IT 분야리스크내부통제강화를위한 IT 분야특정감사결과보고 2013. 7. 감사실
목차 Ⅰ. 감사실시개요 1. 감사배경및목적 --------------------------- 1 2. 감사대상및범위 --------------------------- 2 3. 감사기간및인원 ---------------------------- 2 4. 감사중점사항 --------------------------------- 3 Ⅱ. 감사대상현황 - - - - - - - - - - - ----------------- 5 Ⅲ. 감사결과 ----------------------------------10 1. 총평 ------------------------------------- 10 2. 지적사항총괄 -------------------------------10 3. 분야별지적사항 ( 요약 ) --------------------------11 4. 모범및제도개선사례 -------------------------15 5. 리스크진단결과 -------------------------16 Ⅳ. 지적사항에대한처분요구 ---------------------------23 1. 처분요구사항일람표 -------------------------- 23 2. 신분상조치인원명세 -------------------------- 25 3. 현지조치사항일람표 -------------------------- 25 Ⅴ. 기타사항 ---------------------------------- 26 1. 감사대상기관의건의사항 ----------------------- 26 2. 비공개정보에관한사항 ------------------------- 26 3. 추가감사가필요한사항 ------------------------ 26 4. 향후처리계획등 ----------------------------- 26 [ 별첨 ] 1. 감사결과처분요구서 2. 현지조치사항명세 3. 감사결과심의위원회심의결과 ( 회의록등 )
감사실시개요 1. 감사배경및목적
2. 감사대상부서 ( 기관 ) 및범위 3. 감사인원및기간 1) 내부 IT 감사전문인력 : CISA 자격증보유 1 인 ( ), S/W 특급기술자자격증보유 1 인 ( ) 2) 외부 IT 감사전문인력 : CISA, SAP R3 자격증및다수 IT 감사전문경력보유 (,, )
4. 감사중점사항 3) IT 거버넌스 : IT 정책, 규정및지침에대한보완, IT 업무프로세스 ( 승인절차등 ) 4) 정보보안 : 보안표준및보안가이드라인, 취약점에대한조치계획수립및이행과주기적검토 5) 권한관리 : 직무분할에근거한권한관리체계, 권한관리룰및시스템적용적정성
감사대상현황 1. [ 표 1] 직급별인원현황 ( 정원 / 현원, 13.1 기준 ) 구분 1 급 2 급 3 급 4 급 5 급이하계 */* */* */* */* */* */* * 직원 * 명중 * 명은육아휴직대체인력으로근무중 * 정보시스템통합운영유지보수외주인력 ( ( 주 )) ** 명상주
2. [ 표2] 직급별인원현황 ( 정원 / 현원, 12.12기준) 구분 1급 2급 3급 4급 5급이하계 */* */* */* */* */* */*
3. [ 표 3] 직급별인원현황 ( 정원 / 현원, 12.12 기준 ) 구 분 1급 2급 ( 센터장 ) 3급 4급 5급이하 계 */* */* */* */* */* **/** */* */* */* */* */* 계 */* */* */* */* */* **/**
감사결과 1. 총평 2. 지적사항총괄 ( 단위 : 건, 백만원, 명 ) 구분 내용 총건수 21건 조치내용 신분상조치인원 1건 (13명) 재정상조치금액변상 ( 금액 ) 징계 ( 인원 ) 추징 시정 ( 금액 ) 감액기타 6건 소계 6건 주의 경고 ( 인원 ) 2건 ( 신분조치1건 -13명, 행정조치 1건 ) 개선 7건 권고 4건 통보 현지조치 2건 고발 ( 인원 ) 모범사례 ( 인원 )
3. 분야별지적사항 ( 요약 ) <SAP ERP 시스템부문 >
< 시스템부문 > < 정보화사업일반부문 >
<Non SAP 시스템부문 >
4. 모범및제도개선사례 : 해당사항없음
5. 리스크진단결과 : 시스템가. 시스템현황 시스템명 시스템 시스템 시스템 데이터 시스템 DB 서버 제공 DB 서버 Platform (Hardware) Ex ess-mp (Win2008) *** * HMI 및 Historian (Win2003) *** * WEBTOBE, JEUS (Win2008) *** * OPC 및 HMI (Win2003) *** * *** * Oracle DBMS 11g ( UNIX) **** Oracle DBMS 11g (Win2008) *** * < 시스템구성현황 > 최초설치일 2011.06 2011.06 2011.06 2011.06 주요처리내용 열 / 전력수요예측, 전력시장예측생산및공급계획수립 ( 단기, 중장기 ) 운영상태감시, 계획대비실적추적, 상태감시, 운영실적생성전산운영실적관리, 고장 / 입출고관리, 실시간현황, 기준정보관리, ERP보고서 ( 웹서비스 ) 지사운영데이터취득시스템 (** 개소 ) / 시스템, 인터페이스 2011.06 데이터관리용 2011.06 웹기반데이터제공용 비고 상용패키지 / 외주개발
< 시스템네트워크장비현황 > 구분 장비명 모델명 설치일자 센터라우터 ****-S 2011.06 Catalyst 센터 스위치 2011.06 **** -E 네트워크 Catalyst 장비판교 스위치 2011.06 **** -E 지사라우터 **** 2011.06 지사 스위치 Catalyst ****-24-TT-L 2011.06 보안장비 방지시스템 IPS 2011.06 방화벽 **** 2011.06
나. 시스템네트워크구성도
다. 정보시스템관리조직과인원 라. 리스크진단결과
지적사항에대한처분요구 1. 처분요구사항일람표 번호 1 2 3 4 5 6 7 8 9 10 11 12 감사대상기관 ( 관계기관 / 부서 ) 제목 처분요구감사자 처분종류처분기한 ( 외부감사인 ) ERP 시스템사용자계정관리미흡개선 3 개월 ( ) 패스워드정책준수미흡시정 1 개월 ( ) ERP 시스템권한관리미흡시정 1 개월 ( ) 운영환경의변경통제미흡시정 1 개월 ( ) 정보화업무지침서갱신필요개선 3 개월 SAP ERP 사용자권한관리및라이센스관리필요 ( 미사용아이디비활성화 ) SAP ERP 사용자권한관리및라이센스관리필요 ( 권한관리내부통제절차수립 ) 외부시스템과연계된정보시스템변경추진시관련테스트및제도적변경절차이행철저필요 시스템프로그램변경관리절차미흡 시스템 Application 권한관리절차미흡비업무사이트차단시스템통제미흡 ( 내부통제관련사규개정 ) 비업무사이트차단시스템통제미흡 ( 비업무사이트차단시스템개선 ) ( ) 시정 1 개월 ( ) 권고 3 개월 ( ) 주의 1개월 개선 3개월 ( ) 개선 3 개월 ( ) 시정 1개월 개선 3개월
번 호 감사대상기관 ( 관계기관 / 부서 ) 제목 처분종류 처분요구 처분기한 감사자 지사 사업소 13 지사 컴퓨터소프트웨어무단사용직원에 대한주의및제도개선필요 주의 ( 관련자 ) 1 개월 지사 지사 컴퓨터소프트웨어무단사용직원에 14 대한주의및제도개선필요 시정 1 개월 ( 유사사례재발방지토록사규보완 ) 컴퓨터소프트웨어무단사용직원에 15 대한주의및제도개선필요 권고 3 개월 ( 보안패치프로그램설치, 운영계획수립 ) 16 전산실 ( 서버룸 ) 관리개선필요 ( 출입인가인원최소필수인원조정 ) 개선 3 개월 ( ) 17 전산실 ( 서버룸 ) 관리개선필요 ( 출입통제보완대책마련 ) 개선 3 개월 ( ) 18 구축중인시스템에대한공사보안정책적용강화필요 권고 3 개월 ( ) 19 정보시스템접근기록관리보고필요 권고 3 개월 ( )
1-1. 신분상조치인원명세 제목 처분내역 조치양정소속직급성명관련지적사항 4 급 ( 갑 ) 지사 4 급 ( 갑 ) 지사 6 급 ( 갑 ) 지사 6 급 ( 을 ) 지사 5 급 ( 을 ) 컴퓨터소프트웨어 무단사용직원에 대한주의 주의 지사 6급 ( 갑 ) 지사 5급 ( 을 ) 지사 5급 ( 갑 ) 저작권자허가없이컴퓨터소프트웨어무단사용 지사 6 급 ( 병 ) 지사 5 급 ( 을 ) 지사 6 급 ( 갑 ) 지사 6 급 ( 갑 ) 지사 6 급 ( 을 ) 2. 현지조치사항일람표 번호 감사대상기관 ( 관계기관 / 부서 ) 제목조치사항금액인원감사자 1 전기영업시스템의개발, 운영권한분리 운영환경과개발환경접 근권한에대한업무분장 명확화 - - ( ) 2 ITSM 단순변경처리건에운영프로그램변경절차대한최종확인 승인정보가투명성확보조회되도록시스템수정 - - ( )
기타사항 1. 감사대상기관의건의사항 : 해당없음 2. 비공개정보에관한사항 : 해당없음 3. 추가감사가필요한사항 : 해당없음 4. 향후처리계획및특기사항등 [ 첨부 ] 1. 감사결과처분요구서 2. 현지조치사항명세 3. 감사결과심의위원회심의결과 ( 회의록등 )
[ 첨부 ] 1. 감사결과처분요구서 일련번호 1 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 개 선 제 목 관계부서 내 용 1 2 3
조치할사항 : 합법성관점에서개선 - 29 -
일련번호 2 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.8 시 정 제 목 관계부서 내 용 2 3 1-30 -
[ 표 1] SAP GUI P/W 정책설정내역 매개변수 비고 설정값 준수여부 login/fails_to_user_lock 사용자잠금되는로그인실패횟수 * 준수 login/min_password_diff 이전 와다르게설정되어야하는문자수 * 준수 login/min_password_digits 에포함되어야하는최소숫자수 * 미준수 login/min_password_letters 에포함되어야하는최소문자수 * 준수 login/min_password_lng 길이 * 미준수 login/password_expiration_time 한 를사용할수있는최대일수 ** 준수 login/password_history_size 재사용방지를위한이전 기억수 * 준수 [ 표 2] 해피넷 P/W 정책설정내역 코딩내역 ( 난방사우패스워드변경시 ) 비고 if(document.getelementbyid("ch angepwd1").value.length == 9) 는오로지 * 자리로만변경가능함 이외설정내역 ( 잠금, 및 문자포함, 주기등 ) 없음 준수여부 준수 미준수 조치할사항 : 합법성관점에서시정 - 31 -
일련번호 3 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.8 시 정 제 목 관계부서 내 용 6-32 -
[ 표3] ERP 결산관련트렌젝션권한보유자 샘플링 (4개트렌젝션 ) T-CODE 사용자수 회계기간 OPEN/CLOSE S_***_8700**** ** 외화평가 (NEW GL) F***_FC_VAL ** 외화평가 Z*** ** 유동성대체 F****101 ** [ 표4] ERP 반제관련트렌젝션권한보유자 샘플링 (9개트렌젝션 ) T-CODE 사용자수 반제하여전기 F-** *** G/L계정반제 F-** *** 자동반제 F.** ** 고객선수금반제 F-** ** 반제항목재설정 F*** *** 고객반제 F-** *** 구매처반제 F-** *** 구매처선급금반제 F-** ** G/L; GR/IR 반제 F.** ** 조치할사항 : 합법성관점에서시정 - 33 -
일련번호 4 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.8 시 정 제 목 관계부서 내 용 - 34 -
[ 표5] S_DEVELOP 권한오브젝트보유사용자및변경이력 [ 표6] BC이외의사용자에의한 BATCH작업변경건 [ 표7] BC이외의사용자의의한 CTS전송건수 조치할사항 : 합법성관점에서시정 - 35 -
일련번호 5 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 개 선 제 목 관계부서 내 용 - 36 -
조치할사항 : 합법성관점에서개선 - 37 -
일련번호 6, 7 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013. 7 회신기일 2013. 10 시정 개선 제 목 관계부서 내 용 - 38 -
조치할사항 : ( 합법성관점에서시정 : ) ( 합리성관점에서개선 : ) - 39 -
일련번호 8 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 주 의 제 목 관계부서 내 용 - 40 -
6) 통합테스트수행 : 각단위업무별로실제업무가이루어지는것과동일하게테스트시나리오 를작성하고, 그시나리오를담당 PI 들이직접영업 ERP 시스템상에서테스트자료를입력하여 순차적으로오류를체크하면서테스트를진행 - 41 -
조치할사항 : 합목적성관점에서주의 - 42 -
일련번호 9 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 개 선 제 목 관계부서 내 용 - 43 -
조치할사항 : 합법성관점에서개선 - 44 -
일련번호 10 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 개 선 제 목 관계부서 내 용 - 45 -
조치할사항 : 합리성관점에서개선 - 46 -
일련번호 11, 12 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 처분요구일자 2013. 7 회신기일 공개 ( ) 비공개 ( ) - 2013. 8( 시정 ) 2013.10( 개선 ) 시정, 개선 제 목 관계부서 내 용 - 47 -
[ 표 8] 유해사이트및비업무사이트차단현황 부서 차단사이트 제외사이트 제외사유 비고 전직원 유해사이트 - - 항상차단 자금 IR팀, 자금 IR, - 금융사이트업무우리사주우리사주관리자전체 전직원 비업무사이트 - - 업무시간만차단 - 48 -
조치할사항 : ( 합법성과점에서시정 : ) ( 합리성관점에서개선 : ) - 49 -
일련번호 13, 14, 15 감사자 신분상조치인원 13명 재정상조치방법 - 재정상조치금액 수감부서 ( 처리할부서 ) 주의요구 처분요구일자 2013.7 회신기일 대상자 공개 ( ) 비공개 ( ) - 2013.8 ( 주의, 시정 ) 2013.10 ( 권고 ) 주의, 시정, 권고 제 목 관계부서 내 용 - 50 -
[ 표 9] 소프트웨어무단사용 IP 현황 부서명 무단사용 IP 갯수 부서명 무단사용 IP 갯수 지사 * 지사 * 지사 * 지사 * 지사 * 지사 * 지사 * 지사 * - 51 -
- 52 -
조치할사항 : ( 합법성관점에서주의 : 주의요구대상자 ) - 53 -
( 합법성관점에서시정 : ) ( 합목적성관점에서권고 : ) - 54 -
일련번호 16, 17 감사자 공개 ( ) 비공개 ( ) 신분상조치인원 - 재정상조치방법 - 재정상조치금액 - 수감부서 ( 처리할부서 ) 처분요구일자 2013.7 회신기일 2013.10 개 선 제 목 관계부서 내 용 - 55 -
조치할사항 ( 합법성관점에서개선 : ) ( 합법성관점에서개선 : ) - 56 -
일련번호 18 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 권 고 제 목 관계부서 내 용 - 57 -
조치할사항 : 합법성관점에서권고 - 58 -
일련번호 19 감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일 2013.10 권 고 제 목 관계부서 내 용 - 59 -
조치할사항 : 합법성관점에서권고 - 60 -
[ 첨부 ] 2. 현지조치사항명세 일련번호감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일즉시 현지조치 - 61 -
제 목전기영업시스템의개발, 운영권한분리 관계부서 내 용 조치할사항 - 62 -
일련번호감사자 신분상조치인원 - 재정상조치방법 - 수감부서 ( 처리할부서 ) 재정상조치금액 공개 ( ) 비공개 ( ) - 처분요구일자 2013.7 회신기일즉시 현지조치 - 63 -
제 목운영프로그램변경절차투명성확보 관계부서 내 용 Ⅳ Ⅳ - 64 -
조치할사항