AWS Marketplace Vendor Insights에서 제품의 보안 프로필 보기 - AWS Marketplace

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Marketplace Vendor Insights에서 제품의 보안 프로필 보기

AWS Marketplace 벤더 인사이트는 판매자로부터 보안 데이터를 수집합니다. 제품의 보안 프로필에는 제품의 보안, 복원력, 규정 준수 및 평가에 필요한 기타 요소에 대한 업데이트된 정보가 표시됩니다. 이 정보는 산업 표준을 지속적으로 준수하는 신뢰할 수 있는 소프트웨어를 조달할 수 있도록 지원함으로써 구매자를 지원합니다. AWS Marketplace Vendor Insights는 평가하는 각 서비스형 소프트웨어 (SaaS) 제품에 대해 여러 보안 제어를 위한 증거 기반 정보를 수집합니다.

벤더 인사이트의 대시보드 AWS Marketplace

대시보드에는 AWS Marketplace Vendor Insights에서 수집한 소프트웨어 제품에 대한 규정 준수 아티팩트와 보안 제어 정보가 표시됩니다. 데이터 레지던시 변경 또는 인증 만료와 같은 모든 보안 컨트롤 범주에 대한 증거 기반 정보가 제공됩니다. 통합 대시보드는 규정 준수 정보 변경 사항을 제공합니다. AWS Marketplace Vendor Insights를 사용하면 추가 설문지를 작성하고 위험 평가 소프트웨어를 사용할 필요가 없습니다. 대시보드가 지속적으로 업데이트 및 검증되므로 소프트웨어를 조달한 후에도 소프트웨어의 보안 컨트롤을 지속적으로 모니터링할 수 있습니다.

SaaS 제품의 보안 프로필 보기

AWS Marketplace Vendor Insights는 판매자의 소프트웨어에 대한 결정을 내리는 데 도움이 됩니다. AWS Marketplace Vendor Insights는 10개 통제 범주와 여러 통제 범위에 걸쳐 판매자의 증거 기반 정보에서 데이터를 추출합니다. 대시보드에서 SaaS 제품의 프로파일 및 요약 정보를 확인하거나, 컨트롤 범주를 선택하여 수집된 데이터에 대해 자세히 알아볼 수 있습니다. 프로파일을 통해 규정 준수 정보를 보려면 제품을 구독하고 액세스 권한을 부여받아야 합니다.

  1. AWS Management Console 로그인하고 콘솔을 엽니다.AWS Marketplace

  2. Vendor Insights를 선택합니다.

  3. Vendor Insights에서 제품을 선택합니다.

  4. 프로필 세부 정보 페이지에서 보안 및 규정 준수 탭을 선택합니다.

    참고

    빨간색 원 안의 숫자는 규정을 준수하지 않는 컨트롤의 수를 나타냅니다.

  5. 컨트롤 범주의 경우 나열된 범주 중 하나에서 텍스트를 선택하면 자세한 내용을 볼 수 있습니다.

    • 첫 번째 컨트롤 이름을 선택합니다(해당 법률, 규제 및 계약 요구 사항을 준수하도록 보장하는 정책/절차가 있습니까?).

    • 표시된 정보를 읽습니다. AWS Artifact 타사 보고서의 보고서를 보거나 감사자의 예외를 볼 수도 있습니다.

    • 제품 세부 정보 페이지로 돌아가려면 위의 탐색 메뉴에서 제품 이름을 선택합니다.

컨트롤 범주 이해

AWS Marketplace Vendor Insights는 10개 통제 범주 내 여러 통제 항목의 근거 기반 정보를 제공합니다. AWS Marketplace Vendor Insights는 공급업체 생산 계정, 공급업체 자체 평가, 공급업체 ISO 27001 및 SOC 2 Type II 보고서 등 세 가지 출처에서 정보를 수집합니다. 세 가지 리소스에 대한 자세한 내용은 AWS Marketplace 공급업체 인사이트 섹션을 참조하세요.

다음 목록은 각 컨트롤 범주에 대한 설명을 제공합니다.

액세스 관리

시스템 또는 애플리케이션에 대한 액세스를 식별, 추적, 관리 및 제어합니다.

애플리케이션 보안

애플리케이션을 설계, 개발 및 테스트할 때 애플리케이션에 보안이 통합되었는지 확인합니다.

감사, 규정 준수 및 보안 정책

조직이 규제 요구 사항을 준수하는지 평가합니다.

비즈니스 복원력 및 연속성

비즈니스 연속성을 유지하면서 시스템 중단에 빠르게 대응하는 조직의 능력을 평가합니다.

데이터 보안

데이터 및 자산을 보호합니다.

최종 사용자 디바이스 보안

휴대용 최종 사용자 디바이스 및 이러한 디바이스가 연결된 네트워크를 위협과 취약성으로부터 보호합니다.

인적 자원

직원 채용, 급여 지급, 계약 종료 등의 프로세스 중에 민감한 데이터를 처리하는 직원 관련 부서를 평가합니다.

인프라 보안

중요 자산을 위협과 취약성으로부터 보호합니다.

위험 관리 및 인시던트 대응

수용 가능한 것으로 간주되는 위험 수준과 위험 및 공격에 대응하기 위해 수행된 조치를 평가합니다.

보안 및 구성 정책

조직의 자산을 보호하는 보안 정책 및 보안 구성을 평가합니다.

컨트롤 범주 세트

다음 표에는 수집한 각 범주의 값에 대한 정보와 함께 각 범주에 대한 구체적인 정보가 나와 있습니다. 다음 목록에는 표의 각 열에 있는 정보 유형이 설명되어 있습니다.

  • 컨트롤 세트 - 컨트롤은 컨트롤 세트에 할당되며, 각 컨트롤은 해당 범주의 보안 기능을 반영합니다. 각 범주에는 여러 컨트롤 세트가 있습니다.

  • 컨트롤 이름 - 정책 또는 절차의 이름입니다. “수동 증명 필요”는 정책 또는 절차에 대한 서면 확인서 또는 문서가 필요하다는 뜻입니다.

  • 컨트롤 설명 - 이 정책 또는 절차에 필요한 질문, 정보 또는 문서입니다.

  • 증거 추출 세부 정보 - 이 범주에 필요한 데이터를 추가로 확보하려면 있어야 하는 컨트롤에 대한 정보 및 컨텍스트입니다.

  • 샘플 값 - 규제 표준을 충족하려면 이 범주의 규정 준수 값이 어떻게 되어야 하는지 지침을 제공하는 예제입니다.

액세스 관리 컨트롤

액세스 관리 컨트롤은 시스템 또는 애플리케이션에 대한 액세스를 식별, 추적, 관리 및 제어합니다. 이 표에는 액세스 관리 컨트롤의 값과 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값
보안 인증

액세스 관리 3.1.1 - 보안 인증 - 개인 데이터 입력 (수동 증명 필요) UserId

사용자 ID에 이름 또는 이메일 주소 이외의 개인 데이터가 필요한가요?

사용자 식별 정보로 이름 또는 이메일 주소 이외의 개인 데이터가 필요한지 지정합니다. 그렇다면, 어떤 데이터가 사용되나요? 어떤 사용 사례에 사용되나요?

아니요

액세스 관리 3.1.2 - 보안 인증 - 애플리케이션에서 2단계 인증 지원(수동 증명 필요)

애플리케이션이 2단계 인증을 지원하나요?

애플리케이션에서 2단계 인증을 사용할 수 있는지 지정합니다. 그렇다면, 어떤 도구를 사용할 수 있나요?

액세스 관리 3.1.3 - 보안 인증 - 계정 잠금(수동 증명 필요)

고객이 로그인에 여러 번 실패하면 고객 계정이 잠기나요?

고객이 로그인에 여러 번 실패하면 고객 계정을 잠글 것인지 지정합니다. 그렇다면, 계정이 잠길 때까지 허용되는 시도 횟수를 지정합니다.

예. 5회 로그인 실패 시 계정이 잠깁니다.

보안 인증 정보 관리

액세스 관리 3.2.1 - 보안 인증 정보 관리 - 암호 정책

애플리케이션에 강력한 암호 정책이 있나요?

강력한 암호 정책(예: RequireUppercaseCharacters, RequireSymbols 또는PasswordReusePrevention)이 있는지 지정합니다.

액세스 관리 3.2.2 - 보안 인증 정보 관리 - 암호 암호화

로그인 보안 인증 정보(암호 및 사용자 ID)를 전송 중에 암호화하고 저장 시 솔트로 해시하도록 암호 정책에서 요구하나요?

보안 인증 정보(암호 및 사용자 ID)를 전송 중에 암호화하고 저장 시 솔트로 해시할 것인지 지정합니다. 그렇다면, 자세한 정보를 제공해 주세요.

예, 코드를 사용하여 적절하게 솔트합니다.

액세스 관리 3.2.3 - 보안 인증 정보 관리 - 보안 암호 관리

보안 암호 관리 서비스를 사용하시나요?

사용 중인 보안 암호 관리 서비스가 있는지 지정합니다. 그렇다면, 자세한 정보를 제공해 주세요.

예. 모든 보안 인증 정보는 보안 암호 관리 서비스에 저장됩니다. 보안 인증 정보는 주기적으로 교체됩니다.

액세스 관리 3.2.4 - 보안 인증 정보 관리 - 코드의 보안 인증 정보(수동 증명 필요)

코드에 보안 인증 정보가 포함되나요?

코드에 보안 인증 정보가 포함되는지 지정합니다. 그렇다면, 자세한 정보를 제공해 주세요.

아니요

프로덕션 환경 액세스

액세스 관리 3.3.1 - 프로덕션 환경 액세스 - Single Sign-on(수동 증명 필요)

프로덕션 환경에 액세스할 때 SSO를 사용하나요?

애플리케이션에서 SSO를 사용할 수 있는지 지정합니다. 그렇다면, 어떤 도구를 SSO에 사용하나요?

예, Duo SSO

액세스 관리 3.3.2 - 프로덕션 환경 액세스 - 2단계 인증

프로덕션 또는 호스팅 환경에 액세스하려면 2단계 인증이 필요한가요?

프로덕션 또는 호스팅 환경에 액세스하려면 2단계 인증이 필요한지 지정합니다. 그렇다면, 어떤 도구를 2FA에 사용하나요?

예, Yubikey

액세스 관리 3.3.3 - 프로덕션 환경 액세스 - 루트 사용자(수동 증명 필요)

루트 사용자는 프로덕션 환경에 액세스할 때만 예외적으로 사용되나요?

루트 사용자는 예외적으로만 사용되도록 지정합니다. 그렇다면, 루트 사용자를 사용하는 사용 사례를 설명해 주세요.

예. 루트 사용자는 디바이스 관리 목적으로만 사용됩니다. 이 모든 액세스는 기록되고 모니터링됩니다.

액세스 관리 3.3.4 - 프로덕션 환경 액세스 - 루트 사용자 MFA

루트 사용자는 다중 인증(MFA)이 필요한가요?

루트 사용자로 로그인할 때 다중 인증이 필요한지 지정합니다. 그렇다면, MFA에 어떤 도구를 사용하나요?

예. 루트 사용자는 MFA를 사용하여 로그인해야 합니다. 루트 보안 인증 정보는 일반 기업 보안 인증 정보와 다릅니다.

액세스 관리 3.3.5 - 프로덕션 환경 액세스 - 원격 액세스

암호화된 채널 또는 키 기반 인증과 같은 메커니즘을 사용하여 프로덕션 환경에 대한 원격 액세스를 보호하나요?

애플리케이션에서 원격 액세스를 허용하는 경우 액세스가 보호되는지 지정합니다(예: 키 기반 인증을 사용하고, 암호화된 채널을 통해 통신).

예. 원격 액세스는 디바이스 관리 목적으로 사용됩니다. 프로덕션 환경에 원격으로 액세스할 때에는 승인된 암호화 채널을 통한 MFA가 필요합니다.

액세스 제어 정책

액세스 관리 3.4.1 - 액세스 제어 정책 - 최소 권한 액세스

사용자가 프로덕션 환경에 액세스할 때 최소 권한 액세스 정책을 따르나요?

사용자에게 최소 권한을 할당할 것인지 지정합니다. 그렇지 않다면, 어떻게 액세스를 제어하나요?

액세스 관리 3.4.2 - 액세스 제어 정책 - 액세스 정책 검토

프로덕션 환경의 모든 액세스 정책을 정기적으로 검토하나요?

모든 액세스 정책을 정기적으로 검토할 것인지 지정합니다. 그렇다면, 정책 검토 빈도에 대한 세부 정보를 제공해 주세요.

예. 모든 액세스 정책을 3개월마다 검토합니다.

액세스 관리 3.4.3 - 액세스 제어 정책 - 사용자 및 보안 정책 구성(수동 증명 필요)

고객이 사용자 및 사용자의 권한을 구성할 수 있도록 애플리케이션에서 허용하나요?

고객이 (고객 측과 공급업체 측에서) 환경에 액세스할 수 있는 사용자를 구성할 수 있는지 지정합니다.

액세스 관리 3.4.4 - 액세스 제어 정책 - 논리적 세분화(수동 증명 필요)

애플리케이션 사용자를 논리적으로 구분하나요?

논리적 사용자 세분화가 있는지 지정합니다.

액세스 관리 3.4.5 - 액세스 제어 정책 - 계약 종료 시 액세스 권한 검토

직원 계약 종료 또는 역할 변경 시 모든 관련 액세스 정책을 업데이트하나요?

직원 계약 종료 또는 역할 변경 시 액세스 정책을 삭제 또는 업데이트하는지 지정합니다.

액세스 로그

액세스 제어 3.5.1 - 액세스 로그

프로덕션 환경에서 개별 사용자가 수행한 활동을 기록하나요?

프로덕션 환경에서 사용자(직원 또는 고객)가 수행한 작업 및 활동을 기록할 것인지 지정합니다. 그렇다면, 로그를 얼마나 오래 유지하나요?

예. 로그는 1년 동안 보존됩니다.

애플리케이션 보안 컨트롤

애플리케이션 보안 컨트롤은 애플리케이션을 설계, 개발 및 테스트할 때 애플리케이션에 보안이 통합되었는지 확인합니다. 이 표에는 애플리케이션 보안 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값

보안 소프트웨어 개발 수명 주기

애플리케이션 보안 4.1.1 - 보안 소프트웨어 개발 수명 주기 - 별도의 환경

개발, 테스트 및 스테이징 환경이 프로덕션 환경과 분리되어 있나요?

개발, 테스트 및 스테이징 환경이 프로덕션 환경과 분리되는지 지정합니다.

애플리케이션 보안 4.1.2 - 보안 소프트웨어 개발 수명 주기 - 안전한 코딩 수칙

보안 엔지니어가 개발자와 함께 보안 수칙을 연구하나요?

개발자와 보안 엔지니어가 협력하여 안전한 코딩 수칙을 연구하는지 지정합니다.

애플리케이션 보안 4.1.3 - 보안 소프트웨어 개발 수명 주기 - 테스트 환경에서 고객 데이터 사용(수동 증명 필요)

고객 데이터를 테스트, 개발 또는 QA 환경에서 사용한 적이 있나요?

고객 데이터를 테스트, 개발 또는 QA 환경에서 사용한 적이 있나요? 그렇다면, 어떤 데이터를 어떤 목적으로 사용했나요?

아니요

애플리케이션 보안 4.1.4 - 보안 소프트웨어 개발 수명 주기 - 보안 연결

고객 데이터를 사용하는 모든 웹 페이지 및 통신에 SSL/TLS를 사용하나요?

고객 데이터와의 모든 통신에 보안 연결(예: SSL/TLS)을 사용할 것인지 지정합니다.

애플리케이션 보안 4.1.5 - 보안 소프트웨어 개발 수명 주기 - 이미지 백업

애플리케이션 이미지 스냅샷이 백업되나요?

이미지 스냅샷(예: 애플리케이션을 지원하는 시스템 및 고객 데이터를 호스팅하는 시스템)을 백업할 것인지 지정합니다. 그렇다면, 범위가 지정된 데이터를 포함하는 이미지 스냅샷을 만들기 전에 인가를 받도록 하는 프로세스가 있나요? 이미지 스냅샷에 대한 액세스 제어가 구현되어 있나요?

예. 이미지는 고객과 경영진의 승인을 받아 백업됩니다.

애플리케이션 보안 검토

애플리케이션 보안 4.2.1 - 애플리케이션 보안 검토 - 보안 코드 검토

각 릴리스 전에 보안 코드 검토를 수행하나요?

각 릴리스 전에 보안 코드 검토를 수행할 것인지 지정합니다.

애플리케이션 보안 4.2.2 - 애플리케이션 보안 검토 - 침투 테스트

침투 테스트를 수행하나요? 침투 테스트 보고서를 받을 수 있나요?

애플리케이션에서 침투 테스트를 수행할 것인지 지정합니다. 그렇다면, 최근 보고서 3개를 수동 증거로 공유해 주실 수 있나요?

애플리케이션 보안 4.2.3 - 애플리케이션 보안 검토 - 보안 패치

사용 가능한 모든 고위험 보안 패치를 정기적으로 적용하고 검증하나요?

고위험 보안 패치를 정기적으로 적용할 것인지 지정합니다. 그렇다면, 얼마나 자주 적용하나요?

예. 보안 패치는 매월 적용됩니다.

애플리케이션 보안 4.2.4 - 애플리케이션 보안 검토 - 애플리케이션의 취약성 검사

모든 인터넷 연결 애플리케이션의 취약성을 정기적으로 그리고 중대한 변경 후에 검사하나요?

모든 인터넷 연결 애플리케이션에서 취약성 검사를 수행할 것인지 지정합니다. 그렇다면, 취약성 검사를 얼마나 자주 하나요? 보고서 사본을 받을 수 있나요?

예. 취약성 검사는 매월 수행됩니다.

애플리케이션 보안 4.2.5 - 애플리케이션 보안 검토 - 위협 및 취약성 관리

위협 및 취약성 평가 도구와 이러한 도구가 수집한 데이터를 관리하는 프로세스가 있나요?

위협 및 취약성 평가 도구와 이러한 도구가 수집한 데이터를 관리하는 프로세스가 있는지 지정합니다. 위협 및 취약성을 관리하는 방법에 대해 자세히 설명해 주세요.

예. 다양한 소스의 모든 위협 및 취약성이 하나의 포털에 집계됩니다. 위협 및 취약성은 심각도에 따라 관리됩니다.

애플리케이션 보안 4.2.6 - 애플리케이션 보안 검토 - 맬웨어 방지 검사

애플리케이션을 호스팅하는 네트워크 및 시스템에 대한 맬웨어 방지 검사를 정기적으로 수행하나요?

애플리케이션을 호스팅하는 네트워크 및 시스템에 대한 맬웨어 방지 검사를 수행할 것인지 지정합니다. 그렇다면, 얼마나 자주 수행하나요? 보고서를 제공해 주실 수 있나요?

예. 맬웨어 방지 검사는 매월 수행됩니다.

애플리케이션 로그

애플리케이션 보안 4.3.1 - 애플리케이션 로그 - 애플리케이션 로그

애플리케이션 로그를 수집하고 검토하나요?

애플리케이션 로그를 수집하고 검토할 것인지 지정합니다. 그렇다면, 로그를 얼마나 오래 유지하나요?

예. 로그는 1년 동안 보존됩니다.

애플리케이션 보안 4.3.2 - 애플리케이션 로그 - 로그 액세스

운영 체제 및 애플리케이션 로그가 수정, 삭제 또는 부적절한 액세스로부터 보호되나요?

운영 체제 및 애플리케이션 로그를 수정, 삭제 또는 부적절한 액세스로부터 보호할 것인지 지정합니다. 침해나 인시던트 발생 시 애플리케이션 로그의 손실을 감지할 수 있는 프로세스가 마련되어 있나요?

애플리케이션 보안 4.3.3 - 애플리케이션 로그 - 로그에 저장된 데이터(수동 증명 필요)

고객의 개인 식별 정보(PII)를 로그에 저장하나요?

고객의 개인 식별 정보(PII)를 로그에 저장할 것인지 지정합니다.

아니요. PII 데이터를 로그에 저장하지 않습니다.

변경 제어 정책

애플리케이션 보안 4.4.1 - 변경 제어 정책 - 기능 및 복원력 테스트

변경 사항을 릴리스하기 전에 기능 및 복원력 테스트를 수행하나요?

새 릴리스 전에 애플리케이션에서 기능 및 복원력 테스트를 수행할 것인지 지정합니다.

애플리케이션 보안 4.4.2 - 변경 제어 정책 - 변경 제어 절차

프로덕션 환경의 모든 변경 사항에 변경 제어 절차가 필요한가요?

프로덕션 환경에서 이루어지는 모든 변경 사항에 변경 제어 절차를 적용할 것인지 지정합니다.

애플리케이션 보안 4.4.3 - 변경 제어 정책 - 프로덕션 환경에서 인적 오류 및 위험 방지

인적 오류와 위험이 프로덕션 환경에 영향을 미치지 않도록 확인하는 프로세스를 갖추고 있나요?

인적 오류와 위험이 프로덕션 환경에 영향을 미치지 않도록 확인하는 프로세스가 있는지 지정합니다.

애플리케이션 보안 4.4.4 - 변경 제어 정책 - 변경 사항 문서화 및 로깅

서비스에 영향을 미칠 수 있는 변경 사항을 문서화하고 로깅하나요?

서비스에 영향을 미치는 변경 사항을 문서화하고 로깅할 것인지 지정합니다. 그렇다면, 로그를 얼마나 오래 유지하나요?

애플리케이션 보안 4.4.5 - 변경 제어 정책 - 구매자를 위한 변경 알림(수동 증명 필요)

고객의 서비스에 영향을 미칠 수 있는 변경 작업을 수행하기 전에 고객에게 알리도록 하는 공식 절차가 있나요?

고객의 서비스에 영향을 미칠 수 있는 변경 작업을 수행하기 전에 고객에게 알릴 것인지 지정합니다. 그렇다면, 영향을 미치는 변경 사항에 대해 고객에게 알리는 SLA는 무엇입니까?

예. 변경 사항을 적용하기 90일 전에 고객에게 알립니다.

감사 및 규정 준수 컨트롤

감사 및 규정 준수 컨트롤은 조직이 규제 요구 사항을 준수하는지 평가합니다. 이 표에는 감사 및 규정 준수 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값

완료된 인증

감사 및 규정 준수 1.1.1 - 완료된 인증(수동 증명 필요)

보유한 인증서를 기재합니다.

보유한 인증서를 명시합니다.

SOC2, ISO/IEC 27001

진행 중인 인증

감사 및 규정 준수 1.2.1 - 진행 중인 인증(수동 증명 필요)

현재 진행 중인 추가 인증을 기재합니다.

현재 감사 또는 검토 중인 추가 인증을 예상 완료 날짜와 함께 기재합니다.

예. PCI 인증이 진행 중입니다(예상 완료 시간은 2022년 2분기).

규정 준수를 보장하는 절차

감사 및 규정 준수 1.3.1 - 규정 준수를 보장하는 절차 - 규정 준수를 보장하는 절차

해당하는 법률, 규제 및 계약 요구 사항을 준수하도록 보장하는 정책 또는 절차가 있나요?

해당하는 법률, 규제 및 계약 요구 사항을 준수하도록 보장하는 정책 또는 절차가 있는지 지정합니다. 그렇다면, 절차에 대한 세부 정보를 기재하고 수동 증거를 업로드하세요.

예. SOC2, ISO/IEC 27001과 같은 문서를 업로드했습니다.

감사 및 규정 준수 1.3.2 - 규정 준수를 보장하는 절차 - 미해결 요구 사항을 추적하기 위한 감사

미해결 규제 및 규정 준수 요구 사항을 추적하기 위한 감사를 수행하나요?

미해결 요구 사항을 추적하기 위한 감사를 수행하는지 지정합니다. 그렇다면, 세부 정보를 입력하세요.

미해결 요구 사항을 추적하기 위한 감사를 매월 수행합니다.

감사 및 규정 준수 1.3.3 - 규정 준수를 보장하는 절차 - 편차 및 예외(수동 증명 필요)

규정 준수 요구 사항과 다른 편차 및 예외를 처리하는 프로세스가 있나요?

규정 준수 요구 사항과 다른 편차 및 예외를 처리하는 프로세스가 있는지 지정합니다. 그렇다면, 세부 정보를 입력하세요.

예. 편차 로그 및 보고 도구가 있습니다. 향후 재발을 방지하기 위해 모든 예외 또는 편차를 조사합니다.

비즈니스 복원력 컨트롤

비즈니스 복원력 컨트롤은 비즈니스 연속성을 유지하면서 시스템 중단에 빠르게 대응하는 조직의 능력을 평가합니다. 이 표에는 비즈니스 복원력 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값
비즈니스 복원력

비즈니스 복원력 및 연속성 6.1.1 - 비즈니스 복원력 - 장애 조치 테스트(수동 증명 필요)

사이트 장애 조치 테스트를 적어도 1년에 한 번 수행하나요?

장애 조치 테스트를 매년 수행할 것인지 지정합니다. 그렇지 않다면, 얼마나 자주 수행하나요?

비즈니스 복원력 및 연속성 6.1.2 - 비즈니스 복원력 - 비즈니스 영향 분석(수동 증명 필요)

비즈니스 영향 분석을 수행했나요?

비즈니스 영향 분석을 수행했는지 지정합니다. 그렇다면, 언제 마지막으로 완료했나요? 수행한 분석에 대한 세부 정보를 입력하세요.

예. 비즈니스 영향 분석은 6개월 전에 완료되었습니다.

비즈니스 복원력 및 연속성 6.1.3 - 비즈니스 복원력 - 타사 공급업체에 대한 종속성(수동 증명 필요)

중요한 타사 서비스 공급자(클라우드 서비스 공급자 제외)에게 종속되어 있나요?

타사 공급업체(클라우드 서비스 공급자 제외)에 종속되어 있는지 지정합니다. 그렇다면, 공급업체에 대한 세부 정보를 제공해 주실 수 있나요?

아니요

비즈니스 복원력 및 연속성 6.1.4 - 비즈니스 복원력 - 타사 연속성 및 복구 테스트(수동 증명 필요)

타사 공급업체가 자체적인 재해 복구 프로세스 및 활동을 보유하고 있어야 하나요?

타사 공급업체가 자체적인 재해 복구 프로세스 및 활동을 보유하고 있어야 하는지 지정합니다.

이 샘플에는 해당하지 않습니다.

비즈니스 복원력 및 연속성 6.1.5 - 비즈니스 복원력 - 타사 공급업체 계약 위반(수동 증명 필요)

중요 서비스 공급자와 맺은 계약에 SSA(Sold and Shipped by Amazon) 가용성 및 연속성 위반에 대한 위약금 또는 구제 조항이 포함되어 있나요?

타사 공급업체와 맺은 계약에 가용성 및 연속성 위반에 대한 위약금 또는 구제 조항이 포함되어 있나요?

이 샘플에는 해당하지 않습니다.

비즈니스 복원력 및 연속성 6.1.6 - 비즈니스 복원력 - 시스템 상태

시스템 상태를 파악할 수 있는 모니터나 알림이 있나요?

시스템 상태를 파악할 수 있는 모니터 또는 알림이 있는지 지정합니다.

비즈니스 연속성

비즈니스 복원력 및 연속성 6.2.1 - 비즈니스 연속성 - 비즈니스 연속성 정책 및 절차

공식적인 비즈니스 연속성 절차를 개발하고 문서화했나요?

비즈니스 연속성을 위한 공식 절차를 개발하여 유지하고 있는지 지정합니다. 그렇다면, 절차에 대한 자세한 내용을 입력하세요.

비즈니스 탄력성 및 연속성 6.2.2 - 비즈니스 연속성 - 대응 및 복구 전략

우선 순위가 지정된 활동에 대한 구체적인 대응 및 복구 전략이 정의되어 있나요?

고객 활동 및 서비스에 대한 복구 및 대응 전략을 개발했는지 지정합니다.

비즈니스 복원력 및 연속성 6.2.3 - 비즈니스 연속성 - 비즈니스 연속성 테스트

비즈니스 연속성을 보장하기 위한 복구 테스트를 수행하나요?

장애 발생 시 비즈니스 연속성을 보장하기 위해 복구 테스트를 수행하는지 지정합니다.

예. 장애 발생 시 비즈니스 연속성을 위해 시스템이 2시간 이내에 활성화됩니다.

비즈니스 복원력 및 연속성 6.2.4 - 비즈니스 연속성 - 멀티테넌시 환경의 가용성에 미치는 영향(수동 증명 필요)

시스템 내 다른 사용자의 가용성에 영향을 미칠 수 있는 부하를 부과하는 구매자의 능력을 제한하고 있나요?

한 구매자의 부하가 다른 구매자의 가용성에 영향을 미칠 수 있는지 지정합니다. 그렇다면, 영향을 미치지 않는 임계값은 얼마인가요? 그렇지 않다면, 사용량이 가장 많은 시간에 서비스에 영향을 미치지 않도록 어떤 방법을 사용하시는지 자세히 설명해 주세요.

예. 이 샘플은 임계값이 없습니다.

애플리케이션 가용성

비즈니스 복원력 및 연속성 6.3.1 - 애플리케이션 가용성 - 가용성 기록(수동 증명 필요)

작년에 신뢰성 또는 가용성과 관련된 중대한 문제가 있었나요?

작년에 신뢰성 또는 가용성과 관련된 중대한 문제가 있었는지 지정합니다.

아니요

비즈니스 복원력 및 연속성 6.3.2 - 애플리케이션 가용성 - 예정된 유지 관리 기간(수동 증명 필요)

예정된 유지 관리 기간에 가동 중지가 발생할 수 있나요?

예정된 유지 관리 기간에 서비스가 중단될 수도 있는지 지정합니다. 그렇다면, 가동 중지 시간은 얼마나 될까요?

아니요

비즈니스 복원력 및 연속성 6.3.3 - 애플리케이션 가용성 - 온라인 인시던트 포털(수동 증명 필요)

계획된 중단과 예상치 못한 중단에 대해 설명하는 온라인 인시던트 대응 상태 포털이 있나요?

계획된 중단과 예상치 못한 중단에 대해 설명하는 인시던트 상태 포털이 있는지 지정합니다. 그렇다면, 고객이 포털에 액세스하는 방법을 자세히 기재해 주세요. 운영이 중단되고 얼마 후에 포털이 업데이트되나요?

예. 고객이 example.com을 통해 세부 정보에 액세스할 수 있습니다.

비즈니스 복원력 및 연속성 6.3.4 - 애플리케이션 가용성 - Recovery Time Objective(수동 증명 필요)

구체적인 Recovery Time Objective(RTO)가 있나요?

Recovery Time Objective(RTO)가 있는지 지정합니다. 있다면, RTO를 알려주실 수 있나요?

예, RTO는 2시간입니다.

비즈니스 복원력 및 연속성 6.3.5 - 애플리케이션 가용성 - Recovery Point Objective(수동 증명 필요)

구체적인 Recovery Point Objective(RPO)가 있나요?

Recovery Point Objective(RPO)가 있는지 지정합니다. 그렇다면, RPO를 알려주실 수 있나요?

예, RPO는 1주일입니다.

데이터 보안 컨트롤

데이터 보안 컨트롤은 데이터와 자산을 보호합니다. 이 표에는 데이터 보안 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값

수집된 고객 데이터

데이터 보안 2.1.1 - 수집된 고객 데이터(수동 증명 필요)

제품 기능에 필요한 고객 데이터 목록을 작성합니다.

사용된 모든 고객 데이터에 대해 설명합니다. 민감한 데이터 또는 기밀 데이터가 사용되는지 지정합니다.

민감한 데이터 또는 기밀 데이터는 사용되지 않습니다. 이 제품은 애플리케이션, 인프라, AWS 서비스등의 로그와 같이 민감하지 않은 정보만 사용합니다. (AWS CloudTrail, AWS Config, VPC 흐름 로그)

데이터 저장 위치

데이터 보안 2.2.1 - 데이터 저장 위치(수동 증명 필요)

고객 데이터는 어디에 저장되나요? 데이터가 저장되는 국가와 리전을 기재합니다.

데이터가 저장되는 국가 및 리전 목록을 지정합니다.

오하이오(미국), 오리건(미국), 아일랜드(EU)

액세스 제어

데이터 보안 2.3.1 - 액세스 제어 - 직원 액세스(수동 증명 필요)

직원이 암호화되지 않은 고객 데이터에 액세스할 수 있나요?

직원이 암호화되지 않은 고객 데이터에 액세스할 수 있는지 지정합니다. 그렇다면, 액세스가 필요한 이유를 간략하게 설명하세요. 그렇지 않다면, 액세스를 제어하는 방법을 간략하게 설명하세요.

아니요. 모든 데이터는 저장 시 암호화됩니다. 직원은 고객 데이터에 액세스할 수 없고, 자신의 사용 현황에 대한 데이터에만 액세스할 수 있습니다.

데이터 보안 2.3.2 - 액세스 제어 - 모바일 애플리케이션(수동 증명 필요)

고객이 모바일 애플리케이션을 통해 자신의 데이터에 액세스할 수 있나요?

고객이 모바일 애플리케이션을 통해 자신의 데이터에 액세스할 수 있는지 지정합니다. 그렇다면, 세부 정보를 입력하세요. 고객은 어떻게 로그인하나요? 애플리케이션에서 보안 인증 정보를 캐시하나요? 토큰은 얼마나 자주 새로 고침 되나요?

아니요. 모바일 애플리케이션을 사용하여 서비스에 액세스할 수 없습니다.

데이터 보안 2.3.3 - 액세스 제어 - 데이터가 전송되는 국가(수동 증명 필요)

고객 데이터가 출발지 외부 국가로 전송되나요?

고객 데이터가 출발지 외부 국가로 전송되나요? 그렇다면, 고객 데이터가 전송 또는 수신되는 국가 목록을 지정하세요.

아니요

데이터 보안 2.3.4 - 액세스 제어 - 타사 공급업체와 데이터 공유 여부(수동 증명 필요)

고객 데이터를 타사 공급업체(클라우드 서비스 공급자 제외)와 공유하나요?

고객 데이터를 타사 공급업체와 공유하나요? 그렇다면, 고객 데이터를 제공하는 타사 공급업체와 해당 국가 또는 리전 목록을 지정하세요.

아니요

데이터 보안 2.3.5 - 액세스 제어 - 타사 공급업체와 관련된 보안 정책

타사 공급업체가 고객 데이터의 기밀성, 가용성 및 무결성을 유지하도록 하는 정책이나 절차가 마련되어 있나요?

타사 공급업체가 고객 데이터의 기밀성, 가용성 및 무결성을 유지하도록 하는 정책이나 절차가 마련되어 있는지 지정합니다. 그렇다면, 정책 또는 절차에 대한 설명서나 문서를 업로드하세요.

이 샘플에는 해당하지 않습니다.

데이터 암호화

데이터 보안 2.4.1 - 데이터 암호화 - 유휴 데이터 암호화

모든 유휴 데이터가 암호화되나요?

모든 유휴 데이터가 암호화되는지 지정합니다.

데이터 보안 2.4.2 - 데이터 암호화 - 전송 중 데이터 암호화

모든 데이터가 전송 중에 암호화되나요?

모든 데이터가 전송 중에 암호화되는지 지정합니다.

데이터 보안 2.4.3 - 데이터 암호화 - 강력한 알고리즘(수동 증명 필요)

강력한 암호화 알고리즘을 사용하나요?

강력한 암호화 알고리즘을 사용하나요? 그렇다면, 어떤 암호화 알고리즘(예: RSA, AES 256)을 사용하는지 지정합니다.

예. AES 256은 데이터 암호화에 사용됩니다.

데이터 보안 2.4.4 - 데이터 암호화 - 고유 암호화 키(수동 증명 필요)

고객이 고유 암호화 키를 생성할 수 있는 기능이 제공되나요?

고객이 자신의 고유 암호화 키를 제공하거나 생성할 수 있나요? 그렇다면, 자세한 내용을 기재하고 증거를 업로드하세요.

데이터 보안 2.4.5 - 데이터 암호화 - 암호화 키 액세스(수동 증명 필요)

직원이 고객의 암호화 키에 액세스할 수 없도록 차단하나요?

직원이 고객의 암호화 키에 액세스할 수 없도록 차단하는지 지정합니다. 그렇지 않다면, 직원이 고객 키에 액세스할 수 있는 이유를 설명하세요. 그렇다면, 어떤 방법으로 액세스를 제어하는지 설명해 주세요.

예. 암호화 키는 안전하게 저장되고 주기적으로 교체됩니다. 직원은 암호화 키에 액세스할 수 없습니다.

데이터 저장 및 분류

데이터 보안 2.5.1 - 데이터 저장 및 분류 - 데이터 백업

고객 데이터를 백업하나요?

고객 데이터를 백업하는지 지정합니다. 그렇다면, 백업 정책(백업 빈도, 백업 저장 위치, 백업 암호화 및 중복성에 대한 세부 정보 포함)을 설명해 주세요.

예. 3개월마다 백업이 수행됩니다. 백업은 암호화되어 고객 데이터와 동일한 리전에 저장됩니다. 고객의 지원 엔지니어는 백업을 복원할 수 있지만 백업에 들어 있는 데이터는 복원할 수 없습니다.

데이터 보안 2.5.2 - 데이터 저장 및 분류 - 데이터 액세스 제어 정책

저장된 고객 데이터에 대해 적절한 액세스 제어를 구현하나요? 액세스 제어 정책을 제공해 주세요.

저장된 고객 데이터에 대한 적절한 액세스 제어(예: RBAC)를 구현하는지 지정합니다. 데이터에 대한 액세스를 제어하는 방법에 대한 자세한 내용과 수동 증거를 제공합니다.

예. 최소 권한 액세스 제어를 구현하여 고객 데이터에 대한 액세스를 제한합니다.

데이터 보안 2.5.3 - 데이터 저장 및 분류 - 트랜잭션 데이터(수동 증명 필요)

고객의 트랜잭션 세부 정보(예: 결제 카드 정보, 트랜잭션을 수행하는 그룹에 대한 정보)가 경계 영역에 저장되나요?

고객의 트랜잭션 세부 정보(예: 결제 카드 정보, 트랜잭션을 수행하는 그룹에 대한 정보)가 경계 영역에 저장되나요? 그렇다면, 경계 영역에 저장해야 하는 이유를 설명하세요.

아니요

데이터 보안 2.5.4 - 데이터 저장 및 분류 - 정보 분류

법률 또는 규제 요구 사항, 비즈니스 가치, 무단 공개 또는 수정에 대한 민감도에 따라 고객 데이터를 분류하나요?

고객 데이터를 민감도에 따라 분류하는지 지정합니다. 그렇다면, 이 분류에 대한 수동 증거를 업로드하세요.

데이터 보안 2.5.5 - 데이터 저장 및 분류 - 데이터 세분화(수동 증명 필요)

고객 간 데이터 세분화 및 분리 기능이 제공되나요?

여러 고객의 데이터를 세분화하는지 지정합니다. 그렇지 않다면, 교차 오염으로부터 데이터를 보호하기 위해 사용하는 메커니즘을 설명하세요.

데이터 보존

데이터 보안 2.6.1 - 데이터 보존(수동 증명 필요)

데이터를 얼마나 오래 유지하나요?

데이터 보존 기간을 지정합니다. 데이터 분류 및 민감도에 따라 보존 기간이 다른 경우 각 보존 기간에 대한 세부 정보를 제공해 주세요.

6개월

구매자의 구독 취소 후 데이터 보존

데이터 보안 2.6.2 - 클라이언트의 구독 취소 이후 데이터 보존(수동 증명 필요)

구독을 취소한 구매자의 데이터를 얼마나 오래 유지하나요?

구독을 취소한 고객의 데이터 보존 기간을 지정합니다.

3개월

최종 사용자 디바이스 보안 컨트롤

최종 사용자 디바이스 보안 컨트롤은 최종 사용자의 휴대용 디바이스 및 이러한 디바이스가 연결된 네트워크를 위협과 취약성으로부터 보호합니다. 이 표에는 최종 사용자 디바이스 보안 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값
자산 및 소프트웨어 인벤토리

최종 사용자 디바이스 보안 7.1.1 - 자산 및 소프트웨어 인벤토리 - 자산 인벤토리

자산 인벤토리 목록이 주기적으로 업데이트되나요?

자산 인벤토리가 유지되는지 지정합니다. 그렇다면, 얼마나 자주 업데이트되나요?

예. 인벤토리는 매주 업데이트됩니다.

최종 사용자 디바이스 보안 7.1.2 - 자산 및 소프트웨어 인벤토리 - 소프트웨어 및 애플리케이션 인벤토리

범위가 지정된 시스템에 설치된 모든 소프트웨어 플랫폼과 애플리케이션의 인벤토리가 있나요?

설치된 모든 소프트웨어와 애플리케이션의 인벤토리를 유지하는지 지정합니다. 그렇다면, 얼마나 자주 업데이트되나요?

예. 인벤토리는 매주 업데이트됩니다.

자산 보안

최종 사용자 디바이스 보안 7.2.1 - 자산 보안 - 보안 패치

사용 가능한 모든 고위험 보안 패치를 모든 최종 사용자 디바이스에 적어도 한 달에 한 번 적용하고 검증하나요?

모든 고위험 보안 패치를 적어도 한 달에 한 번 적용하는지 지정합니다. 그렇지 않다면, 얼마나 자주 적용하나요? 패치 관리 방법에 대해 좀 더 자세히 설명해 주세요.

예. 이 프로세스를 격주로 수행하는 보안 팀이 있습니다.

최종 사용자 디바이스 보안 7.2.2 - 자산 보안 - 엔드포인트 보안

엔드포인트 보안이 있나요?

엔드포인트 보안이 모든 디바이스에 설치되는지 지정합니다. 그렇다면, 도구와 유지 관리 방법에 대해 자세히 설명해 주세요.

예. 보안 팀이 내부 도구를 사용하여 격주로 이 문제를 처리합니다.

최종 사용자 디바이스 보안 7.2.3 - 자산 보안 - 자산 유지 관리 및 수리(수동 증명 필요)

승인을 받았으며 적절히 통제되는 도구를 사용하여 조직 자산을 유지 관리 및 수리하고 로깅하나요?

승인을 받았으며 적절히 통제되는 도구를 사용하여 자산을 유지 관리 및 수리하고 로깅하는지 지정합니다. 그렇다면, 관리 방법에 대해 좀 더 자세히 설명해 주세요.

예. 디바이스의 모든 유지 관리 작업이 로깅됩니다. 이 유지 관리 때문에 가동이 중지되지 않습니다.

최종 사용자 디바이스 보안 7.2.4 - 자산 보안 - 디바이스 액세스 제어

디바이스에서 액세스 제어가 활성화되나요?

디바이스에서 액세스 제어(예: RBAC)가 활성화되는지 지정합니다.

예. 모든 디바이스에 대해 최소 권한 액세스가 구현됩니다.

디바이스 목록

최종 사용자 디바이스 보안 7.3.1 - 디바이스 로그 - 로그의 충분한 세부 정보(수동 증명 필요)

운영 체제 및 디바이스 로그에 인시던트 조사를 뒷받침할 수 있는 충분한 세부 정보가 로깅되나요?

인시던트 조사를 뒷받침할 수 있는 충분한 세부 정보(로그인 시도 성공 및 실패 횟수, 민감한 구성 설정 및 파일 변경 등)가 로그에 포함되는지 지정합니다. 그렇지 않으면, 인시던트 조사를 처리하는 방법에 대해 자세히 설명해 주세요.

최종 사용자 디바이스 보안 7.3.2 - 디바이스 로그 - 디바이스 로그 액세스

디바이스 로그를 수정, 삭제 또는 부적절하게 액세스할 수 없도록 보호하나요?

디바이스 로그를 수정, 삭제 또는 부적절하게 액세스할 수 없도록 보호하는지 지정합니다. 그렇다면, 보호 이행 방법에 대해 자세히 설명해 주세요.

예. 로그 변경은 액세스 제어를 통해 이행됩니다. 로그를 변경할 때마다 알림이 제공됩니다.

최종 사용자 디바이스 보안 7.3.3 - 디바이스 로그 - 로그 보존(수동 증명 필요)

공격을 조사하기에 충분한 시간 동안 로그가 보존되나요?

로그는 얼마나 오래 보존되나요?

예, 1년 동안 보존됩니다.

모바일 디바이스 관리

최종 사용자 디바이스 보안 7.4.1 - 모바일 디바이스 관리 - 모바일 디바이스 관리 프로그램

모바일 디바이스 관리 프로그램이 있나요?

모바일 디바이스 관리 프로그램이 있는지 지정합니다. 그렇다면, 모바일 디바이스 관리에 사용되는 도구를 지정하세요.

예. 내부 도구를 사용합니다.

최종 사용자 디바이스 보안 7.4.2 - 모바일 디바이스 관리 - 프라이빗 모바일 디바이스에서 프로덕션 환경에 액세스(수동 증명 필요)

직원이 비관리형 프라이빗 모바일 디바이스를 사용하여 프로덕션 환경에 액세스하지 못하게 차단하나요?

직원이 비관리형 프라이빗 모바일 디바이스를 사용하여 프로덕션 환경에 액세스하지 못하게 차단하는지 지정합니다. 그렇지 않다면, 이 제어를 어떻게 적용하나요?

최종 사용자 디바이스 보안 7.4.3 - 모바일 디바이스 관리 - 모바일 디바이스에서 고객 데이터에 액세스(수동 증명 필요)

직원이 비관리형 프라이빗 모바일 디바이스를 사용하여 고객 데이터를 보거나 처리하지 못하게 차단하나요?

직원이 비관리형 모바일 디바이스를 사용하여 고객 데이터에 액세스하지 못하게 차단하는지 지정합니다. 그렇지 않다면, 액세스를 허용하는 사용 사례는 무엇인가요? 액세스를 어떻게 모니터링하나요?

인적 자원 컨트롤

인적 자원 컨트롤은 직원 채용, 급여 지급, 계약 종료 등의 프로세스 중에 민감한 데이터를 처리하는 직원 관련 부서를 평가합니다. 이 표에는 인적 자원 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값
인적 자원 정책

인적 자원 9.1.1 - 인적 자원 정책 - 직원의 신원 조회

고용 전에 신원을 조회하나요?

고용 전에 직원의 신원을 조회하는지 지정합니다.

인적 자원 9.1.2 - 인적 자원 정책 - 직원 계약

고용 전에 고용 계약서에 서명하나요?

고용 전에 고용 계약서에 서명하는지 지정합니다.

인적 자원 9.1.3 - 인적 자원 정책 - 직원 보안 교육

모든 직원이 정기적으로 보안 인식 교육을 받나요?

직원이 정기적으로 보안 교육을 받는지 지정합니다. 그렇다면, 얼마나 자주 보안 교육을 받나요?

예. 직원은 매년 보안 교육을 받습니다.

인적 자원 9.1.4 - 인적 자원 정책 - 정책 미준수에 대한 징계 절차

인적 자원 정책 미준수에 대한 징계 절차가 있나요?

인적 자원 정책 미준수에 대한 징계 절차가 있는지 지정합니다.

인적 자원 9.1.5 - 인적 자원 정책 - 도급사/하도급사의 신원 조회(수동 증명 필요)

타사 공급업체, 도급사 및 하도급사의 신원을 조회하나요?

타사 공급업체, 도급사 및 하도급사의 신원을 조회하는지 지정합니다. 그렇다면, 신원 조회가 정기적으로 이루어지나요?

예. 신원 조회는 매년 실시됩니다.

인적 자원 9.1.6 - 인적 자원 정책 - 계약 종료 시 자산 반환

계약 종료 시 자산 반환을 확인하는 절차가 있나요?

계약 종료 시 자산 반환을 확인하는 절차가 있는지 지정합니다.

인프라 보안 컨트롤

인프라 보안 컨트롤은 중요 자산을 위협과 취약성으로부터 보호합니다. 이 표에는 인프라 보안 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값
물리적 보안

인프라 보안 8.1.1 - 물리적 보안 - 시설에 대한 물리적 액세스

자산(예: 건물, 차량 또는 하드웨어)에 직접 액세스해야 하는 개인은 신분증과 필요한 보안 인증 정보를 제시해야 하나요?

자산(예: 건물, 차량 또는 하드웨어)에 직접 액세스해야 하는 개인은 신분증과 필요한 보안 인증 정보를 제시해야 하는지 지정합니다.

인프라 보안 8.1.2 - 물리적 보안 - 준비된 물리적 보안 및 환경 제어 수단

데이터 센터와 사무실 건물에 물리적 보안 및 환경 제어 수단이 준비되어 있나요?

모든 시설에 물리적 보안 및 환경 제어 수단이 준비되어 있는지 지정합니다.

인프라 보안 8.1.3 - 물리적 보안 - 방문자 액세스(수동 증명 필요)

방문자 액세스를 기록하나요?

방문자가 시설에 들어갈 수 있는 경우 방문자 액세스 로그를 유지하나요? 그렇다면, 로그를 얼마나 오래 유지하나요?

예. 로그는 1년 동안 보존됩니다.

네트워크 보안

인프라 보안 8.2.1 - 네트워크 보안 - 사용되지 않는 포트 및 서비스 비활성화(수동 증명 필요)

사용되지 않는 모든 포트와 서비스가 프로덕션 환경 및 시스템에서 비활성화되나요?

사용되지 않는 모든 포트와 서비스가 프로덕션 환경 및 시스템에서 비활성화되는지 지정합니다.

인프라 보안 8.2.2 - 네트워크 보안 - 방화벽 사용

중요하고 민감한 시스템을, 덜 민감한 시스템을 사용하는 네트워크 세그먼트와 분리된 네트워크 세그먼트에 분리하기 위해 방화벽을 사용하나요?

중요하고 민감한 시스템을, 덜 민감한 시스템을 사용하는 네트워크 세그먼트와 분리된 네트워크 세그먼트에 분리하기 위해 방화벽을 사용하는지 지정합니다.

인프라 보안 8.2.3 - 네트워크 보안 - 방화벽 규칙 검토

모든 방화벽 규칙을 정기적으로 검토하고 업데이트하나요?

방화벽 규칙을 얼마나 자주 검토하고 업데이트하나요?

예. 방화벽 규칙은 3개월마다 업데이트됩니다.

인프라 보안 8.2.4 - 네트워크 보안 - 침입 탐지 및 방지 시스템

모든 민감한 네트워크 영역과 방화벽이 사용되는 곳에 침입 탐지 및 방지 시스템이 배포되어 있나요?

모든 민감한 네트워크 영역에서 침입 탐지 및 방지 시스템을 사용하는지 지정합니다.

인프라 보안 8.2.5 - 네트워크 보안 - 보안 및 강화 표준

네트워크 디바이스에 대한 보안 및 강화 표준이 마련되어 있나요?

네트워크 디바이스에 대한 보안 및 강화 표준이 마련되어 있는지 지정합니다. 그렇다면, 이러한 표준을 구현하고 업데이트하는 빈도에 대한 세부 정보를 포함하여 좀 더 자세한 정보를 제공해 주세요.

예. 보안 및 강화 표준은 매월 네트워크 디바이스에 구현됩니다.

클라우드 서비스

인프라 보안 8.3.1 - 클라우드 서비스 - 애플리케이션을 호스팅하는 데 사용되는 플랫폼(수동 증명 필요)

애플리케이션을 호스팅하는 데 사용하는 클라우드 플랫폼을 나열합니다.

애플리케이션을 호스팅하는 데 사용하는 클라우드 플랫폼을 지정합니다.

AWS

위험 관리 및 인시던트 대응 컨트롤

위험 관리 및 인시던트 대응 컨트롤은 수용 가능한 것으로 간주되는 위험 수준과 위험 및 공격에 대응하기 위해 수행된 조치를 평가합니다. 이 표에는 위험 관리 및 인시던트 대응 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값
위험 평가

위험 관리 및 인시던트 대응 5.1.1 - 위험 평가 - 위험 해결 및 식별

조직에 지장을 초래하는 인시던트 위험을 식별하고 해결하는 데 초점을 맞춘 공식 프로세스가 있나요?

조직에 지장을 초래하는 인시던트 위험을 식별하고 해결하는 공식 프로세스가 있는지 지정합니다.

위험 관리 및 인시던트 대응 5.1.2 - 위험 평가 - 위험 관리 프로세스

평가 중에 식별된 위험의 처리를 관리하는 프로그램 또는 프로세스가 있나요?

위험 및 위험 완화를 관리하는 프로그램 또는 프로세스가 있는지 지정합니다. 그렇다면, 위험 관리 프로세스에 대해 좀 더 자세히 설명해 주세요.

예. 정기적으로 문제를 검토하고 수정하여 미준수 사항을 해결하고 있습니다. 다음은 환경에 영향을 미치는 모든 문제에서 확인되는 정보입니다.

• 확인된 문제의 세부 정보

• 근본 원인

• 컨트롤 보정

• 심각도

• 소유자

• 단기 진로

• 장기 진로

위험 관리 및 인시던트 대응 5.1.3 - 위험 평가 - 위험 평가

위험 평가를 자주 하나요?

위험 평가를 자주 하나요? 그렇다면, 위험 평가 빈도를 지정합니다.

예. 위험 평가는 6개월마다 이루어집니다.

위험 관리 및 인시던트 대응 5.1.4 - 위험 평가 - 타사 공급업체 위험 평가

모든 타사 공급업체에 대한 위험 평가를 수행하나요?

모든 타사 공급업체에 대한 위험 평가를 수행하는지 지정합니다. 그렇다면, 얼마나 자주 하나요?

이 샘플에는 해당하지 않습니다.

위험 관리 및 인시던트 대응 5.1.5 - 위험 평가 - 계약 변경 시 위험 재평가

서비스 제공 또는 계약 변경이 발생할 때 위험 평가를 수행하나요?

서비스 제공 또는 계약 변경이 발생할 때마다 위험 평가를 수행하는지 지정합니다.

이 샘플에는 해당하지 않습니다.

위험 관리 및 인시던트 대응 5.1.6 - 위험 평가 - 위험 수용(수동 증명 필요)

경영진이 사정을 다 알고 객관적으로 위험을 수용하고 실행 계획을 승인하는 프로세스가 있나요?

경영진이 위험을 이해 및 수용하고, 위험 관련 문제를 해결하기 위한 실행 계획과 일정을 승인하는 프로세스가 있는지 지정합니다. 각 위험의 이면에 숨어 있는 지표에 대한 세부 정보를 경영진에게 제공하는 것도 이 프로세스에 포함되어 있나요?

예. 경영진이 위험을 승인하기 전에, 위험 심각도 및 적절히 완화하지 않으면 발생할 수 있는 잠재적 문제에 대한 세부 정보가 경영진에게 제공됩니다.

위험 관리 및 인시던트 대응 5.1.7 - 위험 평가 - 위험 지표(수동 증명 필요)

위험 지표를 정의, 모니터링 및 보고하는 조치가 마련되어 있나요?

위험 지표를 정의, 모니터링 및 보고하는 프로세스가 있는지 지정합니다.

인시던트 관리

위험 관리 및 인시던트 대응 5.2.1 - 인시던트 관리 - 인시던트 대응 계획

공식적인 인시던트 대응 계획이 있나요?

공식적인 인시던트 대응 계획이 있는지 지정합니다.

위험 관리/인시던트 대응 5.2.2 - 인시던트 관리 - 보안 인시던트 신고 연락처(수동 증명 필요)

고객이 보안 인시던트를 신고할 수 있는 프로세스가 있나요?

고객이 보안 인시던트를 신고하는 프로세스가 있는지 지정합니다. 그렇다면, 고객이 보안 인시던트를 신고하려면 어떻게 해야 하나요?

예. 고객은 example.com에 인시던트를 신고할 수 있습니다.

위험 관리 및 인시던트 대응 5.2.3 - 인시던트 관리 - 인시던트 및 주요 활동 보고

주요 활동을 보고하나요?

주요 활동을 보고하나요? 주요 활동 보고에 대한 SLA는 무엇인가요?

예. 모든 주요 활동은 일주일 내에 보고됩니다.

위험 관리 및 인시던트 대응 5.2.4 - 인시던트 관리 - 인시던트 복구

재해 복구 계획이 있나요?

인시던트 발생 후 복구 계획이 있는지 지정합니다. 그렇다면, 복구 계획에 대해 자세히 설명해 주세요.

예. 인시던트 발생 후 24시간 내에 복구가 완료됩니다.

위험 관리 및 인시던트 대응 5.2.5 - 인시던트 관리 - 공격 발생 시 구매자가 사용할 수 있는 로그(수동 증명 필요)

공격 발생 시 고객이 관련 리소스(예: 로그, 인시던트 보고서 또는 데이터)를 사용할 수 있나요?

공격 또는 인시던트 발생 시 고객이 공격 또는 인시던트와 관련된 리소스(예: 로그, 인시던트 보고서 또는 데이터)를 사용할 수 있나요?

위험 관리 및 인시던트 대응 5.2.6 - 인시던트 관리 - 보안 게시판(수동 증명 필요)

애플리케이션에 영향을 미치는 최신 공격 및 취약성에 대해 설명하는 보안 게시판이 있나요?

애플리케이션에 영향을 미치는 최신 공격 및 취약성에 대해 설명하는 보안 게시판이 있는지 지정합니다. 그렇다면, 자세한 정보를 제공해 주세요.

예. 고객은 example.com에 인시던트를 신고할 수 있습니다.

인시던트 탐지

위험 관리 및 인시던트 대응 5.3.1 - 인시던트 탐지 - 종합 로깅

인시던트의 식별 및 완화를 지원하는 포괄적인 로깅이 있나요?

포괄적인 로깅이 사용되는지 지정합니다. 시스템에서 로깅할 수 있는 이벤트 유형을 확인합니다. 로그는 얼마나 오래 보존되나요?

예. 애플리케이션, 디바이스 등, VPC 흐름 로그와 AWS 서비스 같은 AWS CloudTrail이벤트가 기록됩니다. AWS Config로그는 1년 동안 보존됩니다.

위험 관리 및 인시던트 대응 5.3.2 - 인시던트 탐지 - 로그 모니터링

로그 모니터링과 같은 탐지 메커니즘을 사용하여 비정상적이거나 의심스러운 활동을 모니터링하고 경고를 보내나요?

정기적으로 보안 모니터링 및 경고를 수행하는지 지정합니다. 그렇다면, 비정상적이거나 의심스러운 행동에 대한 로그 모니터링이 포함되나요?

예. 모든 로그를 모니터링하여 여러 번의 로그인 실패, 일반적이지 않은 지리적 위치에서의 로그인, 기타 의심스러운 경고와 같은 비정상적인 동작을 탐지합니다.

위험 관리 및 인시던트 대응 5.3.3 - 인시던트 탐지 - 타사 데이터 침해

하도급사의 보안, 개인 정보 보호 또는 데이터 침해 문제를 식별, 탐지, 기록하는 프로세스가 있나요?

타사 공급업체 또는 하도급사의 데이터 침해, 보안 문제 또는 개인 정보 보호 문제를 식별하고 탐지하는 프로세스가 마련되어 있는지 지정합니다.

인시던트 알림에 대한 SLA

위험 관리 및 인시던트 대응 5.4.1 - 인시던트 알림에 대한 SLA(수동 증명 필요)

인시던트 또는 위반에 대한 알림 전송과 관련된 SLA는 무엇인가요?

인시던트 또는 위반에 대한 알림 전송과 관련된 SLA는 무엇인가요?

7일

보안 및 구성 정책 컨트롤

보안 및 구성 정책 컨트롤은 조직의 자산을 보호하는 보안 정책 및 보안 구성을 평가합니다. 이 표에는 보안 및 구성 정책 컨트롤의 값과 해당 설명이 나열되어 있습니다.

컨트롤 세트 컨트롤 제목 컨트롤 설명 증거 추출 세부 정보 샘플 값

정보 보안 정책

보안 및 구성 정책 10.1.1 - 정보 보안 정책 - 정보 보안 정책

보안 팀이 소유하고 관리하는 정보 보안 정책이 있나요?

정보 보안 정책이 있는지 지정합니다. 그렇다면, 수동 증거를 공유하거나 업로드하세요.

예. 우리는 NIST 프레임워크를 기반으로 보안 정책을 수립합니다.

보안 및 구성 정책 10.1.2 - 정보 보안 정책 - 정책 검토

모든 보안 정책을 매년 검토하나요?

보안 정책을 매년 검토하는지 지정합니다. 그렇지 않다면, 정책을 얼마나 자주 검토하나요?

예. 매년 검토합니다.

보안 구성 정책

보안 및 구성 정책 10.2.1 - 보안 구성 정책 - 보안 구성(수동 증명 필요)

보안 구성 표준을 유지 관리 및 문서화하고 있나요?

모든 보안 구성 표준을 유지 관리 및 문서화하고 있는지 지정합니다. 그렇다면, 수동 증거를 공유하거나 업로드하세요.

보안 및 구성 정책 10.2.2 - 보안 구성 정책 - 보안 구성 검토(수동 증명 필요)

보안 구성을 1년에 한 번 이상 검토하나요?

보안 구성을 1년에 한 번 이상 검토하는지 지정합니다. 그렇지 않다면, 검토 빈도를 지정하세요.

예. 3개월마다 검토합니다.

보안 및 구성 정책 10.2.3 - 보안 구성 정책 - 구성 변경

구성 변경 사항이 로깅되나요?

구성 변경 사항이 로깅되는지 지정합니다. 그렇다면, 로그를 얼마나 오래 유지하나요?

예. 모든 구성 변경 사항이 모니터링되고 로깅됩니다. 구성이 변경되면 경고가 발생합니다. 로그는 6개월 동안 보존됩니다.