데이터 규정 준수는 민감한 데이터의 수집, 처리, 보안 및 안전한 폐기에 대한 규제 요구 사항을 충족하지 않아 발생할 수 있는 벌금을 피하는 것 이상의 이점을 조직에 제공한다. 규정 준수는 고객과 파트너 간의 신뢰에 대한 회사의 평판을 높일 뿐만 아니라 데이터 침해 위험도 최소화한다. 규정 준수는 기업이 성공을 위해 점점 더 의존하는 데이터의 전반적인 품질을 향상시키고 조직의 운영 효율성을 향상시키며 경쟁 우위를 제공한다.

데이터 규정 준수의 기본은 현재 데이터 처리 및 보안 요구 사항을 충족하는 포괄적인 데이터 보안 정책을 고안하고 구현하는 것에서 시작된다. 정책은 포괄적이고 최신이어야 하며 규정 준수 환경의 새로운 규칙, 신기술 및 기타 변화를 수용할 수 있어야 한다.

견고한 규정 준수 전략은 조직이 일상적인 운영에 의존하는 데이터를 보호하기 위한 수탁 책임을 다하도록 보장하는 것 이상의 역할을 한다. 이제 데이터 규정 준수는 고객 및 비즈니스 파트너와 신뢰할 수 있는 관계를 구축하고 유지하는 데 핵심이다.

데이터 규정 준수란

데이터 규정 준수는 회사의 데이터 활동에 적용되는 법률, 규정 및 표준을 식별한다. 규정 준수에는 ▲데이터가 생성, 수집, 생성되는 시기 ▲정확성과 유효성을 보장하기 위한 데이터 관리 ▲데이터를 안전하게 저장하고 전송 ▲요청 시 승인된 사용자가 액세스 가능 ▲승인된 목적으로만 사용 ▲필요에 따라 수정 및 업데이트됨 ▲적시에 철저하게 파기 등 데이터 수명주기 전반에 걸쳐 민감한 소비자 정보의 안전한 저장, 합법적인 사용 및 적절한 폐기에 대한 요구 사항 충족이 수반된다.

당신 회사의 데이터 보호 정책은 보유하고 있는 모든 데이터의 보안을 설명하고 귀하의 조직이 모든 관련 데이터 표준 및 규정을 충족하는지 확인하기 위한 것이다. 정책이 법적으로 요구되지 않는 경우에도 데이터 보안에 대한 회사의 약속을 입증하는 데 도움이 된다.

이 정책은 ▲법률에서 요구하는 데이터 보호 ▲개인, 부서, 장치, IT 운영팀이 구현하는 데이터 보호 전략 ▲데이터 보호와 관련된 법률 및 규정 준수 규정 ▲데이터 관리자 및 특정 활동을 담당하는 기타 담당자에게 할당된 역할과 책임 등의 영역을 포함한다.

데이터 보호 감사는 조직이 데이터 관행에 적용되는 다양한 규정을 준수하는지 확인한다. 감사에서는 현재 데이터 프로세스의 공백을 식별하여 데이터 침해 시도를 저지하는 네트워크의 능력을 강화한다.

데이터 규정 준수가 중요한 이유

회사가 관련 데이터 규정을 준수하도록 보장하면 규정 위반에 대한 벌금을 지불하지 않아도 되고 회사의 평판에 해를 끼칠 수 있는 잠재적인 소송을 피할 수 있다. 데이터 규정 준수는 조직에 다음과 같은 많은 이점을 제공한다.

- 데이터 침해 및 기타 위협을 탐지하고 예방하는 데 있어 데이터 보안 조치의 효율성을 확인한다.

- 민감한 데이터를 안전하게 보관할 수 있다는 점을 고객, 파트너, 이해관계자에게 보여줍니다.

- 데이터 처리 관행에서 잠재적으로 취약한 영역을 식별하고 강화하여 위험을 완화한다.

- 규정 준수 감사의 일환으로 정확성을 향상하고 데이터의 유효성을 확인한다.

- 데이터 관리 프로세스의 비효율성을 식별하여 워크플로를 간소화하고 오류나 병목 현상이 발생할 가능성을 줄이다.

- 유럽 ​​및 기타 지역의 데이터 규정을 준수하여 국제 시장에서 운영할 수 있다.

- 데이터 보안 및 규정 준수에 대한 귀하의 의지를 고객에게 보여줌으로써 귀하에 대한 고객의 신뢰를 높인다.

- 규정 준수와 위험 관리 및 데이터 품질 이니셔티브를 통합하여 회사의 전반적인 데이터 거버넌스 운영을 명확하게 한다.

- 데이터 규정 준수를 시장에서 회사를 차별화하는 자산으로 활용하여 경쟁 우위를 확보할 수 있도록 지원한다.

알아야 할 데이터 규정

민감한 데이터의 수집, 저장, 사용 및 폐기를 관리하는 많은 규정은 의료, 금융 등 특정 산업 분야의 기업이나 유럽이나 기타 지역에서 운영되는 기업에만 적용된다. 미국 정부 기관은 많은 민간 기업이 자발적으로 준수하는 NIST(National Institute of Standards and Technology)에서 정한 데이터 표준을 충족해야 한다.

다음은 미국 및 해외 조직에 영향을 미치는 가장 일반적인 데이터 규정 준수 규정이다.

① NIST 사이버보안 프레임워크 (CSF) : 데이터 보안 위험을 완화하기 위한 모범 사례를 설명하는 자발적 표준이다.

 ② NIST SP 800-53 Rev. 5(2020) : 정보 시스템 및 조직의 보안 및 개인 정보 보호 제어 평가는 IT 시스템과 IT 시스템에서 처리하고 저장하는 데이터를 보호하기 위한 표준 역할을 한다.

③ ISO(국제 표준화 기구) 27001 및 27002 : 정보 시스템 보안을 계획하고 구현하기 위한 프레임워크와 지침을 제시한다.

④ PCI DSS(지불 카드 산업 디지털 보안 표준) : 신용 카드 및 직불 카드 거래 중에 민감한 소비자 정보를 보호한다.

⑤ 일반 데이터 보호 규정(GDPR) : EU 거주자의 개인 정보를 보호하기 위해 고안된 유럽 연합의 법률 이다 .

⑥ 캘리포니아 소비자 개인 정보 보호법(CCPA) : 캘리포니아에서 사업을 하는 회사에 적용되며 거주자에게 자신의 개인 데이터가 어떻게 사용되는지 알 권리 와 데이터 수집 및 공유를 방지할 권리를 보장한다.

⑦ HIPAA(건강 정보 이동성 및 책임법) : 전자 PHI(보호 건강 정보) 및 기타 민감한 환자 데이터에 적용된다.

⑧ FedRAMP(연방 위험 및 인증 관리 프로그램) : 사이버 위협을 평가하고 민감한 데이터에 미치는 위험을 평가하기 위한 연방 기관 지침을 제공한다.

⑨ FISMA(연방 정보 보안 관리법) : 연방 기관이 데이터 및 정보 시스템의 보안을 개선하기 위해 취할 수 있는 조치를 정의한다.

⑩ ISACA : IT 관리, 거버넌스, 보안 및 규정 준수를 다루는 COBIT(정보 및 관련 기술에 대한 제어 목표)라는 제어 프레임워크를 제공하여 보안 및 감사 전문가를 지원하는 국제 조직이다.

2024년에 발효될 새로운 데이터 규정

2024년에 발효될 몇 가지 새로운 데이터 규정은 조직 보안 보호의 초석인 데이터 규정 준수에 더 많은 관심을 불러일으킬 것이다.

① PCI DSS 버전 4.0 : 업데이트된 표준의 첫 번째 규정 준수 기한은 2024년 3월 31일이며, 이때 기업은 13가지 새로운 요구 사항을 준수해야 한다. 그 중에는 규정 준수에 대한 "맞춤형 접근 방식"을 정의할 필요성도 있다.

② 연방거래위원회(FTC) 보호 규정 개정 : 2024년 5월 13일에 금융 기관이 최소 500명의 고객에게 영향을 미치는 데이터 침해를 FTC에 통보하도록 요구하는 새로운 규정이 발효된다. 그들은 이미 그러한 위반 사항을 증권거래위원회(SEC)에 통보해야 한다.

③ SEC 위반 공개 규칙 : 소규모 보고 회사는 사이버 보안 사고에 대해 보다 광범위한 보고를 요구하는 새로운 SEC 규칙을 2024년 6월 15일까지 준수해야 한다 .

④ 플로리다, 오리건, 텍사스 데이터 개인 정보 보호법 : 2024년 7월 1일에 해당 주에 거주하는 소비자의 민감한 데이터를 처리하기 위한 규칙을 설정하는 새로운 법률이 해당 주에 발효된다. 비슷한 법이 2024년 10월 1일 몬태나주에서도 발효될 예정이며, 워싱턴 주의 MHMD(My Health My Data) 법이 대기업의 경우 2024년 3월 31일부터, 중소기업의 경우 2024년 6월 20일부터 확대 적용된다.

⑤ 연방 제로 트러스트 모델 : 2022년 1월 바이든 행정부는 정부의 제로 트러스트 아키텍처를 설명하는 각서를 발행했다. 모든 연방 기관은 사이버 보안 및 인프라 보안 기관에서 고안한 제로 트러스트 성숙도 모델의 5개 제로 트러스트 핵심 요소인 ID, 장치, 네트워크에 따라 2024 회계연도 말(9월 30일)까지 19개의 특정 작업을 완료해야 한다. , 애플리케이션 및 워크로드, 데이터.

데이터 규정 준수 문제

회사의 데이터 보호 정책이 확립되면 데이터 규정 준수의 주요 과제는 새로운 데이터 법률이 발효되고 새로운 기술이 등장함에 따라 정책을 최신 상태로 유지하는 것이다. 예를 들어, 머신러닝(ML) 및 기타 AI 기술은 자동화된 대응 워크플로를 통해 즉시 위험을 식별하고 완화해 데이터 보안을 강화할 것을 약속해야 한다. 마찬가지로 블록체인은 데이터 인증 및 확인을 자동화하여 사기, 데이터 손상 및 데이터 조작의 위협을 줄여 신뢰도를 향상시킨다.

특히 제로 트러스트 보안 모델은 ▲특정 데이터의 민감도 분류 ▲저장 및 전송 중인 민감한 데이터 암호화 ▲개인 정보를 노출하지 않고 사용할 수 있도록 민감한 데이터를 토큰으로 마스킹하거나 대체  ▲각 요청에 필요한 최소 수준으로 액세스를 제한하기 위한 데이터 세분화 ▲알아야 할 필요성과 각 사용자의 위험 프로필을 기반으로 한 사용자 및 장치 인증 ▲민감한 데이터 복사, 인쇄, 이메일 전송 또는 기타 공유에 적용되는 데이터 손실 방지 등 데이터 규정 준수에 대한 혁신적인 접근 방식을 지원하지만 시스템 구현이 복잡할 수 있다.

데이터 규정 준수 문제를 극복하려면 다음 10단계가 필요하다.

① 회사의 법적 요구 사항 이해

② 데이터를 분류하고 관리

③ 동의 관리를 포함하는 개인 정보 보호 정책을 만들고 구현

④ 확립된 업계 및 정부 표준을 기반으로 데이터 보안 조치를 구현

⑤ 직원을 교육하고 일상 업무에서 데이터 보안 인식을 고취

⑥ 정기적으로 데이터 정책 감사 및 평가를 수행

⑦ 다양한 사고 대응을 계획

⑧ 규정 준수 노력 및 문서 규정 준수 활동에 대한 기록을 유지

⑨ 귀하의 비즈니스와 상호 작용하는 공급업체 및 제3자의 데이터 보호 조치에 유의

⑩ 규정 준수 노력을 지속적으로 모니터링하고 규정 준수 전략을 정기적으로 업데이트

내부 운영 및 외부 관계를 강화하는 수단으로 데이터 규정 준수를 수용하는 조직은 프로세스를 수익을 개선하고 단기 및 장기 목표를 달성하는 데 도움이 되는 자산으로 전환할 수 있다.