s01grc.ppt [호환 모드] - :: dbguide.net :: 데이터 전문가 지식포털 · ·...
TRANSCRIPT
보안의 새로운 접근전략: Governance, Risk, and Compliance 전략과 방안
Jaejoon KangSecurity GTMi Oracle Korea
Agendag
• Governance, Risk Management & Compliance 소개
• 오라클의 GRC 충족 전략 및 방안• 오라클의 GRC 충족 전략 및 방안
Governance, Risk Management & , gCompliance 소개
오라클의 GRC 충족 전략 및 방안• 오라클의 GRC 충족 전략 및 방안
• GRC 소개• IT Governance
• Compliance Landscape
• 국외 Compliance
• 국내 Compliance
• 오라클의 GRC 충족 전략 및 방안
보안의 기술적 한계
??
GRC in summary
Governance Culture
Governance• 목표설정과 성과평가
• 목표달성을 위한 비즈니스전략 및 모델의 승인 및인가
• 상호신뢰와 정결성, 책임성을 수립하기 위한기업전반의 문화와 각개인의 의식을 수립하기
Culture
인가개인의 의식을 수립하기
Culture
Risk Management• 목표달성에 반대가 되는
Compliance• 수립된 정책에 관련한목표달성에 반대가 되는
요소 인식 및 평가 분석
• 강제되거나 자의적으로수립한 규정을 설정하여관리함
수립된 정책에 관련한부합하려는 노력 및 과정
• 정책에 부합하지 않는요소를 발견하고 적절하게대체함관리함 대체함
Source: Open Compliance and Ethics GroupSource: Open Compliance and Ethics Group
GRC : Governance, Risk, Compliance
기업의 성장
비즈니스연속성 확보
•대외적 고민 •대내적 고민
Compliance Governance연속성 확보
•C-level : CEO / CFO / CIO / …
•업종 / 지역 / 국가별 Dependency
강제준수 / P lt
•CIO Focus
•기업자체 환경 Dependency
자율적용 / N P lt
Risk 관리
•강제준수 / Penalty •자율적용 / No Penalty
At Corperate Level : ERM Approach 기업의 명성
MissionActive
StakeholdersPassive
Stakeholders
(Strategy Risk)
THE CEO& BOARD
External Global & Market
Developments
Statuses, Regulators Codes and Guidance
( gy )STRATEGY FORMATION
SENIORMANAGEMENT(O ti l Ri k)
Statement on Statement on Internal Internal ControlControl
Enterprise Enterprise Risk Risk
Management Management KPI Decisions
(Operational Risk)
STRATEGY IMPLEMENTATIONRisk Maps
(Financial Business Project Compliance)
ControlControl Management Management FrameworkFramework
4 Risk
KPI
Decisions
Risk Appetite
CultureCore Values
Controls
Cl it
Capability
Commitment
Choice
1. Business Objectives
4. Risk Management
KPI D i iClarityCommunication
Challenge Context
ChoiceConsistency
Monitoring, Validation, Improvement, and continual Integration
Challenge2. Risk
Identification
3. Risk Assessment
KPI Decisions
Monitoring, Validation, Improvement, and continual Integration
From : Enterprise Risk Management by Pickett, Willey Press ISBM: 978-0-471-74529-7
IT Governance의 등장배경
IT Governance에 대한 도입 필요성이 CIO와 CTO 등 IT 경영자 중심으로 증가
배경
‘묻지마 투자’ 형태의 IT 투자에 대한 비용 절감과 투자대비 효과 검증 필요
기업 경영에 대한 투명성제고 위험관리 및 엄격한 통제력 요구 증가 (SOX BASEL Ⅱ 등기업 경영에 대한 투명성제고, 위험관리 및 엄격한 통제력 요구 증가 (SOX, BASEL Ⅱ 등
Business 전략에 따른 최적의 IT 서비스 연계 및 운영 실행방안 수립 필요
IT조직의 주먹구구식의 Business 요구 해결로 인한 Business GAP 증가
전반적인 경기 침체로 인한 IT 프로젝트의 ROI 요구 엄격전반적인 경기 침체로 인한 IT 프로젝트의 ROI 요구 엄격
IT Governance의 목표
IT 자산의 활용 및 운영에 대한 명확한 원칙, 역할 및 책임이 정의된 관리 / 통제 체계 수립 및
관리/통제활동 수행을 통해 비즈니스 전략과 사업목표에 부합되는 IT 자원 활용을 실현함
IT Governance
Concept
전사 사업전략 및 경영목표를 달성할 수 있도록 IT 자원의 효율적 활용을 위한 관리/통제 체계 및활동 수행
기업 지배구조에 의하여 통제되는 핵심 기업자산 중 IT 자산의 활용 및 운영에 대한 명확한 원칙기업 지배구조에 의하여 통제되는 핵심 기업자산 중 IT 자산의 활용 및 운영에 대한 명확한 원칙, 역할 및 책임이 정의된 관리/통제 체계 수립 및 관리/통제 활동 수행을 통해 비즈니스 전략과 사업목표에 부합되는 IT 자원 활용을 실현함
IT Governance
Corporate
Governance
Direction and
C t l
IT Governance
Rule관리/통제
원칙 제시
통제/관리
IT Management
Planning
목표Control
Key Asset
IT Vision/
St t
Organization
Process
원칙 제시Evaluation
Implementation
OperationKey Asset
Governance
Information
And IT Asset
Strategy
Information
관리 데이터
제공성과/관리
데이터 제공
Operation
Monitoring
Corporate Governance와 IT GovernanceIT Governance는 Corporate Governance의 일부로서 기업의 핵심자산 중 정보 및 IT 자산에 초점
Corporate Governance 영역
이사회주주
감사
이해관계자
공개보고자료
경영진
전략 행동 지침
인적 자산 재무적 자산 물리적 자산 지적 자산 IT 자산
핵심 자산
관계 자산
IT Governance 메커니즘
• IT 전략위원회• IT 운영위원회
회계 Governance 메커니즘
• IT예산 프로세스• IT 조직구조• 프로젝트 추진위원회• SLA(Service Level Agreement)
IT Governance 영역
IT Governance의 금융기관 적용 예
업무 플로우 · 매뉴얼 · 규정이 실업무와 괴리각 업무간의 관련 정의가 없거나 불완전
업무업무 프로세스프로세스 통제통제((수동수동))
・거래 데이터로부터 회계 데이터로 처리 중 고의/과실에 의한 재무 사고
IT IT 어플리케이션어플리케이션 통제통제((자동자동))
・・・업무 회계관리 업무
각 업무간의 관련 정의가 없거나 불완전
업무 개요 · 플로우 정의 등 문서화에 의한 업무의 가시화수작업 또는 이에 준하는 작업을 배제하고 승인 행위와 증적을 수반하는 업무 프로세스로 변경
②워크플로우②워크플로우 시스템화시스템화
외환업무
융자 업무
예금 업무
신약 예입 대체 기장
실적 관리
인출 개서 해약
잔고 관리장부 관리
각종
장표자료
작성
업무 개요서업무플로우 등
증거서류, 중요장표 등
③문서의③문서의 전자화전자화((및및 집중집중))
시스템계 처리시스템계 처리
계정계 처리계정계 처리
신약 예입 대체 기장
仕訳 특성・통계정보
회계 DWH【명세 관리】
인출 개서 해약
거래 정보・로그
④④EUCEUC 통제통제
회계 시스템
재무 보고의 신뢰성
【명세 관리】
IT운용
프로그램 개발 프로그램 변경 시스템 운용 액세스 제어
④④EUC EUC 통제통제
・라이브러리 관리, 시스템 운용 상 고의/과실에 의한 사고
ITIT전반전반 통제통제오류방지를 지원하는 시스템의 변화
거래 로그 취득·분석·보관 기반의 구축
①액세스①액세스 컨트롤컨트롤 (ID(ID관리관리··인증인증 강화강화))
・취득하는 거래 로그 정보의 부족, 로그 분석/조회 기능의 부족
・부정 액세스, 정보 누설, 액세스 증적 관리 기능의 부족
거래 로그 취득·분석·보관 기반의 구축
액세스권한의 엄격한 관리와 증적 취득
• GRC 소개• IT Governance
• Compliance Landscape
• 국외 Compliance
• 국내 Compliance
• 오라클의 GRC 충족 전략 및 방안
Compliance Landscape자통법
KSOX
전자서명법
개인정보보호법
Sarbanes-OxleyHIPAACA SB 1398
PIPEDA
EUPDJapan
Basel IIKonTraGDPA
RIP
Companies ActBDSG
LOPDIAS
개인정보보호법
……
HIPAAFDA CFR Part 11/Annex 11
GLBFISMA
CA SB 1398CA AB 1950CA SB 1386
JapanPrivacyJSOXReg. 357
Bill 321/2004
Personal DataProtection Law Bill 3494/2000
AS4360
CLERP 9
Banking Act
Law f/ProtectionOf Personal Data Nov2000
PA&PAAKing II Rpt
Compliance는 비즈니스의 전제조건
IT 거버넌스
Service LevelService LevelComplianceCompliance
사내사내규제규제/ / 윤리윤리프로그램프로그램
정보 보존연한 관리 자금세탁방지자금세탁방지
회계 감사
프로그램프로그램
내부통제내부통제 개인정보 보호법률법률 사무사무연결연결 재무제표재무제표
People
법무재무/회계 인사/총무영업/마케팅Suppliers 고객관리연구/개발 생산/제조
AppsDataEnterprise
Technology
법무재무/회계 인사/총무영업/마케팅Suppliers 연구/개발 생산/제조
Apps Server
Data Warehouse Database Mainframes Mobile DevicesEnterprise
Applications
Regions
Mandates SOXSOX KSOXKSOX FDAFDA Basel IIBasel II자통법자통법 HIPAAHIPAA GLBAGLBA ……개인정보보호법
개인정보보호법
SB1386SB1386보호법보호법
회계제도 개혁과 Compliance
Governance나 Compliance는 투자자(주주)를보호하기 위해 만든 법규를 준수하고 투명성을보호하기 위해 만든 법규를 준수하고 투명성을
유지하라는 의미
단 한 건이라도회계부정(회계상의 조직 전반에 걸쳐
IT조직이재무,법률,사업회계부정(회계상의
중대결함)이 적발되면CEO와CFO가
민,형사상의 모든
조직 전반에 걸쳐부정의 소지가 있는
모든 영역을 관리할 수있는 환경을 구축하라
운영에 매우밀접하게
관련되어 일을해야 한다는민,형사상의 모든
책임을 진다있는 환경을 구축하라
것을 요구
각종 Compliance 이슈에 대응한 2가지 선택
모니터링 단계 해결 단계(법원의 개입)
이해당사자들의 관망단계
대응정책 개발 계도 및 단속
(소송)사회
법제화
회적
공론
일반 기업들이 타의에 의해행동을 취하는 시점
론화
정도
GAP = 비용도
몇몇 우수기업들이 의도적으로행동을 취하는 시점
S W H d Ch d R d P E i "M i th N B tt Li "
시간이슈 영향도 커브
Source: W. Howard Chase and Raymond P. Ewing, "Managing the New Bottom Line"
예방통제의 효과
잠재위험의 축소 및 가시화잠재위험의 축소 및 가시화
기업브랜드 및 평판에 대한 보호
관련 비용의 절감 및 비즈니스 영속성 확보
기업 전반의 구조를 바꿔야 합니다
45 회계정책진단 계결과
35
40
45 회계정책
재무 프로세스
사용자
• SOX 진단 통계결과
• 2004.11.15 ~ 2005.4.30
• 206개 대상 기업
43%
20
25
30사용자
복합적인 요인
내부통제 프로그
206개 대상 기업
• 출처 : 가트너 심포지엄 IT Expo 2005, “The New
Compliance Scenario: Automation, Profitability, Corporate Social Responsibility and Jail”, French Caldwell.
10
15
20 내부통제 프로그
램
IT시스템 자체 취약점
Caldwell.17%
14% 3%
0
5
Percent of Total
기타
6%
e ce t o ota
결론 : IT 시스템 자체 보다 기업 내 정책, 프로세스, 사용자에 대한 통제가 필요
Compliance 두 가지 흐름
비즈니스 연속성
ComplianceD t I t lData
PrivacyInternalControl
GLBA
개인정보 보호 지침내부회계 관리제도(KSOX)
자본시장 통합법바젤II
HIPAA개인정보 보호법
개인정보의 기술적, 바젤II
정보시스템 구축운영 기술 지침정보통신망 이용촉진 및정보보호 등에 관한 법률
,관리적 보호조치 기준
Compliance 관련 소프트웨어 카테고리
컴플라이언스 관리 어플리케이션 접근통제컨텐츠 관리
Internal Controls
BPM
Identity and Authentication
Records Management
E-Mail ArchivingBPM
Dashboard
Reporting
Segregation of Duties
Change Management
E Mail Archiving
E-Learning
Policy Managementp g y g
"Automation""Documentation""Accountability"
출처 : 가트너 심포지움 IT Expo 2005, “The New Compliance Scenario: Automation, Profitability, Corporate Social Responsibility and Jail”, French Caldwell.
Oracle Solutions for GRCEnabling an integrated and proactive approachg g p pp
Reporting KRI & AlertsDashboards
GRC Reporting & Analytics Purpose-built business solutions for key industries and GRC
GRC Process Management
Audit Management Assessment
industries and GRC initiatives
Best-in-class GRC coreIssue &
R di tiEvent &
Loss Mgmt
GRC Application Controls
TransactionSOD & Application
Assessment Best-in-class GRC core solutions to support all mandates and regulations
Remediation Loss Mgmt
MonitoringAccess Configuration
GRC Infrastructure Controls
Systems DigitalDataIdentity
Pre-integrated with Oracle applications and technology supports
Custom or Legacy Applications
SystemsMgmt
Digital Rights
Data Security
Identity Mgmt ECM technology, supports
heterogeneous environments
Custom or Legacy Applications
• IT Governance & Compliance 소개• IT Governance
• Compliance Landscape
• 국외 Compliance
• 국내 Compliance
• 산업별 Compliance 동향 소개
라 의 충 전략 및 방안• 오라클의 GRC 충족 전략 및 방안
SOX
회계 감사에 대해 투명성을 제고할 목적으로 재무보고서 작성과
공시에 대해 CEO와 CFO의 서명을 요구하는 등의 규제를 가하고공시에 대해 CEO와 CFO의 서명을 요구하는 등의 규제를 가하고
있음
302 조 404 조
기업의 경영진으로 하여금 자사의 재무회계 보고서의경영진들이 자사의 재무회계 보고와 관련된 내부 통제
기업의 경영진으로 하여금 자사의 재무회계 보고서의신뢰성과 일반적으로 인정되는 회계원칙(GAAP)을 따르고있음을 확인하도록 요구하고 있다. 이와 같은 책임은최고경영진으로까지 확대된다. 뿐만 아니라, 각 주체들은재무회계 보고와 관련된 내부통제시스템에 중대한 변경이발생하는 경우 이를 공시해야 한다
시스템에 대해 보고서를 제출하고 기업 감사 담당자가경영진의 보고서가 사실임을 확인토록 요구하고 있다. 또, 경영진이 재무회계 보고서의 타당성을 평가하는 데적용되는 프레임워크를 확인하고 재무회계 보고의유효성에 관해 경영진의 의견서를 제출토록 요구하고있다. 보고 메커니즘에 중대한 결함이 존재하는 경우, 담당 경영진은 재무회계 보고 자료가 유효하지 않다는담당 경영진은 재무회계 보고 자료가 유효하지 않다는결론을 내릴 수도 있고 이 경우 해당 회계연도가 끝나는시점에 중대한 결함의 존재 여부를 보고해야 한다.
바젤II
모든 바젤 위원회 회원국들은(한국 포함) 2004년 6월에 최종
확정된 신 BIS협약을 2006년 말까지 적용하기로 합의했었음확정된 신 BIS협약을 2006년 말까지 적용하기로 합의했었음.
현재 진행상태 특징
미국은 당초 2009년부터 실행할 계획이었으나, FRB가 구협약은 은행의 도산 리스크와 은행도산에 따른미국은 당초 2009년부터 실행할 계획이었으나, FRB가은행별 적용기준초안에 대한 외부견해청취에 시간이필요하다고 판단해서 시행시기를 연기한 상태. 우리나라는 2008년부터 바젤2를 도입하려고 했지만2007년 초 일부만 먼저 도입하고 핵심인 고급법도입시기를 2009년으로 늦춘 바 있음. 유럽연합(EU)과일본 홍콩은 2007년부터 도입했으며 싱가포르 등은
구협약은 은행의 산 리 와 은행 산에 따른예금지급 등의 잠재비용을 감축하는데 매우 중요한역할을 하는 은행의 총 자기자본규모에 중점을 둔 반면, 신협약 안은 금융시스템의 안전 및 건전성을 제고하기위해 은행의 자체적인 내부통제 및 관리, 감독당국의점검(supervisory review) 및 시장규율(market discipline)에 더 큰 비중을 둠
2008년 도입예정
주요 내용
기존 협약에는 신용리스크 및 시장리스크만 규제하고 있으나 신협약안에는 이들 리스크 외에 운영리스크를 신설했으며 그내용은 은행 내부 통제제도의 미흡 담당직원의 실수 및 시스템의 오류 등으로 은행에 직간접으로 손실을 초래할 위험을내용은 은행 내부 통제제도의 미흡, 담당직원의 실수 및 시스템의 오류 등으로 은행에 직간접으로 손실을 초래할 위험을다음의 3가지 방법을 활용하여 측정하고 이를 자기자본 규제에 포함토록 하는 것이 골자임. •기초지표모형 : 총수익의 일정비율을 운영리스크에 대한 필요자본으로 보유.•표준모형 : 은행을 세부 영업부문으로 나누어 각 영업부문에 대해 일정비율의 필요자본 산정.•내부모형 : 은행의 내부 손실데이터를 활용하여 필요자본 산정.
그 외 주요 Compliance 들
HIPAA병원이나 의료 관련 기관에 보관되어 있거나 발표되는 의료
기록 및 다른 건강 관련 정보를 보호하기 위해 자료관리에
대해 규제
은행·증권·보험 등 모든 금융 업무를 하나의 회사가 운영할 수
GLBA 있도록 허용한 법(일명 GLB법). 금융기관이 고객의 개인
정보를 안전하게 하기 위한 조치를 취하도록 강제함
SEC17A-4
증권회사, 딜러 등 SEC회원이 지켜야 할 기준을 정함.
증권회사,딜러와 financial firm은 그들의 이메일, 인스턴트
메시징의 내용을 보관 관리하는 등 일정 조치를 취하도록SEC17A 4
메시징의 내용을 보관, 관리하는 등 일정 조치를 취하도록
규제
그 외 주요 Compliance 들
모든 제약 제품의 R&D, 임상실험, 생산, 그리고 마케팅까지모든 제약 제품의 R&D, 임상실험, 생산, 그리고 마케팅까지
전 영역에 걸친 엄격한 규제를 다루고 있으며 , 그 중 Part
11은 전자문서에 신뢰성을 부여하여 효력을 지니기 위해
요구되는 보안과 전자서명 부문을 다루고 있음
21CFR rule11
요구되는 보안과 전자서명 부문을 다루고 있음
9.11테러에 대응해 제정됨. 금융서비스 회사, 보험회사가9.11테러에 대응해 제정됨. 금융서비 회사, 험회사가
고객 식별 및 수상한 거래를 표시하도록 하는 것을 포함하여
anti-terrorism 및 돈세탁방지 규정을 둘 것을 요구함USA
Patriot Act
최고 정보화 담당관(CIO)과 감사관(IGs)은 매년 해당
정부기관의 보안 상황을 점검 그 결과를 보고하도록 했다FISMA
정부기관의 보안 상황을 점검, 그 결과를 보고하도록 했다.
특히 정보통신보안은 대통령 현안관리 보드 중 전자정부 확대
보드에서 필수적으로 만족해야 되는 요건임
• IT Governance & Compliance 소개• IT Governance
• Compliance Landscape
• 국외 Compliance
• 국내 Compliance
• 산업별 Compliance 동향 소개
라 의 충 전략 및 방안• 오라클의 GRC 충족 전략 및 방안
자본시장통합법
은행 중심의 간접금융체제를 자본시장 중심의 직접금융체제로
전환시키고 금융산업을 국가전략산업으로 육성하기 위해 법률 및전환시키고 금융산업을 국가전략산업으로 육성하기 위해 법률 및
금융관행을 개혁하는 것임
포괄주의 규율체제 도입 기능별 규율체제로 전환
명칭과 형태를 불문하고 원본 손실이 발생할 가능성 금융투자업을 ⑴투자매매업
6개 금융투자업 간 겸영 허용 투자자 보호제도의 선진화
명칭과 형태를 불문하고 원본 손실이 발생할 가능성(투자성) 있는 모든 금융상품을「금융투자상품」으로 정의
금융투자업을 ⑴투자매매업, 투자중개업,⑶집합투자업, ⑷투자일임업, ⑸투자자문업, ⑹신탁업으로 광역화․단순화
설명의무(P d t G id )를 강화하고 투자자의
내부통제 시스템 도입 송금 결제 등 부가서비스 제공 근거 마련
영위하고자 하는 업무단위 (금융투자업 + 금융투자상품 + 투자자)를 복수로 선택하여 해당업무단위가 요구하는 인가요건을 갖추어 하나의인가를 받도록 함
설명의무(Product Guidance)를 강화하고, 투자자의특성 (투자목적, 재산상태, 투자경험 등)을 면담 등을통해 파악하며, 원하지 않으면 전화, 방문 등을 통한투자권유를 하지 못하도록 하여 투자자의 사생활 보호
내부통제 시스템 도입 송금,결제 등 부가서비스 제공 근거 마련이해상충시, 이를 해소하기 전까지 해당 서비스불허하며, 이해상충이 큰 금융투자 업간 (예; 투자매매업과 자산운용업) 겸영시에는 조직분리, 임직원 겸직 제한, 추가적인 정보교류차단장치(chinese wall) 등을 의무화
금융투자회사의 예탁계좌내의 현금으로부터 계좌이체, 결제, ATM 수시입출금을 할 수 있도록 금융투자회사의업무범위에 대한 법적 근거 마련
외부 감사에 관한 법률(K-SOX)기업회계 및 경영의 투명성을 높여 투자자를 보호하고 우리 기업
및 시장에 대한 국내외 신뢰를 높이기 위해 내부회계관리
제도(내부회계 관리 규정 및 관리 , 운영 조직)를 운영하도록
주식회사의 외부 감사에 관한 법률에 규정함
감사 증적 시스템 구축 요구 운영실태 평가 및 보고
감사인의 회계 감사행위 시, 내부회계관리제도의 주식회사가 내부회계관리규정을 제정/변경하는 경우, 이사회 결의를 거쳐야 하며 내부회계관리제도 담당준수여부 및 운영실태에 대한 검토를 포함하게 되며,
이를 위해 시스템 관리자, 감사자, 사용자의 직무분장및 IT자원 접근권한 승인을 증거할 시스템이 요구됨
이사회 결의를 거쳐야 하며, 내부회계관리제도 담당상근이사 또는 집행자 1인을 지정하여 매 반기, 이사회 및감사(감사위원회 포함)에 운영실태를 보고하여야 함. 또한감사는 운영실태를 평가하여 이사회에 매 사업연도마다보고하여야 하며 동 평가보고서는 5년간 회사의 본점에비치해야 함.
주요 내용•회계정보의 작성 및 공시와 관련한 임원. 직원의업무분장과 책임에 관한 사항•내부회계관리규정의 제정 및 변경절차에 관한 사항회계정보를 작성 공시하는 임 직원이 업무를 수행함에
•회계정보(회계정보의 기초가 되는 거래에 관한 정보를포함)의 식별.측정.분류.기록 및 보고방법에 관한 사항•회계정보의 오류를 통제하고 이를 수정하는 방법에 관한사항 •회계정보를 작성.공시하는 임.직원이 업무를 수행함에
있어서 준수하여야 할 절차에 관한 사항•주식회사의 대표자 등이 내부회계관리규정을 위반하여회계정보의 작성.공시를 지시하는 경우에 있어서 임.직원의대처방법에 관한 사항•내부회계관리규정을 위반한 임.직원의 징계 등에 관한 사항
사항•회계정보에 대한 정기적인 점검 및 조정 등 내부검증에관한 사항•회계정보를 기록.보관하는 장부(자기테이프, 디스켓 그밖의 정보보존장치를 포함)의 관리방법과 위조.변조.훼손및 파기의 방지를 위한 통제절차에 관한 사항
개인정보 보호법
개인정보 취급의 원칙 제시(최초 정보수집, 정확성, 안전성 보장,
취급 투명성 및 정보주체 참여 보장)취급 투명성 및 정보주체 참여 보장)
개인정보 침해 신고 센터 설치 개인정보 영향 평가 실시
국가 인권 위원회 내 개인정보 침해 신고 센터를설치하여 국가 인권 위원회가 개인정보 침해사건에대하여 자료제출, 현황조사 및 명령조치를 할 수 있도록함
개인정보 취급자는 개인정보 영향 평가를 실시해야 하고, 결과를 국가 인권위원회에 보고해야 함
타 법률과의 관계
개인 정보 관련 법령의 정비 시 본 기본법의 취지를고려함(일관성 유지)려함(일관성 유지)
정보통신망 이용촉진 및 정보보호 등에 관한법률
개인정보 수집제한, 제공범위의 제한 등 OECD 개인정보에 관한
8원칙 준수 (2001년 시행 2004년 개정)8원칙 준수 - (2001년 시행, 2004년 개정)
적용대상 OECD 개인정보 보호가이드 8원칙
영리를 목적으로 전기통신역무를 이용하여 정보를제공하거나 정보의 제공을 매개한 자로 인터넷 홈페이지등을 이용하여 정보 및 서비스에 관한 정보를 제공하는자
국제적으로 통일된 개인정보 보호 지침 제정을 위한가이드 라인으로서의 기능을 하며, 내용은 개인정보의수집제한(개인의 동의 필요), 정확성, 목적, 명시, 목적이외의 이용제한, 운용 원칙의 공개, 개인참가, 안정성확보, 책임 등 8원칙을 제시하고 있음.
전자거래 기본법 및 시행령
전자문서에 의하여 이루어지는 거래의 법적 효력을 명확히 하여
신뢰성 확보 및 거래의 공정을 기함으로써 건전한 거래질서를
확립하고 전자거래를 촉진하고자 하는 법률 2007 11 18 일자 개정확립하고 전자거래를 촉진하고자 하는 법률 – 2007.11.18.일자 개정
스캐닝한 전자문서의 보관도 종이문서와 동일한 법적 효력을 부여
개정 전 주요 내용•특별한 법률적 규정이 없는 경우, 전자적 형태의 모든 문서에 법적인 효력 부여•보관조건 : 내용열람이 가능하고, 작성 및 송수신 시점의 형태 또는 재현될 수 있는 형태로 보존 가능할 것, 작성/송신/수신에 관한 정보가 모두 포함되어 있는 경우, 함께 보존될 것.•개인정보 보호규정 : 본인의 동의 없이 수집 목적 외, 타 용도로 전용하거나 23자에게 제공하면 안됨.•전자거래 정책협의회 설치 및 전자거래 진흥원, 전자문서 교환위원회, 전자상거래 지원센터 등의 설치 및 업무범위 지정
개정 후 주요 내용
07년 5월 전자거래 기본법 개정으로 종이문서를 스캐닝한 전자화문서의 보관도 종이문서 보관과 동일한 법적 효력을부여함에 따라, 전자화 작업장, 전자화 정보시스템, 입력장치(Scan) 등 스캐닝 문서를 작성할 시설 또는 장비에 대한인증제도가 시행됨.전자화 문서 종이문서 그밖에 전자적 형태로 작성되지 않은 문서를 스캐너 등을 통해 정보처리 시스템이 처리할 수 있는•전자화 문서 : 종이문서 그밖에 전자적 형태로 작성되지 않은 문서를 스캐너 등을 통해 정보처리 시스템이 처리할 수 있는
형태로 변환한 문서•공인전자문서 보관소 : 전자문서를 안전하게 보관하고, 전자문서의 내용 및 송수신 여부 등을 증명해 주는 신뢰할 수 있는제3의 기관•공전소의 서비스 범위는 전자문서의 생성/등록, 보존, 유통, 이관/폐기 까지의 전 과정에 거쳐 보관, 증명, 송수신 서비스를제공하는 것으로 하며, 보관된 문서의 내용은 보관기간 중 불변경된 것으로 추정하고, 발급한 증명서의 법적 효력을 인정
의료법 및 시행령
의료에 관하여 필요한 사항을 규정하기 위해 제정된 법률.
국민의료에 관하여 필요한 사항을 규정함으로써 의료의 적정을국민의료에 관하여 필요한 사항을 규정함으로써 의료의 적정을
기하여 국민의 건강을 보호증진 함을 목적으로 함
Compliance 관련 내용 발췌
•진료기록부 등을 전자서명법에 의한 전자서명이 기재된 전자문서로 작성·보관할 수 있다고 규정•환자명부(5년),진료기록부(10년) 등 의무기록을 일정기간 이상 보관 의무
•진료정보보호 강화 : OECD 개인정보 보호 가이드 8원칙에 준한 의무기록 및 환자 개인정보 보호•전자 의무기록에 대한 표준화 및 전자기록의 수정여부에 대한 책임 추적성 부여•온라인 진료행위에 대한 제도적 보완 및 환자 정보 보호•전자처방전의 발급과 관련된 문제 해결
향후 보완될 내용
•분쟁 등에 대비한 법적 근거 보존 기한 지정 : 처방전 2년, 환자명부 5년, 진료기록부 10년, 수술기록 10년, 검사소견5년 등•HIPAA 등의 사례를 토대로 반드시 준수되어야 할 63개 항목 도입
• IT Governance & Compliance 소개p
• 오라클의 GRC 충족 전략 및 방안
• IT Governance & Compliance 소개
• 오라클의 GRC 충족 전략 및 방안• 오라클의 GRC 충족 전략
수많은 기술들…
It’s a fan!• ERP 컴플라이언스 모듈
• 컨텐츠 모니터링 및 필터링
• 패스워드 관리
• E-Learning
• 전사 퍼포먼스 관리
• 사용자 정보 관리 컴플라이언스리 팅
It’s a wall!• BAM(Business Activity
Monitoring)
• 포렌직 도구
• 레코드 관리
• 계정 프로비져닝
• BPM(Business Process
리포팅
• 전사 Role 관리
• 케이스 관리
It’s a spear!
It’s a rope!
• 취약점 관리
• 돈세탁 방지
• E-Discovery Software
BPM(Business Process Management)
• 이메일 아카이빙
• 데이터 암호화
• Loss Events Capture
• 제어 자동화
• IT 보안 정책 관리
It’s a snake!
It’s a log!
E Discovery Software
• 인증 강화
• 전자서명
전사 리스크 관리
데이터 암호화
• IT 변경관리 도구
• SIEM (Information Management)
IT 보안 정책 관리
• Spreadsheet Controls
• 직무분장 도구
• 전사 리스크 관리
• Configuration Reporting and Remediation
g )
• 컴플라이언스 프로세스 관리• …
…단지 부분적으로만 GRC요건을 충족 시킴
오라클 Enterprise-Wide GRCGRC관리를 위한 복합적인 플랫폼 솔루션을 제공
프로세스
Risk & Compliance Mgmt
Controls Management
Policy Mgmt
Industry Specific
Insight
Risk & Control
어플리케이션
Controls Management Industry Specific Risk & ControlIntelligence
IT 인프라
Oracle SAP Custom Legacy Other
OperationalIntelligence
데이터 보안
계정관리컨텐츠 관리
변경관리
데이터 감사 PerformanceManagementManagement
Repository
오라클 GRC업계 최고의 인프라 자동화 및 통제업계 최 의 인 라 자동화 및 통제
프로세스
Risk & Compliance Mgmt
Controls Management
Policy Mgmt
Industry Specific
Insight
Risk & Control
어플리케이션
Controls Management Industry Specific
Oracle SAP Custom Legacy Other
Risk & ControlIntelligence
• 컨텐츠 보안, 레코드 보존, 계정 라이프 싸이클 등데이터 관리를 안전하고
IT 인프라
컨텐츠 관리
Oracle SAP Custom Legacy OtherOperationalIntelligence
신뢰성 있게 수행
• 전사 IT환경의 모든데이터 자산에 대한 보호
데이터 보안
계정관리컨텐츠 관리
변경관리
데이터 감사 PerformanceManagement
Repository
• 베스트 프랙티스에기반한 적절한 직무분장, 변경 및 구성 관리 강제p y
오라클 GRC복합적인 어플리케이션 통제 비용과 위험 관리복합적인 어플리케이션 통제 비용과 위험 관리
프로세스
Risk & Compliance Mgmt
Controls Management
Policy Mgmt
Industry Specific
Insight
Risk & Control
• GRC요건들을 충족시키기위한 베스트 프랙티스프레임 웍을 표준화
어플리케이션
Controls Management Industry Specific
Oracle SAP Custom Legacy Other
Risk & ControlIntelligence • 위험 진단, 통제 디자인,
정책 생성, 통제 모니터링, 케이스 관리 등을 위한주요 GRC 프로세스
IT 인프라
컨텐츠 관리
Oracle SAP Custom Legacy OtherOperationalIntelligence
자동화
• 규제가 많고, 리스크가민감한 산업 분야를 위한
데이터 보안
계정관리
컨텐츠 관리
변경 관리
데이터 감사 PerformanceManagement
Repository
일관되고 특화된GRC프로세스
p y
오라클 GRC책임성을 보장하는 통합된 비즈니스 통찰책임성을 보장하는 통합된 비즈니스 통찰
• 컴플라이언스, 리스크 및성능 관리 부분의 시의적절한 거버넌스 햔상
프로세스
Risk & Compliance Mgmt
Controls Management
Policy Mgmt
Industry Specific
Insight
Risk & Control 적절한 거버넌스 햔상
• 즉석 감사 리포트를 통한IT와 비즈니스프로세스의 증적 제공
어플리케이션
Controls Management Industry Specific
Oracle SAP Custom Legacy Other
Risk & ControlIntelligence
세 의 증적 제공
• 리스크 기반 전략 계획을통한 비즈니스 성능최적화
IT 인프라
컨텐츠 관리
Oracle SAP Custom Legacy OtherOperationalIntelligence
데이터 보안
계정관리
컨텐츠 관리
변경 관리
데이터 감사 PerformanceManagement
Repositoryp y
Oracle GRC 솔루션 스택
리포팅 KRI & 경보대쉬보드
GRC 리포팅 & 분석 영역 Purpose-built business solutions for key industries and GRC
GRC 프로세스 관리 영역
Audit관리 /진단
initiatives
Best-in-class GRC coreIssue &
R di tiEvent & Loss
M t
GRC 어플리케이션 제어 영역
트랜젝션직무분장 어플리케이션
진단 Best in class GRC core solutions to support all mandates and regulations
Remediation Mgmt
모니터링& 접근제어 구성관리
GRC 인프라 제어 영역
변경 저작권데이터계정 레코드
Pre-integrated with Oracle applications and technology, supports
Custom or Legacy Applications
변경관리
저작권관리
데이터보안
계정관리
레코드관리
technology, supportsheterogeneous environments
Custom or Legacy Applications
Products오라클 GRC 지원 제품군
ProductsRisk & Control Intelligence• Fusion GRC Intelligence
Operational Intelligence
Risk & Compliance Mgmt• GRC Manager• Project Portfolio Mgmt
p g• BPEL Process Manager• Business Activity Monitoring• Business Intelligence Apps
Performance Mgmt
Controls Management• Application Access Controls• Application Configuration Controls
Policy Management• Hyperion Financial Mgmt• Hyperion Financial Data
Quality Management• Hyperion Planning• Hyperion Strategic Finance
• Learning Management• Policy & Procedure Portal
Content Management• Universal Content Mgmt• U i l R d M t
Processes Insight• Hyperion Perf. Scorecard• Hyperion Profitability Mgmt
Industry Specific• iFlex Reveleus
• Universal Records Mgmt• Content Database• Records Database• Information Rights Mgmt
Identity & Access MgmtApplications
Oracle SAP Custom Legacy Other
g
Risk & ControlIntelligence
Risk & Compliance Mgmt
Industry SpecificControls Management
Policy Mgmt
• iFlex Mantas • Clinical Trial Mgmt• Adverse Event Reporting
Data SecurityD t b V lt
Identity & Access Mgmt• Access Manager• Identity Manager• Enterprise Single Sign-On• Virtual Directory
Infrastructure Services
Data SecurityIdentity Mgmt
Content MgmtChange Mgmt
Data Audit
O ac e S Custo egacy Ot eOperationalIntelligence
Performance• Database Vault• Label Security• Advanced Security • Secure Enterprise Search
Change Management• Enterprise Manager
Data Audit• Audit Vault
yManagement
Repository
완벽한 기업 IT환경에 대한 통제
GRC 프로세스 관리
정책 저장소 감사 증적 관리
통제 테스팅 GRC 관련 리포팅
•입,퇴사 관련 사용자 정보 라이프 싸이클관리.
계정관리
• 통제 모니터링 및 전사 정책 강제
• 베스트 프랙티스 통제 및 정책 수립
GRC 어플리케이션 통제
•계정 자동 발급 및 관련 장애처리
•사용자 접근제어 및 권한 감사
통합 인증 인가 싱글사인온
• 베스트 프랙티스 통제 및 정책 수립
• 권한레벨의 직무분장
• 직무분장 정책에 따른 인가 제어•통합 인증, 인가, 싱글사인온
Apps, Systems & Data RepositoriesBusiness Applications Apps, Systems & Data RepositoriesBusiness Applications
Ready for Run !!