클라우드 보안 마크 골드(CS 골드 마크)Cloud Security Mark Gold (CS Gold Mark)

CS 골드 마크 개요CS Gold Mark overview

CS 마크(클라우드 보안 마크)는 일본의 클라우드 서비스 공급자(CSPs)를 위한 최초의 보안 표준으로, 정보 보안 통제를 위한 국제 규약인 ISO/IEC 27017을 기반으로 하고 있습니다.The Cloud Security Mark (CS Mark) is the first security standard for cloud service providers (CSPs) in Japan, and is based on ISO/IEC 27017, the international code of practice for information security controls. 이 마크는 클라우드 컴퓨팅의 정보 보안과 클라우드 관련 정보 보안 통제의 구현을 규정하는 클라우드 서비스용 ISO/IEC 27002를 기반으로 하고 있습니다.This in turn is based on ISO/IEC 27002 for cloud services, which address information security in cloud computing and the implementation of cloud-related information security controls.

CS 마크는 일본의 정보 보안을 강화하기 위해 내무성 및 경제산업성에서 설립한 비영리 조직인 JASA(Japan Information Security Audit Association: 일본 정보 보안 감사 협회)에서 승인합니다.The CS Mark is accredited by the Japan Information Security Audit Association (JASA), a nonprofit organization established by the Ministry of the Interior and the Ministry of Economy, Trade, and Industry to strengthen information security in Japan. CS 마크는 클라우드 서비스의 사용을 장려하고 다음의 사항을 제공합니다.The CS Mark promotes the use of cloud services and provides:

  • 클라우드 데이터의 보안 및 기밀성에 대한 일반적인 고객 문제와 클라우드 서비스 사용이 비즈니스에 미치는 영향을 해결하기 위해 CSP에서 적용할 수 있는 공통 표준A common standard that CSPs can apply to address common customer concerns about the security and confidentiality of data in the cloud and the impact on business of using cloud services.
  • 클라우드 서비스 사용 시 고객이 직면하는 위험에 대한 가시성과 확인 가능한 운영 투명성Verifiable operational transparency and visibility into the risks that customers face when they use cloud services.
  • 기업과 정부에서 CSP를 선택하는 데 사용할 수 있는 객관적 기준과 승인을 얻기 위해 CSP가 충족해야 할 보안 요구 사항에 대한 명확한 설명Objective criteria that enterprises and government can use to choose a CSP, and clarification of the security requirements that CSPs must follow to be accredited.

JASA는 정보, 물리 및 개발 보안, 인사 보안, 비즈니스 연속성, 재해 복구 및 인시던트 관리 관련 구성 등 약 1,500개 통제 수단에 대한 감사를 규정하는 AISAS(Authorized Information Security Audit System: 공인 정보 서비스 감사 시스템)를 개발했습니다.JASA developed the Authorized Information Security Audit System (AISAS), which specifies the audit of approximately 1,500 controls covering such areas as organization for information, physical, and development security; the security of human resources; and business continuity, disaster recovery, and incident management. AISAS는 JASA에서 허가한 독립 감사자에 의해 엄격한 감사를 수행한 경우에 한하여 CS 골드 마크 승인을 제공합니다.The AISAS offers CS Gold Mark accreditation that requires an independent auditor authorized by JASA to perform a stringent audit. CS 골드 마크는 범위 내 서비스가 중요 정부 데이터를 호스팅할 수 있음을 의미합니다.A CS Gold Mark means that in-scope services can host important government data.

Microsoft 및 CS 골드 마크Microsoft and CS Gold Mark

Microsoft에서는 JASA 공인 감사자에 의한 엄격한 평가를 거친 후 세 가지 서비스 범주에 대해 모두 CS 골드 마크를 획득했습니다.After rigorous assessments by a JASA-certified auditor, Microsoft received the CS Gold Mark for all three service classifications. Microsoft Azure IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service) 및 Microsoft Office 365 SaaS(Software as a Service)에 대해 승인을 받았습니다.Accreditations were granted for Microsoft Azure Infrastructure as a Service (IaaS) and Platform as a Service (PaaS), and for Microsoft Office 365 Software as a Service (SaaS). Microsoft는 세 가지 범주 모두에서 이 승인을 획득한 최초의 글로벌 CSP입니다.Microsoft was the first global CSP to receive this accreditation across all three classifications.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

감사, 보고서 및 인증서Audits, reports, and certificates

승인은 3년간 유효하며 매년 사후 관리 감사를 실시해야 합니다.Accreditation is valid for three years, with a yearly surveillance audit to be conducted.

자주하는 질문Frequently asked questions

우리 회사의 자체 규정 준수 활동은 어느 것부터 시작해야 하나요?Where do I start with my organization’s own compliance effort?

귀사에서 Azure 또는 Office 365를 사용 중인 경우 CS 마크가 회사의 고유 보안 요구 사항을 충족하는지 확인해야 합니다.If your organization is using Azure or Office 365, you need to ensure that the CS Mark addresses your own security requirements. CS 마크가 보안 요구 사항을 충족할 경우에는 Microsoft의 승인과 감사 보고서를 회사 고유의 승인 프로세스의 일부로 활용할 수 있습니다.If CS Mark does address your security requirements, then you can use the Microsoft accreditation and audit report as part of your own accreditation process. 구현에 대한 규정 준수를 평가하기 위한 감사자와의 계약과 고유 조직 내 통제 수단 및 프로세스에 대해서는 귀사에 그 책임이 있습니다.You are responsible for engaging an auditor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

리소스Resources