Earticle

초록

한국어

IT 자원의 동적 확장과 비용절감이라는 클라우드 서비스의 장점은 IT 사용자의 관심이다. 그러나 클라우드 서비스의 신뢰성은 클라우드 서비스를 적극적으로 사용하는데 걸림돌이 되고 있다. 기존 클라우드 서비스의 평가 프로그램은 ISO/IEC 27001:2005을 참고하여 정보보호 평가 항목을 도출하고 클라우드 서비스 특징을 추가하는 방법으로 연구가 이루어지고 있다. 본 논문은 최근 발표된 ISO/IEC 27001:2013의 추가와 삭제 그리고 변경된 통제영역 및 통제 항목을 살펴본다. ISO/IEC 27001:2013의 통제 항목과 클라우드 서비스 평가 프로그램인 CSA CCM v.3, FedRAMP의 통제 항목을 비교 분석하여 정보보호관리체계에서 클라우드 서비스와 관련된 평가 항목을 제시한다. 도출한 통제 항목은 클라우드 서비스 기반의 정보보호관리체계를 운영하는 기업의 보안 정책에 참고 지표가 될 것이다.

영어

It is very important to IT users that the Cloud service provides dynamic extension of IT resources and cost-saving. However, the reliability for Cloud service hinders utilizing Cloud service actively. Existing studies on assessment program for Cloud Service are executed by extracting information security assessment articles and adding features of cloud services by referencing ISO/IEC 27001:2005. This paper will review the recently released ISO/IEC 27001:2013 for the addition, reduction, and changing of articles for Controls and Control objectives. Comparative analysis for the Controls of ISO/IEC 27001:2013 with those of CSA CCMv.3, FedRAMP which is an assessment program for Cloud service will suggest Control Objects of Information Security Management System for related Cloud service. The suggestion of Controls will be an important reference index for the security policy of companies which manage the information security management system based on Cloud service.

목차

요약
 Abstract
 1. 서론
 2. 기존 클라우드 서비스 평가 프로그램
  2.1 CSA OCF(Open Certification Framework)
  2.2 FedRAMP
 3. ISO/IEC 27001:2013
  3.1 ISO/IEC 27001:2013 개요
  3.2 ISO/IEC 27001:2013 통제 영역
  3.3 ISO/IEC 27001:2013 통제 목적
 4. 클라우드 서비스 평가 프로그램과 ISO/IEC 27001:2013 비교 연구
  4.1 ISO/IEC 27001와 클라우드 서비스 비교 연구
  4.2 ISO/IEC 27001:2013과 클라우드 서비스평가 프로그램 비교 연구
 5. 결론
 ACKNOWLEDGMENTS
 REFERENCES

저자

• 최주영 [ Ju-Young Choi | 서울여자대학교 정보보호학과 ]
• 최은정 [ Eun-Jung Choi | 서울여자대학교 교양학부 ]
• 김명주 [ Myuhng-Joo Kim | 서울여자대학교 정보보호학과 ] Corresponding Author

참고문헌