정보보안점검의 날

금융회사의 보안담당자는 매월 점검해야 하는 정기업무들이 있다. 그중에 하나가 정보보안점검의 날이다.

전자금융감독규정 제37조의 5에 나와있듯 금융감독원장이 정하는 점검항목을 점검해서 최고경영자에게 보고해야 한다.

                             

---

전자금융감독규정 제37조의5(정보보호최고책임자의 업무) 정보보호최고책임자는 정보보안점검의 날을 지정하고, 임직원이 금융감독원장이 정하는 정보보안 점검항목을 준수했는지 여부를 매월 점검하고, 그 점검 결과 및 보완 계획을 최고경영자에게 보고하여야 한다.

---

법규에는 CISO가 매월 점검하라고 되어있지만, 보통 담당자가 점검하고 CISO에게 보고한다. 이후에 CISO가 CEO보고를 하는데, 전자결재로 올리는 회사도 있고 직접 대면으로 보고하는 회사도 있다.

상세점검항목은 전자금융감독규정 시행세칙 별표에 나와있다.

<정보보안점검의 날 점검항목, 출처: 국가법령정보센터>

대부분이 보안솔루션으로 점검이 가능한 항목들이다. 보안솔루션의 정책이 바뀌거나 네트워크의 구성이 바뀌지 않는 이상 특이사항은 없을 것이다.

점검 시 증빙자료는 해당 솔루션의 정책 화면을 캡처해도 되고, 실제 통제나 차단이 되는 화면, 암호화된 DB 조회 결과 화면 등을 캡처하면 된다.

물론 캡처한 증빙까지 CISO가 CEO에게 보고하진 않는다. 아마 특이사항이 없다는 정도..?

매달 최고경영자에게 보고되는 자료이기 때문에 담당자는 변동사항이 없더라도 특이사항은 없는지 한번 더 확인을 해야 한다.