IT/Audit / / 2023. 2. 5. 21:36

CISA Domain 4 HW도입, EUC, 라이선스, DB

반응형

하드웨어 처리 방식

  • 멀티태스킹(Multitasking) : 둘 이상 프로그램 동시 수행
  • 마이크로 프로세서(Microprocessor) : 1개의 칩, 1개의 CPU
  • 멀티 프로세서(Multi-processor) : 2개 이상의 CPU
  • 멀티 코어 프로세서(Multi-Core Processor) : 1개의 칩, 여러개의 CPU
  • 멀티 쓰레딩(Multi Threading) : 단일 프로세스 내 다수 작업 수행
  • 그리드 컴퓨팅(Grid Computing) : 고성능 서버자원 상호 공유(P2P, 클러스터링)

프록시 서버(Proxy Server)

  • 사용자와 자원사이 중간 링크 제공
  • 사용자 대신하여 서비스에 접근하며 직접접근하는것 보다 빠르며 안전
  • 우회 경로 및 Cache 기능 제공

RFID 무선 주파수 식별장치

  • Passive Tag : 전원을 Reader로부터 공급받음
  • Active Tag : 자체 배터리 존재, 많은 양 저장 가능

 

하드웨어 도입

  • 필요한 업무 사이즈 정리
  • 구입하게 될 HW 용량 산정
  • 제안서 작성 후 벤더에게 배포
    • 사양서 및 업체 평가 기준은 RFP 혹은 ITT 형태로 제공
    • 업체 선정 기준은 RFP와 함께 배포
  • 감사인의 역할
    • 도입 과정이 비즈니스 필요에 의해 시작됐는가
    • 필요에 의해 HW요구사항이 명세서에 반영됐는가
    • 여러 공급업체가 고려됐는가
    • 업체의 비교가 기준에 맞게 수행됐는가
  • HW 유지보수의 감사인의 역할
    • 공식적인 유지보수 계획이 작성되고 관리자에 의해 승인됐는가
    • 비용의 적절성 확인
      • 비용 과다의 원인 : 절차 미준수, HW 노후화  > 적절한 조사 및 후속 조치 필요

하드웨어 용량 관리

  • 핵심 비즈니스 요구사항 중 하나
  • 과거의 경험에 의한 실증적인 예측과 기존 사업의 성장, 미래 확장성까지 포함되어 용량 산정
  • 최소 연 단위로 재조사 또는 갱신되어야 한다.

변경 관리 프로세스

  • 개발 및 유지보수가 수행되는 테스트 환경에서 수행되는 QA환경으로 최종적으로 실행환경으로 응용의 이동을 통제하기 위해 IS 관리자에 의해 수립
  • 목적 : 발생한 변경으로부터 유발될 가능성이 있는 인시던트의 부정적인 영향을 최소화 하는 것
  • 확인해야할 사항
    • 문서 최신화
    • 테스트 결과가 사용자와 프로젝트 관리자에 의해 검토 및 승인됐는가
    • 데이터 정확성 및 완전성이 현업부서에 의해 검토 및 승인됐는가
    • 전환 적업에 있어 모든 사항이 통제/운영 요원에 의해 검토 및 승인됐는가
    • 필요한 경우 롤백계획 개발 필요

 

QA(Quality Assurance)

  • 통제에 따라 시스템의 변경이 승인, 테스트, 운영환경에 구현됐는지 확인
  • 사전 정의가 안됐거나 테스트 실패에 대해 관리자에게 보고

인터페이스

  • 시스템 인터페이스 : 하나의 App의 출력이 다른 App의 입력으로 전달되는 과정에서 사람의 개입이 없는 인터페이스
  • 사용자 인터페이스 : 사람의 개입이 필요한 인터페이스

 

최종 사용자 컴퓨팅(End User Computing)

  • 컴퓨터 SW를 활용하여 최종 사용자가 자신의 정보시스템을 설계/구현하는 것
  • 장점
    • 응용시스템의 빠른 구축 / 확산
    • 신속한 대응
  • 단점
    • 에러 내포 가능
    • 보안성 결여, 백업 미생성
  • 위험
    • 허가 : 시스템 접근에 관한 절차 부재
    • 인증 : 사용자 인증 부재
    • 감사 로그 : 표준 수준 감사로그 불가능
    • 암호화 : 민감 데이터 내포가능

데이터 거버넌스 및 관리

  • 비즈니스 달성을 위한 우선순위 식별 및 의사결정을 통해 데이터/정보 관리 방향 정립
  • 상호 협의된 방향과 목표에 대해 성과 모니터링
  • 데이터 품질 요구사항
    • 고유성 / 연관성(관련성) / 보안(접근성)
  • 감사인의 역할
    • 조직의 사업목적에 부합하도록 지원
    • 표준을 사용하여 처리했는가
    • 정보자산들이 사업 목적과 일관성있게 구성됐는가

가상화

  • 호스트 가상화 : 기존 OS에 가상OS 추가
  • 베어메탈 가상화 : 서버 물리적 자원에 가상 OS 추가

유틸리티 프로그램

  • App의 정상적인 처리와 시스템의 안정적인 운영을 위해 필요한 일상적인 작업을 수행하는 시스템 소프트웨어
    • eX) 정렬, 백업, 데이터 삭제
  • 시스템 소프트웨어는 엄격하게 통제되어야 하며 Admin 권한이 있을 경우 보안 우회도 가능하다.
  • 감사인은 관리자가 시스템을 운영할 수 있는 범위를 확인해야 한다.(슈퍼 계정 등)

SW 라이선스 유형

  • 오픈 소스 : GNU, 소스코드 및 SW 배포 가능
  • 프리 웨어 : SW만 가능, 소스코드 배포 불가(어도비)
  • 쉐어 웨어 : 기능 제한, 사용 시기 제한

데이터베이스 아키텍처

  • 스키마
    • 데이터 구조를 표현하는 데이터 객체, 속성, 관계에 대한 정의와 제약조건 포함
  • 외부 스키마(서브 스키마)
    • 사용자, 응용 프로그래머 접근 가능
    • 개인의 사용자를 위한 뷰(사용자를 위한 개체와 관계만 표시)
  •  개념 스키마
    • 모든 응용에 대한 전체적으로 통합된 데이터 구조
    • 개체, 관계, 제약조건, 보안정책, 무결성 규칙 등 DCL 명세
  • 내부 스키마
    • DB에 저장되는 방법 명세
    • 개념 스키마에 대한 저장 구조 정의

 

데이터베이스 종류

  • 계층형 데이터베이스
    • 1:M 관계, 저장 공간 절약, 데이터 중복 가능성 존재
  • 네트워크형 데이터베이스
    • M:N 관계, 많은 저장공간 필요, 수정 및 재구성 어려움
  • 관계형 데이터베이스
    • 중복 최소화, 무결성 보장, 동시접근 가능
    • 단점 : 비효율적
  • 객체지향형 데이터베이스
    • 재사용성, 확장성
    • 단점 : 복잡성
  • 비SQL형 데이터베이스
    • 커지는 DB에 대응, BIG data
    • 문서지향적
    • 단점 : DB 사이즈 증가

체크포인트

  • 시스템 장애 후 작업 흐름에서 자료 손실과 복구 노력을 최소화 할 수 있는 시점을 재개하기 위한 DB 체크포인트
  • 잦은 체크포인트는 시스템 성능을 떨어트리므로 간격 고려 필요
반응형
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유