뉴질랜드 공공 부문 기관, AvePoint의 데이터 거버넌스 및 수명 주기 관리 기능으로 규정 준수 달성
Success Highlights
규정 준수를 충족하기 위한 레코드의 정확한 분류 및 아카이브
액세스 제어, 수명 주기 관리 및 자산 변경 또는 삭제 시각화를 통한 위험 최소화
800개 이상의 SharePoint 사이트에 대한 레코드 관리 및 자동 거버넌스
위치
Industry Public Sector
Platform Microsoft 365
이 뉴질랜드 공공 부문 기관은 주거용 부동산 소유주를 위한 연구와 지원에 투자합니다.
Critical Needs
- 공공기록법(PRA)에 따라 Archive NZ의 규정 요구 사항을 준수하도록 보장
- Microsoft 365 데이터 확산 위험 최소화
- 사용자가 생성, 변경하거나 삭제한 모든 자산에 대한 가시성 확보
- 거버넌스 및 정보 관리 자동화
The Challenge
공공 부문 기관에게 데이터 보안과 적절한 정보 관리는 뉴질랜드 시민의 정보를 보호하기 위해 필수적입니다. Microsoft 365 활용이 확대됨에 따라, 이 기관은 자산 보안을 강화하고 데이터를 분류하며 파일의 아카이브 및 파기 프로세스를 자동화해야 했습니다.
그러나 800개 이상의 SharePoint 사이트 모음으로 인해 데이터 수명 주기 추적, 중복, 오래되거나 불필요한(ROT) 데이터 관리, 공공기록법(PRA) 지침 준수 유지에 여러 어려움을 발생했습니다.
Microsoft 365 내의 콘텐츠 거버넌스를 관리하고, 특정 데이터 액세스 및 수명 주기 정책을 설정하며, 보안 위험을 줄일 수 있는 효율적인 도구가 필요했습니다. 또또한 이 모든 작업은 약 2개월이라는 짧은 기간 안에 완료되어야 했습니다.
AvePoint 솔루션을 도입한 이후, 기관은 사용자 개입 없이 실행되는 자동화된 원래 위치에 (in-place) 레코드 관리를 구현하여, 사용자에 의존하지 않고도 규정 준수를 안정적으로 유지할 수 있게 되었습니다. 또한 절실했던 액세스 제어와 수명 주기 관리 기능을 확립하여 IT 팀의 업무 부담을 줄이고, 보다 중요한 핵심 업무에 시간을 집중할 수 있게 되었습니다.
The AvePoint Solution
공공 부문 기관의 조달 핵심은 공공 부문 정보의 보안을 보장하기 위해 공급업체 보안 프로토콜을 검증하는 것었습니다. AvePoint의 보안 인증과 인가를 검토한 결과, 해당 기관은 솔루션이 뉴질랜드 정부의 인증 및 인가(C&A) 기준과 정보보안 등록 평가자 프로그램(IRAP)의 표준을 충족하는 등 엄격한 보안 요건을 만족한다는 점을 확인했습니다.
해당 기관은 AvePoint Cloud Governance 및 AvePoint Opus를 선택하여 Microsoft SharePoint 사이트와 Microsoft Teams 내 데이터를 관리하고, 이러한 애플리케이션에 액세스하는 게스트 사용자를 관리합니다.
AvePoint Cloud Governance 도입을 통해 기관은 설정된 정책 기반으로 800개 이상의 SharePoint 사이트 모음을 관리할 수 있게 되었습니다. 또한 AvePoint MyHub를 활용하여 다양한 유형의 Teams(내부, 외부 등) 자동 생성 서비스를 통해 사용자의 셀프 서비스 기능도 강화했습니다. 또한 비활성 한계치를 설정하여 지정 기간 동안 활동이 없을 경우, 작업 영역 소유자에게 갱신 알림을 자동으로 발송하여 불필요한 작업 영역 확산을 방지합니다.
초기에 거설정한 거버넌스 규칙을 세 개의 사이트 모음에만 먼저 적용하는 소규모로 시작했습니다. Cloud Governance가 데이터나 환경에 영향을 주지 않고 안정적으로 작동하는 것을 확인한 후, 기관은 이를 800개 전체 사이트로 확장 적용하는 데 확신을 가지게 되었습니다.
Cloud Governance 구현을 통해 기관은 Microsoft 365 애플리케이션에서 내부 및 외부 프로젝트의 권한 관리를 체계적으로 모니터링하게 되었으며, 필요한 사용자에게만 액세스 권한과 문서가 제공되도록 보장했습니다. 이를 통해 보안 요구 사항을 더 효율적으로 충족할 수 있으며, IT 팀의 업무 부담을 최소화할 수 있습니다.
기관은 Microsoft 365 콘텐츠 관리를 위해 AvePoint Opus를 사용했습니다. 이를 통해 비즈니스 분류 체계가 간소화되고, Microsoft 365 파일 변경 사항에 대한 실시간 알림과 상세 보고서가 제공되면서 콘텐츠 관리가 크게 향상되었습니다.
이에 따라 기관은 기본 기능으로 액세스할 수 없었던 모든 활성, 비활성 및 삭제된 콘텐츠를 단일 보고서에서 모두 확인할 수 있습니다. Opus는 비활성 또는 삭제된 파일에 대한 알림을 제공하며, 알림에 변경일, 변경 이유 등의 정보도 포함되어 레코드 이동에 대한 근거를 파악하는 데 도움이 됩니다.
기관은 이를 바탕으로 파기 전략을 간소화하여 PRA 요구 사항 위반 위험을 줄였고, 이는 아카이브된 파일이 적절한 기간 동안 유지된 후 적법하게 파기되었는지 확인하며 향후 규제 감사에도 대비할 수 있었습니다. 두 가지 AvePoint 솔루션은 기관이 데이터를 체계적으로 정리하고 데이터 확산을 방지하도록 지원했으며, 정보에 액세스하는 특정 팀에 대한 전체 통제력과 가시성을 확보하도록 지원했습니다. 가장 중요한 점은 AvePoint는 기관의 촉박한 일정에 맞춰 솔루션을 제공하여, 기관이 필요한 기능을 가능한 한 빠르게 활용할 수 있도록 했습니다.
해당 기관은 더 체계적이고 통제된 작업 환경을 구축하여 유연성과 생산성을 높였으며, 변화하는 환경에 더욱 신속하게 대응하고 시민들에게 보다 나은 서비스를 제공할 수 있게 되었습니다.
The Road Ahead
AvePoint 솔루션을 통해 기관은 이제 사용자 개입 없이 레코드 원래 위치에 보관을 자동으로 실행하여, 사용0자에 의존하지 않고 규정 준수를 유지할 수 있게 되었습니다. 또한 필요했던 액세스 제어 및 수명 주기 관리가 가능해지면서 IT 팀은 업무 부담을 줄이고 보다 중요한 업무에 시간을 투자할 수 있게 되었습니다. 이러한 효율성 향상은 기관이 고객의 요구 사항에 더욱 집중할 수 있도록 도왔습니다.
하지만 문제가 적절히 해결하지 않습니다. Cloud Governance는 관리 체계를 크게 개선했지만 동시에 새로운 질문도 생기게 했습니다. 예를 들어, 비활성 한계치를 통해 비활성 상태의 관리되지 않는 콘텐츠의 위험을 감지할 수 있지만 기관은 환경 내 다른 잠재적 위험 콘텐츠는 어떻게 식별할 수 있을지 고민하기 시작했습니다.
해당 기관은 로드맵의 일환으로 AvePoint Policies 및 Insights를 도입하여 위험 모니터링 기반의 강화된 보안 체계를 구축하고, Microsoft 365 작업 영역에 대한 정책 적용을 실행할 계획입니다. 필요한 인사이트를 통해 기관은 적절한 정책이 마련되었는지 확인하고 위험한 사용자 행동으로 인한 위험을 줄일 수 있습니다.
