[CISA_Domain 2] IT 거버넌스 및 관리1
※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.
* 기업 거버넌스
- 규제 요건 및 사회적 책임이라는 제약 하에서 조직이 운영되도록 하면서
- 이해관계자의 가치를 증대시키기 위한 기회를 활용
* IT 거버넌스 (이사회와 고위 경영진의 책임)
- 기업 거버넌스 목적달성을 위해서 IT를 어떻게 연계해서 목적달성할 것인가?
> 기업 거버넌스(부)-IT거버넌스(모)
- 거버넌스(평가,지휘,모니터링) + 매니지먼트(=관리)(기획,구축,운영,모니터링)
- 비즈니스와 IT간의 연계를 통해 비즈니스 가치를 달성. 위험 관리.
- 목적 : 가치창출 (이익실현 + 위험 최적화 + 자원 최적화+ 평가BSC)
- 효익 : 조직이 정보를 최대한 활용하여, 최대의 이익을 얻고, 기회를 이용하여 경쟁우위를 얻도록 함.
- 기업 거버넌스의 한 영역으로, 기업 내에서 IT를 어떻게 적용할 것인지를 고려하는 현안들의 집합체로 구성
- 5가지 중점 영역 (중요)
1. 전략적 연계 : 경영계획과 IT계획의 상호 연계, 운영 연계
-
경영레벨에서 전략-> IT와 연계(도입-운영-모니터링)
2. 가치 제공 : 비용을 최적화해서, IT가 전략상 약속한 이익 제공
3. 자원 관리 : 핵심 IT자원(응용-사람-정보-인프라)에 최적 투자와 적절한 관리
4. 위험 관리 : 고위 경영진의 위험 인식
5. 성과 측정 : BSC 기반으로 성과측정
* 정보보호 거버넌스( IT거버넌스의 > 정보보호거버넌스 > IT정보보호 ) :
-
권한 위임: CISO(정보보호 최고책임자) 정보보호의
-
책임: 이사회와 고위경영진
- 통합(Integration)의 정의 : 프로세스가 의도한 대로 운영됨을 보증하기 위해 괸련된 모든 보증 요소들을 함치는 개념
- 기업의 가치 창출에 도움이 되는 비즈니스 활동을 지원
- 6가지 산출
1. 전략적 연계
2. 위험관리
3. 가치 창출(전달)
4. 성과 측정
5. 자원 관리
6. 프로세스 통합 : 전반적인 보호와 운영 효율성 개선
- 이사회/고위경영진 : 정책/모니터링/측정지표 승인, 리더십, 솔선수범, 전파
- 고위 경영진 : 리더십과 지속적인 지원 제공. 비용효과적인지, 비즈니스 목표와 연계되어있는지 결정
- 운영위원회 : 기업 내에 확산. 우선순위와 합의 도출. 의사소통채널(보안팀 vs. 사용자부서) 역할.
- 정보보호 최고책임자 CISO(Chief Information Security Officer) : 최고 경영진의 수준으로 확대. 법적 책임과 연결
* BI(Business Intelligence)
-
기업 데이터 수집 > 정리 > 분석 > 활용(효율적인 의사 결정 제공)
-
기업 경영에서 방향 설정 역할
* BI(Business Intelligence) 필요성
-
현재 비즈니스는 복잡성/규모 커짐
-
기술력을 키워 경쟁적 우위를 차지하자
-
기술 사용시, 법적인 요구사항을 잘 준수해야함 [국제협약 EU GDPR] 중요
-
빅데이터 > 데이터마이닝 > 경영진에 필요한 정보, 고객관련 정보 등
-
CISA는 많은 양의 데이터 활용(개인정보)을 감사하면서 특히 EU GDPR과 관련된 이슈를 확인하려면 어딜 봐야 하는가? BI 구성을 확인하자
* 사업 연속성과 재해복구계획
- BIA(Business Impact Analysis, 비즈니스 영향분석)
=> BIA를 통해 중단비용과 지속적인 업무기능 유지를 고려하여 핵심적인 것이 무엇인지 이해하는 절차 수행(지켜야할 핵심 업무가 뭐니?)
- BCP(Business Continuity Plan, 기업연속성계획)(중요한 업무는 ON)
=> 복구 순서와 시간대를 결정하고 기술과 방법을 결정
- DRP(Disaster Recovery Plan, 재해복구계획)
- RTO(Recovery Time Objective, 복구목표시간) :
운영이 중단된 상황, 허용가능한 업무중단시간
- RPO(Recovery Point Objective, 복구목표시점) :
운영이 중단된 상황, 허용가능한 손실데이터(백업 기간 설정 지표임)
- CSR(Corporate Social Responsibility, 기업의 사회적 책임)
3. 엔터프라이즈 IT 거버넌스
* IT 거버넌스 감사의 역할
- 컴플라이언스(법규 및 규정 준수)를 모니터 하는 주체로서
- 수행된 IT 거버넌스 플젝의 품질향상을 위해 선도적인 사례를 경영진에게 추천
- IT 거버넌스 추진과제의 결과를 준수하도록 도움
- 이를 위한 정성적인 평가에서의 독립적이고 균형적인 시각이 필요
* IT전략위원회 (이사회 레벨 사람들) - 현재/미래 전략적 IT문제초점 / 생각해냄
비즈니스 측면에서의 IT개발 타당성
비즈니스 목표와 IT연계, 전략적 IT 목표 성취
전략 관련 관리 방향 제시
* IT운영위원회 (경영자 레벨 사람들) - 전략위 생각을 기반으로->직접 뛰어다님
프로젝트 기획/예산 승인,
적절한 자원 할당 검토 및 승인
기업의 고위경영진이 정보시스템 조직의 기능과 관련 활동을 감독
구성원: IT 관련 위험과 이슈를 이해하고 있는 이사회의 멤버가 위원회의 의장
=> 두 위원회의 모든 활동과 결정사항은 공식적인 의사록이 유지 관리 되어야 한다.
IS 감사인의 관점:
=> IT 운영위원회는 각 부서로부터 적절한 관리 정보를 받고 있는가?
=> 이 정보로 자원을 효과적으로 조정/모니터링 하는가?
=> 위원회는 정기적인 회의 소집+ 고위 경영진(CEO)에게 보고를 수행하는가?
=> 회의록 유지 관리는 잘되는가?
* 정보 전략 기획(ISP, Information Strategic Planning)
비즈니스 프로세스를 개선하기 위해 정보기술(정보시스템)에 투자하는 장기적인 방향성
하드웨어, 소프트웨어, 네트워크
* IT BSC(IT Balanced ScoreCard, IT 균형성과표)
1. 경영진의 이사회 보고 수단 성립
2. 핵심 이해 당사자 간 IT전략적 목표에 대한 합의 촉진
3. IT의 효과성 + IT가 창출한 가치를 증명
4. IT 성과 / 위험 / 역량 등에 대한 의사소통 제공
- 조직의 전략을
-
1.재무 2.고객 3.내부프로세스 4.학습과성장 등의 4가지 관점의
-
측정 가능한 핵심성과지표(KPI)로 전환하여 관리함으로써 균형성과관리(성과측정 영역)를 실현
- 전사수준에서 구축된 전략 및 성과 지표 [부서>팀>개인] 레벨로 하향 전개
- 조직의 전략을 공유하기 위해 수단화/구체화한 것.
- 학습과 성장 -> 비즈니스 프로세스 향상 -> 고객만족 증대 -> 재무적 결과 증가
* EA(Enterprise Architecture, 전사적 아키텍처)
-
우리 회사 IT자산을 [구조화된-문서] 만듦
-
[구조화된-문서]: 경영자가 보고 IT투자계획/ 관리하는데 도움을 줌
- EA 도입 목적
1. CEO/CIO 관점: 투자전략지원, IT 비용절감, IT 기반 혁신 지원
-
어디에 좀더 투자를 해야겠구나?
2. IT 기획자 입장: 신기술 및 표준 동향을 파악하여 정보화 요구사항 파악 및 IT 계획 수립. IT 장비도입 기준수립
3. 현업 관리자 입장 : 비즈니스 프로세스 개선, 업무 변경에 따른 신속한 IT 지원
4. IT 운영 및 개발 인력 입장: 통합시스템 아키텍처 확보, 관리 지원
- 조직의 IT자산을 구조적인 방법으로 문서화하여 IT 투자에 대한 이해, 관리, 계획을 촉진
- 현재 상태와 최적화된 미래 상태를 표현 (로드맵)
- 가치를 창출하는 핵심 프로세스와 이를 지원하는 프로세스 관점에서 조직을 이해하려는 속성
- 점차 증가하는 IT와 기업 조직의 복잡성에 대응하며, IT와 비즈니스 전략과의 연계(전략적 연계)하며 IT 투자가 실질적인 이익을 제공하도록 노력(가치 제공)
'슈개's IT > CISA' 카테고리의 다른 글
[CISA_Domain 2] IT 거버넌스 및 관리3 (0) | 2020.12.21 |
---|---|
[CISA_Domain 2] IT 거버넌스 및 관리2 (0) | 2020.12.21 |
[CISA_Domain 1] IT 감사 프로세스2 (0) | 2020.12.21 |
[CISA_Domain 1] IT 감사 프로세스1 (0) | 2020.12.21 |
[CISA] 자격요건 및 시험출제영역 (0) | 2020.12.21 |