www.ssgt.co.kr COBIT Control Practices & COBIT 이해하기 _1 편 IT Audit Services IT Risk Management Global IT Standardization IT Service Improvement 2008.10.20 Research & Development ISACA GRA Korea 조희준 CISA, CISM, CGEIT, COBIT, CISSP PMP, ITIL, IT-EAP, IS Auditor Audit & Consulting 1
순서 1. COBIT 이어렵다고요? 2. COBIT 4.1 직접활용해보기 3. 잠깐정리 -Val IT2.0 4. Control Practice 의활용 2
1. COBIT 이어렵다고요? -ITGI 가정의한 IT Governance 의정의를보면 경영진및이사회의책임으로써리더십, 조직구조, 프로세스로구성되어있으며 IT 가조직의전략과목표를유지및확대하는데그목적이있다 라고되어있죠. - 이런위의 IT Governance 을유지및확대, 실행하기위해서는구체적도구가 필요하겠죠, 즉, 프레임워크 (Framework) 이죠, 그프레임워크가바로 COBIT 이죠. - 그럼이제 COBIT 이어떻게구성되었는가를볼까요? 3
COBIT 이어렵다고요? COBIT 의구성요소를보기전에 IT Governance 를지원하는 COBIT 은어디에초점을맞추어야할까요? - 당연히 IT Governance 의중점영역을 먼저보면되겠죠, 이렇게생겼죠. - 옆의그림을다시써보면 -IT Governance 중점영역에맞춰 COBIT 을그리면다음과같이되죠 - 다음페이지 4
COBIT 이어렵다고요? COBIT 4.1 사업 요구사항 정보 (IT 목표 ) IT 프로세스 ~ 으로세분화 ~ 에의해측정 ~ 에의해감사 ~ 에의해통제 핵심활동 통제성과테스트 ~ 을유래 통제목적 ~ 에의해수행수행성과성숙도 ~ 에의해감사 ~ 로구현 책임과책임추적성차트 수행지표성과지표성숙도모델 통제설계테스트 ~ 을기초 통제실무 이그림은전체를이해하시면되요 5
COBIT 이어렵다고요? COBIT 4.1 원문 6
COBIT 이어렵다고요? COBIT 4.0 사업 요구사항 (IT 목표 ) IT 프로세스 정보 ~ 에의해통제 Control Objectives 통제목적 ~ 에의해측정 ~ 으로효과 / 효율을가지게 ~ 에의해감사 ~ 으로변환 ~ 로구현 수행 결과 성숙도 활동목표감사지침통제실무 Control Practices 핵심수행지표핵심목표지표성숙도모델 이그림은전체를이해하시면되요 7
COBIT 이어렵다고요? 중역및이사회 책임 IT 거버넌스에대한이사회보고, 2 판 사업및기술경영진 수행성과측정? 다른업계와어떻게비교할건가? 지속적향상은어떻게? 관리지침 거버넌스, 보증, 통제및보안실무자 IT 거버넌스프레임워크란? 기업에서그것을어떻게구현할것인가? IT 거버넌스프레임워크를어떻게평가할것인가? 성숙도모델 COBIT & Val IT 프레임워크 IT 거버넌스구현가이드,2 판 IT 보증가이드 통제목적 COBIT 통제실무 핵심관리실무 8
COBIT 이어렵다고요? 9
COBIT 이어렵다고요? 1 회차, 6 월 COBIT 4.1 3,4 회차, 8,9 월 5 회차, 10 월 2 회차, 7 월 10
COBIT 이어렵다고요? 사업의요구사항 기업의정보 IT 자원 IT 프로세스 11
COBIT 이어렵다고요? - 이큐빅은 IT 는사업의요구사항에 부합하거나사업목적에연계해서 그것을성취하기위해 IT 자원을 잘활용하며 무언가구체적인것을참고해야죠? 그것이 IT 프로세스이지요 12
COBIT 이어렵다고요? 응용프로그램효과성 사업 ( 업무 ) 의요구사항은우측처럼 7개이지요 효율성 IT 자원은 4개이지요 IT 프로세스는아래그림처럼구성되어있죠 4 개의업무영역 Domains 응용프로그램 34 개의프로세스 Processes 318 개의활동 / 작업 Activities/Tasks 응용프로그램응용프로그램정보인프라인력 기밀성 무결성 응용프로그램가용성 준수성 정보신뢰성 13
COBIT 이어렵다고요? 계획수립및조직화 10 개 7 개 도입및구축 1) Plan and Organization (PO) 계획수립및조직화 10 개 2) Acquire and Implement (AI) 도입및구축 7개 3) Deliver and Support (DS) 운영과정및지원 13 개 운영과정및지원 13 개 4 개 감시및성과평가 4) Monitor and Evaluate (ME) 감시및성과평가 4개 14
COBIT 이어렵다고요? 15
COBIT 이어렵다고요? 16
COBIT 이어렵다고요? COBIT 을동종업계는어떻게하고있는지? 우리조직은그들과비교하여어떤상태 ( 위치 ) 인지? 식별하기위해성숙도모델이등장하지요 부존재 초기 반복 정의 관리 최적 0 1 2 3 4 5 기호 수준 기업의현재상태국제표준지침산업의모범실무기업의전략 0 부존재 관리프로세스가전혀적용되지않았다 1 초기 프로세스가임시적이며조직적이지않다 2 반복 프로세스가규칙적인형태를갖는다 3 정의 프로세스가문서화되고소통되었다 4 관리 프로세스가모니터되고측정되었다 5 최적화 실무가최적화되고자동화되었다 17
COBIT 4.1 직접활용해보기 COBIT 4.1 의활용기준은 34 34 개의프로세스가기준 34 개별로 4 페이지가하나의쌍으로구성되어있어요. 기준이예요. 1) Process Description 상위통제목적 2) Control Objective 세부통제목적 3) Management Guideline 관리지침 4) Maturity Model 성숙도모델 2) 세부통제목적 1) 상위통제목적 1 개의프로세스 3) 관리지침 4) 성숙도모델 18
COBIT 4.1 직접활용해보기 첫페이지윗면 상위통제목적 4 개의도메인중어느도메인인가를 Business Requirement (Information Criteria) 7 개중에 Primary /Secondary 로어디에속하는지알려주죠. 표시해주고, 19
COBIT 4.1 직접활용해보기 첫페이지아랫면 4 개의 IT Resource 중에서어느것을직접사용해야하는지도표시해주죠 IT Governance 의중점영역중에서도 Primary /Secondary 로어디에속하는지알려주며 20
COBIT 4.1 직접활용해보기 두번째페이지 세부통제목적 IT 보안계획에사업의요구사항, 위험, 준거를포함시키며,,, 21
COBIT 4.1 직접활용해보기 세번째페이지윗면 관리지침 시스템의보안성확보 PO9. 위험평가로부터입력물 AI6. 요구되는보안변경으로출력물 22
COBIT 4.1 직접활용해보기 세번째페이지중간 사용자권한을주기적으로검토하고평가한다 CIO 는통보하고사용자는자기부서내의사용자권한을결제, 책임지며,,,, 23
COBIT 4.1 직접활용해보기 세번째페이지아래 정보의무결성을유지하며 비인가된정보의접근을차단하며 KGI 사용자식별과인증을관리하며,, ~ 측정 ~ 요인, 동인 KPI 사용자권한을변경, 제거하는데걸리는시간,, 시도되거나실제접근위반의숫자,,, 접근권한의재설정이나변경횟수.. 24
COBIT 4.1 직접활용해보기 네번째페이지 성숙도모델 시스템의보안성확보 초기 조직에서는 IT 보안의필요성은느끼지만인식 ( 교육 ) 은주로개인차원에서다루어지며, 예방이아닌사후관리차원에서,,,,,, 25
잠깐정리 -Val IT2.0 전략 가치 체계, 아키텍처 제공, 수행 26
잠깐정리 -Val IT2.0 전략 가치 COBIT 체계, 아키텍처 제공, 수행 방법 실행 27
잠깐정리 자 COBIT 4.1 에대해전반적이이해가끝났어요. 자, 이제는 Control Practice 입니다. 28
Control Practice 의활용 중역및이사회 관행 (Practices) 책임 IT 거버넌스에대한이사회보고, 2 판 사업및기술경영진 성과측정활동목표성숙도모델 관리지침 거버넌스, 보증, 통제및보안실무자 IT 통제프레임워크란무엇인가? IT 통제프레임워크를어떻게평가할것인가? 기업에서그것을어떻게구현할것인가? 통제프레임워크 통제목적 통제실무 IT 보증가이드 SOX IT 통제목적 IT 거버넌스구현가이드 COBIT Quickstart COBIT 보안베이스라인 29
Control Practice 의활용 30
Control Practice 의활용 31
Control Practice 의활용 Control Object 가 (What) ( 무엇 ) Control Practice 는그목적을 (How, Why) 32
Control Practice 의활용 그래서책구성을보면? 세부통제목적 33
Control Practice 의활용 그래서책구성을보면? 가치동인 ( 요인 ) 위험동인 ( 요인 ) 34
Control Practice 의활용 그래서책구성을보면? 통제실무 35
Control Practice 의활용 전체의책구성을보면? Process Control Plan and Organization (PO) Acquire and Implement (AI) Deliver and Support (DS) Monitor and Evaluate (ME) Application Control 36
Control Practice 의활용 Process Control 구성을보면? 37
Control Practice 의활용 Application Control 구성을보면? 38
Control Practice 의활용 자, 이제여러분들이 Control Practice 를직접업무에사용하실차례예요. 물론 COBIT 4.1 과 Val IT 2.0 도포함해서죠 joseph99@korea.com 39
www.ssgt.co.kr IT Audit Services Thanks for listening. IT Risk Management Global IT Standardization IT Service Improvement Research & Development ISACA GRA Korea 조희준 Audit & Consulting 40