IBM Cloud 준수 프로그램

글로벌 기업의 리더들은 자체 IT 인프라를 클라우드로 이동하면서 지역별 준수 표준이 날로 늘어나는 환경에 직면하고 있습니다. IBM Cloud™ 플랫폼 서비스는 이러한 지역 규정 준수 표준을 충족시키는 데 도움을 줍니다.

BaFin(이전의 German Federal Financial Supervisory Authority)은 독일의 모든 금융 서비스 회사들을 감독하고 있습니다. BaFin은 금융 서비스 회사에 제공되는 클라우드 컴퓨팅 서비스에 대한 규제 프레임워크의 스펙을 공표했습니다.

독일 연방 정보 보안 사무소(BSI)에서 도입한 클라우드 컴퓨팅 준수 제어 카탈로그(C5)는 클라우드에 특정한 증명 체계입니다. 이 체계는 클라우드 서비스의 최소 보안 레벨을 보장하기 위해 클라우드 서비스 제공자가 충족시켜야 하는 요구사항을 요약하여 설명합니다. C5는 데이터 처리의 투명성을 높이기 위한 추가 요구사항을 통해 ISO 27001 등의 기존 보안 표준을 결합하여 클라우드 공급자의 수요를 조장합니다.

IBM Cloud 인프라 C5 증명을 요청하려면 다음 중 하나를 수행하세요. 클라이언트 포털 방문하기(IBM 외부 링크)
IBM 담당자에게 문의하기

EU에서 일관되고 효율적이며 효과적인 감독 관행을 확립하고 EU 법률의 일관된 적용을 보장하고자 하는 미션의 일환으로, EBA(European Banking Authority)는 해당 기능 분야의 규정 지침과 권고사항을 제시합니다.

IBM Cloud 플랫폼의 EBA 권고사항 지원 방안 알아보기(PDF, 1.5MB)

ENISA(European Union Agency for Network and Information Security)는 클라우드 서비스 채택의 위험을 평가하기 위해 설계된 보증 기준 세트인 IAF(nformation Assurance Framework)를 공표함으로써 다양한 클라우드 제공자 제안을 비교하고 선정된 클라우드 제공자로부터 보증을 받으며 자체 보증 부담을 줄였습니다.

ENS(National Security Framework of Spain)는 보안 관련 규정을 개발하여 이를 스페인의 모든 행정에 적용하는 법령입니다. ENS는 eGovernment 서비스에 대한 보안 정책을 수립합니다. 이는 모든 행정에서 정보를 적절히 보호할 수 있도록 하는 기본 원칙과 최소 요구사항을 설정합니다.

IBM Cloud 인프라 ENS 상위 인증 보기(PDF, 704KB)

ENS 상위 인증의 IBM Cloud 플랫폼 서비스에는 다음이 포함됩니다.

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage(IaaS)
IBM Cloud Virtual Servers

EU 시민의 PII(Personally Identifiable Information)의 관리자(controllers)와 처리자(processors)는 EU 모델 조항을 이용할 수 있습니다. 이러한 조항은 모든 글로벌 위치에서 EU 데이터 보호 지침에서 규정하는 법률과 관행을 따르도록 비EU 회사들에게 강요합니다. 이 조항은 EU 외부에 위치한 제공자가 자체 규정과 EU 법률에 따라서만 데이터를 처리하는 EU PII를 보유 중인 회사들에게 적용 권한과 보장을 제공합니다. 2018년 5월에 EU Data Protection Directive는 GDPR(General Data Protection Regulation)로 대체되었습니다.

EU-미국간 및 스위스-미국간 개인정보 보호 프레임워크는 미국 상무부 및 유럽 연합 집행 기관 및 스위스 정부에 의해 설계되었습니다. 이러한 프레임워크는 대륙간 상거래의 지원으로 유럽 연합(EU)과 스위스의 개인 데이터를 미국으로 전송할 때 데이터 보호 요구사항을 준수할 수 있도록 지원하는 메커니즘을 양대륙 모두의 기업들에게 제공합니다.

개인정보 보호 인증 IBM Cloud 서비스의 목록 및 IBM 정책 보기

EU의 GDPR(General Data Protection Regulation)의 일부로서 IBM은 설계상 개인정보 보호에 대한 지속적인 노력을 강화하고 있습니다. IBM은 자체 비즈니스 프로세스에 보다 심층적으로 데이터 보호 원칙을 내장할 수 있도록 작업 중에 있습니다. 또한 이 작업은 개인 데이터의 공유를 방지하기 위해 기본 설정에 의존하는 모바일 애플리케이션을 포함하여 개인 데이터에 대한 액세스를 제한하도록 기존 제어를 강화하기도 합니다.

IBM GDPR 프레임워크 알아보기

영국 정부는 자체 정부 기관이 클라우드 공급자와의 구매 계약을 체결할 수 있도록 보다 빠르고 저렴한 프로세스를 가능하게 하는 G-Cloud 프레임워크를 구축했습니다. G-Cloud 서비스는 세 가지 범주로 구분됩니다. 클라우드 호스팅, 클라우드 소프트웨어 및 클라우드 지원.

HDS(Hébergeurs de Données de Santé)는 프랑스에서 처음으로 수집된 개인 의료 데이터를 보호해야 하는 상황을 기술하기 위해 설계되었습니다. 데이터 호스팅은 데이터의 중요 특성에 상응하는 보안 제어를 포함해야 합니다.

프랑스에서 수집된 개인 의료 데이터를 호스팅하는 개인이나 법인은 이 목적에 맞게 승인 또는 인증을 받아야 합니다.

IBM Cloud 인프라 서비스 HDS 인증 보기(PDF, 448KB)

IT-Grundschutz의 목표는 조직 내에서 모든 유형의 정보에 적합한 보안 레벨을 달성하는 것입니다. IT-Grundschutz는 이 프로세스에 대한 전체적인 접근 방식을 사용하며 기술, 조직, 인력 및 인프라 보호의 적용에 대한 지침을 제공합니다.

NIS(Network and Information Systems) 지침(EU 2016/1148)은 유럽 연합 전체를 커버하는 최초의 사이버 보안 법률로서, EU의 핵심 인프라에 대한 전체 사이버 보안 수준 강화를 위해 마련되었습니다.

IBM은 적절하고 균형 잡힌 표준 기술 및 구성 수단을 유지함으로써 네트워크 및 정보 시스템의 보안에 따른 위험을 관리합니다. 여기에는 사이버 보안 위협과 공격에 대처하기 위한 보안 모니터링 프로그램 및 글로벌 인시던트 응답 프로세스가 포함됩니다. 또한 IBM은 온라인 교육, 교육 툴, 동영상 및 기타 인식 이니셔티브의 조합을 활용하여 직원들의 보안 인식 및 책임 문화를 강화하고 있습니다. 이러한 기술 및 구성 수단에 대한 자세한 정보는 ISO 27001 및 SOC 2 등의 IBM 인증 및 감사 보고서에서 확인할 수 있습니다.