현행 정보시스템 감리는 감리 절차에 따른 산출물과 성과 중심으로 사업관리가 이루어지고 있다. 사업관리 과정에 리스크 관리를 하도록 되어있으나 감리 절차에는 리스크 관리가 반영되어 있지 않다. 또한 정보보호의 중요성에도 불구하고 정보보호 감리는 시스템개발 사업의 시스템아키텍처에 한정되어 별개의 사업으로 진행되어 왔다.
본 논문은 현행 정보시스템 감리와 국제표준 IT 리스크 관리 프레임워크에 대한 이해를 통해 정보시스템 감리에도 리스크 관리가 적용되어야 함을 제안하였다. 정보시스템 감리에 리스크 관리를 도입하면 리스크 분석·평가하는 과정을 통해 리스크를 최소화하여 사업 실패를 현저히 줄일 수 있다.
또한 국내외 정보보호관리체계에 대한 이해를 바탕으로 고위험 분야인 정보보호를 위한 정보보호감리는 별개의 감리가 아니라 필수적인 감리이며, 정보보호관리체계의 세부통제항목을 활용해서 감리지침을 개선할 것을 제안하였다. 이를 위해 정보보호관리체계의 리스크 관리를 활용해서 정보보호감리를 위한 절차와 정보보호감리 점검항목을 제안하였다.
리스크 기반으로 정보보호 감리지침을 개선하면 일회성 정보보호 점검에서 벗어나 모니터링을 통한 지속적인 정보보호의 개선이 가능해지며 별도로 정보보호관리체계 인증을 준비할 필요 없이 정보보호감리의 결과물을 활용할 수 있다. 따라서 국내외 정보보호관리체계 인증을 위해 시간과 노력을 줄일 수 있을 것이고, 인증 취득을 통해 국내외적으로 객관적인 정보보호 수준을 인정 받아 조직의 이미지를 제고할 수 있고 신뢰를 얻을 수 있을 것이다.