반응형
| 하위프로세스이름 | ROMM | 통제활동번호 | 통제활동이름 | 통제목적 | 통제활동설명 | Key Control | 테스트절차 | ||
| 23.07.04 (변화관리) |
평가주기 | 테스트절차 | |||||||
| 프로그램과 데이터에 대한 접근보안 | 사용자의 직무범위를 벗어난 시스템 접근권한이 부여되어 부적절한 직무분리(SOD:Segregation of Duty)를 야기 할 위험 | IT_01_R01_01 | 사용자 계정의 생성 및 승인 | 비인가된 인원의 시스템 접근으로 인가되지 않은 거래나, 비정상적인 거래 발생으로 재무정보가 왜곡될 위험을 예방한다 | 입사자 발생 시 현업부서에서 입사자계정등록(업무시스템 계정등록) 신청서를 작성 후 신청 부서장의 승인을 득한다. 전산 담당 임원의 승인을 득한 후 경영본부 전산담당자가 계정을 생성하고 있다. | Yes | S | 1. 평가 대상 기간 동안 생성된 계정 이력을 추출한다. 2. 샘플링 방법에 따른 샘플 수를 선정하고 승인 내역(업무시스템 계정등록 신청서)을 확인하여 계정 생성의 적정성(직무 기반)을 검토한다. 3. 현업부서장 및 전산 담당 임원의 승인을 득하여 계정이 생성되었는 지 확인한다. |
|
| 프로그램과 데이터에 대한 접근보안 | 사용자의 직무범위를 벗어난 시스템 접근권한이 부여되어 부적절한 직무분리(SOD:Segregation of Duty)를 야기 할 위험 | IT_01_R01_02 | 권한 변경 및 승인 | 업무와 무관한 권한이 부여되거나, 과도한 권한이 부여되어 비인가된 활동을 수행할 위험을 예방한다 | 권한 변경 시 현업부서에서 [권한부여 및 변경신청서]를 작성하여 신청 부서장 및 전산담당 임원의 승인을 득한다. 경영본부 전산담당자가 권한을 생성하고 있다. | Yes | S | 1. 평가 대상 기간 동안 권한이 변경된 사용자 리스트 및 권한을 추출한다. 2. 샘플링 방법에 따른 샘플 수를 선정하고 요청되고, 승인된 건에 대해서 권한이 변경되어 있는지 확인한다. 3. 현업부서장 및 전산 담당 임원의 승인을 득하여 권한이 생성되었는 지 확인한다. |
|
| 프로그램과 데이터에 대한 접근보안 | 사용자의 직무범위를 벗어난 시스템 접근권한이 부여되어 부적절한 직무분리(SOD:Segregation of Duty)를 야기 할 위험 | IT_01_R01_03 | Application 특수권한의 적정성 | Application 의 관리자 계정의 도용(오/남용)으로 정보자산이 유출되거나 훼손될 위험을 예방한다.(임의 권한 부여/보안 통제 설정 변경 등) | 특수 권한은 (e.g., 보안담당자) 적절하게 직무를 부여받고 업무를 수행하는 제한된 인력에게만 부여한다. 회사는 업무분장표에 근거하여 경영본부 전산부서의 인력이 운영 및 관리하고 있음. 회사의 Application |
전산팀 퇴사자 인원 1개 계정은 삭제필요 | Yes | S | 1. 내부회계관리 대상 Application과 관련된 IT지원 시스템 관리자 권한을 보유한 사용자를 추출한다. 2. 추출된 계정이 업무분장에 따라 적정한 인원에게 제한되어 부여되어 있는지 확인한다. |
더존 IU, Biz alpha 그룹웨어 사용
내부회계 RCM 항목
반응형
'IT 전산 > 유용한 정보' 카테고리의 다른 글
| 크롬(Chrome) 브라우저에서 자동양식 데이터 삭제하기 [검색 기록 및 자동완성 제거] (0) | 2023.11.16 |
|---|---|
| 활성화된 네트워크 어댑터를 찾아서 DNS 서버 주소 변경하는 스크립트 파워쉘 (0) | 2023.11.09 |
| 산업안전보건 교육 평가시험 문항 및 정답 (0) | 2023.11.07 |
| (품의서) 유지보수계약 전자결재 상신 양식 (0) | 2023.11.06 |
| 전산실 출입 관리 대장 양식 (문서) / 통제구역 출입대장 (0) | 2023.11.02 |
