•
•
해당 페이지를 지속적으로 모니터링하고 지켜지고 있는지 확인해야 함
•
개인 정보 관리 및 회사에서 유저의 데이터를 어떻게 관리하고 있는지에 대한 현황 공유 목적
1.
Trust Center
고객, 파트너, 및 기타 이해 관계자들에게 자사의 보안, 개인 정보 보호, 규정 준수 및 데이터 보호 정책과 활동을 투명하게 공개하는 웹 포털 또는 섹션입니다. 이를 통해 기업은 신뢰를 구축하고 자사의 보안 표준 및 프레임워크 준수 사항을 명확히 설명하며, 고객이 자사 데이터를 안전하게 처리하고 있다는 확신을 가질 수 있도록 도와줍니다.
1. 보안 및 규정 준수 정책: 조직의 데이터 보안, 규정 준수 프로그램, 표준 및 인증(예: ISO 27001, SOC 2, GDPR 등)에 대한 세부 정보
2. 개인 정보 보호 정책: 조직이 고객 데이터 및 개인 정보를 어떻게 수집하고, 사용하고, 저장하며 보호하는지에 대한 설명
3. 데이터 관리 및 보호: 조직의 데이터 암호화, 데이터 관리 절차, 백업 및 복구 정책에 대한 정보
4. 감사 및 인증: 조직이 획득한 다양한 보안 인증, 감사 결과, 규정 준수 보고서에 대한 정보
5. 사이버 위협 및 사고 대응: 보안 사고 대응 계획, 침해 대응 절차, 및 고객에게 위협이 발생했을 경우 취할 수 있는 조치에 대한 세부 사항
접근 통제 및 권한 부여
접근 권한 부여 프로세스 사용
최소 권한 원칙에 따라 새로운 접근 권한이 부여되도록 공식적인 접근 권한 부여 프로세스를 구현하며, 새로운 접근 권한 부여 시 최소 한 명의 직원의 승인이 필요하도록 합니다.
민감 데이터 접근 요청 필수
직원이 민감한 데이터에 접근하려면 요청서를 제출해야 하며, 이 요청은 승인되고 모니터링됩니다.
민감한 인프라에 대한 접근 요청 필수
직원이 민감한 인프라 구성 요소에 접근하려면 요청서를 제출해야 하며, 이 요청은 승인되고 모니터링됩니다. 이 통제는 인프라 구성 요소에 대한 접근이 허가된 인원에게만 부여되도록 하여 위험을 최소화합니다.
접근 권한 해지 프로세스 시행
더 이상 접근 권한이 필요하지 않은 사용자로부터 신속하게 접근 권한을 제거하는 강력한 접근 해지 프로세스를 시행합니다. 이를 통해 퇴사 직원이나 불필요한 접근 권한을 가진 사용자가 조직 자원에 무단 접근하는 것을 방지합니다.
계정 인벤토리 유지
조직 시스템 및 서비스에 접근할 수 있는 모든 사용자 계정의 정확하고 최신 상태의 인벤토리를 유지합니다. 이 인벤토리에는 계정 소유자, 접근 권한 및 관련 역할에 대한 세부 정보가 포함되어야 합니다.
휴면 계정 비활성화
정기적으로 사용자 계정을 검토하고 장기간 활동이 없는 계정을 비활성화하거나 제거합니다. 휴면 계정은 무단 접근이나 오용의 대상이 될 수 있는 보안 위험을 초래합니다.
관리자 접근에 MFA 필수
관리자 접근이 필요한 시스템 및 서비스에는 다중 인증(MFA)을 요구합니다. MFA는 무단 관리 접근의 위험을 줄이고 민감한 관리자 기능을 보호하는 데 도움이 됩니다.
애플리케이션에 MFA 필수
외부에 노출된 엔터프라이즈 또는 타사 애플리케이션에서 MFA를 지원할 경우 이를 강제 적용합니다. 디렉토리 서비스 또는 SSO 제공자를 통한 MFA 구현은 이 보호 조치의 만족스러운 구현으로 간주됩니다.
인프라 접근에 MFA 필수
민감한 인프라에 접근할 때 다중 인증(MFA)을 요구합니다. MFA는 사용자가 비밀번호 외의 추가 인증 요소를 제공해야 하므로 보안 수준을 강화합니다.
비밀번호 관리 정책 시행
강력하고 복잡한 비밀번호 사용을 요구하고, 이전에 사용한 비밀번호의 재사용을 금지하는 비밀번호 관리 정책을 시행합니다. 이 정책은 약한 비밀번호나 손상된 비밀번호로 인한 사용자 계정의 무단 접근을 방지하는 데 도움이 됩니다.
데이터 관리 및 보호
데이터는 저장 시 암호화
시스템 또는 장치에 저장될 때 모든 민감한 데이터를 암호화합니다. 저장 시 데이터 암호화는 민감한 정보에 대한 무단 접근을 방지하는 데 도움이 됩니다.
데이터는 전송 중 암호화
조직의 내부 네트워크 및 외부 연결에서 전송되는 모든 데이터를 암호화합니다. 전송 중 데이터 암호화는 민감한 정보가 도청되거나 무단 접근되는 것을 방지하는 데 도움이 됩니다.
데이터 인벤토리 유지
모든 데이터 자산의 정확하고 상세하며 최신 상태의 인벤토리를 유지합니다. 여기에는 데이터베이스, 파일 공유 및 클라우드 저장소에 저장된 데이터가 포함될 수 있습니다.
데이터는 민감도에 따라 라벨링
모든 데이터는 민감도 수준에 따라 라벨링됩니다. 이를 통해 민감한 정보를 보호하기 위해 적절한 접근 통제 및 처리 절차가 적용됩니다.
데이터 관리 및 보존 정책 수립
데이터의 수명 주기 동안 어떻게 관리되고 얼마나 오랫동안 보존되어야 하는지에 대한 지침을 제공하는 데이터 관리 및 보존 정책을 수립합니다.
재해 복구
자동 백업 활성화
모든 고위험 데이터 및 중요 시스템에 대해 자동 백업을 활성화합니다. 자동 백업은 중요한 데이터를 정기적이고 안전하게 백업하여 재해나 사이버 사건 발생 시 데이터 손실 위험을 줄입니다.
업무 연속성 및 재해 복구 정책 수립
업무 중단 사고에 대응하고 업무 연속성을 보장하기 위한 조직의 전략을 제시하는 포괄적인 업무 연속성 및 재해 복구 정책을 수립합니다. 이 정책은 재해 복구 노력 및 복원력 계획을 안내합니다.
데이터 복구 프로세스 수립
데이터 손실, 손상 또는 시스템 장애 시 데이터를 복구하는 절차를 정의하는 데이터 복구 프로세스를 수립합니다. 강력한 데이터 복구 프로세스는 중요한 상황에서 다운타임과 데이터 손실을 최소화하는 데 도움이 됩니다.
재해 복구 계획 테스트
조직의 재해 복구 계획을 정기적으로 테스트하여 효과를 확인하고 개선할 부분을 식별합니다. 테스트는 재해 발생 시 중요 시스템 및 운영을 복구할 수 있는 능력을 검증하는 데 도움이 됩니다.
복구 데이터 격리
복구 데이터를 운영 환경에서 분리하여 백업이 실수로 덮어씌워지거나 손상되지 않도록 합니다. 복구 데이터를 분리하면 백업 사본의 무결성과 가용성을 유지할 수 있습니다.
이메일 보안
DMARC 정책 및 검증 사용
DMARC(도메인 기반 메시지 인증, 보고 및 준수) 정책 및 검증 메커니즘을 구현하고 활용하여 이메일 스푸핑 및 피싱 공격을 방지합니다. DMARC는 조직의 이메일 도메인을 무단 사용으로부터 보호하는 데 도움이 됩니다.
이메일 계정 접근 제한
이메일 계정 접근은 관리자에게만 허용되며, 조직 내의 다른 비관리자 사용자에게 위임되지 않습니다.
이메일 설정은 악성 콘텐츠 차단
이메일 설정은 악성 첨부 파일, 링크 및 스크립트를 포함한 악성 콘텐츠를 차단하도록 구성됩니다.
Endpoint 보안
사용자 장치에 안티멀웨어 배포
사용자 장치(예: 노트북, 워크스테이션)에 안티멀웨어 또는 안티바이러스 솔루션을 배포합니다. 이는 사용자 활동을 통해 도입될 수 있는 악성코드 위협에 대한 추가 보호 계층을 제공합니다.
사용자 장치의 데이터는 암호화됨
사용자 장치(예: 노트북, 모바일 장치)에 저장된 데이터를 암호화하여 장치 분실 또는 도난 시 보호합니다. 암호화는 추가 보안 계층을 제공하며, 장치가 잘못된 사람의 손에 들어가더라도 적절한 복호화 키 없이는 데이터를 액세스할 수 없도록 보장합니다.
사용자 장치에 방화벽 유지
사용자 장치(예: 노트북, 워크스테이션)에 방화벽이 설치되고 적절하게 유지되도록 합니다. 사용자 방화벽은 무단 네트워크 트래픽으로부터 추가 보호를 제공합니다.
모바일 기기 관리(MDM) 사용
사용자 장치를 관리하고 보호하기 위해 모바일 기기 관리(MDM) 솔루션을 활용합니다. 이를 통해 민감한 데이터를 보호하고, 기기 규정 준수를 보장하며, IT 직원에게 기기 관리 기능을 제공합니다.
사용자 장치에 대한 소프트웨어 인벤토리 유지
엔터프라이즈 자산에 설치된 모든 라이선스 소프트웨어에 대한 정확하고 상세하며 최신 상태의 인벤토리를 유지합니다. 여기에는 사용자 장치와 서버가 포함됩니다.
사용자 장치에 무단 소프트웨어 제거 및 처리
엔터프라이즈 자산에서 무단 소프트웨어는 사용이 중지되거나 문서화된 예외가 부여됩니다. 소프트웨어 정책 준수를 보장하기 위해 월별로 또는 위험 수준에 따라 더 자주 검토합니다.
인프라 보안
능동적 자산 탐지 도구 사용
조직의 네트워크에 연결된 자산을 식별하기 위해 능동적 탐지 도구를 사용합니다. 이 탐지 도구는 매일 또는 더 자주 실행되도록 구성해야 합니다.
클라우드 스토리지 버킷은 공용으로 노출되지 않음
클라우드 스토리지 버킷이 공용 인터넷에 노출되지 않도록 보장합니다. 잘못 구성된 공용 접근 설정은 무단 접근이나 데이터 노출을 초래할 수 있습니다.
구성 관리 시스템 수립
시스템, 애플리케이션 및 인프라의 구성을 관리하고 통제하기 위한 구성 관리 시스템을 구현합니다. 구성 관리는 IT 환경 전반에서 일관성과 보안을 유지하는 데 도움을 줍니다.
방화벽은 인프라에 대한 공용 접근을 제한
조직의 인프라 구성 요소에 대한 공용 접근을 제한하기 위해 방화벽을 구성합니다. 적절한 방화벽 규칙은 중요한 시스템이 공용 인터넷에 노출되는 것을 최소화합니다.
인프라 변경 사항은 기록됨
중요 시스템 및 서비스에서 발생한 모든 인프라 변경 사항을 추적하고 기록하여 문서화합니다. 인프라 변경 기록은 감사 추적, 사고 조사 및 책임 추적에 도움을 줍니다.
인프라 변경 사항은 검토 필요
모든 인프라 변경 사항은 구현 전에 검토 과정을 거쳐야 합니다. 검토 과정은 변경 사항이 보안 정책을 준수하고, 취약점을 초래하지 않으며, 조직의 요구사항에 부합하는지 확인합니다.
인프라는 코드로서 도구를 사용해 배포
조직의 인프라 구성 요소를 배포하고 관리하기 위해 코드로서의 인프라(IaC) 접근 방식을 채택합니다. IaC 도구는 일관되고 버전 관리된 인프라 배포를 가능하게 하여 구성 오류의 위험을 줄입니다.
프로덕션 배포 접근 제한
프로덕션 배포 환경에 대한 접근을 승인된 인원에게만 제한합니다. 이 통제는 무단 변경이나 배포로 인한 중요한 서비스의 중단을 방지하는 데 도움이 됩니다.
무단 자산은 처리 및 제거됨
주기적으로 무단 자산을 처리하기 위한 절차가 마련되어야 합니다. 이 절차에는 모든 자산에 대한 정기적인 감사와 무단 자산이 발견될 때 처리하는 절차가 포함됩니다.
프로덕션 데이터베이스의 고유한 인증 강제
고유한 사용자 이름과 비밀번호 또는 SSH 키와 같은 고유 인증 메커니즘을 사용해 프로덕션 데이터베이스 접근을 강제합니다.
VPN 사용
조직의 내부 네트워크와 사용자 간의 원격 통신을 보호하기 위해 가상 사설망(VPN)을 사용합니다. VPN은 암호화되고 인증된 터널을 제공하여 신뢰할 수 없는 네트워크에서 안전한 데이터 전송을 보장합니다.
웹 애플리케이션 방화벽(WAF) 사용
SQL 인젝션, 크로스 사이트 스크립팅 및 기타 애플리케이션 계층 공격과 같은 다양한 사이버 위협으로부터 웹 애플리케이션을 보호하기 위해 웹 애플리케이션 방화벽(WAF)을 구현합니다.
모니터링 및 사고 대응
감사 로그 관리 프로세스 유지
강력하고 최신 상태의 감사 로그 관리 프로세스를 유지합니다. 이 프로세스에는 보안 이벤트 데이터의 가용성과 무결성을 보장하기 위한 감사 로그의 수집, 저장 및 모니터링에 대한 지침이 포함됩니다.
감사 로그 수집
중요 시스템 및 애플리케이션에서 감사 로그 수집을 활성화합니다. 감사 로그는 중요한 보안 이벤트와 활동을 기록하여 사고 탐지, 조사 및 준수에 유용한 정보를 제공합니다.
사고 대응 정책 수립
사이버 보안 사고 탐지, 대응 및 복구에 대한 조직의 접근 방식과 절차를 규정하는 사고 대응 정책을 수립합니다. 이 정책은 보안 침해의 영향을 최소화하는 데 도움이 됩니다.
인프라 성능 모니터링
조직의 인프라 구성 요소 성능을 모니터링하여 최적의 운영을 유지하고 보안 또는 신뢰성에 영향을 미칠 수 있는 잠재적 문제나 이상 징후를 탐지합니다.
로그 관리 사용
중앙 집중식 로그 관리 솔루션을 구현하여 다양한 시스템 및 애플리케이션에서 로그를 수집, 저장 및 분석합니다. 중앙 집중식 로그 관리는 잠재적인 보안 사고에 대한 로그 검토, 상관 관계 분석 및 모니터링을 단순화합니다.
네트워크 인프라 모니터링
네트워크 인프라에 대한 모니터링 메커니즘을 구현하여 의심스럽거나 무단 활동을 탐지하고 대응합니다. 네트워크 모니터링은 네트워크 자원의 무결성과 가용성을 보장하는 데 도움을 줍니다.
조직 보안
자산 관리 정책 수립
조직의 자산을 수명 주기 전반에 걸쳐 관리하기 위한 지침을 규정한 자산 관리 정책을 수립합니다.
외부 계약자는 행동 강령에 서명
조직과 협력하는 모든 계약자 및 외부 벤더는 조직의 행동 강령을 인정하고 준수해야 합니다. 이는 외부 파트너가 또한 윤리적 기준을 준수하도록 보장합니다.
직원은 행동 강령에 서명
모든 직원은 조직의 행동 강령을 인정하고 이에 동의했습니다. 행동 강령은 모든 직원이 준수해야 하는 기대되는 행동과 윤리적 기준을 명시합니다.
행동 강령 수립
모든 직원에게 기대되는 행동과 윤리적 기준을 명시한 행동 강령을 수립합니다. 행동 강령은 긍정적인 작업 환경을 조성하고 성실성 문화를 촉진하는 데 도움이 됩니다.
회사 약속을 외부에 알림
마스터 서비스 계약(MSA), 보안 정보 페이지, 서비스 약관 등 주요 회사 약속과 정책을 외부에 알립니다. 외부 커뮤니케이션은 고객에게 중요한 계약 및 보안 정보를 제공합니다.
외부 계약자는 비밀 유지 계약에 서명
모든 계약자 및 외부 벤더에게 비밀 유지 계약을 인정하고 서명하도록 요구합니다. 이 계약은 외부 당사자와 공유된 민감한 정보가 무단으로 공개되지 않도록 보장합니다.
직원은 비밀 유지 계약에 서명
모든 직원은 비밀 유지 계약에 서명했으며, 이를 통해 민감한 정보와 영업 비밀을 보호할 책임이 강화됩니다.
상세한 자산 인벤토리 유지
데이터를 저장하거나 처리할 가능성이 있는 모든 엔터프라이즈 자산에 대한 정확하고 상세하며 최신 상태의 인벤토리를 유지합니다. 여기에는 사용자 장치, 네트워크 장치, IoT 장치 및 서버가 포함됩니다.
개발 생명 주기 수립
소프트웨어 및 애플리케이션에 대한 잘 정의되고 문서화된 개발 생명 주기를 구현합니다. 구조화된 개발 생명 주기는 보안 코딩 관행, 품질 보증 및 적시 소프트웨어 출시를 지원합니다.
외부 지원 리소스 제공(문서 포함)
조직의 서비스를 효과적으로 활용할 수 있도록 문서, 사용자 가이드 및 지식 기반과 같은 외부 지원 리소스를 제공합니다. 접근 가능한 지원 리소스는 셀프 서비스 지원을 촉진하고 지원 요청을 줄이는 데 도움이 됩니다.
오프보딩 프로세스 수립
퇴사하는 직원이 모든 회사 자산을 반환하고 관련 시스템 및 계정에서 제거되도록 하는 오프보딩 프로세스를 수립합니다. 오프보딩은 조직의 자산과 데이터를 보호하는 데 도움이 됩니다.
온보딩 프로세스 수립
신입 직원이 직무 책임을 수행할 수 있도록 적절하게 교육을 받고 장비를 갖추도록 하는 온보딩 프로세스를 수립합니다. 온보딩은 신입 직원이 조직에 빠르게 적응하고 생산성을 높이는 데 도움이 됩니다.
업무 성과 평가 실시
직원의 직무 성과를 평가하고 개선이 필요한 영역을 식별하며 우수한 기여를 인정하기 위해 정기적인 성과 평가를 실시합니다. 성과 평가는 인재 개발 및 성과 관리에 기여합니다.
물리적 접근 제한
조직의 시설, 장비 및 시스템에 대한 물리적 접근을 허가된 인원에게만 제한합니다. 물리적 접근 통제는 조직의 자산과 데이터를 무단 접근, 도난 및 오용으로부터 보호하는 데 도움이 됩니다.
직원에 대한 참고 확인 수행
신입 직원을 채용할 때, 그들의 자격, 경험 및 해당 직무에 적합한지를 확인하기 위해 참고 확인을 수행합니다. 참고 확인은 후보자의 정직성과 신뢰성을 확인하는 데 도움이 됩니다.
역할 및 책임 명시
모든 직원의 역할과 책임을 명확히 정의합니다. 역할을 명시함으로써 책임감을 부여하고 직원들이 자신의 직무와 기대치를 이해할 수 있도록 합니다.
보안 인식 교육 실시
모든 직원에게 다양한 사이버 보안 위협과 최선의 보안 실천에 대해 정기적인 보안 인식 교육을 제공합니다. 보안 인식 교육은 조직 내에서 보안 의식을 고취시키는 데 도움이 됩니다. 보안 인식 교육에는 소셜 엔지니어링 공격을 인식하고 대응하는 방법, 비밀번호 관리 및 다중 인증(MFA)과 같은 인증 모범 사례, 그리고 민감한 데이터를 취급하고 보호하는 최선의 방법에 대한 교육이 포함됩니다.
서비스 설명서 제공
고객이나 사용자에게 제공되는 서비스의 범위, 기능 및 제한 사항을 명확하고 상세하게 설명합니다. 서비스 설명서는 적절한 기대치를 설정하고 투명성을 증진하는 데 도움이 됩니다.
시스템 변경 사항 외부에 공지
시스템 변경 사항, 업데이트 또는 유지보수 활동과 같은 정보는 영향을 받을 수 있는 외부 사용자나 고객에게 공지됩니다. 외부 커뮤니케이션은 기대치를 관리하고 투명성을 유지하는 데 도움이 됩니다.
시스템 변경 사항 내부에 공지
시스템 변경 사항, 업데이트 및 유지보수 활동은 관련 팀과 이해관계자에게 내부적으로 공지됩니다. 내부 커뮤니케이션은 노력을 조율하고 잠재적인 중단을 최소화하는 데 도움이 됩니다.
위험 관리
위험 평가 수행
조직의 자산에 영향을 미칠 수 있는 잠재적 위협과 취약점을 식별하고 평가하기 위해 정기적으로 위험 평가를 수행합니다. 위험 평가는 보안 노력을 우선시하고 위험 완화 전략을 수립하는 데 도움을 줍니다.
서비스 제공업체 인벤토리 유지
조직과 계약한 모든 서비스 제공업체에 대한 정확하고 최신 상태의 인벤토리를 유지합니다. 이 인벤토리에는 제공되는 서비스, 계약 세부 정보 및 서비스 제공업체가 가진 접근 범위와 같은 정보가 포함되어야 합니다.
서비스 제공업체는 데이터 민감도에 따라 분류됨
서비스 제공업체는 조직을 대신하여 처리하거나 관리하는 데이터의 민감도에 따라 분류됩니다. 이 분류는 서비스 제공업체와 공유된 다양한 유형의 데이터에 대해 적절한 데이터 보호 조치와 준수 요구사항을 적용하는 데 도움이 됩니다.
서비스 제공업체는 위험 수준에 따라 분류됨
서비스 제공업체는 조직의 데이터와 운영에 대한 위험 수준에 따라 분류됩니다. 이 분류는 각 서비스 제공업체에 대한 위험 평가, 보안 검토 및 적절한 보안 통제를 우선적으로 적용하는 데 도움이 됩니다.
벤더 관리 프로그램 수립
제3자 벤더 및 서비스 제공업체와 관련된 위험을 평가, 모니터링 및 관리하기 위한 벤더 관리 프로그램을 구현합니다. 이 프로그램은 외부 파트너가 보안 및 준수 기준을 충족하도록 보장합니다.
취약점 관리
자동화된 소프트웨어 패치 관리 수행
시스템 및 애플리케이션에 소프트웨어 패치와 업데이트를 배포하는 과정을 자동화합니다. 자동화된 패치 관리는 알려진 취약점에 대한 중요한 보안 패치가 신속하게 적용되도록 보장합니다.
취약점 스캔 및 해결
시스템 및 애플리케이션에서 정기적으로 취약점 스캔을 실시하여 잠재적 보안 결함을 식별합니다. 탐지된 취약점은 신속하게 해결하여 악용 위험을 최소화합니다.
직원은 취약점 관리 정책에 서명
모든 직원은 취약점 관리 정책에 서명하고 이를 준수합니다. 이 정책은 조직 시스템 및 애플리케이션의 취약점을 식별, 평가 및 해결하기 위한 절차를 규정합니다.
취약점 관리 정책 수립
조직 시스템 및 애플리케이션의 취약점을 식별, 평가 및 해결하기 위한 절차를 규정한 취약점 관리 정책을 수립합니다.