지난해 9월 클라우드법(클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률)이 시행령과 함께 시행이 되면서 그 이후로 올해초부터 '클라우드 보안인증제'가 시행되면서 5월에 설명회도 개최가 되어 많은 관심이 있었다. 그 일환으로 '공공기관의 민간 클라우드 이용 가이드라인'가 나와서 간단히 살표 보았다.
대상은 공공기관이고, 민간 클라우드 이용 가능한 서비스는 IaaS, SaaS, PaaS 라고 클라우드법 시행령의 용어를 따라 설명하고 있다. 즉, '클라우드 보안인증제'는 아직까지는 IaaS 로 한정하고 있는데에 반해 민간 클라우드의 서비는 제한하고 있지 않은 것 같다.
공공기관이 사용하는 정보자원의 등급을 정하는 것이 핵심이며 3등급은 통보하는 것으로만 사용이 가능하지만 2등급은 '정책협의체'에서 판단하겠다는 것이다.
가이드에서는 법령상 '비공개 정보'의 근거 항목을 제시하고 있고, 표준계약서와, 표준SLA 도 제공하고 있다.
///
1. "전자정부법" 상 공공기관
- 전자정부법 제2조제3호(정의)
- 전자정부법시행령 제3조(공공기관의 범위)
2. 근거 - "전자정부법" 제54조(정보자원 통합관리)
- "국가정보화기본법" 제23조의3(데이터센터의 구축 및 운영 활성화)
3. 용어 "클라우드컴퓨팅서비스"
- 클라우드컴퓨팅법 시행령 제3조(클라우드컴퓨팅서비스)
> IaaS, SaaS, PaaS
- "보안인증" - "클라우드컴퓨팅법" 제23조2항
4. 이용 절차
- 정보자원이 3등급 혹은 한번 이용한 사례가 있으면 통보
- 국정원 "국가 공공기관 클라우드컴퓨팅 보안 가이드라인"
- 계약서, SLA 작성
5. 이용 자체 검토
- 사전검토 (시스템, 구현성, 경제성)
- 본검토 (정보자원 등급 평균값)
6. 법령상 비공개 정보
- '정보공개법' 상 비공개 정보 ('15.12)
- '공공데이터법' 상 비공개 정보 ('15.12)
7. 자체 구축,운영과 민간 클라우드 비교
- 비교 예시
8. 정보자원 등급 참고
- 등급에 따른 평가기준
9. 표준 계약서
10. 표준서비스준수협약서(SLA)
///
#오늘의정보보호