[CISA_Domain 2] IT 거버넌스 및 관리4
※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.
* 업체 선정 과정
-
(고객) 벤치마크, RFI를 통하여 정보를 수집 (고객) > (외주)
-
(고객) 계약 요구사항을 적어서 RFP 전달 (고객) > (외주)
-
(외주) 외주가 작성한 제안서 평가를 통하여 업체를 선정 (외주) > (고객)
1. RFI (Request for Information) (고객)
- RFP 작성 전에 일반적인 기술흐름이나 제품정보를 취합 목적
- 각종 기술에 대한 이해력 제고
- 프로젝트에 부적합한 공급업체를 일차적으로 선별할 수 있는 근거
2. RFP (Request for Proposal) (고객)
- 아웃소싱의 범위, 서비스 수준, 서비스 조건, 평가항목 등을 명시
- 제안서의 내용이 계약서에 포함됨을 명시: (외주) 제안서의 충실도 향상
- 제안 요청 설명회 : 벤더를 초청하여 제안 요청서의 내용에 대해 설명 및 질의답변을 통하여 제안 요청서를 검토하고 보완
- 구현 후 지원 및 유지보수를 위한 요구사항을 기술
3. Proposal (제안서: (외주)) 평가 , 업체 선정
- 제안서 접수 전에 RFP 평가항목에 대한 사전 검토/합의를 끝낸다.
=> 한 기업에 아웃소싱 하는 것이 최선이 아님.
=> 다수 기업에 의뢰하고 한 기업을 주사업자로 선정 가능. 동시계약도 가능.
[벤치마킹 절차]
0. 연구단계
- 어느 곳을 벤치마킹할지 식별
1. 계획수립단계
- 본인회사 조직의 현상을 파악, 벤치마킹 대상 선정, 대상에 기초정보를 수집
2. 관찰단계
- 벤치마킹 대상 방문, 조사
3. 분석단계
- 벤치마킹 대상과 본인회사의 Gap분석으로 개선안을 만들기
4. 적응단계
- 개선안을 적용
ITF Integrated Test Facility 통합 설비 시설
- 온라인 시스템 감사에 사용
- 실제 가동중인 컴퓨터에 실제 데이터, 테스트 데이터 보낸 결과 A, 예상결과 B를 대조함
주로 온라인 시스템의 감사에 사용하며 실시간 시험자료 법 이라고도 한다. 이것은 실제 가동중인 컴퓨터에 대하여 실제 데이터와 가공한 테스트 데이터를 보내서 미리 계산한 예상 결과와 대조함으로써 피감사 시스템의 타당성을 평가하는 방법. 이것은 컴퓨터 이용 감사의 한 방법으로 ini company법 또는 dummy company법이라고도 한다.
[완전성 검사] - 거래 처리상에 중복,누락 체크해줌(필수 입력 - 주민번호, 이름)
패리티 체크, 배치 헤더(헤더 파일 가장 첫부분 저장된 정보), 트레일러 레코드(트레일러는 파일 맨 끝부분에 저장된 정보)
Run to Run(실행 전/후 비교)
거래 로그
[정확성 검사]
체크디지트
합리성 체크
[체크디지트] - 정확성
데이터의정확성
체크디지트 (1자리)
스캐너에 의한 판독 오류를 방지하기 위해 만들어진 코드로, 바코드가 정확하게 구성되어 있는가를 보장해주는 컴퓨터 체크 디지트를 말한다.
상품번호
주민등록번호
계좌번호
[CASE 도구]
소프트웨어 개발 과정을 자동화하기 위한 도구
HIPO, SREM, PSL/PSA, EPOS 등이 있습니다.
-
상위 case : 요구사항 문서화
-
중위 case : 사용자 인터페이스 개발
[전송 메시지의 무결성 통제]
체크섬 checksum : 전송메시지 전송과정에서 무결성 통제 (가장 효과적인 통제)
패리티 체크, CRC : 전송 입력 통제
패리티 체크 : 전송 오류의 탐지에 사용됨 -> 전송메시지의 무결성 통제와 무관하지 않음, but 전송 과정에서 발생하는 전자적(기계적) 오류 찾기용 -> 오류발견시 송신장치에 다시보내~ 요청함. but, 해커가 중간에서 일부변조에서 전송해도 전자적(기계적) 오류만 없으면 통과할 수 있음
체크 디지트 : 계좌번호, 주민등록번호 정확성을 보증하기 위한 입력 통제가
-
배지 레지스터, 체크디지트, 키검증 : 입력통제
-
예외 보고서 : 처리통제
-
대조, 조정 : 출력 통제
-
체크섬, 패리티체크, CRC : 전송 통제
-
파일 갱신 : 파일 통제
12. 비즈니스 연속성 계획(BSP)
BCP/DRP/BIA
BSP > 전사적위험평가 > ISP
BIA > BCP/DRP
- BIA : BCP 전략수립의 가장 중요한 단계. 이후 위험대응책과 BCP 수립.
- BCP : 예방통제, 적발통제, 교정통제 등
- DRP : 재해 복구 계획. BCP 안에 DRP가 존재.
=> 책임은 고위경영진에게. 일관성이 중요.
* 테스트 비교표
종류 |
정보 처리 |
|
1차 사이트 |
2차 사이트 |
|
체크리스트 |
X 문서테스트 |
|
구조적 워크스루 |
||
모의실험 |
O |
X |
병행 테스트 |
O |
O |
완전 중단 테스트 |
X |
O |
* 준비도 테스트 (Preparedness Test) - 완전중단 테스트의 종류
- 전체 테스트의 일부만 테스트.
- 지사별/부서별 완전중단 테스트
- 계획이 얼마나 좋은지에 대한 증거를 점차적으로 입수하는 비용대비 효과적인 방법. 계획을 점진적으로 향상시킬 수 있는 수단을 제공
* 결과는 관찰을 근거로 하기 보다는 계량적으로 측정.
- 경과시간, 백업사이트에서 수행한 작업의 양, 요청 대비 실제 수량, 1,2차 사이트에서의 정확성 등
13. 비즈니스 연속성에 대한 감사
* IS 감사사의 감사 수행 내용
1.비즈니스 연속성 전략과 비즈니스 목적과의 연계성 이해/평가
2.비즈니스의 우선순위와 통제가 반영된 BIA의 발견사항 검토
3.BCP 검토와 BIA에서 정의된 RPO, RTO 기준과 계획의 적절성, 현재성 평가
4.테스트 결과 검토/효과성 검증 -> 테스트해보는게 짱임
5.오프사이트 저장소 검토하고 적절성 확인
6.보안 요구사항을 만족하는 백업 미디어 전송 방법
7.수립된 유지관리가 주기적으로 개정되는지 확인
8. BC(Business continue) 매뉴얼, 절차가 simple, easy 설명인지 확인, 관련자 인터뷰
9.중요한 비즈니스 활동을 지원하는 정보시스템의 아웃소싱 시에는 BCP/DRP에 아웃소싱을 반드시 포함시켜야함.
(중요시스템의 한 부분을 “외주” 주는 경우, BCP/DRP 반드시 포함)
* 클라우드 외주업체
-
외주에서 처리되는 정보에 대한 궁극적인 책임은 조직에 있음
-
클라우드 아웃소싱시 정보보호 책임은 전가되지 않음, 갑사가 궁극적인 책임
'슈개's IT > CISA' 카테고리의 다른 글
[CISA_Domain 3] 정보시스템 구입, 개발 및 관리2 (0) | 2020.12.21 |
---|---|
[CISA_Domain 3] 정보시스템 구입, 개발 및 관리1 (0) | 2020.12.21 |
[CISA_Domain 2] IT 거버넌스 및 관리3 (0) | 2020.12.21 |
[CISA_Domain 2] IT 거버넌스 및 관리2 (0) | 2020.12.21 |
[CISA_Domain 2] IT 거버넌스 및 관리1 (0) | 2020.12.21 |