[CISA_Domain 2] IT 거버넌스 및 관리3

[CISA_Domain 2] IT 거버넌스 및 관리3

 

※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.

 

10. 정보시스템 조직 구조와 책임

* 정보 처리 설비 (IPF, Information Process Facility)

- 컴퓨터 주 전산기, 주변 기기, 자기 매체 및 매체에 수록된 데이터 등

- IPF 내에서 분리형 매체에서 유지 관리되는 모든 데이터와 프로그램들을 기록, 반출, 회수하고 안전하게 보관

​

* DBA(Database Administration) - CISA 제일 포커싱 집중감사!

- DBA에 대한 통제: 모든 데이터에 접근할 수 있는 권한이 있기 때문에

 1. 직무의 분리

 2. DBA 작업내역에 대한 경영진의 승인

 3. 모든 활동은 로깅하고, 접근 기록 및 활동들에 대한 감독자의 검토 - 적발통제

 4. 갱신 및 동시성 통제. 무결성 손상 예방

​ 5. 백업과 복구를 정의, 시행하는 것은 DBA의 책임

* 라이브러리안

- 라이브러리 통제 소프트웨어를 사용하면 프로그램 버전 통제 및 프로그램 구성 관리에 도움이 됨

- 컴퓨터 테이프 및 디스크로 관리되는 모든 프로그램과 데이터 파일의 사용과 회수 및 보관 및 기록을 책임짐

​- 프로그래머 : 개발라이브러리 테스트라이브러리 

- 운영 : 소스코드 라이브러리, Obj 목적코드 라이브러리(프로덕션, 운영)

• 라이브러리란 소스를 보관하는 장소를 의미함

  

 

품질 관리자 != 설계/개발/유지보수 != 운영 -> 겸할 수 없음

DBA = 보안관리자 = 품질관리자 != 개발(시스템분석가/설계/유지보수) !=  운영 

 

 

 

 

 

 

11. IT 거버넌스 구조와 이행에 대한 감사

* IS 감사사의 주안점 - 문제의 징후(문제가 터질 가능성이 높아)

- 비호의적인 최종 사용자의 태도 (싸가지가 없네?)

- 과도한 원가 ( cost/benefit 적절하지 않네?)

- 예산 초과 ( cost/benefit 적절하지 않네?)

 

- 프로젝트의 지연 (지연되면 추가적인 리소스가 생김)

- 직원의 높은 이직률 (제일 중요한 자원이 왜 이직을 할지?)

- 경험이 없는 직원들 (채용 잘못했음)

 

- HW/SW 구매 (미지원 및 미승인된 구매)

- HW/SW 빈번한 업글 / 오류

 

- 사용자의 과다한 요청 (사용자 요구사항이 잘 반영 안됐음)

- 느린 컴퓨터 반응시간

- 개발 프로젝트 중 중단/연기가 많다

 

- 비정상적으로 많은 예외사항 보고서

- 예외 사항 보고서가 사후관리 되지 않음

 

- 낮은 동기부여

- 미흡한 승계계획 (Succession plan)

 

- 한 두명의 핵심 요원에게 의존 (훗날, 업무 가용성 떨어짐)

- 적절한 교육훈련의 부족

 

 

* IS 감사사의 문서 검토

• 경영진이 생각한대로 작성되었고 승인한 것인가?

• 현재의 것(최신화)이고 계속 업데이트되고 있는가?

1. IT 전략, 계획 및 예산 (적절한 전략, 계획, 예산인지?)

• BSP & ISP

2. 보안정책문서 (정책이 잘 작성, 이행되고 있는지?)

• 정보보안정책 & CEO 승인

3. 조직도/기능도: 보고계통과 책임의 분담 파악(책임추적성). 기능의 분리 정도 판단

• 직무기술서

4. 직무 기술서 (조직내 직무의 기능과 책임을 정의)

• 책임, 권한, 해명책임성

 

5. 운영위원회 보고서

• IT전략위원회 & IT운영위원회

6. 시스템 개발 및 프로그램 변경 절차(개발, 변경관리, 형상관리)

 

7. 운영 절차(운영 응급상황시 대처는?)

 

8. 인사관리 매뉴얼 

 

9. 품질 보증 절차(품질이 보증되는지?)

 

10. 시스템 개발 방법론 문서

 

11. 기능설계 사양서: 

• 응용시스템에 대한 상세설명, 핵심 통제 포인트 이해/기록

12. 프로그램 변경 문서: 

• 모든 변경에 대한 승인 받은 증거 제시. 소스코드와 교차비교

13. 사용자 매뉴얼

 

14. 기술참조 문서: 벤더로부터 구입한 응용시스템에 대한 기술 메뉴얼.

• 벤더에서 구입한 SW시스템에 대한 매뉴얼

• AWS구매한 기술 매뉴얼 > 커스텀했는가?