[ 인증 소개 ]

ISO/IEC 27017:2015 표준은 클라우드 서비스 제공자 (CSP)와 클라우드 서비스 고객 (CSC) 사이의 공통된 이해를 기반으로 하여 정보 보안 통제를 구현하고, 클라우드 서비스의 정보 보안 관리에 대한 인증 또는 평가에 활용됩니다.

이 국제 표준은 클라우드 서비스 제공자와 클라우드 서비스 고객 모두에 대해 다음 지침을 제공합니다.

• •  ISO/IEC 27002에 명시되어 있는 관련 통제를 위한 추가 실행 지침
• •  클라우드 서비스와 관련하여 구체적인 추가 통제 실행 지침

<ISO/IEC 27017 인증 소개>

특히 이 표준은 ISO/IEC 27002의 114개 통제 항목 중 35개의 통제 항목에 대해 클라우드 서비스에 적합한 새로운 구현 지침을 추가하였고, 클라우드 서비스에 특화된 확장 통제 항목으로 다음과 같은 7개 항목을 추가하였습니다.

• •  클라우드 컴퓨팅 환경 내에서 역할과 책임 공유
• •  계약 종료 시 클라우드 서비스 고객 자산 제거 및 반환
• •  고객의 가상 환경을 다른 고객의 환경과 보호 및 분리
• •  비즈니스 요구 사항을 충족하기 위한 가상 머신 강화 요구 사항
• •  클라우드 컴퓨팅 환경의 관리 운영 절차
• •  고객이 클라우드 컴퓨팅 환경 내에서 관련 활동을 모니터링할 수 있도록 지원
• •  가상 및 물리적 네트워크에 대한 보안 관리 정렬

[ ISO/IEC 27017:2015 요구사항 ]

클라우드 서비스의 중요성에도 불구하고, 클라우드 서비스 제공자와 클라우드 서비스 고객 중 어느 누가 클라우드가 보유하고 있는 정보를 보호해야 하는지 혼란스러운 경우가 많습니다. 클라우드 서비스 제공자 (CSP)의 역할은 클라우드의 정보 보안 침해 위험을 완화하는 것이며, 조직 정보 보안 제어 및 프로세스를 구현하는 것은 클라우드 서비스 고객 (CSC)의 책임이라고 할 수 있습니다.

• 적용 범위
• 인용 표준
• 정의 및 약어
• 클라우드 부문별 개념
• 정보 보안 정책
• 정보 보안 구조
• 인적 자원 보안
• 자산 관리
• 접근 통제
• 암호화
• 물리적, 환경적 보안
• 운영 보안
• 통신 보안
• 시스템 도입, 개발, 유지보수
• 공급자 관계
• 정보 보안 사고 관리
• 비즈니스 연속성 관리의 정보 보안 측면
• 준거성

• 부속서 A 클라우드 서비스 확장 통제 집합
• 부속서 B 클라우드 컴퓨팅 관련 정보 보호 리스크에 대한 참조 문헌

[ ISO/IEC 27017:2015의 중요성 ]

• 1. 클라우드 서비스 고객 (CSC)로 하여금 클라우드 서비스 제공자 (CSP)에게 기대해야 할 사항에 대한 실용적인 정보를 제공하고, 클라우드 서비스 사용자로서의 역할 및 책임에 대해 설명하고 있습니다.
• 2. 클라우드의 공유 책임을 이해하고, 클라우드 서비스를 효과적으로 활용하는 데 도움이 됩니다.
• 3. 클라우드 컴퓨팅 환경에서 디지털 증거 또는 기타 정보를 제공해야 할 때, 이 표준을 프레임워크로 따르면 정보 비공개와 관련하여 포렌식 조사 또는 기타 문제가 발생했을 경우 대비할 수 있습니다.
• 4. 클라우드 및 광범위한 운영에서 조직의 회복 탄력성을 구축할 수 있음을 입증합니다.

[ ISO/IEC 27017:2015의 필요성 ]

• •  클라우드 서비스 제공량 및 이용 수가 증가함에 의해, 클라우드 서비스 관련 정보 보호 통제 지침의 필요성 또한 높아지고 있는 추세입니다.
• •  클라우드 산업계에 클라우드 서비스 제공자 및 이용자에 대한 정보 보호 통제 지침을 빠르게 적용시키기 위하여 이 표준이 활용될 수 있습니다.
• •  클라우드 서비스 통제 및 구현 지침을 클라우드 시스템 기반의 정보 보호 처리에 활용할 수 있습니다.
• •  클라우드 보안 체계를 갖추지 않은 기업이 클라우드 서비스를 제공할 경우 크나큰 위협이 될 수 있습니다.

[ ISO/IEC 27017:2015의 기대 효과 ]

• •  고객 및 이해 관계자에게 데이터 및 정보가 보호된다는 신뢰성을 제공함으로써 기업의 대외적인 이미지를 향상시킬 수 있습니다.
• •  데이터 유출로 인한 불리한 평판의 위험을 줄이고, 브랜드의 평판을 보호할 수 있습니다.
• •  ISO/IEC 27017:2015은 관련 당사자 모두가 조직의 정보를 보호하는 데 있어 자신의 역할을 이해할 수 있도록 역할 및 책임을 명확하게 정의합니다.
• •  클라우드 서비스는 비용의 효과성 및 이동성의 장점으로 인해 전 세계적으로 수요가 급증하고 있으며, 이 때문에 산업의 성장성 또한 높은 분야입니다.
• •  비즈니스 운영에 장애가 되는 법적 소송이나 분쟁으로부터 보호받을 수 있습니다.
• •  클라우드 서비스 제공자 관점에서는 객관적이고 공정한 클라우드 보안 인증을 통해 이용자의 신뢰도 향상 및 제공자의 정보 보호 수준 향상을 위해 기여할 수 있습니다.