Embed Size (px)
Citation preview
Solution Brief
RSA Security 솔루션을 통해 데이터 거버넌스 과제를
해결하는 방법실행이 임박한 GDPR 규정 준수 요건 충족
전 세계적으로 GDPR 에 대한 조기 대비가 필수EU GDPR 은 소재지에 관계없이 EU 시민의 개인 정보 데이터를 처리하는 조직에 다음과 같은 상호 연관된 의무를 부과합니다 .
• PII 가 규정에 따라 처리됨을 보장하고 입증하는 정책 및 업무 절차 도입
• 모든 처리 작업에 대한 문서 자료 유지
• 전송 , 저장 또는 기타 방식으로 처리되는 개인 정보 데이터의 우발적 또는 불법적인 삭제 , 손실 , 변경 , 무단 공개 , 액세스를 비롯하여 개인 정보 데이터에 대한 전자적 / 물리적 데이터 보안 위험 진단
• 위험에 따라 적정 수준의 보안을 유지하기 위한 적절한 기술적 / 조직적 제어 수단 구현
• 위험 진단 결과와 부합되는 제어 수단의 효과를 확인하는 절차 구현
• 중요도가 높은 개인 정보 데이터의 계획된 처리에 대한 데이터 보호 영향 진단 수행
• 정보가 수집되는 시점과 이후 조회되는 시점에 EU 거주자에게 처리 작업 , 보존 정책 , 데이터 주체 권리 및 기타 사항에 대한 투명한 통지 제공
• 일부 조직의 경우 EU GDPR 요건 준수를 확인하는 데이터 보호 책임자 배정
Solution Brief
2
2018 년 5 월에 발효되는 EU(European Union) GDPR(General Data Protection Regulation) 은 유럽 거주자의 PII(Personally Identifiable Information) 를 처리하는 조직에 변화를 일으킬 것입니다 . 이 규정의 취지는 데이터가 저장된 위치가 EU 내부이든 외부이든 관계없이 EU 내 개인의 PII 에 대한 개인 정보 보호 권리와 보안을 강화하는 것입니다 . GDPR 은 EU 에 소재한 모든 기업뿐 아니라 , EU 외부에 있어도 EU 에 거주하는 개인과 관련된 개인 정보 데이터를 제어하거나 처리하는 모든 기업에 적용되는 글로벌 규정 준수 요건입니다 .
GDPR 요건을 준수하지 않을 경우 상당히 부정적인 영향이 미칠 수 있습니다 . 규정 준수를 달성 및 유지하지 않으면 조직의 연간 전 세계 매출의 최대 4% 또는 2,000 만 유로 중 더 큰 값에 해당하는 벌금이 부과될 예정입니다 . GDPR 규정 준수에 포괄적인 접근 방식을 적용하지 않으면 , 가용 인력과 자본이 단시간에 소진되고 실행이 임박한 규정에 대비하는 데 필요 이상으로 오랜 시간이 걸릴 수 있습니다 .
GDPR 은 데이터 보호 책임자 배정 , 72 시간 이내 보안 침해 보고 , 특정 동의 획득 등을 비롯하여 조직이 수행해야 할 수많은 조치를 규정하고 있습니다 . 하지만 GDPR 의 핵심은 2018 년 5 월까지 PII(Personally Identifiable Information) 보안 및 보호를 위한 데이터 거버넌스 Best Practice 를 구현해야 한다는 기본적인 요건입니다 .
조직에서 데이터 거버넌스를 어떻게 구현해야 하는지에 대한 모든 세부 정보가 이 규정에 구체적으로 명시된 것은 아니지만 , “... 처리 보안을 보장하기 위한 기술적 / 조직적 조치”를 구현하는 것을 상당히 강조하고 있습니다 . (GDPR 32 조 - 처리 보안 https://gdpr-info.eu/art-32-gdpr/). 또한 이 규정은 규정 준수의 일환으로 이러한 프로세스의 제어 , 테스트 및 문서화를 요구하고 있습니다 .
조직은 PII 를 여러 가지 방식으로 보호해야 하며 , 처리된 개인 정보 데이터 범주 , 처리 목적 , PII 수신자 범주 , 제 3 의 국가로의 전송 , 관련 기술적 및 조직적 보안 조치를 비롯하여 처리 작업에 대한 기록을 유지하고 권한이 부여된 사용자만 데이터에 액세스하도록 보장하기 위해 합당한 노력을 기울이고 있다는 것을 입증해야 합니다 .
데이터 거버넌스 중점 영역 :데이터 거버넌스는 세 가지 주요 영역으로 구분됩니다 . 이러한 중점 영역은 새로운 것은 아니지만 GDPR 규정 준수 상태를 개선하기 위한 기반이 되는 프레임워크를 제공합니다 .
• 데이터 수집 및 사용에 대한 제어 수단 및 정책 마련
• PII 에 대한 액세스가 적절하게 이루어지고 제어되도록 보장
• PII 가 적절히 처리 및 보호되도록 보장
조직에서는 PII 사용에 대한 효과적인 제어 수단을 마련하고 적용하며 , 보존 요건을 설정하고 관리할 뿐 아니라 , PII 의 처리 작업에 대한 기록을 유지해야 합니다 . PII 사용에 대한 프레임워크와 제어 수단을 개선함으로써 더욱 효과적으로 보안 위험을 해결하고 액세스를 제어하는 동시에 PII 관리에 대한 보고 요건을 충족할 수 있습니다 .
Solution Brief
3
데이터에 대한 액세스를 관리하기 위해 조직은 중요한 개인 정보를 보호하도록 지원하는 IAM(Identity and Access Management) 솔루션을 구축해야 합니다 . ID 관리는 데이터 액세스 시점의 인증과 ID 및 액세스 수준에 대한 조직 전체의 전반적인 거버넌스를 비롯한 여러 가지 구성 요소로 이루어집니다 . 다단계 인증은 사용자가 본인이 맞는지를 확인하는 데 도움이 될 수 있습니다 . 사용자가 본인임을 확인하는 것은 권한이 부여된 사용자에게만 액세스를 허용하여 PII 를 보호하는 데 중요합니다 . 인증과 ID 거버넌스 및 수명주기 관리를 통해 조직에서는 사용자에게 적절한 수준의 액세스 권한이 있는지 , 그리고 해당 액세스가 정책을 준수하는지를 파악할 수 있습니다 . 액세스가 정책에 따라 적절하게 이루어지며 감사 가능하다는 것을 입증하는 것은 전반적인 규정 준수에 도움이 될 수 있습니다 .
데이터에 대한 액세스가 관리되고 정책 및 제어 수단이 마련되어 있으면 조직의 PII 가 적절한 이유로 사용되고 권한이 부여된 사용자만이 액세스할 수 있다는 신뢰성을 확보할 수 있습니다 . 이러한 데이터 거버넌스 Best Practice는 우발적인 삭제와 손실 , 변경 , 무단 공개 또는 액세스로부터 개인 정보 데이터를 추가적으로 보호함으로써 GDPR 을 지원합니다 .
RSA: 데이터 거버넌스에 대한 포괄적인 접근 방식 지원RSA 는 보안 프로세스와 비즈니스 컨텍스트의 상관 관계를 파악하는 독보적인 비즈니스 중심적 보안 솔루션을 제공하여 조직이 위험을 관리하고 가장 중요한 자산을 보호할 수 있도록 지원합니다 . RSA 솔루션을 기반으로 지능형 공격을 효과적으로 탐지하여 대응하고 , 사용자 ID 와 액세스 권한을 관리하며 , 비즈니스 위험 요소를 최소화할 수 있습니다 . 이는 모두 GDPR 에 대응하는 포괄적인 전략을 개발하는 데 도움이 되는 기본 토대입니다 .
GDPR 요건과 관련해 RSA 제품 및 서비스 포트폴리오를 살펴보고 이러한 오퍼링을 통해 GDPR 에 대비하는 방법을 자세히 알아보겠습니다 .
RSA SecurID® SuiteGDPR 과 관련된 데이터 거버넌스의 핵심은 해당 사용자에게 액세스 권한이 어떻게 부여되었는지를 감사하고 액세스하는 사용자가 본인이 맞는지 확인하는 것을 비롯하여 PII 에 대한 사용자의 액세스를 관리하는 것입니다 . 액세스 확인은 데이터의 무단 사용으로 인한 보안 침해를 방지하는 데 핵심적입니다 .
RSA SecurID® Suite 에는 RSA SecurID® Access 및 RSA® Identity Governance and Lifecycle 등이 포함되어 있으며 , 규모에 관계없이 모든 조직이 ID 위험을 최소화하고 현대적 업무 환경에 맞는 편리하고 안전한 액세스를 제공할 수 있도록 지원합니다 . RSA SecurID Suite 는 위험 분석 및 컨텍스트 기반 인식을 활용하여 적절한 사용자가 장소 및 디바이스에 관계없이 적절한 액세스 권한을 획득할 수 있도록 지원합니다 . GDPR 규정의 데이터 거버넌스 및 ID 관리 규정을 감안할 때 이러한 제품은 기본적으로 필요한 ID 및 액세스 확인을 구현하는 데 중요한 역할을 수행할 수 있습니다 .
Solution Brief
4
RSA Archer® SuiteRSA Archer® Suite 는 업계 최고의 GRC(Governance, Risk and Compliance) 솔루션으로서 조직이 GDPR 규정 준수를 위한 데이터 거버넌스를 구현하고 유지하는 데 큰 도움을 주는 특정 활용 사례를 포함하고 있습니다 .
• RSA Archer Data Governance - RSA Archer Data Governance 는 기업이 개인 정보 데이터 처리 작업에 대한 적절한 제어 수단을 식별 , 관리 및 구현하기 위한 프레임워크
를 제공합니다 . 조직에서는 RSA Archer Data Governance 를 통해 처리 작업에 대한 정확한 인벤토리를 유지하고 , PII 사용과 관련된 문서화된 제어 수단을 수립 및 적용하
며 , 데이터 보존 요건을 관리할 수 있습니다 .
• RSA Archer Privacy Program Management - RSA Archer Privacy Program Management 는 조직이 처리 작업을 그룹화하여 데이터 보호 영향 진단을 수행하고 데이터 보호 기관에 대한 규정 위반 및 데이터 보안 침해 통지를 추적할 수 있도록 지원합
니다 . 또한 CPO(Chief Privacy Officer), DPO(Data Privacy Officer) 및 개인 정보 보호 팀은 조직의 개인 정보 보호 프로그램에 대한 GDPR 규정 준수를 입증하는 데 필요
한 정보를 중앙 저장소에서 쉽게 찾을 수 있습니다 .
• RSA Archer IT & Security Policy Program Management - RSA Archer IT & Security Policy Program Management 는 GDPR 규정 준수를 지원하는 정책 및 업무 절차를 문서화 및 관리하기 위해 확장 가능하고 유연한 환경을 구축할 수 있는 프레임워크를 제공
합니다 . 여기에는 정책 및 표준을 문서화하고 소유권을 할당하고 주요 비즈니스 영역 , 목표 및 제어 수단에 정책을 연결하는 기능이 포함됩니다 . 조직은 GDPR 프로그램의 일환으로 RSA Archer IT & Security Policy Program Management 활용 사례를 구현
함으로써 제어 환경이 개인 정보 보호 및 데이터 거버넌스 요건에 부합되도록 전체 정책 개발 수명주기 프로세스를 효과적으로 관리할 수 있습니다 .
• RSA Archer IT Controls Assurance - RSA Archer IT Controls Assurance 는 조직의 GDPR 제어 환경을 체계적으로 문서화하는 프레임워크와 분류 체계를 제공하여 제어 수단의 효과를 진단하고 보고할 수 있도록 지원합니다 . RSA Archer 를 통해 조직은 제어를 위한 표준화된 진단 프로세스를 구축하고 자동화된 여러 시스템의 테스트 결과를 통합할 수 있습니다 . 규정 준수 요건과 내부 제어 수단 사이의 연계를 개선함으로써 공통 분류 체계와 언어를 사용하여 GDPR 규정 준수 의무를 효과적으로 전달하고 보고할 수 있습니다 .
RSA Risk and Cybersecurity PracticeRSA 는 고객이 비즈니스 중심 보안 전략을 수립하고 , 고급 보안 운영 센터를 구축하며 , GRC(Governance, Risk and Compliance) 프로그램의 경쟁력을 높일 수 있도록 고안된 전략적 서비스를 다양하게 제공합니다 . 제품 투자 가치가 극대화되도록 RSA 의 강력한 제품 오퍼링을 보완하는 구축 및 구축 후 지원도 제공합니다 .
RSA Identity Assurance Practice - RSA Identity Assurance Practice 는 조직이 PII 에 대한 무단 액세스를 금지하는 GDPR 규정을 준수하도록 지원할 수 있습니다 . 조직 전반에서 발생하여 복잡성과 위험을 가중시키는 ID 고립 문제를 RSA 서비스를 통해 더욱 효과적으로 해결할 수 있습니다 .
RSA Risk Management Practice - RSA Risk Management Practice 는 조직의 GRC 프로그램을 최적화하도록 지원하는 전략적 컨설팅 서비스를 다양하게 제공합니다 . 또한 RSA Archer GRC 솔루션을 비롯한 RSA 제품 및 서비스의 계획 , 구현 , 구축 및 업그레이드를 지원하는 인력 보강 및 지원 서비스도 제공합니다 .
결론전 세계의 조직들은 GDPR 이 비즈니스와 데이터 보안 및 관리 작업에 미치는 영향을 적극적으로 진단하고 있습니다 . GDPR 의 발효일 (2018 년 5 월 ) 이 임박했습니다 . EU 에서 비즈니스를 수행하는 모든 조직은 규정에 따라 막대한 벌금이 부과되는 것을 방지하기 위해 추가적인 프로세스 , 정책 및 기술을 구현해야 합니다 . 적절한 액세스 및 ID 관리 정책과 제어 수단을 통해 데이터 거버넌스를 유지하는 것은 PII 를 적절하게 카탈로그에 작성하고 보호하는 데 핵심적입니다 . RSA 는 ID 및 액세스 관리와 GRC 라는 중요한 영역을 지원하는 독보적인 범위의 제품과 서비스를 통해 조직의 GDPR 규정 준수를 위한 전략적 파트너 역할을 수행할 수 있습니다 .
Copyright 2017, Dell Inc. or its subsidiaries. All Rights Reserved. Dell, EMC 및 기타 상표는 Dell Inc. 또는 해당 자회사의 상표입니다 . 기타 모든 상표는 해당 소유주의 자산일 수 있습니다 . Published in the USA. 2017 년 8 월 , Solution Brief, H16553
Dell Inc. 및 해당 자회사는 본 문서의 정보가 해당 발행일 현재 정확한 것으로 간주합니다 . 모든 정보는 예고 없이 변경될 수 있습니다 .
Solution Brief
5
