??, ??? ?? ??, ???? ??? ????? GRC ??? ?? ??? ???? ??. ??, ??, ??? ??? ?? ??? ?? ???? ????. GRC 인증이란 무엇인가?GRC 인증은 IT 전문가가 기업의 거버넌스, 리스크 및 규정 준수(GRC)를 관리하는 데 필요한 기술, 지식 및 능력을 검증하는 프로그램이다. 오늘날 기업이 점점 더 글로벌화되면서 규정과 규정 준수 표준은 늘어나고 있으며, 기업 내 모든 팀이 이를 숙지해야 할 수 있다. 조직이 진출한 국가에서 합법적으로 사업을 운영하는지, 사이버 보안 위협으로부터 비즈니스를 보호하는지, 리스크는 어느 정도인지 관리하기 위한 프로세스를 수립하는 것이 중요하다. GRC 인증이 중요한 이유는?2002년 엔론(Enron)과 월드컴(WorldCom) 등 여러 기업의 회계분식 사건으로 인해 이 통과된 이후, 데이터 보안, 재무 책임, 소비자 프라이버시 보호 규정을 준수해야 하는 조직은 내부 프로세스가 제대로 수행되고 있는지 확인하는 사람 없이 아무것도 할 수 없게 됐다. 유능한 전문가가 필요한 이유다. 일반적으로 GRC의 목표는 위험을 줄이기 위한 적절한 정책과 통제가 마련돼 있는지 확인하고, 새로운 리스크가 현실화될 때 직원에게 경고하는 견제 및 균형 시스템을 구축하며, 비즈니스 프로세스를 보다 효율적이고 능동적으로 관리하는 것이다. GRC 인증을 받은 전문가는 이해관계자의 기대와 비즈니스 목표를 조율하고 규정 준수 요건을 충족하면서 조직의 목표가 달성되도록 해야 한다. 오늘날 비즈니스 환경에서는 이런 책임감이 매우 중요하며, 인증은 이 업무를 수행할 수 있음을 증명하는 수단이다. GRC 인증은 그만한 가치가 있는가?CIO, IT 보안 분석가, 보안 엔지니어 아키텍트, 정보 보증 프로그램 관리자, 선임 IT 감사사 등 기업 내 다양한 직무에 GRC 인증이 필요하거나 이로부터 이익을 얻을 수 있다. 거버넌스 원칙, 위험 관리 또는 규정 준수 관련 지식이 필요한 IT 직무에 종사할 경우 GRC 자격증을 취득하면 다른 지원자들과의 차별화뿐만 아니라 고용주에게 해당 직무에 적합한 지식을 갖추고 있다는 확신을 심어줄 수 있다. CGRC 및 CGEIT 같은 GRC 자격증은 IT 전문가의 연봉을 높이는 자격증 목록에도 자주 오른다. 상위 10개 GRC 인증• 공인 컴플라이언스 및 윤리 전문가(Certified Compliance & Ethics Professional, CCEP)• 거버넌스 리스크 및 컴플라이언스 인증(Certified Governance Risk and Compliance, CGRC)• 리스크 및 정보 시스템 제어 인증(Certified in Risk and Information Systems Control, CRISC)• 리스크 관리 보증 인증(Certification in Risk Management Assurance, CRMA)• 엔터프라이즈 IT 거버넌스 인증(Certified in the Governance of Enterprise IT, CGEIT)• 공인 정보 보안 관리자(Certified Information Security Manager, CISM)• 공인 정보 시스템 보안 전문가(Certified Information Systems Security Professional, CISSP)• ITIL 전문가• GRC 전문가(GRCP)• 프로젝트 관리 협회 – 리스크 관리 전문가(PMI-RMP) 공인 컴플라이언스 및 윤리 전문가(CCEP)에서 제공하는 인증은 규제 및 규정 준수 프로세스에 대한 지식과 전문성을 입증하기 위해 마련됐다. CCEP는 필요한 법적 의무를 이해하고 처리하며, 규정 준수 프로그램을 통해 조직의 무결성을 유지하는 데 도움을 줄 기술을 보유하고 있음을 의미한다. CCEP 인증을 받으려면 다음 사항을 충족해야 한다.• 규정 준수 관련 직책에서 최소 1년의 풀 타임 경력 또는 2년 이하 기간 동안 1,500시간의 직접적인 컴플라이언스 직무 수행 경험.• 표준, 정책, 절차, 커뮤니케이션, 교육, 훈련, 모니터링, 감사, 보고, 규정 준수 및 윤리 프로그램 관리 방법에 대한 지식을 포함해 응시자 핸드북에 명시된 업무와 직접적으로 관련된 직무 수행. 단 지원일 2년 내에 CCB 공인 대학에서 제공하는 자격증 프로그램을 이수한 경우 요구 사항이 면제될 수 있다. CCB 시험에 응시하려면 라이브 교육, 이벤트 및 웹 컨퍼런스에서 20개의 CCB 승인 평생 교육 학점을 취득해 제출해야 한다. 응시료: 회원은 350달러, 비회원은 450달러이며 갱신 수수료는 회원 125달러, 비회원 245달러다. 거버넌스 리스크 및 컴플라이언스 인증(CGRC)ISC2에서 제공하는 인증은 거버넌스, 리스크 및 규정 준수에 대한 전문성과 조직에서 거버넌스, 리스크 관리, 성과 관리 및 규정 준수를 통합하는 능력을 입증하기 위해 고안됐다. 정보 보안 리스크 관리, 정보 시스템의 권한 부여 및 승인, 보안 및 프라이버시 보호 제어의 선택, 승인, 구현, 평가, 감사, 모니터링 등의 주제를 다룬다. 시험에 응시하려면 현재 ISC2 CGRC 시험 개요에 명시된 7개 영역 중 하나 이상에서 2년 이상의 관련 업무 경력이 필요하다. 자격증을 유지하는 데는 3년 내 CPE(continuing professional education) 60학점 및 연간 135달러의 유지 비용이 든다. 응시료: 599달러 리스크 및 정보 시스템 제어 인증(CRISC)ISACA의 는 응시자와 고용주 모두 선호하는 GRC 자격증 중 하나다. 이는 IT 및 기업 리스크를 관리하고 리스크 관리 목표를 달성할 수 있도록 책임지는 IT 전문가를 식별하는 자격증이다. CRISC는 시스템을 보호하고 리스크를 관리하기 위해 설계된 정보 시스템(IS)의 개발, 구현 및 유지 관리를 감독하는 일을 맡는다. 시험은 IT 리스크 식별, 리스크 대응 및 완화, 리스크 및 제어 모니터링 및 보고를 다룬다. 시험에 응시하려면 다음 요건을 충족해야 한다.• 4가지 영역 중 최소 2가지 영역과 관련된 IT 리스크 및 정보 시스템 분야에서 최소 3년의 업무 경력 보유.• ISACA 직업 윤리 강령을 준수하고 CRISC 평생 교육 정책을 준수한다. 응시료: ISACA 회원 575달러, 비회원 760달러. 리스크 관리 보증 인증(CRMA)IIA(The Institute of Internal Auditors)는 기업, 정부 및 금융 서비스 업계의 감사사에게 정보, 네트워킹 기회 및 교육을 제공하는 글로벌 협회다. 를 취득하려면 먼저 감사사 능력을 입증하는 공임 내부감사사(CIA) 시험에 합격해야 한다. CIA를 통과해야 리스크 관리 및 보증, 거버넌스, 품질 보증 및 통제 자체 평가에 관여하도록 인정하는 CRMA 자격증으로 넘어갈 수 있다. CRMA는 대규모 조직의 고위 경영진과 감사위원회 위원에게 신뢰받을 수 있는 조언자로 인정된다. 시험에 응시하려면 다음 요건을 충족해야 한다. • IIA에서 CIA 자격증 취득.• 3년 또는 4년제 학위(또는 그 이상) 보유: 2년제 학위와 5년의 내부감사 경력(또는 이에 준하는 경력), 또는 7년의 내부감사 경력도 인정받을 수 있다.• 최소 2년의 감사 경험 또는 리스크 관리, 품질 보증 관련 업무 경험에 대한 증빙 자료 제출.• IIA 자격증을 보유한 사람 또는 감독자가 서명한 추천서 제출.• IIA가 제정한 윤리 강령 준수 동의. 응시료: IIA 회원은 465달러, 비회원은 610달러이며, 신청 수수료는 회원 100달러, 비회원 220달러다. 엔터프라이즈 IT 거버넌스 인증(CGEIT)ISACA의 CGEIT 인증은 거버넌스 및 리스크 최적화 조치를 통해 조직의 가치를 높이고, 비즈니스 전략 및 목표에 맞게 IT를 조정할 수 있는 능력은 물론 엔터프라이즈 IT 거버넌스 원칙과 관행에 대한 깊은 지식을 갖춘 IT 전문가를 공인한다. 프로그램이 시작된 이래로 7,000명 이상이 이 자격증을 취득했다. 시험은 엔터프라이즈 IT 거버넌스 프레임워크, 전략 관리, 이익 실현, 리스크 최적화, 리소스 최적화 등 5개 영역을 다룬다. 시험에 응시하려면 다음 요건을 충족해야 한다. • 거버넌스 프레임워크 정의, 구현 및 관리 경력 1년을 포함해 엔터프라이즈 IT 거버넌스 분야에서 최소 5년 이상의 업무 경험이 필요하다.• ISACA 직업 윤리 강령을 준수하고 CGEIT 평생 교육 정책을 준수해야 한다. 응시료: ISACA 회원 525달러, 비회원 760달러. 정보 보안 관리자 인증(CISM)ISACA의 은 리스크를 평가하고, 거버넌스 관행을 구현하며, 보안 사고에 선제적으로 대응할 수 있는 능력을 평가한다. 시험은 또한 AI 및 블록체인과 같은 새로운 기술도 다루기 때문에 진화하는 보안 위험을 해결하기 위한 최신 업계 표준 및 요구 사항을 충족하는지 확인한다. CISM 시험 영역은 정보 보안 거버넌스, 정보 보안 리스크 관리, 정보 보안 프로그램 및 사고 관리 등이다. 시험에 응시하려면 정보 보안 관리 분야에서 5년 이상의 경력이 필요하다. 응시료: 회원 575달러, 비회원 760달러 공인 정보 시스템 보안 전문가(CISSP)ISC2에서 제공하는 은 사이버 보안 전문가가 사이버 보안 프로그램 설계, 구현 및 관리 지식, 기술 및 능력을 갖췄음을 인증한다. 보안 및 리스크 관리, 자산 보안, 보안 아키텍처 및 엔지니어링, 통신 및 네트워크 보안, ID 및 액세스 관리(IAM), 보안 평가 및 테스트, 보안 운영, 소프트웨어 개발 보안 등의 영역을 다룬다. 시험에 응시하려면 다음의 요건이 필요하다.• 8개 시험 영역 중 2개 이상에서 5년 이상의 사이버 보안 업무 경력 또는 인턴십 경험.• 실무 경력 1년은 4년제 대학 학위 또는 이와 동등한 학위, 미국 국립정보보증교육센터(CAE/IAE)의 정보 보안 심화 학위로 대체 가능.• ISC2에서 승인한 다른 자격증을 보유한 경우 1년 경력 충족 가능. 응시료: 749달러 GRC 전문가(GRCP)OCEG는 회원 중심 글로벌 조직으로, GRC에 대한 정보, 교육 및 인증을 제공하는 데 집중하고 있다. GRCP는 공신력 있으며 광범위한 산업과 관행을 대상으로 하는 인증 프로그램이다. 단일 시험에서는 기본 용어와 개념, GRC 원칙, 핵심 구성 요소 및 사례, GRC와 다른 분야의 관계를 다룬다. 는 더 높은 수준의 GRC 감사 인증을 받기 위해 필요하다. 시험은 100문항으로 구성되며 완료 시간은 최대 2시간이다. OCEG에 따르면 GRCP 시험은 “다양한 문화적, 교육적 직업적 배경”을 가진 “모든 전문가에게 개방적이고 접근 가능한” 시험으로, 응시 자격을 위한 요건은 없다. 응시료: 모든 라이브 및 아카이브 웨비나, OCEG 표준, 가이드 및 리소스, 온라인 학습 프로그램, 시험 준비 및 응시에 필요한 사항을 제공하는 올 액세스 패스가 499달러다. ITIL 전문가정보 기술 인프라 라이브러리(ITIL) 인증은 다양한 IT 서비스 프로젝트를 설계, 구현 및 관리하기 위한 모범 사례를 다루는 ITIL 프레임워크와 연계돼 있다. ITIL에서는 인증을 ‘자격(qualifications)’이라고 부르며, ITIL 기초부터 최종 단계인 ITIL 마스터까지 체계적으로 진행된다. 마스터 레벨보다 한 단계 아래에 ITIL 전문가가 있다. ITIL 전문가 자격을 보유한 경우 한 서비스 영역뿐만 아니라 IT 환경 전반에 적용되는 ITIL 서비스 모범 사례를 깊이 이해할 수 있다. 즉 전문가가 되려면 서비스 수명 주기 단계를 연결해 조직을 지원하고, 각 부분의 합으로 큰 그림을 볼 수 있어야 한다. 시험에 응시하려면 다음 자격을 갖춰야 한다.• ITIL 기초(Foundation) 자격증 또는 이와 동등한 자격을 취득.• ITIL 학점 시스템에 따라 최소 17학점 취득.• 승인된 교육 과정을 수강하고 마지막에 MALC(Managing Across the Lifecycle) 시험에 합격. 응시료: 교육 비용은 벤더마다 다르지만 교육과 시험을 포함해 1,800달러(온라인)에서 5,000달러(오프라인) 수준이다. 프로젝트 관리 협회 – 리스크 관리 전문가(PMI-RMP)관련 연구를 진행했거나 프로젝트 관리 전문가(PMP) 자격증을 취득한 경험이 있다면 프로젝트 관리 협회(PMI)를 알고 있을 터다. PMI는 또한 자격증과 비즈니스 관리, 비즈니스 분석, 애자일 및 일정 관리에 중점을 둔 여러 자격증을 제공하고 있다. PMI-RMP는 대규모 프로젝트에 관여하거나 복잡한 환경에서 근무하는 IT 전문가가 프로젝트 기반 리스크를 평가하고 식별할 수 있도록 지원한다. 또한 해당 자격증은 시스템 취약점, 자연재해 등으로 인한 리스크에 대응하는 완화 계획을 설계하고 구현하는 데 도움이 된다. 시험은 리스크 전략 및 계획, 이해관계자 참여, 리스크 프로세스 촉진, 리스크 모니터링 및 보고, 전문 리스크 분석 수행 등을 다룬다. 시험에 응시하려면 다음 자격이 필요하다.• 고등학교 졸업, 준학사 학위 또는 글로벌 동급 학위와 최소 4,500 시간의 프로젝트 리스크 관리 경험 및 40시간의 프로젝트 리스크 관리 교육 이수.• 또는 4년제 학위와 3,000시간 이상의 프로젝트 리스크 관리 경험 및 30시간의 프로젝트 리스크 관리 교육 이수. 응시료: PMI 회원은 520달러, 비회원은 670달러다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????