IT

ITGC(IT General Control) 중 MA(Manage Access) 프로세스에 대해서.

insight_knowledge 2020. 6. 30. 17:06
728x90
반응형

Manage Access Process, 줄여서 MA라 하겠다. 

MA의 목적은 조직의 IT 환경에 대한 접근이 오직 권한을 부여받고 적절한 유저들에게만 허용되게 하기 위함이며, 

그러한 사용자들이 부여받은 권한으로 적절한 액션을 수행하는 것에 대해서 통제하기 위함이다. 


  • 사용자가 스스로를 권한이 부여된 적절한 사용자로 파악하는 방법 (인증)
  • IT환경이 이러한 사용자들에게 접근을 제한하는 방법 (보안설정 사용)
  • IT환경에 대한 접근 권한이 관리되는 방법 
등에서 발생할 수 있는 리스크를 고려해야 한다. 


#사용자 인증과 보안 설정

알다시피, 내부시스템 또는 네트워크로 진입할 때 로그인이라고는 과정이 필요하다. 

로그인을 한다는 소리는, 아이디와 패스워드를 집어넣는다는 소리인데, 

이는 해당 아이디를 가진 소유자가 해당 시스템을 사용하기에 적절한 사람인지가 먼저 내부 사용자계정관리부분에서 

정의되어있어야 하고, 또한 로그인한 사용한자 해당 시스템의 어떠한 부분까지 사용할 수 있는지에 대한 권한 설정이

미리 부여되어 있어야겠다. 


요새는 많은 조직들이 SSO (Single Sign On, 한개의 아이디로 한번에 로그인하여 관련 시스템을 이용할 때 별도의 로그인없이 이용하는 것)

을 많이 사용하기 때문에, 로그인을 통한 접근을 잘 통제하는 것이, 보안에 있어서 처음이자 끝이라고도 말할 수 있겠다. 


복잡한 아이디, 숫자, 영문, 대문자, 특수문자가 포함된 복잡한 패스워드를 사용하도록 설정하는 것도 

사용자 정보를 보호할 수 있는 중요한 방법이기도 하지만, 이와 더불어 토큰을 이용한다던지(은행에서 쓰는 OTP카드 같은 것) 이렇게 

추가적인 장치를 더함으로써, 보안 설정을 강화할 수 있겠다. 


# 접근 권한

재무적 거래 처리 시 IT사용하는 데에 대한 리스크를 다루는 중요한 부분은 IT담당자를 포함한 각 직원이 

자신이 맡은 업무 이상의 권한을 부여받지 않는 것이다. 딱 자신의 업무에만 해당하는 접근 권한을 받는 것이 중요하단 말이겠다. 

IT 시스템을 사용하는 사용자는 크게 두 부류로 나눌 수 있겠다.

- 응용프로그램을 이용하는 비즈니스 유저

- IT 부서 직원들


물론 이 IT 부서 직원들 중에서도, 

- IT 응용프로그램 개발자

- 보안 담당자

- IT 운영담당자

로 나눌 수도 있겠다. 


여하튼, 각 담당자들에 대한 권한은 해당 팀의 관리자에게 승인을 받아서 부여되어야만 하겠다. 


# 데이터 직접 변경


728x90
반응형