SLA(Service Level Agreement) 서명 전, 중간 및 이후에 타사 위험을 관리하는 방법

Next-Generation Security Summit이 좋은 점 중 하나는 다양한 업계의 보안 리더와 인적 네트워크를 형성하고 정보를 공유할 수 있다는 것입니다. 최근 세션에서는 타사 위험이 특히 화제가 되었습니다.

은행 업계의 경우 미국 통화 감독청이 최근에 타사 관계에 대한 위험 관리 지침을 갱신하면서 이 주제에 대한 활발한 논의가 이어졌습니다. 의료 업계에서는 HIPAA(Health Insurance Portability and Accountability Act), Health Information Technology for Economic and Clinical Health Act 및 HIPAA Omnibus Rule에 따라 비즈니스 파트너를 비롯하여 PHI(Protected Health Information)를 관리하는 모든 업체가 동일한 보안 및 개인 정보 보호 의무를 준수해야 합니다.

해당하는 공급망에서의 규정 준수를 촉진하거나 공급망에 존재할 수 있는 위험을 올바로 인지하려면 타사 위험에 대한 보안 리더의 인식이 개선되어야 합니다. 타사 위험에 대한 이와 같은 논의에 기반할 때 SLA(Service Level Agreement) 서명 전, 중간 및 이후의 위험 관리에서 핵심이 되는 다섯 가지 측면은 다음과 같습니다.

계약 서명 전

새로운 타사 관계를 시작할 때는 보안, 개인 정보, 규정 준수 및 위험을 계약에 서명하기 직전에 이르러서야 논의하는 일이 없어야 합니다. 그 반대로 조달, 공급업체 위험 관리, IT, 보안 및 법무 팀 직원이 타사 관계의 시작부터 긴밀하게 협력해야 합니다. 이 부서 간 협력은 다음에 있어서 핵심적인 역할을 합니다.

  1. 비즈니스 목표의 조율: 양 당사자는 관계에서 얻고자 하는 비즈니스 목표와 타사 프로세스 또는 서비스의 의도한 가치를 함께 이해해야 합니다.
  2. 보안 제어: 필요한 보안 제어를 제안 요청서에 포함해야 하며 각 답변을 검토하는 프로세스에 보안 팀이 참여해야 합니다.
  3. 진단 기준: 타사 공급업체 및 서비스 제공업체의 위험 진단을 위한 기준을 분명하게 정의해야 합니다.
  4. 언어 표준: 각 타사 계약에 포함할 계약 언어를 정의합니다.
  5. 통합 고려 사항: 타사 시스템과의 IT 통합 및 구성 세부 정보를 각 타사 계약에 포함해야 합니다.

협상 중

타사 계약 또는 조직의 자체 마스터 계약을 사용하는 경우 다음 항목에 집중하고 주의를 기울여야 합니다.

  1. 데이터: 데이터 전달 방법, 데이터 위치, 데이터 보존 방법 및 이유와 데이터 폐기 방법을 논의합니다.
  2. 지속적인 진단: 감사, 위험 진단, 침투 테스트 수행 및/또는 침투 테스트 결과 액세스와 현장 방문을 시행할 권리를 설정합니다.
  3. 무중단 업무 운영: 데이터 센터 설비에 대해 구체적으로 논의해야 합니다. 여기에는 제4자, DR(Disaster Recovery) 계획 및 테스트, IR(Incident Response) 계획 및 테스트가 포함될 수 있습니다.
  4. 계약 해지: 프로세스 또는 서비스를 정상적으로 종료하여 조직 또는 다른 타사로 양도하는 수단을 명시합니다.
  5. 숨겨진 비용: 예를 들어 무단 액세스 또는 DDoS(Distributed Denial of Service) 공격은 “불가항력”이므로 타사 책임 밖에 있다고 정의되어 있는지, 감사권을 시행할 때 상당한 제한 또는 비용이 발생하는지 등을 확인해야 합니다.

계약 서명 후

SLA(Service Level Agreement)에 서명하는 것이 타사 위험 관리의 끝이 아닙니다. 타사의 보안 태세 및 관계를 정기적으로 재진단해야 합니다. 특히 계약 범위의 변경, 중대한 기술 변경 또는 보안 인시던트가 있을 때마다 재진단을 수행해야 합니다. 이와 같은 주기적 진단에는 다음과 같은 항목이 포함되어야 합니다.

  1. 진단 컨텍스트: 예를 들어 진단을 수행할 사람, 시기 및 방법을 명시합니다. 원격 또는 현장에서 수행되었는지, 관련 문서는 받았는지, 독립적인 검토를 받았는지 등을 확인합니다. 여기에는 이전에 식별된 위험 목록과 위험 완화를 위한 권장 단계도 포함되어야 합니다.
  2. 현장 방문: 현장 방문의 범위, 목표 및 결과를 문서화합니다.
  3. 보안 제어 검토: 기술, 관리 및 물리적 제어를 기록합니다.
  4. 무중단 업무 운영 검토: DR 계획, IR 계획, 테스트 결과, 독립 테스트 결과 및 인증을 검토합니다.
  5. 분석 기관의 견해: 타사 관련 진단 및 잔류 위험에 대한 객관적인 정보 및 권장 사항을 요청합니다. 이렇게 하면 가장 중요한 항목 일부를 열거할 수 있습니다. 대규모 조직에서는 이 중요한 문제만 담당하는 팀이 있습니다.

SLA(Service Level Agreement)를 작성하는 각 단계에서 표준을 준수하는지 확인하면 다른 공급업체와의 타사 관계가 조직의 부채가 아닌 자산이 될 수 있습니다.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments