주요사항

직무분리 수립·적용, 불가능한 경우 상호검토, 승인, 로그, 모니터링 등 보완통제

인증기준

권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

확인사항

  • 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?
  • 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?

결함사례

  • 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부 규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우
  • 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
  • 직무분리 예시
    • 개발/운영 분리
    • 모니터링 업무 분리
    • 감사 업무 분리
    • 보안관리/업무시스템개발 분리 등
  • 보완통제 예시
    • 상호 검토(피어리뷰)
    • 상위관리자 승인
    • 책임추적성 확보(로그,감사,모니터링 등 )