상명대학교 / 서광규 교수
본 고에서는 ISO/IEC에서 2020년에 표준화가 완료된 ISO/IEC 22624:Taxonomy based data handling for cloud services 문서의 주요 내용의 제2부를 설명하기로 한다. 제2부에서는 데이터 관련 정책 및 관행의 구조화된 표현을 위한 프레임워크 사용과 특정 관심 분야와 관련된 데이터 관련 정책의 표현에 대하여 설명한다.
3. 프레임워크 사용
3.1 프레임워크 사용 모드
데이터 처리 프레임워크는 다음과 같이 사용할 수 있다.
- 분석적으로 특정 유형의 데이터를 처리할 때 적용되는 기존의 법적 또는 조직적 정책 이해
- 특정 데이터 유형에 대한 데이터 처리 정책을 종합
일반적으로 두 가지 모드가 모두 적용되어야 하는데, 분석 모드는 기술적 또는 조직적 수단으로 구현되는 데이터 처리 정책의 종합을 위한 조건, 용어 및 제한 사항을 제공한다.
3.2 프레임워크 요소 사용
1) 데이터 범주
데이터 범주가 정책 정의를 구성하는 데 사용되는 경우 전체 범주 트리가 모든 응용 프로그램에 유용한 것은 아니다. 대신 정책 분석 또는 정의는 주어진 목적에 유용한 하위 범주에 초점을 맞춰야 한다.
- 선택된 범주에만 집중: 예를 들어, CSP 데이터에 관한 정책 표현의 경우 다른 세 가지 최상위 범주(및 이러한 범주의 모든 하위 범주)는 무시할 수 있다.
- 고려 중인 정책이 일반 범주로 적절하게 표현될 수 있는 경우 하위 범주는 무시할 수 있다.
- 필요한 경우 추가 데이터 범주 추가: ISO/IEC 19944에서는 필요한 경우 4가지 최상위 범주의 새로운 하위 범주를 추가할 수 있다.
2) 데이터 식별 한정자
필요한 경우 정책 표현은 데이터 식별 한정자를 사용할 수 있다. 예를 들어 PII가 고려되는 경우 PII의 비식별화 수준과 관련하여 다른 데이터 처리 정책이 적용될 수 있다.
3) 범위 및 조치
ISO/IEC 19944는 특정 작업이 데이터를 사용하는 수준에 대한 정교한 개념을 제공합한다.
- 출처 범위: 고려 중인 데이터의 출처
- 사용 범위: 데이터를 사용하는 애플리케이션 또는 서비스
- 결과 범위: 데이터 사용의 결과로 변경된 요소 모음
정책은 이러한 다양한 범위 개념을 직접 사용하여 데이터 출처, 이러한 데이터를 사용하는 애플리케이션 또는 서비스, 이러한 데이터 처리 결과에 대한 요구 사항 및 제한 사항을 표현할 수 있다.
3.3 정책 표현
이 문서는 정책을 표현하는 방식에 어떠한 제한도 부과하지 않다. 특히 한정자와 범위 및 작업을 사용하는 것은 특정 유형의 정책에 유용할 수 있는 선택적 요소이다.
정책의 매우 간단한 표현은 테이블의 단일 항목으로 구성될 수 있지만 특정 유형의 데이터에 대해 규정된 보안 또는 개인 정보 보호 목표 및 제어에 대한 복잡한 설명일 수도 있다.
ISO/IEC 19944에 정의된 데이터 사용 진술 구조는 데이터 사용에 대한 정책을 표준화된 방식으로 표현하는 수단을 제공한다. 따라서 데이터 사용을 제한하거나 특정 범주를 제한하는 정책의 경우 이러한 구조를 데이터 처리 정책을 표현하고 전달하는 도구로 사용할 수 있다.
3.4 사례(Examples)
다음 표는 본 문서에서 제안하는 공통 구조를 기반으로 하는 데이터 관리를 위한 정책의 사례에 대한 예시이다. 행은 데이터 범주이고 열은 데이터 지리적 위치 관리 관행의 일반적인 측면이다. 따라서 각 행과 열의 교차는 주어진 데이터 유형에 대한 특정 데이터 관리 방식을 표현하기 위해 선택된 특정 선택 또는 설정을 설명한다. 이 예제 테이블의 셀은 지리적 위치 관점에서 데이터 관리를 위한 전체 정책을 집합적으로 설명한다.
표 1의 "데이터 지리적 위치" 열 아래에 있는 4개의 하위 열은 데이터 지리적 위치 정책에 대해 고려해야 하는 예시 항목 집합을 제공한다. 스토리지 요구 사항은 특정 유형의 데이터가 저장되는 위치를 다룬다. 컨트롤러 및 프로세서는 특정 데이터 유형에 대한 데이터 컨트롤러 또는 프로세서를 보여준다. 관할 구역 열에는 해당 규정 요구 사항이 있는 경우 해당 항목이 표시된다.
이 문서는 하나 이상의 데이터 정책을 정의하는 것이 아니라 다른 사람들이 선택한 정책을 표현하기 위해 사용할 공통 구조와 프레임워크를 제공한다는 점을 지적하는 것이 중요하다. 결과는 일반적으로 구조화되고 조화로운 정책 표현이 될 것이다.
4. 특정 관심 분야와 관련된 데이터 관련 정책의 표현
4.1 일반(general)
이 절에 나열된 데이터 관행 및 정책은 데이터 범주를 기반으로 적용해야 하는 데이터 관리 관행에 대한 일반적인 예이다. 따라서 이러한 고려사항은 정책 정의 시 고려되어야 할 문제의 예이다. 데이터 관리에 대한 실제 정책은 데이터 범주 및 데이터 관리 관행별로 정의된다.
아래에 설명된 데이터 관리 정책 및 관행은 가장 일반적인 관행과 관련이 있다. 이 목록은 결코 한정된 것이 아니며 필요에 따라 추가 정책 측면과 관행을 추가할 수 있다.
4.2 데이터 지리적 위치
예를 들어, 전 세계적으로 사용 가능한 클라우드 서비스에서 제어하는 ??데이터의 지리적 위치에 대해 유효한 정책 또는 관행을 고려해야 한다. 대기 시간 및 비즈니스 연속성 감소를 포함하여 CSP가 전 세계적으로 여러 데이터 센터에 투자할 수 있는 많은 이유가 있지만 주된 이유는 지리적 위치 규정, 정책 또는 선호도를 준수하기 위해 데이터의 로컬 처리를 지원하는 것이다. 그러나 기술 및 엔지니어링 제약 조건은 지리적으로 분산된 여러 데이터 센터에 여전히 적용된다. 사실 제약 조건은 데이터 센터의 분산 특성으로 인해 악화된다. 클라우드 서비스는 중앙에서 그룹으로 관리할 수 있다면 더 비용 효율적이고 더 안정적이다.
따라서 CSP는 효율적인 지역 및 글로벌 데이터 센터 및 서비스 관리를 위해 로컬에서 처리되는 데이터와 국경을 넘어 허용되는 데이터에 대해 투명하고 실용적이어야 한다. 이것은 CSP가 데이터 유형 및 사용의 지리적 위치에 대해 정확하고 지리적 위치 정책 및 계약 논의에 사용할 수 있는 몇 가지 광범위한 데이터 클래스를 정의할 수 있도록 하여 이러한 정책을 표현하는 일반적이고 구조화된 방법을 통해 도움을 받을 수 있다. 따라서 데이터 지리적 위치 정책은 이 문서의 이점을 얻을 수 있는 데이터 정책 유형의 좋은 예이다. 이러한 정책이 공통 데이터 분류를 기반으로 공통적이고 구조화된 방식으로 표현된다면 클라우드 컴퓨팅 생태계의 이해 관계자는 이러한 정책을 보다 쉽고 효율적으로 이해하고 비교하고 분석할 수 있을 것이다. 또한 이러한 지리적 위치 정책 및 관행에 대한 일반적이고 구조화된 표현, 비교 및 ??분석은 자동화 및 컴퓨터 지원 구문 분석 및 처리에 더 적합하여 처리의 용이성, 정확성 및 효율성을 추가한다.
4.3 국경을 넘는 데이터 흐름
클라우드 컴퓨팅 데이터 관할 구역은 종종 혼동을 일으키는 매우 복잡한 주제 영역이다. 데이터 처리, 데이터 저장 및 데이터 전송과 관련된 관할권 고려 사항이 있다. 각각에는 데이터 분류, 원하는 데이터 분류 수준 및 해당 관할권을 기반으로 적용해야 하는 특정 정책이 있다.
여기에서는 "데이터 분류" 및 "데이터 분류" 차원을 기반으로 사용하는 관할권 관계에 대한 모델을 제공하며(그림 5 참조), 데이터에 대해 어떤 조치가 허용되는지 결정하기 위해 관할권 정책이 적용된다. 데이터 분류 시스템은 다양하며 ISO/IEC 19944는 데이터 분류를 위한 몇 가지 기본 요소를 제공한다.
지리적 관할 구역은 평가 중인 관할 구역과 관련이 있다. 핵심은 지리적 관할권 경계가 목표와 범위에 따라 다르다는 것이다.
데이터 관리 팀이 구현하는 데이터 정책은 조직에서 사용하는 모든 데이터에 적용되어야 한다. 여기에는 구매, 판매, 공유, 처리, 저장과 같은 데이터가 포함된다. 그런 다음 이러한 데이터 정책은 이 문서에 설명된 데이터 관련 정책 및 관행과 일치해야 한다. 즉, 위 다이어그램의 일부를 확장하여 그림 7과 같은 데이터 사용 설명을 포함할 수 있다.
CSP는 그 목적을 달성하기 위한 조직적 목적과 전략을 가진다. 거기에서 조직의 데이터 사용을 지원하는 정책과 함께 데이터 전략을 도출할 수 있다. 그런 다음 해당 정책을 고려하여 데이터 사용 설명을 작성할 수 있고 이러한 사용 설명은 CSP의 전체 비즈니스 목표와 일치한다.
4.4 데이터 이동성 및 데이터 액세스
이 조항은 공통 데이터 분류의 데이터 범주를 기반으로 어떤 데이터가 데이터 이동성 요구 사항의 범위에 속하는지 표현하기 위한 프레임워크를 제공하고 보유 데이터와 데이터 주체의 연결을 고려하여 조정된다(프라이버시가 중요한 경우). 그리고 해당 데이터의 정책 기반 처리에 대한 기반. 이 조항은 또한 개인 정보가 중요한 시나리오에서 소셜 데이터와 같은 다른 데이터 주체의 개인 데이터를 포함하는 데이터에 대한 데이터 이동성 요구 사항을 처리하고 데이터를 직접 제공하기 위한 요구 사항을 설명하는 방법을 설명한다.
이러한 표현은 유사한 구조를 사용하여 데이터 액세스 및 데이터 이식성을 모두 처리하여 전송과 유사한 콘텐츠 액세스 기능을 CSC에 제공하는 접근 방식을 제안한다. "수신" 데이터 컨트롤러로의 직접 전송은 종종 수신 데이터 컨트롤러가 데이터 주체 또는 CSC의 승인된 요청에 따라 이러한 데이터 세트를 요청하고 처리하도록 옹호하는 "풀 모델"에 의해 지원될 수 있다.
4.5 데이터 사용
데이터 사용과 관련하여 설명된 프레임워크는 데이터 처리가 수행되는 목적을 식별하기 위해 여러 옵션을 정의했다. 또한 범위를 사용하여 관련 정책의 식별을 더욱 세분화할 수 있다.
4.6 데이터 관리
1) 데이터 보안
데이터의 전략적 중요성을 고려하기 위해 효과적인 정보 보안 관리 시스템을 구현할 수 있다. 이는 클라우드 컴퓨팅 서비스에서 타사 데이터 피드 및 데이터 관리를 포함하도록 확장되어야 한다. 이러한 국제 표준은 정보 보안 통제에 대한 지침을 제공하지만 경우에 따라 그러한 통제가 충분하지 않을 수 있으며 관리 기관은 신뢰와 검증에 의존해야 한다.
데이터 보안은 일반적으로 기밀성, 무결성 및 가용성이라는 세 가지 주요 보안 목표 측면에서 정의된다.
2) 데이터 품질
데이터 품질은 특정 목적을 위해 사용되는 데이터의 정확성, 유효성, 신뢰성, 적시성, 관련성 및 완전성을 의미한다. 데이터 품질 관리에는 데이터의 수집, 유지 관리, 처리 및 배포와 관련된 정책, 책임 및 프로세스가 포함된다. 데이터 품질 관리는 데이터 정리, 메타데이터 관리, 데이터 무결성, 데이터 품질 보증, 데이터 출처, 데이터 품질 관리에 프레임워크 적용 같은 문제와 관련이 있다.
4.7 데이터 거버넌스
데이터는 관련 속성과 측면이 많은 비소모성 자산이다. 이는 조직 전체에 중대한 전략적 영향을 미칠 수 있는 항목으로 조직의 관리 기관에서 고려해야 한다. 비즈니스를 추적하고 지식, 혁신 및 통찰력의 원료로 사용된다. 데이터 및 데이터 사용에 대한 책임은 조직의 관리 기관에 있다. 제품 연구 또는 비공개 주식 시장 야망과 같은 일부 데이터는 높은 비즈니스 가치를 가지며 이 데이터를 활용하고 보호하기 위해 적절한 리소스를 적용해야 한다. 이 데이터 관리와 관련된 가치와 위험은 다른 유형의 데이터보다 높으며 전략 및 정책은 데이터에 대한 데이터 분류 체계의 채택을 통해 이를 반영해야 한다. 관리 기관은 올바른 수준의 데이터 관리를 보장하기 위한 결정을 포함하여 데이터 및 데이터 사용에 대해 책임진다.
데이터에는 가치가 있기 때문에 조직에도 위험이 따른다. 또한 법률, 규정, 사회 규범 또는 조직 자체에 의해 부과되는 데이터 사용에 대한 제약이 있을 수 있다.
ISO/IEC 38505-1은 조직에 적합한 데이터에 대한 거버넌스 프레임워크를 개발하기 위해 관리 기관에 대한 종합적인 고려 사항 체크리스트에 대한 지침을 제공한다. 이 체크리스트는 외부 및 내부 제약 조건을 고려하면서 조직의 데이터 위험 선호도 내에서 데이터의 최대 가치 활용을 지원한다.
이러한 방식으로 데이터에 대한 거버넌스 프레임워크는 자체적으로 전체 조직 전략을 지원하고 영향을 미치는 데이터 전략을 지원한다.
전반적인 데이터 전략 및 지원 거버넌스 프레임워크를 수립한 ISO/IEC TR 38505-2:2018은 조직의 관리 기관이 IT는 구현될 수 있으며 조직에서 데이터 및 사용을 위해 유지되고 있다. 이러한 보증을 달성하기 위한 메커니즘은 데이터 관리팀이 관리 기관과 협력하여 데이터 관리 정책을 도출하고 그림 6과 같이 데이터 전략을 지원하고 지원하는 것이다.
5. 행동 강령에 프레임워크 적용
행동 강령은 선호되거나 요구되는 정책 또는 관행의 형태로 업계 또는 규제 당국의 합의를 포착한다. 이러한 합의 정책 또는 관행의 표현은 데이터를 포함할 때 이 문서의 이점을 얻을 수 있다. 행동 강령에 포착된 문서화된 합의는 종종 데이터 처리에 대한 명확하고 정확한 표현을 요구하고 원하는 수준의 세부 사항 및 세분성을 요구한다. 이러한 정책과 관행에 데이터가 포함되는 경우 이 문서에 설명된 방법과 기술을 사용하여 데이터 분류 체계로 표현해야 하는 경우가 많다.
다음은 행동 강령을 사용할 수 있는 몇 가지 시나리오이다.
? 국가의 산업 부문, 경제 또는 정치 구역, 또는 조약이나 그 밖의 다자간 협정에 의해 결합된 국가 그룹에 대한 행동 강령으로, 해당 산업 부문에 대한 데이터 중심 관행 및 정책을 코드화한다. 그러한 행동 강령은 법적으로 요구되거나 업계 합의에 의해 자발적으로 생성될 수 있다.
? 국가, 경제 또는 정치 구역 또는 다국적 협약에 의해 함께 묶인 국가 그룹에 대한 규제 또는 공공 정책 관행에 대한 행동 강령은 하나 이상의 정부 또는 규제나 공공정책의 적용을 받는 산업 이해관계자에 의해 제정될 수 있다.
? 국가 또는 다국적 조직 내에서 운영되는 조직 내부 행동 강령으로, 해당 조직 내부의 데이터 중심 관행과 정책을 코드화한다.
6. 제2부 결언
본 고에서는 ISO/IEC에서 2020년에 표준화가 완료된 ISO/IEC 22624:Taxonomy based data handling for cloud services 문서의 주요 내용의 제2부로 데이터 관련 정책 및 관행의 구조화된 표현을 위한 프레임워크 사용과 특정 관심 분야와 관련된 데이터 관련 정책의 표현에 대하여 설명하였다. 이 문서는 주로 클라우드 서비스 제공자, 클라우드 서비스 고객(CSC) 및 클라우드 서비스 사용자에게 적용되지만 클라우드 서비스에서 분류 기반 데이터 관리의 법적, 정책, 기술 또는 기타 영향에 관련된 모든 개인 또는 조직에도 적용된다.
참고문헌
- ISO/IEC 22624:2020, Information technology - Cloud computing - Taxonomy based data handling for cloud services
- ISO/IEC 19944-1:2020(en) Cloud computing and distributed platforms - Data flow, data categories and data use - Part 1: Fundamentals
- ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
- ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.
저작권정책
K-ICT 클라우드혁신센터의 저작물인 『[2부] ISO/IEC 국제 표준화 기구에서의 클라우드 서비스에 대한 Taxonomy 기반 데이터 처리』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권 정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.