암호화 | 암호화 키의 안전한 생성, 사용, 저장, 배포, 복구, 폐기를 관리하는 절차가 있습니까? | 키볼트(KMS)라는 별도의 키를 저장하고 관리하는 서비스를 통해 암호화하여 관리합니다. |
접근통제 | IP관리/화이트리스팅, 엔드포인트 인증 등 접근 고나리 절차를 적용하고 있습니까? | SaaS 서비스이며 별도의 접근을 통제하지는 않습니다. |
| 네트워크 분할 (DMZ, 서버프레임, DB Zone, Dev Zone 등)을 적용하고 비즈니스 목적 및 중요도에 따라 접근통제를 구현하고 있습니까? | SaaS 서비스이며 별도의 네트워크 분할은 적용하지 않습니다. |
| 각 사용자의 역할 기반 요구사항에 따라 애플리케이션에 대한 접근 권한을 제한하고 불필요하거나 중요한 정보의 표시를 최소화 하고 있습니까? | 관리자만 접근하여 정책 및 로그 조회 가능. 사용자는 DS6 사용 시에만 자동으로 접근 (직접 접근 불가) |
| 벤더의 서비스가 SAML2.0 IdP에 의지하지 않는 자체적인 IP 범위 기반 제한 기능이 있습니까? | IP기반의 조건부정책 제공 |
| 필요할 경우 벤더의 서비스에 대한 API 또는 Webhook 호출을 제한할 수 있습니까? | 벤더의 서비스에 대한 API 또는 Webhook은 인증인가의 인증토큰을 통해 제어되고, 3rd party 통신 제한이 가능합니다. |
| 정보를 민감도(예: 높음, 중간, 낮음 등)에 따라 분류하고 이를 기준으로 적절한 보안 통제를 결정하고 적용합니까? | 민간도에 따라 분류하지 않습니다. |
| 인터넷을 통한 정보 유출, 악성코드 감염 및 이에 따른 내부망 침투 방지를 위해, 인터 넷이나 P2P, 웹하드, 메신저 등의 서비스에 대한 접근을 역할별 단말(핵심업무 수행, 개인정보 처리용 단말 등)로 제한하고 있습니까? | 자사 제품에서 지원하지 않는 서비스입니다. |
인증 및 권한 관리 | 시스템 사용자를 등록/해제하고 시스템 접근 권한을 부여/변경/회수하는 절차가 있습니까? | 사용자는 MS 계정 기반으로 등록 및 회수됩니다. |
| 사용자/관리자의 시스템 접근 권한에 대한 변경 사항이 해당 사용자에게 안내됩니까? | 별도의 알림 기능은 제공하지 않고 있습니다. |
| 사용자/관리자가 시스템에 로그인할 때 안전한 인증을 거치도록 되어 있습니까? | MS에 OpenID를 통한 사용자 인증을 지원하고 있습니다. |
| 로그인 시도 횟수를 제한하고, 무단 로그인 시도에 대해 경고를 보여주는 등의 보안조치를 적용하고 있습니까? | MS에 정책이 설정되어 있는 경우 보안 조치가 가능합니다. |
| 사용자에게 세션 타임아웃을 기본적으로 적용합니까? | 설정이 가능하며, 자동 로그아웃 기능을 제공합니다. |
| Okta 연동을 지원합니까? | 지원하고 있습니다. (OAuth2, SAML2.0) |
시스템 및 서비스 보안 | 벤더의 시스템 및 네트워크에 대한 무단 침입을 방지, 감지, 대응 할수 있는 통제 수단이 있습니까? | MS Azure에서 지원하고 있습니다. (클라우드 지원 제품인 경우) |
| 바이러스, 웜, 트로이목마, 랜섬웨어 등의 악성코드를 방지, 감지, 대응할 수 있는 통제 수단이 있습니까? | MS Azure에서 지원하고 있습니다. (클라우드 지원 제품인 경우) |
| |