클라우드 서비스 보안인증제(CSAP) (1)

클라우드서비스보안인증제(Cloud Security Assurance Program)

: 클라우드 서비스 제공자가 제공하는 서비스에 대해 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률" 제23조 2항에 따라 정보보호기준의 준수 여부 확인을 인증기관이 평가, 인증하여 이용자들이 안전하게 클라우드 서비스를 이용할 수 있도록 지원하는 제도를 뜻함.

CSAP 인증마크

CSAP의 목적 및 필요성

- 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급

- 객관적이고 공정한 클라우드 서비스 보안 인증을 실시하여 이용자의 보안 우려 해소와 클라우드 서비스 경쟁력 확보

 

보안 평가 - 인증 체계

- 클라우드 서비스 보안평가는 역할과 책임에 따라 정책기관 , 평가/인증기관, 인증위원회, 기술자문기관, 신청기관, 이용자로 구분된다

- 정책기관은 과기정통부 , 평가/인증은 한국인터넷진흥원, 기술 자문 기관은 국가보안기술연구소에서 각각 수행

보안평가 - 인증 체계

평가 - 인증 종류

평가 - 인증 종류

인증 종류

- laaS 분야 및 DaaS 분야 인증의 유효 기간은 5년

- SaaS 분야 인증의 유효기간은  표준등급 5년 , 간편등급 3년

 

인증 기준

- laaS 인증은 관리 , 물리, 기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 117개 통제항목으로 구성

- SaaS 표준 등급 인증은 관리적 , 기술적 및 공공기관용 추가 보호조치로 총 13개 분야 78개 통제항목으로 구성

- SaaS 간편 등급 인증은 관리적 , 기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제항목으로 구성

- DaaS 인증은 관리적 , 물리적 ,기술적 및 , 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성