클라우드 내 개인 데이터 보호를 위한 ISO/IEC 27018 규약
ISO/IEC 27018 개요
ISO(International Organization for Standardization: 국제 표준화 기구)는 독립적인 비정부 조직으로 세계 최대의 자발적 국제 표준 개발자입니다. ISO/IEC 27000 표준군은 업종과 규모에 관계 없이 모든 조직에서 정보 자산의 보안을 유지할 수 있도록 도와줍니다.
2014년 ISO는 클라우드 개인 정보 보호를 위한 최초의 국제 규약인 ISO/IEC 27001에 대한 추가 규정으로 ISO/IEC 27018:2014를 채택했습니다. EU 데이터 보호법에 기초한 이 규정은 PII(개인 식별 정보)의 처리자로 활동하는 CSP(클라우드 서비스 공급자)에게 PII 보호를 위한 최신 통제 수단 구현과 위험 평가에 대한 특정 지침을 제공합니다.
Microsoft와 ISO/IEC 27018
Microsoft Azure 및 Azure Germany는 적어도 1년 이상 공인된 타사 인증 기관에서 ISO/IEC 27001 및 ISO/IEC 27018을 준수하는지 감사합니다. 이 감사는 적용 가능한 보안 제어가 적용되고 효과적으로 작동한다는 독립적인 유효성 검사를 제공합니다. 이 준수 확인 프로세스의 일환으로서 감사자는 적용서 보고서에서 Microsoft 범위 내 클라우드 서비스 및 상용 기술 지원 서비스에 Azure에서 PII 보호를 위한 ISO/IEC 27018 통제 수단이 통합되어 있음을 확인했습니다. 규정 준수 상태를 유지하려면 매년 Microsoft 클라우드 서비스에 대한 외부 검토를 받아야 합니다.
ISO/IEC 27001의 표준과 ISO/IEC 27018에 구현된 연습 코드를 따라 Microsoft는 개인 정보 보호 정책 및 절차가 강력하고 높은 표준에 부합한다는 것을 보여줍니다.
- Microsoft 클라우드 서비스의 고객은 자신의 데이터가 저장되는 위치를 알고 있습니다. ISO/IEC 27018에 따라 인증된 CSP는 고객에게 데이터가 저장될 수 있는 국가를 알려주어야 하므로, Microsoft 클라우드 서비스 고객은 해당되는 정보 보안 규칙을 준수하는 데 필요한 시야를 확보하게 됩니다.
- 고객 데이터는 명시적 승인 없이는 마케팅이나 광고에 사용되지 않습니다. 일부 CSP는 대상 지정된 광고 등 고유의 상업적 목적으로 고객 데이터를 사용하기도 합니다. Microsoft는 scope 엔터프라이즈 클라우드 서비스에 ISO/IEC 27018을 채택했기 때문에 고객은 명시적 동의 없이는 데이터가 이러한 목적으로 사용되지 않으며 해당 동의가 클라우드 서비스 사용 조건이 될 수 없다는 것을 안심할 수 있습니다.
- Microsoft 고객은 PII가 어떻게 처리될지 알고 있습니다. ISO/IEC 27018에 따르면 적정 기간 내에 개인 정보의 반환, 전송 및 보안 폐기를 고려하는 정책이 마련되어야 합니다. Microsoft는 고객 데이터에 대한 액세스 권한이 필요한 다른 업체와 협력할 경우 사전에 미리 이러한 하위 처리자의 신원을 공개합니다.
- Microsoft는 고객 데이터 공개에 대해 법적 구속력이 있는 요청만을 준수합니다. Microsoft가 이러한 요청을 준수해야 하는 경우(범죄 수사의 경우와 같이) 법률에 의해 금지되지 않는 한 항상 고객에게 알립니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure, Azure Government, Azure Germany
- Azure DevOps Services
- Dynamics 365, Dynamics 365 및 Dynamics 365 Germany
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스
- Microsoft Graph
- Microsoft Healthcare Bot
- Microsoft Managed Desktop
- Microsoft 위협 전문가
- Microsoft Stream
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
- Office 365 Germany
- OMS 서비스 지도
- Power Automate(이전 Microsoft Flow): 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 클라우드 서비스
- PowerApps 클라우드 서비스: 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태
- Power BI 클라우드 서비스: 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태
- Power BI가 포함됨
- 파워 가상 에이전트
- 엔드포인트용 Microsoft Defender: 엔드포인트 감지 및 대응, 자동 조사 및 조치, 보안 점수
- Windows 365
Azure, Dynamics 365 및 ISO ISO/IEC 27018
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure ISO/IEC 27018 제품을 참조하세요.
Office 365 및 ISO ISO/IEC 27018
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox(Torus) Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, Project Online, Microsoft Purview 고객 키를 사용한 서비스 암호화, SharePoint Online, 비즈니스용 Skype, Stream |
| GCC | Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream |
| GCC High | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
| DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype |
Office 365 감사, 보고서 및 인증서
Microsoft 클라우드와 상용 기술 지원 서비스는 ISO/IEC 27001에 대한 인증 프로세스의 일부로서 ISO/IEC 27018 규약에 대해 1년에 한 번씩 감사를 받습니다.
질문과 대답
ISO/IEC 27018은 누구에게 적용되나요?
이 규약은 다른 조직과의 계약 하에서 PII를 처리하는 CSP에 적용됩니다. Microsoft에서는 해당 CSP에 대한 지원에도 적용됩니다.
‘개인 정보 규제자’와 ‘개인 정보 처리자’의 차이점은 무엇인가요?
ISO/IEC 27018 관련:
- '컨트롤러'는 개인 정보의 수집, 보유, 처리 또는 사용을 제어합니다. 여기에는 다른 회사를 대신하여 제어하는 당사자가 포함됩니다.
- 컨트롤러를 대신하여 '프로세서' 프로세스 정보; 그들은 정보 또는 처리의 목적을 사용하는 방법에 대한 결정을하지 않습니다. 엔터프라이즈 클라우드 서비스 제공에 있어서 Microsoft(파트너의 공급자)는 정보 처리자입니다.
ISO/IEC 27018에 대한 Office 365의 규정 준수 정보는 어디에서 확인할 수 있나요?
- Microsoft가 ISO/IEC 27018을 준수하는지 검증한 독립 감사자인 BSI에서 ISO/IEC 27018 인증서를 검토하려면 Office 365를 방문하세요.
우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?
예. ISO/IEC 27018를 준수하는 것이 Microsoft의 범위 내 엔터프라이즈 클라우드 서비스에서 배포되는 비즈니스 및 구현에 중요한 경우, 규정 준수 평가에서 Microsoft의 ISO/IEC 27001와 ISO/ICE 27018 준수에 대한 Microsoft의 증명을 사용할 수 있습니다.
그러나 평가자를 참여시켜 규정 준수 및 자체 organization 내의 제어 및 프로세스에 대한 구현을 평가할 책임이 있습니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기