IT Audit Manual
01. 검사 사전 준비반의 주요 검토사항에 대하여 설명하시오
- 지난번 검사 결과 및 사후조치 내용
- 주요 계정 및 수지내용 추이
- 상시감시 결과 나타난 문제점
- 사전 검사자료 분석
- 검사사전준비협의회 논의 사항
- 관계법령, 규정 및 통첩의 제정, 개폐와 관련된 사항
- 당해기관 및 점포에 대한 개별 유의 사항
- 수집 정보 및 건의 사항
- 금전사고 및 민원발생 내용 등
02. 검사 결과 지적사항별 분류 기준에 대하여 설명하시오
- 문책사항
> 금융기관 또는 금융기관의 임직원이 금융관련법규를 위반하거나 금융기관의 건전한 영업 또는 업무를 저해하는 행위를 함으로써 신용질서를 문란하게 하거나 당해기관의 경영을 위태롭게 하는 행위로서 과태료․과징금 부과, 기관 및 임원에 대한 주의적경고 이상의 제재, 직원에 대한 면직․업무의 전부 또는 일부에 대한 정직․감봉․견책에 해당하는 제재의 경우 문책사항으로 처리
- 조치의뢰사항
> 금융기관의 자율규제능력 함양을 위해 직원 문책은 당해 금융기관가 자체 조치토록 일임(“조치의뢰제도” 도입). 금융기관 직원의 위법․부당행위에 대하여 당해 금융기관의 장에게 통지하여 적의조치토록 의뢰
> 관련자 조치가 미진할 경우 경영실태평가 등을 통하여 책임을 묻는 동시에 향후 조치의뢰대상에서 제외
- 주의사항
> 위법 또는 부당하다고 인정되나 정상참작의 사유가 크거나 위법․부당행위의 정도가 상당히 경미한 경우
- 변상사항
> 금융기관의 임직원이 고의 또는 중대한 과실로 금융관련법규 등을 위반하는 등으로 당해기관의 재산에 손실을 끼쳐 변상책임이 있는 경우
- 개선사항
> 규정, 제도 또는 업무운영 내용 등이 불합리하여 그 개선이 필요한 경우
03. IT 경영실태 평가 분야 및 평가항목에 대하여 설명하시오
(각 부문별 세부 평가 항목은 기술하지 말것)
- IT감사
> IT감사 조직 및 요원
> IT감사실시 내용
> 사후 관리 및 기타
- IT경영
> IT부서 조직 및 요원
> IT관련 내규
> 비상계획
> IT계획 및 방향
> 경영정보시스템
- 시스템 개발,도입,유지보수
> 조직 및 인원
> 관련 내규
> 유지보수 현황
> 내부통제용 시스템 및 시스템 통합
- IT서비스 제공 및 지원
> 백업 및 비상대책
> 통신망
> 최종사용자 컴퓨팅
> 전자금융 거래
- IT보안 및 정보보호
04. 검사결과 조치에 대한 구제 절차에 대하여 설명하시오
- 이의신청
> 제재통보서 또는 검사서를 받은 날로부터 1월 이내에 금융위 또는 금감원장에게 이의 신청
> 이의신청서 접수일로부터 원칙적으로 3월 이내 결과 통보
- 행정심판
> 검사결과 조치가 있음을 안 날로부터 90일 이내에, 조치가 있는 날로부터 180일 이내에 국민권익위원회에 취소심판 청구 등
> 심판청구일로부터 60일 이내에 판결
- 행정소송
> 검사결과 조치가 있음을 안 날로부터 90일* 이내에, 조치가 있는 날로부터 1년 이내에 행정법원에 취소소송 제기 등
* 행정심판 청구를 한 경우, 재결서 정본을 송달받은 날부터 기산
05. 금융감독원의 금융거래정보제공 요구 방법에 대하여 설명하시오
- 금융거래정보 제공 요구업무
> 금융거래자의 비밀보장 우선
- 금융회사에 대한 금융거래제공요구
> 금융실명법상 금융거래제공은 원칙적 금지
> 다만, 수사(영장), 감독 목적상(정보제공요구서) 예외 인정
- 정보제공요구서 요건 및 발부절차
> 명의는 원장으로하고 전결권자는 검사국장
> 검사착수전 요구내용이 확정된 경우
> 착수 후 요구사유가 발생 된 경우
> 제공 요구서 마다 검사국장이 확인
> 제공받은 금융거래에 대한 사후 관리 철저
> 요구사항에 대한 내부통제 강화
> 부당한 요구사항에 대한 거부 및 벌칙
06. IT 운영위원회의 개념과 구성 및 필요성에 대하여 설명하시오
- 개념
> 경영층 그룹에서 전산화 계획의 수립 및 추진과정을 감시
- 구성
> 경영층, 전산부서, 주요 사용자부서의 대표로 구성
- 필요성
> 주요 프로젝트의 승인 및 모니터링, 우선순위 결정, 지침 및 절차의 승인, 전반적인 IT부문 수행업무에 대한 모니터링
> 전산부서와 사용자부서의 징검다리 역할
> 이사회가 승인한 범위 내에서 주요 IT부문 자본예산 지출에 대한 검토 및 승인
> 주요 프로젝트, 전산화계획의 추진실적, 연간 예산 등에 대한 승인 및 모니터링
> 시간, 요원, 장비 등 자원의 할당 및 적절성에 대한 검토
07. CISO의 역할과 책임에 대하여 설명하시오
CISO(Chief Information Security Officer)
- 정보보안 관련 법규를 준수하는지 정기적으로 점검하고 최고경영자에게 보고
- 고도화된 최근 해킹사고에 대비해 최신 정보보호기술 도입을 위한 정보보안관리
- 정보자산을 활용하고 처리하는 정보처리관계자(인력) 관리
- 현재 운용중인 정보자산의 취약점 및 위험요소를 제거하는 정보보안아키텍처 및 엔지니어링
- 신속한 정보보안사고 처리 및 예방을 위해 전반적인 정보보안운영 등
08. IT 전략계획(연간계획)에 포함되어야 할 주요 사항에 대하여 설명하시오
전산화 계획의 형식성 및 복잡성은 금융기관의 규모에 따라 달라지나 전산화 계획에는 금융기관 전체 차원에서 다음과 같은 주용한 부분에 대한 언급이 있어야 함
- 응용 소프트웨어
- 시스템 소프트웨어
- 하드웨어
- 요원
- 예산
09. 프로그램 변경 통제 방법에 대하여 설명하시오
- 검사대상 기간 중 응용프로그램 유지보수가 실제로 적절히 이루어졌는지 점검한다.
> Ckeck List 점검항목 -> 현황분석 -> 개선사항
- 체크리스트
> 프로그램 변경통제 적용대상 프로그램 종류별로 등록, 변경, 폐기가 적절하였는지
> 프로그램 변경 전후 내역의 (자동)기록 관리되었는지
> 프로그램 등록, 변경, 폐기 내용의 정당성에 대한 검사자 등 제3자의 검증이 있었는지
> 프로그램 변경 작업은 실(프로덕션) 시스템 이외에서 수행하는지
> 프로그램 변경 담당자의 지정 및 지정된 자에 한해서 변경하였는지
> 실 시스템 적용전의 테스트 및 관리자 확인절차가 적정하였는지
> 프로그램 반출, 실행 프로그램의 생성, 실시스템 등록 절차(해당 프로그램 담당자가 아닌 라이브러리안 등이 수행)가 적절하였는지
> 프로그램 이력관리, 현황관리 절차에 맞게 이루어졌으며 적정하였는지
> 프로그램 긴급 변경시 통제절차 및 변경관리 절차에 맞게 이루어졌으며 적절하였는지
10. 금융회사의 취약점 분석 ▪ 평가 내용과 절차에 대하여 설명하시오
- 주기적으로 취약점 평가를 실시하고 (홈페이지는 매 반기) 있으며, 취약점에 대한 조치계획을 수립·시행
- 취약점 분석 결과 및 보완조치 이행계획을 점검 후 30일이내에 금융위로 보고
11. 금융회사에 대한 해킹 등 침해행위 방지 대책에 대하여 설명하시요
- 적정한 정보보호시스템을 설치/운영
- 정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시
- 내부통신망과 연결된 내부 업무용 시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지 단, 업무상 불가피한 경우에는 금융감독원장의 확인)
- 전산실 내에 위치한 정보처리 시스템과 해당 정보처리 시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리
- 외부 전문기관으로부터 외부침투 취약점 등에 대하여 주기적으로 점검받고, 응용프로그램 사용시 진단 및 치료 후 사용
- 바이러스 백신프로그램이 PC 및 단말기 기동시 자동으로 실행
- 바이러스 백신프로그램이 정상 작동 및 악성코드 포함 여부 등에 관하여 점검절차를 거친 후 서버, 단말기 및 자동화기기 등에 자동 배포
- 바이러스 및 해킹 피해시 금융감독원에 즉시 보고하고 추가 피해를 방지하는 체계를 구축