미국 FedRAMP 인증
미국 FedRAMP 인증
-
개요
클라우드 서비스의 보안 평가 / 인증 관련 모든 사항을 통합하여 미국 연방정부의 민간 클라우드 도입을 위한 보안성 평가 항목을 규정하고, 2012년 6월부터인증작업 개시
국토보안부, 국방부, NIST, 조달청 등 정부주도로 운영
구분 설명 인증마크 RedRAMP JAB 공동인증위원회로서 최상위 의사결정기구 
NIST FedRAMP 인증과정 정의, 전문지식 제공, 기술 자문 등 FedRAMP PMO NIST와 협력하여 3PAO 인증에 대한 적합성 평가구현등 3PAO 평가대행 기관 (3rd Party Assessment Organization) -
대상
연방정부에 도입되는 클라우드 서비스
-
기준
미국 전자정부법인 FISMA에서 발간한 가이드라인 NIST SP 800-53*Rev4를 기반으로 클라우드 서비스 특화 통제항목을 포함하여 17개 분야로 구성
- 서비스 및 데이터의 중요도에 따라 low, Moderate, High 의 3개 레벨로 구분
1) Low level : 125개 통제항목
2) Moderate level : 325개 통제항목
3) High level : 421개 통제항목
- 각항목의 성격에 맞게 연속 및 지속, 분기별, 매년, 격년, 매3년, 매5년 등으로 주기를 나누어 평가
*NIST SP800-53 : Security and Privacy Controls for Information Systems and Organizations
FedRamp 보안 통제항목(Moderate Level 기준)
| NO | 통제분야(17개) | 통제항목 개수(325개) |
|---|---|---|
| 1 | Acces control(접근통제) | 43 |
| 2 | Awareness and training(인식제고 및 훈련) | 5 |
| 3 | Audit and accountability(감사 및 책임 추적성) | 19 |
| 4 | Assessment and authorization(평가 및 인가) | 15 |
| 5 | Configuration management(설정 관리) | 26 |
| 6 | Contigency planning(비상계획) | 24 |
| 7 | Identification and aurthentication(식별 및 인증) | 27 |
| 8 | Incident response(사고대응) | 18 |
| 9 | Maintenance(유지보수) | 11 |
| 10 | Media protection(매체보조) | 10 |
| 11 | Physical and environment protection(물리적 환경적 보호) | 20 |
| 12 | Planning(계획) | 6 |
| 13 | Personnel security(인적보안) | 9 |
| 14 | Risk assessment(위험평가) | 10 |
| 15 | Sysetem and Servies acquisition(시스템 및 서비스 도입) | 22 |
| 16 | System and communication protechtion(시스템 밒 통신보호) | 32 |
| 17 | System and information integrity( 시스템 및 정보 무결성) | 28 |
* KISA주관, 2022년 ISMS-P인증 심사원 온라인 워크샵 발표자료