IT Compliance
태그 :
- 개념
- 기업의 투명성 강화, 리스크 관리를 위하여 정부나 관련 기관이 제시 안이나 각종 규제법안을 만족할 수 있도록 IT관점에서 시스템을 정비하는 의무 활동 기업, 정부 기관 등 정보 시스템 사용자가 고객정보 보호, 자료 보관, 재무보고서 공시등과 관련하여 반드시 따라야 하는 규정, 지침 등의 규제를 준수하는 과정
1. 규제와 기준에 대한 IT관점의 대응요소, IT Compliance
가. IT Compliance의 정의
기업의 투명성 강화, 리스크 관리를 위하여 정부나 관련 기관이 제시 안이나 각종 규제법안을 만족할 수 있도록 IT관점에서 시스템을 정비하는 의무 활동
기업, 정부 기관 등 정보 시스템 사용자가 고객정보 보호, 자료 보관, 재무보고서 공시등과 관련하여 반드시 따라야 하는 규정, 지침 등의 규제를 준수하는 과정
나. IT Compliance 개념의 등장 배경
SOA(Sarbanes-Oxley Act, SOX), Basel-II 등과 같이 기업 활동에서 준수해야 하는 규정이 생김에 따라 해당 규정의 준수를 보증할 수 있는 시스템 및 조직 도입의 필요성 대두 (현대 기업들이 지나치게 비대해지면서 업무가 파편화되고 의사결정 과정과 경영 내용이 복잡해져 기업 내 누구도 이해당사자들에게 책임을 지지 않게 됨)
2004년 이후 회계보고, 의료, 데이터 프라이버시, 환경, 보안 등 비즈니스에 영향을 미치는 각국 규제, 산업표준, 내부 규정 등의 급격한 증가
다. IT Compliance 필요성
기업의 수많은 규제와 변화요인에 대응하여 자율적 규제강화를 통한 비즈니스 연속성 확보 위해 IT Compliance가 필요
다. IT Compliance 시장 형성 배경 법안
구분 |
설 명 |
바젤Ⅱ(Basel Ⅱ) |
시장, 신용 리스크 외에 운영 리스크 까지 고려 BIS(Bank for International Settlement: 국제 결제 은행) 비율 산출, 은행건전성평가 기준 |
샤베인즈-옥슬리 법안 (Sarbanes-Oxley Act, 약칭 SOA, SOX) |
회계관리, 내부통제시스템도입, 경영인증시스템 구축 |
21 CFR part Ⅱ |
미국 FDA에서 요구하는 제약업체에 대한 전자문서관리를 위한 규제 |
금융권 DRS |
은행, 증권사, 신용카드사, 증권유관기관 및 통합시스템 운영기관 : 3시간 이내 |
기업회계 Compliance |
회계 3법(증권거래법, 공인회계사법, 주식회사의 외부감사에 관한 법률) |
2. IT Compliance의 특징 및 프레임 워크, 구성요소
가. IT Compliance의 특징
구분 |
설 명 |
업무 프로세스 재정비와 IT 솔루션 도입 |
업무와 IT가 동시에 변경, 재정비되는 특성이 있음 |
단기적, 폭발적 수요 발생 |
해당 법규나 제도가 발효되는 시점까지 무조건, 의무적으로 시스템을 갖추어야 함 |
구축 범위 |
범위가 방대하며 가변적임 |
나. IT Compliance 대응에 대한 프레임워크
BIA(Business Impact Analysis)와 AS-IS 분석을 통하여 각 업무 레벨과 프로세스 레벨에 컴플라이언스 대응 체계를 구축하여 기업의 투명성 확보를 통한 대내외 경쟁력 강화
전사적 관점에서 IT compliance 접근하여 데이터/보안/위험에 대한 대응 체계 필요
다. IT Compliance 구성요소
구분 |
항목 |
특징 |
IT Compliance 조직 |
준법감시인 |
법규준수, 리스크 관리 등 내부 통제 체제에 대해 총괄 및 준법 상황을 감시 관리 |
준법감시부처 |
법규준수와 관련된 점검 절차 및 준법 절차 등을 수립 및 이행점검 |
|
윤리강령 |
Code of Ethics: 임직원이 업무 수행 시에 지켜야 할 법규상, 도덕상의 행동 규범 |
|
준법감시인 매뉴얼 |
Compliance Manual: 내부 통제 정책을 실천하기 위한 구체적인 절차와 준수, 위규 시의 대처방법 등 기술 |
|
위험관리 체제요구 |
바젤Ⅱ |
기존의 신용 리스크에 시장/운영 리스크를 추가하여 세분화한 신 BIS 자기자본관리 |
재해복구시스템 의무화 |
원격백업센터 구축 및 실효성 확보요구 |
|
기업경영 투명성 요구 |
사베인스-옥슬리 법 |
회계 감사를 통한 투명성 확보목적으로 재무정보 포함 서류에 CEO/CFO 서명 |
회계3법 개정 |
- 공인회계사법, 주식회사의 외부감사에 관한 법률, 증권거래법 - 내부통제 강화 |
|
증권관련 집단소송법 |
회계기준을 지키지 않는 기업에 대한 집단소송 |
|
지원시스템 |
RDW |
- Risk Data Warehouse - 리스크 관리를 위한 DW |
COSO |
- Committee Of Sponsoring Org. - 회계, 재무 감사 전문가들로 구성 |
|
HRD |
- Human Resource Development - IT 인적 자원 개발 및 인력풀 운영 |
|
DW |
Data Warehouse, ODS(Operational Data Store)을 통한 CRM, ERP등 연동 |
|
정보보호 시스템 |
- Database 암호화 솔루션 - 메신저 로거 - 침입 탐지 인지 및 차단 시스템 (IDS, IPS) - 전자 서명 인증서 - 통신 암호화 솔루션 - 데이터 접근 통제 및 감사 시스템 등 |
3. IT Compliance 핵심컴포넌트기술, 대응 고려 요소 및 효과적인 대응 방향
가. IT Compliance 핵심 컴포넌트 기술
구현기술 |
설 명 |
통합인프라 |
기업의 IT관리를 위한 통합기술 |
BPM |
업무프로세스 관리 및 비즈니스 자동화 |
학습 및 교육관리 |
규제의 대응과 준수요건에 대한 관리, e러닝등 활동 |
컨텐츠문서 기록관리 |
원하는 데이터에 대한 직접접근이 가능한 기록관리 환경, ILM등 기반 구축 |
Datawarehouse |
대규모 분석용 data 축적기술 |
규칙엔진 |
규제규칙 및 업무규칙관리(BRE) |
경고엔진 |
회계감사와 자기학습 기능에 의한 규제위반, 리스크의 경고 수행 |
인증 및 보안관리 |
권한이 부여되지 않은 사람이 정보자원에 접근행위 방지 및 행위보고기술 |
관리자용 대시보드/분석기능 |
신속한 대응능력과 모니터기능, 투명하고 자동화된 분석기능 |
나. IT Compliance 대응 고려요소
정보시스템만의 구성으로는 내부통제제도 또는 회계개혁법안에서 요구하는 사항을 완전히 만족시킬 수 없음
기업경영의 구조가 재무보고에 대한 독립적인 관리 및 통제권한이 부여된 감사위원회 등을 포함하는 선진 관리 구조형태로 바뀌어야 하며 전문가 그룹으로 구성되는 내부감사제도의 운영이 필수적으로 수반 되어야 함
다. 효과적인 대응 방향
프로젝트가 아닌 기업 단위 전체로 대응
규제에 대한 정확한 이해 필요
규제를 기업운영 문화에 적용
라. IT컴플라이언스에 따른 솔루션 유형
시스템 |
설명 |
DRS |
- IT Compliance준수관점에서 업무별 중요도에 따라 재 구축 |
BCP |
- 비즈니스관점에서 재해 시 기업의 연속성을 가능토록 함 |
BPM |
- IT Compliance 대응에 필요한 프로세스 및 인프라 구축 |
DQM |
- Compliance에서 요구되는 데이터의 일관성과 완전성 등을 보장하는 품질관리 솔루션 |
EAMS |
- 전사 아키텍쳐의 효율적인 관리를 통해 상호 운영성을 보장하고 표준기술 요소 등의 관리를 통해 Compliance요건에 대해 아키텍처 차원에서 대응가능 |
4. IT Compliance 도입 효과 및 향후 전망
가. IT Compliance 도입 효과
구분 |
내용 |
고객 |
- 고객정보 보호 및 프라이버시 침해 방지 - IT 서비스 이용과 기업에 대한 신뢰감 확보 |
기업 |
- 자동화에 따른 IT Compliance 수행 비용 절감 - 기업 투명성증대로 투자, 불신의 최소화 |
시장 |
- 금융시장의 안정화 및 위험관리체계의 정착 - 규제환경 변화로 인한 비즈니스영향 최소화 |
나. IT Compliance 향후 전망
기업의 투명성 향상과 투자자 보호차원 위해 확대 적용
금융기관의 위험도를 신속평가, 철저한 리스크 관리를 위하여 규제 강화
시대적, 정치적 환경 변화에 따른 계속적인 진화에 대응
규제에 대응 및 적응 가능한 IT인프라 확보 위해 중장기적 IT투자 필요
IT투자평가를 통한 기업의 효과적인 규제대응 전략의 비용대비 ROI 고려 선행이 필수
< 참고내용 >
IT Compliance 국내외 사례
해외 사례
규제명칭 |
관련 내용 |
규제기관 |
Sarbanes-Oxley Act(SOA) |
회계 감사에 대해 투명성을 제고할 목적으로 재무보고서 작성과 공시에 대해 CEO와 CFO의 서명을 요구하는 등의 규제를 가하고 있음 (비용, IT 및 전체 비즈니스에 가장 큰 영향을 미침) |
GAO, SEC (미국) |
HIPAA |
병원이나 의료 관련 기관에 보관되어 있거나 발표되는 의료 기록 및 다른 건강 관련 정보를 보호하기 위해 자료관리에 대해 규제 HIPAA: Health Insurance Portability and Accountability Act |
DoHH (미국) |
Gramm-Leach Bliely Act (GLBA) |
은행·증권·보험 등 모든 금융 업무를 하나의 회사가 운영할 수 있도록 허용한 법(일명 GLB법) 금융기관이 고객의 개인 정보를 안전하게 보호하기 위한 조치를 취하도록 강제함 |
FDIC, SEC (미국) |
SEC17A-4 |
증권회사, 딜러 등 SEC(Security Exchange Committee) 회원이 지켜야 할 기준을 정함. 증권회사, 딜러와 multiline financial firm은 그들의 이메일, 인스턴트 메시징의 내용을 보관, 관리하는 등 일정 조치를 취하도록 규제 |
SEC (미국) |
Basel Ⅱ |
최저자기자본 규제, 감독기관의 점검, 은행의 공시 강화 등을 내용으로 하며, 위험자산 비중이 높을수록 필요자본금을 많이 확보토록 하는 등 은행의 위험관리를 규제 (자본 적정성을 관할하는 국제 표준) |
BIS(국제기구) |
21 CFR Rule 11 |
이메일을 포함한 전자적 기록과 전자서명이 FDA에 의해 규제되는 생산 공정에서 사용되는 서면기록 서명과 같이 취급되도록 기준을 설정 |
FDA (미국) |
USA PATRIOT Act |
2001 9.11테러에 대응해 개발됨. 금융서비스 회사, 보험회사가 고객 식별 및 수상한 거래를 표시하도록 하는 것을 포함하여 anti-terrorism 및 돈세탁방지 규정을 둘 것을 요구함 |
DoD (미국) |
California SB 1386 |
California 주민이 위태롭게 될 수 있는 민감한 정보와 관련된 computer-security를 침해한 사실을 공표토록 강제함. |
California State Gov. (미국) |
국내 사례(IT Compliance 관련 법률)
규제 명칭 |
관련 내용 |
규제기관 |
정보통신망 이용촉진 및 정보보호 등에 관한 법률 |
-개인정보의 보호 -정보통신망에서의 이용자 보호(청소년 보호, 권리보호) -정보통신망의 안전성 확보 등 |
방통위 |
저작권법 |
-온라인 서비스제공자의 의무 및 책임 면제 -불법 복제물에 대한 삭제 명령 |
문체부 |
정보통신기반보호법 |
-주요정보통신기반시설의 보호체계 -주요정보통신기반시설의 지정 및 취약점 분석 -주요정보통신기반시설의 보호 및 침해사고 대응 등 |
행안부 |
개인정보보호법(추진 중) |
-개인정보 수집, 이용 요건 - 개인정보의 제공 요건 -개인정보 목적 외 이용, 제공금지 및 제한적 허용 요건 -개인정보의 파기 -민감 정보 및 고유식별 정보의 처리 제한 -개인정보의 안전성 확보 및 관리 책임 |
행안부 |
통신비밀보호법 |
-전기통신사업자의 협조의무 |
방통위 |
전자금융거래법 |
-전자금융거래의 안정성 확보의무 -전자금융거래기록의 생성 및 보존의무 -약관명시 및 변경통지 의무 -전자금융거래정보의 제공 등 |
공정위 |
금융감독원 지침 |
-증권회사 업무관련 이메일, 메신저 3년 의무 보관 -기업의 전자 금융거래에 OTP 사용 필수 적용 |
금감원 |
산업기술유출방지법 |
-국가핵심기술의 보호를 위한 조치 -산업기술의 유출 및 침해행위 금지 |
지경부 |
전자상거래소비자보호법 |
-거래 기록의 보존의무 -전자적 대금 지급의 신뢰 확보 -사이버 몰 운영자의 표시의무 -소비자 정보의 이용 |
지경부 |
정보격차해소법 |
-장애인, 고령자 등의 정보 접근 및 이용보장 |
행안부 |
의료법 |
-진료기록부 등에 전자서명 의무화 환자명부(5년), 진료기록(10년)보관 |
보건복지 |
자금세탁방지법률 |
- 불법재산의 취득, 처분, 또는 발생원인에 대한 사실을 가장하거나 ,그재산을 은닉하는 행위에 대한 제재 - 특정금융거래보고법, 범죄수익규제법, 공중협박자금조당금지법 |
기획재정부 |
내부관리회계제도 (K-SOX) |
- 회사가 작성한 회계정보에 대한 신뢰성을 확보하기 위하여 회사내부에 설치하는 회계처리통제시스템 - 기업의 재무보고 내부통제에 대한 내용을 중점적으로 담고 있으며 미국 사베인-옥슬리(Sarbanes-Oxley Act)의 한국형답안 |
금융위 |