[Domain 2] IT거버넌스 및 관리
1. 거버넌스 와 IT관리
| 전략적 연계 | 가치제공 | 리스크관리 | |
| IT 거버넌스 | |||
| 성과측적 | 자원관리 | ||
- 전략적 계획 : 비즈니스 사업 전략 계획(정보전략계획)
- 가치제공 : benefit > cost
- 리스크 관리 : IT Risk
- 자원관리 : 사람, 기계
- 성과측정 : 측정 지표, IT감독위원회 활동 감사
----> 제3자 입장 독립적 객관정 IT/IS시스템 감사
- 가치를 높이고 리스크를 낮춰야 한다.
- IT사용자, IT도입/설치, IT전문가에 대한 감사중점은
정보의 적절성 효과성 보증하는 것
- IT 거버넌스
√ 최종책임: 이사회와 고위경영진
√ 핵심요소: 비즈니스와 IT의 연계로 비즈니스 가치 달성
- 기업 거버넌스
√ 1차적 목적은: ** 전략방향 ** 제공
2. 정보보호 거버넌스
- 프레임워크 수립 및 유지관리,
- 정보보호전략 = 비즈니스 전략 및 지원
- 내부통제 준수 -> 법률/규정 준수
- 위험관리 위한 책임 할당 제공 프로세스 지원
[
3. IT 거버넌스 감사의 역할
- 컴플라이언스(법율 및 규정)를 모니터 하는 주체
- IT거버넌스 추진과제 품질과 효과성 개선에 도움
- IT거버넌스 추진과제의 결과를 준수하도록 도움
- 정성적인 평가에서 독립적이고 균형적인 시각 필요
4. IT운영위원회
| IT운영위원회 | |
| 책무 | - IT비용지출 수준과 비용할당 방법 결정 - IT아키텍처 조정 및 승인 - 프로젝트 계획, 예산승인 우선순위 확정 - 자원확보 및 할당 - 프로젝트가 지속적 비즈니스 요구사항 충족토록 - 프로젝트 계획/모니터링(적시,예산) - 조직 및 부서간 자원 및 우선순위 충돌 모니터링 - 전략계획 수정에 의결개진 및 요청 - 경영진의 IT거버넌스 책무 및 실무 공헌자 |
| 권한 | - IT전략 수행시 최고경영자 지원 - 매일 IT서비스 제공과 프로젝트 감독 - 구현에 집중 |
| 구성원 | - 후원인 자격의 최고경영진 - 비즈니스 최고 경영진 - 최고정보관리책임자(CIO) - 필요시 주요자문역(IT, 감사, 법, 재무) |
| IT전략위원회 | IT운영위원회 |
| Direct | Drive |
| 이사회, 임원 | CIO |
| 의사소통 중요( 직접적, 주기성) | |
| 공식적인 회의록 유지 관리 | |
5. IT 균형성과표(BSC)
조직 전략 달성 위한 재무, 고객 , 내부프로세스, 학습 4가지 KPI 관리
- 조직읜 전략을 공유하기 위해 수단(구체)화 수단은 BSC 필요
- 조직읜 IT전략을 공유하기 위해 수단(구체)화 수단은 IT BSC 필요
6. EA (Exterprise Acrhitecture 전사적 아키텍처)
- 조직의 IT자산을 구조적인 방법으로 문서화, IT투자에 대한 이해, 관리계획 촉진
- IT와 비즈니스 전략을 연계, IT투자가 실질적인 이익 제공
- 쟈크만 프레임워크 : EA 프로젝트
| CEO/CIO 관점 | 경영을 위한 투자 전략 지원 |
| IT비용 절감 | |
| IT기반 혁신 지원 | |
| IT기획자 입장 | 신기술 및 표준 동향 파악 |
| 정보화 요구사항 파악, IT계획수립 | |
| IT장비도입 기준수립 | |
| 현업 관리자 입장 | 비즈니스 프로세서 개선 |
| 업무 변경에 따른 신속한 IT지원 |
7. ISP(정보 전략 계획)
- 조직의 비즈니스 프로세스 개선 위한 정보기술 투자 장기 방향성
- 경영전략 및 목적달성을 지원하기 위한 IT계획 설계과정
- ISP 수립공유: IT직원들의 목표 공유를 위한 선행요건 + 의사소통
- IT미션과 사명 명확히
| 비즈니스 요구사항 충족 필요 아키텍처 | |
| 정보 아키텍처 | 전략적 정보 요구 상위 구조 |
| 정보기술 아키텍처 | H/W, S/W 및 네트워크 구조 (다있다면, 응용소프트웨어 제외) |
| 응용 시스템 아키텍처 | 응용프로그램 상위구조 |
| 정보 관리 조직 | IT기능의 외주 여부 및 범 |
8. BI(비즈니스 인텔리전스) + DA(Data Analysis)
9. CMMI(역량성숙도 통합 모델)
- 감사인이 CMMI 확인 이유
프로세스의 능력 평가 및 개선방향 설정시 사용하기 때문
- 수준
| 최적화 | 지속적 프로세스 개선 |
| 정량적 관리됨 | 프로세스 정량적 측정 및 통제 |
| 정의됨 | 조직이 공유하는 프로세스 생성 사전 생성 프로세스에 따라 업무처리 |
| 관리됨 | 프로젝트에 따라 프로세스 생성 사후 반응적 |
| 초기 | 예측할수 없는 프로젝트 |
- IDEAL: 조직의 효과적인 프로세스 개선 프로그램 계획/구현 시 사용
[ 시작, 진단, 수립, 수행, 학습] 단계를 가지고 있음
10. Val IT
| 가치 거버넌스 | 포트폴리오 관리 | 투자관리 |
11. 정보보호 정책
- 조직문화 - 정책의 설계와 구현에 매우 중요
- 고위경영진 승인 필수, 문서화, 모든직원 및 벤더 전달
1) 상위수준 정보보호 정책 (정보 식별)
2) 데이터 분류 정책(정보 분류)
3) 접근통제 정책(물리적)
4) 허용된 사용 정책(AUP)
5) 최종사용자 컴퓨팅 정책(EUC)
12. 위험관리
- 위험관리 전략
1) 위험성향 정의 2) 위험 노출 식별 3) 워험관리 전략 수립
| 회피(예방) | 위험프로세스 중단, 원인제거 |
| 전가(공유) | 보험계약, 파트너와 위험공유 |
| 경감(완화) | 적적한 통제 정의/구현/모니터링 |
| 수용(감수) | 공식적 위험존재 인식 후 모니처링만 수행 |
| 무시(거부) | 위험 자체 무시 |
- 위험관리 순서
1) 정보(자산) 식별
2) 정보(자산)의 위협과 취약성 평가
3) 정보(자산)의 영향평가
4) 위혐계산 (계량화)
5) 위험 평가와 대응
- 위험관리 프레임워크
리스크 거버넌스, 리스트 대응, 리스크 평가
- 잔여위험: 통제후 제거되지 않은 위험, 감사인의 권고로 줄일수 있는 리스크 영역
- 리스크 관리 프레임워크
[리스크 거버넌스, 리스크 대응, 리스크 평가]
- 위험분석기법 : 정량적연간 손실
1) ALE(Annual Loss Expectancy) : 연간손실 기대값 (SLE X ARO)
2) ARO(Annual Rate of Occurrence) : 연간 빈도수
13. 정보시스템관리 실무
- 임시직원 및 제3계약자 에대하 통제 취약점은 높다
- 인적자원 통제를 위해 여러제약을 용역계약서에 추가
- 교차훈련 = 운영의 연속성, 한직원 의존도 줄임, 직무승계 계획
- 직무순환 = 직무분리(단일 개인이 시스템 우회 불가 보장)
- 강제휴가 = 대상자
14. 아웃소싱
- 아웃소싱의 성과가 좋지 않을때 누구에게 통제 책임 : CIO, IT고위관리자
- 국외: 법규, 규정, 세금 이슈, 제한적 지식으로 새로운 문제 야기
15. 클라우드 보안위험
| 국제간 데이터 이동 | 국가간 법제의 차이 |
| 물리적 보안 | CIPS 물리적 인프라 접근가능 |
| 데이터 처리 | 데이터 파기 상태, 기밀성 손상 |
| 다중 임대 | 물리적 리소스의 동적 할당 가능 |
* 클라우드 아웃소싱을 사용할때 정보보호 책임은 전가되지 않는다.
* 고객 개인정보 아웃소싱 계약서는 SLA 명확화 하고,
미준수 시 책임소재 구상권 을 포함해야 한다.
16. 가상화 환경
- 효율성을 높이고 IT비용을 줄이는 중요한 기회
- 환경구성 3요소
1) 서버, 기타하드웨어
2) 가상화 하이퍼바이저(호스트라는 시스템 환경 생성/실행)
3) 게스트 시스템(하이버바이저 시스템에 상주하는 환경요소)
17-1.변화관리
17-2. 품질관리
17-3. IS관리 성과 최적화
- 최적화: IT인프라스트럭처에 불필요한 추가 투자 없이 IS생산성 최대 레벨로
- 성과관리(측정) 최종목표: CMMI LEVEL5(최적화)
- KPI: IS감사인이 성과에 대한 연말 결과치 검토 시 사용
- 성과최적화 도구
6시그마, IT BSC, KPI, 벤치마킹, BPR, 근본원인분석
18. 영업비밀(Trade Secret)
소유권이 회사에 있으며, 회사 생존과 수익성에 중요한 지적재산권
- 비공지성, 비밀유지 노력, 유용성 판단 기준
19. 사고대응 관리
1) 계획 및 준비 2) 탐지 3) 개시 4) 기록 5) 평가 6) 격리
7) 소거(박멸) 8) 이관 9) 대응 10) 복구 11) 종료 12) 보고
13) 사후 검토 14) 교훈점
* 컴퓨터 포렌식 1) 식별 2) 보존 3) 분석 4 ) 제시
조건: (1)무결성, (2)연계보관성 (3)채택성
20. 서비스 데스트( Help Desk)
사용자들이 접하는 기술적인 문의사항과 문제 응답
- 최종사용자의 H/W, S/W 사용지원
- 최종사용자의 문의사항 응대
- 문제점에 대한 원인분석과 문제 해결
21. 데이터베이스 관리
- DBA 통제 ( 모든 데이터 접근 권한)
1) 직무분리 2) 작업의 경영진 승인 3) 모든활동 로깅 및 검토
22. 문서 검토
1) IT전략, 계획 예산 → BSP, ISP
2) 보안정책문서 → 정보보안정책 + CEO승인
3) 조직도/기능도 → 직무기술서(책임, 권한, 해명책임성)
4) 운영위원회 보고서→ IT전략위원회, IT운영위원회
23. IT거버넌스 구조와 이행 감사
1) 계약 요구사항 개발 ≫ 비즈니스 요구사항 반영여부
2) 계약 입찰과정 ≫ 공개 입찰여부
3) 계약 선정과정 ≫ 독립성과 객관성의 측정지표 여부
4) 계약 수용 ≫ 법적요건 충족여부
5) 계약 유지관리 ≫ SLA
6) 계약 이행 ≫ SLA
* ITT : 동일장비, 표준장비 구매 시 감사인의 관점으로 활용
25. HIPPA(건강보험 정보)
환자 기록 프라이버시 보호, 안전한 전자적 전송
26.
- 정책 (Policy)
정보보호에 대한 목표, 방향제시 최상위 문서
- 표준 (Standard)
정책 기반 반드시 지켜야하는 필수 요구사항/ 규정
구체적인 사항이나 특별한 요구사항 규정
- 지침 (Guidelines)
표준과 유사하지만 강제성이 미약,
선택적, 권고적인 내용, 융통성
- 절차 (Procedures)
정책, 표준, 지침을 따르기 위한 구체적 문서
세부적인 방법을 기술
'CISA' 카테고리의 다른 글
| [CISA 연습문제] A-10 (0) | 2023.08.22 |
|---|---|
| [CISA_Domain 5] 정보자산의 보호 (0) | 2023.02.22 |
| [CISA_Domain 3] 정보시스템 구입 개발 운영 (0) | 2023.02.15 |
| [CISA_Domain 4] 정보시스템 운영 및 비즈니스 리질리언스 (0) | 2023.02.12 |
| [CISA_Domain 1] IS감사-정보시스템 감사 프로세스 (0) | 2023.02.10 |
