[업데이트 2024] 인증된 전문가가 검증한 CTPRP 덤프 무료 테스트 엔진 [Q62-Q83]

제3자 위험 평가 시 실사를 수행하는 것은 제3자가 제공한 정보를 확인 및 검증하고, 해당 관계에서 발생할 수 있는 잠재적 위험이나 문제를 식별 및 평가하는 프로세스입니다. 실사 방법은 제3자 참여의 유형, 범위, 복잡성에 따라 다를 수 있지만 일반적으로 다음 단계를 포함합니다123:
* 주제별 전문가 또는 통제 소유자와의 인터뷰: 이 방법에는 비즈니스 소유자, 프로젝트 관리자, 법률 고문, 규정 준수 책임자, 보안 분석가 등 조직과 제3자 모두의 관련 이해관계자와의 면담이 포함됩니다. 인터뷰의 목적은 제3자의 역량, 프로세스, 정책, 성과 및 과제에 대한 자세한 정보를 수집하고 설문지 또는 기타 출처에서 발생할 수 있는 질문이나 우려 사항을 명확히 하기 위한 것입니다. 또한 인터뷰를 통해 당사자 간의 관계와 신뢰를 구축하고 제공된 정보의 차이점이나 불일치를 파악하는 데 도움이 될 수 있습니다.
* 규정 준수 아티팩트 검토: 이 방법에는 인증, 인증, 감사 보고서, 정책, 절차, 계약, SLA 등과 같이 제3자의 주장이나 주장을 뒷받침하는 증거 또는 문서를 검토하는 것이 포함됩니다. 검토의 목적은 아티팩트의 정확성, 완전성 및 유효성을 확인하고 해당 표준, 규정 및 모범 사례의 준수 수준을 평가하는 것입니다. 또한 검토를 통해 타사의 통제 또는 프로세스에서 개선이 필요하거나 취약한 부분을 파악하는 데 도움이 될 수 있습니다.
* 통제 검증: 이 방법에는 보안 조치, 품질 보증, 데이터 보호, 사고 대응 등과 같은 제3자의 통제 또는 프로세스의 실제 구현 및 효과를 테스트하거나 검사하는 것이 포함됩니다. 검증의 목적은 제어가 의도하고 예상한 대로 작동하는지, 그리고 평가에서 확인된 위험이나 문제를 완화하기에 충분한지 확인하는 것입니다. 또한 검증은 타사의 제어 또는 프로세스에서 취약점이나 공백을 식별하는 데 도움이 될 수 있습니다.
다른 옵션은 제3자 위험 평가의 모든 측면이나 차원을 다루지 않거나 불완전하거나 오래된 정보에 의존할 수 있으므로 위에서 설명한 방법만큼 포괄적이거나 정확하지 않습니다. 시설 견학을 통해 물리적 및 환경적 보안 통제를 검사하는 것은 검증 방법의 일부일 뿐이며 클라우드 서비스 제공업체나 원격 근무자와 같은 모든 유형의 제3자에게 적용되거나 실행 가능하지 않을 수 있습니다. 설문지 결과의 상태를 검토하고 개선 계획을 정의하는 것은 설문지가 이미 작성되고 분석되었다고 가정하기 때문에 실사 방법이라기보다는 후속 조치 또는 모니터링 활동에 가깝습니다. 계약에 구체적으로 정의된 의무만을 검토하고 평가하는 것은 제3자 관계의 전체 범위나 복잡성, 관련 위험이나 문제의 역동적이고 변화하는 특성을 파악하지 못할 수 있으므로 좁고 제한적인 접근 방식입니다. 참고자료:
* 제3자 실사 - 중요하지만 까다로운 프로세스
* 위험 기반 제3자 실사 가이드 - VinciWorks
* 제3자 위험 평가 - 체크리스트 및 모범 사례

웹 콘텐츠 접근성 지침(WCAG)은 시각, 청각, 인지, 운동 장애 등 장애가 있는 사람들이 웹 콘텐츠에 더 쉽게 접근할 수 있도록 하는 것을 목표로 하는 일련의 표준입니다. WCAG는 웹 개발 및 사용성을 위한 좋은 관행이지만 웹 애플리케이션 보안과는 직접적인 관련이 없습니다.
WCAG는 인젝션, 깨진 인증, 잘못된 구성 또는 취약한 구성 요소와 같이 웹 애플리케이션이 직면하는 일반적인 보안 위험을 해결하지 못합니다. 따라서 WCAG를 준수하는 것은 다른 옵션과 달리 웹 애플리케이션을 보호하는 방법이 아닙니다. 참조:
* 4: 웹 애플리케이션 보안에 대한 표준 인식 문서인 OWASP Top 10은 웹 애플리케이션에 대한 가장 중요한 보안 위험을 나열하고 이를 예방하거나 완화하기 위한 모범 사례를 제공합니다.
* 5: 사이버 보안 교육 및 인증의 선두 제공업체인 SANS Institute는 오류 처리, 데이터 보호, 구성, 인증, 세션 관리, 입력 및 출력 처리, 액세스 제어에 대한 모범 사례를 다루는 웹 애플리케이션 기술(SWAT)을 위한 보안 체크리스트를 제공합니다.
* 6: 기술 전문가를 위한 플랫폼인 Built In에서는 웹 애플리케이션 방화벽 사용, API 추적, 예상되는 애플리케이션 동작 적용, OWASP 상위 10가지 준수 등 13가지 웹 애플리케이션 보안 모범 사례를 제공합니다.

섀도 IT란 공식 IT 부서의 승인, 승인 또는 지원을 받지 않은 IT 시스템, 서비스 또는 디바이스를 사용하는 것을 말합니다. 섀도 IT는 조직의 데이터 보안, 규정 준수, 성능 및 평판에 심각한 위험을 초래할 수 있습니다. 섀도 IT의 주요 위험 중 하나는 거버넌스 및 보안 감독이 부족한 경우가 많다는 것입니다. 즉, 섀도 IT 기능은 데이터 보호, 액세스 제어, 암호화, 백업, 패치, 감사, 보고 등 IT 관리를 위해 확립된 정책, 표준 및 모범 사례를 따르지 않을 수 있습니다. 이로 인해 조직은 데이터 유출, 사이버 공격, 멀웨어 감염, 법적 책임, 규제 벌금, 평판 손상 등 다양한 위협에 노출될 수 있습니다. 또한 섀도 IT는 운영 비효율성, 호환성 문제, 노력의 중복, 조직의 비용 증가를 초래할 수 있습니다.
검색_웹 도구의 웹 검색 결과에 따르면 섀도 IT는 특히 클라우드 기반 서비스 및 애플리케이션의 확산으로 인해 많은 조직에서 흔히 발생하고 있는 현상입니다. 일부 문서에서는 섀도 IT 위험을 관리하고 완화하기 위한 다음과 같은 모범 사례를 제시합니다123:
* 섀도 IT를 선제적으로 탐지하기 위한 SaaS 평가 수행
* 사용자 경험(UX)을 우선시하고 도구 통합 지원 제공
* 사용자 계정 및 ID 관리 간소화
* 직원들이 익숙한 운영 체제 및 기기 사용
* 섀도 IT 리스크를 최소화하기 위한 사용자와의 타협 및 협업
* 섀도 IT의 보안 위험과 결과에 대한 사용자 교육 및 훈련
* IT 조달 및 사용에 대한 명확한 정책 및 가이드라인 수립
* IT와 비즈니스 부서 간의 신뢰와 투명성 문화 조성 따라서 이 질문에 대한 정답은 B입니다. '섀도 IT' 기능은 종종 거버넌스 및 보안 감독이 부족합니다.
참조:
* 섀도 IT 설명: 위험과 기회 - BMC Software
* 3단계로 조직의 섀도 IT 리스크를 줄이기 시작하세요.
* 섀도 IT란 무엇인가요? - 기사 | SailPoint

공급업체 재평가 실시 주기는 반드시 규제 의무에 의해 정의되는 것이 아니라 공급업체의 위험 등급 및 중요도, 공급업체의 환경, 성능 및 통제 변경에 따라 결정됩니다. 규제 의무는 공급업체 재평가에 대한 일부 지침이나 최소 요건을 제공할 수 있지만 재평가 빈도를 결정하는 유일한 요인은 아닙니다. 공유 평가 프로그램 도구 사용자 가이드에 따르면 "재평가 빈도는 공급업체의 위험 등급 및 중요도뿐만 아니라 공급업체의 환경, 성능 또는 통제에 대한 변경 사항을 기반으로 해야 합니다. 규제 지침도 재평가 빈도에 영향을 미칠 수 있습니다."1 마찬가지로 CTPRP 연구 가이드에서는 "재평가 빈도는 공급업체의 위험 등급과 중요도, 공급업체의 환경, 성능 또는 통제에 대한 변경 사항을 기반으로 해야 합니다."라고 명시하고 있습니다. 규제 지침도 재평가 빈도에 영향을 미칠 수 있습니다."2 참조:
* 공유 평가 프로그램 도구 사용 가이드
* CTPRP 학습 가이드

IT 자산 수명 종료(EOL) 프로세스에서는 일반적으로 수명 종료를 결정하기 위한 정기적인 위험 평가를 수행해야 한다는 요구사항은 포함되지 않습니다. EOL 프로세스는 일반적으로 사용 수명 또는 지원 기간이 끝난 IT 자산의 해체 및 안전한 폐기를 관리하는 데 중점을 둡니다. 여기에는 자산의 상태 추적, 타사 시스템 및 애플리케이션의 업데이트 및 지원 관리, 일몰 시 자산의 안전한 폐기를 위한 절차 수립이 포함됩니다. 위험 평가는 전반적인 IT 자산 관리에서 매우 중요하지만, 일반적으로 운영 효율성, 제조업체 지원, 기술 노후화 등을 기준으로 자산의 EOL 상태를 결정하는 직접적인 요소는 아닙니다.
참조:
* NIST 미디어 살균 가이드라인(NIST SP 800-88)에 설명된 것과 같은 IT 자산 관리 및 폐기 모범 사례는 EOL 결정을 위한 주기적인 위험 평가를 특별히 의무화하지 않고 IT 자산의 안전하고 환경 친화적인 폐기에 초점을 맞추고 있습니다.
* 국제 IT 자산 관리자 협회(IAITAM)의 'IT 자산 폐기(ITAD) 모범 사례 가이드'는 IT 자산 추적, 업데이트, 안전한 폐기를 포함한 효과적인 EOL 프로세스에 대한 인사이트를 제공합니다.

물리적 액세스 절차 및 활동 로그는 조직과 제3자의 물리적 자산 및 데이터의 보안과 무결성을 보장하는 데 도움이 되므로 제3자 위험 관리의 중요한 구성 요소입니다.
그러나 감사 목적으로 물리적 액세스 로그를 무기한 보관하도록 요구하는 것은 법적, 규제적, 운영상의 문제를 야기할 수 있으므로 모범 사례는 아닙니다. 제3자 관계의 위험 관리를 위한 추가 심사 절차에 따르면 물리적 액세스 로그는 조직의 정책과 절차에 부합하고 관련 법률 및 규정을 준수하여 합리적인 기간 동안 보관해야 합니다1. 물리적 액세스 로그를 무기한 보관하면 무단 액세스, 데이터 침해, 개인정보 침해 및 소송의 위험이 증가할 수 있습니다2. 따라서 물리적 액세스 절차 및 활동 로그에 대한 모범 사례를 반영하지 않은 유일한 답은 B이므로 정답입니다.
참조:
* 1: 타사 위험 관리(TPRM) 정책 및 절차를 작성하는 방법 - SecurityScorecard 블로그
* 2: 타사 위험 관리 및 제어를 위한 5가지 모범 사례 - Broadcom Inc.
* 3: 타사 위험 관리 플랫폼을 위한 체크리스트 - Crowe LLP
* 4: 제3자 관계의 위험 관리를 위한 추가 심사 절차
* 5: 타사 위험 관리: 중요한 이유와 살펴봐야 할 기능 - 전문가 인사이트

규정은 상급 또는 권한 있는 기관에서 규정하는 법의 효력을 갖는 질서 규칙으로, 기관의 통제 하에 있는 사람들의 행동에 관한 것입니다. 규정은 해당 관할권의 입법부가 제정한 법률의 취지를 수행하기 위해 다양한 정부 부처 및 기관에서 발행합니다. 규정은 또한 법의 일관된 적용을 보장하는 기능도 합니다. 표준은 일반적으로 민간 부문 기관에서 제정하며 민간 또는 정부의 모든 개인이나 조직이 사용할 수 있는 지침입니다. 이 용어에는 일반적으로 '업계 표준'이라고 불리는 것뿐만 아니라 다음과 같은 것도 포함됩니다.
'합의 표준'. 표준은 제조업체, 소비자, 규제기관, 전문가 등 이해관계자 간의 자발적인 협업과 합의 과정을 통해 개발됩니다. 표준에는 모범 사례, 기술 사양, 성능 기준 또는 품질 요구 사항이 반영될 수 있습니다. 표준은 규정에서 채택하거나 참조하지 않는 한 법의 효력을 갖지 않습니다. 따라서 규정은 해당 요건에 해당하는 모든 기업이 준수해야 하지만, 기업은 운영, 제품 또는 서비스에 관련성이 있고 유익한 표준을 자발적으로 선택할 수 있습니다. 참조:
* 규정과 표준의 차이점
* 규정 대 표준: 혼란 정리 - AEM
* 표준과 규정
* 공인 제3자 위험 전문가(CTPRP) 학습 가이드

자산 관리 프로그램은 물리적, 재무적, 인적 또는 정보 자산과 같은 조직 자산의 가치, 성과 및 수명 주기를 최적화하는 것을 목표로 하는 일련의 정책, 절차 및 관행입니다123. 자산 관리 프로그램은 일반적으로 자산 관리의 다음 측면에 대한 정책 요구 사항을 정의합니다:
* 이 정책에는 물리적 미디어(예: 장치, 서버, 디스크 드라이브 등)의 재사용에 대한 요구 사항이 명시되어 있습니다:
이 요건은 조직이 민감한 데이터나 기밀 데이터가 포함된 물리적 미디어를 재사용, 재활용 또는 폐기하기 전에 이를 살균, 삭제 또는 파기하는 적절한 절차를 따르도록 보장합니다123. 이 요건은 데이터 유출, 도난 또는 분실을 방지하고 조직의 평판과 규정 준수를 보호하는 데 도움이 됩니다123.
* 이 정책에 따라 직원과 계약자는 고용, 계약 또는 계약 종료 시 모든 회사 데이터와 자산을 반환해야 합니다: 이 요건은 조직이 고용, 계약 또는 계약 기간 동안 직원 및 계약자가 할당, 대여 또는 액세스한 모든 데이터와 자산을 회수하도록 보장합니다123. 이 요건은 조직의 데이터 및 자산의 보안, 무결성, 가용성을 유지하고 무단 또는 부적절한 사용이나 공개를 방지하는 데 도움이 됩니다123.
* 이 정책은 장비 및/또는 물리적 미디어의 재고, 식별 및 폐기에 대한 요건을 정의합니다: 이 요건은 조직이 정확한 최신 정보를 유지하도록 보장합니다.
* 소유, 임대 또는 사용하는 모든 장비와 물리적 미디어를 기록하고 고유 식별자를 할당합니다123. 또한 이 요건은 조직이 더 이상 필요하지 않거나 유용하지 않은 장비 및 물리적 미디어를 폐기할 때 적절한 절차를 따르도록 보장합니다123. 이 요건은 조직의 자산 관리 프로세스의 효율성, 효과성 및 책임성을 개선하고 조직의 자원 낭비, 사기 또는 오용의 위험을 줄이는 데 도움이 됩니다123.
그러나 방문자(다른 입주자 및 유지보수 담당자 포함)가 시설에 로그인 및 로그아웃하고 항상 에스코트를 받아야 하는 정책 요건인 옵션 D는 일반적으로 자산 관리 프로그램에 정의되어 있지 않습니다. 오히려 이 요건은 조직의 구내, 자산 및 인력을 무단 접근, 손상 또는 위험으로부터 보호하기 위한 일련의 정책, 절차 및 관행인 물리적 보안 프로그램에 정의될 가능성이 더 높습니다. 물리적 보안 프로그램은 일반적으로 물리적 보안의 다음 측면에 대한 정책 요구 사항을 정의합니다:
* 이 정책에 따라 방문자(다른 입주자 및 유지보수 직원 포함)는 시설에 로그인 및 로그아웃하고 항상 에스코트를 받아야 합니다: 이 요구 사항은 조직이 시설에 대한 방문자의 접근을 통제 및 모니터링하고 신원, 목적 및 권한을 확인하도록 보장합니다.
이 요건은 또한 조직이 방문자가 제한되거나 민감한 영역, 장비 또는 정보에 접근하지 못하도록 하고 방문 기간 동안 방문자를 에스코트하도록 보장합니다. 이 요건은 조직의 시설, 자산 및 인력의 보안, 안전 및 규정 준수를 강화하고 잠재적인 위협, 사고 또는 위반을 방지하는 데 도움이 됩니다.
* 이 정책은 시설과 출입구의 잠금, 경보 및 감시에 대한 요건을 정의합니다: 이 요건은 조직이 시설의 경계와 내부를 보호하고 무단 또는 의심스러운 활동이나 침입을 감지하고 대응하도록 보장합니다. 또한 이 요건은 조직이 잠금 장치, 경보, 카메라, 경비원 또는 차단벽과 같은 적절하고 효과적인 물리적 보안 조치를 사용하여 무단 액세스를 억제, 방지 또는 지연하도록 보장합니다. 이 요건은 조직의 시설, 자산 및 인력을 도난, 기물 파손, 방해 행위 또는 공격으로부터 보호하는 데 도움이 됩니다.
* 이 정책은 시설과 시설 거주자의 비상 대비 및 대응에 대한 요건을 명시합니다: 이 요건은 조직이 시설과 거주자에게 영향을 미칠 수 있는 화재, 홍수, 지진, 정전 또는 총격범과 같은 비상 사태에 대처하기 위한 절차를 계획하고 실행하도록 보장합니다. 또한 이 요건은 조직이 소화기, 응급처치 키트, 대피 경로, 비상 연락처 또는 훈련과 같은 비상 대비 및 대응을 위한 적절하고 접근 가능한 장비, 자원 및 교육을 제공하도록 보장합니다. 이 요건은 조직의 시설, 자산 및 인력의 안전, 건강 및 연속성을 보장하고 비상 사태의 영향과 피해를 최소화하는 데 도움이 됩니다.
따라서 자산 관리 프로그램에서 일반적으로 정의되는 정책 요구 사항을 반영하지 않는 유일한 옵션이므로 옵션 D가 정답입니다. 참고 자료: 다음 리소스에서 검증된 정답과 설명을 확인할 수 있습니다:
* 1: 자산 관리 정책 가이드 + 무료 템플릿 | Fiix
* 2: 자산 관리 정책: 처음부터 구축하는 방법 - Limble CMMS
* 3: 자산 관리 정책, 전략 및 거버넌스 프레임워크를 개발하는 방법: 지자체에서 자산 관리에 대한 일관된 접근 방식을 설정하세요.
* : 물리적 보안 정책 - SANS
* : 물리적 보안 정책 - IT 거버넌스

아웃소싱업체의 공급업체 위험 평가 프로세스에는 공급업체의 성과, 규정 준수 및 위험 프로필에 대한 일관되고 포괄적이며 효과적인 평가를 보장하는 데 필수적이므로 옵션 A, B 및 C에 언급된 모든 단계가 포함되어야 합니다. 그러나 옵션 D는 공급업체의 실제 위험 수준이 아니라 아웃소싱 업체 조직 내의 리소스 가용성을 반영하므로 공급업체 위험 평가 프로세스에서 필수 또는 권장되는 부분은 아닙니다. 리소스 역량을 기준으로 평가 주기를 정의하면 아웃소싱업체의 업무량, 예산, 직원 수에 따라 공급업체를 과소 평가하거나 과대 평가할 수 있습니다. 이로 인해 중요한 문제를 놓치거나 시간과 비용이 낭비되거나 공급업체 감독 프로그램에 공백이 생길 수 있습니다. 따라서 벤더 위험 평가 프로세스에 속하지 않는 유일한 옵션인 옵션 D가 정답입니다. 참고 자료: 다음 리소스에서 검증된 정답과 설명을 확인할 수 있습니다:
* 공유 평가의 CTPRP 직무 가이드 10페이지, 2.1.1절에 "평가 빈도는 리소스 가용성이 아닌 제3자의 위험 등급에 따라 결정해야 합니다."라고 명시되어 있습니다.
* 공급업체 위험 평가 가이드의 "3단계: 공급업체 위험 평가의 빈도 결정" 섹션에서는 "공급업체 위험 평가의 빈도는 리소스 가용성이나 편의성이 아니라 각 공급업체가 조직에 미치는 위험 수준에 따라 결정해야 합니다."라고 설명합니다.
* 9단계로 성공적인 공급업체 위험 평가를 수행하는 방법의 "8단계: 공급업체 위험 평가 빈도 결정하기" 섹션에서는 "공급업체 위험 평가의 빈도는 리소스 가용성이나 편의성이 아니라 각 공급업체가 조직에 미치는 위험 수준을 기준으로 해야 합니다."라고 조언합니다.

서비스형 인프라(IaaS)는 사용자에게 서버, 스토리지 및 네트워크 장치와 같은 가상화된 하드웨어 리소스에 대한 액세스를 제공하는 클라우드 배포 모델입니다. 사용자는 클라우드 인프라에서 자체 운영 체제 및 애플리케이션을 설치 및 실행할 수 있으며 하드웨어 장비의 구성 및 관리를 완전히 제어할 수 있습니다. IaaS는 클라우드 환경의 높은 확장성, 유연성 및 사용자 정의가 필요한 조직에 적합합니다. IaaS는 사용자에게 더 높은 수준의 서비스를 제공하고 기본 하드웨어 세부 사항을 추상화하는 FaaS(기능형 서비스), PaaS(서비스형 플랫폼), SaaS(서비스형 소프트웨어)와 같은 다른 클라우드 배포 모델과 다릅니다. 참조:
* 클라우드 인프라: 4가지 주요 구성 요소 및 배포 모델
* 클라우드 배포 모델 - GeeksforGeeks
* 온프레미스 클라우드 배포 모델: 조직 소유 하드웨어 설명

TPRM 프로그램 지표는 TPRM 프로그램의 성과, 효과성, 성숙도를 측정하는 지표입니다. 이러한 지표는 사업부, 경영진, 리스크 위원회, 이사회 등 다양한 이해관계자에게 TPRM 프로그램의 진행 상황, 성과 및 과제를 모니터링하고 전달하는 데 도움이 됩니다. 그러나 이해관계자의 역할, 책임, 관심도에 따라 TPRM 프로그램 지표의 보고 수준과 변경 빈도는 달라집니다123:
* 사업부: 이 수준의 보고는 공급업체 평가, 개선 조치, 문제 및 인시던트 상태와 같은 TPRM 프로그램의 운영 측면에 중점을 둡니다. 이 수준에서는 TPRM 프로그램의 일상적인 활동과 결과를 반영하기 때문에 TPRM 프로그램 지표의 변경이 빈번하고 세분화됩니다.
* 경영진: 이 수준의 보고는 비즈니스 목표와의 연계, 규제 요건 준수, 주요 위험 관리, 리소스 및 비용 최적화 등 TPRM 프로그램의 전략적 측면에 초점을 맞춥니다. 이 수준에서 TPRM 프로그램 지표의 변경은 TPRM 프로그램의 전반적인 방향과 성과를 반영하기 때문에 빈도가 적고 집계가 더 많이 이루어집니다.
* 리스크 위원회: 이 수준의 보고는 위험 성향 평가, 위험 프로필 검토, 위험 정책 승인, 위험 문제 에스컬레이션 등 TPRM 프로그램의 감독 측면에 중점을 둡니다. 이 수준에서 TPRM 프로그램 지표의 변경은 TPRM 프로그램의 거버넌스 및 보증을 반영하기 때문에 가끔씩 더 분석적으로 이루어집니다.
* 이사회: 이 수준의 보고는 위험 전략의 승인, 위험 동향에 대한 인식, 위험 문화에 대한 지침, 위험 이니셔티브에 대한 지원 등 TPRM 프로그램의 자문 측면에 초점을 맞추고 있습니다. 이 수준에서 TPRM 프로그램 지표가 변경되는 것은 매우 드물고 예외적인 일이며, 이는 TPRM 프로그램의 높은 수준의 장기적인 비전과 가치를 반영하는 것입니다.
따라서 정답은 D. 이사회이며, 이는 TPRM 프로그램 메트릭의 변경이 드물고 예외적인 보고 수준입니다. 참고:
* 1: TPRM 프로그램의 성공을 측정하는 15가지 KPI 및 지표 | UpGuard
* 2: 타사 위험 관리 지표: 개선하기 위한 모범 사례... | Diligent
* 3: TPRM 지표 - 위험 스토리 전달하기 - 공유 평가 | 공유 평가

면책이란 특정 사건이나 상황으로 인해 발생할 수 있는 손실이나 손해에 대해 한 당사자가 다른 당사자에게 보상하기로 합의하는 계약상의 의무를 말합니다. 상호 면책은 계약 위반, 과실 또는 법률 위반으로 인한 손실이나 손해 등 특정 손실이나 손해에 대해 양 당사자가 서로 배상하기로 합의하는 것을 의미합니다. 상호 면책은 각 당사자 또는 고객에게 영향을 미칠 수 있는 보안 사고 또는 위반에 대한 책임과 의무를 배분하는 메커니즘을 제공할 수 있으므로 각 당사자가 정보 보안 위험의 양을 공유할 수 있습니다. 또한 상호 면책은 각 당사자가 적절한 보안 통제 및 관행을 유지하고 보안 사고 또는 침해 발생 시 효과적으로 협력하고 소통하도록 인센티브를 제공할 수 있습니다.
다른 옵션은 각 당사자가 정보 보안 위험의 양을 공유할 수 있는 계약 조항이 아니기 때문입니다:
* A. 책임 제한은 계약 위반 또는 기타 법적 조치 발생 시 한 당사자가 다른 당사자에게 청구할 수 있는 손해의 금액 또는 유형을 제한하는 계약 조항입니다. 책임 제한은 한 당사자의 책임을 줄이거나 제한할 수는 있지만 양 당사자 간에 위험을 분산하거나 균형을 맞출 수는 없으므로 각 당사자가 정보 보안 위험의 양을 공유할 수는 없습니다.
* B. 사이버 보험은 사이버 공격, 데이터 유출 또는 기타 사이버 사고로 인한 비용과 손실을 보상하는 보험 정책의 일종입니다. 사이버 보험을 통해 각 당사자는 다음을 수행할 수 없습니다.
* 정보 보안 위험을 제3자 보험사에 이전하거나 완화할 수 있지만 양 당사자 간에 위험을 배분하거나 공유할 필요는 없습니다.
* C. 불가항력은 천재지변, 전쟁, 팬데믹 등 예측할 수 없거나 피할 수 없는 사건이나 상황이 발생할 경우 당사자 일방 또는 쌍방이 계약 의무를 이행하지 않을 수 있는 면책 조항입니다. 불가항력 발생 시 계약을 일시 중단하거나 해지할 수는 있지만 양 당사자 간에 위험을 분산하거나 균형을 맞출 수는 없으므로 불가항력은 정보 보안 위험의 양을 각 당사자가 분담할 수 없습니다.
참조:
* 공유 평가 CTPRP 학습 가이드, 62페이지, 섹션 5.2.2: 계약 조건
* 타사 위험 관리: 공급업체 계약 약관, 섹션: 면책
* 타사 공급업체의 사이버 보안 위험: PwC, 섹션: 계약 약관
* [타사 위험 관리: 제3자 생태계: 혜택을 유지하면서 위험을 관리하는 방법], 섹션: 계약 약관

설명된 시나리오는 공급업체의 자산 관리 프로그램이 부족함을 나타냅니다. 효과적인 자산 관리 프로그램에는 하드웨어와 디바이스의 정확한 재고를 유지하고, 상태를 모니터링하며, 분실이나 불일치를 즉시 파악하고 대응하는 것이 포함됩니다. 2년 동안 회사 데이터를 처리하던 노트북과 태블릿의 분실을 발견하지 못한 것은 물리적 자산의 추적 및 관리에 결함이 있음을 시사합니다. 이러한 소홀함은 데이터 보안, 규정 준수 및 운영 무결성과 관련된 위험으로 이어질 수 있습니다. 강력한 자산 관리 프로그램을 통해 모든 자산을 파악하고, 사용 현황을 모니터링하며, 이상 징후나 손실을 신속하게 파악하고 해결할 수 있어야 합니다.
참조:
* ISO/IEC 27001(정보 보안 관리)과 같은 IT 자산 관리 표준은 자산 인벤토리를 유지하고 적절한 제어를 구현하여 다음을 보호하는 것의 중요성을 강조합니다.
* 조직 자산.
* 국제 IT 자산 관리자 협회(IAITAM)의 'IT 자산 관리 핸드북'은 자산 추적, 모니터링 및 손실 방지를 위한 모범 사례를 포함하여 종합적인 자산 관리 프로그램 수립에 대한 가이드라인을 제공합니다.

제3자 위험 관리(TPRM)는 비즈니스 활동 또는 기능을 외부 업체에 아웃소싱하는 것과 관련된 위험을 식별, 평가 및 완화하는 프로세스입니다. TPRM은 제3자의 실패나 위법 행위로 인한 잠재적 피해로부터 고객, 이해관계자, 규제기관의 이익을 보호하기 위한 다양한 규정의 영향을 받습니다. 이러한 규정은 산업, 관할권, 제3자 관계의 성격에 따라 달라질 수 있습니다. 따라서 조직은 연례 위험 평가 시 TPRM 프로그램에 영향을 미치는 규정 목록을 업데이트하고 비즈니스 목표와 위험 성향에 가장 관련성이 높고 중요한 규정의 우선순위를 정하는 것이 중요합니다.
규정의 우선순위를 정하는 최적의 접근 방식은 서비스 제공업체에 대한 특정 의무의 확장을 요구하는 해당 규정을 파악하는 것입니다. 즉, 조직은 데이터 보호, 보안, 규정 준수, 보고, 감사 또는 성과 표준과 같이 조직과 타사 파트너에게 특정 요구 사항이나 기대치를 부과하는 규정에 초점을 맞춰야 합니다. 또한 이러한 규정에는 조직과 서비스 제공업체의 역할과 책임, 실사 및 모니터링 활동의 범위와 빈도, 계약 조항 및 조건, 시정 및 해지 절차가 명시되어 있을 수 있습니다. 이러한 규정을 파악함으로써 조직은 TPRM 프로그램이 규제 기대치 및 의무에 부합하는지 확인하고 제3자 관계와 관련된 위험을 효과적으로 관리하고 완화할 수 있습니다.
서비스 제공업체에 대한 특정 의무를 연장해야 하는 규정의 몇 가지 예는 다음과 같습니다:
* 일반 데이터 보호 규정(GDPR): 유럽연합 내 개인의 개인 데이터 수집, 처리 및 전송을 규율하는 유럽연합 규정입니다. GDPR에 따라 조직은 개인 데이터를 보호하기 위해 적절한 기술적 및 조직적 조치를 구현하고, 데이터 보호를 충분히 보장할 수 있는 서비스 제공업체와만 협력해야 합니다.
또한 GDPR은 조직이 서비스 제공업체와 데이터 처리의 주제, 기간, 성격, 목적, 양 당사자의 권리와 의무를 명시하는 서면 계약을 체결하도록 요구합니다. 또한 GDPR은 데이터 침해 또는 위반 발생 시 엄격한 통지 및 보고 요건을 부과합니다.
* 건강 보험 이동성 및 책임에 관한 법률(HIPAA): 개인의 건강 정보에 대한 개인정보 보호 및 보안을 규제하는 미국 연방법입니다. HIPAA에 따라 의료 서비스 제공자, 의료 플랜, 의료 정보 센터와 같은 적용 대상 기관은 환자의 건강 정보를 보호하고 권한이 있는 당사자에게만 공개하거나 공유해야 합니다. 또한 HIPAA는 적용 대상 기업이 자신을 대신하여 건강 정보를 처리하거나 액세스하는 서비스 제공업체와 비즈니스 파트너 계약을 체결하도록 요구합니다. 이러한 계약에는 건강 정보의 허용 및 필수 사용과 공개, 건강 정보 보호를 위한 안전장치 및 조치, 위반 또는 사고 발생 시 보고 및 통지 의무가 명시되어 있어야 합니다.
* 사베인스-옥슬리 법(SOX): 기업 재무 보고 및 공시의 정확성과 신뢰성을 향상시키는 것을 목표로 하는 미국 연방법입니다. SOX에 따라 상장 기업은 재무 보고 프로세스에 대한 내부 통제를 수립 및 유지하고, 이러한 통제의 효과를 평가하고 보고해야 합니다. 또한 SOX는 상장기업이 외부 감사인의 독립성과 자격을 보장하고 내부 통제의 중대한 약점이나 결함을 공개할 것을 요구합니다. SOX는 회계법인, 정보 기술 공급업체, 컨설턴트 등 상장기업의 재무 보고 기능을 수행하거나 지원하는 서비스 제공업체에도 적용됩니다. SOX에 따라 상장 기업은 서비스 제공업체의 내부 통제를 평가 및 모니터링하고 감사 및 보고 범위에 포함시켜야 합니다.
참조:
* 써드파티 리스크 관리 및 완화 | Gartner
* 타사 위험 관리 프로그램 시작을 위한 모범 사례
* 타사 위험 관리 모범 사례와 이것이 중요한 이유
* GDPR 및 제3자 위험 관리
* 비즈니스 협력업체 및 타사 서비스 제공업체를 위한 HIPAA 규정 준수
* 타사 서비스 제공업체를 위한 SOX 규정 준수 요구 사항

오픈 소스 애플리케이션 사용에 대한 승인을 얻기 위한 문서화된 프로세스는 일반적으로 패치 적용 프로세스와 직접 관련이 없기 때문에 공급업체의 패치 관리 제어를 평가하는 데 포함되지 않습니다. 패치 관리 통제는 조직이 소프트웨어 취약성에 대한 패치를 식별, 획득, 설치 및 검증할 수 있도록 하는 정책, 절차 및 도구입니다. 패치 관리 통제는 알려진 소프트웨어 결함의 악용 위험을 줄이고 패치된 시스템의 기능 및 호환성을 보장하는 것을 목표로 합니다. 오픈 소스 애플리케이션 사용에 대한 승인을 얻기 위한 문서화된 프로세스는 공급업체의 제품 또는 서비스에 오픈 소스 소프트웨어 구성 요소를 사용할 경우의 법적, 보안 및 운영상의 영향을 평가하는 것을 포함하므로 소프트웨어 개발 및 조달 프로세스와 더 관련이 있습니다. 오픈 소스 소프트웨어는 독점 소프트웨어와 라이선스 조건, 품질 표준, 지원 수준이 다를 수 있으며 관리해야 할 추가적인 취약점이나 종속성이 발생할 수 있습니다. 따라서 오픈 소스 애플리케이션 사용에 대한 승인을 받기 위한 문서화된 프로세스는 공급업체에게 좋은 관행이지만 그 자체로 패치 관리 제어는 아닙니다. 참조:
* 엔터프라이즈 패치 관리 계획 가이드
* 시스템 패치 관리의 주요 측면에 대한 거버넌스
* 공인 제3자 위험 전문가(CTPRP) 학습 가이드

클라우드 호스팅 공급업체 평가 프로그램은 조직의 데이터 또는 애플리케이션을 호스팅하는 클라우드 서비스 제공업체(CSP)의 보안, 규정 준수 및 성능을 평가하는 프로세스입니다. 클라우드 호스팅 공급업체 평가 프로그램에는 일반적으로 다음과 같은 구성 요소123가 포함됩니다:
* 엔터티의 이미지 스냅샷 승인 및 관리 프로세스 검토: 이 구성 요소에는 CSP가 조직의 워크로드를 실행하는 가상 머신 또는 컨테이너의 이미지 스냅샷을 생성, 승인, 저장 및 삭제하는 방법을 확인하는 작업이 포함됩니다. 이미지 스냅샷에는 무단 액세스 또는 수정으로부터 보호해야 하는 중요한 데이터 또는 구성 설정이 포함될 수 있습니다.
* 보안 서비스 문서 및 감사 증명 보고서 요구: 이 구성 요소에는 CSP가 조직의 데이터와 애플리케이션을 보호하기 위해 구현하는 보안 제어 및 관행을 입증하는 문서와 보고서를 요청하고 검토하는 것이 포함됩니다. 여기에는 서비스 수준 계약(SLA), 보안 정책 및 절차, 보안 인증 및 표준, 취약성 검사 및 패치 보고서, 사고 대응 및 재해 복구 계획, SOC 2 또는 ISO 27001과 같은 독립 감사 보고서가 포함될 수 있습니다.
* 패치 책임에 대한 정의를 제공하는 규정 준수 증거가 필요합니다: 이 구성 요소에는 CSP가 클라우드 인프라에서 실행되는 운영 체제, 애플리케이션 및 라이브러리의 패치를 처리하는 방법을 묻고 확인하는 것이 포함됩니다. 패치는 보안 침해를 방지하고 규정 요건을 준수하기 위한 중요한 활동입니다. 조직은 클라우드 환경 패치에 대한 CSP와 조직의 역할과 책임, 패치 활동의 빈도 및 범위를 이해해야 합니다.
일반적으로 클라우드 호스팅 공급업체 평가 프로그램에 포함되지 않는 구성 요소는 고객이 수행하는 모의 침투 테스트입니다. 모의 침투 테스트는 시스템이나 네트워크에 대한 사이버 공격을 시뮬레이션하여 취약점과 약점을 식별하고 악용하는 방법입니다. 모의 침투 테스트는 CSP의 보안 상태를 평가하는 데 유용한 도구가 될 수 있지만, 일반적으로 다음과 같은 이유로 클라우드 호스팅 공급업체 평가 프로그램에는 포함되지 않습니다:
* 모의 침투 테스트는 CSP의 서비스 약관 또는 허용되는 사용 정책을 위반할 수 있으며, 이는 고객이 클라우드 인프라에서 무단 또는 방해가 되는 활동을 수행하는 것을 금지하거나 제한할 수 있습니다. 고객이 CSP의 동의나 모르게 모의 침투 테스트를 수행하는 경우 법적 또는 계약상의 결과에 직면할 수 있습니다.
* 모의 침투 테스트는 CSP의 정상적인 운영을 방해하거나 다른 고객을 위한 클라우드 서비스의 가용성 및 성능에 영향을 미칠 수 있습니다. 고객은 CSP의 시스템 또는 네트워크에 의도하지 않은 손상이나 중단을 일으키거나 잘못된 경보 또는 경고를 트리거하여 CSP의 리소스나 주의를 돌릴 수 있습니다.
* 고객이 CSP의 내부 시스템이나 네트워크에 대한 가시성이나 접근 권한이 제한적이거나 모의 침투 테스트 활동을 방지하거나 제한하는 보안 메커니즘이나 대응책이 있을 수 있으므로 모의 침투 테스트는 CSP의 보안에 대한 포괄적이거나 정확한 평가를 제공하지 못할 수 있습니다. 또한 고객이 다른 고객이나 CSP의 데이터 또는 시스템에 액세스하거나 손상시키는 경우 윤리적 또는 법적 문제에 직면할 수 있습니다.
따라서 이 질문에 대한 정답은 D. 고객이 수행한 침투 테스트 실시입니다.
참조:
* 클라우드 공급업체 평가를 위한 4가지 중요한 모범 사례
* 2024년 IT 공급업체 평가를 위한 상위 11개 설문지
* 클라우드 공급업체 평가 | 올바른 방법으로 수행하기
* [클라우드에서의 모의 침투 테스트: 알아야 할 사항]
* [클라우드 침투 테스트: 과제와 모범 사례]

실사는 잠재적 또는 기존 타사 공급업체와 관련된 위험과 기회를 평가하는 프로세스입니다. 실사는 공급업체가 조직에 미치는 위험 수준에 따라 범위와 깊이가 달라질 수 있습니다. 위험도가 낮은 벤더는 조직의 운영, 평판 또는 규정 준수에 미치는 영향이 미미하고 민감한 데이터나 기밀 데이터 또는 시스템을 취급하지 않는 벤더를 말합니다. 위험도가 낮은 공급업체의 경우 실사를 수행할 때 서비스 공급업체의 자체 평가 설문지 응답을 역량, 성과 및 규정 준수에 대한 충분한 증거로 받아들일 수 있습니다. 자체 평가 설문지는 공급업체가 자신의 조직, 서비스, 프로세스, 통제 및 정책에 대한 정보를 제공할 수 있는 도구입니다. 조직은 이 설문지를 사용하여 벤더의 신원, 자격, 참조 및 인증을 확인하고 벤더가 조직의 표준 및 기대치에 부합하는지 평가할 수 있습니다. 공급업체의 자체 평가 설문지 응답을 실사의 주요 자료로 받아들이면 조직의 시간과 리소스를 절약하고 공급업체에 대한 신뢰와 확신을 보여줄 수 있습니다. 그러나 조직은 설문지가 포괄적이고 관련성이 있으며 업데이트되었는지, 공급업체의 답변이 정확하고 완전하며 일관성이 있는지 확인해야 합니다.
또한 조직은 필요한 경우 공급업체에 추가 정보 또는 문서를 요청하고 공급업체의 성과 및 규정 준수에 대한 정기적인 검토 또는 감사를 수행할 수 있는 권리를 보유해야 합니다.
다른 옵션은 더 광범위하거나 엄격한 실사 방법을 포함하거나 실사와 직접 관련이 없기 때문에 위험이 낮은 벤더의 실사를 수행하는 데 가장 적합하지 않습니다.
제3자 위험 관리 및 개선 활동 현황에 관한 보고서를 경영진에게 작성하는 것은 공급업체 관계를 모니터링하고 관리하는 데 중요한 부분이지만, 그 자체로 실사 활동은 아닙니다. 서비스 제공업체의 자체 평가 설문지와 외부 감사 보고서를 검토하는 것이 보다 철저한 실사 방법이지만, 특히 외부 감사 보고서를 쉽게 구할 수 없거나 관련성이 낮은 벤더의 경우에는 필요하거나 실현 가능하지 않을 수 있습니다. 향후 참조를 위해 서비스 공급업체의 외부 감사 보고서를 요청하고 제출하는 것은 실사에 대한 문서와 증거를 유지하기 위한 좋은 관행이지만, 실사 활동 자체는 아닙니다.
참조:
* 타사 위험 관리(TPRM) | 공유 평가
* 공급업체 실사 전략 가이드 및 체크리스트 | 일반적
* 공급업체 실사: 실용적인 가이드 및 체크리스트

이행 위험은 제3자가 부적절한 시스템이나 프로세스로 인해 의무를 이행하지 못할 수 있는 위험으로 정의되며, 상황을 정확하게 설명합니다. 이러한 유형의 위험에는 기술 인프라, 운영 절차 또는 관리 관행의 한계로 인해 제3자가 필요한 성능 수준으로 서비스 또는 제품을 제공할 수 있는 능력에 대한 우려가 포함됩니다. 성능 위험을 식별하고 관리하는 것은 타사 위험 관리(TPRM)에서 타사 공급업체가 계약 및 서비스 수준 계약을 안정적으로 이행하여 조직의 운영 및 서비스 제공에 미치는 영향을 최소화할 수 있도록 보장하는 데 필수적입니다.
참조:
* 통화감독국(OCC) 및 연방 금융 기관 검사 위원회(FFIEC)의 지침과 같은 TPRM 지침은 평가의 중요성을 강조하고 있습니다.
* 타사 관계와 관련된 성과 위험 관리.
* ISACA의 '제3자 위험 관리 가이드'에서는 제3자 서비스 제공업체와의 계약과 관련된 성능 위험을 포함한 다양한 유형의 위험에 대해 설명하며 철저한 실사와 지속적인 모니터링의 필요성을 강조합니다.

공유 평가 공인 제3자 위험 전문가(CTPRP) 연구 가이드에 따르면 제3자 위험 평가자의 역할은 ISO, NIST, COBIT 또는 COSO1와 같은 업계 프레임워크를 기반으로 제3자 제어의 설계 및 운영 효과를 평가하는 것입니다. 평가자의 역할은 통제 효과에 대한 의견을 제시하는 것이 아니라 사실적이고 객관적인 방식으로 평가 결과를 보고하는 것입니다2. 또한 평가자의 역할은 통제 환경을 이해하기 위해 주제 전문가와 함께 발견을 수행하고, 통제 속성을 테스트 또는 검증하여 위험 평가 설문지의 응답을 발견 및 검증하며, 규정 준수 아티팩트를 검토하고 통제 속성의 존재 여부에 대한 평가를 기반으로 잠재적인 통제 격차를 식별하는 것입니다1. 이는 모두 업계 프레임워크를 사용하여 통제 평가를 수행할 때 평가자의 역할을 설명하는 사실적인 진술입니다.
참조:
* 1: 공유 평가 공인 제3자 위험 전문가(CTPRP) 학습 가이드, 29페이지
* 2: 제3자 위험 평가란 무엇인가요? - 리스크옵틱스

사고 대응 시 통지 의무는 데이터 또는 시스템에 영향을 미치는 보안 침해 또는 사고에 대해 관련 당사자에게 알리는 법적 또는 계약상의 의무입니다. 이러한 의무는 사고의 유형, 범위 및 영향뿐만 아니라 관련된 관할권, 업계 및 계약 계약에 따라 달라질 수 있습니다. 통지 의무를 유발할 가능성이 가장 높은 요인은 다음과 같습니다:
* 규제 요건: 보안 사고를 경험하거나 유발하는 조직에는 여러 법률과 규정에 따라 서로 다른 통지 의무가 부과될 수 있습니다. 예를 들어 일반 개인정보 보호 규정(GDPR)에 따르면 데이터 컨트롤러는 개인정보 침해 사실을 인지한 후 72시간 이내에 감독 기관에 통지해야 하며, 침해로 인해 권리 및 자유에 대한 위험이 높은 경우 영향을 받는 데이터 주체에게 부당한 지체 없이 통지해야 합니다1. 마찬가지로 컴퓨터 보안 사고 통지 규칙에 따라 은행과 서비스 제공업체는 운영, 서비스 또는 고객에 중대한 장애, 성능 저하 또는 손상을 초래하는 컴퓨터 보안 사고가 발생한 후 가능한 한 빨리, 늦어도 36시간 이내에 주 연방 규제 당국에 통지해야 합니다2.
* 데이터 분류 또는 민감도: 보안 사고와 관련된 데이터의 유형과 민감도도 통지 의무에 영향을 미칠 수 있습니다. 예를 들어 데이터에 개인 식별 정보(PII), 의료 정보, 재무 정보 또는 기타 기밀 또는 민감한 정보가 포함된 경우 조직은 데이터 소유자, 규제 기관, 법 집행 기관 또는 기타 이해관계자에게 사고와 개인정보 또는 보안에 대한 잠재적 위험에 대해 알려야 할 수 있습니다3. 데이터 분류 또는 민감도에 따라 통지의 내용과 시기, 사용할 적절한 커뮤니케이션 채널도 결정될 수 있습니다.
* 계약 조건: 조직과 타사 공급업체 또는 서비스 제공업체 간의 계약서에는 보안 사고 발생 시 통지 의무가 명시되어 있을 수도 있습니다. 예를 들어 계약서에는 각 당사자의 역할과 책임, 통지 절차 및 일정, 공유할 정보, 취해야 할 시정 조치, 계약 위반에 대한 처벌 또는 책임이 정의되어 있을 수 있습니다. 계약 조건에는 조직 또는 제3자에게 적용되는 규제 요건 또는 업계 표준도 반영될 수 있습니다.
알림 의무를 유발할 가능성이 가장 낮은 요소는 다음과 같습니다:
* 데이터 암호화: 데이터 암호화는 무단 액세스, 수정 또는 공개로부터 데이터를 보호하는 보안 조치입니다. 데이터 암호화는 악의적인 행위자에게 데이터가 노출되는 것을 방지하거나 제한할 수 있으므로 보안 사고의 영향이나 심각성을 줄일 수 있습니다. 그러나 조직은 여전히 사고의 성격과 범위를 평가하고 암호화의 효과 또는 침해 여부를 판단해야 하므로 데이터를 암호화한다고 해서 통지 의무가 없어지는 것은 아닙니다. 또한 데이터 암호화만으로는 삭제, 손상 또는 랜섬웨어와 같은 다른 유형의 위협으로부터 데이터를 보호하기에 충분하지 않을 수 있습니다. 따라서 데이터 암호화는 사고 대응 시 통지 의무에 영향을 미치는 요소가 아닙니다.
참조:
* 1: GDPR 제33조: 감독 기관에 대한 개인 데이터 침해 통지
* 2: 컴퓨터 보안 인시던트 알림 규칙
* 3: 타사 인시던트 관리(TPIM): IRP와 써드파티의 균형을 맞추는 방법
* : [써드파티 인시던트 대응 개선]
* : [써드파티 사고 대응 플레이북]
* : [암호화는 데이터 유출로부터 사용자를 보호할 수 있나요?]

제4자 위험은 조직의 직접적인 제3자 파트너의 하청업체, 공급업체 또는 서비스 제공업체와 관련된 잠재적 위협 및 취약성을 말합니다. 이로 인해 조직의 보안, 데이터 보호 및 비즈니스 복원력에 영향을 미칠 수 있는 복잡한 종속성 및 노출 네트워크가 형성될 수 있습니다. 이러한 위험을 효과적으로 관리하려면 조직은 확장된 벤더 및 공급업체 네트워크에 대한 포괄적인 실사를 수행하고 모든 하도급 활동에 대한 통지 및 승인을 요구하는 계약 규정을 포함해야 합니다. 이를 통해 조직은 하청업체가 직접적인 제3자 파트너와 동일한 기준과 기대치를 충족하고 조직의 데이터와 시스템을 보호하기 위한 적절한 통제 및 안전장치를 갖추고 있는지 확인할 수 있습니다. 또한 조직은 하청업체의 성과와 규정 준수를 정기적으로 모니터링 및 평가하고 위험 환경의 변화를 반영하기 위해 필요에 따라 계약 조항을 업데이트해야 합니다. 참조:
* 제4자 및 제3자 리스크 이해하기: 무엇을 알아야 하나요?
* 4차 및 N차 당사자 관리를 위한 모범 사례
* 타사 위험 관리: 모범 사례

패치 관리에서 테스트는 시스템 및 애플리케이션과 관련된 사이버 보안 인시던트 사후 분석을 수행할 때 가장 중요한 요소입니다. 패치를 배포하기 전에 적절한 테스트를 수행하면 시스템 기능이나 보안에 영향을 줄 수 있는 새로운 문제나 비호환성을 초래하지 않고 취약성을 효과적으로 해결할 수 있습니다. 테스트를 통해 조직은 패치가 시스템이나 애플리케이션의 성능에 부정적인 영향을 미치지 않고 식별된 보안 문제를 해결하는지 확인할 수 있습니다. 또한 기존 구성 또는 종속성과의 잠재적인 충돌을 식별하는 데에도 도움이 됩니다. 효과적인 테스트 전략에는 회귀 테스트, 성능 테스트, 보안 테스트가 포함되어 패치를 광범위하게 배포하기 전에 패치의 효과와 안전성을 종합적으로 검증할 수 있습니다. 이러한 접근 방식은 패치 관리의 모범 사례와 일치하며, 의도하지 않은 결과의 위험을 완화하고 시스템과 애플리케이션의 지속적인 보안과 안정성을 보장하기 위한 철저한 테스트의 중요성을 강조합니다.
참조:
* ISO/IEC 27001(정보 보안 관리)과 같은 업계 표준에서는 패치의 효과와 영향을 평가하는 테스트의 역할을 포함하여 패치 관리에 대한 체계적인 접근 방식의 중요성을 강조하고 있습니다.
* 인터넷 보안 센터(CIS)의 '패치 관리 모범 사례'와 같은 리소스는 패치가 안전하고 효과적으로 적용되도록 엄격한 테스트 절차를 포함하는 패치 관리 프로그램의 개발 및 구현에 대한 지침을 제공합니다.