[ISMS-P인증기준] 2.10.2 클라우드 보안

항목

---

2. 보호대책 요구사항

  - 2.10. 시스템 및 서비스 보안관리

  - 2.10.2 클라우드 보안

 

인증기준

---

클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다.

2.10.2 클라우드 보안

 

세부설명

---

■ 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고, 이를 계약서 (SLA 등)에 반영하여야 한다.

 

■ 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립·이행하여야 한다.

- 외부 클라우드 서비스 이용에 따른 위험 평가 : 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려

- 클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행

 

 

■ 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다.

- 클라우드 서비스 관리자 권한 세분화 : 최고관리자, 가상네트워크 관리자, 보안관리자, DevOps 관리자 등

- 업무 및 역할에 따라 관리자 권한 최소화 부여

- 클라우드 관리자 권한 접속에 대한 강화된 인증 적용 : OTP, 보안키 등

- 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용

- 클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등

 

■ 클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다.

- 클라우드 서비스에 대한 승인받지 않은 환경설정 및 보안설정 변경을 적발할 수 있도록 알람 설정 및 모니터링

- 클라우드 서비스 보안설정의 적정성 여부를 정기적으로 검토 및 조치

 

결함사례

---

‧ 사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우

 

‧ 사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우

 

‧ 사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우

 

‧ 사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."