[CISA_Domain 2] IT 거버넌스 및 관리1

[CISA_Domain 2] IT 거버넌스 및 관리1

 

※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.

 

 

* 기업 거버넌스

- 규제 요건 및 사회적 책임이라는 제약 하에서 조직이 운영되도록 하면서

- 이해관계자의 가치를 증대시키기 위한 기회를 활용

​

 

* IT 거버넌스 (이사회와 고위 경영진의 책임)

- 기업 거버넌스 목적달성을 위해서 IT를 어떻게 연계해서 목적달성할 것인가?

  > 기업 거버넌스(부)-IT거버넌스(모)

 

- 거버넌스(평가,지휘,모니터링) + 매니지먼트(=관리)(기획,구축,운영,모니터링)

 

- 비즈니스와 IT간의 연계를 통해 비즈니스 가치를 달성. 위험 관리.

 

- 목적 : 가치창출 (이익실현 + 위험 최적화 + 자원 최적화+ 평가BSC)

 

- 효익 : 조직이 정보를 최대한 활용하여, 최대의 이익을 얻고, 기회를 이용하여 경쟁우위를 얻도록 함.

 

- 기업 거버넌스의 한 영역으로, 기업 내에서 IT를 어떻게 적용할 것인지를 고려하는 현안들의 집합체로 구성

 

- 5가지 중점 영역 (중요)

1. 전략적 연계 : 경영계획과 IT계획의 상호 연계, 운영 연계

• 경영레벨에서 전략-> IT와 연계(도입-운영-모니터링)

2. 가치 제공 : 비용을 최적화해서, IT가 전략상 약속한 이익 제공

3. 자원 관리 : 핵심 IT자원(응용-사람-정보-인프라)에 최적 투자와 적절한 관리

4. 위험 관리 : 고위 경영진의 위험 인식

5. 성과 측정 : BSC 기반으로 성과측정

​

 

* 정보보호 거버넌스( IT거버넌스의 > 정보보호거버넌스 > IT정보보호 ) : 

• 권한 위임: CISO(정보보호 최고책임자) 정보보호의 

• 책임: 이사회와 고위경영진

- 통합(Integration)의 정의 : 프로세스가 의도한 대로 운영됨을 보증하기 위해 괸련된 모든 보증 요소들을 함치는 개념

- 기업의 가치 창출에 도움이 되는 비즈니스 활동을 지원

- 6가지 산출

   1. 전략적 연계

   2. 위험관리

   3. 가치 창출(전달)

   4. 성과 측정

   5. 자원 관리

   6. 프로세스 통합 : 전반적인 보호와 운영 효율성 개선

- 이사회/고위경영진 : 정책/모니터링/측정지표 승인, 리더십, 솔선수범, 전파

 

- 고위 경영진 : 리더십과 지속적인 지원 제공. 비용효과적인지, 비즈니스 목표와 연계되어있는지 결정

 

- 운영위원회 : 기업 내에 확산. 우선순위와 합의 도출. 의사소통채널(보안팀 vs. 사용자부서) 역할.

 

- 정보보호 최고책임자 CISO(Chief Information Security Officer) : 최고 경영진의 수준으로 확대. 법적 책임과 연결

 

​* BI(Business Intelligence)

1. 기업 데이터 수집 > 정리 > 분석 > 활용(효율적인 의사 결정 제공)

2. 기업 경영에서 방향  설정 역할

 

​* BI(Business Intelligence) 필요성

1. 현재 비즈니스는 복잡성/규모 커짐

2. 기술력을 키워 경쟁적 우위를 차지하자 

3. 기술 사용시, 법적인 요구사항을 잘 준수해야함 [국제협약 EU GDPR] 중요

4. 빅데이터 > 데이터마이닝 > 경영진에 필요한 정보, 고객관련 정보 등

5. CISA는 많은 양의 데이터 활용(개인정보)을 감사하면서 특히 EU GDPR과 관련된 이슈를 확인하려면 어딜 봐야 하는가? BI 구성을 확인하자

* 사업 연속성과 재해복구계획

- BIA(Business Impact Analysis, 비즈니스 영향분석) 

 => BIA를 통해 중단비용과 지속적인 업무기능 유지를 고려하여 핵심적인 것이 무엇인지 이해하는 절차 수행​(지켜야할 핵심 업무가 뭐니?)

 

- BCP(Business Continuity Plan, 기업연속성계획)​(중요한 업무는 ON)

 => 복구 순서와 시간대를 결정하고 기술과 방법을 결정

 

- DRP(Disaster Recovery Plan, 재해복구계획)

- RTO(Recovery Time Objective, 복구목표시간) : 

운영이 중단된 상황, 허용가능한 업무중단시간

 

- RPO(Recovery Point Objective, 복구목표시점) : 

운영이 중단된 상황, 허용가능한 손실데이터(백업 기간 설정 지표임)

 

- CSR(Corporate Social Responsibility, 기업의 사회적 책임)

​

3. 엔터프라이즈 IT 거버넌스

* IT 거버넌스 감사의 역할

- 컴플라이언스(법규 및 규정 준수)를 모니터 하는 주체로서

- 수행된 IT 거버넌스 플젝의 품질향상을 위해 선도적인 사례를 경영진에게 추천

- IT 거버넌스 추진과제의 결과를 준수하도록 도움

- 이를 위한 정성적인 평가에서의 독립적이고 균형적인 시각이 필요

​

* IT전략위원회 (이사회 레벨 사람들) - 현재/미래 전략적 IT문제초점 / 생각해냄

비즈니스 측면에서의 IT개발 타당성

비즈니스 목표와 IT연계, 전략적 IT 목표 성취

전략 관련 관리 방향 제시

​

* IT운영위원회 (경영자 레벨 사람들) - 전략위 생각을 기반으로->직접 뛰어다님

프로젝트 기획/예산 승인, 

적절한 자원 할당 검토 및 승인

기업의 고위경영진이 정보시스템 조직의 기능과 관련 활동을 감독

 

구성원: IT 관련 위험과 이슈를 이해하고 있는 이사회의 멤버가 위원회의 의장

=> 두 위원회의 모든 활동과 결정사항은 공식적인 의사록이 유지 관리 되어야 한다.

 

IS 감사인의 관점: 

=> IT 운영위원회는 각 부서로부터 적절한 관리 정보를 받고 있는가?

=> 이 정보로 자원을 효과적으로 조정/모니터링 하는가?

=> 위원회는 정기적인 회의 소집+ 고위 경영진(CEO)에게 보고를 수행하는가?

=> 회의록 유지 관리는 잘되는가?

​

* 정보 전략 기획(ISP, Information Strategic Planning)

비즈니스 프로세스를 개선하기 위해 정보기술(정보시스템)에 투자하는 장기적인 방향성

하드웨어, 소프트웨어, 네트워크

​

 

* IT BSC(IT Balanced ScoreCard, IT 균형성과표)

 1. 경영진의 이사회 보고 수단 성립

 2. 핵심 이해 당사자 간 IT전략적 목표에 대한 합의 촉진

 3. IT의 효과성 + IT가 창출한 가치를 증명

 4. IT 성과 / 위험 / 역량 등에 대한 의사소통 제공

- 조직의 전략을 

1. 1.재무 2.고객 3.내부프로세스 4.학습과성장 등의 4가지 관점의 

2. 측정 가능한 핵심성과지표(KPI)로 전환하여 관리함으로써 균형성과관리(성과측정 영역)를 실현

- 전사수준에서 구축된 전략 및 성과 지표 [부서>팀>개인] 레벨로 하향 전개

- 조직의 전략을 공유하기 위해 수단화/구체화한 것.

 

- 학습과 성장 -> 비즈니스 프로세스 향상 -> 고객만족 증대 -> 재무적 결과 증가

​

 

* EA(Enterprise Architecture, 전사적 아키텍처)

• 우리 회사 IT자산을 [구조화된-문서] 만듦

• [구조화된-문서]: 경영자가 보고 IT투자계획/ 관리하는데 도움을 줌

    -   EA 도입 목적

1. CEO/CIO 관점: 투자전략지원, IT 비용절감, IT 기반 혁신 지원

• 어디에 좀더 투자를 해야겠구나?

2. IT 기획자 입장: 신기술 및 표준 동향을 파악하여 정보화 요구사항 파악 및 IT 계획 수립. IT 장비도입 기준수립

3. 현업 관리자 입장 : 비즈니스 프로세스 개선, 업무 변경에 따른 신속한 IT 지원

4. IT 운영 및 개발 인력 입장: 통합시스템 아키텍처 확보, 관리 지원

- 조직의 IT자산을 구조적인 방법으로 문서화하여 IT 투자에 대한 이해, 관리, 계획을 촉진

- 현재 상태와 최적화된 미래 상태를 표현 (로드맵)

- 가치를 창출하는 핵심 프로세스와 이를 지원하는 프로세스 관점에서 조직을 이해하려는 속성

- 점차 증가하는 IT와 기업 조직의 복잡성에 대응하며, IT와 비즈니스 전략과의 연계(전략적 연계)하며 IT 투자가 실질적인 이익을 제공하도록 노력(가치 제공)