ISO/IEC 38500:2024 – IT Governance 심사 가이드라인
1. 심사 목적
IT 거버넌스가 조직의 전략적 목표 및 비즈니스 요구사항을 효과적으로 지원하는지 평가.
IT 사용이 책임감 있고 지속 가능하며, 법적, 규제적 요구사항을 준수하는지 검증.
조직 내 IT 의사결정 구조와 책임 체계가 적절히 구현되었는지 확인.
2. 심사원의 적격성
2.1. 기본 자격
IT 거버넌스 및 ISO/IEC 38500에 대한 심층적인 이해 – 교육훈련 수료증
IT 프로젝트 관리, IT 리스크 관리, 또는 IT 서비스 관리에 대한 최소 2년 이상의 경력.
2.2. 기술적 요구사항
IT 시스템 및 프로세스에 대한 지식:
ITIL, COBIT 등 IT 거버넌스 프레임워크.
IT 전략, 리스크 관리, 규제 준수.
IT 인프라와 애플리케이션에 대한 기본적인 이해.
법적 및 규제적 요구사항(예: 데이터 보호, 개인정보 보호법).
2.3. 소프트 스킬
강력한 의사소통 능력.
복잡한 프로세스를 이해하고 평가할 수 있는 분석적 사고.
객관성과 윤리적 판단 능력.
3. 심사 프로세스
3.1. 심사 준비
범위 정의:
조직의 IT 거버넌스 적용 범위 및 목표 식별.
관련 문서 검토:
IT 전략, 정책, 절차, IT 거버넌스 프레임워크, 보고서.
리스크 식별:
조직의 주요 IT 리스크와 이를 관리하기 위한 방안 파악.
3.2. 현장 심사
리더십 평가:
IT 거버넌스에 대한 최고 경영진의 참여와 지원 여부.
IT 의사결정 구조 및 책임 할당.
프로세스 검증:
IT 정책과 프로세스가 효과적으로 실행되고 있는지 확인.
IT 리스크 관리 및 성과 모니터링 활동 검토.
성과 측정:
IT 거버넌스가 비즈니스 목표 달성에 기여했는지 확인.
KPI와 IT 지표 평가.
법적 및 규제 준수:
IT 사용이 관련 법적 및 규제적 요구사항을 충족하는지 검토.
3.3. 심사 결과 보고
심사 요약 작성:
주요 발견 사항, 긍정적 관찰, 부적합 사항 보고.
시정조치 권고:
부적합 사항에 대한 구체적인 개선 조치 제안.
최종 보고서 제출:
경영진과 공유하며, 필요한 경우 외부 이해관계자와도 논의.