GRC(거버넌스, 위험 및 규정 준수) 개념 설명

완료됨

조직은 규정 환경의 복잡성과 변화가 증가함에 따라 GRC(거버넌스, 위험 및 규정 준수)를 보다 구조화된 방식으로 관리해야 합니다.

Diagram showing a GRC framework.

조직이 GRC 역량을 확립하면 특정 정책, 운영 프로세스, 기술 구현을 포함하는 프레임워크를 구축할 수 있습니다. GRC 관리를 위한 구조화된 방식은 조직이 위험을 줄이고 규정 준수 효율성을 높이는 데 도움이 됩니다.

GRC 역량을 구축하기 위한 중요한 필수 사용 약관은 핵심 용어를 이해하는 것입니다.

거버넌스

거버넌스는 조직이 작업을 지시하고 제어하기 위해 사용하는 규칙, 사례 및 프로세스의 시스템입니다. 많은 거버넌스 작업은 외부 표준, 의무 및 예상 결과에 따라 발생합니다. 예를 들어, 조직에서는 사용자와 애플리케이션이 기업 리소스에 액세스할 수 있는 사용자, 대상, 위치, 시기, 관리 권한이 있는 사람 및 기간을 정의하는 규칙과 프로세스를 설정합니다.

위험

위험 관리는 회사 또는 고객 목표에 영향을 미칠 수 있는 위협이나 이벤트를 식별, 평가 및 대응하는 프로세스입니다. 조직은 외부 및 내부 원본 모두에서 위험에 직면합니다. 외부 위험은 기상 관련 사건, 전염병, 보안 위반 등 정치적, 경제적 요인으로 인해 발생할 수 있습니다. 내부 위험은 조직 자체 내부에서 발생하는 위험입니다. 예를 들어, 중요한 데이터 유출, 지적 재산 절도, 사기, 내부자 거래 등이 있습니다.

규정 준수

규정 준수는 조직이 따라야 하는 국가/지역, 주 또는 연방법, 심지어는 다국적 규정을 의미합니다. 이러한 규정은 보호해야 하는 데이터 형식, 법률에 따라 필요한 프로세스, 이를 준수하지 않는 조직에 부과되는 처벌을 정의합니다.

규정 준수는 보안과 동일하지 않다는 점에 유의해야 합니다. 그러나 효과적인 보안이 규정 준수 요구 사항인 경우가 많으므로 규정 준수 계획을 수립할 때는 보안을 고려해야 합니다. 규정 준수는 법적으로 요구되는 최소 표준만 충족하면 되는 반면, 데이터 보안은 중요한 데이터를 관리하고 위반을 방지하는 방법을 정의하는 모든 프로세스, 절차 및 기술을 포괄합니다.

일부 규정 준수 관련 개념은 다음과 같습니다.

  • 데이터 보존 - 규정 준수와 관련하여 데이터 보존 규정은 데이터를 저장할 수 있는 실제 위치와 데이터를 국제적으로 전송, 처리 또는 액세스할 수 있는 방법 및 시기를 제어합니다. 이러한 규정은 관할권에 따라 크게 다를 수 있습니다.
  • 데이터 주권 - 또 다른 중요한 고려 사항은 데이터, 특히 개인 데이터에는 해당 데이터가 물리적으로 수집, 보관 또는 처리되는 국가/지역의 법률 및 규정이 적용된다는 개념인 데이터 주권입니다. 동일한 데이터를 한 위치에서 수집하고 다른 위치에 저장한 다음 또 다른 위치에서 처리할 수 있는데 이 경우 여러 국가/지역의 법률을 적용해야 하므로 규정 준수와 관련하여 복잡성이 배가될 수 있습니다.
  • 데이터 프라이버시 - 개인 데이터의 수집, 처리, 사용 및 공유에 대한 알림을 제공하고 투명하게 공개하는 것은 개인 정보 보호 법규의 기본 원칙입니다. 개인 데이터는 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미합니다. 개인 정보 보호법은 개인에게 직접 연결되거나 간접적으로 연결될 수 있는 모든 데이터를 포괄합니다. 조직은 다양한 데이터 프라이버시를 관리하는 법률, 규정, 행동 강령, 산업별 표준 및 규정 준수 표준을 준수해야 합니다.

모든 조직은 데이터를 관리하므로 규정 준수와 관련된 용어 및 개념을 이해하는 것은 최소한의 의무적인 법률 및/또는 규정을 충족하기 위해 노력할 때 중요합니다.