레이블이 내부감사인 게시물을 표시합니다. 모든 게시물 표시
레이블이 내부감사인 게시물을 표시합니다. 모든 게시물 표시

2018년 8월 21일 화요일

사이버보안과 내부감사의 역할 (딜로이트)

 뉴딜코리아 홈페이지




사이버보안과 내부감사의 역할 (딜로이트)
(Cybersecurity and the role of internal audit: An urgent call to action)
□ 사이버 위험평가의 필요성과 방법
기업의 사이버 위험에 대한 평가는 아래의 세 가지 질문에서 시작합니다.

 1. 사이버 위협의 주체가 누구인가?
범죄자, 경쟁자, 외부 공급업체, 불만을 품은 내부자, 특정한 목표를 지닌 해커 등 다양한 주체가 될 수 있음.

 2. 사이버 공격의 목적은 무엇이며, 어떤 사업위험이 완화되어야 하는가?
돈이나 지적재산권을 노릴 수도 있고, 회사 운영을 중단시키거나 평판을 훼손하려는 의도일 수도 있으며, 보건 및 안전의 위험을 초래할 수도 있음.

 3. 어떤 경로로 공격할 수 있는가?
피싱, 시스템의 취약성, 탈취한 자격증명(ID와 패스워드)을 사용하거나, 취약한 제3자의 네트워크를 통해 회사의 시스템에 접근할 수 있음.
3단계 방어선

사업부문과 IT기능은 일상적인 업무 의사결정 및 운영과정에서 사이버 리스크를 관리하는데 이것이 1차 방어선을 구성합니다.

2차 방어선은 사이버 리스크를 관리·감독하고, 정보보안 운영을 모니터링하여 필요 시에 적절한 조치를 취하는 정보위험관리자들이 주된 역할을 합니다.

2차 방어선은 최고 정보보안책임자(CISO)의 지휘 하에 이루어지는 경우가 많습니다.

 많은 기업에서 사이버 리스크의 3차 방어선, 즉 내부감사에 의한 정보보안관리의 독립적인 검토와 확인이 필요하다는 인식이 증가하고 있습니다.

내부감사는 조직의 정보보안체계를 평가하고 개선기회를 식별하는데 핵심적인 역할을 담당하여야 합니다.

동시에, 법적, 재무적 책임을 부담하는 이사회에서 정보보안에 대한 관심이 높아짐에 따라, 내부감사는 관련된 내부통제가 제대로 설계되고 작동하고 있는지를 감사위원회와 이사회에 보고할 의무가 있습니다.



☞첨부파일 :  Cybersecurity and the role of internal audit: An urgent call to action

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 
작성자: 시간: 댓글 없음:
라벨: , , , , , , , , ,

2017년 3월 2일 목요일

IT 검사 업무 안내서(금융감독원, 2017년 01월)

출처 :  뉴딜코리아 홈페이지

IT 검사 업무 안내서
(금융감독원, 2017년 01월)


◇ 본 안내서는 금융감독원의 IT검사 절차 및 주요 점검항목 등을 안내함으로써 금융회사의 수검 편의성을 높이고 내부감사 등에 활용할 수 있도록 만들어 졌습니다.

향후 검사업무 수행 결과 등을 반영하여 본 안내서에서 제시하고 있는 체크리스트 및 사례 등을 지속적으로 보완·개선해 나갈 예정입니다.

 ◇ 본 안내서는 검사업무 안내를 위해 작성된 참고자료로써 실제 검사 및 제재 등 관련업무의 위법 여부를 판단하기 위한 지침으로는 적용되지 않으니 활용 시 유의하여 주시기 바랍니다.


[ 목 차 ]

제1장  검사업무 전반
 101. 검사계획 수립 009
 102. 검사 착수 014
 103. IT실태평가 절차 019
 104. 현장검사 종료 이후 023

 제2장  IT부문 실태평가
 201. 업무 개요 029
 202. 평가 분야 및 항목 032
 203. 평가 방법 033
 204. 평가 결과의 활용 036

 제3장  IT감사
 301. 평가목적 041
 302. 체크리스트(IT감사 부문, 대형은행 기준) 042

제4장  IT경영
 401. 평가목적 053
 402. 체크리스트(IT경영 부문, 대형은행 기준) 054

 제5장  시스템 개발 ․ 도입 및 유지보수
 501. 평가목적 081
 502. 체크리스트(시스템 개발 ․ 도입 및 유지보수 부문, 대형은행 기준) 082

 제6장  IT서비스 제공 및 지원
 601. 평가목적 103
 602. 체크리스트(IT서비스 제공 및 지원 부문, 대형은행 기준) 104

 제7장  IT보안 및 정보보호
 701. 평가목적 125
 702. 체크리스트(IT보안 및 정보보호 부문, 대형은행 기준) 126

<부록>1. IT부문 실태평가용 체크리스트(종합) / 153
2. 금융회사 IT검사 사전징구자료 양식 / 175
3. IT부문 검사결과 반복적 지적사항 / 207
4. 대규모 IT사업 추진 관련 유의사항 / 211
5. IT부문 비조치의견서 사례집 / 215
6. IT리스크 계량평가등급 산정용 평가항목 명세 / 231
7. 이사회·경영진의 책임과 역할 관련 체크리스트 / 237
8. 사이버보안(cyber-security) 수준 평가 / 241
9. 모바일 금융서비스 관련 체크리스트 / 249
10. 관련 법규 / 255


[첨부파일] IT 검사 업무 안내서(금융감독원, 2017년 01월) 



작성자: 시간: 댓글 없음:
라벨: , , , , , , ,
피드 구독하기: 글 (Atom)