안전한 클라우드 컴퓨팅 서비스 정보보호 관리체계를 만들어갑니다.인증제도클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도입니다.보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2조제3항에 따라 보안인증을 받은 클라우드컴퓨팅서비스에 대해 표시할 수 있습니다.보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행규칙」 제4조에 따라 표시도안의 크기를 용도에 맞게 같은 배율로 조정할 수 있으며, 알아보기 쉽게 표시하여야 합니다.표시도안의 색상 및 글씨체는 임의로 변경할 수 없습니다.목적 및 필요성국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드서비스 공급객관적이고 공정한 클라우드서비스 보안인증를 실시하여 이용자의 보안 우려를 해소하고, 클라우드서비스의 경쟁력 확보추진근거「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드서비스 보안인증제도 시행「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행보안인증체계클라우드서비스 보안인증체계는 역할과 책임에 따라 정책기관, 인증/평가기관, 인증위원회, 기술자문기관, 인증신청인, 이용자로 구분합니다. 정책기관은 과학기술정보통신부, 인증기관은 한국인터넷진흥원, 평가기관은 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관, 공공부문 기술자문기관은 국가보안기술연구소에서 그 역할을 수행하고 있습니다.정책기관 (과학기술정보통신부)인증기관 (한국인터넷진흥원): 인증위원회 개최, 공공부문 기술자문기관 (국가보안기술연구소)에서 기술자문, 평가기관에게 보안인증 평가요청, 인증신청인 (클라우드서비스 제공자) 보안인증 신청평가기관 : 인증신청인 (클라우드서비스 제공자)에게 보안인증 평가 수행인증신청인 (클라우드서비스 제공자) : 인증기관 (한국인터넷진흥원)에게 보안인증 신청보안인증 유형 등클라우드서비스 보안인증제최초평가1년후 사후평가(총4회 수행, 매년 1회이상 수행)1년후 갱신평가▶ 보안인증 유형클라우드서비스 보안인증 유형은 IaaS, SaaS, DaaS가 있으며, 유효기간은 모두 5년입니다.※ 기존 인증제도(IaaS, SaaS(표준등급, 간편등급), DaaS 등)는 상·중 등급 시행 전까지 인증 신청 가능▶ 보안인증 등급클라우드서비스 보안인증 등급은 상·중·하로 구분됩니다.※ 하 등급은 고시에 반영되어 있으며, 상·중 등급은 추후 반영 예정▶ 인증평가 종류최초평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다.※ 최초평가를 통해 인증을 취득하면, 5년의 유효기간을 부여사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 보안인증 유효기간(5년) 안에 매년 시행됩니다.갱신평가는 보안인증 유효기간(5년)이 만료되기 전에 클라우드서비스에 대한 보안인증의 연장을 원하는 경우에 실시하는 평가입니다.※ 갱신평가를 통과하는 경우, 5년의 유효기간을 다시 부여보안인증 범위클라우드서비스 보안인증 범위는 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등을 모두 포함하여 설정합니다.※ 클라우드서비스란 클라우드컴퓨팅법 시행령 제3조의 서비스를 의미보안인증기준▶ 기존 보안인증제도의 유형에 따른 보안인증기준은 다음과 같습니다.IaaS 보안인증은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 116개 통제항목으로 구성SaaS 표준등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개 분야 79개 통제항목으로 구성SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 31개 통제항목으로 구성DaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성▶ 등급제 시행에 따른 보안인증기준은 다음과 같습니다.하등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 64개 통제항목으로 구성하등급 SaaS 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제항목으로 구성심사종류통제 분야통제 항목통제항목 수IaaSSaaSDaaS하등급하등급SaaS표준간편1. 정보보호 정책 및 조직1.1. 정보보호 정책33131-1.2. 정보보호 조직2212112. 인적보안2.1. 내부인력 보안5414112.2. 외부인력 보안3--3--2.3. 정보보호 교육3111113. 자산관리3.1. 자산 식별 및 분류31-32-3.2. 자산 변경관리31-3--3.3. 위험관리41-41-4. 서비스 공급망 관리4.1. 공급망 관리정책22-21-4.2. 공급망 변경관리21-21-5. 침해사고관리5.1. 침해사고 대응 절차 및 체계3313315.2. 침해사고 대응2212215.3. 사후관리22-21-6. 서비스 연속성 관리6.1. 장애대응

클라우드 보안인증(CSAP) 알아보기전 세계적으로 ‘디지털 트랜스포메이션’이 화두입니다.금융/의료/게임 등 국내의 다양한 산업 현장 곳곳에서도 레거시 인프라를 클라우드로 전환하려는 움직임이 활발하고 공공부문도 예외는 아닙니다.정부는 2015년 세계 최초로 클라우드컴퓨팅법을 제정하고, 공공기관의 민간 클라우드 도입률 40%를 달성하겠다는 계획을 세웠습니다. 2019년에는 공공기관뿐 아니라 중앙 행정 기관도 대국민 서비스에 한해 민간 클라우드를 도입할 수 있도록 정책이 개정되었습니다.이런 정책에 따라 국내 클라우드 서비스 제공업체들은 공공부문을 중요한 시장으로 바라봅니다. 하지만 정부와 시장의 분위기와는 달리 공공기관의 민간 클라우드 도입 수요가 저조하다는 조사 결과가 있어 그 원인은 무엇인지, 원인을 해소하기 위한 장치는 무엇인지 살펴보고자 합니다.| 공공기관의 민간 클라우드 도입 및 수요 현황과학기술정보통신부의 <‘19년도 행정·공공기관 클라우드 컴퓨팅 수요조사>에 따르면 민간 클라우드를 도입하겠다고 밝힌 곳은 조사 대상인 425개 기관 중 18개로 전체 대비 4.24%에 불과합니다.2017년에는 168개 기관, 2018년에는 209개 기관이 민간 클라우드를 도입한 것에 비해 저조한 숫자인데요. 조사에 응한 기관이 대답한 민간 클라우드 도입을 주저하는 이유는 보안 우려(26%), 예산 절감 효과 미흡(24%), 도입 절차 복잡(19.3%) 순으로 나타났습니다.| 보안 우려 해소를 위한 클라우드 보안인증(CSAP)공공기관은 국민의 정보를 다루는 기관이므로 보안과 안정성에 민감한 것이 당연합니다. 정부는 공공기관의 보안 우려를 해소하기 위해 객관적으로 서비스를 평가할 수 있는 ‘클라우드 보안인증’ 제도를 마련했습니다.클라우드 보안인증은 클라우드 서비스 공급자에게 권고하는 정보보호 측면의 관리적, 기술적, 물리적 보호 조치사항으로 14개 분야 117개 항목을 준수했는지 심사, 평가하는 제도입니다. 평가는 최초 평가, 사후 평가, 갱신 평가로 이뤄져 검증의 신뢰성을 높이고 있습니다.공공기관에 클라우드 서비스를 제공하기 위해 민간 클라우드 업체들은 클라우드 보안인증을 취득하고, 자체 보안 활동을 수시로 시행합니다.2019년 11월 현재 IaaS 기준 클라우드 보안인증을 취득한 업체는 9곳입니다.[출처: 한국인터넷진흥원 인증서 발급현황]　| 가비아, 공공기관에 최적화된 컨설팅 & 자체 보안/관제 서비스에 강점가비아는 비교적 일찍 클라우드 보안인증을 취득한 덕분에 다양한 공공기관 레퍼런스를 보유하고 있습니다.공공기관이 클라우드를 도입하기 위해서는 임차 규모와 인프라 구성도를 포함한 사업계획서를 작성하여 먼저 국정원의 심사를 받아야 하는데요. 전산 직군을 보유하지 않은 기관은 사업계획서 작성 단계에서부터 어려움을 겪습니다. 가비아는 다양한 레퍼런스를 통해 쌓은 노하우로 입찰 프로세스부터 인프라 구성 컨설팅까지 공공기관에 최적화된 서비스를 제공합니다.또한 가비아는 클라우드 보안인증을 취득한 업체 중, 직접 보안/관제 서비스를 제공하면서 ‘보안 관제 전문 기업 인증’을 받은 유일한 업체이기도 합니다.클라우드 보안인증은 IaaS 시스템을 평가하기 때문에 인증을 취득한 업체의 IaaS 시스템을 이용하기만 하면, 보안/관제와 같은 기타 서비스는 타 업체와 제휴를 맺고 제공하기도 하는데요. IaaS 보안 인증을 취득한 업체 대부분은 기업 분류상 중견기업 이상에 해당하여 직접적인 입찰 참가에 제약이 발생하기 때문입니다.가비아는 정부 인증을 받은 IaaS 클라우드 뿐 아니라 컨설팅, 보안/관제, 기술 지원 등 서비스 시작부터 끝까지 자사의 전문 엔지니어가 담당하고 있어 커뮤니케이션이 원활하고, 예측하지 못한 장애에도 빠르게 조치할 수 있습니다.국민의 정보를 다루는 기관인 만큼 공공기관의 클라우드 도입 과정은 까다롭습니다. 시스템 보안과 안정성을 충족하는 것 외에도 도입 절차와 같은 정책적인 개선도 필요한 상황이기에, 클라우드 도입을 주저하는 공공기관에 마냥 클라우드를 강제할 수는 없습니다.이런 상황에 클라우드 공급자는 공공기관이 신뢰할 수 있는 서비스를 제공하는 것이 그 역할에 맞는 임무라고 생각됩니다. 가비아는 20년간 인프라 서비스를 제공한 경험을 바탕으로 공공·행정기관이 믿을 수 있는 시스템과 서비스를 제공하고 있습니다.최근 IaaS뿐만 아니라 SaaS 또한 CSAP 인증이 도입되었습니다. 공공기관에 솔루션을 공급하기 위해서는 CSAP 인증을 획득한 IaaS를 사용하는 것이 필수 조건이나 그 외에도 보안 가이드라인 등 인증을 획득하기까지 필요한 과정이 복잡하고 시간도 오래 걸린다는 부담이 있습니다.이러한 문제를 해소하기 위해 가비아가 SaaS 솔루션 업체를 대상으로 보안 인증 심사 과정을 지원하고 있습니다.◎ 기간~2022년 12월 31일◎ 대상가비아 공공기관 전용 클라우드와 함께 SaaS 보안 인증 심사에 참여할 기업◎ 혜택심사 기간 내 발생하는 인프라 비용 무상 제공보안 인증에 필요한 정책 가이드라인과 기술 노하우 제공솔루션을 홍보할 수 있는 가비아 마켓플레이스 입점 및 프로모션 기회 제공이벤트 관련 자세한 내용은 하단 버튼을 클릭하시어 확인하실 수 있습니다.어렵고 까다로운 공공기관 SaaS 보안 인증 심사, 이젠 가비아 클라우드가 도와드립니다!

심철의 의원 "광주 학교 급식위생관리시스템 설치 저조"