독립적 평가
관련 표준에 따라 최소 연 1회 독립적인 감사 및 보증 평가를 수행합니다.
AI/ML 시스템을 위해 특별히 설계된 Cloud Security Alliance의 보안 통제 프레임워크
Cloud Security Alliance의 AI Controls Matrix는 AI/ML 시스템을 위해 특별히 설계된 보안 통제 프레임워크입니다. 2026년 6월 공개된 v1.1 기준 18개 보안 도메인, 247개 통제 목표로 구성되며, ISO/IEC 42001, ISO/IEC 27001 등과 매핑됩니다. CSA는 이를 기반으로 STAR for AI 인증 프로그램을 운영합니다.
CSA AI Controls Matrix의 핵심 조항과 요구사항을 정리했습니다.
관련 표준에 따라 최소 연 1회 독립적인 감사 및 보증 평가를 수행합니다.
감사에 적용되는 모든 관련 표준, 규정, 법적/계약적 및 법정 요구사항의 준수를 검증합니다.
감사 계획, 리스크 분석, 보안 통제 평가, 결론, 수정 일정, 보고서 생성 및 과거 보고서 검토를 지원하기 위해 글로벌 감사 표준에 부합하는 감사 관리 프로세스를 정의하고 구현합니다.
애플리케이션 보안을 위한 기준 요구사항을 수립, 문서화 및 유지합니다.
조직이 정의한 보안 요구사항에 따라 애플리케이션 요구사항 분석, 계획, 설계, 개발, 테스트, 배포 및 운영을 위한 소프트웨어 개발 수명주기(SDLC) 프로세스를 정의하고 구현합니다.
AI 시스템의 거버넌스를 위한 프로그램을 수립하고 유지합니다.
AI 시스템의 리스크를 식별, 평가 및 관리하기 위한 리스크 관리 프로그램을 수립합니다.
AI 시스템 운영을 위한 정책 및 절차를 수립, 문서화 및 유지합니다.
AI 시스템에 대한 사용자 접근을 관리하고 통제합니다.
최소 권한 원칙에 따라 AI 시스템에 대한 권한을 관리합니다.
AI 시스템 활동에 대한 로깅 및 모니터링을 구현합니다.
보안 및 규정 준수 요구사항에 따라 로그를 보존합니다.
AI 시스템의 취약점을 식별하고 관리하기 위한 프로그램을 수립합니다.
정기적으로 AI 시스템의 취약점 평가를 수행합니다.
AI 시스템에서 처리되는 데이터를 분류하고 적절히 보호합니다.
AI 시스템에서 개인정보를 보호하기 위한 통제를 구현합니다.