인증 및 규정 준수

영향 수준 2 및 영향 수준 4에 대한 미국 국방부의 클라우드 컴퓨팅 보안 요구 사항

미국 국방부(DoD)는 연방 위험 및 승인 관리 프로그램(FedRAMP) 프로그램에서 정한 일반적인 요구 사항을 뛰어넘는 고유한 정보 보호 요구 사항을 가지고 있습니다. 미국 국방부는 FedRAMP 요건을 기초로 하여 DoD 클라우드 컴퓨팅 보안 요건 가이드(SRG)에서 추가적인 클라우드 컴퓨팅 보안 및 규정 준수 요건을 구체적으로 정의했습니다. 미국 국방부 고객을 지원하는 클라우드 서비스 제공업체(CSP)는 이러한 요구 사항을 준수해야 합니다.

Skyhigh Security 는 국방정보시스템국(DISA)으로부터 국방부 영향 수준 2(IL2) 임시 승인(PA)을 받았으며, Skyhigh Security 의 FedRAMP Moderate ATO를 활용하고 있습니다. DoD IL2는 비통제 비기밀 정보(non-CUI)를 위한 것으로, 여기에는 공개를 위해 삭제된 모든 데이터와 CUI로 지정되지 않은 일부 국방부 비공개 비기밀 정보 또는 최소한의 액세스 제어가 필요한 중요 임무 데이터가 포함됩니다.

Skyhigh Security 는 여러 고객과 함께 국방부 영향력 레벨 4를 적극적으로 추진하고 있습니다.

DoD IL4는 행정명령 13556(2010.11)에 의해 제정된 무단 공개로부터 데이터를 보호하는 통제된 기밀 정보(CUI)를 위한 것으로, 교육, 훈련, 개인 정보, 개인정보, 개인 신상 정보, 사회보장번호(SSN), 신용카드 정보, 수출 통제, FOUO 및 법 집행 민감 자료 및 이메일이 포함됩니다.

보안, 권한 부여 및 모니터링에 대한 표준 접근 방식을 제공하는 미국 정부 프로그램

FedRAMP(연방 위험 및 승인 관리 프로그램)는 클라우드 서비스 제공업체(CSP)를 위한 보안 평가, 승인 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 미국 연방 정부 프로그램입니다. FedRAMP 프로그램은 다른 정부 기관에서 평가 및 승인을 재사용함으로써 안전한 클라우드 솔루션의 채택을 가속화하는 데 도움이 되었습니다. FedRAMP는 연방 정보 보안 관리법(FISMA)에 따라 수립된 표준화된 요구 사항을 활용하고 보안 평가 프레임워크(SAF) 및 NIST 위험 관리 프레임워크(RMF)를 활용하여 클라우드 서비스 공급업체가 구현한 다양한 보안 제어 기준선을 지속적으로 모니터링하고 신뢰도 및 프로세스 성숙도를 개선합니다. 미국 정부 데이터를 처리, 저장 또는 전송하기 위해 미국 정부 고객과의 지속적인 운영을 지원하기 위해 FedRAMP 프로그램에서 정한 요건을 준수할 책임이 있습니다.

GDPR은 개인이 자신의 개인 데이터를 더 잘 제어할 수 있도록 고안된 유럽연합(EU) 규정입니다.

2018년 5월 25일부터 시행된 일반 데이터 보호 규정(GDPR)은 개인이 자신의 개인 데이터를 더 잘 통제할 수 있도록 하는 유럽연합 규정입니다. GDPR은 유럽연합 전역의 데이터 보호 규정을 조화시키기 위해 고안되었습니다. 이 규정은 개인 데이터 처리와 관련하여 개인 보호와 관련된 규칙과 유럽 연합 내 데이터 주체의 개인 데이터의 자유로운 이동과 관련된 규칙을 제공합니다. GDPR에 따라 기업은 개인 데이터를 보호하기 위한 적절한 기술적 및 조직적 조치를 구현해야 합니다.

자세한 내용은 여기를 참조하세요:
일반 데이터 보호 규정(GDPR) 개인 데이터 요청 양식

미국공인회계사협회(AICPA)에서 개발한 SOC 2는 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호 등 5가지 '신뢰 서비스 원칙'을 기반으로 고객 데이터를 관리하기 위한 기준을 정의합니다.

SOC 2 유형 II 보고서는 Skyhigh Security 조직이 AICPA의 SOC 2 신뢰 서비스 기준(TSC)을 충족하기 위해 특정 통제를 시행하고 있음을 증명하는 관리용 증명입니다.

이 보고서에는 경영진의 주장에 동의하는지 여부를 명시하는 공인회계법인의 의견이 포함되어 있습니다. 이 의견에는 선택한 TSC를 해결하기 위한 적절한 통제가 마련되어 있으며, 해당 통제가 설계되었거나(유형 I 보고서) 효과적으로 설계 및 운영되고 있다는 내용(유형 II 보고서)이 명시되어 있습니다.

정보 보안을 위한 국제 표준

정보 보안 관리 시스템(ISMS)에 대한 규격을 제시합니다. ISO 27001의 모범 사례 접근 방식은 조직이 사람, 프로세스 및 기술을 다룸으로써 정보 보안을 관리하는 데 도움이 됩니다.

Skyhigh Security 는 ISO 27001 인증을 획득한 최초의 Cloud Access Security Broker 기업입니다.

이 인증은 또한 Skyhigh Security 의 통제 및 관행의 성숙도를 반영합니다.

IRAP는 보안 평가 서비스를 제공하기 위해 민간 및 공공 부문의 개인을 승인합니다.

정보 보안 등록 평가자 프로그램(IRAP)은 보안 평가 프로세스와 보안 평가자 프로그램으로 구성된 보안 규정 준수 프레임워크입니다. 호주 정부 산하 호주 신호국(ASD)과 호주 사이버 보안 센터(ACSC)에서 개발했습니다. IRAP는 호주 연방 정부 기관이 보안 보증 및 위험 관리를 유지하고 클라우드 서비스 제공업체와 해당 클라우드 서비스의 보안 제어를 호주 정부 보안 정책 및 가이드라인에 따라 평가할 수 있도록 지원합니다.

Skyhigh Security Service Edge (SSE)는 2023년에 PROTECTED 보안 분류 수준에서 IRAP 평가를 완료했으며, Skyhigh Cloud Access Security Broker (CASB)는 2020년에 IRAP PROTECTED 수준에서 평가를 받았습니다. IRAP 평가는 공공 부문 조직에 Skyhigh Security의 강력한 데이터 인식 클라우드 보안 기술 제품군이 호주 정부 기관의 매우 민감한 데이터와 인프라를 관리하기 위한 적절하고 효과적인 보안 제어를 갖추고 있음을 보증합니다.

자세한 내용은 여기를 참조하세요:
https://www.cyber.gov.au/acsc/view-all-content/programs/irap