태국 보험위원회 사무국(OIC)은 생명보험 부문의 IT 위험 관리를 강화하기 위해 생명보험사 정보기술 위험 감독 및 관리에 관한 지침 BE 2563(2020)(หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสน เทศของบริษัทประกันชีวิต พ.ศ. ๒๕๖๓)을 제정했습니다.
규정 준수 개요
태국 OIC의 IT 위험 감독 및 관리 지침 준수
탈레스의 종합 사이버보안 솔루션을 통해 보험사가 정보기술 위험 감독 및 관리 지침을 준수하는 방법을 알아보고 요건에 대해 자세히 알아보세요.
태국 금융감독원(OIC)의 IT 위험 감독 및 관리 지침에 대한 탈레스의 지원 방식
탈레스의 사이버보안 솔루션은 조직이 IT 보안과 사이버보안 거버넌스 및 위험 관리라는 두 영역을 다룰 수 있도록 지원합니다. 이를 위해 규정 준수를 간소화하고 가시성과 제어를 통해 보안을 자동화하며, 보안 및 규정 준수 팀의 부담을 줄여줍니다.
OIC 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사 제품군은 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호 기능을 포함합니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
OIC – IT 위험 감독 및 관리 지침 준수
탈레스의 지원 방식:
- 하이브리드 IT 전반에서 위험에 노출된 정형·비정형 민감 데이터를 식별합니다.
- 현재 규제 준수 상태를 파악하고 미비점을 문서화합니다.
- 모든 공개, 비공개, 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
- 다양한 유형의 데이터 세트에 대한 데이터 저장소와 분류 프로필을 정의할 때, 데이터에 대한 특정 민감도 수준을 분류하고 할당합니다.
탈레스의 지원 방식:
- 정책을 통해 역할과 상황에 따라 내·외부 사용자의 시스템 및 데이터 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 여러 하이브리드 환경에서의 액세스 정책과 시행을 하나의 창으로 일원화합니다.
- 역할 기반 액세스 제어를 통해 키 관리 작업을 통합합니다.
- 시스템에 접근하는 사용자에게 실제 권한이 있는지 확인하는 다중 인증(MFA)을 제공합니다.
- 싱글사인온(SSO)을 사용하면 사용자가 한 번의 인증으로 여러 시스템에 안전하게 액세스할 수 있습니다.
- 사용자 역할, 책임 및 위험에 따라 액세스 정책을 설정합니다(정책 기반 액세스 제어).
- 사후 감사를 지원하기 위해 액세스 로그를 저장합니다.
- 저장 및 전송 중인 데이터 모두 암호화(저장 데이터 및 전송 데이터 암호화)를 통해 무단 액세스를 방지합니다.
솔루션:
애플리케이션 보안
데이터 보안
ID 및 액세스 관리
탈레스의 지원 방식:
- 물리, 가상 및 클라우드 환경에서 사용자와 프로세스의 무단 액세스를 방지하는 투명하고 지속적인 암호화를 배포합니다.
- 테스트 시 실제 데이터가 노출되는 것을 방지하기 위해 데이터베이스의 민감한 정보를 가명화합니다.
- FIPS140-3 레벨 3 및 변조 방지 하드웨어에서 암호키를 보호합니다.
- 일회용 AES 256 키로 키를 암호화하고 상호 인증된 TLS 연결을 통해 전송합니다.
- 퀀텀 업그레이드 후에도 암호화 민첩성을 유지할 수 있도록 설계된 보안 제품입니다.
탈레스의 지원 방식:
- 원격 사용자에 대해 다중 인증(MFA)을 활성화하여 액세스가 승인되었는지 확인합니다.
- VPN(가상 사설망) 시스템에 대한 사용자 권한 관리를 제공하여 승인되지 않은 기기의 접근을 방지합니다.
- 사전 승인된 사용자만 제어하는 원격 액세스 정책을 제공합니다.
- 사후 감사를 지원하기 위해 원격 액세스 로그를 저장합니다.
- 원격 연결을 통해 전송되는 데이터를 암호화(전송 중 데이터 암호화)하여 통신 중 데이터 가로채기를 방지합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽을 통해 사이버 위협을 탐지하고 예방하여, 안심하고 원활히 운영할 수 있도록 보장합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 빠르고 효과적인 DDoS 방어 기능과 계층 3 및 계층 4 공격에 대한 3초 SLA로 가동 시간을 제공합니다.
- 비즈니스 로직 공격과 OWASP API의 10대 위협 요소를 비롯한 여러 위협으로부터 보호를 제공합니다.
- 모든 공개, 비공개, 섀도 API를 탐지하기 위한 심층 검색 및 분류 기능을 사용하여 모든 API에 대한 지속적인 보호를 제공합니다.
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 특권 사용자를 포함한 모든 사용자의 위험한 데이터 액세스 활동을 정확히 파악합니다.
- 정책 위반 시 실시간 알림이나 사용자 액세스 차단을 통해 데이터를 보호합니다.
- 데이터 위험 지표를 통합하고, 위험 영역을 찾고, 투명하고 맞춤 설정할 수 있는 위험 점수를 제공하여 데이터 위험 상태에 대한 투명성과 상황 정보를 제공합니다.
탈레스의 지원 방식:
- MySQL 등의 데이터 저장소에서 평가 테스트를 실행하여 알려진 취약점을 스캔합니다.
- CIS 및 PCI-DSS 벤치마크를 기반으로 하며 사전 정의된 취약성 테스트 1,500여 종으로 데이터베이스를 스캔하여 최신 위협으로부터 데이터베이스를 보호할 수 있습니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.