컴플라이언스 준수 인증
ISO 27001
ISO 27001은 널리 채택된 글로벌 보안 표준으로 정보 보안 관리 시스템에 대한 전반적 요구사항을 포함하고 있습니다. 정기적으로 리스크를 평가하여 회사와 고객의 정보를 관리하는 체계적 접근 방식을 제공합니다.
인증서 보기
IBM Cloud IaaS 인증서-ISO 27001(PDF, 337KB)
클라우드 서비스 인증서-ISO 27001(PDF, 1.23MB)
ISO 27017
ISO 27017은 클라우드 서비스의 제공 및 사용에 적용되는 정보 보안 관리에 대한 지침과 더불어 클라우드 서비스 제공자와 클라우드 서비스 고객 모두를 위한 구현 안내를 제공합니다.
인증서 보기
ISO 27018
ISO 27018은 퍼블릭 클라우드 컴퓨팅 환경에 대한 ISO 29100의 개인정보 보호 원칙에 따라 개인 식별 정보(PII) 보호 조치를 구현하기 위해 광범위하게 채택된 관리 목표, 관리 및 지침을 제공합니다.
인증서 보기
ISO 22301
ISO 22301은 조직의 비즈니스 연속성 관리 시스템(BCMS)의 계획, 확립, 구현, 운영, 모니터링, 검토 및 유지보수에 관한 요구사항을 제시합니다. 조직은 BCMS으로 사고에 더 잘 대비하고, 사고 발생을 효율적으로 방지하며, 사고 발생 시 더 빨리 복구할 수 있습니다.
ISO 31000
ISO 31000은 리스크 관리의 원칙, 프레임워크 및 프로세스를 제공합니다. ISO 31000은 조직의 주제별 전문가가 국제적으로 통용되는 기준과 조직의 리스크 관리 관행을 비교하고 국제 표준에 맞춰 조직의 관행을 조정할 수 있도록 안내합니다.
SOC 1, SOC 2 및 SOC 3
서비스 조직의 관리에 초점을 맞춘 SOC 1 보고서는 사용자 엔티티 및 감사자가 사용자 엔티티의 재무제표 감사를 계획하고 재무 보고에 대한 사용자 엔티티의 내부 관리를 평가하는 데 유용합니다. SOC 2 및 SOC 3 보고서는 서비스 조직의 시스템 설명과 관리에 대해 중점적으로 다루고 있습니다. 이는 가용성, 보안 및 기밀성과 관련된 특정 기준에 따른 것입니다. SOC 2에는 감사자 테스트와 결과가 포함되어 있으며, SOC 3은 SOC 2 보고서의 요약으로 누구나 사용 가능합니다.
고객 포털(IBM.com 외부 링크)을 통해 IBM Cloud IaaS SOC 1 및 SOC 2 인증서를 요청하세요.
IBM 영업 담당자에게 문의하셔도 됩니다.
PCI
결제 카드 산업 보안 표준 위원회(ibm.com 외부 링크)에서는 소매상에게 일관성 있는 표준을 적용하기 위해 결제 카드 산업(PCI) 데이터 보안 표준을 수립했습니다. 이러한 표준에는 카드 소유자 데이터를 보호하기 위한 우수 사례가 통합되어 있습니다. 또한 이러한 표준에 따라 써드파티 공인 서비스 평가자(QSA. Qualified Service Assessor)의 유효성 검증을 받아야 할 수 있습니다.
고객 포털(IBM.com 외부 링크)을 통해 IBM Cloud IaaS 인증서를 요청하세요.
IBM 영업 담당자에게 문의하셔도 됩니다.
HITRUST
건강정보신탁연합(HITRUST, Health Information Trust Alliance)은 의료 산업 대표자들로 관리되는 조직입니다. HITRUST에서는 공통 보안 프레임워크(ibm.com 외부 링크)를 작성하여 유지하고 있습니다. 이는 의료 기관 및 해당 제공자가 일관성 있고 효율적인 방식으로 보안 및 컴플라이언스 준수를 입증하는 것을 지원하는 신뢰할 수 있는 프레임워크입니다.
FedRAMP
연방 위험 및 권한 관리 프로그램(FedRAMP, Federal Risk and Authorization Management Program)(ibm.com 외부 링크)은 연방 정부 전체에서 사용되며 클라우드 제품과 서비스의 보안 평가, 인증 및 지속적 모니터링에 대한 표준화된 접근 방식을 제공하는 프로그램입니다.
IRAP(오스트레일리아)
정보 보안 공인 평가자 프로그램(IRAP, Information Security Registered Assessors Program)(ibm.com 외부 링크)은 오스트레일리아에 대한 보안 지원의 일환으로 고품질의 정보 및 통신 기술 서비스를 정부에 제공하기 위해 오스트레일리아 통신보안청(ASD. Australian Signals Directorate)에서 개발한 이니셔티브입니다. IRAP에서는 오스트레일리아 정부에 사이버 보안 평가 서비스를 제공하기 위해 민간 및 공공 부문의 개인을 승인하는 프레임워크를 제공합니다.
IBM ISO Management System Certification
IBM에서는 회사 전반에 대한 ISO 9001, ISO 14001, ISO 50001. OHSAS 1800 인증을 획득했습니다. IBM Management System 인증에 대해 읽어보세요.
글로벌 규정
EU 모델 조항(EU Model Clauses)
EU 모델 조항(EU Model Clauses)은 EU 시민의 개인 식별 정보(PII)의 관리자와 처리자가 사용할 수 있습니다. 이 조항에 따라 EU 외부의 회사는 전 세계에서 EU가 규정한 법률과 관행을 의무적으로 준수해야 합니다. 이 조항에 따라 EU 시민의 PII를 보유한 회사는 집행 권한을 보장받고 컴플라이언스를 확실히 준수할 수 있습니다. 이에 따라 EU 외부의 제공자는 해당 회사의 지침과 EU 법률을 준수하는 경우에만 데이터를 처리할 수 있습니다.
FERPA
교육 권리 및 개인정보 보호에 관한 법률(FERPA)(ibm.com 외부 링크)을 준수하기 위해서는 보안이 필수적입니다. 이 법률에 따르면 승인 없이 학생 정보를 공개할 수 없습니다. 클라우드 컴퓨팅을 사용하는 교육 기관에서는 계약상의 보증을 통해 기술 벤더가 중요한 학생 데이터를 적절히 관리하도록 해야 합니다.
HIPAA
미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)은 보호된 건강 정보(PHI 및 e-PHI)의 저장 및 처리에 관한 법률입니다. HIPAA의 적용을 받는 회사와 개인은 이러한 보호된 건강 정보의 보안을 위해 설계된 일련의 기술, 관리 및 물리적 제어 조치를 구현해야 합니다.
고객 포털(ibm.com 외부 링크)을 통해 IaaS Bridge Letter를 요청하세요.
IBM 영업 담당자에게 문의하셔도 됩니다.
개인번호법(일본)
일본에서는 2016년 1월부터 사회 보장 번호 및 세금 번호 시스템(개인번호)(PDF, ibm.com 외부 링크, 770KB)이 시행되었습니다. 이 법률에 따라 일본인 및 외국인을 막론하고 모든 일본 거주자에게 고유 번호가 지정되며, 이 번호는 과세 및 사회 보장 목적으로 사용됩니다. 개인정보 보호 위원회(PPC)(ibm.com 외부 링크)에서는 기업에서 개인 번호 정보를 적절하게 처리하고 보호하게 하도록 지침(ibm.com 외부 링크)을 개발했습니다.
ITAR
IBM Cloud에서는 연방 및 민간 부문에 미국 국제무기거래규정(ITAR)의 컴플라이언스(ibm.com 외부 링크)를 지원하는 오퍼링을 제공합니다. ITAR는 미국의 제조업체, 수출업체 및 중개인이 취급하는 미국 국방 문서, 국방 서비스 및 관련 기술 데이터의 보호를 목적으로 하는 수출 통제 규정입니다. ITAR는 국무부의 승인을 받거나 특별 면제를 받지 않는 한 미국 시민만 ITAR 환경에 저장된 문서에 물리적 또는 논리적으로 접근할 수 있음을 명시하고 있습니다.
클라우드 컴퓨팅 컴플라이언스 준수 제어 카탈로그(C5)(독일)
독일 연방정보보호국(BSI)에서 도입한 클라우드 컴퓨팅 컴플라이언스 준수 제어 카탈로그(C5)(ibm.com 외부 링크)는 클라우드 서비스 제공자가 최소한의 보안 수준을 충족하는 클라우드 서비스를 제공할 것을 규정한 클라우드 특정 증명서 제도입니다. C5는 보안 표준(ISO 27001)에 데이터 처리 시 투명성 강화를 위한 요구사항을 추가하여 클라우드 제공자에 대한 요구사항 수준을 높였습니다.
IBM Cloud 고객 포털(ibm.com 외부 링크)을 통해 IBM Cloud IaaS C5 증명서를 요청하세요.
IBM 영업 담당자에게 문의하셔도 됩니다.
준수 및 프레임워크
CJIS
형사사법정보시스템(CJIS, Criminal Justice Information Systems) 부서는 미국 법무부 FBI에 속한 부서입니다. CJIS 부서에서는 최소 정보 보안 요구사항, 지침 및 계약이 포함된 보안 정책을 개발하고 발행했습니다. 이는 형사 사법 정보(CJI)의 출처, 전송, 저장 및 생성을 보호하기 위해 입법부와 형사 당국의 의지를 반영한 것입니다.
CSA
클라우드 보안 연맹(CSA, Cloud Security Alliance(ibm.com 외부 링크)은 클라우드 컴퓨팅의 보안을 보장하기 위해 우수 사례를 사용할 것을 장려할 목적으로 설립된 비영리 조직입니다. CSA에서 이러한 목표를 달성하기 위해 사용하는 메커니즘 중 하나는 보안, 신뢰 및 보증 레지스트리(STAR, Security, Trust and Assurance Registry)입니다. 이는 누구나 무료로 접근할 수 있는 레지스트리로서 여러 클라우드 컴퓨팅 오퍼링을 통해 제공되는 보안 관리를 문서화할 수 있습니다.
EU-미국 간 개인정보 보호(Privacy Shield)
EU-미국 간 및 스위스-미국 간 개인정보 보호(Privacy Shield) 프레임워크는 미국 상무부와 유럽연합 집행위원회(EC), 스위스 행정부에서 개발되었습니다. 이는 대륙 간 상거래를 지원하기 위해 EU 및 스위스의 개인 데이터를 미국으로 전송할 때 데이터 보호 요건을 준수하도록 하는 메커니즘을 EU, 스위스 및 미국의 회사에 제공하는 것을 목적으로 합니다.
FFIEC
새로운 위협을 해결하기 위해 연방금융기관검사협의회(FFIEC, Federal Financial Institutions Examination Council)에서는 금융기관이 이러한 위협에 대응하여 지속적으로 리스크 평가를 실시하고, 제어 메커니즘을 조정하며, 보안에 대한 다중 접근 방식을 구현할 것을 요구하고 있습니다. IBM Cloud IaaS는 FFIEC의 컴플라이언스를 준수하기 위해 해당 지침 준수에 필요한 주요 관리 도구를 찾고, 새로운 위협을 확인하고 해당 위협으로 인한 영향을 처리하며, 고객 사기를 방지하기 위한 다중 보안을 적용합니다.
FISC
일본 재무성에서는 일본의 금융 정보 시스템과 관련된 주제로 연구를 실시하기 위해 금융 산업 정보 시스템 센터(FISC, Center for Financial Industry Information Systems)(ibm.com 외부 링크)를 설립했습니다. FISC에서는 은행 및 금융 산업의 정보 시스템 보안을 강화하기 위한 지침을 수립했습니다. 이 FISC 지침은 법으로 강제되지는 않지만, 대부분의 일본 금융 기관에서 채택하여 정보 시스템을 설계하고 유지보수하는 데 사용하고 있습니다.
FISMA
2002년에 시행된 연방 정보 보안관리법(FISMA, Federal Information Security Management Act)(ibm.com 외부 링크)은 연방 정부의 데이터 보안과 관련된 법률입니다. FISMA에 따라 프로그램 담당 공무원과 당국은 적시에 비용 효율적인 방식으로 규정상 허용 가능한 수준 이하로 리스크를 낮추기 위해 정보 보안 프로그램에 대한 연간 검토를 실시해야 합니다.
보안
IBM의 파트너는 IBM Cloud 보안 서비스의 전체 스택을 사용할 수 있을 뿐만 아니라 133개국에서 12,000명 이상의 고객을 지원하는 보안 팀의 서비스도 이용할 수 있습니다. 엔터프라이즈 보안 부문의 입증된 선두주자인 IBM은 3,500건 이상의 보안 특허를 보유하고 있습니다. 또한 보안 면역 시스템을 고급 코그너티브 컴퓨팅과 결합하여 귀사와 같은 조직에서 리스크를 줄이는 동시에 계속해서 혁신할 수 있도록 지원합니다.
개인정보 보호정책
IBM은 직원, 고객, 비즈니스 파트너(고객 및 비즈니스 파트너와의 계약에 포함된 연락처 포함) 및 기타 신원을 인식할 수 있는 개인의 개인 정보를 보호하고 기밀을 유지하기 위해 최선을 다하고 있습니다. 이러한 개인 정보를 수집, 사용, 공개, 저장, 접근, 전송하거나 기타 방식으로 처리하는 데 있어 일관된 기준을 적용함으로써 IBM에서는 공정하고 적절한 방식으로 개인 정보를 처리하고, 적절한 상황에서만 이러한 정보를 공개 및/또는 전송하도록 할 수 있습니다.
컴플라이언스 준수 리소스 및 정보
Follow IBM
Follow IBM