조직 규모별 내부 통제항목
본 연구에서는 조직의 규모에 따라 통제항목을 달리 제시함으로써 중·소기업들도 적절한 내부통제를 구현할 수 있도록 유도하고자 대기업, 중기업, 소기업으로 조직의 규모를 분류하여 내부 통제항목을 제시하고자 한다. 조직 규모의 분류 기준은 “중소기업기본법 시행령”에서 제시한 중기업, 소기업의 구분을 기준으로 정의하였다.
『제3조(중소기업의 범위) ① 「중소기업기본법」(이하 "법"이라 한다) 제2조 제 1항 제1호에 따른 중소기업은 다음 각호의 기준을 모두 갖춘 기업으로 한다.
1. 해당 기업이 영위하는 주된 업종과 해당 기업의 상시 근로자 수, 자본금 또는 매출액의 규모가 별표 1의 기준에 맞는 기업. 다만, 다음 각 목의 어느 하나에 해당하는 기업은 제외한다.
가. 상시 근로자 수가 1천명 이상인 기업
나. 자산총액이 5천억원 이상인 기업
다. 자기자본이 1천억원 이상인 기업
라. 직전 3개 사업연도의 평균 매출액이 1천5백억원 이상인 기업
② 법 제2조 제 1항 제2호에서 "대통령령으로 정하는 사회적기업"이란 영리를 주된 목적으로 하지 아니하는 사회적기업으로 다음 각호의 기준을 모두 갖춘 기업으로 한다.
1. 상시 근로자 수 300명 미만 또는 매출액 300억원 이하일 것
2. 제 1항 제1호 가목 또는 라목에 해당하지 아니할 것
제8조(소기업과 중기업의 구분) 법 제2조 제2항에 따른 소기업(小企業)은 다음 각호의 어느 하나에 해당하는 기업을 말하고, 중기업(中企業)은 중소기업 중 소기업을 제외한 기업을 말한다.
1. 광업, 제조업, 건설업, 운수업, 출판·영상·방송·통신 및 정보서비스업, 사업시설관리 및 사업지원 서비스업, 보건업 및 사회복지 서비스업, 전문·과학 및 기술 서비스업을 주된 업종으로 하는 경우: 상시 근로자 수가 50명 미만인 기업
2. 제1호 외의 업종을 주된 업종으로 하는 경우: 상시 근로자 수가 10명 미만인 기업』
“중소기업기본법 시행령”에서 규정한 업종별 중소기업 기준은 <표 25>에 표시한 바와 같다
<표 25> 중소기업기본법에서 정의한 업종 별 중소기업 기준
| 업종 | 기준 |
| 제조업 | 상시 근로자 수 300명 미만 또는 자본금 80억원 이하 |
| 광업 건설업 운수업 |
상시 근로자 수 300명 미만 또는 자본금 30억원 이하 |
| 출판, 영상, 방송통신 및 정보서비스업 사업시설관리 및 사업지원 서비스업 전문, 과학 및 기술 서비스업 보건업 및 사회복지 서비스업 |
상시 근로자 수 300명 미만 또는 매출액 300억원 이하 |
| 농업, 임업 및 어업 전기, 가스, 증기 및 수도사업 도매 및 소매업 숙박 및 음식점업 금융 및 보험업 예술, 스포츠 및 여가관련 서비스업 |
상시 근로자 수 200명 미만 또는 매출액 200억원 이하 |
| 하수ㆍ폐기물 처리, 원료재생 및 환경복원업 교육 서비스업 수리 및 기타 개인 서비스업 |
상시 근로자 수 100명 미만 또는 매출액 100억원 이하 |
| 부동산업 및 임대업 | 상시 근로자 수 50명 미만 또는 매출액 50억원 이하 |
* 출처: 국가법령정보센터, “중소기업기본법 시행령”, 2013년 10월, http://www.law.go.kr/
본 연구에서는 “중소기업기본법 시행령”에서 규정한 분규 기준을 바탕으로 <표 26>과 같이 조직의 규모를 대기업, 중기업, 소기업으로 분류하였다.
<표 26> 조직 규모 기준
| 업종 | 기준 |
| 대기업 | 상시 근로자 수 300명 이상 |
| 중기업 | 상시 근로자 수 50명 이상 300명 미만 |
| 소기업 | 상시 근로자 수 50명 미만 |
(1) 대기업 내부 통제항목
대기업의 내부 통제항목은 <표 27>과 같다.
<표 27> 대기업 내부통제항목
| 단계 | 통제분야 | 통제항목 |
| 억제 | 보안정책 수립 | 보안정책, 지침, 절차, 매뉴얼 수립 및 공표 |
| 접근통제 정책 수립 | ||
| 응용 프로그램 개발 정책 수립 | ||
| 운영절차 및 매뉴얼 수립 | ||
| 장애 대응 절차 수립 | ||
| 보안사고 대응 절차 수립 | ||
| 보안정책 관리 | ||
| 보안교육 및 훈련 | 보안교육 계획 수립 | |
| 보안교육 시행 및 평가 | ||
| 보안사고 대응 훈련 | ||
| 법규준수 | 관련 법규 준수 | |
| 예방 | 보안조직 구성 | 보안조직 구성 |
| 비즈니스 파트너 보안 | 비즈니스 파트너 보안 계약 시 보안 | |
| 비즈니스 파트너 보안 계약 만료 시 보안 | ||
| 정보자산 분류 | 정보자산 식별 | |
| 정보자산 별 관리자 지정 | ||
| 정보자산 별 보안등급 지정과 취급절차 정의 | ||
| 인적 보안 | 신원 파악 | |
| 주요 직무자 지정 및 감독 | ||
| 직무분리 | ||
| 비밀유지서약서 작성 | ||
| 퇴직 및 직무변경 관리 | ||
| 물리 보안 | 보호구역 지정 | |
| 보호구역 내 작업 통제 | ||
| 출입통제 | ||
| 중요자산 반출입 통제 | ||
| 사무실 환경 보안 | ||
| 시스템 개발 보안 | 보안 요구사항 정의 | |
| 인증 및 암호화 기능 | ||
| 접근권한 기능 | ||
| 개발 및 테스트 | ||
| 개발과 운영 환경 분리 | ||
| 운영환경 이관 | ||
| 테스트 데이터 보안 | ||
| 소스 프로그램 보안 | ||
| 외주개발 보안 | ||
| 암호통제 | 개인정보 및 중요정보 암호화 | |
| 암호키 관리 | ||
| 접근통제 | 직무별·역할별 권한 관리 | |
| 사용자 인증 및 식별 | ||
| 패스워드 관리 | ||
| 네트워크 접근 통제 | ||
| 서버 접근 통제 | ||
| 응용프로그램 접근 통제 | ||
| 데이터베이스 접근 통제 | ||
| 모바일 기기 접근 통제 | ||
| 인터넷 접속 통제 | ||
| 운영 보안 | 변경관리 | |
| 보안시스템 운영 | ||
| 원격운영관리 및 클라우드 보안 | ||
| 네트워크 보안 | ||
| 저장매체 관리 | ||
| 악성코드 통제 | ||
| 패치관리 | ||
| 소프트웨어 설치 통제 | ||
| 탐지 | 물리보안 | CCTV 설치 |
| 시스템 개발보안 | 로그 기능 | |
| 접근통제 | 접근권한 검토 | |
| 운영보안 | 취약점 점검 | |
| 로그 관리 및 검토 | ||
| 보안 점검 | ||
| 비즈니스 파트너 보안 | 비즈니스 파트너 보안 점검 | |
| 교정 | 인적 보안 | 상벌규정 |
| 물리 보안 | 시스템 배치 및 관리 | |
| 운영 보안 | 백업 관리 | |
| 침해사고 관리 | 침해사고 보고 | |
| 침해사고 처리 및 복구 | ||
| 침해사고 분석 | ||
| 재발방지 |
(2) 중기업 내부 통제항목
중기업의 내부 통제항목은 <표 28>과 같다.
<표 28> 중기업 내부통제항목
| 단계 | 통제분야 | 통제항목 |
| 억제 | 보안정책 수립 | 보안정책, 지침, 절차, 매뉴얼 수립 및 공표 |
| 접근통제 정책 수립 | ||
| 응용 프로그램 개발 정책 수립 | ||
| 운영절차 및 매뉴얼 수립 | ||
| 장애 대응 절차 수립 | ||
| 보안사고 대응 절차 수립 | ||
| 보안정책 관리 | ||
| 보안교육 및 훈련 | 보안교육 계획 수립 | |
| 보안교육 시행 및 평가 | ||
| 보안사고 대응 훈련 | ||
| 법규준수 | 관련 법규 준수 | |
| 예방 | 보안조직 구성 | 보안조직 구성 |
| 비즈니스 파트너 보안 | 비즈니스 파트너 보안 계약 시 보안 | |
| 비즈니스 파트너 보안 계약 만료 시 보안 | ||
| 정보자산 분류 | 정보자산 식별 | |
| 정보자산 별 관리자 지정 | ||
| 정보자산 별 보안등급 지정과 취급절차 정의 | ||
| 인적 보안 | 신원 파악 | |
| 주요 직무자 지정 및 감독 | ||
| 직무분리 | ||
| 비밀유지서약서 작성 | ||
| 퇴직 및 직무변경 관리 | ||
| 물리 보안 | 보호구역 지정 | |
| 보호구역 내 작업 통제 | ||
| 출입통제 | ||
| 중요자산 반출입 통제 | ||
| 사무실 환경 보안 | ||
| 시스템 개발 보안 | 보안 요구사항 정의 | |
| 접근권한 기능 | ||
| 개발 및 테스트 | ||
| 소스 프로그램 보안 | ||
| 외주개발 보안 | ||
| 접근통제 | 직무별·역할별 권한 관리 | |
| 사용자 인증 및 식별 | ||
| 패스워드 관리 | ||
| 네트워크 접근 통제 | ||
| 서버 접근 통제 | ||
| 응용프로그램 접근 통제 | ||
| 데이터베이스 접근 통제 | ||
| 모바일 기기 접근 통제 | ||
| 인터넷 접속 통제 | ||
| 운영 보안 | 변경관리 | |
| 보안시스템 운영 | ||
| 원격운영관리 및 클라우드 보안 | ||
| 네트워크 보안 | ||
| 저장매체 관리 | ||
| 악성코드 통제 | ||
| 패치관리 | ||
| 소프트웨어 설치 통제 | ||
| 탐지 | 물리보안 | CCTV 설치 |
| 시스템 개발보안 | 로그 기능 | |
| 접근통제 | 접근권한 검토 | |
| 운영보안 | 취약점 점검 | |
| 로그 관리 및 검토 | ||
| 보안 점검 | ||
| 비즈니스 파트너 보안 | 비즈니스 파트너 보안 점검 | |
| 교정 | 인적 보안 | 상벌규정 |
| 물리 보안 | 시스템 배치 및 관리 | |
| 운영 보안 | 백업 관리 | |
| 침해사고 관리 | 침해사고 보고 | |
| 침해사고 처리 및 복구 | ||
| 침해사고 분석 | ||
| 재발방지 |
(3) 소기업 내부 통제항목
소기업의 내부 통제항목은 와 같다.
<표 29> 소기업 내부통제항목
| 단계 | 통제분야 | 통제항목 |
| 억제 | 보안정책 수립 | 보안정책, 지침, 절차, 매뉴얼 수립 및 공표 |
| 접근통제 정책 수립 | ||
| 보안사고 대응 절차 수립 | ||
| 보안정책 관리 | ||
| 보안교육 및 훈련 | 보안교육 계획 수립 | |
| 보안교육 시행 및 평가 | ||
| 보안사고 대응 훈련 | ||
| 법규준수 | 관련 법규 준수 | |
| 예방 | 비즈니스 파트너 보안 | 비즈니스 파트너 보안 계약 시 보안 |
| 비즈니스 파트너 보안 계약 만료 시 보안 | ||
| 정보자산 분류 | 정보자산 식별 | |
| 정보자산 별 관리자 지정 | ||
| 정보자산 별 보안등급 지정과 취급절차 정의 | ||
| 인적 보안 | 신원 파악 | |
| 주요 직무자 지정 및 감독 | ||
| 비밀유지서약서 작성 | ||
| 퇴직 및 직무변경 관리 | ||
| 물리 보안 | 보호구역 지정 | |
| 보호구역 내 작업 통제 | ||
| 출입통제 | ||
| 중요자산 반출입 통제 | ||
| 사무실 환경 보안 | ||
| 접근통제 | 직무별.역할별 권한 관리 | |
| 사용자 인증 및 식별 | ||
| 패스워드 관리 | ||
| 모바일 기기 접근 통제 | ||
| 인터넷 접속 통제 | ||
| 운영 보안 | 저장매체 관리 | |
| 악성코드 통제 | ||
| 패치관리 | ||
| 소프트웨어 설치 통제 | ||
| 탐지 | 물리보안 | CCTV 설치 |
| 접근통제 | 접근권한 검토 | |
| 운영보안 | 보안 점검 | |
| 비즈니스 파트너 보안 | 비즈니스 파트너 보안 점검 | |
| 교정 | 인적 보안 | 상벌규정 |
| 운영 보안 | 백업 관리 | |
| 침해사고 관리 | 침해사고 보고 | |
| 침해사고 처리 및 복구 | ||
| 침해사고 분석 | ||
| 재발방지 |
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 교정 (0) | 2022.07.28 |
|---|---|
| 단계별 내부통제항목 - 탐지 (2) (0) | 2022.07.27 |
| 단계별 내부통제항목 - 탐지 (1) (0) | 2022.07.26 |
| 단계별 내부통제항목 - 예방(10) (0) | 2022.07.25 |
| 단계별 내부통제항목 - 예방(9) (0) | 2022.07.24 |
댓글