데이터 분류 살펴보기
- 8분
중요한 데이터가 도난당하거나 실수로 공유되거나 위반으로 인해 노출될 경우 회사에 큰 위험이 됩니다. 위험 요소로는 평판 하락, 재정적 영향, 경쟁 우위 상실 등이 있습니다. 비즈니스에서 관리하는 데이터와 정보를 보호하는 것이 모든 조직의 최우선 과제입니다. 그러나 유지 관리되는 콘텐츠의 양을 감안할 때 그러한 노력이 실질적으로 효과적인지 알기 어려울 수 있습니다.
볼륨 외에도 조직의 콘텐츠는 매우 민감하고 영향력 있는 콘텐츠부터 사소하고 일시적인 콘텐츠에 이르기까지 다양한 중요도를 가질 수 있습니다. 또한 다양한 규정 준수 요구 사항이 적용될 수도 있습니다. 우선 순위를 지정할 항목과 컨트롤을 적용할 위치를 파악하는 것은 어려울 수 있습니다.
조직은 데이터 분류를 구현하여 이러한 문제를 해결합니다. 데이터 분류는 사이버 보안 및 데이터 수명 주기 관리 분야에서 사용되는 특수 용어입니다. 민감도 또는 영향 수준에 따라 콘텐츠를 식별, 분류 및 보호하는 프로세스를 설명합니다. 가장 기본적인 형태의 데이터 분류는 데이터의 민감도나 영향력에 따라 무단 공개, 변경 또는 파기로부터 조직 데이터를 보호하는 수단입니다.
조직은 다음을 포함하여 여러 가지 방법으로 데이터를 분류합니다.
- 민감도 레이블
- 보존 레이블
- 중요한 정보 유형
- 학습 가능한 분류자
데이터 분류 프레임워크란?
조직은 종종 형식적인 전사적 정책에서 데이터 분류 프레임워크('데이터 분류 정책'이라고도 함)를 명문화합니다. 데이터 분류 프레임워크는 일반적으로 3~5개의 분류 수준으로 구성됩니다. 이러한 수준에는 일반적으로 이름, 설명 및 실제 예제의 세 가지 요소가 포함됩니다.
Microsoft는 UI(사용자 인터페이스)를 관리할 수 있도록 최대 5개의 하위 레이블을 포함하는 상위 수준 부모 레이블을 5개 이하로 유지할 것을 권장합니다(총 25개). UI는 일반적으로 다음과 같은 가장 덜 중요한 수준부터 가장 중요한 수준까지 정렬합니다.
- 공용
- 내부
- 기밀
- 극비
발생할 수 있는 다른 수준의 이름 변형은 다음과 같습니다.
- 제한됨
- 제한 없음
- 소비자 보호됨
Microsoft는 자체 설명이 포함된 레이블 이름을 권장합니다. 또한 상대적 민감도를 명확하게 강조해야 합니다. 예를 들어 기밀 및 제한됨은 사용자가 적절한 레이블을 추측하게 할 수 있습니다. 이에 비해 기밀 및 기밀(높음)은 어느 항목이 더 민감한지를 더 명확히 나타냅니다.
다음 표에서는 기밀(높음) 데이터 분류 프레임워크 수준의 예를 보여 줍니다.
| 분류 수준 | 설명 | 예 |
|---|---|---|
| 극비 | 기밀(높음) 데이터는 엔터프라이즈에서 저장하거나 관리하는 가장 중요한 유형의 데이터이며 위반되거나 공개될 경우 법적 알림이 필요할 수 있습니다. 제한됨 데이터에는 최고 수준의 제어 및 보안이 필요합니다. 조직은 "알아야 할 사항" 기준으로 액세스를 제한해야 합니다. |
- 개인 사용자 정보 - 카드 소유자 데이터 - PHI(보호된 건강 정보) - 은행 계좌 데이터 |
팁
Microsoft의 회사 데이터 분류 프레임워크는 원래 '내부'라는 범주와 레이블을 사용했습니다. 그러나 파일럿 단계에서 일부 문서를 외부에서 공유해야 하는 정당한 이유가 있음을 발견했습니다. 따라서 '내부' 대신 '일반' 레이블을 사용하는 것으로 전환했습니다.
데이터 분류 프레임워크의 또 다른 중요한 구성 요소는 각 수준과 연결된 컨트롤입니다. 데이터 분류 수준 자체는 단순히 콘텐츠의 값 또는 민감도를 나타내는 레이블(또는 태그)입니다. 해당 콘텐츠를 보호하기 위해 데이터 분류 프레임워크는 각 데이터 분류 수준에 적용해야 하는 컨트롤을 정의합니다. 이러한 컨트롤에는 다음과 관련된 요구 사항이 포함될 수 있습니다.
- 스토리지 유형 및 위치
- 암호화
- 액세스 제어
- 데이터 폐기
- 데이터 손실 방지
- 퍼블릭 공개
- 액세스 로깅 및 추적
- 기타 컨트롤 목표(필요에 따라)
조직의 보안 컨트롤은 데이터 분류 수준에 따라 다릅니다. 예시:
- 조직의 프레임워크에 정의된 보호 조치는 콘텐츠의 민감도에 따라 증가할 수 있습니다.
- 데이터 저장소 컨트롤 요구 사항은 사용된 미디어 및 지정된 콘텐츠에 적용되는 분류 수준에 따라 달라질 수 있습니다.
다음 표에서는 특정 저장소 유형에 대한 데이터 분류 컨트롤의 예를 보여 줍니다.
| 저장소 유형 | 기밀 | 내부 | 제한 없음 |
|---|---|---|---|
| 이동식 저장소 | 금지됨 | 암호화되지 않는 경우 금지됨 | 컨트롤이 필요하지 않음 |
실제 상황에서는 올바른 수준의 데이터 분류를 올바르게 적용하는 것이 복잡할 수 있습니다. 따라서 경우에 따라 최종 사용자에게 어려운 작업이 될 수 있습니다. 조직이 필요한 데이터 분류 수준을 정의하는 정책 또는 표준을 만들어도 이 프로세스가 끝나는 것은 아닙니다. 대신, 최종 사용자에게 이 프레임워크를 일상 업무에 적용하는 방법을 안내하는 것이 중요합니다. 이 영역에서는 데이터 분류 처리 규칙 또는 지침이 제공됩니다.
데이터 분류 처리 지침은 최종 사용자에게 수명 주기 동안 다양한 저장소 미디어에서 각 수준의 데이터를 적절하게 처리하는 방법에 대한 구체적인 지침을 제공합니다. 또한 이러한 지침은 최종 사용자가 실제로 규칙을 올바르게 적용하는 데 도움이 될 수 있습니다. 예를 들어 문서를 공유하거나, 전자 메일을 보내거나, 여러 플랫폼과 조직에서 공동으로 작업하는 경우입니다.
Microsoft 고객들은 Information Protection 프로젝트의 약 50%가 기술보다는 비즈니스에 초점을 맞추고 있다고 말합니다. 따라서 최종 사용자 학습 및 커뮤니케이션은 성공에 매우 중요합니다.
잘 디자인된 데이터 분류 프레임워크 만들기
조직은 데이터 분류 프레임워크를 개발, 개선 또는 구체화할 때 다음 모범 사례를 고려해야 합니다.
첫 날에 0에서 100까지를 이룰 것으로 예상하지 마세요. Microsoft는 기어가기-걷기-뛰기 방법을 권장합니다. 조직에 중요한 기능에 우선 순위를 지정하고 일정에 맞춰 계획합니다. 첫 번째 단계를 완료한 후 성공했는지 확인하고, 다음 단계로 이동하여 학습된 교훈을 적용합니다. 데이터 분류 프레임워크를 디자인해도 조직이 위험에 노출되는 것을 막을 수는 없습니다. 따라서 몇 가지 분류 수준으로 소규모로 시작한 후 필요에 따라 나중에 확장해도 됩니다.
단순히 사이버 보안 전문가를 위해 작성하는 것이 아닙니다. 데이터 분류 프레임워크는 광범위한 대상 그룹을 위한 것입니다. 여기에는 평사원, 법률 및 규정 준수 팀 및 IT 팀이 포함될 수 있습니다. 데이터 분류 수준에 대한 명확하고 이해하기 쉬운 정의를 작성하는 것이 중요합니다. 가능한 경우 실제 예제를 제공합니다. 전문 용어를 피하고 약어와 기술적 용어를 설명하는 용어집을 제공하는 것을 고려해 보세요.
자신의 데이터 분류 프레임워크를 구현합니다. 조직에서 데이터 분류 프레임워크를 디자인하는 것만으로는 충분하지 않습니다. 성공하려면 조직에서도 구현해야 합니다. 각 데이터 분류 수준에 대한 컨트롤 요구 사항을 작성할 때 특히 그렇습니다. 요구 사항을 명확하게 정의해야 합니다. 또한 구현 중에 발생할 수 있는 모호성을 예측하고 해결해야 합니다. 예를 들어 개인 고객 정보에 대한 컨트롤을 포함하는 경우 사회 보장 번호 또는 여권 번호와 같이 해당 컨트롤의 의미를 정확히 설명해야 합니다.
필요한 경우에만 구체적으로 설명합니다. 데이터 분류 프레임워크는 일반적으로 3~5개 데이터 분류 수준 중 어떤 수준도 포함할 수 있습니다. 그러나 5개의 수준을 포함할 수 있다는 것이반드시 포함해야 한다는 의미는 아닙니다. 필요한 분류 수준 수를 결정할 때 다음 조건을 고려합니다.
- 업계 및 관련 규제 의무(고도로 규제된 산업은 더 많은 분류 수준이 필요한 경향이 있음)
- 더 복잡한 프레임워크를 유지하는 데 필요한 운영 오버헤드
- 더 많은 분류 수준과 관련된 복잡성 및 미묘한 세부 사항을 준수할 수 있는 사용자의 능력
- 여러 디바이스 유형에 수동 분류를 적용하려는 경우 사용자 환경 및 접근성
적절한 참여자를 확보합니다. 고위 관계자를 보유하는 것은 성공에 매우 중요합니다. 많은 프로젝트는 고위 경영진의 지원 없이는 시작하기 어렵고 더 오래 걸리기도 합니다. 정보 기술 팀에서 일반적으로 데이터 분류 프레임워크를 소유합니다. 그러나 법적, 규정 준수, 개인 정보 보호 및 변경 관리에 영향을 미칠 수 있습니다. 조직에서는 비즈니스를 보호하는 데 도움는 프레임워크를 만들어야 합니다. 이렇게 하려면 정책 개발 시 개인 정보 보호 및 법적 이해 관계자를 포함해야 합니다. 회사의 최고 개인 정보 책임자 및 수석 법률 고문을 예로 들 수 있습니다. 조직에 규정 준수 부서, 데이터 수명 주기 관리 전문가 또는 기록 관리 팀이 있는 경우 중요한 입력이 수행될 수도 있습니다. 프레임워크를 비즈니스에 배포할 때 커뮤니케이션 부서도 내부 메시징 및 채택에 중요한 역할을 합니다.
편의성과 보안의 균형을 유지합니다. 일반적으로 저지르게 되는 실수는 안전하지만 지나치게 제한적인 데이터 분류 프레임워크를 작성하는 것입니다. 조직은 보안을 염두에 두고 이러한 유형의 프레임워크를 정의하지만 구현할 때 어려움을 겪는 경우가 많습니다. 사용자가 일상 생활에서 프레임워크를 적용하기 위해 복잡하고 엄격하며 시간이 많이 걸리는 절차를 따라야 한다면 더 이상 그 가치를 인정하지 못할 위험이 있습니다. 이 시나리오가 발생하면 사용자는 일반적으로 다음 절차를 중지합니다. 이 위험은 조직 내의 경영진 수준(최고 경영진) 관리자를 포함하여 조직의 모든 수준에서 존재합니다. 사용하기 쉬운 도구를 비롯한 편리성과 보안 간의 균형이 잘 유지되면 일반적으로 더 광범위한 사용자 채택 및 사용이 구현됩니다. 프레임워크에 격차가 있다고 해도 모든 것이 구현을 시작하기에 완벽할 때까지 기다리지 마세요. 대신 위험 또는 격차를 평가하고, 완화 계획을 수립하고, 계속 진행합니다. 정보 보호는 하나의 여정임을 기억하세요. 하룻밤 사이에 활성화하는 것이 아닙니다. 도구의 발전과 더불어 몇 가지 기능을 계획 및 구현하고 성공을 확인하고 다음 마일스톤을 반복하면서 사용자는 완성도와 경험을 쌓게 됩니다.
또한 데이터 분류 프레임워크는 중요한 데이터를 보호하기 위해 조직이 수행해야 하는 작업만 다룹니다. 데이터 분류 프레임워크에는 일반적으로 기법 및 기술 관점에서 이러한 정책을 적용하는 방법을 정의하는 데이터 처리 규칙 또는 지침이 포함됩니다.
데이터 분류 프레임워크 만들기의 문제점
데이터 분류 작업은 기본적으로 광범위합니다. 엔터프라이즈 내의 거의 모든 비즈니스 기능에 관여합니다. 이러한 광범위함과 최신 디지털 환경에서 콘텐츠를 관리할 때의 복잡성으로 인해 기업은 종종 다음을 파악하는 데 어려움을 겪습니다.
- 시작 위치
- 성공적인 구현을 관리하는 방법
- 진행률을 측정하는 방법
조직은 다음과 같은 상황에서 일반적인 문제가 발생하는 경우가 많습니다.
- 강력하고 이해하기 쉬운 데이터 분류 프레임워크를 디자인합니다. 이렇게 하려면 조직은 분류 수준 및 관련 보안 컨트롤을 결정해야 합니다.
- 구현 계획을 개발합니다. 적절한 기술 솔루션을 확인하고, 기존 비즈니스 프로세스에 맞춰 계획을 조정하고, 인력에 미치는 영향을 식별해야 합니다.
- 선택한 기술 솔루션 내에서 데이터 분류 프레임워크를 설정합니다.
- 도구의 기술 기능과 프레임워크 자체 간의 격차를 해결합니다.
- 거버넌스 구조를 설정합니다. 이 구조는 데이터 분류 작업의 지속적인 유지 관리 및 상태를 감독해야 합니다.
- 진행 상황을 모니터링하고 측정하기 위해 특정 KPI(핵심 성과 지표)를 식별합니다.
- 데이터 분류 정책, 중요한 이유 및 준수하는 방법에 대한 인식과 이해를 높입니다.
- 데이터 손실 및 사이버 보안 컨트롤을 대상으로 하는 내부 감사 검토를 준수합니다.
- 사용자를 학습시키고 참여시킵니다. 사용자는 일상 업무에서 올바른 분류의 필요성을 염두에 두어야 합니다. 또한 올바른 분류 측정값을 적용해야 하는 경우도 학습해야 합니다.
거버넌스 및 유지 관리
조직이 데이터 분류 프레임워크를 개발하고 구현한 후에는 지속적인 거버넌스 및 유지 관리가 성공에 매우 중요합니다. 조직은 사용자가 실제로 민감도 레이블을 사용하는 것을 추적하는 것 외에도 규정 변경 내용, 사이버 보안 선행 사례 및 관리하는 콘텐츠의 특성에 따라 제어 요구 사항을 업데이트해야 합니다.
거버넌스 및 유지 관리 노력에는 다음이 포함될 수 있습니다.
- 데이터 분류 전용 거버넌스 기관을 설정하거나 기존 정보 보안 기관의 헌장에 데이터 분류 책임을 추가합니다.
- 데이터 분류를 감독하는 사용자의 역할 및 책임 정의
- 진행률을 모니터링하고 측정하기 위한 KPI 설정
- 사이버 보안 선행 사례 및 규정 변경 내용 추적
- 표준 운영 절차 개발. 이러한 절차는 데이터 분류 프레임워크를 지원하고 적용해야 합니다.
지식 점검
다음 질문에 가장 적합한 답을 고르세요.
지식 점검
피드백
이 페이지가 도움이 되었나요?
No
이 항목에 대한 도움이 필요하세요?
Ask Learn을 사용하여 이 주제를 명확히 설명하거나 안내하고 싶으신가요?