[CISA_Domain 2] IT 거버넌스 및 관리2
※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.
4. 정보시스템 전략, ISP전략
* 경영전략(BS, Business Strategy)와 기업전략기획(BSP, Business Strategy Planning)
5. 성숙도와 프로세스 개선 모델
* CMM(Capability Maturity Model) 성숙도 모델
[성숙 수준 5단계]
Initial 초기 - 개발만 하는 수준. 프로세스 없음
[전혀 관리 안되고 있다]
Repeatable 반복 - 반복 수행. 비용, 일정, 기능성에 대한 추적이 이루어짐. 일정과 개발기간이 감소됨. 프로젝트를위한 프로세스가 존재
[OO방법론 사용/미사용 하는 곳도 있다]
Defined 정의 - 프로세스 작업이 정의되고 데이터에 의한 프로젝트 관리가 실행되며 프로세스가 계속적으로 진보하는 기초가 정립된 상태. 비용, 기능, 품질, 생산성. 조직을 위한 표준 프로세스가 존재
[정해져있다]
Managed 관리 - 프로세스의 데이터 수집이 자동화되고 데이터로 프로세스를 분석하고 수정함으로써 실질적인 품질개선, 포괄적인 프로세스 개선이 가능한 상태. 예측능력, 재사용, 품질관리
[정해져있고 교정까지 가능하다]
Optimizing 최적화 - 질적, 양적으로 큰 개선이 계속되는 상태에 도달하고 있는 수준. 비즈니스 통제, 변화 관리. 지속적인 프로세스 최적화
[항상 잘되어 있다]
6. IT 투자와 자원배분 실무
투자수익률 ROI(Return On Investment)
가치는 비용 대비 큰 효익일수록 가치가 증대됨.
* Val IT v2.0
1. 가치 거버넌스
-
투자의 결과
2. 포트폴리오 관리
-
전략짜기 > 투자하자 > 우선순위 높은것부터
3. 투자 관리
-
Business Case 사업사례 (요구사항분석 단계 작성)
-
프로그램 계획
- 핵심용어 : 프로젝트 > 프로그램 > 포트폴리오
7. IT 정책 및 절차
* 정책의 구체화
정책-표준-절차-지침-실무 (순서 기억하기)
8. 위험관리
위험 = 취약성 x 자산 x 위협 ( V A T )
Vulnerability x Asset x Theat
------------------------------------------------------------------------
* 위험 관리 프로세스
1. 정보자산 식별/분류
2. 위험분석/ 위험평가(정성,정량)
3. 조치(=대책, 대응, 통제)
4. 모니터링
5. 보고
위험 식별 ( 자산 식별 )
위험 평가 ( 정성적, 정량적 )
위험 대응
위험 모니터
------------------------------------------------------------------------
위험식별을 위해서는 자산 재고조사가 선행되어야 한다.
회피: 위험을 발생시킬 수 있는 프로세스나 활동을 하지 않음
(원인을 아예 제거를 해버려 위험을 없앤다)
경감(완화): 적절한 통제의 정의/구현/모니터링으로
위험의 발생 가능성과 영향을 줄임
전가: 보험, 아웃소싱
수용(감수):
위험의 존재를 인식하고 모니터링만 수행(감사인의 입장에서 주의할점)
무시(거부)
* 위험분석기법
- 정성적 분석 기법(주관적) :
단어 또는 서술형의 위험등급 (상/중/하). 주관적, 개인의 판단/경험/직관이 좌우.
+ 델파이 기법 (그리스 신화.. 전문가에 문의해서 답변받기)
+ 질문서 법
+ 시나리오 법
- 준 정량적 분석 기법 : 서술적 위험등급(정성적분석) + 수리적 척도(정량적분석)
- 정량적 분석 기법(객관적) : 수치로 표현. 객관적. 다양한 데이터와 통계 기법이 사용됨. 주로 사업영향분석(BIA, Business Impact Assessment)에 사용.
+ 문제점: 동일자산에 다른 가치가 계산될 가능성.
* 연간 손실 기대값 (ALE, Annual Loss Expectancy)
ALE = SLE(=AV x EF) x ARO
SLE(단위 손실 기대값, Single Loss Expectancy)
= AV(자산가치, Asset Value) X EF(노출계수, Exposure Factor)
SLE = AV x EF
ARO(연간 빈도수, Annual Rate of Occurrence)
* 통제대책(보호대책) 가치. (Safeguard value)
ex) Safeguard value 구해보기
DB value : 10억
해커에 의한 정보 유출 위협으로 인한 ALE : 5억
보안대책 수립 후 예상되는 ALE : 2억
해커에 대한 대비책으로 백신과 DB Security Program 설치/운영 비용: 1억/년
답: (5-2-1)=2억
* 정리
위험관리는 고위경영진 책임
정량적 위험관리 > 정성적 위험관리
연간 발생률이 낮더라도 위험영향이 큰 사건을 다룰때는 각별한 주의가 필요
9. 정보시스템 관리 실무
* 인적 자원 관리
-
직무분리(공모 발생)
-
직무분리가 너무 많으면 의사소통이 제한됨(팀이 너무많아..ㅠㅠ)
-
부자회사: 기능의 분리(직무 분리) 권고가능
-
작은회사: 보완통제 권고
-
직무순환(공모 사슬 제거) (주 업무 변경)
-
예방/적발/교정
-
교차훈련(주 업무 고정 / 보조 업무 경험)
-
업무의 연속성에 굿
-
강제휴가
-
부정행위 발생 기회를 줄이자(예방효과)
-
부정한 행위 발견가능성이 높음(단, 직원간 공모가 없다면)
- 직무순환: 아예 다른 업무로 주업무를 바꿈(교차훈련과의 차이). 변칙이나 부정을 발견할수 있는 기회 제공. 공모 사슬 제거 목적
- 교차훈련: 운영의 연속성 유지에 도움. 본업무를 하면서 다른 업무 훈련. 교차훈련과 직무순환을 통해 전체 시스템에 대해 모두 알게 될 경,
통제 우회 위험과 통제 취약점이 증가할 수 있음
- 강제휴가: 최소한 1년에 한번 해당 업무를 다른 사람이 수행. 부적절 행위를 발견할 수 있는 기회 제공.
- 퇴사 직원의 계정은 퇴사 결정이 이루어지면 바로 삭제한다. 퇴사한 후가 아니다.
* 직무기술서
* 직무명세서: 직무기술서의 내용 중 직무 수행 요건만을 상술한 문서.
-
직무기술서에 맞게 암묵적으로 접근할 곳에 합당하게 접근가능함
* 성과측정 지표
1. 핵심 성공 요소 (CSFs, Critical Success Factors)
2. 핵심 목표 지표 (KGI, Key Goal Indicator) [연초 측정]
3. 핵심 성과 지표 (KPI, Key Performance Indicator) : [연말 측정]
-
목표를 달성하는데 있어서 성과를 내고 있는지를 판단하는 척도
4. 성숙도 모델 (MM, Maturity Model)
-
부재
-
초기 (프로세스X)
-
반복 (유사한 절차 따름)
-
정의 (절차존재. 개인역량에 의존)
-
관리 (부단한 개선중.좋은 실무)
-
최적 (지속적 개선. 최선의 실무. 신속대응)
* 6 시그마 (Six Sigma)
- IT에 적합한 개선방법론
- 프로세스 개선과 불량감소에 초점을 둔 측정지향적 전략의 구현
- 6 시그마에서 불량이란 고객의 요구사항을 벗어나는 것
* IT BSC (Balanced Score card, 균형성과표)
- IT 기능이나 프로세스를 평가할 때 적용하는 프로세스 관리 평가 기법
* Benchmarking
- 최선의 방법을 알아내기 위해 동종업체 및 경쟁사와 성과를 비교하는 체계적인 방법
'슈개's IT > CISA' 카테고리의 다른 글
| [CISA_Domain 2] IT 거버넌스 및 관리4 (0) | 2020.12.21 |
|---|---|
| [CISA_Domain 2] IT 거버넌스 및 관리3 (0) | 2020.12.21 |
| [CISA_Domain 2] IT 거버넌스 및 관리1 (0) | 2020.12.21 |
| [CISA_Domain 1] IT 감사 프로세스2 (0) | 2020.12.21 |
| [CISA_Domain 1] IT 감사 프로세스1 (0) | 2020.12.21 |