Information Protection & Business Resilience

Information Protection & Business Resilience

높아져가는 사이버 리스크를 예방하고 효과적으로 관리하여 기업의 불확실성을 줄이고 성공적인 기업가치 창출을 지원합니다.

높아져가는 사이버 리스크를 예방하고 효과적으로 관리하여 기업의 불확실성을 줄이고 성공적인 기업가치 창출을 지원합니다.

비즈니스를 위협하는 사이버 리스크는 지속적으로 증가해왔으며 이사회 및 경영진의 핵심 Agenda가 되었습니다. 사이버 리스크로부터 기업의 고객, 이해관계자, 임직원을 보호하기 위해 삼정KPMG Cyber Security 본부는 아래와 같이 주요 영역 별 자문 서비스를 제공하고 있습니다.

 

개인정보보호

개인정보를 보호하기 위한 각종 법령이나 규제는 세계적으로 강화되고 있는 추세이며 국내 관련법 역시 개인의 Privacy 보장 강화 및 기업의 책임 범위가 확대되고 있습니다. 대부분의 기업에서 개인정보는 광범위하게 처리되고 있으며 이에 대한 관리는 특정 부서가 아닌 전사 차원의 문제가 되고 있고 사고 발생 시에는 단순한 법령 위반 수준이 아닌 고객 신뢰도 하락 및 기업의 생존과도 연관된 중대 사안으로 인식되고 있습니다.

KPMG 개인정보보호 서비스는 각 기업이 보유하고 처리하는 개인정보에 대한 법률적 요구사항을 준수하고 정보 유출 및 오남용에 대한 예방 및 지속적인 관리가 가능하도록 지원합니다. 전사적인 개인정보보호 강화를 위해서는 다음이 필요합니다.

  • 전사 기반의 개인정보보호 현황 파악 및 취약점 개선
  • 실질적인 통제 및 현황 파악을 위한 개인정보보호 통합 관리 체계 및 시스템 구축

 

개인정보보호 거버넌스

People, Process, Technology 관점에서 전사적 기업 사이버 보안 체계를 수립하고 보안 대비 수준을 향상하여, 비즈니스 경쟁 우위로 이용 할 수 있도록 돕습니다. 또한 기업 조직 내 사이버 보안 체계 내재화 및 정보보안 문화 형성을 통하여 비즈니스 의사 결정시 정보보안을 핵심 고려사항 중 하나로 고려할 수 있도록 합니다.

  • 정보보호 거버넌스(GRC) 수립 : 기업 내에서 리스크 및 컴플라이언스 대응은 개별 부서차원 또는 프로젝트 차원에서 Silo하게 다뤄지고 있거나, 부분적으로 솔루션화 되어있어 전사적 비즈니스 리스크에 대한 효과적인 대응이 어렵습니다. 삼정KPMG는 거버넌스, 리스크, 컴플라이언스 관점에서 기업이 대내외 경영환경 변화에 따른 비즈니스 리스크에 대응하고 컴플라이언스를 준수 할 수 있도록 전사적이고 통합적인 체계 구축 자문 서비스를 제공합니다.
  • 보안전략 수립 : 다양한 산업 및 고객 업무에 대한 풍부한 이해를 기반으로 Vision, 통제 프레임워크, 전사 직원 Awareness 프로그램 수립 등을 포함하여 구체적이고 실행력 있는 보안 전략 수립 자문을 제공하고 있습니다.
  • 전사 보안 아키텍처 수립 자문 : 컴플라이언스 준수 및 솔루션 중복 등에 대한 비용을 절감 할 수 있도록 전사 보안 시스템에 대한 설계 및 구현 자문 서비스를 제공합니다.

 

정보보호 인증

최근 컴플라이언스 요구 환경변화에 있어 자율규제를 강조하고 있으며, 법규위반 시 책임을 강화하고 경영진에 연대책임을 묻고 있는 등 기업에 선제적 대응 방안 마련을 요구하고 있습니다. 또한 글로벌 모바일 지급결제 서비스 산업, 클라우드 시장의 급격한 성장으로 글로벌 컴플라이언스 준수 요구가 증가하고 있으며, 이에 대한 대응으로 체계적인 Security Governance 구축 및 제3자 보증에 의한 내/외부 신뢰성 확보가 필수적으로 요구되고 있습니다. 삼정KPMG는 국내외 컴플라이언스를 준수하고 기업 보안 수준 강화를 위해 보안 관리 체계 수립 및 글로벌 보안 인증 대응 자문 서비스를 제공하고 있습니다.

  • PCI-DSS 인증 자문 : PCI 보안 표준 협의회(PCI Security Standards Council)에서 만든 신용카드 업계 글로벌 보안 표준으로써, 신용카드 부정 사용 및 정보유출 방지를 목적으로 신용카드 결제 업체가 준수해야 하는 산업보안 표준이며, 해당 인증준비 및 인증지원 컨설팅을 제공합니다.
  • PIMS / ISMS 인증체계 구축 지원 : 인증체계 구축을 위해 필요한 인증 준비 절차를 이행하고, 비즈니스 환경에 적합한 보호대책을 수립하여  해당 인증을 취득할 수 있도록 컨설팅 서비스를 제공합니다.
  • ISO 27001 등 글로벌 인증 자문 : 글로벌 정보보호 관리체계 인증 획득을 통해 전사 정보보호 관리 활동 표준화 및 대외 신뢰도를 제고하고, 지속적인 보안 수준 강화 기반을 마련합니다.
  • 클라우드 서비스 인증(FedRAMP) : 미국 연방정부가 런칭한 클라우드 보안 인증 서비스로써 기업 클라우드 제품/서비스에 대한 정보보안 인증 서비스를 제공합니다.

 

개인정보보호

개인정보 관련 사고가 지속적으로 발생하고, 개인정보보호 관련 법/규제, 관리감독이 강화되면서 개인정보보호를 위한 Compliance 적정성 검토 및 유출 Risk에 대한 선제적 대응체계 수립이 필요합니다.

  • 글로벌 개인정보보호 거버넌스 체계 수립 : 글로벌 비즈니스 환경변화 및 개인정보보호 이슈에 대한 선제적 대응 기반을 마련 할 수 있도록 선진사례 벤치마킹 및 고객 비즈니스, 컴플라이언스 관점에서 영향 평가를 수행하고 이를 기반으로 글로벌 개인정보보호 거버넌스 체계를 수립합니다.
  • 개인정보보호 종합 진단 자문 서비스 : 기업 비즈니스 환경 및 개인정보 취급 현황, 개인정보보호 통제 적정성 분석을 기반으로 고객 개인정보보호 종합 대책을 마련하여 개인정보보호 컴플라이언스 준수 및 선제적 대응 체계를 수립 할 수 있도록 합니다. 또한, 개인정보의 수명주기(Privacy Life-Cycle)별 관리현황을 진단하여 개선점을 파악하고, 법령, 제도 등 규제적인 요건을 함께 고려하여 기업 업무에 최적화된 관리적·기술적 개인정보보호 체계를 수립할 수 있도록 지원합니다.

 

산업기밀보호

기술발전과 업무 환경 변화로 사이버 위협은 지속적으로 증가해왔습니다. 또한, 기업은 고객 및 임직원 정보, 기업 지적 재산(Intellectual Property) 또는 시스템 취약점 노출 등 지속적인 내부/외부 위협에 직면해있습니다. 삼정KPMG는 국내외 경쟁력 있는 비즈니스 핵심 정보를 보유한 기업 대상으로 내부정보유통 라이프사이클 기반의 정보 유출 방지/모니터링 체계 수립 자문 서비스를 제공함으로써, 기업 핵심 자산을 보호하고 비즈니스 경쟁 우위를 가질 수 있도록 지원합니다.

  • 보안위험 도출: 기업 환경에 따른 보안 이슈 도출, 주요 보호대상(중요문서/정보시스템) 식별 및 분석, 정보보안 취약성 분석을 통해 정보보안 진단 및 관리현황 점검을 수행합니다. 특히, 산업기밀에 대한 보관관리 현황 및 이슈도출을 통하여 산업기밀 현황에 대한 보안 대응책을 수립합니다.
  • 위험대응 전략 수립: 도출한 보안위험을 바탕으로 위험대응 개선과제 및 운영 준비, 보안 프레임워크 및 마스터플랜을 수립합니다.
  • 물리적 통제 강화: 출입통제 및 CCTV운영현황 진단을 통하여 물리적 산업기밀유출에 대한 대응책을 수립합니다.

 

사이버 보안

사이버 공격은 날로 지능화, 대량화 되고 있으며, 최근에는 명확한 정치적, 경제적 목적을 가진 지능형 지속공격 (APT-Advanced Persistent Threat)에 의한 기업 대상 침해사고가 증가하고 있습니다. 삼정KPMG는 사이버 공격 대응을 위해 검증된 방법론을 기반으로 하여 시스템/ 웹/네트워크/모바일/IoT 영역에 대한 취약점 진단 및 모의해킹 서비스를 제공합니다.

  • 인프라 보안 진단/금융분야 취약점 분석 평가 : 서버 OS, DBMS, WEB/WAS에 대한 보안 설정을 진단하여 서비스에 영향을 미칠 수 있는 보안 취약점을 분석하고 대응 방안을 제공하고 있습니다.
  • Web/Mobile Penetration Testing: 웹 및 모바일 어플리케이션에 대한 모의 침투를 수행하여 실제 발생 가능한 해킹 위협 및 내부 보안 사고를 예방하고 차단하기 위한 대응책을 제공하고 있습니다.
  • Red Team + Advanced Penetration Testing: 단순 Web/Mobile/인프라에 대한 점검 뿐만 아니라 서비스 취약점 및 연계 서비스의 취약점을 발견하여 시스템 장악 및 내부 침투, 내부정보 유출, 서비스 장애 유발 취약점에 대한 무제한적인 모의 침투 테스트를 수행합니다.

Connect with us