상세
FY23 Federal Single Audit Includes a New Safeguards Rule Audit Objective
2023-06-20er.educause.edu
북마크·좋아요·좋아요 1명·댓글 0개·조회 7명
공정민님이 2023-06-21에 작성하였습니다.
요약
[새롭게 개정된 FY23 보안 규칙 감사의 내용]
◎ 美 예산관리국(OMB)은 최근 FY23(2023년 회계연도) 규정 준수 보충자료를 발행함(참고 1). 해당 자료에는 기관이 연방 거래 위원회(FTC)의 고객 정보 보안 규칙(Safeguards Rule)을 준수함에 있어 새로이 개정한 감사 목표를 포함하고 있음.
◎ 보안 규칙의 변경 사항에는 기관이 정보 보안 프로그램의 계획, 실행 및 강화를 담당할 특정 개인(담당자)을 지정해야 한다는 요구사항이 포함됨.
◎ 또한 기관의 정보 프로그램에 포함된 데이터 보안 위험 평가가 다양한 보안 요소와 특정 위험 완화 방법을 포함하도록 규정하고 있음.
◎ FY23 보안 규칙 감사의 목표는 감사인이 다음 사항을 확인하도록 함.
① 기관이 보안 규칙을 준수하는 정보 보안 프로그램을 구현하고 모니터링하기 위해 '자격있는 개인(담당자)'을 지정했는지 여부
② 기관이 보유하고 있는 고객의 기록 수에 관계없이 모든 기관이 구현해야 하는 보안 규칙의 9개 요소 중 7개를 다루는 정보 보안 프로그램을 보유하고 있는지 여부
(단, 고객 정보를 5,000명 미만으로 유지하는 기관은 이사회 보고 및 서면 사고 대응 계획 요구 사항에서 면제되며, 감사 목표에서도 생략됨.)
◎ 즉, 감사인은 특정 보안 요소나 보호 조치를 검증하는 것이 아니라 정보 보안 프로그램이 지정된 요소를 다루고 있는지 여부를 확인하는 체크리스트 방식을 사용하여 보안 규칙 준수를 인증해야 함.
◎ 보안 규칙의 새로운 요구사항은 정보 보안 프로그램이 FTC가 규정한 최소 수준을 충분히 준수해야 한다는 것을 의미함.
- 위험평가, 보호 조치의 설계 및 실행, 구현된 보호 조치의 정기적 테스트 등 다양한 사항을 포함함.
◎ 이번에 확장된 범위는 특히 정보 보안 프로그램의 내용을 평가하는 방식과 관련하여 감사인들의 평가가 일관성이 없을 수 있다는 점을 주의해야 함.
◎ 감사인들이 새로운 감사 목표에 대한 기관의 준수 여부를 확인하는 과정을 체크하기 위해 재무, 기관 행정 및 감사 기업 파트너들과 협력하는 것이 필요함.
[참고 1]. https://www.whitehouse.gov/wp-content/uploads/2023/05/Part-5-Clusters-of-Programs.pdf
◎ 美 예산관리국(OMB)은 최근 FY23(2023년 회계연도) 규정 준수 보충자료를 발행함(참고 1). 해당 자료에는 기관이 연방 거래 위원회(FTC)의 고객 정보 보안 규칙(Safeguards Rule)을 준수함에 있어 새로이 개정한 감사 목표를 포함하고 있음.
◎ 보안 규칙의 변경 사항에는 기관이 정보 보안 프로그램의 계획, 실행 및 강화를 담당할 특정 개인(담당자)을 지정해야 한다는 요구사항이 포함됨.
◎ 또한 기관의 정보 프로그램에 포함된 데이터 보안 위험 평가가 다양한 보안 요소와 특정 위험 완화 방법을 포함하도록 규정하고 있음.
◎ FY23 보안 규칙 감사의 목표는 감사인이 다음 사항을 확인하도록 함.
① 기관이 보안 규칙을 준수하는 정보 보안 프로그램을 구현하고 모니터링하기 위해 '자격있는 개인(담당자)'을 지정했는지 여부
② 기관이 보유하고 있는 고객의 기록 수에 관계없이 모든 기관이 구현해야 하는 보안 규칙의 9개 요소 중 7개를 다루는 정보 보안 프로그램을 보유하고 있는지 여부
(단, 고객 정보를 5,000명 미만으로 유지하는 기관은 이사회 보고 및 서면 사고 대응 계획 요구 사항에서 면제되며, 감사 목표에서도 생략됨.)
◎ 즉, 감사인은 특정 보안 요소나 보호 조치를 검증하는 것이 아니라 정보 보안 프로그램이 지정된 요소를 다루고 있는지 여부를 확인하는 체크리스트 방식을 사용하여 보안 규칙 준수를 인증해야 함.
◎ 보안 규칙의 새로운 요구사항은 정보 보안 프로그램이 FTC가 규정한 최소 수준을 충분히 준수해야 한다는 것을 의미함.
- 위험평가, 보호 조치의 설계 및 실행, 구현된 보호 조치의 정기적 테스트 등 다양한 사항을 포함함.
◎ 이번에 확장된 범위는 특히 정보 보안 프로그램의 내용을 평가하는 방식과 관련하여 감사인들의 평가가 일관성이 없을 수 있다는 점을 주의해야 함.
◎ 감사인들이 새로운 감사 목표에 대한 기관의 준수 여부를 확인하는 과정을 체크하기 위해 재무, 기관 행정 및 감사 기업 파트너들과 협력하는 것이 필요함.
[참고 1]. https://www.whitehouse.gov/wp-content/uploads/2023/05/Part-5-Clusters-of-Programs.pdf
에디터 노트
공정민
본 아티클은 미국의 FY23 규정 준수에 대한 여러 사항 중에서도 보안 규칙(Safeguards Rule)에 대한 사항을 얘기하고 있습니다. 해당 자료는 원본 출처 내에서 연결된 링크를 통해 확인하실 수 있는데요. 특히 새롭게 변경된 보안 규칙은 다음의 9개의 보안 요소를 제시하고 있습니다.
o Implement and periodically review access controls. (접근 제어 및 주기적 검토)
o Conduct a periodic inventory of data, noting where it’s collected, stored, or transmitted. (데이터 수집/저장/전송 위치를 기록하면서 주기적인 데이터 인벤토리 수행)
o Encrypt customer information on the institution’s system and when it’s in transit.(고객 정보 암호화 및 전송 중 암호화)
o Assess apps developed by the institution (개발된 앱 평가)
o Implement multi-factor authentication for anyone accessing customer information on the institution’s system (고객 정보에 접근하는 모든 사용자에 대한 다중 인증 구현)
o Dispose of customer information securely (고객 정보 안전하게 폐기)
o Anticipate and evaluate changes to the information system or network. (정보 시스템 또는 네트워크 변경 사항 예상 및 평가)
o Maintain a log of authorized users’ activity and keep an eye out for unauthorized access. (허가된 사용자 활동 기록, 무단 접근 감시)
o Implement and periodically review access controls. (접근 제어 및 주기적 검토)
o Conduct a periodic inventory of data, noting where it’s collected, stored, or transmitted. (데이터 수집/저장/전송 위치를 기록하면서 주기적인 데이터 인벤토리 수행)
o Encrypt customer information on the institution’s system and when it’s in transit.(고객 정보 암호화 및 전송 중 암호화)
o Assess apps developed by the institution (개발된 앱 평가)
o Implement multi-factor authentication for anyone accessing customer information on the institution’s system (고객 정보에 접근하는 모든 사용자에 대한 다중 인증 구현)
o Dispose of customer information securely (고객 정보 안전하게 폐기)
o Anticipate and evaluate changes to the information system or network. (정보 시스템 또는 네트워크 변경 사항 예상 및 평가)
o Maintain a log of authorized users’ activity and keep an eye out for unauthorized access. (허가된 사용자 활동 기록, 무단 접근 감시)
관련 해시태그
코멘트
로그인시 댓글을 입력할 수 있습니다
로그인하세요