[정보보안] CISA 정보시스템 관리, 계획 및 조직 정리

 

 

* 품질관리

 

 

품질 : 어떤 실체가 가지고 있는 특성

 

품질관리 : 정보시스템 부서의 프로세스를 통제하고 측정하여 향상시키는 관리

 

프로세스 평가 : ISO 9000 시리즈 , CMM, SPICE

 

 

1>   ISO 9000, 2000시리즈

 

-       모든 산업에 품질관리 시스템에 관한 국제표준

-       ISO 9000 : 생산 및 서비스 업체의 품질 관리 시스템을 평가 및 개선

-       ISO 12207 : 표준 시스템 개발 수명 주기 정의

 

 

2>   CMM 모델

 

-       주요 프로세스에 대해 능력을 평가하여 조직에 대한 성숙도를 평가하는 모델

-       S/W 프로세스 성숙도를 판정하고 개선하기 위해 파악 및 전략 개선

-       대규모 사업 적합

-       최종 산출물 평가에 소요되는 노력 절감

 

 

3>   SPICE 모델

 

-       프로세스 개선을 위해 현재 상태를 파악하거나 이 프로세스의 적합성을 판단하기 위해 ISO에서 개발한 표준 모델

-       대규모, 소규모 사업에 둘 다 적용 가능

-       CMM과 달리 프로세스 별 성숙도 평가 가능

 

 

* 제품 평가 : ISO 9126, ISO 14598

 

 

1>   ISO 9126 : S/W 품질 특성, 척도

 

-       품질 특성 체크 : 기능성, 신뢰성, 사용성, 효율성, 유지보수성 (변경 용이한지?), 이식성

 

 

2>   ISO 14598 : 제품 평가로 구체적인 프로세스 표준 정의

 

 

 

 

정보시스템 조직 구조 & 책임

 

 

l  라인 관리구조 / 프로젝트 관리구조

 

 

1>   라인 관리구조 : 유지보수, 자원운영, 일상 운영 업무 (반복적, 연속적)

 

-       시스템 개발담당 관리자 : 프로그래머와 시스템 분석가 책임

 

-       사용자 지원담당 : IS 부서와 최종 사용자 중재

 

-       기술 지원 담당 : 시스템 프로그래머 책임

 

-       운영 관리자 : 운영 관련 직원 책임

 

-       데이터베이스 관리자 : 데이터베이스 시스템 유지관리 (무결성)

 

-       데이터 관리자 : 데이터 아키텍쳐 책임, 데이터 자산 관리 임무

 

-       품질보증 관리자 : 시스템 개발 활동

 

-       보안 관리자 : 물리적 / 논리적 보안 책임

 

 

 

2>   프로젝트 관리구조 : 일시적, 시스템 개발 업무

 

-       자원(비용, 인원, 납기)에 품질이 보장되는 서비스 구현

 

 

 

*  IS팀 부서 역할

 

-       정보처리 : 주로 운영업무

 

-       시스템 개발 : 응용 시스템 개발 및 유지보수 업무 (시스템 분석, 응용 프로그래밍)

 

-       감사 : 소규모 부서의 경우 운영/개발 직무분리가 부족하면 보완통제 여부 식별

 

 

 

*  데이터 입력

 

-       데이터 통제 부서 책임

 

-       온라인 데이터 입력은 입력되는 시점에서 입력 부서 관리자 책임

 

-       입력데이터 검증 : 범위검사, 숫자-문자 체크, 한도 체크, 사전에 정의된 유효 값의 체크

 

-       라이브러리안 : 데이터 통제 관리자에 보고, TMS(자동화 테이프 관리 시스템) 사용,

 

-       통제그룹 : 입력 데이터의 수집, 전환, 통제 책임 / 출력대사 / 독립된 장소 위치 /

                      정보처리부서 내의 운영 관리자에 보고

 

-       운영 : 정보처리설비 (IPF) / 운영 부서 인원만이 정보처리설비에 접근 필요 / IPF 담당임원 보고

 

-       데이터 보안 : 물리적 보안 / 보안 관련 교육 및 처벌 / 논리적 보안

 

 

 

 

l  감사증거

 

-       관찰된 프로세스 및 물리적 항목 존재 : 오프사이트 저장소 저장 매체 재고

 

-       문서화된 감사 증거 : 데이터 추출 결과

 

-       진술 : 피감사인의 주장 (시스템 흐름도, 성문화 or 구두로 표현된 정책과 절차)

 

-       분석 : 과거 기간과 비교한 IS 벤치마킹

 

 

 

*  테스트 방식

 

-       준거성 테스트 : 속성 샘플링

 

-       실증 테스트 : 변량 샘플링

 

-       신뢰 수준 = 1 – 위험수준 (역 관계)

 

-       정도가 커지면 표본의 크기 감소

 

-       샘플링 구간 = 모집단 크기 / 표본의 크기

 

** 표본의 크기가 커지면 샘플링 구간은 감소

 

-       상세한 샘플링 프로세스는 ‘작업조서’ 에서 문서화 (감사 보고서 X)

 

 

 

*  감사위험 : 감사인이 감사의견을 잘못 표명할 위험

 

-       통제위험 : 내부통제가 오류를 시기 적절하게 예방하거나 탐지 못할 위험

 

-       탐지위험 : 감사인이 감사 절차를 잘못 수행하여 잘못된 결론을 내릴 위험 (실증 테스트)

 

-       샘플링 위험 : 표본이 모집단을 잘못 대표할 위험

 

 

-       통화 단위 샘플링 : 변량 샘플링 + 속성 샘플링 (대상 단위에 따라 결정)

 

-       기대오류는 주관적 판단으로 속성 샘플링과 관련있다.

 

-       감사헌장은 주로 내부감사 / 감사보고서는 주로 외부 감사

 

 

 

* 감사절차 단계

 

A.     감사대상 조직과 산업의 이해 : 법규 식별하고 내용 검토

 

B.      내부 통제 구조 이해 : 통제환경과 내용 검토

 

C.      통제 테스트 : 준거성 테스트로 운영상의 적절성 검토 (내부통제구조 미흡 시 패스)

 

D.     실증 테스트 : 분석적 검토 절차 + 상세 테스트

 

E.      감사보고서 작성 및 보고

 

 

 

* 소프트웨어 통제

 

 

- 헤더 레이블 체크 : 테이프나 디스크에 있는 파일의 헤더 레이블을 식별하여 파일의 작성 수행을 보장하는 완전성 통제

 

- 트레일러 레이블은 파일의 끝을 표시

 

- 체크 디지트 : 주민번호와 같이 식별 번호에 일정 산식에 따라 도출된 체크 디지를 포함시키는 통제

 

(데이터 정확성 검증 - 응용통제)

 

 

 

<참고 개념>

 

-       정보보안정책 개발 감독 부서 : 영업부서

 

-       스냅샵 : 컴퓨터 자원감사기법의 하나 , 이미지를 포착

 

-       표준 유틸리티 : 소프트웨어 패키지 내에 상주하며, 패키지를 설치하기 위해 사용되는 파라미터 상태들의 명세