검색결과
-
[바레인] 비욘 커넥트(Beyon Connect), 8월 29일 ISO 27001과 ISO 27018 2개의 인증 획득바레인 플랫폼 기업인 비욘 커넥트(Beyon Connect)에 따르면 2022년 8월 29일 ISO 27001과 ISO 27018 2개의 인증을 획득했다고 밝혔다.ISO 27001 표준은 정보보안경영시스템과 관련돼 있으며 정보보호 분야에서 가장 권위가 있는 국제표준이다. 영국표준인 BS7799가 2005년 11월 ISO 표준으로 승격됐다.ISO 27018은 클라우드 서비스에서 처리되는 이용자 혹은 고객 개인 식별 정보(Personally Identifiable Information, PII)의 안전한 처리를 위해 이행해야 하는 통제와 관련된 가이드라인을 제공하는 국제 표준이다.국제표준화기구(ISO) 표준을 획득함으로써 비욘 커넥트는 고객에게 정보보안을 완벽하게 통제하고 있다는 것을 확인시켜 줄 수 있다. 클라우드에 저장된 개인 데이터의 보호 수준을 높이고 있다는 것도 증명했다.특히 ISO 27001은 재정 정보, 지식재산, 직원 개인정보, 제3자로부터 제공받은 정보 등과 같은 자산의 보호를 관리하는지 평가한다. PII는 해커들이 가장 선호하는 공격 목표이기 때문에 보호의 중요성이 증대되고 있다.참고로 비욘 커넥트는 2022년 1월 설립됐다. 중동과 북아프리카 지역의 공공 및 민간 기업을 대상으로 혁신적인 신기술과 선진화된 IT 솔루션을 제공하는데 초점을 맞추고 있다.
-
[나이지리아] 카다나(Cadana), 6월 29일 자사의 SOC 2 Type 2가 ISO/IEC 27001:2013 인증 획득나이지리아 스타트업인 카다나(Cadana)에 따르면 2022년 6월 29일 자사의 SOC 2 Type 2가 ISO/IEC 27001:2013 인증을 획득했다. 카다나는 급여 관리 플랫폼이다.ISO/IEC 27001:2013은 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증이다. 정보보호정책, 물리적 보안, 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목을 심사한다.카다나는 아프리카 근로자를 위한 현대적 급여 플랫폼이다. 근로자들은 플랫폼을 통해 월말까지 급여를 기다리지 않고 언제든지 자신이 일한만큼 급여를 인출할 수 있다. 이자는 없다.근로자를 고용하고 있는 기업들이 회원으로 참여해 근로자의 급여에 관한 정보를 제공한다. 고용주 입장에서는 급여 관리 소프트웨어를 구축할 필요가 없어 편리하다.미국 공인회계사회(American Institute of CPAs, AICPA)가 캐나다의 SOC 2 Type 2가 사용자의 데이터를 완벽하게 보호한다고 인증했다.독립 감사업체인 Barr Advisory가 카다나의 클라우드 인프라, 조직적 프로세서를 포함해 서버와 시스템에 대한 감사를 진행했다. 정보보안실행, 정책, 절차, 운영이 엄격한 SOC 2 표준에 적합하지 판단하기 위함이다.모든 기업은 ISO/IEC 27001:2013 인증을 발기 위해서 고객 데이터를 완벽하게 보호한다는 신뢰를 얻어야 한다. 조직 내부에 정보보안관리시스템을 구축하고 실행하며 유지 및 지속적 개선이 이뤄져야 한다.현재 카다의 CEO는 공동 설립자인 Albert Owusu-Asare가 맡고 있다. 또한 CTO는 Ameer Shujjah로 미국 그린넬 칼리지에서 컴퓨터 사이언스를 전공했다.참고로 카다나는 2021년 설립된 스타트업이며 가나와 나이지리아에서 수백개의 기업이 회원으로 참여하고 있다. 근로자들이 월말까지 급여를 기다리지 않고 중간에 자신이 일한만큼 급여를 사전에 받아가는 서비스를 제공한다.
-
[스위스] 국제표준화기구(ISO), 정보 보안 및 사이버 보안, 프라이버시 보호 등 ISO/IEC 27400:2022 표준 발표스위스 제네바에 본부를 둔 국제표준화기구(International Organization for Standardization, ISO)에 따르면 국제전기표준회의(International Electronical Commission, IEC)와 공동으로 정보 보안 및 사이버 보안, 프라이버시 보호 등에 관한 ISO/IEC 27400:2022 표준을 발표했다.ISO/IEC 27400:2022 표준은 사이버보안-사물인터넷(IoT) 보안 및 개인정보 보호-지침 등에 관한 표준이다. IoT 보안 및 개인 정보 보호를 위한 위험, 원칙, 통제에 대한 지침을 제공한다.네트워크 연결 시 보안이 취약한 장치는 조직 전체에 위험을 초래한다. 취약한 암호 인증에서 버그가 넘쳐나는 취약한 소프트웨어까지 보안에 대한 우려는 매우 다양하다.따라서 ISO/IEC 27400:2022는 조직이 네트워크 전체에 연결된 모든 장치의 보안 문제를 해결하는데 도움이 된다.ISO/IEC 27400은 IoT 시스템이 고도로 분산돼 있고 다수의 다양한 실체를 수반하기 때문에 정보 보안을 위한 특별한 과제를 제시하고 있다.표준 문서의 보안 및 개인 정보 보호 통제는 IoT 시스템 환경의 이해 당사자를 위해 개발됐다. IoT 시스템 수명 주기 동안 각 IoT 이해 당사자에 의해 활용된다.개인정보보호 또는 개인 식별 가능 정보(personally identifiable information, PII) 보호는 일부 유형의 IoT 시스템의 중요한 관심사항이다.IoT 시스템이 PII를 취득하거나 사용하는 경우는 일반적으로 PII의 취득, 저장, 처리에 적용되는 법률과 규정이 있다.참고로 IoT는 '다른 디바이스와 시스템과 연결되거나 데이터를 교환하는 센서, 소프트웨어, 기타 기술과 같이 연결된 물리적 객채'로 정의된다. 통신을 위해 인터넷이나 기타 통신 네트워크를 활용한다.
-
[스위스] 국제표준화기구(ISO), ISO/IEC 27036 정보보안 및 사이버 보안, 개인정보보호 등 표준 개발스위스 제네바에 본부를 둔 국제표준화기구(ISO)에 따르면 ISO/IEC 27036 표준은 정보 보안 및 사이버 보안, 개인 정보 보호와 관련이 있는 IEC와 ISO 기술위원회에 의해 개발됐다.기업이 중요한 데이터를 저장하기 위해 클라우드 회사를 포함한 제품 및 서비스 구입 시 타사 공급업체에 의존하게 된다.따라서 ISO/IEC 27036은 사이버 보안의 관점에서 구매자와 공급업체 모두에게 위험을 초래할 수 있다고 지적한다. 조직 스스로 공급망 공격의 결과로부터 보호해야 된다.합의 기반 국제 표준은 최고의 사례를 근거로 하고 있다. 전 세계 전문가들의 통찰력은 신뢰할 수 있는 지침과 조언을 제공한다.이러한 과정을 통해 개발된 국제 표준은 공급망 전체에 걸쳐 조직들의 위험을 관리해야 되며 공급자와 취득자의 관계를 정의하고, 구현, 운영, 모니터링, 검토, 유지, 개선하기 위한 정보 보안 요구사항을 식별한다.ISO/IEC 27036:2022 표준은 ISO/IEC 27036-1, ISO/IEC 27036-2, ISO/IEC 27036-3, ISO/IEC 27036-4 등 4개의 파트로 구성돼 있다.첫째, ISO/IEC 27036-1은 사이버보안 - 공급업체 관계 - Part 1 : 개요 및 개념에 관한 표준이다. 둘째, ISO/IEC 27036-2는 사이버보안 - 공급업체 관계 - Part 2 : 요구사항에 관한 표준이다.셋째, ISO/IEC 27036-3은 정보기술 - 보안기술 - 공급업체 관계를 위한 정보보안 - Part 3 : 정보통신 기술 공급망 보안 지침에 관한 표준이다.넷째, ISO/IEC 27036-4는 정보기술 - 보안기술 - 공급업체 관계를 위한 정보보안 - Part 4 : 클라우드 서비스 보안 지침에 관한 표준이다.이중 파트 2 요구사항은 공급망 및 클라우드 서비스 보안을 포함한 공급업체 관계에 대한 포괄적인 지침을 함께 제공하고 있다.
-
[벨기에] 유럽연합(EU), 암호화폐 이체를 전통적인 은행 이체와 같은 돈 세탁 규칙을 적용유럽연합(European Union, EU)에 따르면 암호화폐(cryptocurrency) 이체를 전통적인 은행 이체와 같은 돈세탁 규칙을 적용하는 원칙에 합의했다.2022년 6월 27일 EU 협상단은 27국을 대상으로 포괄적인 암호 규제안인 암호자산 시장(Markets in Crypto Assets, MiCA)에 대해 최종 세부 사항을 결정했다.협상단은 비트코인 등 암호화폐 거래 추적에 관한 첫 번째 규칙의 잠정 합의서에 서명했다. 암호화폐 자산의 소유권이 바뀔 때, 출처와 수혜자 모두의 정보가 양측에 저장돼야 된다.규칙에는 시장 조작, 자금 세탁, 테러 자금 조달 및 기타 범죄 행위를 방지하기 위한 조치가 포함돼 있다. 암호화폐 기업은 자금 세탁이나 테러 자금 조달과 같은 범죄 활동을 수사하는 당국에 관련 정보를 제공해야 된다.EU 소속 기관들은 암호화폐 추적 규칙을 최종 승인하기 전에 필요한 기술적 세부 사항을 검토하고 있다. 최종 승인을 거쳐 2024년 발효가 예상된다.EU가 트렌드를 결정해 사실상 글로벌 표준이 된 데이터 개인정보보호정책처럼 암호화폐 규제 역시 세계적으로 영향력이 클 것으로 예상된다.이번에 합의한 EU의 암호화폐 규정은 사실상 세계 최초의 포괄적인 암호화폐 규제다. EU가 어떻게 대처해 나갈것인지 면밀히 검토할 국가가 많을 것으로 예측된다.특히 자체 규칙을 처음부터 제정할 여력이 없는 국가는 EU가 채택하고 있는 규칙 몇가지 세부 사항을 바꿔 유사하게 채택할 것으로 전망되기 때문이다.EU의 규칙은 금융 안정성 유지를 목표로 하고 있으나 최근 암호화폐 관련 정책 충돌로 감독당국의 우려가 커지고 있다.2022년 5월 스테이블코인 테라USD가 붕괴되면서 약 US$ 400억달러로 추정되는 투자금이 사라졌다. 이러한 붕괴가 규제에 대한 요구를 폭발시켰으며 주요 국가는 대처 방안을 고려하기 시작했다.미국 조 바이든 대통령은 2022년 3월 암호화폐에 대한 정부 감독에 대한 행정명령을 통해 금융 안정성과 국가 안보에 미치는 영향을 연구하라고 명령했다. 동년 5월 캘리포니아주가 연방정부와 함께 암호화폐에 폭넓게 대응하는 방법을 공식적으로 검토하기 시작했다.독일 등 몇몇 유럽 국가들은 기본적인 암호 규정을 이미 보유하고 있다. 영국은 일부 암호화폐 규제 계획을 공개했다.향후 EU의 최종 목표는 한 국가에 기반을 둔 암호화폐 회사가 다른 회원국에서 서비스를 제공할 수 있도록 블록 전체에 규칙을 적용하는 것이다.
-
정보보호 소프트웨어(SW) 조달단가계약 쉬워진다조달청(청장 이종욱)은 그동안 CC인증*을 받은 정보보호 SW에 대해서만 단가계약을 체결하던 것을 소프트웨어 품질인증(이하 GS인증)을 받은 정보보호 SW도 단가계약을 체결하도록 관련 규정**을 개정하고 12월 27일부터 시행에 들어간다. * CC(Common Criteria)인증 : 정보기술 보안평가를 위한 공통평가 기준 ** 상용소프트웨어 제3자단가계약 업무처리기준, 상용소프트웨어 제3자단가계약추가특수조건 이번 제도개선은 보안적합성 검증체계* 개편으로 공공부문의 정보보호 SW 도입요건이 완화**됨에 따라 정보보호SW 개발 촉진과 공공조달시장 판로 확대를 위해 이루어졌다. * 국가기관, 지자체, 학교, 공공기관 등이 도입하는 IT보안제품의 안정성 검증 제도 ** CC인증 요구 → 도입기관 및 제품 유형별로 완화된 보안인증 요구(CC인증 외에 보안기능확인서, 성능평가서, 암호모듈확인서, 신속확인서 허용) 주요 내용을 살펴보면 다음과 같다. 먼저 기존에는 CC인증을 받은 정보보호 SW만 단가계약 신청이 가능했지만 CC인증이 없어도 GS인증만 받으면 단가계약 신청이 가능하게 되었다. 다만, 바뀐 보안적합성 검증체계에 따라 SW 도입기관과 제품 유형별로 받아야 하는 보안인증 요건은 충족해야 한다. 계약기간은 연장기간을 포함하여 최대 6년이며, 보안기능확인서 등 계약 및 납품에 필요한 보안인증의 유효기간 중 가장 먼저 도래하는 만료일지 까지만 계약할 수 있다. 최근 정보보안의 중요성이 높아지고 있는 가운데 이번 계약제품 확대에 따라 구매기관과 납품기업이 반드시 준수해야 할 사항이 있어 주의를 요한다. 구매기관과 생산기업은 납품요구 또는 납품 전에 해당 제품이 도입기관 및 제품 유형별 도입요건을 충족하는지 반드시 확인해야 한다. 조달청은 구매기관과 생산기업의 업무편의를 위해 도입기관 및 제품 유형별 도입요건을 상세히 안내하고, 필요사항을 확인·입력해야 구매절차를 진행할 수 있도록 구매 플랫폼인 디지털서비스몰* 기능을 개선할 예정이다. * 조달청이 운영하는 상용SW, 디지털서비스 등 SW·ICT 제품·서비스 전용 구매 플랫폼(온라인 쇼핑몰) 백승보 신기술서비스국장은 “이번 제도개선으로 그동안 CC인증을 획득하지 못해 공공시장에 진입하지 못했던 정보보호 SW 개발·생산 중소기업의 공공조달시장 진입이 활발해질 것으로 기대한다.”며, “앞으로도 상용SW 공공조달과 관련된 규제를 지속적으로 개선해서 공공조달을 통한 SW 산업발전과 기업 성장을 적극 지원하겠다.” 고 말했다. 이번에 개정된 규정 전문은 조달청 누리집과 나라장터, 디지털서비스몰 등에서 확인할 수 있다.
-
[캐나다] 솔트 엣지(Salt Edge), 5월 ISO/IEC 27001:2013 인증받아▲솔트 엣지(Salt Edge) [출처=홈페이지] 캐나다 핀테크 업체인 솔트 엣지(Salt Edge)에 따르면 2022년 5월 ISO/IEC 27001:2013 인증을 받았다. ISO/IEC 27001:2013 표준은 위협으로부터 데이터를 보호하는 정보보호경영시스템 관련 표준이다.특히 ISO/IEC 27001:2013 표준은 정보보안을 관리하기 위해 높은 요건을 제정한 잘 알려진 국제 표준 중 하나다. 정보보안 관점에서 기업이 노출될 수 있는 위험을 평가한다.또한 기업이 자체적으로 관리하고 있는 데이터를 보호하는데 있어서 효율성을 지속적으로 증가시키는데 목적이 있다. 솔트 엣지는 2018년 ISO 27001 인증을 받았다.따라서 솔트 엣지의 고객과 최종 사용자는 자신들의 데이터를 충분하게 보호받는다는 것을 보장받게 된다. 잠재적 위험은 충분하게 완화된다.데이터를 안전하게 관리하는 것이 회사의 주요 미션이기 때문에 정보보안은 솔트 엣지의 핵심이다. 매 3년 마다 새롭게 재인증을 받고 있으며 정책, 실행, 절차에 대해서는 매년 감사를 받는다.참고로 ISO/IEC 27001:2013은 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증이다. 정보보호정책, 물리적 보안, 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 엄격한 심사와 검증을 통과해야 인증을 받을 수 있다.
-
[미국] PRI Registrar, 표준협회(ANAB)로부터 ISO 17021와 ISO 27006 인증 요건 통과미국 비영리 시험인증기관인 PRI(Performance Review Institute) Registrar에 따르면 2022년 6월 ISO 17021와 ISO 27006 인증을 위한 엄중한 요건을 통과했다. 해당 인증은 미국 표준협회(ANAB)로부터 받았다.정보보호경영시스템(ISMS) ISO/IEC 27001:2013 표준은 정보보호경영시스템에 관한 국제적으로 잘 알려진 표준이다. ISO 27001은 조직 내부에서 정보보호경영시스템을 구축, 이행, 유지, 지속적인 개선을 위한 요건을 정의한다. 조직의 필요성에 대한 정보보호의 측정과 처리에 관한 요건을 모두 포함한다.현재 사이버범죄가 기승을 부리면서 데이터 침해는 조직의 연속성에 대한 심각한 위험이다. 기술은 지속적으로 변하고 있으므로 정보보호시스템의 수용은 안전하고 확신에 찬 방식으로 새로운 기술을 사용하도록 돕는다.정보보호경영시스템 인증을 받았다는 것은 다양한 이해관계자에게 기업이 세계 최고 수준의 위험 기반 데이터보호경영시스템을 운용할 수 있다는 것을 보여준다.PRI(Performance Review Institute)는 ISO 27017와 ISO 27018이라는 2가지 관련 인증 서비스를 제공한다. 전자는 정보보호위험에 관한 완벽한 통제를 구축하는 클라우드 기반의 정보를 위한 실행의 국제 코드이다.클라우드 서비스 제공자로서는 ISO 27001 인증을 이미 받았다. ISO 27017는 고객의 정보 안전을 확신하는데 도움을 주는 보조 표준이다.ISO 27018은 개인적으로 인증가능한 정보(PII)을 관리하는데 사용된다. PII의 심각한 볼륨을 처리하는 클러우스 서비스 제공자는 ISO 27018 인증을 받거나 ISO 27001 및 ISO 27017의 결합에 의해 인증을 받는다.참고로 PRI(Performance Review Institute)는 1990년 설립된 비영리 무역협회이다. 안전과 품질에 목표를 둔 산업에서 활동하는 이해관계자와 협력해 프로세스와 제품 품질을 개선하는데 초점을 둔 산업 관리 프로세스 인증 프로그램을 관리한다.
-
[영국] AGSL(Asset Guardian Solutions Ltd), 5월 ISO/IEC 27001 인증 획득영국 소프트웨어 개발업체인 AGSL(Asset Guardian Solutions Ltd)에 따르면 2022년 6월 ISO/IEC 27001 인증을 획득했다. ISO/IEC 27001는 정보보호 관리체계에 대한 인증이다.ISO/IEC 27001 프레임워크는 AGSL는 기업의 정보자산의 비밀성, 통합, 가용성 등을 보호하기 위한 우호적인 접근을 가능케 한다. 국제표준화기구(ISO)와 국제전기표준회의(IEC)에 의해 관리되는 표준이다.정보보호 관리에 관한 표준을 획득했다는 것은 AGSL이 사이버보안 공격, 데이터 유출, 데이터 절도 등과 같은 정보 위험을 관리하는 정책, 절차, 프로세스, 시스템을 구현하고 있다는 의미이다.AGSL은 파트너, 고객에 속한 정보가 매우 중요하다고 인식하고 있다. 따라서 정보의 안전한 관리는 비지니스 업무의 최우선 업무에 속한다.2004년 설립된 AGSL은 기업의 운영과 생산 프로세스를 통제하는데 사용되는 프로세스 통제 시스템 소프트웨어의 통합을 보호하는 소프트웨어를 개발하고 있다.2022년 6월 현재 오일 & 가스, 전력회사, 발전소, 석유화학, 제약, 운송, 식음료 산업 등에 사업을 영위하는 다양한 기업을 대상으로 서비스하고 있다.
-
[중국] 알리바바, 메타버스 표준 포럼(Metaverse Standards Forum) 창림 멤버로 참여중국 전자상거래 대기업 알리바바 그룹 홀딩(Alibaba Group Holding)에 따르면 세계 최초 국제 메타버스 표준 기구의 창립 멤버가 되었다. 메타버스 표준 포럼(Metaverse Standards Forum)은 지난 6월 21일 37개 펀딩 멤버들이 참여해 설립됐다.국제표준 제정 기관인 크로노스 그룹(Khronos Group)이 의장을 맡아 2022년 7월 첫 회의가 개최될 예정이다. 메타버스 표준 포럼은 개방형 메타버스 개발을 위한 표준 제정이 목표다.참여 회원은 중국의 알리바바 그룹 홀딩, 통신장비 대기업 화웨이 테크놀로지, 메타, 마이크로소프트, 엔비디아, 퀄컴 테크놀로지스, 어도비, 엔비디아, ASWF 등 세계적인 기술 대기업이 참여하고 있다.포럼의 활동은 회원들의 요구 및 이해관계에 따라 결정되며 포럼의 활동 및 프로젝트 영역은 다음과 같다. 우선 대화형 3D 자산 및 사실적인 렌더링, AV, VR, XR을 포함한 휴먼 인터페이스 및 상호 작용 패러다임, 사용자가 만든 콘텐츠 등이 포함된다.또한 아바타, ID 관리 및 개인정보보호, 금융거래, 사물인터넷(IoT) 및 디지털 트윈, 지리공간 시스템 등을 망라한다. 이외에도 다양한 기술 영역이 포함될 수 있다.