하이트러스트, 보안 및 개인정보보호 평가 교환의 신뢰성과 도전에 대한 시장 격차 대응

평가 포트폴리오 확장하고 결과 배포 시스템 도입

2021-10-07 17:25 출처: HITRUST

프리스코, 텍사스--(뉴스와이어)--하이트러스트(HITRUST®)가 다양한 정보보증 요구에 걸쳐 보증 품질과 효율성을 높이기 위해 평가 포트폴리오를 확장한다고 6일 발표했다.

이와 함께 하이트러스트는 신뢰 당사자(relying party) 생태계에서 평가 결과의 교환과 소비를 효율화하기 위해 새로운 혁신적 접근 방식을 도입한다고 밝혔다.

‘하이트러스트 CSF 인증(HITRUST CSF Certification)’은 시장에서 가장 신뢰도 높은 정보보증 보고서로 제어 선택 및 점수의 투명성과 일관성, 자격을 갖춘 제3자 평가자와 하이트러스트 보증/품질팀의 제어 검증이 뒷받침한다. 보증 프로세스는 제공된 결과를 높은 수준으로 보증할 수 있도록 엄격하게 설계됐다. 하지만 중간 또는 낮은 수준의 보증이 필요한 상황도 적지 않다. 기업은 보증 과정에 노력과 시간이 덜 소요되면서도 중간~낮은 수준의 위험 시나리오에 대해 상응하는 수준의 신뢰성을 제공하는 광범위한 평가 옵션을 찾고 있다.

하이트러스트는 더 높은 신뢰성으로 다양한 수준의 보증 방법을 모색하는 시장의 요구에 부응하기 위해 2개의 평가 솔루션을 추가한다. 새 솔루션은 ‘하이트러스트 CSF 검증 평가’와 마찬가지로 제어 효율성은 물론 사이버 대비 및 회복력을 이해하는 데 도움을 준다.

추가된 솔루션을 포함한 하이트러스트의 평가 포트폴리오는 다음과 같다.

· 기본 현황 평가(Basic Current State(bC) Assessment)는 ‘보안 우수성’ 평가로 ‘하이트러스트 보증 정보 엔진(HITRUST Assurance Intelligence Engine™, 약칭 AI Engine)’을 사용해 오류, 누락, 부정행위를 식별한다. 자체 평가 및 설문지보다 신뢰성이 높다.

· ‘구현 1년 검증 평가(Implemented One-Year (약칭 i1) Validated Assessment)’는 모범 사례 평가로 중등도의 위험이 있거나 기준점 대비 위험 평가가 필요한 경우 권장된다. i1은 기존의 중간 보증 보고서와 비교해 비슷한 시간, 노력, 비용으로 더 높은 수준의 투명성, 무결성, 신뢰성을 제공할 수 있도록 설계됐다. 하이트러스트 공인 외부 평가자(HITRUST Authorized External Assessors)가 i1 평가를 검증한다.

· 업계 표준형 ‘하이트러스트 CSF 검증 평가’는 위험 기반의 맞춤형 평가로 데이터양, 규제 준수 또는 기타 위험 요소로 인해 위험 노출이 더 큰 상황에 대해 최고 수준의 보증을 지속해서 제공한다. ‘하이트러스트 CSF 검증 평가’는 ‘위험기반 2년 검증 평가(Risk-based, Two-Year (r2) Validated Assessment)’로 명칭이 변경된다.

지금까지 최저~중간 정도의 위험 평가 메커니즘은 자체 테스트 또는 제어 선택이 부적절하거나 일관적이지 않고 제한적, 주관적인 보증 프로그램을 통해 이뤄졌다. 이로 인해 신뢰 당사자가 제어 요구 및 보증 절차의 깊이, 폭, 일관성을 이해하기 어려워 결과의 사용성과 신뢰성이 떨어졌다.

존 휴스턴(John Houston) UPMC 정보보안/개인정보보호 담당 부사장은 “기업은 SOC2 보고서와 같은 중간 수준의 보증 보고서를 활용하는 경우가 많다”며 “시간과 노력이 덜 들고 비용도 적게 들기 때문”이라고 말했다. 그는 “불행히도 중간 수준의 보증 보고서는 하이트러스트와 같은 종합 평가가 제공하는 일관성과 신뢰성이 부족하다”며 “하이트러스트 i1 평가는 SOC2 보고서와 비슷한 수준의 노력과 비용으로 더 높은 수준의 신뢰성과 일관성을 제공하는 중간 수준의 보증평가에 대한 격차를 메운다”고 평했다. 이어 “또한 UPMC와 같은 기업이 절대기준으로 생각하는 하이트러스트 CSF 인증을 향해가는 데 도움이 될 수 있다”고 말했다.

보증에서 신뢰성은 대단히 중요하지만 진화하는 사이버 위협을 고려하면 조직의 위험 관리에서 공급망 위험 접근성, 유용성, 활용도 중요하다. 신뢰 당사자가 평가 결과를 수신해 활용하는 현재의 방식은 PDF 파일 교환에 기반하고 있어 종종 지연과 비효율, 잘못된 해석을 초래한다. 범위, 점수, 시정 조치 계획을 결정하기 위해 주요 정보가 제3자 위험관리(TPRM) 시스템에 수동으로 입력되기 전에 PDF 파일을 검토하게 되기 때문이다.

공급망 전반에 걸쳐 정보 위험의 효과적 관리에 대한 수요가 늘고 있다. 하이트러스트는 이에 부응하기 위해 ‘하이트러스트 결과 배포 시스템(HITRUST Results Distribution System, RDS)’을 통해 평가 기업이 하이트러스트 평가 결과를 안전하고 중앙화된 보고 허브로 신뢰 당사자에게 전달할 수 있도록 할 예정이다. 이로써 PDF를 교환해 수동 검토하고, 이후 제3자 시스템에 접속할 필요를 덜 수 있다. 수신인은 대시보드를 맞춤 설정해 범위, 집계 또는 특정 제어 점수를 포함해 가장 관심 있는 결과를 볼 수 있다. 또한 API를 통한 GRC/VRM 플랫폼과의 통합도 제공될 예정이다.

제레미 피셔(Jeremy Fisher) 아처(Archer) 제품 부사장은 “제3자 위험 관리 시스템이 기업의 벤더 위험 관리를 지원하는 데 잠재력을 최대한 발휘하려면 평가 결과를 전자 방식으로 공유하고 소비할 수 있어야 한다”고 강조했다. 그는 “하이트러스트의 결과 배포 시스템은 이를 가능케 하는 일대 진전으로 아처 인게이지(Archer Engage)를 통해 벤더와 상호작용하고자 하는 우리의 노력을 크게 보완할 것”이라고 기대했다.

하이트러스트 평가 포트폴리오 확장과 RDS 추가로 정보 위험 관리, 규제준수, 보증 분야의 혁신 기업이자 선두 주자인 하이트러스트는 입지를 더욱 공고히 할 전망이다. 하이트러스트는 보증 생태계에서 더 높은 수준의 보장과 우수한 효율을 촉진하고 있다. 비말 쉐스(Bimal Sheth) 하이트러스트 표준 개발/보증 운영 담당 전무는 “하이트러스트는 중간~낮은 수준의 정보보증 제품을 도입해 신뢰할 수 있는 보증을 제공하는 시장 리더십을 강화하고 있다”고 밝혔다. 그는 ”하이트러스트 외에 정보 평가와 전자 결과 배포에 대한 세계적 시장 수요 증가에 부응할 수 있는 평가 및 인증 기관은 없다”고 강조했다.

업계 표준형 r2 평가(하이트러스트 CSF 검증 평가)가 제공 중이며 bc 및 i1 평가는 올 연말 제공될 예정이다. 예약 신청한 i1 또는 r2 평가는 45일 이내에 평가 보고서를 제공하는 서비스를 제공한다.

추가 정보:

웨비나 등록 https://bit.ly/3DmTEBI

확대판 평가 포트폴리오 https://bit.ly/2ZTdNRx

결과 배포 시스템 https://bit.ly/3oKRaJH

하이트러스트(HITRUST®) 개요

하이트러스트(HITRUST)는 2007년 설립 이래 모든 산업 및 제3자 공급망 전반에 걸쳐 민감 정보를 보호하고 조직의 정보 위험을 관리하는 프로그램에 앞장서 왔다. 하이트러스트는 민관 부문의 사생활, 정보보안, 위험 관리 분야 선두 주자들과 협력해 널리 채택된 공통 위험 및 규제 준수 관리 프레임워크뿐만 아니라 관련 평가 및 보장 방법론에 대한 광범위한 액세스를 개발, 유지, 제공하고 있다.

상세 정보: www.hitrustalliance.net.

비즈니스와이어(businesswire.com) 원문 보기: https://www.businesswire.com/news/home/20211006005249/en/

[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]

이 뉴스는 기업·기관·단체가 뉴스와이어를 통해 배포한 보도자료입니다. 배포 안내 >
뉴스와이어 제공