반응형
하드웨어 처리 방식
- 멀티태스킹(Multitasking) : 둘 이상 프로그램 동시 수행
- 마이크로 프로세서(Microprocessor) : 1개의 칩, 1개의 CPU
- 멀티 프로세서(Multi-processor) : 2개 이상의 CPU
- 멀티 코어 프로세서(Multi-Core Processor) : 1개의 칩, 여러개의 CPU
- 멀티 쓰레딩(Multi Threading) : 단일 프로세스 내 다수 작업 수행
- 그리드 컴퓨팅(Grid Computing) : 고성능 서버자원 상호 공유(P2P, 클러스터링)
프록시 서버(Proxy Server)
- 사용자와 자원사이 중간 링크 제공
- 사용자 대신하여 서비스에 접근하며 직접접근하는것 보다 빠르며 안전
- 우회 경로 및 Cache 기능 제공
RFID 무선 주파수 식별장치
- Passive Tag : 전원을 Reader로부터 공급받음
- Active Tag : 자체 배터리 존재, 많은 양 저장 가능
하드웨어 도입
- 필요한 업무 사이즈 정리
- 구입하게 될 HW 용량 산정
- 제안서 작성 후 벤더에게 배포
- 사양서 및 업체 평가 기준은 RFP 혹은 ITT 형태로 제공
- 업체 선정 기준은 RFP와 함께 배포
- 감사인의 역할
- 도입 과정이 비즈니스 필요에 의해 시작됐는가
- 필요에 의해 HW요구사항이 명세서에 반영됐는가
- 여러 공급업체가 고려됐는가
- 업체의 비교가 기준에 맞게 수행됐는가
- HW 유지보수의 감사인의 역할
- 공식적인 유지보수 계획이 작성되고 관리자에 의해 승인됐는가
- 비용의 적절성 확인
- 비용 과다의 원인 : 절차 미준수, HW 노후화 > 적절한 조사 및 후속 조치 필요
하드웨어 용량 관리
- 핵심 비즈니스 요구사항 중 하나
- 과거의 경험에 의한 실증적인 예측과 기존 사업의 성장, 미래 확장성까지 포함되어 용량 산정
- 최소 연 단위로 재조사 또는 갱신되어야 한다.
변경 관리 프로세스
- 개발 및 유지보수가 수행되는 테스트 환경에서 수행되는 QA환경으로 최종적으로 실행환경으로 응용의 이동을 통제하기 위해 IS 관리자에 의해 수립
- 목적 : 발생한 변경으로부터 유발될 가능성이 있는 인시던트의 부정적인 영향을 최소화 하는 것
- 확인해야할 사항
- 문서 최신화
- 테스트 결과가 사용자와 프로젝트 관리자에 의해 검토 및 승인됐는가
- 데이터 정확성 및 완전성이 현업부서에 의해 검토 및 승인됐는가
- 전환 적업에 있어 모든 사항이 통제/운영 요원에 의해 검토 및 승인됐는가
- 필요한 경우 롤백계획 개발 필요
QA(Quality Assurance)
- 통제에 따라 시스템의 변경이 승인, 테스트, 운영환경에 구현됐는지 확인
- 사전 정의가 안됐거나 테스트 실패에 대해 관리자에게 보고
인터페이스
- 시스템 인터페이스 : 하나의 App의 출력이 다른 App의 입력으로 전달되는 과정에서 사람의 개입이 없는 인터페이스
- 사용자 인터페이스 : 사람의 개입이 필요한 인터페이스
최종 사용자 컴퓨팅(End User Computing)
- 컴퓨터 SW를 활용하여 최종 사용자가 자신의 정보시스템을 설계/구현하는 것
- 장점
- 응용시스템의 빠른 구축 / 확산
- 신속한 대응
- 단점
- 에러 내포 가능
- 보안성 결여, 백업 미생성
- 위험
- 허가 : 시스템 접근에 관한 절차 부재
- 인증 : 사용자 인증 부재
- 감사 로그 : 표준 수준 감사로그 불가능
- 암호화 : 민감 데이터 내포가능
데이터 거버넌스 및 관리
- 비즈니스 달성을 위한 우선순위 식별 및 의사결정을 통해 데이터/정보 관리 방향 정립
- 상호 협의된 방향과 목표에 대해 성과 모니터링
- 데이터 품질 요구사항
- 고유성 / 연관성(관련성) / 보안(접근성)
- 감사인의 역할
- 조직의 사업목적에 부합하도록 지원
- 표준을 사용하여 처리했는가
- 정보자산들이 사업 목적과 일관성있게 구성됐는가
가상화
- 호스트 가상화 : 기존 OS에 가상OS 추가
- 베어메탈 가상화 : 서버 물리적 자원에 가상 OS 추가
유틸리티 프로그램
- App의 정상적인 처리와 시스템의 안정적인 운영을 위해 필요한 일상적인 작업을 수행하는 시스템 소프트웨어
- eX) 정렬, 백업, 데이터 삭제
- 시스템 소프트웨어는 엄격하게 통제되어야 하며 Admin 권한이 있을 경우 보안 우회도 가능하다.
- 감사인은 관리자가 시스템을 운영할 수 있는 범위를 확인해야 한다.(슈퍼 계정 등)
SW 라이선스 유형
- 오픈 소스 : GNU, 소스코드 및 SW 배포 가능
- 프리 웨어 : SW만 가능, 소스코드 배포 불가(어도비)
- 쉐어 웨어 : 기능 제한, 사용 시기 제한
데이터베이스 아키텍처
- 스키마
- 데이터 구조를 표현하는 데이터 객체, 속성, 관계에 대한 정의와 제약조건 포함
- 외부 스키마(서브 스키마)
- 사용자, 응용 프로그래머 접근 가능
- 개인의 사용자를 위한 뷰(사용자를 위한 개체와 관계만 표시)
- 개념 스키마
- 모든 응용에 대한 전체적으로 통합된 데이터 구조
- 개체, 관계, 제약조건, 보안정책, 무결성 규칙 등 DCL 명세
- 내부 스키마
- DB에 저장되는 방법 명세
- 개념 스키마에 대한 저장 구조 정의
데이터베이스 종류
- 계층형 데이터베이스
- 1:M 관계, 저장 공간 절약, 데이터 중복 가능성 존재
- 네트워크형 데이터베이스
- M:N 관계, 많은 저장공간 필요, 수정 및 재구성 어려움
- 관계형 데이터베이스
- 중복 최소화, 무결성 보장, 동시접근 가능
- 단점 : 비효율적
- 객체지향형 데이터베이스
- 재사용성, 확장성
- 단점 : 복잡성
- 비SQL형 데이터베이스
- 커지는 DB에 대응, BIG data
- 문서지향적
- 단점 : DB 사이즈 증가
체크포인트
- 시스템 장애 후 작업 흐름에서 자료 손실과 복구 노력을 최소화 할 수 있는 시점을 재개하기 위한 DB 체크포인트
- 잦은 체크포인트는 시스템 성능을 떨어트리므로 간격 고려 필요
반응형
'IT > Audit' 카테고리의 다른 글
CISA Domain 5 정보보안, 데이터의 분류, 생체 인증, BYOD (0) | 2023.02.05 |
---|---|
CISA Domain 4 BCP, BIA, 통제 종류, 2차 사이트, OSI (0) | 2023.02.05 |
CISA Domain 3 애자일 개발, BPR, CASE, CMM, EDI (0) | 2023.02.05 |
CISA Simple 23 Questions (0) | 2023.02.05 |
CISA Domain 3 프로젝트, PERT, 개발절차 (0) | 2023.02.02 |