3.1 품질관리
Ⅰ. 품질관리의기본개념 1. 품질관리의필요성 1) 업무에핵심적인 IS 의활용증가 2) 사용자의기대및요구사항증가 : 질높은 S/W 개발요구 3) 경쟁우위를달성하기위한목적으로혁신적인 S/W 를개발하려는조직의수증가 -> 복잡성이높음 -> 품질표준에맞추어 project 진행필요 4) S/W 의개발, 운영, 유지보수에대한통제가취약 -> 일정초과, 사용자 / 고객불만야기, 많은비용초래 5) IS 의품질관리및개선은전세계적인추세 (TQM-> 조직의주요관심사 ) 2. 품질인증제도 1) 기능 : ( 인증기관 ) 품질분쟁발생을방지하여거래 / 유통의원활화, 인증 받으려는조직이품질경영과품질보증체계를정비하여품질향상 3.2
Ⅰ. 품질관리의 기본개념 2. 품질인증제도 2) 종류 - 제품이 개발되는 프로세스의 보증, 최종 제품의 품질 평가(둘 다 중요함) * SQuaRE(ISO 25000) 3.3
Ⅰ. 품질관리의기본개념 2. 품질인증제도 2) 종류 ISO 9000 : 프로세스에대한보증을잘하면산출물이높은품질을가질수 있다는점에착안수립된표준-> 세계적많은기업 / 공공조직들이구현 -> 소프트웨어측면에서는적용에회의적 ( 개발시창조적활동이필요 ) -> 단점극복위해영국에서 S/W 산업에좀더가깝게적용한 TickIT 체계만듦 ( 영국에서만활발 ) 3.4
Ⅰ. 품질관리의 기본개념 2. 품질인증제도 2) 종류 SPICE(Software Process Improvement and Capability Determination) - ISO 9000의 S/W 측면 적용성 문제 해결 위해 나옴 - 통합 S/W 프로세스 심사표준인 ISO/IEC 15504를 발표-> 전세계 SW 및 IT업계 프로세스 평가에 이용됨 3.5
Ⅰ. 품질관리의기본개념 - 9 개프로세스군, 48 개프로세스 - 수행단계 : 프로세스별초기 / 수행 / 관리 / 표준 / 예측 / 최적화 6 개로등급화됨 3.6
Ⅰ. 품질관리의기본개념 2. 품질인증제도 2) 종류 CMM(Capability Maturity Model) - 미국카네기멜론대학의 SEI가미국국방부지원을받아개발한 S/W 개발프로세스의성숙도를평가하기위한모델 - SW-CMM, SE-CMM, People-CMM, SSE-CMM 등개발 - 현재특정분야의성숙도모델총칭하는의미로도사용됨 - SW-CMM의후속모델인 CMMI(Capability Maturity Model Integration) -> S/W와시스템기술프로세스의개선을위한통합적인모델 (2001년발표 ) -> 각프로세스영역의목표달성정도를측정하여, 5단계로구분되는성숙단계로나타냄 ( 초기, 관리, 정의, 정량적관리, 최적화 ) 3.7
Ⅰ. 품질관리의 기본개념 3.8
Ⅰ. 품질관리의기본개념 2. 품질인증제도 2) 종류 ISO/IEC 20000 - IT 서비스관리 (ITSM) 분야의국제표준 (2005년제정 ) - IT 서비스관리를위한서비스관리체계 (SMS) 와 IT 프로세스의정립을요구함 - 서비스관리체계의요구사항 : 경영진의책임, 다른조직에의해운영되는프로세스의거버넌스, 문서화, SMS의수립 - ISO/IEC 20000에서는각프로세스에대해계획-실행-점검-조치 (Plan-Do-Check-Act: PDCA) 라는방법을적용함 -> 서비스관리계획수립 ( 계획 ), 서비스관리구현및서비스제공 ( 실행 ), 모니터링, 측정및검토 ( 점검 ), 지속적개선 ( 조치 ) * 국내 50여개이상기업 / 공공기관이인증받음, 관심증대 3.9
Ⅰ. 품질관리의기본개념 2. 품질인증제도 2) 종류 ISO/IEC 27001 - 정보보호관리를위한표준 (2005년제정 ) - ISO/IEC 27001에서는조직의정보보호를위한정보보호관리체계 (ISMS) 에대한요구사항과통제의수립을요구함 - ISMS에대한요구사항 : ISMS 수립및관리, 경영자의책임, 내부심사, ISMS 경영검토, ISMS 개선 - 여기서요구하는통제 : 11개의영역, 39개의항목, 133개의세부항목으로구성됨 제품중심의품질보증모델 - 앞까지는프로세스품질임, 제품품질은 ISO에서 S/W 제품품질평가를위한두가지표준화작업이진행됨 - ISO/IEC 9126 : S/W 제품에요구되는품질을기술하는 S/W 품질모델을제시함, 기능성, 신뢰성, 사용성, 효율성, 유지보수성, 이식성 6가지품질특성을정의함, 각품질특성은하부에품질부특성을여러개포함함 3.10
3.11 Ⅰ. 품질관리의기본개념
Ⅰ. 품질관리의기본개념 2. 품질인증제도 2) 종류 제품중심의품질보증모델 - ISO/IEC 14598 : 개발중이거나완성된제품의품질을평가하기위한방법과절차를제시하는품질평가체계 - 최근, 분리된양자를합치기위한노력이 SQuaRE(Software Product Quality Requirements and Evaluation) 프로젝트라는이름으로진행됨 (ISO 25000) -> S/W 제품품질표준과이를평가하는표준은통합되어야한다는주장에근거하여이프로젝트가시작됨 -> ISO/IEC 9126과 ISO/IEC 14598을대체하는것을목적으로진행됨 3. 품질보증과 IS 감사기능과의관계 - S/W 품질보증활동 -> 주로개발및유지보수차원에서의 S/W 품질에관심 ( 사용자요구사항 ) 3.12 IS 감사 -> IS 의효과, 효율및보안성이달성되도록보장하는데초점 ( 경영목적에초점 ) - S/W 품질보증 -> 품질이확보된 S/W 를개발, 제공하는데국한, S/W 사용업무처리에있어유의해야하는각종사항에대해대안을제시못함 => 품질보증분야도출체계적인기법과기술이 IS 통제 / 감사분야에서다루어지는경영자관점기술과접목하여상호보완적관계를형성할수있을것임
Ⅱ. 품질관리의통제목적및기본적인통제 - 품질관리에서가장핵심적인기능 : 품질보증 - 통제목적 : IS 부서가개발하는 IS 가품질목표를달성하도록하고, IS 의개발, 운영, 유지보수등이품질표준에따라수행되도록하는것 - 기본적통제 1) 품질관리부서의적절한위상정립 : 품질보증기능은 IS 부서와는독립적인위치를가지고있어야함 2) 품질계획의수립및유지관리 3) 품질기준의준수모니터링 : ⅰ) 시스템개발 / 운영 / 유지보수과정에서품질기준을준수하고있는지를검토해야함, ⅱ) IS 부문의일반적인표준을준수하는지모니터해야함 ( 기준이준수되지않을경우 -> 원인이무엇인지분석하고적절한해결방안을권고해야함 ) 4) 경영자보고 : 품질보증검토가종료되면보고서를작성하여사용자부서, IS 부서의관리자에게제출해야함 3.13
지원도구와프레임워크 3.14 시스템감리론
1. 일반적프레임워크 - COBIT(Control Objectives for Information and related Technology) -> 비즈니스목적을달성하기위한 IT 환경내에서위험을다루고통제를실행하기위해활용된, IT 거버넌스와통제의가장폭넓게받아들여진모델중하나 -> 존재하는 IT 표준과모범사례 (best practice) 를국제적으로채택된거버넌스표준을달성하도록설계된하나의포괄적구조안으로만들기위해도입 -> 조직의전략적요구사항으로부터작동하며, COBIT 은특정통제의실행보다는오히려통제목적의성취에초점을두는 IT 활동의포괄적인범위를포함 -> 조직의거버넌스, 전략적요구사항과 IT 프랙티스를통합하고정렬시킴, 공통된이용으로의표준집합만이아니라, 정의된수준의통제를달성하기위해다른표준들과통합함 -> 조직을위한모범사례로분류될수있는것은조직이필요와능력에기반을둔것에적합해야함, 표준그자체는모범사례를달성하는것이아니라통제의충분성을성취하기위해주의깊은선택, 해석, 실행을요구함 -> 가장높은수준 : COBIT 은조직의비즈니스요구에특정적으로맞추어진내부통제의고유한시스템을이루기위해, 특정통제가포괄될수있는일반적모델로의도된 IT 프로세스에기반을둔전체적통제를위한프레임워크를제시함 3.15 시스템감리론
1. 일반적프레임워크 - COBIT 은다양한수준의관리진에서활용되도록설계됨 1) 중역관리진 : IT 안에중요한투자로부터획득된가치를보장하기위해서, 위험과통제투자가 적절히균형잡히는것을보장하기위해그것을활용할수있음 2) 운영관리관점 : 내부에있든외부에있든 IT 서비스의관리와통제가적합하다는보증의획득을 촉진함 -> IT 관리는 IT 서비스를제공할때통제되고적합하게관리된방법으로비즈니스전략이지원되는것이보장되도록하기위한, 운영적도구로그것을이용할수있음 -IS 감사자의 COBIT 의활용가능성 -> 통제의정확성평가, 통제의효과성을결정하기위한적합한검증을설계, 내부통제의시스템상에적합한조언을관리진에게제시 - COBIT 은다양한 IT 환경내에모범사례에연구기반을두고, IT 의동태적본질에기인하는계속적인연구와유지보수에영향을받음, 예를들어보안하나에영향을받는다른일부표준과같지않게, IT 거버넌스의모든측면에맞춰져있음 -> 좋은기업거버넌스의국제적으로채택된원칙들과밀접한정합성때문에, 그것은규제자 뿐만아니라본질적으로상위 / 중간 / 운영의다양한관리계층에받아들여질수있음 3.16 시스템감리론
1. 일반적프레임워크 COBIT 은관리적통제에쉽게영향받을수있는방법으로 IT 활동의논리적구조를창출하기 위해서영역 (domain) 과프로세스의프레임워크를활용함 -> 프로세스모델은 IT 를 34 개프로세스들로나눔 (* 2007 년에발표된 COBIT 4.1 기준 ) - 계획과조직화 (Planning and organizing; PO) : 기업 IT 목적이성취될것이라는보증을제공하기위해 IT 기능이타당하게계획되고통제됨을보장하기위한관리진에의해취해진모든프로세스를포함 - 도입과실행 (Acquire and implement; AI) : 해답과변화의설정과인가를통해, 해답을확인 하는데포함된프로세스들을포함 - 전달 ( 운영 ) 과지원 (Deliver and support; DS) : 적합한서비스수준을제공하고, 정보와운영을 다루고, 적합한성과를보장하는데필요한모든프로세스들을포함 - 모니터링과평가 (Monitor and evaluate; ME) : 모든 IT 성과를모니터링하고효과적인 IT 거버넌스를보장하는데필요한프로세스를포함 3.17 시스템감리론
1. 일반적프레임워크 이런프로세스 : 결국통제요구사항, 기본적통제구조, 측정기준을확인하는다양한개별통제목적으로추가로나누어짐 -> 측정기준 : 기업거버넌스를성취하는견지에서 COBIT 의가장중요한부분임 -> 각프로세스내에상세한통제목적이관리통제의최소수준으로특정됨 -> 이러한통제목적을성취하기위한역할과책임이상세히설명되고, 각프로세스에대한성숙도모델이다음표제하에측정메트릭스로주어짐 - 존재하지않는 (nonexistent) - 처음의 / 임시의 (initial/ad hoc) - 반복되지만직관적인 (repeatable but intuitive) - 정의된프로세스 - 관리되고측정할수있는 - 최적화된 * 메트릭스 : 프로세스들의각각에서성취된준거성의정도와관련해서경영진과감사자의판단을촉진 - COBIT : 자동화된응용통제의설계와실행이비즈니스프로세스소유자에의해특정되듯이, 비즈니스필요에기반을둔 IT 의책임이라는이해에기반을둠 - 일반적인 IT 통제는 IT 기능의직접적책임이고또한 COBIT 내에서커버됨 3.18 시스템감리론
1. 일반적프레임워크 - 2011 년 ISACA 는 5.0 버전을발표 : 4.1 버전의 4 대도메인과내용을발전시킴 COBIT 4.1 Domain 계획과조직화 (PO) 도입과실행 (AI) 운영과지원 (DS) 모니터링과평가 (ME) COBIT 5.0 Domain 정렬, 계획과조직화 (Align, Plan and Organize) (APO) 구축, 도입과실행 (Build, Acquire and Implement) (BAI) 운영, 서비스와지원 (Deliver, Service and Support) (DSS) 모니터링과평가 (Monitor, Evaluate and Assess) (MEA) - 추가적인정보가 IT 거버넌스협회 (www.itgi.org) 로부터활용될수있음 -> IS 감사자에직접적인이해의상세사항은다음 COBIT을포함 - 프레임워크 - 통제목적 - 통제관행 (practices) - IT 보증가이드 - 사베인-옥슬리를위한 IT 통제목적 - IT 거버넌스실행가이드 3.19 시스템감리론
2. COSO : 내부통제표준 - COSO COSO(Committee of Sponsoring Organizations) 프레임워크 : 1992 년에제시, 2013 년 5 월에개정 -> 조직목표를달성하는데있어위험을완화하기위한세가지기업목표의범주와다섯가지 IC 시스템의구성요소로구조화되어있음 -> 내부통제는모든비즈니스가추구하는세가지목표의성취와관련된합리적인보증을 제공하도록설계되어사람들에의해영향을받는, 폭넓게정의된프로세스로 COSO 에의해다음과같이정의됨 1 성과목표의달성과상실에대한자산의유지를포함하는운영의경제성과효율성 2 신뢰할수있는재무와운영데이터및보고들 3 법과규제의준거성 (compliance) -> 이런목적달성위해, COSO는경영을지원하게될다섯가지구성요소를정의 1 건전한통제환경 2 건전한위험평가프로세스 3 건전한운영통제활동 4 건전한정보와통신시스템 5 효과적인모니터링 -> 모든다섯가지요소가제시되고운영, 재무보고와준거성 ( 세가지목표 ) 을위해효과적으로기능한다면내부통제시스템이효과적인것으로판단될것 3.20 시스템감리론
2. COSO : 내부통제표준 - COSO 의주요목표 : 다양한개별당사자들에게서비스하기위한내부통제의공통된정의를설정하고, 동시에조직이내부통제시스템을평가하고개선을위한영역을확인할수있는기준을제공 -> COSO : 내부통제시스템이대체재가아닌경영의수단이고, 통제가추가된것이라기보다는오히려운영활동에필수적이어야함을강조 -> COBIT 과다르게, COSO 는내부통제를다른것에의존하지않는프로세스로정의, 내부통제의효과성에대한주기적인평가가때때로수행되어야한다고권고 -> 이모든것이내부통제전체시스템의효과성을저해하도록작용할수있는잘못된인적판단, 명령에대한오해, 관리무시, 공모, 실수와비용편익고려사항을포함하는내부통제시스템의한계를제시하려고시도함 -> 위험에대한평가와관리진의감시하는절차의효과성에의존하는그런검토의빈도와범위를 가지고, 내부통제시스템에의해수행된개별적이고독립적인평가가있어야한다고언급 - COBIT : 최초에정책, 절차, 관행, 조직구조가비즈니스목적이성취될수있도록합리적인 보장을제공하도록설계되고, 바람직하지못한사건은예방되거나적발되고교정되도록설계된다는점에서, COSO 로부터의통제의정의에맞춤 -COBIT : 비즈니스프로세스와관련됨에따라 IT 통제의역할과영향을강조 COSO: 내부통제를정의하고, 구성요소를기술하고, 통제시스템이평가될수있는기준을제공 * 추가사항 :9 장내부통제개념에제시 3.21 시스템감리론