[CISA 이론 정리 - 1장] 2. 통제 목적과 통제 절차
- CISA/1. IS 감사 프로세스
- 2016. 3. 7. 12:19
2. 통제 목적과 통제 절차
1) 의의
(1) 내부(Internal) 통제와 IT 통제
내부 통제란 조직이 비즈니스 목적 달성과 위험 관리에 사용하는 모든 요소들을 통칭한다.
IT 통제란 내부 통제 중 IT에 특화된 부분으로서 내부 통제의 효과와 효율에 영향을 준다.
건실한 내부 통제 및 IT 통제를 설계하고 효과적으로 운영할 궁극적 책임은 경영진에게 있다.
각각의 통제가 목적을 달성하고 있다는 합리적 보증을 제공할 책임 역시 경영진에게 있다.
(2) 통제 목적(Control objective)
통제 목적이란 조직이 통제를 통해 궁극적으로 달성하고자 하는 결과나 상태이다.
조직 환경 및 관련 기술의 변화에도 불구하고 통제 목적은 크게 변하지 않았다.
자주 언급되는 IT 통제 목적에는 다음과 같은 것들이 포함된다.
가치 극대화
- 효과성(Effectiveness): IT의 궁극적인 목적을 달성한다.
- 효율성(Efficiency): 자원 및 시간의 투입에 비해 산출이 높다.
정보 보안
- 기밀성(Confidentiality): 정보의 무단 공개, 프라이버시 침해가 없다.
- 무결성(Integrity): 정보가 정확하고 완전하며 일관성이 있다.
- 가용성(Availability): 원하는 서비스를 적시에 받을 수 있다.
사회적 책임
- 준법(Compliance): 관련 법규 및 내부 규정을 적절히 준수한다.
- 신뢰성(Reliability): 정보가 사실이며 객관적이고 검증 가능하다.
(3) 통제 절차(Control procedure)
통제 절차란 통제 목적을 달성하기 위해 조직이 고안한 구체적인 방법, 순서, 대책을 설명한다.
통제 목적이 같더라도 통제 절차는 조직 환경과 관련 기술에 따라 달라질 수 있다.
통제가 성공하려면 통제 절차를 통제 목적에 맞추어 설계(adequate design)해야 한다.
또한 통제 절차를 원래 취지에 맞게 효과적으로 운영(effective operation)해야 한다.
통제 목적의 달성 = 통제 절차의 적합한 설계 × 통제 절차의 효과적 운영
2) 통제 유형
통제는 해당 통제가 적용되는 시점에 따라 예방 통제, 적발 통제, 탐지 통제로 구분한다.
예방 통제(Preventive Control)
• 부적절한 사건/상황이 일어나지 않도록 사전에 조치한다.
• 관련자들이 바람직한 행동을 하도록 지침이나 방향을 제시한다.
• 예) 접근 통제, 신원 확인(직원 채용 시), 직무 분리, 정책/지침 등
적발 통제(Detective Control)
• 부적절한 사건/상황이 일어나면 시기적절하게 식별/보고한다.
• 지속적 감사와 주기적 검토 노력이 필요하다.
• 예) 화재 경보기, IDS(침입 탐지 시스템), 해시 값 비교 등
교정 통제(Corrective Control)
• 적발된 사건/상황에 대응하여 피해/손실의 확산을 막는다.
• 귀책 사유가 있는 대상을 처벌하고 재발 방지 대책을 수립한다.
• 예) 스프링클러, 비상 조치, CCTV, 징계 조치 등
복구 통제(Recovery Control)
• 부적절한 사건/상황으로 인해 발생할 피해를 극복한다.
• 장해/혼란을 정돈하고 정상적인 운영 상태로 회복한다.
• 예) 데이터 백업, 수작업 대체 처리, BCP/DRP 등
넓은 의미에서 복구 통제를 교정 통제에 포함시키기도 한다.
통제를 구현하는 방법에 따라 다음과 같이 구분한다.
특정 통제가 전체적인 통제를 강화하는 방법에 따라 보완 통제와 중복 통제로 구분한다.
보완 통제(Compensating Control)
• 기존의 통제 약점을 완화하기 위해 추가로 구현한다.
• 예) 직무 분리가 미흡할 때 감독자 검토의 빈도를 높인다.
• 예방 통제가 빈약할 경우 적발이나 교정 및 복구 통제로 보완한다.
중복 통제(Overlapping Control)
• 통제의 강도를 높이기 위해 같은 목적의 통제를 병행한다.
• 예) 신입 사원 신원 조회를 하면서 참조 조사를 병행한다.
• 지나친 중복으로 인해 자원이 낭비되는 일이 없도록 해야 한다.
통제가 적용되는 범위에 따라 다음과 같이 구분한다.
일반 통제(General Control)
• 조직의 모든 영역에 적용되며 조직 차원의 통제라고도 한다.
• 예) 내부 회계 통제, 운영 통제, 관리 통제, 조직 보안 정책 등
• IS 특화 통제를 구현할 때는 일반 통제를 적절히 반영해야 한다.
IS 특화 통제(IS Specific Control)
• IS 자산과 직접적으로 관련이 있으며 IS 통제라고도 한다.
• IS 일반 통제와 응용(application) 통제로 구분하기도 한다.
• IT 일반 통제: IS 관련 활동 전반에 영향을 미치는 통제이다.
예) IT 전략, IT 조직 관리, IT 자원 접근 통제, 시스템 개발 등
• 응용 통제: 특정 응용 시스템의 입력/처리/출력에 대한 통제이다.
예) 입력 데이터 확인/편집, 배치 통제 합계, 보고서 배포 통제 등
기타 다음과 같은 용어가 사용되기도 한다.
• 하드웨어 통제(Hardware Control): 컴퓨터 하드웨어를 대상으로 하는 통제
• 소프트웨어 통제(Software Control): 소프트웨어에 내장되어 운영되는 통제
• 환경 통제(Environmental Control): IPF(정보 처리 시설)의 기술적 성능에 영향에 주는 환경 요인들에 대한 통제
• 지시 통제(Directive Control): 바람직한 행동이 무엇이고 금지되는 행동이 무엇인지를 알려 주는 통제로서 관리적 통제와 유사한 의미이다. 예) 정책, 절차, 교육 등
• 억제 통제(Deterrent Control): 통제/보안 규정을 위반하려는 의지/욕구를 억제하기 위해 구현한다. 예) 담장, 출입 금지 문구, CCTV, 감시 절차 등
'CISA > 1. IS 감사 프로세스' 카테고리의 다른 글
[CISA 이론 정리 - 1장] 4. 위험 관리 (2/2) (0) | 2016.03.17 |
---|---|
[CISA 이론 정리 - 1장] 4. 위험 관리 (1/2) (0) | 2016.03.17 |
[CISA 이론 정리 - 1장] 3. 통제 모형 (2/2) (0) | 2016.03.11 |
[CISA 이론 정리 - 1장] 3. 통제 모형 (1/2) (2) | 2016.03.08 |
[CISA 이론 정리 - 1장] 1. 조직과 보증 (0) | 2016.03.07 |