2016.11.18

사이버보안 규제 대상 기업에 도움될 베스트 프랙티스 7선

Ryan Francis | CSO
컴플라이언스 표준을 따르는 조직에서 일하든 독립 IT회사에서 일하든, 사이버보안과 관련이 있다면 산업 규제를 이해하는 것은 매우 중요하다. 드라이브세이버(DriveSavers)의 CISO인 마이클 홀이 사이버보안 규제를 받는 기업이나 산업을 위해 베스트 프랙티스 몇 가지를 소개했다.

위험 분석 수행

Credit:Pixabay

‘갭 분석’ 또는 ‘보안 위험 평가’라고도 하는 위험 분석은 데이터 보안 정책을 마련하는 첫 번째 단계다. 보안 위험 평가는 1년에 한 번이나 2년에 한 번, 또는 새로운 장비를 구매하거나 회사의 서비스를 확장할 때 등 무언가가 바뀔 때마다 수행해야 한다.

접근과 권한 검토

Credit:Pixabay

위험 분석을 수행하는 과정에서 물리적인 영역까지도 포함한 적절한 보안을 검토하는 데에는 여러 분야와 방법이 있다. 실제 권한이 없는 사람은 접근 권한을 사용할 수 없어야 한다.

데이터 보안 정책 만들기

Credit:Pexels
 
모든 직원은 회사 데이터를 보호해야 할 의무가 있다. 이를 위해서는 직원이 쉽게 이해하고 실행할 수 있는 데이터 보안 정책을 마련하는 것이 중요하다. 이 문서에는 타사 비즈니스 데이터 및 중요한 정보를 포함해 회사가 접촉한 모든 데이터를 보호하는 데 도움이 되는 사례가 요약돼 있어야 한다.

적절한 도구 사용

Credit:Pixabay

위험 분석의 하나로 기업은 보안 카메라, 방화벽 또는 보안 소프트웨어와 같은 위험을 최소화하는 데 사용할 수 있는 도구를 생각하는 경향이 있다. 이러한 것들을 구현 도구로 사용하되, 유지와 관리에 관한 회사의 보안 정책은 문서로 만들어야 한다.

직원과 계약업체 확인
전 직원의 신원을 조사하라. 써드파티 업체가 회사 내부의 보안 프로토콜과 동일하거나 그보다 강력한 보안 프로토콜을 준수하는지도 확인해야 한다.

규제 준수 확인
기업이 업계 규제를 준수하고 있는지 입증하는 가장 좋은 방법은 외부의 사이버보안 업체가 해당 기업의 보안 프로토콜, 프로세스, 구현을 검증하게 하는 것이다. 비용이 많이 들고 시간이 오래 걸리며 업무에 방해가 될 수 있지만, 사이버보안에 관심이 있거나 기업 비즈니스를 구축할 때는 조사해 볼 만한 가치가 있다.

강제성을 띤 교육

Credit:Pixabay

의무적으로 자료를 읽고 서명해야 하는 필수 보안 교육 및 인식 프로그램을 만들어 직원들이 참여하게 하라. 페널티를 적용해 보안 정책과 절차를 시행하라. 교육은 항상 보안 정책 추진의 일부분이 되야 한다. 이는 회사 보안에서 절대적일 만큼 중요한 부분이며 지속적으로 제공해야 할 부분이다. ciokr@idg.co.kr



2016.11.18

사이버보안 규제 대상 기업에 도움될 베스트 프랙티스 7선

Ryan Francis | CSO
컴플라이언스 표준을 따르는 조직에서 일하든 독립 IT회사에서 일하든, 사이버보안과 관련이 있다면 산업 규제를 이해하는 것은 매우 중요하다. 드라이브세이버(DriveSavers)의 CISO인 마이클 홀이 사이버보안 규제를 받는 기업이나 산업을 위해 베스트 프랙티스 몇 가지를 소개했다.

위험 분석 수행

Credit:Pixabay

‘갭 분석’ 또는 ‘보안 위험 평가’라고도 하는 위험 분석은 데이터 보안 정책을 마련하는 첫 번째 단계다. 보안 위험 평가는 1년에 한 번이나 2년에 한 번, 또는 새로운 장비를 구매하거나 회사의 서비스를 확장할 때 등 무언가가 바뀔 때마다 수행해야 한다.

접근과 권한 검토

Credit:Pixabay

위험 분석을 수행하는 과정에서 물리적인 영역까지도 포함한 적절한 보안을 검토하는 데에는 여러 분야와 방법이 있다. 실제 권한이 없는 사람은 접근 권한을 사용할 수 없어야 한다.

데이터 보안 정책 만들기

Credit:Pexels
 
모든 직원은 회사 데이터를 보호해야 할 의무가 있다. 이를 위해서는 직원이 쉽게 이해하고 실행할 수 있는 데이터 보안 정책을 마련하는 것이 중요하다. 이 문서에는 타사 비즈니스 데이터 및 중요한 정보를 포함해 회사가 접촉한 모든 데이터를 보호하는 데 도움이 되는 사례가 요약돼 있어야 한다.

적절한 도구 사용

Credit:Pixabay

위험 분석의 하나로 기업은 보안 카메라, 방화벽 또는 보안 소프트웨어와 같은 위험을 최소화하는 데 사용할 수 있는 도구를 생각하는 경향이 있다. 이러한 것들을 구현 도구로 사용하되, 유지와 관리에 관한 회사의 보안 정책은 문서로 만들어야 한다.

직원과 계약업체 확인
전 직원의 신원을 조사하라. 써드파티 업체가 회사 내부의 보안 프로토콜과 동일하거나 그보다 강력한 보안 프로토콜을 준수하는지도 확인해야 한다.

규제 준수 확인
기업이 업계 규제를 준수하고 있는지 입증하는 가장 좋은 방법은 외부의 사이버보안 업체가 해당 기업의 보안 프로토콜, 프로세스, 구현을 검증하게 하는 것이다. 비용이 많이 들고 시간이 오래 걸리며 업무에 방해가 될 수 있지만, 사이버보안에 관심이 있거나 기업 비즈니스를 구축할 때는 조사해 볼 만한 가치가 있다.

강제성을 띤 교육

Credit:Pixabay

의무적으로 자료를 읽고 서명해야 하는 필수 보안 교육 및 인식 프로그램을 만들어 직원들이 참여하게 하라. 페널티를 적용해 보안 정책과 절차를 시행하라. 교육은 항상 보안 정책 추진의 일부분이 되야 한다. 이는 회사 보안에서 절대적일 만큼 중요한 부분이며 지속적으로 제공해야 할 부분이다. ciokr@idg.co.kr

X