매핑 방법론
ITGC 감사 절차와 ISMS-P 인증기준을 어떤 원칙으로 매핑하는지 정리한다.
1. 매핑의 기본 단위
매핑의 최소 단위는 ISMS-P 101개 인증기준 중 1개다. ITGC 영역(APD / PC / CO / PD) 단위로 묶지 않는다.
이유: ITGC 영역은 회계감사 관점의 분류이고, ISMS-P 인증기준은 정보보호 관점의 분류다. 1개 ITGC 영역이 여러 ISMS-P 인증기준에 흩어져 있고, 1개 ISMS-P 인증기준이 여러 ITGC 영역에 걸쳐 있다. 인증기준 단위로 매핑해야 양방향 추적이 가능하다.
다만 디렉토리 분류는 ITGC 3가지 분류(직접 / 간접 / 기타)를 1차 축으로 사용. 직접 영역 안에서 ITGC 4영역 약어로 세분화. 자세한 구조는 ../01-itgc-mapping/README.md 참조.
2. 인증기준당 작성 항목
각 인증기준 페이지는 다음 4개 섹션으로 구성한다.
2.1. ISMS 원본
인증기준 — 인증기준 번호·제목·핵심 통제 목표를 1~2 문장으로 기재한다. KISA 안내서 발췌 인용은 §5 정책에 따른다.
개요·사례 — 적용 범위, 대표 통제 활동(35줄), 일반적 결함 패턴(12줄). 시장에 알려진 빈출 패턴 위주.
2.2. ITGC 매핑
이 인증기준이 ITGC 3가지 분류 중 어디에 해당하는지, 직접 영역이라면 4영역(APD/PC/CO/PD), 간접 영역이라면 ELC 부영역 중 어디인지 표기한다. 복수 영역에 걸칠 수 있다.
분류: 직접 (1-direct)
ITGC 영역: APD (Access to Programs and Data)
보조 영역: (해당 시) ELC/personnel
2.3. IT감사에서는 이렇게
좌(ISMS 요구사항) ↔ 우(ITGC 테스트 절차) 표 형식. 각 ISMS 요구가 어떤 테스트 step으로 구체화되는지 1:1 매칭. 모집단·샘플·100% 테스트 구분 표기.
2.4. Q&A
회계법인 IT 감사인이 실무에서 부닥치는 "어디까지 해야 하나?" 질문을 실무 결정 답 형태로 정리한다.
질문 출처: 작성자 본업에서 클라이언트가 묻는 것, 감사팀 내부에서 논의되는 회색 영역, KISA 안내서가 명시 안 한 부분 등.
Q&A 답변 가이드라인:
- ❌ "이건 X 인증기준에 매핑됨" 식의 매핑 답변 금지 (매핑은 §2.2가 담당)
- ✅ 왜 그런지 (보안 위험·법적 근거)
- ✅ 어떻게 검증·차단·통제하는지 (구체 권한·절차·로그)
- ✅ 어디까지 검증해야 하는지 (산업군·인증 대상별 범위)
- ✅ 결함 판단 기준 (어떤 상태면 결함, 어떤 상태면 보완 인정)
이 섹션이 본 레포의 핵심 자산. 시장에 답이 없는 영역. 매핑 인덱스 아닌 실무 결정 가이드.
3. 매핑 우선순위
101개 인증기준을 한 번에 다 채우지 않는다. 우선순위는 다음과 같다.
- ITGC 실무 빈도가 높은 영역 우선 — APD (2.5, 2.6) → CO/operations (2.9) → CO/incident (2.11) → CO/dr (2.12) → PD (2.8.1~5)
- 결함 발견 빈도가 높은 인증기준 우선 — KISA 표준 결함사례 빈출 항목
- 법령 직접 연결 인증기준 우선 — 「개인정보 보호법」 직접 조항 매핑 (3장 중심)
- 간접 영역(ELC) — 본업 ITGC 감사 시 entity-level 인터뷰 단계에서 자연 누적
- 기타 영역(3장 개인정보) — 회계감사 백그라운드에서 가장 약한 영역. 별도 학습 노력 필요
4. 실무 노트·Q&A 작성 시 익명화 규칙
각 인증기준 페이지의 Q&A 섹션 또는 양획 실무 노트에 작성자의 회계법인 IT 감사 실무에서 가져온 사례·질문을 기재할 때는 다음 규칙을 따른다.
| 항목 | 규칙 |
|---|---|
| 회사명 | ABC회사 / DEF금융 / GHI제조 등으로 익명화 |
| 시스템명 | OOO ERP / XXX HR 등으로 익명화 |
| 인물명 | 모두 제거 (직책·역할만 표기) |
| 날짜 | 연도까지만 (예: "2024년") 또는 분기 단위 |
| 산업군 | 일반화 (예: "비금융 제조업", "금융 외 서비스업") |
| 결함의 본질·질문의 본질 | 그대로 기록 — 이게 매핑의 핵심 자산 |
빅4 회계법인의 구체적 방법론 절차는 NDA 잠재 위반 가능성으로 기재하지 않는다.
5. 1차 자료 처리 원칙
| 자료 | 인용 방식 |
|---|---|
| KISA ISMS-P 안내서 | 출처 명시 시 발췌 인용 가능 (KISA = 공공기관 발간물). 표·전체 섹션 통째 복사 X. 발췌·요약 위주, 본문 해석은 자체 작성 |
| 회계감사기준서·KSA (315, 265, 500 등) | 출처 명시 시 조항·발췌 인용 가능 (한국공인회계사회 공식 기준). 미국 PCAOB AS와 한국 KSA 차이는 명시 (예: "PCAOB AS 2201 분류 차용 — 한국 KSA 265는 유의적 결함 단계까지") |
| 「개인정보 보호법」 등 법령 | 자유 인용 (저작권법 제7조 — 헌법·법률·조약·명령은 저작권 X) |
| 빅4 방법론 | 인용 금지. NDA 잠재 위반 |
| 합격자 후기·블로그 | 2차 자료. 1차와 충돌 시 1차 우선 |
5-1. 시장 관행·실무 통용 표현
공식 표준 자료가 없는 영역(예: 휴면계정 N개월, 퇴직자 적시 회수 N일, 비밀번호 변경주기 시장 관행 등)의 숫자·범위 표기 시 다음 표현 사용:
"회계법인 ITGC 실무 감각 (공식 표준 자료 X. 회사·업종별 변동)"
- 빅4·중견 회계법인 단정 표현 X (NDA 잠재 위반·태클 위험)
- "양획 본업 시각" 단독 명시는 시장 관행 표에서는 자기 강조 톤이라 회피. 본문 흐름상 필요 시는 OK
- 숫자는 단정 표현 회피 ("약 N일 ~ N일 범위" 권장. 페이지 가치 위해 단일 숫자 명시 시도 단서 필수)
- 변동성 인정 ("회사·업종별 변동") 단서 필수
6. 매핑 검증
작성자가 매핑한 결과는 다음 방법으로 자가 검증한다.
- 양방향 추적 가능성 — ITGC 영역 → 인증기준, 인증기준 → ITGC 영역 양방향으로 찾을 수 있는지
- KISA 표준 결함사례와의 정합성 — 실무 사례와 KISA 표준이 같은 인증기준 아래 같은 패턴으로 정렬되는지
- 법령 조항과의 정합성 — 법령 직접 조항이 있는 인증기준은 그 조항이 명시되었는지
검증 실패 항목은 페이지 상단에 표기하고 차후 보완한다.