FISC(Center for Financial Industry Information Systems: 금융 산업 정보 시스템 센터)
FISC 관련 개요
FISC(Center for Financial Industry Information Systems: 금융 산업 정보 시스템 센터)는 일본의 뱅킹 컴퓨터 시스템 보안을 강화하기 위해 1984년 일본 재무성에 의해 설립된 비영리 조직입니다. 주요 금융 기관, 보험 및 신용 회사, 증권 회사, 컴퓨터 제조업체 및 전기 통신 회사 등 일본의 700여개 회사가 이 센터의 회원으로 활동하고 있습니다.
FISC는 센터 회원 기관, 일본은행 및 일본 금융청(Financial Services Agency)(일본에서 뱅킹, 주식/외환 및 보험을 감독하는 정부 조직)과 협력하여 뱅킹 정보 시스템 보안을 위한 지침을 제정했습니다. 이 지침에는 컴퓨터 보안 제어 관련 기본 감사 표준, 재해 발생 시 긴급 사태 계획 및 300개 이상의 제어 수단에 포함된 보안 정책 및 표준의 개발이 수록되어 있습니다.
규정에서는 클라우드 컴퓨팅 환경에 대한 이러한 지침의 적용을 요구하지 않지만, 클라우드 서비스를 구현하는 대부분의 일본 금융 기관이 이러한 보안 표준을 충족하는 정보 시스템을 구축했으므로 이러한 지침을 무시하는 것은 결코 바람직하지 않습니다. (최근 지침인 8차 버전 추가 개정안(2015년 발행)에는 금융 기관에 의한 클라우드 서비스 사용 및 사이버 공격 방지 대책과 관련된 두 가지 개정 사항이 추가되었습니다.)
이 프레임워크 준수는 규정에서는 요구되지 않으므로 FISC에 의해 감사되거나 검증되지 않습니다.
Microsoft 및 FISC
Microsoft에서는 Microsoft Azure, Dynamics 365 및 Microsoft Office 365가 금융 기관을 위한 컴퓨터 시스템의 FISC 보안 지침 9차 개정판의 요구 사항을 충족하는지 확인하기 위해 외부 평가자를 고용했습니다. Microsoft는 다음의 각 영역에서 규정 준수를 증명했습니다.
- 건물과 컴퓨터실, 전력, 에어컨, 데이터 센터 및 설비 모니터링 관련 데이터 센터 지침
- 기관, 교육, 액세스 제어, 시스템 개발 및 감사 관련 운영 지침
- 하드웨어 및 소프트웨어의 안정성 개선책과 보안 위험(데이터 보호, 무단 사용 방지, 위협 탐지 및 재해 복구 등) 대책 관련 기술 지침
금융 기관은 Azure, Dynamics 365, Office 365 및 Microsoft Defender for Cloud Apps scope 인프라 및 플랫폼 서비스에 대해 이러한 세 영역의 규정 준수 평가에 의존할 수 있습니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Power BI 클라우드 서비스(독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태)
Office 365 및 FISC
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | Access Online, Microsoft Entra ID, Delve, Exchange Online, Exchange Online Protection, Microsoft Teams, Office 365 ProPlus, Office Online, 비즈니스용 OneDrive, Power BI for Office 365, Project Online, SharePoint Online, 비즈니스용 Skype |
자주하는 질문
FISC 지침은 누구에게 적용되나요?
시스템 보안, 안정성 및 감사에 대한 접근 방법을 검증하고 일본 내 확립된 모범 사례에 맞추려고 하는 일본 내 은행과 기타 금융 기관은 FISC 지침을 따릅니다.
FISC 요구 사항 8차 버전에 대한 자세한 정보는 어디서 얻을 수 있나요?
FISC는 전문가 협의회를 통해 다음 두 가지 보고서를 발표했습니다.
FISC 프레임워크에 대한 Microsoft의 대응과 관련된 자세한 정보는 어디에서 얻을 수 있나요?
Microsoft 클라우드 서비스의 FISC 준수를 평가한 외부 업체의 보안 참조는 Microsoft 계정 담당자에게 문의하세요.
이 프레임워크에 대한 Microsoft의 대응 방식을 우리 회사의 자격 조건 프로세스에 활용할 수 있나요?
예. 하지만 이 프레임워크에 대한 Microsoft의 대응 방식이 외부 업체에 의해 규정을 준수하는 것으로 확인되었더라도, 고객은 Azure 또는 Office 365에 대해 자신들이 구현한 솔루션의 규정 준수 상태를 검증할 책임이 있습니다.
리소스
리소스 (일본어)
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기