GRC, 컴플라이언스 컨트롤러

컴플라이언스

이러한 GRC 제품들이 어떻게 기업의 이해를 돕고 그들이 어디에서 어떻게 특정한 규제 요건사항을 충족시키는지 기록하고 문서화하는 것을 돕는 방법을 판단함으로써 GRC 제품들이 어떻게 컴플라이언스 노력을 촉진시키는지 평가했다.

당신이 정책을 만들고 정책에 대해 규제 요건사항을 매핑하며 그 정책에 대해 특정한 기술 통제를 매핑하는데 이 제품들은 어떠한 도움을 줄 것인가? 우리는 또한 매우 개별적인 정책들을 생성하는 능력을 살펴보았다. 예를 들어 해당 통제의 추진 요건으로 되돌아가 특정한 서버에 특정한 기술 통제를 매핑할 수 있는가 등이다.

우리는 테스트 정책을 생성했고 그러한 정책을 규제 요건뿐만 아니라 관리 정책을 구현하는데 사용된 기술적 통제에 연결시켜보았다. 즉, 당신은 실제로 해당 툴을 컴플라이언스 행위를 추적하고 특히 규제에서 요구되는 기술적 통제 구현을 추적하며 해당 분야에서 그러한 통제의 운영을 추적하는데 사용할 수 있다.

리스크 관리

비즈니스 리스크를 분석하는 것만으로도 충분히 어려운데 규제 요건 사항이 전문 툴 시장의 촉진을 한층 더 복잡하게 만든다. 회사 전체에 퍼져있는 장치나 애플리케이션, 또는 프로세스의 특정한 세트에 어떤 리스크가 적용되는지 결정하기 위해 데이터를 요구하고 있을 당신의 환경을 생각해보라.

예를 들어 어떤 특정한 통제를 지원하지 않는 레거시 시스템(legacy system)에 어떤 리스크가 적용되는지 이해하기 위해서는 어떤 시스템이 하는지, 어떻게 사용되었는지, 어떤 보완 통제가 적절한 위치에 있는지, 어떤 시스템이 그것에 의존하고 있는지 등을 알아야 할 필요가 있다. 이것은 일반적으로 사업체, IT, 외부 제 3자(서비스 제공사 등), 컴플라이언스 부서로부터 데이터를 얻는 것을 의미한다.

공식적인 리스크 분석을 수행하기 위해 이러한 프로세스를 자동화하고 정보를 모아 중앙 레포지토리에 저장할 수 있는 툴이 필수적이다. 이 때문에 우리는 특정한 시스템·프로세스, 그리고 그에 관련된 리스크에 관한 데이터를 수집하고 그 리스크를 평가하며 컨텍스트에 넣을 수 있게 해주는 성능을 조사했다. 관련 분야의 핵심은 그러한 예외와 관련된 리스크의 수준을 분석하는 기능들뿐만 아니라 기술 통제가 구현되지 못 한 회사의 분야를 기록하고 추적하는 기능이다.

기술 통제

끝으로 회사들이 컴플라이언스와 가버넌스의 관점에서 관심을 가질만한 수많은 기술 통제를 어떻게 제품들이 관리할지를 고민해 보았다. 우리는 처음부터 각기 다른 제품들이 다양한 방법으로 통제를 모니터할 것으로 추측했다. 예를 들어 어떤 제품은 주기적으로 장치를 조사하고 시스템 상태와 애플리케이션 통제에 대한 정보를 얻기 위한 취약성 평가 툴처럼 기타 소스에서 데이터를 가져오기 위해 원격 호스트의 에이전트를 사용할 것이다. 요컨대 ‘그 제품이 충분한 정보와 실제 사용되기 위한 올바른 종류의 정보를 제공하는가’하는 것이다.

Archer는 GRC의 비기술적 측면에 우선적으로 초점을 맞췄다. 이 제품의 핵심은 중앙 프레임워크로 그 안에서 고객은 정보보호 실무자들이 관리 업계 내에서 경험했을 법한 이슈를 대상으로 하는 다양한 모듈을 사용할 수 있다. 그 예는 다음과 같다.

●정책 관리(Policy Management)는 정책을 작성하고 편제하며 공포하는 정보보호 실무자들의 요구를 처리한다.

●업체 관리(Vendor Management)는 업체 관계를 관리하고 계약상의 의무 이행을 추적하기 위한 툴을 제공한다.

●사고 관리(Incident Management)는 보안 침해와 관련된 워크플로우를 관리할 수 있게 해준다.

획일적이어서는 안 된다

우리가 살펴본 제품들은 가버넌스, 리스크, 컴플라이언스를 각각 다른 방식으로 해석하고 있으며 각각의 개별적인 비전에 맞춘 기능 세트를 가지고 있다. 규제 컴플라이언스에 무게를 둔 Archer는 금융 서비스나 의료와 같이 상당히 규제받는 업계의 컴플라이언스나 보안 그룹에게 가장 유용하다. Modulo가 차지하고 있는 GRC 비전의 리스크 관리 부분은 통제에 대한 단체의 컴플라이언스를 확인하는 현장에 있는 감사원이나 컨설턴트에 대해 특별한 가치가 있다. 시만텍이 가장 초점을 맞춘 기술 통제 인가는 정보보호 기술 담당자에게 가장 유용하다.

그러나 업체가 GRC 비전을 어떻게 해석하는지 알기 위해서는 마케팅, 그 이상을 살펴야만 한다. 이러한 모든 제품들은 비슷하게 시장에 나와 있다. 이들은 업계에서 함께 일률적으로 분석되고 평판을 얻는다. 그러나 그들은 실제로 매우 다르다.

이것이 업계에 주는 의미는 무엇인가? 아마도 우리는 이러한 제품들이 동일한 것이 아니라는 사실을 반영하기 위해 GRC 시장의 분할을 시작해야 할 것이다. 그렇다면 이것이 GRC 업계에 대해 의미하는 것은 무엇인가? 만일 당신의 제품이 다른 이들의 제품과 완전히 똑같은 일을 하는 것이 아니라면 이것은 어쩌면 위협이 아닐 것이다.

또한 이것이 고객에게 의미하는 것은 무엇인가? 이것은 구매하기 전에 보다 더 주의해야 할 필요가 있다는 것을 의미한다. 당신이 택한 업체가 갖고 있는 시장에 대한 비전이 당신의 비전과 일치하는지, 그리고 구매하려는 제품이 당신이 생각한 것만큼 작동하는지를 확실히 해야만 한다.

<글·에드 모일(Ed Moyle)/다이애나 켈리(Diana Kelley)>

[정보보호21c 통권 96호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)

GRC, 컴플라이언스 컨트롤러 - Chapter 3