감사절차서¶
* 해당 문서는, 감사절차서 작성에 앞서, 참고할수 있는 샘플로 활용하기 위하여 작성되었습니다. 1. 목적¶
각 팀별 정보보안 활동 및 관련 결과가 계획된 사항에 부합하는지 여부를 검증하고,
현재 운영중인 정보보안시스템이 조직에 잘 적용되는지 확인한다. (단, 현재 보안팀은 제외한다.)
2. 적용범위¶
사내 보안 감사 절차에 대하여 적용한다.
3. 책임 및 권한¶
3.1. CISO (정보보호 최고책임자) ¶
- 내부 보안감사의 승인
3.2. 보안팀 ¶
- 내부 보안감사의 계획
- CISO에게 내부 보안감사 결과 보고
- 연1회 내부 보안감사 실시 및, 전년도 보안감사 결과와 개선점 보고
4. 내부감사 절차¶
4.1. 감사계획 ¶
정보보호 담당자는 연간 보안감사계획을 수립하여 CISO(정보보호 최고책임자)의 승인을 얻어 시행한다. 감사는 전부문에 걸쳐 연간 1회 시행하는 정기감사화 다음과 같은 경우에 시행하는 임시감사로 구분 한다.
- 정보보호시스템의 주용사항이 변경되었을 시
- 정보보호 과정에서 중대결함이 발견되었을때
- 정보보호 최고책임자의 지시 정보보호 담당자는 감사대상 활동의 상태 및 중요성을 근거로 감사의 범위, 대상, 일정 및 감사원을 구성하며 내부 보안감사 계획서(양식번호)를 수립하여 CISO(정보보호 최고책임자)의 승인을 받는다. 감사원은 피감사팀과는 독립된 인원으로 구성하도록 한다.
4.2. 감사통보 ¶
정보보호 담당자는 CISO(정보보호 최고책임자)의 승인을 얻은 뒤 감사일정과 감사대상을 각 팀에 통보한다. 정보보호 담당자는 감사실시 1주일 전에 감사원을 소집하여 다음사항을 논의하고 결정한다.
- 감사원의 세부 감사부문의 설정
- 감사의 범위, 대상 및 감사의 주안점 주지
- 각 감사원별로 보안감사 점검표의 숙지 및 필요한 경우 점검표에 추가 확인사항 작성
- 감사수행 시 예상되는 문제점 토의 및 해결책 강구
- 기타 감사업무에 필요한 제반사항
4.3. 감사실시 ¶
감사원은 제3자 요구사항 및 사내에서 이미 취득한 보안인증의 요구사항에 맞추어 내부 보안감사 점검표(양식 번호)를 작성하여 감사를 수행한다. 감사원은 감사 중 발견되는 부적합사항을 '평가'에 기록 및 감사 점검표의 '점검현황'에 내용을 기록해두었다 정리회의 시 내부 보안감사 보고서 (양식번호)를 작성하여 피감사팀의 책임자에게 전달한다. 부적합사항은 다음과 같이 세 가지로 분류한다.
- 권고사항 (Observation)
a. 현재는 부적합사항으로 볼 수 없으나 부적합으로 진행이 예상되는 사항
b. 요구규격에는 규정되어 있지는 않지만 개선이 필요한 사항
c. 부적합의 증거각 확실하지 않은 유보사항
- 경부적합 (Minor)
a. 한 항목에 대한 단순한 결함
b. 정보보호시스템에 큰 영향을 주지 않는 사항
- 중부적합 (Major)
a. 정보보호관리기준에 위배되는 사항
b. 정보보호시스템의 고의적, 습관적 불이행
c. 경결함이 집중적으로 나타나는 항목
4.4. 원인파악 및 시정조치 ¶
피감사자는 감사 시 부적합사항에 대하여 근복적인 원인을 파악하여 정보보호시스템 차원에서 조치가 이루어지도록 하여야 하고, 예정일 내에 시정조치를 취하여야 한다. 피감사자는 그 결과를 내부 정보보호 감사 보고서에 기록하여 감사원에게 제출하고 감사원은 그 내용에 대하여 확인한다.
4.5. 후속감사 및 유효성확인 ¶
정보보호 담당자는 내부감사를 통하여 시정 조치된 사항이 일정한 시간이 지난 후 시스템에 적절하게 적용되고 있는지를 후속감사나 유효성확인을 시행하고 내부 보안감사보고서 (양식번호)에 기록한다.
4.6. 보고 ¶
1. 감사원은 감사 중 발견된 부적합사항을 기록한 "내부 보안감사 점검표"와 "내부 보안감사 보고서"를 작성하여 정보보호위원회에 제출한다. 또한 감사원은 감사 결과 내용을 CISO(정보보호 최고책임자)에게 보고하여야 한다.¶
5. 실적보고¶
정보보호 담당자는 전년도 "내부 보안감사 결과" 를 매년 2분기 종료전까지 정보보호 위원회에 보고하도록 한다
5.1. 보고방법¶
정보보호 위원회에 발표하며, 이후 사내에 Widoffice에 업로드하여 공개하도록 한다.