끄적끄적

액세스 승인자와 액세스 구현자는 정보 시스템이나 네트워크에서 접근 제어와 보안 관리를 담당하는 데 있어 각기 다른 역할을 수행합니다. 이 두 역할을 이해하면, 권한 부여 및 실제 접근의 세부 과정에 대한 명확한 이해를 할 수 있습니다.

1. 액세스 승인자 (Access Approver)

• 주요 역할: 사용자의 접근 요청을 검토하고 승인하거나 거부하는 권한을 가진 사람 또는 시스템입니다.
• 책임:
  • 액세스 권한을 필요로 하는 사람의 요청을 평가하여 필요성과 적법성을 판단.
  • 조직의 보안 정책에 따라, 각 사용자가 필요한 권한만 가지도록 접근 수준을 조정.
  • 승인된 요청만을 구현자가 처리할 수 있도록 권한 부여를 관리.
• 예시:
  • 시스템 관리자, 보안 책임자, 혹은 매니저가 해당 역할을 수행할 수 있습니다.
  • 예를 들어, 특정 직원이 특정 데이터베이스에 접근할 필요가 있는 경우, 매니저가 승인을 할 수 있습니다.

2. 액세스 구현자 (Access Implementer)

• 주요 역할: 승인자가 승인한 접근 권한을 시스템에 실제로 적용하는 사람 또는 시스템입니다.
• 책임:
  • 승인된 접근 권한을 시스템에 반영하여 사용자가 요청한 리소스에 접근할 수 있도록 설정.
  • 승인이 없는 권한 요청은 무시하며, 승인된 권한만 적용.
  • 역할 기반 접근 제어(RBAC) 등의 보안 정책을 따라 구현.
• 예시:
  • IT 관리자 또는 시스템 엔지니어가 주로 이 역할을 수행합니다.
  • 승인자가 승인한 후, IT 담당자가 사용자의 계정에 해당 권한을 부여하는 경우입니다.

차이점 요약

구분액세스 승인자액세스 구현자

따라서, 승인자는 "접근 권한을 부여할지 결정"하고, 구현자는 "결정된 접근 권한을 시스템에 적용"하는 차이가 있습니다.

SOC2 란?

SOC 2는 "서비스 조직의 제어에 관한 신뢰성 보고서"의 준말로, 서비스 조직이 클라이언트 및 이해관계자에게 제공하는 서비스의 정보 보안, 기밀성, 개인 정보 보호 및 데이터 처리에 대한 신뢰성을 검증하는 데 사용되는 보고서입니다.

SOC 2 보고서는 아메리칸 인스티튜트 오브 서비스 사무소(AICPA)가 발행하는 보고서 중 하나로, 클라우드 서비스 제공업체, 데이터 센터, SaaS 제공업체 등과 같이 서비스를 제공하는 기업이 클라이언트에게 제공하는 서비스의 신뢰성을 입증하는 데 사용됩니다.

SOC 2는 다섯 가지 신뢰성 요건(Trust Service Criteria)을 기반으로 하며, 이는 다음과 같습니다:

1. 기밀성(Confidentiality): 정보를 보호하고 기밀성을 유지하는 능력
2. 무결성(Integrity): 시스템의 무결성을 유지하는 능력
3. 가용성(Availability): 시스템의 가용성을 보장하는 능력
4. 개인 정보 보호(Privacy): 개인 정보 보호 및 GDPR(일반 데이터 보호 규정) 등에 관한 요구 사항을 준수하는 능력
5. 프로세스 및 절차(Processes and Procedures): 기술적 및 운영적 제어 및 프로세스의 효과성을 확인하는 능력

서비스 제공 업체는 SOC 2 보고서를 통해 클라이언트와 이해관계자에게 제공하는 서비스의 신뢰성을 입증하고, 정보 보안 및 개인 정보 보호에 대한 준수 여부를 입증할 수 있습니다.

SOC2 획득 방법

SOC 2 인증을 획득하는 과정은 일반적으로 다음과 같은 단계를 따릅니다:

1. 이해와 평가: 먼저 조직 내부에서 SOC 2에 대한 이해를 높이고, SOC 2 요구 사항을 검토하고 현재 프로세스 및 제어와 비교하여 어떤 추가 작업이 필요한지 평가합니다.
2. 범위 설정: SOC 2 범위를 결정하고, 어떤 시스템, 서비스 또는 프로세스가 인증의 범위에 포함되는지 결정합니다.
3. 요구 준비: SOC 2 요구 사항에 대한 조직의 준비 상태를 개선하기 위해 필요한 조치를 식별하고 실행합니다. 이는 보안 정책, 절차, 기술적인 제어 등을 개발하거나 업데이트하는 것을 포함할 수 있습니다.
4. 외부 평가 준비: SOC 2 인증을 위한 외부 감사 및 평가 기관을 선택하고, 평가 일정을 조정하고, 필요한 문서 및 자료를 준비합니다.
5. 외부 감사 및 평가: 선택한 감사 기관이 조직의 제어 및 프로세스를 검토하고, SOC 2 요구 사항을 준수하는지 여부를 결정하기 위해 감사를 진행합니다.
6. 보고서 작성: 외부 감사를 통해 얻은 결과를 바탕으로 SOC 2 보고서를 작성합니다. 이 보고서는 SOC 2 요구 사항을 준수하는지 여부를 입증하고, 클라이언트 및 파트너에게 제공됩니다.
7. 유지 및 개선: SOC 2 인증을 획득한 후에도 보안 제어 및 프로세스를 유지하고 개선하는 것이 중요합니다. 주기적인 감사와 업데이트를 통해 SOC 2 인증을 유지하고, 변경된 요구 사항이나 위협에 대응하기 위한 조치를 취합니다.

이러한 단계를 따라 조직은 SOC 2 인증을 획득할 수 있으며, 이는 클라이언트와 파트너로부터의 신뢰를 구축하고 보안 및 개인 정보 보호를 강화하는 데 도움이 될 것입니다.