IBM Cloud 지역 준수 프로그램 정보

글로벌 기업의 리더들은 자체 IT 인프라를 클라우드로 이동하면서 지역별 준수 표준이 날로 늘어나는 환경에 직면하고 있습니다. IBM Cloud™ 플랫폼 서비스는 이러한 지역 규정 준수 표준을 충족시키는 데 도움을 줍니다.

아시아 태평양

FISC(일본)

일본 재무성이 설립한 FISC(Financial Industry Information Systems) 센터에서는 일본의 금융 정보 시스템과 관련된 주제에 대한 연구를 진행하고 있습니다. FISC는 뱅킹 및 금융 산업 내에서 정보 시스템의 보안을 강화하기 위한 지침을 마련했습니다. 이 FISC 지침은 법으로 강제되지는 않지만, 대부분의 일본 금융 기관에서 채택하여 정보 시스템을 설계하고 유지보수하는 데 사용하고 있습니다.

IRAP(오스트레일리아)

ASD(Australian Signals Directorate)에서 계획한 IRAP(Information Security Registered Assessors Program)는 호주 국가 안보의 지원에서 양질의 정보통신기술 서비스를 정부에 제공합니다. IRAP는 민간과 공공 부문의 개인들이 호주 정부에 사이버 보안 평가 서비스를 제공할 수 있도록 하는 프레임워크를 제시합니다.

K-ISMS(대한민국)

K-ISMS(Korea Information Security Management System)는 한국인터넷진흥원(KISA)에서 후원하는 한국 정부 지원 인증입니다. K-ISMS는 기업의 정보 보안 관리 시스템이 제대로 설정, 관리 및 운영되는지 여부를 평가하도록 설계된 인증 시스템입니다. 이 인증을 받았다는 것은 한국의 IBM Cloud 인프라 고객이 보다 쉽게 핵심 디지털 정보 자산을 보호하기 위한 현지 법률 요구사항을 준수하고 KISA 준수 표준을 충족시킬 수 있음을 의미합니다.

IBM Cloud 인프라 서비스 K-ISMS 영문 인증서 보기(PDF, 317KB)

IBM Cloud 인프라 서비스 K-ISMS 한글 인증서 보기(PDF, 280KB)

ISMS 로고

MTCS(싱가포르)

싱가포르 표준 SS 584로도 알려져 있는 MTCS(Multi-Tier Cloud Security)는 싱가포르에서 운영 중인 클라우드 서비스 공급자를 위한 다중 계층 보안 표준입니다.

IBM Cloud 인프라 인증 요청: 클라이언트 포털 방문하기(IBM 외부 링크)

My Number Act(일본)

사회보장 및 납세번호 체계(My Number Act)는 2016년 1월부터 일본에서 시행되었습니다. 이 법에 따라 일본인이건 외국인이건 무관하게 일본의 모든 거주자들에게는 과세 및 사회 보장 목적으로 주로 사용되는 고유 번호가 할당됩니다. PPC(Personal Information Protection Commission)는 기업이 My Number 정보를 올바르게 처리하고 보호하는 데 도움이 되는 지침을 마련했습니다.

My Number Act 로고

유럽 및 영국

BaFin(독일)

BaFin(이전의 German Federal Financial Supervisory Authority)은 독일의 모든 금융 서비스 회사들을 감독하고 있습니다. BaFin은 금융 서비스 회사에 제공되는 클라우드 컴퓨팅 서비스에 대한 규제 프레임워크의 스펙을 공표했습니다.

C5(독일)

독일 연방 정보 보안 사무소(BSI)에서 도입한 클라우드 컴퓨팅 준수 제어 카탈로그(C5)는 클라우드에 특정한 증명 체계입니다. 이 체계는 클라우드 서비스의 최소 보안 레벨을 보장하기 위해 클라우드 서비스 제공자가 충족시켜야 하는 요구사항을 요약하여 설명합니다. C5는 데이터 처리의 투명성을 높이기 위한 추가 요구사항을 통해 ISO 27001 등의 기존 보안 표준을 결합하여 클라우드 공급자의 수요를 조장합니다.

IBM Cloud 인프라 C5 증명을 요청하려면 다음 중 하나를 수행하세요. 클라이언트 포털 방문하기(IBM 외부 링크)
IBM 담당자에게 문의하기

European Banking Authority - EBA(EU)

EU에서 일관되고 효율적이며 효과적인 감독 관행을 확립하고 EU 법률의 일관된 적용을 보장하고자 하는 미션의 일환으로, EBA(European Banking Authority)는 해당 기능 분야의 규정 지침과 권고사항을 제시합니다.

IBM Cloud 플랫폼의 EBA 권고사항 지원 방안 알아보기(PDF, 1.5MB)

ENISA IAF(EU)

ENISA(European Union Agency for Network and Information Security)는 클라우드 서비스 채택의 위험을 평가하기 위해 설계된 보증 기준 세트인 IAF(nformation Assurance Framework)를 공표함으로써 다양한 클라우드 제공자 제안을 비교하고 선정된 클라우드 제공자로부터 보증을 받으며 자체 보증 부담을 줄였습니다.

ENS(스페인)

ENS(National Security Framework of Spain)는 보안 관련 규정을 개발하여 이를 스페인의 모든 행정에 적용하는 법령입니다. ENS는 eGovernment 서비스에 대한 보안 정책을 수립합니다. 이는 모든 행정에서 정보를 적절히 보호할 수 있도록 하는 기본 원칙과 최소 요구사항을 설정합니다.

IBM Cloud 인프라 ENS 상위 인증 보기(PDF, 704KB)

ENS 상위 인증의 IBM Cloud 플랫폼 서비스에는 다음이 포함됩니다.

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage(IaaS)
IBM Cloud Virtual Servers

ENS 스페인 인증

EU 모델 조항(EU Model Clauses)

EU 시민의 PII(Personally Identifiable Information)의 관리자(controllers)와 처리자(processors)는 EU 모델 조항을 이용할 수 있습니다. 이러한 조항은 모든 글로벌 위치에서 EU 데이터 보호 지침에서 규정하는 법률과 관행을 따르도록 비EU 회사들에게 강요합니다. 이 조항은 EU 외부에 위치한 제공자가 자체 규정과 EU 법률에 따라서만 데이터를 처리하는 EU PII를 보유 중인 회사들에게 적용 권한과 보장을 제공합니다. 2018년 5월에 EU Data Protection Directive는 GDPR(General Data Protection Regulation)로 대체되었습니다.

EU-미국 간 개인정보 보호(Privacy Shield)

EU-미국간 및 스위스-미국간 개인정보 보호 프레임워크는 미국 상무부 및 유럽 연합 집행 기관 및 스위스 정부에 의해 설계되었습니다. 이러한 프레임워크는 대륙간 상거래의 지원으로 유럽 연합(EU)과 스위스의 개인 데이터를 미국으로 전송할 때 데이터 보호 요구사항을 준수할 수 있도록 지원하는 메커니즘을 양대륙 모두의 기업들에게 제공합니다.

개인정보 보호 인증 IBM Cloud 서비스의 목록 및 IBM 정책 보기

GDPR(EU)

EU의 GDPR(General Data Protection Regulation)의 일부로서 IBM은 설계상 개인정보 보호에 대한 지속적인 노력을 강화하고 있습니다. IBM은 자체 비즈니스 프로세스에 보다 심층적으로 데이터 보호 원칙을 내장할 수 있도록 작업 중에 있습니다. 또한 이 작업은 개인 데이터의 공유를 방지하기 위해 기본 설정에 의존하는 모바일 애플리케이션을 포함하여 개인 데이터에 대한 액세스를 제한하도록 기존 제어를 강화하기도 합니다.

IBM GDPR 프레임워크 알아보기

G-Cloud(영국)

영국 정부는 자체 정부 기관이 클라우드 공급자와의 구매 계약을 체결할 수 있도록 보다 빠르고 저렴한 프로세스를 가능하게 하는 G-Cloud 프레임워크를 구축했습니다. G-Cloud 서비스는 세 가지 범주로 구분됩니다. 클라우드 호스팅, 클라우드 소프트웨어 및 클라우드 지원.

Hébergeurs de Données de Santé - HDS, 상태 데이터 호스팅(프랑스)

HDS(Hébergeurs de Données de Santé)는 프랑스에서 처음으로 수집된 개인 의료 데이터를 보호해야 하는 상황을 기술하기 위해 설계되었습니다. 데이터 호스팅은 데이터의 중요 특성에 상응하는 보안 제어를 포함해야 합니다.

프랑스에서 수집된 개인 의료 데이터를 호스팅하는 개인이나 법인은 이 목적에 맞게 승인 또는 인증을 받아야 합니다.

IBM Cloud 인프라 서비스 HDS 인증 보기(PDF, 448KB)

IT-Grundschutz(독일)

IT-Grundschutz의 목표는 조직 내에서 모든 유형의 정보에 적합한 보안 레벨을 달성하는 것입니다. IT-Grundschutz는 이 프로세스에 대한 전체적인 접근 방식을 사용하며 기술, 조직, 인력 및 인프라 보호의 적용에 대한 지침을 제공합니다.

NIS Directive(EU)

NIS(Network and Information Systems) 지침(EU 2016/1148)은 유럽 연합 전체를 커버하는 최초의 사이버 보안 법률로서, EU의 핵심 인프라에 대한 전체 사이버 보안 수준 강화를 위해 마련되었습니다.

IBM은 적절하고 균형 잡힌 표준 기술 및 구성 수단을 유지함으로써 네트워크 및 정보 시스템의 보안에 따른 위험을 관리합니다. 여기에는 사이버 보안 위협과 공격에 대처하기 위한 보안 모니터링 프로그램 및 글로벌 인시던트 응답 프로세스가 포함됩니다. 또한 IBM은 온라인 교육, 교육 툴, 동영상 및 기타 인식 이니셔티브의 조합을 활용하여 직원들의 보안 인식 및 책임 문화를 강화하고 있습니다. 이러한 기술 및 구성 수단에 대한 자세한 정보는 ISO 27001 및 SOC 2 등의 IBM 인증 및 감사 보고서에서 확인할 수 있습니다.

 

미국

FERPA

보안은 비인가된 노출로부터 학생 정보의 보호를 요구하는 FERPA(Family Educational Rights and Privacy Act)을 준수하는 데 있어서 반드시 필요합니다. 클라우드 컴퓨팅을 사용하는 교육 기관에서는 계약상의 보증을 통해 기술 벤더가 중요한 학생 데이터를 적절히 관리하도록 해야 합니다.