리스크 관리
데이터 센터 내에서 위험을 관리하는 것은 시설의 수명 주기 전반에 걸쳐 공식적인 평가가 이루어지는 지속적인 프로세스입니다. Microsoft 데이터 센터에 대한 물리적 및 환경적 위협을 확인하고 완화하기 위해 소비자 데이터를 호스팅하는 모든 데이터 센터 대해 위협, 취약성 및 위험 요소(TVRA)가 매년 시행됩니다. 다음 Microsoft Enterprise Risk Management Framework에 추가로 Microsoft는2013년 6월 싱가포르 통화 기관에서 처음 게시한 기술 위험 관리 지침에 정의된 요구 사항을 활용합니다. TVRA는 허용되는 평가 방법 및 현재 회사에서 사용 할 수 있는 정보에 따라 Microsoft 최고의 전문가 판단을 반영합니다.
Microsoft는 다음 단계에 따라 TVRA 프로세스를 가능하게 합니다.
위험 식별: TVRA는 자연 및 사람이 만든(우발적인 위험 포함) 위험으로 인해 발생하는 광범위한 위협 시나리오를 고려합니다. 결과는 데이터 센터 위치, 디자인, 서비스 범위 및 기타 요인에 따라 달라집니다. TVRA는 고객 요구 사항, 독립 국가/지역, 도시 및 타사에서 제공하는 위험 환경의 사이트 수준 평가 및 제1자 위험 정보를 기반으로 TVRA 문서에서 강조 표시할 위협 시나리오를 선택합니다. 지역에 여러 데이터 센터가 있는 위치의 경우 TVRA 등급을 집계하여 평가되는 위치의 물리적 및 환경 위협, 취약성 및 위험을 전체적으로 확인할 수 있습니다.
TVRA 데이터 센터에 대해 평가된 위협 시나리오의 유형은 다음과 같습니다.
- 내부 위협 - 외부의 의도적 또는 우발적인 인간 활동으로 인한 인시던트입니다. 예를 들어, 시민 장애, 테러, 범죄 활동, 외부 도난, 즉석 폭발 장치, 무기 공격, 불법 공격, 무단 침입 및 비행기 충돌 등이 있습니다.
- 내부 위협 - 내부의 의도적 또는 우발적인 인간 활동으로 인한 인시던트입니다. 예를 들어 내부 도난 및 파괴가 있습니다.
- 자연적 위험 - 데이터 센터에 부정적인 영향을 미칠 수 있는 자연 프로세스 또는 현상입니다. 예를 들어, 열대성 폭풍, 사이클, 홍수, 산사태, 가뭄, 산불, 지진, 화산 활동, 번개, 우박, 강풍 또는 폭우를 동반한 심한 폭풍입니다.
- 환경 위협 – 데이터 센터에 부정적인 영향을 미칠 수 있는 환경 조건입니다. 예를 들어 물 스트레스, 열 스트레스 및 팬데믹스 등이 있습니다.
위험 분석: 위협은 고유의 위험 평가에 따라 평가됩니다. 고유 위험은 위협의 본질적인 영향 및 관리 조치와 컨트롤이 없는 경우의 위협이 발생할 본질적인 가능성의 함수로 계산됩니다. 이러한 평가는 내부 SME 피드백과 외부 위험 지수의 활용을 통해 정보를 제공 받습니다.
잔여 위험: 잔여 위험은 제어 효율성을 고려한 후 남은 위험 수준의 측정값으로 결정됩니다. 컨트롤 효율성은 현재 관리 작업 및 컨트롤이 설계 및 구현된 대로 원하는 효과를 가질 가능성을 평가하면서 위협을 방지하거나 감지하도록 설계된 컨트롤의 측정값으로 평가됩니다. 이러한 평가는 TVRA에서 지정한 데이터 센터 위치에 대한 컨트롤의 효과에 대한 내부 SME 피드백의 집계를 통해 정보를 제공 받습니다.
보고서: 평가가 완료되면 관리 승인을 받고 위험 관리와 관련된 전반적인 노력을 지원하기 위해 TVRA 보고서가 생성됩니다.
Microsoft는 위험 평가 및 방법론을 지속적으로 업데이트하여 개선 사항을 통합하고 변화하는 조건을 설명하기 위해 최선을 다하고 있습니다. 결과적으로 분석 및 결론은 변경될 수 있습니다.