IT/Audit

CISA 합격 후기

안녕하세요 CISA합격하게 되어 자격증을 준비하시는분들에게 도움이 되면 좋을것 같아 후기를 올립니다. ​ 저는 회사를 다니면서 공부를 병행했으며 주간에는 퇴근 후 3시간 주말에는 8시간씩 공부했습니다. 하지만.. 공부를 열심히 했어도 13점 차이로 첫시험에서 아쉽게 떨어졌습니다. ​ 지금 돌이켜 보았을때 두가지 이유였던것 같습니다. 먼저, 같은 문제를 너무 많이 풀어서.. 문제만 봐도 답이 뭔지 알고있었다는 것입니다. 같은 문제를 풀어도 답이되는것 외에도 답이 아닌것은 왜 답이 아닌지 하나하나 모두 본인이 직접 찾아가며 이해를 해야 하는것이 중요했죠. ​ 두번째로, 합격자들의 후기를 늦게 본것입니다. 이건 중요하다고 생각한것이 이를 통해 공부 방법을 합격자들의 공부 방법을 알고 공부 효율 높게 가져가시는..

2023. 2. 13. 15:27

IT/Audit

CISA Domain 5 전력 통제, 환경 통제, 클라우드 통제, 방화벽, IDS, PKI

전력 불안정 유형 전력의 손실(Power loss) 폴트 (Fault) : 순간적인 파워 손실 블랙아웃 (Blackout) : 완전한 파워 손실 = 전압이 0(태풍, 지진 등) 대안 : UPS, 발전기, 대체 전력 공급원 전력의 감소(Power Degradation) 세그 (Sag) : 순간적인 전압 하강 브라운아웃 (Brownout) : 계속적인 저전압 = 전자기기 노후화 대안 : 자동 전압 조정기 전력 초과(Power Excess) 스파이크 (Spike) : 순간적인 전압 상승(번개) 서지 (Surge) : 계속적인 고전압(데이터 유실/파손, 하드웨어 물리적 손상 야기) 대안 : 서지 보호기, Power Line Conditioner 환경적 노출에 대한 통제 습기 탐지기 Raised Floor 밑과 ..

2023. 2. 5. 22:47

IT/Audit

CISA Domain 5 정보보안, 데이터의 분류, 생체 인증, BYOD

정보보안의 목적 기밀성, 무결성, 가용성 확보 사업 요구 충족 비용 절감(노출, 변경, 파괴로 인한 손실 예방 조직의 사업 요구사항을 달성하기 위한 보안 목표(ISO 27001) 기밀성 노출 인가된 사용자만 접근 위협 : 스니핑, 숄더 서핑 통제 : VPN, 암호화 무결성 변경 인가된 사용자만 변경(정확성, 완전성) 위협 : 해커, 트로이, 바이러스, 백도어 통제 : 직무 분리(혼자 다하지 않게), 접근 통제, 동시성 통제 가용성 파괴 자산이 적절한 시기에 인가된 사용자에게 접근 위협 : 도스, 통신 방해 통제 : 백업, 클러스터링, Fault Tolerant 책임 추적성 시스템 거래에 대한 책임 소재와 책임 부여 감사인의 인지사항 보안 목적과 사업 목적 일치하는지 보안 관련 사항은 고위급 경영진 레벨에..

2023. 2. 5. 22:30

IT/Audit

CISA Domain 4 BCP, BIA, 통제 종류, 2차 사이트, OSI

사업 연속성 계획(BCP, Business Continuity) 서비스 중단 상황에서도 조직이 핵심적인 서비스를 계속 할 수 있도록하고 재해가 발생해도 조직이 생존할 수 있도록 함 궁극적인 책임 : 고위 경영진 복수 계획 가능하며 단일 계획으로 통합될 필요는 없으나 상호 일관성이 필요하다. 사본은 오프사이트에 보관(핵심 의사결정권자 자택/미러드 웹사이트) 프로세스 핵심 프로세스 식별 기업의 전반적인 목표를 언급한 공식적인 경영정책에 의해 지원 개발/테스트/유지 업무와 관련된 인원에게 권한 부여 위험 평가(Risk management 일환) 핵심 프로세스 기반으로 위험 평가 Risk = Impact x Possibility 위험 평가로 다음을 식별 핵심 프로세스를 지원하는 인원/데이터/인프라 식별 취약점 ..

2023. 2. 5. 22:02

IT/Audit

CISA Domain 4 HW도입, EUC, 라이선스, DB

하드웨어 처리 방식 멀티태스킹(Multitasking) : 둘 이상 프로그램 동시 수행 마이크로 프로세서(Microprocessor) : 1개의 칩, 1개의 CPU 멀티 프로세서(Multi-processor) : 2개 이상의 CPU 멀티 코어 프로세서(Multi-Core Processor) : 1개의 칩, 여러개의 CPU 멀티 쓰레딩(Multi Threading) : 단일 프로세스 내 다수 작업 수행 그리드 컴퓨팅(Grid Computing) : 고성능 서버자원 상호 공유(P2P, 클러스터링) 프록시 서버(Proxy Server) 사용자와 자원사이 중간 링크 제공 사용자 대신하여 서비스에 접근하며 직접접근하는것 보다 빠르며 안전 우회 경로 및 Cache 기능 제공 RFID 무선 주파수 식별장치 Passi..

2023. 2. 5. 21:36

IT/Audit

CISA Domain 3 애자일 개발, BPR, CASE, CMM, EDI

프로토타입 개발 일회적(수평 프로토타입) : 설계를 위한 초기 시제품 개발 진화적(수직 프로토타입) : 초기 시제품으로부터 살을 붙혀가며 개발 속성응용개발 RAD(Rapid App Dev) 전략적으로 중요하고 기능적으로 분명한 시스템을 신속하게 개발하는것을 목표 낮은 비용과 높은 품질을 유지하는것을 지향 대규모 시스템에는 적절하지 않다. 시간제약 두어 타임박스 기법 사용 JAD(Joint App Dev) 개발자와 사용자가 분석 및 설계를 위한 워크샵을 공동 수행하고 긴밀하게 공조 진화적 프로토타입을 적용해 신속하게 1차 결과물 품질을 향상 애자일개발 RAD처럼 시스템 핵심부품부터 신속하게 개발하는것을 중시 RAD와 차이점은 기술 환경의 변화에 민첩하게 대응하는것을 강조 ex) XP, 스크럼, 크리스탈, ..

2023. 2. 5. 20:59