평가 종류
CSAP의 평가 종류는 다음과 같다.
- 최초평가
- 사후평가
- 갱신평가
사후 평가는 SaaS 간편은 2회, 나머지는 4회를 수행해야 한다.
why?
인증 종류마다 유효기간이 상이하기 때문이다.
aaS, SaaS 표준(5년) >>>>>> SaaS 간편(3년)
전반적인 절차
- 최초 평가를 기준으로한 절차이다.
1년 단위로 실시하는 사후 절차에서는 준비단계 없이 평가 단계로 넘어간다. - 크게 준비단계, 평가단계, 인증단계로 구성되어 있다.
세부 절차
① 준비단계
- 시스템 및 서비스 구축
- 신청기관은 서비스 유형을 고려하여 클라우드 시스템 구축해야 한다.
- IaaS: 인프라 제공과 관련하여 구축
- SaaS/PaaS: 보안인증을 받은 IaaS 사업자가 제공하는 가상환경 위에 구축 + 데이터 논리적으로 분리하여 구축
- DaaS: 인프라 영역에 DaaS 필수 요소(가상PC OS, 가상화 관리 솔루션 등) 추가하여 구축
- DaaS 필수 보안 sw인 백신, 망연계 솔루션, 유해사이트 차단 솔루션 등도 추가
- 신청기관은 서비스 유형을 고려하여 클라우드 시스템 구축해야 한다.
- 사전 컨설팅
- 원활한 평가 진행을 위해 평가, 인증에 필요한 자료 구비 유무, 시스템 구축 및 운영 형태를 확인하여 컨설팅을 제공하는 것이다.
- 원활한 평가 진행을 위해 평가, 인증에 필요한 자료 구비 유무, 시스템 구축 및 운영 형태를 확인하여 컨설팅을 제공하는 것이다.
- 평가/인증 신청 및 접수
- 다음 서류를 준비하여 평가, 인증기관에 제출한다.
- 다음 서류를 준비하여 평가, 인증기관에 제출한다.
- 평가/인증 계약 체결
- 평가/인증 진행이 결정된 이후 평가 / 인증기간을 평가, 평가/인증 수수료 등을 협의하고 계약 체결한다.
- 평가/인증 진행이 결정된 이후 평가 / 인증기간을 평가, 평가/인증 수수료 등을 협의하고 계약 체결한다.
② 평가단계
- 서면 / 현장평가
- 클라우드서비스가 보안 평가, 인증기준에 맞게 적절하게 구축, 운영되고 있는지 확인한다.
- 취약점 점검
- 평가팀은 평가, 인증 범위에 포함된 자산에 대해 점검도구, 수동점검, 인터뷰 등을 통해 취약점 점검 수행한다.
- 모의침투테스트
- 신청기관 / 클라우드서비스 모델, 구축 유형 등을 고려하여 모의침투 계획 및 시나리오 수립 후 모의침투 수행한다.
- 신청기관 / 클라우드서비스 모델, 구축 유형 등을 고려하여 모의침투 계획 및 시나리오 수립 후 모의침투 수행한다.
- 보완조치 요청
- 평가팀은 종료회의를 통해 신청기관 담당자에게 결과 설명한다.
- 보완조치요청서를 통해 부적합 사항 및 취약점에 대한 보완조치를 요청한다.
- 보완조치 및 조치결과 제출
- 신청기관은 보완조치 요청을 받은 날로부터 30일 이내 보완조치 완료하고 보완조치 내역서를 작성하여 제출한다.
- 보완조치 확인(이행점검)
- 평가팀장은 보완조치 내역서의 적절성을 판단한다.
- 이행 점검을 통해 실제 이행 여부를 현장에서 확인하여 보완조치 여부 판단한다.
③ 인증단계
- 인증위원회 개최
- 위원장은 인증위원회 심의의견을 취합하여 클라우드서비스 보안 평가 / 인증 심의 결과서를 작성한다.
- 인증위원회에서는 심의 결과에 따라 추가 보완조치를 요구할 수 있다.
- 인증서 발급 및 취득
- 인증기관의 장은 인증위원회 심의 / 의결 결과를 신청기관에 통보한다.
- 인증기관의 장은 평가 / 인증기준에 적합한 경우 인증서 발급한다.
- 인증서 수령 후 보안인증 표시 사용할 수 있다.
사후관리 절차
① 사후 평가
- 인증취득기관이 지속적으로 클라우드서비스 보안 평가 / 인증기준의 준수 여부를 확인하기 위해 인증 유효기관 중 매년 1회 이상 시행하는 평가 / 인증을 말한다.
② 갱신 평가
- 클라우드서비스 보안인증의 유효기간은 3~5년이며, 갱신평가는 인증 유효기관이 만료될 때 유효기간 연장을 목적으로 시행하는 평가 / 인증을 말한다.
킹왕짱 Cloud Engineer 지니박박구리 블로그