it-swarm-korea.com

로펌에 대한 적절한 감사 기준은 무엇입니까?

저는 로펌의 IT 관리자입니다. 민감한 고객 데이터 및 일부 건강 기록을 처리합니다. 외부 컨설턴트가 데이터 보안 관행을 평가하도록하고 싶지만 무엇을 요청해야할지 모르겠습니다.

진짜 대답은 "당신이 어떤 규제 프레임 워크에 속하는지, HIPAA, SOX, PCI-DSS 등에 따라 달라집니다"라는 것을 알고 있습니다.

하지만 제 질문은 커뮤니티에 대한 것입니다. 일반 사무실 환경에 적합한 일반 보안 표준이 있습니까?

우리는 앞서 언급 한 규제 프레임 워크에 특별히 해당되지는 않지만 아무것도하지 않는 것도 좋은 선택이 아닙니다.

9
SLY

의료 데이터를 포함하는 민감한 개인 데이터의 보호를위한 지침을 제시하므로 데이터 보호법 (또는 귀하의 관할권에서 이에 상응하는 법)을 살펴 보는 것이 좋습니다. 이 문서와 유사한 문서의 문구는 "적절한 보호"와 같은 문구를 사용하여 상당히 모직합니다. 이는 도움이되지 않지만 기본적으로 조직이이 데이터에 대해 무엇을해야하는지 평가하도록하는 것을 목표로합니다.

또한 ISO27000 제품군은 이제 매우 유용한 산업 표준 세트입니다. ISO27002는 거의 모든 조직에 적합하므로 조직이 27002 준수로 인증을받을 수있는 위치에 있지 않을 수도 있지만이를 핵심 구성 요소로 사용할 수 있습니다.

ISF , 특히 모범 사례 표준을 확인하십시오. ISF를 인용하려면 :

이 표준은 ISF의 정보 위험 관리 제품 제품군의 일부를 나타내며 전 세계 ISF 회원의 풍부한 자료, 심층 연구, 광범위한 지식과 실제 경험을 기반으로합니다.

표준은 다음을 위해 최소 2 년마다 업데이트됩니다.

선도적 인 국제 조직의 요구에 대응 정보 보안에 대한 모범 사례 영역을 구체화하여 정보 보안에 대한 최신 사고를 반영하여 ISO 27002 (17799), COBIT v4.1과 같은 다른 정보 보안 관련 표준을 유지합니다. 및 PCI/DSS • 최신 '핫 토픽'에 대한 정보를 포함합니다.

다른 방법은 고객 기록이 손상, 분실 또는 게시 된 경우 법률 회사의 파트너가 위험/책임/평판 손상을 평가하도록하는 것입니다. 이를 통해 보안 요구 사항을 쉽게 정의 할 수 있습니다.

6
Rory Alsop

위의 두 답변은 모두 돈이 들지만 다음 경고를 추가하고 싶습니다. 저는 규제 서비스 회사를 운영하고 ISO 27001 인증을 받았습니다. 인증을받을 생각이라면 누구에게나 전하고 싶은 것은 표준 인증을받는 것이 모든 악을 물리 치는 마법의 부적을 획득하는 것과 같지 않다는 것입니다. 소송). 이러한 표준은 의무적이지 않고 인증이 자발적이기 때문에 법적 구제에 대한 법정에서의 보호는 항상 실사로 귀결됩니다.

즉, 치안 판사가 귀하가 기밀 정보를 과도하게 노출했다고 생각하면 ISO 27001 보유 여부에 관계없이 엉망이 될 것입니다. 그러나 인증의 요점은 기억해야 할 중요한 사항입니다. 인증을 받으려면 완전히 방법 론적이며 신중해야하며 모든 책임을 나열하고이를 평가하고 개선 조치로 해결해야합니다. 즉, 인증 프로세스가 끝나면 회사는 시스템 관리자 용어를 빌리는 데 훨씬 더 경계하고 '강화'될 것입니다.

ISO가 사실상 다른 모든 표준에 대한 요구 사항을 다룬다는 것이 일반적으로 받아 들여지기 때문에 SOX 등과는 반대로 ISO 27001에 편향되어 있습니다. PCI에는 처리 시설의 분리와 같은 몇 가지 단점이 있으며 기타 표준은 특정 사항에 대해 규범적일 수 있지만 여전히 ISO 프레임 워크 내에서이를 구현할 수 있으며 동시에 더 나은 작업을 수행 할 수 있습니다.

이미 접하게 언급 된 마지막 요점은 좋은 위험 평가 기반 시스템이 비용을 절약 할 수 있다는 것입니다. 시작하기 전에 가장 값 비싼 방화벽, 가장 스마트 한 카드 리더기, 완벽한 다중 사이트 장애 조치를 원했고 사양에 땀을 흘리 곤했습니다. 그러나 적절한 위험 평가를 수행하면 실제로 위험을 완전히 제거 할 수 없다는 것을 깨닫기 시작하므로 수익 감소의 법칙에 따라 궁극적 인 보호를 목표로하는 것보다 돈을 현명하게 쓰는 것이 좋습니다. 결국 가장 큰 취약점은 직원입니다. 따라서 회사 비용을 절약하고 직원 교육 세션을 구성하십시오.

10
Mark Lawrence

@Rory의 답변에서 마지막 작은 문구를 확장하여 접근 방식을 재고 할 수 있습니다. 사용할 수있는 적절한 규정을 검색하는 대신 전문 컨설턴트가 비즈니스 위험 기반의 자산 중심 보안 분석을 수행하도록합니다.

즉, 일반적인 표준에 대해 걱정하지 말고 대신 your business 에 중요한 것에 초점을 맞추십시오. 여기에는 도둑질이 포함될 수 있습니다. 민감한 고객 정보, 기록 불능 (지속적인 청구 가능 시간을 방해 할 수 있음), 평판 손상 등. 그런 다음 검토는 이러한 문제에 초점을 맞추고 가치 추정에 따라 이러한 문제가 손상에 취약한 방식을 조사 할 수 있습니다.

(물론 보안 검토는 적용 가능한 모든 규정이나 법률을 식별해야합니다 (있는 경우). 물론 이것은 비즈니스에 가장 큰 위험이 될 수 있습니다.)

이것은 당신의 보안 벅/퀴드에 가장 큰 타격 (또는 부족)을 제공합니다.

5
AviD

일부 법률 고객이 ISO 27001로 이동하고 있음을 확인했습니다.이 때문에 로드맵 (또는 가이드)를 만들었습니다. 그 방향으로의 이동을 고려하고 있다면 자유롭게 다운로드하여 참고 용으로 사용하십시오.

ISO 27002 (이전의 ISO 17799)는 종종 "보안 표준"으로 사용되는 보안 제어 (보통 모범 사례라고 함)의 "모음"입니다.

ISO 27001은 정보 보안 관리 시스템 (ISMS)으로, 회사가 정보 보안 위험을 허용 가능한 수준으로 유지하기 위해 어떤 보안 제어 (대부분 ISO 27002 컬렉션에서)를 적용해야하는지 결정할 수있는 논리적이고 구조화 된 프로세스입니다. . 이 접근 방식은 공식적이고 감사 가능한 프로세스를 정의하여 ISO 27002를 발전시켜 어떤 제어가 관련되고 해당 제어에 필요한 범위/엄격 성을 결정합니다.

1