싱가포르 MTCS(다단계 클라우드 보안) 표준

MTCS 개요

싱가포르의 MTCS(다단계 클라우드 보안) 표준은 싱가포르 IDA(정보 통신 개발국(Infocomm Development Authority)), ITSC(Information Technology Standards Committee: 정보 기술 표준 위원회)의 지휘 아래 작성되었습니다. ITSC는 IT 및 통신을 표준화하기 위한 국내 프로그램과 싱가포르의 국제 표준화 활동 참여를 장려하고 지원합니다..

MTCS의 목적은 다음과 같습니다.

• 클라우드 데이터의 보안 및 기밀성에 대한 일반적인 고객 문제와 클라우드 서비스 사용이 비즈니스에 미치는 영향을 해결하기 위해 CSP(클라우드 서비스 공급자)에서 적용할 수 있는 공통 표준
• 고객이 클라우드 서비스 사용 시 접할 수 있는 위험에 대한 가시성과 확인 가능한 운영 투명성

MTCS는 ISO/IEC 27001 같은 인정받는 국제 표준에 기초하며, 데이터 보존, 데이터 자주권, 데이터 이동성, 책임, 가용성, 비즈니스 연속성, 재해 복구 및 인시던트 관리 등 여러 부분을 포함합니다. 또한 고객이 최소한의 기본 보안 요구 사항에 따라 CSP의 역량을 벤치마킹하고 순위를 매길 수 있는 메커니즘도 포함되어 있습니다.

MTCS는 다양한 심각도 수준이 적용된 최초의 클라우드 보안 표준이므로 인증된 CSP는 제공되는 다양한 수준을 지정할 수 있습니다. MTCS에는 기본 보안을 제공하는 수준 1, 보다 엄격한 관리 및 테넌트 제어를 제공하는 수준 2, 그리고 강력한 정보 시스템에 대해 안정성과 복원성을 제공하는 수준 3으로 나뉜 총 535개의 통제 사항이 포함되어 있습니다.

Microsoft 및 MTCS

Microsoft 클라우드 서비스는 MTCS 인증 주체에 의해 엄격한 평가를 거친 후 IaaS(서비스형 인프라), PaaS(서비스형 플랫폼) 및 SaaS(서비스형 소프트웨어)라는 세 가지 서비스 범주에 대해 MTCS 584:2013 인증을 취득했습니다. Microsoft는 세 가지 범주 모두에서 이 인증을 획득한 최초의 글로벌 CSP입니다.

Microsoft Azure 서비스 (IaaS 및 PaaS), Microsoft Dynamics 365 서비스 (SaaS) 및 Microsoft Office 365 서비스 (SaaS)에 대해 수준 3의 인증을 받았습니다. 수준 3 인증은 범위 내 Microsoft 클라우드 서비스가 가장 엄격한 보안 요구 사항을 준수해야 하는 규제 조직에 대해 영향도가 높은 데이터를 호스팅할 수 있음을 의미합니다. 싱가포르 정부는 특정 클라우드 솔루션의 구현에 이 수준을 요구하고 있습니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

• Azure
• Dynamics 365 온라인 서비스(Business Central, 상거래, 고객 서비스, 현장 서비스, 금융, 사기 방지, 마케팅, 판매, 공급망 관리)
• Genomics
• Intune
• Microsoft Defender for Cloud Apps
• Microsoft Graph
• Microsoft Healthcare Bot
• Office 365
• OMS 서비스 맵
• PowerApps
• Power BI

Office 365 및 MTCS

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

• 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
• Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
• Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
• Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
• Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성	범위 내 서비스
상업용	Delve, Exchange Online, Exchange Online Protection Loki, Microsoft Teams, Office 365 고객 포털, Office 온라인, Office 서비스 인프라, SharePoint Online, 비즈니스용 Skype

감사, 보고서 및 인증서

인증은 3년간 유효하며, 연례 사후 관리 감사를 실시해야 합니다.

Microsoft MTCS 인증

• Microsoft Azure 및 기타 온라인 서비스
• Dynamics 365
• Office 365

Microsoft MTCS 클라우드 서비스 공급자 공개

• Microsoft Azure 및 기타 온라인 서비스
• Dynamics 365
• Intune
• Office 365

자주하는 질문

이 표준은 누구에게 적용되나요?

MTCS 표준을 준수해야 하는 클라우드 서비스를 구입한 싱가포르 기업에 적용됩니다.

MTCS 보안 수준 간에는 어떤 차이가 있나요?

MTCS에는 세 가지 보안 수준에 적용되는 총 535개의 통제 사항이 있습니다.

• 수준 1은 저렴한 비용으로 필요한 최소한의 기본 보안 통제 사항을 포함합니다. 수준 1은 웹 사이트 호스팅, 테스트 및 개발 작업, 시뮬레이션 및 중요하지 않은 비즈니스 응용 프로그램에 적합합니다.
• 수준 2는 데이터에 대한 보안 위험과 위협을 대상으로 하는 보다 엄격한 통제 수단으로 구성되어, 데이터 보안을 우려하는 대다수 기업의 요구에 알맞습니다. 수준 2는 중요 업무용 비즈니스 응용 프로그램 등 대부분의 클라우드 용도에 적용할 수 있습니다.
• 수준 3은 특정 요구 사항을 가지고 있으며 보다 엄격한 보안 요구 사항을 충족해야 하는 규제 조직을 위한 것입니다. 몇 가지 보안 통제 사항을 추가하여 수준 3은 수준 1 및 2의 통제를 보완합니다. 이는 규제 대상 시스템에서 중요한 정보를 취급하는 응용 프로그램을 호스팅하는 등 클라우드 서비스를 사용하는 강력한 정보 시스템에서 보안 위험 및 위협 문제를 해결해 줍니다.

우리 회사의 자체 규정 준수 활동은 어느 것부터 시작해야 하나요?

MTCS 인증 체계는 감사 제어 및 보안 요구 사항에 대한 지침을 담고 있습니다.

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?

예. 이러한 Microsoft 클라우드 서비스에 기초하여 구축된 서비스를 인증해야 하는 경우 MTCS 인증을 사용하면 IT 인프라에 의존하는 경우 IT 인프라 감사의 영향을 줄일 수 있습니다. 하지만 구현에 대한 규정 준수를 평가하기 위한 평가자와의 계약과 고유 조직 내 통제 수단 및 프로세스에 대해서는 파트너가 책임을 져야 합니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스

• Microsoft 온라인 서비스 사용 약관
• Microsoft 보안 센터에 대한 규정 준수