다음을 통해 공유

DORA란?

  • 아티클

2025년 1월 17일부터 유럽 연합(EU) 금융 법인과 유럽 감독 당국이 '위험'으로 지정된 ICT 타사 서비스 제공업체는 EU 디지털 운영 복원력법 (EU) 2022/2554 - 'DORA'를 준수할 준비가 되어 있어야 합니다. DORA는 금융 기관이 사이버 보안 인시던트를 보고하고, 디지털 운영 복원력을 테스트하고, 금융 서비스 부문 및 EU 회원국 전체에서 ICT 타사 위험을 관리하는 방법을 표준화합니다.

DORA는 ICT 공급자의 역할에 대한 명확한 기대치를 설정하는 것 외에도 유럽 감독 당국(ESA)에 지정된 중요한 ICT 공급자에 대한 직접 감독 권한을 제공합니다. Microsoft는 DORA에 따라 해당 조항을 준수하는 "중요한 ICT 타사 서비스 공급자"로 지정될 준비가 되어 있으며 규제된 금융 기관이 자체 요구 사항을 충족하는 데 도움이 됩니다.

DORA는 기업이 사이버 공격, IT 실패 및 기타 운영 위험을 포함한 광범위한 위협과 중단을 견디고 적응할 수 있도록 함으로써 금융 서비스 산업(FSI)의 "높은 수준의 디지털 운영 복원력"을 달성하기 위한 조화로운 접근 방식을 제공하는 것을 목표로 합니다. DORA는 은행, 보험 기관, 증권 거래소 및 거래 플랫폼을 포함한 광범위한 FSI 법인에 적용됩니다.

핵심 사항

  1. DORA의 목적: DORA는 FSI 엔터티가 사이버 위험을 포함한 운영 위험을 관리하고 완화하기 위한 효과적인 조치를 취하도록 함으로써 FSI 부문의 복원력과 안정성을 향상하고자 합니다. 이는 소비자, 투자자 및 광범위한 FSI 시스템을 부문 내 주요 중단 또는 실패의 잠재적으로 심각한 결과로부터 보호하는 것을 목표로 합니다.
  2. 범위: DORA는 유럽 연합에서 운영되는 FSI 엔터티와 후자의 운영 위치에 관계없이 EU에서 서비스를 제공하는 ICT 타사 공급자에게 적용됩니다. 또한 EBA, EIOPA 또는 ESMA 등 3가지 ESA 중 하나의 일일 감독에 위임된 ESA에 의해 지정된 중요한 타사 공급자(CTP)에도 적용됩니다.
  3. 주요 프로비저닝: DORA에는 주로 세 가지 요구 사항이 포함됩니다.
    1. ICT 위험 관리 영역, 주요 ICT 인시던트 알림 및 위협 주도 침투 테스트와 같은 운영 복원력 테스트를 포함하여 FSI 엔터티에 적용되는 요구 사항입니다.
    2. 지정된 ICT 타사 서비스 공급자와 FSI 엔터티 간에 체결된 계약 계약과 관련된 요구 사항
    3. FSI 엔터티에 서비스를 제공할 때 중요한 ICT CTP(타사 공급자)에 대한 감독 프레임워크의 설정 및 수행에 대한 규칙입니다.
  4. 규정 준수: Microsoft는 CTPP로 적용되는 요구 사항과 Microsoft가 정상 및 중요한 ICT 서비스를 통해 FSI 엔터티에 서비스를 제공하는 것을 충족해야 하는 DORA 요구 사항에 따라 서비스 제공에 적용되는 모든 법률 및 규정을 준수합니다. Microsoft 온라인 서비스 사용하여 중요 또는 중요한 기능을 실행하기 위한 계약상 계약을 체결한 FSI 엔터티는 DORA 및 해당 금융 서비스 규정 요구 사항에 따른 모든 의무를 준수해야 합니다. Microsoft는 FSI 엔터티를 지원하여 규정 준수 의무를 활성화하고 해당 요구 사항을 준수합니다.
  5. 클라우드 서비스 및 공급자: DORA는 기술 중립적으로 설계되었으며 DORA의 요구 사항은 FSI 엔터티뿐만 아니라 ICT 서비스의 타사 공급자에도 적용됩니다.
  6. 계약 약정: DORA는 ICT 타사 서비스 공급자와 FSI 엔터티 간의 특정 계약 요구 사항을 요구합니다. Microsoft는 계약 조항이 DORA의 요구 사항에 적절하게 부합하는지 확인합니다. 또한 Microsoft는 이미 EBA, ESMA 및 EIOPA 지침에 따라 발급된 요구 사항에 부합하며 이러한 지침 자체는 DORA의 요구 사항에 대한 기준 프레임워크 역할을 합니다.
  7. 감독: DORA는 요구 사항으로 간주되는 경우 감사를 포함하여 기술 공급자의 감독으로부터 FSI 엔터티를 완화하지 않습니다. Microsoft는 타사 증명, 성능 데이터, 인시던트 정보, 기술 공급자로서 Microsoft를 평가하는 데 도움이 되는 연간 및 분기별 보고서와 같은 다양한 보증 정보를 고객에게 제공합니다. CPMC(Microsoft 클라우드용 준수 프로그램)는 멤버가 직면할 수 있는 보다 구체적이고 복잡한 시나리오를 해결하는 데 도움이 될 수 있는 프리미엄 지원 서비스입니다. 필요한 경우 Microsoft는 감사를 실행하고 클라우드 서비스의 지속적인 감독 및 모니터링에 대한 투명성과 보증 수준을 제공하는 고객을 지원하는 상당한 경험을 보유하고 있습니다.

DORA는 FSI 부문의 운영 탄력성을 강화하는 것을 목표로 하며 기업이 광범위한 위협과 중단을 견디고 적응할 수 있도록 위험 관리를 강화하고자 합니다. Microsoft는 클라우드 서비스를 제공하는 데 적용되는 모든 법률 및 규정을 준수하며, CTPP로 적용되는 요구 사항에 따릅니다. ICT 타사 서비스 사용에 대한 계약 계약을 체결한 FSI 법인은 DORA에 따른 모든 의무 및 Microsoft가 필요에 따라 지원하는 해당 금융 서비스 규정 요구 사항을 준수해야 합니다.

DORA에서 고객 고려의 기본 영역

ICT 위험 관리 프레임워크

DORA(디지털 운영 복원력법)는 scope 이러한 위험의 식별, 보호 및 방지, 탐지, 대응 및 복구를 포함하여 금융 기관이 준수해야 하는 ICT 위험의 포괄적인 관리 메커니즘을 설정합니다. 금융 기관은 ICT 위험 관리를 위한 내부 거버넌스 및 제어 프레임워크를 설정하고 ICT 위험에 대한 지속적인 모니터링에 참여해야 합니다. 이러한 ICT 위험 관리 및 모니터링 요구 사항은 타사 공급자가 제공하는 ICT 서비스의 사용으로 확장됩니다.

이 ICT 위험 관리 프레임워크의 요소는 다음과 같습니다.

  • ICT 위험 관리를 위한 내부 거버넌스 및 제어 프레임워크: 재무 엔터티는 ICT 위험을 효과적이고 신중하게 관리할 수 있는 내부 거버넌스 및 제어 프레임워크가 있어야 합니다.
  • ICT 위험 관리 프레임워크 구성 요소 및 요구 사항: ICT 위험 관리 프레임워크에는 ICT 시스템, 정보 자산 및 데이터의 복원력, 연속성 및 가용성을 보호하고 보장하는 데 필요한 전략, 정책, 절차, ICT 프로토콜 및 도구가 포함되어야 합니다.
  • ICT 시스템, 프로토콜 및 도구 사양: 금융 엔터티는 활동 및 서비스에 필요한 데이터를 처리할 수 있는 적절하고 안정적이며 복원력이 뛰어나고 처리할 수 있는 업데이트된 ICT 시스템, 프로토콜 및 도구를 사용하고 유지 관리해야 합니다. 또한 네트워크 및 데이터의 보안을 보장하고 ICT 관련 인시던트를 방지하는 것을 목표로 하는 ICT 보안 정책, 절차, 프로토콜 및 도구를 구현해야 합니다.
  • ICT 위험 원본 및 종속성 식별: 금융 엔터티는 지원되는 모든 ICT 비즈니스 기능, 정보 자산 및 ICT 자산, ICT 위험과 관련된 역할 및 종속성을 식별, 분류 및 문서화해야 합니다. 또한 ICT 위험, 사이버 위협 및 ICT 취약성의 모든 소스를 식별하고 ICT 중단의 잠재적 영향을 평가해야 합니다.
  • ICT 관련 인시던트 및 변칙 검색: 금융 엔터티는 비정상적인 활동, ICT 네트워크 성능 문제 및 ICT 관련 인시던트를 즉시 검색하고 잠재적인 단일 실패 지점을 식별하는 메커니즘이 있어야 합니다. 또한 ICT 관련 인시던트 대응 프로세스를 트리거하고 시작하려면 경고 임계값 및 조건을 정의해야 합니다.
  • ICT 관련 인시던트의 대응 및 복구: 금융 엔터티에는 중요하거나 중요한 기능의 연속성을 보장하고 ICT 관련 인시던트를 빠르고 효과적으로 resolve 손상 및 손실을 최소화하는 것을 목표로 하는 포괄적인 ICT 비즈니스 연속성 정책 및 관련 ICT 대응 및 복구 계획이 있어야 합니다. 또한 계획 및 조치를 정기적으로 테스트, 검토 및 업데이트하고 필요에 따라 관할 당국에 보고해야 합니다.

Microsoft가 위험 관리에 도움이 되는 방법

Microsoft는 이미 다음을 포함하여 현재 서비스에서 광범위한 기본 제공 ICT 위험 관리 기능을 제공합니다.

CPMC는 또한 위험 평가에 대한 지원을 제공하여 구성원이 제어 프레임워크 및 요구 사항을 Microsoft의 구현에 매핑할 수 있도록 지원합니다.

Microsoft는 다음을 포함하여 위험 관리를 보다 광범위하게 지원하도록 금융 엔터티에 추가 솔루션을 제공합니다.

  • Microsoft Entra 향상된 보호 기능을 통해 통합 ID, 액세스 및 권한 부여 관리를 제공하고 Microsoft 클라우드 서비스를 뒷받침합니다. Microsoft Entra 대한 자세한 DORA 지침을 검사.
  • Microsoft Defender 다중 클라우드, 이메일, 공동 작업 플랫폼, ID 및 엔드포인트에서 통합된 도메인 간 위협 탐지, 보호 및 대응을 제공합니다.
  • Microsoft 365 Purview는 데이터 손실 방지, Information Protection, 정보 장벽, 내부자 위험 관리, 통신 규정 준수, eDiscovery, 데이터 수명 주기 및 레코드 관리를 비롯한 포괄적인 데이터 보안 및 규정 준수 솔루션 집합을 제공합니다.
  • Microsoft Intune Windows, Android, macOS, iOS 및 Linux 운영 체제에서 클라우드 연결 엔드포인트를 관리하고 보호합니다.
  • 보안용 Microsoft Copilot 생성 AI 기반 지원을 활용하여 AI의 규모와 속도로 위협을 보호하고 대응합니다.
  • Microsoft PurviewAzure Arc 를 사용하면 온-프레미스, Azure 및 다중 클라우드 환경에서 데이터 자산을 제어, 보호 및 관리할 수 있습니다. 또한 데이터 거버넌스를 Microsoft 365 SaaS로 원활하게 확장합니다.
  • Azure Backup, Azure Site RecoveryAzure 비즈니스 연속성 센터 배포된 Azure 리소스를 통해 비즈니스 연속성 및 복구를 위한 특정 솔루션을 제공합니다. Microsoft 365 백업 비정형 데이터에 대한 백업입니다.

ICT 타사 위험의 건전한 관리를 위한 주요 원칙

금융 기관은 ICT 위험 관리 프레임워크의 일부로 ICT 타사 위험을 관리하고, 중요하거나 중요한 기능을 지원하는 ICT 서비스의 사용에 대한 전략 및 정책을 채택하고, ICT 타사 서비스 공급자와의 모든 계약 계약에 대한 정보 등록을 유지해야 합니다.

  • 계약을 체결하기 전에 예비 평가: 금융 기관은 주요 ICT 타사 서비스 공급자와 계약의 위험을 평가해야 합니다.
  • 주요 계약 조항: 금융 엔터티는 계약서에 기능 및 서비스에 대한 설명, 데이터 처리 및 스토리지 위치, 중요한 서비스 제공을 뒷받침하는 주요 하청업체의 관리 및 감독, 데이터 보호 및 보안 조치, 서비스 수준 설명 및 성능 목표, 종료 권한 및 종료 전략이 포함되도록 해야 합니다. 및 금융 기관 및 관할 기관의 액세스, 검사 및 감사 권한.

이 분야의 ICT 타사 서비스 공급자인 Microsoft는 이러한 요구 사항을 해결하는 고객을 지원합니다.

Microsoft가 타사 위험 관리에 도움이 되는 방법

Microsoft는 ESA의 지침에 부합하고 제30항을 포함하여 DORA의 조항과 일치하는 상당한 계약 약정을 제공합니다. 당사의 기업계약, Microsoft 제품 및 서비스 DPA(데이터 보호 부록),제품 약관 의 적용 가능한 섹션 및 규제된 금융 엔터티의 경우 금융 서비스 수정안이 포함될 수 있는 당사의 계약 계약은 DORA에 필요한 주요 요소를 다룹니다. 고객이 DORA의 요구 사항을 충족할 수 있도록 조정되었습니다. Microsoft 연락처를 통해 요청 시 사용할 수 있는 DORA 매핑 문서는 계약 약정이 DORA와 어떻게 일치하는지 명확하게 설명합니다. 지속적인 규정 준수를 보장하기 위해 고객과 지속적으로 협력하여 요구 사항을 해결할 것입니다.

DORA의 ICT 타사 위험 관리는 Microsoft를 넘어 금융 법인의 관점에서 다른 제3자를 다룹니다. 다음을 포함하여 타사 위험을 보다 광범위하게 해결하는 데 도움이 되는 몇 가지 솔루션이 있습니다.

Microsoft는 또한 지역 및 국가별 지침을 찾는 금융 서비스 업계 고객을 위해 Service Trust Portal에서 검사 목록을 사용할 수 있도록 합니다.

ICT - 관련 인시던트 관리, 분류 및 보고

다음을 포함하여 ICT 인시던트 관리, 분류 및 보고에 대한 EU 재무 엔터티에 대한 다양한 요구 사항이 요구됩니다.

  • ICT 관련 인시던트 관리 프로세스: 금융 엔터티는 ICT 관련 인시던트를 감지, 관리 및 알리고 우선 순위 및 심각도에 따라 기록할 수 있는 프로세스가 있어야 합니다.
  • ICT 관련 인시던트 및 사이버 위협 분류: 금융 기관은 영향을 받는 클라이언트 수, 기간, 지리적 확산, 데이터 손실, 서비스의 위험성 및 경제적 영향과 같은 기준에 따라 ICT 관련 인시던트 및 사이버 위협을 분류해야 합니다.
  • 주요 ICT 관련 인시던트 보고 및 중대한 사이버 위협에 대한 자발적인 알림: 금융 기관은 표준 양식 및 템플릿을 사용하여 주요 ICT 관련 인시던트를 관련 관할 기관에 보고하고 고객에게 인시던트 및 완화 조치에 대해 알려야 합니다. 금융 기관은 또한 자발적으로 관련 관할 기관에 중요한 사이버 위협을 알릴 수 있습니다.
  • 보고 콘텐츠 및 템플릿의 조화: ESA는 공동 위원회를 통해 ENISA 및 ECB와 협의하여 ICT 관련 인시던트 및 사이버 위협에 대한 콘텐츠, 시간 제한 및 보고서 및 알림 형식을 지정하는 일반적인 초안 규제 및 기술 표준을 구현해야 합니다.
  • 주요 ICT 관련 사고 보고 중앙 집중화: ESA는 공동 위원회를 통해 ECB 및 ENISA와 협의하여 금융 기관의 주요 ICT 관련 인시던트 보고를 위한 단일 EU 허브를 설립하여 사고 보고의 타당성을 평가하는 공동 보고서를 준비해야 합니다.

Microsoft는 ICT 관련 중단을 식별, 보호, 감지, 대응 및 복구하는 포괄적인 ICT 위험 관리 프레임워크를 설정하는 데 도움이 될 수 있습니다.

  • Microsoft Sentinel 보안 위협에 대한 실시간 분석, 검색 및 대응을 가능하게 하여 인시던트 보고 요구 사항을 쉽게 준수할 수 있는 클라우드 네이티브 SIEM 시스템입니다.
  • Microsoft Defender XDR 인시던트 우선 순위 지정, 관리 및 대응에 도움이 됩니다.
  • Microsoft Purview 내부 위험 관리 사용자의 위험한 동작에 대한 정책, 트리거 및 경고를 통해 내부자 위험을 다루는 엔드 투 엔드 플랫폼을 제공합니다.

Microsoft의 온라인 서비스의 경우 서비스 내에서 직접 중단이 발생하면 상태를 모니터링하고 알림을 설정할 수 있습니다.

  • Microsoft 365 Service Health 대시보드: Microsoft 365 관리 센터 서비스 상태 페이지에서 웹용 Office, Microsoft Teams, Exchange Online 및 Microsoft Dynamics 365 포함한 Microsoft 서비스의 상태를 볼 수 있습니다.
  • Azure Service Health: Azure는 클라우드 리소스의 상태에 대한 정보를 계속 제공하는 환경 제품군을 제공합니다. 이 정보에는 서비스에 영향을 주는 이벤트, 계획된 유지 관리 및 가용성에 영향을 줄 수 있는 기타 변경 내용과 같은 현재 및 향후 문제가 포함됩니다.

디지털 운영 복원력 테스트

DORA는 TLPT(위협 주도 침투 테스트)를 통해 매년 중요한 ICT 시스템 및 애플리케이션에서 수행해야 하는 디지털 운영 테스트를 도입합니다. 이 새로운 테스트 접근 방식은 재무 엔터티의 테스트 기능을 강화하여 적시에 복구하고 비즈니스 연속성을 촉진합니다. Microsoft는 이미 고객이 침투 테스트 프로그램을 통해 이를 수행할 수 있도록 합니다. Microsoft 클라우드 침투 테스트 참여 규칙버그 현상금 프로그램에 대해 자세히 알아보세요. Microsoft는 Microsoft 클라우드의 안전성, 무결성, 보안 및 운영 복원력을 보장하는 원칙에 따라 DORA에서 요구하는 이 테스트 체제의 요구 사항을 충족하기 위해 테스트 요구 사항을 추가로 검토하고 지원할 것입니다.

Microsoft가 운영 복원력 테스트에 도움이 되는 방법

Microsoft는 내부 및 타사 침투 테스트를 정기적으로 수행하여 온라인 서비스 제공하는 시스템의 잠재적 취약성을 식별합니다. 해당 Microsoft Online Services에 대한 타사 침투 테스트 보고서는 Service Trust Portal에서 다운로드할 수 있습니다.

Microsoft는 취약성 테스트 외에도 적어도 매년 온라인 서비스의 복원력을 테스트합니다 . Microsoft는 선택한 온라인 서비스 대한 BCDR 계획의 유효성 검사 및 유지 관리를 설명하는 Service Trust Portal의 비즈니스 연속성 및 재해 복구 계획 유효성 검사 보고서를 제공합니다.

DORA에 따라 규정 준수를 사용하도록 설정하려는 Microsoft의 약속

Microsoft는 DORA에 해당하는 요구 사항과 중요 또는 중요한 기능을 위해 클라우드 서비스를 사용하는 금융 엔터티에 제공하는 주요 서비스를 충족할 준비를 하고 있습니다. Microsoft는 10년 이상 금융 기관이 Microsoft 클라우드 서비스를 사용할 때 규정 의무를 충족할 수 있도록 지원하는 데 크게 투자해 왔으며, 아웃소싱에 대한 ESA 지침과 일치하는 상업적 계약부터 서비스 신뢰 포털 및 기타 리소스를 통한 클라우드 서비스의 투명성 및 보증, 클라우드 서비스의 수많은 기본 제공 보안 기능에 이르기까지 상당한 투자를 했습니다. 고객이 위험을 관리하고 지속적으로 클라우드 서비스 사용을 감독하는 데 도움이 되는 다양한 기능과 함께 DORA의 요소는 운영 복원력을 유지하고 Microsoft 클라우드 서비스를 자신있게 사용하기 위한 자연스러운 단계입니다. 우리는 또한 DORA와 유사한 조치를 구현하고 이러한 요구 사항을 충족할 준비를하고있는 영국과 같은 관할권의 다른 규제 기관과 협력하고 있습니다.

운영 복원력 강화는 단순히 DORA 규정 준수를 보장하거나 공급업체 및 집중 위험을 해결하는 것 이상으로 확장되며, 복원력을 염두에 두고 기술을 배포하고 프로세스를 최적화하는 방법에 대한 견해와 위험 관리를 연결하는 전략과 비전이 필요합니다. AI와 같은 클라우드 기술과 혁신은 예기치 않은 중단에 대한 보호를 강화하고, 서비스 및 운영의 전반적인 안정성을 높이고, 사이버 보안을 강화하는 데 중요한 역할을 합니다. 다음 단계로 운영 복원력을 구축하기 위해 수행할 수 있는 6단계를 설명하는 Microsoft 의 DORA(디지털 운영 복원력법) E-Book 을 검토하는 것이 좋습니다.