문서의 이전 판입니다!


보안 감사 관리

(출처 : CERT구축 운영(2010), KISA)

보안 감사는 회사에서 이뤄지는 보안활동이 적절히 이뤄지고 있는지 확인하는 활동으로 각 회사의 업무와 정해진 정책 그리고 수행되고 있는 보안 활동에 따라 감사활동은 다르게 수행되어야 한다.

IT감사 및 IT보안감사 관련자료


선진국의_it감사기준_분석을_통한_it감사체계_발전방안_연구-감사원.pdf
주요내용
지난 10년간 공공부문의 정보화 및 전자정부사업에 대하여 대규모 예산이 투입되었으나 이러한 사업들이 원래의 목적을 달성하였는지의 여부에 대한 체계적인 점검활동이 부족하였고, 감사초점이 일정한 기준에 의하여 결정되기보다는 특정사안의 중요성, 감사증거 확보의 용이성 등 감사결과를 확신 할 수 있는 경우에 대부분 맞추어져 있어 감사의 일관성이 부족하였다. 따라서 표준화된 감사기준에 따라 일관성 있고 체계적인 IT감사접근방법으로의 패러다임 전환이 필요한 시점이다. 대규모 예산이 투입되는 정보시스템 구축사업의 경우 상시 모니터링을 통하여 예산의 낭비를 막고 사업결과의 효과성 및 효율성을 주기적으로 관리 감독하는 체계가 마련되어야 한다. 그럼에도 불구하고 정보화사업에 대한 감사원 감사가 비정기적 ․ 비계획적으로 이루어고 있는 것은 중요도 면에서 사회적 파급효과가 큰 감사에 집중하고, 증거 확보가 비교적 용이한 감사에 중점을 두고 있기 때문에 상대적으로 소홀한 것이라고 예상된다. 따라서 본 연구에서는 체계적인 감사기준을 통한 점검활동과 감사의 일관성을 확보하기 위하여 IT감사의 개념 및 GAO, NAO 등 주요국 감사원의 IT감사 현황을 살펴보고, INTOSAI, 미국 정보시스템감사통제협회(ISACA) 등의 국제적인 IT감사기준을 감사단계별로 비교 ․ 분석해보고, IT감사수행 시 공통적으로 고려하여야 할 전략, 12개의 감사중점사항을 제시하였다. 이러한 종합적인 연구결과가 감사원의 IT감사를 한층 발전시키는 첫 단추가 되기를 희망한다. 끝으로 본 연구를 위하여 열심히 수고해준 호진원 연구관의 노력에 감사를 표하는 바이다.