2.10.2 클라우드 보안

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.10 시스템 및 서비스 보안관리	2.10.1 보안시스템 운영
	2.10.2 클라우드 보안
	2.10.3 공개서버 보안
	2.10.4 전자거래 및 핀테크 보안
	2.10.5 정보전송 보안
	2.10.6 업무용 단말기기 보안
	2.10.7 보조저장매체 관리
	2.10.8 패치관리
	2.10.9 악성코드 통제

---

---

SRM / SLA

클라우드 서비스 이용 시 보호대책 수립 · 이행

서비스 유형별 보안위험 평가, 보안 통제 절차 수립 이행

접근 및 보안 통제 정책 수립 · 이행, 모니터링 및 정기적 검토

핵심 키워드 

 

클라우드 서비스 제공자와 (개인)정보보호 책임과 역할 계약서 반영
클라우드 서비스 이용 시 보안 통제 정책 수립 · 이행
클라우드 서비스 관리자 권한 최소화 및 보호대책 적용
클라우드 서비스 보안 운영현황 모니터링 및 정기적 검토

 

연관 두음

 

---

 

인증기준

 

클라우드 서비스 이용 시
서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라
중요정보와 개인정보가 유 · 노출되지 않도록
관리자 접근 및 보안 설정 등에 대한 보호대책을 수립 · 이행하여야 한다.

 

주요 확인사항

 

* 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한
  책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?

* 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여
  비인가 접근, 설정오류 등을 방지할 수 있도록
  보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등
  보안 통제 정책을 수립·이행하고 있는가?

* 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고
  관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록
  강화된 인증, 암호화, 접근 통제, 감사기록 등 보호대책을 적용하고 있는가?

* 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고
  그 적절성을 정기적으로 검토하고 있는가?

 

세부 설명

 

□ 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고,

   이를 계약서(SLA 등)에 반영하여야 한다.

 

▶ 클라우드 서비스 유형에 따른 역할 및 책임(예시)

 

 

□ 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여

   비인가 접근, 설정오류 등을 방지할 수 있도록

   보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등

   보안 통제 정책을 수립 · 이행하여야 한다.

 

 

□ 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고,

   관리자 권한에 대한 비인가 접근, 권한 오 · 남용 등을 방지할 수 있도록

   강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다.

 

 

□ 클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고,

   그 적절성을 정기적으로 검토하여야 한다.

 

 

 

결함사례

 

사례 1 :
클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이
포함되어 있지 않은 경우

사례 2 :
클라우드 서비스의 보안설정을 변경할 수 있는 권한이
업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우

사례 3 :
내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시
보안책임자 승인을 받도록 하고 있으나,
승인절차를 거치지 않고 등록 · 변경된 접근제어 룰이 다수 발견된 경우

사례 4 :
클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)