CSAP(Cloud Security Assurance Program)

클라우드 컴퓨팅 분야에서 CSAP(Cloud Security Assurance Program)는 클라우드 서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위해 보안인증을 수행하는 제도입니다. ​

CSAP 인증의 주요 목적과 필요성:

• 안전성 및 신뢰성 확보: 국가·공공기관에 안전하고 신뢰할 수 있는 클라우드 서비스를 제공하기 위해 도입되었습니다.​
• 이용자 보호: 객관적이고 공정한 보안인증을 통해 이용자의 보안 우려를 해소하고, 클라우드 서비스의 경쟁력을 확보합니다.​

인증 유형 및 등급:

CSAP 인증은 클라우드 서비스의 유형과 중요도에 따라 다음과 같이 분류됩니다.

• 서비스 유형별:
  • IaaS(Infrastructure as a Service): 서버, 네트워크, 스토리지 등의 인프라 자원을 가상화하여 제공하는 서비스.
  • SaaS(Software as a Service): 소프트웨어를 클라우드 환경에서 제공하는 서비스.​
  • DaaS(Desktop as a Service): 가상 데스크톱 환경을 서비스 형태로 제공하는 서비스.​
• 보안 등급별:
  • 상 등급: 가장 높은 수준의 보안이 요구되는 서비스에 적용
  • 중 등급: 중간 수준의 보안이 필요한 서비스에 적용
  • 하 등급: 상대적으로 낮은 수준의 보안이 필요한 서비스에 적용

각 등급에 따라 적용되는 보안인증 기준과 통제 항목의 수가 다르며, 유효기간은 모두 5년입니다.

인증 절차:

1. 최초평가: 처음으로 인증을 신청하거나, 인증 범위에 중요한 변경이 있을 때 실시하는 평가입니다.
2. 사후평가: 인증을 취득한 이후에도 지속적으로 보안인증 기준을 준수하고 있는지 확인하기 위해 매년 실시하는 평가입니다.​
3. 갱신평가: 인증 유효기간(5년)이 만료되기 전에 인증 연장을 원하는 경우 실시하는 평가로, 통과 시 5년의 유효기간이 다시 부여됩니다.​

인증 체계:

• 인증기관: 한국인터넷진흥원(KISA)​
• 평가기관: 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관​
• 기술자문기관: 국가보안기술연구소​
• 인증신청인: 클라우드 서비스 제공자​
• 이용자: 공공기관 등​

이러한 체계를 통해 공공부문에 안전하고 신뢰할 수 있는 클라우드 서비스를 공급하며, 이용자의 보안 우려를 해소하고 클라우드 서비스의 경쟁력을 확보하고자 합니다.