기준 및 규정 준수 확인 / 프로세스 및 제어 평가
1) 기준 및 규정 준수 확인 :
관련된 기준과 규정을 준수하는지 확인해야 합니다. 예를 들어, 정보보호 규정, 데이터 보호 법률 등이 해당됩니다. 감사자는 이러한 기준을 기반으로 시스템의 적법성과 안전성을 평가합니다.
정보시스템 감사에서 기준 및 규정 준수 확인은 해당 시스템이 적용 가능한 법적, 규제적, 그리고 기업 내부의 정책 및 규정을 준수하는지를 확인하는 과정입니다. 아래 예시를 통해 설명해드리겠습니다.
기준 및 규정 확인 절차는 아래와 같습니다.
- 법적 준수 확인 : 정보시스템 감사에서는 해당 국가의 법률 및 규제 요구 사항을 준수하는지를 확인합니다. 예를 들어, 개인정보 보호법, 데이터 보안 규정 등이 해당될 수 있습니다.
- 산업 규정 준수 확인 : 해당 산업의 특정 규제 요구 사항을 준수하는지를 확인합니다. 예를 들어, 금융 기관의 경우 금융 규정, 의료 기관의 경우 의료 정보 보호 규정 등이 해당될 수 있습니다.
- 기업 내부 정책 및 규정 확인 : 기업이 자체적으로 수립한 정보보안 정책, 접근 제어 정책, 데이터 보안 정책 등을 확인하여 이를 준수하는지를 검토합니다.
가령, 한 기업의 정보시스템 감사에서는 다음과 같은 절차를 통해 기준 및 규정 준수를 확인할 수 있습니다.
- 법적 준수 확인 : 감사자는 해당 국가의 개인정보 보호법과 데이터 보안 관련 규정을 검토합니다. 시스템이 개인정보를 적절하게 보호하고 있는지, 데이터의 안전한 저장 및 전송 방법을 준수하고 있는지를 확인합니다.
- 산업 규정 준수 확인 : 해당 기업이 속한 산업의 규정을 검토합니다. 예를 들어, 금융 기업의 경우 금융감독원이나 금융 규제 기관의 요구 사항을 준수하는지를 확인합니다.
- 기업 내부 정책 및 규정 확인 : 감사자는 기업의 정보보안 정책, 접근 제어 정책, 데이터 보안 정책 등을 살펴봅니다. 이러한 정책이 실제로 시행되고 있으며, 직원들이 이를 준수하고 있는지를 확인합니다.
이러한 절차를 통해 정보시스템 감사에서 기준 및 규정 준수를 확인할 수 있습니다.
2) 프로세스 및 제어 평가 :
시스템의 운영 및 관리 프로세스를 평가하고, 내부 제어 체계의 효과성을 검토해야 합니다.
이를 통해 잠재적인 위험을 줄이고 시스템의 안전성을 유지할 수 있습니다.
정보시스템 감사에서 프로세스 평가와 내부 제어 체계의 효과성 평가는 감사의 중요한 부분입니다. 이를 설명하기 위해 예시를 들어보겠습니다.
프로세스 평가를 예로 들어, 금융 기업의 정보시스템 감사를 가정해보겠습니다. 이 기업의 자금 이체 프로세스를 평가할 때 다음과 같은 프로세스 평가가 이루어질 수 있습니다:
- 프로세스 이해 : 먼저 자금 이체 프로세스의 전반적인 이해가 필요합니다. 이는 자금 이체가 발생하는 원천부터 목적지까지의 흐름을 이해하는 것을 의미합니다.
- 위험 식별 : 자금 이체 프로세스에서 발생할 수 있는 위험을 식별합니다. 예를 들어, 부정한 접근이나 오류로 인한 잘못된 이체가 발생할 수 있습니다.
- 제어 평가 : 프로세스 내에 구현된 내부 제어 체계를 평가합니다. 예를 들어, 이체 요청의 인증 절차, 이체 권한의 적절한 할당, 이체 거래의 모니터링 등이 있을 수 있습니다.
- 프로세스 효율성 평가 : 프로세스의 효율성을 평가하여 비용 절감이나 시간 단축 등의 개선점을 찾습니다.
자금 이체 프로세스에서 내부 제어 체계의 효과성을 평가할 때는 다음과 같은 사항을 고려할 수 있습니다:
- 내부 제어 체계 평가 : 프로세스에서 어떤 내부 제어 체계가 구현되어 있는지, 그 제어 체계가 얼마나 효과적으로 작동하는지를 평가합니다. 이는 주로 접근 제어, 권한 부여, 모니터링 및 감시 등을 포함합니다.
- 제어 테스트 : 실제로 내부 제어 체계가 제대로 작동하는지를 확인하기 위해 제어 테스트를 수행합니다. 이는 예를 들어, 랜덤한 이체 거래를 선별하여 권한 부여 프로세스가 올바르게 적용되었는지 확인하는 등의 활동을 포함할 수 있습니다.
- 제어 결함 식별 : 내부 제어 체계에서 발견된 결함을 식별하고 그 심각성을 평가하여 개선이 필요한 사항을 결정합니다.
- 제어 강화 및 개선 : 발견된 결함을 해결하고, 제어 체계를 강화하기 위한 개선 조치를 제안하고 실행합니다.
이러한 프로세스와 내부 제어 체계 평가는 감사에서 실제로 발견된 문제점을 해결하고, 시스템의 안정성과 효율성을 향상시키는 데 중요한 역할을 합니다.
'정보시스템 감사' 카테고리의 다른 글
감사 전략과 최적화 방법[기술적 검토 및 테스트/ 보고서 작성과 개선 제안] (0) | 2024.03.19 |
---|---|
감사 전략과 최적화 [목표설정과 범위확정/위험평가와 우선순위 설정] (0) | 2024.03.18 |
정보시스템 감사의 새로운 기술과 동향 [사이버 보안] (0) | 2024.03.14 |
정보시스템 감사의 새로운 기술과 동향 [개인정보 보호와 법규 중점] (0) | 2024.03.14 |
정보시스템 감사의 새로운 기술과 동향 [사물인터넷(IoT)] (0) | 2024.03.14 |