CISA Domain 3 애자일 개발, BPR, CASE, CMM, EDI

 

프로토타입 개발

• 일회적(수평 프로토타입) : 설계를 위한 초기 시제품 개발
• 진화적(수직 프로토타입) : 초기 시제품으로부터 살을 붙혀가며 개발

속성응용개발 RAD(Rapid App Dev)

• 전략적으로 중요하고 기능적으로 분명한 시스템을 신속하게 개발하는것을 목표
• 낮은 비용과 높은 품질을 유지하는것을 지향
• 대규모 시스템에는 적절하지 않다.
• 시간제약 두어 타임박스 기법 사용

JAD(Joint App Dev)

• 개발자와 사용자가 분석 및 설계를 위한 워크샵을 공동 수행하고 긴밀하게 공조
• 진화적 프로토타입을 적용해 신속하게 1차 결과물 품질을 향상

애자일개발

• RAD처럼 시스템 핵심부품부터 신속하게 개발하는것을 중시
• RAD와 차이점은 기술 환경의 변화에 민첩하게 대응하는것을 강조
  • ex) XP, 스크럼, 크리스탈, 적응적 소프트웨어 개발

역공학

• 문서화 안되어 있는 시스템의 분석에 적용
• 비슷한 시스템 개발하기 위해 정보 사용

재공학

• 설계 및 프로그램 요소 추출(역공학에 의한) 및 재사용하여 기존 시스템을 변경하는 작업
• 시스템 방식이나 구현에 변화를 통해 개선할 때 사용
• 조직의 CASE 도구로 사용하는 기회로 사용

BPR(Business Process Re-engineering)

• 업무 공정을 급격하고 대대적으로 재설계하여 극적으로 생산성을 향상시키는 경영기법
• 업무 공정을 분할한 후 각 단위 가치를 계산하여 가치가 없거나 낮은 공정을 삭제하거나 통합
• 직무 분리와 예방 통제가 완화되는 위험이 있고 일반적으로 IT 솔루션의 도입을 수반
• 감사인의 역할
  • BPR을 하며 핵심 통제 장치가 제거될 위험이 있기 때문에 제거되었다면 영향도 확인 필요

---

벤치마킹 프로세스

• 계획(Plan) : 벤치마킹 핵심 프로세스 식별
• 연구(Research) : 벤치마킹 대상 조직 기본 조사, 조직 식별
• 관찰(Observer) : 대상 방문, 수집
• 분석(Analyze) : GAP 분석
• 적용(Adapt) : 전략/계획 수립
• 개선(Improve) : 지속적 개선

비상 변경 관리

• 특별한 로그ID로 비상 시 실제 운영환경에 접근 허용
• 비상용 ID의 속성상 사용 현황 기록, 감시
• 비상 조치는 사건의 발생한 시점에 조치하고 사후에 정상 통제 준수

CASE(Computer Aided Software Engineering) 도구

• 소프트웨어 개발 전체 과정 중 산출물의 품질과 생산성 향상을 위한 자동화 도구
• 다이어그램 작성, 코드 생성,  프로토타입 제작, 중앙 저장소 등 지원
• 효과
  • SDLC 표준 확립
  • 요구사항 변경 신속 대처
  • 사용자 참여 증가
  • 개발 속도 증진
  • 모듈 재사용성 증대
• 문제점
  • 표준 부재
  • 교육과 숙련과정없이 단기적 성과 어려움
• 상위(Upper) CASE Tool
  • 계획(Plan), 수명주기 분석 요구사항 설계 단계 지원
• 중위(Middle) CASE Tool
  • 프로세스 흐름(Flow), 화면 및 보고서 양식, DB 구성
• 하위(Lower) CASE Tool
  • 프로그램 코드(Code), DB 정의
• 통합 CASE Tool
  • 개발공정 모든 단계 통합적 지원
  • 데이터 모형화부터 응용 개발까지 코드 생성 지원

---

입력 통제

• 입력 승인
  • 배치 처리 : 사용자 부서에서 작성한 원시문서에 서명, 선택 옵션 제한
  • 온라인 거래 : 강력한 인증 및 접근 통제하며 전자서명 승인, 거래는 식별번호 부여
• 배치 통제 및 비교
  • 배치 처리 : 배치 통제 합계
    • 문서 합계 : 접수된 원시 문서의 전체 개수로서 거래 합계라고도 함
    • 항목 합계 : 각 거래에 포함된 거래 대상의 총 개수
    • 금액 합계 : 모든 거래를 처리할 경우 지출의 전체 합계
    • 해시 합계 : 원시 문서에 사전부여한 일련 번호 또는 식별 번호 합계
  • 키 검증 : 하나의 문서를 서로 다른 직원이 각각 입력하고 비교
• 입력 통제 기법
  • 온라인 거래 입력 : 거래 일지(트랜잭션 로그) 자동작성 (백업도 중요)

입력 값 확인

• 순서 검사 : 일련번호 확인
• 한도 검사 : 입력값 상하한 값
• 범위 검사 : 입력값 상하한 값에 존재하는지
• 합리성 검사 : 이미 밝혀진 조건에 충족하는지 (부품 개수 20개 이상이면 초과 오류)
• 논리적 관계 검사 : 참인 조건으로부터 충족여부 (입사일자는 생년월일보다 최소 18년 이후)
• 유효성 검사 : 데이터 필드가 가질 수 있는 값 (성별은 남과 여)
• 테이블 검색 : 필드가 가질 수 있는 값을 지정 (우편번호는 테이블 내에서만 검색)
• 존재성 검사 : 사전 정의한 조건과 일치 (유효 거래처 코드에서만 선택)
• 체크 디지트 : 계좌번호나 주민번호의 정확성 체크, 마지막 숫자는 무결성 검증 체크 번호
• 완전성 검사 : 필수 입력값이 빠진 경우
• 중복 검사 : 새로 입력한 값이 이미 존재하는 값인지 체크

처리 통제

• 수작업 계산
• 실행간 합계(Run to Run) : 처리 단계마다 데이터 합계를 계산한 후 다음 이전에 계산한 합계와 일치하는지 지속적으로 검증
• 프로그램 통제 : 오류 적발 프로그램 로직 구현
• 예외 보고서 : 잠재적 오류를 포함하고 있는 거래를 식별 및 보고
• 파일 합계 조정 : 파일 합계를 주기적으로 계산하고 비교하여 차이를 조정

데이터 통제

• 사전 사후 이미지 : 거래 추적과 DB 복구에 사용
• 일-대-일 체크 : 각 문서와 처리 결과 리스트를 일일이 대조 확인
• 패리티 체크 : 전송상 무결성 확인

---

IT인프라 개발 및 획득

1. 물리적 아키텍처 분석
   • 기존의 서버, 저장장치, 보안 통제 대책 등 물리적 아키텍처를 검토
   • 제약요소 파악
   • 보안 요구사항 파악
   • 이 과정 중 개념검증(POC), 즉 채택된 IT인프라가 기능 및 보안 요구사항을 충족하는지 검증
2. 입찰 요청서(ITT : Invitation to Tender)의 전달
   • 먼저 업체 선정기준과 입찰 제안서를 잠재적 공급자에게 전달
   • ITT에는 정보처리, 보안, 하드웨어, 시스템 소프트웨어 등에 대한 요구사항 포함
3. 견적서 평가 및 업체 선정
   • 견적서를 평가하여 소스 업체 선정
   • 최종 업체와 합의하고 SLA 문서화
4. 구현 계획 및 구현
   • 계약서와 SLA체결 후 납품일정 결정
   • 구현 후 테스트 계획 수립
5. 변경 통제
   • 새로운 요소 도입으로인한 비용/편익 분석 및 영향/위험 평가를 거쳐 적절한 변경 승인
   • 변경사항에 대한 당사자들에게 적절히 통보

능력 성숙도 모델(CMM, Capability Maturity Model)

• 1단계 (초기) : 표준화된 프로세스 / 문서 없음
• 2단계 (반복) : 특정 프로세스에 한해 프로세스 작동
• 3단계 (정의) : 문서화되고 프로세스 잘 정의
• 4단계 (관리) : 품질 측정/통제, 수준 예측 가능
• 5단계 (최적) : 지속적 개선, 프로세스 자동화

라이브러리 통제

• 개발 및 테스트 라이브러리리 : 개발자들만 접근
• 소스코드 : 라이브러리안 / 변경통제 담당자 접근
• 목적코드 : 라이브러리안 / 운영 및 사용자 접근

전자 문서 교환(EDI)

• 구축하려면 업체간 교환 약정 / 네트워크 약정 먼저 체결
• 거래 주문과 처리과정에서 수작업 데이터 입력 최소화 가능