인증 심사와 규제기관 실사의 책임 범위
두 업무 모두 외부 검증에 대응하지만 맡은 역할의 범위는 달랐습니다. 인증 심사에서는 보안 기술 영역을 중심으로, 금융 규제기관 실사에서는 요청 대응 전반의 주요 역할을 수행했습니다.
- 01통제 항목과 보안 운영 현황 대조
- 02기술 증적 생성·수집·사전 검토
- 03심사원 동행과 기술 질의 설명
- 04확인사항 보완과 종결 추적
- 01요청사항 해석과 대응 범위 판단
- 02제출자료 준비와 유관 부서 조정
- 03현장 질의와 보안 운영 근거 설명
- 04추가 요청·보완조치 관리
요구사항을 현장에서 설명 가능한 증적으로 전환
자료를 모으는 데서 끝내지 않고, 요구사항과 실제 통제, 담당자, 증적이 서로 맞는지 확인한 뒤 심사 질의에 답할 수 있는 형태로 준비했습니다.
- 01Scope요구사항 해석
심사·실사 요청의 목적과 확인 범위를 분류
- 02Control통제·담당자 매핑
기술 통제와 운영 주체, 관련 부서를 연결
- 03Evidence증적 생성·검토
설정·로그·운영 기록을 확인하고 필요한 증적을 준비
- 04Readiness사전 정합성 확인
답변, 절차, 제출자료가 실제 운영과 일치하는지 점검
- 05On-site현장 질의 대응
심사원·실사 담당자의 질문에 기술 근거와 함께 설명
- 06Closure보완·종결
추가 요청과 확인사항을 추적하고 보완 결과를 정리
외부 검증에서 기억에 남은 세 가지 쟁점
인증 심사는 보안기술 영역 전반을 다뤘고, 대외기관 실사는 사안에 따라 점검 목적과 범위가 달랐습니다. 아래에는 그중 공개 가능한 세 가지 사례를 정리했습니다.
고위험 자산 보관 영역의 출입, 작업, 승인, 기록이 정해진 통제 안에서 수행되는지 설명하고 관련 증적을 준비했습니다.
- 출입 통제
- 작업 승인
- 수행 기록
- 사후 확인
민감정보를 처리하는 시스템의 구성과 접근 경로, 권한, 로그가 보호 기준에 맞는지 확인하고 기술 근거를 정리했습니다.
- 시스템 범위
- 접근 경로
- 권한 통제
- 감사 로그
최소권한, 승인, 직무분리, 정기 검토가 실제 계정과 운영 절차에 반영되는지 확인하고 보완사항을 관리했습니다.
- 최소권한
- 승인 이력
- 직무분리
- 정기 검토
현장 대응에서 후속 종결까지
질문에 답하는 것만으로 대응을 끝내지 않고, 추가 요청과 확인사항이 어떤 근거로 보완됐는지 추적했습니다.
- 01Request확인 요청
질문의 의도와 대상 통제를 먼저 확인
- 02Evidence근거 제시
정책 문구보다 실제 설정·로그·운영 기록을 중심으로 설명
- 03Coordination부서 조정
시스템·업무 담당자의 자료와 설명을 같은 기준으로 정리
- 04Remediation보완 관리
확인사항의 원인과 조치 주체, 완료 근거를 추적
- 05Closure종결 확인
추가 제출과 보완 결과가 요구사항을 충족하는지 최종 확인