Etc

IT감사 기법 시험

by hooni posted Jun 14, 2017
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄

IT Audit Manual


01. 검사 사전 준비반의 주요 검토사항에 대하여 설명하시오

- 지난번 검사 결과 및 사후조치 내용

- 주요 계정 및 수지내용 추이

- 상시감시 결과 나타난 문제점

- 사전 검사자료 분석

- 검사사전준비협의회 논의 사항

- 관계법령, 규정 및 통첩의 제정, 개폐와 관련된 사항

- 당해기관 및 점포에 대한 개별 유의 사항

- 수집 정보 및 건의 사항

- 금전사고 및 민원발생 내용 등

 

02. 검사 결과 지적사항별 분류 기준에 대하여 설명하시오

- 문책사항

 > 금융기관 또는 금융기관의 임직원이 금융관련법규를 위반하거나 금융기관의 건전한 영업 또는 업무를 저해하는 행위를 함으로써 신용질서를 문란하게 하거나 당해기관의 경영을 위태롭게 하는 행위로서 과태료․과징금 부과, 기관 및 임원에 대한 주의적경고 이상의 제재, 직원에 대한 면직․업무의 전부 또는 일부에 대한 정직․감봉․견책에 해당하는 제재의 경우 문책사항으로 처리


- 조치의뢰사항

 > 금융기관의 자율규제능력 함양을 위해 직원 문책은 당해 금융기관가 자체 조치토록 일임(“조치의뢰제도” 도입). 금융기관 직원의 위법․부당행위에 대하여 당해 금융기관의 장에게 통지하여 적의조치토록 의뢰

 > 관련자 조치가 미진할 경우 경영실태평가 등을 통하여 책임을 묻는 동시에 향후 조치의뢰대상에서 제외 


- 주의사항

 > 위법 또는 부당하다고 인정되나 정상참작의 사유가 크거나 위법․부당행위의 정도가 상당히 경미한 경우


- 변상사항

 > 금융기관의 임직원이 고의 또는 중대한 과실로 금융관련법규 등을 위반하는 등으로 당해기관의 재산에 손실을 끼쳐 변상책임이 있는 경우


- 개선사항

 > 규정, 제도 또는 업무운영 내용 등이 불합리하여 그 개선이 필요한 경우



03. IT 경영실태 평가 분야 및 평가항목에 대하여 설명하시오

(각 부문별 세부 평가 항목은 기술하지 말것)

- IT감사

 > IT감사 조직 및 요원

 > IT감사실시 내용

 > 사후 관리 및 기타 


- IT경영

 > IT부서 조직 및 요원

 > IT관련 내규

 > 비상계획

 > IT계획 및 방향

 > 경영정보시스템


- 시스템 개발,도입,유지보수

 > 조직 및 인원

 > 관련 내규

 > 유지보수 현황

 > 내부통제용 시스템 및 시스템 통합

 

- IT서비스 제공 및 지원

 > 백업 및 비상대책

 > 통신망

 > 최종사용자 컴퓨팅

 > 전자금융 거래

 

- IT보안 및 정보보호



04. 검사결과 조치에 대한 구제 절차에 대하여 설명하시오

- 이의신청

 > 제재통보서 또는 검사서를 받은 날로부터 1월 이내에 금융위 또는 금감원장에게 이의 신청

 > 이의신청서 접수일로부터 원칙적으로 3월 이내 결과 통보

 

- 행정심판

 > 검사결과 조치가 있음을 안 날로부터 90일 이내에, 조치가 있는 날로부터 180일 이내에 국민권익위원회에 취소심판 청구 등

 > 심판청구일로부터 60일 이내에 판결

 

- 행정소송

 > 검사결과 조치가 있음을 안 날로부터 90일* 이내에, 조치가 있는 날로부터 1년 이내에 행정법원에 취소소송 제기 등

 * 행정심판 청구를 한 경우, 재결서 정본을 송달받은 날부터 기산



05. 금융감독원의 금융거래정보제공 요구 방법에 대하여 설명하시오

- 금융거래정보 제공 요구업무

 > 금융거래자의 비밀보장 우선


- 금융회사에 대한 금융거래제공요구

 > 금융실명법상 금융거래제공은 원칙적 금지

 > 다만, 수사(영장), 감독 목적상(정보제공요구서) 예외 인정


- 정보제공요구서 요건 및 발부절차

 > 명의는 원장으로하고 전결권자는 검사국장

 > 검사착수전 요구내용이 확정된 경우

 > 착수 후 요구사유가 발생 된 경우

 > 제공 요구서 마다 검사국장이 확인

 > 제공받은 금융거래에 대한 사후 관리 철저

 > 요구사항에 대한 내부통제 강화

 > 부당한 요구사항에 대한 거부 및 벌칙



06. IT 운영위원회의 개념과 구성 및 필요성에 대하여 설명하시오

- 개념

 > 경영층 그룹에서 전산화 계획의 수립 및 추진과정을 감시

 

- 구성

 > 경영층, 전산부서, 주요 사용자부서의 대표로 구성

 

- 필요성

 > 주요 프로젝트의 승인 및 모니터링, 우선순위 결정, 지침 및 절차의 승인, 전반적인 IT부문 수행업무에 대한 모니터링

 > 전산부서와 사용자부서의 징검다리 역할

 > 이사회가 승인한 범위 내에서 주요 IT부문 자본예산 지출에 대한 검토 및 승인

 > 주요 프로젝트, 전산화계획의 추진실적, 연간 예산 등에 대한 승인 및 모니터링

 > 시간, 요원, 장비 등 자원의 할당 및 적절성에 대한 검토

 


07. CISO의 역할과 책임에 대하여 설명하시오

CISO(Chief Information Security Officer)

- 정보보안 관련 법규를 준수하는지 정기적으로 점검하고 최고경영자에게 보고

- 고도화된 최근 해킹사고에 대비해 최신 정보보호기술 도입을 위한 정보보안관리

- 정보자산을 활용하고 처리하는 정보처리관계자(인력) 관리

- 현재 운용중인 정보자산의 취약점 및 위험요소를 제거하는 정보보안아키텍처 및 엔지니어링

- 신속한 정보보안사고 처리 및 예방을 위해 전반적인 정보보안운영 등



08. IT 전략계획(연간계획)에 포함되어야 할 주요 사항에 대하여 설명하시오

전산화 계획의 형식성 및 복잡성은 금융기관의 규모에 따라 달라지나 전산화 계획에는 금융기관 전체 차원에서 다음과 같은 주용한 부분에 대한 언급이 있어야 함

- 응용 소프트웨어

- 시스템 소프트웨어

- 하드웨어

- 요원

- 예산



09. 프로그램 변경 통제 방법에 대하여 설명하시오

- 검사대상 기간 중 응용프로그램 유지보수가 실제로 적절히 이루어졌는지 점검한다.

 > Ckeck List 점검항목 -> 현황분석 -> 개선사항

- 체크리스트

 > 프로그램 변경통제 적용대상 프로그램 종류별로 등록, 변경, 폐기가 적절하였는지

 > 프로그램 변경 전후 내역의 (자동)기록 관리되었는지

 > 프로그램 등록, 변경, 폐기 내용의 정당성에 대한 검사자 등 제3자의 검증이 있었는지

 > 프로그램 변경 작업은 실(프로덕션) 시스템 이외에서 수행하는지

 > 프로그램 변경 담당자의 지정 및 지정된 자에 한해서 변경하였는지

 > 실 시스템 적용전의 테스트 및 관리자 확인절차가 적정하였는지

 > 프로그램 반출, 실행 프로그램의 생성, 실시스템 등록 절차(해당 프로그램 담당자가 아닌 라이브러리안 등이 수행)가 적절하였는지

 > 프로그램 이력관리, 현황관리 절차에 맞게 이루어졌으며 적정하였는지

 > 프로그램 긴급 변경시 통제절차 및 변경관리 절차에 맞게 이루어졌으며 적절하였는지



10. 금융회사의 취약점 분석 ▪ 평가 내용과 절차에 대하여 설명하시오

- 주기적으로 취약점 평가를 실시하고 (홈페이지는 매 반기) 있으며, 취약점에 대한 조치계획을 수립·시행

- 취약점 분석 결과 및 보완조치 이행계획을 점검 후 30일이내에 금융위로 보고


11. 금융회사에 대한 해킹 등 침해행위 방지 대책에 대하여 설명하시요

- 적정한 정보보호시스템을 설치/운영

- 정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시

- 내부통신망과 연결된 내부 업무용 시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지 단, 업무상 불가피한 경우에는 금융감독원장의 확인)

- 전산실 내에 위치한 정보처리 시스템과 해당 정보처리 시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리

- 외부 전문기관으로부터 외부침투 취약점 등에 대하여 주기적으로 점검받고, 응용프로그램 사용시 진단 및 치료 후 사용

- 바이러스 백신프로그램이 PC 및 단말기 기동시 자동으로 실행

- 바이러스 백신프로그램이 정상 작동 및 악성코드 포함 여부 등에 관하여 점검절차를 거친 후 서버, 단말기 및 자동화기기 등에 자동 배포

- 바이러스 및 해킹 피해시 금융감독원에 즉시 보고하고 추가 피해를 방지하는 체계를 구축