10대 목록

고객은 기본적으로 안전하고 신뢰할 수 있는 솔루션을 구매 즉시 사용할 수 있기를 원합니다. 클라우드 생산성 서비스의 보안과 신뢰성을 결정하고 각자의 보안 요구에 맞는 클라우드 서비스 공급자를 선택하는 데 도움을 주기 위해서 Microsoft에서는 고객의 결정에 영향을 주는 다음과 같은 주요 보안 정보 보호 및 보안 고려 사항을 파악해 알려 드립니다.

아래의 세 가지 10대 목록을 참조하면 시간도 절약하고 더욱 합리적인 결정을 내릴 수 있습니다.

 

모두 표시

1. 서비스에 저장하는 데이터는 누가 소유하나요? 광고 제품 제작에 사용자의 데이터가 사용되나요?
Office 365 고객이 자신의 데이터를 소유하고 제어합니다. Microsoft는 고객이 구독한 서비스를 제공하는 것 외에 다른 목적으로 데이터를 사용하지 않습니다. 서비스 공급자로서 광고를 목적으로 전자 메일 또는 문서를 검색하지 않습니다. 자세한 내용은 Office 365 보안 센터의 사용자 데이터 사용 방식을 참조하세요.

2. 서비스에 개인 정보 제어 기능이 제공되나요?
개인 정보 제어 기능은 기본적으로 서비스를 이용하는 모든 고객이 사용할 수 있으며, 고객은 자신이 속한 조직의 요구에 따라 개인 정보에 영향을 주는 기능을 해제하거나 설정할 수 있습니다. Microsoft는 계약의 데이터 처리 조항에 있는 강력한 개인 정보 보호 및 보안 조치를 법적으로 이행합니다.

3. 서비스에서 고객의 데이터가 어디에 저장되는지 눈으로 확인할 수 있나요?
Microsoft는 데이터가 저장되는 위치를 투명하게 공개합니다. 자세한 내용은 Office 365 보안 센터의 내 데이터는 어디에 있나요를 참조하세요.

4. 보안에 대한 Microsoft의 방침은 무엇이며, 외부 공격으로부터 서비스를 보호하기 위해 어떤 보안 기능을 제공하나요?
보안은 Office 365의 가장 중요한 디자인 원칙이자 기능 중 하나입니다. Microsoft의 보안에 대한 초점은 하드웨어, 소프트웨어, 데이터 센터의 물리적 보안, 정책 및 제어, 독립 감사자의 확인으로 확장됩니다.

보안 기능과 관련하여 크게 두 가지 유형의 범주가 있습니다. 하나는 기본 제공 보안이고, 다른 하나는 고객 제어입니다. 기본 제공 보안은 고객의 정보를 보호하고 가용성이 높은 서비스를 운영하기 위해 모든 Office 365 고객을 대신하여 Microsoft가 취하는 모든 수단과 조치를 의미합니다. 고객 제어는 조직의 특정 요구 사항에 맞게 Office 365를 사용자 지정할 수 있는 기능입니다. 두 가지 보안 기능 유형에 대한 자세한 내용은 Office 365 보안 센터의 보안 섹션을 참조하세요.

5. 서비스에서 데이터를 가져올 수 있나요?
데이터는 고객이 소유하며 Office 365로 저장한 데이터의 모든 권리, 소유권, 이익은 고객에게 있습니다. 사용자는 구독을 시작한 후 90일 동안 Microsoft의 지원 없이도 언제든지 이유를 불문하고 자신의 모든 데이터의 복사본을 다운로드할 수 있습니다. 자세한 내용은 Office 365 보안 센터의 고객의 데이터를 참조하세요.

6. 서비스가 변경되거나 데이터가 손상되었을 때 이 사실을 고객에게 공지하나요?
보안, 개인 정보, 규정 준수와 관련하여 서비스에 중요한 변경 사항이 생길 경우 이를 고객에게 알려 드립니다. 또한 고객의 데이터에 부적절한 액세스가 발생한 경우에도 즉각적으로 알려 드립니다.

7. 고객의 데이터에 액세스하고 고객의 데이터를 사용하는 방식이 투명하게 관리되나요?
Microsoft는 고객의 데이터가 지리적으로 어디에 위치하는지, Microsoft에서 누가 데이터에 액세스할 수 있는지, 내부에서 해당 정보를 어떻게 사용하는지 등 데이터 저장의 중요한 측면을 공유합니다. 자세한 내용은 Office 365 보안 센터의 고객 데이터에 액세스할 수 있는 대상 섹션을 참조하세요.

고객 데이터로의 액세스에 대한 Microsoft의 입장은 다음과 같습니다.
고객은 언제든지 자신의 데이터에 액세스할 수 있습니다. 고객 데이터에 대한 액세스 권한은 엄격하게 제어 및 기록되며, 이러한 액세스가 적절한 비즈니스 목적으로만 사용되는지 증명하기 위해 Microsoft 및 제3자가 샘플 감사를 수행합니다. Microsoft는 고객의 콘텐츠가 얼마나 중요한지 잘 알고 있습니다. Microsoft 직원, 파트너 또는 전담 관리자가 서비스에 대한 고객의 콘텐츠에 액세스할 경우 요청 시 해당 액세스에 대한 보고서를 제공해 드릴 수 있습니다.

8. 보안 및 개인 정보 보호와 관련하여 Microsoft는 어떤 노력을 하고 있나요?
Microsoft는 Office 365를 대신해 각 고객 데이터 처리 조항, HIPAA 사업 협력 계약, EU 모델 조항에 기꺼이 응하고 있습니다. 또한 ISO 27001, ISO 27018, FISMA, FedRAMP 같은 표준을 준수합니다. 자세한 내용은 Office 365 보안 센터의 지속적인 규정 준수 섹션을 참조하세요.

9. 서비스 신뢰성은 어떻게 보장하나요?
Microsoft는 중복, 복원, 분산 서비스, 모니터링 외에도 수많은 모범 사례를 디자인과 운영에 적용합니다. 최근에는 서비스에 대한 분기별 가동률 수치를 게시하기 시작했습니다. 지난 분기의 가동률 수치는 99.9%가 넘습니다. 자세한 내용은 Office 365 보안 센터의 투명한 운영 섹션을 참조하세요.

10. 서비스를 유지하기 위해 어떤 노력을 하고 있나요?
재정적으로 지원을 받는 서비스 수준 계약을 통해 99.9% 가동률을 보장합니다. 월 가동률이 99.9% 미만인 고객에게는 서비스 신용을 통해 보상해 드립니다.

Microsoft Office 365가 위 질문에 대해 고객에게 어떤 보장을 제공하는지에 대한 보다 자세한 내용과 증거를 확인하려면 Office 365 보안 센터를 방문하세요.

1. Microsoft는 실제 데이터 센터 액세스 권한을 관계자로 제한하며 생체 인식기, 동작 센서, 24시간 보안 액세스, 비디오 카메라 감시, 보안 위반 경보 등 다양한 계층의 시설 보안을 구현했습니다.

2. 보관 중인 데이터와 데이터 센터와 사용자 사이에서 전송되는 네트워크상의 데이터를 암호화합니다.

3. 광고를 목적으로 고객의 데이터를 추출하거나 액세스하지 않습니다.

4. 고객 데이터는 서비스 제공 용도로만 사용되며, 그 밖의 이유로 고객의 허락 없이 사서함을 확인하지 않습니다.

5. 고객의 데이터를 정기적으로 백업합니다.

6. 고객이 충분한 시간을 갖고 제공되는 데이터 이동성을 활용하기 전까지는 서비스 기간이 끝나더라도 고객의 계정에 있는 데이터를 모두 삭제하지 않습니다.

7. 고객 데이터를 지역별로 호스트합니다.

8. 데이터 보안을 강화하기 위해 "강력한" 암호를 사용해야 합니다.

9. 고객이 필요에 따라 개인 정보 보호 기능을 설정하거나 해제할 수 있도록 허용합니다.

10. Microsoft는 볼륨 라이선싱 계약의 데이터 처리 조건을 통해 여기에서 약속한 내용을 법적으로 이행하기 위해 노력합니다. 자세한 내용은 Office 365 보안 센터의 지속적인 규정 준수 섹션을 참조하세요.

1. HIPAA(Health Insurance Portability and Accountability Act): HIPAA는 전자 보호 건강 정보의 처리와 관련하여 Microsoft 고객에 대해 보안 요구 사항을 시행합니다. Microsoft는 고객이 HIPAA 요구 사항을 완벽하게 준수할 수 있도록 Office 365를 개발하여 시설, 관리, 기술 안전장치를 제공하고 있습니다. Microsoft는 모든 고객에게 HIPAA BAA(사업 협력 계약)를 제공합니다. HIPAA BAA에 대한 자세한 내용은 HIPAA/HITECH FAQ(영어로만 제공)를 참조하세요.

2. HITRUST(건강 정보 신탁 연합): Office 365 팀은 독립적인 평가자와 파트너 관계를 맺어 Microsoft의 HITRUST 준수를 평가했습니다. 미국 의료 조직에서 중요한 표준으로 간주되는 HITRUST에는 개인 건강 및 재무 정보를 만들거나, 액세스하거나, 저장하거나, 교환하는 모든 조직에서 사용할 수 있는 인증 가능한 프레임워크인 CSF(공통 보안 프레임워크)가 확립되어 있습니다. HITRUST에는 조직의 보안 관리 프로그램을 평가하는 등급 제도가 있어 조직의 발전 단계를 5가지 완성도 중 하나로 측정할 수 있습니다. 등급은 지속적인 방식으로 정보를 보호하는 조직의 능력을 나타내는 지표입니다. 독립적인 감사자의 평가에 따르면 Microsoft의 전체 보안 프로그램은 가장 높은 등급인 수준 5 등급입니다.

3. 데이터 처리 조항: Microsoft는 고객 데이터에 대한 Microsoft의 취급 및 보호와 관련하여 데이터 처리 조항을 통해 추가적인 계약 보증을 고객에게 제공합니다. Microsoft는 이러한 조항에 합의함으로써 전 세계 규정에서 종합한 40가지의 구체적인 보안 의무를 지키고 있습니다. Microsoft는 고객에게 기본적으로 이러한 데이터 처리 조항의 보안 의무를 철저하게 지킵니다.

4. FISMA(연방 정보 보안 관리법)는 미국 연방 정부 기관이 해당 기관의 정보와 정보 시스템을 보호하기 위한 제어 방식을 개발하고 문서화하고 이행하도록 규정합니다. FedRAMP(연방 위험 인증 관리 프로그램)는 클라우드 제품 및 서비스의 보안을 평가 및 모니터링하는 표준화된 방식을 제공하는 연방 위험 관리 프로그램입니다. FedRAMP/FISMA FAQ(영어로만 제공)에서는 Office 365 서비스가 FedRAMP/FISMA와 관련하여 보안 및 개인 정보 보호 프로세스를 어떻게 준수하는지 설명하고 있습니다.

5. ISO 27001: ISO 27001은 세계에서 가장 우수한 보안 벤치마크 중 하나입니다. Office 365는 ISO 27001:2013에서 정의한 엄격한 물리, 논리, 프로세스, 관리 제어 집합을 충족하는 것으로 입증되었습니다. 또한 ISO 27018 개인 정보 제어도 최신 감사에 포함되었습니다. ISO 평가에 이러한 새 ISO 27018 제어가 포함됨으로써 Office 365는 뛰어난 고객 데이터의 개인 정보 보호 수준을 입증하게 될 것입니다.

6. EU(유럽 연합) 모델 조항: EU 모델 조항을 통해 고객은 EU 개인 정보 보호 및 인권 관련 법률의 핵심 수단인 EU 데이터 보호법에 의거해 개인 데이터를 EU 외부로 합법적으로 전송할 수 있습니다. EU 모델 조항은 클라우드 컴퓨팅 환경에서 EU 외부로 개인 데이터 전송을 합법화하는 기본 방식으로서 인정을 받고 있습니다. EU 모델 조항을 제공하기 위해서는 EU 모델 조항의 요구 사항을 정확히 충족하는 데 필요한 운영 제어 및 절차에 대한 투자 및 개발이 수반되어야 합니다. 클라우드 서비스 공급자가 EU 모델 조항에 자발적으로 동의하지 않는 한, 고객은 EU에서 개인 데이터에 대해 "적절한 보호"를 제공하지 않는 지역으로 고객 데이터를 전송할 때 부과되는 EU 데이터 보호법의 요구 사항을 준수할 수 있는지를 확신하지 못할 수 있습니다. EU 모델 조항 FAQ에는 EU 모델 조항에 대한 Microsoft의 규제 순응 방식이 설명되어 있습니다.

7. ISO 27018: Microsoft는 주요 클라우드 서비스 공급자 중 최초로 ISO 27018 준수를 독립적으로 검증했습니다. ISO 27018에는 클라우드에 저장된 개인 정보의 프라이버시 보호에 대한 단일한 국제적 접근 방식이 확립되어 있습니다. Microsoft는 ISO 27018을 준수하므로 고객 지침에 따라서만 개인 정보를 처리하고, 고객 데이터에 대한 모든 작업을 투명하게 공개하고, 클라우드의 개인 정보를 강력하게 보호하고, 광고를 목적으로 고객 데이터를 사용하지 않고, 정부에서 고객 데이터에 액세스하는 경우 이에 대해 고객에게 알립니다.

8. FERPA(가족교육권 및 프라이버시에 관한 법률): FERPA는 전자 메일과 첨부 파일을 포함해 학생 교육 기록의 사용이나 공개와 관련하여 교육 기관에 대해 요구 사항을 시행하고 있습니다. Microsoft는 전자 메일이나 문서를 광고 목적으로 검색하지 않겠다는 내용을 비롯하여 학생 교육 기록의 사용을 제한하는 FERPA의 사용 및 공개 제한 사항에 동의합니다.

9. SSAE 16(Statement on Standards for Attestation Engagements No. 16): Office 365는 독립적인 제3자의 감사를 거쳤으며, 서비스가 제어 방식을 구현하는 방법에 대해 SSAE16 SOC 1 Type I 및 Type II와 SOC 2 Type II 보고서를 제공할 수 있습니다.

10. GLBA(금융서비스 현대화법): 금융서비스 현대화법에 의거해 금융 기관은 고객의 비공개 개인 정보를 보호하기 위한 적절한 프로세스를 마련해야 합니다. GLBA는 보안 및 데이터 무결성의 예측 가능한 위협으로부터 정보를 보호하기 위한 정책을 시행합니다. 고객은 GLBA에 따라 Office 365를 사용할 수 있고 GLBA 요구 사항을 준수할 수 있습니다.