반응형
Val IT v2.0
- 가치 거버넌스 : 투자의 결과, 모니터링 체계 수립
- 거버넌스, 모니터링, 통제 프레임워크 수립
- 투자 전략 방향 제시
- 투자 포트폴리오 특성 정의
- 포트폴리오 관리
- 프로젝트 우선순위, 자금 관리, 자원관리
- 전략 목표 연계, 최적화된 가치 제공
- 투자 관리
- 프로그램 계획, 비즈니스 케이스, 모니터링
- 사업사례 개발, 프로그램 관리, 이익 실현
IT 포트폴리오 관리
- 기업이 지속적으로 투자해야할것, 감축해야할것 관리
- 위험 프로파일 분석
- 비즈니스 목적과 지속적인 연계
- 투자 조정에서 신속성 제공
- IT BSC도 투자 결정에서 비전과 전략의 사용을 강조하지만, 예산 운영의 감독과 통제가 목적은 아니다.
정책의 수립 방향
| 정책 수립 방법 | 하향식 | 상향식 |
| 정책 수립 순서 | 상위 수준부터 수립 | 하위 수준부터 수립 |
| 장점 | 일관성 | 비용효과적, 실용성 |
| 단점 | 비 현실적 | 정책간 불일치, 상충 발생 |
정보보호 정책
- 상위 수준 정보보호 정책 : 기밀성, 무결성, 가용성
- 데이터 분류 정책
- 접근 통제 정책
- 사용 허가 정책(Acceptable Usage Policy) : 모든 정보자원에 대해 기업이 허가하는 내용
- 최종 사용자 컴퓨팅 정책 : 사용자가 사용하는 App의 파라매터와 사용법 기술
위험 관리
- 경영목적을 달성하기 위해 정보자산에 대한 취약성 식별
- 위험을 수용가능한 수준으로 감속하기 위한 대책을 결정
- 책임 : 고위 경영진과 업무 관리자
- Risk = Asset(Value) * Vulnerability * Treat (가치 x 취약성 x 위협)
- Risk = Impact * Probability (영향 x 가능성)
위험 대응
- 회피 : 특정 활동을 하지 않거나 원인을 제거
- 전가 : 보험, 계약 합의
- 경감(완화) : 적절한 통제 정의
- 수용 : 공식적으로 위험 인식 후 모니터링만 수행
- 거부(무시) : 위험을 거부
위험 분석 기법
- 정성적 방법
- 위험의 영향과 발생 가능성을 단어/서술 위험등급으로 사용
- ex) 체크리스트 / (상/중/하) 등급
- 기법
- 델파이 기법 : 전문가들로 그룹
- 질문서 법 : 질의응답, 답변을 통해 책임 소재 확인
- 시나리오 법
- 정량적 방법
- 위험의 영향과 발생 가능성을 수치로 표현(객관적)
- 다양한 데이터와 통계 기법 사용(과거 기록, 경험, 실무관행,,)
- 위험을 숫자(화폐 등)으로 표시
- 주로 BIA에 사용
- 문제점 : 정보자산의 가치 평가 중 동일한 자산에 다른 가치가 계산될 수 있다.
인적 자원 관리
- 채용
- 신원 조회
- 비밀 유지 서약, 보안 서약서(AUP, Acceptable Usage Policy)
- 신원 보증(절도/실수/태만으로 손실 보전 목적)
- 재직
- 이해 상충 회피 서약(사적인것도 있으면 안되며, 채용부터 퇴직까지 적용)
- 퇴직
- 경쟁업체 입사 금지 서약
- 비공개 협약(NDA, Non Disclosure Agreements) : 회사 이익에 위반한 걸 말할 수 없다.
- 교차 훈련
- 특정 업무나 절차를 여러명이 수행
- 업무 의존도를 낮춰 업무 백업을 도움
- 직무 순환
- 다른 사람이 그 직무를 수행
- 부정이나 악행 위험 감소
- 부정 적발 통제
- 공모 사슬 제거
- 강제 휴가
- 위법 발생 기회 감소(예방 통제)
- 위법 행위 발견 가능성 높임(공모가 없다면)
- 퇴사 정책
- 비자발적 퇴사는 반드시 퇴사자가 회사 밖을 나갈 때 까지 직원이 함께 동행
- 퇴사 즉시 ID/PW 삭제/철회
- 계정 정리가 안되고 있다면 정기적으로 일괄 삭제 후 확인
- 급여 파일에서 퇴사자 삭제(참조 무결성)
아웃소싱
- 외부 업체의 성과에 대해 통제 책임 : 고객사 CIO
- 외부 업체에 대한 감사
- 계약과 서비스 수준이 적합한지 검토
- 외부 업체 감사보고서를 정기적으로 제출하도록 요구
- 고객사에서 감사인이 주기적으로 감사를 수행할 수 있도록 허용
- SAS 70 Type II (Statement on Auditing Standard 70) : 아웃소싱 공급업체에 대한 감사인 지침
클라우드 컴퓨팅 보안의 위협
| 특징 | 위험 및 설명 | 통제 |
| 국제간 데이터 이동 | 법제 차이, 개인정보 보호조치 위반 | 암호화 전송, 국제간 법 준수 강화 |
| 물리적 보안 | CSPs(Cloud Service Provides)가 물리적 인프라 접근 가능 | CSPs가 ISO, SOX, Hippa 등 인증 취득 권장 |
| 데이터 처리 | 비인가된 노출, 계약 만료 시 데이터 파기 상태, 기밀성 손상 | 기술상세정보 요구, 파기 조치 확인 |
| 다중 임대 및 분리 실패 | 물리적 리소스 동적 할당 가능 | 데이터 프라이버시 통제활동 요구 SLA에 명시 |
반응형
'IT > Audit' 카테고리의 다른 글
| CISA Domain 3 프로젝트, PERT, 개발절차 (0) | 2023.02.02 |
|---|---|
| CISA Domain 2 품질관리, 성과 최적화, 대체 사이트 (0) | 2023.02.01 |
| CISA Domain 2 거버넌스, 위원회, 전략 기획 (0) | 2023.01.30 |
| CISA Domain 1 SOX, COBIT, COSO (0) | 2023.01.28 |
| CISA Domain 1 감사 방법, 샘플링, 테스트, 통제 (0) | 2023.01.28 |
