SharedIT | 묻고 답하기(AMP)

중소기업이 대기업의 보안기준에 맞추려면?

현재 사원 100명 정도의 작은 중소기업에 근무중입니다. 제조업이고요.. 회사의 보안 시스템은 오피스 키퍼가 유일하고 사내서버는 NAS만 존재합니다.  전산, 보안 담당 직원은 없습니다.

현재 회사가 미국의 대기업과 일을 시작하려 하는데 아무래도 기밀 문서들이 왔다갔다 해야하니 보안 시스템을 강화해 달라고 요청이 들어왔습니다.

이 회사와 계약이 체결되면 그때 전산/보안 직원을 뽑을것인데 미리 좀 의견을 물어보고 싶습니다.

대기업기준에서 중소기업이 이정도의 보안은 갖춰야 하지 않나~ 하는 기준은 어떤게 있을까요? 또한 그 정도의 보안을 갖추려면 얼마정도 예상해야 할까요?

13개의 답변이 있습니다.

DDOK
  0 추천 | 4년 이하 전

중소기업이 참고할만한 보안가이드 전달드리겠습니다. 

쪽지드릴께요~

낭만생선
  0 추천 | 4년 이하 전

막막하실거라 생각되는데요.

가장 중요한 부분은..

거래하게될 고객사의 자료가 유출될 가능성을 두고 보안을 생각하셔야 합니다.

내부 자료의 유출은 우리 회사의 피해니 우리가 안고 가면 되지만.

고객사에서 들어온 데이터가 우리로 들어와서 유출 되었을 경우

최악의 상황에서는 피해 청구를 요청 할수도 있는 부분이기 때문이죠.

물론 미국의 대기업이라면 그정도의 기밀 문서를 외부로 반출할때 안전 장치를 하겠지만.

내부에서도 그런 방향의 보안정책을 세우시는게 좋을것 같습니다.

아무것도 안되어 있다면 광범위하게 해야 할게 아주 많으실거고

전문인력이 투입된다면 하나 하나 해가시겠지만

당장에 돈 안들이고 할수 있는거 한가지 말씀 드리면

그 업체랑 메일 주고 받으실때 첨부파일에 대해서 암호를 걸어서 압축하여 보내세요.

말씀 하신 상황에 특성상 당장에 시급한게 DRM 정도로 보이는데

현재 상황에서 비용들이지 않고 할수 있는건 그정도가 아닐까 싶네요.

yeom1563
  0 추천 | 4년 이하 전

저희 같은 경우에는 대기업에서 체크리스트를 공유하더라구요

물론 강제적으로 하라는 말은 절대 안 합니다. 그러면 대기업에서 지원을 해줘야 하니까요

대신 몇 점 이상 정도 되야 하지 않을까요? 라고 은근슬쩍 말 합니다.

그러면서 협력업체를 통해서 피해본 사례들도 공유하더라구요..


돈 많이 써서 다 하면 좋겠지만 예를 들면,

방화벽(UTM)과 백신프로그램, 대기업과의 정보를 주고 받을 때 암호화 및 담당자만 접속(확인) 가능한 시스템(공식 업무채널), 보안담당자 지정과 규정/지침, 보안서약서, 보안교육 이력이나 교육실행여부, 보안구역에 대한 CCTV나 출입관리, 2,3차 협력사 자료 공유 보안, 방화벽 및 보안 시스템의 기록(Log) 보관 등

체크리스트는 공유할 수 없지만 굵직한 것들만 적어 봅니당


그리고 전산/보안 직원 뽑으시면 잘해주세요...ㅋㅋ

아웃러 | 4년 이하 전

상세한 답변 감사드립니다! 뽑게되면 잘해줄수 밖에 없죠.. 아무것도 되어 있는게 없으니 일이 굉장히 많을것 같아서 ㅋㅋ

danis78
  0 추천 | 4년 이하 전 | 제이컴즈 | 010-2871-8756

참고로 삼성이나 하이닉스 같은 기업과 거래를 할려면 iso 27001 인증 심사를 기본적으로 받아야 합니다.

낭만생선 | 4년 이하 전

저희는 삼성전자, 하이닉스, 삼성모바일 디스플레이와 년간 거래금액도 많은데.

 iso 27001은 아직 없네요. ㅎㅎ

아웃러
  0 추천 | 4년 이하 전

답변 감사합니다. 일단 ISO27001부터 살펴 봐야겠군요. 

Genghis Khan
  0 추천 | 4년 이하 전

기업 사내 보안 시스템 기준은 얼마나

체계적이냐에 달리 하겠죠

1)내부/외부 보안 부분 (방화벽/ips/apt)

2)시스템 보안 / db보안/개인정보 보호/ 메일 보안

추가적으로 관제 서비스를 받고 있다면 더 좋겠지만

100명에 사이트가 많이 없다면 위 보안 시스템만 잘 갖춰 있다면

 좋을것 같아요


그저멍하니
  0 추천 | 4년 이하 전

ISO 27001 컨설팅을 받으시면 좋겠습니다.

어려우시다면 대상 대기업의 보안 지침등을 참고로 하셔서

단계별로 적용하시는것도 방법일것 같습니다.

양성환
  0 추천 | 4년 이하 전

ISO 27001 기준에 맞추시면 됩니다. 

필요하시면 컨설턴트 소개 가능합니다.~

차바라기
  0 추천 | 4년 이하 전

먼저 방화벽이 설치가 되어져야 합니다~그후에 보안 솔루션을 도입하셔야 하구요~

ktit
  0 추천 | 4년 이하 전

보안은 하면할수록 끝이 없는 부분이라, 우선 UTM 먼저 하시고 외국계면 ISO27001 기준에 맞춰보시는게 어떨런지요.

lol43
  0 추천 | 4년 이하 전

보안이라는게  하려하면 끝이없는 분야라,,, 기준이 중요한데 

대기업 기준이라 하면 애매하니 ISMS 인증 기준에 맞추어 보안계획 수립하시면 괜찮을듯 합니다. 

빨간신발
  0 추천 | 4년 이하 전

일단 utm

통신사에 저렴한 임대장비 많아요

wansoo
  0 추천 | 4년 이하 전

기업마다 사용하는 솔루션들에는 차이가 있을 것 같고요.

보안 담당자 뽑은 후에 내부 시스템 환경을 검토한 후에, 상대편이 요구하는 내용에 맞춰 보정하는 게 맞지 않을까 싶어 보이네요.

업체간의 통신에서 보안이라면 적어도...

방화벽 같은 건 기본적일 것 같고, 암호화하여 자료를 송수신할 수 있는 기반도 마련되어 있어야 할 것 같고요.

상대편에서 보내준 자료들을 DB에 안전하게 보관하기 위해서 DB 암호화 솔루션도 있어야 할 것 같고요.

DB에 접근한 사용자에 대한 통제 및 접근 기록들을 남길 수 있는 DB 접근 제어 솔루션도 있어야 할 것 같고요~