s01grc.ppt [호환 모드] - :: dbguide.net :: 데이터 전문가 지식포털 · ·...

보안의 새로운 접근전략: Governance, Risk, and Compliance 전략과 방안

Jaejoon KangSecurity GTMi Oracle Korea

Agendag

• Governance, Risk Management & Compliance 소개

• 오라클의 GRC 충족 전략 및 방안• 오라클의 GRC 충족 전략 및 방안

Governance, Risk Management & , gCompliance 소개

오라클의 GRC 충족 전략 및 방안• 오라클의 GRC 충족 전략 및 방안

• GRC 소개• IT Governance

• Compliance Landscape

• 국외 Compliance

• 국내 Compliance

• 오라클의 GRC 충족 전략 및 방안

보안의 기술적 한계

??

GRC in summary

Governance Culture

Governance• 목표설정과 성과평가

• 목표달성을 위한 비즈니스전략 및 모델의 승인 및인가

• 상호신뢰와 정결성, 책임성을 수립하기 위한기업전반의 문화와 각개인의 의식을 수립하기

Culture

인가개인의 의식을 수립하기

Culture

Risk Management• 목표달성에 반대가 되는

Compliance• 수립된 정책에 관련한목표달성에 반대가 되는

요소 인식 및 평가 분석

• 강제되거나 자의적으로수립한 규정을 설정하여관리함

수립된 정책에 관련한부합하려는 노력 및 과정

• 정책에 부합하지 않는요소를 발견하고 적절하게대체함관리함 대체함

Source: Open Compliance and Ethics GroupSource: Open Compliance and Ethics Group

GRC : Governance, Risk, Compliance

기업의 성장

비즈니스연속성 확보

•대외적 고민 •대내적 고민

Compliance Governance연속성 확보

•C-level : CEO / CFO / CIO / …

•업종 / 지역 / 국가별 Dependency

강제준수 / P lt

•CIO Focus

•기업자체 환경 Dependency

자율적용 / N P lt

Risk 관리

•강제준수 / Penalty •자율적용 / No Penalty

At Corperate Level : ERM Approach 기업의 명성

MissionActive

StakeholdersPassive

Stakeholders

(Strategy Risk)

THE CEO& BOARD

External Global & Market

Developments

Statuses, Regulators Codes and Guidance

( gy )STRATEGY FORMATION

SENIORMANAGEMENT(O ti l Ri k)

Statement on Statement on Internal Internal ControlControl

Enterprise Enterprise Risk Risk

Management Management KPI Decisions

(Operational Risk)

STRATEGY IMPLEMENTATIONRisk Maps

(Financial Business Project Compliance)

ControlControl Management Management FrameworkFramework

4 Risk

KPI

Decisions

Risk Appetite

CultureCore Values

Controls

Cl it

Capability

Commitment

Choice

1. Business Objectives

4. Risk Management

KPI D i iClarityCommunication

Challenge Context

ChoiceConsistency

Monitoring, Validation, Improvement, and continual Integration

Challenge2. Risk

Identification

3. Risk Assessment

KPI Decisions

Monitoring, Validation, Improvement, and continual Integration

From : Enterprise Risk Management by Pickett, Willey Press ISBM: 978-0-471-74529-7

IT Governance의 등장배경

IT Governance에 대한 도입 필요성이 CIO와 CTO 등 IT 경영자 중심으로 증가

배경

‘묻지마 투자’ 형태의 IT 투자에 대한 비용 절감과 투자대비 효과 검증 필요

기업 경영에 대한 투명성제고 위험관리 및 엄격한 통제력 요구 증가 (SOX BASEL Ⅱ 등기업 경영에 대한 투명성제고, 위험관리 및 엄격한 통제력 요구 증가 (SOX, BASEL Ⅱ 등

Business 전략에 따른 최적의 IT 서비스 연계 및 운영 실행방안 수립 필요

IT조직의 주먹구구식의 Business 요구 해결로 인한 Business GAP 증가

전반적인 경기 침체로 인한 IT 프로젝트의 ROI 요구 엄격전반적인 경기 침체로 인한 IT 프로젝트의 ROI 요구 엄격

IT Governance의 목표

IT 자산의 활용 및 운영에 대한 명확한 원칙, 역할 및 책임이 정의된 관리 / 통제 체계 수립 및

관리/통제활동 수행을 통해 비즈니스 전략과 사업목표에 부합되는 IT 자원 활용을 실현함

IT Governance

Concept

전사 사업전략 및 경영목표를 달성할 수 있도록 IT 자원의 효율적 활용을 위한 관리/통제 체계 및활동 수행

기업 지배구조에 의하여 통제되는 핵심 기업자산 중 IT 자산의 활용 및 운영에 대한 명확한 원칙기업 지배구조에 의하여 통제되는 핵심 기업자산 중 IT 자산의 활용 및 운영에 대한 명확한 원칙, 역할 및 책임이 정의된 관리/통제 체계 수립 및 관리/통제 활동 수행을 통해 비즈니스 전략과 사업목표에 부합되는 IT 자원 활용을 실현함

IT Governance

Corporate

Governance

Direction and

C t l

IT Governance

Rule관리/통제

원칙 제시

통제/관리

IT Management

Planning

목표Control

Key Asset

IT Vision/

St t

Organization

Process

원칙 제시Evaluation

Implementation

OperationKey Asset

Governance

Information

And IT Asset

Strategy

Information

관리 데이터

제공성과/관리

데이터 제공

Operation

Monitoring

Corporate Governance와 IT GovernanceIT Governance는 Corporate Governance의 일부로서 기업의 핵심자산 중 정보 및 IT 자산에 초점

Corporate Governance 영역

이사회주주

감사

이해관계자

공개보고자료

경영진

전략 행동 지침

인적 자산 재무적 자산 물리적 자산 지적 자산 IT 자산

핵심 자산

관계 자산

IT Governance 메커니즘

• IT 전략위원회• IT 운영위원회

회계 Governance 메커니즘

• IT예산 프로세스• IT 조직구조• 프로젝트 추진위원회• SLA(Service Level Agreement)

IT Governance 영역

IT Governance의 금융기관 적용 예

업무 플로우 · 매뉴얼 · 규정이 실업무와 괴리각 업무간의 관련 정의가 없거나 불완전

업무업무 프로세스프로세스 통제통제((수동수동))

・거래 데이터로부터 회계 데이터로 처리 중 고의/과실에 의한 재무 사고

IT IT 어플리케이션어플리케이션 통제통제((자동자동))

・・・업무 회계관리 업무

각 업무간의 관련 정의가 없거나 불완전

업무 개요 · 플로우 정의 등 문서화에 의한 업무의 가시화수작업 또는 이에 준하는 작업을 배제하고 승인 행위와 증적을 수반하는 업무 프로세스로 변경

②워크플로우②워크플로우 시스템화시스템화

외환업무

융자 업무

예금 업무

신약 예입 대체 기장

실적 관리

인출 개서 해약

잔고 관리장부 관리

각종

장표자료

작성

업무 개요서업무플로우 등

증거서류, 중요장표 등

③문서의③문서의 전자화전자화((및및 집중집중))

시스템계 처리시스템계 처리

계정계 처리계정계 처리

신약 예입 대체 기장

仕訳 특성・통계정보

회계 DWH【명세 관리】

인출 개서 해약

거래 정보・로그

④④EUCEUC 통제통제

회계 시스템

재무 보고의 신뢰성

【명세 관리】

IT운용

프로그램 개발 프로그램 변경 시스템 운용 액세스 제어

④④EUC EUC 통제통제

・라이브러리 관리, 시스템 운용 상 고의/과실에 의한 사고

ITIT전반전반 통제통제오류방지를 지원하는 시스템의 변화

거래 로그 취득·분석·보관 기반의 구축

①액세스①액세스 컨트롤컨트롤 (ID(ID관리관리··인증인증 강화강화))

・취득하는 거래 로그 정보의 부족, 로그 분석/조회 기능의 부족

・부정 액세스, 정보 누설, 액세스 증적 관리 기능의 부족

거래 로그 취득·분석·보관 기반의 구축

액세스권한의 엄격한 관리와 증적 취득

• GRC 소개• IT Governance





Compliance Landscape자통법

KSOX

전자서명법

개인정보보호법

Sarbanes-OxleyHIPAACA SB 1398

PIPEDA

EUPDJapan

Basel IIKonTraGDPA

RIP

Companies ActBDSG

LOPDIAS


……

HIPAAFDA CFR Part 11/Annex 11

GLBFISMA

CA SB 1398CA AB 1950CA SB 1386

JapanPrivacyJSOXReg. 357

Bill 321/2004

Personal DataProtection Law Bill 3494/2000

AS4360

CLERP 9

Banking Act

Law f/ProtectionOf Personal Data Nov2000

PA&PAAKing II Rpt

Compliance는 비즈니스의 전제조건

IT 거버넌스

Service LevelService LevelComplianceCompliance

사내사내규제규제/ / 윤리윤리프로그램프로그램

정보 보존연한 관리 자금세탁방지자금세탁방지

회계 감사

프로그램프로그램

내부통제내부통제 개인정보 보호법률법률 사무사무연결연결 재무제표재무제표

People

법무재무/회계 인사/총무영업/마케팅Suppliers 고객관리연구/개발 생산/제조

AppsDataEnterprise

Technology

법무재무/회계 인사/총무영업/마케팅Suppliers 연구/개발 생산/제조

Apps Server

Data Warehouse Database Mainframes Mobile DevicesEnterprise

Applications

Regions

Mandates SOXSOX KSOXKSOX FDAFDA Basel IIBasel II자통법자통법 HIPAAHIPAA GLBAGLBA ……개인정보보호법


SB1386SB1386보호법보호법

회계제도 개혁과 Compliance

Governance나 Compliance는 투자자(주주)를보호하기 위해 만든 법규를 준수하고 투명성을보호하기 위해 만든 법규를 준수하고 투명성을

유지하라는 의미

단 한 건이라도회계부정(회계상의 조직 전반에 걸쳐

IT조직이재무,법률,사업회계부정(회계상의

중대결함)이 적발되면CEO와CFO가

민,형사상의 모든

조직 전반에 걸쳐부정의 소지가 있는

모든 영역을 관리할 수있는 환경을 구축하라

운영에 매우밀접하게

관련되어 일을해야 한다는민,형사상의 모든

책임을 진다있는 환경을 구축하라

것을 요구

각종 Compliance 이슈에 대응한 2가지 선택

모니터링 단계 해결 단계(법원의 개입)

이해당사자들의 관망단계

대응정책 개발 계도 및 단속

(소송)사회

법제화

회적

공론

일반 기업들이 타의에 의해행동을 취하는 시점

론화

정도

GAP = 비용도

몇몇 우수기업들이 의도적으로행동을 취하는 시점

S W H d Ch d R d P E i "M i th N B tt Li "

시간이슈 영향도 커브

Source: W. Howard Chase and Raymond P. Ewing, "Managing the New Bottom Line"

예방통제의 효과

잠재위험의 축소 및 가시화잠재위험의 축소 및 가시화

기업브랜드 및 평판에 대한 보호

관련 비용의 절감 및 비즈니스 영속성 확보

기업 전반의 구조를 바꿔야 합니다

45 회계정책진단 계결과

35

40

45 회계정책

재무 프로세스

사용자

• SOX 진단 통계결과

• 2004.11.15 ~ 2005.4.30

• 206개 대상 기업

43%

20

25

30사용자

복합적인 요인

내부통제 프로그

206개 대상 기업

• 출처 : 가트너 심포지엄 IT Expo 2005, “The New

Compliance Scenario: Automation, Profitability, Corporate Social Responsibility and Jail”, French Caldwell.

10

15

20 내부통제 프로그

램

IT시스템 자체 취약점

Caldwell.17%

14% 3%

0

5

Percent of Total

기타

6%

e ce t o ota

결론 : IT 시스템 자체 보다 기업 내 정책, 프로세스, 사용자에 대한 통제가 필요

Compliance 두 가지 흐름

비즈니스 연속성

ComplianceD t I t lData

PrivacyInternalControl

GLBA

개인정보 보호 지침내부회계 관리제도(KSOX)

자본시장 통합법바젤II

HIPAA개인정보 보호법

개인정보의 기술적, 바젤II

정보시스템 구축운영 기술 지침정보통신망 이용촉진 및정보보호 등에 관한 법률

,관리적 보호조치 기준

Compliance 관련 소프트웨어 카테고리

컴플라이언스 관리 어플리케이션 접근통제컨텐츠 관리

Internal Controls

BPM

Identity and Authentication

Records Management

E-Mail ArchivingBPM

Dashboard

Reporting

Segregation of Duties

Change Management

E Mail Archiving

E-Learning

Policy Managementp g y g

"Automation""Documentation""Accountability"

출처 : 가트너 심포지움 IT Expo 2005, “The New Compliance Scenario: Automation, Profitability, Corporate Social Responsibility and Jail”, French Caldwell.

Oracle Solutions for GRCEnabling an integrated and proactive approachg g p pp

Reporting KRI & AlertsDashboards

GRC Reporting & Analytics Purpose-built business solutions for key industries and GRC

GRC Process Management

Audit Management Assessment

industries and GRC initiatives

Best-in-class GRC coreIssue &

R di tiEvent &

Loss Mgmt

GRC Application Controls

TransactionSOD & Application

Assessment Best-in-class GRC core solutions to support all mandates and regulations

Remediation Loss Mgmt

MonitoringAccess Configuration

GRC Infrastructure Controls

Systems DigitalDataIdentity

Pre-integrated with Oracle applications and technology supports

Custom or Legacy Applications

SystemsMgmt

Digital Rights

Data Security

Identity Mgmt ECM technology, supports

heterogeneous environments


• IT Governance & Compliance 소개• IT Governance




• 산업별 Compliance 동향 소개

라 의 충 전략 및 방안• 오라클의 GRC 충족 전략 및 방안

SOX

회계 감사에 대해 투명성을 제고할 목적으로 재무보고서 작성과

공시에 대해 CEO와 CFO의 서명을 요구하는 등의 규제를 가하고공시에 대해 CEO와 CFO의 서명을 요구하는 등의 규제를 가하고

있음

302 조 404 조

기업의 경영진으로 하여금 자사의 재무회계 보고서의경영진들이 자사의 재무회계 보고와 관련된 내부 통제

기업의 경영진으로 하여금 자사의 재무회계 보고서의신뢰성과 일반적으로 인정되는 회계원칙(GAAP)을 따르고있음을 확인하도록 요구하고 있다. 이와 같은 책임은최고경영진으로까지 확대된다. 뿐만 아니라, 각 주체들은재무회계 보고와 관련된 내부통제시스템에 중대한 변경이발생하는 경우 이를 공시해야 한다

시스템에 대해 보고서를 제출하고 기업 감사 담당자가경영진의 보고서가 사실임을 확인토록 요구하고 있다. 또, 경영진이 재무회계 보고서의 타당성을 평가하는 데적용되는 프레임워크를 확인하고 재무회계 보고의유효성에 관해 경영진의 의견서를 제출토록 요구하고있다. 보고 메커니즘에 중대한 결함이 존재하는 경우, 담당 경영진은 재무회계 보고 자료가 유효하지 않다는담당 경영진은 재무회계 보고 자료가 유효하지 않다는결론을 내릴 수도 있고 이 경우 해당 회계연도가 끝나는시점에 중대한 결함의 존재 여부를 보고해야 한다.

바젤II

모든 바젤 위원회 회원국들은(한국 포함) 2004년 6월에 최종

확정된 신 BIS협약을 2006년 말까지 적용하기로 합의했었음확정된 신 BIS협약을 2006년 말까지 적용하기로 합의했었음.

현재 진행상태 특징

미국은 당초 2009년부터 실행할 계획이었으나, FRB가 구협약은 은행의 도산 리스크와 은행도산에 따른미국은 당초 2009년부터 실행할 계획이었으나, FRB가은행별 적용기준초안에 대한 외부견해청취에 시간이필요하다고 판단해서 시행시기를 연기한 상태. 우리나라는 2008년부터 바젤2를 도입하려고 했지만2007년 초 일부만 먼저 도입하고 핵심인 고급법도입시기를 2009년으로 늦춘 바 있음. 유럽연합(EU)과일본 홍콩은 2007년부터 도입했으며 싱가포르 등은

구협약은 은행의 산 리 와 은행 산에 따른예금지급 등의 잠재비용을 감축하는데 매우 중요한역할을 하는 은행의 총 자기자본규모에 중점을 둔 반면, 신협약 안은 금융시스템의 안전 및 건전성을 제고하기위해 은행의 자체적인 내부통제 및 관리, 감독당국의점검(supervisory review) 및 시장규율(market discipline)에 더 큰 비중을 둠

2008년 도입예정

주요 내용

기존 협약에는 신용리스크 및 시장리스크만 규제하고 있으나 신협약안에는 이들 리스크 외에 운영리스크를 신설했으며 그내용은 은행 내부 통제제도의 미흡 담당직원의 실수 및 시스템의 오류 등으로 은행에 직간접으로 손실을 초래할 위험을내용은 은행 내부 통제제도의 미흡, 담당직원의 실수 및 시스템의 오류 등으로 은행에 직간접으로 손실을 초래할 위험을다음의 3가지 방법을 활용하여 측정하고 이를 자기자본 규제에 포함토록 하는 것이 골자임. •기초지표모형 : 총수익의 일정비율을 운영리스크에 대한 필요자본으로 보유.•표준모형 : 은행을 세부 영업부문으로 나누어 각 영업부문에 대해 일정비율의 필요자본 산정.•내부모형 : 은행의 내부 손실데이터를 활용하여 필요자본 산정.

그 외 주요 Compliance 들

HIPAA병원이나 의료 관련 기관에 보관되어 있거나 발표되는 의료

기록 및 다른 건강 관련 정보를 보호하기 위해 자료관리에

대해 규제

은행·증권·보험 등 모든 금융 업무를 하나의 회사가 운영할 수

GLBA 있도록 허용한 법(일명 GLB법). 금융기관이 고객의 개인

정보를 안전하게 하기 위한 조치를 취하도록 강제함

SEC17A-4

증권회사, 딜러 등 SEC회원이 지켜야 할 기준을 정함.

증권회사,딜러와 financial firm은 그들의 이메일, 인스턴트

메시징의 내용을 보관 관리하는 등 일정 조치를 취하도록SEC17A 4

메시징의 내용을 보관, 관리하는 등 일정 조치를 취하도록

규제

그 외 주요 Compliance 들

모든 제약 제품의 R&D, 임상실험, 생산, 그리고 마케팅까지모든 제약 제품의 R&D, 임상실험, 생산, 그리고 마케팅까지

전 영역에 걸친 엄격한 규제를 다루고 있으며 , 그 중 Part

11은 전자문서에 신뢰성을 부여하여 효력을 지니기 위해

요구되는 보안과 전자서명 부문을 다루고 있음

21CFR rule11

요구되는 보안과 전자서명 부문을 다루고 있음

9.11테러에 대응해 제정됨. 금융서비스 회사, 보험회사가9.11테러에 대응해 제정됨. 금융서비 회사, 험회사가

고객 식별 및 수상한 거래를 표시하도록 하는 것을 포함하여

anti-terrorism 및 돈세탁방지 규정을 둘 것을 요구함USA

Patriot Act

최고 정보화 담당관(CIO)과 감사관(IGs)은 매년 해당

정부기관의 보안 상황을 점검 그 결과를 보고하도록 했다FISMA

정부기관의 보안 상황을 점검, 그 결과를 보고하도록 했다.

특히 정보통신보안은 대통령 현안관리 보드 중 전자정부 확대

보드에서 필수적으로 만족해야 되는 요건임

• IT Governance & Compliance 소개• IT Governance




• 산업별 Compliance 동향 소개

라 의 충 전략 및 방안• 오라클의 GRC 충족 전략 및 방안

자본시장통합법

은행 중심의 간접금융체제를 자본시장 중심의 직접금융체제로

전환시키고 금융산업을 국가전략산업으로 육성하기 위해 법률 및전환시키고 금융산업을 국가전략산업으로 육성하기 위해 법률 및

금융관행을 개혁하는 것임

포괄주의 규율체제 도입 기능별 규율체제로 전환

명칭과 형태를 불문하고 원본 손실이 발생할 가능성 금융투자업을 ⑴투자매매업

6개 금융투자업 간 겸영 허용 투자자 보호제도의 선진화

명칭과 형태를 불문하고 원본 손실이 발생할 가능성(투자성) 있는 모든 금융상품을「금융투자상품」으로 정의

금융투자업을 ⑴투자매매업, 투자중개업,⑶집합투자업, ⑷투자일임업, ⑸투자자문업, ⑹신탁업으로 광역화․단순화

설명의무(P d t G id )를 강화하고 투자자의

내부통제 시스템 도입 송금 결제 등 부가서비스 제공 근거 마련

영위하고자 하는 업무단위 (금융투자업 + 금융투자상품 + 투자자)를 복수로 선택하여 해당업무단위가 요구하는 인가요건을 갖추어 하나의인가를 받도록 함

설명의무(Product Guidance)를 강화하고, 투자자의특성 (투자목적, 재산상태, 투자경험 등)을 면담 등을통해 파악하며, 원하지 않으면 전화, 방문 등을 통한투자권유를 하지 못하도록 하여 투자자의 사생활 보호

내부통제 시스템 도입 송금,결제 등 부가서비스 제공 근거 마련이해상충시, 이를 해소하기 전까지 해당 서비스불허하며, 이해상충이 큰 금융투자 업간 (예; 투자매매업과 자산운용업) 겸영시에는 조직분리, 임직원 겸직 제한, 추가적인 정보교류차단장치(chinese wall) 등을 의무화

금융투자회사의 예탁계좌내의 현금으로부터 계좌이체, 결제, ATM 수시입출금을 할 수 있도록 금융투자회사의업무범위에 대한 법적 근거 마련

외부 감사에 관한 법률(K-SOX)기업회계 및 경영의 투명성을 높여 투자자를 보호하고 우리 기업

및 시장에 대한 국내외 신뢰를 높이기 위해 내부회계관리

제도(내부회계 관리 규정 및 관리 , 운영 조직)를 운영하도록

주식회사의 외부 감사에 관한 법률에 규정함

감사 증적 시스템 구축 요구 운영실태 평가 및 보고

감사인의 회계 감사행위 시, 내부회계관리제도의 주식회사가 내부회계관리규정을 제정/변경하는 경우, 이사회 결의를 거쳐야 하며 내부회계관리제도 담당준수여부 및 운영실태에 대한 검토를 포함하게 되며,

이를 위해 시스템 관리자, 감사자, 사용자의 직무분장및 IT자원 접근권한 승인을 증거할 시스템이 요구됨

이사회 결의를 거쳐야 하며, 내부회계관리제도 담당상근이사 또는 집행자 1인을 지정하여 매 반기, 이사회 및감사(감사위원회 포함)에 운영실태를 보고하여야 함. 또한감사는 운영실태를 평가하여 이사회에 매 사업연도마다보고하여야 하며 동 평가보고서는 5년간 회사의 본점에비치해야 함.

주요 내용•회계정보의 작성 및 공시와 관련한 임원. 직원의업무분장과 책임에 관한 사항•내부회계관리규정의 제정 및 변경절차에 관한 사항회계정보를 작성 공시하는 임 직원이 업무를 수행함에

•회계정보(회계정보의 기초가 되는 거래에 관한 정보를포함)의 식별.측정.분류.기록 및 보고방법에 관한 사항•회계정보의 오류를 통제하고 이를 수정하는 방법에 관한사항 •회계정보를 작성.공시하는 임.직원이 업무를 수행함에

있어서 준수하여야 할 절차에 관한 사항•주식회사의 대표자 등이 내부회계관리규정을 위반하여회계정보의 작성.공시를 지시하는 경우에 있어서 임.직원의대처방법에 관한 사항•내부회계관리규정을 위반한 임.직원의 징계 등에 관한 사항

사항•회계정보에 대한 정기적인 점검 및 조정 등 내부검증에관한 사항•회계정보를 기록.보관하는 장부(자기테이프, 디스켓 그밖의 정보보존장치를 포함)의 관리방법과 위조.변조.훼손및 파기의 방지를 위한 통제절차에 관한 사항

개인정보 보호법

개인정보 취급의 원칙 제시(최초 정보수집, 정확성, 안전성 보장,

취급 투명성 및 정보주체 참여 보장)취급 투명성 및 정보주체 참여 보장)

개인정보 침해 신고 센터 설치 개인정보 영향 평가 실시

국가 인권 위원회 내 개인정보 침해 신고 센터를설치하여 국가 인권 위원회가 개인정보 침해사건에대하여 자료제출, 현황조사 및 명령조치를 할 수 있도록함

개인정보 취급자는 개인정보 영향 평가를 실시해야 하고, 결과를 국가 인권위원회에 보고해야 함

타 법률과의 관계

개인 정보 관련 법령의 정비 시 본 기본법의 취지를고려함(일관성 유지)려함(일관성 유지)

정보통신망 이용촉진 및 정보보호 등에 관한법률

개인정보 수집제한, 제공범위의 제한 등 OECD 개인정보에 관한

8원칙 준수 (2001년 시행 2004년 개정)8원칙 준수 - (2001년 시행, 2004년 개정)

적용대상 OECD 개인정보 보호가이드 8원칙

영리를 목적으로 전기통신역무를 이용하여 정보를제공하거나 정보의 제공을 매개한 자로 인터넷 홈페이지등을 이용하여 정보 및 서비스에 관한 정보를 제공하는자

국제적으로 통일된 개인정보 보호 지침 제정을 위한가이드 라인으로서의 기능을 하며, 내용은 개인정보의수집제한(개인의 동의 필요), 정확성, 목적, 명시, 목적이외의 이용제한, 운용 원칙의 공개, 개인참가, 안정성확보, 책임 등 8원칙을 제시하고 있음.

전자거래 기본법 및 시행령

전자문서에 의하여 이루어지는 거래의 법적 효력을 명확히 하여

신뢰성 확보 및 거래의 공정을 기함으로써 건전한 거래질서를

확립하고 전자거래를 촉진하고자 하는 법률 2007 11 18 일자 개정확립하고 전자거래를 촉진하고자 하는 법률 – 2007.11.18.일자 개정

스캐닝한 전자문서의 보관도 종이문서와 동일한 법적 효력을 부여

개정 전 주요 내용•특별한 법률적 규정이 없는 경우, 전자적 형태의 모든 문서에 법적인 효력 부여•보관조건 : 내용열람이 가능하고, 작성 및 송수신 시점의 형태 또는 재현될 수 있는 형태로 보존 가능할 것, 작성/송신/수신에 관한 정보가 모두 포함되어 있는 경우, 함께 보존될 것.•개인정보 보호규정 : 본인의 동의 없이 수집 목적 외, 타 용도로 전용하거나 23자에게 제공하면 안됨.•전자거래 정책협의회 설치 및 전자거래 진흥원, 전자문서 교환위원회, 전자상거래 지원센터 등의 설치 및 업무범위 지정

개정 후 주요 내용

07년 5월 전자거래 기본법 개정으로 종이문서를 스캐닝한 전자화문서의 보관도 종이문서 보관과 동일한 법적 효력을부여함에 따라, 전자화 작업장, 전자화 정보시스템, 입력장치(Scan) 등 스캐닝 문서를 작성할 시설 또는 장비에 대한인증제도가 시행됨.전자화 문서 종이문서 그밖에 전자적 형태로 작성되지 않은 문서를 스캐너 등을 통해 정보처리 시스템이 처리할 수 있는•전자화 문서 : 종이문서 그밖에 전자적 형태로 작성되지 않은 문서를 스캐너 등을 통해 정보처리 시스템이 처리할 수 있는

형태로 변환한 문서•공인전자문서 보관소 : 전자문서를 안전하게 보관하고, 전자문서의 내용 및 송수신 여부 등을 증명해 주는 신뢰할 수 있는제3의 기관•공전소의 서비스 범위는 전자문서의 생성/등록, 보존, 유통, 이관/폐기 까지의 전 과정에 거쳐 보관, 증명, 송수신 서비스를제공하는 것으로 하며, 보관된 문서의 내용은 보관기간 중 불변경된 것으로 추정하고, 발급한 증명서의 법적 효력을 인정

의료법 및 시행령

의료에 관하여 필요한 사항을 규정하기 위해 제정된 법률.

국민의료에 관하여 필요한 사항을 규정함으로써 의료의 적정을국민의료에 관하여 필요한 사항을 규정함으로써 의료의 적정을

기하여 국민의 건강을 보호증진 함을 목적으로 함

Compliance 관련 내용 발췌

•진료기록부 등을 전자서명법에 의한 전자서명이 기재된 전자문서로 작성·보관할 수 있다고 규정•환자명부(5년),진료기록부(10년) 등 의무기록을 일정기간 이상 보관 의무

•진료정보보호 강화 : OECD 개인정보 보호 가이드 8원칙에 준한 의무기록 및 환자 개인정보 보호•전자 의무기록에 대한 표준화 및 전자기록의 수정여부에 대한 책임 추적성 부여•온라인 진료행위에 대한 제도적 보완 및 환자 정보 보호•전자처방전의 발급과 관련된 문제 해결

향후 보완될 내용

•분쟁 등에 대비한 법적 근거 보존 기한 지정 : 처방전 2년, 환자명부 5년, 진료기록부 10년, 수술기록 10년, 검사소견5년 등•HIPAA 등의 사례를 토대로 반드시 준수되어야 할 63개 항목 도입

• IT Governance & Compliance 소개p


• IT Governance & Compliance 소개

• 오라클의 GRC 충족 전략 및 방안• 오라클의 GRC 충족 전략

수많은 기술들…

It’s a fan!• ERP 컴플라이언스 모듈

• 컨텐츠 모니터링 및 필터링

• 패스워드 관리

• E-Learning

• 전사 퍼포먼스 관리

• 사용자 정보 관리 컴플라이언스리 팅

It’s a wall!• BAM(Business Activity

Monitoring)

• 포렌직 도구

• 레코드 관리

• 계정 프로비져닝

• BPM(Business Process

리포팅

• 전사 Role 관리

• 케이스 관리

It’s a spear!

It’s a rope!

• 취약점 관리

• 돈세탁 방지

• E-Discovery Software

BPM(Business Process Management)

• 이메일 아카이빙

• 데이터 암호화

• Loss Events Capture

• 제어 자동화

• IT 보안 정책 관리

It’s a snake!

It’s a log!

E Discovery Software

• 인증 강화

• 전자서명

전사 리스크 관리

데이터 암호화

• IT 변경관리 도구

• SIEM (Information Management)

IT 보안 정책 관리

• Spreadsheet Controls

• 직무분장 도구

• 전사 리스크 관리

• Configuration Reporting and Remediation

g )

• 컴플라이언스 프로세스 관리• …

…단지 부분적으로만 GRC요건을 충족 시킴

오라클 Enterprise-Wide GRCGRC관리를 위한 복합적인 플랫폼 솔루션을 제공

프로세스

Risk & Compliance Mgmt

Controls Management

Policy Mgmt

Industry Specific

Insight

Risk & Control

어플리케이션

Controls Management Industry Specific Risk & ControlIntelligence

IT 인프라

Oracle SAP Custom Legacy Other

OperationalIntelligence

데이터 보안

계정관리컨텐츠 관리

변경관리

데이터 감사 PerformanceManagementManagement

Repository

오라클 GRC업계 최고의 인프라 자동화 및 통제업계 최 의 인 라 자동화 및 통제

프로세스


Controls Management

Policy Mgmt

Industry Specific

Insight

Risk & Control

어플리케이션

Controls Management Industry Specific


Risk & ControlIntelligence

• 컨텐츠 보안, 레코드 보존, 계정 라이프 싸이클 등데이터 관리를 안전하고

IT 인프라

컨텐츠 관리

Oracle SAP Custom Legacy OtherOperationalIntelligence

신뢰성 있게 수행

• 전사 IT환경의 모든데이터 자산에 대한 보호

데이터 보안

계정관리컨텐츠 관리

변경관리

데이터 감사 PerformanceManagement

Repository

• 베스트 프랙티스에기반한 적절한 직무분장, 변경 및 구성 관리 강제p y

오라클 GRC복합적인 어플리케이션 통제 비용과 위험 관리복합적인 어플리케이션 통제 비용과 위험 관리

프로세스


Controls Management

Policy Mgmt

Industry Specific

Insight

Risk & Control

• GRC요건들을 충족시키기위한 베스트 프랙티스프레임 웍을 표준화

어플리케이션



Risk & ControlIntelligence • 위험 진단, 통제 디자인,

정책 생성, 통제 모니터링, 케이스 관리 등을 위한주요 GRC 프로세스

IT 인프라

컨텐츠 관리


자동화

• 규제가 많고, 리스크가민감한 산업 분야를 위한

데이터 보안

계정관리

컨텐츠 관리

변경 관리


Repository

일관되고 특화된GRC프로세스

p y

오라클 GRC책임성을 보장하는 통합된 비즈니스 통찰책임성을 보장하는 통합된 비즈니스 통찰

• 컴플라이언스, 리스크 및성능 관리 부분의 시의적절한 거버넌스 햔상

프로세스


Controls Management

Policy Mgmt

Industry Specific

Insight

Risk & Control 적절한 거버넌스 햔상

• 즉석 감사 리포트를 통한IT와 비즈니스프로세스의 증적 제공

어플리케이션




세 의 증적 제공

• 리스크 기반 전략 계획을통한 비즈니스 성능최적화

IT 인프라

컨텐츠 관리


데이터 보안

계정관리

컨텐츠 관리

변경 관리


Repositoryp y

Oracle GRC 솔루션 스택

리포팅 KRI & 경보대쉬보드

GRC 리포팅 & 분석 영역 Purpose-built business solutions for key industries and GRC

GRC 프로세스 관리 영역

Audit관리 /진단

initiatives

Best-in-class GRC coreIssue &

R di tiEvent & Loss

M t

GRC 어플리케이션 제어 영역

트랜젝션직무분장 어플리케이션

진단 Best in class GRC core solutions to support all mandates and regulations

Remediation Mgmt

모니터링& 접근제어 구성관리

GRC 인프라 제어 영역

변경 저작권데이터계정 레코드

Pre-integrated with Oracle applications and technology, supports


변경관리

저작권관리

데이터보안

계정관리

레코드관리

technology, supportsheterogeneous environments


Products오라클 GRC 지원 제품군

ProductsRisk & Control Intelligence• Fusion GRC Intelligence

Operational Intelligence

Risk & Compliance Mgmt• GRC Manager• Project Portfolio Mgmt

p g• BPEL Process Manager• Business Activity Monitoring• Business Intelligence Apps

Performance Mgmt

Controls Management• Application Access Controls• Application Configuration Controls

Policy Management• Hyperion Financial Mgmt• Hyperion Financial Data

Quality Management• Hyperion Planning• Hyperion Strategic Finance

• Learning Management• Policy & Procedure Portal

Content Management• Universal Content Mgmt• U i l R d M t

Processes Insight• Hyperion Perf. Scorecard• Hyperion Profitability Mgmt

Industry Specific• iFlex Reveleus

• Universal Records Mgmt• Content Database• Records Database• Information Rights Mgmt

Identity & Access MgmtApplications


g



Industry SpecificControls Management

Policy Mgmt

• iFlex Mantas • Clinical Trial Mgmt• Adverse Event Reporting

Data SecurityD t b V lt

Identity & Access Mgmt• Access Manager• Identity Manager• Enterprise Single Sign-On• Virtual Directory

Infrastructure Services

Data SecurityIdentity Mgmt

Content MgmtChange Mgmt

Data Audit

O ac e S Custo egacy Ot eOperationalIntelligence

Performance• Database Vault• Label Security• Advanced Security • Secure Enterprise Search

Change Management• Enterprise Manager

Data Audit• Audit Vault

yManagement

Repository

완벽한 기업 IT환경에 대한 통제

GRC 프로세스 관리

정책 저장소 감사 증적 관리

통제 테스팅 GRC 관련 리포팅

•입,퇴사 관련 사용자 정보 라이프 싸이클관리.

계정관리

• 통제 모니터링 및 전사 정책 강제

• 베스트 프랙티스 통제 및 정책 수립

GRC 어플리케이션 통제

•계정 자동 발급 및 관련 장애처리

•사용자 접근제어 및 권한 감사

통합 인증 인가 싱글사인온

• 베스트 프랙티스 통제 및 정책 수립

• 권한레벨의 직무분장

• 직무분장 정책에 따른 인가 제어•통합 인증, 인가, 싱글사인온

Apps, Systems & Data RepositoriesBusiness Applications Apps, Systems & Data RepositoriesBusiness Applications

Ready for Run !!

s01grc.ppt [호환 모드] - :: dbguide.net :: 데이터 전문가 지식포털 · ·...

Documents