정부 조달 보안 게이트
기술 도구에 대한 정부 조달 프로세스는 보안 인증에 의해 가장 체계적으로 제한됩니다. 클라우드 서비스에 대한 미국 연방 계약은 FedRAMP(연방 위험 및 인증 관리 프로그램) 승인을 요구하며 — 이 과정은 일반적으로 12-24개월이 소요되며 수십만 달러의 컴플라이언스 준비 비용이 발생합니다. 대부분의 소프트웨어 공급업체는 FedRAMP 승인을 추구하지 않으며, 이는 그들을 미국 연방 조달에서 사실상 제외시킵니다.
EU 정부 기관의 경우, 동등한 표준은 ISO 27001이며, 종종 국가별 인증(독일의 클라우드 서비스용 BSI C5, 프랑스의 민감한 정부 데이터용 SecNumCloud)과 결합됩니다. 개인 데이터를 처리하는 소프트웨어의 경우, UK 정부 조달은 일반적으로 ISO 27001을 기준으로 요구하며, 정부 시스템에 직접 접근하는 도구에 대해서는 Cyber Essentials 또는 Cyber Essentials Plus가 추가 요구 사항으로 필요합니다.
실질적인 의미: ISO 27001 인증이 없는 SaaS 도구는 기능적 능력, 가격 또는 평판에 관계없이 EU 및 UK 정부 조달에서 고려될 수 있는 자격이 없습니다. 보안 게이트는 기능 평가 이전에 적용됩니다.
주 및 지방 정부 시장
주 및 지방 정부 기관 및 국제 정부 조직(EU 기관, UN 기관, NATO)은 일반적으로 국가 정부보다 더 유연한 조달 규칙을 가지고 있습니다. 많은 기관들이 국가별 인증 프로그램을 요구하기보다는 ISO 27001을 보안 기준선으로 받아들입니다.
거주자의 개인 데이터를 처리하는 지방 정부 기관 — 시의회, 지역 당국, 공공 보건 조직 — 는 GDPR 준수를 위해 적절한 기술적 조치를 구현하는 데이터 처리자를 선택해야 합니다. ISO 27001 인증은 정부 조달 맥락에서 이러한 조치를 입증하는 표준 메커니즘입니다.
하류 정부 계약 요구 사항
정부 계약을 보유한 조직은 종종 하도급업체 및 기술 공급업체에 전이되는 "주 계약" 데이터 보호 요구 사항을 가지고 있습니다. 정부 인접 데이터를 처리하는 방산 계약자는 주 계약에 따라 데이터 처리를 위해 ISO 27001 인증 소프트웨어만 사용해야 할 수 있습니다. EU 기관 서비스 제공자는 프로젝트 데이터에 관련된 도구에 대해 유사한 요구 사항에 직면할 수 있습니다.
이 주 계약 전이는 ISO 27001 인증이 직접적인 정부 조달 기회를 열어줄 뿐만 아니라, 주 계약자에게 기술 공급업체, 정부 고객을 위한 컨설팅, 정부 인접 조직을 포함하는 고객을 가진 기술 리셀러와 같은 훨씬 더 큰 간접 정부 시장도 열어준다는 것을 의미합니다.
모든 공급업체에 대해 ISO 27001을 요구하는 UK 정부 기관의 디지털 전환 프로그램은 별도의 보안 평가 없이 도구를 즉시 승인할 수 있습니다. 인증은 증거 패키지입니다. 공급업체 보안 평가 지연으로 인해 프로젝트 일정이 연장되지 않습니다.
출처: