RWS의 보안

RWS는 기업의 정보 보안이 중요하다는 사실을 잘 알고 있습니다. 글로벌 조직으로서 RWS는 ISO 27001 프레임워크를 채택하여 정보 보안 관리 시스템(ISMS)을 체계화했습니다. 

업계에서 널리 인정받는 이 프레임워크를 사용함으로써 RWS는 강력한 기준을 바탕으로 고객 요구 사항을 충족할 수 있습니다. 이 접근 방식을 통해 우리는 다양한 제품, 서비스 및 지원 인력, 프로세스 및 기술에 대한 ISO27001:2013 인증을 획득했습니다. 자세한 내용은 RWS의 현재 ISO27001 인증서에서 확인할 수 있습니다. 

이 페이지에는 제품별 보안 관련 문서 외에도 높은 수준의 정보 보안 정책이 추가되었습니다 추가 정보 보안 관련 문의 사항이 있는 경우 RWS에 문의하시기 바랍니다.

SDL - Global Information Security Policy
글로벌 정보 보안 정책
SDL - Global ISMS Policy
글로벌 ISMS 정책
랭귀지 클라우드 보안 백서
RWS SaaS 보안 백서
ISO27001 Certificate

ISO27001 인증서 

RWS Group

ISO27001 인증서 

규제 산업

FAQ

서비스 제공업체에 대한 초기 선정 및 위험 평가 프로세스를 설명해 주시기 바랍니다.

RWS의 조달 프로세스에 따라 신규 공급업체는 온보딩 전에 보안 위험 평가를 받아야 합니다. 제공되는 물품/서비스의 중요성과 액세스하는 정보 또는 시설의 민감도 등 다양한 기준에 따라 공급업체의 위험 범주가 배정됩니다.

RWS에 보안을 위한 공급업체 관리 프로그램이 있습니까?

네. RWS의 그룹 공급업체 보안 관리 정책에는 타사 공급업체의 보안 요구사항이 명시되어 있습니다

변경 관리 프로세스를 포함하여 IT 시스템의 정보 보안 취약점을 식별하고 관리하는 방법을 설명하세요.

RWS는 공용 인프라에 대해 월별 취약점 검사를 수행합니다. 약점에 대해 위험 평가를 하고 글로벌 보안 테스트 정책에 따라 적절한 완화 조치를 적용합니다. 정보 보안팀이 글로벌 IT 변경 자문 위원회에 소속되어 제안된 변경 사항의 보안 영향을 평가합니다.

애플리케이션의 변경 사항을 개발하고 테스트하는 방법을 포함하여 시스템 개발 수명 주기 동안 애플리케이션을 보호하는 방법을 설명하세요.

RWS의 그룹 보안 소프트웨어 개발 수명 주기 정책에는 제품을 안전하게 개발하는 방법이 명시되어 있습니다. 보안은 요구 사항 수집, 설계, 구현, 검증, 배포 등의 각 개발 단계에 포함되어 있습니다. 변경 사항은 시험한 후 배포합니다.

툴을 사용하여 사고, 변경 사항, 문제를 추적합니까?

네. RWS는 서비스 센터와 서비스나우를 사용하여 티켓 발행부터 할당 및 해결까지 워크플로를 추적합니다. 사고/변경 사항 또는 문제의 중요성에 따라 SLA가 배치되어 있습니다

RWS에 수용 가능 사용 정책이 있습니까?

네 RWS에는 IT 보안 및 수용 가능 사용 정책이 있습니다

고객 데이터에 대한 어떤 보존 정책이 있습니까?

RWS는 서비스 이행에 필요한 기간 동안과 계약에 합의된 모든 경우에 한해 고객 데이터를 보존합니다.

자산 관리 프로세스가 있습니까?

네. RWS에는 SAM(Software and Asset Management) 전담팀이 있으며 RWS 네트워크에서 랜스위퍼와 플렉세라라는 자산 툴을 사용합니다. 랜스위퍼는 소유자, 자산 유형, 설치된 소프트웨어, 보증 및 구성 등의 세부 정보를 포함하여 RWS 기업 네트워크에 있는 항목을 자동으로 감지하고 기록하며 모든 자산에는 할당된 소유자가 있습니다.

패치 관리 프로세스가 있습니까?

네. 중앙화된 패치 애플리케이션을 사용하여 엔드 포인트에 패치를 자동으로 적용합니다. 1년에 한 번 이상 업데이트를 통해 서버를 패치합니다. 일반적으로 패치는 정기 월별 유지 관리 기간 동안 수행되며, 필요에 따라 임시로 수행되는 다른 유형의 패치(예: SQL, 바이러스 백신)는 해당 시스템이 있는 프로덕션 이전의 개발 또는 스테이징 시스템에서 테스트해야 합니다.

변경 관리 프로세스가 있습니까?

네. 변경 관리 역할과 책임은 CAB 프로세스를 통해 관리하며, 여기에는 관리 및 RWS 시스템 테스터를 비롯한 관련 이해 관계자가 포함되며, 모든 시스템 변경 사항을 구현 및/또는 배포 전에 테스트합니다. 비상 변경은 표준 변경 관리 프로세스와 동일한 방식으로 수행하여 변경 사항을 기록하고, 테스트하고, 합의하고, 구현합니다. 변경 구현은 배포 관리의 책임이지만 전반적인 프로세스는 CAB가 담당합니다.

RWS는 최소 권한 원칙을 기반으로 논리적 액세스 요청에 대해 공식화된 승인 프로세스를 구현했습니까?

네. RWS에는 논리적 액세스를 관리하는 데 사용할 프로세스를 지정하는 논리적 액세스 정책이 있습니다.

경영진이 승인한 위험 평가 프로그램이 관련 직원과 프로그램 유지를 위해 지명된 소유자에게 전달됩니까?

네. RWS의 위험 평가 프로그램은 RWS 임원이 소유하며 관련 직원에게 전달됩니다

RWS 보안 위험 관리 프로그램의 핵심 요소를 설명하세요.

RWS의 보안 위험 관리 프로그램은 그룹 보안 위험 관리 정책에 요약되어 있습니다. 여기에는 다음과 같이 보안 위험을 식별하고 관리하는 데 사용되는 방법론이 포함되어 있습니다. 자산 식별, 영향 분석, 위험 평가, 컨트롤 식별 및 적용, 컨트롤 효율 모니터링. RWS 정보 또는 자산의 기밀성, 무결성 또는 가용성에 영향을 미칠 수 있는 중대한 변화가 발생하는 경우 또는 정기적으로 위험을 평가합니다. 위험 관리 프로세스의 감독 및 거버넌스는 적절한 경우 보안 거버넌스, 위험 및 규정 준수 관리자 및 정보 보안 운영 위원회에서 수행합니다.

RWS는 데이터 프라이버시를 고려합니까?

네. RWS는 데이터 프라이버시를 매우 중요하게 생각합니다. 개인정보 보호정책은 www.rws.com/kr/about/privacy에서 확인하실 수 있습니다

RWS는 ISO 27001 인증을 받았습니까?

네. www.rws.com/kr/security에서 ISO 27001 인증을 볼 수 있습니다

RWS에는 SOC 2 유형 II 인증이 있습니까?

네. RWS 클라우드 운영에서 호스팅하는 RWS 소프트웨어는 SOC 2 유형 II 보고서의 범위 내에 있습니다. 요약 보고서는 요청에 따라 제공됩니다.

보안 프로그램을 수립하여, 게시하고, 매년 승인하고 있습니까?

네 RWS의 정보 보안 프로그램은 최고 정보 책임자가 담당하며, 임원급 정보 보안 운영 위원회에서 연중 관리하여 비즈니스 목표를 지속적으로 지원할 수 있게 합니다.

RWS에는 정보 보안을 담당하는 전담 정보 보안 소유자 및/또는 팀이 있습니까?

네 RWS의 최고 정보 책임자는 임원급 후원자로서 정보 보안을 담당합니다. RWS의 정보 보안 관리 시스템의 관리와 보안 요구 사항의 지속적인 준수에 대한 일상적인 책임은 RWS의 보안 거버넌스, 위험 및 규정 준수 관리자가 이끄는 소규모 팀에 있습니다

경영진이 승인한 정보 보안 정책이 모든 직원에게 전달됩니까?

네. RWS의 정보 보안 정책은 정보 보안을 위해 임원 후원자가 승인하고 서명하며, RWS가 정보 보안 관리 시스템을 유지 관리하고 지속적으로 개발할 수 있도록 높은 수준의 보안 요구 사항을 설정합니다.

정보 보안 정책 목록을 알려주시기 바랍니다. 보안 정책을 정기적으로 검토하고 업데이트하며 모든 RWS 직원이 액세스할 수 있습니까?

정책을 연 1회 이상 검토합니다. 내부 문서는 NDA/MNDA에 따라 감사 중에 클라이언트가 현장에서 보거나 원격으로 볼 수 있습니다. 

RWS 그룹 ISMS 정보 보안 정책
RWS 그룹 정보 보안 정책
RWS 그룹 보안 위험 관리 정책(내부)
RWS 그룹 보안 테스트 정책(내부)
RWS 그룹 논리적 액세스 정책(내부)
RWS 그룹 비즈니스 연속성 정책(내부)
RWS 그룹 글로벌 분류 및 취급 정책(내부)
RWS 그룹 정보 보안 사고 관리 정책(내부)
RWS 그룹 물리적 보안 정책(내부)
RWS 그룹 개인 정보 보안 정책(내부)
RWS 그룹 IT 시스템 정책(내부)
RWS 그룹 암호화 제어 정책(내부)
RWS 그룹 공급업체 보안 관리 정책(내부)
RWS 그룹 보안 소프트웨어 개발 정책(내부)
RWS 그룹 ISMS 수용 가능 사용 정책(내부)
RWS 그룹 ISMS 보안 예외 정책(내부) 

RWS의 정책은 기업 인트라넷에 게시되어 있으며 모든 직원이 이용할 수 있습니다. 정책은 필수 보안 및 개인 정보 보호 인식 및 교육을 통해 직원에게 정기적으로 전달합니다.

RWS는 사이버 보안 보험에 가입되어 있습니까?

RWS에는 보안 정책 예외 프로세스와 정책이 있습니까?

네 RWS에는 보안 예외 정책 및 프로세스가 있습니다.

정보 보안 정책 및 절차를 위반한 직원에 대한 공식적인 징계 절차가 있습니까?

네. 정보 보안 정책을 위반한 사항은 글로벌 정보 보안팀에서 검토하고 조사하고, 이후 필요한 경우 경영진과 관련 HR 팀에 전달되어 추가 조사와 조치를 취합니다. 제재는 사고의 심각도에 따라 달라지며 해고를 포함한 징계 조치가 내려질 수 있습니다.

RWS는 관련 관할 지역의 규제 요구 사항 변경을 모니터링하고 보안 프로그램을 조정하여 규정 준수를 보장하는 프로세스를 갖추고 있습니까?

RWS의 법무부는 RWS에 적용되는 관련 법률과 규정 요구 사항을 모니터링합니다. 정보 보안과 관련된 규제 요건은 법무부 책임자와 글로벌 정보 보안 책임자가 논의하며, 적절한 경우 보안 프로그램을 변경합니다.

RWS는 정부나 제3자의 테넌트 데이터 요청에 응답하기 위한 절차를 문서화하여 구비하고 있습니까?

모든 법적 요청은 법무팀이 처리하며 계약 의무와 법적 요건을 고려합니다.

RWS는 정보 보안 사고 대응 정책 및 절차를 게시하고 전달합니까?

네. RWS의 그룹 정보 보안 사고 관리 정책은 RWS 인트라넷에서 게시되어 모든 직원이 액세스할 수 있으며 다음을 포함하며 이에 국한되지 않습니다. 모니터링 및 준비, 식별, 방지, 완화, 회복, 후속 조치.

RWS에는 사고 대응/데이터 위반에 대한 프로세스가 있습니까?

네. RWS의 그룹 정보 보안 사고 관리 정책은 RWS 인트라넷에서 게시되어 모든 직원이 액세스할 수 있으며 다음을 포함하며 이에 국한되지 않습니다. 모니터링 및 준비, 식별, 방지, 완화, 회복, 후속 조치.

RWS는 사고 발생 시 사고를 감지는 감지 메커니즘과 함께 사고와 공통 공격 벡터를 식별하는 프로세스가 있습니까?

네. RWS의 네트워크 공급업체는 트래픽을 모니터링하고 비정상적인 활동이 발생하면 통보하며, RWS는 네트워크의 주요 영역에서 IDS/IPS를 사용하여 침입을 감지하고 방지합니다. 엔드 포엔트에 적절한 예방/감지 소프트웨어가 있습니다.

모든 직원 및 컨설턴트를 대상으로 정기적으로 정보 보안 인식 교육을 실시합니까?

네 온보딩 프로세스 중 기본으로 RWS 직원, 계약자, 프리랜서에게 정보 보안 인식 교육을 실시합니다. 그 후에는 전용 학습 모듈을 통해 모든 직원을 대상으로 매년 컴퓨터 기반 정보 보안 교육을 실시합니다. 또한, 정보 보안 인식 교육은 연례 행동 강령 교육 및 자주 있는 'Think Security' 캠페인을 통해 제공됩니다.

RWS는 직원의 신원을 확인합니까?

네 모든 신규 입사자는 신원 확인과 '직무 적합성' 검사를 거칩니다. 조직이나 국가 의무에 따라 직무상 요구되는 경우 관련 법률에 따라 추가 신원 확인을 수행할 수 있습니다.

RWS는 프리랜서의 신원을 확인합니까?

RWS는 프리랜서의 신원을 기본적으로 확인하지 않습니다. 그러나, 최소 보안 조치와 기밀성을 포함하는 공급업체 계약을 프리랜서와 체결하며, 계약에서 합의한 경우 현지 법에 따라 고객이 요청하면 프리랜서의 신원을 확인할 수 있습니다.

RWS는 직원 온보딩 및 종료 프로세스에서 정보 보안을 고려하고 있습니까?

네. 모든 신규 입사자는 필수 정보 보안 인식 교육과 보안 요소가 포함된 행동 강령 교육을 이수해야 합니다. 퇴사 직원에는 퇴사 후 보안 책임이 부여됩니다. 모든 자산이 복구되고 검토와 삭제를 마칠 때까지 계정이 정지됩니다.

RWS에 데이터 파괴 및 미디어 삭제 프로세스가 있습니까?

네. RWS의 그룹 분류 및 취급 정책은 데이터 파괴 및 미디어 삭제를 다룹니다. 정책을 구현하기 위한 특정 프로세스는 각 기술 소유자가 소유하고 유지합니다.