Access control
권한과 책임을 분리합니다
누가 어떤 데이터와 기능에 접근할 수 있는지를 명확히 정의하고, 운영 절차에 맞춰 통제합니다.
SSO
조직 인증 체계와의 연동을 고려합니다.
RBAC
최소 권한 원칙에 맞춘 역할 기반 접근을 지원합니다.
Approval flows
민감 기능에는 승인과 검토 절차를 포함할 수 있습니다.
Operational logging
운영 로그로 흐름을 설명할 수 있어야 합니다
공공기관과 엔터프라이즈 도입에서는 무엇을 했는지, 언제 했는지, 왜 했는지가 남아야 합니다.
- 접근, 조회, 다운로드 등 주요 행위 기록
- 설정, 권한, 정책 변경 이력 관리
- 티켓, 조치, 보고 흐름의 추적성 확보
Data governance
수집부터 보관과 파기까지 데이터 수명주기를 다룹니다
어떤 데이터가 어디에 저장되고 누가 접근하며 언제까지 유지되는지에 대한 기준이 있어야 실제 운영 안전성이 확보됩니다.
Data classification
민감도에 따른 처리 기준을 정의합니다.
Retention and deletion
보관과 파기 정책을 운영 요구에 맞춰 적용합니다.
Encryption posture
전송과 저장 구간 암호화, 키 관리 원칙을 고려합니다.
Network segmentation
망 분리와 내부망 환경을 고려합니다
폐쇄망과 내부망 요구가 있는 경우 연동 포인트와 운영 절차를 재설계해야 합니다. Orion은 이를 초기 설계의 일부로 다룹니다.
Air-gapped operation
외부 연결 없이 운영 가능한 구조를 고려합니다.
Controlled interfaces
필요 최소한의 연동 인터페이스만 노출합니다.
Change management
변경 승인과 검증 절차를 운영 프로세스에 포함합니다.
Vulnerability response
보안은 기술뿐 아니라 운영 절차입니다
점검, 제보, 패치, 배포, 검증이 이어지는 흐름까지 포함해야 지속 가능한 보안 운영이 가능합니다.
Patch policy
보안 패치와 검증 절차를 운영 정책에 맞춰 수립합니다.
Disclosure path
취약점 제보와 처리 프로세스를 운영할 수 있습니다.
Least-change rollout
운영 중단을 최소화하는 변경 전략을 지향합니다.