[정보보안] CISA 개념 정리 (1) - 정보시스템 감사 프로세스
* CISA (Certified Information Systems Auditor) 자격
- '정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격'
- 시험문제 : 150문항
* 학습 요령
- 감사자의 시각으로 접근, 감사 파트, IT 거버넌스 등 개념, 용어 암기
- 전체적으로 흐름 파악
- 출제 예상유형 문제 반복 풀이
* CISA 관련 상세 정보는 공식 CISA 홈페이지 내용 참고하시기 바랍니다.
-> http://www.isaca.or.kr/info/cisa.asp
<예문> 네트워크 토폴로지 중에 가장 비용이 저렴한 형은?
a. 스타형 b. 버스형 c. 메쉬형 d. 링형
Chapter 1> 정보시스템 감사 프로세스 (Information System Audit Process)
1. 정보시스템 감사기준 및 가이드라인
2. 감사, 위험 및 통제의 개념
3. 정보시스템 감사 수행 절차
4. 샘플링 기법 활용
5. 컴퓨터지원 감사 기법 (CATT)
6. 자가통제평가 (CSA)
7. 기업지배구조
* 감사 : 통제가 효과적이고 효율적인인지 검증하여 개선을 권고
* 감사헌장
감사에 대한 전반적인 권한, 책임, 범위 명시
최고경영자 승인 필요
변경은 잘 안함.
* 감사계획
매년 마다 경영환경이나 기술 변화에 따라 정기적으로 변경 및 평가
단위 감사계획 : 감사 프로그램 (감사 일정, 자원 계획, 감사인력과 역할 계획)
* 감사계획절차
목표, 프로세스, 기술 이해 -> 위험 분석 -> 내부 통제 -> 감사 범위 및 목적 수립 -> 감사 방법 및 전략 개발
-> 감사로 비즈니스 이해를 위해서는 이전 감사보고서 검토가 가장 좋다.
* 감사인 기준
1> 독립성
- 조직상 독립성 : 팀이나 조직 상의 관계 제외
- 외관상 독립성 : 이해관계 제외
- 태도상 독립성 : 자세나 능력이 있어야함 (몸 컨디션)
-> 위의 감사인으로 독립성과 감사증거로 제 3자의 증거 선택과 프로젝트에서는 참여가 아닌 검토, 조언으로 독립성 유지 필요.
2> 적격성
- 통제와 감사절차 지식과 전문적인 기술과 판단력 필요
- 부족할 경우 교육이나 전문가 아웃소싱
* 정보시스템 감사 개념
- 자산 : 보호해야하는 대상 (시설, 기술, 데이터, 시스템, 인력 등등)
- 위협 : 외부로부터 행위나 원인 (인재, 시스템 오류, 자연재해, H/W & S/W 결함, 조직 관리 위협, 절차 위협)
- 노출 : 의도하지 않게 발생한 결과나 현상 (적당한 수준까지의 노출단계로 관리하기 위해 가성비 고려)
- 위험 : 의도하지 않게 발생할 가능성이나 확률 (위험 확률로 예방을 위한 규모 측정)
* 위험평가 프로세스 : 정보자산 파악 -> 위협과 자산 취약성 파악 -> 취약성 분석 -> 통제, 보안 파악
* 위험 대응 방법 : 회피(위험 제거), 이관(책임 이동), 완화(통제로 빈도나 위험정도 감소), 수용
5. 통제 : 예방, 탐지, 교정 (통제를 통해 손실 비용 최소화)
예방통제 : 사전에하는 통제, 에러 발생 방지 (인증, 업무분장, 물리적 통제, S/W로 통제)
탐지통제 : 로그나 장비, 솔루션 통해 오류 발견 (IDS, 에코통제, 강제휴가 등)
교정통제 : 백업이나 솔루션으로 문제, 오류 조치 (IPS, 계획수립, 백업절차, 직무순환, 훈련)
통제는 정책과 절차에 의한 일반통제와 시스템에 의한 응용통제가 있다.
유형으로는 기본 통제에 더 강한 통제를 하는 보완통제와 강한 통제에서 더 강한 통제를 하는 중복통제가 있다.
-> 감사자는 통제 실패 발견하면 우선 상위에 먼저 보고하고, 다른 보완통제가 있는지 확인해보는 것이 좋다.
* 내부통제 (내부회계통제, 운영통제, 관리통제)
- 내부통제 책임 : 최고경영자, 이사회 책임
- 내부통제 충분 : 합리적인 확신 제공 (비용 > 효과 비용 : 통제 포기)
- 내부통제 감사 관계 : 내부통제 상황에 따라 감사의 강도나 범위 결정
6. 우회 : 통제를 피해 위협
* 감사방법 순서
1. 감사 대상/목적 파악
2. 범위 파악
3. 계획수립
4. 절차 및 자료 수집
5. 테스트 또는 검토결과 평가
6. 감사보고서 준비
* 감사방법
1. 컴퓨터 내부감사
- 프로그램 로직 조사
- 상세하고 광범위 테스트
2. 컴퓨터 주변감사
- 입출력 자료 검사
- 비용 효과적
3. 컴퓨터 활용감사
- 데이터 무결성과 일관성 확인
* 감사방법 순서
1. 감사 대상/목적 파악
2. 범위 파악
3. 계획수립
4. 절차 및 자료 수집
5. 테스트 또는 검토결과 평가
6. 감사보고서 준비
* 위험기반 감사 접근법 : 위험이 좀 있어도 살펴보고, 위험만 검사하지 않고 기업이랑 비즈니스를 적용해서 접근합니다.
- 지속적 감사 프로세스 적용
- 기업 비즈니스 이해로 내부 및 운영 통제 고려
- 비용 이익 분석
* 위험기반 감사접근법 절차
감사인 정보 수집 및 계획 -> 내부통제 이해 -> 준거성 테스트 -> 실증 테스트 -> 감사 종결
* 감사위험
정보/회계 보고서가 오류 포함할 위험 및 감사인이 오류 적발 못할 위험입니다.
* 감사위험 종류
- 고유위험 : 중대 오류 존재할 위험, 현금성
- 통제위험 : 내부통제에 의해 예방, 탐지 안될 위험
- 적발(탐지)위험 : 감사인의 통제 가능한 위험, 감사자가 잘못 판단할 위험
- AR = IR * CR* DR
감사위험 = 고유위험 x 통제위험 x 적발위험
* 목표감사위험
감사의 효율성을 감안하여 감사위험 수준 결정
- 준거성 테스트 [= 속성 샘플링]
했냐 안했냐 확인한다.
* 통제절차 준수여부 확인
재실행, 관찰, 면담, 검사, 질의
현행 소스코드 통제 비교
시스템 로그 비교
프로그램 변경 인가 확인
- 실증 테스트 [= 변량 샘플링]
어떻게 하고잇냐 확인
통제절차로 처리 결과의 무결성 정확성 확인
분석적 검토와 상세테스트
재무제표 금액 확인
테이프 라이브러리 재고 조사
- 내부통제 적절
- 준거 강화 실증 약화
- 내부통제 부적절
- 준거 약화 실증 강화
* 감사증거의 요건
- 감사증거 : 감사인의 검토한 내용의 증거입니다.
- 감사요건 : 목적적합성, 신뢰성, 충분성, 유용성
- 방법 : 조직구조, 문서화 표준, 관계 담당자 면담, 프로세스 관찰
* 샘플링 기법
- 모집단으로 부터 선정 기준에 따라 검토하여 결론 도출
- 통계적 샘플링 : 객관적, 정량화
- 비통계적 샘플링 : 주관적
* 속성 샘플링 : 모집단 내 해당 선정기준 발생 비율 추정
* 준거성 테스트에 사용
- 빈도측정
- 순차샘플링 : 빠른 시점에서 나타나면 중단
- 색출샘플링 : 하나라도 오류이면 중단, 위험도 높은 기준
- 변량샘플링 : 모집단 내 측정 단위를 추정
* 실증테스트에 사용
- 층화샘플링 : 몇개의 그룹 모집단에서 추출
- 비층화샘플링 : 표본 평균으로 기대 합계 예상
- 차이추정 : 감사된 값과 장부값 차이 추정