모범 사례 5.2 - SAP 워크로드 내에서 데이터 분류

데이터 민감도는 위험을 완화하는 데 필요한 제어에 영향을 줄 수 있습니다. 업계 또는 조직 내의 표준 프레임워크를 참조하고 채택하여 SAP 워크로드 및 그 안에 포함된 데이터를 분류하는 것이 좋습니다.

제안 사항 5.2.1 - 데이터 분류 및 처리 요구 사항을 결정

이미 조직에 마련된 데이터 분류 프레임워크가 있는지 파악합니다. 이러한 프레임워크는 기밀성, 무결성 및 가용성을 보호해야 하는 데이터와 같이 정보의 민감도에 따라 데이터를 분류하는 데 도움이 될 수 있습니다. 산업, 비즈니스 또는 IT 요구 사항에 따라 사용자 정의할 수 있는 미국 정보 분류 체계 같은 표준 분류 모델이 있습니다.

분류에 적합한 지침에 따라 데이터를 처리하는 방법을 이해합니다. 여기에는 표준 또는 규제 요구 사항(예: PCI-DSS 또는 GDPR)과 관련된 특정 보안 제어 및 일반적인 개인 정보 보호 고려 사항(예: 개인 식별 정보(PII) 처리)이 포함됩니다. 다음 문서는 추가 정보를 제공합니다.

• AWS 설명서: 데이터 분류: 안전한 클라우드 도입 백서

• AWS 설명서: 일반 데이터 보호 규정(GDPR) 센터

• 정보 시스템 및 조직에 대한 NIST 보안 및 개인 정보 보호 통제

• ISO 27001 – 부록 A.8: 자산 관리

• Well-Architected Framework [보안]: 데이터 보호

제안 사항 5.2.2 - 특정 처리 규칙이 적용되는 SAP 데이터 유형을 식별

SAP 시스템이 지원하는 비즈니스 프로세스에 따라 데이터 처리 및 저장에 대한 요구 사항이 있을 수 있습니다. 지역 및 산업별 지침을 숙지합니다. SAP 예에는 다음이 포함될 수 있습니다.

• 저장된 카드 소지자 데이터를 보호하고 PCI 규정 준수를 보장하기 위해 디지털 결제 추가 기능이 필요한지 여부를 평가합니다.

• HR 데이터의 데이터 상주 요구 사항을 평가합니다. 예를 들어 일부 국가 및 관할 지역은 데이터를 특정 지리적 위치에 저장하도록 요구할 수 있습니다.

• 민감한 데이터를 난독 처리하되 데이터 무결성을 유지하기 위해 비프로덕션 시스템에서 어떤 데이터를 스크램블링해야 하는지 고려합니다.

제안 사항 5.2.3 - 정의된 프레임워크에 따라 모든 워크로드를 분류

SAP 시스템을 해당 비즈니스 용도 및 중요한 데이터 유형의 존재에 따라 분류합니다. SAP ERP와 같은 트랜잭션 시스템은 SAP BW와 같은 분석 시스템 또는 Solution Manager와 같은 관리 시스템보다 민감한 데이터를 포함할 가능성이 높지만 기능 및 보안 전문가가 이를 확인해야 합니다.

또한 비프로덕션 워크로드에도 동일한 제어가 적용되는지 평가합니다. 예를 들어 비프로덕션 워크로드가 프로덕션 데이터를 포함하는 경우 동일한 보안 제어를 준수해야 합니까?