최소 보안 통제 항목
다음 최소 보안 요구사항은 나이키 데이터를 처리하는 계약자의 정보기술 시스템과 관련하여 나이키가 기대하는 보호 수준에 대한 지침을 제시하기 위해 마련되었다. 이러한 보안 요구사항은 일반적으로 시행되는 정보보안 관행 및 정보보호 거버넌스 관행에 의거한다.
이러한 보안 요구사항의 적용 대상은 다음과 같다. (1) 나이키 시스템 및 네트워크와 현재 통합되어 있거나 나이키 데이터의 처리 목적으로 사용되는 계약자 인력 시스템 및 네트워크를 포함한 모든 계약자 시스템 및 네트워크 (2) 형태를 불문한 나이키 데이터 계약자는 자신이 나이키의 협력업체 위험평가 프로세스를 완료했다는 점, 그리고 위험평가 시 계약자 스스로 확인했던 모든 보호장치와 통제조치를 계속 유지하고 해당하는 부속서 또는 별첨에 규정된 모든 추가 조치를 취할 것임을 진술하고 보증한다.
1. 정책 및 절차
1.1. 계약자는 정책의 수립, 유지관리, 검토, 승인, 관련 당사자 전파를 관장하는 수명주기 프로세스를 확립하여 유지한다. 여기에는 응용프로그램 및 인프라 개발 표준, 보안 정책, 데이터 스토리지, 사고 관리, IT 운영 관리가 포함된다.
1.2. 계약자는 기준 보안 구성의 정의와 유지를 관장하는 정책 및 절차를 구현하여 유지하며, 이를 문서화하여 승인하고, 연1회 검토를 실시하며, 관련 계약자 직원에게 내용을 전파한다.
1.3. 계약자는 전사 정보보안 관리 시스템(information security management system, 이하 “ISMS”) 그리고 다음 사항이 정의되어 있는 보안 정책을 구현하고 유지한다. (a) 분리된 형태의 정보보안(information security, 이하 “IS”) 역할 및 책임, (b) 정보보안의 역할 및 중요도, (c) 정책 목표, (d) 직원 및 제3자 보안 책임, 그리고 (e) 개인정보보호 및 데이터 보안 등과 관련한 규제 요건. 계약자는 그러한 정책이 적절한 수준의 고위 경영진 승인을 득하고 관련 계약자 직원에게 그 내용이 전파될 수 있도록 조치한다.
1.4. 계약자는 암호화 키의 생성, 배포 및 보관을 위한 절차를 구현하고 유지한다. 해당 절차에는 강력한 키 생성, 보안 수단을 통한 배포, 키의 안전한 보관, 주기적 키 교체(암호주기), 수명종료 관리, 보안키 유출이 의심되는 경우 폐기 및 교체와 관련한 사항이 포함되도록 한다.
2. 자산 관리
계약자는 자산의 식별, 분류, 관리(조달에서폐기까지)에 관한 정책 및 절차를 구현하여 유지하고, 이를 문서화하여 시행하고, 그 내용을 계약자 직원에게 전파한다.
3. 비즈니스 연속성 및 재해 복구
3.1. 계약자는 비즈니스 연속성과 재해 복구를 관장하는 정책 및 절차를 구현하여 유지하고, 이를문서화하여 승인하고, 연1회 검토를 실시하고, 계약자 직원에게 내용을 전파한다.
3.2. 계약자는 보안상 중요 시스템이 식별 및 문서화되고, 사고 발생 시에도 작동을 유지하기 위한 대응절차가 마련될 수 있도록 조치한다.
3.3. 계약자는 다음을 구현하고 유지한다. (a) 사전에 결정 및 승인된 일정에 따라 자동으로 실행되는 백업 시스템, (b) 백업 작업 중 오류 발생 시 생성되고 적시에 처리되는 경고 시스템, (c) 시스템 장애 또는 데이터 손상 시 복구 능력을 확인하기 위해 주기적으로 테스트가 이루어지는 백업 프로세스.
4. 변경 관리
4.1. 계약자는 모든 변경사항을 아우르는 변경 관리 정책을 구현하여 유지하고, 이를 문서화하여 승인하고, 연1회 검토를 실시하며, 계약자 직원에게 내용을 전파한다. 해당 정책은 시스템의 모든 계층(응용프로그램, 데이터베이스, 운영체제, 가상화 기술, 마이크로 서비스)을 대상으로 변경의 유형, 승인 요건 및 테스트 요건을 정의한다.
4.2. 계약자는 대상 프로덕션 시스템에 변경사항을 적용하기에 앞서 검토, 승인 및 테스트를 거치기 위해 확립된 변경 제어 프로세스에 부합하도록 시스템/응용프로그램 변경사항을 적용한다.
4.3. 계약자는 긴급하게 요청, 승인, 구현되는 변경사항을 적용하고, 변경관리 정책의 규정에 따라 증빙 자료를 유지한다.
5. 인사 보안
5.1. 계약자는 계약자 직원으로 하여금 나이키 데이터를 처리하게 하거나 또는 나이키 컴퓨터 네트워크, 정보 시스템, 데이터베이스, 보안 응용프로그램, 나이키 구내의 출입통제 구역 등에 접근하도록 지시하기 전에 해당 계약자 직원 전원을 대상으로 (관련법에서 허용하는 범위 내에서) 범죄이력 확인을 포함한 적절한 신원 조회를 수행해야 한다. 계약자는 중범죄로 유죄 판결을 받은 적이 있거나 폭력 또는 괴롭힘과 관련된 특정 경범죄로 반복해서 유죄 판결을 받은 계약자 직원의 경우 나이키 시설의 출입통제 구역에서 근무하지 못하도록 조치해야 한다.
5.2. 계약자는 나이키 데이터를 처리하는 모든 계약자 직원이 먼저 충분하고 적절한 개인정보보호 및 정보보안 교육을 성공적으로 이수할 수 있도록 조치하고, 계약자 인력은 소속 직원에게 충분하고 적절한 개인정보보호 및 정보보안 교육을 정기적으로 제공한다.
5.3. 모든 계약자 직원은 나이키 데이터의 비밀을 유지하고 계약자의 정보보안 정책 및 절차를 의무적으로 준수해야 한다. 계약자는 (a) 계약자 정보보안 정책 및 절차에 대한 준수 의무의 관리 감독, 그리고 (b) 계약자 정보보안 정책 및 절차의 위반 시 징계 절차(해고 포함)를 보장해야 한다.
6. 정보 보안
6.1. 계약자는 자사 네트워크, 응용프로그램(데이터베이스 포함), 인프라 및 플랫폼에 대한 보안을 확보해야 한다.
6.2. 계약자는 다음을 포함한 각종 불일치 사항이 응용프로그램 수준에서 분리되고 정기적 검토가 이루어질 수 있도록 조치한다.
6.2.1. 계약자가 프로덕션 환경과 동떨어진 개발 환경에서 개발을 수행하는 경우
6.2.2. 응용프로그램 관리 담당이 접근 권한 관리 담당과 별개인 경우
6.2.3. 데이터베이스 관리(및 기타 모든 형태의 직접 데이터 업데이트 권한) 담당이 응용프로그램 관리 담당, 보안 관리 담당, 개발 서비스를 제공하는 계약자 직원과 별개인 경우
6.2.4. 접근 권한을 승인하는 계약자 직원이 계약자 시스템상의 접근 권한을 부여하는 담당자와 별개인 경우.
6.3. 계약자는 응용프로그램, 데이터베이스, 데이터베이스 관리 시스템, 운영체제, 업무지원 시스템 및 관련 네트워크를 비롯한 업무상 중요 시스템 및 네트워크를 대상으로 포괄적인 위험평가를 연1회 수행한다. 계약자는 평가 결과를 반영하여 프로세스 또는 구성을 조정하고, 또한 발견된 사항을 주기적으로 재점검한다.
6.4. 계약자는 데이터가 해당 민감도 수준에 맞게 보호될 수 있도록 보장하는 정책 및 절차를 구현하고 유지한다.
6.5. 계약자는 시스템 파일과 소스 코드를 외부 접근이 제한된 안전한 위치에 보관한다.
6.6. 계약자는 응용프로그램/데이터베이스/운영체제 수준에서의 모든 정보기술 접근 요청이 적절한 계약자 관리팀의 검토와 승인을 거칠 수 있도록 조치한다.
6.7. 계약자는 특정 계약자 직원 또는 계약자 인력의 고용상태(계약종료, 전근 등)가 변경되었을 경우 시스템이 계약자 관리팀에 알림을 전송하여 적절한 조치가 취해질 수 있도록 한다.
6.8. 계약자는 여하한 계약자 직원이나 계약자 인력의 직무상 책임이 더 이상 시스템(응용프로그램, 데이터베이스 및 운영체제 수준)에 대한 접근을 요하지 않는 형태로 변경되는 경우, 해당 접근 권한이 적시에 제거될 수 있도록 조치한다.
6.9. 계약자는 사용자 계정과 시스템 계정 모두에 대한 완전하고 정확한 전체 목록을 바탕으로 사용자 권한 검토를 정기적으로 수행한다.
6.10. 계약자는 계약자가 제공 및/또는 사용하는 시스템 아키텍처(클라우드 스토리지 또는 인프라 포함)와 동일한 보안 구성에 대한 업계 표준을 충족하는 경계 보안 통제조치 그리고 해당되는 경우 연합 보안 통제조치를 구현하고 유지한다.
6.11. 계약자는 클라우드 리소스, SaaS(Software as a Service) 및 웹 응용프로그램의 보안과 관련하여 업계 표준 및 클라우드 공급업체의 권장사항에 부합하는 모범 사례를 구현하고 유지한다. 계약자 측 보안 의무의 일반성을 제한함 없이, 만약 나이키가 그러한 각종 리소스에 대한 구성관리 최소 요건을 제시할 경우, 계약자는 해당 요건을 준수한다.
6.12. 계약자는 계약자가 제공 및/또는 사용하는 시스템 아키텍처에 부합하는 경계 통제조치 평가(예: 소셜 엔지니어링, 윤리적 해킹)와 함께 연간 침투 테스트 및 분기별 취약점 스캔을 정기적으로 수행하거나 위탁한다.
6.13. 계약자는 운영체제, 데이터베이스, 네트워크 장치 및 경계 통제 시스템(예: 방화벽)을 비롯한 각종 시스템 구성에 대한 평가 및 모니터링을 정기적으로 수행한다.
6.14. 계약자는 바이러스 백신 및/또는 악성코드 방지 소프트웨어의 최신 버전을 설치 및 유지한다.
6.15. 계약자 정보기술 보안 관리자는 보안 활동을 운영체제/응용프로그램/데이터베이스 수준에서 모니터링하고 기록한다. 보안 위반이 확인될 경우 계약자의 고위 경영진에게 보고한다.
6.16. 계약자(또는 관련 계약자 인력(들))는 나이키 데이터가 처리되는 건물 및 데이터센터 내부에 시설 출입, 보안 모니터링 및 열/연기 감지 제어를 위한 적절한 전자 시스템을 포함한 물리적 및 환경적 보안 통제조치를 구현하고 유지한다.
6.17. 계약자는 종이 서류, 서버, 컴퓨팅 장비, 백업 시스템 등이 비치되어 있는 사내 시설의 물리적 보안을 확보한다.
6.18. 계약자는 개인용 컴퓨터, 노트북, 데스크탑 또는 모바일 기기를 포함한 기타 저장장치를 분실이나 도난으로부터 보호한다.
6.19. 계약자는 나이키 데이터를 적용 가능한 규칙에 따라 보호하고 처리한다.
6.20. 기술적으로 실행 가능하고 비즈니스 요구사항에 따라 정해진 사안인 경우, 계약자는 계약자 직원들의 직무 분류 및 기능에 따라 권한을 할당하고 해당 직원이 알아야 할 필요성을 기준으로 접근을 제한하는 역할 기반 방식의 접근 권한 통제조치를 구현하고 유지한다.
6.21. 계약자 관리 하의 사용자, 권한 계정 및 서비스 계정은 나이키 데이터 및 나이키 데이터를 처리하는 계약자 시스템 구성요소에 대한 접근 권한이 오직 계약자 직원에게만 제공되고 다음과 같은 암호 보호 관련 모범 사례를 통해 보호될 수 있도록 조치한다: (i) 최소 암호 길이, (ii) 유효하지 않은 로그인 시도 및 유휴 세션 이후 잠금, (iii) 최소 잠금 기간, (iv) 암호 재사용, 그리고 (v) 암호 복잡도.
6.22. 계약자는 공유 ID, 범용 ID 또는 시스템 생성 ID를 권한 있는 접근을 제공하거나 여하한 시스템 구성요소를 제어하는 용도로 사용하지 않는다.
6.23. 계약자는 해당 시스템 ID 또는 계정의 지정된 소유자 이외에는 어느 누구와도 암호를 공유하지 않는다.
6.24. 계약자는 여하한 계약자 직원 계정의 접근 권한을 얻으려는 소셜 엔지니어링 시도로부터 사용자 계정을 보호할 수 있도록 자사의 IT 고객지원팀으로 하여금 암호 재설정 또는 로그인 문제 해결 시 본인인증 요구 등의 적절한 단계를 적용하도록 요구한다.
6.25. 계약자는 나이키 데이터에 대해 허용된 원격 접근 방법을 문서화하고, 사용량 제한을 설정하고, 무단 원격 접근을 모니터링하고, 암호화를 통해 원격 접근 세션의 기밀성과 무결성을 보호하고, 일정 비활성 시간 이후 원격 접근 세션의 연결을 자동으로 해제함으로써 원격 연결을 보호한다.
6.26. 계약자는 암호화 기술을 사용할 때 미국 국립표준기술연구소(National Institute of Standards and Technology, 이하 “NIST”) 암호화 표준에 기반한 강력한 암호화 및 보안 프로토콜을 적용한다. 암호화 키에 대한 접근 권한은 필요한 최소한의 관리자로 제한해야 하며, 보관 위치와 형식의 종류를 가급적 최소화하여 안전하게 보관해야 한다. 암호화 키는 키 자체를 암호화하는 용도의 키(키 암호화 키)를 사용하여 암호화하고, 이는 데이터 암호화 키와 별도로 보관하며, 모든 키는 NIST의 암호주기 관련 모범 사례에 따라 순환 사용한다.
6.27. 계약자는 모든 나이키 데이터가 저장 및 전송 중에 산업 표준 이상의 고급 암호화 기술로 보호되도록 조치해야 한다. 서비스 제공과 관련하여 필요한 경우를 제외하고, 계약자는 해시화, 암호화 또는 익명화된 형태의 나이키 데이터의 잠금을 해제하거나 역설계하거나 그 밖의 방법으로 노출하지 않는다.
6.28. 계약자는 적절한 시스템, 기기 및 프로세스를 대상으로 의심스러운 활동 및 무단 활동의 모니터링, 로그 분리 및 보호, 시간 기반 상관관계 등 보안 로깅과 관련한 모범 사례를 구현하고 유지한다. 계약자는 시스템, 기기 및 응용프로그램에 대한 보안 소프트웨어 패치와 업데이트를 적시에 설치하고 점검하기 위한 프로세스를 구현하고 유지한다.
6.29. 계약자는 비즈니스 관리 및 취약점 관리 활동을 통해 식별된 취약점을 시기 적절하게 교정하기 위한 프로세스를 구현하고 유지한다.
6.30. 계약자는 나이키 데이터를 개방형 네트워크를 통해 전송할 경우, 강력한 암호화 및 보안 프로토콜을 사용하여 개방형 공용 네트워크를 통한 전송 중에 나이키 데이터를 보호하고, 인증 및 무선 네트워크를 통한 나이키 데이터의 전송 또는 민감한 네트워크에 연결 시 강력한 암호화를 위한 업계 모범 사례를 적용하여 데이터를 보호한다.
6.31. 계약자는 노트북, 휴대폰 및 저장 매체를 포함하여 나이키 데이터가 저장되거나 처리되는 모든 기기의 보안과 관련된 정책 및 보호장치를 구현하여 유지해야 한다. 계약자가 나이키의 서면 동의를 얻었고 해당 기기가 산업 표준 방식의 암호화로 보호되는 경우가 아닌 한, 계약자는 노트북, 태블릿, 플래시 드라이브, 휴대폰 또는 기타 모바일 장치에 나이키 데이터를 저장할 수 없다.
6.32. 계약자는 모든 데이터 접근 및 유출에 대한 로깅과 이러한 접근 제어 로그의 12개월 이상 보관 규정을 포함한 인증 및 접근 제어 메커니즘을 저장매체, 응용프로그램, 운영체제 및 장비 내에 구현하고 유지한다.
6.33. 계약자는 네트워크 기반 방식의 침입 방지 및 탐지 메커니즘을 사용하는 침입 방지 및 탐지 시스템을 구현하고 유지한다.
6.34. 계약자는 나이키 데이터와 비 나이키 데이터를 물리적 또는 논리적으로 엄격하게 분리하여 두 유형의 정보가 하나의 시스템 내에서 혼합되지 않도록 조치한다.
7. 프로젝트 관리
7.1. 계약자는 안전한 소프트웨어 개발을 다루고 경영진의 승인을 받은 시스템 개발 수명주기를 구현하여 유지하고, 이를 계약자 직원에게 전파한다.
7.2. 계약자는 (a) 자사 제품 및 서비스, 그리고 (b) 나이키를 위한 모든 용역 및 결과물을 설계, 개발, 유지관리, 개선 및 폐기함에 있어 보안 개발 관행을 활용해야 한다. 이러한 보안 개발 관행은 OWASP 10대 취약점, ISO 27002 등의 업계 표준과 소프트웨어 공학 연구소(Software Engineering Institute) CERT 부서와 같은 조직에서 제공하는 보안 코딩 지침에 부합하도록 한다. 전술한 내용의 일반성을 제한함 없이, 이러한 보안 개발 관행에는 다음 사항이 포함된다. (1) 보안 역할과 책임의 개별적 분리, (2) 개발, 테스트 및 프로덕션 환경의 분리, (3) 프로덕션 환경에 배포하기 전에 테스트 환경에서 보안 테스트 진행, (4) 테스트 환경에서 민감한 데이터 및 나이키 데이터 사용 금지, (5) 보안 개발 정책의 개발, (6) 보안 개발 방법론 및 언어별 보안 코딩 가이드라인의 개발, (7) 보안 테스트 및 검증을 포함하는 공식 제어 프로세스로의 변경 구현, (8) 개발자를 위한 보안 개발 교육, (9) 데이터 또는 시스템의 민감도에 대한 고려.
7.3. 계약자는 적절한 품질 보증, 최종 사용자 테스트 및 응용프로그램 코드 보안 검토 관행을 구현하고 유지한다.
8. 사고 대응
8.1. 계약자는 탐지, 격리, 복구, 에스컬레이션 및 알림 프로세스를 관장하도록 제도화된 사고 대응 정책 및 절차를 구현하고 유지한다.
8.2. 계약자는 관련 계약자 인력(예: 클라우드 공급업체)도 대상에 포함하여 사고 대응 활동을 주기적으로 테스트한다.
9. 계약자 관리
9.1. 계약자는 계약자 인력을 고용하기 전에 대상자의 보안 관행에 대해 합당한 실사를 수행하고, 나이키 데이터를 본 계약 및 적용 가능한 규칙에 의거하여 안전하게 보호하기 위한 하도급자의 책임을 규율하는 조항이 포함된 계약을 계약자 인력과 체결하고 유지한다.
9.2. 계약자가 서비스 제공을 목적으로 제3자 클라우드 공급업체를 이용하는 경우, 해당 제3자 클라우드 공급업체는 계약자 인력인 것으로 간주한다. 계약자는 스스로 제3자 클라우드 공급업체를 이용할 경우 계약자와 해당 제3자 클라우드 공급업체 간에 공동 보안 책임이 성립된다는 점을 인정하고 이에 동의한다. 계약자는 해당 클라우드 공급업체가 권장하는 모든 보안 모범 사례를 충족하거나 능가해야 하고, 해당 클라우드 환경에 저장된 나이키 데이터에 상기 최소 요구사항을 적용해야 한다.