국방부(DoD)는 DoD 정보 시스템을 지원, 관리, 보호 또는 운영하는 인력이 필요한 지식, 기술 및 자격증을 갖추도록 인력 자격 요건을 지속적으로 강화하고 있습니다. 국방 계약업체, 민간 직원 또는 IT/사이버 보안 전문가 등 누구든 지정된 사이버 인력 직무에 대해서는 DoD 8140 및 기존 8570의 요건을 준수해야 합니다.
이 가이드는 DoD 정보 환경에서 활동하는 조직 및 개인을 위한 DoD의 인증 요건, 적용 가능한 인력 범주, 자격 기준 및 준수 기대 사항에 대한 포괄적이고 공식적인 개요를 제공합니다.
DoD 지침 8140(이전 8570)은 DoD 사이버 인력에 대한 기본 자격 및 인증 기준을 수립합니다. 이 문서는 다음 사항을 정의합니다.
국방부 8140은 전반적인 지침을 제공하며, 국방부 8140.01, 8140.02, 8140.03은 프레임워크, 프로세스 및 사이버 인력 자격 및 관리 프로그램(CWQMP)을 더욱 구체화합니다.
이 프레임워크에 따라, 특권 접근 권한을 보유하거나 사이버 보안 관련 책임을 맡은 모든 인원은 자신의 직무 범주 및 수준에 맞는 승인된 인증을 취득하고 유지해야 합니다.
국방부 인증 요건은 다음과 같은 국방 생태계 전반에 걸쳐 광범위하게 적용됩니다.
국방부 운영을 지원하거나, IT 서비스를 제공하거나, 시스템을 관리하거나, 정부 네트워크에 접근하는 민간 기업에 고용된 개인은 계약 의무에 따라 인증 요건을 충족해야 합니다. 이는 다음을 포함합니다.
계약업체는 정부 직원과 동일한 인증 일정 및 준수 기준을 따라야 합니다.
사이버, IT, 정보 보증, 엔지니어링 또는 보안 관련 직무에 종사하는 민간 직원은 자신의 직무와 관련된 적절한 기본 인증을 취득하고 유지해야 합니다.
여기에는 다음 기관의 인력이 포함됩니다.
시스템 관리, 네트워크 관리, 사이버 보안 모니터링, 엔지니어링 또는 정보 보증 관련 업무를 수행하는 모든 계약자, 민간인 또는 군인은 인증을 받아야 합니다.
다음과 같은 경우에 적용됩니다.
국방부 8140은 여러 인력 범주를 설정하고 각 범주에 해당하는 인증 요건을 규정합니다.
IAT 인력은 기술적인 사이버 보안 및 IT 지원을 제공합니다. 책임에는 네트워크 방어, 시스템 유지 관리 및 보안 구성이 포함됩니다.
레벨은 다음과 같습니다.
승인된 자격증으로는 A+, Network+, CCNA, Security+, CySA+, CASP+, CISSP 등이 있습니다.
IAM 담당자는 사이버 보안 프로그램에 대한 감독, 거버넌스 및 리더십을 제공합니다.
레벨은 다음과 같습니다.
승인된 자격증으로는 CAP, CISM, CISSP, GSLC 및 관련 관리 자격증이 있습니다.
IASAE 담당자는 국방부 네트워크를 위한 보안 시스템을 설계, 엔지니어링 및 아키텍처링합니다.
주요 직무는 다음과 같습니다.
승인된 자격증은 CISSP-ISSAP, CISSP-ISSEP, CSSLP입니다.
CSSP 담당자는 사이버 방어, SOC 운영, 사고 대응 및 취약점 분석을 지원합니다.
CSSP 직무는 다음과 같습니다.
승인된 자격증은 CEH, CySA+, GCIH, GCFA, CFR 및 전문 분야에 따른 기타 자격증입니다.
자격증 체계는 직무 기반이지만, 인력 그룹별로 적용되는 사항은 다릅니다.
계약업체는 다음 사항을 준수해야 합니다.
사이버 관련 업무를 수행하기 전에 승인된 자격증을 보유해야 합니다.
업무 수행 기간 동안 자격증을 유효하게 유지해야 합니다.
필요한 경우 계약 담당관에게 관련 서류를 제출해야 합니다.
인력 배치를 적절한 IAT, IAM, IASAE 또는 CSSP 범주에 맞춰야 합니다.
규정 미준수 시 다음과 같은 결과가 발생할 수 있습니다.
민간인 직원은 다음 사항을 준수해야 합니다.
국방부 산하 기관 정책에 따라 정해진 기한(일반적으로 배치 후 6개월 이내) 내에 필요한 자격증을 취득해야 합니다.
지속 교육 단위(CEU) 또는 지속 전문 교육(CPE)을 이수해야 합니다.
국방부 8140.03에 명시된 지속적인 직무 교육에 참여해야 합니다.
직무 설명을 DCWF 직무 코드와 일치시켜야 합니다.
또한 민간인 직원은 직무 기반 숙련도 및 유지 목표를 달성해야 합니다.
특권 접근 권한을 가진 담당자는 다음 사항을 준수해야 합니다.
권한 상승 전에 승인된 IAT, IAM 또는 CSSP 인증을 보유해야 합니다.
승인된 교육 및 지속 교육(CE) 프로그램을 통해 기술 숙련도를 유지해야 합니다.
국방부 표준에 부합하는 연간 사이버 보안 교육을 이수해야 합니다.
각 부서별 추가 요구사항(예: DISA, 해군 NMCI, 육군 사이버보안)을 충족해야 합니다.
직원은 다음 시점에 필요한 인증을 취득해야 합니다.
대부분의 인증은 2~3년마다 갱신해야 하며, 다음 인증이 포함됩니다.
갱신하지 않을 경우 국방부 규정 준수 자격이 자동으로 상실됩니다.
직원은 다음 시스템에 인증 내역이 기록되도록 해야 합니다.
조직은 인증 상태를 입증할 수 있는 감사 가능한 기록을 유지해야 합니다.
국방부는 다음을 포함한 승인된 기관의 인증만 인정합니다.
공식 국방부 8140/8570 승인 기준 인증 매트릭스에 등재된 인증만 인정됩니다.
인증 준수를 통해 다음과 같은 기회를 얻을 수 있습니다.
인증을 받은 직원은 지정된 직무에서 입증된 역량을 인정받습니다.
조직은 다음과 같은 이점을 누릴 수 있습니다.
규정을 준수하지 않을 경우 계약업체의 자격이 박탈되고 운영 능력이 제한될 수 있습니다.
국방부 인증 요건은 국방부의 사이버 보안 대비 태세 강화 노력의 핵심입니다. 계약업체, 민간인 및 IT/보안 담당자는 국방부 8140 기본 표준을 준수하여 진화하는 위협으로부터 국방부 시스템을 방어할 수 있도록 인력을 교육, 자격 및 장비를 갖춰야 합니다.
조직은 적절한 IAT, IAM, IASAE 또는 CSSP 범주에 인력을 배치하고 승인된 인증을 유지함으로써 안전하고 탄력적인 국방부 정보 환경 구축에 기여할 수 있습니다. 규정 준수는 계약상의 요구 사항일 뿐만 아니라 국방부 임무를 지원하는 모든 기관의 중요한 운영 우선순위입니다.
.jpg&w=640&q=75)
저작권 © 2024 - 모든 권리 보유.
