클라우드 내 개인 데이터 보호를 위한 ISO/IEC 27018 규약

ISO/IEC 27018 개요

ISO(International Organization for Standardization: 국제 표준화 기구)는 독립적인 비정부 조직으로 세계 최대의 자발적 국제 표준 개발자입니다. ISO/IEC 27000 표준군은 업종과 규모에 관계 없이 모든 조직에서 정보 자산의 보안을 유지할 수 있도록 도와줍니다.

2014년 ISO는 클라우드 개인 정보 보호를 위한 최초의 국제 규약인 ISO/IEC 27001에 대한 추가 규정으로 ISO/IEC 27018:2014를 채택했습니다. EU 데이터 보호법에 기초한 이 규정은 PII(개인 식별 정보)의 처리자로 활동하는 CSP(클라우드 서비스 공급자)에게 PII 보호를 위한 최신 통제 수단 구현과 위험 평가에 대한 특정 지침을 제공합니다.

Microsoft와 ISO/IEC 27018

적어도 1년에 한 번 Microsoft Azure 및 Azure Germany는 공인된 타사 인증 기관을 통해 ISO/IEC 27001 및 ISO/IEC 27018 규정 준수에 대한 감사를 받고, 적용 가능한 보안 통제 수단이 있고 효과적으로 작동하는지 독립적으로 검증합니다. 이 준수 확인 프로세스의 일환으로서 감사자는 적용서 보고서에서 Microsoft 범위 내 클라우드 서비스 및 상용 기술 지원 서비스에 Azure에서 PII 보호를 위한 ISO/IEC 27018 통제 수단이 통합되어 있음을 확인했습니다. 규정 준수 상태를 유지하려면 매년 Microsoft 클라우드 서비스에 대한 외부 검토를 받아야 합니다.

ISO/IEC 27001 표준과 ISO/IEC 27018에 포함된 규약을 준수하는(이 행동 규약을 통합한 최초 주요 클라우드 공급자) Microsoft는 Microsoft의 개인 정보 보호 정책 및 절차가 확고하며 높은 수준의 자체 표준에 따른 것임을 입증하고 있습니다.

  • Microsoft 클라우드 서비스의 고객은 자신의 데이터가 저장되는 위치를 알고 있습니다. ISO/IEC 27018에 따라 인증된 CSP는 고객에게 데이터가 저장될 수 있는 국가를 알려주어야 하므로, Microsoft 클라우드 서비스 고객은 해당되는 정보 보안 규칙을 준수하는 데 필요한 시야를 확보하게 됩니다.
  • 고객 데이터는 명시적 승인 없이는 마케팅이나 광고에 사용되지 않습니다. 일부 CSP는 대상 지정된 광고 등 고유의 상업적 목적으로 고객 데이터를 사용하기도 합니다. Microsoft는 범위 내 엔터프라이즈 클라우드 서비스에 대해 ISO/IEC 27018을 채택했으므로, 고객은 데이터가 명시적 승인 없이는 이러한 목적으로 사용되지 않으며 이러한 승인이 클라우드 서비스의 사용 조건일 수 없음을 확신할 수 있습니다.
  • Microsoft 고객은 PII가 어떻게 처리될지 알고 있습니다. ISO/IEC 27018에 따르면 적정 기간 내에 개인 정보의 반환, 전송 및 보안 폐기를 고려하는 정책이 마련되어야 합니다. Microsoft는 고객 데이터에 대한 액세스 권한이 필요한 다른 업체와 협력할 경우 사전에 미리 이러한 하위 처리자의 신원을 공개합니다.
  • Microsoft는 고객 데이터 공개에 대해 법적 구속력이 있는 요청만을 준수합니다. Microsoft에서 이러한 요청을 준수해야 하는 경우(예를 들면 범죄 수사의 경우) 항상 고객에게 알립니다. 단, 이러한 알림 행위가 법적으로 금지되지 않는 경우에 한합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure, Azure Government, Azure Germany
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 및 Dynamics 365 Germany
  • Intune
  • Microsoft Cloud App Security
  • Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Microsoft 위협 전문가
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS 서비스 지도
  • Power Automate(이전 Microsoft Flow): 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 클라우드 서비스
  • PowerApps 클라우드 서비스: 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태
  • Power BI 클라우드 서비스: 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태
  • Power BI가 포함됨
  • 파워 가상 에이전트
  • 엔드포인트용 Microsoft Defender: 엔드포인트 감지 및 대응, 자동 조사 및 조치, 보안 점수
  • Windows 365

Azure, Dynamics 365 및 ISO ISO/IEC 27018

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure ISO/IEC 27018 제품을 참조하세요.

Office 365 및 ISO ISO/IEC 27018

Office 365 클라우드 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음 Office 365 클라우드 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Access Online, Azure Active Directory, Azure Communications Service, 준수 관리자, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Office 365용 Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 Customer Portal, Office 365 Microservices(Kaizala, ObjectStore, Sway, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible 애플리케이션 프로그램을 포함하지만, 제한하지는 않음), Office 365 보안 및 준수 센터, Office Online, Office Pro Plus, Office 서비스 인프라, 비즈니스용 Skype, Planner, PowerApps, Power Automate, Power BI, Project Online, 고객 키로 서비스 암호화, SharePoint Online, 비즈니스용 Skype, Stream
GCC Azure Active Directory, Azure Communications Service, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 및 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream
GCC High Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 및 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 및 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype

Office 365 감사, 보고서 및 인증서

Microsoft 클라우드와 상용 기술 지원 서비스는 ISO/IEC 27001에 대한 인증 프로세스의 일부로서 ISO/IEC 27018 규약에 대해 1년에 한 번씩 감사를 받습니다.

질문과 대답

ISO/IEC 27018은 누구에게 적용되나요?

이 규약은 다른 조직과의 계약 하에서 PII를 처리하는 CSP에 적용됩니다. Microsoft에서는 해당 CSP에 대한 지원에도 적용됩니다.

‘개인 정보 규제자’와 ‘개인 정보 처리자’의 차이점은 무엇인가요?

ISO/IEC 27018 관련:

  • ‘제어자’는 개인 정보의 수집, 유지, 처리 또는 사용을 제어합니다. 제어자에는 다른 회사를 대신하여 이를 제어하는 업체가 포함됩니다.
  • ‘처리자’는 제어자를 대신하여 정보를 처리합니다. 이들은 정보 사용법이나 처리 목적에 관한 결정을 내리지 않습니다. 엔터프라이즈 클라우드 서비스 제공에 있어서 Microsoft(파트너의 공급자)는 정보 처리자입니다.

ISO/IEC 27018에 대한 Office 365의 규정 준수 정보는 어디에서 확인할 수 있나요?

  • Microsoft가 ISO/IEC 27018을 준수하는지 검증한 독립 감사자인 BSI에서 ISO/IEC 27018 인증서를 검토하려면 Office 365를 방문하세요.

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?

예. ISO/IEC 27018를 준수하는 것이 Microsoft의 범위 내 엔터프라이즈 클라우드 서비스에서 배포되는 비즈니스 및 구현에 중요한 경우, 규정 준수 평가에서 Microsoft의 ISO/IEC 27001와 ISO/ICE 27018 준수에 대한 Microsoft의 증명을 사용할 수 있습니다.

하지만 구현에 대한 규정 준수를 평가하기 위한 평가자와의 계약과 고유 조직 내 통제 수단 및 프로세스에 대해서는 파트너가 책임을 져야 합니다.

Microsoft 준수 관리자를 사용하여 위험 평가

Microsoft 준수 관리자는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 규정 준수 센터의 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스