CSAP(Cloud Security Assurance Program) 보안인증은 클라우드 서비스의 특성과 제공 방식에 따라 여러 등급으로 분류됩니다. CSAP 보안인증의 분류는 주로 서비스 유형과 민감한 데이터 취급 여부에 따라 나뉩니다. 크게 공공기관에서 사용할 수 있는 클라우드 서비스에 대해 다음과 같이 분류할 수 있습니다

​

1. IaaS (Infrastructure as a Service)

• 인프라형 서비스에 대한 보안 인증으로, 가상 서버, 스토리지, 네트워크 등의 인프라 자원을 제공하는 클라우드 서비스 제공업체를 대상으로 합니다.

• IaaS의 경우, 사용자에게 컴퓨팅 자원만 제공하므로 물리적 보안, 네트워크 보안, 데이터 보호 등에 대한 인증이 포함됩니다.

​

2. PaaS (Platform as a Service)

• 플랫폼형 서비스에 대한 보안 인증입니다. 개발자가 애플리케이션을 개발하고 실행할 수 있는 환경을 제공하는 서비스로, 주로 데이터베이스 관리, 애플리케이션 개발 도구 등을 제공합니다.

• PaaS는 서비스 운영 환경과 개발 플랫폼의 보안성을 검토하여 인증합니다.

​

3. SaaS (Software as a Service)

• 소프트웨어형 서비스에 대한 보안 인증으로, 최종 사용자가 소프트웨어 애플리케이션을 클라우드를 통해 직접 사용하는 서비스입니다. 예로는 이메일, ERP, CRM 등이 있습니다.

• SaaS는 소프트웨어의 보안성과 데이터 보호 요건을 중점적으로 평가합니다.

​

4. 공공기관 전용 클라우드 인증

• 공공기관에서만 사용할 수 있는 전용 클라우드 서비스에 대한 인증으로, 더 높은 수준의 보안 요건을 충족해야 합니다.

• 민감 정보나 비밀 데이터를 취급하는 서비스의 경우, 엄격한 보안 요건과 규제를 준수해야 하며, 이 때문에 공공기관 전용으로 제한됩니다.

​

5. 민간 및 공공 클라우드 서비스

• 민간 및 공공기관이 혼합하여 사용할 수 있는 클라우드 서비스로, 보안 요건이 비교적 완화된 경우가 있습니다. 민간 클라우드 제공업체들이 공공기관의 일부 업무용 서비스를 제공할 때 해당 인증을 받기도 합니다.

​

6. 클라우드 보안 레벨 분류

CSAP은 클라우드 서비스 보안성을 다음과 같이 레벨로 나누기도 합니다:

• 일반 보안 수준: 기본적인 보안 요구 사항을 만족하는 클라우드 서비스.

• 강화된 보안 수준: 민감한 데이터나 공공기관의 중요한 정보를 취급할 때 요구되는 높은 보안 수준.

​