근하는 것을 보장하는 것을 말한다.

4.   “무결성”이라 함은 정보자산이 파괴, 변조되지 않으면서 정확하고 완전하게 유지되는 것을 말한다.

5.   “가용성”이라 함은 정보자산이 인가된 사용자가 필요할 때 접근 및 사용이 가능해야 하는 것을 말한다.

6.   "클라우드 컴퓨팅"(Cloud Computing)이란 집적 · 공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신 자원(이하 "정보통신 자원"이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다.

7.   "클라우드 컴퓨팅 기술"이란 가상화 기술, 분산처리 기술 등 클라우드 컴퓨팅의 구축 및 이용에 관한 정보통신기술을 말한다.

8.   "클라우드 컴퓨팅 서비스"란 클라우드 컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스를 말한다.

9.   “개인정보”라 함은 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상 및 생체 특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

10.  “중요정보”라 함은 영업비밀 또는 개인정보 등과 같이 유출 시, 경영상 손실을 초래하거나 회사와 임직원에게 심각한 영향을 미칠 수 있는 정보를 말한다.

11.  “정보시스템”이라 함은 PC, 서버, 네트워크 장비, 응용프로그램, 보조기억매체 등 정보의 수집, 가공, 저장, 검색, 송 · 수신에 필요한 하드웨어 및 소프트웨어를 말한다.

 

3(적용범위)

이 정책서는 클라우드 컴퓨팅 서비스와 관련된 정보처리시스템, 전자적 파일과 인쇄물, 서면 등 모든 형태의 정보자산 및 정보자산을 관리 운영하는데 적용된다.

 

2장 정보보호 정책 및 조직

 

4(정보보호 정책)

클라우드 정보보호 정책을 수립하고 정책 시행을 위한 관련 지침, 절차, 매뉴얼 등을 문서화하여야 한다.

클라우드 정보보호 정책은 정보보호 최고책임자로부터 개정 승인을 받아야 한다.

클라우드 정보보호 정책에 영향을 받는 모든 임직원 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 전달하여야 한다.

클라우드 정보보호 정책 정책 시행 문서에 대한 타당성 검토를 최소 1 이상 수행하여야 하고 검토에 대한 이력을 『정보보호조직관리지침』의 별지 3 회의록 등에 기록하고 보관하여야 한다. 또한 관련 법규 변경 · 외부 보안사고 발생 등의 중대한 사유가 발생한 경우에는 추가로 검토하고 변경하여야 한다.

정보보호 정책 정책 시행 문서의 이력관리 절차를 수립하고 시행하며, 최신본으로 유지하여야 한다.

IaaS공급사의 보안정책을 준수하고 만약 IaaS공급사별로 상이한 정보보호정책이 존재하는 경우 정보보호 IaaS 공급사 별로 정책을 수립하여 적용한다.

 

5(정보보호 조직)

조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 있는 정보보호 최고책임자(CISO) 인사발령 등의 공식적인 지정 절차를 거쳐 지정하여야 한다.

최고경영자는 조직의 규모 클라우드 서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.

실무조직은 전담 또는 겸임조직으로 구성할 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.

정보보호 실무조직은 정보보호 최고책임자(CISO), 정보보호 담당자로 구성할 있다.

정보보호 조직 구성원의 주요 직무에 대하여 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.

회사가 제공하는 클라우드 컴퓨팅 서비스를 이용하는 이용자의 정보보호 관련 책임 역할은 이용자와의 계약서 또는 서비스 수준 협약(SLA) 해당 내용을 반영하여야 한다.

기타 정보보호 조직의 구성 구성원의 역할에 관한 세부적인 사항은 『정보보호조직관리지침』으로 정한다.

 

3 인적 보안

 

6(내부인력 보안)

 클라우드 컴퓨팅 서비스 업무에 종사하는 인력의 고용계약 정보보호 관련 법률 회사의 정보보호 정책을 준수하도록 정보보호 서약서를 부속 문서로 포함한다.

클라우드 운영, 보안, 개발 유관 업무에 새로 합류한 인원(신규입사 전입) 정보보호 최고책임자의 승인을 득한 고용계약서에 서명하고 클라우드 컴퓨팅 서비스의 설비, 자원, 자산에 접근할 있다.

중요정보자산(정보, 시스템 ) 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하 여야 하며, 주요 직무자는 최소의 인원으로 지정한다.

직무의 권한 오남용을 예방하기 위하여 주요 직무를 분리하고 직무 역할 책임을 명확하게 기술하여야 한다.

직무 분리가 어려운 경우 별도의 보완 통제 방안을 수립하여 적용하여야 한다.

기타 인적보안에 관한 세부적인 사항은 『인적보안지침』으로 정한다.

 

7(정보보호 서약서)

클라우드 컴퓨팅 서비스 업무를 수행하는 인력(외부인력 포함) 정보보호 개인정보보호(해당되는 경우) 대한 내용이 포함된 정보보호 서약서를 작성하여 회사에 제출하여야 한다.

정보보호 서약서는 주기적으로 작성하여 회사에 제출하여야 한다.

직무변경, 휴직, 퇴직 등으로 인한 인사변경 발생하는 경우에 추가적으로 비밀유지 서약서를 작성하여 회사에 제출하여야 한다.

임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한 부여, 변경 또는 해제 정보보호에 대한 책임이 명시된 정보보호 서약서를 징구 하여야 한다.

 

8(정보보호 교육)

내부의 관련된 모든 임직원과 외부 업무 관련자(외주 용역) 위한 정보보호 교육, 훈련, 인식 프로그램을 수립하고 이에 따라 1 이상 정기적으로 기본 정보보호 교육을 실시하여야 한다.

정보보호 정책 절차의 중대한 변경, 조직 · 외부 보안사고 발생, 정보보호 관련 법률 변경 발생    정기 교육 추가 교육을 실시할 있다.

정보보호 교육, 훈련, 인식 프로그램의 수행 결과를 평가하고 평가 결과를 분석하여 프로그램 개선에 반영하 여야 한다.

 

 

4장 정보자산 관리

 

9(자산 식별 및 분류)

정보자산(정보시스템, 정보보호시스템, 정보 또는 서비스) 분류기준을 수립하고 클라우드 컴퓨팅 서비스를 제공하기 위한 모든 정보자산을 식별하여야 한다.

식별된 정보자산은 별도의 목록으로 문서화하여 관리하여야 한다.

정보자산 목록은 정기적으로 정보자산 현황을 조사하여 최신으로 유지하여야 한다.

정보자산 목록은 IaaS 공급사별로 분류 구분하여 조사하여야 한다

기타 정보자산관리에 관한 세부적인 사항은 『정보자산관리지침』으로 정한다.

 

10(자산 변경 관리)

클라우드 시스템 관련 자산(시설, 장비, 소프트웨어 ) 대한 변경을 위한 절차를 수립하고 이행하여야 한다. 식별된 정보자산은 별도의 목록으로 문서화하여 관리하여야 한다.

클라우드 시스템 관련 자산에 대한 변경을 수행하기 성능 보안에 미치는 영향 분석을 실시하여야 한다.

클라우드 컴퓨팅 서비스에 사용된 자산(시설, 장비, 소프트웨어 ) 변경을 지속적으로 모니터링하여 허가 받지 않은 변경을 탐지하고 최신의 변경 이력을 유지하여야 한다.

자산 변경시 IaaS공급사별로 클라우드 컴퓨팅 서비스에 영향을 미치는지 서비스 영향을 분석 실시하며 IaaS별로 서비스가 상이하지 않도록 관리해야 한다.

 

11(위험관리)

클라우드 컴퓨팅 서비스 취약점 점검 절차 기준을 수립하여 1 이상 점검을 수행 하여야 한다.

발견된 취약점에 대한 대응방안 조치결과를 문서화하고 수행하고 결과를 책임자에게 보고하여야 한다.

취약점 점검 진단 조치 관리는 IaaS공급사별로 각각 수행되어야 하며 발견된 취약점은 IaaS공급사에서 발견되지 않더라도 동일한 취약점이 발견 것으로 취급하여 동일하게 조치가 이루어져야 한다.

 

5장 서비스 공급망 관리

 

12(공급망 관리 정책)

클라우드 컴퓨팅 서비스에 대한 접근과 서비스 연속성을 저해하는 위험을 식별하고 최소화하기 위해 공급망과 관련한 보안 요구사항을 정의하는 관리 정책을 수립하여야 한다.

클라우드 컴퓨팅 서비스 범위 보안 요구사항을 포함하는 공급망 계약을 체결하고 다자간 협약 책임을 개별 계약서에 각각 명시해야 하며, 해당 서비스에 관련된 모든 이해관계자에게 적용하여야 한다.

공급망 계약 반영하여야 요구사항은 다음과 같다.

1.  클라우드 컴퓨팅 서비스 인프라지원 범위

2.  통제 모니터링의 적용범위

3.  역할과 책임

4.  문제 발생 대책 법적 책임

클라우드 인프라 사업자(IaaS 인증업체)와의 서비스 수준 계약(SLA) 체결하여야 하며 다음 사항들을 고려하여야 한다.

1.  클라우드 컴퓨팅 서비스 인프라 지원 범위

2.  복원 복구 지원을 위한 서비스(소산 DR ) 범위

3.  네트워크 모니터링 필요 보안관제 범위

4.  클라우드 컴퓨팅 서비스 보호를 위한 정보보호시스템 제공 범위

클라우드 서비스 파트너(SW 제공업체)와의 서비스 수준 계약(SLA) 체결하여야 하며 다음 사항들을 고려하여야 한다.

1.  기능적, 기술적 보안 요구사항의 반영 여부

2.  개발 보안가이드 준수 여부(시큐어 코딩 )

3.  테스트 보안 요구사항 준수 여부

4.  개발 완료된 시스템에 대한 취약점 점검 수행 여부

5.  개발 인력 대상 SW개발 보안교육 여부

 

13(공급망 변경 관리)

정보보호 정책, 절차 통제에 대한 수정 개선이 필요하다고 판단될 경우 서비스 공급망 상에 발생할 있는 위험에 대한 검토를 통해 안전성을 확보 계약서 내용 변경 방안을 제시하여야 한다.

사고발생시 계약해지 재계약 통제 제재 사항들을 포함하는 협력사 변경 가능에 대해 계약서에 명시하고 이를 공급망 이해관계자들에게 알려주어야 한다.

공급망 변경시 안정성 확보를 위해 필요시 공급망에 대한 보안 위협을 재평가한다

1.  제공자의 임직원이 접근 가능한 정보 정보처리 시설 식별, 접근 형태 분석

2.  접근 가능한 자산의 중요도 보호대책

3.  정보자산에 대한 접근방법, 권한 승인 절차

4.  변경 관리 절차 보고 체계

5.  제공자의 임직원 적격성 교육 훈련 보장

 

6장 침해사고 관리

14(침해사고 대응 절차 및 체계)

침해사고의 정의 범위, 긴급연락체계 구축, 침해사고 발생 보고 대응절차, 사고 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립하여야 한다.

침해사고에 대한 효율적이고 효과적인 대응을 위해 신고절차, 유출 금지 대상, 사고 처리 절차 등을 담은 침해사고 대응절차를 마련하여야 한다.

침해사고 대응절차는 이용자와 제공자의 책임과 절차가 포함되어야 한다.

침해사고 정보를 수집 · 분석 · 대응할 있는 보안관제 시스템 조직을 구성 · 운영하고, 침해사고 유형 중요도에 따라 보고 협력체계를 구축하여야 한다.

침해사고 대응과 관련된 역할 책임이 있는 담당자를 훈련시켜야 하고 주기적으로 침해사고 대응 능력을 점검하여야 한다.

기타 침해사고 관리에 관한 세부적인 사항은 『침해사고관리지침』으로 정한다.

 

15(침해사고 대응)

침해사고 발생 침해사고 대응 절차에 따라 법적 통지 신고 의무를 준수하여야 한다.

클라우드 컴퓨팅 서비스 이용자에게 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.

침해사고 발생 침해사고 대응 절차에 따라 처리와 복구를 신속하게 수행하여야 한다.

 

 

16(사후관리)

침해사고 처리 종결된 발생 원인을 분석하고 결과를 이용자에게 알려야 한다.

침해사고 정보와 발견된 취약점을 관련 조직 인력과 공유하여야 한다.

침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 정보보호시스템 개선, 관련 정보보호 교육 실시 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.

 

 

7장 서비스 연속성 관리

 

 

17(장애 대응)

관련 법률에서 규정한 클라우드 컴퓨팅 서비스의 중단으로부터 업무 연속성을 보장하기 위해 백업, 복구 등을 포함하는 장애대응 절차를 마련하여야 한다.

클라우드 컴퓨팅 서비스 중단이나 피해가 발생 장애대응 절차에 따라 법적 통지 신고 의무를 준수하여 한다. 또한, 클라우드 컴퓨팅 서비스 이용자에게도 발생 내용, 원인, 조치 현황 등을 신속하게 알려야 한다.

클라우드 컴퓨팅 서비스 중단이나 피해가 발생할 경우, 서비스 수준 협약(SLA) 명시된 시간 내에 장애 대응절차에 따라 해당 서비스의 장애를 처리하고 복구 시켜야 한다.

장애 관련 정보를 활용하여 유사한 서비스 중단이 반복되지 않도록 장애 재발방지 대책을 수립하고 필요한 경우 장애대응 절차도 변경하여야 한다.

기타 서비스 연속성 관리에 관한 세부적인 사항은 『서비스연속성관리지침』으로 정한다.

18(서비스 가용성)

클라우드 컴퓨팅 서비스의 가용성을 보장하기 위해 성능 용량에 대한 요구사항을 정의하고 지속적으로 관리할 있는 모니터링 방법 또는 절차를 수립하여야 한다.

정보처리설비( : 클라우드 컴퓨팅 서비스를 제공하는 물리적인 서버, 스토리지, 네트워크 장비, 통신 케이블, 접속 회선 ) 장애로 서비스가 중단되지 않도록 정보 처리설비를 이중화하고 장애 발생 신속하게 복구를 수행하도록 백업 체계도 마련하여야 한다.

 

8장 준거성 관리

19(법 및 정책 준수)

정보보호 관련 법적 요구사항을 식별하고 준수하여야 한다.

20(정보시스템 감사)

법적 요구사항 정보보호 정책 준수 여부를 보증하기 위해 독립적 보안감사가 최소 1회이상 수행되어야 하며 보안감사 계획을 수립하여 시행하고 개선 조치를 취하여야 한다.

보안감사 증적(로그) 식별할 있는 형태로 기록 모니터링 되어야 되고 법적요건을 고려하여 최소 1 이상 안전하게 보존하여야 한다.

보안감사 증적은 IaaS공급사별로 각각 이루어져야 한다.

공공기관용 클라우드 서비스의 경우 공공기관이 보안감사 증적(로그) 요청할 제공하여야 한다.

 

 

21(로그기록)

로그기록은 별도 저장장치로 백업하고 비인가된 접근 변조로부터 보호되어야 한다.

주요 서버, 네트워크, 정보보호시스템의 로그는 최소 1 이상 유지 관리하여야 한다.

 

 

9장 가상화 보안

 

 

22(가상화 인프라)

가상자원(가상 머신, 가상 스토리지, 가상 소프트웨어 ) 생성, 변경, 회수 등에 대한 관리방안을 수립하여야 한다.

가상자원의 관리시 IaaS 공급사별로 각각 진행되어야 한다.

가상자원 서비스를 제공하기 위한 웹사이트 또는 공개 서버를 제공하는 경우 기술적 보호 대책을 수립하여야 한다.

기타 가상화 보안관리에 관한 세부적인 사항은 『가상화보안관리지침』으로 정한다.

 

 

23(가상환경)

바이러스, , 트로이목마 등의 악성코드로부터 이용자의 가상 환경(가상 PC, 가상서버, 가상 소프트웨어 ) 보호하기 위한 악성코드 탐지, 차단 등의 보안기술을 지원하여야 한다. 또한 이상징후 발견 이용자 통지하고 사용 중지 격리 조치를 수행하여야 한다.

가상 환경(가상 PC, 가상서버, 가상 소프트웨어 ) 접근을 위한 인터페이스 API 대한 보안 취약점을 주기적 분석하고 이에 대한 보호 방안을 마련하여야 한다.

이용자가 기존 정보시스템 환경에서 클라우드 컴퓨팅 서비스의 가상환경으로 전환 안전하게 데이터를 이전하도록 암호화 등의 기술적인 조치방안을 제공하여야 한다.

클라우드 컴퓨팅 서비스 제공자는 출처, 유통경로 제작자가 명확한 소프트웨어로 구성된 가상환경을 제공하여야 한다.

10장 접근통제

 

 

24(접근통제 정책)

비인가자의 접근을 통제할 있도록 접근통제 영역 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다.

접근기록 대상을 정의하고 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 있는 형태로 기록되고 유지하여야 한다.

접근권한 신청/변경/폐기시 IaaS 공급사별로 각각 진행되어야 한다.

기타 접근통제 관리에 관한 세부적인 사항은 『접근통제관리지침』으로 정한다.

 

 

25(접근권한 관리)

클라우드 시스템 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.

클라우드 시스템, 중요정보 관리 특수 목적을 위해 부여한 계정과 권한을 식별하고 별도 통제하여야 한다.

클라우드 시스템 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 휴직, 직무변경, 부서변경) 적정성 여부를 정기적으로 점검하여야 한다.

클라우드 시스템에 접근하기 위한 접근통제는 IaaS공급사별로 각각 이루어져야 한다.

 

 

26(사용자 식별 및 인증)

클라우드 시스템에서 사용자를 유일하게 구분할 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다. 동일한 식별자를 공유하여 사용하는 경우 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.

클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 안전한 사용자 인증절차에 의해 통제하여야 한다.

이용자가 클라우드 컴퓨팅 서비스에 대해 다중 요소 인증 강화된 인증 수단을 요청하는 경우 이를 제공하기 위한 방안을 마련하여야 한다.

법적 요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 사용자 패스워드 관리절차를 수립 · 이행하고 패스워드 관리 책임이 사용자에게 있음을 주지시켜야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리하여야 한다.

고객, 회원 외부 이용자가 접근하는 클라우드 시스템 또는 서비스의 안전한 이용을 위하여 계정 패스워드 등의 관리절차를 마련하고 관련내용을 공지하여야 한다.

 

11장 네트워크 보안

 

27(네트워크 보안)

클라우드 컴퓨팅 서비스와 관련된 · 외부 네트워크에 대해 보안정책과 절차를 수립하여야 한다.

DDoS, 비인가 접속 등으로 인한 서비스 중단 중요정보 유출 등을 막기 위해 네트워크를 모니터링하고 통제하여야 한다.

클라우드 컴퓨팅 서비스와 관련된 · 외부 네트워크를 보호하기 위하여 정보보호시스템(방화벽, IPS, IDS, VPN ) 운영하여야 한다.

클라우드 시스템에서 중요정보가 이동하는 구간에 대해서는 암호화된 통신 채널을 사용하여야 한다.

클라우드 컴퓨팅 서비스 제공자의 관리 영역과 이용자의 서비스 영역, 이용자 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리하여야 한다.

기타 네트워크 보안에 관한 세부적인 사항은 『네트워크보안지침』으로 정한다.

 

 

12장 데이터 보호 및 암호화

 

 

28(데이터 보호)

데이터 유형, 법적 요구사항, 민감도 중요도에 따라 데이터를 분류하고 관리하여야 한다.

이용자와 서비스 수준 협약 단계에서 데이터의 소유권을 명확하게 확립하여야 한다.

· 출력, 전송 또는 데이터 교환 저장소의 데이터에 대해 항상 데이터 무결성을 확인하여야 한다.

데이터에 대한 접근제어, · 변조 방지 데이터 처리에 대한 보호 기능을 이용자에게 제공하여야 한다.

이용자에게 데이터를 추적하기 위한 방안을 제공하고 이용자가 요구하는 경우 구체적인 제공 정보(이용자의 정보가 저장되는 국가의 명칭 ) 공개하여야 한다.

클라우드 컴퓨팅 서비스 종료, 이전 등에 따른 데이터 폐기 조치 이용자와 관련된 모든 데이터를 폐기 하여야 하며, 폐기된 데이터를 복구할 없도록 삭제 방안을 마련하여야 한다.

기타 데이터 보호 암호화에 관한 세부적인 사항은 『데이터보호및암호화지침』으로 정한다.

 

 

29(암호화)

클라우드 서비스에 저장 또는 전송 중인 데이터를 보호하기 위해 암호화 대상, 암호 강도(복잡도), 관리, 암호 사용에 대한 정책을 마련하여야 한다. 또한 정책에는 개인정보 저장 전송 암호화 적용 암호화 관련 법적 요구사항을 반드시 반영하여야 한다.

암호 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고 암호 키는 별도의 안전한 장소에 보관하여야 한다.

13장 시스템 개발 보안

 

30(시스템 분석 및 설계)

신규 시스템 개발 기존 시스템 변경 정보보호 관련 법적 요구사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안 요구사항을 명확히 정의하고 이를 적용하여야 한다.

클라우드 시스템 설계 사용자 인증에 관한 보안 요구사항을 반드시 고려하여야 하며 중요정보의 · 출력 · 수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구사항을 고려하여야 한다.

클라우드 시스템 설계 사용자의 인증, 권한 변경, 중요정보 이용 유출 등에 대한 감사증적을 확보할 있도록 하여야 한다.

클라우드 시스템 설계 업무의 목적 중요도에 따라 접근권한을 부여할 있도록 하여야 한다.

로그기록의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위해 클라우드 시스템 시각을 공식 표준시각으로 정확하게 동기화하여야 한다. 또한 서비스 이용자에게 시각 정보 동기화 기능을 제공하여야 한다.

IaaS공급사와 무관하게 클라우드 컴퓨팅 서비스는 동일 기능을 제공하는 것을 원칙으로 하되, IaaS공급사의 보안정책 운영정책등으로 인하여 동일한 서비스가 불가 시에는 이를 대체할 있는 서비스 형태를 제공하여야 한다.

기타 시스템 개발 보안에 관한 세부적인 사항은 『시스템개발보안지침』으로 정한다.

 

31(구현 및 시험)

안전한 코딩 방법에 따라 클라우드 컴퓨팅 서비스를 구현하고 분석 설계 과정에서 도출한 보안 요구사항이 정보시스템에 적용되었는지 확인하기 위하여 시험을 수행하여야 한다.

개발 시험 시스템은 운영시스템에 대한 비인가 접근 변경의 위험을 감소하기 위해 원칙적으로 분리하여야 한다. 분리하여 운영하기 어려운 경우 사유와 타당성을 검토하고 안전성 확보 방안을 마련하여야 한다.

소스 프로그램에 대한 변경관리를 수행하고 인가된 사용자만이 소스 프로그램에 접근할 있도록 통제절차를 수립하여 이행하여야 한다. 또한 소스 프로그램은 운영환경에 보관하지 않는 것을 원칙으로 한다.

IaaS공급사별로 기능 구현 시험을 진행해야 하며 동일한 기능 보안성을 제공하는 것을 원칙으로 한다.

 

32(외주 개발 보안)

클라우드 시스템 개발을 외주 위탁하는 경우 분석 설계단계에서 구현 이관까지의 준수해야 보안 요구사항을 계약서에 명시하고 이행여부를 관리 · 감독하여야 한다.

 

 

14장 공공기관 보안 요구사항

 

33(관리적 보호조치)

공공기관의 보안 요구사항이 반영된 보안서비스 수준 협약을 체결하고 클라우드 컴퓨팅 서비스 관련 정보보호 정보를 공공기관에 제공하여야 한다.

클라우드 컴퓨팅 서비스 구축을 위해 도입되는 서버 · PC 가상화 솔루션 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내 · CC인증을 받은 제품을 사용하여야 한다.

클라우드 컴퓨팅 서비스 운영 장소 망은 공공기관 내부 정보 시스템 운영 보안 수준에 준하여 보안 관리하여야 한다.

클라우드 컴퓨팅 서비스를 제공하는 민간 사업자는 사고 또는 장애 발생 공공기관의 사고 · 장애 대응 절차에 따라 해당 공공기관, 대내 · 관련 기관 전문가와 협조체계를 구성하여 대응하여야 하며, 공공기관의 사고 · 장애 대응에 적극 협조하여야 한다.

클라우드 컴퓨팅 서비스를 구축 제공하면서 적용한 정보보호 대책이 국가기관등의 보안요구사항을 정확하게 반영되고 있는지 지속적으로 모니터링하고 서비스를 이용하는 국가기관등의 정보보호대책이 유지되는지 검토하고 필요 또는 요청시 주기적으로 국가기관등에 보고하여야 한다

 

34(물리적 보호조치)

클라우드 시스템 데이터의 물리적 위치는 국내로 한정하고 공공기관용 클라우드 컴퓨팅 서비스의 물리자원(서버, 네트워크, 정보보호시스템 ), 출입통제, 운영인력 등은 일반 이용자용 클라우드 컴퓨팅 서비스 영역과 분리하여 운영하여야 한다.

클라우드 컴퓨팅 서비스를 제공하는 사업자는 네트워크 스위치, 스토리지 중요장비를 이중화하고 서비스의 가용성을 보장하기 위해 백업체계를 구축하여야 한다.

 

35(기술적 보호조치)

클라우드 컴퓨팅 서비스를 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 암호모듈을 적용하여야 한다.

 

 

15장 개인정보의 처리 및 안전한 관리

 

36(개인정보 수집 · 이용)

개인정보 수집 이용에 대하여 정보주체로부터 개인정보 수집에 대한 동의를 받아야 한다.

정보주체에게 개인정보 이용에 대한 사항을 고지하여야 한다.

개인정보 처리방침을 수립하고 정보주체가 쉽게 확인할 있도록 공개하여야 한다.

기타 개인정보보호에 관한 세부적인 사항은 『개인정보보호지침』으로 정한다.

 

37(개인정보 처리 제한)

법령에서 정한 경우를 제외하고 민감정보를 처리하여서는 아니된다.

법령에서 정한 경우를 제외하고 고유식별정보를 처리하여서는 아니된다.

법령에서 정한 경우를 제외하고 주민등록번호를 처리하여서는 아니된다.

 

38(개인정보의 안전한 관리)

개인정보는 처리 목적 달성 관계기관의 요청이 있는 경우 즉시 파기하여야 한다.

법령에 의해 개인정보를 파기하지 않고 보존해야 하는 경우 다른 개인정보와 분리하여 저장하여야 한다.

 

 

16장 정보보호시스템 관리

 

39(정보보호시스템 도입 및 운영)

정보보호시스템 도입 계획 다양한 요소들을 고려하며, 보안성 검토를 수행하여야 한다.

주기적으로 정보보호시스템 운영 현황을 점검하여야 하며, 변경 업그레이드에 대해 필요한지 여부를 주기적으로 검토하여야 한다.

정보보호시스템에 대한 접근통제를 수립하여 운영하여야 한다.

정보보호시스템 보안정책을 적용하기 위한 절차를 수립하여 운영하여야 하며, 보안정책에 대해 주기적으로 점검하여야 한다.

 

 

17장 개발 및 운영 단말 관리

 

 

40(클라우드 시스템 개발 및 운영 단말 관리)

클라우드컴퓨팅 서비스의 개발 운영관리를 위한 단말장비는 신청,변경,등록해지 폐기등에 대한 관리방안을 수립해야 한다.

클라우드컴퓨팅 서비스를 제공하기 위해 등록된 단말은 기술적 보호대책을 수립하여야 한다

 

 

부칙

 

1(시행일)

이 규정은 정보보호 최고책임자의 승인일로부터 시행한다.

 

2(정책의 이행)

회사의 정보보호 업무는 규정에 근거하여 수행하며 이에 명시되지 않은 사항은 회사의 다른 규정 관련 법령이 정하는 바에 따른다.

회사는 정보보호 정책 · 개정, 위험관리 내부감사 회사 정보보호 활동에 대해 적정성 여부를 검토하여 승인하고 정보보호 활동을 위한 예산과 인력을 확보하여야 한다.

 

3(정책의 검토)

본 정책의 적절성을 연 1회 이상 정기적으로 검토하고 필요 시 개정안을 마련하며 제 · 개정 및 폐기에 대해 이력을 관리하여야 한다.

 

4(예외 적용)

다음 각 호에 해당하는 경우에는 이 규정에서 명시한 내용이라도 정보보호 최고책임자의 승인을 받아 예외 취급할 수 있다.

1.   기술 환경의 변화로 적용이 불가능할 경우

2.   기술적 · 관리적 필요에 따라 정책의 적용을 보류할 긴급한 사유가 있을 경우

3.   기타 재해 등 불가항력적인 상황인 경우

 




정책서가 수립되면 세부내용을 지침하여 명시합니다.
 예를 들어 정책서 제5조 정보보호 조직 7항 을 보면
"기타 정보보호 조직의 구성 구성원의 역할에 관한 세부적인 사항은 정보보호조직관리지침』으로 정한다" 라고 명시하였습니다.



정보보호조직관리지침에는 실제 조직관리에 필요한 세부사항을 모두 포함하여 작성합니다.

1장 총칙

 

1(목적)

이 지침은 ㈜OOO의 『정보보호정책서』에 의거 구성원의 정보보호 조직관리에 필요한 사항을 규정함을 목적으로 한다.

 

2(적용범위)

이 지침은 ㈜OOO의 클라우드 컴퓨팅 서비스 업무를 수행하는 정보보호 조직에 적용된다.

 

3(용어정의)

이 지침에서 사용하는 용어의 정의는 다음과 같다.

1.   “외부인”이라 함은 『직제규정』 에서 정한 “직원“이 아닌 자로서 특정한 업무수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.

2.   “외부위탁”이라 함은 특정 업무를 외부업체에 위탁하여 처리하는 방식을 말한다.

 

2장 정보보호 최고책임자 지정

 

4(정보보호 최고책임자 지정)

  조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 정보보호 최고책임자(CISO)를 인사발령 등의 공식적인 지정절차를 거쳐 지정하여야 한다.

      1. 정보보호 최고책임자는 정보보호와 관련된 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정

  정보보호 최고책임자는 인사발령 등의 공식적인 지정절차를 거쳐 지정하여야 한다.

 

5(조직 구성)

       정보보호 최고책임자는 조직의 규모 및 클라우드 서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 별지 1호 와 같이 ‘정보보호 조직’을 구성한다.

       실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.

       정보보호 조직 구성원의 주요 직무는 별지 2호 의 ‘직무기술서’를 통해 책임과 역할을 구체적으로 정의한다.

 

6(정보보호 최고책임자)

  정보보호 최고책임자는 다음의 역할을 수행한다.

1.  정보보호 관리체계의 수립 및 관리 · 운영

2.  정보보호 정책 정책 시행 문서 수립

3.  정보보호 조직 구성

4.  정보보호 취약점 분석 · 평가 개선 등을 포함한 위험관리 활동

5.  침해사고의 예방 대응 · 침해사고의 통지

6.  임직원 협력업체 직원 대상의 정보보호 교육

7.  정보보호 대책 마련 보안조치 설계 · 구현

8.  정보보호 보안성 검토

9.  중요정보의 암호화 정보보호시스템 적합성 검토

10.     밖에 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 

7(정보보호 담당자)

   정보보호 담당자는 다음의 역할을 수행한다.

1.  연간 정보보호 추진계획 수립 이행

2.  정보보호 규정체계 · 개정 시행

3.  정보보호 관리체계 수립 운영현황 관리 점검 감독

4.  정보보호 취약점 분석 · 평가 수행

5.  위험분석 평가 위험관리 수행

6.  정보보호 대책 수립 · 이행 보안성 검토 수행

7.  침해사고 대응체계 수립 이행

8.  임직원 정보보호 교육 계획 수립 실시

9.  밖에 회사가 정보보호를 위하여 정보보호 최고책임자가 지시하는 업무


또한 조직도, 직무기술서, 회의록등 정책서 또는 정보보호 조직관리에 필요한 양식등 템플릿을 정의하여 포함합니다.


 


이외에도 CSAP 인증을 받기 위해 수립할 지침서는 아래 표와 같습니다.






📎 첨부된 증적 파일
  • 첨부파일 없음
점검항목 2. 2) 클라우드 정보보호 정책은 정보보호 최고책임자로부터 제 ∙ 개정 시 승인을 받고 있는가?
SaaS 표준
🔍 점검 취지 및 요건
■ 정보보호 정책서 및 시행문서는 정보보호 최고책임자로부터 제
·개정 시 승인을 받아야 한다.
- 최고책임자의 승인은 내부결재를 통해 승인을 받아야 하며, 최고책임자 승인과 관련한 증적으로는 내부결재 문서 또는 최고책임자가 정보보호 정책문서에 직접 서명 또는 직인을 할 수 있다.
✍️ 운영 현황 및 증적 기록

정보보호 정책서 및 지침서, 절차서 메뉴얼등은 사내 보고를 통해 정보보호최고책임자(CISO)의 결재를 득 해야 합니다.


1. 보통 업무 편의를 위해 정보보호 정책 문서에 서명란을 작성하며, "전결"로 표기하는 것이 관리에 유리합니다.



2.  내부 결재 시스템을 통해 결재 증적이 존재해야 합니다. 결재 시스템이 없다면, 노션, 슬랙등을 통해 "CISO"가 공식적으로 검토하였다 라는 내용이 있어야 합니다.







📎 첨부된 증적 파일
  • 첨부파일 없음
점검항목 3. 3) 클라우드 정보보호 정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 최신본으로 전달하고 있는가?
SaaS 표준
🔍 점검 취지 및 요건
■ 정보보호 정책서 및 시행문서는 최신으로 유지되고, 임직원 등 관련자가 쉽게 접근하여 활용할 수 있도록 하여야 한다.
- 정보보호 정책을 주기적으로 검토하고 법 개정
·보안사고 등이 발생 시 반영
- 메일 또는 사내 게시판 등을 활용하여 배포 등
✍️ 운영 현황 및 증적 기록

정보보호 정책서/지침서/절차서/매뉴얼은 회사내 모든 직원이 볼 수 있는 곳에 게시 되어야 합니다.

메일로 배포도 가능하나 가급적이면 언제든 확인 할 수 있는 게시판등을 활용하거나 노션,슬랙등에 메뉴를 할당하여 누구나 접근하게 공개하여야 합니다.




📎 첨부된 증적 파일
  • 첨부파일 없음