규정 준수 벤치마크는 관련 법률, 규정 및 업계 표준에 대한 조직의 준수 수준을 측정하고 평가하는 데 도움이 되는 표준 또는 지침입니다.
HIPAA(Health Insurance Portability and Accountability Act)
HIPAA(Health Insurance Portability and Accountability Act)는 1996년에 제정된 미연방 법률입니다. HIPAA는 의료 산업에서 개인의 PHI(개인 건강 정보) 및 EHR(전자 건강 기록)의 개인 정보 보호, 보안 및 기밀성을 보호하기 위한 표준 및 규정을 확립합니다.
- HIPAA 개인 정보 보호 규칙: 개인 정보 보호 규칙은 의료 서비스 제공자, 건강 보험 계획 및 의료 정보 처리 센터(healthcare clearinghouse)를 포함하는 관련 엔티티의 PHI 사용 및 공개에 대한 표준을 설정합니다. 이 규칙은 개인에게 자신의 건강 정보에 대한 특정 권한(예: 액세스, 수정 요청 및 공개 내역 입수 권한)을 부여합니다. 관련 엔티티는 PHI를 보호하기 위한 안전 장치를 구현하고, 환자에게 개인 정보 보호에 관한 알림서를 제공하며, PHI의 특정 사용 및 공개에 대한 서면 승인을 얻어야 합니다.
- HIPAA 보안 규칙: 이 보안 규칙은 ePHI(전자 PHI)를 보호하기 위한 보안 표준을 설정합니다. 이 규칙은 관련 엔티티와 해당 비즈니스 파트너가 ePHI의 기밀성, 무결성 및 가용성을 보장하기 위한 관리적, 물리적 및 기술적 안전 장치를 구현하도록 요구합니다. 이러한 안전 장치에는 위험 평가, 액세스 제어, 암호화, 감사 제어, 재해 복구 계획 및 보안 인식에 대한 직원 교육이 포함됩니다.
HIPAA 표준은 의료 서비스 제공자, 건강 보험 계획, 의료 정보 처리 센터를 비롯하여 PHI 또는 ePHI를 처리하는 비즈니스 파트너에게 적용됩니다. HIPAA 규정은 반드시 준수해야 합니다. 규정을 준수하지 않으면 금전적 벌금, 잠재적 형사 고발을 포함하여 무거운 처벌을 받을 수 있습니다.
HIPAA는 건강 정보의 전자적 교환과 관련된 조항도 포함하며 전자 건강 기록의 채택과 의미 있는 사용을 촉진하는 HITECH(Health Information Technology for Economic and Clinical Health) 법을 수립합니다.
여기에서 제공한 정보는 2021년 9월 기준입니다. 정확한 HIPAA 표준 및 규정에 관한 최신의 정보는 미 보건 복지부(U.S. Department of HHS(Health and Human Services))와 같은 공식 소스에서 최신 정보 및 업데이트를 참조하는 것이 좋습니다.
PCI DSS(Payment Card Industry Data Security Standard) 규정 준수 표준
PCI DSS(Payment Card Industry Data Security Standard)는 Visa, Mastercard, American Express, Discover, JCB를 비롯한 주요 지불 카드 브랜드가 제정한 규정 준수 표준 집합입니다. PCI DSS는 카드 소유자 데이터를 보호하고 지불 카드 산업 내에서 사기 및 무단 액세스를 방지하기 위한 것입니다.
- 보안 네트워크 구축 및 유지 관리
- 카드 소유자 데이터 보호
- 취약성 관리 프로그램 유지 관리
- 정보 보안 정책 유지 관리
PCI DSS 규정 준수 요구 사항은 지불 카드 거래에 대한 조직의 참여 수준(수준 1~4로 분류됨)에 따라 다릅니다. 거래량이 가장 많은 수준 1 판매자 및 서비스 제공자는 보다 엄격한 요구 사항을 적용받으며 QSA(Qualified Security Assessor)의 연례 현장 감사를 받습니다. 수준 2, 3 및 4 판매자에게는 자체 평가 설문지(SAQ)에서 외부 취약성 검사에 이르기까지 다양한 검증 요구 사항이 적용될 수 있습니다.
PCI DSS 준수는 판매자, 서비스 제공자, 지불 처리업체를 포함한 지불 카드 처리 관련 엔티티에 필수적입니다. 규정을 준수하지 않는 경우 페널티, 벌금, 거래 수수료 증가 또는 카드 승인 제한이 발생할 수 있습니다.
이 정보는 PCI DSS 규정 준수 표준에 대한 개요를 제공하지만 특정 요구 사항 및 지침은 추후에 변경될 수 있습니다. 따라서 공식 PCI SSC(PCI Security Standards Council) 웹 사이트 및 최신 PCI DSS 설명서에서 최신 정보와 요구 사항을 참조하는 것이 좋습니다.
CIS(인터넷 보안 센터) 보안 표준
- CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
- CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
CIS(인터넷 보안 센터) 보안 표준은 컴퓨터 시스템 및 네트워크를 보호하기 위한 모범 사례 및 지침 집합입니다. CIS 조직은 다양한 산업의 전문가와 협업하여 합의 기반 보안 구성 및 벤치마크를 개발하고 홍보하는 비영리 단체입니다.
- CIS 제어: CIS 제어는 조직이 가장 일반적이고 영향력 있는 사이버 위협을 완화하기 위해 수행할 수 있는 20가지 보안 작업 집합입니다. 이러한 제어는 위험 감소 효과에 따라 우선 순위가 지정되며 자산 관리, 액세스 제어, 인시던트 대응, 네트워크 보안 및 보안 인식 교육을 비롯한 다양한 보안 도메인을 다룹니다. CIS 제어는 새로운 위협과 진화하는 기술 환경의 문제점을 해결하기 위해 정기적으로 업데이트됩니다.
- CIS 벤치마크: CIS 벤치마크는 특정 기술 플랫폼 및 시스템을 보호하기 위한 세부적인 구성 지침을 제공합니다. 이러한 벤치마크는 보안을 보장하고 취약성을 줄이기 위해 운영 체제, 애플리케이션 및 네트워크 디바이스에 대해 권장되는 설정 및 구성이 요약되어 있습니다. CIS 벤치마크는 사이버 보안 전문가, 벤더 및 실무자의 의견이 포함된 합의 기반 프로세스를 통해 생성됩니다.
CIS 보안 표준은 단계별 지침 및 특정 구성 권장 사항을 제공하는 실용적이고 실행 가능한 특성으로 잘 알려져 있습니다. 또한 산업 전반에 걸쳐 널리 채택되고 있으며 IT 시스템과 네트워크의 보안을 평가, 개선 및 유지하기 위해 조직에서 참조로 사용됩니다.
CIS 조직은 새로운 위협, 기술 발전 및 규정 요구 사항의 변화를 해결하기 위해 보안 표준 및 벤치마크를 정기적으로 업데이트합니다. CIS 보안 표준은 대중이 사용할 수 있으며 조직에서는 사이버 보안 상태를 강화하고 사이버 공격 위험을 줄이기 위해 이러한 표준을 귀중한 리소스로 활용할 수 있습니다.
DISA(Defense Information Systems Agency) 보안 표준
DISA(Defense Information Systems Agency)는 미 국방부(U.S. DoD(Department of Defense)) 및 해당 정보 시스템에 대한 보안 표준 및 지침을 수립하고 제공합니다. DISA는 DoD의 글로벌 정보 인프라에 대한 보안 운영 및 방어를 담당합니다.
- STIG(Security Technical Implementation Guide): STIG는 다양한 운영 체제, 애플리케이션 및 네트워크 디바이스에 대한 지침 및 구성 표준의 집합입니다. 이 가이드는 DoD 보안 요구 사항을 충족하도록 이러한 시스템을 보호하고 구성하는 방법에 대한 자세한 지침을 제공합니다. STIG는 Windows, Linux, Cisco 디바이스, 데이터베이스 및 웹 서버를 포함한 광범위한 기술을 다룹니다.
- SRG(Security Requirements Guide): SRG는 특정 기술 플랫폼, 시스템 또는 애플리케이션에 대한 보안 요구 사항이 요약된 포괄적인 문서입니다. 이 가이드는 DoD 보안 정책에 따라 시스템을 보호 및 구성하는 방법에 대한 지침을 제공합니다. SRG는 액세스 제어, 식별 및 인증, 감사 및 책임, 암호화를 비롯한 다양한 보안 도메인을 처리합니다.
- STIG(Security Technical Implementation Guide) 뷰어: DISA는 조직이 STIG 권장 사항을 평가하고 구현하는 데 도움이 되는 STIG 뷰어 도구를 제공합니다. STIG 뷰어는 STIG 요구 사항에 기반하여 시스템 구성을 확인하는 프로세스를 자동화하여 조직에서 보안 취약점을 보다 효율적으로 식별하고 업데이트를 적용할 수 있도록 합니다.
- IAVM(Information Assurance Vulnerability Management): DISA는 DoD 시스템의 취약성을 식별하고 관리하는 IAVM 프로그램을 유지 관리합니다. IAVM 경고는 보안 취약성 및 패치에 대한 정보를 적시에 제공합니다. DoD 내의 조직은 잠재적인 위험을 완화하기 위해 이러한 패치를 즉시 적용해야 합니다.
- DoD CDIP(Cybersecurity Discipline Implementation Plan): CDIP에는 DoD 내 사이버 보안 관행의 구현 및 관리가 요약되어 있습니다. CDIP는 위험 관리, 시스템 보호, 사고 대응 및 사이버 보안 인식 문화를 조성하기 위한 지침과 모범 사례를 제공합니다.
DISA의 보안 표준 및 지침은 DoD 시스템과 정보 자산의 보안 및 복원력을 보장하는 데 중요한 역할을 하며, 새로운 위협을 해결하고 진화하는 사이버 보안 관행에 보조를 맞추도록 지속적으로 업데이트되고 개선됩니다. DoD 내의 조직은 시스템과 네트워크의 보안을 유지하기 위해 이러한 표준을 준수해야 합니다.
FISMA(Federal Information Security Management Act) 보안 표준
FISMA(Federal Information Security Management Act)는 2002년에 제정된 미연방 법률입니다. FISMA는 연방 정부 기관과 그 계약자 환경 내의 정보 시스템을 보호하고 사이버 보안 위험을 관리하기 위한 프레임워크를 설정합니다. FISMA를 사용하려면 연방 기관이 정부의 중요 정보를 보호하기 위한 정보 보안 프로그램을 개발, 구현 및 유지 관리해야 합니다.
FISMA 자체에서 세부적인 보안 표준을 제공하는 것은 아니지만 연방 기관이 특정 보안 지침 및 표준(NIST(National Institute of Standards and Technology)에서 설정한 지침 및 표준 포함)을 따르도록 하기 위한 요구 사항을 설정합니다. "Security and Privacy Controls for Federal Information Systems and Organizations(연방 정보 시스템 및 조직에 대한 보안 및 개인 정보 보호 제어)"라는 제목의 NIST SP(Special Publication) 800-53은 FISMA에서 참조되는 주요 문서입니다.
NIST SP 800-53은 연방 기관이 정보 시스템을 보호하기 위해 구현해야 하는 보안 제어 카탈로그를 제공합니다. 이러한 제어에는 액세스 제어, 인시던트 대응, 구성 관리, 암호화, 네트워크 보안, 보안 평가 및 인증을 비롯한 다양한 영역이 포함됩니다. 제어는 제품군으로 분류되며 특정 보안 요구 사항을 해결하도록 조정됩니다.
FISMA를 사용하려면 정보 보안에 대한 위험 기반 접근 방식을 개발하고 유지해야 합니다. 여기에는 위험 평가 수행, 식별된 위험에 기반한 보안 제어 구현, 이러한 제어의 유효성에 대한 주기적인 테스트 및 평가, 정보 시스템의 지속적인 모니터링 보장이 포함됩니다.
FISMA에 따라 연방 기관도 정보 보안 프로그램 및 제어의 유효성을 평가하기 위해 독립적인 감사를 포함한 연례 보안 평가를 수행해야 합니다. 이러한 평가의 결과는 OMB(Office of Management and Budget) 및 의회에 보고됩니다.
FISMA 규정 준수는 연방 기관이 정부 정보를 보호하고 정보 시스템의 보안을 보장하겠다는 의지를 입증하는 데 매우 중요합니다. 이는 연방 정부 엔티티 전체에 정보 보안에 대한 표준화된 접근 방식을 확립하고 NIST 사이버 보안 프레임워크 및 NIST 위험 관리 프레임워크와 같은 다른 보안 프레임워크 및 표준과 일치하도록 지원합니다.
FISMA 요구 사항은 시간이 지남에 따라 변경될 수 있으므로 기관은 NIST 및 기타 권위 있는 소스에서 제공하는 최신 지침을 참조하여 FISMA 보안 표준을 준수해야 합니다.
ISO(International Organization for Standardization) 보안 표준
ISO(International Organization for Standardization)는 다양한 산업 전반에 걸쳐 국제 표준을 개발하고 게시하는 독립적이고 비정부적인 국제 표준화 기구입니다. ISO는 ISMS(Information Security Management System)와 관련된 일련의 보안 표준도 만들었습니다. 그 중 가장 잘 알려진 것이 ISO/IEC 27001입니다.
ISO/IEC 27001: ISO/IEC 27001 표준은 조직의 컨텍스트 내에서 ISMS를 설정, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 지정합니다. 이 표준은 민감한 정보의 보안을 관리하기 위한 체계적인 위험 기반의 접근 방식을 제공하며 위험 평가, 정보 보안 정책, 자산 관리, 액세스 제어, 인시던트 관리 및 규정 준수와 같은 영역을 다룹니다. ISO/IEC 27001은 전 세계 조직에서 널리 채택되고 있으며 정보 보안 관리를 위한 벤치마크 역할을 합니다.
ISO/IEC 27002: ISO/IEC 27002(이전의 ISO/IEC 17799)는 정보 보안 제어를 위한 실무 지침입니다. 이 표준은 정보 보안 관리의 모범 사례를 기반으로 보안 제어 및 안전 장치를 구현하기 위한 지침과 권장 사항을 제공합니다. ISO/IEC 27002는 조직 보안, 인적 자원 보안, 물리적 보안과 환경적 보안, 통신 및 운영 관리, 규정 준수 등 광범위한 보안 영역을 다룹니다.
ISO/IEC 27005: ISO/IEC 27005는 정보 보안 측면에서 위험 평가를 수행하기 위한 지침을 제공합니다. 이 표준은 정보 보안 위험을 식별, 분석, 평가 및 처리하기 위한 구조화된 접근 방식을 제공합니다. ISO/IEC 27005는 조직이 위험의 잠재적 영향을 평가하고 위험 허용 오차를 판별하고 적절한 보안 제어를 구현하는 데 있어 정보에 입각한 결정을 내릴 수 있도록 지원합니다.
ISO/IEC 27017 및 ISO/IEC 27018: 이러한 표준은 특히 클라우드 보안에 중점을 두고 있습니다. ISO/IEC 27017은 클라우드 컴퓨팅 환경에서 정보 보안 제어를 구현하기 위한 지침을 제공하고, ISO/IEC 27018은 클라우드에서 개인 데이터를 보호하기 위한 지침을 제공하는 동시에 클라우드 서비스와 관련된 개인 정보 보호 문제를 해결합니다.
ISO/IEC 27701: 이 표준은 ISO/IEC 27001의 확장이며 PIMS(Privacy Information Management System)를 구현하기 위한 지침을 제공합니다. ISO/IEC 27701은 조직이 개인 데이터를 보호하기 위한 제어를 설정 및 관리하고 GDPR(General Data Protection Regulation)과 같은 개인 정보 보호 규정을 준수하도록 하는 데 도움을 줍니다.
ISO 보안 표준은 조직의 효과적인 정보 보안 관행을 수립할 수 있는 프레임워크를 제공합니다. 이러한 표준을 준수한다는 것은 중요한 정보를 보호하고, 위험을 관리하고, 강력한 보안 제어를 구현하기 위한 노력을 입증하는 것입니다. 조직에서는 공인 인증 기관에서 수행한 공식적인 감사 프로세스를 통해 ISO 인증을 요청하여 ISO 보안 표준 준수를 검증할 수 있습니다.