거버넌스, 위험 및 규정 준수를 의미하는 GRC는 오늘날 사이버 보안 공간에 널리 퍼져 있습니다. 이는 업계 표준 조직과 정부가 데이터 침해 환경에 대응한 결과입니다. 규정 준수에 대한 새로운 요구 사항 은 매우 효과적인 위험 관리 계획 을 수립하는 데 매우 중요합니다. GRC를 보는 또 다른 방법은 정보 기술을 비즈니스 목표에 맞추는 동시에 위험을 관리하고 요구 사항을 준수하는 구조를 가진 접근 방식으로 보는 것입니다.

거버넌스: 모든 조직 활동이 장기적인 비즈니스 목표를 지원하도록 조정되도록 합니다. 거버넌스는 감사 및 모든 프로세스의 원활한 실행을 위해 외부 및 내부 이해 관계자와 의사 소통합니다.

위험은 조직의 활동과 연결된 위험과 기회가 모두 비즈니스 목표와 일치하는지 확인하려고 합니다.

규정 준수: 조직 내 활동이 시스템에 영향을 미치는 법률 및 규정 내에서 작동하는지 확인합니다.

감사 거버넌스

기업지배구조란?

기업은 거버넌스를 입증하기 위해 프로세스, 관행 및 규칙을 수립해야 합니다. 결정적으로, 위험을 지식적으로 검토할 책임은 고위 경영진과 이사회에 있습니다. 거버넌스는 두 기관에 권한을 부여합니다.

사이버 보안에서 기업 거버넌스란 무엇입니까?

기업 거버넌스에는 사이버 보안이 있습니다. 이사회와 고위 경영진은 종종 비즈니스 목표의 결과로 사이버 보안 위험을 이해해야 하지만 보안 관련 결정을 내릴 필요는 없습니다. 또한 사이버 보안 거버넌스는 내부 통제의 성공 여부를 검토해야 합니다.

감사위원회의 책임은 무엇입니까?

많은 기업들이 현재 사이버 보안에 집중하고 있으며 감사 위원회를 이사회와 감사 프로그램을 연결하는 중간 역할을 하고 있습니다.

따라서 감사위원은 조직의 다른 모든 구성원보다 사이버리스크를 더 잘 이해해야 합니다. 그러나 기술에 정통할 필요는 없습니다. 그들은 회사 내 IT(정보 기술) 리더와 협력하여 자세한 대화에 참여하기만 하면 됩니다.

기업 감사 계획은 PaaS(Platform-as-a-Service), IaaS(Infrastructure-as-a-Service) 및 SaaS(Software-as-a-Service) 공급업체를 더 많이 사용하더라도 데이터 위협에 주의를 기울여야 합니다. . 규정 준수 프로그램에 대한 (KPI) 핵심 성과 지표를 결정하는 데 사용하는 프로세스는 감사 계획의 주요 초점입니다. 따라서 사이버 보안 감사 계획을 수립하면 거버넌스를 개발하고 증명하는 방법을 안내합니다.

타이밍

내부 감사 계획은 지속적인 프로세스입니다. 감사 계획을 수립하기 전에 통제 결함에 대한 과거 점검을 검토하십시오. 그 후에 범위를 결정할 수 있습니다.

예를 들어 조직에 필요한 운영 체제 및 소프트웨어 패치 관리가 없는 경우 다음 감사의 범위에 포함되어야 합니다. 패치가 완벽했지만 과거 감사에서 많은 네트워크와 시스템이 공장 출하 시 사전 설정된 로그인을 유지하고 있는 것으로 확인되면 이에 집중하십시오.

즉, 사이버 보안 감독에 대한 개선 사항을 기반으로 지속적으로 계획하고 타이밍을 잡으십시오.

위험 평가

모든 감사 계획은 전체적인 관점에서 사이버 보안 위험을 포함해야 합니다. 감사 계획을 수립하는 시점에서 데이터 침해 가능성, 위치, 잠재적 데이터 침해 비용 및 데이터를 통합하는 위험 허용 범위를 설정합니다. 감사 계획 범위를 결정할 때 가장 위험도가 높은 정보 평가에 중점을 둡니다.

준법위원회

규정 준수 위원회는 내부 통제를 문서화하고 모니터링할 의무가 있는 내부 이해 관계자로 구성됩니다. 감사 위원회와 함께 규정 준수 위원회는 회사가 규정 및 표준의 변경 사항에 부합하는지 확인합니다. 따라서 그들은 통제를 생산적으로 유지하고 거버넌스를 위한 프로그램을 제공하기 위해 노력하는 첫 번째 방어선입니다.

내부 감사관이 사이버 보안 거버넌스를 검토하는 방법

거버넌스 증명에 필요한 단계를 포함하는 범위는 감사 계획에 의해 설정됩니다. 두 번째 눈이 필요하기 때문에 내부 감사가 그 역할을 합니다.

사이버 보안이 업계 규정 준수 요구 사항에서 설정한 표준 및 규정을 충족하는지 평가하고 검토하려면 내부 감사를 위한 독립적인 사람이 필요합니다. 내부 감사인은 사이버 보안 준수 프로그램과 관련된 모든 문서를 검토합니다. 감사에서는 정의된 내부 통제를 통해 규정 준수를 유지했는지 확인합니다.

거버넌스를 위해 내부 감사인은 규정 준수 위원회가 감사 위원회에 보고하는지 여부를 조사하고 프로세스 및 정책에 의해 정의된 통제를 검토합니다.

내부 위원회가 수행하는 역할의 예는 팀이 위험을 전달하고 효과적으로 모니터링할 수 있도록 회의에 대한 감사 및 규정 준수 위원회 의사록을 검토할 수 있다는 것입니다. 그런 다음 감사인은 메모를 이사회 회의록과 비교하여 정보가 관련된 모든 사람에게 전달되는지 확인합니다.

이상적으로는 활동과 커뮤니케이션을 문서화하면 감사자에게 사이버 보안 프로그램에 대한 거버넌스를 감사하는 데 필요한 증거를 제공할 수 있습니다.

감사 거버넌스를 쉽게 문서화하는 방법

자동화는 상당한 문서화 및 커뮤니케이션을 가능하게 하므로 내부 거버넌스 감사를 용이하게 하는 데 도움이 됩니다.

조직의 규모가 다릅니다. 조직의 규모는 감사 위원회, 규정 준수 위원회 및 이사회 전반에 걸친 메시지 조정에 직접적인 영향을 미칩니다. 감사 위원회 자료에는 문제, 위험 및 다음 단계를 식별하는 데 필요한 요약이 포함되어야 합니다.

자동화는 거버넌스 감사 시스템을 간소화하는 데 중요한 역할을 합니다. 드라이브를 공유하면 통신 부담을 크게 줄일 수 있습니다. 공유의 단점은 변경 사항이 영향을 받을 때 공유 파일이 자동으로 업데이트된다는 것입니다. 이 경우 역사적 문서를 찾는 데 많은 시간이 걸립니다. 액세스 권한이 있는 사람은 누구나 변경을 수행하고 모든 공유 파일을 업데이트할 수 있으므로 정보 무결성이 손상되어 거버넌스를 약화시킵니다.

따라서 조직은 모든 ​​규정 준수 활동을 문서화하고 문서를 편집하거나 변경할 수 있는 사람을 선별해야 하는 중앙 정보 소스가 필요합니다.

GRC를 구현하기 전에 먼저 환경을 준비해야 합니다. 적절한 컨트롤이 있고 사용 가능한 컨트롤이 완전히 작동하는지 확인하십시오. GRC는 IT에 중점을 두고 있지만 전략을 구현할 때 전체 조직의 참여가 중요합니다. 주의를 기울이고 구현이 영향을 미칠 수 있는 모든 프로세스와 사람을 미리 설정해야 합니다.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

• 규정 준수 관리자의 책임
• 보험 산업을 위한 위험 관리
• 사이버 보안 및 고등 교육
• 클라우드 보안
• 위험 감수성과 위험 성향이란 무엇입니까?