사이버 보안 정책
1. 서론 및 목적
1.1 Rheonics 는 독점 데이터, 고객 정보, 지적 재산권, IT 인프라를 비롯한 정보 자산을 무단 접근, 사용, 공개, 변경, 중단 또는 파괴로부터 보호하기 위해 최선을 다하고 있습니다.
1.2 본 정책은 안전한 환경을 유지하기 위한 프레임워크를 설정합니다. Rheonics' 디지털 운영은 다음과 일치합니다.
- 규정: 스위스 FADP, GDPR(해당되는 경우), 미국 주/연방법 및 기타 해당 국가법 Rheonics 작동합니다.
- 표준: Zero Trust 원칙, CIS 벤치마크, NIST 가이드라인(예: 해당되는 경우 SP 800-88, SP 800-171), OWASP 가이드라인.
1.3 목표:
- 데이터 및 시스템의 기밀성, 무결성, 가용성(CIA)을 보호합니다.
- 사이버보안 사고의 위험을 최소화하고 사업 연속성을 보장합니다.
- 모든 직원에게 보안에 대한 인식을 심어줍니다.
- 법률, 규정 및 계약상의 의무를 준수합니다.
2. 범위
모든 것에 적용됩니다 Rheonics 직원, 계약자, 컨설턴트, 인턴, 자원 봉사자 및 제3자("사용자")가 액세스합니다. Rheonics 시스템, 데이터 또는 시설. 다음이 포함됩니다.
2.1 자산
- 하드웨어
- 소프트웨어(SaaS/IaaS/PaaS 포함)
- 데이터(전자 및 물리적)
- Networks
- 물리적 시설
2.2 년 활동
- 현장 작업
- 원격 작업
- 회사 소유 기기 사용
- 개인 기기 사용(BYOD)
- 개발 활동
- 제3자 공급업체 상호 작용
3. 역할 및 책임
| 직위별 | 주요 업무 |
|---|---|
| 정책을 옹호하고, 자원을 할당하고, 전반적인 규정 준수 및 위험 관리를 보장합니다. | |
| IT/보안 팀 | 통제를 구현/관리하고, 사고 대응을 주도하고, 감사 및 평가를 수행합니다. |
| 모든 사용자 | 정책을 준수하고, 강력한 비밀번호와 MFA를 사용하고, 사고를 즉시 보고하고, 교육을 완료하세요. |
4. 정책 성명
4.1 데이터 보안
- 분류 및 취급: 데이터는 민감도에 따라 분류하고 처리해야 합니다(부록 A 참조). 민감도에 따라 요구 사항이 증가합니다.
- 암호화: 제한적이고 기밀인 데이터는 저장 중 및 전송 중에 강력한 업계 표준 알고리즘을 사용하여 암호화되어야 합니다.
- 처분: 안전한 방법을 사용해야 합니다. 전자 매체의 경우 NIST SP 800-88을 준수하는 완전 삭제 방식을 사용하고, 기밀 또는 제한 데이터가 포함된 물리적 문서의 경우 P-4 이상 횡단 파쇄 방식을 사용해야 합니다. 데이터 보존 일정을 준수해야 합니다.
4.2 접근 통제
- 최소 권한 및 RBAC: 역할 기반 접근 제어(RBAC)를 사용하여 직무 기능 필요성(최소 권한)에 따라 접근 권한이 부여됩니다.
- 입증: 고유 사용자 ID가 필요합니다. 클라우드 서비스, 원격 액세스, 관리 계정 및 기밀/제한된 데이터를 처리하는 시스템에는 강력한 비밀번호(부록 B 참조)와 MFA(다중 인증)가 필수입니다.
- 리뷰 : 접근 권한은 관리자/시스템 소유자가 분기별로 검토하며, 해고 또는 역할 변경 시 즉시 취소됩니다. 접근 권한 부여/변경에는 공식 승인 절차가 필요합니다.
4.3 허용 가능한 사용 정책(AUP)
- 사업 목적: Rheonics 리소스는 주로 업무용으로 사용됩니다. 업무 방해, 과도한 리소스 소모, 비용 발생, 정책/법률 위반이 아닌 경우, 제한적인 부수적인 개인적 사용은 허용됩니다.
- 금지된 활동: 불법 활동, 괴롭힘, 불쾌감을 주는 자료 접근/배포, 저작권 침해, 무단 시스템 수정, 보안 제어 우회, 무단 소프트웨어 설치, 맬웨어 도입, 무단 데이터 공유/침출, 과도한 개인적 이용을 포함하되 이에 국한되지 않습니다.
- 사용자 경계: 사용자는 이메일(피싱), 웹 브라우징(악성 사이트), 첨부 파일/링크 처리에 주의해야 합니다.
4.4 네트워크 보안
- 경계 및 세분화: 방화벽과 IDS/IPS가 유지 관리됩니다. 네트워크 분할을 통해 중요 시스템(예: R&D, 생산)과 데이터 저장소를 격리합니다.
- 와이파이 : 내부 네트워크의 경우 보안 WPA3-Enterprise(또는 최소 WPA2-Enterprise)를 사용해야 합니다. 게스트 Wi-Fi는 논리적으로 분리되어야 하며 내부 리소스에 대한 접근을 허용하지 않아야 합니다.
- 원격 액세스 : MFA가 적용된 회사 승인 VPN을 통해서만 가능합니다. 분할 터널링은 제한될 수 있습니다.
- 제로 트러스트: Zero Trust 아키텍처 원칙(예: 마이크로 세분화, 지속적 검증, 장치 상태 검사)의 구현은 현재 진행 중이며, 중요 네트워크에 대해서는 1년 2026분기까지 완료를 목표로 합니다.
4.5 회사 소유 엔드포인트 보안
- 보호: 회사 소유의 모든 엔드포인트(데스크톱, 노트북, 모바일)에는 회사 관리 엔드포인트 탐지 및 대응(EDR) 또는 승인된 바이러스 백신 소프트웨어가 실행되고 업데이트되어 있어야 합니다.
- 패치: 운영 체제와 애플리케이션은 회사의 패치 관리 프로세스를 통해 최신 상태로 유지되어야 합니다. 중요한 패치는 정해진 기간 내에 적용되어야 합니다. [Rheonics 타임라인을 정의하려면(예: 중요한 OS의 경우 72시간)
- 암호화: 노트북과 휴대용 기기에서는 전체 디스크 암호화(예: BitLocker, FileVault)가 필수입니다.
4.6 BYOD(Bring Your Own Device)
- 승인 및 표준: 개인 기기를 사용하여 비공개 정보에 접근(BYOD) Rheonics 데이터는 명시적인 승인과 최소 표준 준수가 필요합니다(부록 D 참조).
- 보안 요구 사항: MDM 등록, 지원되는 OS 버전, 보안 소프트웨어, 암호화, 암호, 원격 삭제 기능, 데이터 분리/컨테이너화가 포함됩니다.
- 부인 성명: Rheonics BYOD 기기에서 회사 데이터를 관리/삭제할 권리를 보유합니다. Rheonics 보안 조치 중 개인정보 유출에 대해 책임을 지지 않습니다.
4.7 소프트웨어 보안 및 관리
- 승인된 소프트웨어: IT 부서에서 승인한 라이선스 소프트웨어만 설치할 수 있습니다. 사용자는 허가받지 않은 애플리케이션을 설치하는 것이 금지되어 있습니다.
- 패치 관리 : 모든 시스템(서버, 엔드포인트, 네트워크 장치)의 모든 소프트웨어(OS, 애플리케이션, 펌웨어)에 적용됩니다.
- 취약점 관리 : 정기적인 취약점 스캐닝이 수행되었습니다. 중요한 취약점은 정해진 기한 내에 수정되어야 합니다. [Rheonics 정의하려면]. 중요 시스템에 대해 주기적으로 수행되는 침투 테스트입니다.
- 안전한 개발: (해당되는 경우) 개발팀은 보안 코딩 관행(예: OWASP Top 10)을 따라야 하고, 코드 검토를 실시하고, 보안 테스트 도구(SAST/DAST)를 사용해야 합니다.
- 소프트웨어 구성 분석(SCA): 오픈소스 구성 요소는 반드시 목록을 작성하고 취약점을 검사해야 합니다. 경영진/IT 보안팀에서 명시적으로 위험을 감수하지 않는 한, 수명이 종료된(EOL) 소프트웨어/구성요소의 사용은 금지됩니다.
4.8 물리적 보안
- 액세스 제어: 에 액세스 Rheonics 시설, 서버실, R&D 연구실은 물리적 통제(배지, 열쇠, 생체 인식)를 통해 출입이 제한됩니다. 민감한 구역의 출입 기록은 유지됩니다.
- 방문자 관리: 방문객은 등록을 해야 하고, 임시 신분증을 발급받아야 하며, 비공개 구역에서는 안내를 받아야 합니다.
- 워크스테이션 보안: 사용자는 자리를 비울 때 워크스테이션을 잠가야 합니다(Windows+L / Ctrl+Cmd+Q).
- 깨끗한 책상/화면: 민감한 정보(실제 문서, 화면 등)는 특히 개방된 공간에서 또는 자리를 비울 때 무단 열람으로부터 보호해야 합니다. 안전한 폐기통을 사용하십시오.
4.9 클라우드 보안
- 승인된 서비스: 클라우드 서비스(SaaS, IaaS, PaaS) 활용 Rheonics 데이터는 IT/보안 부서의 승인을 받아야 합니다.
- 구성 및 모니터링oring: 서비스는 CIS 벤치마크(AWS/GCP/Azure 등)에 맞춰 안전하게 구성되어야 합니다. 조건부 액세스 정책(예: 지리적 위치, 기기 규정 준수)을 시행해야 합니다. API 및 사용자 활동 로깅을 활성화하고 모니터링해야 합니다.
- 데이터 보호 : 클라우드 제공자가 다음을 충족하는지 확인하세요. Rheonics' 계약 및 평가를 통해 데이터 보안, 암호화, 백업 및 상주 요구 사항을 충족합니다.
4.10 제XNUMX자/공급업체 관리
- 위험 평가 : 액세스, 처리, 저장하는 공급업체를 참여시키기 전에 보안 평가를 수행합니다. Rheonics 데이터 또는 네트워크에 연결합니다. 위험 수준에 따라 평가의 깊이가 결정됩니다.
- 계약 요구 사항: 계약서에는 기밀 유지, 데이터 보호(GDPR/FADP에 따라 개인 데이터를 처리하는 경우 DPA 포함), 보안 관리, 사고 알림, 감사 권한에 대한 조항이 포함되어야 합니다.
- 진행 중인 모니터링oring: 중요한 공급업체 보안 태세를 주기적으로 검토합니다.
4.11 사고 대응
- 보고 : 의심되는 사건은 즉시 보고해야 합니다(발견 후 1시간 이내 대상) () 또는 (24시간 연중무휴 회사 내부 팀 채널).
- 대응 계획: Rheonics 사고 대응 계획(IRP)을 유지합니다. 기본 흐름은 부록 C를 참조하십시오.
- 중대한 사건: (예: 랜섬웨어, 확인된 데이터 침해) 에스컬레이션 및 봉쇄 조치를 발동합니다(4시간 이내 대상). 법률/임원에게 통보하는 것은 규정에 명시된 일정에 따릅니다(예: 해당되는 경우 GDPR/FADP 72시간 침해 통보).
- 협력: 모든 사용자는 사고 대응 조사에 전면적으로 협조해야 합니다.
5. 집행
위반 사항은 현지 고용법에 따라 심각성과 의도에 따라 처리됩니다.
| 위반 | 예시 | 결과(예시) |
|---|---|---|
| 미성년자 | 우발적인 정책 위반, 중요하지 않은 교육 누락 | 서면 경고; 의무적 재교육 |
| 주요한 | 공유 자격 증명, 반복적인 사소한 위반, 승인되지 않은 P2P 소프트웨어 설치 | 정지; 공식적인 징계 조치 |
| 비판적 / 의도적 | 의도적인 데이터 침해; 악의적인 활동; 방해 행위 | 해지; 잠재적 법적 조치 |
6. 정책 유지 관리
- 리뷰 주기: 정책 소유자(IT 책임자)와 이해 관계자가 최소한 연 1회 검토합니다.
- 리뷰 트리거: 주요 보안 사고, 중요한 규제 변경(예: 새로운 데이터 개인정보 보호법), 주요 기술/인프라 변경(예: 대규모 클라우드 마이그레이션), 감사 결과 등의 이유로 임시 검토가 발생합니다.
- 업데이트: 승인된 변경 사항이 모든 사용자에게 전달되었습니다.
7. 부록
7.1 부록 A: 데이터 분류
| 분류 | 예시 | 처리 요구 사항 |
|---|---|---|
| 한정된 | 고객 PII, R&D 소스 코드, 암호화 키 | • 암호화(휴지 중/전송 중) • 엄격한 액세스 로그 • 알아야 할 사항 + 명시적 승인 • 연간 접근 검토 |
| 기밀 | 직원 기록, 재무 데이터, 내부 전략 | • MFA 권장/필수 • 알아야 할 사항 기준 • 내부적으로 제한된 공유 |
| 내부의 | 회의록, 내부 정책, 일반 커뮤니케이션 | • 승인 없이 외부 공유 금지. • 회사 시스템을 사용하세요 |
| 공공 영역 | 마케팅 자료, 웹사이트 공개 콘텐츠 | • 취급/공유에 대한 제한 없음 |
7.2 부록 B: 암호 요구 사항
- 최소 길이:
- 사용자 계정: 12자
- 관리자/서비스 계정: 16자
- 복잡성
- 대문자, 소문자, 숫자, 기호(~!@#$%^&*()-_=+[]{}|;:'”,.<>/?) 중 3개 이상 사용 가능. 사용자 이름이나 일반적인 사전 단어는 포함할 수 없습니다.
- 회전
- 최대 90일(승인된 지속적 인증 방법을 사용하지 않는 경우).
- 연혁
- 이전 5개의 비밀번호는 재사용할 수 없습니다.
- 스토리지 :
- 보안되지 않은 상태로 기록해서는 안 됩니다. 회사에서 승인한 비밀번호 관리자(예: Bitwarden, 1Password)를 사용하세요.oring 복잡하고 고유한 비밀번호. 비밀번호 공유 금지. MFA 우회 금지.
7.3 부록 C: 사고 대응 흐름
- 탐지 및 분석: 잠재적인 사고를 파악합니다.
- 보고 : 정의된 채널을 통해 IT/보안 부서에 즉시(목표 시간 1시간 이내) 보고합니다.
- 분류 및 평가: IT/보안은 심각성과 영향을 평가합니다.
- 방지: 영향을 받은 시스템/계정을 격리합니다(중요 사고의 경우 4시간 이내).
- 근절: 위협/취약성을 제거합니다.
- 회복: 시스템/데이터를 안전하게 복구합니다.
- 사고 후 검토: 얻은 교훈, 프로세스 개선.
- 당첨자 발표: 평가 결과에 따라 필요한 법적/규제/고객 알림을 수행합니다(예: GDPR/FADP 개인 데이터 침해의 경우 72시간 이내).
7.4. 부록 D: BYOD 최소 표준
- 승인: 비공개 데이터에 접근하기 전에 필요합니다.
- 장치 요구 사항 :
- OS 버전: 현재 공급업체에서 지원하는 버전(예: Windows 11+, macOS 14+, iOS 16+, Android 13+)을 실행해야 합니다.
- 보안 : 화면 잠금/생체 인식이 활성화되어 있음; 기기 암호화가 활성화되어 있음; 승인된 보안 소프트웨어(AV/맬웨어 방지)가 필요할 수 있음; 기기가 탈옥/루팅되지 않음.
- MDM: 등록 Rheonics' 모바일 기기 관리(MDM) 솔루션은 필수입니다.
- 원격 지우기: 회사 데이터/프로필에 대한 기능을 활성화해야 합니다.
- 데이터 분리: 관리되는 프로필 또는 컨테이너(예: Microsoft Intune MAM, Android Work Profile) 내의 승인된 애플리케이션을 통해 접근/저장되는 회사 데이터. 회사 데이터를 개인 앱/스토리지에 복사하지 않습니다.
- 네트워크: 안전한 Wi-Fi를 통해 연결하세요. 업무용으로는 신뢰할 수 없는 공용 Wi-Fi를 사용하지 마세요.
8. 연락 및 확인
- 보안 질문/우려 사항: 연락하다 () 또는 내부 채널을 통한 IT/보안 팀에 문의하세요.
- 사건 보고: 긴급한 방법을 사용하세요: () 및 (24/7 회사 내부 팀 채널).
- 승인: 모든 사용자는 입사 및 주요 업데이트 적용 시 (HR 포털, 교육 시스템)을 통해 본 정책을 전자적으로 읽고 이해하고 수신을 확인해야 합니다. 수신을 확인하지 않더라도 정책의 적용이 무효화되지 않습니다.