* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
보안감사의 분류
보안감사는 감사 주체에 따라 내부감사와 외부감사로 나눌 수 있으며, 감사시기에 따라 정기 보안감사와 수시 보안점검으로 나눌 수 있다.
| 보안감사 주체 | 내부 보안감사 | • 보안팀 또는 감사팀에 의해 수행 |
|---|---|---|
| 외부 보안감사 | • 감리회사, 회계법인, 보안 컨설팅 전문회사 • 정보보호안전진단 등 • 금융감독원 등 정부기관 |
|
| 보안감사 시기 | 정기 보안감사 | • 연간 감사계획에 따라 보안영역 전반에 대하여 정기적으로 실시하는 보안감사 • 매월 또는 분기, 반기 등 일정한 기간마다 시행되는 보안 감사 |
| 수시 보안감사 | • 보안사고 발생직후 또는 보안사고 징후가 있다고 판단될 경우 실시되는 특별한 보안 감사 • 감사 대상의 평상시 보안 상태를 점검하기 위해 공지하지 않은 상태에서 실시하는 보안 감사 |
내부감사는 기업 조직 및 각 팀의 업무 정의에 따라 보안팀 또는 감사팀에서 수행되며, 외부감사는 회사의 업종 및 해당 법규 등 규제에 따라 달라지며, 감사 주체도 다르다. 감사시기에 따른 분류로는 정기 보안감사와 수시 보안감사로 나눌 수 있으며, 정기 보안감사는 연간 계획에 의해 진행되며 보안 영역 전반을 대상으로 하는 감사와 매월, 분기 또는 반기 등 회사의 정책에 따라 수행되는 정기 보안감사로 나눌 수 있다. 매월, 분기 또는 반기 등 시행되는 정기 보안감사는 전체 보안영역이 아닌 일부 보안영역 가령, VPN 사용현황, 데이터베이스 접근 현황 감사 등에 국한되어 진행된다. 반면, 수시 보안감사는 보안사고 발생 직후 또는 보안사고 징후가 있을 경우 전체 또는 일부분에 대해 시행되는 보안 감사로, 예를 들어 한 대의 웹 서버의 쓰기 권한 허용으로 인해 홈페이지 변조사고가 발생하였을 경우, 신속한 조치 후 전체 웹 서버의 쓰기 권한을 점검하는 활동이나, 일부 서버가 꼭 적용해야 할 패치를 적용하지 않았음을 발견한 직후 모든 서버에 대해 패치 적용여부를 점검하는 활동 등이 있다. 또한 감사대상에 대한 일상적인 보안활동을 점검하기 위해 수시로 시행되는 보안 점검을 수행할 수 있는데 이 역시 수시 보안 감사의 한 예다. 예를 들어 임직원이 PC 보안 상태를 확인하기 위해 퇴근한 직후 끄지 않은 컴퓨터를 점검하는 활동이나, 임직원 PC의 패스워드 정책 및 바이러스 백신 정책적용 등을 점검하는 활동 역시, 수시 보안감사라고 하겠다.
