민간분야 주요정보통신기반시설 클라우드 이용 가이드라인(2021.04)

버전
다운로드 1248
파일 크기 639.25 KB
파일 수 1
생성 날짜 2021년 4월 30일
마지막 업데이트 2024년 1월 23일

민간분야 주요정보통신기반시설 클라우드 이용 가이드라인(2021.04)입니다.
업무에 참고하시기 바랍니다.

[개요]

ㅁ 추진배경

본 가이드라인은 민간분야 주요정보통신기반시설이 클라우드를 안전하고 효율적으로 이용할 수 있도록 절차와 기준을 정하기 위해 마련되었습니다.

ㅁ 적용 대상

민간분야 주요정보통신기반시설

• 본 가이드라인 적용대상은 정보통신기반 보호법 제8조 1항에 의해 지정된 민간분야 주요정보통신기반시설임.

(이용 방침) 기반시설 관리기관은 주요정보통신기반시설을 클라우드 서비스로 이용하고자 하는 경우,
- 국내에 클라우드 서비스 시설이 구축되고 국내에서 데이터*가 처리 저장되어야 하며, 정보보호관리체계인증(ISMS) 또는 이에 준하는 인증(국내 외 클라우드 인증 등)**을 받은 클라우드 서비스를 이용 하여야

* 여기서 말하는 데이터는 주요정보통신기반시설의 데이터를 의미함.
** 기반시설이 사용 예정인 서비스 및 데이터센터 등 이용 영역이 인증 대상에 반드시 포함되어 있어야 함.

(취약점 분석·평가) 기반시설이 클라우드로 전환되는 경우, 정보 통신기반보호법 제9조 2항의 2에 따라 주요정보통신기반시설의 중대한 변화로 판단하고,
- 중앙행정기관(소관부처)은 관리기관에게 기반시설의 취약점 분석·평가를 하도록 명령하고 관리기관은 취약점 분석·평가를 수행하여 차년도 주요정보통신기반시설보호대책 에 반영하여야 함.

본 가이드의 클라우드 플랫폼 관련 취약점 분석‧평가 기준은 외부에 공개되고 널리 사용되는 오픈스택(OpenStack)에 대해 작성되었습니다. 오픈스택 점검 항목은 서비스 별로 구분하여 작성되었으며, 해당 서비스를 이용하지 않을 경우 해당없음(N/A) 처리하여 취약점 분석‧평가 수행하시면 됩니다.

[관련 법령]

∙ 정보통신기반 보호법 제8조(주요정보통신기반시설의 지정 등) ① 중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 해당 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 제1호에 따른 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용이성

[목차]

I. 목적

II. 적용 대상

III. 기본 방향

Ⅳ. 클라우드 서비스 이용

붙임1. 클라우드 이용계획서

붙임2. 클라우드 취약점 분석·평가 기준(클라우드 서비스 제공자 용)

※ 해당 가이드라인은 KISA 인터넷 보호나라&KrCERT 홈페이지(https://www.krcert.or.kr)자료실에서 확인할 수 있습니다.
※ 출처: https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=36035
※ 더 많은 자료 확인하러 가기

다운로드