클라우드컴퓨팅서비스 정보보호에 관한 기준

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2361

클라우드컴퓨팅서비스 정보보호에 관한 기준

[시행 2016.4.4.] [미래창조과학부고시 제2016-41호, 2016.4.4., 제정]

미래창조과학부(소프트웨어진흥과), 02-2110-1841 

   제1장 총칙

제1제1조(목적) 이 기준은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 "법”이라 한다) 제23조 제2항에 따라 클라우드컴퓨팅서비스의 안전성 및 신뢰성 향상에 필요한 정보보호 기준의 구체적인 내용을 정함을 목적으로 한다.

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. "정보보호” 라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 수집·가공·저장·검색·송신 또는 수신되는 정보의 유출·위변조·훼손 등을 방지하기 위하여 기술적·물리적·관리적 수단을 강구하는 일체의 행위를 말하며 사이버안전을 포함한다.

2. "정보보호조직”이라 함은 정보통신서비스를 안전하게 제공하고 정보보호 활동을 체계적으로 이행토록 하는 업무 조직을 말한다.

3. "가상화”라 함은 물리적으로 다른 시스템을 논리적으로 통합하거나 반대로 하나의 시스템을 논리적으로 분할해 자원을 효율적으로 사용케 하는 기술을 말한다.

4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.

5. "서비스수준협약”이라 함은 서비스 제공자가 서비스 가입자와 합의를 통하여 사전에 정의된 수준의 서비스를 제공하기로 맺는 협약을 말한다.

6. "취약점 점검”이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다.

제2장 정보보호조치

제3조(관리적 보호조치) ① 클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스의 안전성 및 신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 관리적 보호조치를 취하여야 한다.

1. 정보보호 정책 수립·이행 및 정보보호 조직 구성·운영에 관한 사항

2. 내·외부 인력관리 및 정보보호 교육에 관한 사항

3. 자산 식별, 변경관리 및 위험관리에 관한 사항

4. 공급망 계약, 모니터링, 변경 등 공급망 관리에 관한 사항

5. 침해사고 대응 절차, 체계, 처리 및 복구, 사후관리에 관한 사항

6. 서비스 장애 대응, 성능 및 용량 관리, 백업 등 서비스 가용성에 관한 사항

7. 법·정책적 요구사항 준수 및 보안감사 활동에 관한 사항

② 제1항 각 호의 세부적인 조치 사항은 별표 1과 같다.

제4조(물리적 보호조치) ① 클라우드컴퓨팅서비스 제공자는 중요 정보와 정보처리시설 및 설비 보안을 위하여 다음 각 호의 사항을 포함한 물리적 보호조치를 취하여야 한다.

1. 물리적 보호구역 지정, 출입 통제 등 물리적 보호구역 보안에 관한 사항

2. 정보처리 시설의 배치, 보호설비 구비, 장비 반출·입 등 시설 및 장비보호에 관한 사항

② 제1항 각 호의 세부적인 조치 사항은 별표 2와 같다.

제5조(기술적 보호조치) ① 클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스의 안전성 및 신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 기술적 보호조치를 취하여야 한다.

1. 가상화 인프라, 가상 환경 보호에 관한 사항

2. 접근통제 및 사용자 식별·인증에 관한 사항

3. 네트워크 통제, 정보보호시스템 운영, 암호화 등 네트워크 보안에 관한 사항

4. 데이터 보호 및 암호화 등 중요 정보 보호에 대한 사항

5. 시스템 분석·설계·구현, 외주개발 보안, 시스템 도입 보안 등 개발 및 도입에 관한 사항

② 제1항 각 호의 세부적인 조치 사항은 별표 3과 같다.

제6조(공공기관용 추가 보호조치) ① 클라우드컴퓨팅서비스 제공자가 「전자정부법」 제2조 제3호에 따른 공공기관에게 클라우드컴퓨팅서비스를 제공하는 경우에는 그 서비스의 안전성 및 신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 보호조치를 추가로 취하여야 한다.

1. 보안 수준 협약에 관한 사항

2. 도입 전산장비 안전성 확보에 관한 사항

3. 클라우드컴퓨팅서비스 운영 및 네트워크 환경 보안관리 수준에 관한 사항

4. 사고 및 장애 시 대응 절차 및 협조체계 구성에 대한 사항

5. 클라우드컴퓨팅서비스의 물리적 위치 및 분리에 관한 사항

6. 중요장비 이중화 및 백업체계 구축에 관한 사항

7. 검증필 암호화 기술 제공에 관한 사항

8. 보안 관제를 위한 제반환경 지원에 관한 사항

9. 그 밖에 공공기관이 클라우드컴퓨팅서비스를 활용하기 위해 필요한 보호조치 등 관계기관의 장이 정하는 사항

② 제1항 각 호의 세부적인 조치 사항은 별표 4와 같다.

제3장 보칙

제7조(정보보호 기준의 준수여부 확인) 미래창조과학부장관은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 따른 "기본계획”(2015년 12월 7일 확정, 정보통신전략위원회) 상의 "보안인증제” 시행을 위해 클라우드컴퓨팅서비스 제공자가 그 서비스가 이 기준을 준수하는지 확인을 요청한 경우에는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 "한국인터넷진흥원”의 장이 그 서비스를 조사 또는 시험·평가하여 인증 할 수 있다.

제8조(재검토) 미래창조과학부장관은 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 ‘고시 발령일’을 기준으로 매 3년마다 법령이나 현실 여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 한다.

부칙 <제2016-41호, 2016.4.4.> 

제1조(시행일) 이 고시는 고시한 날부터 시행한다.

[첨부파일]
 [별표 1] 관리적 보호조치 : 첨부파일
 [별표 2] 물리적 보호조치 : 첨부파일
 [별표 3] 기술적 보호조치 : 첨부파일
 [별표 4] 공공기관용 클라우드컴퓨팅서비스 추가 보호조치   : 첨부파일