데이터 보안 및 개인정보 보호를 보장하는 정기적 감사

ISO/IEC 27001:2013 인증은 보안 관리 모범 사례를 지정하고 ISO/IEC 27002 모범 사례 가이드를 기반으로 통제합니다. 이로써 ServiceNow의 정보보호 관리 시스템(ISMS)은 빠르게 변하는 IT 보안 세계에 반드시 필요한 보안 위협 변화에 대응할 수 있도록 세부 조정될 수 있습니다.

ServiceNow가 다음과 같은 사항을 수행했음을 증명하기 위해 연간 감시 감사 명령을 포함하여 3년마다 감사를 실시하여 재인증을 취득합니다.

• 1. 포괄적인 ISMS를 설계하고 구현함

• 2. 발전하는 위협 환경과 위험에 대응하기 위해 적합한 정보 보안 통제가 이루어지도록 지속적인 위험 관리 프로세스를 채택함

• 3. 기업 위협 및 취약점으로 인한 영향을 포함하여 다양한 요소들을 고려하면서 정보 보안 위험을 체계적으로 평가함

ServiceNow는 2012년 이래로 ISO/IEC 27001 인증 기업입니다. 인증서는 여기에서 확인하실 수 있습니다.

ISO/IEC 27017:2015 표준은 ISO/IEC 27002에 지정된 클라우드별 정보 보안 통제 구현과 관련이 있습니다.

인증은 매년 독립적인 감사를 통해 획득하며 ServiceNow는 2018년부터 ISO/IEC 27017:2015 인증 조직이 되었습니다.

ISO/IEC 27018:2019는 ISO/IEC 27002를 기반으로 하는 실행 지침이고 ISO/IEC 29100의 개인정보 보호 원칙에 따라 퍼블릭 클라우드에서 개인 식별 정보(PII)를 보호하는 것과 관련이 있습니다.

인증은 매년 독립적인 감사를 통해 획득하며 ServiceNow는 2016년부터 ISO/IEC 27018:2019 인증 조직이 되었습니다.

SOC(Service Organizational Control) 프레임워크는 ServiceNow가 클라우드에서 고객 데이터의 기밀성, 무결성 및 가용성을 보호하기 위한 통제 기능을 적용하는 데 필요한 표준 준수를 증명합니다.

• - SOC 1은 고객의 재무 보고서에 영향을 미치는 내부 통제의 효과에 초점을 맞춥니다.
• - SOC 2는 가용성, 무결성, 보안, 기밀성 또는 개인정보 보호와 관련된 통제를 평가합니다.

ServiceNow는 외부 공급업체를 통한 감사를 받고 있으며 2011년 이후 SSAE 18 SOC 1 Type 2 증명을 유지하고 있습니다(2017년에 SSAE 18이 SSAE 16을 대체함). SSAE 18은 국제 표준 ISAE3402와 일치하며 이제는 사용되지 않는 SAS70을 대체합니다.

ServiceNow의 SOC 1 보고서는 전년도 10월 1일부터 당해 연도 9월 30일까지를 대상으로 하며 해당 연말(12월)에 ServiceNow CORE에서 확인할 수 있습니다.

SOC 1 보고서는 전년도 4월 1일부터 당해 연도 3월 31일까지를 대상으로 하며 해당 연도 2분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

또한 ServiceNow는 2013년부터 AICPA TSC(Trust Services Criteria) 목록에 있는 보안, 가용성 및 신뢰성 통제와 관련하여 매년 SOC 2 Type 2 증명을 수행하고 있습니다.

ServiceNow의 SOC 2 보고서는 전 해 10월 1일부터 현재 해 9월 30일까지를 대상으로 하며 해당 연말(12월)에 ServiceNow CORE에서 확인할 수 있습니다.

감사 기간 동안 브리지 레터가 제공되므로 회사에 대한 증명은 1년 내내 보장됩니다.

ServiceNow의 SOC 1 브리지 레터는 당해 연도 10월 1일부터 당해 연도 12월 31일까지를 대상으로 하며 다음 연도 1분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

SOC 1 브리지 레터는 전년도 4월 1일부터 당해 연도 6월 30일까지를 대상으로 하며 해당 연도 3분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

ServiceNow의 SOC 2 브리지 레터는 현재 해 10월 1일부터 현재 해 12월 31일까지를 대상으로 하며 다음 해 1분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

C5는 독일 연방 정보보안부(BSI)에서 개발한 클라우드에 특화된 규정 준수 통제 카탈로그이며, 공공 분야 및 민간 부문에서 모두 활용하고 있습니다. C5 증명 보고서는 AICPA SOC 2 보고서와 유사한 프로세스 및 계획을 따르며, AICPA 신용 서비스 기준과 요구사항이 상당 부분 일치하면서 특정한 클라우드 위주 요구사항이 추가되었습니다. ServiceNow는 2020년에 C5 증명 보고서를 취득했습니다.

APEC PRP는 아시아태평양 지역에 특화된 자발적인 데이터 프로세서 인증이며 아시아태평양 지역 회원사들이 개발했습니다. 인증은 매년 갱신되지만, 프로세서의 개인정보 보호 프로세스 및/또는 절차에 상당한 영향을 끼치는 모든 변경 사항을 확인하기 위해 평가자가 이보다 자주 평가를 수행합니다.

Information system Security Management and Assessment Program(ISMAP)은 일본 정부의 보안 요구 사항을 충족하는 클라우드 서비스를 평가 및 등록함으로써 일본 정부가 클라우드 서비스 조달 분야에서 보안 수준을 달성하는 것을 목표로 하는 프로그램입니다.  ServiceNow의 Now Platform은 ISMAP의 통제 기준을 충족하기 위해 등록된 ISMAP 평가 기관을 통해 독립적으로 평가를 거쳤으며 2022년 3월부로 ISMAP 클라우드 서비스로 등록되었습니다.  ISMAP 클라우드 서비스 목록은 https://www.ismap.go.jp/csm?id=cloud_service_list에서 확인하실 수 있습니다.

ISO/IEC 27001에서 더욱 확장된 이 인증은 개인정보 관리 시스템(PIMS)의 수립과 유지관리에 중점을 둡니다. ServiceNow는 개인 식별 정보(PII)가 포함되었을 수 있는 고객 데이터의 프로세서로서 이와 관련이 있습니다. ServiceNow는 2020년에 이 인증을 취득했습니다.

PinkVERIFY™를 통해 ServiceNow는 ITSM(IT Service Management) 제품이 ITIL(Information Technology Infrastructure Library) 베스트 프랙티스와 호환된다는 것을 입증할 수 있습니다.

ServiceNow는 2009년 11개의 ITIL 프로세스에서 PinkVERIFY™ 상태를 달성한 첫 SaaS 벤더임을 자랑스럽게 생각하고, 이 산업 인증을 유지하는 동시에 ITSM 솔루션을 지속적으로 발전시키고 개선했습니다.

ServiceNow의 정부 커뮤니티 클라우드(GCC) 제품은 현재 FedRAMP High P-ATO(Federal Risk and Authorization Management Program High Baseline Provisional Authority to Operate) 인증을 유지하고 있습니다. 이를 통해 ServiceNow는 미국 연방 기관 및 제공업체의 보안 클라우드 솔루션 채택을 가속화하고 연방 정보보호 관리법(FISMA)에 따라 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 승인할 수 있는 표준화된 접근 방식을 구현합니다.

GCC는 GCC FedRAMP High P-ATO(Provisional Authority to Operate)를 2019년 8월에 취득했습니다. GCC는 DoD IL4(Department of Defense Impact Level 4) 및 CNSSI 1253F Privacy Overlay High PII + PHI 통제 요구 사항도 충족합니다.

FedRAMP Marketplace에서의 ServiceNow 상태를 보려면 여기를 클릭하십시오.

ServiceNow의 정부 커뮤니티 클라우드(GCC) 제품은 현재 미국 국방부(DoD) 영향 레벨 4(IL4) 잠정 승인(PA) 상태를 유지하고 있습니다. 이는 미국 국방부(DoD) 및 인텔리전스 커뮤니티(IC)의 ServiceNow 제품 구매를 촉진하며, 미 국방정보시스템국(DISA)에서 개발한 DoD 클라우드 컴퓨팅(CC) 보안 요구 사항 가이드(SRG)에서 정의한 기본 표준을 확립합니다.

ServiceNow는 2019년 10월에 처음 GCC DoD IL4 PA를 받았습니다. DoD IL4 PA에는 FedRAMP High 및 DoD IL4 통제 요구 사항이 포함됩니다. ServiceNow의 GCC 제품은 CNSSI 1253F Privacy Overlay High PII + PHI 통제 요구 사항을 충족합니다.

표준 제품 섹션 내 DISA Storefront에서 ServiceNow를 보려면 여기를 클릭하십시오.

ServiceNow는 유럽 연합, 미국 및 스위스에서 미국으로 이전되는 개인 데이터의 수집, 사용 및 보존에 관해 미국 상무부에서 정한 EU와 미국 간 개인정보 보호 정책 프레임워크, 스위스와 미국 간 개인정보 보호 정책 프레임워크를 모두 준수합니다. 개인정보 보호 프레임워크에 대해 자세히 알아보려면 여기에 위치한 미국 상무부의 전용 개인정보 보호 웹 사이트를 방문하십시오.

MTCS 레벨 3는 ServiceNow가 싱가포르 클라우드에서 고객 데이터의 기밀성 및 무결성에 관한 표준을 충족하도록 보장하는 인증입니다. ISO/IEC 27001을 기반으로 하며, 비즈니스 연속성 계획 및 재해 복구와 함께 데이터의 주권, 보존, 가용성을 다룹니다.

ServiceNow는 가장 높은 인증 수준인 MTCS Level 3을 달성하게 된 것을 자랑스럽게 생각합니다.

ServiceNow의 호주 플랫폼은 공식 및 보호 데이터에 대한 호주 ISM 관리 기준을 충족하도록 공인된 IRAP 평가자에 의해 독립적으로 평가되었습니다. IRAP가 평가한 공식 및 보호 클라우드 서비스는 호주 정부 고객에게 Now Platform에 대한 신뢰와 확신을 제공하고 ServiceNow가 호주 정부 기관 및 주요 인프라 제공자와 효과적으로 협력할 수 있도록 지원합니다. 호주 정부에서 규제하는 고객에 관한 세부 내용은 https://your.servicenow.com/microsoftregulatedindustries/australia에서 검토할 수 있습니다.

Canadian Centre for Cyber Security(CCCS)는 GC 클라우드 제공자로서 인증받기 위한 물리적 요구 사항과 논리적 요구 사항을 모두 확립했습니다. 클라우드 제공자는 GC 클라우드 제공자로서 승인받으려면 CCCS 담당자에게 규정 준수를 입증해야 합니다. GC는 클라우드 내에 저장하도록 승인된 데이터 분류 수준으로서, 정부에서 정의했습니다.

ServiceNow는 2020년에 GC 클라우드 공급자가 되었습니다. 자세한 내용은 여기를 참조하십시오.

HITRUST는 원래 ISO27001을 기반으로 구축된 CSF 통제 프레임워크를 통해 규정 준수 목표를 표준화하려는 목적으로 헬스케어 업계에서 개발했습니다. 이후 NIST 800-53 및 AICPA SOC 2 Trust Services Criteria 등 다양한 공통 보안 표준에 통합 및 매핑되었습니다. SOC 2 + HITRUST 보고서는 AICPA와 HITRUST Alliance 간의 협업이 이루어낸 산물입니다. 이를 통해 서비스 감사관이 동일한 보고서에서 Trust Services Criteria 및 HITRUST CSF의 설계와 효율성에 대한 의견을 제시할 수 있는 메커니즘을 제공합니다.

Cyber Essentials Plus는 조직이 자체 IT 시스템에 대한 사이버 보안 위협의 위험 완화 및 평가를 입증할 수 있도록 지원하는 영국 정부 지원 제도로서 외부 감사자가 수행하는 베스트 프랙티스와 최고의 보안을 보장하기 위한 다양한 기술 통제의 구현을 요구합니다. 이 제도는 지역에 초점을 두고 있으므로 인증 범위는 영국 지역으로 한정됩니다.

ServiceNow는 미국 국방부(DoD) 영향 레벨 5(IL5) 잠정 승인을 받았습니다. 이를 통해 ServiceNow 국가 보안 클라우드(NSC)는 엄격한 미국 국방부 클라우드 컴퓨팅 보안 요구 사항 가이드 영향 레벨 5를 충족하도록 구축 및 승인된 몇 안 되는 SaaS(Software‑as‑a‑Service) 및 PaaS(Platform‑as‑a‑Service) 제품 중 하나가 되었습니다.

IL5 잠정 승인은 DoD, 임무 파트너 및 선별된 연방 기관이 통제된 미분류 정보 및 미분류 국가 보안 시스템을 포함한 매우 민감한 데이터를 Microsoft Azure Government에서 호스팅되는 ServiceNow 클라우드 기반 솔루션으로 이전할 수 있도록 하므로 DoD의 디지털 혁신을 가속화할 것입니다.

Payment Card Industry Data Security Standard(PCI DSS)는 2004년, Visa, MasterCard, Discover Financial Services, JCB International, American Express에서 정한 보안 표준입니다. 이 보안 표준의 요구 사항은 Payment Card Industry Security Standards Council(PCI SSC)에서 관리하며, 데이터 도난 및 사기로부터 신용카드 및 직불카드 거래를 보호하기 위해 만들어졌습니다. ServiceNow는 신용카드 데이터가 포함되었을 수 있는 고객 데이터의 프로세서이므로 이와 관련이 있습니다. ServiceNow는 2023년에 이 인증을 취득했습니다.