ISO/IEC 27002:2013 규제 준수

Thales eSecurity는 귀사가 ISO/IEC 27002: 2013 규제를 준수할 수 있도록 지원합니다.

Global Map

규제

발효중

ISO/IEC 27002: 2013:1

ISO/IEC 27002는 데이터 액세스 제어, 민감 데이터 암호화 제어 및 키 관리를 통합시킨 정보보안 관리 시스템을 구현할 때 액세스에 대한 레퍼런스로 활용되는 국제 표준입니다.

Thales eSecurity는 ISO 규제를 준수하기 다양한 솔루션을 제공하며 다음과 같은 기능들도 포함되어 있습니다.

  • 액세스 제어에 의한 데이터 암호화
  • 암호키 관리 및 보호
  • 보안 위협을 방지하기 위한 데이터 액세스 모니터링
규제 요약

ISO/IEC 27002에서 요구되는 모범사례는 다음과 같습니다.

  • 데이터 액세스 제어
  • 민감한 데이터의 암호화 제어
  • 암호키 관리 및 보호
  • “사용자 신원 및 비밀 인증 정보의 사용 및 관리와 관련된 모든 중요한 이벤트”를 기록 및 보관하고 이 기록을 “변조 및 무단 액세스”로부터 보호.
규제 준수 요약

Thales eSecurity는 다음의 기능을 제공하여 사용자가 ISO/IEC 28002:2013 규제를 준수하도록 지원합니다.

  • 관리자만 데이터를 검색할 수 있도록 지원하는 액세스 제어
  • 데이터를 암호화 및 토큰화하여 데이터가 도난 당해도 의미가 없도록 조치
  • 기업 전체의 암호키를 중앙에서 안전하게 관리 및 저장
  • 불규칙한 액세스 패턴과 진행중인 침입을 식별하는 보안 인텔리전스 로그
  • HSM은 보안 암호화처리, 키 생성 및 보호, 암호화를 위해 강화되고 변조 방지된 환경을 제공할 것
액세스 제어

Vormetric의 Data Security Platform은 최첨단 사용자 액세스 제어 기능을 제공합니다.

  • 관리자 액세스와 민감한 사용자 데이터 분리: Vormetric Data Security Platform을 통해 기업은 관리자와 데이터 소유자의 역할과 의무를 강력하게 분리시킬 수 있습니다. Vormetric Transparent Encryption은 메타데이터를 그대로 두고 파일을 암호화합니다. 이 방식으로 하이퍼바이저, 클라우드, 스토리지 및 서버 관리자를 비롯한 IT 관리자는 자신이 관리하는 시스템에 있는 주요데이터에 대한 관리자 액세스 권한 없이 시스템 관리 작업을 수행 할 수 있습니다.
  • 강력한 직무분리: 강력한 직무 분리 정책 시행이 가능하여 한 명의 관리자가 데이터 보안 활동, 암호키 관리모두를 제어할 수 없도록 만듭니다. Vormetric Data Security Manager는 관리자 액세스를 위해 2팩터 인증을 사용합니다.
  • 세분화된 관리자 액세스 제어: Thales eSecurity의 솔루션은 매우 세부적이며 최소한의 권한 액세스 관리 정책 시행기능으로 관리자의 데이터 오용과 APT공격으로부터 데이터를 보호합니다. 세분화된 관리자 액세스 관리 정책은 사용자, 프로세스, 파일 유형, 시간 및 기타 매개 변수를 사용하여 적용됩니다. 적용 옵션은 평문 데이터에 대한 액세스 권한뿐만 아니라 사용자가 사용할 수 있는 파일 시스템 명령도 제어할 수 있습니다.
데이터 중심 보안

Thales eSecurity는 저장데이터용 Vormetric Transparent Encryption with integrated Key Management, Application Encryption, Tokenization with Dynamic Masking 외 다른 암호화 솔루션을 통해 데이터를 보호합니다. 이 기술은 데이터가 탈취되어도 복호화할 도구가 없을 경우 데이터를 무의미하게 만듭니다.

통합 키 관리

Thales eSecurity의 Integrated Key Management는 전사적으로 분산된 암호키를 관리하기 위한 표준기반의 강력한 플랫폼을 제공합니다. 통합 키 관리를 통해 암호키 운영과 관리상의 문제가 간소화될 뿐 아니라 안전한 키 보안이 보장되며 승인된 암호화 서비스에만 키가 제공되는지를 확인할 수 있습니다.

보안 인텔리전스 로그

Thales eSecurity는 기업이 비정상적인 데이터 액세스 활동을 모니터링하고 식별할 수 있도록 지원합니다. Vormetric Security Intelligence Logs는 프로세스 및 사용자의 데이터 액세스에 대한 상세한 로그를 제공합니다. 본 기능은 사용자 및 프로세스가 어떤 데이터에 액세스 했는지, 정책에 따라 승인된 액세스인지 아닌지를 보여줍니다. 관리로그는 관리자가 다른 사용자의 자격 증명을 모방한 후 잠재적으로 악용하려고 시도하기 위해 '사용자 전환'과 같은 명령을 제출하면 관리 로그를 노출시킵니다. 이러한 로그가 미리 통합된 보안 정보 및 이벤트 관리 (SIEM) 플랫폼과 공유되면 프로세스 및 사용자 액세스의 비정상적인 패턴이 발견되고 추후 조사를 가속화시키게 됩니다. 일례로 관리자나 프로세스가 갑자기 정상보다 많은 양의 데이터에 액세스하거나 파일의 무단 다운로드 하려 시도한다면 이는 APT 공격 또는 악의적인 내부자 활동이 발생하고 있음을 보여주는 것일 수 있습니다.

백서: Vormetric Data Security Platform 아키텍처

보안 팀이 보다 자주, 비용이 많이 드는 정교한 공격에 대응하는데 어려움을 겪으면서 저장데이터 암호화가 점점 더 중요한 보안수단으로 자리잡고 있습니다.

다운로드(영문)

1ISO / IEC 27002, 두 번째 판 2013-10-01 : 정보 기술 - 보안 기술 - 정보 보안 통제를 위한 실천 코드. https://www.iso.org/standard/54533.html

다른 주요 데이터보안 규제

GDPR

GDPR Thumbnail

규제

발효중

GDPR은 현재까지의 데이터보호법 중 가장 포괄적인 규정을 포함하고 있습니다. GDPR은 기업 본사의 위치에 상관없이 EU 시민의 개인정보를 다루는 모든 기업이 지켜야 하는 규제입니다.

더 알아보기

PCI DSS

GDPR Thumbnail

보안표준

발효중

신용 및 직불카드의 지불을 처리하는 역할을 하는 기업은 계정데이터의 처리, 저장 및 전송에 대한 PCI DSS 요구사항을 준수해야 합니다.

더 알아보기

데이터 유출 신고법

eIDAS

규제

발효중

전세계 국가에서, 기업이 보유한 개인정보가 유출되는 데이터침해 사건이 발생했을 때 기업이 이를 신고해야 하는 것을 의무화하고 있습니다. 국가마다 다르긴 하지만 거의 대부분 “면책” 조항이 마련되어 있습니다.

더 알아보기
규제 준수 전문가와 연락하기 연락하기
GDPR을 준수하고 계십니까? 테스트해보기
규정 및 규제준수 핸드북 읽기 eBOOK 읽기
인터액티브 동영상 시청하기(영문) 알아보기
라이브 데모 요청하기 요청하기
전문가와 상담하기 연락하기