본문 바로가기
카테고리 없음

ITGC, IT 감사

sina__mon 2025. 2. 18. 23:09

* ITGC(Information Technology General Controls, IT 일반통제)

기업의 IT 시스템이 안전하고 신뢰성 있게 운영되는지 검토하는 과정
전산감사 대응은 IT 시스템이 내부 및 외부 감사 기준을 충족하는지 확인하고, 감사 요청 사항을 해결하는 업무를 의미
기업에서는 ITGC 평가 및 전산감사를 통해 재무 데이터의 신뢰성을 확보하고, 보안 위협을 방지하며, 규제 준수 여부를 점검해.

🔹 ITGC 평가의 핵심 영역 (주요 점검 항목)
ITGC는 기업의 IT 환경 전반을 점검하는 것으로, 보통 아래 4가지 영역으로 나눠서 평가해.

1️⃣ 접근통제 (Access Control)
중요 시스템 및 데이터 접근 권한 관리, 권한 부여/회수 프로세스 적절성 검토, 불필요한 관리자 계정, 미사용 계정 점검
2️⃣ 변경관리 (Change Management)
SW 및 시스템 변경 사항이 적절하게 승인 및 기록되는지 검토, 변경 요청, 승인, 테스트, 배포 프로세스 확인, 변경 이력 및 영향 분석 기록 유지 여부 점검
3️⃣ 운영 및 모니터링 (IT Operations & Monitoring)
시스템 운영 및 장애 대응 프로세스 관리, 로그 모니터링 및 백업 관리 체계 점검, 주요 IT 시스템의 성능 및 장애 대응 프로세스 적절성 확인
4️⃣ 보안 및 장애 대응 (Security & Incident Management)
보안 정책 준수 여부 및 침해사고 대응 프로세스 검토, 데이터 암호화 및 보안 패치 관리, 침해사고 대응 및 로그 분석 체계 점검

 

💡 예제
DB 관리자 계정이 너무 많거나, 퇴사한 직원의 계정이 남아 있으면 ITGC 감사에서 지적됨
ERP 시스템 변경 내역이 제대로 기록되지 않으면, 변경관리 프로세스 미흡으로 평가됨

 

1️⃣ ITIL 및 거버넌스 문서 학습 (이론적 기반 마련)

IT 거버넌스를 이해하려면 먼저 ITIL, COBIT, ISMS, ISO 27001 같은 표준 프레임워크를 학습하는 것이 중요해.

📌 실천 방법
✅ ITIL(IT Infrastructure Library) 학습 → IT 서비스 관리의 베스트 프랙티스 익히기
✅ COBIT(Control Objectives for Information and Related Technologies) → IT 거버넌스 및 감사 프레임워크 이해
✅ ISO 27001, ISMS → 정보 보안 및 내부 통제 기준 분석

📌 활용 가능한 자료

ITIL 4 Foundation 무료 강의(유튜브, Udemy)

COBIT 2019 프레임워크 문서 읽기

ISO 27001 및 ISMS 가이드 문서 다운로드 후 정리

 

2️⃣ 내부 IT 정책 및 보안 기준 분석 (실무에 맞춘 학습)

실제 기업의 IT 정책과 보안 기준을 분석하면서 학습하는 것이 중요해.

📌 실천 방법
✅ 현재 기업 또는 관심 있는 기업의 IT 보안 정책 문서 찾아 읽기
✅ ISMS-P(정보보호 관리체계) 인증 기준을 분석해 내부 정책과 비교
✅ 주요 IT 거버넌스 항목(예: 접근 제어, 로그 관리, 패치 관리, 백업 정책 등) 정리

💡 응용법

자신이 다니는 회사(또는 관심 기업)의 IT 정책이 ITIL/COBIT 기준과 얼마나 부합하는지 분석

개선할 점을 정리하고, 어떻게 보완할 수 있을지 고민

 

3️⃣ 감사 대응 프로세스 실습 (실전 대비)

감사는 문서 기반으로 진행되기 때문에 실제 감사를 대비해 문서를 정리하고, 내부 통제 프로세스를 구축하는 연습이 필요해.

📌 실천 방법
✅ 감사 시 자주 확인하는 문서 조사 (예: 접근 권한 관리 대장, 보안 점검 보고서, 변경 이력 관리 문서)
✅ 샘플 감사 체크리스트 작성 (IT 감사 보고서, 로그 기록 관리 기준 등 정리)
✅ 가상의 IT 감사 시뮬레이션 진행

예: "내부 개발자의 DB 접근 기록이 적절하게 관리되고 있는가?"

해결책: 접근 로그 자동 수집 및 주기적 검토 프로세스 구축

💡 응용법

가상의 IT 감사 보고서를 작성해 보고, 어떤 부분이 취약한지 분석

IT 감사 대응 관련 문서를 찾아보며 실제 기업에서 어떻게 대응하는지 정리

 

4️⃣ 실무 적용 방안 고민 및 경험 쌓기

이론 공부 후 실제 업무에 적용하는 것이 중요해!

📌 실천 방법
✅ 사내 프로젝트나 내부 프로세스 개선에 참여
✅ IT 보안 및 감사 관련 동향 정리하여 팀에 공유
✅ 보안 이슈 대응 프로세스를 문서화해보는 연습

💡 응용법

현재 회사에서 IT 거버넌스 개선 아이디어 제안

사내 보안 점검 활동에 참여하여 실제 IT 감사 대응 경험을 쌓기

보안 관련 컨퍼런스, 세미나 참석 후 팀원들과 공유

 

🎯 최종 목표: IT 기획자로서의 역할 확대

ITIL 및 IT 거버넌스를 학습하고, 내부 정책을 분석하며 실무 적용 방안을 고민하는 과정을 거치면, IT 기획자로서의 전문성을 강화

📌 이렇게 발전 가능!
✅ IT 기획자로서 IT 거버넌스 및 보안 정책 수립 역할 수행
✅ IT 감사 대응 시 리스크 분석 및 개선 방향 제시
✅ ITIL 및 거버넌스 기반의 효율적인 IT 서비스 관리 프로세스 구축

티스토리툴바