HID Origo 정보 보안

HID Global에서 정보 보안은 그 무엇보다도 중요한 요소입니다. HID Global은 HID Global에 대한 고객의 높은 신뢰도를 유지하기 위해 알려진 보안 요구사항을 준수하는 데서 그치지 않고 전 세계적으로 신뢰를 받고 있는 ID 보안 솔루션 제공업체의 자리를 지키고자 종합 정보 보안 관리 시스템(ISMS)을 구축했습니다.

보안 인력

HID 직원은 모두 정보 보안 및 개인정보 보호 인식 교육을 이수해야 합니다. 민감한 데이터나 고객 데이터를 취급할 가능성이 있는 직원은 각자의 역할에 적합한 추가 교육을 받으며 필요 시 정부 보안 승인을 취득합니다. HID는 고도로 숙련된 보안 전문가로 구성된 전담 직원을 보유하고 있으며, 이들의 역할과 책임은 다음과 같습니다.

ISMS 집행운영위원회

  • ISMS 안에서 경영진 관리 요구 사항 모두 충족
  • 정보 보안과 관련된 역할, 책임, 권한의 할당 및 전달 보장
  • 위험 평가 방법론(접근 방식), 영향력 및 가능성 척도, 위험 허용 기준, 선별된 통제, 잔존 위험 및 허용된 위험을 비롯한 전반적 위험 관리 프로세스 승인

사업부 운영위원회

  • ISMS가 비즈니스 요구 사항을 충족하여 사업부의 제품 및 서비스에 부가 가치를 창출하도록 보장
  • 사업부 관련 위험에 대한 위험 관리 프로세스 검토
  • ISMS 정책, 프로세스 및 절차 검토

글로벌 정보 보안팀

  • ISMS의 전반적인 이행, 유지관리 및 개선 담당
  • 각종 보안 사고 발생 시 게시된 정책, 프로세스 및 절차에 의거하여 조사, 전달, 문서화하고 해결
  • 현재와 미래의 HID Global 비즈니스 요구를 충족하는 정보 보안 아키텍처 개발

정책

HID Global은 상세한 내부 정보 보안 및 데이터 개인정보 처리방침을 유지합니다. 직원은 누구나 각자가 글로벌 정보 보안 정책과 지원 정책 및 절차의 조항을 읽고 이해했으며 이를 준수해야 합니다.

평가

HID Global은 사이버 보안에 대해 적극적 분석 중심 접근 방식을 구현하고자 최선을 다하고 있습니다. 보안 테스트 및 개선은 취약성 및 위협 평가 프로세스에 속하는 지속적 활동입니다. HID Global는 모든 HID Origo 솔루션 구성 요소에 대해 지속적인 테스트를 수행하며, 외부 보안 감사인과의 협력을 통해 정기적으로 보안 태세를 검증하여 최고 수준으로 보안을 약속합니다. 지속적인 애플리케이션 및 시스템 취약성 위협 평가는 다음과 같이 실시합니다.

  • 네트워크 취약성 검사
  • 선도적이며 독립적인 타사를 통한 모의 침투 테스트 및 코드 검토
  • 보안 제어 프레임워크 검토 및 테스트

무단 액세스를 방지하기 위해 가능한 예방 조치를 모두 강구하기를 강력히 권장합니다. 긴급한 상황을 제외하고, 취약점이 발견될 경우 HID Global 기술 지원팀이나 보안 센터를 통해 HID Global에 직접 보고해야 합니다.

참고: HID Global은 사전 승인 없는 타사의 취약성 및 침투 테스트를 허용하지 않습니다. 또 원활한 운영을 유지할 책임이 있습니다. 통제되지 않은 테스트는 시스템 성능에 부정적인 영향을 미칠 위험이 있습니다.

보안 인시던트 관리

HID Global은 보안 인시던트 관리 정책과 절차를 유지관리하며 적절한 근본 원인 분석과 시정 조치 계획을 적용합니다. 법률에 의거하여 허용하는 범위 내에서 실제적 또는 합리적인 수준에서 개별 고객 데이터의 무단 공개가 의심되는 경우 해당 고객에게 즉시 통지합니다. 보안 인시던트가 감지되면 글로벌 정보 보안 팀에서 정해진 절차에 따라 문제를 평가하고 테스트 및 해결하기 위해 필요한 조치를 취합니다.

  • 조사 및 진단
  • 기밀 데이터의 침해 또는 손실이 의심되는 경우 고위 경영진에게 에스컬레이션
  • 시정 조치 수행
  • 테스트 및 검증
  • 에스컬레이션 발생 시 인시던트 근본 원인 분석 평가

안전한 제품을 구축하는 방법

HID는 SAFe(Scaled Agile Framework)를 기반으로 하는 애자일한 소프트웨어 개발 라이프사이클 프로세스를 보유하고 있으며, 모든 단계에 보안 모범 사례가 결합되어 있습니다. 통합 및 배포 절차의 주요 단계는 다음과 같습니다.

개발

소스 코드의 정적 코드 분석 및 감사 점검

테스트

  • 애플리케이션 보안 테스트 및 네트워크 보안 검사
  • 보안 테스트 결과 검토 및 승인

배포

  • 민감한 데이터 마스킹
  • 보안 표준 및 구현 검증/승인
  • 아키텍처 및 보안 관련 거버넌스 규정 준수 확인
  • 프로덕션 환경과 비프로덕션 환경의 격리

모니터링

  • 액세스 제어 정책 모니터링 및 검토
  • 방화벽 정책 구현 및 이상 징후 검토
  • 정기 취약성 평가
  • 로그 분석 도구 구현