본문 바로가기

CISA

 (9)
[CISA 연습문제] A2-10 1. 다음 중 파일 서버에서 필요한 데이터 보호 수준을 결정하는 데 가장 적합한 정보 소스는 무엇입니까? A. 데이터 분류 정책 및 절차 B. 유사 파일 서버의 접근 권한 C. 이전 데이터 유출 사고 보고서 D. 이용약관 및 개인정보취급방침 정답: A 2. 다음 중 시그니처 기반 침입 탐지 시스템(lDS)의 효율성을 가장 잘 나타내는 지표는 무엇입니까? A. 가양성 식별 횟수 증가 B. 이전에 식별되지 않은 감지된 Incident 수의 증가 C. 낯선 침입자의 수 증가 D. 내부 보고된 중대한 사고 건수 증가 정답: B 3. 다음 중 다중 테넌트 클라우드 환경에서 데이터 유출 방지를 가장 효과적으로 시행하는 방법은 무엇입니까? A. 다운타임 발생 시 경고하도록 모니터링 도구가 구성됨 B. 포괄적인 보안 ..
[CISA 연습문제] A-10 1. 네트워크 취약성에 대한 외부 평가 시 확인해야 할 가장 중요한 것은 무엇입니까? A. SIEM(Security Information Event Management) 규칙 업데이트 B. 네트워크 보안 정책의 정기 검토 C. 네트워크 자산 인벤토리의 완성도 D. 침입탐지시스템(IDS)의 위치 정답: C 2. IS 감사인이 조직에 IT 헬프 데스크 서비스를 제공하는 기술 회사와의 서비스 계약을 검토하고 있습니다. 다음 중 서비스 품질을 가장 잘 나타내는 월간 성능 지표는 무엇입니까? A. 헬프 데스크 서비스를 요청한 총 사용자 수 B. 각 요청에 대한 평균 통화 대기 시간 C. 첫 번째 연락으로 해결된 문제의 비율 D. 보고된 각 문제에 소요된 평균 처리 시간 정답: C 3. 애플리케이션 테스트 자동화의..
[CISA_Domain 5] 정보자산의 보호 [CISA_Domain 5] 정보자산의 보호 0-1. 보안 3대요소 (C, I, A) 1) 기밀성 (암호), 2) 무결성 (전자서명), 3) 가용성 (백업) 0-2. 정보 **노출** 방지 : 암호 1) 서버에 저장중인 DATA 노출 2) 이동중에 Data 노출 3) 통신상의 전송중인 개인정보 노출 1-1. 데이터 소유자 - 데이터/시스템 관리자 or 임원 - 데이터 등급 결정, 데이터 접근권한 승인 - 데이터 생성부터 소멸까지 데이터생명주기 보안 책임 1-2. 데이터 소유권 - 직무기술서 표본 검토 및 데이터분류와 적절성 확인 - 데이터 소유자가 생성부터 소멸까지 보안책임 1-2. 데이터 사용자 2. 프라이버시 - 프라이버시 데이터는 수집 목적에만 활용 - 정확하고 완결성 가지며 최신으로 유지 - 최소..
[CISA_Domain 2] IT거버넌스 및 관리 [Domain 2] IT거버넌스 및 관리 1. 거버넌스 와 IT관리 전략적 연계 가치제공 리스크관리 IT 거버넌스 성과측적 자원관리 - 전략적 계획 : 비즈니스 사업 전략 계획(정보전략계획) - 가치제공 : benefit > cost - 리스크 관리 : IT Risk - 자원관리 : 사람, 기계 - 성과측정 : 측정 지표, IT감독위원회 활동 감사 ----> 제3자 입장 독립적 객관정 IT/IS시스템 감사 - 가치를 높이고 리스크를 낮춰야 한다. - IT사용자, IT도입/설치, IT전문가에 대한 감사중점은 정보의 적절성 효과성 보증하는 것 - IT 거버넌스 √ 최종책임: 이사회와 고위경영진 √ 핵심요소: 비즈니스와 IT의 연계로 비즈니스 가치 달성 - 기업 거버넌스 √ 1차적 목적은: ** 전략방향 **..
[CISA_Domain 3] 정보시스템 구입 개발 운영 [Domain 3] 정보시스템 구입 개발 운영 ♣ 프로젝트 검토 IS감사 이슈 = 업무목적 달성여부 1. 프로젝트 정관 ( Project Chartoer) - 프로젝트 존재 공식적으로 승인 및 관리자에게 자원사용 권한 부여한 문서 - 조직의 고위 경영진 및 후원자가 승인 - 프로젝트 수행명령서 2. 사업사례 (business case) - 의의: 필요성, 정당성, 기대효과 - 타상성 조사 단계에서 작성, 이사회(경영진) 승인 - 단계말에서 주기적으로 검토 - 사업사례 변경될 수 있으며, 변경은 재승인 - 사업사례는 프로젝트를 '왜' 하는가 이다 3. 프로젝트 포트폴리오 - 모든 프로젝트의 집합, 전사적으로 비용 대비 효과 극대화 - 목적: 결과를 최적화, 내부 및 외부 자원조정, 지식 전수 - 관리도구 ..
[CISA_Domain 4] 정보시스템 운영 및 비즈니스 리질리언스 [Domain 4] 정보시스템 운영 및 비즈니스 리질리언스 1. 프락시 서버: 사용자와 자원 사이에 중간링크를 제공 ☞ 중간자역할, 우회경로 제공(취약점) 2. 구매 Process 고객 → RFI → 벤더 ← 카탈로그 ← 예산 → RFP → ← 제안서 ← 평가 ← 협상 → ← 계약서 → 제안서 첨부 3. 하드웨어 모니터링 절차 3-1 가용성 보고서 - 컴퓨터 가동시간, 사용자/다른 프로세스이용가능 시간 파악 - Down Time 정보시스템 불능상태(비가용성) 존재여부 - 지나친 유지보수, 예방적 유지보수 부족, 부적절 설비, 교육 부적절 4. 용량관리 고려사항 SLA CPU이용도 네트웤 이용도 새로운 응용 메모리 이용도 새로운 기술 사용자 수 4-1 SLA(서비스 수준 협정) - 서비스수준협정은 고위경영..
[CISA_Domain 1] IS감사-정보시스템 감사 프로세스 [Domain 1] IS감사-정보시스템 감사 프로세스 1. 감사목적: 내부통제가 비즈니스 위험 최소화 및 기대역할 충족 정보 및 IS 기밀성, 무결성, 신뢰성, 가용성, 법률/규제 요구사항 충족 2 . 감사를 함으로써 이해관계자들이 조직의 재무, 운영, 윤리에 대한 확실성 가질 수 있음 - 감사는 비즈니스가 경쟁적 우위를 가지는데 바탕을 두고 관련 시스템에 우선순위를 두어야 함 - IS감사는 공식적으로 진단하고 테스트 · 정보시스템(법률, 규정, 계약, 산업가이드) 준수 · 정부기준 및 정책 절차 준수, 정보시스템(무결, 가용, 기밀) 확보 3. 인터넷망 트랜젝션의 기밀성, 진정성, 무결성 확보 → 적절한 암호화 4. IT감사인은 비즈니스 프로세스 이해 및 평가할 수 있어야 함 - 위험기반 감사 일정 계..
[CISA-정보자산보호] 서명 기반 침입탐지 시스템 IDS [CISA-정보자산보호] 서명 기반 침입탐지 시스템(IDS) 침입 탐지 시스템(Intrusion Detection System, IDS)은 무단 액세스, 오용 또는 보안 위반에 대해 컴퓨터 네트워크 또는 시스템을 모니터링하는 보안 기술 유형중 하나입니다. 잠재적인 보안 위협을 실시간으로 식별하고 대응하는 데 도움이 되므로 컴퓨터 네트워크 및 시스템의 보안을 유지하는 데 중요한 도구입니다. ¶ 침입탐지시스템이란? 침입 탐지 시스템(IDS)은 컴퓨터 네트워크 또는 시스템에 대한 무단 액세스, 오용 또는 보안 위반을 탐지하도록 설계된 소프트웨어 또는 하드웨어 기반 보안 시스템입니다. 시스템은 서명 일치, 이상 탐지 및 동작 분석과 같은 다양한 방법을 사용하여 잠재적인 보안 위협을 식별하고 관리자에게 경고합니다..
[CISA] Certified Information System Auditor 자격증 알아보기 [CISA] Certified Information System Auditor CISA는 Certified Information System Auditor를 뜻하며,공인 또는 인증된 정보시스템 감사사를 뜻합니다. 미국의 ISACA라는 기관에서 주관하는 자격검정 시험입니다. 즉 해외에서 인정하는 정보시스템 감사사 입니다. 국내에서도 취업이나 관련 학업을 준비하고 하실때, 해당 자격증을 취득한다면 좋은 준비가 될 수 있습니다. 하지만 함부로 해당 시험을 도전하기에는 응시료 굉장히 부담이 됩니다. 응시료는 아래와 같습니다. 응시료가 달러이기 때문에 환율에도 영향을 받겠지요? ¶ 응시료(2023년 2월기준) ISACA 멤버(Member ) 가입비용(1년) : $ 255 ISACA 멤버(Member) CISA 응..

티스토리툴바