거버넌스 프레임워크의 보안 제어

기본 수준에서 계획을 세우는 것이 중요합니다. 어떻게 시작하나요? 다음 그림은 정책, 제어 목표, 표준 및 보안 제어를 기반으로 보안 거버넌스 전략을 구축하는 방법을 보여줍니다.

다음은 보안 거버넌스 전략의 계층적 구성 요소입니다.

• 정책 - 정책은 모든 사이버 보안 거버넌스 전략의 기초입니다. 회사가 충족해야 하는 법적, 규제적 또는 계약상의 의무와 같은 회사의 기대치를 명시한 문서입니다. 정책은 산업과 리전에 따라 다를 수 있습니다.

• 제어 목표 – 제어 목표는 업계에서 인정하는 모범 사례와 같이 정책 의도를 충족하는 데 도움이 되는 목표입니다. 클라우드 컴퓨팅의 경우 많은 기업이 사이버 보안 제어 목표의 프레임워크인 CCM(Cloud Controls Matrix)(Cloud Security Alliance 웹 사이트)을 채택합니다.

• 표준 - 표준은 제어 목표를 충족하는 공식적으로 설정된 요구 사항입니다. 표준에는 프로세스, 조치 또는 구성이 포함될 수 있으며, 표준과 비교하여 성능을 측정할 수 있도록 정량화할 수 있습니다.

• 보안 제어 - 보안 제어는 표준을 구현하기 위해 마련한 기술적 또는 관리적 메커니즘입니다. 모든 보안 제어가 표준에 매핑되지만 모든 표준이 보안 제어에 매핑되는 것은 아닙니다. 보안 제어 테스트는 정의된 표준을 효과적으로 충족하고 있는지 모니터링하고 측정하도록 고안되었습니다.

이 가이드는 AWS 클라우드에서 일반적인 유형의 보안 제어를 설계하고 구현하는 방법에 중점을 둡니다.