IT/Audit / / 2023. 1. 31. 08:12

CISA Domain 2 Val IT, 위험 관리, 인적 자원 관리

반응형

Val IT v2.0

  • 가치 거버넌스 : 투자의 결과, 모니터링 체계 수립
    • 거버넌스, 모니터링, 통제 프레임워크 수립
    • 투자 전략 방향 제시
    • 투자 포트폴리오 특성 정의
  • 포트폴리오 관리
    • 프로젝트 우선순위, 자금 관리, 자원관리
    • 전략 목표 연계, 최적화된 가치 제공
  • 투자 관리
    • 프로그램 계획, 비즈니스 케이스, 모니터링
    • 사업사례 개발, 프로그램 관리, 이익 실현

IT 포트폴리오 관리

  • 기업이 지속적으로 투자해야할것, 감축해야할것 관리
    • 위험 프로파일 분석
    • 비즈니스 목적과 지속적인 연계
  • 투자 조정에서 신속성 제공
  • IT BSC도 투자 결정에서 비전과 전략의 사용을 강조하지만, 예산 운영의 감독과 통제가 목적은 아니다.

 

정책의 수립 방향

정책 수립 방법 하향식 상향식
정책 수립 순서 상위 수준부터 수립 하위 수준부터 수립
장점 일관성 비용효과적, 실용성
단점 비 현실적 정책간 불일치, 상충 발생

 

정보보호 정책

  • 상위 수준 정보보호 정책 : 기밀성, 무결성, 가용성
  • 데이터 분류 정책
  • 접근 통제 정책
  • 사용 허가 정책(Acceptable Usage Policy) : 모든 정보자원에 대해 기업이 허가하는 내용
  • 최종 사용자 컴퓨팅 정책 : 사용자가 사용하는 App의 파라매터와 사용법 기술

위험 관리

  • 경영목적을 달성하기 위해 정보자산에 대한 취약성 식별
  • 위험을 수용가능한 수준으로 감속하기 위한 대책을 결정
  • 책임 : 고위 경영진과 업무 관리자
  • Risk = Asset(Value) * Vulnerability * Treat (가치 x 취약성 x 위협)
  • Risk = Impact * Probability (영향 x 가능성)

위험 대응

  • 회피 : 특정 활동을 하지 않거나 원인을 제거
  • 전가 : 보험, 계약 합의
  • 경감(완화) : 적절한 통제 정의
  • 수용 : 공식적으로 위험 인식 후 모니터링만 수행
  • 거부(무시) : 위험을 거부

위험 분석 기법

  • 정성적 방법
    • 위험의 영향과 발생 가능성을 단어/서술 위험등급으로 사용
    • ex) 체크리스트 / (상/중/하) 등급
    • 기법
      • 델파이 기법 : 전문가들로 그룹
      • 질문서 법 : 질의응답, 답변을 통해 책임 소재 확인
      • 시나리오 법
  • 정량적 방법
    • 위험의 영향과 발생 가능성을 수치로 표현(객관적)
    • 다양한 데이터와 통계 기법 사용(과거 기록, 경험, 실무관행,,)
    • 위험을 숫자(화폐 등)으로 표시
    • 주로 BIA에 사용
    • 문제점 : 정보자산의 가치 평가 중 동일한 자산에 다른 가치가 계산될 수 있다.

인적 자원 관리

  • 채용
    • 신원 조회
    • 비밀 유지 서약, 보안 서약서(AUP, Acceptable Usage Policy)
    • 신원 보증(절도/실수/태만으로 손실 보전 목적)
  • 재직
    • 이해 상충 회피 서약(사적인것도 있으면 안되며, 채용부터 퇴직까지 적용)
  • 퇴직
    • 경쟁업체 입사 금지 서약
    • 비공개 협약(NDA, Non Disclosure Agreements) : 회사 이익에 위반한 걸 말할 수 없다.
  • 교차 훈련
    • 특정 업무나 절차를 여러명이 수행
    • 업무 의존도를 낮춰 업무 백업을 도움
  • 직무 순환
    • 다른 사람이 그 직무를 수행
    • 부정이나 악행 위험 감소
      • 부정 적발 통제
      • 공모 사슬 제거
  • 강제 휴가
    • 위법 발생 기회 감소(예방 통제)
    • 위법 행위 발견 가능성 높임(공모가 없다면)
  • 퇴사 정책
    • 비자발적 퇴사는 반드시 퇴사자가 회사 밖을 나갈 때 까지 직원이 함께 동행
    • 퇴사 즉시 ID/PW 삭제/철회
      • 계정 정리가 안되고 있다면 정기적으로 일괄 삭제 후 확인
    • 급여 파일에서 퇴사자 삭제(참조 무결성)

아웃소싱

  • 외부 업체의 성과에 대해 통제 책임 : 고객사 CIO
  • 외부 업체에 대한 감사
    • 계약과 서비스 수준이 적합한지 검토
    • 외부 업체 감사보고서를 정기적으로 제출하도록 요구
    • 고객사에서 감사인이 주기적으로 감사를 수행할 수 있도록 허용
      • SAS 70 Type II (Statement on Auditing Standard 70) : 아웃소싱 공급업체에 대한 감사인 지침

클라우드 컴퓨팅 보안의 위협

특징 위험 및 설명 통제
국제간 데이터 이동 법제 차이, 개인정보 보호조치 위반 암호화 전송, 국제간 법 준수 강화
물리적 보안 CSPs(Cloud Service Provides)가 물리적 인프라 접근 가능 CSPs가 ISO, SOX, Hippa 등
인증 취득 권장
데이터 처리 비인가된 노출, 계약 만료 시 데이터 파기 상태, 기밀성 손상 기술상세정보 요구, 파기 조치 확인
다중 임대 및 분리 실패 물리적 리소스 동적 할당 가능 데이터 프라이버시 통제활동 요구
SLA에 명시

 

 

반응형
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유