일본 정부의 클라우드 서비스 인증 제도 'ISMAP' 상세 분석 일본 정부가 운영하는 클라우드 서비스 인증 제도인 ISMAP(Information System for Ministry and Agency Procurements)에 대한 상세한 정보가 공개되었습니다. ISMAP에 등록되는 클라우드 서비스 제공업체(CSP)는 다양한 정보를 일반에 공개해야 하며, 이 중에는 공개되지 않는 정보도 있습니다. 이에 대해, CSP를 대상으로 한 인증 제도 및 보증에 관련된 작업에 참여해온 감사 기관 및 감사 법인의 입장에서 설명합니다. ISMAP의 클라우드 서비스 목록은 '클라우드 서비스 목록'과 '클라우드 서비스 목록 상세' 두 가지 페이지로 구성되어 있으며, 각각 다른 정보를 공개해야 합니다. 기본적인 정보는 '클라우드 서비스 목록'에서 공개되며, '클라우드 서비스 목록 상세'에서는 클라우드 서비스에 부과된 '통제 목표'와 그 달성 수단인 '관리책' 등이 기재됩니다. 그러나, '등록에 따른 평가 절차와 그 결과' 및 '클라우드 서비스의 책임 공유 모델'과 같은 정보는 공개되지 않습니다. 이러한 정보는 CSP가 자체적으로 공개할 수 있는 결정을 내려야 합니다. ISMAP 등록을 위해 정부(인정된 감사 기관)가 실행 상황을 확인하고 평가하는 과정에서 '거버넌스 기준', '관리 기준', '관리책 기준' 등이 평가 대상이 됩니다. 이 평가 과정에서는 다양한 관리 기준을 포함한 1000개 이상의 세부 사항이 검토되며, '샘플 테스트'를 통해 관리책의 실행 기록도 확인됩니다. 또한, 클라우드 서비스의 제공 환경에 대한 실제 서버, 네트워크, 관리 도구 애플리케이션 및 장비 등의 정보 제출이 요구됩니다. ISMAP에 등록된 후에도 보안 수준에 영향을 줄 수 있는 사건에 대해 지속적인 보고와 평가가 요구되며, 경우에 따라 재감사가 이루어질 수 있습니다. 이러한 평가 내용은 ISMAP 제도 상 공개되지 않지만, ISMAP에 등록된 CSP의 서비스는 이러한 요구 사항을 충족한 것으로 간주됩니다. 따라서, ISMAP 등록 여부는 기업이 클라우드를 도입할 때 참고할 수 있는 중요한 지표가 될 수 있습니다.

로그인 후 모든 글을 볼 수 있습니다.