수업 감사 시뮬레이션에서 발견 항목을 심각도별 분류 후 개선 과제로 연결
보안 수업에서 내부 감사 시뮬레이션을 하면서 발견한 항목들을 어떻게 정리해야 하는지 처음으로 고민해봤습니다. 처음엔 발견한 것을 그냥 목록으로 나열했는데, "이게 다 똑같이 중요한 거냐"는 피드백이 나왔습니다. 이후에 심각도 높음·중간·낮음으로 분류하고, 높음 항목만 먼저 개선 과제로 정리하는 방식으로 바꿨습니다. 개선 과제에는 "무엇을 언제까지 누가"를 붙이려 했는데, 담당자를 정하는 게 가장 어려웠습니다. 권한이 있어야 담당자를 지정할 수 있다는 걸 그때 처음 이해했습니다. 실무 감사 경험은 없지만, 발견 항목을 우선순위화해서 실행 가능한 과제로 만드는 방식을 그 시뮬레이션에서 처음 익혔습니다.