SERVICES

COMPLIANCE SERVICES

SAK의 컴플라이언스 서비스입니다.

CSAP 인증 컨설팅

2023-07-04
조회수 915

CSAP 인증 컨설팅


당사는 CSAP 인증을 원하는 기업에게 다음의 컨설팅 서비스를 제공합니다.

1) CSAP 인증 심사 신청 전에 CSAP 인증 요구사항("하"등급의 경우, 14개 분야, 64개 항목, 100여개 세부항목)을 기업이 만족하는데 필요한 자문을 제공합니다. 이 과정에서 기업의 위험평가, 취약점 검사, 법령 준수 등과 같은 보안통제에 갭(Gap)이 확인되는 경우, 당사는 그 갭을 개선하는데 필요한 자문을 기업에게 추가 제공할 수 있습니다.

2) 기업이 인증기관*에  CSAP 인증을 신청하는데 필요한 문서화**및 자문을 제공합니다.
  *인증기관: 한국인터넷진흥원(KISA)
  **문서화: 신청 공문, 인증 신청서, 인증 자산관리대장, 인증 명세서, CSAP 운영명세서, 취약점 점검 및 침투테스트 동의서  

3) 기업이 평가기관*의 예비 점검을 준비하고 대응하는데 필요한 자문을 제공합니다.
   *평가기관: 한국정보통신진흥협회(KAIT)

4) 기업이 평가기관의 현장 평가, 취약점 점검, 모의침투테스트를 준비하고 대응하는데 필요한 자문을 제공합니다. 이 과정에서 평가기관의 증거 요청, 시연, 현장실사 등이 예상되는 경우, 필요한 자문을 기업에게 추가 제공할 수 있습니다.

4) 기업이 받은 평가 결과, 즉 부적합 사항을 개선하는데 필요한 자문을 제공합니다. 

5) 기업이 평가기관의 보완조치 확인(이행여부점검)을 준비하고 대응하는데 필요한 자문을 제공합니다. 기업이 CSAP 인증을 최초로 획득(유효기간 5년)하거나 갱신하는 경우, 그리고 CSAP 인증기관 및 인증위원회의 요구사항이 있는 경우, 당사는 기업에게 필요한 자문을 제공합니다.


컨설팅 기간은 기업의 CSAP 인증 범위(예: IaaS, SaaS / 하등급) 그리고 기업과 계약하는 컨설팅 범위에 따라 5개월에서 10개월이 소요될 수 있습니다. 컨설팅 절차는 다음과 같습니다.

1) 기업 문의에 따른 기본 상담 제공. 당사는 상담 과정에서 기업의 CSAP 인증을 준비하는데 필요한 최소한의 기업 보안통제, 보안조직 등의 여부를 확인합니다. 그 결과에 따라 컨설팅이 보류될 수 있습니다.

2) 컨설팅 업무 범위, 수행 기간 등을 고려한 견적서 및 표준 계약서(SOW) 제공. 기업이 평가기관에 납부하는 인증 수수료를 당사가 대납하는 경우 그 예산이 견적에 포함될 수 있습니다.

3) 계약 체결

4) 컨설팅 수행

5) 계약 종료


다음은 CSAP 인증에 관한 근거 법령입니다.

클라우드컴퓨팅법 제20조(국가기관등의 클라우드컴퓨팅서비스 이용 촉진) ① 국가기관등은 업무를 위하여 클라우드컴퓨팅서비스 제공자의 클라우드컴퓨팅서비스를 이용할 수 있도록 노력하여야 한다. <개정 2022. 1. 11.>

② 국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다. <신설 2022. 1. 11.>

③ 과학기술정보통신부장관은 국가기관등이 제1항에 따른 클라우드컴퓨팅서비스를 이용할 수 있도록 다음 각 호의 어느 하나에 해당하는 서비스(이하 “디지털서비스”라 한다)를 선정할 수 있으며, 선정된 디지털서비스를 등록 및 관리하는 시스템(이하 “이용지원시스템”이라 한다)을 구축하여 운영할 수 있다. <신설 2022. 1. 11.>

1. 클라우드컴퓨팅서비스

2. 클라우드컴퓨팅서비스를 지원하는 서비스

3. 지능정보기술 등 다른 기술ㆍ서비스와 클라우드컴퓨팅기술을 융합한 서비스

④ 그 밖에 디지털서비스의 선정 및 이용지원시스템의 구축ㆍ운영에 필요한 사항은 대통령령으로 정한다. <신설 2022. 1. 11.>

[제목개정 2022. 1. 11.]


클라우드컴퓨팅법 제23조의2(클라우드컴퓨팅서비스의 보안인증) ① 과학기술정보통신부장관은 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 대통령령으로 정하는 바에 따라 인증(이하 “보안인증”이라 한다)을 할 수 있다.

② 보안인증의 유효기간은 인증 서비스 등을 고려하여 대통령령으로 정하는 5년 내의 범위로 하고, 보안인증의 유효기간을 연장받으려는 자는 대통령령으로 정하는 바에 따라 유효기간의 갱신을 신청하여야 한다.

③ 클라우드컴퓨팅서비스 제공자는 보안인증을 받은 클라우드컴퓨팅서비스에 대하여 보안인증을 표시할 수 있다.

④ 누구든지 보안인증을 받지 아니한 클라우드컴퓨팅서비스에 대하여 보안인증 표시 또는 이와 유사한 표시를 하여서는 아니 된다.

⑤ 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원 또는 대통령령에 따라 과학기술정보통신부장관이 지정한 기관(이하 “인증기관”이라 한다)으로 하여금 보안인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.

1. 보안인증기준에 적합한지 여부를 확인하기 위한 평가(이하 “인증평가”라 한다)

2. 인증평가 결과의 심의

3. 보안인증서의 발급ㆍ관리

4. 보안인증의 사후관리

5. 보안인증평가원의 양성 및 자격관리

6. 그 밖에 보안인증에 관한 업무

⑥ 과학기술정보통신부장관은 보안인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증평가 업무를 수행하는 기관(이하 “평가기관”이라 한다)을 지정할 수 있다.

⑦ 평가기관은 보안인증을 받으려는 자에 대하여 대통령령으로 정하는 바에 따라 수수료를 받을 수 있다.

⑧ 제1항에 따른 보안인증의 대상, 제2항에 따른 유효기간의 연장, 제5항 및 제6항에 따른 인증기관 및 평가기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다.

[본조신설 2022. 1. 11.]



첨부 자료: *출처: 한국인터넷진흥원(KISA)

(1) CSAP 하등급 인증기준 해설서 (2023년 3월) PDF

(2) CSAP 하등급 SaaS 인증기준 해설서 (2023년 3월) PDF

(3) CSAP 인증제도 안내서 (2023년 3월) PDF

(4) CSAP 인증수수료 산정내역서 v1.0 XLS

(5) CSAP 인증 신청서 패키지 (하등급) ZIP

(6) CSAP 인증 신청서 패키지 (하등급 SaaS) ZIP


© 2023 한국정보보호인식(주). All Rights Reserved