GDPR 정의
일반 데이터 보호 규정(GDPR)은 2018년 5월 25일에 통과된 EU 법률이며, 식별되거나 식별할 수 있는 자연인과 관련된 모든 정보로 정의되는 개인정보에 대해 더 많은 통제권을 개인에게 제공하고 유럽 연합 내에 단일한 개인정보 보호법을 마련할 목적으로 고안되었습니다. 이 새로운 데이터 보호법을 준수하기 위해 기업은 개인정보를 보호하기 위한 “적절한 기술적 및 조직적 방안을 실행”해야 합니다. 이러한 조치에는 다음이 포함됩니다.
- 보유하고 있는 데이터가 무엇인지 파악하고 데이터 사용에 적합한 권한 보유
- 직원 및 이전 직원을 포함한 고객으로부터 보유하고 있는 데이터 유형에 관한 질문에 답변하고, 경우에 따라 더 이상 필요하지 않은 데이터를 삭제할 수 있어야 함
- 프로젝트 시작 시 또는 첫 번째로 제품 빌드 시 개인정보 보호 및 보안을 고려하고 출시 전에 프로젝트 검토 수행
- 보안 인시던트가 있는 경우 이를 인식한 후 72시간 이내에 주요 규제 기관에 통보
- 공급업체에도 데이터를 보안을 의무화하고 이 의무를 계약으로 기록
하지만 GDPR 요구 사항은 EU 조직뿐 아니라 EU 거주자의 개인정보를 대상으로 하거나 수집하거나 사용하는 전 세계 모든 조직에 적용됩니다. 조직이 GDPR을 준수하지 않는 경우 글로벌 연간 총 매출의 최대 2% 또는 4% 또는 1,000만 유로 또는 2,000만 유로 중 더 큰 금액에 해당하는 강력한 규제 및 벌금이 부과될 부과할 수 있습니다.
데이터 보호 방식을 바꿀 기회
비즈니스, 기술 및 위협 환경이 발전하고 더 복잡해짐에 따라 EU 거주자에게 개인정보 보호를 제공하는 것은 현안 과제이자 우선 순위입니다. 어디서부터 시작해야 합니까? 첫 번째 단계로 데이터 유실 위험을 평가합니다. 그런 다음 공격 표면의 인벤토리를 작성하고 공격 표면을 효과적으로 보호할 수 있는 방법을 살펴봅니다. 마지막으로 개인정보 보안을 제공하기 위해 기술 변환 계획을 GDPR 보안 투자와 통합하는 방법을 생각해 볼 수 있습니다.
1단계: 지속적인 탐색 및 평가 - 개인정보를 탐색 및 분류하고 인벤토리를 작성합니다.
2단계: 데이터 보안 - 엔드포인트와 클라우드에서 저장된 개인정보와 이동 중인 개인정보를 보호합니다.
3단계: 애플리케이션 보안 - 데이터 센터 및 클라우드에서 중요한 애플리케이션을 방어합니다.
4단계: 클라우드 데이터 보안 - 클라우드에 업로드되고 클라우드에 상주하며 클라우드에서 다운로드되는 개인정보를 보호합니다.
5단계: 침해 및 탐지 대응 - 적시에 침해를 탐지, 조사, 복원할 수 있는 중요한 프로세스가 마련되어 있는지 확인합니다.
