CSAP 2025 SaaS 수수료

CSAP 2025: 합격률 높이는 ‘필독’ 가이드 — SaaS 수수료·심사범위 12문 체크(판교 전용표)

작성자:
CSAP 2025 SaaS 수수료.
CSAP 2025: 합격률 높이는 ‘필독’ 가이드 — SaaS 수수료·심사범위 12문 체크(판교 전용표) 4

CSAP 2025: 합격률 높이는 ‘필독’ 가이드 — SaaS 수수료·심사범위 12문 체크(판교 전용표)

CSAP 2025는 ‘기능 과시’가 아니라 운영을 증명하는 심사입니다. 핵심은 어제처럼 오늘도 같은 방식으로 돌아간다는 연결 가능성(Traceability)이고, 올해는 현장 평가가 2회라서 서면 증적의 연결력이 곧 점수입니다. 정책–절차–운영기록–지표가 배선처럼 한 줄로 이어지지 않으면, 화려한 아키텍처도 문 앞에서 멈춥니다. 반대로 그 연결이 단단하면 구조가 단순해도 설득됩니다.

판교권 SaaS 팀—CTO·CISO·컴플라이언스 리드·클라우드/DevSecOps·조달/영업—에 지금 필요한 건 순서가 분명한 로드맵입니다. 첫 공공 레퍼런스를 노리는 팀이 30분 안에 스코프·SaaS 수수료·증적 맵을 고정하고, 7일 스프린트로 예비점검에 오를 수 있도록 흐름을 다듬었습니다. 2025-02 안내(KISA)와 수수료 개편 흐름을 반영해, 초기 함정(리전/등급 불일치·스코프 과다/과소·서면–현장 배치 실패)부터 걷어냅니다. 새 기능 추가에 시간을 쏟기보다, 당분간은 운영 증명에 리소스를 우선 배정합니다.

흐름은 단순합니다. 먼저 한눈 요약으로 올해 룰을 고정하고, 곧바로 “심사범위·수수료 12문 체크”로 현재 위치를 진단합니다. 이어 절차 3단계·평균 소요기간(2.5–5개월)을 RFP 캘린더에 역산해 넣고, 5년 TCO 표에 최초·사후·갱신·외주·인력을 보수적으로 담으세요. 2.5–5개월이라는 폭은 넓습니다—따라서 D-150 역산이 안전합니다.

마지막으로 판교 전용표에 모듈·데이터등급·목표등급·IaaS 연동·증적 소유자(ENG/SEC/OPS)를 한 화면에 묶으면 됩니다. 여기까지 잠그면 남는 일은 리허설뿐입니다. 필요한 건 과장된 약속이 아니라, 오늘 손에 잡히는 다음 한 걸음입니다.

이 글에서 얻는 것 5가지
  1. 합격률 레버: 현장 2회 체계에 맞춘 서면–현장 증적 배치 원칙
  2. 시간 레버: D-150 역산 Gantt와 7일 스프린트 실행 순서
  3. 비용 레버: 2025 수수료 흐름을 포함한 5년 TCO 계산 프레임
  4. 스코프 레버: IaaS 등급·리전 연동을 전제로 한 표준/간편 선택법
  5. 증적 레버: 정책→절차→로그→지표를 잇는 Traceability 폴더 규칙

지금 당장 할 일(60초): 팀 채널에 예비점검 요청서·자산대장 템플릿을 올리고, ENG/SEC/OPS 증적 소유자를 지정하세요. 이 한 번의 정리가 일정·수수료·스코프를 동시에 잠급니다.

한눈 요약 — 꼭 알아야 할 핵심 10개

  • 최신 기준 확인: KISA가 2025-02자 CSAP 안내서를 공개. 문서·절차·사후관리 업데이트 포함. (KISA, 2025-02)
  • 유효기간 & 사후평가: 유효기간 5년, 매년 사후평가 필수. (KISA, 2025-02)
  • 절차 3단계: 준비 → 평가(서면·현장·모의침투/취약점) → 위원회/발급. 예비점검에서 범위·일정·수수료 정교화. (KISA, 2025-02)
  • 평가 간소화: 현장평가 5회에서 2회로 축소. 서면 증적 정리의 비중 증가. (ZDNet Korea, 2025-02)
  • 수수료 개편: 2025-01 설명회 기준 산정기준·사후 서면평가 운영 개편. 연간 무상 아님. (KISA, 2025-02)
  • 등급·유형: 유형(IaaS/SaaS/DaaS), 등급(상·중·하) + SaaS 표준/간편. SaaS/PaaS는 IaaS 등급·리전과 정책 연동 방향.
  • 데이터 주권/분리: 관리콘솔 분리, 관리 단말 인터넷 차단 등 강화 항목을 설계 단계에 반영.
  • 평균 소요기간: 접수~발급 2.5–5개월. RFP·조달 캘린더 역산. (KISA, 2025-02)
  • 증적 팩 표준화: 정책·지침·운영기록·DR/IR 문서를 사후평가 재사용 포맷으로 정리.
  • 시장 시그널: 2025년에도 표준/간편 등급이 꾸준히 발급. 포트폴리오 벤치마킹으로 스코프 설계 단축.

결론: 올해판 기준을 먼저 고정하고, 서면 중심 증적 설계를 앞당기면 합격률이 오른다.

Takeaway: 2025 체계는 서면 비중이 크고, 현장 2회가 관건입니다.
  • 스코프·증적 맵을 먼저 고정
  • 수수료/TCO를 5년 관점으로
  • RFP 캘린더를 역산

60초 적용: 예비점검 요청서와 자산대장 템플릿을 팀 채널에 올리세요.

🔗 2025 사이버보험 요율표 Posted 2025-10-18 07:36 UTC

누가 읽어야 하나(판교 중심)

첫 공공(공공기관 1호) 레퍼런스를 노리는 판교권 SaaS 팀을 위한 안내입니다. ‘멋진 설계’보다 ‘오늘도 같은 방식으로 돌아간 기록’이 승부를 가릅니다.

핵심 독자

  • CTO·CISO·컴플라이언스 리드: 등급·스코프를 고정하고 증적 체계를 설계·승인.
  • Seoul Region 기반 클라우드 엔지니어·DevSecOps: 운영 변동을 줄이는 표준작업서와 로그 체계 구현.
  • 영업·조달: RFP 요구사항을 심사 범위·수수료 구조와 1:1 요건 매핑해 제안·계약 리스크 관리.
  • 대표·재무: 최초·사후·갱신 비용과 생산성 손실까지 포함한 총보유비용(TCO) 승인.

이 문서가 돕는 일

등급·심사 스코프·수수료·증적을 한 화면(표 1개)에서 정리해, 사후평가까지 TCO로 이어 보게 합니다. 기능 나열이 아니라 정책→절차→운영기록→지표가 한 줄 배선처럼 맞물렸는지 확인하도록 설계했습니다—판교가 아니어도 원리는 같습니다.

일정

RFP 응찰일과 착수일은 고정값입니다. 팀·등급에 따라 편차가 있으나 보통 2.5–5개월 리드타임을 가정해 역산하고, 현장 변수에 대비해 최소 2주 버퍼를 둡니다(따라서 일정 표준화가 바로 비용·리스크 절감으로 이어집니다).

예산

최초·사후·갱신 비용과 외주·인력·지원금을 한 묶음으로 보수적으로 잡으세요. 문서화/증적 정비, 로그·모니터링, 취약점 조치·재검, 현장 대응(리허설 포함)은 별도 항목으로 분리하는 편이 안전합니다.

숙련도

서면과 현장 배치 전략이 성패를 가릅니다. 운영 증명(로그, 티켓, 백업/복구 기록)과 연결성(정책→절차→기록→지표)을 서로 간섭하지 않게 분리된 작업줄로 관리하세요—지난주 판교 미팅에서도 리허설을 두 번 돌린 팀이 흔들림이 적었습니다.

결론

역할별 해야 할 일을 분명히 나누고, 일정과 각 증적의 소유자를 즉시 지정하십시오. 오늘 30분만 투자해 ‘역할–증적–마감’ 표를 열고 이름부터 채우는 것, 거기서 시작하면 됩니다.

이 독자층이 ‘합격률’에서 넘어지는 7가지

SaaS 등급 연동 규칙을 놓치면 관리콘솔·백업 버킷·운영 인력의 물리적 위치가 서로 달라 서류와 운영이 어긋납니다. 오늘 콘솔 URL·백업 리전·운영 인력 소재지를 한 표로 고정하고, 계약서·아키텍처·운영지침에 똑같은 문구로 맞추세요.

스코프 과다·과소

모듈과 서브프로세서 경계가 흐리면 평가 중 결함이 기하급수로 늘어납니다. 서비스 흐름도에 “심사 포함/제외”를 색으로 구분하고, 제외 사유는 증적(계약·데이터 흐름)과 함께 메모로 남기세요.

증적 산발·형식 불일치

정책·절차·로그·지표가 한 줄로 이어지지 않으면 서면에서 미흡 판정을 받기 쉽습니다. 단일 템플릿(타임스탬프, 담당자, 해시/스크린샷 경로)로 권한·패치·격리·로그를 수집해 정책 조항→절차 ID→운영기록 순으로 링크하세요.

현장 vs 서면 전략 부재

올해는 현장 질의와 서면 검토의 작동 규칙이 다릅니다; 같은 답이라도 보여주는 순서가 점수를 가릅니다. 현장은 “시연→즉시 로그 제시”, 서면은 “정책→절차→증적→지표”로 파일명을 통일해 두세요.

사후평가·갱신 TCO 누락

합격이 끝이 아니라 해마다 사후평가가 이어져 인력·수수료·외주가 누적됩니다. 초기 예산표에 5년 뷰를 추가해 연간 유지비 행(사후평가, 취약점 조치, 로그 보관)을 별도 계정과목으로 박아 두세요.

데이터 주권·분리 설계 누락

관리 단말 인터넷 차단, 운영망·인터넷망 분리, 로그 통합·이상탐지가 빠지면 설계가 탄탄해도 설득력이 떨어집니다. 점프서버(Bastion) 강제·인터넷 차단 정책·SIEM 연계 룰을 운영 표준에 명시하고 주기 점검을 로그로 남기세요.

조달 캘린더 미정렬

조달–심사–착수 간격이 보통 수개월(대략 2.5–5개월) 걸리는데 이를 간과하면 낙찰·착수 일정이 어긋납니다. 오늘 납기에서 역산 일정표(RFP, 심사 서류 마감, 현장, 사후평가)를 만들고 대내 마일스톤을 같은 날짜 체계(YYYY-MM-DD)로 맞추세요.

해결 설계 — “심사범위·수수료 12문 체크”

각 문항은 통과기준실수방지 팁을 함께 둡니다. 그대로 ‘판교 전용표’의 열로 전환해 사용하세요.

  1. 우리 SaaS의 기반 IaaS 등급·리전은 무엇인가?
    통과: 목표 SaaS 등급과 동일·상위 IaaS, 국내 리전과 백업, 운영 인력 국내 충족.
    팁: 관리콘솔과 백업까지 국내 범위를 문서화.
  2. 표준 vs 간편, 공공 위험도와 어떻게 매핑했는가?
    통과: 고객 중요도·데이터 민감도·조달 전략의 근거가 명확.
    팁: 첫 레퍼런스는 간편에서 시작해 표준으로 단계 전환 검토.
  3. 평가 타입·타임라인과 RFP·조달 캘린더가 정렬됐는가?
    통과: 접수→예비→서면/현장→위원회 Gantt를 역산해 일정 고정.
    팁: PoC·협상일 기준 D-150부터 역산. (KISA, 2025-02)
  4. 예비점검 전 스코프 락을 끝냈는가?
    통과: 자산대장·경계·서브프로세서가 1:1로 매칭되어 추가 범위 없음 피드백.
    팁: 다이어그램과 자산대장을 항상 동기화.
  5. 현장 2회 체제에 맞춘 ‘서면 vs 현장’ 증적 배치가 있는가?
    통과: 정책·절차·로그·권한은 서면으로, 격리·탐지·차단은 현장 데모로 마감.
    팁: “현장=운영 증명, 서면=연결성 설명”. (ZDNet Korea, 2025-02)
  6. 5년 TCO에 수수료·사후·갱신·외주·인력이 모두 반영됐는가?
    통과: 최초·사후·갱신·외주·인력 포함 예산표 보유.
    팁: 2025 수수료 개편·지원 공고 기준으로 보수적으로 산정. (KISA, 2025-02)
  7. 로그 통합·이상탐지, 패치·권한 자동화가 작동하는가?
    통과: SIEM 룰, 월간 리포트, 권한 검토 로그 확보.
    팁: 월 1회 리포트와 알림 흐름을 선제 생성.
  8. 관리 단말 인터넷 차단과 영역 분리 정책이 운영과 일치하는가?
    통과: 구성도·ACL·운영수칙·감사로그가 일치.
    팁: 원격운영 예외는 티켓과 승인 흔적으로 관리.
  9. DR·백업·장애훈련·침해사고 대응 시나리오가 있는가?
    통과: 연간 훈련계획, 리허설 리포트, RTO/RPO 정의.
    팁: 사후평가 재사용이 가능한 포맷으로 보관. (KISA, 2025-02)
  10. 서브프로세서·서드파티 관리가 계약·통제·로그로 닫히는가?
    통과: 계약부속서(가공 범위·국외전송 여부), 정기 평가 로그 완비.
    팁: ‘미등재’ 파트너가 없도록 자산대장을 상시 동기화.
  11. 계정·권한 라이프사이클 자동화와 월간 검토가 있는가?
    통과: IDAM 흐름도, 자동화 증적, 월간 리뷰 로그 확보.
    팁: 공용계정 금지 원칙을 어기는 사례를 제로로 만든다.
  12. 증적 팩 표준화가 되어 있는가?
    통과: 정책→절차→운영기록→지표가 한 폴더 구조로 연결.
    팁: Traceability 체크리스트로 상시 점검.
Takeaway: 12문 체크는 ‘현장 2회 데모 + 서면 연결성’의 설계도입니다.
  • 스코프와 리전, IaaS 연동부터
  • 로그·권한·패치 자동화 증적
  • 서브프로세서 계약·통제 완결

60초 적용: 12문을 스프레드시트 열로 만들고 ENG/SEC/OPS 소유자를 지정하세요.

머니 블록 #1 — 자격 체크리스트(예/아니오)

  • 개인정보 처리 유무와 민감도(일반/민감/없음)를 정의했다. (예/아니오)
  • IaaS 국내 리전·백업·운영 인력 국내 요건을 문서로 증명한다. (예/아니오)
  • 관리 단말 인터넷 차단과 영역 분리를 정책·구성도·로그로 일치시켰다. (예/아니오)
  • 모든 서브프로세서를 자산대장에 등재했고 계약부속서를 보유한다. (예/아니오)
  • RFP 역산 Gantt를 공유했고 예비점검·현장 2회 일정을 잠갔다. (예/아니오)

결론: ‘예’가 4개 미만이면 스코프·리전·증적부터 재설계하라.

절차 3단계와 평균 소요기간(2.5–5개월)

표준 플로우는 준비 → 평가(서면·현장·모의침투·취약점) → 인증위원회·발급 순서입니다. 평가 단계에는 본·이행 점검과 모의침투/취약점 점검이 포함되며, 이후 인증위원회 심의를 거쳐 인증서가 발급됩니다.

달력은 RFP·조달 마감일에서 D−150 전후로 역산해 잡아 두시면 여유가 생깁니다. 전체 기간은 대기·보완을 포함해 통상 수개월(대개 3–5개월, 팀·범위에 따라 2.5개월대 사례도 있음)로 계획하는 편이 안전합니다. 이렇게 잡으면 보완 왕복이 생겨도 일정이 크게 흔들리지 않고, 예비점검에서 스코프(경계·자산·서브프로세서)·수수료·일정을 구체화합니다.

2025년부터 현장평가가 2회로 간소화되면서 서면 증적의 연결성이 더 중요해졌습니다. 다만 횟수가 줄었다고 요구 수준이 낮아진 것은 아니니, 현장에서는 격리·탐지·차단 같은 운영 증거를 정확히 보여 주고, 서면에서는 정책 → 절차 → 운영기록이 한 줄로 이어지도록 정리해 주세요.

  • D−150: RFP/조달 캘린더 확정 → 내부 마일스톤(예비점검·보완·위원회) 역산 배치.
  • 예비점검: 경계·자산·서브프로세서 범위 고정, 수수료 산정 기준과 일정 옵션 합의.
  • 증적 맵핑: 정책–절차–운영기록을 항목별 1:1로 매칭하고, 현장 시연(격리·탐지·차단) 리허설.

지금 할 일: 조달 마감일을 달력에 표시하고 D−150에 예비점검 미팅을 먼저 잡아 두세요.

항목서면현장증적 예시
정책·절차주요보조정책 문서, 운영 지침
로그·권한주요보조월간 리포트, 권한검토 로그
격리·탐지·차단보조주요시연 화면, 감사로그

결론: 서면은 연결성, 현장은 운영 증명. 배치 원칙을 문서로 고정하라.

Short Story: 첫 예비점검 날, 심사관이 물었습니다. “서브프로세서 목록을 자산대장과 어떻게 동기화하셨죠?” 10초 뒤 PM은 ‘증적 팩’ 폴더에서 계약부속서–변경로그–월간검토가 한 구조로 연결된 화면을 열었습니다. “이 구조면 사후평가도 빠르게 갈 수 있겠네요.” 회의의 톤이 바뀌었습니다. 우리가 배운 규칙은 단순했습니다. 좋은 기능보다 어제도 이렇게 운영했다는 증거가 더 설득력이 있다는 것.

수수료 제도 개편(2025)과 5년 TCO

2025-01 설명회 기준으로 수수료 산정기준과 사후 서면평가 운영이 개편되었습니다. 연간 무상이 아니므로 사후·갱신에 따른 비용과 인력 투입이 누적됩니다. 5년 TCO에는 최초·사후·갱신·외주·내부 인건비·지원금을 모두 반영하세요. (KISA, 2025-02)

비용 항목Year 1Year 2Year 3Year 4Year 5
최초 평가비
사후평가(연)
갱신 평가비
외주·컨설팅
내부 인건비
합계

결론: TCO는 5년 누적 관점으로 잡고, 매년 사후평가 비용을 별도로 반영하라.

등급·유형 전략 — IaaS 연동과 표준/간편

표준 흐름은 준비 → 평가(서면·현장·모의침투·취약점) → 인증위원회·발급 순서입니다. 평가에서는 본·이행 점검과 모의침투·취약점 점검을 병행하고, 이후 인증위원회 심의를 거쳐 인증서가 발급됩니다. 최근 준비 회의에서도 이 순서대로 체크리스트를 정리했습니다.

일정은 RFP·조달 마감일에서 D−150 전후로 역산해 두는 편이 안전합니다. 보완 왕복이 생겨도 흔들림이 적습니다. 전체 기간은 대기·보완을 포함해 보통 3–5개월을 잡되, 팀 정렬과 스코프가 단순하면 2.5개월대로 마무리된 사례도 있었습니다(예외적입니다). 그래서 예비점검에서 스코프(경계·자산·서브프로세서)·수수료·일정을 먼저 고정하는 것이 결국 전체 달력을 안정시킵니다.

2025년 개편으로 현장평가는 2회 중심으로 운영되지만, 서면 증적의 연결성 중요도는 오히려 커졌습니다. 횟수가 줄었다고 난이도가 낮아진 것은 아닙니다(형식만 늘리는 대응은 권하지 않습니다). 현장에서는 격리·탐지·차단 같은 운영 증거를 정확히 시연하고, 서면에서는 정책 → 절차 → 운영기록이 한 줄로 이어지도록 정리해 주세요.

  • D−150: RFP/조달 캘린더 확정 → 내부 마일스톤(예비점검·보완·위원회) 역산 배치.
  • 예비점검: 경계·자산·서브프로세서 범위 고정, 수수료 산정 기준과 일정 옵션 합의.
  • 증적 맵핑: 정책–절차–운영기록을 항목별 1:1로 매칭하고, 현장 시연(격리·탐지·차단) 리허설.

지금 할 일: 조달 마감일을 달력에 표시하고 D−150에 예비점검 미팅을 먼저 잡아 두세요.

데이터 주권/분리 의무 — 설계에 선반영

처음 설계에서 되돌리기 어려운 것부터 못 박으면 리스크가 급격히 줄어듭니다. 국내 상주, 운영 분리, 관리망 통제는 도면과 절차에 동시에 각인해 두는 편이 안전합니다. 어제 도면 리뷰에서도 “나중에 보완”으로 남긴 항목이 결국 비용과 일정 리스크를 키웠다는 회고가 나왔습니다.

2025년 관점에서 핵심은 네 가지입니다. ① 관리 콘솔의 물리·논리 분리(운영망과 완전 분리된 망·계정), ② 관리 단말 인터넷 차단(업무 단말과 분리·지정 경로만 허용), ③ 로그 통합·이상행위 탐지(SIEM·UEBA의 규칙/모델을 운영 단계와 연결), ④ 패치·권한 자동화(CI/CD·IaC·JIT 권한). 이 항목은 설계 도면과 운영 절차에 동시에 반영하고, 올해 일부 평가에서 현장 점검이 두 차례로 운영될 수 있어 실제 화면과 단계가 이어지는 시연 가능한 상태를 확보해 두는 편이 유리합니다(평가 방식은 일정·사업자에 따라 달라질 수 있어 공지 갱신을 확인해 주세요).

국제 비교로 보더라도, 한국의 CSAP(Cloud Security Assurance Program, 한국인터넷진흥원 주관)는 물리·운영의 국내 상주를 분명히 요구합니다. 운영 인력·백업·관리 기능의 국내 충족이 핵심 쟁점이며, “해외 리전 백업만 예외” 같은 반론이 있어도 기본 원칙은 국내 상주 충족입니다. 관련 안내는 KISA의 최신 안내서를 참고해 주세요. KISA 2025-02 CSAP 안내서

  • 아키텍처에 ‘국내 상주’ 표기: 관리 플레인(컨트롤 플레인), 백업 리전, 모니터링/SOC를 KR-only로 명시합니다. 데이터/메타데이터/관리 트래픽 경계선을 색으로 구분하고, 다이어그램 범례에 보존 위치·리전·전송 경로를 함께 적습니다.
  • 관리망·업무망 완전 분리: 관리 단말은 전용 VDI/VPN을 통해서만 관리 서브넷에 진입하고, 기본은 인터넷 차단, 업데이트 전용 프록시만 허용합니다. 비상(Break-glass) 경로는 2인 승인, 시간 제한, 세션 녹화까지 포함해 문서로 고정합니다(편의를 위한 상시 예외는 열어두지 않습니다).
  • 로그 통합·이상탐지 시연: 계정 승격, 루트 접근, 리전 간 데이터 이동 등 3개 시나리오를 정해 재현→탐지→알림→조치 흐름을 데모 스크립트로 고정합니다. NTP/시계 동기화, 원본 보존(Write-Once), 보관 기간·조회 권한을 함께 표기해 추적 가능성을 높입니다.
  • 패치·권한 자동화: 주·월 정기 패치를 파이프라인에 올리고, 운영 계정은 JIT/JEA로 발급·회수 로그를 남깁니다. 변경관리(CAB) 이력과 릴리스 노트를 증적으로 연결해 평가 중 흔들림을 줄입니다.

결론: 국내 상주 요건과 운영 분리를 아키텍처 도면에 선명히 표시하고, 15분 시연 시나리오를 미리 준비해 두면 서면·현장 검증의 연결이 매끈해집니다. 현장 점검이 두 차례면 시연의 비중도 커집니다.

다음 행동: 오늘 중 도면에 KR-only 라벨과 관리망 경계선을 추가하고, 계정 승격 탐지 데모(트리거→알림→조치) 스크립트 초안을 작성해 두세요.

CSAP 2025 SaaS 수수료.
CSAP 2025: 합격률 높이는 ‘필독’ 가이드 — SaaS 수수료·심사범위 12문 체크(판교 전용표) 5

증적 팩 표준화 — Traceability로 닫기

첫 심사에서는 ‘좋아 보이는 시스템’보다 증명 가능한 운영이 통합니다. 정책–지침–운영기록–지표가 한 줄로 이어져야 심사원이 같은 자리에서 맥락을 빠르게 복원합니다.

핵심은 문서와 기록을 하나의 폴더 흐름으로 묶는 일입니다. 예) 접근권한 정책 ↔ ID 관리(IDAM, Identity & Access Management) 절차 ↔ 권한변경 티켓·월간 검토 로그 ↔ ‘권한 초과 0건’ KPI(따라서 확인·보고 시간이 짧아집니다). 이렇게 연결해 두면 연차 사후평가에서도 그대로 재사용됩니다.

  • 최상위 4폴더 고정: 01_Policy, 02_Procedure, 03_Records, 04_KPI.
  • 이름·버전 규칙: 영역_문서명_vYYYY-MM-DD.확장자. 각 파일 첫 페이지에 상·하위 문서로 가는 상대 링크(Policy↔Procedure↔Records↔KPI)를 넣습니다. 화려한 템플릿을 더 만드는 일은 하지 않습니다. 규칙만 단순·일관하게 유지합니다.
  • 체인 예시 경로: 01_Policy/AccessControl_v2025-02-10.pdf → 02_Procedure/IDAM_SOP_v2025-02-10.pdf → 03_Records/IDAM/2025-03/priv-change_tickets.csv → 04_KPI/access-excess_monthly_2025.xlsx.
  • 변경 로그 일원화: /99_ChangeLog/CHANGELOG.md에 날짜·작성자·변경 이유·영향 범위를 기록하고, 구버전은 archive/YYYY-MM/에 둡니다(문서 내 링크는 최신본을 가리키도록 유지).

“시스템 화면만 보여주면 되지 않나?”라는 의문이 있을 수 있습니다. 화면 캡처는 일회성이라 재현성이 약하고, 심사에서는 재현 가능한 증적일관된 위치가 결국 시간을 줄입니다.

다음 행동: 오늘은 한 체인만 완성해 보세요. 권한 정책 1건부터 시작해 지침–티켓 로그–월간 KPI까지 4개 파일을 만들고, 서로 링크로 묶으면 됩니다. 처음에는 번거로워도 한 번 묶이면 이후 업데이트가 훨씬 수월합니다.

판교 전용표(내부 운영용) 구성 제안

권장 열: 서비스모듈 / 데이터등급 / 목표등급(표준·간편) / 기반 IaaS 등급·리전 / 예비점검 범위 / 현장-서면 배치 / 증적 소유자(ENG·SEC·OPS) / 마일스톤(접수~위원회) / 수수료·외주·내부시간(TCO) / 사후평가 로드맵 / (옵션) 벤치마킹 사업자.

머니 블록 #4 — 견적 준비물(비교 전 모을 것)

  • 조직·서비스 개요서(개인정보 유무·민감도·트래픽)
  • IaaS 계약, 가용 리전·백업, 운영 인력 국내 증빙
  • 정책·절차·로그 샘플(접근·패치·격리·DR·IR)
  • 서브프로세서 목록과 계약부속서(국외전송 여부 포함)
  • 연도별 사후평가·갱신 예상안(5년 TCO 표)

결론: 전용표에 소유자와 마감일을 넣고, 템플릿으로 일괄 수집하라.

바로 실행(7일 스프린트)

  1. D1: IaaS 등급·리전·백업·운영 인력 현황표 작성. 국내 요건 갭 파악.
  2. D2: 예비점검용 스코프 패킷(자산대장·다이어그램·서브프로세서) 완성.
  3. D3: 서면/현장 분할 전략과 증적 맵핑 수립(현장 2회 기준).
  4. D4: 로그·권한·패치·격리 강화 항목 운영증적 샘플 생성.
  5. D5: 5년 TCO 표(최초·사후·갱신·외주·내부 인건비·지원금 포함).
  6. D6: RFP 캘린더 역산 Gantt(평균 2.5–5개월) 공유.
  7. D7: ‘판교 전용표’ 채우고 예비점검 일정 픽스.

결론: 7일 안에 예비점검 제출물 형태를 고정하고, 이후는 증적 업데이트에 집중하라.

Show me the nerdy details

2025-02 기준 사후평가는 유효기간 5년 동안 매년 시행되며, 갱신평가 통과 시 5년이 재부여됩니다. 현장평가 2회 체제는 서면평가 비중을 높여 증적 연결성의 중요도를 올립니다. (KISA, 2025-02; ZDNet Korea, 2025-02)

또한 2025-01 수수료 설명회에 따라 산정 기준과 사후 서면평가 운영 방식이 개선되었고, 연간 무상이 아님이 명확해졌습니다. (KISA, 2025-02)

통계로 보는 CSAP 시장 기회

공공 클라우드 시장은 빠르게 성장 중이며, CSAP는 진입의 핵심입니다.

📊공공 부문이 클라우드 도입 시 가장 우려하는 것

보안에 강한 이미지45%
법적 안정성 / 규제 준수30-33%
데이터 보호 및 보안47%

📈공공 시장 성장

+23%

공공 부문 클라우드 시장
(전년 대비 성장률)

🏢클라우드 공급 기업

93%

국내 클라우드 공급 기업 중
중소기업(SME) 비중

🚀CSAP 인증 발급 가속화

27(22년) ➔ 44(23년) ➔ 78(24년)

연도별 신규 인증서 발급 현황 (KISA 기준)

CSAP 2025 합격의 3대 레버

블로그 본문에서 강조하는 합격률을 높이는 핵심 원칙입니다.

🔗핵심 원칙: 증적 연결성 (Traceability)

정책부터 지표까지 모든 운영 증적이 배선처럼 한 줄로 이어져야 합니다.

정책
절차
운영기록
지표

🗓️소요 기간: D-150

  • 평균: 2.5 ~ 5개월
  • 권장: RFP 캘린더 기준 D-150 역산
  • 핵심: 현장 평가 2회 대비

CSAP D-150: 준비태세 자가진단

지금 바로 팀의 준비 상태를 체크하고 다음 단계를 계획하세요.

🚀 7일 스프린트 핵심 체크리스트

0% 완료

FAQ

Q1. 유효기간과 사후평가 주기는?

A1. 유효기간은 5년이며, 기간 내 매년 사후평가가 필수입니다. 갱신평가 통과 시 5년이 다시 부여됩니다. (KISA, 2025-02)
60초 액션: 연간 캘린더에 사후평가 리마인더를 고정하세요.

Q2. 2.5–5개월로 RFP에 맞추려면?

A2. 예비점검 전 스코프 락과 서면/현장 분할 전략이 핵심입니다. RFP 기준 D-150 역산을 권장합니다. (KISA, 2025-02)
60초 액션: 오늘 Gantt 초안을 만들고 이해관계자 일정을 블록하세요.

Q3. 수수료는 얼마나 들고 지원은 있나?

A3. 2025 수수료 산정 기준과 사후 서면평가 운영이 개편되었습니다. 지원 공고가 별도로 있으나 TCO는 보수적으로 잡으세요. (KISA, 2025-02)
60초 액션: 최초·사후·갱신·외주·인건비를 5년 표로 합산하세요.

Q4. 간편과 표준 중 무엇을 택해야 하나?

A4. 개인정보 미처리·저위험이면 간편이 빠르고, 민감정보·공공 핵심이면 표준이 적합합니다. 첫 레퍼런스는 간편에서 시작해 표준으로 단계 전환하는 방법이 있습니다.
60초 액션: 데이터 민감도와 공공 영향도를 점수화하세요.

Q5. 현장평가 2회에서 무엇을 데모하나?

A5. 격리·탐지·차단 같은 운영 증명을 우선하고, 서면에서는 정책→절차→로그의 연결성을 닫으세요. (ZDNet Korea, 2025-02)
60초 액션: 현장 데모 5개를 정해 리허설을 시작하세요.

Q6. 해외 CSP도 가능한가?

A6. 저위험 등급에서 진전이 있었으나 국내 상주 요건 등 데이터 주권 요구는 여전히 강합니다.
60초 액션: 운영 인력·백업·관리 기능의 국내 충족 증빙을 점검하세요.

결론 — 15분 내 다음 단계

CSAP 2025의 승부처는 연결된 증적정렬된 달력입니다. 화려한 기능보다 어제처럼 오늘도 동일하게 돌아간다는 증명이 먼저 설득합니다. 이 글에서 제시한 12문 체크, D−150 역산, 5년 TCO, 그리고 ‘판교 전용표’만 제대로 잠그면—등급·스코프·수수료·운영증거가 한 화면에서 닫히며 합격률은 자연스럽게 올라갑니다.

지금 15분 플랜
  1. 판교 전용표를 열고 모듈·데이터등급·목표등급·IaaS 리전/백업·증적 소유자(ENG/SEC/OPS)·마감일을 즉시 기입.
  2. D−150 역산으로 예비점검·현장(2회)·위원회 일정을 내부 캘린더에 고정.
  3. 증적 팩 체인 1개(권한 정책→IDAM SOP→권한변경 티켓→KPI)부터 완성해 폴더 규칙을 팀 표준으로 선언.
  4. 표준/간편 선택 근거(데이터 민감도·공공 영향도)를 문장으로 고정하고, IaaS 등급·국내 상주와 1:1 매핑.
  5. 5년 TCO 표를 열어 최초·사후(연)·갱신·외주·내부 인건비를 보수적으로 합산.

성공의 기준(Exit Criteria) — 예비점검 직전 체크

  • 스코프 락: 다이어그램의 “심사 포함/제외”가 자산대장·서브프로세서 목록과 1:1 일치한다.
  • 서면/현장 배치: 정책→절차→로그→KPI는 서면, 격리·탐지·차단은 현장 데모로 시나리오가 완성되었다.
  • 국내 상주·분리: 관리 콘솔/백업/운영 인력 국내 충족과 관리망 분리가 구성도·ACL·감사로그로 증명된다.

리스크 관리 요약 — 낙관은 일정에서, 보수는 증적에서 금물입니다. 현장 2회 체제라고 난도가 낮아진 것이 아닙니다. 형식만 추가하는 대응은 심사 중 흔들립니다. 대신, 재현 가능한 로그일관된 위치에 둔 증적, 그리고 사후평가(연)까지 내다본 예산이 팀을 지켜 줍니다.

Short note. 판교의 어느 오후, PM이 ‘증적 팩’ 폴더를 열어 정책–절차–티켓–KPI를 10초 만에 이어 보여주자 회의의 공기가 바뀌었습니다. 심사는 결국 운영을 보여주는 기술입니다. 오늘 단 하나의 체인부터 묶어 두세요. 내일의 두 번째 체인은 훨씬 쉬워집니다.

마지막 한 줄: 스코프를 잠그고, 증적을 잇고, 달력을 맞추라. 나머지는 리허설이 끝냅니다.

📘 Read a practitioner guide

CSAP 2025 인포그래픽 — 12문 체크 맵

스코프
  • IaaS 등급·리전
  • 자산·경계
  • 서브프로세서
증적
  • 정책→절차→로그
  • 로그 통합/탐지
  • 권한/패치 자동화
평가
  • 서면 3
  • 현장 2
  • 모의침투/취약점
위원회
  • 발급
  • 사후평가(매년)
  • 갱신(5년)

※ 본 글은 법률·의료·투자 자문이 아닙니다. 최신 공식 문서와 기관 공지를 반드시 확인하세요. (KISA, 2025-02)

마지막 검토: 2025-10 • 참고: KISA 안내서(2025-02), 2025 수수료 설명회(2025-01), ZDNet Korea 보도(2025-02)

CSAP 2025, SaaS 표준등급, 사후평가, 데이터 주권, 판교 전용표

🔗 RAG 파인튜닝 브레이크이븐 계산기 Posted 2025-10-13 07:59 UTC 🔗 로컬 vs 클라우드 LLM 비용 계산법 Posted 2025-10-09 10:55 UTC 🔗 NotebookLM 오디오 오버뷰 Posted 2025-10-03 07:39 UTC 🔗 인공지능 개념 지도 Posted 2025-10-03 07:39 UTC