보안 컨설팅 수행 프로세스
1. 환경분석 및 정보 수집
- 사전질의서 작성
- CSC에게 자료요청: 정보보안 규정, 정책에 대해 지침이 있는지 확인
- 아키텍처에 따라 인증 유형 결정
1) PaaS, IaaS > Container 인증을 받는 경우
PaaS > SaaS 표준
IaaS > IaaS (물리적 보안)
2) CSC(민간, 공공기관)제공할 클라우드 컴퓨팅서비스 > S/W 인증 받는 경우
> SaaS 간편
*보안인증 결정은 고객(CSC)가 결정하는 것
2. GAP 분석
- SaaS 간편, 표준 /IaaS / DaaS
- CSA STAR
- CVE, CCE, 모의해킹 진단
3. 클라우드 보호대책 수립
- 중거성 검토
- 보안감사 항목: SaaS표준/IaaS/DaaS 해당
- 정책지침 검토
- 클라우드 보안 업무분장 등 자문`
- 정보통신망법, 개인정보보호법, 개인정보의 안전성 확보조치 기준
4. 인증준비 구현
- 보안인증 명세서 작성
- 보안운영 명세서
- 운영현황
클라우드 컨설팅 시에 국가법령정보센터 참조
국가법령정보센터
1 2 3 4 5 6 7 8 9 0 Bksp ㅂ ㅈ ㄷ ㄱ ㅅ ㅛ ㅕ ㅑ ㅐ ㅔ Shift ㅁ ㄴ ㅇ ㄹ ㅎ ㅗ ㅓ ㅏ ㅣ ㅋ ㅌ ㅊ ㅍ ㅠ ㅜ ㅡ 띄어쓰기 검색
www.law.go.kr
데이터 생명주기
- 생성 저장 사용 공유 보관 파기
사전 질의서
- 보안 검토
- 준거성 항목 검토
- 개인정보보호 조치
- 보안통제분야 > SSRM > 자체 운영현황 작성, 자체 관련문서 작성, 이행증적 자료 작성
CSC 보안책임
CSP 보안책임
Shared(공유보안책임)