감사 전략과 최적화 [목표설정과 범위확정/위험평가와 우선순위 설정]

정보시스템 감사는 조직의 정보기술(IT) 시스템이 안전하고 효율적으로 운영되고 있는지 확인하는 프로세스입니다. 이를 위해서는 효과적인 감사 전략과 최적화 방법이 필요합니다. 

감사 전략과 최적화 [목표설정과 범위확정/위험평가와 우선순위 설정]

목표설정과 범위확정 / 위험평가와 우선순위 설정

1) 목표 설정과 범위 확정 : 
  정보시스템 감사의 목표는 기업의 정보시스템의 효율성, 안정성, 보안성, 무결성 등을 평가하고 개선 방향을 제시하는 것입니다. 예를 들어, 한 기업의 정보시스템 감사 목표는 다음과 같이 설정될 수 있습니다.
  - 정보시스템의 운영 및 관리 절차가 적절히 수립되어 있는지 확인
  - 시스템의 보안 위협으로부터의 적절한 방어 메커니즘이 구현되어 있는지 평가
  - 데이터의 무결성과 일관성을 보장하기 위한 관리 및 백업 절차를 검토

이러한 목표들은 감사의 범위를 결정하고 적절한 리소스를 할당하는 데 도움이 됩니다.  또한 감사의 초점을 확실하게 하고, 감사 보고서에서 추후의 개선 방향을 제시하는 데 도움이 됩니다.

  감사의 범위는 감사 대상과 감사의 깊이를 결정하는 것입니다. 범위를 정확하게 확정하지 않으면 감사가 비효율적이거나 필요한 정보를 얻지 못할 수 있습니다. 예를 들어, 위의 목표를 가지고 범위를 확정해보겠습니다.
  - 감사 대상: 회사의 주요 정보시스템 및 그에 대한 운영 및 관리 절차
  - 감사 범위: 정보시스템의 하드웨어, 소프트웨어, 네트워크, 데이터베이스 등의 구성요소 및 그들 간의 상호작용을 포함
  - 감사의 깊이: 운영 절차, 보안 정책 및 절차, 접근 제어, 데이터 백업 및 회복 절차 등에 대한 상세한 검토

이를 통해 감사 대상을 명확히 파악하고, 감사 활동을 효율적으로 수행할 수 있습니다.


2) 위험 평가와 우선순위 설정 :  
  정보시스템 감사에서 위험 평가와 우선순위 결정은 감사 결과를 해석하고 향후 개선을 위한 조치를 계획하는 중요한 단계입니다. 

 

위험평가의 단계

   -  위협 식별 : 감사에서는 정보시스템을 위협할 수 있는 내부 및 외부 위협을 식별합니다. 내부 위협으로는 내부 사용자의 부적절한 접근 또는 오남용이 있을 수 있고, 외부 위협으로는 해킹, 악성 코드, 자연재해 등이 있을 수 있습니다.
   -  취약성 식별 : 감사는 시스템 내의 취약점을 식별합니다. 예를 들어, 약한 암호 정책, 업데이트되지 않은 소프트웨어, 액세스 제어의 부재 등이 취약성으로 작용할 수 있습니다.
   - 위험 평가 : 식별된 위협과 취약성에 따라 위험 수준을 평가합니다. 각 위협과 취약성의 가능성과 영향을 고려하여 위험 수준을 결정합니다. 위험 평가는 주로 낮음, 보통, 높음과 같은 등급으로 나타낼 수 있습니다.

 우선순위 결정의 단계
   - 위험 우선순위 분류 : 위험 평가를 기반으로 위험 요인을 우선순위에 따라 분류합니다. 높은 위험 수준을 가진 요인에 대해 우선적으로 처리해야 합니다.
   - 비즈니스 영향 고려 : 각 위험 요인의 영향을 비즈니스에 고려하여 우선순위를 결정합니다. 예를 들어, 고객 데이터 유출과 같은 위협은 기업의 평판과 법적 문제에 영향을 미칠 수 있으므로 높은 우선순위를 부여해야 할 수 있습니다.
   - 자원 가용성 : 위험 대응을 위해 필요한 자원의 가용성을 고려하여 우선순위를 결정합니다. 한정된 자원을 효율적으로 사용하기 위해 가장 중요한 위험 요인에 우선순위를 부여해야 합니다.

이러한 절차를 통해 감사에서 발견된 위험 요인을 효율적으로 관리하고 개선에 필요한 조치를 우선순위에 따라 실행할 수 있습니다.