검색결과
-
[싱가포르] 베리파이바스프(VerifyVASP), 한국 가상 자산 서비스 제공자(VASP) 등록 절차를 완료한 14개 사업자가 TRWG 출범▲ 베리파이바스프(VerifyVASP Pte Ltd) 홈페이지 싱가포르 베리파이바스프(VerifyVASP Pte Ltd)에 따르면 한국에서 가상 자산 서비스 제공자(virtual asset service provider, VASP) 등록 절차를 완료한 14개 사업자가 연합해 TRWG(Travel Rule Working Group)을 출범 시켰다.TRWG는 2022년 3월말까지 여행 규정 요구사항을 충족시키기 위해 종단간 암호화 메시징 프로토콜을 활용할 계획이다.한국에서 '특정 금융거래의 보고 및 이용에 관한 법률(Act on Reporting and Using Specified Financial Transaction Information)'에 따라 여행 규정을 준수해야 하는 기한이 3월 말이기 때문이다.TRWG는 2월 중순까지 필요한 모든 통합 및 테스트를 완료한 후 한달 간 시범서비스를 거쳐 3월말 이전에 규제 요구 사항을 완전히 준수하는 안정적 운영을 시작할 예정이다.한국에서 VerifyVASP 서비스를 시작한 배경은 2021년 정부가 국제자금세탁방지기구(FATA)의 권고를 받아들여 특금법 개정안에 가상자산사업자(VASP)가 지켜야 할 의무 중 하나로 트래블룰을 명시한 것이다.트래블룰은 금융시스템에서 자금의 송수신 시 중개자가 송금인 A와 수신인 B의 신원 정보 모두를 갖고 있어야 한다는 것으로 '자금이동 규칙'이라고도 불린다.전 세계 은행들은 오래 전부터 표준화된 트래블룰을 마련해 공통 시스템 하에서 관련 업무를 수행해왔다. 불법 자금 세탁 방지 및 용이한 추적을 목적으로 한다.FATF는 각국이 취해야 되는 사법제도, 금융시스템 및 규제, 국제 협력 등 포괄적인 분야에 대한 가이드라인을 제시해 자금세탁 및 테러 자금 조달에 대처하도록 권고하고 있다. 지난 2021년 10월 28일 업데이트된 FATF의 개정안 지침을 살펴보면 6가지 핵심 영역에 중점을 두고 있다.세부 내역은 ▶가상 자산 및 VASP의 정의에 대한 설명 ▶FATF 표준이 스테이블코인에 어떻게 적용되는지에 대한 지침 ▶P2P 거래에 대한 자금 세탁 및 자금 조달 위험을 해결하기 위해 국가에서 사용할 수 있는 위험 및 도구에 대한 추가 지침 등이다.또한 ▶VASP의 라이선스 및 등록에 대한 업데이트 된 지침 ▶여행 규칙의 이행에 대한 공공 및 민간 부문에 대한 추가 지침 ▶VASP 감독관 간의 정보 공유 및 협력 원칙 등을 포함한다.한국의 연도별 FATF 대응 현황을 살펴보면 2018년 1월 가상 통화 관련 자금세탁방지 가이드라인 제정 및 시행을 통해 실명 확인 입출금 서비스를 개시했다.2020년 3월 24일 특정금융정보법 개정 가상자산사업자 개념을 도입했다. 2021년 2월에는 감독규정 일부 개정규정안 입법을 예고했다.2021년 3월에는 특정금융정보법을 시행해 6개월 간 유예기간 및 9월까지 신고하도록 했다. 동월 FATF 권고안 개정 초안을 발표했다.2021년 5월에는 가상자산업법안을 발의했다. 2021년 6월 FATF, 암호화폐 트레블룰 수정안을 발표하고 동년 10월 최종안을 발표했다. 2022년 3월 25일 트레블 룰이 적용된다.베리파이바스프(VerifyVASP Pte Ltd)는 VASP가 여행 규정 또는 가치 이전(Value Transfer) 요구사항을 준수하도록 지원하는 싱가포르 기반 B2B 서비스 기업이다. 2021년 12월 블록체인 데이터 플랫폼 기업 체인어날리시스(Chainalysis)로부터 전략적 투자를 이끌어냈다.Chainalysis는 60개국 이상에서 정부 기관, 거래소, 금융 기관, 보험, 사이버 보안 기업 등에서 데이터, 소프트웨어, 서비스 등을 제공하고 있다. 또한 여행 규칙 정보 전송을 위한 국제 메시징 표준 InterVASP Messaging Standard(IVMS101)를 채택했다.참고로 가치 이전(Value Transfer)이란 가치를 암호화폐(cryptocurrency)로 이전시키는 것을 말한다. 채팅 횟수, 전화 횟수, 운전 거리, 게임 시간, 버린 쓰레기 양, 청소기 사용 시간, 택배 횟수 등 행위, 거리, 시간, 양 등 모든 것들을 암호화폐로 이전시킬 수 있다.
-
[미국] 국제표준화기구(ISO), 6월 출시 자동차 모델에 새로운 표준 ISO/SAE 21434 적용국제표준화기구(ISO)에 따르면 2022년 6월 유럽, 일본, 한국에서 출시되는 자동차 모델에 대해 새로운 표준 ISO/SAE 21434를 준수하는 증명을 해야 된다.지난 2021년 8월에 발표된 'ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering' 신규 표준에 따라 초기 장비 제조업체 및 공급업자는 하드웨어 및 소프트웨어 개발 프로세스 모두를 충족해야 된다.향후 전자제어장치(electronic control units, ECU)를 포함한 전체 자동차 공급망은 포괄적인 보안 검증을 포함한 투명하고 잘 문서화된 프로세스가 포함될 것으로 기대된다.제어 및 요구사항을 명확하게 정의하고 확인하는 작업뿐만 아니라 사이버 보안이 공급망의 모든 수준에서 철저하게 관리되고 고려되고 있음을 증명해야 된다.낮은 사양은 부정확하거나 오해의 소지가 있거나 검증할 수 없는 보안 요구사항이 발생된다. 모든 항목, 사이버 보안 목표, 개념 들은 이해관계자들을 위해 문서화되고 이해시켜야 한다.여기에는 자산 자체, 상호작용, 자산의 보안 목표를 보존하기 위한 장치의 사용 환경의 모든 설계 기능이나 품질이 포함돼야 한다.또한 위험을 완화하기 위해 사용하려는 제어 및 보안 요구 사항들은 철저한 위협 분석과 위험 평가 실습을 통해 이뤄져야 한다.평균적으로 자동차에는 150개에 달하는 전자제어장치(ECU)가 있으며 최종 설계에서 사이버 공격이나 잠재적 취약성이 증가하고 있다.업계는 자동차 수직적 하드웨어 기반 플랫폼에서 수평적 소프트웨어 기반 플랫폼으로 이동함에 따라 제조업체와 공급업자가 구성요소 및 설계에 강력한 사이버보안 및 데이터 개인정보 보호 제어 기능을 포함하도록 하는 것이 중요하다.2021년에는 많은 제조업체들이 영향을 받은 반도체 부족 현상은 기업의 공급망을 검토하고 칩 개발을 내부에서 수행하는 것을 고려하게 됐다. 기업 스스로 하드웨어 및 소프트웨어 사이버 보안 위험 완화에 더 많은 책임을 져야 한다는 것을 의미한다.ISO/SAE 21434:2021 Road vehicles 표준의 적용 범위는 ▶도로용 자동차 ▶전기전자 시스템, 하드웨어, 소트트웨어 부품 및 인터페이스 ▶외부장비나 네트워크와의 연결되는 시스템 등이다.주요 원칙을 살펴 보면 ▶Road vehicles에만 적용 ▶합리적 절차에 따른 안전한 자동차 시스템 개발 ▶제조사와 부품사 간 상당한 배려(Due diligence) ▶자동차의 사이버 보안 엔지니어링에 중점 ▶사이버보안의 최신 기술에 기반 등이다.또한 ▶위험 정도에 따른 우선 순위 결정 및 사이버보안 요구사항에 대한 위험 요소를 분석해 위험에 근거한 접근법 ▶사이버보안 경영시스템 구축 ▶설계 및 개발, 생산, 운행, 정비, 유지보수 및 폐차 등 자동차 전체 수명주기에 따른 사이버보안 활동과 프로세스 등도 포함된다.
-
[몰도바] 국립교도소관리국(NAP), 교도소 시스템 정책 및 표준 운영 절차 개발을 위한 두번째 워킹 그룹 회의 개최몰도바 공화국 국립교도소관리국(National Administration of Penitentiaries of Moldova, NAP)에 따르면 2022년 1월말 교도소 시스템에 대한 정책 및 표준 운영 절차 개발을 위한 두번째 워킹 그룹 회의를 개최했다.표준 운영 절차(standard operational procedures, SOPs) 등에 관한 회의는 4가지 주제 영역에 중점을 두고 있다. ▶동적 보안 ▶취약한 구금자 그룹의 치료 ▶교도소 일선 직원을 위한 수감자간 폭력 예방 및 퇴치 ▶청소년 구금 시설에서 범죄 하위문화의 확산 현상 퇴치 등이다.회의에서 정책과 표준 운영 절차(SOPs) 개발의 진행 상황에 대한 폭넓은 논의와 각 문서에 대한 실질적인 협의를 진행했다. 워킹그룹 회의는 유럽평의회(Council of Europe) 컨설턴트 주도로 진행됐다.온라인으로 몰도바 교도소 관리국(National Administration of Penitentiaries, NAP) 관리, NAP 전문 부서 대표자 등이 참여했다. 보안 및 교도소 제도, 사회 재통합, 인적 자원, 기관 관리, 분석 및 계획 등의 NAP 전문 부서에 근무하는 전문가도 동참했다.또한 제 1호 타라클라라(Taraclia), 제 5호 카훌(Cahul), 제 7호 루스카(Rusca), 제 10호 고이안(Goian), 제 11호 발티(Balti), 제 13호 치시나우(Chisinau) 등 개별 교도소장이 참여했다. 해당 교도소의 사회 재통합, 인적자원, 보안 및 교도 제도 전문 부서장도 참석했다. 워킹 그룹의 활동은 '교도소 및 보호관찰 개혁 강화' 프로젝트의 후원으로 2022년 1월 20 ~ 21일 온라인으로 개최됐다. 몰도바 공화국의 폐쇄된 기관에 의료 및 환자 치료 제공과 관련한 활동이다.몰도바 공화국을 위한 유럽 평의회 실행 계획(2021~2024)을 통해 자금을 조달하고 유럽 평의회에서 자금을 집행하게 된다.참고로 개발 프로젝트는 2015~20년 시행된 프로젝트의 결과로 유럽 평의회 실행 계획의 성과에 기반을 두고 있다.시행된 프로젝트는 '2018년 3월 1일 – 2021년 2월 28일까지 추진된 몰도바 공화국의 인권 준수 형사 사법 시스템 촉진(Promoting a human rights compliant criminal justice system in the Republic of Moldova)' 과 2015~18년까지 추진된 '몰도바 공화국의 형사 사법 개혁 지원(Support of the Criminal Justice Reforms in the Republic of Moldova)'에 관한 사항이다.
-
[미국] 전기통신공업회, 정보통신기술(ICT) 산업을 위한 '공급망 보안 표준 SCS 9001' 발표미국 전기통신공업회(Telecommunications Industry Association, TIA)에 따르면 정보통신기술(ICT) 산업을 위해 특별히 개발된 '공급망 보안 표준 SCS 9001'을 발표했다.TIA SCS 9001 표준은 소프트웨어, 하드웨어, 글로벌 네트워크를 연결하는 서비스 등을 포함해 모든 ICT 산업의 제품과 관련이 있다.개발된 표준의 목표는 ICT 네트워크 인프라 전반에 걸쳐 종단 간(end-to-end) 사이버 및 물리적 보안을 확인하는 것이다.이를 달성하기 위해 SCS 9001은 공급업체와 서비스 제공업체가 자사 제품과 솔루션에 대해 중요한 보안 제어 및 프로세스가 마련돼 있는지 확인하기 위한 독립적인 감사 및 인증 프로그램을 통해 프로세스 기반 표준으로 만들어졌다.새로운 표준은 ISO 27001, 프라하 제안(Prague Proposals), 관련 NIST 표준, 보안과 신뢰에 대한 CSIS 크리테리아 QMS(Quality Management System)를 중심으로 구축됐기 때문에 고유한 특성을 가진다.글로벌 커뮤니티는 연결성에 의존하고 기술은 보안을 계속해서 앞서고 있다. 하지만 ICT 공급망에 위협을 크게 완화하기 위해 프로세스 기반 검증 가능한 표준을 제정하게 됐다.SCS 9001 표준은 TIA의 QuEST 포험 공급망 보안 워킹 그룹, 전담 산업기술 및 보안 전문가로 구성된 소위원회에서 지난 20개월동안 검토했다. 지난 2021년 12월 31일 공식적으로 승인됐다.개발 프로세스 마지막 단계에서 전 세계 90개 이상의 기업, 정부의 표준 초안에 대한 피드백과 의견이 접수됐다. 이로 인해 약 500개에 이르는 의견이 접수됐으며 워킹 그룹에서 검토 및 처리했다.주어진 현재의 글로벌 환경과 증가하는 복잡성, ICT 공급망의 다양성으로 SCS 9001과 같은 표준이 공급업체와 제조업체가 그들 솔루션의 보안 구축 및 신뢰 강화를 입증하는데 도움이 될 것으로 전망된다.
-
[미국] 전기전자학회, IEEE 차기 회장 후보로 평생 펠로우 토마스 코플린(Thomas Coughlin) 등 지명미국 전기전자학회 이사회(IEEE Board of Directors)에 따르면 IEEE 차기 회장 후보로 평생 펠로우 토마스 코플린(Thomas Coughlin), 수석 회원 캐슬린 크레이머(Kathleen Kramer)와 메이크 루이켄(Maike Luiken) 등을 지명했다.IEEE의 평생 펠로우 카즈히로 코스게(Kazuhiro Kosuge)는 청원 후보자를 찾고 있다. 후보자가 되길 희망하는 회원은 2022년 4월 8일까지 Election@ieee.org로 의향서를 제출하면 된다.올해 선거를 통해 승리하는 후보는 2024년 IEEE 회장으로 선임되며 후보들의 면면을 살펴보면 다음과 같다. 평생 펠로우 토마스 코플린(Thomas Coughlin)는 IEEE 이사회로 부터 지명을 받았다. 코플린은 시장 및 기술 분석뿐만 아니라 데이터 저장, 메모리 기술, 비지니스 컨설팅 서비스 등을 제공하고 있는 캘리포니아 산호세 기반 코플린 어소시에이츠(Coughlin Associates) 설립자이자 대표이다.코플린의 약력을 살펴보면 데이터 스토리지 업계에서 40년 이상의 경험을 갖췄으며 20년 이상 컨설턴트로 일하고 있다. 6개의 특허를 보유하고 있으며 Ampex, Micropolis, SyQuest 등에서 고위 리더십 직책을 역임했다.'소비자 전자 제품의 디지털 스토리지 : 필수 가이드'의 저자이며 2판을 인쇄했다. 포브스 블로그 및 기타 뉴스 매체에 디지털 스토리지에 관해 정기적으로 기고하고 있다.2019년에는 IEEE 지역 6 이사뿐만 아니라 IEEE-USA 대표, IEEE New Initiatives 및 Public Visibility 위원회 의장을 역임했다. IEEE 소비자 기술 협회의 운영 및 계획 담당 부사장을 지냈으며 샌프란시스코에서 열린 2011 섹션 회의 일반 의장을 역임했다.자신이 의장을 맡고 있는 IEEE Santa Clara Valley Section의 정회원이며 여러 학회와 표준 그룹, IEEE 미래 방향 위원회 등에 참여했다.소비자 기술 학회(Consumer Technology Society) 및 IEEE Student Activities의 저명한 강사로 소비자 전자 제품의 디지털 스토리지, 인공 지능을 위한 디지털 스토리지 및 메모리 등에 관해 연설했다.코플린은 IEEE-Eta Kappa Nu(IEEE-HKN) 명예 협회 회원이며 2020 IEEE Member and Geographic Activities Leadership Award를 포함해 다수의 상을 수상했다.영화 및 텔레비전 엔지니어 협회(Society of Motion Picture and Television Engineers), 스토리지 네트워킹 산업 협회(Storage Networking Industry Association) 등 여러 전문 조직에서 활동하고 있다.수석 회원 캐슬린 크레이머(Kathleen Kramer) 역시 IEEE 이사회가 지명했다. 샌디에고 대학(University of San Diego) 전기공학과 교수이다. 지난 2004년~2013년까지 EE의 부서장 및 엔지니어링 이사로 재직했다. 이사로서 대학의 모든 엔지니어링 프로그램에 대해 학문적 리더십을 제공했다.그녀의 관심 분야는 다중 센서 데이터 융합, 지능형 시스템, 항공우주시스템의 사이버 보안 등이며 100권 이상의 출판물을 저술하거나 공저했다.크레이머는 2017년~2018년까지 IEEE 지역 6의 이사, 2019년~2021년까지 IEEE 총무를 역임했다. Bell Communications Research, Hewlett-Packard, Viasat 등을 포함해 여러 기업에 근무했다.IEEE 거버넌스 위원회 의장직을 수행할 당시 윤리 행위 보고의 중앙 집중화, 윤리 및 회원 행위 처리 프로세스 강화, IEEE의 각 개별 위원회 및 이사회의 주기적 검토 프로세스의 개선 등에 중요한 역할을 담당했다.크레이머는 의장, 비서, 재무 등을 포함해 IEEE 샌디에고 섹션에서 여러 리더십 직책을 역임했다. IEEE 항공 우주(EEE Aerospace) 및 전자 시스템 협회(Electronic Systems Society)의 적극적인 리더이다.2016년~2018년까지 교육 담당 부사장을 담당했으며 사회의 저명한 강사이자 신호처리, 다중 센서 데이터 융합, 신경 시스템에 대해 강연했다.사이버 보안에 관한 기술 운영 패널을 이끌고 있다. 응용과학, 컴퓨팅, 엔지니어링, 기술분야 학술 프로그램에 대한 글로벌 인증 기관 ABET 내 IEEE 위원으로 활동하고 있다. 크레이머는 대학원 프로그램, 사이버 보안, 메카트로닉스, 로봇 공학 분야의 여러 발전에 기여해 오고 있는 후보이다.수석 회원 메이크 루이켄(Maike Luiken)과 IEEE의 평생 펠로우 카즈히로 코스게(Kazuhiro Kosuge)에 대한 자세한 내용을 알고 싶은 사람은 IEEE의 홈페이지를 방문하면 된다.
-
[미국] APCER Life Sciences, 인터텍과 UKAS로부터 ISO/IEC 27001:2013 표준 인증 획득미국 약물 감시 서비스 기업인 APCER(APCER Life Sciences)에 따르면 인터텍(Intertek Certification Limited)과 UKAS로부터 ISO/IEC 27001:2013 표준 인증을 획득했다.APCER는 약물 수명 주기 전반에 걸쳐 규정 준수, 유해 사례 보고 솔루션을 개발해 서비스하고 있다. 주요 고객은 해당 솔루션이 필요한 제약 및 생명공학 기업이다. ISO/IEC 27001:2013 표준 인증은 데이터 개인정보보호 환경을 평가한다. 민감한 개인정보를 보호하기 위해 최신 기술 및 모범 사례를 활용해 강력한 보안 프로세스를 구축한다. 무결성 유지, 데이터 비밀 유지 및 접근 등의 조치를 통해 고객에게 믿음과 신뢰를 제공하기 위한 목적이다. EU-GDPR, UK-DPA, HIPAA와 같은 글로벌 데이터 보호 규정을 준수한다.위험 기반 사전 정보보안 태세를 갖추면 동적 위협 환경에 적응할 수 있어 기업의 회복력을 강화시킨다. 결과적으로 고객과 사업 파트너와의 신뢰를 강화시켜 줄 것으로 판단된다.이번 인증은 고객/회사의 데이터를 처리하는 직원 간 모범 사례 교육 및 인식, 보안 중심 문화를 촉진한다. 기업 및 정보보안 목표의 시너지, 사이버 위험 요소를 넘어 모든 잠재적 위험 원천을 고려한 동적 정보보안 위험도 관리한다.APCER는 전 세계 5곳의 글로벌 사무소를 운영하며 800명 이상의 직원이 고용하고 있다. 다양한 약물 감시 요구사항을 해결하기 위해 필요한 의학 및 과학 전문지식을 축적했다.의료 전문가와 의사 등이 협업할 수 있도록 글로벌 네트워크도 구축했다. 고객들은 100개 이상의 국가의 규제에 대한 방대한 경험, 감사 및 검사 준비에 대한 자문 등의 서비스를 받을 수 있다.
-
[미국] 전기전자학회(IEEE), IEEE SA와 공동으로 'IEEE 2089™-2021 표준 발표미국 전기전자학회(IEEE)에 따르면 2021년 연말 IEEE SA(IEEE Standards Association)와 공동으로 'IEEE 2089™-2021 - Standard for Age Appropriate Digital'을 발표했다.IEEE 2089-2021 표준은 UN의 아동권리협약(Convention on the Rights of the Child, CRC)에서 영향을 받아 '5Rights Foundation'을 기반해 개발한 원칙을 준수한다. 또한 조직이 서비스 연령을 적절하게 설정할 수 있도록 하는 일련의 프로세스를 정의하고 있다.어린이의 데이터 거버넌스는 정부와 정책입안자, 국제기관, 시민사회 조직, 기업(특히 디지털 서비스 제공업체), 부모, 교사, 어린이 등에게 영향을 미치면서 사회적 관심이 증가하고 있다.IEEE 2089의 워킹그룹 의장인 애리조나 주립대학교 카티나 마이클 교수는 "공익을 위한 기술에 초점을 맞추고 있으며 다양한 이해 관계자 대표를 포함해 강력한 설계 프로세스를 통해 위험을 완화하고 있다."고 밝혔다.이 표준은 학계, 교육, 디자인 과학, 소프트웨어 엔지니어링, 법률, 법 집행기관, 정부기관, 사회정책, 기타 산업 분야 전문가 들로 구성된 워킹그룹에서 개발한 것이다.IEEE 2089-2021이 포함하는 주요 원칙은 ▶사용자가 어린이라는 사실을 인식하고 ▶어린이와 청소년의 다양성을 인정하고 ▶연령에 맞는 정보를 제시하고 ▶어린이를 위한 적합한 공정한 용어를 사용하고 ▶상업적 이익 보다는 아동의 최상의 이익을 우선하는 것이다.IEEE 2089-2021는 권장 프로세스를 제공하고 디지털 제품 및 서비스의 개발, 배송, 유통의 라이프 사이클을 통해 위험 완화 및 관리를 고려하도록 권장하고 있다.취약 아동 인구의 개인정보 보호, 안전, 신뢰, 보안, 사용성과 관련된 중대한 문제들을 해결할 수 있기 때문이다.설계 프로세스는 조직이나 기업이 설계 프로세스 초기에 중요한 위험 관련 질문을 하거나 디지털 제품 및 서비스를 평가하는데 도움이 되고 제안을 강화하는 직접적인 기회가 될 것으로 전망된다.이 표준은 기술 제작자가 건강하고 안전한 디지털 환경에 대한 잠재력을 증가시키는 개발 프로세스의 일부로써 보호장치 및 기타 기능을 포함하도록 권장하고 있다.
-
[미국] 줌, Zoom Meeting Client 버전 5.6.6 국제 표준 인증 획득미국 화상회의 개발업체 줌(Zoom Video Communications, Inc.)에 따르면 Zoom Meeting Client 버전 5.6.6이 세계에서 가장 까다로운 보안 및 보증 평가 절차를 거쳐 국제 표준 인증을 획득했다.독일연방정보보호청(German Federal Office for Information Security)으로부터 Common Criteria Evaluation Assurance Level 2 (v3.1 rev. 5)를 획득한 최초의 비디오 커뮤니케이션 클라이언트이다.이 인증은 영국, 미국, 캐나다, 독일 등을 포함해 전 세계 25개국 이상에서 IT 제품 보안에 대한 최고 기준점이 되고 있다. 고객의 보안 우려를 불식시키기 위해 최초의 비디오 커뮤니케이션 클라이언트로서 인증을 받은 것이다.보안과 개인정보보호는 줌이 할 수 있는 모든 일의 초석으로 사용자를 위해 보안 기능을 지속적으로 혁신하고 있다. 또한 소프트웨어를 지속적으로 업데이트해 고객들이 모든 최신 보안 기능에 접근하도록 배려한다.독일연방정보보호청은 윈도우, macOS, iOS, 안드로이드 용 줌의 5.6.6버전을 인증했다. 최고 표준에 대한 사양을 충족하고 엄격한 테스트를 거쳤다.
-
[파키스탄] 국가데이터베이스등록청(NADRA), ISO 27001 인증획득파키스탄 국가 데이터베이스등록청(National Database and Registration Authority, NADRA)은 ISO 27001 인증을 획득했다고 밝혔다.NADRA는 이번 인증 획득으로 사이버 탄력적 조직이 되기 위한 또 다른 이정표를 달성했다. ID 카드 인쇄, 네트워크 및 통신, 인프라, 정보 보안 부서 등이 ISO 인증의 대상이다.전 세계에서 가장 엄격한 정보 보안 표준 중 하나인 ISO 27001 인증 요건을 NADRA의 정보 보안 경영 시스템(information security management systems, ISMS)이 통과한 것이다.ISO 인증은 NADRA의 ID 자산을 관리하는 프로세스가 국제 표준에 의해 관리되고 있음을 반영한 것이다. 보안 프로세스 및 절차가 국제 보안 모범 사례를 준수하고 정기적으로 감사를 받고 있다. SbD(Security by Default) 및 PbD(Privacy by Design) 프로토콜은 NADRA의 제품 및 서비스 개발 수명 주기 핵심에 있는 2가지 기본 전략이다.시민 데이터의 보안 및 무결성을 유지하려는 NADRA의 약속을 더욱 강화하고 애플리케이션 설계 및 프로세스에 구축된 보안을 검증한다.국제표준화기구(ISO)는 독립적이고 비정부적인 조직으로 전문가가 모여 지식을 공유하고 혁신을 지원한다. 글로벌 과제에 대한 솔루션을 제공하는 자발적이고 합의 기반의 국제 표준을 개발하고 있다.
-
[미국] 바자보이스(Bazaarvoice), ISO/IEC 27001 보안 인증 획득▲바자보이스(Bazaarvoice) 홍보영상 [출처=홈페이지] 미국 제품 리뷰 및 사용자 생성 콘텐츠(user-generated content, UGC) 솔루션 제공기업 바자보이스(Bazaarvoice)는 최근 ISO/IEC 27001 인증을 획득했다고 밝혔다.ISO 인증을 통해 바자보이스는 사이버 공격에 대한 복원력 있는 프로세스, 시스템 등을 보유하고 있음을 입증하게 됐다.또한 모든 정보를 한 곳에서 보호하는 중앙 관리 프레임워크, 기술 기반 위험, 기타 위협에 대한 조직 전체의 보호 기능, 진화하는 보안 위협에 대응할 수 있는 기능을 보유하고 있음을 확인받았다.인증을 받는 ISO 27001 되기 위한 절차는 고도의 운영 성숙도가 필요한 다년간 작업을 해야 하는 복잡하며 가장 정교한 조직만이 달성할 수 있다.ISO 27001은 지속적인 개선이라는 개념을 기반으로 하고 있다. 바자보이스는 시스템 및 데이터의 보안과 관련해 기준을 높이는 데 전념하고 있다.바자보이스의 광범위한 글로벌 소매, 소셜, 검색 신디케이션 네트워크, 제품에 대한 열정적인 커뮤니티, 대기업 수준의 기술은 브랜드와 소매업체가 고객의 여정 전반에 걸쳐 보다 스마트한 쇼핑 경험을 만드는데 필요한 도구를 제공한다.취약성을 효과적으로 관리하는 방법을 이해하는 것은 잘 보호된 솔루션을 보장하는 데 중요하다. 따라서 바자보이스는 지속적으로 취약점을 확인하고 존경받는 보안 표준에 부합하는 위험 기반 접근 방식으로 신속하게 해결하고 있다.CSA(Cloud Security Alliance) CAIQ(Consensus Assessment Initiative Questionnaire)는 보안 제어가 클라우드 공급자를 위해 올바른 곳에 있는지 알리는 효율적이고 투명한 방법을 제공한다.바자보이스는 이 프레임워크를 사용해 클라이언트 보안 정보 요청에 효과적으로 대응하고 있다. 독립적인 제3자와 협력해 침투 테스트를 매년 수행하고 있다.테스트 결과는 검토를 통해 문제가 발생시 해결을 위한 계획을 수립하고 개선 활동을 효과적으로 하기 위해 후속 테스트 실시 및 고객 요청시 요약 보고서를 제공하고 있다.국제표준화기구(ISO)는 제품 및 서비스, 시스템의 품질, 안전, 효율성을 보장하기 위한 표준을 개발하는 독립적이고 비정부적인 국제기구다. ISO는 167개국을 대표하고 있으며 2만4375개의 표준을 개발해 기업에게 탁월함과 혁신을 제공하고 있다.특히 ISO 27001은 정보 보안 경영 시스템(Information Security Management System, ISMS)에 관한 표준으로 ISMS에 대한 세계 최고의 표준이다.ISMS는 조직 내 정보보안을 보장, 관리, 지속적으로 개선하는데 필요한 모든 통제를 포함하는 정책, 표준, 절차의 프레임워크다.