클라우드 보안 정책 및 표준의 기능

보안 정책 및 표준 팀은 보안 정책과 표준을 작성, 승인, 게시하여 조직 내에서 보안 결정을 안내합니다.

정책과 표준은 다음과 같아야 합니다.

• 다양한 팀을 통해 조직에서 결정을 안내할 만큼 충분히 세부적인 방법으로 조직 보안 전략 반영
• 조직 전체에서 생산성을 활성화하면서 조직의 비즈니스 및 업무에 대한 위험 감소

보안 정책은 조직의 보안 전략 및 위험 허용 범위에 맞춰 조정되는 장기적으로 지속 가능한 목표를 반영해야 합니다. 정책은 항상 다음을 처리해야 합니다.

• 규정 준수 요구 사항 및 현재 규정 준수 상태(요구 사항 충족, 위험 수용 등)
• 현재 상태 및 기술적으로 디자인, 구현, 적용할 수 있는 사항에 대한 구조적 평가
• 조직 문화 및 선호도
• 업계 모범 사례
• 다른 위험과 비즈니스 성과에 대한 책임이 있는 해당 비즈니스 관련자에게 할당된 보안 위험의 책임

보안 표준은 보안 정책 실행을 지원하기 위한 프로세스와 규칙을 정의합니다.

현대화

정책은 정적으로 유지되어야 하지만, 표준은 클라우드 기술, 위협 환경, 비즈니스 경쟁 환경 등의 변화 속도를 따라잡기 위해 동적이고 지속적으로 다시 검토되어야 합니다.

이 높은 변화 속도로 인해 표준(또는 정책)을 조정해야 할 필요성을 나타낼 수 있으므로 얼마나 많은 예외가 발생되는지 주의 깊게 관찰해야 합니다.

보안 표준에는 다음과 같은 클라우드 채택과 관련된 참고 자료가 포함되어야 합니다.

• 워크로드 호스트를 위한 안전한 클라우드 플랫폼 사용
• 안전한 DevOps 모델 사용 및 개발에 클라우드 애플리케이션, API 및 서비스 포함
• ID 경계 제어를 사용하여 네트워크 경계 제어 보충 또는 바꾸기
• 워크로드를 IaaS 플랫폼으로 이동하기 전에 구분 전략 정의
• 자산의 민감도 태그 지정 및 분류
• 자산이 제대로 구성 및 보호되는지 평가하고 확인하기 위한 프로세스 정의

팀 구성 및 주요 관계

클라우드 보안 정책 및 표준은 일반적으로 다음 유형의 역할이 제공합니다. 조직 정책은 다음에게 정보를 제공하고 정보를 받아야 합니다.

• 보안 아키텍처
• 규정 준수 및 위험 관리 팀
• 사업부의 리더십 및 대표
• 정보 기술
• 감사 및 법률 팀

보안 개요 다이어그램에 표시된 것을 포함하지만 이것으로 제한되지 않는 조직 전체의 많은 입력/요구 사항에 따라 정책을 구체화해야 합니다.

다음 단계

SOC(클라우드 보안 운영 센터)의 기능을 검토합니다.