규정 준수 관리자 프레임워크

이 문서에서는 Compliance Manager에 포함된 내장 클라우드 프레임워크의 참조 콘텐츠를 제공합니다.

Google Recommended AI Essentials - Vertex AI

지원되는 클라우드 제공업체: Google Cloud

이 프레임워크는 Vertex AI 워크로드에 대해 Google에서 권장하는 보안 권장사항을 설명하고 필수 예방 및 감지 정책의 규범적 모음을 제공합니다. Security Command Center 내에서 AI 보호를 활성화하면 이 프레임워크에 대한 자세한 보안 규정 준수 평가가 AI 보안 대시보드에 자동으로 표시됩니다.

이 프레임워크에는 다음 클라우드 컨트롤이 포함됩니다.

CIS GKE 1.7

지원되는 클라우드 제공업체: Google Cloud

CIS GKE 벤치마크는 Google Kubernetes Engine (GKE) 클러스터에 맞게 특별히 조정된 보안 권장사항 및 권장사항 집합입니다. 이 벤치마크는 GKE 환경의 보안 상황을 개선하는 것을 목표로 합니다.

이 프레임워크에는 다음 클라우드 컨트롤이 포함됩니다.

CIS Critical Security Controls v8

지원되는 클라우드 제공업체: Google Cloud

일반적인 사이버 위협으로부터 보호하기 위한 우선순위가 지정된 보호 조치 집합입니다. 다양한 성숙도를 가진 조직에 적합하도록 구현 그룹 (IG1, IG2, IG3)으로 계층화된 사이버 방어에 대한 실용적인 접근 방식을 제공합니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

cis-controls-1-1

데이터를 저장하거나 처리할 수 있는 모든 엔터프라이즈 자산(엔드포인트 기기(휴대용 및 모바일 포함), 네트워크 기기, 비컴퓨팅/IoT 기기, 서버 포함)의 정확하고 상세하며 최신 인벤토리를 구축하고 유지합니다. 인벤토리에는 각 애셋의 네트워크 주소 (고정인 경우), 하드웨어 주소, 머신 이름, 엔터프라이즈 애셋 소유자, 부서, 애셋이 네트워크에 연결하도록 승인되었는지 여부가 기록되어야 합니다. 모바일 최종 사용자 기기의 경우 MDM 유형 도구가 적절한 경우 이 프로세스를 지원할 수 있습니다. 이 인벤토리에는 인프라에 물리적으로, 가상으로, 원격으로 연결된 애셋과 클라우드 환경 내의 애셋이 포함됩니다. 또한 기업의 관리 대상이 아니더라도 기업의 네트워크 인프라에 정기적으로 연결되는 자산이 포함됩니다. 모든 엔터프라이즈 애셋의 인벤토리를 6개월에 한 번 이상 검토하고 업데이트합니다.

cis-controls-10-2

모든 엔터프라이즈 자산에서 멀웨어 방지 서명 파일의 자동 업데이트를 구성합니다.

cis-controls-10-3

이동식 미디어의 자동 실행 및 자동 재생 자동 실행 기능을 사용 중지합니다.

cis-controls-10-6

멀웨어 방지 소프트웨어를 중앙에서 관리합니다.

cis-controls-11-1

자세한 백업 절차가 포함된 문서화된 데이터 복구 프로세스를 수립하고 유지관리합니다. 이 과정에서 데이터 복구 활동 범위, 복구 우선순위, 백업 데이터 보안을 다루세요. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-11-2

범위 내 엔터프라이즈 애셋의 자동 백업을 실행합니다. 데이터의 민감도에 따라 주간 또는 그 이상의 빈도로 백업을 실행합니다.

cis-controls-11-3

원래 데이터와 동일한 제어로 복구 데이터를 보호합니다. 요구사항에 따라 암호화 또는 데이터 분리를 참조합니다.

cis-controls-11-4

복구 데이터의 격리된 인스턴스를 설정하고 유지합니다. 예시 구현에는 오프라인, 클라우드 또는 오프사이트 시스템이나 서비스를 통한 백업 대상 버전 관리가 포함됩니다.

cis-controls-11-5

분기별로 또는 그보다 더 자주 범위 내 엔터프라이즈 애셋 샘플에 대해 백업 복구를 테스트합니다.

cis-controls-12-2

보안 네트워크 아키텍처를 설계하고 유지보수합니다. 안전한 네트워크 아키텍처는 최소한 세분화, 최소 권한, 가용성을 다루어야 합니다. 예시 구현에는 문서, 정책, 설계 구성요소가 포함될 수 있습니다.

cis-controls-12-3

네트워크 인프라를 안전하게 관리합니다. 예시 구현에는 버전 관리 코드형 인프라 (IaC)와 SSH, HTTPS와 같은 보안 네트워크 프로토콜 사용이 포함됩니다.

cis-controls-12-5

네트워크 AAA를 중앙화합니다.

cis-controls-12-6

보안 네트워크 관리 프로토콜 (예: 802.1X) 및 보안 통신 프로토콜 (예: Wi-Fi Protected Access 2 (WPA2) Enterprise 또는 더 안전한 대안)을 사용해야 합니다.

cis-controls-12-7

사용자가 최종 사용자 기기에서 엔터프라이즈 리소스에 액세스하기 전에 엔터프라이즈 관리 VPN 및 인증 서비스에 인증하도록 요구합니다.

cis-controls-13-1

로그 상관관계 및 분석을 위해 엔터프라이즈 자산 전반에서 보안 이벤트 알림을 중앙 집중화합니다. 권장사항 구현에는 공급업체 정의 이벤트 상관관계 알림이 포함된 SIEM을 사용해야 합니다. 보안 관련 상관관계 알림으로 구성된 로그 분석 플랫폼도 이 보호 조치를 충족합니다.

cis-controls-13-2

적절하거나 지원되는 경우 엔터프라이즈 애셋에 호스트 기반 침입 감지 솔루션을 배포합니다.

cis-controls-13-3

적절한 경우 엔터프라이즈 애셋에 네트워크 침입 감지 솔루션을 배포합니다. 구현 예로는 네트워크 침입 감지 시스템 (NIDS) 또는 이에 상응하는 클라우드 서비스 제공업체 (CSP) 서비스 사용이 있습니다.

cis-controls-13-4

필요한 경우 네트워크 세그먼트 간 트래픽 필터링을 실행합니다.

cis-controls-13-5

엔터프라이즈 리소스에 원격으로 연결되는 애셋의 액세스 제어를 관리합니다. 최신 맬웨어 방지 소프트웨어 설치, 엔터프라이즈의 보안 구성 프로세스와의 구성 준수, 운영체제 및 애플리케이션의 최신 상태 유지에 따라 엔터프라이즈 리소스에 대한 액세스 권한의 양을 결정합니다.

cis-controls-13-6

네트워크 기기에서 검토하고 알림을 받을 네트워크 트래픽 흐름 로그 또는 네트워크 트래픽을 수집합니다.

cis-controls-13-7

적절하거나 지원되는 경우 엔터프라이즈 애셋에 호스트 기반 침입 방지 솔루션을 배포합니다. 구현 예로는 엔드포인트 탐지 및 대응 (EDR) 클라이언트 또는 호스트 기반 IPS 에이전트 사용이 있습니다.

cis-controls-13-8

필요한 경우 네트워크 침입 방지 솔루션을 배포합니다. 예시 구현에는 네트워크 침입 방지 시스템 (NIPS) 또는 이에 상응하는 CSP 서비스 사용이 포함됩니다.

cis-controls-13-9

포트 수준 액세스 제어를 배포합니다. 포트 수준 액세스 제어는 802.1x 또는 인증서와 같은 유사한 네트워크 액세스 제어 프로토콜을 사용하며 사용자 또는 기기 인증을 통합할 수 있습니다.

cis-controls-14-1

보안 인식 프로그램을 수립하고 유지관리합니다. 보안 인식 프로그램의 목적은 기업의 인력에게 기업 자산 및 데이터와 안전하게 상호작용하는 방법을 교육하는 것입니다. 채용 시 및 최소한 연간으로 교육을 실시합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 콘텐츠를 검토하고 업데이트합니다.

cis-controls-14-3

인증 권장사항에 대해 직원 교육 예시 주제로는 MFA, 비밀번호 구성, 사용자 인증 정보 관리가 있습니다.

cis-controls-14-5

인력 구성원이 의도치 않은 데이터 노출의 원인을 인식하도록 교육합니다. 예를 들어 민감한 데이터의 잘못된 전송, 휴대용 최종 사용자 기기의 분실, 의도하지 않은 대상에 데이터 게시 등이 있습니다.

cis-controls-16-1

안전한 애플리케이션 개발 프로세스를 수립하고 유지합니다. 이 과정에서 안전한 애플리케이션 설계 표준, 안전한 코딩 관행, 개발자 교육, 취약점 관리, 서드 파티 코드 보안, 애플리케이션 보안 테스트 절차와 같은 항목을 다룹니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-16-11

ID 관리, 암호화, 감사, 로깅과 같은 애플리케이션 보안 구성요소에 대해 검증된 모듈 또는 서비스를 활용합니다. 중요한 보안 기능에서 플랫폼 기능을 사용하면 개발자의 작업 부하가 줄어들고 설계 또는 구현 오류의 가능성이 최소화됩니다. 최신 운영체제는 식별, 인증, 승인을 위한 효과적인 메커니즘을 제공하고 이러한 메커니즘을 애플리케이션에서 사용할 수 있도록 합니다. 표준화되고 현재 허용되며 광범위하게 검토된 암호화 알고리즘만 사용하세요. 운영체제는 안전한 감사 로그를 생성하고 유지관리하는 메커니즘도 제공합니다.

cis-controls-16-12

애플리케이션 수명 주기 내에서 정적 및 동적 분석 도구를 적용하여 안전한 코딩 관행을 따르고 있는지 확인합니다.

cis-controls-16-13

애플리케이션 침투 테스트를 실행합니다. 중요한 애플리케이션의 경우 인증된 침투 테스트가 코드 스캔 및 자동화된 보안 테스트보다 비즈니스 로직 취약점을 찾는 데 더 적합합니다. 침투 테스트는 인증된 사용자와 인증되지 않은 사용자로 애플리케이션을 수동으로 조작하는 테스터의 기술에 의존합니다. 

cis-controls-16-2

외부 기관이 신고할 수 있는 수단을 제공하는 등 소프트웨어 취약점 신고를 접수하고 처리하는 프로세스를 수립하고 유지합니다. 이 프로세스에는 신고 프로세스, 취약점 신고 처리 담당자, 접수, 할당, 해결, 해결 테스트 프로세스를 식별하는 취약점 처리 정책과 같은 항목이 포함됩니다. 이 프로세스의 일환으로 심각도 등급과 취약점 식별, 분석, 수정 시기를 측정하는 측정항목이 포함된 취약점 추적 시스템을 사용합니다. 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 또는 매년 문서를 검토하고 업데이트합니다. 서드 파티 애플리케이션 개발자는 이를 외부 이해관계자의 기대치를 설정하는 데 도움이 되는 외부 정책으로 간주해야 합니다.

cis-controls-16-3

보안 취약점에 대한 근본 원인 분석을 수행합니다. 취약점을 검토할 때 근본 원인 분석은 코드에서 취약점을 만드는 기본 문제를 평가하는 작업으로, 개발팀이 개별 취약점이 발생할 때 이를 수정하는 것 이상으로 나아갈 수 있습니다.

cis-controls-16-7

애플리케이션 인프라 구성요소에 업계 권장 표준 강화 구성 템플릿을 사용합니다. 여기에는 기본 서버, 데이터베이스, 웹 서버가 포함되며 클라우드 컨테이너, Platform as a Service (PaaS) 구성요소, SaaS 구성요소에 적용됩니다. 사내 개발 소프트웨어로 인해 구성 강화가 약화되지 않도록 합니다.

cis-controls-17-2

보안 사고를 통보해야 하는 당사자의 연락처 정보를 설정하고 유지합니다. 연락처에는 내부 직원, 서비스 제공업체, 법 집행 기관, 사이버 보험 제공업체, 관련 정부 기관, 정보 공유 및 분석 센터 (ISAC) 파트너 또는 기타 이해관계자가 포함될 수 있습니다. 정보가 최신 상태인지 확인하기 위해 매년 연락처를 확인합니다.

cis-controls-17-4

역할과 책임, 규정 준수 요구사항, 커뮤니케이션 계획을 다루는 문서화된 사고 대응 프로세스를 수립하고 유지합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 검토합니다.

cis-controls-17-9

사고와 이벤트를 구분하는 것을 최소한으로 포함하여 보안 사고 기준을 설정하고 유지합니다. 예로는 비정상적인 활동, 보안 취약점, 보안 약점, 데이터 유출, 개인 정보 보호 사고 등이 있습니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 기업 변경사항이 발생할 때 검토합니다.

cis-controls-18-1

기업의 규모, 복잡성, 업계, 성숙도에 적합한 침투 테스트 프로그램을 수립하고 유지해야 합니다. 침투 테스트 프로그램 특성에는 범위(예: 네트워크, 웹 애플리케이션, 애플리케이션 프로그래밍 인터페이스(API), 호스팅 서비스, 물리적 건물 제어), 빈도, 제한사항(예: 허용되는 시간, 제외된 공격 유형), 연락처 정보, 시정 조치(예: 발견 사항이 내부적으로 라우팅되는 방식), 회고 요구사항이 포함됩니다.

cis-controls-18-2

프로그램 요구사항에 따라 연 1회 이상 정기적인 외부 침투 테스트를 수행합니다. 외부 침입 테스트에는 악용 가능한 정보를 감지하기 위한 엔터프라이즈 및 환경 정찰이 포함되어야 합니다. 침투 테스트에는 전문 기술과 경험이 필요하며 자격이 있는 당사자를 통해 실시해야 합니다. 테스트는 명확한 상자 또는 불투명한 상자일 수 있습니다.

cis-controls-18-5

프로그램 요구사항에 따라 연 1회 이상 주기적으로 내부 침투 테스트를 실행합니다. 테스트는 명확한 상자 또는 불투명한 상자일 수 있습니다.

cis-controls-2-7

디지털 서명 및 버전 관리와 같은 기술적 제어를 사용하여 특정 .ps1 및 .py 파일과 같은 승인된 스크립트만 실행할 수 있도록 합니다. 승인되지 않은 스크립트의 실행을 차단합니다. 6개월에 한 번 또는 더 자주 재평가합니다.

cis-controls-3-1

문서화된 데이터 관리 프로세스를 수립하고 유지합니다. 이 과정에서 기업의 민감도 및 보관 표준에 따라 데이터 민감도, 데이터 소유자, 데이터 처리, 데이터 보관 한도, 폐기 요구사항을 해결합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-3-11

서버, 애플리케이션, 데이터베이스에서 저장 중인 민감한 정보를 암호화합니다. 서버 측 암호화라고도 하는 스토리지 계층 암호화는 이 보호 조치의 최소 요구사항을 충족합니다. 추가 암호화 방법에는 데이터 저장소 기기에 대한 액세스가 일반 텍스트 데이터에 대한 액세스를 허용하지 않는 애플리케이션 레이어 암호화(클라이언트 측 암호화라고도 함)가 포함될 수 있습니다.

cis-controls-3-14

수정 및 폐기를 비롯한 민감한 정보 액세스를 로깅합니다.

cis-controls-3-2

기업의 데이터 관리 프로세스에 따라 데이터 인벤토리를 설정하고 유지관리합니다. 최소한 민감한 정보를 인벤토리로 만드세요. 최소한 매년 인벤토리를 검토하고 업데이트하며, 민감한 데이터를 우선적으로 처리합니다.

cis-controls-3-3

사용자의 알 필요가 있는 정보에 따라 데이터 액세스 제어 목록을 구성합니다. 액세스 권한이라고도 하는 데이터 액세스 제어 목록을 로컬 및 원격 파일 시스템, 데이터베이스, 애플리케이션에 적용합니다.

cis-controls-3-4

엔터프라이즈의 문서화된 데이터 관리 프로세스에 따라 데이터를 보관합니다. 데이터 보관에는 최소 및 최대 타임라인이 모두 포함되어야 합니다.

cis-controls-3-5

기업의 문서화된 데이터 관리 프로세스에 설명된 대로 데이터를 안전하게 폐기합니다. 폐기 절차와 방법이 데이터 민감도에 적합해야 합니다.

cis-controls-3-6

민감한 정보가 포함된 최종 사용자 기기에서 데이터를 암호화합니다. 구현 예로는 Windows BitLocker®, Apple FileVault®, Linux® dm-crypt가 있습니다.

cis-controls-3-7

엔터프라이즈의 전반적인 데이터 분류 체계를 수립하고 유지합니다. 기업은 '민감', '기밀', '공개'와 같은 라벨을 사용하여 이러한 라벨에 따라 데이터를 분류할 수 있습니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 분류 체계를 검토하고 업데이트합니다.

cis-controls-3-8

문서 데이터 흐름 데이터 흐름 문서에는 서비스 제공업체 데이터 흐름이 포함되며 기업의 데이터 관리 프로세스를 기반으로 해야 합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-3-9

이동식 미디어의 데이터를 암호화합니다.

cis-controls-4-1

엔터프라이즈 애셋 (휴대용 및 모바일 기기, 비컴퓨팅/IoT 기기, 서버를 포함한 최종 사용자 기기) 및 소프트웨어 (운영체제 및 애플리케이션)에 대한 문서화된 보안 구성 프로세스를 수립하고 유지관리합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-4-2

네트워크 기기에 대한 문서화된 보안 구성 프로세스를 수립하고 유지합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-4-3

정의된 기간 동안 활동이 없으면 엔터프라이즈 애셋에서 자동 세션 잠금을 구성합니다. 범용 운영체제의 경우 기간이 15분을 초과해서는 안 됩니다. 모바일 최종 사용자 기기의 경우 기간이 2분을 초과해서는 안 됩니다.

cis-controls-4-4

지원되는 경우 서버에서 방화벽을 구현하고 관리합니다. 예시 구현에는 가상 방화벽, 운영체제 방화벽 또는 서드 파티 방화벽 에이전트가 포함됩니다.

cis-controls-4-5

명시적으로 허용된 서비스와 포트를 제외한 모든 트래픽을 삭제하는 기본 거부 규칙을 사용하여 최종 사용자 기기에 호스트 기반 방화벽 또는 포트 필터링 도구를 구현하고 관리합니다.

cis-controls-4-6

엔터프라이즈 애셋 및 소프트웨어를 안전하게 관리합니다. 예시 구현에는 버전 관리 인프라 코드 (IaC)를 통한 구성 관리와 시큐어 셸 (SSH), 하이퍼텍스트 전송 프로토콜 보안 (HTTPS)과 같은 보안 네트워크 프로토콜을 통한 관리 인터페이스 액세스가 포함됩니다. 작업상 필수적이지 않은 경우 Telnet (Teletype Network) 및 HTTP와 같은 안전하지 않은 관리 프로토콜을 사용하지 마세요.

cis-controls-4-7

루트, 관리자, 기타 사전 구성된 공급업체 계정과 같은 기업 자산 및 소프트웨어의 기본 계정을 관리합니다. 예시 구현에는 기본 계정 사용 중지 또는 사용 불가능 설정이 포함될 수 있습니다.

cis-controls-4-8

사용하지 않는 파일 공유 서비스, 웹 애플리케이션 모듈 또는 서비스 기능과 같은 엔터프라이즈 애셋 및 소프트웨어의 불필요한 서비스를 제거하거나 사용 중지합니다.

cis-controls-5-1

엔터프라이즈에서 관리되는 모든 계정의 인벤토리를 설정하고 유지합니다. 인벤토리에는 최소한 사용자, 관리자, 서비스 계정이 포함되어야 합니다. 인벤토리에는 최소한 개인의 이름, 사용자 이름, 시작/종료일, 부서가 포함되어야 합니다. 모든 활성 계정이 최소 분기별 또는 그 이상의 반복 일정으로 승인되었는지 확인합니다.

cis-controls-5-2

모든 엔터프라이즈 애셋에 고유한 비밀번호를 사용합니다. 권장사항 구현에는 다중 인증 (MFA)을 사용하는 계정의 경우 최소 8자 비밀번호, MFA를 사용하지 않는 계정의 경우 14자 비밀번호가 포함됩니다. 

cis-controls-5-4

엔터프라이즈 자산의 전용 관리자 계정으로 관리자 권한을 제한합니다. 인터넷 탐색, 이메일, 생산성 제품군 사용과 같은 일반 컴퓨팅 활동은 권한이 없는 사용자의 기본 계정에서 실행합니다.

cis-controls-5-5

서비스 계정 인벤토리를 설정하고 유지합니다. 인벤토리에는 최소한 부서 소유자, 검토 날짜, 목적이 포함되어야 합니다. 최소 분기별 또는 그보다 더 자주 서비스 계정 검토를 실행하여 모든 활성 계정이 승인되었는지 확인합니다.

cis-controls-5-6

디렉터리 또는 ID 서비스를 통해 계정 관리를 중앙 집중화합니다.

cis-controls-6-1

신규 채용 또는 사용자 역할 변경 시 엔터프라이즈 자산에 대한 액세스 권한을 부여하기 위한 문서화된 프로세스(자동화된 프로세스 권장)를 수립하고 따릅니다.

cis-controls-6-2

사용자의 해고, 권한 취소 또는 역할 변경 시 계정을 즉시 사용 중지하여 엔터프라이즈 애셋에 대한 액세스 권한을 취소하는 프로세스를 설정하고 따릅니다(자동화된 프로세스가 바람직함). 감사 추적을 보존하려면 계정을 삭제하는 대신 계정을 사용 중지해야 할 수 있습니다.

cis-controls-6-3

지원되는 경우 외부로 노출된 모든 엔터프라이즈 또는 서드 파티 애플리케이션에서 MFA를 적용하도록 요구합니다. 디렉터리 서비스 또는 SSO 제공업체를 통해 MFA를 적용하는 것은 이 보호 조치의 만족스러운 구현입니다.

cis-controls-6-5

온사이트에서 관리하든 서비스 제공업체를 통해 관리하든 모든 엔터프라이즈 자산에서 지원되는 경우 모든 관리 액세스 계정에 MFA를 요구합니다.

cis-controls-6-6

온사이트 또는 원격 서비스 제공업체에서 호스팅되는 시스템을 포함하여 기업의 인증 및 승인 시스템 인벤토리를 구축하고 유지합니다. 인벤토리를 최소한 1년에 한 번 이상 검토하고 업데이트합니다.

cis-controls-6-7

지원되는 경우 디렉터리 서비스 또는 SSO 제공업체를 통해 모든 엔터프라이즈 애셋의 액세스 제어를 중앙 집중화합니다.

cis-controls-6-8

엔터프라이즈 내 각 역할이 할당된 업무를 성공적으로 수행하는 데 필요한 액세스 권한을 결정하고 문서화하여 역할 기반 액세스 제어를 정의하고 유지합니다. 최소 연 1회 이상 또는 더 자주 반복되는 일정에 따라 엔터프라이즈 애셋의 액세스 제어 검토를 수행하여 모든 권한이 승인되었는지 확인합니다.

cis-controls-7-2

위험 기반 수정 전략을 수립하고 유지하며, 수정 프로세스에 문서화하고 월별 또는 더 자주 검토합니다.

cis-controls-7-7

해결 프로세스에 따라 월별 또는 더 자주 프로세스와 도구를 통해 소프트웨어에서 감지된 취약점을 해결합니다.

cis-controls-8-1

엔터프라이즈의 로깅 요구사항을 정의하는 문서화된 감사 로그 관리 프로세스를 수립하고 유지합니다. 최소한 엔터프라이즈 자산의 감사 로그 수집, 검토, 보관을 처리해야 합니다. 매년 또는 이 보호 조치에 영향을 미칠 수 있는 중요한 엔터프라이즈 변경사항이 발생할 때 문서를 검토하고 업데이트합니다.

cis-controls-8-11

감사 로그를 검토하여 잠재적 위협을 나타낼 수 있는 이상치 또는 비정상 이벤트를 감지합니다. 주 단위 또는 그 이상의 빈도로 검토를 진행합니다.

cis-controls-8-2

감사 로그를 수집합니다. 엔터프라이즈의 감사 로그 관리 프로세스에 따라 엔터프라이즈 애셋 전반에 로깅이 사용 설정되어 있는지 확인합니다.

cis-controls-8-3

로깅 대상이 기업의 감사 로그 관리 프로세스를 준수하기에 충분한 스토리지를 유지하는지 확인합니다.

cis-controls-8-4

시간 동기화 표준화 지원되는 경우 엔터프라이즈 자산 전반에서 동기화된 시간 소스를 2개 이상 구성합니다.

cis-controls-8-5

민감한 정보가 포함된 엔터프라이즈 애셋에 대한 상세 감사 로깅을 구성합니다. 포렌식 조사에 도움이 될 수 있는 이벤트 소스, 날짜, 사용자 이름, 타임스탬프, 소스 주소, 대상 주소, 기타 유용한 요소를 포함합니다.

cis-controls-8-6

적절하고 지원되는 경우 엔터프라이즈 애셋에서 DNS 쿼리 감사 로그를 수집합니다.

cis-controls-8-7

적절하고 지원되는 경우 엔터프라이즈 애셋에 대한 URL 요청 감사 로그를 수집합니다.

cis-controls-8-8

명령줄 감사 로그를 수집합니다. 구현 예로는 PowerShell®, BASH™, 원격 관리 터미널에서 감사 로그를 수집하는 것이 있습니다.

cis-controls-8-9

문서화된 감사 로그 관리 프로세스에 따라 엔터프라이즈 애셋 전반에서 감사 로그 수집 및 보관을 최대한 중앙 집중화합니다. 예시 구현에는 주로 SIEM 도구를 활용하여 여러 로그 소스를 중앙 집중화하는 것이 포함됩니다.

cis-controls-9-1

완전히 지원되는 브라우저와 이메일 클라이언트만 기업에서 실행할 수 있도록 하고, 공급업체를 통해 제공되는 최신 버전의 브라우저와 이메일 클라이언트만 사용해야 합니다.

cis-controls-9-2

원격 및 온프레미스 자산을 비롯한 모든 최종 사용자 기기에서 DNS 필터링 서비스를 사용하여 알려진 악성 도메인에 대한 액세스를 차단합니다.

cis-controls-9-3

엔터프라이즈 애셋이 잠재적으로 악성 또는 승인되지 않은 웹사이트에 연결되지 않도록 네트워크 기반 URL 필터를 적용하고 업데이트합니다. 예시 구현에는 카테고리 기반 필터링, 평판 기반 필터링 또는 차단 목록 사용이 포함됩니다. 모든 엔터프라이즈 애셋에 필터를 적용합니다.

cis-controls-9-4

승인되지 않았거나 불필요한 브라우저 또는 이메일 클라이언트 플러그인, 확장 프로그램, 부가기능 애플리케이션을 제거하거나 사용 중지합니다.

CSA Cloud Controls Matrix v4.0.11

지원되는 클라우드 제공업체: Google Cloud

클라우드 컴퓨팅 환경을 위해 특별히 설계된 사이버 보안 관리 프레임워크입니다. 주요 도메인 전반에 걸쳐 포괄적인 제어 기능을 제공하여 클라우드 서비스의 보안 상황을 평가할 수 있습니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

ccm-aa-01

감사 및 보증 정책과 절차, 표준을 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-aa-02

관련 표준에 따라 최소 연 1회 독립적인 감사 및 보증 평가를 실시합니다.

ccm-ais-01

조직의 애플리케이션 보안 기능의 적절한 계획, 제공, 지원을 위한 지침을 제공하기 위해 애플리케이션 보안 정책 및 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-ais-02

다양한 애플리케이션을 보호하기 위한 기준 요구사항을 설정, 문서화, 유지관리합니다.

ccm-ais-03

비즈니스 목표, 보안 요구사항, 규정 준수 의무에 따라 기술 및 운영 측정항목을 정의하고 구현합니다.

ccm-ais-04

조직에서 정의한 보안 요구사항에 따라 애플리케이션 설계, 개발, 배포, 운영을 위한 SDLC 프로세스를 정의하고 구현합니다.

ccm-ais-05

애플리케이션 보안을 보장하고 규정 준수를 유지하면서 조직의 제공 속도 목표를 달성할 수 있는 새로운 정보 시스템, 업그레이드, 새 버전의 수락 기준을 포함한 테스트 전략을 구현합니다. 가능한 경우 자동화합니다.

ccm-bcr-03

위험 감수 범위 내에서 비즈니스 중단의 영향을 줄이고, 비즈니스 중단을 견디고, 비즈니스 중단으로부터 복구하기 위한 전략을 수립합니다.

ccm-bcr-07

비즈니스 연속성 및 복원력 절차를 진행하는 동안 이해관계자 및 참여자와 소통합니다.

ccm-bcr-08

클라우드에 저장된 데이터를 주기적으로 백업합니다. 백업의 기밀성, 무결성, 가용성을 보장하고 복원력을 위해 백업에서 데이터 복원을 확인합니다.

ccm-bcr-09

자연 재해 및 인재로부터 복구하기 위한 재해 대응 계획을 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 또는 중요한 변경사항이 있을 때 계획을 업데이트합니다.

ccm-bcr-10

매년 또는 중대한 변경사항이 있을 때마다 재해 대응 계획을 실행합니다(가능한 경우 지역 비상 당국 포함).

ccm-bcr-11

관련 업계 표준에 따라 적절한 최소 거리로 독립적으로 위치한 중복 장비로 비즈니스에 중요한 장비를 보완합니다.

ccm-ccc-01

애플리케이션, 시스템, 인프라, 구성 등 조직 자산에 변경사항을 적용하는 것과 관련된 위험을 관리하기 위한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지해야 합니다. 자산이 내부적으로 관리되는지 외부적으로 관리되는지와 관계없이 정책과 절차를 관리해야 합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-ccc-02

정해진 기준, 테스트, 출시 표준을 사용하여 정의된 품질 변경 관리, 승인, 테스트 프로세스를 따릅니다.

ccm-ccc-07

설정된 기준에서 벗어나는 변경사항이 있는 경우 사전 알림을 통해 감지 조치를 구현합니다.

ccm-cek-01

암호화, 암호화, 키 관리에 관한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-cek-02

암호화, 암호화 및 키 관리 역할과 책임을 정의하고 구현합니다.

ccm-cek-03

승인된 표준에 따라 인증된 암호화 라이브러리를 사용하여 저장 데이터와 전송 중 데이터를 암호화 방식으로 보호합니다.

ccm-cek-04

데이터 분류, 관련 위험, 암호화 기술의 유용성을 고려하여 데이터 보호에 적합한 암호화 알고리즘을 사용합니다.

ccm-cek-05

암호화, 암호화, 키 관리 기술 변경사항의 검토, 승인, 구현, 커뮤니케이션을 위해 내부 및 외부 소스의 변경사항을 수용할 수 있는 표준 변경 관리 절차를 수립합니다.

ccm-cek-08

CSP는 CSC가 자체 데이터 암호화 키를 관리할 수 있는 기능을 제공해야 합니다.

ccm-cek-10

업계에서 허용되는 암호화 라이브러리를 사용하여 암호화 키를 생성하고 사용된 알고리즘 강도와 난수 생성기를 지정합니다.

ccm-cek-11

고유한 목적으로 프로비저닝된 암호화 보안 비밀 및 비공개 키를 관리합니다.

ccm-cek-18

법적 및 규제 요구사항에 관한 조항을 포함하여 최소 권한 액세스가 필요한 보안 저장소에서 보관된 키를 관리하기 위한 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-cek-21

법적 및 규제 요구사항에 관한 조항을 포함하여 키 관리 시스템이 모든 암호화 자료와 상태 변경사항을 추적하고 보고할 수 있도록 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-dcs-07

인력, 데이터, 정보 시스템을 보호하기 위해 물리적 보안 경계를 구현합니다. 관리 및 비즈니스 영역과 데이터 스토리지 및 처리 시설 영역 사이에 물리적 보안 경계를 설정합니다.

ccm-dcs-09

승인된 직원만 보안 구역에 액세스할 수 있도록 허용하고 모든 출입 지점은 물리적 액세스 제어 메커니즘에 의해 제한, 문서화, 모니터링됩니다. 조직에서 적절하다고 판단하는 경우 액세스 제어 기록을 주기적으로 보관합니다.

ccm-dsp-01

전체 수명 주기 동안 그리고 모든 관련 법규, 표준, 위험 수준에 따라 데이터의 분류, 보호, 처리에 관한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-dsp-02

데이터가 어떤 포렌식 수단으로도 복구되지 않도록 스토리지 미디어에서 데이터를 안전하게 폐기하기 위해 업계에서 허용되는 방법을 적용합니다.

ccm-dsp-07

설계 단계부터 보안을 고려하는 원칙과 업계 권장사항에 따라 시스템, 제품, 비즈니스 관행을 개발합니다.

ccm-dsp-08

설계 단계부터 개인 정보 보호를 고려하는 원칙과 업계 권장사항에 따라 시스템, 제품, 비즈니스 관행을 개발합니다. 시스템의 개인 정보 보호 설정이 모든 관련 법규에 따라 기본적으로 구성되어 있는지 확인합니다.

ccm-dsp-10

개인 정보 또는 민감한 정보의 전송이 무단 액세스로부터 보호되고 관련 법규에서 허용하는 범위 내에서만 처리되도록 보장하는 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-dsp-16

데이터 보관, 보관처리, 삭제는 비즈니스 요구사항, 관련 법규에 따라 관리됩니다.

ccm-dsp-17

수명 주기 전반에서 민감한 정보를 보호하기 위한 프로세스, 절차, 기술적 조치를 정의하고 구현합니다.

ccm-grc-01

조직의 리더십이 후원하는 정보 거버넌스 프로그램의 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-grc-03

모든 관련 조직 정책과 관련 절차를 최소 연 1회 또는 조직 내에 상당한 변경사항이 발생할 때 검토합니다.

ccm-grc-07

조직에 적용되는 모든 관련 표준, 규정, 법적, 계약상, 법적 요구사항을 식별하고 문서화합니다.

ccm-iam-01

ID 및 액세스 관리를 위한 정책과 절차를 수립, 문서화, 승인, 전달, 구현, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-iam-03

시스템 ID 및 액세스 수준 정보를 관리, 저장, 검토합니다.

ccm-iam-04

정보 시스템 액세스를 구현할 때 업무 분리 원칙을 적용합니다.

ccm-iam-05

정보 시스템 액세스를 구현할 때 최소 권한 원칙을 적용합니다.

ccm-iam-07

Identity and Access Management 정책을 효과적으로 채택하고 전달하기 위해 이동자, 퇴사자 또는 시스템 ID 변경사항의 액세스 권한을 적시에 프로비저닝 해제하거나 수정합니다.

ccm-iam-09

데이터, 암호화 및 키 관리 기능, 로깅 기능에 대한 관리 액세스가 명확하게 구분되고 분리되도록 권한 있는 액세스 역할의 분리를 위한 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-iam-10

특권 액세스 역할과 권한이 제한된 기간 동안 부여되도록 액세스 프로세스를 정의하고 구현하며, 분리된 특권 액세스가 누적되지 않도록 절차를 구현합니다.

ccm-iam-11

조직 위험 평가에 따라 정의된 합의된 고위험 권한 액세스 역할에 대한 액세스 권한 부여에 고객이 참여할 수 있는 프로세스와 절차를 정의, 구현, 평가합니다(해당하는 경우).

ccm-iam-12

권한이 있는 액세스 역할 등 쓰기 액세스 권한이 있는 모든 사용자에 대해 로깅 인프라가 읽기 전용인지, 사용 중지 기능이 직무 분리 및 비상용 절차를 보장하는 절차를 통해 제어되는지 확인하기 위한 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-iam-13

사용자가 고유 ID를 통해 식별되거나 개인을 사용자 ID 사용과 연결할 수 있도록 하는 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-iam-14

최소 권한 사용자 및 민감한 데이터 액세스를 위한 다중 인증을 비롯하여 시스템, 애플리케이션, 데이터 애셋에 대한 액세스를 인증하기 위한 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다. 시스템 ID에 상응하는 수준의 보안을 제공하는 디지털 인증서 또는 대안을 채택합니다.

ccm-iam-16

데이터 및 시스템 기능에 대한 액세스가 승인되었는지 확인하는 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-ivs-01

인프라 및 가상화 보안에 관한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-ivs-03

비즈니스에서 정당화되는 경우에만 인증되고 승인된 연결로 환경 간 통신을 모니터링, 암호화, 제한합니다. 이러한 구성을 1년에 한 번 이상 검토하고 허용된 모든 서비스, 프로토콜, 포트, 보상 제어에 대한 문서화된 근거를 통해 지원합니다.

ccm-ivs-04

보안 기준의 일환으로 각 권장사항에 따라 기술적 제어에 의해 지원되는 호스트 및 게스트 OS, 하이퍼바이저 또는 인프라 제어 영역을 강화합니다.

ccm-ivs-06

CSP 및 CSC (테넌트) 사용자 액세스 및 테넌트 내 액세스가 적절하게 세분화되고 분리되며 다른 테넌트로부터 모니터링되고 제한되도록 애플리케이션과 인프라를 설계, 개발, 배포, 구성합니다.

ccm-ivs-07

서버, 서비스, 애플리케이션 또는 데이터를 클라우드 환경으로 마이그레이션할 때는 안전하고 암호화된 통신 채널을 사용하세요. 이러한 채널에는 최신 승인된 프로토콜만 포함되어야 합니다.

ccm-ivs-09

네트워크 기반 공격으로부터 보호, 탐지, 적시 대응을 위한 프로세스, 절차, 심층 방어 기법을 정의, 구현, 평가합니다.

ccm-log-01

로깅 및 모니터링을 위한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-log-02

감사 로그의 보안 및 보존을 보장하기 위한 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-log-03

애플리케이션 및 기본 인프라 내에서 보안 관련 이벤트를 식별하고 모니터링합니다. 이러한 이벤트와 해당 측정항목을 기반으로 책임 있는 이해관계자에게 알림을 생성하는 시스템을 정의하고 구현합니다.

ccm-log-04

승인된 담당자에게 감사 로그 액세스를 제한하고 고유한 액세스 책임 소재를 제공하는 기록을 유지합니다.

ccm-log-05

보안 감사 로그를 모니터링하여 일반적이거나 예상되는 패턴을 벗어난 활동을 감지합니다. 감지된 이상치를 검토하고 적절한 조치를 적시에 취하기 위한 정의된 프로세스를 수립하고 따릅니다.

ccm-log-07

어떤 정보 메타데이터와 데이터 시스템 이벤트를 로깅해야 하는지 설정, 문서화, 구현합니다. 위협 환경이 변경될 때마다 또는 최소한 1년에 한 번 범위를 검토하고 업데이트합니다.

ccm-log-08

관련 보안 정보가 포함된 감사 레코드를 생성합니다.

ccm-log-12

감사 가능한 액세스 제어 시스템을 사용하여 물리적 액세스를 모니터링하고 기록합니다.

ccm-sef-01

보안 사고 관리, E-Discovery, 클라우드 포렌식에 관한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-sef-02

보안 사고의 적시 관리를 위한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-sef-08

관련 규제 당국, 국가 및 지역 법 집행 기관, 기타 법적 관할권 당국의 연락처를 유지합니다.

ccm-sta-04

클라우드 서비스 제품의 SSRM에 따라 모든 CSA CCM 컨트롤의 공유 소유권과 적용 가능성을 명시합니다.

ccm-sta-08

CSP는 공급망 내 모든 조직과 관련된 위험 요소를 주기적으로 검토합니다.

ccm-sta-09

CSP와 CSC (테넌트) 간 서비스 계약에는 비즈니스 관계 및 제공되는 서비스의 범위, 특성, 위치, 정보 보안 요구사항 (SSRM 포함), 변경 관리 프로세스, 로깅 및 모니터링 기능, 인시던트 관리 및 커뮤니케이션 절차, 감사 및 서드 파티 평가 권한, 서비스 종료, 상호 운용성 및 이동성 요구사항, 데이터 개인 정보 보호 등 상호 합의된 조항과 약관이 최소한 포함되어야 합니다.

ccm-tvm-01

취약점 악용으로부터 시스템을 보호하기 위해 취약점 해결을 식별, 보고, 우선순위 지정하는 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-tvm-02

관리 애셋의 멀웨어를 방지하기 위한 정책과 절차를 수립, 문서화, 승인, 전달, 적용, 평가, 유지합니다. 최소 1년에 한 번 정책과 절차를 검토하고 업데이트합니다.

ccm-tvm-03

식별된 위험을 기반으로 취약점 식별에 대한 예약된 대응과 긴급 대응을 모두 지원하는 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-tvm-06

독립적인 서드 파티가 정기적으로 침투 테스트를 실행할 수 있도록 프로세스, 절차, 기술적 조치를 정의, 구현, 평가합니다.

ccm-uem-04

회사 데이터를 저장하고 액세스하는 데 사용되는 모든 엔드포인트의 인벤토리를 유지합니다.

ccm-uem-07

회사의 변경 관리 프로세스를 통해 엔드포인트 운영체제, 패치 수준, 애플리케이션의 변경사항을 관리합니다.

ccm-uem-10

올바르게 구성된 소프트웨어 방화벽으로 관리 엔드포인트를 구성합니다.

ccm-uem-11

위험 평가에 따라 데이터 손실 방지 (DLP) 기술 및 규칙으로 관리 엔드포인트를 구성합니다.

Data Security and Privacy Essentials

지원되는 클라우드 제공업체: Google Cloud

데이터 보안 및 개인 정보 보호를 위해 Google에서 권장하는 클라우드 컨트롤

이 프레임워크에는 다음 클라우드 컨트롤이 포함됩니다.

Data Security Framework Template

지원되는 클라우드 제공업체: Google Cloud

고급 DSPM 클라우드 제어를 배포하기 위해 Google에서 빌드한 프레임워크입니다.

이 프레임워크에는 다음 클라우드 컨트롤이 포함됩니다.

FedRAMP Low 20x

지원되는 클라우드 제공업체: Google Cloud

기관에서 사용하는 미분류 정보를 처리하는 클라우드 컴퓨팅 제품 및 서비스의 보안 평가 및 승인에 대한 표준화되고 재사용 가능한 접근 방식을 제공하는 정부 차원의 프로그램입니다. FedRAMP Low 영향은 기밀성, 무결성, 가용성 손실이 기관의 운영, 자산 또는 개인에게 미치는 부정적인 영향이 제한적인 CSO에 가장 적합합니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

ksi-cmt-1

시스템 수정사항을 기록하고 모니터링합니다. 모든 시스템 변경사항이 문서화되고 구성 기준이 업데이트되었는지 확인합니다.

ksi-cna-1

인바운드 및 아웃바운드 트래픽을 제한하도록 모든 정보 리소스를 구성합니다.

ksi-cna-2

공격 표면을 줄이고 보안이 침해된 경우 측면 이동을 최소화하는 시스템을 설계합니다.

ksi-cna-4

기능과 권한이 엄격하게 정의된 변경 불가능한 인프라를 사용합니다.

ksi-cna-6

데이터 손실을 방지하기 위해 고가용성 및 빠른 복구 기능을 갖춘 정보 시스템을 설계합니다.

ksi-cna-7

호스트 제공업체의 권장사항과 문서화된 안내에 기반한 클라우드 우선 정보 리소스를 구현합니다.

ksi-iam-3

Google Cloud 내의 모든 비사용자 계정 및 서비스에 안전한 인증 방법을 적용하여 무단 액세스로부터 데이터와 리소스를 보호합니다.

ksi-iam-4

최소 권한, 역할 및 속성 기반, 적시 보안 승인 모델을 구현합니다. 모든 사용자 및 비사용자 계정과 서비스에 이 모델을 사용하여 무단 액세스 또는 오용의 위험을 줄이세요.

ksi-mla-2

애플리케이션 및 서비스의 감사 로그를 정기적으로 검토합니다.

ksi-mla-3

취약점을 감지하고 신속하게 수정하거나 완화하여 애플리케이션과 서비스에 미치는 위험 영향을 줄입니다.

ksi-piy-1

배포된 모든 애셋, 소프트웨어, 서비스를 정의하는 업데이트된 정보 리소스 인벤토리 또는 코드를 유지합니다.

ksi-piy-4

소프트웨어 개발 수명 주기 (SDLC)에 보안 고려사항을 통합하고 사이버 보안 및 인프라 보안국 (CISA)의 설계에 의한 보안 원칙을 준수합니다.

ksi-svc-1

정기적으로 네트워크 및 시스템 구성을 검토하고 강화하여 보안 기준을 확보합니다.

ksi-svc-2

Google Cloud에 연결된 머신 간에 교환되는 모든 핵심 콘텐츠 데이터를 암호화하거나, 모든 네트워크 트래픽을 보호하여 데이터를 보호합니다.

ksi-svc-6

자동화된 키 관리 시스템을 사용하여 디지털 키와 인증서를 보호, 관리하고 정기적으로 순환합니다.

ksi-svc-7

애플리케이션과 서비스에 보안 패치를 적용하기 위한 일관되고 위험에 기반한 접근 방식을 구현합니다.

ISO 27001:2022

지원되는 클라우드 제공업체: Google Cloud

정보 보안 관리 시스템 (ISMS)에 관한 국제 표준입니다. 보안 통제 설정 및 개선을 위한 요구사항을 명시하여 민감한 정보를 관리하는 체계적이고 위험 기반 접근 방식을 제공합니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

iso-27001-2022-a-5-1

정보 보안 정책 및 주제별 정책은 정의되고, 경영진의 승인을 받고, 게시되고, 관련 인력 및 관련 이해관계자에게 전달되고, 이들의 확인을 받아야 하며, 계획된 간격으로 그리고 중요한 변경사항이 발생하는 경우 검토해야 합니다.

iso-27001-2022-a-5-10

허용되는 사용에 관한 규칙과 정보 및 기타 관련 자산 처리 절차를 식별하고 문서화하고 구현해야 합니다.

iso-27001-2022-a-5-12

정보는 기밀성, 무결성, 가용성 및 관련 이해관계자 요구사항에 기반한 조직의 정보 보안 요구사항에 따라 분류되어야 합니다.

iso-27001-2022-a-5-14

조직 내 및 조직과 다른 당사자 간의 모든 유형의 전송 시설에 정보 전송 규칙, 절차 또는 계약이 적용되어야 합니다.

iso-27001-2022-a-5-15

정보 및 기타 관련 자산에 대한 물리적 및 논리적 액세스를 제어하는 규칙은 비즈니스 및 정보 보안 요구사항에 따라 수립되고 구현되어야 합니다.

iso-27001-2022-a-5-17

인증 정보의 할당 및 관리는 인증 정보의 적절한 처리에 관한 직원 안내를 포함한 관리 프로세스에 의해 관리되어야 합니다.

iso-27001-2022-a-5-18

정보 및 기타 관련 애셋에 대한 액세스 권한은 액세스 제어에 관한 조직의 주제별 정책 및 규칙에 따라 프로비저닝, 검토, 수정, 삭제되어야 합니다.

iso-27001-2022-a-5-19

공급업체의 제품 또는 서비스 사용과 관련된 정보 보안 위험을 관리하기 위한 프로세스와 절차를 정의하고 구현해야 합니다.

iso-27001-2022-a-5-20

관련 정보 보안 요구사항은 공급업체 관계 유형에 따라 각 공급업체와 협의하여 설정해야 합니다.

iso-27001-2022-a-5-23

클라우드 서비스의 획득, 사용, 관리, 종료 프로세스는 조직의 정보 보안 요구사항에 따라 수립해야 합니다.

iso-27001-2022-a-5-24

조직은 정보 보안 사고 관리 프로세스, 역할, 책임을 정의, 수립, 전달하여 정보 보안 사고 관리를 계획하고 준비해야 합니다.

iso-27001-2022-a-5-25

조직은 정보 보안 이벤트를 평가하고 정보 보안 사고로 분류할지 결정해야 합니다.

iso-27001-2022-a-5-28

조직은 정보 보안 이벤트와 관련된 증거의 식별, 수집, 획득, 보존을 위한 절차를 수립하고 구현해야 합니다.

iso-27001-2022-a-5-30

ICT 준비는 비즈니스 연속성 목표 및 ICT 연속성 요구사항에 따라 계획, 구현, 유지관리, 테스트해야 합니다.

iso-27001-2022-a-5-33

기록은 손실, 파기, 위조, 무단 액세스 및 무단 공개로부터 보호되어야 합니다.

iso-27001-2022-a-5-5

조직은 관련 당국과 연락을 취하고 유지해야 합니다.

iso-27001-2022-a-5-6

조직은 특별 관심 그룹 또는 기타 전문 보안 포럼 및 전문 협회와 연락을 유지해야 합니다.

iso-27001-2022-a-5-9

소유자를 포함한 정보 및 기타 관련 애셋의 인벤토리를 개발하고 유지해야 합니다.

iso-27001-2022-a-6-7

직원이 원격으로 작업하는 경우 조직의 구내 외부에서 액세스, 처리 또는 저장되는 정보를 보호하기 위해 보안 조치를 구현해야 합니다.

iso-27001-2022-a-8-1

사용자 엔드포인트 기기에 저장되거나, 사용자 엔드포인트 기기에서 처리되거나, 사용자 엔드포인트 기기를 사용하여 액세스할 수 있는 정보는 보호되어야 합니다.

iso-27001-2022-a-8-10

정보 시스템, 기기 또는 기타 저장소 미디어에 저장된 정보는 더 이상 필요하지 않은 경우 삭제해야 합니다.

iso-27001-2022-a-8-13

정보, 소프트웨어, 시스템의 백업 사본은 합의된 주제별 백업 정책에 따라 유지되고 정기적으로 테스트되어야 합니다.

iso-27001-2022-a-8-14

정보 처리 시설은 가용성 요구사항을 충족할 수 있을 만큼 충분한 중복성을 갖춰 구현해야 합니다.

iso-27001-2022-a-8-15

활동, 예외, 오류 및 기타 관련 이벤트를 기록하는 로그를 생성, 저장, 보호 및 분석해야 합니다.

iso-27001-2022-a-8-16

네트워크, 시스템, 애플리케이션에서 비정상적인 동작을 모니터링하고 잠재적인 정보 보안 사고를 평가하기 위해 적절한 조치를 취해야 합니다.

iso-27001-2022-a-8-17

조직에서 사용하는 정보 처리 시스템의 시계는 승인된 시간 소스와 동기화되어야 합니다.

iso-27001-2022-a-8-2

독점 액세스 권한의 할당 및 사용은 제한되고 관리되어야 합니다.

iso-27001-2022-a-8-20

네트워크와 네트워크 기기는 시스템과 애플리케이션의 정보를 보호하기 위해 보안이 유지되고 관리 및 제어되어야 합니다.

iso-27001-2022-a-8-21

네트워크 서비스의 보안 메커니즘, 서비스 수준, 서비스 요구사항을 식별하고 구현하고 모니터링해야 합니다.

iso-27001-2022-a-8-22

정보 서비스, 사용자, 정보 시스템 그룹은 조직의 네트워크에서 분리되어야 합니다.

iso-27001-2022-a-8-23

악성 콘텐츠에 대한 노출을 줄이기 위해 외부 웹사이트에 대한 액세스를 관리해야 합니다.

iso-27001-2022-a-8-24

암호화 키 관리를 비롯한 암호화의 효과적인 사용에 관한 규칙을 정의하고 구현해야 합니다.

iso-27001-2022-a-8-25

소프트웨어 및 시스템의 안전한 개발을 위한 규칙을 수립하고 적용해야 합니다.

iso-27001-2022-a-8-26

애플리케이션을 개발하거나 획득할 때 정보 보안 요구사항을 식별하고, 지정하고, 승인해야 합니다.

iso-27001-2022-a-8-27

안전한 시스템 엔지니어링 원칙을 수립하고, 문서화하고, 유지하고, 모든 정보 시스템 개발 활동에 적용해야 합니다.

iso-27001-2022-a-8-28

안전한 코딩 원칙을 소프트웨어 개발에 적용해야 합니다.

iso-27001-2022-a-8-29

보안 테스트 프로세스는 개발 수명 주기에서 정의되고 구현되어야 합니다.

iso-27001-2022-a-8-3

정보 및 기타 관련 애셋에 대한 액세스는 액세스 제어에 관한 설정된 주제별 정책에 따라 제한됩니다.

iso-27001-2022-a-8-30

조직은 아웃소싱된 시스템 개발과 관련된 활동을 지시, 모니터링, 검토해야 합니다.

iso-27001-2022-a-8-4

소스 코드, 개발 도구, 소프트웨어 라이브러리에 대한 읽기 및 쓰기 액세스 권한은 적절하게 관리해야 합니다.

iso-27001-2022-a-8-5

정보 액세스 제한 및 액세스 제어에 관한 주제별 정책에 따라 보안 인증 기술 및 절차를 구현해야 합니다.

iso-27001-2022-a-8-6

리소스 사용은 현재 및 예상 용량 요구사항에 따라 모니터링되고 조정되어야 합니다.

iso-27001-2022-a-8-7

멀웨어 방지는 적절한 사용자 인식에 의해 구현되고 지원되어야 합니다.

iso-27001-2022-a-8-8

사용 중인 정보 시스템의 기술적 취약점에 관한 정보를 획득하고, 이러한 취약점에 대한 조직의 노출을 평가하고, 적절한 조치를 취해야 합니다.

iso-27001-2022-a-8-9

하드웨어, 소프트웨어, 서비스, 네트워크의 구성(보안 구성 포함)을 설정하고, 문서화하고, 구현하고, 모니터링하고, 검토해야 합니다.

Qatar National Information Assurance Standard v2.1

지원되는 클라우드 제공업체: Google Cloud

카타르 NIAS는 카타르 내 조직이 조직 내에서 본격적인 정보 보안 관리 시스템을 구현할 수 있도록 필요한 기반과 관련 도구를 제공하기 위한 것입니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

qa-nias-2-1-am-1

사용자에게는 최소 권한의 개념에 따라 액세스 권한이 제공되며 알 필요 또는 필요에 따라 관리됩니다.

qa-nias-2-1-am-11

LDAP 및 인증 데이터베이스와 같은 중앙 집중식 인증 저장소는 서비스 거부 공격으로부터 보호되며 인증 데이터를 검색하기 위해 안전하고 인증된 채널을 사용합니다. 이러한 저장소는 무단 업데이트 또는 액세스, 활동의 시작 및 종료 날짜와 시간 (시스템 식별자와 함께), 사용자 식별 (불법 로그온의 경우), 로그인 및 로그아웃 활동 (불법 로그온의 경우), 세션, 터미널 또는 원격 연결을 기록해야 합니다.

qa-nias-2-1-am-12

조직은 시스템 사용자의 식별, 인증, 승인을 다루는 국가 데이터 분류 정책 (IAP-NAT-DCLS)에서 파생된 일련의 정책, 계획, 절차를 개발하고 유지해야 합니다.

qa-nias-2-1-am-14

모든 시스템 사용자는 시스템에 대한 액세스 권한이 부여될 때마다 고유하게 식별되고 인증됩니다.

qa-nias-2-1-am-17

시스템 액세스 권한을 부여하거나 암호화된 기기를 복호화하는 보호되지 않은 인증 정보가 인증 정보가 액세스 권한을 부여하는 시스템 또는 기기에 있거나 함께 있습니다.

qa-nias-2-1-am-18

사용 중인 시스템 인증 데이터는 재생, 중간자, 세션 하이재킹을 비롯한 공격에 취약하지 않습니다.

qa-nias-2-1-am-2

액세스는 정보의 민감도에 따라 시스템 액세스 제어, 식별 및 인증, 감사 추적을 통해 관리되고 제어됩니다. 이러한 액세스 요청은 직원의 감독자 또는 관리자가 승인해야 합니다.

qa-nias-2-1-am-20

비밀번호는 최소 90일마다 변경됩니다.

qa-nias-2-1-am-23

화면 및 세션 잠금은 시스템 사용자 비활성 상태가 최대 15분 지속된 후 활성화되고, 원하는 경우 시스템 사용자가 표준 방식으로 활성화하며, 화면의 모든 정보를 완전히 숨기도록 잠기고, 잠긴 상태에서 화면이 꺼진 것처럼 보이지 않아야 하며, 시스템 사용자가 시스템을 잠금 해제하기 위해 다시 인증해야 하고, 시스템 사용자가 잠금 메커니즘을 사용 중지할 수 없어야 합니다.

qa-nias-2-1-am-24

지정된 수의 로그인 시도 실패 후 또는 역할 변경이나 조직 퇴사로 인해 직원이 더 이상 액세스할 필요가 없게 된 후 최대한 빨리 시스템 액세스가 정지됩니다.

qa-nias-2-1-am-3

조직의 정보 자산을 생성, 읽기, 업데이트, 삭제 또는 전송할 수 있는 사용자 또는 법인의 액세스 권한은 해당 정보의 소유자가 설정한 비즈니스 규칙에 의해 정의된 권한의 매트릭스 (계층적) 모델을 기반으로 합니다.

qa-nias-2-1-am-31

권한이 부여된 계정의 사용은 문서화되고, 관리되고, 책임이 부여되며, 최소한으로 유지됩니다. 권한이 있는 계정은 관리 작업에만 사용해야 합니다.

qa-nias-2-1-am-32

시스템 관리자에게는 관리 작업을 수행할 수 있는 개별 계정이 할당됩니다.

qa-nias-2-1-am-34

시스템 관리 로그는 초기화 활동, 시스템 시작 및 종료, 구성요소 또는 시스템 오류, 유지보수 활동, 백업 및 보관 활동, 시스템 복구 활동, 특수 활동 또는 시간 외 활동을 기록하도록 업데이트됩니다.

qa-nias-2-1-am-35

원격 액세스는 부서장의 명시적 승인이 있는 경우에만, 비즈니스 요구사항에 따라 보장되는 경우에만, 관련 위험을 분석하기 위한 실사가 수행되고 식별된 위험을 완화하기 위한 적절한 통제 수단이 구현된 후에만 제공됩니다.

qa-nias-2-1-am-36

C3 이상으로 분류된 데이터를 처리하는 시스템에 액세스할 때는 하드웨어 토큰, 생체 인식 제어 등을 사용하는 2단계 인증이 사용됩니다.

qa-nias-2-1-am-37

원격 액세스 세션은 섹션 C-10, 암호화 보안 (CY)에 지정된 적절한 엔드 투 엔드 암호화를 사용하여 보호됩니다.

qa-nias-2-1-am-6

조직의 액세스 제어를 무단으로 우회하려는 시도는 보안 사고로 간주되며, 확립된 사고 처리 절차와 적절한 인적 자원 정책 및 절차에 따라 처리됩니다.

qa-nias-2-1-am-7

감사 로그는 정부 정책에 따른 규정 준수 모니터링을 허용하고 사고 관리를 지원하는 방식으로 사용 설정되고 유지되어야 합니다.

qa-nias-2-1-am-8

조직 네트워크에 대한 논리적 액세스는 기술적으로 제어됩니다. 네트워크 액세스 제어 (NAC) 서비스 및 기기를 사용하면 됩니다.

qa-nias-2-1-cy-1

암호화 알고리즘, 암호화 하드웨어 또는 소프트웨어, 키 관리 시스템, 디지털 서명은 전자 상거래 및 거래법 공포에 관한 2010년 법률 제16호에 따라 관할 당국이 지정한 승인된 암호화/암호화 알고리즘 및 시스템을 준수해야 합니다.

qa-nias-2-1-cy-2

키의 수명은 주로 애플리케이션과 사용되는 정보 인프라에 따라 결정됩니다. 키가 손상되었거나 손상된 것으로 의심되는 경우 즉시 취소하고 교체해야 합니다.

qa-nias-2-1-cy-3

C3 (IAP-NAT-DCLS)로 분류된 정보 자산은 저장 형식이나 미디어와 관계없이 저장 시와 전송 시에 암호화되고 무단 공개로부터 보호됩니다. 조직은 위험 평가에서 필요하다고 판단하는 경우 기밀성 요구사항이 낮은 애셋에 이러한 암호화 컨트롤을 적용할 수 있습니다.

qa-nias-2-1-cy-4

I3 (IAP-NAT-DCLS)로 분류된 정보 자산은 암호화 해싱을 사용하여 무결성이 보장됩니다. 조직은 위험 평가에서 필요하다고 판단하는 경우 무결성 요구사항이 낮은 애셋에 이러한 암호화 제어를 적용할 수 있습니다.

qa-nias-2-1-cy-5

다음 프로토콜 또는 그 이상이 유능한 기관에서 발행한 카타르 국가 암호화 표준 - 영어 v1.0 (또는 그 이상)에 명시된 승인된 알고리즘과 함께 전송 중인 C3 등급 데이터를 보호하는 데 사용됩니다. 웹 트래픽 보호: TLS (+128비트) (RFC4346), 파일 전송 보호: SFTP (SFTP), 보안 원격 액세스: SSH v2 (RFC4253) 또는 IPSEC (RFC 4301), 이메일 보호: S/MIME v3 (RFC3851) 이상만 사용됩니다. 관련 요구사항은 CY11을 참고하세요.

qa-nias-2-1-cy-6

비밀번호는 저장되거나 전송될 때 저장 형식이나 미디어와 관계없이 항상 암호화되거나 해싱되어 무단 공개로부터 보호되어야 합니다. 권한이 있는 비밀번호는 비밀번호가 변경될 때마다 암호화되어 백업 파일과 함께 오프사이트에 저장되어야 완전한 복구가 가능합니다.

qa-nias-2-1-cy-7

하드웨어 보안 모듈 (HSM)이 사용되는 경우 최소 FIPS 2-140 Level 2 (FIPS2-140) 또는 Common Criteria (CC3.1) EAL4 인증을 받습니다.

qa-nias-2-1-cy-9

(ISO1-11770)에 따라 적절한 키 관리 프로세스가 정의되고 암호화 키의 수명 주기를 관리하는 데 사용되며, 여기에는 키 관리자 역할 및 책임, 키 생성, 이중 관리 및 분할된 지식, 보안 키 저장소, 키 사용, 보안 키 배포 및 전송, 키 백업 및 복구, 주기적 키 상태 확인, 키 유출, 키 폐기 및 파기, 감사 추적 및 문서화와 같은 기능이 포함됩니다.

qa-nias-2-1-gs-1

게이트웨이를 통해 네트워크가 다른 네트워크로부터 보호되고 데이터 흐름이 적절하게 제어됩니다.

qa-nias-2-1-gs-13

분류 라벨에 대한 최소한의 검사를 사용하여 데이터를 필터링하면 분류가 낮은 시스템으로의 데이터 내보내기가 제한됩니다.

qa-nias-2-1-gs-2

조직 네트워크를 다른 조직 네트워크 또는 통제되지 않는 공개 네트워크에 연결하는 게이트웨이는 데이터 흐름을 제어하는 적절한 네트워크 기기를 사용하여, 모든 데이터 흐름이 적절하게 제어되고, 게이트웨이 구성요소가 적절하게 보안 처리된 서버실 내에 물리적으로 위치하도록 구현됩니다.

qa-nias-2-1-gs-6

비무장 지대 (DMZ)는 방화벽 및 기타 네트워크 보안 지원 장비를 사용하여 외부에서 액세스할 수 있는 시스템을 제어되지 않는 공개 네트워크 및 내부 네트워크와 분리하는 데 사용됩니다.

qa-nias-2-1-gs-7

게이트웨이는 내부 네트워크의 유일한 통신 경로여야 합니다. 기본적으로 네트워크의 모든 연결을 거부하고 명시적으로 승인된 연결만 허용해야 합니다. 연결된 모든 네트워크에서 격리된 보안 경로를 사용하여 관리해야 합니다. 게이트웨이 보안 침해 및 네트워크 침입 시도를 감지할 수 있는 충분한 감사 기능을 제공해야 합니다. 실시간 알람을 제공해야 합니다.

qa-nias-2-1-gs-8

게이트웨이는 프로덕션 사이트에 구현되기 전에 강화되며 악성 코드 및 취약점, 잘못되거나 부실한 구성, 계정 도용 및 권한 에스컬레이션, 불량 네트워크 모니터링, 서비스 거부 (DoS) 공격, 정보 또는 데이터 유출로부터 보호됩니다.

qa-nias-2-1-gs-9

게이트웨이 모니터링 및 감독이 이루어지며 여기에는 위협 방지 메커니즘, 로깅, 알림, 장비 감시가 포함됩니다. 섹션 B-10, 로깅 및 보안 모니터링 (SM)을 참고하세요.

qa-nias-2-1-ie-12

시스템 간에 교환되는 정보가 오용, 무단 액세스 또는 데이터 손상으로부터 안전한지 확인합니다. C2, I2 이상의 등급으로 분류된 정보를 전송하는 경우 CY5, 섹션 C-10, 암호화 보안 (CY)에 명시된 대로 인증되고 암호화된 채널을 사용해야 합니다.

qa-nias-2-1-ie-3

정보를 교환하는 당사자 간에 필요한 계약 (특히 기밀 유지 계약)이 정보 교환 전에 체결되었는지 확인합니다. 계약에는 책임, 정보 교환 알림 절차, 전송 기술 표준, 택배업체 식별, 책임, 소유권, 관리 정보가 제공되어야 합니다. 공급업체 및 서드 파티의 경우 공식 기밀유지 협약 (NDA)을 사용해야 합니다. 부록 D에서는 NDA 템플릿을 제공합니다.

qa-nias-2-1-ie-4

조직은 정보 교환에 사용되는 미디어가 조직 환경 내 또는 외부에서 무단 액세스, 조작 또는 오용으로부터 보호되도록 해야 합니다.

qa-nias-2-1-ie-8

전자 메시지를 사용하여 교환된 정보를 무단 액세스, 변경 또는 서비스 중단으로부터 보호합니다.

qa-nias-2-1-ms-20

분류된 정보가 포함된 미디어(결함이 있는 미디어 포함)는 폐기 전에 최대한 소독됩니다.

qa-nias-2-1-ns-1

내부 네트워크 및 시스템 구성, 직원 또는 기기 관련 디렉터리 서비스, 기타 민감한 기술에 관한 세부정보는 무단 인력에 의해 공개적으로 공개되거나 열거되지 않습니다.

qa-nias-2-1-ns-17

인터넷에 공개되지 않는 내부 도메인 정보를 위해 별도의 내부 DNS 서버가 설정되어 내부 네트워크에 배치됩니다.

qa-nias-2-1-ns-2

조직에서 모든 기본 계정 (예: 루트 또는 관리자)을 삭제하거나 사용 중지하거나 소프트웨어 보안 (SS) 섹션 C-6에 명시된 대로 비밀번호를 변경합니다.

qa-nias-2-1-ns-20

영역 파일은 디지털 서명되며 영역 전송 및 동적 업데이트의 암호화된 상호 인증 및 데이터 무결성이 제공됩니다.

qa-nias-2-1-ns-21

DNS 데이터의 암호화된 출처 인증 및 무결성 보장이 제공됩니다.

qa-nias-2-1-ns-22

영역 전송을 포함한 DNS 서비스는 승인된 사용자에게만 제공됩니다.

qa-nias-2-1-ns-25

인터넷 게이트웨이는 명시적으로 사용 설정되지 않은 모든 인터넷 서비스를 거부합니다.

qa-nias-2-1-ns-27

조직에는 트래픽을 모니터링하고 트래픽 패턴, 사용량 등을 추론하는 데 필요한 기능이 있습니다. 자세한 내용은 섹션 B-10, 로깅 및 보안 모니터링 (SM)을 참고하세요.

qa-nias-2-1-ns-29

TLS 보호는 암호화 보안 (CY) 섹션 C-10에 따라 SMTP 메일 서버와 함께 사용됩니다.

qa-nias-2-1-ns-3

네트워크 구성은 네트워크 관리자 또는 이와 유사한 사용자의 관리 하에 유지되며 구성에 대한 모든 변경사항은 B-5 섹션, 변경 관리 (CM)에 정의된 공식 변경 관리 프로세스를 통해 승인되고, B-12 섹션, 문서화 (DC)에 정의된 네트워크 보안 정책 및 보안 계획을 준수하며, 정기적으로 검토됩니다. 조직의 절차에 따라 요구되는 이전 구성은 변경사항 수정의 일부로 유지됩니다. 구성 검토 빈도는 조직의 위험 및 프로세스에 따라 달라집니다.

qa-nias-2-1-ns-5

네트워크는 네트워크 인프라를 통과하는 정보에 대한 무단 액세스 기회를 제한하도록 설계되고 구성됩니다. 조직은 이 요구사항을 충족하기 위해 허브 대신 스위치, 액세스를 제한하고 사용하지 않는 모든 포트를 사용 중지하는 스위치의 포트 보안, 필요에 따라 네트워크의 일부를 분리하는 라우터 및 방화벽, IPsec 또는 IP 버전 6, 애플리케이션 수준 암호화, 네트워크 기기의 실행 중인 구성을 문서화된 구성과 비교하는 자동화된 도구, 네트워크 에지 인증, MAC 주소 필터링과 같은 기술을 통해 조직 네트워크와 통신하는 최종 사용자 기기 제한 및 관리, 네트워크 내에서 악성 활동을 감지하고 방지하는 IPS 또는 IDS, 시간 및 요일 제한을 사용해야 합니다.

qa-nias-2-1-ns-53

음성과 데이터는 별도의 네트워크입니다. 분리는 물리적이어야 하지만 가상 LAN 사용은 허용됩니다. PSTN과 인터페이스하는 음성 게이트웨이는 H.323, SIP 또는 기타 VoIP 프로토콜을 데이터 네트워크에서 분리합니다.

qa-nias-2-1-ns-6

관리 네트워크는 별도의 관리 VLAN 또는 물리적으로 분리된 인프라를 구현하여 관리 기기에 전용 네트워크를 사용하고 VPN 또는 SSH를 사용하는 등 보안 채널을 사용하는 보호 조치를 채택합니다.

qa-nias-2-1-ns-7

VLAN은 비즈니스에 중요한 네트워크에서 IP 전화 트래픽을 분리하는 데 사용됩니다.

qa-nias-2-1-ns-8

관리 액세스는 가장 높은 분류의 VLAN에서 동일한 분류 수준 또는 더 낮은 분류의 VLAN으로만 허용됩니다.

qa-nias-2-1-pr-5

제품의 보안 평가는 기능 테스트, 보안 테스트, 잠재적 위협 및 취약점으로부터 보호하기 위한 패치를 포함한 전용 평가 구성에서 이루어집니다.

qa-nias-2-1-pr-6

제품 배송이 안전한 배송을 위한 조직의 보안 관행과 일치합니다.

qa-nias-2-1-pr-7

안전한 전송 절차에는 변조 또는 가장을 감지하는 조치가 포함되어야 합니다.

qa-nias-2-1-pr-8

제품의 지속적인 유지 관리를 약속한 개발자로부터 제품을 구매했습니다.

qa-nias-2-1-pr-9

제품 패치 및 업데이트 프로세스가 마련되어 있습니다. 제품 업데이트는 섹션 B-5, 변경 관리 (CM)에 명시된 변경 관리 정책을 따라야 합니다.

qa-nias-2-1-ss-13

워크스테이션은 다음을 포함하는 강화된 표준 운영 환경 (SOE)을 사용합니다. 원치 않는 소프트웨어 삭제, 설치된 소프트웨어 및 운영체제에서 사용하지 않거나 원치 않는 기능 사용 중지, 시스템 사용자 및 프로그램이 업무를 수행하는 데 필요한 최소 액세스로 제한되도록 관련 객체에 대한 액세스 제어 구현, 인바운드 및 아웃바운드 네트워크 연결을 제한하는 소프트웨어 기반 방화벽 설치, 원격 로깅 또는 로컬 이벤트 로그를 중앙 서버로 전송하는 구성

qa-nias-2-1-ss-14

불필요한 파일 공유를 삭제하고, 패치가 최신 상태인지 확인하고, 불필요한 모든 입력 및 출력 기능에 대한 액세스를 사용 중지하고, 사용하지 않는 계정을 삭제하고, 기본 계정의 이름을 바꾸고, 기본 비밀번호를 대체하여 SOE 및 시스템의 잠재적 취약점을 줄입니다.

qa-nias-2-1-ss-15

제어되지 않는 공용 네트워크에 연결된 웹, 이메일, 파일, 인터넷 프로토콜 전화 통신 서버와 같은 위험도가 높은 서버는 다음 가이드라인을 충족합니다. 서버 간의 효과적인 기능 분리를 유지하여 독립적으로 작동할 수 있도록 합니다. 네트워크 및 파일 시스템 수준에서 서버 간 통신을 적절하게 최소화합니다. 시스템 사용자 및 프로그램을 업무를 수행하는 데 필요한 최소 액세스로 제한합니다.

qa-nias-2-1-ss-16

조직에 중요한 기능을 수행하는 서버와 보안 침해 위험이 높은 것으로 확인된 서버의 무결성을 확인합니다. 가능한 경우 이러한 검사는 시스템 자체가 아닌 신뢰할 수 있는 환경에서 실행해야 합니다.

qa-nias-2-1-ss-17

무결성을 유지하는 방식으로 서버 외부의 안전한 위치에 무결성 정보를 저장합니다.

qa-nias-2-1-ss-19

조직의 지속적인 감사 일정에 따라 저장된 무결성 정보를 현재 무결성 정보와 비교하여 침해 또는 합법적이지만 잘못 완료된 시스템 수정이 발생했는지 확인합니다.

qa-nias-2-1-ss-2

모든 애플리케이션 (신규 및 개발 포함)은 국가 데이터 분류 정책 (IAP-NAT-DCLS)에 따라 분류되며 기밀성, 무결성, 가용성 등급에 적합한 보안 보호가 부여됩니다.

qa-nias-2-1-ss-20

조직은 조직의 정보통신기술 (ICT) 보안 사고 관리 절차에 따라 감지된 변경사항을 해결해야 합니다.

qa-nias-2-1-ss-21

모든 소프트웨어 애플리케이션은 외부 연결을 설정하려고 시도하는지 확인하기 위해 검토됩니다. 자동 아웃바운드 연결 기능이 포함된 경우 조직은 이러한 연결을 허용할지 거부할지 결정하기 위해 비즈니스 결정을 내려야 하며, 여기에는 연결을 허용할 때 발생하는 위험에 대한 평가가 포함됩니다.

qa-nias-2-1-ss-23

각 웹 애플리케이션 구성요소 간의 연결 및 액세스가 최소화됩니다.

qa-nias-2-1-ss-24

개인 정보와 민감한 데이터는 저장 및 전송 중에 적절한 암호화 제어를 사용하여 보호됩니다.

qa-nias-2-1-ss-29

데이터베이스 파일은 데이터베이스의 일반 액세스 제어를 우회하는 액세스로부터 보호됩니다.

qa-nias-2-1-ss-3

기능, 기술, 보증 요구사항을 포함한 보안 요구사항은 시스템 요구사항의 일부로 개발되고 구현됩니다.

qa-nias-2-1-ss-30

데이터베이스는 시스템 사용자의 작업을 감사할 수 있는 기능을 제공합니다.

qa-nias-2-1-ss-31

데이터베이스 콘텐츠를 볼 권한이 충분하지 않은 시스템 사용자는 검색 엔진 쿼리의 결과 목록에서 연결된 메타데이터를 볼 수 없습니다. 데이터베이스 쿼리의 결과를 적절하게 필터링할 수 없는 경우 조직은 모든 쿼리 결과가 시스템 사용자의 최소 보안 권한을 충족하도록 적절하게 삭제해야 합니다.

qa-nias-2-1-ss-4

시스템과 데이터를 포함한 전용 테스트 및 개발 인프라를 사용할 수 있으며 프로덕션 시스템과 분리되어 있습니다. 또한 환경 간 정보 흐름은 정의되고 문서화된 정책에 따라 엄격하게 제한되어야 하며, 명확한 비즈니스 요구사항이 있는 시스템 사용자에게만 액세스 권한이 부여되어야 하고 소프트웨어의 공신력 있는 소스에 대한 쓰기 액세스는 사용 중지되어야 합니다.

qa-nias-2-1-ss-5

획득한 애플리케이션이든 개발한 애플리케이션이든 시스템이 의도한 보안 요구사항을 확인하고 준수하는지 보장하기 위한 적절한 품질 및 보안 보증 테스트와 검사를 거친 후에만 프로덕션에서 사용할 수 있습니다.

qa-nias-2-1-ss-6

소프트웨어 개발자는 코드를 작성할 때 권장사항 (예: Mitre의 가장 위험한 프로그래밍 오류 상위 25개)을 준수하고, 작업을 달성하는 데 필요한 가장 낮은 권한 수준을 사용하도록 소프트웨어를 설계하고, 기본적으로 액세스를 거부하고, 모든 시스템 호출의 반환 값을 확인하고, 모든 입력을 검증하는 등 보안 프로그래밍 관행을 사용합니다.

qa-nias-2-1-ss-7

소프트웨어는 프로덕션 환경에서 사용되기 전에 취약점을 검토하거나 테스트해야 합니다. 소프트웨어는 개발자가 아닌 독립적인 당사자가 검토하거나 테스트해야 합니다.

qa-nias-2-1-vl-1

MD 및 노트북에 긴급 파괴, 잠금 계획, 원격 초기화 또는 자동 파괴가 적용되어 있습니다.

qa-nias-2-1-vl-2

업계에서 허용되는 권장사항 및 보안 가이드라인, 공급업체 권장사항에 따라 하이퍼바이저, 관리 레이어, 가상 머신, 관련 구성요소를 강화합니다.

qa-nias-2-1-vl-3

다음과 같이 가상 환경 관리에 최소 권한과 업무 분리를 적용합니다. 중앙 가상화 관리 소프트웨어에서 각 관리자의 특정 역할과 세부 권한을 정의하고, 하이퍼바이저에 대한 직접 관리 액세스를 최대한 제한하며, 위험 및 처리되는 정보의 분류에 따라 조직은 다단계 인증 또는 여러 관리자 간의 관리 비밀번호 이중 또는 분할 제어를 고려해야 합니다. 자세한 내용은 섹션 C9 액세스 관리를 참고하세요.

qa-nias-2-1-vl-5

가상화된 기술 환경은 서드 파티 보안 기술로 보강되어야 합니다. 이를 통해 공급업체와 기술 자체에서 제공하는 제어를 보완하는 심층 방어 접근 방식과 같은 다층 보안 제어를 제공할 수 있습니다.

qa-nias-2-1-vl-6

처리하거나 저장하는 데이터의 분류에 따라 가상 머신을 분리합니다.

qa-nias-2-1-vl-7

변경 관리 프로세스는 가상 기술 환경을 포함합니다. 여기에는 가상 머신 프로필이 업데이트되고 가상 머신 이미지의 무결성이 항상 유지되도록 하는 것이 포함됩니다. 활성 상태가 아닌 VM (휴면 상태 또는 더 이상 사용되지 않음)을 유지하고 업데이트하는 데 주의해야 합니다. 자세한 내용은 섹션 B6- 변경 관리를 참고하세요.

qa-nias-2-1-vl-8

가상 기술 환경의 로그는 다른 IT 인프라와 함께 로깅되고 모니터링되어야 합니다. 섹션 B10 로깅 및 보안 모니터링을 참고하세요.

NIST 800-53 Revision 5

지원되는 클라우드 제공업체: Google Cloud

강력한 보안 프로그램을 구축하기 위한 보안 및 개인 정보 보호 관리의 포괄적인 카탈로그입니다. 미국 연방 시스템에 의무화된 이 프레임워크는 이제 모든 부문의 조직에서 사용하는 권장사항 프레임워크입니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

nist-r5-ac-02

A. 시스템 내에서 허용되고 구체적으로 금지된 계정 유형을 정의하고 문서화합니다. B. 계정 관리자 할당 C. 그룹 및 역할 멤버십에 조직 정의 기본 요건 및 기준이 필요합니다. D. 다음을 지정합니다. a. 시스템의 승인된 사용자입니다. b. 그룹 및 역할 멤버십 c. 각 계정의 액세스 승인 또는 권한 및 조직 정의 속성입니다. E. 계정 생성 요청에 대해 조직에서 정의한 직원 또는 역할의 승인을 요구합니다. F. 조직에서 정의한 정책, 절차, 사전 요건, 기준에 따라 계정을 생성, 사용 설정, 수정, 사용 중지, 삭제합니다. G. 계정 사용을 모니터링합니다. H. 다음 내에서 계정 관리자 및 조직 정의 담당자 또는 역할에 알림을 보냅니다. a. 계정이 더 이상 필요하지 않은 조직 정의 기간입니다. b. 사용자가 해고되거나 트랜스퍼되는 조직 정의 기간입니다. c. 개인의 시스템 사용량 또는 알아야 할 사항이 변경되는 조직 정의 기간입니다. I. 다음을 기반으로 시스템 액세스를 승인합니다. a. 유효한 액세스 승인입니다. b. 의도된 시스템 사용량입니다. c. 조직 정의 속성입니다. J. 조직에서 정의한 빈도에 따라 계정이 계정 관리 요구사항을 준수하는지 검토합니다. K. 개인이 그룹에서 삭제될 때 공유 또는 그룹 계정 인증자를 변경하는 절차를 수립하고 구현합니다. L. 계정 관리 프로세스를 직원 해고 및 전근 프로세스와 일치시킵니다.

nist-r5-ac-03

관련 액세스 제어 정책에 따라 정보 및 시스템 리소스에 대한 논리적 액세스에 대해 승인된 승인을 시행합니다.

nist-r5-ac-04

조직에서 정의한 정보 흐름 제어 정책에 따라 시스템 내 및 연결된 시스템 간 정보 흐름을 제어하기 위해 승인된 승인을 시행합니다.

nist-r5-ac-05

분리가 필요한 개인의 조직 정의 의무를 식별하고 문서화합니다. 책임 분리를 지원하도록 시스템 액세스 승인을 정의합니다.

nist-r5-ac-06

할당된 조직 작업을 완료하는 데 필요한 사용자 또는 사용자를 대신하여 행동하는 프로세스에 대해서만 승인된 액세스를 허용하는 최소 권한의 원칙을 적용합니다.

nist-r5-ac-06-05

시스템의 권한이 있는 계정을 조직에서 정의한 직원 또는 역할로 제한합니다.

nist-r5-ac-07

조직에서 정의한 기간 동안 사용자가 연속으로 시도한 잘못된 로그온 횟수를 조직에서 정의한 수로 제한합니다. 실패한 시도 횟수가 최대 횟수를 초과하면 조직에서 정의한 기간 동안 계정 또는 노드를 자동으로 잠그고, 관리자가 해제할 때까지 계정 또는 노드를 잠그고, 조직에서 정의한 지연 알고리즘에 따라 다음 로그인 프롬프트를 지연하고, 시스템 관리자에게 알리고, 조직에서 정의한 다른 조치를 취합니다.

nist-r5-ac-12

조직에서 정의한 조건 또는 세션 연결 해제가 필요한 트리거 이벤트가 발생하면 사용자 세션을 자동으로 종료합니다.

nist-r5-ac-17

허용된 각 유형의 원격 액세스에 대한 사용 제한, 구성 및 연결 요구사항, 구현 안내를 설정하고 문서화합니다. 이러한 연결을 허용하기 전에 시스템에 대한 각 유형의 원격 액세스를 승인합니다.

nist-r5-ac-17-03

승인되고 관리되는 네트워크 액세스 제어 포인트를 통해 원격 액세스를 라우팅합니다.

nist-r5-ac-17-04

평가 가능한 증거를 제공하는 형식으로만, 조직에서 정의한 필요에 따라 원격 액세스를 사용하여 권한이 있는 명령어의 실행과 보안 관련 정보에 대한 액세스를 승인합니다. 시스템의 보안 계획에 원격 액세스의 근거를 문서화합니다.

nist-r5-ac-18

각 무선 액세스 유형에 대한 구성 요구사항, 연결 요구사항, 구현 안내를 설정합니다. 이러한 연결을 허용하기 전에 시스템에 대한 각 유형의 무선 액세스를 승인합니다.

nist-r5-ac-19

조직에서 관리하는 휴대기기에 대한 구성 요구사항, 연결 요구사항, 구현 안내를 설정합니다(이러한 기기가 관리 영역 외부에 있는 경우 포함). 휴대기기를 조직 시스템에 연결하도록 승인합니다.

nist-r5-au-01

규정을 준수하는 감사 및 책임 정책과 그 구현 절차를 개발, 문서화, 전파하여 정책이 목적, 범위, 역할, 책임을 다루도록 합니다. 이 문서를 관리할 특정 담당자를 지정하고, 정의된 일정에 따라 또는 특정 이벤트에 대응하여 정책과 절차를 정기적으로 검토하고 업데이트합니다.

nist-r5-au-02

A. 감사 기능을 지원하기 위해 시스템에서 로깅할 수 있는 이벤트 유형을 식별합니다(B). 감사 관련 정보가 필요한 다른 조직 엔티티와 이벤트 로깅 기능을 조정하여 로깅할 이벤트의 선택 기준을 안내하고 알립니다. C. AU-02a에 정의된 이벤트 유형의 하위 집합인 조직 정의 이벤트 유형과 각 식별된 이벤트 유형에 대한 로깅 빈도 또는 로깅이 필요한 상황을 지정합니다. D. 로깅을 위해 선택한 이벤트 유형이 사후 사고 조사를 지원하기에 적절하다고 간주되는 이유를 설명하세요. E. 조직에서 정의한 빈도에 따라 로깅을 위해 선택된 이벤트 유형을 검토하고 업데이트합니다.

nist-r5-au-03

감사 레코드에 다음을 확인하는 정보가 포함되어 있는지 확인합니다. A. 발생한 이벤트의 유형입니다. B. 이벤트가 발생한 시간입니다. C. 이벤트가 발생한 위치입니다. D. 이벤트의 소스입니다. D. 이벤트의 결과입니다. F. 이벤트와 관련된 개인, 주제, 객체 및 항목의 신원입니다.

nist-r5-au-03-01

조직에서 정의한 추가 정보가 포함된 감사 레코드를 생성합니다.

nist-r5-au-04

조직에서 정의한 감사 로그 보관 요구사항을 수용할 수 있도록 감사 로그 스토리지 용량을 할당합니다.

nist-r5-au-05

감사 로깅 프로세스 실패 시 조직 정의 기간 내에 조직 정의 인력 또는 역할에 알립니다. 조직에서 정의한 추가 작업을 수행합니다.

nist-r5-au-05-02

조직에서 정의한 감사 로깅 실패 이벤트가 발생하여 실시간 알림이 필요한 경우 조직에서 정의한 실시간 기간 내에 조직에서 정의한 인력, 역할 또는 위치에 알림을 제공합니다.

nist-r5-au-06

조직에서 정의한 빈도에 따라 시스템 감사 기록을 검토 및 분석하여 조직에서 정의한 부적절하거나 비정상적인 활동의 징후와 부적절하거나 비정상적인 활동의 잠재적 영향을 파악합니다. 조직에서 정의한 담당자 또는 역할에 발견 항목을 보고합니다. 법 집행 기관 정보, 정보 기관 정보 또는 기타 신뢰할 수 있는 정보 출처를 기반으로 위험이 변경되는 경우 시스템 내에서 감사 기록 검토, 분석, 보고 수준을 조정합니다.

nist-r5-au-07

온디맨드 감사 기록 검토, 분석, 보고 요구사항 및 사후 사고 조사를 지원하는 감사 기록 감소 및 보고서 생성 기능을 제공하고 구현합니다. 이 기능은 감사 기록의 원본 콘텐츠나 시간 순서를 변경해서는 안 됩니다.

nist-r5-au-11

사고의 사후 조사를 지원하고 규제 및 조직 정보 보관 요구사항을 충족하기 위해 레코드 보관 정책에 따라 조직에서 정의한 기간 동안 감사 레코드를 보관합니다.

nist-r5-au-12

A. 조직 정의 시스템 구성요소에서 AU-2a에 정의된 대로 시스템이 감사할 수 있는 이벤트 유형에 대한 감사 레코드 생성 기능을 제공합니다. B. 조직에서 정의한 인력 또는 역할이 시스템의 특정 구성요소에서 로깅할 이벤트 유형을 선택할 수 있도록 허용 C. AU-3에 정의된 감사 레코드 콘텐츠를 포함하는 AU-2c에 정의된 이벤트 유형의 감사 레코드를 생성합니다.

nist-r5-ca-2-2

조직에서 정의한 빈도에 따라 통지 또는 미통지된 심층 모니터링, 보안 계측, 자동화된 보안 테스트 사례, 취약점 스캔, 악의적인 사용자 테스트, 내부자 위협 평가, 성능 및 부하 테스트, 데이터 유출 또는 데이터 손실 평가 또는 조직에서 정의한 기타 형태의 평가를 관리 평가의 일부로 포함합니다.

nist-r5-ca-7

시스템 수준의 지속적 모니터링 전략을 개발하고 조직 수준의 지속적 모니터링 전략에 따라 지속적 모니터링을 구현합니다. 조직 정의 시스템 수준 측정항목을 설정합니다. B. 조직에서 정의한 제어 효과 모니터링 및 평가 빈도 설정 C. 지속적인 모니터링 전략에 따른 지속적인 관리 평가 D. 지속적 모니터링 전략에 따라 시스템 및 조직 정의 측정항목을 지속적으로 모니터링합니다. E. 관리 평가 및 모니터링에서 생성된 정보의 상관관계 및 분석 F. 관리 평가 및 모니터링 정보 분석 결과를 해결하기 위한 대응 조치 G. 조직에서 정의한 빈도에 따라 조직에서 정의한 인력 또는 역할에 시스템의 보안 및 개인 정보 보호 상태를 보고합니다.

nist-r5-ca-9

A. 조직 정의 시스템 구성요소 또는 구성요소 클래스의 시스템에 대한 내부 연결을 승인합니다. B. 각 내부 연결에 대해 인터페이스 특성, 보안 및 개인 정보 보호 요구사항, 통신되는 정보의 성격을 문서화합니다. C. 조직에서 정의한 조건에 따라 내부 시스템 연결을 종료합니다. D. 조직에서 정의한 빈도에 따라 각 내부 연결의 지속적인 필요성을 검토합니다.

nist-r5-cm-01

A. 다음 사항을 개발, 문서화하고 조직에서 정의한 인력 또는 역할에 전파합니다. a. 조직 수준, 미션 또는 비즈니스 프로세스 수준 또는 시스템 수준에서 정의된 구성 관리 정책입니다. 정책은 목적, 범위, 역할, 책임, 관리자의 약속, 조직 기관 간의 조정, 규정 준수를 다루어야 합니다. 정책은 관련 법률, 행정 명령, 지침, 규정, 정책, 표준, 가이드라인과 일치해야 합니다. b. 구성 관리 정책 및 관련 구성 관리 통제의 구현을 용이하게 하는 절차 B. 구성 관리 정책 및 절차의 개발, 문서화, 배포를 관리할 조직 정의 공무원을 지정합니다. C. 조직에서 정의한 빈도 및 이벤트에 따라 현재 구성 관리 정책 및 절차를 검토하고 업데이트합니다.

nist-r5-cm-02

A. 구성 관리 하에 시스템의 현재 기준 구성 개발, 문서화, 유지관리 B. 시스템의 기준 구성을 검토하고 업데이트합니다. a. 조직에서 정의한 빈도에 따릅니다. b. 조직에서 정의한 상황으로 인해 필요한 경우 c. 시스템 구성요소가 설치되거나 업그레이드되는 경우

nist-r5-cm-06

A. 조직에서 정의한 공통 보안 구성을 사용하여 운영 요구사항과 일치하는 가장 제한적인 모드를 반영하는 시스템 내에서 사용되는 구성요소의 구성 설정을 설정하고 문서화합니다. B. 구성 설정을 구현합니다. C. 조직 정의 운영 요구사항에 따라 조직 정의 시스템 구성요소에 대해 설정된 구성 설정에서 벗어나는 사항을 식별, 문서화, 승인합니다. D. 조직 정책 및 절차에 따라 구성 설정의 변경사항을 모니터링하고 제어합니다.

nist-r5-cm-07

조직에서 정의한 미션 필수 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 기능, 포트, 프로토콜, 소프트웨어 또는 서비스의 사용을 금지하거나 제한합니다.

nist-r5-cm-09

다음과 같은 시스템의 구성 관리 계획을 개발, 문서화, 구현합니다. A. 역할, 책임, 구성 관리 프로세스 및 절차를 다룹니다. B. 시스템 개발 수명 주기 전반에서 구성 항목을 식별하고 구성 항목의 구성을 관리하는 프로세스를 설정합니다. C. 시스템의 구성 항목을 정의하고 구성 항목을 구성 관리 아래에 배치합니다. D. 조직에서 정의한 담당자 또는 역할에 의해 검토되고 승인됩니다. E. 무단 공개 및 수정으로부터 구성 관리 계획을 보호합니다.

nist-r5-cp-06

시스템 백업 정보의 저장 및 검색을 허용하는 데 필요한 계약을 포함하여 대체 저장소 사이트를 설정합니다. 대체 저장소 사이트가 기본 사이트와 동일한 제어 기능을 제공하는지 확인합니다.

nist-r5-cp-07

A. 기본 처리 기능을 사용할 수 없는 경우 복구 시간 및 복구 지점 목표와 일치하는 조직 정의 기간 내에 필수 임무 및 비즈니스 기능을 위해 조직 정의 시스템 작업을 전송하고 재개할 수 있도록 필요한 계약을 포함하여 대체 처리 사이트를 설정합니다. B. 대체 처리 사이트에서 운영을 이전하고 재개하는 데 필요한 장비와 용품을 제공하거나 조직에서 정의한 이전 및 재개 기간 내에 사이트로 배송을 지원하는 계약을 체결합니다. C. 기본 처리 사이트와 동등한 제어를 대체 처리 사이트에 제공합니다.

nist-r5-ia-04

다음과 같은 방법으로 시스템 식별자를 관리합니다. A. 개인, 그룹, 역할, 서비스 또는 기기 식별자를 할당하기 위해 조직에서 정의한 담당자 또는 역할로부터 승인을 받습니다. B. 개인, 그룹, 역할, 서비스 또는 기기를 식별하는 식별자를 선택합니다. C. 의도한 개인, 그룹, 역할, 서비스 또는 기기에 식별자를 할당합니다. D. 조직에서 정의한 기간 동안 식별자 재사용 방지

nist-r5-ia-05

다음과 같은 방법으로 시스템 인증자를 관리합니다. a. 초기 인증자 배포의 일부로 인증자를 수신하는 개인, 그룹, 역할, 서비스 또는 기기의 ID를 확인합니다. b. 조직에서 발급한 인증자의 초기 인증자 콘텐츠 설정 인증기가 의도된 용도에 적합한 메커니즘 강도를 갖도록 합니다. d. 초기 인증기 배포, 분실되거나 손상된 인증기, 인증기 취소를 위한 관리 절차를 수립하고 구현합니다. e. 첫 사용 전에 기본 인증자 변경. f. 인증자 유형별 또는 조직에서 정의한 이벤트가 발생할 때 조직에서 정의한 기간에 따라 인증자를 변경하거나 새로고침합니다. 인증 도구 콘텐츠를 무단 공개 및 수정으로부터 보호합니다. h. 개인이 인증자를 보호하기 위해 특정 제어를 취하도록 요구하고 기기가 이를 구현하도록 요구합니다. i. 해당 계정의 구성원이 변경될 때 그룹 또는 역할 계정의 인증자를 변경합니다.

nist-r5-ia-08

조직 외부 사용자 또는 조직 외부 사용자를 대신하여 행동하는 프로세스를 고유하게 식별하고 인증합니다.

nist-r5-ma-04

A. 비로컬 유지보수 및 진단 활동을 승인하고 모니터링합니다. B. 조직 정책과 일치하고 시스템의 보안 계획에 문서화된 경우에만 비로컬 유지관리 및 진단 도구의 사용을 허용합니다. C. 비로컬 유지관리 및 진단 세션을 설정할 때 강력한 인증을 사용해야 합니다. D. 비로컬 유지보수 및 진단 활동의 기록을 유지합니다. E. 비로컬 유지보수가 완료되면 세션과 네트워크 연결을 종료합니다.

nist-r5-mp-02

조직에서 정의한 디지털 또는 비디지털 미디어 유형에 대한 액세스를 조직에서 정의한 직원 또는 역할로 제한합니다.

nist-r5-pe-01

A. 다음 사항을 개발, 문서화하고 조직에서 정의한 인력 또는 역할에 전파합니다. a. 조직 수준, 미션 또는 비즈니스 프로세스 수준, 시스템 수준에서 정의된 물리적 및 환경 보호 정책 정책은 목적, 범위, 역할, 책임, 관리자의 약속, 조직 기관 간의 조정, 규정 준수를 다루어야 합니다. 정책은 관련 법률, 행정 명령, 지침, 규정, 정책, 표준, 가이드라인과 일치해야 합니다. b. 물리적 보호 및 환경 보호 정책과 관련 물리적 보호 및 환경 보호 제어의 구현을 용이하게 하는 절차 B. 물리적 및 환경 보호 정책과 절차의 개발, 문서화, 배포를 관리할 조직 정의 공무원을 지정합니다. C. 조직에서 정의한 빈도 및 이벤트에 따라 현재 물리적 보호 및 환경 보호 정책과 절차를 검토하고 업데이트합니다.

nist-r5-pl-08

A. 시스템의 보안 및 개인 정보 보호 아키텍처 개발: a. 조직 정보의 기밀성, 무결성, 가용성을 보호하기 위해 취해야 하는 요구사항과 접근 방식을 설명합니다. b. 개인의 개인 정보 보호 위험을 최소화하기 위해 개인 식별 정보를 처리하는 데 필요한 요구사항과 접근 방식을 설명하세요. c. 아키텍처가 엔터프라이즈 아키텍처에 통합되고 이를 지원하는 방법을 설명합니다. d. 외부 시스템 및 서비스에 관한 가정과 종속 항목을 설명합니다. B. 조직에서 정의한 빈도로 아키텍처를 검토하고 업데이트하여 엔터프라이즈 아키텍처의 변경사항을 반영합니다. C. 보안 및 개인 정보 보호 계획, 운영 개념 (CONOPS), 중요도 분석, 조직 절차, 조달 및 획득에 계획된 아키텍처 변경사항을 반영합니다.

nist-r5-ra-03

A. 다음과 같은 위험 평가를 실시합니다. a. 시스템의 위협과 취약점 식별 b. 시스템, 시스템에서 처리, 저장 또는 전송하는 정보, 관련 정보의 무단 액세스, 사용, 공개, 중단, 수정 또는 파기로 인한 피해의 가능성과 규모를 결정합니다. c. 개인 식별 정보 처리로 인해 개인에게 발생하는 부정적인 영향의 가능성과 영향을 판단합니다. B. 조직 및 임무 또는 비즈니스 프로세스 관점의 위험 평가 결과와 위험 관리 결정을 시스템 수준 위험 평가와 통합합니다. C. 보안 및 개인 정보 보호 계획, 위험 평가 보고서, 조직 정의 문서에 위험 평가 결과를 문서화합니다. D. 조직에서 정의한 빈도로 위험 평가 결과를 검토합니다. E. 위험 평가 결과를 조직에서 정의한 직원 또는 역할에 전파합니다. F 조직에서 정의한 빈도 또는 시스템, 운영 환경, 시스템의 보안 또는 개인 정보 보호 상태에 영향을 미칠 수 있는 기타 조건에 상당한 변경사항이 있는 경우 위험 평가를 업데이트합니다.

nist-r5-ra-05

A. 조직에서 정의한 프로세스에 따라 조직에서 정의한 빈도로 또는 무작위로 시스템 및 호스팅된 애플리케이션의 취약점을 모니터링하고 검사합니다. 시스템에 영향을 미칠 수 있는 새로운 취약점이 식별되고 보고되는 경우도 마찬가지입니다. B. 도구 간 상호 운용성을 촉진하고 다음 표준을 사용하여 취약점 관리 프로세스의 일부를 자동화하는 취약점 모니터링 도구와 기법을 사용합니다. a. 플랫폼, 소프트웨어 결함, 잘못된 구성 열거 b. 체크리스트 및 테스트 절차 서식 지정 c. 취약점 영향 측정 C. 취약점 스캔 보고서와 취약점 모니터링 결과를 분석합니다. D. 조직의 위험 평가에 따라 조직에서 정의한 대응 시간 내에 합법적인 취약점을 수정합니다. E. 취약점 모니터링 프로세스 및 제어 평가에서 얻은 정보를 조직에서 정의한 인력 또는 역할과 공유하여 다른 시스템에서 유사한 취약점을 제거합니다. F. 스캔할 취약점을 쉽게 업데이트하는 기능을 포함하는 취약점 모니터링 도구를 사용합니다.

nist-r5-sa-03

정보 보안 및 개인 정보 보호 고려사항을 통합하는 조직 정의 시스템 개발 수명 주기를 사용하여 시스템을 획득, 개발, 관리합니다. 시스템 개발 수명 주기 전반의 정보 보안 및 개인 정보 보호 역할과 책임을 정의하고 문서화합니다. 정보 보안 및 개인 정보 보호 역할과 책임이 있는 개인을 식별합니다. 조직의 정보 보안 및 개인 정보 보호 위험 관리 프로세스를 시스템 개발 수명 주기 활동에 통합합니다.

nist-r5-sa-08

시스템 및 시스템 구성요소의 사양, 설계, 개발, 구현, 수정에 조직에서 정의한 보안 및 개인 정보 보호 엔지니어링 원칙을 적용합니다.

nist-r5-sa-10

시스템, 시스템 구성요소 또는 시스템 서비스 개발자에게 다음을 요구합니다. A. 시스템, 구성요소 또는 서비스 설계, 개발, 구현, 운영 또는 폐기 중에 구성 관리를 실행합니다. B. 구성 관리에서 조직 정의 구성 항목의 변경사항 무결성을 문서화, 관리, 제어합니다. C. 조직에서 승인한 변경사항만 시스템, 구성요소 또는 서비스에 구현합니다. D. 시스템, 구성요소 또는 서비스의 승인된 변경사항과 이러한 변경사항의 잠재적인 보안 및 개인 정보 보호 영향을 문서화합니다. E. 시스템, 구성요소 또는 서비스 내에서 보안 결함과 결함 해결을 추적하고 조직에서 정의한 인력에게 결과를 보고합니다.

nist-r5-sa-11

시스템 개발 수명 주기의 모든 설계 후 단계에서 시스템, 시스템 구성요소 또는 시스템 서비스 개발자는 다음을 충족해야 합니다. A. 지속적인 보안 및 개인 정보 보호 평가 계획을 수립하고 구현합니다. B. 조직에서 정의한 빈도에 따라 조직에서 정의한 깊이와 범위로 단위, 통합, 시스템, 회귀 테스트를 실행합니다. C. 평가 계획의 실행과 테스트 및 평가 결과를 증명합니다. D. 확인 가능한 결함 수정 프로세스를 구현합니다. E. 테스트 및 평가 중에 확인된 결함을 수정합니다.

nist-r5-sa-15

시스템, 시스템 구성요소 또는 시스템 서비스 개발자가 문서화된 개발 프로세스를 따르도록 요구합니다. 이 프로세스는 보안 및 개인 정보 보호 요구사항을 명시적으로 다루고, 개발 프로세스에 사용된 표준과 도구를 식별하고, 개발 프로세스에 사용된 특정 도구 옵션과 도구 구성을 문서화하고, 개발에 사용된 프로세스와 도구의 변경사항을 문서화하고 관리하고 무결성을 보장해야 합니다. 조직에서 정의한 빈도에 따라 개발 프로세스, 표준, 도구, 도구 옵션, 도구 구성을 검토하여 선택 및 사용된 프로세스, 표준, 도구, 도구 옵션, 도구 구성이 조직에서 정의한 보안 및 개인 정보 보호 요구사항을 충족하는지 확인합니다.

nist-r5-sa-21

조직 정의 시스템, 시스템 구성요소 또는 시스템 서비스 개발자가 할당된 조직 정의 공식 정부 업무에 따라 적절한 액세스 승인을 보유해야 합니다. 개발자는 조직에서 정의한 추가 인력 심사 기준을 충족해야 합니다.

nist-r5-sc-03

보안 기능을 비보안 기능과 분리합니다.

nist-r5-sc-05

조직에서 정의한 서비스 거부 이벤트의 영향으로부터 보호합니다. 서비스 거부 이벤트 유형별로 조직 정의 컨트롤을 사용합니다.

nist-r5-sc-07

시스템의 외부 관리 인터페이스와 시스템 내 주요 내부 관리 인터페이스에서 통신을 모니터링하고 제어합니다. 내부 조직 네트워크와 물리적으로 논리적으로 분리된 공개 액세스 가능 시스템 구성요소용 서브네트워크를 구현합니다. 조직의 보안 및 개인 정보 보호 아키텍처에 따라 구성된 경계 보호 장치로 구성된 관리 인터페이스를 통해서만 외부 네트워크 또는 시스템에 연결합니다.

nist-r5-sc-07-05

기본적으로 네트워크 통신 트래픽을 거부하고 조직 정의 시스템의 관리 인터페이스에서 예외적으로 허용합니다.

nist-r5-sc-08

전송된 정보의 기밀성과 무결성을 보호합니다.

nist-r5-sc-10

세션이 끝날 때 또는 조직에서 정의한 비활성 기간이 지난 후 통신 세션과 연결된 네트워크 연결을 종료합니다.

nist-r5-sc-12

조직에서 정의한 키 생성, 배포, 저장, 액세스, 폐기와 같은 키 관리 요구사항에 따라 시스템 내에서 암호화가 사용되는 경우 암호화 키를 설정하고 관리합니다.

nist-r5-sc-13

암호화에 필요한 용도를 결정하고 정의된 각 용도에 필요한 특정 유형의 암호화를 구현합니다.

nist-r5-sc-23

통신 세션의 진위성을 보호합니다.

nist-r5-sc-28

조직에서 정의한 저장 데이터의 기밀성과 무결성을 보호합니다.

nist-r5-sc-28-01

조직 정의 시스템 구성요소에 있는 조직 정의 저장 정보의 무단 공개 및 수정을 방지하기 위해 암호화 메커니즘을 구현합니다.

nist-r5-si-01

A. 다음 사항을 개발, 문서화하고 조직에서 정의한 인력 또는 역할에 전파합니다. a. 조직 수준, 미션 또는 비즈니스 프로세스 수준, 시스템 수준에서 정의된 시스템 및 정보 무결성 정책 정책은 목적, 범위, 역할, 책임, 관리자의 약속, 조직 기관 간의 조정, 규정 준수를 다루어야 합니다. 정책은 관련 법률, 행정 명령, 지침, 규정, 정책, 표준, 가이드라인과 일치해야 합니다. b. 시스템 및 정보 무결성 정책과 관련 시스템 및 정보 무결성 제어의 구현을 용이하게 하는 절차 B. 시스템 및 정보 무결성 정책과 절차의 개발, 문서화, 배포를 관리할 조직 정의 공무원을 지정합니다. C. 조직에서 정의한 빈도와 이벤트에 따라 현재 시스템 및 정보 무결성 정책과 절차를 검토하고 업데이트합니다.

nist-r5-si-02

시스템 결함을 식별, 보고, 수정합니다. 설치 전에 효과와 잠재적인 부작용에 대해 결함 수정과 관련된 소프트웨어 및 펌웨어 업데이트를 테스트합니다. 조직에서 정의한 업데이트 출시 기간 내에 보안 관련 소프트웨어 및 펌웨어 업데이트를 설치합니다. 조직 구성 관리 프로세스에 결함 수정 사항을 통합합니다.

nist-r5-si-02-02

조직에서 정의한 빈도로 조직에서 정의한 자동 메커니즘을 사용하여 시스템 구성요소에 적용 가능한 보안 관련 소프트웨어 및 펌웨어 업데이트가 설치되어 있는지 확인합니다.

nist-r5-si-03

A. 악성코드를 감지하고 근절하기 위해 시스템 진입 및 종료 지점에서 서명 기반 또는 비서명 기반 악성코드 보호 메커니즘을 구현합니다. B. 조직 구성 관리 정책 및 절차에 따라 새 버전이 제공되면 악성코드 보호 메커니즘을 자동으로 업데이트합니다. C. 다음과 같이 악성 코드 보호 메커니즘을 구성합니다. a. 조직에서 정의한 빈도로 시스템을 주기적으로 검사하고, 조직 정책에 따라 파일이 다운로드, 열기 또는 실행될 때 엔드포인트, 네트워크 진입 및 종료 지점에서 외부 소스의 파일을 실시간으로 검사합니다. b. 악성 코드를 차단하고, 악성 코드를 격리하고, 조직에서 정의한 조치를 취하고, 악성 코드 감지에 대한 응답으로 조직에서 정의한 인력 또는 역할에 알림을 보냅니다. D. 악성 코드 감지 및 근절 중에 거짓양성이 수신되는 문제와 이로 인해 시스템 가용성에 미칠 수 있는 잠재적 영향을 해결합니다.

nist-r5-si-04

A. 다음을 감지하도록 시스템을 모니터링합니다. a. 조직에서 정의한 모니터링 목표에 따른 공격 및 잠재적 공격 지표 b. 승인되지 않은 로컬, 네트워크, 원격 연결 B. 조직에서 정의한 기법과 방법을 통해 시스템의 무단 사용을 식별합니다. C. 내부 모니터링 기능을 호출하거나 모니터링 기기 배포: a. 조직에서 결정한 필수 정보를 수집하기 위해 시스템 내에서 전략적으로 배치됩니다. b. 조직에서 관심을 갖는 특정 유형의 거래를 추적하기 위해 시스템 내의 임시 위치 D. 감지된 이벤트와 이상치를 분석합니다. E. 조직 운영 및 자산, 개인, 기타 조직 또는 국가에 대한 위험이 변경되면 시스템 모니터링 활동 수준을 조정합니다. F. 시스템 모니터링 활동에 관한 법률 의견을 받습니다. G. 필요에 따라 또는 조직 정의 빈도에 따라 조직 정의 인력 또는 역할에 조직 정의 시스템 모니터링 정보를 제공합니다.

nist-r5-si-04-02

자동화된 도구와 메커니즘을 사용하여 이벤트의 실시간 분석을 지원합니다.

nist-r5-si-04-04

인바운드 및 아웃바운드 통신 트래픽의 비정상적이거나 승인되지 않은 활동 또는 조건에 대한 기준을 결정합니다. 조직에서 정의한 비정상적이거나 승인되지 않은 활동 또는 조건에 대해 조직에서 정의한 빈도로 인바운드 및 아웃바운드 통신 트래픽을 모니터링합니다.

nist-r5-si-07

a. 무결성 확인 도구를 사용하여 조직에서 정의한 소프트웨어, 펌웨어, 정보에 대한 승인되지 않은 변경사항을 감지합니다. b. 소프트웨어, 펌웨어, 정보에 대한 무단 변경이 감지되면 조직에서 정의한 조치를 취합니다.

nist-r5-si-07-01

조직에서 정의한 빈도로 시작 시와 조직에서 정의한 전환 상태 또는 보안 관련 이벤트에서 조직에서 정의한 소프트웨어, 펌웨어, 정보의 무결성 검사를 실행합니다.

nist-r5-si-07-02

무결성 확인 중에 불일치가 발견되면 조직에서 정의한 담당자 또는 역할에 알림을 제공하는 자동화된 도구를 사용합니다.

nist-r5-si-12

관련 법률, 행정 명령, 지침, 규정, 정책, 표준, 가이드라인, 운영 요구사항에 따라 시스템 내 정보와 시스템에서 출력된 정보를 관리하고 보관합니다.

NIST AI 600-1 Privacy Controls

지원되는 클라우드 제공업체: Google Cloud

생성형 AI 채택을 위한 NIST AI 600-1 기반 개인 정보 보호 관리

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

nist-600-1-gv-6.1-001

관련 서드 파티 권리가 있는 다양한 유형의 생성형 AI (GAI) 콘텐츠를 분류합니다. 예를 들어 카테고리 저작권, 지식 재산, 데이터 개인 정보 보호가 있습니다.

nist-600-1-mg-2.2-002

AI 생성 콘텐츠의 출처와 출처를 추적하기 위해 학습 데이터 소스를 문서화합니다.

nist-600-1-mg-2.2-007

AI 생성 데이터의 계보와 진위 여부를 추적하고 검증하는 데 도움이 된다는 것을 입증할 수 있는 경우 실시간 감사 도구를 사용합니다.

nist-600-1-mg-2.2-009

적절하고 적용 가능한 경우 GAI 개발에서 합성 데이터 및 기타 개인 정보 보호 강화 기법을 책임감 있게 사용할 기회를 고려하세요. 개인 식별 정보를 공개하거나 균질화에 기여하지 않고 실제 데이터의 통계적 속성을 일치시킵니다.

nist-600-1-mg-3.2-003

문서 소스 및 학습 데이터 유형과 출처, GAI 애플리케이션 및 콘텐츠 출처, 아키텍처, 하이퍼파라미터, 학습 기간, 적용된 미세 조정 프로세스에 관한 정보를 포함한 사전 학습된 모델의 학습 프로세스와 관련된 데이터에 존재하는 잠재적 편향

nist-600-1-mp-2.1-002

원래 데이터 소스, 데이터 변환, 의사결정 기준을 포함하되 이에 국한되지 않는 GAI 시스템 내 데이터 및 콘텐츠 흐름에 대한 테스트 및 평가를 시행합니다.

nist-600-1-mp-4.1-001

AI 생성 콘텐츠의 개인 정보 보호 위험을 주기적으로 모니터링하고 PII 또는 민감한 정보 노출 가능성을 해결합니다.

nist-600-1-mp-4.1-004

가능한 범위 내에서 관련 법률 및 정책에 따라 학습 데이터 선별 정책을 문서화합니다.

nist-600-1-mp-4.1-005

다음과 같은 위험을 고려하여 데이터 수집, 보관, 최소 품질에 관한 정책을 수립합니다. 부적절한 CBRN 정보 공개, 불법 또는 위험한 콘텐츠 사용, 공격적인 사이버 역량, 유해한 편향을 야기할 수 있는 학습 데이터 불균형, 개인의 얼굴 유사성을 포함한 개인 식별 정보 유출

nist-600-1-mp-4.1-009

생성된 출력 텍스트, 이미지, 동영상 또는 오디오에 PII 또는 민감한 정보가 있는지 감지하는 접근 방식을 활용합니다.

nist-600-1-mp-4.1-010

학습 데이터 사용에 대한 적절한 주의를 기울여 지식 재산권 및 개인 정보 보호 위험을 평가합니다. 여기에는 독점 또는 민감한 학습 데이터의 사용이 관련 법규를 준수하는지 검토하는 것이 포함됩니다.

nist-600-1-ms-1.1-002

콘텐츠 출처를 분석하고 데이터 이상치를 감지하며, 디지털 서명의 진위성을 확인하고, 잘못된 정보 또는 조작과 관련된 패턴을 식별하도록 설계된 도구를 통합합니다.

nist-600-1-ms-2.2-004

익명 처리, 차등 개인 정보 보호 또는 기타 개인 정보 보호 강화 기술과 같은 기법을 사용하여 AI 생성 콘텐츠를 개별 인적 주체에 다시 연결하는 것과 관련된 위험을 최소화하세요.

nist-600-1-ms-2.5-005

생성형 인공지능 (GAI) 시스템 학습 데이터와 테스트, 평가, 검증, 유효성 검사 (TEVV) 데이터 출처, 미세 조정 또는 검색 증강 생성 데이터가 근거가 있는지 확인합니다.

nist-600-1-ms-2.6-002

시스템 학습 데이터에 유해한 편향, 지식 재산권 침해, 데이터 개인 정보 보호 위반, 외설, 극단주의, 폭력 또는 CBRN 정보가 있는지 또는 어느 정도 수준인지 평가합니다.

nist-600-1-ms-2.9-002

제안된 사용 사례 및 조직 가치, 가정 및 제한사항, 데이터 수집 방법론, 데이터 출처, 데이터 품질, 모델 아키텍처 (예: 컨볼루션 신경망 및 트랜스포머), 최적화 목표, 학습 알고리즘, RLHF 접근 방식, 미세 조정 또는 검색 증강 생성 접근 방식, 평가 데이터, 윤리적 고려사항, 법적 및 규제 요구사항 등 GAI 모델 세부정보를 문서화합니다.

NIST Cybersecurity Framework 1.1

지원되는 클라우드 제공업체: Google Cloud

조직이 사이버 보안 위험을 관리하는 데 도움이 되는 전략적 프레임워크입니다. 활동을 식별, 보호, 탐지, 대응, 복구라는 5가지 핵심 기능으로 정리하여 보안 상황을 개략적으로 파악할 수 있습니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

nist-csf-de-ae

이상치 및 이벤트 (DE.AE): 이상 활동이 감지되고 이벤트의 잠재적 영향이 파악됩니다.

nist-csf-de-ae-1

사용자 및 시스템의 네트워크 운영 및 예상 데이터 흐름 기준이 설정되고 관리됩니다.

nist-csf-de-ae-2

감지된 이벤트는 공격 대상과 방법을 파악하기 위해 분석됩니다.

nist-csf-de-ae-3

이벤트 데이터는 여러 소스와 센서에서 수집되고 상관관계가 지정됩니다.

nist-csf-de-ae-4

이벤트의 영향이 결정됩니다.

nist-csf-de-ae-5

인시던트 알림 기준이 설정됩니다.

nist-csf-de-cm

보안 지속적 모니터링 (DE.CM): 정보 시스템과 자산을 모니터링하여 사이버 보안 이벤트를 식별하고 보호 조치의 효과를 검증합니다.

nist-csf-de-cm-1

네트워크를 모니터링하여 잠재적인 사이버 보안 이벤트를 감지합니다.

nist-csf-de-cm-2

물리적 환경을 모니터링하여 잠재적인 사이버 보안 이벤트를 감지합니다.

nist-csf-de-cm-3

잠재적인 사이버 보안 이벤트를 감지하기 위해 직원 활동이 모니터링됩니다.

nist-csf-de-cm-4

악성 코드가 감지되었습니다.

nist-csf-de-cm-5

승인되지 않은 모바일 코드가 감지되었습니다.

nist-csf-de-cm-6

잠재적인 사이버 보안 이벤트를 감지하기 위해 외부 서비스 제공업체 활동이 모니터링됩니다.

nist-csf-de-cm-7

무단 사용자, 연결, 기기, 소프트웨어에 대한 모니터링이 실행됩니다.

nist-csf-de-cm-8

취약점 스캔이 실행됩니다.

nist-csf-de-dp-1

책임 소재를 명확히 하기 위해 감지 관련 역할과 책임이 명확하게 정의되어 있습니다.

nist-csf-de-dp-4

이벤트 감지 정보가 전달됩니다.

nist-csf-id-am

자산 관리: 조직이 비즈니스 목적을 달성할 수 있도록 지원하는 데이터, 인력, 기기, 시스템, 시설이 조직 목표 및 조직의 위험 전략에 대한 상대적 중요도에 따라 식별되고 관리됩니다.

nist-csf-id-am-1

조직 내의 실제 기기 및 시스템이 인벤토리에 포함됩니다.

nist-csf-id-am-4

외부 정보 시스템이 카탈로그화됩니다.

nist-csf-id-am-6

전체 인력 및 서드 파티 이해관계자 (예: 공급업체, 고객, 파트너)의 사이버 보안 역할과 책임이 설정됩니다.

nist-csf-id-gv-1

조직의 사이버 보안 정책이 수립되고 전달됩니다.

nist-csf-id-gv-3

개인 정보 보호 및 시민 자유 의무를 비롯한 사이버 보안 관련 법적 및 규제 요구사항을 이해하고 관리합니다.

nist-csf-id-gv-4

거버넌스 및 위험 관리 프로세스에서 사이버 보안 위험을 해결합니다.

nist-csf-id-ra-1

애셋 취약점이 식별되고 문서화됩니다.

nist-csf-id-ra-2

사이버 위협 인텔리전스는 정보 공유 포럼 및 소스로부터 수신됩니다.

nist-csf-id-ra-3

내부 및 외부 위협이 식별되고 문서화됩니다.

nist-csf-id-sc-3

공급업체 및 서드 파티 파트너와의 계약은 조직의 사이버 보안 프로그램 및 사이버 공급망 위험 관리 계획의 목표를 충족하도록 설계된 적절한 조치를 구현하는 데 사용됩니다.

nist-csf-pr-ac

ID 관리, 인증 및 액세스 제어 (PR.AC): 물리적 및 논리적 자산과 관련 시설에 대한 액세스는 승인된 사용자, 프로세스, 기기로 제한되며, 승인된 활동 및 거래에 대한 무단 액세스의 평가된 위험에 따라 일관되게 관리됩니다.

nist-csf-pr-ac-1

ID와 사용자 인증 정보는 승인된 기기, 사용자, 프로세스에 대해 발급, 관리, 확인, 취소, 감사됩니다.

nist-csf-pr-ac-2

애셋에 대한 물리적 액세스가 관리되고 보호됩니다.

nist-csf-pr-ac-3

원격 액세스가 관리됩니다.

nist-csf-pr-ac-4

액세스 권한과 승인은 최소 권한 및 업무 분리 원칙을 적용하여 관리됩니다.

nist-csf-pr-ac-5

네트워크 무결성이 보호됩니다 (예: 네트워크 분리, 네트워크 세분화).

nist-csf-pr-ac-6

ID는 증명되고 사용자 인증 정보에 바인딩되며 상호작용에서 어설션됩니다.

nist-csf-pr-ac-7

사용자, 기기, 기타 자산은 거래의 위험 (예: 개인의 보안 및 개인 정보 보호 위험, 기타 조직 위험)에 상응하는 방식으로 인증됩니다 (예: 단일 요소, 다중 요소).

nist-csf-pr-ds-1

저장 데이터가 보호됩니다.

nist-csf-pr-ds-2

전송 중 데이터가 보호됩니다.

nist-csf-pr-ds-3

애셋은 삭제, 이전, 처분 전반에 걸쳐 공식적으로 관리됩니다.

nist-csf-pr-ds-4

가용성을 유지하기에 충분한 용량이 유지됩니다.

nist-csf-pr-ds-5

데이터 유출 방지 조치가 구현됩니다.

nist-csf-pr-ip

정보 보호 프로세스 및 절차 (PR.IP): 정보 시스템 및 자산 보호를 관리하기 위해 보안 정책 (목적, 범위, 역할, 책임, 관리 약속, 조직 간 조정 포함), 프로세스, 절차가 유지되고 사용됩니다.

nist-csf-pr-ip-1

정보 기술 또는 산업 제어 시스템의 기준 구성이 보안 원칙 (예: 최소 기능 개념)을 통합하여 생성되고 유지됩니다.

nist-csf-pr-ip-10

대응 및 복구 계획을 테스트합니다.

nist-csf-pr-ip-12

취약점 관리 계획이 개발되고 구현됩니다.

nist-csf-pr-ip-2

시스템을 관리하는 시스템 개발 수명 주기가 구현됩니다.

nist-csf-pr-ip-3

구성 변경 관리 프로세스가 마련되어 있습니다.

nist-csf-pr-ip-4

정보 백업이 수행, 유지, 테스트됩니다.

nist-csf-pr-ip-6

데이터가 정책에 따라 폐기됩니다.

nist-csf-pr-ip-9

대응 계획 (침해 사고 대응 및 비즈니스 연속성)과 복구 계획 (침해 사고 복구 및 재해 복구)이 마련되어 관리됩니다.

nist-csf-pr-ma-1

조직 자산의 유지보수 및 수리는 승인되고 관리되는 도구를 사용하여 수행되고 기록됩니다.

nist-csf-pr-pt

보호 기술 (PR.PT): 관련 정책, 절차, 계약에 따라 시스템과 애셋의 보안 및 복원력을 보장하기 위해 기술 보안 솔루션을 관리합니다.

nist-csf-pr-pt-1

감사 및 로그 기록은 정책에 따라 결정, 문서화, 구현, 검토됩니다.

nist-csf-pr-pt-3

최소 기능의 원칙은 필수 기능만 제공하도록 시스템을 구성하여 통합됩니다.

nist-csf-pr-pt-4

통신 및 제어 네트워크가 보호됩니다.

nist-csf-pr-pt-5

정상적인 상황과 불리한 상황에서 복원력 요구사항을 충족하기 위해 메커니즘 (예: 페일세이프, 부하 분산, 핫 스왑)이 구현됩니다.

nist-csf-rc-im

개선사항 (RC.IM): 향후 활동에 교훈을 통합하여 복구 계획 및 프로세스가 개선됩니다.

nist-csf-rc-rp-1

복구 계획은 사이버 보안 사고 중 또는 후에 실행됩니다.

nist-csf-rs-an

분석 (RS.AN): 효과적인 대응과 복구 활동 지원을 위해 분석을 수행합니다.

nist-csf-rs-an-1

감지 시스템의 알림을 조사합니다.

nist-csf-rs-an-5

내부 및 외부 소스 (예: 내부 테스트, 보안 게시판 또는 보안 연구원)에서 조직에 공개된 취약점을 수신, 분석, 대응하기 위한 프로세스가 마련되어 있습니다.

nist-csf-rs-co-1

대응이 필요한 경우 인력이 자신의 역할과 작업 순서를 알고 있습니다.

nist-csf-rs-co-4

이해관계자와의 조정은 대응 계획에 따라 이루어집니다.

nist-csf-rs-im-2

응답 전략이 업데이트됩니다.

nist-csf-rs-mi-2

문제가 완화되었습니다.

nist-csf-rs-rp-1

대응 계획은 인시던트 중 또는 후에 실행됩니다.

PCI DSS v4.0.1

지원되는 클라우드 제공업체: Google Cloud

카드 소지자 데이터를 처리, 저장 또는 전송하는 비즈니스에 대한 필수 PCI 데이터 보안 표준 (DSS)을 정의하는 규제 프레임워크입니다. PCI DSS는 카드 소지자 데이터가 처리, 저장 또는 전송되는 모든 위치에서 카드 소지자 데이터를 보호하는 데 도움이 되는 구체적인 기술 및 운영 요구사항을 정의합니다. PCI DSS는 사기를 방지하는 데 도움이 되는 일련의 규범적 기술 및 운영 요구사항을 제공합니다. 이 프레임워크는 PCI DSS v4.0.1을 준수합니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

pci-dss-v4-1-2-1

NSC 규칙 세트의 구성 표준을 정의하고 구현하고 유지해야 합니다.

pci-dss-v4-1-2-6

사용 중이고 안전하지 않은 것으로 간주되는 모든 서비스, 프로토콜, 포트에 대해 위험이 완화되도록 보안 기능을 정의하고 구현해야 합니다.

pci-dss-v4-1-3-1

CDE에 대한 인바운드 트래픽은 필요한 트래픽으로만 제한되어야 하고 다른 모든 트래픽은 명시적으로 거부되어야 합니다.

pci-dss-v4-1-3-2

CDE의 아웃바운드 트래픽은 필요한 트래픽으로만 제한되어야 하며 다른 모든 트래픽은 명시적으로 거부되어야 합니다.

pci-dss-v4-1-4-1

신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이에 NSC가 구현됩니다.

pci-dss-v4-1-4-2

신뢰할 수 없는 네트워크에서 신뢰할 수 있는 네트워크로의 인바운드 트래픽은 공개적으로 액세스 가능한 서비스, 프로토콜, 포트를 제공하도록 승인된 시스템 구성요소와의 통신, 신뢰할 수 있는 네트워크의 시스템 구성요소에서 시작된 통신에 대한 상태 저장 응답으로 제한되어야 하며 다른 모든 트래픽은 거부되어야 합니다.

pci-dss-v4-1-4-3

위조된 소스 IP 주소가 신뢰할 수 있는 네트워크에 들어오는 것을 감지하고 차단하기 위해 스푸핑 방지 조치를 구현해야 합니다.

pci-dss-v4-1-4-4

카드 소지자 데이터를 저장하는 시스템 구성요소는 신뢰할 수 없는 네트워크에서 직접 액세스할 수 없어야 합니다.

pci-dss-v4-10-1-1

요구사항 10에서 식별된 모든 보안 정책과 운영 절차는 문서화되고, 최신 상태로 유지되며, 사용 중이고, 영향을 받는 모든 당사자에게 알려져 있습니다.

pci-dss-v4-10-2-1

감사 로그는 모든 시스템 구성요소 및 카드 소지자 데이터에 대해 사용 설정되고 활성화되어 있습니다.

pci-dss-v4-10-2-1-1

감사 로그는 카드 소지자 데이터에 대한 모든 개별 사용자 액세스를 캡처합니다.

pci-dss-v4-10-2-1-2

감사 로그는 애플리케이션 또는 시스템 계정의 대화형 사용을 비롯하여 관리 액세스 권한이 있는 모든 개인이 취한 모든 작업을 캡처합니다.

pci-dss-v4-10-2-1-4

감사 로그는 모든 유효하지 않은 논리적 액세스 시도를 캡처합니다.

pci-dss-v4-10-3-3

외부용 기술의 로그 파일을 비롯한 감사 로그 파일은 수정하기 어려운 안전한 중앙 내부 로그 서버 또는 기타 미디어에 즉시 백업됩니다.

pci-dss-v4-10-4-1-1

감사 로그 검토를 수행하는 데 자동화된 메커니즘이 사용됩니다.

pci-dss-v4-10-5-1

감사 로그 기록을 최소 12개월 동안 보관하며, 최소 최근 3개월의 기록은 즉시 분석에 사용할 수 있어야 합니다.

pci-dss-v4-11-5-1

침입 감지 및 침입 방지 기법을 사용하여 다음과 같이 네트워크에 대한 침입을 감지 또는 방지해야 합니다. CDE의 경계에서 모든 트래픽을 모니터링하고, CDE의 중요 지점에서 모든 트래픽을 모니터링하고, 침해가 의심되는 경우 담당자에게 알리고, 모든 침입 감지 및 방지 엔진, 기준, 서명을 최신 상태로 유지해야 합니다.

pci-dss-v4-12-10-5

보안 사고 대응 계획에는 침입 감지 및 침입 방지 시스템, 네트워크 보안 제어, 중요 파일의 변경 감지 메커니즘, 결제 페이지의 변경 및 조작 감지 메커니즘, 무단 무선 액세스 포인트 감지 등 보안 모니터링 시스템의 알림 모니터링 및 대응이 포함됩니다(이에 국한되지 않음).

pci-dss-v4-12-5-1

기능 및 사용에 관한 설명을 포함하여 PCI DSS의 범위에 속하는 시스템 구성요소의 인벤토리가 유지관리되고 최신 상태로 유지됩니다.

pci-dss-v4-2-2-1

구성 표준은 모든 시스템 구성요소를 포함하고, 알려진 모든 보안 취약점을 해결하고, 업계에서 인정하는 시스템 보안 강화 표준 또는 공급업체 보안 강화 권장사항과 일치하고, 요구사항 6.3.1에 정의된 대로 새로운 취약점 문제가 식별되면 업데이트되고, 새 시스템이 구성될 때 적용되고, 시스템 구성요소가 프로덕션 환경에 연결되기 전이나 직후에 적용되는지 확인하기 위해 개발, 구현, 유지관리해야 합니다.

pci-dss-v4-2-2-3

서로 다른 보안 수준이 필요한 기본 기능은 시스템 구성요소에 기본 기능이 하나만 있거나 동일한 시스템 구성요소에 있는 서로 다른 보안 수준의 기본 기능이 서로 격리되거나 동일한 시스템 구성요소에 있는 서로 다른 보안 수준의 기본 기능이 모두 보안 요구사항이 가장 높은 기능에 필요한 수준으로 보안되도록 관리해야 합니다.

pci-dss-v4-2-2-4

필요한 서비스, 프로토콜, 데몬, 함수만 사용 설정해야 하며 모든 불필요한 기능은 삭제하거나 사용 중지해야 합니다.

pci-dss-v4-2-2-5

안전하지 않은 서비스, 프로토콜, 데몬이 있는 경우 비즈니스 근거가 문서화되어 있고 안전하지 않은 서비스, 프로토콜, 데몬 사용 위험을 줄여주는 추가적인 보안 기능이 문서화 및 구현되어 있는지 확인합니다.

pci-dss-v4-2-2-6

오용을 방지하기 위해 시스템 보안 매개변수를 구성해야 합니다.

pci-dss-v4-2-2-7

콘솔이 아닌 모든 관리 액세스는 강력한 암호화를 사용하여 암호화해야 합니다.

pci-dss-v4-3-2-1

계정 데이터 스토리지는 최소한 다음을 포함하는 데이터 보관 및 폐기 정책, 절차, 프로세스를 구현하여 최소한으로 유지해야 합니다. 저장된 계정 데이터의 모든 위치에 대한 적용 범위, 승인 완료 전에 저장된 민감한 인증 데이터 (SAD)에 대한 적용 범위, 데이터 스토리지 양과 보관 기간을 법적 또는 규제 및 비즈니스 요구사항에 필요한 수준으로 제한, 보관 기간을 정의하고 문서화된 비즈니스 근거를 포함하는 저장된 계정 데이터에 대한 구체적인 보관 요구사항, 보관 정책에 따라 더 이상 필요하지 않은 경우 계정 데이터를 안전하게 삭제하거나 복구 불가능하게 만드는 프로세스, 정의된 보관 기간을 초과하는 저장된 계정 데이터가 안전하게 삭제되었거나 복구 불가능하게 되었는지 최소 3개월에 한 번 확인하는 프로세스.

pci-dss-v4-3-3-2

승인이 완료되기 전에 전자적으로 저장된 SAD는 강력한 암호화를 사용하여 암호화해야 합니다.

pci-dss-v4-3-3-3

발급자와 발급 서비스를 지원하고 민감한 인증 데이터를 저장하는 회사는 민감한 인증 데이터의 저장이 합법적인 발급 비즈니스 요구사항에 필요한 것으로 제한되고 강력한 암호화를 사용하여 보호되고 암호화되도록 해야 합니다.

pci-dss-v4-3-5-1

PAN은 다음과 같은 방법으로 저장된 위치에 관계없이 읽을 수 없게 렌더링됩니다. 전체 PAN의 강력한 암호화를 기반으로 하는 단방향 해시, 자르기 (해싱을 PAN의 잘린 부분을 바꾸는 데 사용할 수 없음), 동일한 PAN의 해시 및 잘린 버전 또는 동일한 PAN의 다양한 자르기 형식이 환경에 있는 경우 원래 PAN을 재구성하기 위해 다양한 버전을 연관시킬 수 없도록 추가 제어가 적용됩니다. 색인 토큰, 관련 키 관리 프로세스 및 절차가 있는 강력한 암호화

pci-dss-v4-3-5-1-3

파일, 열 또는 필드 수준 데이터베이스 암호화가 아닌 디스크 수준 또는 파티션 수준 암호화를 사용하여 PAN을 읽을 수 없게 하는 경우 논리적 액세스가 기본 운영체제 인증 및 액세스 제어 메커니즘과 별도로 독립적으로 관리되고, 복호화 키가 사용자 계정과 연결되지 않으며, 암호화되지 않은 데이터에 대한 액세스를 허용하는 인증 요소(예: 비밀번호, 암호 문구 또는 암호화 키)가 안전하게 저장되는지 확인합니다.

pci-dss-v4-3-6-1

키에 대한 액세스가 필요한 최소한의 관리자로 제한되는 등 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키가 공개되거나 오용되지 않도록 보호하기 위한 절차를 정의하고 구현해야 합니다.

pci-dss-v4-3-6-1-2

저장된 계정 데이터를 보호하는 데 사용되는 비밀 및 비공개 키는 항상 다음 형식 중 하나 이상으로 저장되어야 합니다. 데이터 암호화 키만큼 강력하고 데이터 암호화 키와 별도로 저장되는 키 암호화 키로 암호화됨, 보안 암호화 기기(SCD)(예: 하드웨어 보안 모듈(HSM) 또는 PTS 승인 상호작용 기기) 내, 업계에서 허용하는 방법에 따라 2개 이상의 전체 길이 키 구성요소 또는 키 공유.

pci-dss-v4-3-7-1

저장된 계정 데이터를 보호하는 데 사용되는 강력한 암호화 키 생성을 포함하도록 키 관리 정책과 절차를 구현해야 합니다.

pci-dss-v4-3-7-2

저장된 계정 데이터를 보호하는 데 사용되는 암호화 키의 보안 배포를 포함하도록 키 관리 정책과 절차를 구현해야 합니다.

pci-dss-v4-3-7-3

저장된 계정 데이터를 보호하는 데 사용되는 암호화 키의 안전한 저장을 포함하도록 키 관리 정책과 절차를 구현해야 합니다.

pci-dss-v4-3-7-5

저장된 계정 데이터를 보호하는 데 사용되는 키의 폐기, 교체 또는 파기를 포함하는 키 관리 정책 및 절차는 다음의 경우 필요에 따라 구현해야 합니다. 키가 정의된 암호화 기간의 끝에 도달한 경우, 키의 무결성이 약화된 경우 (일반 텍스트 키 구성요소를 아는 직원이 회사를 떠나거나 키 구성요소가 알려진 역할인 경우 포함), 키가 손상된 것으로 의심되거나 알려진 경우, 폐기되거나 교체된 키가 암호화 작업에 사용되지 않는 경우

pci-dss-v4-4-2-1

개방형 공개 네트워크를 통해 전송되는 동안 PAN을 안전하게 보호하기 위해 강력한 암호화 및 보안 프로토콜을 구현하여 신뢰할 수 있는 키와 인증서만 허용되고, 개방형 공개 네트워크를 통해 전송되는 동안 PAN을 안전하게 보호하는 데 사용되는 인증서가 유효하고 만료되거나 취소되지 않았으며, 사용 중인 프로토콜이 보안 버전 또는 구성만 지원하고 보안되지 않은 버전, 알고리즘, 키 크기 또는 구현으로의 대체 또는 사용을 지원하지 않으며, 암호화 강도가 사용 중인 암호화 방법론에 적합하도록 해야 합니다.

pci-dss-v4-5-2-1

멀웨어 방지 솔루션은 요구사항 5.2.3에 따라 주기적 평가에서 시스템 구성요소가 멀웨어에 노출되지 않는다고 결론이 내려진 시스템 구성요소를 제외한 모든 시스템 구성요소에 배포해야 합니다.

pci-dss-v4-5-2-2

배포된 멀웨어 방지 솔루션은 알려진 모든 유형의 멀웨어를 감지하고 알려진 모든 유형의 멀웨어를 삭제, 차단 또는 제한해야 합니다.

pci-dss-v4-6-2-3

맞춤형 및 커스텀 소프트웨어는 프로덕션 또는 고객에게 출시되기 전에 검토하여 잠재적인 코딩 취약점을 식별하고 수정해야 합니다. 코드 검토를 통해 코드가 안전한 코딩 가이드라인에 따라 개발되었는지 확인하고, 코드 검토를 통해 기존 및 신규 소프트웨어 취약점을 모두 찾아내며, 출시 전에 적절한 수정사항이 구현됩니다.

pci-dss-v4-6-3-1

보안 취약점을 식별하고 관리하여 다음을 보장해야 합니다. 해외 및 국내 컴퓨터 긴급 응답팀 (CERT)의 알림을 포함하여 보안 취약성 정보에 대해 업계에서 알려진 소스를 사용하여 새로운 보안 취약점을 식별해야 합니다. 업계 권장사항과 잠재적 영향을 고려하여 취약점에 위험 등급을 할당해야 합니다. 위험 등급은 환경에 고위험 또는 심각한 것으로 간주되는 모든 취약점을 최소한 식별해야 합니다. 맞춤형 및 사용자설정, 서드 파티 소프트웨어 (예: 운영체제 및 데이터베이스)의 취약점이 포함되어야 합니다.

pci-dss-v4-6-3-3

모든 시스템 구성요소는 관련 보안 패치나 업데이트를 설치하여 알려진 취약점으로부터 보호해야 합니다. 이렇게 하면 요구사항 6.3.1의 위험 순위 지정 프로세스에 따라 식별된 심각한 취약점의 패치나 업데이트가 출시 후 1개월 이내에 설치되고, 기타 모든 관련 보안 패치나 업데이트가 요구사항 6.3.1의 위험 순위 지정 프로세스에 따라 식별된 환경에 대한 위험의 심각도에 대한 법인의 평가에 따라 적절한 기간 내에 설치됩니다.

pci-dss-v4-6-4-1

공개용 웹 애플리케이션의 경우 새로운 위협과 취약점을 지속적으로 해결해야 하며, 다음 두 가지 방법 중 하나를 사용하여 알려진 공격으로부터 이러한 애플리케이션을 보호해야 합니다. 수동 또는 자동 애플리케이션 취약점 보안 평가 도구 또는 방법을 사용하여 공개용 웹 애플리케이션 검토: 최소 12개월에 한 번, 그리고 중요한 변경사항이 발생한 후; 애플리케이션 보안을 전문으로 하는 법인에 의해; 요구사항 6.2.4의 모든 일반적인 소프트웨어 공격을 최소한 포함; 모든 취약점은 요구사항 6.3.1에 따라 순위가 지정됨; 모든 취약점이 수정됨; 수정 후 애플리케이션이 재평가됨. 또는 다음과 같이 웹 기반 공격을 지속적으로 감지하고 방지하는 자동화된 기술 솔루션을 설치합니다. 웹 기반 공격을 감지하고 방지하기 위해 공개 웹 애플리케이션 앞에 설치되고, 해당하는 경우 활성 상태로 최신 상태를 유지하며, 감사 로그를 생성하고, 웹 기반 공격을 차단하거나 즉시 조사되는 알림을 생성하도록 구성됩니다.

pci-dss-v4-6-4-2

공개용 웹 애플리케이션의 경우 웹 기반 공격을 지속적으로 감지하고 방지하는 자동화된 기술 솔루션을 배포해야 합니다. 최소한 공개용 웹 애플리케이션 앞에 설치되고 웹 기반 공격을 감지하고 방지하도록 구성되어야 하며, 해당하는 경우 활성 상태로 최신 상태를 유지하고, 감사 로그를 생성하고, 웹 기반 공격을 차단하거나 즉시 조사되는 알림을 생성하도록 구성되어야 합니다.

pci-dss-v4-7-2-1

액세스 제어 모델을 정의해야 하며 다음과 같이 액세스 권한 부여가 포함되어야 합니다. 엔티티의 비즈니스 및 액세스 요구사항에 따른 적절한 액세스 권한, 사용자의 직업 분류 및 기능을 기반으로 하는 시스템 구성요소 및 데이터 리소스에 대한 액세스 권한, 작업 기능을 수행하는 데 필요한 최소 권한 (예: 사용자, 관리자)

pci-dss-v4-7-2-2

액세스 권한은 직무 분류 및 기능, 직무 책임을 수행하는 데 필요한 최소 권한을 기준으로 사용자 (권한 있는 사용자 포함)에게 할당해야 합니다.

pci-dss-v4-7-2-5

모든 애플리케이션 및 시스템 계정과 관련 액세스 권한은 시스템 또는 애플리케이션의 작동에 필요한 최소 권한을 기반으로 할당 및 관리되어야 하며, 액세스가 사용을 특별히 요구하는 시스템, 애플리케이션 또는 프로세스로 제한되어야 합니다.

pci-dss-v4-7-3-1

사용자의 알 권리에 따라 액세스를 제한하고 모든 시스템 구성요소를 포함하는 액세스 제어 시스템이 있어야 합니다.

pci-dss-v4-7-3-2

액세스 제어 시스템은 직업 분류 및 기능에 따라 개인, 애플리케이션, 시스템에 할당된 권한을 적용하도록 구성해야 합니다.

pci-dss-v4-7-3-3

액세스 제어 시스템은 기본적으로 모두 거부로 설정되어야 합니다.

pci-dss-v4-8-2-1

시스템 구성요소 또는 카드 소지자 데이터에 대한 액세스가 허용되기 전에 모든 사용자에게 고유한 ID를 할당해야 합니다.

pci-dss-v4-8-2-3

고객 구내에 원격으로 액세스하는 서비스 제공업체는 각 고객 구내에 고유한 인증 요소를 사용해야 합니다.

pci-dss-v4-8-2-5

사용 중지된 사용자의 액세스 권한은 즉시 취소해야 합니다.

pci-dss-v4-8-2-8

사용자 세션이 15분 이상 유휴 상태인 경우 사용자는 터미널 또는 세션을 다시 활성화하기 위해 다시 인증해야 합니다.

pci-dss-v4-8-3-1

사용자와 관리자의 시스템 구성요소에 대한 모든 사용자 액세스는 알고 있는 정보 (예: 비밀번호 또는 비밀 문구), 소유한 항목 (예: 토큰 기기 또는 스마트 카드), 신체 일부 (예: 생체 인식 요소)와 같은 인증 요소 중 하나 이상을 사용하여 인증되어야 합니다.

pci-dss-v4-8-3-2

강력한 암호화를 사용하여 모든 시스템 구성요소에서 전송 및 저장 중에 모든 인증 요소를 읽을 수 없도록 해야 합니다.

pci-dss-v4-8-3-9

비밀번호 또는 패스프레이즈가 사용자 액세스의 유일한 인증 요소로 사용되는 경우 (단일 요소 인증 구현에서) 90일에 한 번 이상 변경해야 합니다. 또는 계정의 보안 상태를 동적으로 분석하고 리소스에 대한 실시간 액세스를 이에 따라 자동으로 결정해야 합니다.

pci-dss-v4-8-6-2

대화형 로그인에 사용할 수 있는 애플리케이션 및 시스템 계정의 비밀번호 또는 비밀 문구는 스크립트, 구성 또는 속성 파일, 맞춤 및 사용자설정 소스 코드에 하드 코딩하면 안 됩니다.

pci-dss-v4-8-6-3

모든 애플리케이션 및 시스템 계정의 비밀번호 또는 비밀 문구는 다음을 보장하여 오용으로부터 보호해야 합니다. 비밀번호 또는 비밀 문구는 정기적으로 (요구사항 12.3.1에 명시된 모든 요소에 따라 실행되는 엔티티의 타겟 위험 분석에 정의된 빈도) 그리고 유출이 의심되거나 확인될 때 변경됩니다. 비밀번호 또는 비밀 문구는 엔티티가 비밀번호 또는 비밀 문구를 변경하는 빈도에 적합한 충분한 복잡성으로 구성됩니다.

Security Essentials

지원되는 클라우드 제공업체: Google Cloud

Google Cloud Security Essentials는 Google Cloud 고객을 위한 기본적인 보안 및 규정 준수 기준을 제공합니다.이 프레임워크는 Google의 광범위한 위협 인텔리전스 및 권장사항을 기반으로 구축되어 보안 상태를 파악하고 처음부터 일반적인 규정 준수 요구사항을 충족하는 데 도움이 됩니다.

이 프레임워크에는 다음 클라우드 컨트롤이 포함됩니다.

SOC2 2017

지원되는 클라우드 제공업체: Google Cloud

독립 감사인이 보안 및 가용성과 같은 AICPA의 트러스트 서비스 기준과 관련된 조직의 관리 수단을 평가하고 보고하는 데 사용할 수 있는 규제 프레임워크입니다. 감사 보고서에는 조직의 시스템과 시스템에서 처리하는 데이터에 대한 평가가 제공됩니다.이 프레임워크는 SOC 2 2017 (수정된 중점 사항 - 2022)을 준수합니다.

이 프레임워크에는 다음 섹션의 클라우드 제어 그룹과 클라우드 제어가 포함됩니다.

soc2-2017-a-1-2-11

관리자는 시스템 및 관련 데이터의 가용성을 저해할 수 있는 데이터 복구 가능성에 대한 위협 (예: 랜섬웨어 공격)을 식별하고 완화 절차를 구현합니다.

soc2-2017-a-1-2-8

데이터 백업, 백업 실패 감지를 위한 모니터링, 실패 발생 시 수정 조치 시작을 위한 절차가 마련되어 있습니다.

soc2-2017-c-1-1-2

법률 또는 규정에서 달리 요구하지 않는 한, 기밀 정보는 식별된 목적을 달성하는 데 필요한 기간 이상 보관되지 않습니다.

soc2-2017-c-1-1-3

정보의 지정된 보관 기간 동안 기밀 정보가 삭제되거나 파기되지 않도록 보호하기 위한 정책과 절차가 마련되어 있습니다.

soc2-2017-c-1-2-2

삭제 대상으로 식별된 기밀 정보를 자동으로 또는 수동으로 삭제하거나 파기하기 위한 정책과 절차가 마련되어 있습니다.

soc2-2017-cc-1-3-3

경영진과 이사회는 조직의 다양한 수준에서 필요한 경우 권한을 위임하고, 책임을 정의하고, 적절한 프로세스와 기술을 사용하여 책임을 할당하고 직무를 분리합니다.

soc2-2017-cc-2-1-2

정보 시스템은 내부 및 외부 데이터 소스를 포착합니다.

soc2-2017-cc-2-1-6

엔티티는 인프라, 소프트웨어, 기타 정보 애셋과 같은 시스템 구성요소를 식별하고, 문서화하고, 기록을 유지합니다. 정보 자산에는 실제 엔드포인트 기기 및 시스템, 가상 시스템, 데이터 및 데이터 흐름, 외부 정보 시스템, 조직 역할이 포함됩니다.

soc2-2017-cc-2-2-1

모든 직원이 내부 통제 책임을 이해하고 수행할 수 있도록 필수 정보를 전달하는 절차가 마련되어 있습니다.

soc2-2017-cc-3-2-5

위험 평가에는 위험을 관리하는 방법과 위험을 수용, 회피, 감소 또는 공유할지 여부가 포함됩니다.

soc2-2017-cc-3-2-7

엔티티는 시스템 프로세스, 인프라, 소프트웨어,

soc2-2017-cc-4-1-1

관리에는 지속적인 평가와 별도의 평가의 균형이 포함됩니다.

soc2-2017-cc-4-1-5

지속적인 평가는 비즈니스 프로세스에 내장되어 있으며 변화하는 조건에 따라 조정됩니다.

soc2-2017-cc-4-1-8

경영진은 다양한 지속적이고 별도의 위험 및 통제 평가를 사용하여 내부 통제가 존재하고 작동하는지 확인합니다. 엔티티의 목표에 따라 이러한 위험 및 통제 평가에는 1차 및 2차 모니터링 및 통제 테스트, 내부 감사 평가, 규정 준수 평가, 복원력 평가, 취약점 스캔, 보안 평가, 침투 테스트, 서드 파티 평가가 포함될 수 있습니다.

soc2-2017-cc-4-2-2

시정 조치를 취할 책임이 있는 당사자, 고위 경영진, 이사회에 적절한 경우 결함이 전달됩니다.

soc2-2017-cc-5-2-2

경영진은 기술 처리의 완전성, 정확성, 가용성을 보장하는 데 도움이 되도록 설계되고 구현된 기술 인프라에 대한 관리 활동을 선택하고 개발합니다.

soc2-2017-cc-5-2-3

경영진은 직무 책임에 상응하는 승인된 사용자에게 기술 액세스 권한을 제한하고 외부 위협으로부터 법인의 자산을 보호하기 위해 설계되고 구현된 관리 활동을 선택하고 개발합니다.

soc2-2017-cc-5-3-1

경영진은 예상되는 사항을 설정하는 정책과 조치를 명시하는 관련 절차를 통해 비즈니스 프로세스와 직원의 일상 활동에 내장된 관리 활동을 설정합니다.

soc2-2017-cc-6-1-10

엔티티는 엔티티의 위험 완화 전략에 따라 적절하다고 판단되는 경우 암호화를 사용하여 저장 데이터, 처리 중 데이터 또는 전송 중 데이터를 보호합니다.

soc2-2017-cc-6-1-11

엔티티는 생성, 저장, 사용, 폐기 중에 암호화 키를 보호합니다. 암호화 모듈, 알고리즘, 키 길이, 아키텍처가 엔티티의 위험 완화 전략에 적합합니다.

soc2-2017-cc-6-1-12

기밀 정보에 대한 논리적 액세스 및 사용은 식별된 목적으로 제한됩니다.

soc2-2017-cc-6-1-3

엔티티는 액세스 제어 소프트웨어, 규칙 집합, 표준 구성 강화 프로세스를 사용하여 인프라(예: 서버, 스토리지, 네트워크 요소, API, 엔드포인트 기기), 소프트웨어, 저장된 데이터, 처리 중인 데이터, 전송 중인 데이터 등 정보 자산에 대한 논리적 액세스를 제한합니다.

soc2-2017-cc-6-1-4

엔티티는 로컬 또는 원격으로 정보 자산에 액세스하기 전에 사람, 인프라, 소프트웨어를 식별하고 인증합니다. 엔티티는 위험 완화 전략에 따라 이러한 보호가 적절하다고 판단되는 경우 다중 인증과 같은 더 복잡하거나 고급 사용자 인증 기술을 사용합니다.

soc2-2017-cc-6-1-5

엔터티는 엔터티의 위험 완화 전략에 따라 엔터티의 정보 기술 중 관련이 없는 부분을 서로 격리하기 위해 네트워크 세분화, 제로 트러스트 아키텍처 및 기타 기술을 사용합니다.

soc2-2017-cc-6-1-7

데이터 분류, 별도의 데이터 구조, 포트 제한, 액세스 프로토콜 제한, 사용자 식별, 디지털 인증서의 조합을 사용하여 정보 자산에 대한 액세스 제어 규칙 및 구성 표준을 설정합니다.

soc2-2017-cc-6-1-9

새 내부 및 외부 인프라와 소프트웨어는 액세스 사용자 인증 정보가 부여되고 네트워크 또는 액세스 포인트에 구현되기 전에 등록, 승인, 문서화됩니다. 액세스가 더 이상 필요하지 않거나 인프라 및 소프트웨어가 더 이상 사용되지 않으면 사용자 인증 정보가 삭제되고 액세스가 사용 중지됩니다.

soc2-2017-cc-6-2-3

더 이상 유효하지 않은 액세스 사용자 인증 정보의 사용을 사용 중지하거나, 폐기하거나, 기타 방법으로 방지하는 절차가 마련되어 있습니다.

soc2-2017-cc-6-3-2

더 이상 필요하지 않은 경우 보호된 정보 애셋에 대한 액세스 권한을 삭제하는 절차가 마련되어 있습니다.

soc2-2017-cc-6-3-3

엔티티는 역할 기반 액세스 제어와 같은 액세스 제어 구조를 사용하여 보호된 정보 자산에 대한 액세스를 제한하고, 권한을 제한하고, 호환되지 않는 기능의 분리를 지원합니다.

soc2-2017-cc-6-5-1

데이터와 소프트웨어가 애셋에 더 이상 필요하지 않거나 애셋이 더 이상 법인의 관리 하에 있지 않은 경우 법인, 공급업체, 직원이 소유한 실제 애셋 및 기타 기기에서 데이터와 소프트웨어를 삭제하거나, 삭제하거나, 액세스할 수 없도록 하는 절차가 마련되어 있습니다.

soc2-2017-cc-6-6

엔티티는 시스템 경계 외부의 소스로부터 발생하는 위협을 방지하기 위해 논리적 액세스 보안 조치를 구현합니다.

soc2-2017-cc-6-6-1

통신 채널(예: FTP 사이트, 라우터 포트)을 통해 발생할 수 있는 활동 유형이 제한됩니다.

soc2-2017-cc-6-6-4

경계 보호 시스템(예: 방화벽, 비무장 지대, 침입 감지 또는 방지 시스템, 엔드포인트 탐지 및 대응 시스템)은 외부 액세스 포인트를 보호하도록 구성, 구현, 유지관리됩니다.

soc2-2017-cc-6-7-1

데이터 손실 방지 프로세스 및 기술은 정보의 전송, 이동, 삭제를 승인하고 실행하는 기능을 제한하는 데 사용됩니다.

soc2-2017-cc-6-7-2

암호화 기술 또는 보안 통신 채널은 연결 액세스 포인트를 넘어 데이터 전송 및 기타 통신을 보호하는 데 사용됩니다.

soc2-2017-cc-6-8-1

애플리케이션 및 소프트웨어 설치 및 수정 권한은 승인된 개인에게만 부여됩니다. 일반 운영 또는 보안 절차를 우회할 수 있는 유틸리티 소프트웨어는 승인된 개인만 사용할 수 있으며 정기적으로 모니터링됩니다.

soc2-2017-cc-6-8-2

무단 또는 악성 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수의 변경사항을 감지하는 프로세스가 마련되어 있습니다.

soc2-2017-cc-7-1-1

엔티티가 시스템 강화에 사용할 구성 표준을 정의했습니다.

soc2-2017-cc-7-1-3

IT 시스템에는 파일 무결성 모니터링 도구와 같은 변경 감지 메커니즘이 포함되어 있어 담당자에게 중요한 시스템 파일, 구성 파일 또는 콘텐츠 파일의 무단 수정사항을 알립니다.

soc2-2017-cc-7-1-5

엔티티는 잠재적인 취약점이나 잘못된 구성을 식별하기 위해 주기적으로 그리고 환경에 중요한 변경사항이 적용된 후에 인프라 및 소프트웨어 취약점 검사를 실행합니다. 법인의 목표 달성을 지원하기 위해 식별된 결함을 적시에 해결하기 위한 조치가 취해집니다.

soc2-2017-cc-7-2-1

인프라 및 소프트웨어에 탐지 정책, 절차, 도구가 정의되고 구현되어 시스템의 작동 시 잠재적인 침입, 부적절한 액세스, 비정상적인 활동을 식별합니다. 절차에는 보안 이벤트 감지 및 관리를 위한 정의된 거버넌스 프로세스, 새로 발견된 위협과 취약점을 식별하기 위한 인텔리전스 소스 사용, 비정상적인 시스템 활동 로깅이 포함될 수 있습니다.

soc2-2017-cc-7-2-2

탐지 조치는 실제 또는 시도된 물리적 장벽 침해, 승인된 인력의 무단 행위, 침해된 식별 및 인증 사용자 인증 정보 사용, 시스템 경계 외부에서의 무단 액세스, 승인된 외부 당사자의 침해, 무단 하드웨어 및 소프트웨어의 구현 또는 연결로 인해 발생할 수 있는 이상을 식별하도록 설계되었습니다.

soc2-2017-cc-7-3-2

탐지된 보안 이벤트는 보안 프로그램 관리를 담당하는 개인에게 전달되고 검토되며, 필요한 경우 조치가 취해집니다.

soc2-2017-cc-8-1-1

시스템 및 구성요소 (인프라, 데이터, 소프트웨어, 수동 및 자동 절차)의 수명 주기 전반에 걸쳐 시스템 변경사항을 관리하는 프로세스가 엔티티 목표 달성을 지원하는 데 사용됩니다.

soc2-2017-cc-8-1-14

인프라와 소프트웨어에 패치를 적시에 식별, 평가, 테스트, 승인, 구현하는 프로세스가 마련되어 있습니다.

soc2-2017-cc-8-1-5

구현 전에 시스템 변경사항을 추적하는 프로세스가 마련되어 있습니다.

soc2-2017-p-4-2-1

법률 또는 규정에서 달리 요구하지 않는 한, 개인 정보는 명시된 목적을 달성하는 데 필요한 기간 이상 보관되지 않습니다.

soc2-2017-p-4-2-2

정보의 지정된 보관 기간 동안 개인 정보가 삭제되거나 파기되지 않도록 보호하기 위한 정책과 절차가 구현되었습니다.

soc2-2017-pi-1-2-3

시스템 입력 활동 기록이 적시에 완전하고 정확하게 생성되고 유지관리됩니다.

soc2-2017-pi-1-3-4

시스템 처리 활동이 적시에 완전하고 정확하게 기록됩니다.

soc2-2017-pi-1-5

엔티티는 엔티티의 목표를 달성하기 위해 시스템 사양에 따라 입력, 처리 중인 항목, 출력을 완전하고 정확하며 적시에 저장하는 정책과 절차를 구현합니다.

soc2-2017-pi-1-5-1

저장된 항목은 사양을 충족하는 출력을 방해하는 도난, 손상, 파괴 또는 악화를 방지하기 위해 보호됩니다.

soc2-2017-pi-1-5-2

시스템 기록은 보관처리되며 보관 파일은 도난, 손상, 파기 또는 사용을 방해하는 손상으로부터 보호됩니다.

다음 단계