Akamai InfoSec 프로그램

정보 보안 프로그램(Information Security Program)은 간결하고 명료한 정보 보안 정책 및 지침, 표준을 제공합니다. 경계 의식을 가지고 열정적으로 참여하는 직원은 민감한 정보의 손실에 대응하는 Akamai 최고의 방어책입니다. 모든 직원은 Akamai에 대한 위험을 평가하고 완화 전략을 개발하며 기존의 정책 및 안전 조치의 효과를 모니터링해야 합니다.

정보 보안 프로그램의 목표는 다음과 같습니다.

  • 고객의 환경 및 보안 개선
  • 보안을 통해 경쟁력 강화
  • Akamai 고위 경영진이 적절하다고 판단하는 수준까지 보안 및 개인 정보 위험 관리
  • 가능한 효율적으로 모든 법률 및 규제 요구 사항 준수
  • 직원들에게 지속적으로 보안 교육 제공

Akamai 보안 프로그램의 기본 원칙은 다음과 같습니다. 

최소한의 권한 부여.   이는 아키텍처, 제품 또는 서비스 설계 시 기준이 되는 원칙으로, 각 시스템 엔티티(예: 개인 사용자 또는 컴퓨터)에 해당 업무를 수행하는 데 필요한 최소한의 시스템 리소스 및 권한만 부여해야 함을 의미합니다. 이 원칙을 통해 사고, 오류 또는 무단 행위로 인해 유발될 수 있는 손상을 줄일 수 있습니다.

명시적으로 허용되지 않은 모든 명령 거부.   명시적으로 허용되지 않은 모든 명령은 거부됩니다. 모든 구성에 대한 기본 원칙으로, 사양/계약에 의해 명시적으로 요구되지 않는 한 액세스 및 수정을 거부해야 합니다. 

책임 분할.   다양한 역할 간에 시스템의 기능상 단계를 배분하고, 협업을 진행하는 개인이나 소집단이 프로세스의 여러 중요 측면을 부적절하게 통제해 용납할 수 없는 피해나 손실을 야기하지 않도록 책임과 권한을 할당하는 것을 말합니다. 

심층적 방어.   이 원칙은 여러 보안 계층을 구축하고, 네트워크를 구분해 보호되고 있는 다양한 자산 가까이에 액세스 제어 지점을 추가하는 것입니다. 따라서 전체 보안이 단일 방어 메커니즘에 좌우되지 않습니다.

위험 분할.   이 원칙은 지정된 사람들과 이들이 "알아야 할 정보"와 관련된 데이터로만 의도적으로 사전에 액세스 권한을 분리해 적용할 수 있도록 개발되었습니다. 한 부분이 손상되면 침입자가 이후의 각 부분에 액세스하는 것도 마찬가지로 어려워집니다. 

보안 장애.   시스템에 어떤 이유로든 장애가 발생하면 시스템은 작동을 중지해 안전한 상태를 유지해야 합니다. 이 원칙은 시동 시에도 적용되는데, 시스템이 초기화될 때 초기 상태가 가장 안전한 상태이며 이후에는 이 안전한 상태가 유지되도록 기능이 활성화됩니다. 이는 "장애 시 폐쇄(Fail Closed)" 원칙이라고도 합니다. 

단순성.   단순한 시스템은 오류가 발생할 가능성이 낮기 때문에 복잡한 시스템보다 보안을 유지하기 더 쉽습니다. 사용되지 않는 불필요한 구성 요소 및 기능을 제거하면 복잡성이 줄고 진단이 간편해지며 안정성이 개선됩니다.

범용 인증 및 권한 부여.   명시적인 액세스 제어 결정을 내릴 수 있도록 확실하게 구축된 신원 및 역할에 기반한 권한 부여가 사용됩니다. 공통적인 인증 시스템을 사용하면 사용자가 여러 인증 암호를 유지 관리하지 않아도 되고, 공통적인 권한 부여 시스템을 사용하면 직원들이 역할을 바꿀 때 최소화의 권한 부여 원칙에 위배되는 감사를 거치지 않은 권한이 부여될 확률이 줄어듭니다.

책임.   보안 시스템의 가장 중요한 요소는 특정 기간 동안 해당 조치를 취한 사람과 취해진 조치를 확인할 수 있는 능력입니다. 컴퓨터 보안을 위반하였거나 위반하려고 시도한 것으로 적발된 개인 또는 엔티티는 책임을 져야 할 수 있습니다.

책임 소재

CSO(최고보안책임자)의 지휘하에 있는 InfoSec 부서는 다음 보안 직무를 담당합니다. 

  • 배포(운영) 네트워크의 보안 감독 
  • 취약성 추적 시스템 개발 및 유지 관리 
  • 인증 부호 추적 시스템 개발 및 유지 관리 
  • 법률 집행과 관련하여 법률 부서와 조율
  • 정책 위반과 관련한 내부 보안 조사 실시
  • 예정된 프로젝트 및 제품에 대한 자문
  • 보안 감사 및 평가 감독
  • 보안 인시던트에 대응
  • 보안 인식 교육 및 자문 제공 
  • 고객을 직접 응대해 보안 질문 해결
  • 인시던트 관리 프로세스 감독 
  • 심각하게 취약한 프로젝트 및 프로세스 감독 
  • 위협을 모니터링해 대중에게 알리고 Akamai의 보안과 관련한 전반적인 공개 사례 공유

Enterprise Security 팀은 기업 네트워크 및 시스템 보안을 감독합니다. 이들의 업무에는 다음이 포함됩니다.

  • 새로운 타사 애플리케이션 및 생산성 향상 애플리케이션에 대한 보안 평가 실시
  • 기업 인프라 서비스(Enterprise Infrastructure Services) 팀과 조율해 기업 환경 지원
  • 피싱(Phishing), 맬웨어 및 서명 업데이트와 관련한 반응형 보안 관리

모든 책임자 및 관리자는 정보 보안 프로세스를 조직의 운영 프로세스에 통합하고, 직원들이 모든 정보 보안 정책, 프로세스, 표준 및 지침을 준수하도록 해야 합니다. 모든 관리자는 자신의 지휘하에 있는 직원들이 적절한 보안 교육을 받도록 해야 합니다.

정보 리소스, 애플리케이션, 리포지토리 및 데이터베이스의 소유자는 자신들이 맡은 데이터를 안전하게 보호하기 위한 정책, 절차, 지침 및 표준을 수립해 유지해야 합니다. 이를테면 애플리케이션의 관리자 및 사용자의 적절한 역할과 책임을 문서화할 수 있습니다. 이들 소유자는 관리 조치를 모니터링 및 감사해 규정을 준수하는지도 확인해야 합니다.

직원들은 자신이 맡은 역할에 적용되는 모든 정책, 절차, 지침 및 표준을 읽고 이해한 후 준수해야 합니다. 또한 직원들은 매년 교육 및 정책 문서를 수령했음을 알려야 합니다.

아키텍처 검토 위원회(Architecture Review Board)는 Luna 및 Aura 사업부 직원들을 제외한 각 주요 서비스를 개발한 개발자 또는 Akamai 엔지니어링 부서 및 Platform Operations 부서의 직원들로 구성됩니다. 위원회 전체적으로나 개인별로, 아키텍처 검토 위원회는 Akamai 시스템의 무결성을 책임집니다.

CSA(Chief Security Architect)는 이 그룹의 일원으로서 보안 아키텍처를 정의 및 유지 관리하고, 보안 아키텍처 솔루션을 구축되어 있는 네트워크 인프라 아키텍처에 통합하며, 전략적이고 전술적인 보안 검토를 제공하는 일을 담당합니다.

Corporate Services의 Vice President는 고위 경영진에게 일 년 내내 검토가 필요한 실제 사건 및 인시던트에 대해 실시간으로 보고합니다.

Systems Administration 부서 Senior Director와 Corporate Services의 Vice President는 기업 정보 처리 시설에 대한 액세스 권한을 부여하는 일을 담당합니다.

Executive Vice President of Platform은 구축된 네트워크 정보 처리 시설에 대한 권한 부여를 담당합니다. Akamai의 구축된 네트워크 서버는 전 세계 시설에 배포되어 있습니다. Akamai는 코로케이션 시설 파트너들에게 사전 승인을 받아 사진 ID를 보유한 사람들에게만 액세스를 허용하도록 요구하고 있습니다. Akamai는 또한 공급자에게 Akamai 서비스 요청에 대한 확인을 실시하도록 요구합니다. 공급자는 Akamai의 서면 지침 없이는 Akamai 시스템에 어떤 종류의 액세스도 시도할 수 없습니다.

법률 부서에서는 NDA(기밀유지 협약) 양식을 유지 관리합니다. 기밀 정보를 직원 이외의 사람들과 논의하려면 그 전에 이 양식의 서명된 사본을 법률 부서에 제출해야 합니다. 각 직원은 자신이 공개하는 정보의 특성을 이해하고 Akamai의 모든 민감 정보를 적절히 취급하도록 해야 합니다. 필요한 절차에 대한 질문이 있는 경우 직원들은 NDA와 AUP(제한적 사용 정책)를 검토해 봐야 합니다.

일상근면

Akamai는 매년 실시되는 위험 평가에만 의존하지 않고 끊임 없이 구축된 네트워크에 대한 위험을 관리합니다. 그중에서도 취약한 부분은 매일 조사하고 관리하고 있습니다. 민감 데이터의 공개, 변경 또는 삭제로 이어질 수 있는 취약성이 심각한 부분은 공식 보안 인시던트로 지정해 Akamai의 "기술적 위기 및 인시던트 관리 프로세스(Technical Crisis and Incident Management Process)"를 통해 관리합니다. 그리고 이러한 취약한 부분과 인시던트는 연중 내내 고위 경영진과 함께 검토됩니다.

Akamai는 다단계로 이루어진 취약성 평가 프레임워크를 구현했습니다. 보안 위험은 위험의 잠재적인 심각도를 평가하는 위험 매트릭스를 통해 정성적 위험 평가를 거치며, 해당 위험을 야기할 수 있는 공격자도 동일한 위험 평가를 거치게 됩니다. 이 두 가지 요소를 토대로 취약성에 위험의 심각도를 나타내는 분류가 지정됩니다. 또한 소프트웨어 결함으로 인해 야기되는 위험에도 잠재적 손상보다 발생 가능성에 더 중점을 둔 CVSS(Common Vulnerability Scoring System)를 통해 점수가 매겨집니다.

위험도 및 CVSS 점수에 따라 팀장 및/또는 시스템 소유자 그리고 InfoSec 부서 간 완화를 위한 프로젝트의 우선순위가 결정됩니다. InfoSec 부서는 평가된 보안 위험에 대한 데이터베이스를 유지하며, 새로 파악된 위험을 평가하고 평가가 추가로 필요한 위험 영역을 파악하는 일을 담당합니다.

정보 취급

Akamai는 4개 계층으로 이루어진 정보 분류를 사용합니다. 
  • Akamai 공개
  • Akamai 기밀: 공개 시 NDA 필요 
  • Akamai 기밀: 내부 전용
  • Akamai 기밀: 배포 제한

Akamai 문서를 취급하는 사람들에게는 정보의 분류와 민감도를 나타내는 라벨을 적절히 지정하도록 교육됩니다. 문서에 라벨을 지정하면 해당 문서의 보유자들에게 문서에 독자적인 기밀 정보가 들어 있음을 알릴 수 있고, 특별한 액세스, 관리 또는 보안 요구 사항이 있는 경우 이에 대한 경고를 보낼 수 있습니다.

Akamai의 정책에서는 정보 자산 소유자가 문서화한 비즈니스 케이스(Business Justification)에 따라 모든 형태의 정보에 보유 및 폐기 기한을 정하고 있습니다. 법률 부서는 레코드 보유(Record Retention) 정책을 정의하는 일을 담당합니다.

이 정책에서는 또한 회사와 관련해 발생 가능한 소송이나 기존의 소송과 관련된 정보를 유지하도록 규정합니다. 어떤 정보가 발생 가능한 소송이나 기존의 소송과 관련 있는지에 대한 질문이 있는 경우 사용자는 법률 부서 담당자에게 문의해야 합니다.

이러한 정보가 무단으로 공개되거나 오용되지 않도록 정보를 취급 및 저장할 때 따라야 할 절차가 마련되어 있습니다. 관리자는 자신의 지휘하에 있는 직원들이 이러한 절차를 제대로 수행할 수 있도록 적절한 보안 교육을 받도록 할 책임이 있습니다.

Akamai 기밀 정보가 들어 있는 모든 저장 미디어의 책임자는 미디어를 폐기하기 전에 일반적으로 용인되는 원칙에 따라 정보를 삭제해야 합니다. 미디어에서 정보를 삭제할 수 없는 경우 Akamai의 Vice President of Corporate Services가 제공하는 방법에 따라 해당 미디어를 물리적으로 폐기해야 합니다.

만료되었거나 오래된 비전자 정보(예: 종이 정보)의 폐기는 승인된 방식에 따라 진행됩니다. Akamai의 Corporate Services 부서 Vice President는 종이 폐기 서비스를 제공해 모든 Akamai 시설의 컨테이너를 가용 상태로 유지할 책임이 있습니다.

다음과 같은 특정 유형의 정보에는 특수한 취급 요구 사항이 적용됩니다. 

재정 및 직원 관련 정보: 이 범주에는 Akamai의 모든 비공개 재정 정보뿐 아니라 Akamai 직원에 대한 개인 정보가 포함됩니다. 이러한 정보를 관리하는 담당자는 해당 정보에 접근할 수 있는 사람의 목록을 분명하게 표기해 두어야 합니다. 예를 들면 직원의 개인 기록 정보에는 "Akamai 기밀: 배포 제한"이라고 표시해 두도록 합니다. 

전자 메일: 모든 직원은 "전자 커뮤니케이션 이용 정책(Electronic Communications Use Policy)"을 준수해야 합니다. 전자 커뮤니케이션은 특성상 보안이 유지되기 힘들기 때문에 민감 정보를 이메일로 보낼 때는 주의해야 합니다. 모든 전자 메일 시스템에는 전송 및 보관되는 전자 메일의 보호를 위해 적절한 안전장치가 마련되어 있어야 합니다. 전자 메일로 민감 정보를 전송할 때는 정보 보호를 위해 암호를 통한 관리를 사용할 수 있습니다. 

전화 및 민감 정보: Akamai에는 의심되는 소셜 미디어를 통한 사기(Social Engineering Attempt), 휴대폰 문제 및 맬웨어 해결에 사용할 수 있는 리소스가 마련되어 있습니다.

인터넷 커뮤니케이션: 법률 부서에서는 "메시지 보드, 채팅룸 및 공공 공개 정책(Message Board, Chat Room and Public Disclosure Policy)"을 정의했습니다. Akamai의 기밀 정보는 개인 웹 사이트 또는 블로그(e-저널)에서 공개하거나 논의해서는 안 됩니다. 뉴스 매체, 업계 애널리스트 등 다양한 사람들이 일상적으로 블로그에서 민감 내부 정보를 서핑하기 때문입니다. Akamai 이름, 로고 또는 해당 계정이 회사를 대표함을 시사하는 기타 정보를 사용하는 소셜 네트워킹 계정은 승인된 직원만 사용할 수 있습니다. Akamai의 기밀 정보는 개인 소셜 네트워킹 사이트에서 일반에게 공개되지 못하도록 제한됩니다.

외부인과 업무 수행

정보 보안 프로그램(Information Security Program)은 삽화 및 광고 문구를 공급하고, PR(Public Relations) 및 미팅 계획에 도움을 주고 고객 프레젠테이션, 컨퍼런스 및 정부 제출용으로 민감 회사 자료를 인쇄 및 복사하고 Akamai에 기타 서비스를 제공하는 외부 서비스를 이용할 때에도 적용됩니다. 여기에는 시설 직원, 보안 계약업체, 유지 관리 담당자, 수위 및 인테리어 담당 직원이 포함됩니다. 

당사의 데이터는 전송 중에 가장 취약합니다. 데이터 전송 시 정보의 가치에 따라 합당한 조치를 취하여 데이터의 도청이나 손상을 방지해야 합니다 사이트 간 데이터의 물리적 전송에는 Akamai 메일룸이 사용됩니다. Akamai는 또한 휴면/저장 중인 데이터를 보호하는 데이터 보안 표준도 적용하고 있습니다.

Akamai의 데이터를 취급하는 외부 기업에게도 Akamai만큼 신경 써서 해당 데이터를 취급하도록 교육합니다. 

정책에서는 Akamai 암호를 암호화되지 않은 네트워크에서 절대로 전송하지 않도록 규정합니다. 웹 브라우저에 암호를 입력할 때는 우선 SSL "잠금" 아이콘이 있는지 확인하십시오. 누군가 부주의로 암호를 안전하지 않은 방법으로 전송한 경우 InfoSec 부서와 시스템 소유자에게 알려 암호를 선회하기 위한 지침을 받아야 합니다. 

민감 정보를 지닌 채 이동하는 사람들은 더욱 각별히 주의해야 합니다. 가지고 다니는 민감 자료의 양은 필요한 수준으로 제한되어야 하며, 노트북과 같은 민감 정보는 항상 직원의 관리하에 있어야 합니다. 민감 정보를 위탁 수하물로 맡기거나 Akamai 직원의 통제를 벗어난 기타 방법으로 전송할 수 없습니다. 민감 정보는 대중교통 또는 공공장소에서 가까운 곳에서 논의하면 안 됩니다. 

정책에서는 적절한 NDA 계약이 체결되어 있고 사적으로 논의가 허용된 경우가 아니면 민감 비즈니스 정보를 논의하지 않도록 규정합니다. 

업계 미팅에서 공개 프레젠테이션을 하거나 패널 논의에 참가하는 직원들은 프레젠테이션 또는 논의가 적절한지 직속 상사로부터 승인을 받아야 합니다. 무역박람회에서도 Akamai는 일반에 공개하도록 승인되지 않는 한 계획 중이거나 진행 중인 제품과 관련한 어떠한 사전 지식도 공유하지 않습니다. 

민감한 문서 및 자료는 무역박람회에서 취급하지 않도록 합니다. 직원들은 선적 중이나 미팅 및 무역박람회 기간과 그 전후에 민감한 자료의 보호를 위해 주의하도록 교육됩니다. 

Akamai는 Information Security 팀을 통해 모든 사법 당국에 성심성의껏 협조합니다. 직원들은 관련 당국의 요청이 있을 시 담당자 이름, 조직의 소속 및 연락처 정보를 받아 요청을 즉시 법률 부서로 전달해야 합니다. 또한 Information Security 팀의 허가 없이는 Akamai의 정보를 제공하지 않도록 교육됩니다.

PR(Public Relations) 

Akamai의 이벤트, 프로그램 및 서비스와 관련한 일상 뉴스 발표 및 보도 자료는 승인된 담당자에 의해서만 발행됩니다. 뉴스 매체로부터 의견을 묻는 요청을 받은 경우 Corporate Communications 부서로 전달해야 합니다.

Senior Director of Corporate Communications는 매체를 상대하는 구체적인 기업 지침을 제공하는 커뮤니케이션 전략 및 정책을 마련하도록 합니다. 

자신이 속한 사업부나 팀에서 제공하는 서비스에 대해 고객으로부터 질문을 받을 경우 직원들은 해당 고객의 이름 및 전화번호를 받아 팀 내 권한 있는 담당자에게 요청을 전달해야 합니다. 직원들은 Akamai 직원 명부 또는 전화번호부의 사본 또는 여기 포함된 정보를 공급업체, 고용국 또는 해당 정보를 필요로 하는 기타 단체에 제공하지 않도록 교육됩니다.

업계 애널리스트가 정보를 요청할 경우 모두 Analyst Relations 부서로 전달해야 합니다. 자세한 내용은 Corporate Communications 부서로 문의하십시오.

물리적 보안 

Akamai의 물리적 보안을 위한 업무는 Corporate Services, Network Infrastructure Engineering(Deployment) 및 Platform Operations 부서에서 분할하여 맡고 있습니다. 모든 직원은 자신의 업무 영역과 자신이 관리하는 장비의 보안을 책임집니다.

Corporate Services 부서 Vice President는 모든 Akamai 사무소의 물리적 보안을 책임집니다. 

모든 Akamai 사무소 및 데이터 센터에는 액세스 제어 조치가 필요합니다. 비직원은 입출입시 서명을 하고 항상 직원과 동반해야 합니다. 이러한 구역 내에서 직원들은 자유롭게 움직일 수 있어야 하지만, 침입자에게는 그렇지 않습니다. 

Akamai 직원들은 일반적으로 사무실, 소규모 회의실 및 컨퍼런스 룸과 같은 모든 공용 업무 공간을 이용할 수 있습니다. 내부 데이터 센터 등의 중요 구역과 창고 등 방문객이 많은 구역은 접근 필요성이 문서화되어 있는 사람들만 출입하도록 제한됩니다. 해당 구역의 책임자는 일 년에 1회 이상 승인된 직원의 명단을 검토해야 합니다. 

Corporate Services 부서 Vice President는 강제성을 띤 적절한 경보를 제공해야 하며 

물리적 보안 인시던트의 보고 프로세스를 책임집니다.

NOCC(네트워크 운영 지휘 센터)

최대 규모의 Akamai NOCC(네트워크 운영 지휘 센터)는 매사추세츠주 케임브리지에 있으며 이 밖의 몇몇 국가에도 NOCC가 더 소재해 있습니다. NOCC에 대한 물리적 접근은 승인된 직원으로만 제한되고 키 카드로 관리됩니다. NOCC에는 플랫폼 운영 직원이 일 년 내내 24시간 상주합니다. 

Global Network Operations 부서 Senior Director는 NOCC의 보안을 책임집니다. 

Infrastructure Engineering 부서 Director는 Akamai에서 구축한 네트워크의 물리적 보안을 책임집니다. 담당 업무는 구축된 네트워크에 사용되는 외부 시설 및 공급자의 위험 파악과 완화를 위한 적절한 관리 및 보호 조치의 마련 등입니다. 

Director of Network Infrastructure는 외부 시설의 인시던트 응답 절차, 재난 복구 계획을 적절히 검토하고, 시설에 Akamai 시스템이 배포되기 전에 SLA(서비스 수준 협약)를 체결해야 합니다.

Akamai의 ESSL(보안 콘텐츠 전송) 네트워크는 ESSL 서버를 동작 감지 카메라가 있는 잠금형 캐비닛에만 배포하는 등 전문적인 관리가 필요합니다. Network Infrastructure Engineering(Deployment) 팀은 네트워크 파트너 및 공급업체 선정 시 보안 요구 사항을 고려해야 합니다. 

Akamai의 방문객들은 대부분 적법한 사유로 방문하지만 Akamai에는 특정 시설 및 구역에 맞춰 지정된 방문객 정책이 있습니다. 방문객 정책에서는 다음과 같이 규정합니다. 

  • 모든 Akamai 사업장에서는 항상 배지를 보이도록 착용해야 하며, 배지 미착용 시 직원은 방문객에게 배지를 제시하도록 요구하거나 Corporate Security 팀에 알리도록 합니다. 
  • 단기 방문객은 Akamai 시설에 있는 동안 항상 직원을 동반해야 합니다.
  • 직원들은 문을 열 때 뒷사람에게 신경 써야 합니다. 동료를 위해 문을 잡아 주는 것이 당연한 일인 것만큼 배지가 보이는지 확인하는 것도 마찬가지로 당연한 일입니다. 
  • 방문객이 업무 구역에 들어올 것이라 예상되면 기밀 정보를 보관해 두거나 가려야 합니다. 
  • 독자적인 정보에 대해 논의하거나 방문객이 민감 정보, 독자적인 프로세스를 듣게 되거나 컴퓨터 화면에 표시되는 데이터에 노출될 수 있는 구역에 대한 접근을 허가하기 전에 "주의사항(need to know)"을 확실히 들었는지 그리고 NDA에 서명했는지 확인해야 합니다. 
  • 중요 비즈니스 인프라는 보안 구역에 있습니다. 중복 전원 및 냉각 시스템과 화재 감지 및 보호 시스템은 기본적인 보호 장치에 속합니다. 높은 가용성이 요구되는 시스템은 기타 예기치 못한 환경적인 위협을 완화하기 위해 대체 데이터 센터에 중복 시스템을 갖추고 있습니다. 전원 및 데이터 케이블링은 보안 구역에만 위치해야 합니다. 보안 구역 사이에 연결된 케이블은 전선관을 통해 운영됩니다.

인시던트 관리

정책에서는 모든 보안 인시던트, 취약점 및 오작동을 최대한 신속히 보고하도록 규정하고 있습니다.

Platform Operations 부서는 분산 네트워크에 영향을 주는 보안 인시던트를 해결할 수 있도록 교육받은 직원을 보유하고 있으며 모든 보안 인시던트 관리 및 응답의 중심이 됩니다. NOCC에서는 기술적 인시던트 대응 절차(Technical Incident Response Procedure)에 따라 문제를 해결하고 필요한 경우 다른 직원이나 부서를 투입하는 인시던트 관리자를 임명합니다. 

정보 보안 이벤트로 의심되거나 이런 이벤트로 확정된 경우 해당 문제는 보안 주제 전문가에게 에스컬레이션됩니다. 많은 보안 주제 전문가들은 TIM(기술적 인시던트 관리자)으로서 교육도 받습니다.

중요 인시던트에 대한 인시던트 보고 및 기타 보안 이벤트를 검토하기 위해 매주 회의를 엽니다.

InfoSec 부서의 팀원은 물리적인 증거를 수집해 사법 당국 또는 법원의 담당자에게 제공할 때까지 항상 확실하게 관리해 보관해야 합니다. 가능한 경우, 관리 연속성(Chain of Custody)을 위한 가방을 사용해 가방 안에 넣을 만큼 작은 증거물을 보관하도록 합니다. 사법 당국에 제출할 수 없는 증거는 잠긴 사무실 또는 Information Security 팀만 이용할 수 있는 금고 내부에 보관됩니다. 

필요한 경우 다른 팀 팀원들의 도움을 얻어 InfoSec 부서의 팀원이 디지털 증거물을 수집합니다. 모든 증거는 암호로 서명되고 탈착식 미디어에 기록되어 가능한 때 Information Security 부서에 보관됩니다.

네트워크 관리 

Akamai의 프로세스에는 네트워크에서 데이터를 전송할 때 Akamai에 가해질 수 있는 위험을 완화하기 위한 네트워크 관리 방안이 포함됩니다.

사용자 장비(예: 기업 사무실) 또는 전체 사용 용도가 아닌 백엔드 장비(예: 데이터베이스 서버)에 설치되는 네트워크는 물리적으로 분리되는 방화벽 장치로 보호되도록 설계됩니다. Network Engineering 팀은 방화벽의 설치 및 구성을 담당합니다.

방화벽을 통과해야 하는 서비스는 애플리케이션 수준의 캡슐화 또는 사이트 간 VPN과 같은 좀 더 안전한 방식으로 다시 구현되어야 합니다. Information Security 팀으로부터 설계에 대한 도움을 얻을 수 있습니다.

Enterprise Infrastructure Services 팀은 기업의 방화벽 보안 범위 밖에서 기업 네트워크에 Akamai 워크스테이션 컴퓨터를 연결할 수 있도록 해주는 VPN 소프트웨어 패키지를 제공하고 지원하는 일을 담당합니다. 이 소프트웨어는 Akamai의 보안 정책 및 표준을 준수하는 컴퓨터에서만 사용하는 것이 좋습니다. 

기업 네트워크에 대한 애플리케이션 수준의 액세스는 SSH를 통해 가능합니다. 

승인된 소프트웨어만 기업 네트워크에 액세스할 수 있습니다. 직원들은 기업 네트워크에 대한 네트워크 계층 액세스 권한을 자체적으로 구성할 수 없습니다. 

PCI-DSS와 같은 추가 산업 표준을 충족하려면 ESSL(보안 배포된) 네트워크가 필요합니다.

컴퓨터 미디어 취급 

컴퓨터 미디어는 다양한 장치에 데이터가 저장되므로 주의를 기울여야 합니다. 대부분의 경우 "Akamai 기밀: 내부 전용" 데이터입니다. 재무, 인사, 법률 또는 고객 정보가 들어 있는 미디어는 적절히 취급되어야 합니다. Akamai에는 민감 데이터 폐기 및 장비 처분을 위한 프로세스도 마련되어 있습니다. 

일부 미디어(특히 공급업체 및 응급복구 CD)는 NDA 하에서 배포되긴 하나, 반드시 공개가 필요한 범위로 한정됩니다. 이러한 CD를 컴파일하는 사람들은 이러한 배포 수준에 대해 인식하고 불필요한 기밀 정보를 포함시키지 말아야 합니다.

기업 내 배포에는 일반적으로 탈착식 미디어를 사용하지 않습니다. 탈착식 미디어의 사용은 기업 외부에서의 특정 배포 사례나 중요 데이터 CD-R, DVD 또는 저장 장치의 오프라인 백업 등의 경우에만 적합합니다. 이러한 품목은 8항, "정보 취급"에 따라 분명히 표시되어야 합니다. 이러한 미디어도 데이터가 들어 있는 컴퓨터와 동등한 수준으로 주의해서 취급해야 하며, 더 이상 필요 없어지면 안전하게 삭제하거나 폐기해야 합니다. USB 저장 장치와 같은 동적 탈착식 메모리와 PDA, 휴대폰, 카메라 등의 메모리 카드에 들어 있는 Akamai의 기밀 데이터는 더 이상 필요 없어지면 안전하게 삭제해야 합니다. 

Akamai의 기밀 자료는 탈착식 미디어에 넣어 회사 외부로 유출시키면 안 됩니다.