반응형
1차 방어선에서는 경영진이 데이터, 프로세스, 위험, 통제를 소유하고 관리한다.
2차 방어선에서는 1차 프로세스와 통제가 존재하고 효과적으로 작동하는지 검증하는 책임이 있는 위험, 통제, 준법감시기능으로 구성된다.
3차 방어선인 내부감사에서 지배구조, 위험관리, 통제에 대한 독립적이고 객관적인 검증을 최고경영진과 이사회에 제공하고 검증을 통해 사이버 보안 위험과 위협을 관리하고 완화하기 위한 1차 방어선과 2차 방어선 활동의 전반적인 효과성을 평가한다.
감사인 관점에서는 1차, 2차 방어선과 협업하면서 보호 대상이 되는 중요한 정보를 파악하고, 이들 부서의 경영진과 함께 관련 사이버보안 취약점에 대한 관련 요소들이 적절히 모니터링되는지 검증하는 것이 필요하다.
반응형