Iron Mountain InSight® 보안

요약

Iron Mountain 보안 정보

Iron Mountain은 디지털 문서의 콘텐츠 수집, 저장, 처리 및 보안 데이터 센터에서의 호스팅을 포괄하는 심층적인 보안 접근 방식을 통합합니다. Iron Mountain은 NIST(National Institute of Standards and Technology) CSF(Cyber Security Framework)를 엔터프라이즈 보안 프레임워크로 활용합니다.당사는 안전한 서비스 배포, 최종 사용자 개인정보 보호 장치가 있는 데이터 스토리지, 서비스 간 통신 및 업무 분리를 통한 관리 지원을 제공합니다.

교육

Iron Mountain은 인력 보안 및 개인정보 보호 교육이 필요한 규제가 심한 산업과 협력합니다. 직원들은 전사적 교육 프로그램에 따라 연중 개발되는 다양한 보안 교육 과정을 이수합니다. 이 교육에는 연간 보안 인식, 데이터 개인정보 보호 교육, 보안 코드 교육, 윤리 강령 및 비즈니스 행동이 포함됩니다.당사는 직원들이 배경 조사를 통해 적절하게 조사될 수 있도록 고객과 협력합니다. 당사의 고용은 다양한 지역 및 고객 요구 사항을 통해 적용되는 배경 조사에 달려 있습니다.

Iron Mountain InSight 제품

I. 규정 준수 프로그램

Iron Mountain InSight는 업계 및 규제 고객의 요구에 부합하는 광범위하고 구체적인 보안 규정 준수 프로그램을 수립했습니다. 여기에는 보안 규정 준수 및 데이터 개인정보 보호가 포함됩니다. 규정 준수 증명

• ISO-27001 - InSight는 2020년부터 지속적으로 인증을 받았습니다. 이는 조직이 정보 자산의 보안을 관리하는 데 도움이 되는 국제 표준입니다. 모든 데이터의 기밀성, 무결성, 가용성을 보장하기 위해 정보 보안 관리 시스템(ISMS)을 구현하기 위한 관리 프레임워크를 제공합니다. SOC2 Type 2 - Iron Mountain은 2020년부터 InSight를 위해 SOC2 Type 2 인증을 유지하고 있습니다. SOC2 Type 2 Report는 클라우드 기반 서비스 공급업체가 민감한 정보를 처리하는 방식에 대한 SOC(Service Organization Control) 감사입니다.

산업 규정 준수

• InSight는 21 CFR Part 11을 지원합니다.
• StateRAMP - 2024년 1월에 Ready 상태를 받았습니다.
• FedRAMP(NIST 800-53/37) - NIST 800-53 개정판 4 제어와 추가 FedRAMP 요구 사항에 대해 수행된 타사 테스트. InSight는 FedRAMP ATO(Authorizations to Operate) 및 FedRAMP Ready 상태를 받았습니다.

데이터 개인정보 보호

• 일반 데이터 보호 규정(GDPR) - InSight는 GDPR 평가를 거쳤으며 요청 시 보고서 사본을 사용할 수 있습니다. HIPAA(Health Insurance Portability and Accountability Act) - InSight는 HIPAA를 준수하며 개인 식별 정보(PII)의 개인정보 및 보안을 보호하기 위한 개인정보 보호 및 보안 조치를 구현했습니다.

II. 운영 보안 개요

ID 및 액세스 관리

• 권한 있는 사용자의 사용 및 할당이 제한되는 역할 기반 액세스 제어를 구현하고 시행합니다. 다중 요소 인증(MFA)은 인증된 사용자로 액세스를 제한하기 위해 필수입니다. 최소 권한은 권한이 부여된 사용자 및 프로세스에 대해 구현됩니다.

모니터링

• 보안 스캔 - InSight 환경에는 컨테이너 이미지와 시스템을 스캔하고 취약점을 감지하는 모니터링 시스템이 포함됩니다.
• 애플리케이션 보안 테스트 - InSight는 정적 애플리케이션 보안 테스트(SAST), 동적 애플리케이션 보안 테스트(DAST) 및 수작업 침투 테스트를 수행합니다.
• 시스템 모니터링 및 감사 로그 - InSight에는 로그 관리, 보안 이벤트의 실시간 모니터링, 보안 이벤트의 상관관계 및 경고, 감사 로그를 위한 보안 정보 및 이벤트 관리(SIEM) 시스템이 포함됩니다.
• I인시던트 대응 - 당사의 사이버 인시던트 및 대응 팀(CIRT)은 Iron Mountain InSight 정보 시스템에 특별히 해당되는 감사 이벤트를 분류하고 감사 기록을 검토하고 분석하는 업무를 담당합니다.
• 인시던트 관리 - 사이버 인시던트 및 대응 팀(CIRT)은 실시간으로 식별, 보호, 감지, 대응, 복구하는 사이버 대응 계획을 유지 관리하여 제품 및 인프라에 대한 포괄적인 로깅 및 모니터링을 포함합니다. 또한 내부 정보 보안 정책 및 절차를 포함하도록 직원 인식 및 교육 프로그램을 유지합니다.

비즈니스 연속성

• InSight의 Tier 1 비즈니스 애플리케이션에 대한 RTO(Recovery Time Objective)는 10시간에서 24시간 사이이며, RPO(Recovery Point Objective)는 2023년 4분기에 수행된 마지막 BCP(Business Continuity Plan) 테스트에서 1시간으로 평가되었습니다. RTO/RPO는 고객의 요구에 따라 수정할 수 있습니다.

재해 복구

• InSight의 재해 복구 테스트는 BCP(Business Continuity Plan)에 문서화된 대로 지정된 RTO/RPO 내에서 InSight 애플리케이션의 영구 데이터 소스이기 때문에 실수로 삭제하거나 업데이트한 객체, 데이터베이스, 인덱스를 효과적으로 복구할 수 있도록 설계되었습니다.

용량 계획

• 당사의 용량 계획은 워크로드 성능을 모니터링하고 현재 및 미래의 요구 사항을 충족할 수 있는 용량에 맞춰져 있습니다. 여기에는 용량 제한에 도달하지 않도록 하는 성능 측정 및 모니터링이 포함됩니다.

패치 및 취약점 관리

• 패치 및 취약점 관리, 맬웨어 방지, 엔드포인트 디스크 암호화 및 침입 방지 기능은 정보 기술 자산 및 엔드포인트 관리 솔루션을 통해 관리됩니다.

암호화

• 모든 데이터는 AES(Advanced Encryption Standard) 256 및 서비스 관리 키와 같은 산업 표준을 사용하여 FIPS(Federal Information Processing Standard) 140-2에 따라 전송 중이거나 저장된 상태로 암호화됩니다.

III. 데이터 개인정보 보호

데이터 레지던시

• 데이터 레지던시는 고객의 데이터가 저장된 위치를 나타냅니다. 데이터 레지던시 요구 사항을 준수할 수 있도록, InSight는 데이터 저장 위치를 제어하고 데이터 저장을 특정 지역으로 지정하여 제한하는 기능을 제공합니다.

데이터 보호

• InSight는 암호화 및 다중 요소 인증(MFA)을 비롯한 적절한 기술, 조직 및 관리 조치를 적용하여 고객 데이터를 항상 안전하게 보호합니다. InSight는 고객의 요청에 따라 WAF(Web Application Firewall)를 구축할 수 있습니다.

데이터 보호 영향 평가(DPIA)

• Iron Mountain은 타인을 대신하여 식별 가능한 개인 정보를 처리합니다. 데이터 컨트롤러 또는 데이터 프로세서로서 Iron Mountain은 데이터의 실제 내용이나 출처를 모르는 상태에서 고객 정보를 취급하거나 처리할 수 있습니다.
• 당사가 유럽경제지역(EEA) 및 스위스에서 데이터 컨트롤러 또는 데이터 프로세서 역할을 하는 경우(또는 미국에서 EEA 또는 스위스의 데이터에 액세스) 데이터는 해당 프라이버시 실드 원칙에 따라 처리됩니다.
• 당사는 개인 데이터 처리와 관련하여 요구되는 대로 정기적으로 데이터 보호 영향 평가(DPIA)를 수행합니다.

참고: 개인 데이터의 유형, 해당 데이터의 전송 및 처리 목적, 그리고 해당 데이터를 공유할 수 있는 제3자에 대한 정보는 Iron Mountain의

Elevate the power of your work

Iron Mountain은 전략적 파트너로서 70년 이상 정보와 자산을 관리해 왔습니다. 스토리지 및 정보 관리 서비스 분야의 글로벌 리더로서, Fortune 1000대 기업의 90%를 포함한 전 세계 225,000개 이상의 조직에서 신뢰를 받고 있습니다. 업무의 종류와 위치, 저장 방식에 관계없이 가치를 보호하고 가능성을 발견하고 확장합니다.