보안 위험 고려 사항을 획득 전략 및 연습에 통합

보안 위험 고려 사항을 인수 전략 및 실천에 통합하면 조직에 새롭거나 알려지지 않은 위험이 도입되는 것을 최소화하는 데 도움이됩니다. 종종 조직의 보안은 가장 약한 링크만큼 강하다고합니다. 합병 및 인수의 맥락에서 종종 하나의 조직이 다른 조직보다 안전합니다. 충분한 분석을하기 전에 두 조직을 함께 연결하면 새로운 조직의 보안 기능이 크게 손상 될 수 있습니다.

대신 각 조직의 개별 정책, 요구 사항, 프로세스 및 절차를 평가하여 향후 새로운 조직을위한 최상의 솔루션을 식별해야합니다.

조직에서 고려하는 새로운 하드웨어, 소프트웨어 또는 서비스는 조직의 전반적인 보안 및 위험 태도에 미치는 영향을 결정하기 위해 적절하게 평가되어야하며, 조직 내에서 이미 구현 된 다른 하드웨어, 소프트웨어 또는 서비스에 미치는 영향에 대해 설명합니다. 예를 들어 통합 문제는 시스템의 무결성 및 가용성에 부정적인 영향을 줄 수 있습니다.

제 3 자 평가 및 모니터링

합병이나 인수에서 각 조직이 제공하는 제 3자를 고려하는 것이 중요합니다. 인수 또는 합병 조직은 제 3 자 리스크 프로그램을 면밀히 검토 할 필요가있을뿐 아니라 제 3 자와 관련된 위험 수준이 합병을 고려하여 변경되지 않았 음을 보장하기 위해 제 3 자 자체에 대한 새로운 시각이 필요합니다. 또는 인수.

새로운 제 3 자 평가 또는 모니터링은 신중하게 고려되어야합니다. 모든 중요한 보안 문제와 규제 요구 사항이 여전히 적절하게 다루어 지도록 계약 (개인 정보, 비공개 요구 사항 및 보안 요구 사항 포함) 및 SLA (서비스 수준 계약)를 검토하여 SLA를 검토해야합니다.

최소 보안 요구 사항

최소 보안 요구 사항, 표준 및베이스 라인은 획득 전략 및 실천에서 완전히 이해되고 고려 될 수 있도록 문서화되어야한다.이전에 분리 된 두 조직의 보안 요구 사항을 혼합하면 단순히 하나의 문서로 결합하는 것만 큼 쉽지는 않습니다. 대신, 모두 조정되어야하는 중복, 언더 랩 및 모순의 많은 사례가있을 수 있습니다. 전환 기간이 필요할 수 있으므로 합병 또는 인수 후에 새로운 요구 사항 집합을 충족하도록 보안 구성 및 아키텍처를 조정하는 데 충분한 시간이 필요합니다.

서비스 수준 요구 사항

SLA (Service-Level Agreements)는 시스템, 응용 프로그램, 네트워크 또는 서비스에 대한 최소 성능 표준을 설정합니다. 조직은 최종 사용자에게 정보 시스템 및 서비스 성능에 대한 현실적인 기대치를 제공하기 위해 내부 SLA를 설정합니다. 예를 들어 헬프 데스크 SLA는 인시던트를 1, 2, 3 및 4로 우선 순위를 정하고 각각 10 분, 1 시간, 4 시간 및 24 시간의 SLA 응답 시간을 설정할 수 있습니다. 타사 관계에서 SLA는 아웃소싱 파트너 또는 공급 업체가 충족해야하는 계약 상 성능 요구 사항을 제공합니다. 예를 들어, 인터넷 서비스 공급자가있는 SLA는 허용되는 최대 다운 타임을 설정할 수 있으며, 주어진 기간 내에 초과하면 인보이스 크레딧이 발생하거나 (필요한 경우) 서비스 계약이 취소됩니다.