보안

사이버보안 규제 대상 기업에 도움될 베스트 프랙티스 7선

Ryan Francis | CSO 2016.11.18
컴플라이언스 표준을 따르는 조직에서 일하든 독립 IT회사에서 일하든, 사이버보안과 관련이 있다면 산업 규제를 이해하는 것은 매우 중요하다. 드라이브세이버(DriveSavers)의 CISO인 마이클 홀이 사이버보안 규제를 받는 기업이나 산업을 위해 베스트 프랙티스 몇 가지를 소개했다.


<이미지 : Pixabay>

위험 분석 수행
‘갭 분석’ 또는 ‘보안 위험 평가’라고도 하는 위험 분석은 데이터 보안 정책을 마련하는 첫 번째 단계다. 보안 위험 평가는 1년에 한 번이나 2년에 한 번, 또는 새로운 장비를 구매하거나 회사의 서비스를 확장할 때 등 무언가가 바뀔 때마다 수행해야 한다.

접근과 권한 검토
위험 분석을 수행하는 과정에서 물리적인 영역까지도 포함한 적절한 보안을 검토하는 데에는 여러 분야와 방법이 있다. 실제 권한이 없는 사람은 접근 권한을 사용할 수 없어야 한다.

데이터 보안 정책 만들기
모든 직원은 회사 데이터를 보호해야 할 의무가 있다. 이를 위해서는 직원이 쉽게 이해하고 실행할 수 있는 데이터 보안 정책을 마련하는 것이 중요하다. 이 문서에는 타사 비즈니스 데이터 및 중요한 정보를 포함해 회사가 접촉한 모든 데이터를 보호하는 데 도움이 되는 사례가 요약돼 있어야 한다.

적절한 도구 사용
위험 분석의 하나로 기업은 보안 카메라, 방화벽 또는 보안 소프트웨어와 같은 위험을 최소화하는 데 사용할 수 있는 도구를 생각하는 경향이 있다. 이러한 것들을 구현 도구로 사용하되, 유지와 관리에 관한 회사의 보안 정책은 문서로 만들어야 한다.

직원과 계약업체 확인
전 직원의 신원을 조사하라. 서드파티 업체가 회사 내부의 보안 프로토콜과 동일하거나 그보다 강력한 보안 프로토콜을 준수하는지도 확인해야 한다.

규제 준수 확인
기업이 업계 규제를 준수하고 있는지 입증하는 가장 좋은 방법은 외부의 사이버보안 업체가 해당 기업의 보안 프로토콜, 프로세스, 구현을 검증하게 하는 것이다. 비용이 많이 들고 시간이 오래 걸리며 업무에 방해가 될 수 있지만, 사이버보안에 관심이 있거나 기업 비즈니스를 구축할 때는 조사해 볼 만한 가치가 있다.

강제성을 띤 교육
의무적으로 자료를 읽고 서명해야 하는 필수 보안 교육 및 인식 프로그램을 만들어 직원들이 참여하게 하라. 페널티를 적용해 보안 정책과 절차를 시행하라. 교육은 항상 보안 정책 추진의 일부분이 되야 한다. 이는 회사 보안에서 절대적일 만큼 중요한 부분이며 지속적으로 제공해야 할 부분이다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.