□ 배경
o 각급기관의 원활한 클라우드 보안서비스(SECaaS) 이용을 위해 한시적으로 클라우드 보안인증(SaaS 표준등급)이 유효한 보안서비스는 별도의 사전 인증(CC인증, 보안기능 확인서) 없이 도입 가능하도록 허용
※ KISA 클라우드 보안인증 획득시 국가/공공기관 대상 보안적합성검증 생략 가능
□ 적용내용
구 분
|
기 존
|
변 경
|
클라우드 보안인증 內
보안기능 검증
|
o 사전 인증(CC인증 등)을 통해 검증된 보안기능을 활용하여 서비스가 구축되었는지 여부를 소스코드 분석을 통해 확인
|
o 클라우드 보안인증 內 보안기능 검증 절차 폐지
|
※ 단, ‘25년 이후 사전 인증 시행에 대비하여 SECaaS 개발 시 ’국가용 보안요구사항‘ 반영하여 개발하는 것을 권고함
□ 적용
o 2021.6.14.일부터 2024.12.31.일까지 적용
[NIS] 클라우드 보안서비스 도입기준 변경 공지(원문)
1. 각급기관의 원활한 클라우드 서비스 도입을 위해 클라우드 보안서비스 도입기준을 아래와 같이
한시적으로 변경할 계획이오니 참고하시기 바랍니다.
* 클라우드 보안서비스(SECaaS, Security as a Service) : SaaS의 한 종류로 클라우드 환경에서
정보보호제품의 보안기능을 제공하는 서비스
가. 변경대상 : 웹방화벽서비스, 스팸메일차단서비스 등 사전인증(CC인증 또는 보안기능 확인서)이
필요한 정보보호제품을 포함하고 있는 클라우드 보안서비스
나. 시행기간 : 2021.6.14 ~ 2024.12.31
다. 변경내용 : KISA 클라우드 보안인증이 유효한 민간 클라우드 보안서비스는 CC인증 또는 보안기능
확인서가 없어도 각급기관에서 도입 가능
* 각급기관 자체 구축 클라우드는 해당되지 않음
※ 출처 : https://www.nis.go.kr:4016/AF/1_7_2_3/view.do?seq=83¤tPage=1&selectBox=&searchKeyword=&fromDate=&toDate=
|