윗분에게 메가존의 강점이 무엇이라고 보고드리면 자세한 세부 비교 없이 그냥 pass할까요?
메가존은 클라우드 서비스 전문파트너로써 1위를 하고 있으면 ISMS인증에대한 부분도 같이 동시에 지원이 되는 원스톱 서비스 제공이 가능하다는 점이 강점입니다.
질문] 온프로미스 환경에서 Private 클라우드환경으로 전환을 고려중인데, CASB(Cloud Access Security Broker)서비스 모델 적용시에도 ISMS 인증 범위인지요? 즉, 보안 강화를 위해 도입되는 인프라 및 솔루션 비용 절감을 위해 보안솔루션을 외부 보안 클라우드 서비스를 받는 방식을 고려중입니다.
ISMS의 사상은 빌려쓰는 모델이어도 그것을 사용하는 고객의 관리 포인트 범위까지는 포함 되는 갓이 맞을듯 합니다
따라서 이왕이면 같이하는 협력보안 모델을 고려하시는 것이 좋은 방법인갓 같습니다(제공자의 서비스 형태보다는 어느 수준까지 우리와 같이 할수 있는지가 더 중요한듯합니다)
개인정보보호법과의 차이는 무엇인지요
개인정보보호법은 개인의 정보를 취급하는 업체들에 대한 보안과 처리 보관이 주가 되지만 ISMS는 기업전체를 대상으로 해당이 됩니다.
[질문] 인증 심사를 받다보면 문서, 절차 따로 이행 따로인 사항이 많습니다. 이런 부분도 ISMS 심사 시 걸려질까요?? ㅎㅎ
많이 걸려지며, 기업의 업무에대해 깊이있게 알수 있습니다. 이유는 어떤 부서가 어떤 업무를 하는지에따라 업무 프로세스라든지 심사 대상이 되는지를 판단하게 되기 때문입니다.
ISMS인증심사는 문서와 절차대로 행위가 이루어지고 있는지 현장실사도 병행해서진행 되기 때문에 심사시 그런부분이 결함으로 도출됩니다
[질문] IaaS / PaaS / SaaS 형태에 따라 보안 요구 수준이 다를 것 같은데요. 요건 정의가 궁금합니다.
내용이 길어지므로 도움이 되는 링크를 알려드립니다.
http://blog.naver.com/ambidext/221026478754
감사합니다. 확인해보겠습니다.
클라우드 서비스를 구현하기 위해서 소요되는 총 비용을 최소화하기 위해서 어떤 자료 또는 어떤 기준으로 계획을 수립해나가면 좋을지요?
내부적으로 어떤 서비스를 할 것인지에 대한 부분이 잘 정립이 되어 있다면 클라우드 컨설턴트들이 비용까지 고려하여 상담해드립니다.
ISMS 인증을 안받으면 과태료 3천만을 매년 내면, 인건비 1년간 연봉주는것보다 더 좋을거 같기도 합니다. 최선이 뭔지 궁금합니다.
ISMS는 보안 관점에서 기업의 내부 업무 프로세스와 기업의 대외 인지도등 전반적으로 받는것이 좋습니다. ISMS는 과태료보다 더 가치있는 인증이 되지 않을 까 생각합니다.
[질문]클라우드상의 고객정보 누출에 대한 방안 및 바이러스나 악성코드로부터 데이터 보안에 대해 알고 싶습니다.
클라우드에서 고객 정보 누출에 대한 부분을 위해서 네트워크 보안
구성 및 서버측 암호화/클라이언트측 암호화등 다양한 암호화를 지원하고 있습니다. 또한 저장되는 데이터에 대해서 블록 암호화도 지원합니다. 악성코드로부터의 보호는 저장되는 데이터의 버전 관리 기능도 지원합니다. 또한 기업환경에 맞는 다양한 3rd Party 솔루션을 이용할 수 있습니다.
[질문] 클라우드로 서비스 환경을 모두 넘기긴 쉽지 않을 것 같은데 클라우드로 넘거간 시스템과 사내 IDC 에 남은 시스템과의 연동이 필요한 경우는 어떤 방법으로 보안을 유지하며 연동을 할 수 있나요?
사내IDC와 클라우드의 연동은 VPN 혹은 전용선 서비스로 보안을 유지하며 연동을 할 수 있습니다.
IaaS 환경을 cloud 환경으로 옮겼을때, VPC 구성을 통해서 zone을나누어야할꺼 같은데, VPC간 과금이 된다고 하던데, 내부 통신이 많은 경우 과금이 상당히 나올껏으로 생각되는데요..그렇다면 과금을 최소화하면서 인증을 통과하기 위한 구성은 어떻게 하는것이 좋을지요?
VPC내부의 네트웍을 구축하신후 내부 통신에 대해서는 무료입니다. 또한 인바운드 트래픽도 무료입니다만 아웃바운드에 대한 트래픽만 과금 대상이 됩니다.
앞으로의 방향으로 자체 구축 또는 하이브리드보다 결국 클라우드로 모두 이동하는 방향으로 갈지? 궁금합니다.
클라우드 하나로 통합되기 보다는 , 멀티 클라우드 및 하이브리드로 유지가 될 것같습니다.
[질문] ISMS 인증 의무가 실제 기업의 보안 강화가 되어야 하는데, 실질적인 보안 수준 향상이 아니라 관리기준이나 절차 위주가 되면 법적인 상황만 해결하기 위한 목적이 되지 않을까 하는 생각이 드는데요. 어떻게 생각하는지요?
그렇지는 않습니다. 기업 보안 강화와 보안 책임 전담 팀도 구성을 해야하며, 절차는 실무에 적용이 되어야 하기때문에 절차만 보고 인증을 발급해주시는 않습니다.
[질문] 각 AP 가 각 컨트롤러 기능을 각각 하신다 했는데요. 전체 통합적인 측면에서 전체 AP 가 일정한 방향으로 통제성을 가져야할 텐데요. 이런 부분은 어떤 매카니즘으로 구성됬나요?