00. 정보보호 정책서 편집하기 (부분)

== 제14장 공공기관 보안요구사항 ==
=== 제32조 (관리적 보호조치) ===

① 공공기관의 보안 요구사항이 반영된 보안서비스 수준 협약을 체결하고, 클라우드컴퓨팅서비스 관련 정보보호 정보를 공공기관에 제공하여야 한다.

② 클라우드컴퓨팅서비스 구축을 위해 도입되는 서버·PC 가상화 솔루션 및 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용하여야 한다.

③ 클라우드컴퓨팅서비스 운영 장소 및 망은 공공기관 내부 정보 시스템 운영 보안 수준에 준하여 보안 관리하여야 한다.

④ 클라우드컴퓨팅서비스를 제공하는 민간 사업자는 사고 또는 장애 발생 시 공공기관의 사고·장애 대응 절차에 따라 해당 공공기관, 대내·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하여야 하며, 공공기관의 사고·장애 대응에 적극 협조하여야 한다.

=== 제33조 (물리적 보호조치) ===

① 클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고, 공공기관용 클라우드컴퓨팅서비스의 물리자원(서버, 네트워크, 보안장비 등), 출입통제, 운영인력 등은 일반 이용자용 클라우드컴퓨팅서비스 영역과 분리하여 운영하여야 한다.

② 클라우드컴퓨팅서비스를 제공하는 사업자는 네트워크 스위치, 스토리지 등 중요장비를 이중화하고 서비스의 가용성을 보장하기 위해 백업체계를 구축하여야 한다.

=== 제34조 (기술적 보호조치) ===

① 클라우드컴퓨팅서비스를 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 암호모듈을 적용하여야 한다.