■ 클라우드 서비스에 대한 취약점 점검을 주기적(연 1회 이상)으로 수행하여야 한다.
- 취약점 점검 일정, 취약점 점검대상, 취약점 점검 담당자 지정, 취약점 점검항목, 취약점 점검 절차 및 방법 등이 포함된 취약점 점검 계획서를 수립 및 수행
- 취약성 점검 전문업체를 활용하여 취약성 점검을 수행 가능
- 취약점 점검 대상은 클라우드서비스를 위한 모든 시스템이 포함되야 함
· 라우터 등 네트워크 장치, 운영체제, 가상화도구, DB 등 어플리케이션 등

■인터넷 및 클라우드 서비스 관리 네트워크에서 침투테스트를 실시하여야 한다.
- 대상 대상 : 클라우드 서비스 관련 인프라 및 응용 프로그램
- 대상 시점 : 중요한 인프라 변경 시 또는 응용 프로그램 업데이트 시 등
■시스템 변경이 없더라도 최소 연1회 이상 정기적으로 침투테스트를 실시하여야 한다.
■침투테스트 시 이력관리가 될 수 있도록 ‘점검자’, ‘점검일시’, ‘점검대상’, ‘점검방법’, ‘점검내용 및 결과’, ‘발견사항’, ‘조치사항’ 등이 포함된 보고서를 작성하여야 한다.

■ 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다.
- 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고
- 조치 불가능한 취약점에 대해 보고 후에도 대체 보안기능(기능사용 제한, 주기적인 모니터링 등)을 적용하여 해당 취약점으로 인한 위험관리 수행