[새싹 성동 2기] 클라우드 보안 컨설팅 실무 - 클라우드 서비스 보안인증 기준 <CSAP> (24.12.15 기준)

클라우드 서비스 보안인증 기준 (CSAP: Cloud Security Assurance Program)

https://isms.kisa.or.kr/main/csap/intro/index.jsp

 

보안인증체계

https://isms.kisa.or.kr/main/csap/intro/index.jsp

 

1. 정보보호 정책 및 조직

1.1 정보보호 정책

1) 정보보호정책 수립 - 정책을 수립하여 문서화

2) 정보보호 정책 검토 및 변경 - 수립된 정책을 최소 1년에 1회 이상 검토하고 변경해야함

3) 정보보호 정책 문서 관리 - 업데이트 후 버전관리 필수, 최신본으로 유지

1.2 정보보호조직

1) 조직구성 - 전담 조직 구성, 최고책임자 임명

2) 역할 및 책임 부여 

2. 인적보안

2.1 내부인력보안

1) 고용계약 - 고용계약서에 정보보호 정책 및 관련 법률을 준수하도록 하는 조항을 포함

2) 주요 직무자 지정 및 감독 - 직무이외의 직무지정 범위는 최소화

3) 직무 분리 - 권한 오남용 등 고의행위 행위 발생 위협을 줄이기 위해 분리 기준을 수립하고 적용

4) 비밀유지서약서 - 정보보호, 개인정보보호 등을 위해 비밀유지 서약서에 정의하고 주기적으로 갱신

5) 퇴직 및 직무변경 - 임직원의 퇴직 또는 직무 변경에 관한 책임을 명시적으로 정의하고, 접근권한을 제거

2.2 외부인력보안

1) 외부 인력 계약 - 외부인력에 대한 보안요구사항을 계약에 반영

2) 외부 인력 보안 이행 관리 - 위반사항이나 침해사고 발생 시 적절한 조치 수행

3) 계약 만료 시 보안 - 자산 반납, 접근권한 회수, 중요정보 파기, 비밀유지서약 확인

2.3 정보보호교육

1) 교육프로그램 수립 - 연간 정보보호 프로그램 수립

2) 교육 시행 - 연 1회 이상 정보보호 교육 시행, 내&외부 보안사고 발생시 추가 교육 실시

3) 평가 및 개선 

3. 자산관리

3.1 자산식별 및 분류

1) 자산 식별 - 식별된 자산의 목록을 작성하여 관리

2) 자산별 책임할당 

3) 보안등급 및 취급 - 기밀성, 무결성, 가용성, 법정요구사항 등을 고려하여 자산의 보안 등급을 부여하고 등급별 절차에 따라 관리

3.2 자산변경관리

1) 변경관리 - 보안 영향 평가를 통해 변경 사항을 관리

2) 변경 탐지 및 모니터링 - 사용된 자산의 변경을 지속적으로 모니터링하여, 허가 받지 않은 변경을 탐지 & 이력 유지

3) 변경 후 작업검증 - 변경 후, 보안성 & 호환성 등에 대한 작업 검증 수행

3.3 위험관리

1) 위험관리 계획수립 - 관리적, 기술적, 물리적, 법적 분야 등에 대한 위험 식별 및 평가가 가능하도록 위험관리 방법과 계획 사전 수립

2) 취약점 점검 - 주기적으로 기술적 취약점을 점검하고 보완 

3) 위험분석 및 평가 - 평가를 연 1회 이상 수행하고 위험수준을 설정하여 관리

4) 위험처리 - 위험평가 결과에 따라 통제할 수 있는 방법을 선택하여 처리

4. 서비스 공급망 관리

4.1 공급망 관리정책

1) 공급망 관리정책 수립

2) 공급망 계약

4.2 공급망 변경 관리

1) 공급망 변경 관리

2) 공급망 모니터링 및 검토

5. 침해사고 관리

5.1 침해사고 대응절차 및 체계

1) 침해사고 대응절차 수립

2) 침해 사고 대응체계 구축

3) 침해사고 대응 훈련 및 점검

5.2 침해사고 대응

1)  침해사고 보고

2) 침해사고 처리 및 복구

5.3 사후관리

1) 침해사고 분석 및 공유

2) 재발방지

6. 서비스 연속성 관리

6.1 장애대응

1) 장애 대응 절차 수립 - 업무 연속성을 보장하기 위해 백업, 복구 등을 포함하는 장애대응 절차 마련

2) 장애 보고 - 법적 통지 및 신고 의무 준수, 이용자들에게 신속하게 고지

3) 장애 처리 및 복구 - 서비스 수준 협약(SLA)에 명시된 시간 내에 장애 대응절차에 따라 해당서비스의 장애를 처리하고 복구

4) 재발방지 - 재발방지 대책 수립, 장애 대응 절차 변경

6.2 서비스 가용성

1) 성능 및 용량 관리

2) 이중화 및 백업

3) 서비스 가용성 점검

7. 준거성

7.1 법 및 정책 준수

1) 법적요구사항 준수

2) 정보보호정책 준수

7.2 보안감사

1) 독립적 보안감사

2) 감사기록 및 모니터링

8. 물리적 보안

8.1 물리적 보호구역

1) 물리적 보호구역 지정

2) 물리적 출입통제

3) 물리적 보호구역 내 작업

4) 사무실 및 설비 공간 보호

5) 모바일 기기 반출입

8.2 정보 처리 시설 및 장비 보호

1) 정보 처리 시설의 배치

2) 보호 설비

3) 케이블 보호

4) 시설 및 장비 유지보수

5) 장비 반출입

6) 장비  폐기 및 재사용

9. 가상화 보안

9.1 가상화 인프라

1) 가상자원 관리

2) 가상자원 회수

3) 가상자원 모니터링

4) 하이퍼바이저 보안

5) 공개서버 보안

6) 상호 운용성 및 이식성

9.2 가상 환경

1) 악성코드 통제

2) 인터페이스 및 API 보안

3) 데이터 이전

4) 가상 소프트웨어 보안

10. 접근통제

10.1 접근통제 정책

1) 접근통제 정책 수립

2) 접근 기록 관리

10.2 접근권한 관리

1) 사용자 등록 및 권한 부여

2) 관리자 및 특수권한 관리

3) 접근권한 검토

10.3 사용자 식별 및 인증

1) 사용자 식별

2) 사용자 인증

3) 강화된 인증수단 제공

4) 패스워드 관리

11. 네트워크 보안

11.1 네트워크 보안

1) 네트워크 보안정책 수립 - 내, 외부 네트워크에 대한 보안정책과 절차 수립

2) 네트워크 모니터링 및 통제 - DDos, 비인가 접속 등을 막기위한 모니터링과 통제

3) 네트워크 정보보호시스템 운영 - 방화벽, IPS/IDS, VPN 운영

4) 네트워크 암호화 - 중요 정보는 암호화된 통신채널 사용

5) 네트워크 분리

6) 무선 접근통제

12. 데이터 보호 및 암호화

12.1 데이터 보호

1) 데이터 분류

2) 데이터 소유권

3) 데이터 무결성

4) 데이터 보호

5) 데이터 추적성

6) 데이터 폐기

12.2 매체보안

1) 저장매체 관리 - 중요정보를 담고 있는 하드디스크, 스토리지 등의 저장매체폐기 및 재사용 절차 수립, 완전 삭제

2) 이동매체 관리 - 외장하드, USB, CD등의 보관, 폐기, 재사용에 대한 절차 수립

12.3 암호화

1) 암호 정책 수립 - 전송 중인 데이터를 보호하기 위해 암호화 대상, 암호 강도, 키관리, 암호 사용에 대한 정책 마련

2) 암호키 관리 - 암호키 생성, 이용, 보관, 배포, 파기에 대한 안전한 절차 수립, 안전한 장소에 별도 보관

13. 시스템 개발 및 도입 보안

13.1 시스템 분석 및 설계

1)  보안요구사항 정의

2) 인증 및 암호화 기능

3) 보안로그 기능

4) 접근권한 기능

5) 시각 동기화  - 로그 기록의 정확성과 법적 효력을 위해 클라우드 시스템 시각을 공식 표준시각으로 정확하게 동기화

13.2 구현 및 시험

1) 구현 및 시험 - 시큐어 코딩

2) 개발과 운영환경 분리

3) 시험 데이터 보안 

4) 소스 프로그램 보안

13.3 외주 개발 보안

1) 외주 개발 보안

13.4 시스템 도입 보안

1) 시스템 도입 계획

2) 시스템 인수

14. 국가기관등의 보안요구사항

14.1 관리적 보호조치

14.2 물리적 보호조치

14.3 기술적 보호조치

 

 

 

reference

2024년 클라우드 보안 컨설팅 실무 - 권순영 강사님

https://isms.kisa.or.kr/main/csap/intro/