Skip to content

yanghoeg/itgc-to-isms-p

Repository files navigation

itgc-to-isms-p

회계법인 IT 감사인의 시각으로 한국 ISMS-P 인증기준을 ITGC 감사 절차에 매핑한 실무 노트.

⚠️ 현재 작성 중 (10 / 101 작성 완료). 101개 인증기준 매핑은 점진적으로 채워집니다. 전체 진행 현황은 01-itgc-mapping/MATRIX.md, 진행 방식·읽기 순서는 00-meta/reading-order.md 참조.

📖 온라인 버전: guide.propsol.co.kr — 같은 내용을 웹에서 읽기 좋게 빌드한 정적 사이트.

누구를 위한 자료인가

  • 비금융권 ITGC 감사를 수행하는 회계법인 IT 감사인
  • ITGC와 ISMS-P 인증기준의 영역을 동시에 보고 싶은 정보보호 컨설턴트
  • 클라이언트가 ISMS-P 인증을 받으려 할 때 회계감사 ITGC와 어떻게 연계할지 고민하는 감사인
  • KICPA 보유자 중 ISMS-P 인증심사원 자격을 준비하는 응시자

학원 강의 노트도 아니고 시험 합격 패키지도 아니다. 매일 ITGC 감사를 수행하면서 ISMS-P 인증기준을 참조 프레임워크로 활용하는 실무자의 작업 노트다.

왜 이 레포가 필요한가

비금융권 회계감사 ITGC는 의무는 있고 표준은 부재한 상태다.

회계감사기준서 315는 IT 위험을 "이해하여야 한다"고만 규정한다. 무엇을 어떻게 검증할지에 대한 절차는 적혀 있지 않다. 「내부회계관리제도 모범규준」도 마찬가지다. 원칙은 있고 절차는 없다.

미국은 PCAOB AS 2201, AICPA SOC 1·SOC 2가 있다. 일본은 금융청이 J-SOX 가이드라인을 직접 제시한다. 한국은 이런 공식 가이드가 없다. 신외감법으로 ITGC 감사가 의무화되었지만 그 감사를 어떻게 수행하라는 표준은 따라오지 못했다. 결과적으로 빅4 회계법인의 자체 방법론이 사실상의 표준 역할을 하지만, 빅4 방법론은 외부에 공개되지 않는다.

빅4 외부의 회계법인 IT 감사인이 참고할 한국어 자료는 빈약하다. 이 레포는 그 공백을 부분적으로 메우는 작업이다. ISO 27001을 개별 회계사가 직접 번역·해석해서 사용하는 것은 본래 협회나 감독기관이 표준화해주어야 할 작업이지만, 그 작업이 부재한 현실에서 KISA가 한국어로 정밀하게 정리한 ISMS-P 인증기준이 가장 현실적인 참조 자료다.

어떻게 매핑하는가

KISA 현행 ISMS-P 인증기준 101개 (2023.11 안내서 기준)를 ITGC 3가지 분류로 정렬한다.

분류 의미 매핑되는 ISMS-P 영역 개수
직접 (1-direct) ITGC 4영역(APD/PC/CO/PD)에 직결 2.4(물리), 2.5, 2.6, 2.7.2, 2.8, 2.9, 2.10, 2.11, 2.12 ~49
간접 (2-indirect) Entity-Level Controls (ELC, 전사수준통제) 1장 전체, 2.1, 2.2, 2.3, 2.4.7, 2.7.1 ~31
기타 (3-other) ITGC 거의 무관, 참고용 3장 개인정보 처리단계 21

직접 영역은 다시 ITGC 표준 4영역으로 분류:

ITGC 약어 풀이 매핑되는 ISMS-P 인증기준
APD Access to Programs and Data 2.5(인증·권한), 2.6(접근통제), 2.7.2(키관리)
PC Program Changes 2.8.6(운영환경 이관), 2.9.1(변경관리)
CO Computer Operations 2.4(물리), 2.9.2~7(운영), 2.10(보안), 2.11(사고), 2.12(재해복구)
PD Program Development 2.8.1~2.8.5(도입·개발 보안)

3장 개인정보 처리단계는 ITGC가 직접 다루지 않지만, ISMS-P 인증을 받으려는 클라이언트 관점에서는 동등하게 중요하므로 별도 카테고리(3-other/)로 다룬다.

디렉토리 구조

.
├── 00-meta/                         배경, 방법론, 읽는 순서
├── 01-itgc-mapping/                 ITGC 3가지 분류별 매핑 (메인)
│   ├── MATRIX.md                    ISMS × ITGC 양방향 매핑 매트릭스 (101개 한 페이지)
│   ├── 1-direct/                    ITGC 직접 매핑 (~49)
│   │   ├── apd/                     Access to Programs and Data
│   │   ├── pc/                      Program Changes
│   │   ├── co/                      Computer Operations
│   │   │   ├── operations/          2.9.x 운영
│   │   │   ├── security/            2.10.x 보안운영
│   │   │   ├── incident/            2.11.x 사고대응
│   │   │   ├── dr/                  2.12.x 재해복구
│   │   │   └── physical/            2.4.x 물리
│   │   └── pd/                      Program Development
│   ├── 2-indirect/                  ITGC 간접 매핑 — ELC (~31)
│   │   └── elc/
│   │       ├── governance/          1장 관리체계
│   │       ├── policy/              2.1, 2.4.7
│   │       ├── personnel/           2.2 인적보안
│   │       ├── third-party/         2.3 외부자
│   │       └── crypto-policy/       2.7.1 암호정책
│   └── 3-other/                     ITGC 거의 무관, 참고용 (~21)
│       └── privacy-lifecycle/       3장 개인정보 처리단계
│           ├── 3.1-collection/      수집
│           ├── 3.2-use/             보유·이용
│           ├── 3.3-provision/       제공
│           ├── 3.4-deletion/        파기
│           └── 3.5-rights/          정보주체 권리
├── 02-itac-mapping/                 응용 통제(ITAC) → ISMS-P 매핑
├── 03-je-mapping/                   저널엔트리(JE) 분석 → ITAC + 결산감사 양면
├── 04-laws/                         개보법, 정통망법, 전금법, 신용정보법
├── 06-exam-strategy/                ISMS-P 응시 전략
├── 99-references/                   1차/2차 참고자료
└── site/                            정적 가이드 사이트 빌드 (→ guide.propsol.co.kr)

페이지 형태 (각 인증기준)

각 인증기준 페이지는 4섹션 구조:

  1. ISMS 원본 — 인증기준 요약 + 개요·사례
  2. ITGC 매핑 — 분류(직접/간접/기타) + 영역(APD/PC/CO/PD/ELC)
  3. IT감사에서는 이렇게 — 좌(ISMS 요구) ↔ 우(테스트 절차) 표
  4. Q&A — 실무에서 부닥치는 "어디까지?" 질문 + KISA 답변 기준 ITGC 적용

자세한 형식은 00-meta/methodology.md §2 참조.

작성 원칙

  • 회계법인 IT 감사인 동료가 읽는다고 가정한 톤. 강의 톤 아님.
  • KISA 안내서 본문 직접 인용 금지. 인증기준 번호·제목만 인용하고 해석은 자체 작성.
  • 실무 케이스는 회사명·시스템명 익명화 (ABC회사 / DEF금융 / OOO ERP).
  • 한국어.

주된 목적

이 매핑 작업의 가장 큰 목적은 작성자 본인의 학습이다. ISMS-P 인증심사원 시험 준비를 어차피 해야 하는데, 101개 인증기준을 무작정 외우는 것보다 6년 넘게 해온 ITGC 실무에 매핑하면서 익히는 게 효율적이다. 사람의 기억은 새로운 정보를 기존 지식에 엮을 때 가장 강하게 남는다.

겸사겸사, 이 매핑 작업이 비슷한 고민을 하는 회계법인 IT 감사인들에게 참고 자료가 되기를 바란다. 빅4 내부 방법론은 외부에 공개되지 않고, 작은 회계법인 IT 감사인은 참고할 한국어 자료가 빈약하다. 이 레포가 그 공백을 조금이라도 메우면 좋겠다.

작성자

양주웅 (양획 / yanghoeg) — yjw.cpa@gmail.com

  • KICPA (2017~)
  • 회계법인 IT Audit (2020~, KPMG → 서우 → 세움)
  • 금융권 전산감사 (시중은행 포함) → 비금융권 전산감사 수행 중
  • Held CISA, 정보보안기사, CPPG, SQLD, 정보처리기사, 리눅스마스터 1급

ITGC · ITAC · JE 자문 / 외주 용역

이 레포는 10년차 회계사(2017 KICPA · 2020~ 전산감사)가 회계법인에서 매일 수행해 온 IT 감사 실무를 한국어로 정리한 작업물입니다. 같은 깊이의 실무 자문을 세움회계법인 명의로 외부 회사·회계법인 단위에 제공합니다. 계약 · NDA · 결제는 모두 세움회계법인이 주체입니다.

자문 가능 범위

영역 구체적 deliverable
ITGC 설계·구현 자문 APD/PC/CO/PD 4영역 통제 설계, 기존 통제 진단·결함 도출, 회계감사 대응용 통제 매트릭스 작성
ITAC (응용 통제) 자문 핵심 비즈니스 프로세스의 자동통제 식별·테스트 절차 설계, IPE(Information Produced by Entity) 검증
JE(저널엔트리) 분석 자문 JE 분석 룰 설계, ERP별 데이터 추출·검증, 외부감사 JE testing 대응, 부정 위험 분석 보조
신외감법 ITGC 감사 대응 외부감사인 ITGC 검증 대응, 결함 사전 도출·보완 자문, 감사인 질의 대응 자료 작성
회계법인 internal training 비금융권 ITGC 감사 방법론 사내 교육, junior 감사인 onboarding 커리큘럼

어떤 회사가 연락하면 적합한가

  • 비금융권 중견·중소기업 — 외부감사 ITGC 결함을 매년 받고 있는데 내부에 IT 감사 전문 인력이 없는 회사
  • 소형·중형 회계법인 — 클라이언트 ITGC 감사 의뢰는 들어오는데 빅4 방법론을 참조하기 어려운 IT 감사팀
  • 개인정보처리시스템 운영 중견기업 — 안전성 확보조치 기준 적합성 검토가 필요한 회사

차별점

  • 빅4 방법론 + 중소형 회계법인 현실 양쪽을 모두 경험. 이상적 절차가 아니라 실제 적용 가능한 절차로 설계
  • 회계감사 시각으로 ITGC를 봅니다. 보안 컨설팅과 달리 외부감사인이 무엇을 검증하는지를 기준으로 통제를 설계합니다
  • KISA 1차 자료 직접 검증. 빅4 비공개 방법론 인용 없음, 한국 비금융 시장 현실에 맞는 권고
  • 이 레포 자체가 작업 샘플. 의뢰 전에 작성자의 깊이와 톤을 직접 확인 가능

진행 방식

  1. 이메일로 회사 개요·필요한 영역·예상 일정 간단히 송부
  2. 30분 무료 사전 통화로 범위·일정·금액 협의 (NDA 체결 후 상세 진단 가능)
  3. 프로젝트 단위 또는 월 단위 retainer 둘 다 가능 — 모두 세움회계법인 명의
  4. 익명화·NDA 엄수. 본 레포·블로그·SNS에 클라이언트 정보 일체 노출 금지

연락

  • 담당자: 양주웅 (KICPA, 세움회계법인 Director · IT Audit)
  • 이메일: yjw@seumer.com (영업일 기준 1~2일 내 회신)
  • 제목에 [자문 문의] 표기 부탁드립니다
  • 단순 견적 요청보다는 무엇을 해결하고 싶은지 한두 문단 적어주시면 사전 통화의 밀도가 높아집니다

독립성

세움회계법인은 동일 회사에 대해 동일 기간 ITGC 자문과 회계감사를 동시에 수행할 수 없습니다. 자문 의뢰 시 회계감사인이 세움회계법인이라면 사전 통화에서 안내드립니다.

면책 조항

본 레포는 작성자 개인의 학습 노트이자 실무 매핑 작업입니다. 다음을 유념해주십시오.

  • 회계감사 실무 적용 시 — 소속 회계법인의 방법론과 KISA 공식 안내서, 회계감사기준서를 우선 참조하십시오. 본 레포는 보조 참고 자료입니다.
  • ISMS-P 인증 실무 적용 시 — KISA 공식 인증제도 안내서와 자가진단 결과를 우선 참조하십시오.
  • 법령 적용 시 — 국가법령정보센터(https://law.go.kr)의 최신 시행법령을 우선 참조하십시오.

본 레포의 어떤 콘텐츠도 회계감사·ISMS-P 심사·법률 자문의 공식 의견을 대체하지 않습니다.

1차 자료 인용 정책

KISA 안내서, 회계감사기준서, 법령 등 1차 자료의 본문은 verbatim 인용하지 않습니다.

  • 인증기준 번호·제목, 기준서 번호·조항, 법령 조문 번호 등 식별 정보만 인용
  • 본문 해석은 작성자가 직접 작성
  • 1차 자료를 직접 참조하실 분은 발행 기관의 원문 확인 권장

실무 사례 익명화 정책

본 레포에 포함되는 실무 사례는 모두 익명화됩니다.

  • 클라이언트 회사명 → ABC회사 / DEF금융 / GHI제조 등으로 일반화
  • 시스템명 → OOO ERP / XXX HR 등으로 일반화
  • 인물명·구체 날짜 → 모두 제거
  • 빅4 회계법인의 구체적 방법론 절차 → 미공개 (NDA 잠재 위반 방지)

컨트리뷰션

현재 본 레포는 작성자 개인의 학습 노트 단계로, PR을 받지 않습니다. 매핑 자료가 일정 수준 쌓이면 컨트리뷰션 정책을 별도로 안내할 예정입니다.

오류 제보·매핑 보완 의견은 GitHub Issues로 부탁드립니다.

라이선스

콘텐츠는 CC BY-NC-SA 4.0 라이선스 하에 배포됩니다. 학습·실무 참조 목적의 비상업적 사용은 자유이며, 출처 표기와 동일조건변경허락이 필수입니다.

자세한 사항은 LICENSE 참조.

About

No description, website, or topics provided.

Resources

License

Stars

3 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors