거버넌스
세계에서 가장 큰 회사 중 일부가 Equinix의 고객입니다. 데이터 센터 장비에 제공하는 물리적 및 데이터 보안 환경에 대한 신뢰는 우리에게 매우 중요합니다. Equinix는 탄력성을 개선하고, 역량을 증진하며, 고객 및 최종 사용자에 초첨을 맞추어 민첩하고 빠른 경험을 할 수 있는 문화를 만들기 위해 최선을 다하고 있습니다.
Equinix의 글로벌 최고 정보 보안 책임자(Chief Information Security Officer)는 최고 개인 정보 보호 책임자(Chief Privacy Officer)와 협력하여 글로벌 시스템 및 애플리케이션 플랫폼 전반에 걸쳐 최고 수준의 데이터 보안을 유지할 수 있도록 하는 정책 및 절차를 적용하기 위한 지속적인 노력을 하고 있습니다. 그 일환으로 당사가 사업을 운영하는 국가에 해당하여, 진화하는 모든 데이터 개인 정보 보호법을 준수하고 있는지 확인하십시오. 개인정보 데이터와 관련하여 Equinix가 책임지는 개인 데이터는 대부분의 회사가 유지 관리하는 표준 개인 데이터 세트와 다르지 않습니다. 당사는 직원과 고객의 신뢰를 높이고 평판 위험을 관리하는 데 도움을 주기 위해 해당 개인 데이터에 대한 포괄적인 개인 데이터 정보 보호 규정 준수 프로그램을 구현했습니다. Equinix는 서버에 있는 고객 데이터를 소유 및 관리 그리고 IBX 내에 전송하지 않지만, 이러한 영역에서 고객의 자체 규정 준수를 촉진하기 위해 자체 데이터 관리 및 보안성을 지원하기 위해 적극적으로 노력하고 있습니다.
2021년, 당사의 개인정보 보호국은 개인정보 데이터 보호 규정 준수 프로그램을 지속적으로 발전시켜 비즈니스 전반에 걸쳐 새로운 시스템 배포 및 비즈니스 프로세스 개선에 개인정보 보호 개념을 완전히 포함시키는 것을 목표로 했습니다.
규정 및 표준
Equinix는 유럽 연합(EU) 일반 데이터 보호 규정(GDPR)의 요구 사항에 충족하도록 설계된 데이터 개인 정보 보호 규정 준수 프로그램을 구현하고 유지 관리합니다. 진화하는 글로벌 개인 데이터 정보 보호 규정을 예상하여 기존 시장의 개인 정보 데이터 보호 조치를 지속적으로 강화하고 새로운 시장에서 GDPR과 유사한 요구 사항을 충족하는 규정 준수 모델을 사전에 구현했습니다. 데이터 보호 규정 준수에 대한 사전 예방적 접근 방식을 통해 발생하는 현지 요구 사항을 원활하게 충족할 수 있습니다. 2021년 8월에 브라질에서 시행되었던 강력한 데이터 개인 정보 보호 관행으로 인해 GDPR에 상응하는 브라질 일반 데이터 보호법(LGPD)의 요구 사항을 신속하게 충족했습니다.
글로벌 기업인 Equinix는 데이터 현지화 및 주권 요구 사항에 대한 개발을 면밀히 모니터링합니다. Equinix는 책임감 있는 방식으로 운영하기 위해 최선을 다하고 있으며 새로운 논의와 규정에 앞서 나가기 위해 노력합니다. 당사는 EU에서 규정한 기간에 따라 전 세계 유럽에서 개인 데이터를 안전하게 전송하는 것과 관련하여 업데이트된 SCHREMS II 요구 사항을 준수하기 위해 적극적으로 노력하고 있습니다.
당사의 데이터 보안 정책, 프로그램 및 프로토콜은 NIST(National Institute of Standards and Technology) 사이버 보안 프레임워크(NIST 800-53)와 일치하며 ISO 27001 및 ISO 27002 정보 보안 관리 프레임워크에 대한 인증을 획득했습니다. Equinix는 미국 연방 정부 및 해당 기관과의 계약을 위해 사이버 보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMCC)을 준수하고 정부 권한이 해제될 때 인증을 준비하는 얼리어답터입니다.
정보 보안 프로그램은 집행 리더십 팀의 승인을 받고 분기별로 이사회 감사 위원회에 보고되며 Equinix의 보안 및 복원력 강화에 중점을 둔 12개의 사이버 보안 프로그램 세트인 Golden Fortress의 일부로 관리됩니다. 당사는 SOX 규정을 완전히 준수합니다.
신뢰와 투명성 향상
Trust and Security Landing Site
Golden Fortress의 신뢰 및 투명성 프로그램의 일환으로 당사는 고객을 위한 규정 준수 인증, 책임 있는 공개, 글로벌 개인 정보 보호 정책 및 기타 개인 정보 콘텐츠에 대한 링크를 공유하기 위해 신뢰 및 보안 방문 사이트를 개발했습니다. 보안 포털에서 인증되면 고객은 공식적인 피드백을 공유하고 추가 데이터 보안 정보를 받을 수 있습니다.
당사의 보안 정책 선언문(Security Policy Statement)은 Trust and Security Landing Site의 모든 고객에게도 제공됩니다. 당사의 정보 보안 관리가 완전히 통합되고 모든 비즈니스 요구 사항을 지원하도록 보장하기 위해 당사의 최고 정보 보안 책임자(Chief Information Security Officer)는 보안 관련 정책을 정의하고 구현합니다. 이 정책은 모두 NIST 프레임워크에 맞춰 조정되며 정보 보안 운영 위원회, 정보 보안 프로그램을 관리하기 위한 고위 경영진 위원회와 추천인 및 운영 위원회에서 매년 검토 및 승인합니다. 모든 Equinix 관리자, 직원 및 계약자는 이러한 정책에 대해 교육을 받고 이를 준수할 책임이 있습니다.
감사 및 검토
- Equinix는 정기적인 내부 감사, 모의해킹 테스트, 보증의 일부로 기업 위협과 취약점 관리 프로그램을 통하여 기술적 위험 해결 우선하는 활동을 하고 있습니다. 2021년에 약 3,000건의 고객 사이버 감사를 수행했으며 결과는 매우 양호했습니다.
- 2021년에 우리는 NIST 800-82 준수를 보장하기 위해 산업 제어 시스템 전체에 통합 보안 시스템을 배포했습니다.
Zero Trust Platform
Zero Trust 원칙은 기계 학습을 통하여 최소 권한 액세스 및 지속적인 권한 부여를 기반으로 합니다. Equinix의 철학은 조직이 보안 경계 내부 또는 외부를 무조건적으로 신뢰해서는 안 되며 액세스 권한을 얻으려는 모든 사람과 모든 것을 지속적으로 검증해야 한다는 것입니다. 보안 플랫폼을 통해 Zero Trust 원칙과 제어 기능을 구현 함으로써 보안 태세를 강화하고 보안과 관련된 당사의 책임 대한 고객의 신뢰를 강화합니다. 당사는 글로벌 위협 환경이 지속적으로 진화하고 공격자의 전술도 계속 진화하고 있음을 알고 있습니다. 당사 사이버 보안 플랫폼의 집단 지능으로 제어를 적절하게 조정하는 민첩성을 통해 위협과 취약성을 지속적으로 평가할 수 있습니다. Equinix는 정보 보안 정책 관리 및 공통 제어의 자체 증명을 위해 2020년에 GRC 플랫폼을 배포했습니다.
직원 개인 정보 데이터 보호 고지
직원의 신뢰는 Equinix의 성공에 매우 중요하며, 당사는 직원의 개인 데이터와 이를 처리하는 방법에 대해 완전히 투명하기를 원합니다. 2021년에 우리는 모든 현지 규정 요구 사항을 충족하였고 전 세계적으로 일관된 메시지를 보내는 새로운 데이터 개인 정보 보호 고지를 준비하고 전 세계의 모든 직원과 공유했습니다. 이 고지는 Equinix가 직원의 개인 데이터를 처리하는 방법, 목적, 보안을 유지하는 방법에 대한 세부 정보를 제공하고 또한 해당될 경우 직원이 질문을 하고 규제 권한을 행사할 수 있는 기회를 제공합니다. 계획은 이 데이터 개인정보 보호정책을 주기적으로 갱신하는 것입니다.
신뢰와 보안의 문화 조성
팀 구축
2021년에는 보안 운영, 보안 인식 및 사고 대응 팀의 핵심 기능을 송환하는 데 집중했습니다. 당사는 Equinix가 고객과 IT 전문가가 선택하는 보안 대상으로의 명성을 확고히 해왔으며, 계속해서 인재와 보안 기능을 구축하기 위해 최선을 다하고 있습니다. 보안운영, 통제 및 사내 인력에 대한 투자를 늘리면서 조직 내 다양성과 포괄성의 중요성을 강조했습니다. 우리 팀은 소속감과 신뢰의 문화에 부합하는 동시에 최고의 NIST 통제와 연계된 강력한 기능을 갖추고 있습니다.
훈련과 발전
Equinix는 의심스러운 활동을 발견하는 방법에 대한 정기적인 직원 교육을 실시하고 잠재적인 데이터 개인 정보 보호 및 보안 위험에 대해 직원을 교육합니다.
2021년에는 직원 기반의 약 30%에 해당하는 책임 범위 내에서 개인 데이터를 처리하는 직원 및 관리자를 위해 GDPR 요구 사항에 중점을 둔 전용 온라인 데이터 개인 정보 보호 교육 모듈을 출시했습니다. 이 교육 모듈은 모든 직원이 수행하는 윤리 강령 교육 프로그램의 개인정보 데이터 보호 구성 요소와 마케팅 동의 관리, 위반 알림 및 관리 등과 같은 개인정보 데이터 보호 규정 준수의 특정 측면에 초점을 맞춘 특정 부서별 교육 과정 사이에 있습니다.
정보 보안 팀은 사고 대응 교육을 정기적으로 테스트합니다. 교육에는 내부 위험에서 외부 무단 액세스에 이르는 데이터 침해 시나리오에 대응하기 위한 플레이북이 포함됩니다. 이 플레이북은 Equinix가 효과적으로 관리한 실제 사건과 공격자가 사용한 전술을 기반으로 합니다. 강화된 플레이북은 침해 발생 시 통지해야 하는 외부 글로벌 기관, 공급업체 및 내부 기능을 식별하여 활성화될 응답 속도 및 공개 요구 사항을 가속화하는 데 도움이 됩니다.
Cyber Knights 앰배서더 프로그램
2021년에 시작된 Cyber Knights 앰배서더 프로그램은 보안 문화를 조성하고 직원들이 데이터 보안 모범 사례를 공유할 수 있도록 구조화된 개발 기회를 제공하는 보안 앰버서더 프로그램입니다. 2021년에는 175명의 글로벌 기사들이 월간 토크, Q&A, 3단계 교육에 참여했습니다. 우리 프로그램은 보안 산업 발전을 돕고자 하는 우리의 목표와 일치하며 혁신과 영향력을 인정받아 Women in Tech 상을 수상했습니다.
우리는 회사로서 계속 성장하고 제품을 확장함에 따라 회사 전체에 걸쳐 보안과 신뢰의 문화를 유지하는 데 계속 집중하고 있습니다. Yammer 내부 소셜 미디어 포털을 포함하여 다양한 플랫폼에서 참여를 추적하여 이러한 문화를 모니터링합니다.