제3자 리스크관리 단순화하기
- K-Risk(Lim)
- 5월 25일
- 1분 분량
by 임종권 jklim54@daum.net
Sotnikov는 제3자 리스크 관리(Third-Party Risk Management, TPRM)의 중요성과 이를 효과적으로 수행하기 위한 아래와 같은 다섯 가지 핵심 단계를 소개하고 있습니다. 조직이 외부 업체와 협력할 때 발생할 수 있는 보안 및 규제 위험을 최소화하고, 신뢰할 수 있는 파트너를 선택하며, 사고 대응 능력을 향상시키는 데 중점을 둡니다.
Ponemon Institute의 연구에 따르면, 평균적으로 기업은 제3자와 민감한 정보를 공유하지만, 이들 중 34%만이 제3자 목록을 체계적으로 관리하고 있습니다. 이는 보안 위협에 취약할 수 있음을 시사합니다.
제3자 리스크 평가 수행: 민감한 데이터를 외부에 위탁하거나 네트워크 접근 권한을 부여할 경우, 해당 제3자의 보안 정책과 관행을 평가해야 합니다. 이는 HIPAA나 FISMA와 같은 산업 표준을 준수하는 데 필수적입니다. 또한, 초기 평가뿐만 아니라 정기적인 재평가도 권장됩니다.
신중한 실사 진행: 신용 조회, 소송 이력 확인, 언론 보도 검토, 데이터 보호 조치 확인 등을 통해 제3자의 신뢰성을 평가합니다. 특히 고위험 제3자의 경우, 해당 기업의 관계사나 자회사에 대해서도 실사를 확대해야 합니다.
계약서 의무사항 명시: 명확한 계약 체결 모든 의무 사항을 서면 계약에 명시하여 분쟁을 예방합니다. 민감한 데이터를 처리하는 경우, 접근 제어, 물리적 보안, 데이터 무결성 유지 등의 보안 및 프라이버시 조치를 계약서에 포함시켜야 합니다.
제3자 활동 모니터링: 계약 체결 후에도 제3자의 활동을 지속적으로 감시하여 의무 이행 여부를 확인합니다. 이를 위해 사용자 활동을 모니터링하는 기술을 도입하고, 제3자에게도 유사한 보안 통제 기술의 사용을 요구해야 합니다.
사고 대응 계획 수립: 데이터 유출이나 시스템 침해와 같은 보안 사고 발생 시, 신속하게 대응할 수 있는 계획을 마련합니다. 이는 조직의 평판을 보호하고, 고객 신뢰를 유지하는 데 중요합니다.
by Sotnikov
2019년 8월 1일
Комментарии