규정 및 규정 준수 요구 사항 충족
제로 트러스트 채택 지침의 일환으로 이 문서에서는 조직에 적용할 수 있는 규정 및 규정 준수 요구 사항을 충족하는 비즈니스 시나리오를 설명합니다.
조직의 IT 환경의 복잡성이나 조직의 규모에 관계없이 비즈니스에 영향을 줄 수 있는 새로운 규제 요구 사항이 지속적으로 추가되고 있습니다. 이러한 규정에는 유럽 연합(EU)의 GDPR(일반 데이터 보호 규정), 캘리포니아 소비자 개인 정보 보호법(CCPA), 수많은 의료 및 금융 정보 규정 및 데이터 보존 요구 사항이 포함됩니다.
제대로 관리되지 않는 경우 규정 및 규정 준수 요구 사항을 충족하는 프로세스는 길고 복잡하며 지루할 수 있습니다. 이러한 과제로 인해 보안, 규정 준수 및 규정 팀의 워크로드가 상당히 증가하여 규정 준수를 달성하고 증명하며 감사를 준비하고 지속적인 모범 사례를 마련했습니다.
제로 트러스트 접근 방식은 종종 규정 준수 규정(예: 개인 데이터에 대한 액세스를 제어하는 규정)에 의해 부과되는 일부 유형의 요구 사항을 초과합니다. 제로 트러스트 접근 방식을 구현한 조직은 이미 몇 가지 새로운 조건을 충족하거나 제로 트러스트 아키텍처를 쉽게 빌드하여 규정을 준수할 수 있습니다.
| 규정 및 규정 준수 요구 사항을 충족하는 기존의 접근 방식 | 제로 트러스트 규정 및 규정 준수 요구 사항을 충족하는 최신 접근 방식 |
|---|---|
| 많은 조직에서 함께 연결되는 다양한 레거시 솔루션을 사용합니다. 이러한 솔루션은 종종 원활하게 함께 작동하지 않아 인프라 격차가 노출되고 운영 비용이 증가합니다. 일부 독립적인 "최고의 품종 솔루션"은 다른 규정을 충족하는 데 사용되는 동안 특정 규정을 준수하는 것을 막을 수도 있습니다. 한 가지 광범위한 예는 암호화를 사용하여 권한이 있는 개인이 데이터를 안전하게 처리하도록 하는 것입니다. 그러나 대부분의 암호화 솔루션은 DLP(데이터 손실 방지), eDiscovery 또는 보관과 같은 서비스에 데이터를 불투명하게 만듭니다. 암호화를 사용하면 조직에서 암호화된 데이터를 활용하는 사용자가 수행한 작업에 대한 실사를 수행할 수 없습니다. 이러한 결과로 조직은 중요한 데이터 전송을 위해 파일 수준 암호화의 모든 사용을 금지하거나 암호화된 데이터를 의심하지 않고 조직 외부로 이동하는 등 어렵고 위험한 결정을 내릴 수 있습니다. |
제로 트러스트 접근 방식을 사용하여 보안 전략 및 정책을 통합하면 IT 팀과 시스템 간의 사일로가 분해되어 IT 스택 전체에서 더 나은 가시성과 보호를 가능하게 합니다. Microsoft Purview와 같은 고유하게 통합된 규정 준수 솔루션은 규정 준수 요구 사항 및 제로 트러스트 접근 방식을 지원하기 위해 함께 작동할 뿐만 아니라 완전한 투명성을 통해 각 솔루션이 콘텐츠의 민감도 레이블을 활용하는 통신 규정 준수와 같은 다른 솔루션의 이점을 활용할 수 있도록 합니다. 통합 규정 준수 솔루션은 eDiscovery 또는 DLP 솔루션에서 투명하게 처리되는 암호화된 콘텐츠와 같이 최소한의 절충으로 필요한 범위를 제공할 수 있습니다. 실시간 가시성을 통해 중요한 자산 및 워크로드를 포함한 자산을 자동으로 검색할 수 있으며, 분류 및 민감도 레이블 지정을 통해 이러한 자산에 규정 준수 의무를 적용할 수 있습니다. 제로 트러스트 아키텍처를 구현하면 포괄적인 전략으로 규정 및 규정 준수 요구 사항을 충족하는 데 도움이 됩니다. 제로 트러스트 아키텍처에서 Microsoft Purview 솔루션을 사용하면 조직에 영향을 주는 규정에 따라 조직의 전체 데이터 자산을 검색, 관리, 보호 및 관리할 수 있습니다. 제로 트러스트 전략에는 종종 특정 규제 요구 사항을 충족하거나 초과하는 제어를 구현하여 새로운 규제 요구 사항을 준수하기 위해 시스템 차원의 변경을 수행하는 부담을 줄이는 것이 포함됩니다. |
이 문서의 지침에서는 조직 전체의 비즈니스 리더 및 팀과 소통하고 작업하는 방법에 중점을 두고 규정 및 규정 준수 요구 사항을 충족하기 위한 프레임워크로 제로 트러스트 시작하는 방법을 안내합니다.
이 문서에서는 Azure에 대한 클라우드 채택 프레임워크 동일한 수명 주기 단계(전략, 계획, 준비, 채택 및 관리 정의)를 사용하지만 제로 트러스트 맞게 조정됩니다.
다음 표는 접근성 있는 일러스트레이션 버전입니다.
| 전략 정의 | 계획 | 준비 | 채택 | 제어 및 관리 |
|---|---|---|---|---|
| 조직 맞춤 전략적 목표 성과 |
관련자 팀 기술 계획 기술 준비 상태 |
평가 테스트 파일럿 |
디지털 자산에서 증분 방식으로 구현 | 추적 및 측정 모니터링 및 검색 성숙도 반복 |
전략 단계 정의
전략 정의 단계는 이 시나리오의 "이유"를 해결하기 위한 노력을 정의하고 공식화하는 데 중요합니다. 이 단계에서는 규제, 비즈니스, IT, 운영 및 전략적 관점을 통해 시나리오를 이해합니다.
그런 다음 이 시나리오에서 성공을 측정할 결과를 정의하여 규정 준수가 증분적이고 반복적인 여정임을 이해합니다.
이 문서에서는 많은 조직과 관련된 동기 및 결과를 제안합니다. 이러한 제안을 사용하여 고유한 요구 사항에 따라 조직의 전략을 연마할 수 있습니다.
비즈니스 리더의 동기 이해
제로 트러스트 규정 요구 사항을 충족하는 프로세스를 간소화하는 데 도움이 될 수 있지만, 가장 큰 과제는 조직 전체의 리더로부터 지원과 기여를 얻는 것입니다. 이 채택 지침은 조직 조정을 얻고, 전략적 목표를 정의하고, 결과를 식별할 수 있도록 사용자와 소통할 수 있도록 설계되었습니다.
맞춤을 얻는 것은 리더에게 동기를 부여하는 이유와 규제 요구 사항을 충족하는 데 관심을 가져야 하는 이유를 이해하는 것부터 시작합니다. 다음 표에서는 예제 관점을 제공하지만 이러한 각 리더 및 팀과 만나 서로의 동기를 공유하는 것이 중요합니다.
| 역할 | 규정 요구 사항을 충족하는 것이 중요한 이유 |
|---|---|
| 최고 경영자(CEO) | 외부 감사 기관에서 유효성을 검사하는 조직 전략을 보호하는 역할을 담당합니다. CEO는 주로 조직 전체의 입법 요구 사항 및 연간 감사 결과 준수 수준을 평가할 수 있는 이사회에 보고합니다. |
| CMO(최고 마케팅 책임자) | 기밀 회사 정보가 마케팅 목적으로만 외부적으로 공유되지 않도록 하는 책임이 있습니다. |
| CIO(최고 정보 책임자) | 일반적으로 조직의 정보 책임자이며 정보 규제 기관에 책임을 집니다. |
| CTO(최고 기술 책임자) | 디지털 자산 내의 규정 준수를 기본 담당합니다. |
| CISO(최고 정보 보안 책임자) | 정보 보안 규정 준수와 직접 관련된 제어를 제공하는 업계 표준을 채택하고 준수할 책임이 있습니다. |
| COO(최고 운영 책임자) | 정보 보안, 데이터 개인 정보 보호 및 기타 규제 관행과 관련된 회사 정책 및 절차가 운영 수준에서 유지되도록 합니다. |
| CFO(최고 재무 책임자) | 사이버 보험 및 세금 규정 준수와 같은 규정 준수에 대한 재정적 단점과 이점을 평가합니다. |
| CRO(최고 위험 책임자) | 조직 내에서 GRC(거버넌스 위험 및 규정 준수) 프레임워크의 위험 구성 요소를 소유합니다. 비규격 및 규정 준수에 대한 위협을 완화합니다. |
조직의 여러 부분에는 규정 및 규정 준수 요구 사항 작업을 수행하기 위한 동기와 인센티브가 다를 수 있습니다. 다음 표에서는 이러한 동기 중 일부를 요약합니다. 이해 관계자와 연결하여 동기를 이해해야 합니다.
| 지역 | 동기 |
|---|---|
| 비즈니스 요구 사항 | 적용되는 규정 및 입법 요구 사항을 준수합니다. |
| IT 요구 사항 | 조직에서 ID, 데이터, 디바이스(엔드포인트), 애플리케이션 및 인프라 범위 내에서 설정한 대로 규정 및 규정 준수 요구 사항 준수를 자동화하는 기술을 구현합니다. |
| 운영 요구 사항 | 관련 업계 표준 및 관련 규정 준수 요구 사항에 따라 참조되고 조정되는 정책, 절차 및 작업 지침을 구현합니다. |
| 전략적 요구 사항 | 국가, 지역 및 지방 법률을 침해할 위험을 줄이고 침해로 인해 발생할 수 있는 잠재적인 재정적 및 공공 평판 손해를 줄입니다. |
거버넌스 피라미드를 사용하여 전략 알리기
이 비즈니스 시나리오에서 기억해야 할 가장 중요한 점은 제로 트러스트 프레임워크가 조직 내에서 다양한 입법, 법정, 규제, 정책 및 절차적 요구 사항의 계층 구조를 설정하는 더 큰 거버넌스 모델의 일부로 사용된다는 것입니다. 규정 준수 및 규정 공간에서 동일한 요구 사항 또는 제어를 달성하는 여러 가지 방법이 있을 수 있습니다. 이 문서에서는 제로 트러스트 접근 방식을 사용하여 규정 준수를 추구한다고 명시하는 것이 중요합니다.
규정 준수 내에서 자주 사용되는 전략 모델은 여기에 표시된 거버넌스 피라미드입니다.
이 피라미드는 대부분의 조직에서 IT(정보 기술) 거버넌스를 관리하는 다양한 수준을 보여 줍니다. 피라미드 위쪽에서 아래쪽까지 이러한 수준은 법률, 표준, 정책 및 절차 및 작업 지침입니다.
피라미드의 맨 위는 가장 중요한 수준인 법규를 나타냅니다. 국가 및 비즈니스별 규정은 일부 회사에만 적용되고 다른 회사에는 적용되지 않지만 이 수준에서는 법률이 많은 조직에 광범위하게 적용되므로 조직 간 변동이 적습니다. 피라미드의 기본 작업 지침은 조직 전체에서 구현의 가장 큰 변형 및 노출 영역을 가진 영역을 나타냅니다. 이는 조직이 기술을 활용하여 더 높은 수준의 더 중요한 요구 사항을 충족할 수 있도록 하는 수준입니다.
피라미드의 오른쪽은 조직의 규정 준수로 인해 긍정적인 비즈니스 결과와 이점을 얻을 수 있는 시나리오의 예를 제공합니다. 비즈니스 관련성은 조직이 거버넌스 전략을 갖도록 더 많은 인센티브를 만듭니다.
다음 표에서는 피라미드의 왼쪽에 있는 다양한 거버넌스 수준이 어떻게 우변에 전략적 비즈니스 이점을 제공할 수 있는지 설명합니다.
| 거버넌스 수준 | 전략적 비즈니스 관련성 및 결과 |
|---|---|
| 공동으로 고려되는 법률 및 법률 | 법적 감사를 통과하면 벌금과 처벌을 피할 수 있으며 소비자 신뢰와 브랜드 충성도를 구축할 수 있습니다. |
| 표준은 사람들이 제품 또는 서비스에 대해 동일한 기대치를 공유할 수 있는 신뢰할 수 있는 기반을 제공합니다. | 표준은 다양한 업계 품질 관리를 통해 품질 보증을 제공합니다. 일부 인증에는 사이버 보험 혜택도 있습니다. |
| 정책 및 절차는 조직의 일상적인 기능 및 작업을 문서화합니다. | 거버넌스와 관련된 많은 수동 프로세스를 간소화하고 자동화할 수 있습니다. |
| 작업 지침은 자세한 단계에서 정의된 정책 및 절차에 따라 프로세스를 수행하는 방법을 설명합니다. | 설명서 및 명령 문서의 복잡한 세부 정보는 기술로 간소화할 수 있습니다. 이렇게 하면 사용자 오류를 크게 줄이고 시간을 절약할 수 있습니다. 예를 들어 직원 온보딩 프로세스의 일부로 Microsoft Entra 조건부 액세스 정책을 사용합니다. |
거버넌스 피라미드 모델은 우선 순위에 초점을 맞추는 데 도움이 됩니다.
입법 및 법적 요구 사항
이러한 영향을 따르지 않으면 조직은 심각한 파급 효과에 직면할 수 있습니다.
산업별 및 보안 표준
조직은 이러한 표준 중 하나 이상을 준수하거나 인증해야 하는 업계 요구 사항이 있을 수 있습니다. 제로 트러스트 프레임워크는 다양한 보안, 정보 보안 및 인프라 관리 표준에 매핑할 수 있습니다.
정책 및 절차
조직별 프로세스 및 비즈니스 내의 보다 본질적인 프로세스를 관리합니다.
작업 지침
조직에서 정책 및 절차를 수행할 수 있도록 고도로 기술적이고 사용자 지정된 자세한 컨트롤입니다.
제로 트러스트 아키텍처 영역에 가장 많은 값을 추가하는 몇 가지 표준이 있습니다. 사용자에게 적용되는 다음 표준에 집중하면 더 많은 영향을 줄 수 있습니다.
CIS(인터넷 보안 센터) 벤치마크는 디바이스 관리 및 엔드포인트 관리 정책에 대한 유용한 지침을 제공합니다. CIS 벤치마크에는 Microsoft 365 및 Microsoft Azure에 대한 구현 가이드가 포함되어 있습니다. 모든 산업 및 수직 분야의 조직은 CIS 벤치마크를 사용하여 보안 및 규정 준수 목표를 달성하는 데 도움을 줍니다. 특히 규제가 심한 환경에서 작동하는 환경.
NIST(National Institute of Standards and Technology)는 NIST 특별 발행물(NIST SP 800-63-4 ipd) 디지털 ID 지침을 제공합니다. 이러한 지침은 디지털 ID 서비스를 구현하는 연방 기관에 대한 기술 요구 사항을 제공하며 이러한 목적 이외의 표준의 개발 또는 사용을 제한하기 위한 것이 아닙니다. 이러한 요구 사항은 제로 트러스트 전략의 일부를 구성하는 기존 프로토콜을 향상시키기 위해 이루어진다는 점에 유의해야 합니다. 특히 NIST를 구독하는 미국 정부 및 공공 부문 조직은 모두 공개적으로 상장된 회사가 프레임워크 내에서 지침 원칙을 활용할 수 있습니다. 또한 NIST는 NIST SP 1800-35에 포함된 게시에서 제로 트러스트 아키텍처를 구현하는 데 도움이 됩니다.
새로 수정된 ISO 27002:2022 표준은 전체 데이터 거버넌스 및 정보 보안에 권장됩니다. 그러나 Annexure A 컨트롤은 나중에 실행 가능한 목표로 변환할 수 있는 보안 컨트롤의 검사 목록을 만들기 위한 좋은 기반을 제공합니다.
또한 ISO 27001:2022는 정보 보안 컨텍스트에서 위험 관리를 구현하는 방법에 대한 포괄적인 지침을 제공합니다. 이는 대부분의 포털 및 대시보드에서 사용자가 사용할 수 있는 메트릭 수에 특히 도움이 될 수 있습니다.
이러한 표준은 조직에 일반적인 요구 사항을 충족하기 위한 정책 및 컨트롤의 기준을 제공하도록 우선 순위를 지정할 수 있습니다.
Microsoft는 조직에 적용되는 모임 표준에 대한 진행 상황을 계획하고 추적하는 데 도움이 되는 Microsoft Purview 준수 관리자를 제공합니다. 준수 관리자는 데이터 보호 위험의 상세한 조사부터 제어 수단 구현의 복잡성 관리, 규정과 인증서에 대한 최신 정보 파악, 감사자에게 보고까지 규정 준수 여정 전체를 지원합니다.
전략 정의
규정 준수 관점에서 조직은 기본 GRC 방법론에 따라 전략을 정의해야 합니다. 조직에서 특정 표준, 정책 또는 프레임워크를 구독하지 않는 경우 준수 관리자에서 평가 템플릿을 가져와야 합니다. 모든 활성 Microsoft 365 구독에는 제로 트러스트 배포 지침에 따라 매핑될 수 있는 데이터 보호 기준이 할당됩니다. 이 기준은 구현자에게 규정 준수 관점에서 제로 트러스트 실제 구현이 어떻게 생겼는지에 대한 훌륭한 시작점을 제공합니다. 이러한 문서화된 컨트롤은 나중에 측정 가능한 목표로 변환할 수 있습니다. 이러한 목표는 SMART(특정, 측정 가능, 달성 가능, 현실성 및 시간 제한)이어야 합니다.
준수 관리자의 데이터 보호 기준 템플릿은 제로 트러스트 대한 36개의 작업을 통합하며, 다음 컨트롤 패밀리에 정렬됩니다.
- 제로 트러스트 애플리케이션
- 제로 트러스트 앱 개발 지침
- 제로 트러스트 엔드포인트
- 제로 트러스트 데이터
- 제로 트러스트 ID
- 제로 트러스트 인프라
- 제로 트러스트 네트워크
- 제로 트러스트 표시 유형, 자동화 및 오케스트레이션
이러한 아키텍처는 여기에 표시된 제로 트러스트 참조 아키텍처와 강력하게 일치합니다.
계획 단계
많은 조직에서는 다음 표에 요약된 이러한 기술 활동에 대해 4단계로 구성된 접근 방식을 사용할 수 있습니다.
| 1단계 | 2단계 | 3단계 | 4단계 |
|---|---|---|---|
| 조직에 적용되는 규정 요구 사항을 식별합니다. 준수 관리자를 사용하여 비즈니스에 영향을 줄 수 있는 규정을 식별하고, 해당 규정에 의해 부과된 높은 수준의 요구 사항 준수를 평가하고, 식별된 격차에 대한 수정을 계획합니다. 조직에 적용되는 규정에 대한 현재 지침을 검토합니다. |
Microsoft Purview의 콘텐츠 탐색기를 사용하여 규정 요구 사항이 적용되는 데이터를 식별하고 위험 및 노출을 평가합니다. 이 기능을 비즈니스 요구에 맞게 조정하도록 사용자 지정 분류자를 정의합니다. 데이터 보존 및 레코드 관리 정책과 같은 정보 보호에 대한 요구 사항을 평가한 다음 보존 및 민감도 레이블을 사용하여 기본 정보 보호 및 데이터 거버넌스 정책을 구현합니다. 규제된 정보의 흐름을 제어하는 기본 DLP 정책을 구현합니다. 규정에서 요구하는 경우 통신 규정 준수 정책을 구현합니다. |
자동화를 사용하여 데이터 수명 주기 관리 정책을 확장합니다. 규정에서 요구하는 경우 민감도 레이블, DLP 또는 정보 장벽을 사용하여 분할 및 격리 컨트롤을 설정합니다. 컨테이너 레이블 지정, 자동 및 필수 레이블 지정 및 더 엄격한 DLP 정책을 구현하여 정보 보호 정책을 확장합니다. 그런 다음 Microsoft Purview의 다른 기능을 사용하여 이러한 정책을 온-프레미스 데이터, 디바이스(엔드포인트) 및 타사 클라우드 서비스로 확장합니다. 준수 관리자를 사용하여 규정 준수를 재평가하고 간격을 식별하고 수정합니다기본. |
Microsoft Sentinel을 사용하여 통합 감사 로그를 기반으로 보고서를 작성하여 정보의 규정 준수 상태 지속적으로 평가하고 인벤토리를 작성합니다. 규정 준수 관리자를 지속적으로 사용하여 간격을 식별하고 수정하고기본 신규 또는 업데이트된 규정의 요구 사항을 충족합니다. |
이 단계적 접근 방식이 조직에 적합한 경우 다음을 사용할 수 있습니다.
이 다운로드 가능한 PowerPoint 슬라이드 데크는 비즈니스 리더 및 기타 이해 관계자를 위해 이러한 단계와 목표를 통해 진행 상황을 제시하고 추적할 수 있습니다. 다음은 이 비즈니스 시나리오에 대한 슬라이드입니다.
이 Excel 통합 문서는 소유자를 할당하고 이러한 단계, 목표 및 해당 작업에 대한 진행 상황을 추적합니다. 이 비즈니스 시나리오의 워크시트는 다음과 같습니다.
관련자 팀
이 비즈니스 시나리오의 관련자 팀에는 보안 태세에 투자하고 다음 역할을 포함할 가능성이 있는 조직 전체의 리더가 포함됩니다.
| 프로그램 리더 및 기술 소유자 | 책임 |
|---|---|
| 스폰서 | 전략, 조향, 에스컬레이션, 접근 방식, 비즈니스 맞춤 및 조정 관리. |
| 프로젝트 책임자 | 참여, 리소스, 타임라인 및 일정, 커뮤니케이션 등의 전반적인 관리. |
| CISO | 위험 및 정책 결정, 추적 및 보고와 같은 데이터 자산 및 시스템의 보호 및 거버넌스 |
| IT 규정 준수 관리자 | 규정 준수 및 보호 요구 사항을 해결하기 위한 필수 컨트롤 결정 |
| 최종 사용자 보안 및 유용성(EUC) 리드 | 직원의 표현입니다. |
| 조사 및 감사 역할 | 규정 준수 및 보호 리드와 협력하여 조사 및 보고 |
| 정보 보호 관리자 | 데이터 분류 및 중요한 데이터 식별, 컨트롤 및 수정. |
| 아키텍처 리드 | 기술 요구 사항, 아키텍처, 검토, 결정 및 우선 순위 지정 |
| Microsoft 365 관리자 | 테넌트 및 환경, 준비, 구성, 테스트. |
이 채택 콘텐츠에 대한 리소스의 PowerPoint 슬라이드 데크에는 사용자 고유의 조직에 맞게 사용자 지정할 수 있는 관련자 보기가 포함된 다음 슬라이드가 포함되어 있습니다.
기술 계획 및 기술 준비
Microsoft는 규정 및 규정 준수 요구 사항을 충족하는 데 도움이 되는 리소스를 제공합니다. 다음 섹션에서는 이전에 정의된 4단계의 특정 목표에 대한 리소스를 강조 표시합니다.
스테이지 1
1단계에서는 조직에 적용되는 규정을 식별하고 준수 관리자를 사용하기 시작합니다. 조직에 적용되는 규정도 검토합니다.
| 1단계 목표 | 리소스 |
|---|---|
| 거버넌스 피라미드를 사용하여 규정 준수 요구 사항을 식별합니다. | 준수 관리자 평가 |
| 준수 관리자를 사용하여 규정 준수를 평가하고 식별된 간격에 대한 수정을 계획합니다. | Microsoft Purview 규정 준수 포털 방문하여 조직과 관련된 모든 고객 관리 개선 작업을 검토합니다. |
| 조직에 적용되는 규정에 대한 현재 지침을 검토합니다. | 다음 데이블을 참조하세요. |
이 표에는 일반적인 규정 또는 표준이 나와 있습니다.
| 규정 또는 표준 | 리소스 |
|---|---|
| NIST(국립표준기술원) | NIST 인증자 보증 수준을 충족하도록 Microsoft Entra ID 구성 |
| FedRAMP((Federal Risk and Authorization Management Program) | FedRAMP 높은 영향 수준을 충족하도록 Microsoft Entra ID 구성 |
| CMMC(사이버 보안 성숙 모델 인증) | CMMC 규정 준수를 위한 Microsoft Entra ID 구성 |
| 국가의 사이버 보안 개선에 대한 행정 명령 (EO 14028) | Microsoft Entra ID를 사용하여 각서 22-09의 ID 요구 사항을 충족합니다. |
| HIPAA(건강보험 이전과 책임에 관한 법), 1996년 | HIPAA 규정 준수에 대한 Microsoft Entra ID 구성 |
| 결제 카드 산업 보안 표준 위원회(PCI SSC) | Microsoft Entra PCI-DSS 지침 |
| 금융 서비스 규정 | 미국 은행 및 자본 시장에 대한 주요 규정 준수 및 보안 고려 사항
|
| 북아메리카 전기 안정성 공사(NERC) | 에너지 산업의 주요 규정 준수 및 보안 고려 사항 |
스테이지 2
2단계에서는 아직 구현되지 않은 데이터에 대한 컨트롤을 구현하기 시작합니다. 정보 보호 컨트롤을 계획하고 배포하기 위한 추가 지침은 중요한 비즈니스 데이터 식별 및 보호 제로 트러스트 채택 가이드에 있습니다.
| 2단계 목표 | 리소스 |
|---|---|
| 콘텐츠 탐색기를 사용하여 규제된 데이터를 식별합니다. | 콘텐츠 탐색기 시작 콘텐츠 탐색기는 규제된 데이터의 현재 노출을 검토하고 저장해야 하는 위치와 보호 방법을 지시하는 규정 준수를 평가하는 데 도움이 될 수 있습니다. 사용자 지정 중요한 정보 유형 만들기 |
| 보존 및 민감도 레이블을 사용하여 기본 데이터 거버넌스 및 정보 보호 정책을 구현합니다. | 보존 또는 삭제할 보존 정책 및 레이블에 대해 알아보기 민감도 레이블에 대해 알아보기 |
| DLP 및 암호화 정책을 확인합니다. | Purview 데이터 손실 방지 민감도 레이블 지정을 사용한 암호화 Office 365용 암호화 |
| 통신 정책을 구현합니다(해당하는 경우). | 통신 규정 준수 정책 만들기 및 관리 |
3단계
3단계에서는 적응형 범위 사용을 포함하여 보존 및 삭제를 위한 데이터 거버넌스 정책을 자동화하기 시작합니다.
이 단계에는 분리 및 격리에 대한 컨트롤 구현이 포함됩니다. 예를 들어 NIST는 이러한 프로젝트가 미국 정부에 대한 특정 유형의 기밀 작업과 관련된 경우 격리된 환경에서 호스팅 프로젝트를 규정합니다. 일부 시나리오에서 금융 서비스 규정은 비즈니스의 여러 부분에 있는 직원이 서로 통신하지 못하도록 하기 위해 분할 환경을 요구합니다.
| 3단계 목표 | 리소스 |
|---|---|
| 자동화를 사용하여 데이터 수명 주기 관리 정책을 확장합니다. | 데이터 수명 주기 관리 |
| 분할 및 격리 컨트롤을 설정합니다(해당하는 경우). | 정보 장벽 데이터 손실 방지 테넌트 간 액세스 |
| 정보 보호 정책을 다른 워크로드로 확장합니다. | 정보 보호 스캐너에 대해 알아보기 Microsoft 이외의 클라우드 앱에 대한 데이터 손실 방지 정책 사용 데이터 손실 방지 및 Microsoft Teams 엔드포인트 데이터 손실 방지 사용 민감도 레이블을 사용하여 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 콘텐츠 보호 |
| 준수 관리자를 사용하여 규정 준수를 재평가합니다. | 준수 관리자 |
스테이지 4
4단계의 목표는 해당 규정 및 표준에 대한 자산 준수를 평가하는 연속적인 움직임으로 이동하여 이 시나리오를 운영하기 위한 것입니다.
| 4단계 목표 | 리소스 |
|---|---|
| 리소스의 규정 준수 상태 지속적으로 평가하고 인벤토리를 작성합니다. | 이 문서에서는 필요한 모든 도구를 식별했으며 이 목적을 위해 디지털 자산 내의 리소스 및 자산을 지속적으로 모니터링할 수 있는 반복적이고 반복적인 프로세스를 형성합니다. 규정 준수 포털에서 감사 로그 검색 |
| Microsoft Sentinel을 사용하여 준수를 측정하는 보고서를 작성합니다. | Microsoft Sentinel을 사용하여 통합 감사 로그를 기반으로 보고서를 작성하여 규정 준수를 평가하고 측정하며 컨트롤의 효율성을 보여 줍니다. Azure의 로그 분석 |
| 준수 관리자를 활용하여 새로운 격차를 식별하고 수정합니다. | 준수 관리자 |
준비 단계
대부분의 규정 준수 작업은 정책 적용을 통해 수행됩니다. 규정 준수를 달성하기 위해 충족해야 하는 조건을 확인한 다음 정책 또는 정책 집합을 만들어 컨트롤 집합을 자동화합니다. 제로 트러스트 사용하는 정책 적용은 구현되는 특정 규정 준수 제어에 대해 반복 가능한 확인을 만듭니다. 조직이 매일 상호 작용하는 운영 기술로 제어를 구축하면 감사 준비 상태를 달성하는 것이 더 간단한 작업이 됩니다.
준비 단계에서는 이러한 활동이 의도한 결과를 달성할 수 있도록 대상으로 하는 정책을 평가, 테스트 및 파일럿합니다. 이러한 위험이 새로운 위험을 초래하지 않는지 확인합니다. 이 제로 트러스트 비즈니스 시나리오의 경우 액세스 제어, 데이터 보호 및 기타 인프라 보호를 구현하는 관련자와 협력하는 것이 중요합니다. 예를 들어 원격 및 하이브리드 작업을 사용하도록 정책을 평가, 테스트 및 파일럿하기 위한 권장 사항은 디지털 자산 전체에서 중요한 데이터를 식별하고 보호하기 위한 권장 사항과 다릅니다.
컨트롤 예제
제로 트러스트 각 핵심 요소는 규정 또는 표준 프레임워크 내의 특정 컨트롤에 대해 매핑될 수 있습니다.
예 1
ID에 대한 제로 트러스트 CIS(인터넷 보안 센터) 내의 Access Control Management에 매핑됩니다. 벤치마크 및 ISO 27001:2022에서 A.9.2.2 사용자 액세스 프로비저닝을 합병합니다.
이 다이어그램에서 Access Control Management는 ISO 27001 요구 사항 표준인 사용자 액세스 프로비저닝의 부록 9.2.2에 정의되어 있습니다. 이 섹션의 요구 사항은 다단계 인증을 요구하여 충족됩니다.
조건부 액세스 정책의 적용과 같은 각 컨트롤의 실행은 각 조직에 고유합니다. 자산 인벤토리와 함께 조직의 위험 프로필은 정확한 노출 영역과 구현 범위를 만들어야 합니다.
예제 2
제로 트러스트 아키텍처와 업계 표준 간의 보다 명백한 상관 관계 중 하나에는 정보 분류가 포함됩니다. ISO 27001의 부속서 8.2.1은 다음을 지시합니다.
- 정보는 법적 요구 사항, 가치, 중요도 및 무단 공개 또는 수정에 대한 민감도 측면에서 분류되어야 하며, 이를 억제하거나 복잡하게 만드는 대신 비즈니스 활동을 반영하도록 이상적으로 분류되어야 합니다.
이 다이어그램에서 Microsoft Purview 데이터 분류 서비스는 전자 메일, 문서 및 구조적 데이터에 민감도 레이블을 정의하고 적용하는 데 사용됩니다.
예 3
부록 8.1.1 ISO 27001:2022(자산 인벤토리)에서는 "정보 및 정보 처리 시설과 관련된 모든 자산을 수명 주기 동안 식별하고 관리해야 하며 항상 최신 상태여야 합니다."
Intune 디바이스 관리 구현을 통해 이 제어 요구 사항을 충족할 수 있습니다. 이 요구 사항은 재고에 대한 명확한 계정을 제공하고 정의된 회사 또는 업계 정책에 대해 각 디바이스에 대한 규정 준수 상태 보고합니다.
이 제어 요구 사항의 경우 Microsoft Intune을 사용하여 설정한 정책에 대해 디바이스의 준수를 보고하는 규정 준수 정책 설정을 포함하여 디바이스를 관리합니다. 또한 조건부 액세스 정책을 사용하여 인증 및 권한 부여 프로세스 중에 디바이스 준수를 요구할 수 있습니다.
예시 4
업계 표준에 매핑된 제로 트러스트 핵심 요소의 가장 포괄적인 예는 위협 인텔리전스 및 인시던트 대응입니다. 위협 인텔리전스 및 실시간 인시던트 대응에 대한 심층 분석 및 실행을 제공하기 위해 이 시나리오에서는 전체 Microsoft Defender 및 Microsoft Sentinel 제품 범위를 적용할 수 있습니다.
이 다이어그램에서 Microsoft Sentinel과 Microsoft Defender 도구는 위협 인텔리전스를 제공합니다.
채택 단계
채택 단계에서는 디지털 자산 전체에서 기술 계획을 증분 방식으로 구현합니다. 이 단계를 수행하려면 지역별로 기술 계획을 분류하고 해당 팀과 협력해야 합니다.
ID 및 디바이스 액세스의 경우 소수의 사용자 및 디바이스로 시작한 다음 전체 환경을 포함하도록 배포를 점진적으로 늘리는 단계적 접근 방식을 사용합니다. 이는 보안 원격 및 하이브리드 작업 채택 시나리오에 설명되어 있습니다. 예제는 다음과 같습니다.
데이터 보호를 위한 채택에는 사용자가 만드는 정책이 사용자 환경에 맞게 적절하게 연마되었는지 확인하기 위해 작업을 연계하고 반복하는 작업이 포함됩니다. 이는 중요한 비즈니스 데이터 채택 식별 및 보호 시나리오에 설명되어 있습니다. 예제는 다음과 같습니다.
제어 및 관리
규정 및 규정 준수 요구 사항을 충족하는 것은 진행 중인 프로세스입니다. 이 단계로 전환하면 추적 및 모니터링으로 전환합니다. Microsoft는 도움이 되는 몇 가지 도구를 제공합니다.
콘텐츠 탐색기를 사용하여 조직 규정 준수의 상태 모니터링할 수 있습니다. 데이터 분류를 위해 콘텐츠 탐색기는 조직 내에서 중요한 정보의 환경 및 확산을 볼 수 있습니다. 학습 가능한 분류자에서 적응형 범위 또는 수동으로 만든 민감도 레이블을 통해 다양한 유형의 중요한 데이터에 이르기까지 관리자는 규정된 민감도 스키마가 조직 전체에서 올바르게 적용되는지 확인할 수 있습니다. 또한 중요한 정보가 Exchange, SharePoint 및 OneDrive에서 일관되게 공유되는 특정 위험 영역을 식별할 수 있는 기회이기도 합니다. 예제는 다음과 같습니다.
Microsoft Purview 규정 준수 포털 내에서 더 큰 보고 기능을 사용하여 규정 준수에 대한 매크로 뷰를 만들고 정량화할 수 있습니다. 예제는 다음과 같습니다.
동일한 사고 및 프로세스를 Azure에 적용할 수 있습니다. 클라우드용 Defender 규정 준수를 사용하여 Purview 준수 관리자에 제공된 것과 동일한 점수와 유사한 준수 점수를 결정합니다. 점수는 다양한 산업 분야의 여러 규제 표준 및 프레임워크에 맞춰집니다. 이러한 규정 표준 및 프레임워크 중 점수에 적용되는 것은 조직에 달려 있습니다. 이 대시보드에서 제공하는 상태 각 표준의 통과 및 실패 평가에 대한 지속적인 실시간 평가를 표시합니다. 예제는 다음과 같습니다.
Purview 대시보드는 비즈니스 리더에게 알리고 분기별 검토와 같은 부서 보고에 사용할 수 있는 광범위한 평가를 제공합니다. 더 많은 운영 노트에서 통합 감사 로그 데이터에 대한 Log Analytics 작업 영역을 만들어 Microsoft Sentinel을 활용할 수 있습니다. 이 작업 영역은 Microsoft 365 데이터에 연결되고 사용자 활동에 대한 인사이트를 제공할 수 있습니다. 예제는 다음과 같습니다.
이 데이터는 사용자 지정할 수 있으며 다른 대시보드와 함께 사용하여 조직의 전략, 위험 프로필, 목표 및 목표에 맞게 특별히 조정된 규제 요구 사항을 컨텍스트화할 수 있습니다.
다음 단계
진행률 추적 리소스
제로 트러스트 비즈니스 시나리오의 경우 다음 진행률 추적 리소스를 사용할 수 있습니다.
| 진행률 추적 리소스 | 도움이 됩니다... | 대상 사용자 |
|---|---|---|
채택 시나리오 계획 단계 그리드 다운로드 가능한 Visio 파일 또는 PDF 
|
각 비즈니스 시나리오의 보안 향상 기능과 계획 단계의 단계 및 목표에 대한 노력 수준을 쉽게 이해할 수 있습니다. | 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자. |
제로 트러스트 채택 추적기 다운로드 가능한 PowerPoint 슬라이드 데크 
|
계획 단계의 단계 및 목표를 통해 진행 상황을 추적합니다. | 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자. |
비즈니스 시나리오 목표 및 작업 다운로드 가능한 Excel 통합 문서 
|
소유권을 할당하고 계획 단계의 단계, 목표 및 작업을 통해 진행 상황을 추적합니다. | 비즈니스 시나리오 프로젝트 리드, IT 잠재 고객 및 IT 구현자. |
추가 리소스는 제로 트러스트 평가 및 진행률 추적 리소스를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기