사내 보안 감사 경험 없음 인정하고 범위 설정·기준 정의·결과 개선 조치 이해 공유결
사내 보안 감사를 직접 수행한 경험은 아직 없습니다. 다만 이 과정이 어떻게 이뤄지는지 공부한 내용을 바탕으로 답하겠습니다.
보안 감사에서 가장 먼저 정해야 하는 것은 범위입니다. 어떤 시스템, 어떤 기간, 어떤 접근 방식으로 점검할지를 명확하게 정해야 감사가 일관되게 진행됩니다. 범위가 모호하면 중요한 영역을 빠뜨리거나 같은 영역을 반복해서 보는 비효율이 생깁니다.
두 번째는 평가 기준입니다. 법령 요건, 내부 정책, 업계 표준 중 어떤 기준으로 점검하는지를 정해야 결과를 해석하고 개선 조치를 연결할 수 있습니다. 기준이 없으면 결과가 있어도 '얼마나 심각한지'를 판단하기 어렵습니다.
세 번째는 개선 조치입니다. 감사는 문제를 찾는 것이 목적이 아니라 개선으로 이어지는 것이 목적입니다. 발견된 항목에 책임자와 기한을 붙여서 추적하는 것이 감사의 실질적 가치입니다.