[금융보안] 금융IT 내부 감사 활동의 이해 - 금융 내부감사의 필요성, 내부감사 패러다임, 내부감사의 범위, 금융정보보호 대책, 내부감사인의 역할, 내부감사대응

A. 금융 내부감사의 필요성

1. 금융보안 환경의 변화

금융 IT환경의 변화

• 새로운 서비스의 출현
• 금융패러다임의 변화
• 보안 인증 확일화 탈피

 

금융보안의 변화

• 규제중심 → 자율ᆞ책임 중심
• 정부 주도 → 금융회사 중심
• 고객 중심의 사전대응 → 금융회사의 보안 강화
• 사전 예방 → 사후점검, 복구 및 회복
  • 특히, 보안이 비용보다는 투자라는 인식으로 변화하면서 CEO와 경영진뿐만 아니라, 전 직원이 참여해 주도하는 보안으로 변화하고 있음
  • 자율규제로의 변화는 사고발생시 책임 부과를 엄중히 할 것임 을 의미하며, 마이데이터 제도 시행으로 보안과 개인정보보호에 대한 수요가 큰 폭으로 증가함

반응형

2. 내부감사 패러다임 및 역할의 변화

금융회사 자율점검 강화

• 자율규제로의 변화 → 사고발생시 책임 부과를 엄중히 할 것임을 의미
• 마이데이터 제도 시행 → 보안과 개인정보보호에 대한 수요가 큰 폭으로 증가

금융 IT 자율보안체계의 한계

• 한계점
  • IT감사 전문인력 부족으로 감사 · 점검 어려움
  • 점검항목이 많아 형식적 이행 가능성
• 개선방향
  • IT 내부감사 가이드라인/교육프로그램 마련
  • 감사부서 내 IT감사 전담인력 배치 권고
  • ‘IT부문 금융회사 내부감사 협의제도’ 대상 금융회사/점검항 목을 필수항목 위주로 확대
  • 지나치게 세세한 점검항목을 필수항목 위주로 개편

 

3. 금융IT 내부감사제도 도입의 필요성

도입의 필요성

• 금융회사의 건전성과 지속 가능성 측면에서 IT부문의 효과성 · 효율성 · 안전성이 중요
• IT조직 및 운영규모에 따라 차등화하여 내부통제제도 수립 필요
• IT조직 및 운영규모에 따라 차등화하여 내부통제제도 수립 필요
• 독립적인 위치에 있는 내부감사조직을 확보하여 내부통제수 행을 주기적 점검할 필요

 

도입 효과

• 사고위험 미연에 방지
• 업무의 효율성 ·투명성 증대
• 기업의 지배구조 개선
• 업무 프로세스 개선을 통한 업무 효율성 제고
• 감사업무 효율성 증대
• 해당기관의 신뢰성 제고
  • 내부감사정보체계의 도입 및 금융 IT 내부감사 시행 필요

 

 

B. 금융 IT 내부감사란?

1. 내부감사의 직무와 종류

내부감사 직무

• 한 조직의 업무수행의 가치를 증대하고, 개선시키기 위해 설정된 독립적 ·객관적인 검증 및 컨설팅 활동
• 리스크를 관리하고, 내부를 통제하며, 지배구조 프로세스의 효 과성을 평가 ·개선함으로써 조직이 목표를 달성하는 데 도움을 줌

 

내부감사의 종류

• 감사부서의 IT감사: 한 조직의 업무수행의 가치를 증대하고 개 선시키기 위해 설정된 독립적, 객관적인 검증 및 컨설팅 활동
• 2선 부서의 IT감사: 내부통제 활동 전반에 대해 검토를 수행하는 것을 의미
• IT부서의 IT자체감사: IT기획 또는 IT부서 자체적으로 수행하는 감사

 

2. 금융IT 내부감사의 목적

내부감사 목적

• 금융업무 IT 구축 및 운영
• 시스템 개발 · 도입 · 운영 및 유지보수의 품질보(Assurance)
• IT통제, IT거버넌스, IT서비스 제공 및 지원
• IT부문 전반에 걸쳐 적절한 내부통제제도 수립
• 내부통제활동을 내부감사조직이 주기적으로 점검 및 보고
• IT부문의 효과성, 효율성 및 안전성 확보
  • 금융회사 경영의 건전성 및 지속가능성 지원

 

IT통제의 범위

• IT 경영관리, EA/ITA 도입
• 정보화전략계획(ISP/BPR) 수립
• 정보시스템 개발관리, 데이터 자원관리
• 시스템 운영
• 유지보수
• 품질보증
• 시스템 보안
• 정보보호
• 개인정보보호
• IT내부감사 등

 

IT거버넌스

• IT의 연계강화, 가치 증대를 위한 틀로써 이사회, 경영진, IT 관리자 모두가 참여하여 IT 투자 및 위험 관리, 효과적 IT 자 원관리 등을 목표로 시행하는 프로세스, 리더십, 의사결정 체 계 및 활동

 

3. 금융IT 내부감사의 범위와 금융정보보호 대책

금융 IT 내부감사 범위

• IT 지배구조(Governance)
• 보증활동(Assurance)
• 내부통제제도와 통제활동
• 시스템보안 통제활동
• 정보보호 통제활동
• 개인정보보호 통제활동

 

반응형

4. 금융IT 내부감사 영역

IT거버넌스 감사

• IT의 연계강화, 가치 증대를 위한 틀
• 이사회, 경영진, IT 관리자 모두가 참여하여 IT 투자 및 위험 관 리, 효과적 IT 자원관리 등을 목표로 하는 프로세스, 리더십, 의 사결정 체계 및 활동

 

IT서비스 감사

• 정보 시스템 사용자에게 만족할 수 있는 서비스를 제공하기 위하여 지속적인 관리를 통해 서비스의 품질을 유지 · 증진시키기 위한 일련의 활동
• 기업 내부의 기존 정보기술 관리 역할을 서비스 관점으로 바 꿔서 고객 중심의 IT 서비스로 관리하는 기법

 

SDLC 감사

• 개발하고자 하는 시스템이 비즈니스와 고객의 요구사항을 충족시키는지를 확인하는 과정
• 사용자 요구분석, 설계, 테스팅, 시행, 운영 및 유지보수 등의 단계로 구성되어 있음

 

IT응용시스템 감사

• 기능적 요구사항이 사용자의 요구사항을 충분히 반영하여 구현되었는지를 검토함

 

IT업무지속성 확보대책감사

• 장애, 재해, 파업, 테러 등 긴급한 상황이 발생하더라도 업무 가 중단되지 않도록 예방함
• 중단되는 경우 이를 신속하게 복구할 수 있도록 행동매뉴얼 또는 비상대책에 업무지속성확보대책(BCP)을 포함시켜야 함

 

정보보안경영감사(ISMS)

• 금융정보를 수집 · 가공 · 저장 · 검색 · 송신 · 수신하는 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적 · 기술적 · 물리적 대책에 대한 감사

 

통신 네트워크 인프라 보안감사

• IT응용시스템의 처리를 가능하게 해 주는 기반기술구조에 감 사로, 기반기술구조에는 하드웨어, 운영체제, 데이터베이스 관리시스템, 네트워킹, 멀티미디어 등을 포함한 시설이 포함됨

 

 

C. 내부 IT 감사인이란?

1. 내부IT 감사인의 전문적 수준

IT감사인의 전문적 수준

• 컴퓨터시스템응용기술사, 정보관리기술사, 정보처리기사, 정 보처리산업기사
• 정보통신기술사, 정보시스템감리사, 정보통신기사, 정보통신 산업기사
• 정보보안기사, 정보보안산업기사
• 국가직무능력표준(NCS) 보유자
• 정보시스템감사사(CISA)
• 내부감사사(CIA : Certified Internal Auditor)
• CISM(Certified Information Security Manager)
• CISSP(Certified Information Systems Security Professional)

 

2. 내부감사인의 역할과 내부감사의 기능

내부감사의 기능

• 회사 집행부에 대한 견제 기능
• 회사 운영의 적법성 및 준거성 제시
• 회사 경영의 투명성 제고
• 회사 자산의 건전성 보완
• 위험관리의 효율성 제고

 

금융 IT내부감사의 기능

• 회사가 지향하는 목표달성 지원
• 내부 통제시스템의 효과성 추구
• 위험관리시스템의 개선 촉진
• 정보시스템의 효율성 및 안전성 추구
• 품질보증 프로그램 개선
• 내부평가

 

반응형

3. 내부감사인의 운영과 행동원칙

내부감사 행동원칙

• 성실성의 원칙
• 객관성의 원칙
• 감사조직의 독립성
• 숙달된 전문가로서의 정당한 주의
• 전문성의 원칙
• 숙달을 위한 지속적 직무능력 개발

 

 

D. 내부감사대응

1. 피감사인의 자세 및 준비사항

피감사인의 자세

• 업무의 사실(Fact)을 제시해야 함
• 숙달된 전문가인 감사인을 신뢰해야 함
• 감사인이 지적한 사항은 수긍해야 함
• 감사인을 두려워하지 말아야 함

 

2. 내부감사대응을 위한 평상시 업무 수행방법

윤리강령

• 나는 회사의 담당자로 직무를 수행함에 있어,
• 회사의 설립목적과 목표 달성을 우선으로 생각한다.
• 객관성과 공정성을 유지한다.
• 준법성과 비밀에 대한 보안을 유지한다.
• 지속적인 자기 계발을 통하여 전문성을 유지한다.

---

 

[AWS] Transit Gateway (TGW) - AWS 계정 간의 VPC 통신

[AWS] Transit Gateway (TGW) - AWS 계정 간의 VPC 통신

 

[Network] 1. 네트워크 공격 위협 개요

[Network] 1. 네트워크 공격 위협 개요

 

[AWS] AWS 인프라 개요

[AWS] AWS 인프라 개요