Oracle Technology Platform for GRC - :: DBguide.net :: 데이터 … · · 2008-10-27 Oracle Technology Platform for GRC Oracle Korea, Fusion Middleware

<Insert Picture Here>

Oracle Technology Platform for GRC

Oracle Korea, Fusion Middleware Solution/Industry Consulting

이석진 팀장 ( [email protected] )

© 2008 Oracle Corporation – Proprietary and Confidential 2 / 67


Program Agenda

1. GRC를 위한 IT 동향

2. ECM for GRC

3. IDM for GRC

4. Middleware for GRC

5. Database for GRC



Program Agenda


2. ECM for GRC

3. IDM for GRC


5. Database for GRC


IT 보안

IT 보안은 아무리 강조해도 지나치지 않음.


IT 보안

IT 보안은 아무리 강조해도 지나치지 않음.


GRC 강화 요인

07/05 Bernard

Ebbers is serving 25

year prison sentence

– and paid US $50

Million in fines

11/07/06 Ex-CA Boss

gets 12 years – and

$US 8 Million fine

? ?

기업의 부정으로 인하여 각종 GRC가 탄생하였고 강화하게 되는 계기가 됨.

충분하고 지속적인 내부통제에 대한 필요:

ㆍ비즈니스의 효율적인 운영을 보장

ㆍ관련 법규, 규제 준수 여부를 입증

ㆍ주요 재무 리포트에 대한 신뢰도 증가

글로벌 기반의 비즈니스 영위 능력

ㆍ지역적, 국가적 지침, 법규, 규제 등의 요구사항

한국 한국


GRC : Governance, Risk, Compliance

•대외적 고민

•C-level : CEO / CFO / CIO / …

•업종 / 지역 / 국가별 Dependency

•강제준수 / Penalty

기업의 성장

•대내적 고민

•CIO Focus

•기업자체 환경 Dependency

•자율적용 / No Penalty

Risk 관리

Compliance Governance

비즈니스연속성 확보


Compliance Landscape

Sarbanes-Oxley

HIPAA

FDA CFR Part 11/Annex 11

GLB

FISMA

CA SB 1398

CA AB 1950

CA SB 1386

PIPEDA

EUPDJapan

Privacy

JSOX

Basel II

Bill 321/2004

Personal Data

Protection LawBill 3494/2000

Law f/Protection

Of Personal Data Nov2000

KonTraGDPARIP

AS4360

CLERP 9

Companies Act

BDSG

Reg. 357

PA&PAA

LOPD

King II Rpt

IAS

Banking Act

자통법

KSOX

전자서명법

개인정보보호법

……AMERICAS• HIPAA• FDA CFR 21 Part 11• OMB Circular A-123• SEC and DoD Records Retention• USA PATRIOT Act• Gramm-Leach-Billy Act• Federal Sentencing Guidelines• Foreign Corrupt Practices Act• Market Instrument 52

EMEA

• EU Privacy Directives• UK Companies Law• Restriction of Hazardous Substances

APAC

• J-SOX, C-SOX, K-SOX, C49, etc• CLERP 9 : Audit Reform and

Corporate Disclosure Act (Australia)• Stock Exchange of Thailand Code

on Corporate Governance

Global

• IFRS• Basel II• OECD Guidelines on Corporate

Governance


Take-Off toward the Goal!

GRC의 목적은 불확실성 및 리스크를 제거 및 사전 예방하여 기업의 성장을 촉진시키고자 하는 경영의 방법임.

Boundary

Uncertainty

Control

Out of Control …


QualificationIdentifying Customer Pain Points

ㆍ 패스워드 리셋 요청처리에 드는 비용은?

ㆍ 업무시스템 개발 시, 주요기능 구현대비

보안관련 기능의 구현에 투입되는 비용은?

ㆍ 신규 업무 시스템을 적시에 오픈하기 위한

최소 필요 시간은?

ㆍ 신규 개발 프로젝트에 투입할 수 있는

적절한 리소스를 확보하고 있는가?

비용절감

ㆍ 사용자에 대한 단일 뷰가 제공되는가?

ㆍ 사용자 정보에 대한 발급과 회수가 어떻게

진행되는가?

ㆍ 누가 어떤 업무 시스템에 접근할 수

있는지를 즉각 파악할 수 있는가?

ㆍ 개인정보 보호, 보안, 감사 등의 항목들을

보장할 수 있는가?

규제준수

ㆍ 피슁, 파밍 공격들을 어떻게 방지할 수

있는가?

ㆍ 업무 시스템에 대한 접근을 허용할 지

여부를 어떻게 결정하는가?

ㆍ 수백만 고객/소비자 프로파일을 어떻게

관리하는가?

ㆍ 업무시스템에 신규 파트너들을 어떻게,

얼마나 빨리 그리고 안전하게 등록할 수

있는가?

ㆍ 파트너 지원들이 접근해야 하는 업무

시스템들을 쉽게 파악할 수 있는가?

보안위험도 경감 비즈니스 확대에 대응

고객의 고민


IT Governance Model – COBIT

• 34개 프로세스에 대해서 다음과 같은 사항 제시

(1) Maturity Model

• 0-5 단계의 성숙 level

(2) CSF (Critical Success Factor)

• IT 프로세스의 목표/성과 달성에 중요한 사항

(3) KPI (Key Performance Indicator)

• IT 프로세스의 수행 정도 (How)

(4) KGI (Key Goal Indicator)

• IT 프로세스의 목표 달성도 (What)

COBIT은 대표적인 GRC를 위한 IT Framework으로 사용 됨.

•IT프로세스에서 어떤 정보기준이 가장 중요한가를 파악하고, 어떤 자원을 이용할 것인지 알려주며, IT 프로세스를 통제하는데 가장 중요한 방법을 알려주는 각 프로세스에 대한 상위 통제 목적으로 구성

• COBIT관리지침서는 성숙도 모델, 핵심성공요소(CSF), 핵심목표지표(KGI), 핵심 성과지표(KPI)로 구성

•이러한 구조는 COBIT의 34개 IT 프로세스에 대응할 조직의 IT환경을 평가하고 측정하는 도구를 제공하여관리층의 IT통제와 측정 가능성에 대한 요구에 부응하는 상당히 향상된 구조를 제공


1수납 장표 시스템

각 지점별로 수표 이미지를 스캐닝해 보관하고 요청 시 온라인으로 이미지를 송부

2통합 로그보관 시스템

증권사의 모든 거래 내역과 시스템 로그를 보존/ 위,변조 방지

3녹취 데이터 보관 시스템

콜센터에 기록되는 녹취데이터 보존/ 위,변조 방지

42차 스토리지 시스템

금융기관의 모든 법적 증빙자료들의 데이터 보관주기에 따른 차등화된 관리

5이메일 아카이빙 시스템

증권사 메신져, 메일 데이터에 대한 보존/ 위,변조 방지

6공인 전자 문서 보관소 시스템

전자문서에 대한 보관/ 내용증명/ 송수신 증명

7내부 통제 시스템

겸영하고자 하는 업무 단위 별 이해상충을 해결하기 위한 업무분장/ 권한관리/ 접근통제

금융 – GRC 관련 IT 동향


정보통신부

재경부

산업자원부

금융감독원 공인전자문서보관소

•전자거래 기본법 시행령과 시행규칙•법적으로 지정된 데이터는 제3의 공인전자문서 보관소에 보관하고기초 BRP 이미지 데이터는 금융권 전산센터(2차 디스크)에보관토록 지정•전자문서의 법적 효력을 부여하는 근거 마련•공인전자문서 보관소 지정에 관한 규칙

•전자금융거래법과 시행령•전자금융 사고 시, 금융기관 등의 배상 및 입증책임을 강화•전자거래 이용자의 보호책임, 전자거래 정보의 보관책임 등을금융권에 지시•이에 대한 금감원의 전자금융 업무 감독 규정 및 시행세칙 시행

•전자서명법과 시행령•전자서명 발급 시, 신원확인 책임 및 전자서명 기록의보관, 보호책임을 금융권에 부여

•증권회사 업무관련 이메일, 메신져의 3년 의무 보관, 각종 거래 로그에 대한 보관, 데이터 베이스에 대한암호화 등을 권고

공인 전자문서 보관소에 대한 지원


1SCM 시스템

거래 당사자간에 주고받는 모든 트랜젝션 정보들 (비정형 데이터 포함) 에 대한 보존/ 위,변조,부인 방지

2항공 업계

기계정비보고서 등에 대한 보존/ 위,변조 방지/ 접근통제

3FDA 규정

FDA 21 CFR Part II 가 적용되는 의약품 생산 공정 상의 이메일을 포함한 전자적 기록의 보존/ 위,변조 방지/ 접근제어

4설계문서 관리 시스템

도면, 설계관련 문서, CAD/CAM문서 등에 대한 보존/ 접근제어/ 유출방지

5이메일 아카이빙 시스템

업무상 주고받는 이메일에 대한 보존/ 위,변조 방지

6연구소 산출물 관리 시스템

개인 PC상에 저장 되는 각종 연구 산출물 들에 대한 관리, 접근제어, 유출방지

7내부 통제 시스템

업무 단위 별 이해상충을 해결하기 위한 업무분장, 사용자 접근통제, 권한관리

제조 – GRC 관련 IT 동향


1국가 기록물 관리 시스템

62개 중앙부처, 708개 산하기관의 기록물을 자료관에 저장

2외교 통상부 전자여권 통합 시스템

전자여권관련 데이터의 위,변조 방지

3정보통신부 차세대 우편 금융 시스템

각종 보험 이미지에 대한 아카이빙

4농촌 진흥청

공인 기록물에 대한 사전 규격 발표

5식약청

공인 기록물에 대한 사전 규격 발표

6국방부 기밀 기록 관리 시스템

국방부 관련 군사 기밀 정보의 기록부터 관리, 보존, 열람제한, 폐기 까지의 일련의 과정을 통제

공공 – GRC 관련 IT 동향


문서보관, 위/변조 방지, 사용자 인증 및 접근관리,

암호화, 보존연한관리, 감사, 책임추적성, 리포팅

2003년 ‘공공기관의 기록물관리에 관한 법률’이 시행되고이듬해 ‘국가 기록물 관리위원회’가 공식 출범하면서국가 문서의 전자적인기록관리를 위한 기틀이마련됨

국가 기록물 관리 위원회

행자부를 포함, 4개 부처에서시범사업을 마무리하고본격적인 확산사업 추진

62개 중앙부처, 708개산하기관의 기록물을 자료관에담는 프로젝트로 2007년부터오는 2011년까지 연차별로진행된다

2011년까지 연차별 진행

•단순 데이터 중심적인 관리에서 업무와 연계된 콘텐츠중심으로 전환•전 세계적인 컴플라이언스 요구에 대처

국가 기록물 관리 시스템


1OCS(Order Communication System) 시스템

진료 오더 메세징 시스템 상의 오더 기록에 대한 보존, 위,변조 방지, 접근제어

2PACS(Picture Archiving & Communication System) 시스템

사진, 동영상 등의 진찰 및 검사 정보에 대한 보존. 위,변조 방지, 접근제어

3EMR(Electronic Medical Record) 시스템

전자 의무기록지에 대한 보존, 위,변조 방지, 접근제어

의료 - GRC 관련 IT 동향


병원 보안에 대한 제반 법률이 정해지고, 재해로부터 데이터 보호에 대한 기준이정해져 법적인 강제성이 가해지면 Compliance에 대한 요구 증가 예상

OCS구축완료 98.63%PACS구축완료 94.44%EMR구축완료 32.88%EMR구축예정 34.25%

의료전산화 및 규제대비엔 관심이

많지만, 투자는 무리

의료계 GRC 대비 현황


E-LearningInternal Control Mgmt

Financial Reporting

Control Monitoring

Info Lifecycle

Mgmt(ILM)

Systems Mgmt

Security

Integration and Collaboration

HR/TrainingAudit

Committee DisclosureCommitteeExternal

Audit InternalAudit Field Audit

(404 App)Business UnitCIO

CEO/CFOSarbanes

PMO

ERP HR CRM

Hardware/Operating System/Network Infrastructure

DatabasesDocument Retention

Risk Intelligence Dashboard

*Source: Deloitte Consulting

GRC 과제 및 구현 방안



Program Agenda


2. ECM for GRC

3. IDM for GRC


5. Database for GRC


Oracle ECM for Information Lifecycle Management


Financial Reporting

Control Monitoring

Info Lifecycle

Mgmt(ILM)

Systems Mgmt

Addresses the critical components of Sarbanes Oxley as it relates to document retention and enterprise content management including the processes, procedures and technology to manage and archive data

Information Lifecycle

Management ActivitiesFunctionality

Document Management and

Retention

Document management and retention policies; document capture, classification, tracking and

retention management

Records Disposal E-mail and documentation elimination per policies; tracking

Information ClassificationTaxonomy to classify documentation, categorize and maintain the documents, recovery by

classification

Security


Oracle ECM 제품 개요

Oracle ECM은 각종 문서 및 비정형 Data 에 대한 GRC의 복잡한 문서수명관리/보관/보안/ 폐기/DRM 등의 요구사항을 만족 함.

Active Content Historical Content

Universal Records

Management (URM)‏

Secure Enterprise

Search (SES)‏

Information Rights

Management (IRM)‏

Oracle Federated ECM Services

Universal Content

Management (UCM)‏

Universal Online

Archive (UOA)‏

Imaging & Process Management (I/PM)‏

Transactional Content

Document

Archive

Document

Management

E-Mail

Archive

Web Content

Management

BPM Document Capture


주요 기능

ㆍ분류체계를 위한 폴더 구조 및 자동 분류 기능

ㆍ체크인/체크아웃

ㆍ버전 관리 및 각종 이력 관리

ㆍ사용자 권한별 보안 룰 적용

ㆍ포맷 변환 및 미리보기 기능

ㆍ단순 검색 및 본문 검색

ㆍ통계 및 분석 리포팅 기능

ㆍERP, CRM, Groupware 연동

적용 업무

ㆍ문서 관리 시스템

ㆍ지식 관리 시스템

ㆍ프로젝트 산출물 관리 시스템

ㆍ도면 관리 시스템

ㆍ전사 컨텐츠 관리 시스템

ㆍ영업/마케팅 컨텐츠 관리 시스템

ㆍ기술 자료 관리 시스템

ㆍ기록물 관리 시스템

ㆍIntranets, Extranets, Portals

ㆍ콜센터의 고객지원 기술정보 시스템 구현

문서 관리 (Document Management)

전자 문서 관리

도면 관리

프로젝트 관리

지식 관리

ERP 연동

GRC가 문서 및 비정형 Data에 대하여 요구하는 보안/통제/통합관리/모니터링 등의 각종요구사항을 만족 함.


주요 기능

• WYSIWYG 기반의 In-Context 사이트 관리

• 웹 사이트 영역별 권한 관리 기능

• 자동화된 편집 및 승인 프로세스

• 링크 관리 및 멀티 채널 자동 배포 관리

• 복제 및 복원 기능

• 웹 컨텐츠 비교 기능

• 웹사이트의 프로젝트 관리 프레임 제공

• 웹 컨텐츠의 자동 변환 및 배포

• 웹 사이트별 관리 리포터 기능

• 다국어 번역 기능

• 구독 및 RSS 기능

적용 업무

ㆍ인트라넷

ㆍ엑스트라넷

ㆍ회사 홈 페이지

ㆍE-Business 를 위한 컨텐츠 저장소

ㆍ위키, 블로그

ㆍ포털

웹 컨텐츠 관리 (Web Contents Management)

HTML, XML, WML,이미지, 멀티미디어 등 의 정보를 통합 및 배포를 관리함으로써 Data의통합에 대한 GRC 요건을 준수함.


주요 기능

• 이미지 압축 기능

• 멀티 변환 포맷

• 용도별 포맷의 변환 지원 : 사전 정의된 변환 룰에 따라자동 변환

• 동영상 파일에서 자동으로 Storyboard 이미지 추출

• Caption Text 자동추출

• 스트리밍 모듈과 연동

적용 업무

ㆍ인트라넷, 엑스트라넷

ㆍ마케팅 자료 관리

ㆍ제품 정보 관리

ㆍ온라인 교육 사이트

ㆍ인터넷 방송 컨텐츠 관리

ㆍ병원 기록 자료 관리

ㆍ문화재 및 박물관 자료 관리

ㆍ인터넷 홈 쇼핑

디지털 자산 관리 (Digital Asset Management)

다양한 형태의 이미지 및 오디오, 비디오 파일 등 대용량 멀티미디어를 위한 컨텐츠 서비스기능을 제공함으로써 보존 년한/정보의 유출방지 등을 지원


주요 기능

• 레코드 생성,선언,분류,보유,파기 관련 서비스 제공

• 파일 플랜, 폐기 스케쥴 관리

• Freeze / Hold Dispositions

• Transformation (파일변환)

• Screening (Advanced Search and Scheduling)

• 파일서버, E-Mail, 포털 등에 대한 에이전트 제공

: File server, SharePoint, Symantec Enterprise Vault Agent

• Federated Search / Discovery

• 리포팅 기능

• 물리적 레코드 관리

적용 업무

ㆍ컴플라이언스 준수를 위한 문서 보존 시스템

ㆍ기록물 관리

ㆍ이메일 아카이빙

ㆍDOD 5015 records management

ㆍDiscovery preparedness and legal holds

ㆍPhysical records management: warehouse library services & bar-coding

레코드 관리 (Records Management)

Oracle Records Management 는 전자 레코드 뿐만 아니라 물리적 레코드에 대한 전체라이프 사이클을 관리할 수 있는 기능을 제공합니다.


주요 기능

• 이미지 관리 기능 : 스캐닝, 보정, 압축, 주석기능

• OCR/ICR : 이미지 내용 인식을 통해 정보 조회

• 이미지 속성 관리

• 이미지 보기 : 확대/축소

• 강력한 BPM 엔진 내장

• FAX 시스템 연동

• EBS, ERP 등과 연계를 통한 효율적인 업무처리

적용 업무

ㆍ이미지 관리 시스템

ㆍ청약 시스템

ㆍ고객 정보 관리 시스템

ㆍ계약 관리 시스템

ㆍAccounts payable & receivable automation

ㆍTravel and expense automation

ㆍHR and application processing

이미지 & 프로세스 관리 (Image & Process Mgmt)

Oracle Image & Process Management 는 종이 문서의 전자화 및 이미지 문서의 생명 주기체계적으로 관리할 수 있도록 업무 프로세스 연동 기능을 제공합니다.


주요 기능

• 컨텐츠 권한 관리 기능을 통해 컨텐츠 내용의 조회, 복사, 편집, 화면 캡쳐, 프린트 등 제어

• 컨텐츠 암호화 및 압축 기능

• 권한이 부여된 사용자에게 컨텐츠 접근 허용

• 분류 기반 권한 관리 기능 : 비즈니스 프로세스 별, 정보중요도별, 업무별, 사용자 및 그룹별 분류

• 사용자 편의성 : 표준 클라이언트 인터페이스를 통해보안 적용 (MS Office, 윈도우 탐색기, 메일 등)

• 템플릿 구조의 보안 분류 : 역할, 이메일 통지, 셀프도움기능 및 활용방법 제시

• 강력한 관리자 기능 : 보안 로그 및 추적 관리 기능

• Offline, Disconnected Access

적용 업무

• 전사 정보 보안

• 프로젝트 정보 보안

• 팀별 정보 보안

• Board and executive communications

• Mergers and Acquisitions

• Secure IP for outsourcing

정보 권한 관리 (Information Rights Management)

Oracle Information Rights Management(IRM) 는 컨텐츠 저장소 내부 및 외부까지 일관된보안 체계를 확대 적용할 수 있는 정보 중심의 보안 솔루션입니다.


온라인 아카이빙 (UOA : Universal Online Archiving)

• Capture from MS Exchange,Lotus Notes, and SMTP

• Distribution list expansion

• De-duplication of both messages and attachments—true single-instance storage

• Full, partial, and attachment-only stubbing of messages

• Email compliance post-review capabilities

• Integrated email server Disaster-Recovery

• Email content classification

• User declaration of archived email and archive search

• Oracle-compatible, enterprise-scalable technology stack

• New Oracle and partner-based Archive Interfaces for

• Oracle UCM

• File Servers

• SharePoint

• Desktops

• ERP content (attachments, images, etc.)

Universal Online Archiving (UOA) 는 e-Discovery, 컴플라이언스 준수 목적으로 장기간보관이 필요한 대용량의 기록물들을 안전하게 관리하기 위한 솔루션입니다.


국내 고객 리스트

산업분야 고객사이트

제조 및 유통삼성전자 LCD, 삼성전자 PVI, 삼성전자 Anycall, 삼성전자 무선 인터넷 사업부, 삼성전자 디자인

센터, F&C 코오롱, 대우자동차판매, 삼성인력 개발원, 크레듀, 현대미포 등

공공문화관광부 ECM, 법제처 표준 ECM 솔루션, 대법원, 산업자원부, 환경영향평가 연구원,

국가생태정보원, 수도권매립지공사, 문화재청, 국세청, 중소기업청 등

정보통신 SK Telecom DCMF, SK Telecom COM 등

금융 신한은행 차세대 프로젝트 ECM 표준 솔루션, 신한카드 WCM 표준 솔루션, 기업은행 AJMS 등

Oracle ECM은 다양한 산업 분야에서 우수한 성공사례와 다양한 고객들을 보유하고 있습니다.

http://www.nts.go.kr/menu/users/nts/nts_main.htm

http://www.credu.com/

http://www.ibk.co.kr/


글로벌 고객 리스트

Manufacturing

OEM

Health Care / InsuranceConsumer / MediaAerospace / Transportation

High Tech / TelecomBanking / Finance Government / Education

http://www.eaton.com/index.html

http://www.honeywell.com/index.html

http://www.emersonprocess.com/

http://www.conagra.com/index.jsp

http://www.nytimes.com/

http://www.ericsson.com/

http://www.intel.com/

http://www.cargill.com/brand/index.html

http://www.piperjaffray.com/index.asp

http://www.dbrowncarbon.com.au/pictures/GE Logo.jpg

http://www.ing.com/ing/contentm.nsf/home_en!readform

http://www.aqmd.gov/icon/lacount1.jpeg

http://www.lhup.edu/~dsimanek/unseal04.gif

http://www.customs.ustreas.gov/enforcem/images/fbi.gif

http://www.usdoj.gov/

http://www.llnl.gov/

http://www.ibm.com/us/

http://www.sap.com/index.epx

http://www.fastsearch.com/



Program Agenda


2. ECM for GRC

3. IDM for GRC


5. Database for GRC


Oracle IDM for Security


Financial Reporting

Control Monitoring

Info Lifecycle

Mgmt(ILM)

Systems Mgmt

Addresses the protection of financial information. It provides for secure access to information and applications, segregation of duties and auditing of access

Security Activities Functionality

Configuration Management

of Security and Controls

Base configuration parameters; periodic evaluation and improvements of security and control

parameters; applicable to platform, middleware and application levels

Segregation of Duties and

User Access

Establishing segregation of duties matrix, identifying appropriate roles of users; managing user

access to infrastructure, applications and content

Network Infrastructure

SecurityFirewalls, antispam, antivirus, intrusion detection, incident response

Safeguarding Assets Appropriate physical restrictions to critical infrastructure, applications and content

Security


OracleIdentity Manager

OIM은 J2EE 기반의 아키텍쳐로 된 계정/권한의 라이프 싸이클 관리 솔루션. 사용자 정보

및 소유계정 정보, 계정/권한 발급 정책, 워크플로 정보, 리포팅 정보 등 모든 계정/권한 관

련 정보들을 DB에 저장하여 GRC의 보안 관련 사항을 준수 함.

구성요소 담당 기능

OIM서버 •계정/권한의 발급/수정/회수

커넥터•대상 장비에 대한 계정관리

•서버에 탑재

계정 정보 Repository•각종 계정/권한/정책 정보 저장소

•DB

Remote Manager•관리자용 자바 어플리케이션

•정책 설정

Reconciliation Engine •동기화/조정/중재 엔진

Workflow Engine •계정/권한 발급 승인 엔진

OIM (Oracle Identity Manager)


OracleRole Manager

ORM (Oracle Role Manager)

ORM은 RBAC Automation 솔루션으로서, 전사 차원의 RBAC모델을 쉽게 수립할 수 있도록

도와주고, 만들어진 RBAC체계에 대한 관리를 수행하여 GRC의 직무분리를 완벽하게 지원

• 적절한 수준의 추상화를 통해 RBAC ( Role Base Access Control ) 체계의 관리비용 절감

- 실제 비즈니스 조건과 보안 정책간의 간극 해소

- IT환경과 독립적으로 비즈니스 책무 기반의 권한 부여 및 접근제어 체계를 제공

• 복잡한 RBAC체계를 관리가 가능한 수준으로 서비스

- 적은 수의 Role과 그들간의 관계를 통해 전사 권한 체계를 총괄적으로 관리

수 만개의 IT Roles

System Privileges/Entitlements수 백 만개의 시스템 별 권한들

Bottom-up Role Mining

수 백 개의Business Roles

Clustering/Abstraction

Mapping w/ Context

Top-down Role

Engineering

ORM

Role

Covera

ge

• IT 관리자 관점과 현업 사용자 관점을

모두 수용 ( IT환경과 독립적으로

비즈니스 업무 기반의 권한 부여 및

접근제어 체계를 제공 )

• 수 백 개의 관리 가능한 비즈니스

Role

• 권한 부여 현황 파악 용이

• 잉여 권한 부여 가능성 경감


OracleRole Manager

ORM (Oracle Role Manager)

ORM은 RBAC Automation 솔루션으로서, 전사 차원의 RBAC모델을 쉽게 수립할 수 있도록

도와주고, 만들어진 RBAC체계에 대한 관리를 수행.

사용자 인터페이스Role

관리자Role

Mining

API

서비스

보고서감사

데이터로딩

롤공급자

시간 차엔진

보안

사용 허가

Views

Role 주기 관리자

• 업무와 IT 롤• 승인자 롤• 권한• 롤 연결• 동적 멤버쉽 룰• 멤버쉽 룰 시뮬레이션• 전사 Role 관리 중추• 이벤트 기반 롤 재설정

다 계층 조직 구조 관리자

• 조직 구조 정보• 조직 구조 상의 관계• 라이프 사이클 관리

검색 엔진

• Role과 Rule 검색• Role 과 Rule Export

• Role 정리• Rogue 접근 검색• 직무 분리에 의한 Role 정리


Oracle AccessManager (Web)

OAM은 웹 업무 시스템에 대하여 Policy에 기반한 권한 관리와 SSO를 담당.

인증/인가와 관련된 정책 및 환경설정 정보를 저장하기 위해 LDAP 디렉토리 서버 사용

OAM (Oracle Access Manager)

구성요소 담당기능

WebGate•web server plug-in모듈

•HTTP요청을 가로채 인증가 인가를 위해 Access Server로 정보를 전달

Access Gate API •non-HTTP 자원에 인증 및 인가 정책을 적용하기 위해 Access API

Access Server•Stand-alone 컴포넌트로 web기반, non-Web기반의 자원과 어플리케이션에

대하여 실시간으로 정책에 대한 평가를 제공

Policy Manager•접근 정책에 대한 생성 및 관리 뿐만 아니라 보호되어야 하는 자원에 대한

정책설정을 지원하는 브라우저 기반의 그래픽 툴


Oracle Adaptive Access ManagerOAAM (Oracle Adaptive Access Manager)

OAAM은 리스크 기반 인증 강화 솔루션으로서 사용자 PC에 설치되는 모듈 없음

• 사용자 접근에 대해 접근제어 정책 및 리스크 기반 규칙에 따른 강화된 단계별 인증 적용

• 사칭에 대비한 사용자 및 웹싸이트 간의 상호 신원 확인

• 사용자 사용 패턴, 평상시 행위, 예상되는 리스크 등에 따른 정책기반 리소스 접근제어

• 사용자 행위에 대한 실시간 세밀한 컴플라이언스 리포팅

• 침해상황에서의 과거 이력 기반 자세한 분석 및 포렌식


OracleVirtual DirectoryOVD (Oracle Virtual Directory)

LDAP

VDE DIRECTORY ENGINE

WEB GATEWAYWEB SERVICES WEB GATEWAY

JOIN VIEW

Local

StoreLDAP DB NT

Custom

Oracle Virtual Directory Architecture

Oracle Virtual Directory는 사용자 계정 정보를 위한 자체적인 저장소를 갖지 않고, LDAP

/ DB/ 그 외 계정 정보를 담고 있는 기존의 저장소를 연결하여 LDAP 프로토콜로 서비스할

수 있게 하며, 더불어 둘 이상의 저장소를 조인하여 하나의 LDAP 서버로서 동작할 수 있도

록 함으로써, 신속한 서비스 환경 구축 가능.

ㆍ가상화,프록시,조인,라우팅 기능

ㆍ최신 자바와 웹서비스 기술 수용

ㆍ강력한 확장성

ㆍ대규모 멀티 사이트 관리

ㆍ직접적인 데이터의 접근

기능

ㆍ실시간 디렉토리 통합

ㆍ애플리케이션 배치의 가속화

ㆍ개발 공수의 절감

장점


Oracle EnterpriseManagerEM for IDM Pack

특징 효과

자동탐색 • Oracle IDM 제품군에 대한 발견 및 등록(OAM, OIM, OIF, OID, OSSO)

컴포넌트 모니터링

• 상태 & 주요 성능 지표 모니터링

• 과거 기록에 대한 조회

• 임계치 상황에서의 경보

컴포넌트 구성관리• 컴포넌트 배치 구조에 대한 자동 인지

• 구성 변경 사항에 대한 자동 인지

서비스 모니터링 • 실 사용자 입장에서의 서비스 상태 모니터링

서비스 레벨 정의 • IAM 서비스의 성능 및 가용성 관련 서비스 레벨 정보 제공

EM for IDM Pack은 복잡하고 미션 크리티컬한 성격의 IDM 서버군에 대한 다양한 형태의

관리자 뷰를 제공하고, 사용자 입장에서의 서비스 수준을 관리할 수 있습니다.


CMDB(Discover & Reconcile)

환경 설정변경 관리

자동화어플리케이션성능관리(APM)

서비스 수준관리(SLM)

Oracle Enterprise Manager

오라클 인프라 관리

어플리케이션 관리

확장된 인프라 관리

Oracle EnterpriseManagerEM for IDM Pack

EM for IDM Pack은 복잡하고 미션 크리티컬한 성격의 IDM 서버군에 대한 다양한 형태의

관리자 뷰를 제공하고, 사용자 입장에서의 서비스 수준을 관리할 수 있습니다.

/


고객 요구조건에 따른 제품 매치업

고객 요구조건 해당 IDM 제품

계정관리(프로비져닝) OIM

사용자 인증/인가 OAM, OAAM, ESSO

위/변조/사칭 탐지, 내부자 통제, 해킹(피슁,파밍) 방지 OAAM

비즈니스 협력업체 와의 인증정보 상호 공유 OIF

중앙집중 보안 정책 적용 인프라 OAM

감사/규제 준수 All

사용자 위임관리 OAM, OIM

패스워드 정책 강제, 분실 처리 OAM, OIM, ESSO

싱글 사인 온 OAM, ESSO, OIF

사용자 관리 단일 뷰 OAM, OIM, OVD

사용자 셀프 서비스 OIM, OAM

전사 Role 마이닝, 모델링, 관리 ORM

하드웨어 토큰과 연동되는 리스크 기반 접근제어 OAAM

전사 조직 정보 원장 ORM


완벽한 예방통제

ㆍ직무분장 : ORM, OIM

ㆍ접근제어 강화 & 중앙 집중화된 계정/인증관리 : OAM, eSSO

ㆍ리스크 기반 사용자 인증 강화 : OAAM

ㆍ사용 패턴기반 사용자사칭/위/변조/해킹 행위탐지 : OAAM

ㆍ고스트 계정/권한 탐색 : OIM

ㆍ규칙 기반의 자동화된 계정관리프로세스 오류 대응 처리 : OIM

ㆍ해킹 시도나 변칙행위 시 접근에 대해규칙기반으로 대응 : OAAM

ㆍ사후 추적/분석 : IDM Suite Log(+ AuditVault)

예방

탐지대응


구축 후 기대효과사용자 측면

일반사용자

•셀프서비스

•데스크탑 SSO

•Lead Time 감소

감사자 보안담당자 승인자 헬프데스크

•주기적 감사/리포팅

•감사정책의 강제

•규제준수 비용 절감

•책임 추적성 확보

•유사시 경보 체제

•해킹 대비

•승인 창구 단일화 •헬프데스크 요청감소

사용자 편의성 강화

PEOPLE


구축 후 기대효과프로세스 측면

Global Compliance

PROCESS

장애 대응 계정관련 프로세스들을 예외상황에 대한 대응 규칙을 적용하여 관리자의 개입을최대한 줄여줄 수 있도록 자동화

셀프서비스를 통해서 헬프데스크 로의 단순한 계정관련 요청 프로세스 감소

각종 규제준수 대비 작업들이 수작업에서 자동화 된 리포팅 프로세스화

관리자 수작업, 배치작업, EAI동기화, DB링크 등을 통해 다양하게 발급하던계정관리 프로세스들을 표준화

단순 요청

규제 준수

전사 표준


구축 후 기대효과테크놀로지 측면

통합, 표준, 보안, 통제

TECHNOLOGY

제각기 관리되던 사용자 정보들을 통합하여 글로벌 단일 사용자 뷰를 제공 인사,회계 상의 불확실성 제거

자체 개발 어플리케이션들에 대한 인증,계정 관리 부분에 대한 전사차원의 개발 및 연동 표준 제공 재사용 가능한 모듈로 인해 관련 개발 공수 절감

계정에 대한 라이프 싸이클 관리를 통해 고스트 계정 제거, 휴면계정 관리, 잉여권한 부여 위험성 제거 등전사차원의 보안 레벨을 향상

실시간으로 사용자의 시스템 접근을 통제할 수 있는 통제 인프라가 구축


Global Reference

Manufacturing & Transportation

Financial Services

Government & Public Sector

Retail & Services

Healthcare

Technology & Communications

11,000,000 명

300,000 명 20,000 명

20,000명 36,000 명

20,000 명

160,000 명

22,000 명

25,000 명70,000 명

17,000 명

50,000 명

3,000 명 140,000 명

2000,000 명

66,000 명 110,000 명

32,000 명

115,000 명

4,000 명

370,000 명

150,000 명

200,000 명

350,000 명

110,000 명

5,000,000 명

3,000,000 명

240,000 명

60,000 명

http://www.toyotafinancial.com/

http://www.usps.com/

http://www.goldmansachs.com/



Program Agenda


2. ECM for GRC

3. IDM for GRC


5. Database for GRC


Oracle Fusion Middleware for ICM


Financial Reporting

Control Monitoring

Info Lifecycle

Mgmt(ILM)

Systems Mgmt

Provides sustainable environments to enable the documentation, monitoring, assessment, and reporting on internal controls on an ongoing basis

Internal Control

Documentation &

Assessment Activities

Functionality

Documentation

Documenting the processes relevant to SOX and the risks and controls for each process;

identifying and documenting related policies, procedures and system documentation; template test

plans for relevant controls, issue documentation and tracking

AssessmentsRisk and control assessments; evaluating design and operating effectiveness of controls; issue

identification

Testing Documenting results of control testing; issue identification

ReportingReporting by process, business unit or financial statement line item; status reports; deficiency

reporting; dashboards; issue reporting

Security


내부 통제

GRC란 다양한 위험요소로부터 문제상황이 발생되지 않도록 통제하는 것을 기본으로합니다. 이러한 통제는 사전 통제와 사후 통제로 구분


Business Governance Framework

Business Governance Framework은 목표달성을 위한 전략 & 모델수립, GRC통제및 준수를 위하여 필요


Oracle BPA를 이용한 사전 통제

리스크 분석 및 상관관계 모델링을 위해서는 기업의 핵심 리소스인 Human, Data, System (Function), Time 등에 대한 모델링을 BPA로 수행

GRC의 중요한 요건인 가시성과 명확성의기본이 되는 “누가(Human), 무엇을(Data), 어떻게(Function), 언제(Time) 했는가?” 를분석 및 예방


Oracle BPA를 이용한 사전 통제

Oracle BPA를 이용하여 프로세스 모델링 및 분석을 함으로써 리스크에 대한 사전통제를 수행 하거나 감수 여부를 결정 함.

•기업의 내부 구조를 분석해보면여러 개의 비즈니스 활동이 모여프로세스가 되고 이러한 프로세스가모여 기업 활동의 기본이 됩니다.

•따라서 리스크라 함은 이러한프로세스가 운영되면서 발생되는문제점을 의미하는 것이며 이러한리스크를 관리 하는 것이 바로GRC에서 Risk 관리가 됩니다.

•그러나 프로세스는 기업의 리소스 중에서 가장 중요하나 눈에보이지 않는다는 한계점으로 인하여 관리대상에서 벗어나있었습니다. 이러한 프로세스에 대하여 가시화 하여 모델링하는 것이 바로 GRC를 위한 SOA 의 핵심이 되는 것입니다


Oracle BPM/BAM을 이용한 사후 통제

업무에 대한 강제성 및 자동화 이후 발생하는 리스크는 Oracle BAM을 이용한 실시간모니터링 및 조치를 통한 사후 통제가 가능

Oracle BAM을 이용한

실시간 사후 통제


사전/사후 통제를 위한 Oracle GRC Architecture

오라클은 GRC의 내부 통제(사전/사후)를 위하여 다음과 같은 광범위 하고 완벽한Architecture를 제공



Program Agenda


2. ECM for GRC

3. IDM for GRC


5. Database for GRC


Oracle DB for System Management & Integration


Financial Reporting

Control Monitoring

Info Lifecycle

Mgmt(ILM)

Systems Mgmt

Addresses repeatable IT process execution and the real-time status and management of IT infrastructure assets underlying a company's financial systemsarial

Enables efficient the processes and interfaces that support continuous monitoring and control

Systems Management

ActivitiesFunctionality

Configuration ManagementIdentify and define configuration items; monitor status of configuration items; approval process for accepting

and/or modifying change requests

Change and Release

Management

Introducing new or changed configuration items to the infrastructure; promoting software and hardware into

production

Incident and Problem

Management

Documentation and resolution of incidents, restore services to minimize service disruption, logging, trouble

tickets, communications

Availability ManagementEnsure services are available to the customer at the level defined by the service level agreement, service

availability, monitoring, infrastructure enhancements

User InteractionAccess, review and input information; web based interface into applications; integrated portal; customized

views based on user; reporting

Process Integration Process correlation, workflow, routing

Data Integration Validate data, transform data, data quality

Application Connectivity Integrate multiple applications, messaging between applications

Security

Integration and Collaboration


Infra 관점에서 본 보안 고려 대상

Warehouses

Development

and testing

environments

BackupsDatabase

Administrators

Internal &

External

Business

Applications

Middle TierInternet

Application

Server

StrongAuthentication

NetworkSecurity

Database UserProvisioning

ApplicationIntegration

Row Level Security Controls

MediaProtection

DatabaseAuditing

Identity

Management

NetworkSecurity

StrongAuthentication


보안 요소 기술과 Oracle DBMS의 솔루션

Oracle DB는 ASO, OLS, Data Vault등의 기능으로 최강의 End-to-End 보안Solution을 제공 함.

감사

Data Access

Control

협력사직원

계약직원

연구원

관리자

암호화

Application

Access Control

DB Audit

Data Vault

VPD,OLS

Data Vault

IAM

ASO

DB Crypto

ASO


Data Access Control-Virtual Private DB를 이용한 SOD(직무분리) 지원행 레벨의 액세스 제어

직무분리(Segregation of Duty) 를 준수 하기 위하여 개인별로 가상화된 DB Access를 통하여 직무 별 해당하는 Data 만 Access 하도록 함.

Sales Rep

Customer

Select * from Orders

Select * from Orders

Where customer_id = 20

Where customer_id = 10

VPD

Policy

(예)테이블에 「SELECT」권한이있어도, 허가된 행이외의 데이터는 검색 결과로 돌려주지 않음

기존의 행 레벨 액세스제어및 컬럼레벨의 권한제어 추가

New


Data Access Control - Oracle Label Security

라벨에 근거해 액세스의 접근을 결정 Label Based Access Control (LBAC)

Application Table

Sensitive : ACME

Sensitivity Label

Sensitive : ACME

Sensitive : WIDGET

Highly Sensitive: ACME

Unclassified: ACME

Store ID

AX703

B789C

JFS845

SF78SD

Revenue

10200.34

18020.34

15045.23

21004.45

Department

Finance

Engineering

Legal

HR OK

OK


Data Access Control - Oracle Database Vault

DBA의 권한을 제어하여 Security 관리자와 분리 - 관리자의 부정 데이터 액세스를억제하는 안전한 데이터 기반 solution

월요일~금요일

9:00～18：00

업무 이외의 시간대

Database Vault 환경

DBA의 액세스권한을 제어

SYS/SYSTEM에의 권한 집중에 의한 리스크를 회피(관리 권한의 분산)

통합 데이터베이스 구축시 직무에 따른 견고한 접근제어

유저의 명령 제한, 액티비티의 제한

복수의 요소에 의한 인증의 강화(시간, IP주소, 언어 …)

Create Table

Create User

강력한액세스제어 기

능

유저 A

유저B

Data Dictionary

DBA Role

Financial Data

Financial Admin

경리부문

정보 부문(DBA)


Data Audit - Oracle Audit Vault

Audit Vault를 (Specialized Warehouse for Audit Data) 통하여 DB Access한사용자 및 내역에 대한 분석 및 사후 통제를 시행하여 GRC를 이행 함.

Microsoft

SQL

Server *10g

Release 1

Other third

Party sources

*

9i

Release 2EBusiness

Suite *

Application

Server *Siebel *PeopleSoft *

IBM

DB2 * 10g

Release 2

Protect, Consolidate, Detect, Monitor, Manage, Alert & Report

Audit Archival

Mgmt

ProactiveDetectionand Alerts

Audit Reports

Audit Dashboard

Audit Admin

Audit Collection

Audit PolicyMgmt

Data Mining &Analysis

Custom Reports

* Collectors can be developed using the Audit Vault SDKv1


Data암호화 - Transparent Data Encryption

End-to-End 전 경로에서「데이터 암호화」를 구현

Client ASDW

HTransaction Data

Back Up

• 전 경로에 걸쳐 암호화가 가능한 것은 오라클뿐!

• 「어플리케이션의 변경이 불필요」 한편 「퍼포먼스 저하가 최소한」으로데이타베이스 그 자체를 암호화(Transparent Data Encryption)

통신 데이터의암호화


백업 데이터의 암호화


입력 데이터의암호화

입력 데이터의암호화

고객 번호 카드 번호

서울시··· 1001-10100 123-4567

대전시··· 1102-01200 213-4843

부산시・・・ 1101-20300 384-1579

400 938-5827

500 583-3982

・

・

주소 주문 번호

Encrypt

***-*******-*******-*******-*******-****


RMAN로 암호화가 가능추가적인 작업이나, 불필요한 장치, S/W가 불필요

DB백업과는 별도의 작업으로 암호화를 수행추가적인 작업이나 장치, S/W 필요

Data 암호화 – RMAN을 이용한 Secured Backup

별도의 추가 장비/SW 없이 암복화 된 백업을 수행하여 혹시라도 모르는 사고에대하여 대비 함.

Backup

암호화/

복합화

RMAN 암호화/복합화

Oracle Database의 RMAN지금까지의 솔루션


GRC References include…

Public Sector

High Tech / Communications

Financial Services Manufacturing

Consumer / Retail

Life Sciences/Pharmaceuticals

http://www.adt.com/wps/portal/adt/

http://www.classesusa.com/af/schools/combined/phoenix/index.html

http://www.classesusa.com/af/schools/combined/phoenix/index.html

http://en.wikipedia.org/wiki/Image:Constellation_Energy.png


Ready for Run !!


Delivers GRC Insight for Better Business Performance

• Real-time visibility to all GRC activities across the enterprise

• Pre-delivered auditor-ready reports and dashboards

• Integrated GRC and corporate performance (CPM) solutions

Secures Critical Information Assets at All Levels

• Market-leading solutions for data protection and identity management

• Complete lifecycle management for electronic data & corporate records

• Segregation of duties from business process to infrastructure

Provides End-to-End Support for GRC Processes

• End-to-end GRC processes for cross-industry & industry specific needs

• Pre-delivered best practice templates and compliance frameworks

• Integrated documentation, process automation, and controls monitoring

Only Oracle…

The Oracle Platform Approach ( Oracle can help you…)


Documents

Oracle Technology Platform for GRC - :: DBguide.net :: 데이터 … · · 2008-10-27 Oracle Technology Platform for GRC Oracle Korea, Fusion Middleware