사이버보안 거버넌스

ISO 27001은 정보 보안 관리 시스템 (ISMS) 모범 사례를 설명하는 국제 표준이에요.

ISO 27001 공인 인증을 획득한다는 것은 우리 조직이 정보 보안 모범 사례를 따르고 있다는 것을 증명하고 정보 보안이 국제 모범 사례 및 비즈니스 목표에 따라 관리되고 있다는 독립적인 전문가 검증을 제공해요.

Siemens의 사이버 보안 거버넌스는 2017년 11월부터 ISO 27001 인증을 받았어요.

우리는 2023년 11월부터 새 표준인 ISO 27001:2022에 따라 인증을 받았어요.

• 인증서 다운로드
• 시스템 인증서에 대해 더 알아보기

우리는 Siemens를 보호하는 견고한 아키텍처를 통해 탄력적인 데이터 기반 사이버 보안을 가능하게 하는 데 열정을 쏟고 있어요.

이를 위해 우리는 프로젝트에 사이버 보안 전략을 구현하고 새로 만든 엔터프라이즈 아키텍처 서비스를 사용하여 전략적 목표를 대상 아키텍처에 매핑하여 모든 사이버 보안의 구현 노력을 안내하고 있어요.

프로젝트의 주요 목표는 자동화 및 효율성 조치를 통한 자원 활용 간소화, Siemens 전반의 사이버 보안 위험에 대한 가시성과 투명성 강화, 사후 대응적이고 사전 예방적인 위험 완화 강화를 위한 데이터 기반 의사 결정 활용이에요.

저희 프로젝트 셋업은 다섯 개의 작업 흐름으로 구성되어 있어요.

• 컨셉과 프로세스:

  우리의 목표는 Siemens Cybersecurity의 아키텍처 프로세스를 설명하고 유지하여 우리의 전략 및 포트폴리오와 통합되도록 하는 거예요.그리고 기능, 응용 프로그램, 입력, 출력, 종속성을 포함한 데이터 기반 사이버 보안 아키텍처의 구성 요소를 설명하기 위해서요.

• 거버넌스:

  우리는 사이버 보안 데이터를 결합하여 자동 사이버 보안 위험 식별 및 평가를 가능하게 하고, 위험 완화를 위한 의사 결정을 강화하고, 정책 준수를 강화하는 방법을 정의하는 것을 목표로 해요.

• 상황 인식:

  우리의 목표는 최전선에 서서 EA 프로젝트의 목소리가 되어 사용자의 기대를 모으고 종합적인 위험 상황을 제공하여 최종 사용자의 일상 업무를 향상시키는 거예요.

• 보안 인텔리전스:

  우리는 의사 결정을 강화하여 Siemens 사이버 보안 위험을 자동으로 식별하고 완화하는 AI 지원 및 데이터 기반 의사 결정 지점을 구현하는 것을 목표로 해요.

• 데이터:

  워크스트림 데이터는 데이터의 투명성을 확립하고, 데이터 중복을 방지하고, 팀에 데이터 전략을 위한 지침을 제공함으로써 Cybersecurity가 데이터 기반 접근 방식을 채택하도록 도와줘요.

사이버보안 정책 프레임워크가 Siemens하고 그 계열사에 적용돼요.특히 특정 정책, 표준, 기준에 명시된 사이버 보안 요구 사항이 포함되어 있어요.

모든 정책은 ISO 2700x나 IEC 62443 같은 관련 업계 표준을 기반으로 해요.다른 중요한 표준을 준수하기 위해 해당 표준에 대한 참조도 관리돼요.관련 표준 목록에는 예를 들어 NIST 800-53, EBA의 ICT 및 보안 위험 관리 지침 등이 포함돼요.

Siemens 제품, 솔루션, 서비스에는 상당한 양의 소프트웨어와 IT 관련 구성 요소가 포함되어 있는데, 이러한 구성 요소는 많은 경우 중요 인프라의 맥락에서 사용되며 사이버 위협에 더 많이 노출될 수 있어요.규제 및 고객별 보안 요구 사항이 증가하고 있어 Siemens에서 해결해야 해요.

경쟁력과 신뢰성을 유지하기 위해 지멘스 전반의 PSS Initiative는 우리가 판매하는 제품, 솔루션, 서비스를 통해 고객이 안전한 환경에서 시설을 운영할 수 있도록 하기 위해 설립됐어요.

이를 위해 PSS에 대한 구속력 있는 요구 사항과 구현 권장 사항이 마련되어 있어요.지속적인 개선과 지속적인 학습은 성공적인 실현을 위한 기본 전제 조건이에요.

사이버 보안의 기본 측면에 대해 모든 직원이 공통으로 인식하고 이해하도록 하고 사이버 보안 관련 역할을 위한 전용 교육을 제공하는 것이 매우 중요해요.기술과 보안 측면에서 Siemens의 최첨단 제품, 솔루션, 서비스에 대한 고객의 기대에 부응하고 회사의 사이버 보안에 대한 인식을 지속적으로 높이고 직원들이 전체 가치 사슬의 모든 활동, 단계, 프로세스에서 사이버 보안을 고려할 수 있도록 함으로써 그러한 품질을 제공할 수 있도록 하기 위해 몇 가지 활동을 만들었어요.예를 들자면:

• 모든 직원에게 일반적이고 중요한 사이버 보안 주제에 관한 정보를 제공하는 것을 목표로 하는 필수 글로벌 인식 캠페인이에요.이 교육 세션은 웹 기반이고 배리어프리, 다국어로 진행돼요.또한, 역할별 그룹의 경우 “운전 면허증” 교육이 있어요.이 교육은 필수이고 역할별 그룹이 모든 Siemens IT/OT 보안 지침을 적용할 수 있게 해줘요.성공적으로 마치면 참가자들은 2년 동안 유효한 수료증을 받게 돼요.
• 우리는 또한 모든 Siemens 직원을 위해 지속적으로 업데이트되는 여러 교육 과정과 학습 기회를 제공해요.자발적으로 액세스할 수 있어요.이 교육은 기본 지식뿐만 아니라 제품 및 솔루션 보안 같은 특정 및 전문 영역을 위한 것이에요.
• 우리는 지속적인 학습이 성공의 열쇠라고 믿기 때문에 직원을 교육하고 업데이트하는 새로운 방법을 지속적으로 모색하고 있어요.

항상 개요를 유지하세요. 이를 위해 Siemens에서 사이버 보안 데이터와 프로세스를 총체적으로 볼 수 있는 'CyberMart'라는 내부 사이버 보안 플랫폼을 제공해요.

정보를 제공하고 목표에 맞는 비즈니스 결정을 내릴 수 있게 해줘요

• 사이버 보안 관련 정보를 처리하는 보안 애플리케이션을 위한 플랫폼,
• 사이버 보안 관련 데이터를 위한 보안 데이터 풀뿐만 아니라
• 보안 프로세스 (예: 자산 보호, 예외 처리) 에 대한 성숙도 및 상태 보고.

이 플랫폼의 일부는 사이버 보안 대시보드예요. 사이버 보안 운영 현황과 전략적 데이터 포인트 개요.이 정보는 내부 경영진이 Siemens 경영위원회와 Siemens 감독위원회에 정기적으로 보고하는 기초예요.

지멘스 기업 위험 관리 (ERM) 의 일부인 사이버 보안 위험 관리의 주요 목표는 지멘스가 사이버 보안 위험에 대한 투명성을 확보하고 이를 수용 가능한 수준으로 적절하게 관리할 수 있도록 하는 거예요.
Siemens Cybersecurity 위험 관리 프레임워크는 국제 표준 (ISO/IEC 27005, ISF IRAM2) 을 기반으로 하며, 운영부터 기업까지 모든 수준을 고려하고 확립된 ERM 프로세스와 역할을 사용해요.
ERM 수준까지 보고되고 관리되는 사이버 보안 위험은 다음 프로세스에서 식별되고 각 도구 내에서 관리돼요.

• 전체 사이버보안 위험 관리 프로세스
• IT, 문서 및 정보 자산에 대한 자산 분류 및 보호 프로세스
• 제품, 솔루션, 서비스에 대한 위협 및 위험 분석
• Siemens 사이버 보안 프레임워크와의 일시적 편차에 대한 예외 처리 프로세스
• 사이버보안 공급업체 위험 관리

사이버보안 공급업체 위험 관리:

사이버 보안 위험은 전체 공급망에서 관리해야 해요.Siemens는 수평 및 수직 구성 요소, 제품 및 서비스 조달을 위한 IT, OT, PSS를 포함하여 이 주제를 총체적으로 고려해요.이런 이유로 공급망의 사이버 보안 수준을 개선하기 위한 주요 활동은 다음과 같습니다.

• 공급망의 사이버 보안 위험 노출에 관한 투명성
• 공급업체에 대한 계약상 사이버 보안 요구 사항에 대한 제3자 공급업체 평가 방법론, 각각의 도구 및 템플릿으로 뒷받침되는 체계적인 위험 관리 관행
• 다양한 전문가 커뮤니티뿐만 아니라 두 번째 원칙인 “디지털 공급망 전반의 책임”을 주도하는 신뢰 헌장에 적극적으로 참여해요.
• 다양한 대상 그룹과 사용 사례를 위한 정기 교육 및 인식 캠페인

정보 보안 사고란 뭐예요?

정보 보안 사고란 다음과 같이 정의돼요. 분류 (ISO27001 및 NIST 800-61 rev2 기준) 에 따른 정보의 기밀성, 무결성 및/또는 가용성이 직간접적으로 침해되는 사건이에요. 사고 예에는 다음이 포함되지만 이에 국한되지는 않아요.

1. 시스템이나 데이터에 무단으로 접근하려는 시도 성공
2. 서비스 중단 또는 거부
3. 데이터 처리 또는 저장을 위한 시스템 무단 사용
4. 소유자 모르게, 지시, 동의 없이 시스템 하드웨어, 펌웨어 또는 소프트웨어 특성을 변경함

사고 대응

사이버 보안 사고에 대한 심층 분석을 수행해요.이를 위해 우리는 기업 담당자, 내부 및 외부 사고 보고자 및 이해 관계자와 협력하여 대응 활동을 조정하고 적절한 억제 및 개선 작업 시작을 보장해요.게다가 심각하고 복잡한 사고의 조직 및 커뮤니케이션 측면을 지원하는 사고 프로젝트 관리자를 제공해요.

사고 처리 프로세스

• 감지해

  정보의 기밀성, 무결성 및/또는 가용성의 침해.

• 응답하세요

  공격을 분석하고 대응 조치를 시작하세요.

• 고쳐주세요

  내용: 악성 활동 제한, 완화: 추가 피해 방지, 복구: 수정 및 재발 방지

• 복구하세요

  영향을 받은 시스템의 무결성을 저하되지 않은 작동 상태로 복원해요.

보안 위협은 업계가 조치를 취하도록 강요해요.

전체 가치 사슬을 조작할 수 있는 사이버 범죄자들의 공격은 종종 생산 중단뿐만 아니라 이미지에 상당한 손상을 초래해요.가능한 최선의 방법으로 운영 기술 (OT) 을 보호하려면 자산의 위험 노출에 대한 투명성이 필요해요.이렇게 하면 사이버 보안 위협이 심각한 피해를 입히기 전에 식별하고 제거할 수 있어요. 우리는 당신의 제조 공정에 더 많은 사이버 보안을 제공해요.우리의 총체적 접근 방식은 절차상의 보안 격차와 기술적 취약성을 악용자가 악용하기 전에 식별하도록 설계됐어요.

추가 정보

AI는 지멘스의 사이버 보안 노력에서 중요한 역할을 해요.네트워크와 시스템 내에서 이상을 탐지하여 보안 위협을 동적으로 식별하고 대응해요.보안 침해에 대한 즉각적인 조치는 잠재적 피해를 줄이는 데 도움이 돼요.

게다가 AI는 일상적인 작업을 자동화하여 사이버 보안 절차의 효율성을 높여줘요.이 자동화를 통해 보안팀이 더 복잡하고 시급한 문제에 집중할 수 있어요.또한 AI는 사용자 행동 분석을 기반으로 맞춤형 보안 프로토콜을 제정하여 Siemens 내 각 부서에 대한 정밀한 보안 전략을 장려해요.

장점에도 불구하고 AI가 사이버 공격자의 도구가 되어 악의적 행위의 복잡성을 강화할 수도 있다는 점에 유의해야 해요.이러한 공격자들은 AI를 활용하여 공격을 자동화하거나, 기존 보안 시스템을 회피하거나, 탐지를 피하기 위해 인간 행동을 시뮬레이션할 수도 있어요.

그래도 Siemens는 이 복잡한 시나리오에 잘 대비하고 있어요.우리는 AI의 안전하고 책임 있는 적용을 보장하기 위해 엄격한 보안 프로토콜을 구축했어요.우리의 미래 지향적 접근 방식은 시스템의 무결성을 유지하고 잠재적 위험으로부터 우리를 보호하는 데 도움이 돼요. 따라서 사이버 보안 운영에서 AI의 이점을 활용할 수 있어요.

Siemens가 AI로부터 얻는 이점이 위험보다 결정적으로 더 커요.세심한 구현과 지속적인 감시를 통해 이러한 위험을 최소화하고 AI의 이점을 확대해요.결과적으로 AI는 보안 위협을 차단하는 우리의 능력을 크게 향상시키는 귀중한 도구로 떠오르고 있어요.