싱가포르 MTCS(다단계 클라우드 보안) 표준

MTCS 개요

싱가포르의 MTCS(다단계 클라우드 보안) 표준은 싱가포르 IDA(정보 통신 개발국(Infocomm Development Authority)), ITSC(Information Technology Standards Committee: 정보 기술 표준 위원회)의 지휘 아래 작성되었습니다. ITSC는 IT 및 통신을 표준화하기 위한 국내 프로그램과 싱가포르의 국제 표준화 활동 참여를 장려하고 지원합니다..

MTCS의 목적은 다음과 같습니다.

  • 클라우드 데이터의 보안 및 기밀성에 대한 일반적인 고객 문제와 클라우드 서비스 사용이 비즈니스에 미치는 영향을 해결하기 위해 CSP(클라우드 서비스 공급자)에서 적용할 수 있는 공통 표준
  • 고객이 클라우드 서비스 사용 시 접할 수 있는 위험에 대한 가시성과 확인 가능한 운영 투명성

MTCS는 ISO/IEC 27001 같은 인정받는 국제 표준에 기초하며, 데이터 보존, 데이터 자주권, 데이터 이동성, 책임, 가용성, 비즈니스 연속성, 재해 복구 및 인시던트 관리 등 여러 부분을 포함합니다. 또한 고객이 최소한의 기본 보안 요구 사항에 따라 CSP의 역량을 벤치마킹하고 순위를 매길 수 있는 메커니즘도 포함되어 있습니다.

MTCS는 다양한 심각도 수준이 적용된 최초의 클라우드 보안 표준이므로 인증된 CSP는 제공되는 다양한 수준을 지정할 수 있습니다. MTCS에는 기본 보안을 제공하는 수준 1, 보다 엄격한 관리 및 테넌트 제어를 제공하는 수준 2, 그리고 강력한 정보 시스템에 대해 안정성과 복원성을 제공하는 수준 3으로 나뉜 총 535개의 통제 사항이 포함되어 있습니다.

Microsoft 및 MTCS

Microsoft 클라우드 서비스는 MTCS 인증 주체에 의해 엄격한 평가를 거친 후 IaaS(서비스형 인프라), PaaS(서비스형 플랫폼) 및 SaaS(서비스형 소프트웨어)라는 세 가지 서비스 범주에 대해 MTCS 584:2013 인증을 취득했습니다. Microsoft는 세 가지 범주 모두에서 이 인증을 획득한 최초의 글로벌 CSP입니다.

Microsoft Azure 서비스 (IaaS 및 PaaS), Microsoft Dynamics 365 서비스 (SaaS) 및 Microsoft Office 365 서비스 (SaaS)에 대해 수준 3의 인증을 받았습니다. 수준 3 인증은 범위 내 Microsoft 클라우드 서비스가 가장 엄격한 보안 요구 사항을 준수해야 하는 규제 조직에 대해 영향도가 높은 데이터를 호스팅할 수 있음을 의미합니다. 싱가포르 정부는 특정 클라우드 솔루션의 구현에 이 수준을 요구하고 있습니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure
  • Dynamics 365 온라인 서비스(Business Central, 상거래, 고객 서비스, 현장 서비스, 금융, 사기 방지, 마케팅, 판매, 공급망 관리)
  • Genomics
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Office 365
  • OMS 서비스 맵
  • PowerApps
  • Power BI

Office 365 및 MTCS

Office 365 클라우드 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음 Office 365 클라우드 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Delve, Exchange Online, Exchange Online Protection Loki, Microsoft Teams, Office 365 고객 포털, Office 온라인, Office 서비스 인프라, SharePoint Online, 비즈니스용 Skype

감사, 보고서 및 인증서

인증은 3년간 유효하며, 연례 사후 관리 감사를 실시해야 합니다.

Microsoft MTCS 인증

Microsoft MTCS 클라우드 서비스 공급자 공개

자주하는 질문

이 표준은 누구에게 적용되나요?

MTCS 표준을 준수해야 하는 클라우드 서비스를 구입한 싱가포르 기업에 적용됩니다.

MTCS 보안 수준 간에는 어떤 차이가 있나요?

MTCS에는 세 가지 보안 수준에 적용되는 총 535개의 통제 사항이 있습니다.

  • 수준 1은 저렴한 비용으로 필요한 최소한의 기본 보안 통제 사항을 포함합니다. 수준 1은 웹 사이트 호스팅, 테스트 및 개발 작업, 시뮬레이션 및 중요하지 않은 비즈니스 응용 프로그램에 적합합니다.
  • 수준 2는 데이터에 대한 보안 위험과 위협을 대상으로 하는 보다 엄격한 통제 수단으로 구성되어, 데이터 보안을 우려하는 대다수 기업의 요구에 알맞습니다. 수준 2는 중요 업무용 비즈니스 응용 프로그램 등 대부분의 클라우드 용도에 적용할 수 있습니다.
  • 수준 3은 특정 요구 사항을 가지고 있으며 보다 엄격한 보안 요구 사항을 충족해야 하는 규제 조직을 위한 것입니다. 몇 가지 보안 통제 사항을 추가하여 수준 3은 수준 1 및 2의 통제를 보완합니다. 이는 규제 대상 시스템에서 중요한 정보를 취급하는 응용 프로그램을 호스팅하는 등 클라우드 서비스를 사용하는 강력한 정보 시스템에서 보안 위험 및 위협 문제를 해결해 줍니다.

우리 회사의 자체 규정 준수 활동은 어느 것부터 시작해야 하나요?

MTCS 인증 체계는 감사 제어 및 보안 요구 사항에 대한 지침을 담고 있습니다.

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?

예. 이러한 Microsoft 클라우드 서비스에 기초하여 구축된 서비스를 인증해야 하는 경우 MTCS 인증을 사용하면 IT 인프라에 의존하는 경우 IT 인프라 감사의 영향을 줄일 수 있습니다. 하지만 구현에 대한 규정 준수를 평가하기 위한 평가자와의 계약과 고유 조직 내 통제 수단 및 프로세스에 대해서는 파트너가 책임을 져야 합니다.

Microsoft 준수 관리자를 사용하여 위험 평가

Microsoft 준수 관리자는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 규정 준수 센터의 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스