거버넌스
당사의 고객들은 세계에서 가장 큰 회사들 중 일부를 포함합니다. 데이터 센터 장비에 제공하는 물리적 및 데이터 보안 환경에 대한 신뢰는 Equinix에 매우 중요합니다. 당사는 회사 전반에 걸쳐 설계를 통해 개인정보 보호를 구현하고, 복원력을 향상시키고, 기능을 향상시키며, 속도, 민첩성, 사용자, 고객 경험에 헌신적인 문화를 조성하는 데 전념하고 있습니다.
Equinix의 글로벌 최고 정보 보안 책임자(Chief Information Security Officer)는 최고 개인 정보 보호 책임자(Chief Privacy Officer)와 협력하여 글로벌 시스템 및 애플리케이션 플랫폼 전반에 걸쳐 최고 수준의 데이터 보안을 유지할 수 있도록 하는 정책 및 절차를 적용하기 위한 지속적인 노력을 하고 있습니다. 그 일환으로 당사가 사업을 운영하는 국가에 해당하여, 진화하는 모든 데이터 개인 정보 보호법을 준수하도록 보장합니다.
규정 및 표준
Equinix의 Infosec Governance, Risk Compliance(GRC) 플랫폼은 규정 변경 관리 기능을 갖추고 있어 규정 변경에 대한 규정준수를 자동화함으로써 상당한 규정준수 효율성을 제공하며, 조직의 전반적인 위험이 증가하는 것을 예방합니다. Equinix는 적용 가능한 개인정보 보호 법률, 특히 유럽 연합(EU) 일반 데이터 보호 규정(GDPR)의 요구사항을 충족하도록 설계된 글로벌 개인정보 데이터 보호 준수 프로그램을 유지합니다. 글로벌 개인정보 데이터 보호 규정이 발전할 것으로 예상하여 기존 시장에서 개인정보 데이터 보호 조치를 지속적으로 개선하고 새로운 시장에서 GDPR과 같은 요구사항을 충족하는 규정준수 모델을 사전에 구현합니다. 데이터 보호 규정준수에 대한 당사의 사전 예방적 접근법을 통해 발생하는 현지 요구사항을 충족할 수 있습니다.
사이버 보안 사고에 대한 현지화된 보고 요구사항도 증가하고 있습니다. 2022년 인도에서는 CERT-In 사이버 보안 사고 보고 의무 일정 및 요구사항을 준수하기 위한 프로세스를 수립했습니다. 미국에서는 법률 및 공공정책 팀이 국가 무역 협회와 협력하여 사이버 보안 사고 보고와 관련하여 보안 거래 위원회(SEC)의 확대된 규칙 및 규정을 모니터링하고 이에 대응하고 있습니다. 빠르게 확장하는 글로벌 조직으로서 당사는 현지 관계자들과 협력하여 지역 요구사항을 충족할 수 있도록 노력하고 있습니다.
Equinix는 데이터 현지화 및 주권 요구사항을 포함한 지속적인 정책 변경을 면밀히 모니터링하여 당사가 운영하는 새로운 논의 및 규정보다 앞서 나가고 있습니다. 예를 들어, 전 세계 유럽에서 개인 데이터를 안전하게 전송하는 것과 관련하여 업데이트된 Schrems II 요구사항을 준수하는 것이 포함됩니다.
당사의 데이터 보안 정책, 프로그램 및 프로토콜은 국립표준기술연구소(NIST) 사이버 보안 프레임워크(NIST 800-53)와 연계되어 있으며 ISO 27001 정보 보안 관리 프레임워크에 대한 인증을 획득했습니다. 각 IBX® 데이터 센터 사이트는 현재 자체 인증을 유지하고 있지만, 당사는 모든 Equinix 사이트를 하나의 글로벌 인증으로 인증하기 위해 노력하고 있습니다. 당사는 미국 연방 정부 및 그 기관과 계약하기 위해 CMMC(사이버보안 성숙도 모델 인증)를 준수한 얼리 어답터입니다.
데이터에 대한 완전한 삭제
당사는 표준화된 프로세스를 통해 전자 폐기를 관리하고 엄격한 기준을 충족하는 공급업체와 긴밀히 협력하여 사이트에서 제거되기 전에 모든 중요 데이터를 자산에서 삭제하도록 보장합니다.
정보 보안(Information Security) 프로그램은 경영진의 승인을 받아 이사회 임명 및 거버넌스 위원회에 분기별로 보고되며 Equinix의 보안 및 복원력 향상에 중점을 둔 12개의 사이버 보안 프로그램인 Golden Fortress의 일부로 관리됩니다. 당사는 SOX 규정을 완전히 준수합니다. 또한 2022년에는 결제 카드 산업 보안 통제에 대한 글로벌 PCI DSS 준수 인증을 획득했습니다.
Equinix의 인포섹 거버넌스, 리스크 규정준수 프로그램
Equinix의 인포섹 거버넌스, 리스크 규정준수(GRC) 프로그램은 감사 관리, 리스크 관리, 정책 관리, 규정 변경, 규정준수 관리와 관련된 주요 비즈니스 요구사항을 해결하기 위해 중앙 집중식으로 자동화되고 확장 가능한 단일 플랫폼을 구현함으로써 조직의 사이버 보안 위험을 줄입니다.
이러한 강력한 거버넌스 기반을 통해 내부 및 외부 이해관계자와 정보 보안에 대한 신뢰와 투명성을 유지할 수 있습니다.
플랫폼 내 리스크 정량화는 Equinix 내의 일부 기능에서 의사결정 도구로 사용되어 왔습니다. 2022년 인포섹 GRC 프로그램은 조달팀과 협력하여 공급업체에 대한 필수 보안 요구사항을 구축하고 글로벌 규모로 타사 리스크 관리를 가속화했습니다.
이 GRC 프로그램을 통해 다양한 내부 제어를 자동화함으로써 지속적인 보증 및 규정준수를 제공하는 당사의 역량은 다양한 인포섹 GRC 성숙도 모델에서 당사를 더 높은 위치에 포지셔닝하는 데 도움이 되었습니다.]
Equinix 직원들은 각자 분야의 리더입니다
Abdul Kader Aslam(Equinix 정보 보안, 거버넌스, 리스크 및 규정준수 디렉터)은 ‘엔터프라이즈 사이버 보안 – 지능적 위협에 대한 성공적인 사이버 방어 프로그램 구축 방법’을 공동 저술 및 출판했습니다. 이 책은 여러 대학 졸업 프로그램의 교재로 사용됩니다.]
투명성 향상
당사는 이해관계자에게 데이터 개인정보 보호 및 보안을 보다 효과적으로 전달할 수 있는 방법을 지속적으로 모색해 왔습니다. 당사는 직원과 고객에게 매우 관련된 주제에 대한 작업을 소개하기 위해 2022년에 블로그를 시작했습니다. 이것과 다른 커뮤니케이션 채널 덕분에 당사의 이야기를 할 수 있고 고객의 신뢰를 높일 수 있습니다.
신뢰 및 투명성 프로그램
Equinix는 당사의 제품 및 서비스를 활용할 때 고객의 장비와 데이터가 항상 보호된다는 것을 보장하는 신뢰 및 투명성(Trust & Transparency) 프로그램을 유지합니다. 이 프로그램에는 고객을 지원하기 위해 함께 작동하는 세 가지 요소가 포함되어 있으며 중요한 데이터, 시스템 및 자산을 보호하기 위해 마련된 정책, 절차 및 보안 조치가 요약되어 있습니다.
- Equinix 고객 포털(ECP)을 통해 고객과 파트너는 보안 상태에 대한 정보에 쉽고 빠르게 액세스할 수 있습니다.
- 증명 요청을 통해 고객과 파트너는 Equinix의 전문지식을 활용하고 신속하게 지원을 받아 규정준수 요구사항을 달성할 수 있습니다.
- 신뢰 및 투명성 공개 웹사이트를 통해 고객과 연구원은 당사의 서비스에서 발견된 우려사항과 보안 문제를 책임감 있게 공개할 수 있습니다.
Equinix는 보안 문제와 우려사항을 보고하고 해결하기 위한 명확한 커뮤니케이션 채널을 보장하는 것을 목표로 합니다. 당사의 최고 정보 보안 책임자는 정보 보안 관리가 완벽하게 통합되고 모든 비즈니스 요구사항을 지원할 수 있도록 보안 관련 정책을 정의하고 구현합니다. 이 모든 정책은 국립표준기술연구소(NIST) 프레임워크와 일치하며, 정보 보안 프로그램을 관리하기 위한 고위 및 임원 관리 위원회인 정보 보안 운영위원회에서 매년 검토 및 승인을 받습니다. 모든 Equinix 관리자, 직원 및 계약업체는 이러한 정책을 준수하는 교육을 받고 책임을 집니다.
감사 및 검토
Equinix는 정기적인 내부 감사, 모의해킹 테스트, 보증의 일부로 기업 위협과 취약점 관리 프로그램을 통하여 기술적 위험 해결 우선하는 활동을 하고 있습니다. 2022년 Equinix는 3,000명의 고객을 지원하여 감사 및 고객에 대한 규정준수를 달성하고 유지했습니다. Equinix는 또한 ECP, 네트워크 에지, Equinix Fabric, Equinix Metal®에 대한 ISO27001 인증 및 독립 평가 보고서 SOC2를 달성했습니다. 당사의 통합 보안 시스템은 산업 제어 시스템 전반에 걸쳐 적용되어 NIST 800-82의 규정준수를 보장합니다.
정보보안팀은 정기적으로 사고 대응 기능을 테스트합니다. 테스트에는 내부자 위험에서 외부의 무단 액세스에 이르는 데이터 침해 시나리오에 대응하기 위한 플레이북이 포함됩니다. 이 플레이북은 당사가 효과적으로 관리한 실제 사건과 위협 요인이 사용하는 전술을 기반으로 합니다. 향상된 플레이북은 활성화될 응답률 및 공개 요구사항을 가속화하고 위반 시 통보해야 하는 외부 글로벌 기관, 공급업체 및 내부 기능을 식별하는 데 도움이 됩니다.
NEXTcode 개발자 교육 및 인증 프로그램은 2022년에 시작하여 1,279명의 개발자를 성공적으로 교육하였습니다
제로 트러스트 플랫폼
Zero Trust 원칙은 기계 학습을 통하여 최소 권한 액세스 및 지속적인 권한 부여를 기반으로 합니다. Equinix의 철학은 조직이 보안 경계 내부 또는 외부를 무조건적으로 신뢰해서는 안 되며 액세스 권한을 얻으려는 모든 사람과 모든 것을 지속적으로 검증해야 한다는 것입니다. 보안 플랫폼을 통해 Zero Trust 원칙과 제어 기능을 구현 함으로써 보안 태세를 강화하고 보안과 관련된 당사의 책임 대한 고객의 신뢰를 강화합니다. 당사는 글로벌 위협 환경이 지속적으로 진화하고 공격자의 전술도 계속 진화하고 있음을 알고 있습니다. 당사 사이버 보안 플랫폼의 집단 지능으로 제어를 적절하게 조정하는 민첩성을 통해 위협과 취약성을 지속적으로 평가할 수 있습니다.
직원 개인정보 데이터 보호 공지
직원들의 신뢰는 당사의 성공에 매우 중요하며, 직원들의 개인 데이터와 이를 처리하는 방법이 완전히 투명하기를 바랍니다. 직원 데이터 개인정보 보호 통지는 지역 규정 요구사항을 충족하도록 조정되었지만 전 세계적으로 일관된 메시지를 직원들에게 전달합니다. 이 통지는 Equinix가 직원 개인 데이터를 처리하는 방법, 어떤 목적으로 어떻게 보안을 유지하는지에 대한 세부 정보를 제공하며, 해당하는 경우 직원들이 질문을 하고 규제 권한을 행사할 수 있는 기회를 제공합니다. Equinix가 확장됨에 따라 계획을 검토하고 업데이트하여 당사가 운영 중인 시장의 현지 규정을 충족하고 있는지 확인합니다.
신뢰와 보안의 문화 조성
Equinix는 고객과 IT 전문가가 선택할 수 있는 보안 목적지입니다. 당사는 인재와 보안 역량을 지속적으로 구축하기 위해 노력하고 있습니다. 보안 거버넌스, 제어 및 인력에 대한 투자를 확대하면서 조직 내 다양성과 포괄성의 중요성을 강조해 왔습니다. 당사의 팀은 국립표준기술연구소(NIST)의 상위 제어 기능과 연계된 강력한 역량을 보유하는 동시에 소속 및 신뢰 문화와도 연계되어 있습니다.
교육 및 개발
Equinix는 의심스러운 활동을 발견하는 방법에 대한 정기적인 직원 교육을 실시하고 잠재적인 데이터 개인 정보 보호 및 보안 위험에 대해 직원을 교육합니다. 2022년에는 특정 직원 그룹을 대상으로 한 맞춤형 교육을 진행하기 시작했습니다. 먼저, 신규 채용에 초점을 맞추고 수정된 사용자 온라인 행동을 기반으로 정량화 가능한 리스크 감소를 측정했습니다. 또한 지역적 과제를 표준화하고 해결하기 위해 대면 교육을 재개했습니다. 예를 들어, 브라질에서는 심각한 보안 위협이 있는 특정 메시징 플랫폼과 관련된 위험에 대한 직원 교육을 제공했습니다.
19%
Reduction
in click rate on phishing emails sent by Infosec in 2022
692
Posts
on the Information Security Awareness Yammer channel
with
1.3M
Total Views
and 10.3k total engagement
13K+
Employees
included in the Information Security Awareness Yammer channel
Infosec에서 보낸 피싱 이메일의 클릭률이 2022년에 19% 감소했습니다. 정보 보안 인식 Yammer 채널에 692건의 게시물이 총 130만 건의 조회 수와 10,300건의 참여를 기록했습니다. 이 Yammer 채널에는 Equinix의 13,000명의 직원이 모두 포함됩니다
국내총생산(GDPR) 요건에 초점을 맞춘 Equinix의 온라인 데이터 개인정보 교육 모듈은 직원 기반의 약 30%에 해당하는 책임 범위 내에서 개인 데이터를 처리하는 직원 및 관리자에게 개방됩니다. 이 교육 모듈은 모든 직원이 수행하는 윤리 강령 교육 프로그램의 데이터 개인정보 보호 구성요소와 데이터 개인정보 보호 준수의 특정 측면(마케팅 동의 관리, 위반 통지, 관리 등)에 초점을 맞춘 특정 부서 교육 연습 사이에 있습니다.
2022년 게임 형식의 학습
Equinix는 2022년에 Yammer를 성공적으로 사용하여 자발적인 게임 형식의 직원 학습을 호스팅하기 시작했습니다. 소셜 미디어 보안, 민감한 데이터, 소셜 엔지니어링, 안전한 브라우징 및 기타 사이버 보안 주제에 초점을 맞춘 게임을 매월 출시합니다. 매달 최소 150명의 참가자들이 매력적인 형식으로 제공되는 유행하는 보안 주제에 관심을 갖습니다. 직원들은 게임 내용 외에 강조된 주제에 대한 추가 지침을 위해 관련 첨부 자료를 검토할 것을 권장합니다.
Equinix는 2022년 SANS Security Awareness Summit에서 성공적인 게임 형식의 사이버 보안 교육을 공유했습니다. 직원들을 위한 게임화 도입에 관심이 있는 참석자들로부터 피드백을 받았습니다. 이러한 상호작용과 당사의 성공에 영향을 받은 소매 및 은행의 동료들은 스스로 플랫폼을 채택하고 있습니다.