AhnLab 정보보호컨설팅 서비스종류

클라우드서비스 보안인증 컨설팅

클라우드서비스 제공자(IaaS/SaaS∙PaaS 제공자)는 공공기관에 클라우드서비스 제공 시 정보보호 기준의 준수여부 확인을 위해 한국인터넷진흥원(KISA)의 클라우드서비스
보안인증(CSAP: Cloud Security Assurance Program)을 받아야 합니다. 안랩은 고객사의 CSAP 인증 획득을 위해 보안관리 체계를 진단하고 취약 부문에 대해 보호대책을
제시하는 컨설팅 서비스를 제공합니다.

KISA CSAP 인증 제도 - 하단 상세설명

[KISA CSAP 인증 제도]

  • IaaS/SaaS∙PaaS 표준 등급

    1. 최초 평가
    2. 사후 평가(총 4회 수행)
    3. 갱신 평가
  • SaaS 간편 등급

    1. 최초 평가
    2. 사후 평가(총 2회 수행)
    3. 갱신 평가

목적

  • 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
  • 클라우드서비스 이용자의 보안 우려 해소 및 서비스 경쟁력 확보

대상

공공기관에 클라우드서비스를 제공하는 사업자

클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제2조 제3호 ‘대통령령으로 정하는 것‘에 해당하는 서비스

클라우드서비스 보안인증 컨설팅 대상 도식화

특징

안랩의 클라우드 전문가에 의한 클라우드서비스 보안인증 ALL IN ONE Service를 제공합니다.
클라우드서비스 보안인증 ALL IN ONE Service
  • 보안 준수 여부 점검
  • 모의침투 테스트
  • 보안조치 방안 제시
  • 취약점 점검
  • 서비스 운영 현황 점검

점검 항목

클라우드서비스 보안인증 항목은 IaaS 표준 등급 117개 항목, SaaS∙PaaS 표준 등급 78개 항목, SaaS 간편 등급 30개 항목과 최초평가, 사후평가, 갱신평가가 있습니다.
안전성 점검 항목
통제 분야 통제 항목 통제 항목 수
IaaS 표준 SaaS∙PaaS 표준 SaaS 간편
1. 정보보호 정책 및 조직 1.1 정보보호 정책 3 3 -
1.2 정보보호 조직 2 2 2
2. 인적보안 2.1. 내부인력 보안 6 4 1
2.2. 외부인력 보안 3 - -
2.3. 정보보호 교육 3 1 1
3. 자산관리 3.1. 자산 식별 및 분류 3 1 -
3.2. 자산 변경 관리 3 1 -
3.3 위험 관리 4 1 -
4. 서비스 공급망 관리 4.1. 공급망 관리정책 2 2 -
4.2. 공급망 변경관리 2 1 -
5. 침해사고 관리 5.1. 침해사고 절차 및 체계 3 3 1
5.2. 침해사고 대응 2 2 1
5.3. 사후 관리 2 2 -
6. 서비스 연속성 관리 6.1. 장애대응 4 4 1
6.2. 서비스 가용성 3 2 1
7. 준거성 7.1. 법 및 정책 준수 2 1 1
7.2. 보안감사 2 2 -
8. 물리적 보안 8.1. 물리적 보호구역 6 - -
8.2. 정보처리 시설 및 장비보호 6 - -
9. 가상화 보안 9.1. 가상화 인프라 6 2 1
9.2. 가상 환경 4 4 -
10. 접근통제 10.1. 접근통제 정책 2 2 1
10.2. 접근권한 관리 3 3 -
10.3. 사용자 식별 및 인증 5 5 4
11. 네트워크 보안 6 5 2
12. 데이터 보호 및 암호화 12.1. 데이터 보호 6 6 2
12.2. 매체 보안 2 - -
12.3. 암호화 2 2 2
13. 시스템 개발 및 도입 보안 13.1. 시스템 분석 및 설계 5 5 1
13.2. 구현 및 시험 4 4 1
13.3. 외주 개발 보안 1 1 -
13.4. 시스템 도입 보안 2 - -
14. 공공부문 추가 보안요구 사항 8 7 7
합계 117 78 30

수행 방안

[환경 분석] - [서비스 진단] - [대책 수립] - [인증 준비] 4단계를 통해 클라우드서비스 제공자의 보안 운영 점검, 정보보호 대책, 인증 준비를 지원합니다.

클라우드서비스 보안인증 컨설팅 수행 방안 -  하단 상세설명
  1. step1. 환경 분석 (요구사항 분석, 수행계획 설정, 수행계획 수립)
  2. step2. 서비스 진단 (보안 운영 점검, 공공기관 보안 준수여부 점검, 취약점 점검, 모의침투 테스트)
  3. step3. 대책 수립 (정보보호 대책 수립, 정보보호 정책/지침 개정, 보안 운영 명세 작성)
  4. step4. 인증 준비 (인증심사 문서 준비, 인증심사 지원, 보완조치 지원, 사업 종료)

안랩은 클라우드 보안인증 신청기관이 CSAP를 획득할 수 있도록 지원합니다.

CSAP 인증 단계 구조화