공공부문 SaaS 이용 가이드라인
· 약 7분
공공부문 SaaS 이용 가이드라인 개요
- 국가ㆍ공공기관에서 안전하고 효율적인 SaaS 이용 위한 공공부문 SaaS 이용 가이드라인 배포
- 국가 클라우드 컴퓨팅 보안 가이드라인 기준에 SaaS 환경 추가 원칙을 확장
클라우드 서비스 위험관리 원칙 및 기준
클라우드 서비스 위험관리 원칙
구분 | 원칙 | 상세 내용 |
---|---|---|
정책 측면 | 공통 기본 원칙 | 국가클라우드 컴퓨팅 보안 가이드라인 준수 |
도입 정보보호시스템 안전성 확인 | ||
인터넷·업무망 분리 | ||
공급망 관리 | ||
SaaS 환경 추가 | 개발단계부터 보안 취약점의 원인 보안약점 배제 | |
기술 측면 | 기본 원칙 | 인프라, 개발·운영 환경의 물리적 위치 |
보안성 확인 | ||
SaaS 개발·운영 환경 | ||
허가받은 외부 연동 서비스 연계 | ||
영역 분리 | ||
공통 기본 원칙 | 이중화 및 백업체계 구축, 표준운영절차 수립 | |
접근통제 및 격리수단 확보 | ||
중요 업무자료 암호화 | ||
보안관제 | ||
SaaS 환경 추가 | 외부 공개용 SaaS 영역은 내부 업무용 SaaS 영역과 분리 | |
SaaS 애플리케이션 보안성 강화 방안 마련 |
클라우드 서비스 위험관리 기준
분류 | 세부 보안 기준 | 적용범위 |
---|---|---|
정책 | 시스템 보호 | 공통, IaaS |
인적 관리 | 공통 | |
보안 검사 | IaaS | |
클라우드 인프라 | 가상화 인프라 | 공통, IaaS |
보안관리 | 공통, IaaS | |
가상환경 보안 | 보안관리-SaaS App 개발 | SaaS |
보안관리-개발운영 환경 | SaaS | |
악성코드 방지 | SaaS | |
접근통제 | 공통 | |
데이터 | 관리 | 공통, SaaS |
암호화 | 공통 | |
인증 및 권한 | 인증 | 공통 |
권한 | 공통 | |
사고 및 장애 대응 | 사고 | 공통 |
장애 | 공통 |
- 모든 유형의 클라우드 컴퓨팅 서비스에 적용해야하는 공통 보안 기준, IaaS 및 SaaS환경에서 요구되는 추가 보안 기준 확장
클라우드 보안성 검토
- 국가 클라우드 컴퓨팅 보안 가이드라인 참고, 국가 정보보안 기본지침에 따라 규모와 중요도를 고려하여 보안성 검토 실행/위임
클라우드 서비스 수준 협약
클라우드 서비스 수준 협약 개념도
- 클라우드 제공자에게 서비스 수준 협약서 요구 내용에 대해 정기/수시 확인, 필요시 개선 요구
클라우 드 서비스 수준 협약 상세 설명
구분 | 기준 | 상세 설명 |
---|---|---|
시스템 안정성 측면 | 가용성 | 가용률 측정을 위한 기능 보유 및 유지 능력 |
신뢰성 | 서비스 회복시간, 백업 주기, 백업 준수율 | |
서비스 지속성 | 재무 상태 및 기술 보증, 서비스 추진 전략 | |
성능 관리 측면 | 응답성 | 응답시간 측정을 위한 기능 보유 및 유지 능력 |
확장성 | 이용자 요구에 따른 자원 양 줄이거나 늘리는 기능 | |
고객 지원 측면 | 서비스 지원 | 단말, 운영체계 등 이용자 서비스 지원 체계 |
고객 대응 | 고객 대응 및 고객 불만 수집 체계 및 처리 절차 |