Security Engineer · Compliance

법규 의무와 증적 관리 매핑

개인정보, 전자서명, 신용정보, 위치정보, ISMS-P 요구사항을 운영 증적과 점검 주기로 연결해 컴플라이언스 관리 단위를 나눈다.

01

적용 법규 식별

처리하는 정보와 서비스 유형에 따라 개인정보, 신용, 위치, 인증 의무를 구분한다.

범위
02

통제 항목 매핑

접근통제, 암호화, 접속기록, 파기, 위탁관리 요구를 내부 통제로 연결한다.

control
03

증적 수집

정책 문서, 승인 기록, 로그, 점검 결과, 교육 이력을 보관한다.

근거
04

개선 추적

미흡 사항은 담당자, 기한, 재점검 결과와 함께 닫는다.

remediation
접근통제
계정 권한 목록과 승인 기록 권한 부여, 변경, 회수 이력이 정책과 일치해야 한다.
IAM
접속기록
로그 보관과 점검 이력 수집, 보관 기간, 위변조 방지, 정기 검토 기록을 확인한다.
logging
위탁관리
계약 조항과 점검 결과 수탁자 보호조치, 재위탁, 목적 외 이용 금지 근거가 필요하다.
vendor

감사 대비

정책과 현실 문서에 있는 통제가 실제 시스템 설정과 맞는지 확인한다.
변경 이력 법 개정과 서비스 변경 시 통제표를 갱신한다.
책임자 각 증적에는 담당 부서와 승인자가 분명해야 한다.