Nozomi Networks 트러스트 센터

회사는 광범위한 주제를 다루는 포괄적인 보안 정책을 개발했습니다. 이러한 정책은 Nozomi Networks 정보 자산에 액세스할 수 있는 모든 직원 및 계약업체와 공유되고 제공됩니다.

Nozomi Networks 인력 보안의 핵심 요소 중 하나는 보안 인식 교육 프로그램입니다. 모든 직원은 채용 시와 그 이후에도 매년 이 교육에 의무적으로 참석해야 합니다. 또한 보안팀은 다양한 채널을 통해 정기적으로 보안 인식 업데이트를 제공합니다.

직원 신원조회는 Nozomi Networks 인사 보안 관행의 또 다른 중요한 측면입니다. 회사는 현지 법률에 따라 모든 신입 직원에 대해 신원 조회를 실시합니다. 이러한 신원 조회는 계약자에게도 요구되며 범죄, 교육 및 고용 확인을 포함합니다.

모든 신규 채용자는 민감한 정보를 보호하기 위해 기밀 유지 및 기밀 유지 계약서에 서명해야 합니다.

Nozomi Networks 정보 자산에 대한 적절한 액세스(및 해지)를 보장하기 위해 엄격한 온보딩 및 오프보딩 요건을 갖추고 있습니다.

Nozomi Networks 시스템에 연결된 엔드포인트, 특히 민감한 정보에 액세스할 수 있는 엔드포인트에는 엄격한 제어가 적용됩니다. 이는 전체 IT 보안 프레임워크의 필수적인 부분입니다.

지속적인 모니터링은 모든 데이터베이스 액세스를 기록하고 중앙 집중식 시스템으로 로그를 전송합니다. 관리 액세스, 권한 있는 명령의 사용 및 기타 액세스 활동이 기록 및 보관됩니다. 로그 정보는 변조 및 무단 액세스로부터 보호됩니다.

일련의 보호 도구를 배포하여 멀웨어, 악성 코드, 안전하지 않은 애플리케이션으로부터 서버와 노트북 및 데스크톱과 같은 엔드포인트 디바이스를 보호하고 모니터링합니다.

민감한 정보가 포함된 사무실, 컴퓨터실 및 작업 공간에 대한 접근은 승인된 직원만 물리적으로 제한됩니다. 직원들은 출입 카드를 사용하여 사무실에 출입하고 방문자 로그를 관리합니다. 건물을 모니터링하기 위해 감시 카메라와 보안 조치가 마련되어 있습니다. 물리적 보안 감사를 실시합니다.

기술 사용 허용 정책은Networks 기술 자원을 활용하는 데 필요한 지침을 제시합니다. 본 정책은 회사 자산의 손실, 유출 또는 피해를 방지하기 위한 책임감 있고 성실한 행동을 강조합니다. 본 정책은 데이터 관리, 이메일 사용, 컴퓨터, 소프트웨어 설치, 휴대폰, 인터넷 접속, 공용 Wi-Fi, VPN, 통신 서비스, 피싱/사기 이메일, 드롭박스, 이동식 저장매체, 계정 및 비밀 정보, 비밀번호, 클라우드 서비스, 세대별 AI 모델 등 다양한 측면을 다룹니다. 정책 미준수 시 고용 해고를 포함한 징계 조치가 취해질 수 있습니다.

접근 통제 정책은 Nozomi자산 및 정보 처리 시설의 보안을 보장하기 위한 인증, 권한 부여 및 계정 관리(AAA) 요구사항을 규정합니다. 최소 권한 원칙과 필요 시 알 권리 원칙에 따라 접근 권한을 승인된 인원으로만 제한하도록 의무화합니다. 본 정책은 사용자 접근 관리, 시스템 및 애플리케이션 접근 통제, 네트워크 및 호스팅 서비스 접근을 포괄합니다. 또한 감사 통제, 사용자 등록 및 해지, 특권 접근 권한 관리, 접근 권한 정기 검토에 관한 규정을 포함합니다. 본 정책은 Nozomi 모든 Nozomi , 계약자 및 Nozomi자원과 네트워크에 접근 권한이 있는 모든 개인에게 적용됩니다.

Nozomi Networks 내 인공지능(AI) 및 머신러닝(ML) 기술의 개발, 구현, 사용 및 모니터링에 대한 지침을 제시하는 AI 정책 문서입니다. 본 정책은 책임감 있고 윤리적인 AI/ML 시스템 개발을 강조하며, EU AI 법과 같은 규제 기준 준수를 보장합니다. 본 정책은Networks소프트웨어 및 서비스에 내장된 모든 AI/ML 시스템과 조직 내에서 사용되는 제3자 AI 도구를 포함합니다. 핵심 원칙으로는 공정성, 투명성, 데이터 프라이버시 및 보안이 포함됩니다. 본 정책은 모든 직원, 계약자 및 제3자 공급업체에 적용되며, 법적·규제적 요건을 준수하면서 혁신을 가능하게 하는 것을 목표로 합니다.

비즈니스 연속성 정책은 Nozomi Networks비즈니스 연속성 계획(BCP)을 위한 프레임워크와 요구사항을 규정하며, 재해나 중단 상황에서도 인원의 안전을 유지하면서 제품, 운영 및 서비스의 일관된 가용성과 제공을 보장합니다. 본 정책은 경영진의 의지, 역할 및 책임, 위험 평가, 커뮤니케이션 계획, 지속성 및 복구 목표, 재해 복구 계획, 기능별 비즈니스 연속성 계획, 훈련 및 테스트, 성과 평가, 지속적인 개선, 법적 및 계약상 의무 준수를 강조합니다.

변경 관리 정책은Networks정보 자산(물리적 및 가상 네트워크 장치, 소프트웨어 제품, 내부 정보 시스템, 고객 배포 애플리케이션 포함)에 대한 변경 관리를 위한 책임과 절차를 규정합니다. 잠재적 위험을 평가하고 관련 이해관계자에게 세부 사항을 전달하면서 변경 사항을 식별, 추적, 계획, 테스트 및 승인하는 것의 중요성을 강조합니다. 본 정책은 또한 실패한 변경을 중단하고 복구하기 위한 대체 절차를 포함하며, 보안과 관련된 모든 예외 사항은 해당 관리자의 검토 및 승인을 받도록 규정합니다. 본 정책은 해당 자산의 개발, 관리 및 지원에 관여하는 모든 직원 및 계약자에게 적용됩니다.

데이터 처리 정책은Networks 데이터를 관리하고 보호하기 위한 지침을 명시합니다. 이Networks 데이터 분류, 폐기 및 보존을 다루며, 물리적으로 저장되든 가상으로 저장되든 모든 데이터가 안전하게 처리되도록 보장합니다. 본 정책은 민감한 데이터에 대한 암호화, 정기적인 감사, 적절한 라벨링을 의무화합니다. 또한 다양한 유형의 데이터에 대한 보존 기간과 기록 및 저장 매체의 안전한 폐기 방법을 명시합니다. 본 정책은 Nozomi Networks 모든Networks 및 계약업체에 적용되며, 무단 접근이나 유출을 방지하기 위한 데이터 보호의 중요성을 강조합니다.

암호화 정책은Networks 민감한 정보를 보호하기 위한 암호화 제어 및 키 관리 관행을 규정합니다. 이 정책은 NIST SP 800-131a와 같은 국제 표준 및 기밀성을 위한 AES, 무결성을 위한 SHA-256과 같은 승인된 알고리즘을 기반으로 저장 중인 데이터와 전송 중인 데이터에 대해 최신 암호화 솔루션의 사용을 의무화합니다. 본 정책은 고객 데이터, 개인 식별 정보(PII), 비밀번호, 지적 재산권, 규정 준수 기록 등 다양한 유형의 정보를 포괄합니다. 또한 암호화 메커니즘은 규제 및 법적 요건을 충족해야 하며 IT 부서 또는 최고기술책임자(CTO)의 승인을 받아야 함을 명시합니다.

Networks 인적 자원 보안 정책은 직원 및 계약직의 채용, 교육, 해고 관리를 위한 절차와 지침을 규정합니다. 여기에는 전 직원 대상의 신원 조회, 계약서 체결, 의무적 정보 보안 교육이 포함됩니다. 본 정책은 또한 교육의 적시 이수 보장 및 규정 미준수 시 접근 제한 시행과 관련하여 직원, 관리자, 규정 준수 담당자, IT 부서의 책임을 상세히 명시합니다. 또한 해고 절차에 대해 다루며, 여기에는 회사 정보 및 시설에 대한 접근 권한의 즉시 차단과 회사 재산 반환이 포함됩니다. 본 정책은 기밀로 분류됩니다.

정보 보안 정책은 Nozomi Networks산업 제어 시스템을 위한 사이버 보안 및 가시성 솔루션을 최고 수준의 보안성, 무결성 및 가용성을 바탕으로 개발, 제공 및 운영하겠다는 약속을 명시합니다. 본 정책은 기업 정보, 개인정보 및 고객 데이터를 분실, 무단 접근 및 유출로부터 보호하는 것을 목표로 합니다. 이를 달성하기 위해 Nozomi Networks ISO 27001:2022 표준에 따라 정보 보안 관리 시스템(ISMS)을Networks . ISMS는 비즈니스 기능과 관련된 적용 가능한 정책, 프로세스 및 측정 가능한 통제 수단을 포함하며, 고객 요구사항, 계약적 합의 및 이해관계자의 요구사항을 반영합니다. 본 정책은 리더십의 헌신, 정기적인 위험 평가 및 지속적인 개선을 강조하여 이해관계자의 신뢰를 유지하고 비즈니스 목표를 지원합니다.

사무실 관리 절차 문서는Networks 컴퓨터실 방문객 출입, 출입증 발급 및 접근 통제에 관한 요건을 명시합니다. 모든 방문객은 도착 시 사무실 관리자에게 보고해야 하며, 방문 내역은 방문자 기록부에 기재됩니다. 사무실 관리자는 사무실 출입 관리 및 직원·다일 방문객 대상 출입증 발급을 담당합니다. IT 관리자는 컴퓨터실 물리적 출입을 통제하여 승인된 인원만 출입할 수 있도록 합니다. 본 문서에는 사무실 보안 – 출입증 발급 절차에 대한 참조 사항도 포함되어 있으며, 안전한 출입 통제 시스템 유지의 중요성을 강조합니다.

운영 보안 정책은Networks정보 자산 보안, 가용성 및 무결성을 보장하기 위한 조치를 규정합니다. 이 정책은 중요 시스템 통제, 시스템 환경 통제, 모니터링 및 로깅, 백업 및 복구, 취약점 관리, 보안 구성을 포함합니다. 본 정책은 시스템 운영에 관여하는 모든 인원이 변경, 소프트웨어 설치 및 패치 적용에 대해 문서화된 절차를 준수할 것을 의무화합니다. 또한 운영 환경 분리, 로깅 및 모니터링 기능 활성화, 정기적 백업, 취약점 평가, 강력한 접근 통제 및 네트워크 보안 조치 구현의 중요성을 강조합니다. 본 정책은 모든 직원 및 계약업체에 적용됩니다.

물리적 보안 정책은 Nozomi Networks ( Nozomi )의 모든Networks 및 정보 처리 센터의 물리적 보안을 보장합니다. 이 정책은 지정된 제한 구역, 물리적 접근 기록, 접근 통제, 장비 통제, 방문자 통제, 클리어 데스크 정책 및 사고 관리를 포함합니다. 본 정책은 접근 통제가 구현 및 유지되고, 접근 기록이 보관되며, 장비가 보호되고, 방문자가 동행되며, 사고가 신속히 조사 및 해결되도록 규정합니다. 본 정책은 Nozomi Networks 모든Networks 및 계약업체에 적용됩니다.

개인정보 처리방침은Networks개인정보 보호 및 관련 개인정보 보호법 준수 의지를 명시합니다. 본 방침은 개인정보의 수집, 이용 및 보호를 다루며, 데이터 품질, 목적 명시, 이용 제한, 보안 조치, 공개성, 개인 참여 및 책임성 등의 원칙을 강조합니다. 본 정책은 또한 정보 제공, 접근, 정정, 삭제, 처리 제한, 데이터 이동성, 이의 제기 권리 및 자동화된 의사 결정과 프로파일링 관련 권리를 포함한 개인의 권리를 상세히 설명합니다. 전반적으로 본 정책은 국제적으로 인정된 데이터 보호 및 개인정보 보호 기준을 준수함으로써 투명성을 유지하고 이해관계자와의 신뢰를 구축하는 것을 목표로 합니다.

Networks 품질 정책은 운영 기술(OT) 및 산업 제어 시스템(ICS)을 사이버 위협으로부터 보호하는 첨단 솔루션을 제공하는 글로벌 선도 기업으로 자리매김하는 것을Networks . 이를 달성하기 위해 Nozomi Networks ISO 9001:2015 표준에 부합하는 품질 경영 시스템(QMS)을Networks . 이 시스템은 회사의 규모와 사업 영역에 관계없이 고객 및 이해관계자의 요구사항을 충족하도록 프로세스를 관리합니다. 모든 직원과 계약업체는 QMS 및 관련 법규를 준수할 책임이 있습니다. 회사는 목표 설정, 결과 검증, 필요 시 시정 조치 적용을 통해 지속적인 개선을 위해 노력합니다.

보안 사고 관리 정책은Networks 정보 보안 사고를 처리하는 절차를 규정합니다. 본 정책은 모든 직원, 계약자, 시스템, 제품, 서비스 및 회사가 관리하는 모든 정보에 적용됩니다. 본 정책은 기밀 정보 보호, 사이버 위협 보고, 사고 차단 노력 참여에 대한 직원 및 계약자의 책임을 강조합니다. 사고 관리는 탐지, 차단, 조사, 근절, 복구 및 교훈 도출을 포함합니다. 사고 대응은 NIST 800-61 표준을 준수하는 문서화된 절차와 보고 방법을 따릅니다. 전 과정에 걸쳐 기밀성이 유지되며, 특정 정보의 제3자 공개 권한은 고위 경영진에게 부여됩니다.

시스템 개발, 획득 및 유지보수 정책은Networks 시스템, 소프트웨어 및 애플리케이션 서비스를 개발, 획득 및 유지보수하기 위한 절차와 기준을 규정합니다. 이 정책은 신규 제품, 서비스 또는 시스템의 기획, 개발 및 배포 단계 전반에 걸쳐 정보 보안 요구사항을 포함하는 것을 강조합니다. 본 정책은 ITIL, DevOps, 애자일(Agile) 등 업계 표준에 부합하는 공식적인 개발 방법론을 의무화하며, 요구사항 수집, 시스템 설계, 구현, 테스트, 배포, 운영 및 유지보수 등의 단계를 포함합니다. 또한 IT 애플리케이션의 수명 종료 프로세스와 시스템 조달 기준을 다루어 보안 및 규정·업계 표준 준수를 보장합니다.

재택근무 정책은 Nozomi Networks 지정Networks 이외의 장소에서 근무하는 직원 및 계약직을 위한 지침을 규정합니다. 이 정책은 자격 기준, 재택근무 유형, 준비도 평가, 재택근무 가이드라인, 장비 제공, 보안 조치 및 근로자 재해 보상 보험을 포함합니다. 본 정책은 안전하고 방해받지 않는 업무 환경 유지, 회사 자산 및 정보 보호, 특정 보안 프로토콜 준수의 중요성을 강조합니다. 또한 재택근무 직원이 업무 관련 부상에 대해 근로자 재해 보상 보험의 적용을 받는다고 명시합니다.

먼저 위험을 파악하고 그 위험이 Nozomi Networks 서비스 및 회사와 어떤 관련이 있는지 이해하는 것부터 시작합니다.

그런 다음 위험을 평가하거나 순위를 매겨 전체 조직에 대한 잠재적 노출에 대한 전체적인 관점을 확보합니다.

평가 결과에 따라 적절한 위험 처리 프로세스에 따라 위험을 처리합니다.

마지막으로, 모든 위험 요소를 면밀히 주시하기 위해 지속적으로 위험을 모니터링하고 검토합니다.