Akamai와 ISO 규정 준수: 흥미로운 팩트

Akamai는 ISO 27002의 관리 조항에 따라 매년 평가를 받고 있습니다. Akamai의 절차가 어떻게 적용되고 있으며, Akamai가 고객의 표준 준수와 관련한 요구를 해결하는 데 어떤 도움을 주고 있는지에 대해 간략하게 살펴봅니다.

Akamai와 ISO 규정 준수: 팩트 개요

Akamai는 현재 정보 보안 관리 시스템 체계 안에서 국제적으로 인정받는 관리 및 모범 사례의 기준인 ISO 27002의 관리 조항에 따라 매년 평가를 받고 있습니다. 

2013년에는 ISO 27001과 ISO 27002 모두 대대적으로 개편되었고 지난해 Akamai는 ISO 27002:2005가 아닌 ISO 27002:2013을 기준으로 평가를 받았습니다. 

특히, Akamai의 ISMS(Information Security Management System)는 ISO 27001/2(예전의 영국 표준 17799) 정보 보안 관리를 위한 직업 규약(Code of Practice)에 기반합니다. 이에 따라 Akamai는 매년 독립적인 제3의 업체로부터 평가를 받고 있습니다. 

다음에서는 Akamai의 절차가 어떻게 적용되고 있고, Akamai가 고객의 표준 준수와 관련한 요구를 해결하는 데 어떤 도움을 주고 있는지에 대해 간략하게 살펴봅니다. 

우선 배경지식을 조금 쌓아보겠습니다. 

ISO(국제표준화기구)는 독립적인 비정부 회원제 단체로서 자발적 국제 표준을 개발하고 있는 세계 최대 조직입니다. Akamai의 보안 절차 중 대다수가 ISO의 조항에 따라 개발되었습니다. 

ISO 17799는 1990년대 초 영국의 DTI(Department of Trade & Industry)에 의해 "DTI 직업 규약(Code of Practice)"으로 처음 공표되었습니다. 1995년, BSI committee BDD/2에서 이를 좀 더 발전시켜 BS 7799로 공표하게 됩니다. ISO 27002는 ISO 17799의 바뀐 이름입니다. 이 이름 변경은 ISO가 정보 보안 관련 표준을 대대적으로 재편하는 과정의 일환으로 이루어졌습니다. 2005년 ISO 17799의 대대적인 개정이 있었다는 점을 감안하면, 내용 면에서는 큰 변화는 없습니다. 

2013년, ISO 27002는 또 한 번 대대적인 개정을 거쳤습니다. 

최종 버전인 ISO 27002:2013에는 35가지 관리 목표 및 114가지 구체적인 관리 조치가 15개의 섹션으로 정리되어 있습니다. 

각 관리 목표에 따른 설명을 뒷받침하고자 해당 목표를 달성하는 방법에 대한 조언과 함께 정보 보안 관리를 위한 다수의 모범 사례가 수록되어 있습니다. 표준 전반에 걸쳐 위험 평가에 대한 필요성이 강조됩니다. 

아래 주소에서 ISO 보안 표준에 대한 자세한 내용을 읽어볼 수 있습니다. http://www.iso.org/iso/home/about.htm 

Akamai의 ISO를 위한 규정 준수 관리 모듈에는 이에 관한 당사의 몇 가지 정책 및 절차가 수록되어 있습니다. 여러 고객이 개별적으로 검토하기는 어렵기 때문에 Akamai는 규정 준수, 감사 및 품질 보증을 위한 심층 검토 정보를 필요로 하는 고객들에게 무료로 지원 서비스를 제공합니다. 

이러한 감사는 기업 시설과 약 천 개에 달하는 네트워크에 속한 수만 개의 서버로 이루어진 생산 네트워크 모두에 영향을 미치므로 기업 전체에 영향을 미칩니다. Akamai는 보안 프로그램이 구축되어 제 기능을 하고 있다는 증거로서 평가에서 발견된 내용을 요약해 고객에게 제공하고 있습니다. 

이 프로세스의 일환으로 Akamai는 PCI 규정 준수 모듈을 통해 위양성이 제거된 네트워크 인프라에 대한 스캔 결과를 제공합니다.