전체 글40 조직 규모별 내부통제항목 조직 규모별 내부 통제항목 본 연구에서는 조직의 규모에 따라 통제항목을 달리 제시함으로써 중·소기업들도 적절한 내부통제를 구현할 수 있도록 유도하고자 대기업, 중기업, 소기업으로 조직의 규모를 분류하여 내부 통제항목을 제시하고자 한다. 조직 규모의 분류 기준은 “중소기업기본법 시행령”에서 제시한 중기업, 소기업의 구분을 기준으로 정의하였다. 『제3조(중소기업의 범위) ① 「중소기업기본법」(이하 "법"이라 한다) 제2조 제 1항 제1호에 따른 중소기업은 다음 각호의 기준을 모두 갖춘 기업으로 한다. 1. 해당 기업이 영위하는 주된 업종과 해당 기업의 상시 근로자 수, 자본금 또는 매출액의 규모가 별표 1의 기준에 맞는 기업. 다만, 다음 각 목의 어느 하나에 해당하는 기업은 제외한다. 가. 상시 근로자 수.. 2022. 7. 29. 헬스클럽, 필라테스, 요가 운영자를 위한 어플 #짐짐 헬스클럽, 필라테스, 요가 운영자를 위한 어플 #짐짐 헬스클럽, 필라테스, 요가와 같은 운동시설 운영자를 위한 어플을 소개합니다. 운동시설 관리에 어려움을 느끼는 분이라면 많은 도움될 어플입니다. 다양한 기능을 지원하는 어플이니 다운로드하시기 전에 사용법을 알아보시는 것이 좋습니다. 시간제 운동 예약 서비스 #짐짐 운동시설을 이용할때 회원제로 끊어서 이용하는 것이 일반적입니다. 장기간 회원제는 회원을 유치하고 관리하는데 노력이 많이 들어갑니다. 대부분의 운동시설 운영자 분들이 회원을 유치하기 위한 마케팅 비용과 관리를 위한 직원 채용 비용에 부담을 많이 느끼고 있습니다. 짐짐은 시간제로 운동을 예약하고 운동시설을 이용할 수 있는 서비스입니다. 운동을 원하는 회원이 시간을 지정에서 예약을 하고 운동 시설을.. 2022. 7. 28. 단계별 내부통제항목 - 교정 교정(Remedies) 1) 인적 보안 ① 상벌 규정 “인사 규정” 및 “관련 계약서”에 보안 활동에 수행에 따른 상벌 규정을 포함해야 한다. 내부자는 “보안규정”, “정책”, “지침” 및 “비밀 유지서약서” 등에 명시된 보안 책임을 성실히 이행하지 않고 “중요정보”를 “훼손” 및 “누출”하거나 “관련 법규”를 “위반”하였을 경우 상벌 규정을 적용할 수 있도록 인사 규정 및 계약서에 해당 내용을 포함하고 “보상방안”도 규정화하여야 한다. 이 경우 관련 법규의 “처벌 규정”도 포함해야 한다. 관련표준 및 지침 K-ISMS 6.2.2 상벌규정 ISO/IEC 27002:2013 A.7.2.3 Disciplinary process NIST SP 800-53 PS-8 2) 물리 보안 ① 시스템 배치 및 관리 “보.. 2022. 7. 28. 단계별 내부통제항목 - 탐지 (2) ③ 보안 점검 중요 자산 보호 및 정보보호를 위하여 연 1회 이상 보안 점검을 시행하여야 한다. 보안 점검은 관리적, 기술적, 물리적 보안에 대하여 수행하여야 하며, 보안 정책, 지침, 절차, 매뉴얼의 “준수 여부”를 검토하고 관련 법규 준수 여부를 점검하여야 한다. 관련표준 및 지침 K-ISMS N/A ISO/IEC 27002:2013 A.12.7.1 Information systems audit controls A.18.2.1 Independent review of information security A.18.2.2 Compliance with security policies and standards A.18.2.3 Technical compliance review NIST SP 800-53 AU-.. 2022. 7. 27. 단계별 내부통제항목 - 탐지 (1) 탐지(Detection) 1) 물리 보안 ① CCTV 설치 “영상정보처리기기 운영 및 관리 방침”을 수립하고 법규에서 요구하는 기준에 따라 출입구 및 보호구역에 CCTV를 설치하고 “비인가자”의 “무단출입”을 통제하여야 한다. 기록된 영상정보는 보안사고 발생 시 비인가자의 무단출입을 탐지하기 위하여 영상정보처리기기 운영, 관리 방침 및 법규에서 명시한 “보관기간” 동안 안전하게 보관하여야 하며, 영상정보가 “분실”, “도난”, “유출”, “변조” 또는 “훼손”되지 않도록 “접근통제” 및 “접근권한” 등의 “제한 조치”를 하여야 한다. 관련표준 및 지침 K-ISMS 7.1.2 보호설비 ISO/IEC 27002:2013 N/A NIST SP 800-53 N/A 2) 시스템 개발 보안 ① 로그 기능 정보시스템.. 2022. 7. 26. 단계별 내부통제항목 - 예방(10) ④ 네트워크 보안 네트워크 주요 자산에 대한 “목록” 및 “구성도”를 관리하고 “위험 평가”를 통한 내부 네트워크와 외부 네트워크가 “물리적” 또는 “논리적”으로 분리되어야 하며 “내부 네트워크”에서는 “사설 IP 어드레스”를 사용하여 안전한 접근 제어가 이루어져야 한다. “무선네트워크” 구성 시에는 “내부 승인 절차”를 마련하여 비 인가된 무선네트워크 장비를 운용하지 않도록 하며, 무선네트워크를 이용한 정보 송·수신 시에는 “암호화 기준”에 따라 암호화 되어야 한다. 또한 전산센터 등 “통제구역” 내에서는 “무선네트워크 사용을 제한”하여야 한다. 관련표준 및 지침 K-ISMS 11.2.7 무선네트워크 보안 ISO/IEC 27002:2013 A.13.1.1 Network controls A.13.1.2 .. 2022. 7. 25. 단계별 내부통제항목 - 예방(9) “운영 보안”은 시스템 운영에 전반적인 통제를 위하여 “운영 절차” 또는 “매뉴얼”을 수립하여야 한다. 정보시스템 자산의 변경 절차에 따른 “변경 관리”를 수행하고, “보안시스템의 운영 절차”를 수립하여야 하며, “원격지”에서 “시스템 운영 및 관리는 금지”하여야 한다. 또한 네트워크 구간에서의 보안 강화를 위하여 “사용자 인증”, “송수신 데이터 암호화” 등과 같은 보호 대책을 세워야 하며, 중요정보의 보호를 위하여 “저장매체”는 “복구 불가능”하도록 “완전 삭제”를 수행해야 하고, “악성코드 통제” 및 “패치”를 정기적으로 적용하여야 한다. ① 변경 관리 “정보시스템 자산의 변경”에 관한 절차를 수립하고 이행하여야 하며, 변경을 수행하기 전에 “성능 및 보안에 미치는 영향”을 평가하고 분석하여야 한다.. 2022. 7. 24. 단계별 내부통제항목 - 예방(8) ④ 네트워크 접근 통제 접근 통제 정책에 따라 인가된 사용자만이 네트워크에 접근할 수 있도록 “IP주소(IP Address)”를 할당하여야 하며, “네트워크 구성 변경” 시에는 “변경 관리 절차”에 따라 “보안성”을 검토하고 승인받아야 한다. 또한 “내부망”의 “네트워크 IP주소 체계”는 외부에 유출 시 안전한 “국제표준”에 의거한 “사설 IP주소 대역”을 사용하고, “법적 요구사항”, “정보자산의 중요도”에 따라 네트워크 영역을 “물리적” 또는 “논리적”으로 분리하여야 한다. 물리적으로 떨어진 “IDC 센터”, “지점”, “지사” 등과의 네트워크 연결은 안전한 “전용회선”이나 “VPN(Virtual Private Network” 등을 사용하여야 한다. 관련표준 및 지침 K-ISMS 10.4.1 네트워크.. 2022. 7. 23. 단계별 내부통제항목 - 예방(7) 8) 접근통제 조직 내의 중요 자산 및 중요 정보를 보호하기 위하여 비인가자의 접근을 통제할 수 있는 접근통제 정책을 수립하고 접근통제 정책에 따라 직무 별·역할별 권한을 부여하여야 한다. 사용자 인증은 안전한 사용자 인증 절차에 의하여 통제하고 사용자의 고유 식별자를 할당 및 패스워드 보호 대책에 의거한 패스워드를 관리하여야 한다. 또한 중요자산에 대하여는 별도의 접근 통제를 실시하여 관리하여야 한다. ① 직무 별·역할별 권한 관리 조직 내의 중요 자산 및 중요 정보를 보호하기 위하여 “직무별”, “역할별” 접근권한을 관리하여야 하며, “정보시스템 영역별”로 사용자 계정을 관리하여야 한다. 접근권한의 “등록”, “변경”, “삭제” 시에 “적절한 승인 절차”에 따라 이행되어야 하며, “사용자 계정” 및 .. 2022. 7. 22. 이전 1 2 3 4 5 다음
