[KISA] 클라우드서비스 보안인증기준 해설서(2024)

1. 제도 개요 및 목적

클라우드서비스 보안인증제도(CSAP)는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 의거하여, 민간 클라우드 서비스의 정보보호 수준을 평가하고 인증하는 제도입니다. 이를 통해 국가·공공기관에는 검증된 안전한 클라우드 서비스를 공급하고, 이용자의 보안 우려 해소 및 국내 클라우드 서비스의 경쟁력 확보를 목적으로 합니다.

2. 인증대상 및 유형

클라우드컴퓨팅 기술을 이용하여 정보 시스템의 인프라(IaaS), 응용프로그램(SaaS), 개발환경(PaaS) 등을 제공하는 서비스가 대상이며, 인증 유효기간은 5년입니다.

• 인증 유형: IaaS, SaaS(간편/표준), DaaS, 하등급, 하등급 SaaS 등
• 등급제 시행: 2023년 고시에 따라 상·중등급은 별도 기준 마련 후 시행되며, 현재는 기존 유형 및 하등급에 대한 신청이 가능합니다.

3. 인증기준 구성

보안인증기준은 크게 ①관리적 보호조치, ②물리적 보호조치, ③기술적 보호조치, ④공공기관용 추가 보호조치의 4개 영역으로 구성되어 있습니다. 신청하려는 인증 유형에 따라 적용되는 통제항목 수가 다릅니다.

• 기존 인증제: IaaS(116개), DaaS(110개), SaaS 표준(79개), SaaS 간편(31개)
• 등급제(하등급): 하등급 IaaS(64개), SaaS 하등급(30개)

---

[목 차]

1. 클라우드서비스 보안인증 개요

• 클라우드서비스 보안인증기준 구성

2. 클라우드서비스 보안인증기준 설명

• 관리적 보호조치
• 물리적 보호조치
• 기술적 보호조치
• 국가기관등이 이용하는 클라우드컴퓨팅서비스 보호조치

---

출처 : 한국인터넷진흥원, 2024년 클라우드서비스 보안인증기준 해설서(2024.07)」 2024.5.