규정 및 표준 준수

인공지능, 가상 현실, 무현금 결제, 사물인터넷, 그리고 많은 다른 정보 기술 분야들이 매일 성장하고 있습니다.

그들의 성장과 확장에 따라 사이버 환경에서 새로운 위협 벡터와 취약점이 나타납니다. 2022년 사이버 보안 트렌드에 대한 보고서에서 세계 경제 포럼은 "디지털화가 계속 확산되고 새로운 기술이 도입됨에 따라 사이버 리스크는 불가피하게 증가할 것"이라고 밝혔습니다. 또한 그들의 조사에서 "공공 및 민간 부문 이해 관계자들이 더 높은 사이버 복원력을 달성하려고 결심했지만, 그들의 노력은 종종 다양한 […] 규제 장벽에 의해 방해받고 있다"고 언급했습니다.

규제 요구 사항을 이해하는 것은 사실 기업에게 주요한 장애물이 될 수 있습니다. 특히 국제적으로 확장을 목표로 하는 기업들에게는 더욱 그렇습니다. 다음 기사에서는 사이버 보안 규정을 접근하는 방법, 가장 일반적인 규정이 무엇인지, 그리고 그것들을 어떻게 접근해야 하는지에 대해 개요를 제공합니다.

II. 규정 및 표준

2005년에 국제전기통신연합(ITU)은 14개의 주요 세계 경제국과 거의 30개의 산업에서 국가 차원의 사이버 보안 이니셔티브에 대한 연구를 실시했습니다. 그들은 향후 정책으로 이어질 수 있는 174개 이상의 이니셔티브가 활발히 진행되고 있다고 추정했습니다. 오늘날, 전 세계에 존재하는 규제와 표준의 수를 기반으로, 전 세계적으로 시행되는 사이버 보안 정책의 최소 수는 수천 건에 이를 것으로 예상됩니다.

그러나 규제와 표준의 차이를 이해하는 것이 중요합니다. 조직은 하나 또는 두 가지 모두를 준수해야 할 수 있습니다. 사이버 보안 규제는 조직이 따라야 하는 법적 구속력이 있는 규칙(또는 규칙 집합)입니다. 이러한 규제를 준수하는 것은 의무이며, 이를 따르지 않는 조직은 벌금이나 정부 기관의 법적 조치와 같은 처벌을 받을 수 있습니다.

반면 사이버 보안 표준은 조직이 사이버 보안 태세를 개선하기 위해 따를 수 있는 일련의 지침 또는 모범 사례입니다. 이러한 표준을 준수하는 것은 자발적이지만 이를 따르는 것은 조직이 고객, 파트너 및 규제 기관에 사이버 보안 태세의 일관성을 입증하는 데 도움이 될 수 있습니다.

요약하자면, 규정은 법적으로 구속력이 있고 법에 의해 집행될 수 있지만 표준은 그렇지 않습니다. 그러나 표준은 더 자주 업데이트되므로 표준을 준수하는 것이 조직이 규정을 준수하는 데 도움이 될 수 있습니다. 또한 규정은 일반적으로 더 넓은 범위를 가지므로, 조직의 산업에 특정한 표준을 준수하는 것이 경쟁업체들보다 두드러지게 만드는 데 도움이 될 수 있습니다.

따라서 조직의 활동에 따라 특정 표준이나 규정을 준수해야 할 수 있습니다. 그러나 모든 현대 기업은 데이터 보호와 사이버 보안을 준수해야 한다고 가정하는 것이 안전합니다. 이 이유로 저는 유럽에서의 두 가지 규제와 전 세계 기업들이 자주 요청하는 두 가지 표준의 핵심 사항을 요약했습니다: 일반 데이터 보호 규정(GDPR), 네트워크 및 정보 시스템(NIS) 지침, ISO 27k 및 국가 표준 기술 연구소(NIST).

규제 및 표준 이해

위에서 언급한 모든 정책을 잘 모를 경우, 그 중 네 가지에 대해 간략히 소개해 드리겠습니다:

• GDPR (일반 데이터 보호 규정): 이는 개인 데이터 보호 및 개인의 개인 데이터에 관한 권리를 규정하는 EU 규정입니다. EU 시민의 개인 데이터를 처리하는 모든 사람에게 적용되며, 위치에 관계없이 적용됩니다. 즉, 유럽 시민의 개인 데이터를 처리하는 모든 사람은 GDPR을 준수해야 합니다. GDPR의 조항은 개인 데이터를 보호하기 위한 조치, 데이터 보호 책임자의 임명, 위반 사항의 처리 및 보고 등을 규정하고 있습니다.
• NIS 지침 (네트워크 및 정보 시스템 지침): 이는 유럽 전역의 중요한 인프라와 필수 서비스에 대한 보안 기준을 제공하는 데 중점을 둔 EU 지침입니다. 이 지침에 따라 에너지, 교통, 의료와 같은 중요한 산업에서 활동하는 모든 기업과 검색 엔진 및 클라우드 서비스와 같은 디지털 서비스 제공업체는 적절한 보안 조치를 시행해야 합니다. 또한 이 지침은 EU 회원국들이 NIS 지침과 동등하거나 더 광범위한 국가 사이버 보안 전략 및 사고 대응 계획을 마련할 것을 요구합니다. 이는 모든 EU 국가가 NIS 지침의 모든 주제를 최소 기준으로 다루는 규정을 시행해야 하며, 더 포괄적일 수 있고 (그리고 해야) 한다는 의미입니다.
• 사이버 보안을 위한 ISO 27000 표준: ISO 27k로도 알려진 이 표준은 정보 보안 관리 시스템(ISMS)을 위한 프레임워크를 설명하는 국제 표준입니다. 민감한 회사 정보를 안전하게 유지하기 위한 체계적인 접근 방식을 제공합니다. 이 표준은 조직이 기밀 데이터를 보호하는 데 사용할 수 있는 정책과 절차 세트뿐만 아니라 리스크 관리 및 준수를 위한 지침을 포함합니다.
• NIST(국립표준기술연구소) 사이버 보안 프레임워크: NIST는 사이버 보안 표준, 지침 및 모범 사례를 광범위하게 발표하는 미국 정부 기관입니다. NIST의 사이버 보안 프레임워크는 사이버 보안을 관리하는 데 있어 위험 기반 접근 방식을 제공합니다. 이 표준은 준수를 위한 다섯 가지 주요 행동 항목을 상세히 설명하여 구조화됩니다: 식별, 보호, 탐지, 대응 및 복구.

GDPR, NIS 지침, ISO 27k 및 NIST는 모두 사이버 보안 및 데이터 보호를 다룹니다. 범위와 요구 사항이 다를 수 있지만 그 중 하나를 다루는 것은 다른 것을 달성하는 중요한 단계가 될 수 있습니다. 예를 들어:

• ISO 27k와 NIST를 살펴보면, 두 표준 모두 널리 채택되어 사이버 보안의 모범 사례로 인정받고 있음을 알 수 있습니다. 그러나 ISO 27k는 민감한 회사 정보를 관리하는 지침을 제공하는 프로세스 기반 표준입니다. 반면 NIST는 위험 기반 접근 방식을 바탕으로 하며 사이버 보안 취약성으로 인한 위험을 식별, 관리 및 감소시키는 것을 목표로 합니다.
• If we take the NIS Directive and GDPR, we can see that they provide guidance and requirements to improve cybersecurity posture. The two are, in fact, overlapping in some aspects. However, it must be noted that GDPR aims to protect personal data at all levels, while the NIS Directive aims to provide guidance on all aspects related to information security but only on an industry-specific scope.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

정책 및 규정 준수를 어떻게 관리합니까? 도전 과제와 해결책

위에서 언급한 정책을 구현하는 것은 법적 요구 사항이나 다가오는 감사로 인해 필요할 수 있습니다. 관련 정책을 준수하기 위해 프로세스와 구조를 변경해야 할 수도 있습니다. 하지만 그렇게 하기 전에 이러한 변경 사항을 준비하기 위해 취할 수 있는 몇 가지 일반적인 단계가 있습니다.

• 재고 및 자산 관리: 조직은 일반적으로 현재 시스템, 프로세스 및 절차를 평가하여 준수 수준을 결정합니다. 여기에는 비준수로 알려진 영역과 현재 인프라의 알려진 위험 및 취약성을 식별하는 것이 포함됩니다.
• 교육 및 소통: 조직의 모든 사람이 필요한 변경 사항을 이해할 수 있도록 다가오는 변화에 대해 리소스를 준비하는 것이 중요합니다. 감사 또는 인프라 업그레이드는 혼란을 야기할 수 있으며, 직원들이 새로운 기술을 습득해야 할 수도 있습니다. 이러한 문제를 인식하면 우선순위를 설정하고 가능한 해결책을 계획하는 데 시간을 절약할 수 있습니다.
• 제3자 및 공급업체 관리: 이는 종종 간과되는 측면입니다. 대부분의 표준 및 규정을 준수하기 위해 공급업체에 대한 상세하고 최신의 목록이 필요할 가능성이 높습니다. 정책이 제3자를 직접적으로 언급하지 않더라도 외부 서비스 제공업체와의 계약 조건에 간접적으로 변경을 요구할 수 있습니다.
• 갭 분석: 규정 또는 표준 준수를 검증하는 경우, 중요한 수정이 필요한 영역을 식별하기 위해 갭 분석을 수행할 준비를 하는 것이 중요합니다. 이것은 준수를 향한 첫 번째 단계이며, 달성하려는 준수에 대한 구체적인 지식을 가진 외부 컨설턴트가 수행하는 것이 가장 좋습니다.

결론적으로, 규정 및 표준 준수는 어렵고 비용이 많이 들 수 있습니다. 필요한 내부 역량이 없다면 외부 컨설턴트에 의존해야 할 수도 있습니다. 그러나 정책과 규정의 차이를 이해하고 전략을 세우는 것은 프로세스를 원활하게 하고, 표준으로 개선할 가치가 있는 시점과 규정을 준수해야 하는 시점을 판단하는 데 도움이 될 수 있습니다.