HOME / 클라우드 보안 및 정보보호컨설팅 서비스 분야 / 클라우드컴퓨팅서비스 보안컨설팅 방법론
클라우드컴퓨팅서비스 보안컨설팅 방법론
SH보안감사 클라우드컴퓨팅서비스 보안컨설팅
프로세스 및 방법론
-
Stage 1
Cloud Computing Service Discovery & Collection
수행내역
- 클라우드서비스 정보보안 인증범위 설정 및 협의
- 클라우드서비스 모델 정의
- SaaS, PaaS, IaaS, DaaS - 클라우드서비스 배포모델 정의
- 수행계획서 작성
- 인증 범위 클라우드서비스 이용 관련 정보자산 식별
- 클라우드서비스 이용 업무 파악
- 관련 법률, 규정 준거성 검토
- 인증 범위 내 클라우드서비스 이용 관련 자산중요도평가결과 여부 검토 및 보정
- 클라우드서비스 정보보호정책 및 각종 정보보안 관련 지침 적용성 평가
- 관련 법률, 내부지침 적용성 평가
산출물
- 수행 계획서
- 클라우드서비스 인증범위 정의서
- 국제산업표준 CSA STAR, ISO 27017/27018, KISA CSAP(클라우드 보안인증) - 클라우드서비스 정보보호정책 적용성 평가보고서
-
Stage 2
Cloud Computing Service GAP Analysis
수행내역
- 국제산업표준 CSA STAR, ISO 27017/27018, KISA CSAP(클라우드 보안인증) 통제평가 체크리스트 준비
- 클라우드서비스 모델에 따른 통제사항 결정
- CSP(Cloud Service Provider)
- CSC(Cloud Service Customer)
- SaaS, PaaS, IaaS, DaaS 모델별 - 각 클라우드서비스 통제사항별 통제평가 수행
- 통제평가 방법
- 인터뷰 : CSC, CSP(필요 시)
- 통제사항별 증빙자료 검토, 실사 - 인증범위내 물리보안 현장실사
산출물
- 클라우드컴퓨팅서비스 보안통제평가 결과서
- CSA STAR, ISO 27017/27018, KISA CSAP - 클라우드컴퓨팅서비스 보안통제평가 보고서
-
Stage 3
Cloud Computing Service Risk Assessment & Treatment
수행내역
- ISO 27005:2018주1) 기반의 클라우드서비스 위험평가 및 조치계획 수행
- 클라우드서비스 정보보안 위험관리기준 및 평가방법 정의
- 클라우드서비스 인증 규격서별 노출위험에 대한 위험평가
- 국제산업표준 CSA STAR, ISO 27017/27018, KISA CSAP(클라우드 보안인증) - 클라우드서비스 모델 별 위험평가
- SaaS, PaaS, IaaS, DaaS - ARL(허용 가능한 위험수준) 결정
- 위험관리기준 결정
- 위험 조치계획 결정
산출물
- 클라우드서비스 위험평가 보고서
- 클라우드서비스 위험평가 및 조치계획서
- 클라우드서비스 정보보안 위험관리기준 및 평가매뉴얼(선택)
-
Stage 4
Safeguard & Readiness Implementation
수행내역
- 국제 클라우드서비스 인증 규격서별 SoA(적용성)보고서 작성
- 국제산업표준 CSA STAR, 국제표준 ISO 27017/27018 - KISA CSAP(클라우드 보안인증) 클라우드서비스 보안운영명세서(SaaS/IaaS)
- 클라우드서비스 보안감사항목 및 체크리스트 작성
- 클라우드서비스 보안감사 수행 및 보고서 작성
- 클라우드서비스 고객용 업무위탁관리지침 수립
- 클라우드서비스 제공자 고객위탁계약관리지침 수립
- 클라우드서비스 업무연속성 출구전략계획 수립
산출물
- 국제 클라우드서비스 인증 규격서별 SoA(적용성) 보고서
- KISA CSAP(클라우드 보안인증) 클라우드서비스 보안운영명세서
- 클라우드서비스 보안감사 결과보고서
- 클라우드서비스 업무위수탁관리지침
- 클라우드서비스 고객위탁계약지침
- 클라우드서비스 업무연속성 출구전략계획서
- 국제 클라우드서비스 인증 규격서별 SoA(적용성)보고서 작성