[정보보안] CISA 개념 정리 (1) - 정보시스템 감사 프로세스

 

 

* CISA (Certified Information Systems Auditor) 자격

 

- '정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격'

- 시험문제 : 150문항

 

 

* 학습 요령

 

- 감사자의 시각으로 접근, 감사 파트, IT 거버넌스 등 개념, 용어 암기

- 전체적으로 흐름 파악

- 출제 예상유형 문제 반복 풀이

 

 

* CISA 관련 상세 정보는 공식 CISA 홈페이지 내용 참고하시기 바랍니다.

 

-> http://www.isaca.or.kr/info/cisa.asp

(사)한국정보시스템감사통제협회 ISACA 자격제도

 

<예문> 네트워크 토폴로지 중에 가장 비용이 저렴한 형은? 

a. 스타형 b. 버스형 c. 메쉬형 d. 링형

 

 

Chapter 1> 정보시스템 감사 프로세스 (Information System Audit Process)

 

1. 정보시스템 감사기준 및 가이드라인

2. 감사, 위험 및 통제의 개념

3. 정보시스템 감사 수행 절차

4. 샘플링 기법 활용

5. 컴퓨터지원 감사 기법 (CATT)

6. 자가통제평가 (CSA)

7. 기업지배구조

 

* 감사 : 통제가 효과적이고 효율적인인지 검증하여 개선을 권고

 

* 감사헌장

감사에 대한 전반적인 권한, 책임, 범위 명시

최고경영자 승인 필요

변경은 잘 안함.

 

* 감사계획 

매년 마다 경영환경이나 기술 변화에 따라 정기적으로 변경 및 평가

단위 감사계획 : 감사 프로그램 (감사 일정, 자원 계획, 감사인력과 역할 계획)

 

* 감사계획절차

목표, 프로세스, 기술 이해 -> 위험 분석 -> 내부 통제 -> 감사 범위 및 목적 수립 -> 감사 방법 및 전략 개발

 

-> 감사로 비즈니스 이해를 위해서는 이전 감사보고서 검토가 가장 좋다.

 

* 감사인 기준

 

1> 독립성

- 조직상 독립성 : 팀이나 조직 상의 관계 제외

- 외관상 독립성 : 이해관계 제외

- 태도상 독립성 : 자세나 능력이 있어야함 (몸 컨디션)

 

-> 위의 감사인으로 독립성과 감사증거로 제 3자의 증거 선택과 프로젝트에서는 참여가 아닌 검토, 조언으로 독립성 유지 필요.

 

2> 적격성

- 통제와 감사절차 지식과 전문적인 기술과 판단력 필요

- 부족할 경우 교육이나 전문가 아웃소싱

 

* 정보시스템 감사 개념

1. 자산 : 보호해야하는 대상 (시설, 기술, 데이터, 시스템, 인력 등등)
2. 위협 : 외부로부터 행위나 원인 (인재, 시스템 오류, 자연재해, H/W & S/W 결함, 조직 관리 위협, 절차 위협)
3. 노출 : 의도하지 않게 발생한 결과나 현상 (적당한 수준까지의 노출단계로 관리하기 위해 가성비 고려)
4. 위험 : 의도하지 않게 발생할 가능성이나 확률 (위험 확률로 예방을 위한 규모 측정)

* 위험평가 프로세스 : 정보자산 파악 -> 위협과 자산 취약성 파악 -> 취약성 분석 -> 통제, 보안 파악

* 위험 대응 방법 : 회피(위험 제거), 이관(책임 이동), 완화(통제로 빈도나 위험정도 감소), 수용

 

  5. 통제 : 예방, 탐지, 교정 (통제를 통해 손실 비용 최소화)

 

예방통제 :  사전에하는 통제, 에러 발생 방지 (인증, 업무분장, 물리적 통제, S/W로 통제)

탐지통제 : 로그나 장비, 솔루션 통해 오류 발견 (IDS, 에코통제, 강제휴가 등)

교정통제 : 백업이나 솔루션으로 문제, 오류 조치 (IPS, 계획수립, 백업절차, 직무순환, 훈련) 

 

통제는 정책과 절차에 의한 일반통제와 시스템에 의한 응용통제가 있다.

유형으로는 기본 통제에 더 강한 통제를 하는 보완통제와 강한 통제에서 더 강한 통제를 하는 중복통제가 있다.

 

-> 감사자는 통제 실패 발견하면 우선 상위에 먼저 보고하고, 다른 보완통제가 있는지 확인해보는 것이 좋다.

 

* 내부통제 (내부회계통제, 운영통제, 관리통제)

- 내부통제 책임 : 최고경영자, 이사회 책임

- 내부통제 충분 : 합리적인 확신 제공 (비용 > 효과 비용 : 통제 포기)

- 내부통제 감사 관계 : 내부통제 상황에 따라 감사의 강도나 범위 결정

 

  6. 우회 : 통제를 피해 위협

 

 

* 감사방법 순서

1. 감사 대상/목적 파악
2. 범위 파악
3. 계획수립
4. 절차 및 자료 수집
5. 테스트 또는 검토결과 평가
6. 감사보고서 준비

* 감사방법

1. 컴퓨터 내부감사 
- 프로그램 로직 조사
- 상세하고 광범위 테스트

2. 컴퓨터 주변감사 
- 입출력 자료 검사
- 비용 효과적

3. 컴퓨터 활용감사 
- 데이터 무결성과 일관성 확인


* 감사방법 순서

1. 감사 대상/목적 파악
2. 범위 파악
3. 계획수립
4. 절차 및 자료 수집
5. 테스트 또는 검토결과 평가
6. 감사보고서 준비


* 위험기반 감사 접근법 : 위험이 좀 있어도 살펴보고, 위험만 검사하지 않고 기업이랑 비즈니스를 적용해서 접근합니다.

- 지속적 감사 프로세스 적용
- 기업 비즈니스 이해로 내부 및 운영 통제 고려
- 비용 이익 분석


* 위험기반 감사접근법 절차

감사인 정보 수집 및 계획 -> 내부통제 이해 -> 준거성 테스트 -> 실증 테스트 -> 감사 종결


* 감사위험

정보/회계 보고서가 오류 포함할 위험 및 감사인이 오류 적발 못할 위험입니다.

* 감사위험 종류

- 고유위험 : 중대 오류 존재할 위험, 현금성

- 통제위험 : 내부통제에 의해 예방, 탐지 안될 위험

- 적발(탐지)위험 : 감사인의 통제 가능한 위험, 감사자가 잘못 판단할 위험


- AR = IR * CR* DR
감사위험 = 고유위험 x 통제위험 x 적발위험


* 목표감사위험
감사의 효율성을 감안하여 감사위험 수준 결정


- 준거성 테스트 [= 속성 샘플링]
했냐 안했냐 확인한다.

* 통제절차 준수여부 확인

재실행, 관찰, 면담, 검사, 질의
현행 소스코드 통제 비교
시스템 로그 비교
프로그램 변경 인가 확인


- 실증 테스트 [= 변량 샘플링]
어떻게 하고잇냐 확인

통제절차로 처리 결과의 무결성 정확성 확인
분석적 검토와 상세테스트
재무제표 금액 확인
테이프 라이브러리 재고 조사


- 내부통제 적절
- 준거 강화 실증 약화

- 내부통제 부적절
- 준거 약화 실증 강화

* 감사증거의 요건

- 감사증거 : 감사인의 검토한 내용의 증거입니다.

- 감사요건 : 목적적합성, 신뢰성, 충분성, 유용성

- 방법 : 조직구조, 문서화 표준, 관계 담당자 면담, 프로세스 관찰 


* 샘플링 기법

- 모집단으로 부터 선정 기준에 따라 검토하여 결론 도출
- 통계적 샘플링 : 객관적, 정량화
- 비통계적 샘플링 : 주관적

* 속성 샘플링 : 모집단 내 해당 선정기준 발생 비율 추정

* 준거성 테스트에 사용

- 빈도측정
- 순차샘플링 : 빠른 시점에서 나타나면 중단
- 색출샘플링 : 하나라도 오류이면 중단, 위험도 높은 기준
- 변량샘플링 : 모집단 내 측정 단위를 추정

* 실증테스트에 사용

- 층화샘플링 : 몇개의 그룹 모집단에서 추출
- 비층화샘플링 : 표본 평균으로 기대 합계 예상
- 차이추정 : 감사된 값과 장부값 차이 추정