정기적 재진단을 통한 타사 보안 위험 관리

비즈니스 파트너의 보안 정책 및 프로세스가 관계를 맺기 시작할 때부터 철저히 검토되었다 하더라도, 타사 보안 위험 관리를 정기적으로 재진단하여 적정 수준의 보안, 개인 정보 보호, 규정 준수 및 복구 성능이 유지되고 있는지 확인할 필요가 있습니다.

보안 위험을 재진단하는 빈도

전문가들은 타사 위험 관리가 비즈니스 계약에 서명하는 순간 끝나는 것이 아니라 시작되는 것이라고 입을 모읍니다. 타사에서는 3년 계약 기간을 선호하는 경우가 많지만 타사의 보안 태세 및 비즈니스 관계의 일반적인 상태는 적어도 일 년에 한 번 재진단되어야 합니다. 계약 범위가 변경되거나 어느 한쪽에서 사용하는 IT에 중대한 변경이 발생하는 등 계약이 변경된 후에도 재진단이 수행되어야 하며 보안 인시던트나 눈에 띄는 감사 결함과 같은 문제가 드러날 경우에도 타사를 점검해야 합니다.

최근 열린 Next-Generation Security Summit의 세션에서는 타사 보안 위험이 중요한 주제로 다뤄졌으며 여러 업계의 보안 리더가 이 분야에 대한 지식과 경험을 공유했습니다. 이들의 통찰력에 따르면 재진단 시 다음 4개 항목을 집중적으로 살펴봐야 한다고 합니다.

1. 타사에 대한 독립적인 검토

여기에는 비즈니스 및 재정 검토와 물리, 관리 및 기술 보안 제어 기능에 대한 기술적 검토가 포함됩니다. SSAE(Statement on Standards for Attestation Engagement)(SSAE 16, 이전의 SAS 70), SOC(Service Organization Control)(SOC 1SOC 2), ISO 27001:2013(보안 제어와 관련된 인증), ISO 22301:2012(무중단 업무 운영과 관련된 인증), 네트워크/애플리케이션에 대한 독립적 침투 테스트 등 객관적이고 독립적인 몇몇 검토가 시행될 수 있습니다.

2. 증거에 입각한 검토

독립 검토 기관의 결과 및 인증에 더해, 타사의 현재 DR(Disaster Recovery) 및 IR(Incident Response) 계획 및 절차와 최근 테스트 결과를 확인하는 것을 잊지 마십시오.

3. 기존 제어 기능에 대한 검토

여기에는 물리, 관리 및 기술적 보안 제어, 개인 정보의 수집, 사용, 저장, 접근, 수정 및 삭제와 관련된 개인 정보 보호 정책, 운영 계획과 DR 및 IR과 같은 비상 계획이 포함됩니다. 타사에서 호스팅하는 클라우드 기반 애플리케이션의 경우 인증 및 권한 부여, 구성 및 관리, 암호화를 비롯한 기타 데이터 보호 방법, 데이터 입력 검증, 세션 관리 및 실시간 모니터링/알림도 여기에 포함됩니다. 원래 감사가 시행된 후 이러한 제어 기능이 변경되었다면 상세히 설명해 줄 것을 요청하십시오.

4. 상호 작용 및 커뮤니케이션 절차에 대한 검토

원활하고 성공적인 신규 참여 프로세스를 갖추기 위해 양측이 최선의 노력을 다하더라도 관계가 진전됨에 따라 초기 단계의 작업을 조정할 수밖에 없는 상황이 발생합니다. 성공적인 파트너십에는 지속적인 기술 검토, 이례적 상황을 처리하기 위한 “호출 트리”, 직원의 업무 및 수행 시기에 대한 인계 및 동기화 절차 등이 필요합니다.

조직의 전략적 목표는 발전과 변화이므로 타사와의 관계도 함께 발전하고 변화해야 합니다. 보안, 개인 정보 보호, 규정 준수 위험 등 보상이 없는 위험을 관리하는 데 그치지 말고, 조직이 추구하는 혁신, 생산성, 성장 등 보상이 있는 위험을 최대한 지원하는 방향으로 타사 관계에 대한 주기적 재진단을 사용하십시오.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

No Comments