컴플라이언스 프레임워크
SAS는 고객과 산업별 요구 사항에 따라 특정 제3자 표준 및 규제 기준을 준수합니다. 이러한 표준들의 적용 여부는 해당 고객과의 계약 및 약정에 명시된 바에 따라 결정됩니다. SAS는 모든 서비스에 대해 아래 나열된 모든 표준이 준수될 것임을 보증하지는 않습니다.
1 관련 프로그램과 인증서가 개발 중입니다.
2 SAS의 현재 FedRAMP 상태는 FedRAMP Marketplace에서 확인 가능합니다.
규정의 적용 범위에 대해서는 해당 계정 담당자와 상담해 보시기 바랍니다.
ISO 9001
ISO 9001은 품질 경영 시스템을 위해 마련된 국제 표준입니다. 이 표준은 조직이 고객의 요구와 규제 요건을 충족하는 제품 및 서비스를 일관되게 제공할 수 있도록 보장하는 프레임워크의 역할을 하도록 설계되었습니다. ISO 9001의 핵심 원칙에는 고객 중심, 지속적인 개선, 관계 관리, 증거 기반 의사결정 등이 포함됩니다. 더 자세한 내용은 iso.org/standard/62085를 참고하세요.
ISO 14001
ISO 14001은 효과적인 환경경영시스템(Environmental Management Systems, EMS)과 관련된 요건을 정의하는 국제 표준입니다. 이 표준의 목적은 조직을 운영함에 있어 환경적 고려 사항을 반영하는 환경경영시스템의 구축을 돕기 위한 프레임워크를 제공하는 것입니다. ISO 14001 인증은 해당 조직이 효과적인 환경 경영에 전념하고 있음을 보여주는 증명으로 간주됩니다. 더 자세한 내용은 iso.org/standard/60857를 참고하세요.
ISO 27001
ISO/IEC 27001은 정보 보안을 관리하는 방식에 관한 국제 표준입니다. 이 표준은 조직이 보유한 정보 자산을 스스로 더욱 안전하게 보호할 수 있도록 지원하는 것을 목표로 하며, 그에 따라 정보보안 관리체계(Information Security Management System, ISMS)의 구축, 시행, 유지 및 지속적인 개선에 필요한 요건을 자세히 설명하고 있습니다. ISO 27001은 정보보안 관리체계(ISMS)의 요건을 제시하는 엄격한 보안 프레임워크입니다. 이 프레임워크의 여러 보안 체계에는 기술적, 조직적, 법적, 물리적, 인적 자원에 대한 통제가 포함됩니다. 더 자세한 내용은 iso.org/standard/27001를 참고하세요.
ISO 27017
ISO/IEC 27017: 정보 기술 - 보안 기술 - 클라우드 서비스를 위한 ISO/IEC 27002 기반의 정보 보안 통제 실무 규범은 ISO/IEC 27000 표준군에 속하는 하위 보안 표준입니다. 이 표준은 ISO 27001의 확장판으로, 클라우드 컴퓨팅(클라우드 서비스) 환경 내에서의 정보 보안 통제를 위한 가이드라인을 제시합니다. 더 자세한 내용은 iso.org/standard/43757을 참고하세요.
ISO 27018
ISO/IEC 27018: 정보 기술 — 보안 기법 — 개인식별정보(Personally Identifiable Information, PII)의 처리자 역할을 하는 퍼블릭 클라우드 내에서의 PII 보호를 위한 실무 규범은 ISO/IEC 27000 표준군에 속하는 하위 보안 표준입니다. 이는 ISO 27001의 확장판으로, 클라우드 컴퓨팅 서비스에서의 프라이버시에 초점을 맞춘 최초의 국제 표준입니다. 이 표준은 개인식별정보(PII)를 처리하는 클라우드 서비스 제공업체가 PII 관련 리스크의 평가 및 보호를 위한 통제 체계를 구현하도록 돕습니다. 더 자세한 내용은 iso.org/standard/76559를 참고하세요.
IT 보안 Information Technology Security Guidance 간행물 제33호(ITSG-33)
캐나다 사이버보안센터(CCCS)는 사이버 보안 관련 지침(ITSG)을 제공하는 캐나다의 권위 있는 전문기관입니다. CCCS는 ITSG-33(IT 보안 리스크 관리: 라이프사이클 접근법, 부속서 3 – 보안 통제 카탈로그)에 설명된 'CCCS 중간 등급 클라우드 보안 프로필'을 기준으로 하여 '클라우드 서비스 제공업체 IT 보안 평가 프로세스'를 유지 관리합니다. 업체가 Protected B 데이터를 포함하여 '중간(Medium)' 등급 이하로 분류된 워크로드를 호스팅할 수 있으려면, 먼저 중간 등급의 클라우드 보안 프로필을 충족해야 합니다. 더 자세한 내용은 cyber.gc.ca/en/guidance/annex-3a-security-control-catalogue-itsg-33#eff를 참고하세요.
형사 사법 정보 서비스 보안 정책(CJIS)
형사 사법 정보(Criminal Justice Information, CJI)는 연방 정부와 주/지방 정부 기관 등 여러 수준에서 처리됩니다. 연방수사국(FBI)에서 제공하는 형사 사법 정보를 보호하기 위해서는 직원, 계약업체 및 기타 인원에게 그와 관련된 안내를 제공하는 보안 교육과 인식 제고가 필수적입니다. 더 자세한 내용은 fbi.gov/services/cjis/cjis-security-policy-resource-center를 참고하세요.
1996년 건강보험 양도 및 책임에 관한 법률(HIPAA)
HIPAA는 Health Insurance Portability and Accountability Act의 줄임말로서, 개인의 의료 정보에 대한 프라이버시와 보안을 보장하기 위해 설계된 미국의 법률입니다. 이 법은 건강 정보의 전자적 교환과 프라이버시 및 보안에 관한 표준을 확립하고, 개인 건강 정보의 보호를 위한 필수 요건을 규정합니다. 의료 서비스 제공자, 보험사 및 기타 개인 건강 정보 취급 기관은 반드시 HIPAA를 준수해야 합니다. 더 자세한 내용은 cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa를 방문하세요.
미국 국세청(IRS) 간행물 1075
각급 기관 및 기타 허가된 수신자가 세금 신고와 관련된 연방 세무 정보(Federal Tax Information, FTI)를 수신, 저장 또는 처리할 수 있으려면, 먼저 미국 국세법 제26편 제6103조의 정의 그리고 IRS 간행물 제1075호의 설명에 따른 FTI를 적절히 보호할 수 있는 효과적인 통제 체계를 구축해야 합니다. 기능 및 보증 관련 요건을 충족하기 위해서는 해당 IT 환경의 보안 기능이 관리적, 운영적, 기술적 통제 체계를 갖추고 있어야 합니다. 더 자세한 내용은 irs.gov/pub/irs-pdf/p1075.pdf를 참고하세요.
가족 교육권 및 프라이버시에 관한 법률(FERPA)
Family Educational Rights and Privacy Act(FERPA)는 부모에게 자녀의 교육 기록과 관련된 구체적인 권리를 부여합니다. 더자세한 내용은 studentprivacy.ed.gov/ferpa를 참고하세요.
연방 위험 및 인증 관리 프로그램(FedRAMP)
Federal Risk and Authorization Management Program(FedRAMP)는 연방 기관에서 사용되는 클라우드 서비스에 대한 보안 평가, 인증 및 지속적인 모니터링 프로세스를 표준화하기 위해 설계된 미국 정부 프로그램입니다. 이 프로그램의 주요 목표는 클라우드 서비스 제공업체(CSP)가 정부 기관에 클라우드 서비스를 공급할 때 먼저 엄격한 보안 요건을 충족하도록 하는 것입니다.
FedRAMP는 클라우드 제품 및 서비스에 대한 보안 평가, 인증 및 지속적인 모니터링을 위한 표준화된 접근법을 제시합니다. 이는 클라우드 서비스 관리와 관련된 위험성과 비용 지출을 낮추고, 연방 데이터가 보안에 관한 연방 요건에 따라 보호받도록 만드는 역할을 합니다. 더 자세한 내용은 fedramp.gov/를 방문하세요.
FISMA-NIST 800-53 Rev. 5
연방 정보보안 관리법(Federal Information Security Management Act, FISMA)은 연방 기관, 부처 및 계약업체가 정보 시스템과 자산을 적절하게 보호하도록 요구합니다. 정부 데이터 시스템의 관리를 위한 자세한 지침은 미국 국립표준기술원(NIST) 특별 간행물 제800-53호에 나와 있습니다. 이 문서는 위험성, 비용 효율성 및 운영 능력을 바탕으로 보안 통제 항목을 정의하는 사이버 보안 표준이자 컴플라이언스 프레임워크의 역할을 합니다. 더 자세한 내용은 csrc.nist.gov/topics/laws-and-regulations/laws/fisma를 참고하세요.
SOC 1
서비스 조직 통제(Service Organization Controls, SOC) 보고서는 서비스 조직의 각종 프로세스 및 통제에 대한 신뢰와 보증을 독립적인 공인회계사(CPA)의 평가를 통해서 제공하는 것을 목표로 합니다. SOC 1 보고서는 특히 아웃소싱 서비스 및 재무 보고와 관련된 내부 통제를 중점적으로 다룹니다. 더 자세한 내용은 aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services를 참고하세요.
SOC 2
미국공인회계사협회(AICPA)의 SOC 프로그램은 서비스 조직을 위한 내부 통제 보고서를 제공합니다. SOC 2 보고서는 보안, 가용성, 처리 무결성, 기밀성 또는 프라이버시와 관련된 통제 항목에 중점을 둡니다. SOC 2 Type 2 보고서는 특정 기간에 한정하여 작성되며, 이러한 통제 항목의 설계와 운영 효과성을 모두 감사함니다. 더 자세한 내용은 aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2를 참고하세요.
SOC 3
서비스 조직 통제(SOC )보고서는 서비스 조직 자체 시스템의 보안, 가용성, 처리 무결성뿐만 아니라 해당 시스템에서 관리되는 정보의 기밀성 또는 프라이버시에 대한 통제 체계가 얼마나 잘 갖추어져 있는지 보증 받고자 하는 사용자들의 요구를 충족하기 위해서 작성됩니다. 일반적 용도의 보고서라는 특성상, SOC 3 보고서는 공개에 제약이 없습니다. 더 자세한 내용은 aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services를 참고하세요.
GovRAMP
정부 위험 및 인증 관리 프로그램(GovRAMP)는 주/지방 정부가 계약업체의 적절한 보안 및 데이터 통제 체계 구비 여부를 확인할 수 있도록 표준화된 접근법을 제시합니다. 이 프로그램은 NIST SP 800-53 프레임워크를 따르며, "한 번 완료하여, 여러 곳에 적용(complete once, use many)" 전략을 통해 정부, 평가 기관 및 클라우드 제공업체가 시간과 비용을 줄일 수 있도록 해 줍니다. 더 자세한 내용은 govramp.org/를 참고하세요.
미국 식품의약국(FDA) 전자 기록 및 전자 서명에 관한 규정: 21 CFR Part 11
연방 규정집(CFR) 제21편 제11장(Part 11)은 미국 식품의약국(FDA)에서 발행한 규정입니다. 이 규정은 FDA 규제 활동에 쓰이는 개방형/폐쇄형 컴퓨터 시스템의 전자 기록과 서명을 주로 다루며, 그 무결성, 진본성 및 신뢰성 확보를 목적으로 합니다. 더 자세한 내용은 fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application을 참고하세요.
데이터 프라이버시 프레임워크(DPF) 프로그램
미국 상무부 산하 국제무역청(ITA)이 감독하는 데이터 프라이버시 프레임워크(Data Privacy Framework, DPF) 프로그램은 적격한 미국 기반 조직이 EU-미국 DPF, EU-미국 DPF에 대한 영국 확장판 및/또는 스위스-미국 DPF의 준수 여부를 자체적으로 인증할 수 있도록 해 줍니다. 참여를 위해서는 상무부 DPF 프로그램 웹사이트를 통해 ITA에 자체 인증 절차를 거쳐야 하며, DPF 원칙 준수 의사를 대외적으로 공표해야 합니다. 조직이 자체 인증을 완료한 시점부터는 준수가 의무화됩니다. 더 자세한 내용은 www.dataprivacyframework.gov를 참고하세요.
디지털 운영 탄력성법(DORA)
Digital Operational Resilience Act(DORA)는 유럽연합(EU) 내 금융 부문을 대상으로 포괄적인 정보 통신 기술(ICT) 리스크 관리 프레임워크를 마련하기 위한 규정입니다. 보다 구체적으로, DORA는 은행, 보험사, 투자 회사를 포함한 금융 기관 그리고 이들이 사용하는 '핵심' 제3자 기술 서비스 제공업체에게 일괄 적용되는 표준을 수립합니다. 더 자세한 내용은 eiopa.europa.eu/digital-operational-resilience-act-dora_en을 참고하세요.
유럽 은행 감독청(EBA) 아웃소싱 약정에 관한 가이드라인
유럽연합의 금융 감독 기관인 유럽 은행 감독청(European Banking Authority, EBA)은 클라우드 서비스와 관련된 사항을 포함하여 아웃소싱 약정 전반에 대한 가이드라인을 제시합니다. 본 지침은 아웃소싱을 명확히 정의하며, 위탁 대상 업무의 중요도 및 긴요도를 평가하는 기준을 다룹니다. 더 자세한 내용은 eba.europa.eu/activities/single-rulebook/regulatory-activities/internal-governance/guidelines-outsourcing을 참고하세요.
일반 데이터 보호 규정(GDPR)
유럽연합(EU)은 지난 2016년 지침 95/46/EC를 대체하기 위해 일반 데이터 보호 규정(GDPR) 2016/679를 채택했습니다. GDPR은 조직이 개인 데이터를 수집하고 처리하는 방식을 규제하는 유럽연합의 데이터 보호법입니다. 이 규정은 유럽연합 시민 및 거주자의 데이터를 처리하는 경우라면 소재지에 관계없이 전 세계 모든 엔티티에 적용됩니다. 더 자세한 내용은 eur-lex.europa.eu를 참고하세요.
스페인 국가 보안 프레임워크(ENS)
Esquema Nacional de Seguridad(ENS)는 스페인 내 정보 시스템의 보안을 보장하기 위해 설계된 프레임워크입니다. 이 프레임워크는 왕령 제311/2022호에 의해 규율됩니다. 이 프레임워크는 정보 보안 관리, 리스크 평가 및 관리 통제와 관련된 요건을 정의합니다. 더 자세한 내용은 ens.ccn.cni.es/en/what-is-the-ens를 참고하세요.
Cyber Essentials Plus
Cyber Essentials는 조직이 통상적인 사이버 위협으로부터 스스로 보호할 수 있도록 지원하기 위해 마련된 영국 정부의 지원 제도입니다. 이 제도는 기초적인 사이버 보안 수준을 제시하며, 더 높은 단계의 보안 대책을 세우기 위한 기반으로 자주 활용됩니다. 상위 등급인 Cyber Essentials Plus의 경우 추가적인 테스트와 검증 요소를 포함하고 있습니다. 더 자세한 내용은 www.ncsc.gov.uk/cyberessentials를 참고하세요.
영국 정부 G-Cloud 프레임워크
영국 정부의 G-Cloud는 영국 내 공공 기관의 클라우드 컴퓨팅 조달 절차를 간소화하기 위해 마련된 조달 체계입니다. 공공 기관은 이를 통해 온라인 디지털 마켓플레이스에서 정부가 승인한 계약 형태에 따라 클라우드 서비스를 구매할 수 있습니다. 더 자세한 내용은 gov.uk/guidance/g-cloud-suppliers-guide를 참고하세요.
호주 건전성 규제청(APRA) CPS 230: 운영 리스크 관리
APRA 산업 공통 건전성 기준(Cross-Industry Prudential Standards, CPS) 230은 금융 서비스 법인 및 이들에 의한 '주요 비즈니스 활동(material business activity)'의 아웃소싱에 적용됩니다. 이는 APRA의 규제를 받는 법인이 운영 리스크를 효과적으로 관리하고, 장애 발생 시에도 핵심 업무의 연속성을 유지하며, 컴플라이언스 의무를 다하도록 보장하는 것을 목표로 합니다. 이 기준의 시행일은 2025년 7월 1일입니다. 기존에 체결된 약정의 경우, 다음 계약 갱신일 또는 2026년 7월 1일 중 먼저 도래하는 날로부터 이 기준이 적용됩니다. CPS 230은 CPS 232 '비즈니스 연속성 관리' 및 CPS 231 '아웃소싱'을 포함한 기존의 여러 기준을 대체합니다. 더 자세한 내용은 www.apra.gov.au를 참고하세요.
호주 건전성 규제청(APRA) CPS 231: 아웃소싱
APRA 산업 공통 건전성 기준(CPS) 231은 호주 건전성 규제청(APRA)에서 발행한 건전성 기준입니다. 이는 규제 대상 기관이 아웃소싱한 서비스 제공업체에 대한 리스크 관리 및 거버넌스에 중점을 둡니다. 이 기준은 APRA의 규제를 받는 은행, 보험사 및 퇴직연금 펀드에 적용됩니다. 더 자세한 내용은 apra.gov.au를 참고하세요.
호주 건전성 규제청(APRA) 건전성 기준 CPS 234: 정보 보안 200
APRA CPS 234는 호주 건전성 규제청(APRA)에서 발행한 건전성 기준입니다. 이 기준은 정보 보안 관리에 중점을 두며, APRA 규제 대상 법인이 자신의 정보 자산을 보호하고 보안 리스크를 효과적으로 관리하는 데 필요한 요건을 규정합니다. 더 자세한 내용은 apra.gov.au를 참고하세요.
싱가포르 은행연합회(ABS) 가이드라인
싱가포르 은행연합회(ABS)는 아웃소싱 서비스 제공업체를 위한 통제 목표 및 절차에 관한 공식 가이드라인을 발행했습니다. 이 가이드라인은 싱가포르에서 운영되는 금융 기관에 서비스를 제공하는 업체들이 준수해야 할 정보 보안 지침을 담고 있습니다. 아웃소싱 서비스 제공업체(OSP)는 이 가이드라인에 따른 제3자 감사를 거쳐 아웃소싱 서비스 제공업체 감사 보고서(Outsourced Service Provider Audit Report, OSPAR) 인증을 받을 수 있습니다. 더 자세한 내용은 abs.org.sg/industry-guidelines/outsourcing을 참고하세요.