사이버 보안 및 데이터 기밀성

  • 사이버 보안

  • 데이터 기밀성

사이버 보안은 악성 공격으로부터 컴퓨터, 서비스, 모바일 장치, 전자 시스템, 네트워크 및 데이터를 보호하는 방법입니다. 사이버 범죄는 새로운 것이 아닙니다. 연결성 증가, 원격 작업, 기술 의존, 자동화로 인해 공격 위험이 증가합니다. 또한, 팬데믹으로 인한 작업 방식의 변화로 인해 사이버 범죄자들에게 더 많은 기회가 생겨나고 있습니다. 

RWS는 사이버 보안 준비가 끊임없이 진화하고 변화하는 위험을 해결해야 한다는 점을 잘 알고 있습니다. 

RWS의 전략적 보안 체계는 보안 담당 임원인 CTO가 운영하는 ISSC(Information Security Steering Committee)에서 설정합니다. 이 그룹에는 정보 보안 관리 체계(ISMS)의 지속적인 개선을 위해 협업할 수 있는 모든 사업부 및 선택된 사업부가 포함되어 있습니다. 해당 체계는 통합 프로그램을 추진하고, 인식을 높이며, 정보 보안에 대한 일관된 위험 기반 접근 방식을 지원합니다. 또한 ISSC는 정보 보안 위험에 대한 감독 및 관리 기능을 제공합니다. 

RWS는 정보 보안 관리 체계(ISMS)에 일반적으로 이해되는 구조를 제공하고 당사의 노력에 집중하기 위해 NIST 사이버 보안 프레임워크를 채택하고 있습니다. 이를 통해 당사는 호스팅 제품 솔루션, 규제 산업 사업부, IP 서비스 사업부와 지원 서비스, 인력, 프로세스 및 기술에 대해 세계적으로 인정받는 ISO27001:2013 인증을 획득했습니다. RWS는 또한 클라우드 운영 및 언어 번역 서비스 기능을 위한 SOC2 인증서를 보유하고 있습니다. ISMS는 RWS가 비즈니스 관심사로 식별된 다양한 부문별 정보 보안 규정 준수 요구 사항을 충족하는 데 필요한 제어 기능을 추가로 개발하는 데 필요한 강력한 기준을 제공합니다. 인증 ISMS의 범위를 개선하고 확장하기 위한 당사의 지속적인 노력은 RWS 및 고객에게 모두 도움이 되는 국제적으로 공인된 정보 보안 관리의 구현 및 외부 검증을 보장합니다.

당사는 보안 위험이 항상 존재한다는 것을 인정하고 있으며, 당사의 지속적인 통합 노력의 중요한 부분은 다음과 같은 다양한 영역에서 모든 RWS 기능에 대한 높은 수준의 보안 지침을 제공하는 정보 보안 정책 집합을 구현하는 것입니다. 위험 관리, 물리적 보안, 개인정보 보호 및 사고 관리. RWS는 위험 관리에 대한 일관된 접근 방식을 보장하면서 비즈니스 목적과 목표를 지원하는 접근 방식을 수립했습니다. 

승인된 정책 및 프로세스에 따라 보안 위험 분석을 통해 위협을 식별하고, 위협이 발생할 가능성을 고려하며, 비즈니스 목표에 미칠 수 있는 영향을 평가합니다. 이 구조화된 접근 방식은 의사 결정자에게 정보를 제공하고 완화 방법이 적절한지, 그렇다면 어떤 조치를 취해야 하는지 파악할 수 있습니다. 예를 들어, 활동을 중지하거나, 기술적 관리를 구현하거나, 위험을 허용 가능한 수준으로 줄이는 프로세스를 업데이트하는 것이 좋습니다. 적절한 완화 조치 또는 통제 수단의 선택은 보안 팀의 조언과 지침에 의해 통보되지만 이러한 선택은 자산/위험 소유자의 책임입니다. 자산 소유자가 위험을 만족스럽게 해결할 수 없는 경우 관리 체인의 다음 단계로 에스컬레이션할 수 있습니다. 보안 위험은 당사의 CFO의 책임인 위험 관리 프로세스를 통해 포착 및 관리되며 매년 이사회와 공유됩니다. 

RWS는 보안 체계에서 '심층 보안'을 채택하고 있으며 보안 제어에 대한 정기적인 테스트가 중요하다는 점을 잘 알고 있습니다. 따라서 당사는 내부 및 외부 인프라의 취약성 스캔을 정기적으로 수행하고 일부 고객의 요청에 따라 공용 인프라의 요소는 정기적으로 침투 테스트를 받습니다. 이를 통해 약점을 파악하고 이러한 약점을 분석하여 가장 적절한 완화 조치를 결정할 수 있습니다. 

영국의 사이버 보안 침해 조사 결과, 지난 12개월 동안 83%의 기업이 피싱 공격을 보고했으며, 피싱 공격은 가장 일반적인 공격 유형임을 확인할 수 있었습니다. RWS 또한 정기적으로 이러한 공격을 받고 있으며, 당사의 기술 통제 수단이 대부분의 스팸 및 악성 메시지를 차단하지만 일부 피싱 이메일은 피할 수 없습니다. 이것이 가장 취약한 연결일 가능성이 높다는 것을 인식하고 있기 때문에, 당사는 보안 인식 체제를 유지 및 지속적으로 개선하여 직원들이 이러한 위협을 탐지하여 위험을 줄이는 데 필요한 정보를 제공합니다. 당사의 학습 관리 시스템인 MyLX을 통해 제공되는 정기적인 메시징 및 보안 인식 외에도 RWS는 외부 공급업체를 사용하여 보안 교육, 지식 평가 및 테스트를 제공합니다. 이를 통해 추가 교육이 필요한 위치를 파악하고, 제공 및 참여를 추적하고, 효율성을 테스트할 수 있습니다.

우리는 사이버 방어 조치의 구현에 비용이 많이 들 수 있다는 점을 인정하지만, 비즈니스를 지원하기 위해 당사의 복구 역량을 발전시켜야 한다는 것을 알고 있습니다. 당사의 보안 로드맵은 비용 효율적이고 균형 잡힌 접근 방식을 통해 지속적인 개선을 도모하여 적절한 보호 기능을 제공합니다. 이를 통해 당사의 방어 역량은 알려진 위협을 지나치지 않은 수준으로 충분히 해결할 수 있습니다. 예를 들어, RWS는 가상 사설 네트워크에 액세스하기 위한 다중 요소 인증(MFA) 구현을 거의 완료했습니다. 또한, 당사는 모든 사이버 공격을 차단할 수 있는 것은 아니라는 사실을 알고 있으며, 사고가 최대한 빠르게 해결되어 비즈니스에 미치는 영향을 최소화하도록 외부 파트너와 협력하여 24시간 연중무휴 탐지 및 대응 기능을 제공합니다.

RWS는 관련 관할 데이터 보호 법률을 준수합니다. 영국에 본사를 두고 있는 RWS는 데이터 보호를 위한 기준으로 EU GDPR 및 영국 데이터 보호법 2018(UK Data Protection Act 2018)을 채택했습니다. 당사는 해당 개인정보 보호법을 반영하고 기밀 비즈니스 정보(CBI) 및 개인 식별 정보(PII)의 보호에 중점을 둔 프로세스, 절차 및 관행을 식별하는 포괄적인 정책 집합을 보유하고 있습니다. 

RWS는 개인정보 보호 설계 요구 사항을 인지하고 있으며 RWS 소프트웨어 내에서 기능을 제공하여 고객이 데이터 보호법에 따른 의무를 준수할 수 있도록 합니다. RWS는 로컬라이제이션 서비스를 제공하거나 SaaS를 통해 당사의 소프트웨어를 라이선싱할 때 고객을 대신하여 개인 데이터를 처리합니다. 고객은 데이터를 수집하여 처리를 위해 RWS로 전송합니다. 고객 데이터는 RWS 환경 내에서 번역, 전송 및 저장되며, 완료 시 내부 삭제 정책에 따라 또는 클라이언트에서 지정한 바에 따라 삭제됩니다. 

마찬가지로, RWS가 웹 콘텐츠 관리 소프트웨어에 라이선스를 부여하면 고객은 데이터 수집 및 보존 매개 변수를 결정합니다. RWS는 비공개 계약, 계약 및 데이터 처리 계약에서 고객과 합의한 지침에 따라 고객 데이터를 처리합니다. 

RWS는 고객을 대신하여 소비자 고객에 대한 상세한 프로파일링을 수행하지 않습니다. 고객이 제공한 데이터는 절대로 판매 또는 대여되지 않습니다. 서비스 수행에 필요한 경우, RWS는 계열회사 및 승인된 제3자 하도급업체 간의 데이터를 공개할 것이며, 이러한 전송을 관리하기 위해 적절한 데이터 처리 계약을 체결할 것입니다. 2020년 회계연도 및 2021년 회계연도에는 PII, CBI 등 민감한 정보의 공개 또는 허가되지 않은 이동은 발생하지 않았습니다. 그 결과, 모든 고객은 어떠한 사고의 영향도 받지 않았습니다.