- 기준은자체로속성, 성과, 실행기준들로재그룹및재정의되어왔음 - 기준그룹과정의 : 표 8-2 1) ISACA 기준 - IS 감사기준을위한프레임워크 : 다음과같은지침의여러수준들을제공 가. 기준 (standards) : IS 감사와보고를위한의무적인 (mandatory) 요구사항을정의하며다음사항들을알려줌 - IS 감사자들을위한전문적윤리의 ISACA 강령에서설정하는전문적인책임을충족하는데요구된수락할수있는성과의최소한수준에대해 IS 감사자에게알려줌 - 실무자들의작업에관한전문직의기대를관리진과다른이해당사자들에게알려줌 - CISA(Certified Information Systems Auditor) 의소유자들에게요구사항의지정을알려줌 -> 이러한기준을지키는데실패는 ISACA 감독위원회나적합한 ISACA 위원회에의해 CISA 소지자의행위에대한조사를가져올것이고궁극적으로규율적조치를초래할것임 나. 가이드라인 (guidelines): IS 감사기준을적용하는데지침을제공함 -IS 감사자는기준의실행을달성하는방법, 기준의응용에서전문적인판단을이용하는방법, 어떤출발을정당화하는데준비되는방법을결정하는데기준들을고려해야함 -IS 감사가이드라인의목표 :IS 감사기준을따르는방법에대한추가적인정보를제공하는것 다. 도구와기법 (tools and techniques): IS 감사자의감사수행시기준을충족시킬수있는구체적인방법예를제시함 - 기준을충족하는방법에대한정보를제공하지만요구사항을설정하지는않음 - 목표 :IS 감사기준을따르는방법에대한추가적인정보를제공하는것 3.1 2010 by Prentice Hall
1) ISACA 기준 ( 계속 ) -COBIT 자원은베스트프랙티스지침의원천으로이용되어야함 -COBIT 은 IS 감사자뿐만아니라비즈니스와 IT 관리진에의한이용을의도함 -> 그것의이용은비즈니스목표, 베스트프랙티스와권고사항의조합이대략공통적으로이해되고잘존중된표준참고로만드는것이가능하게함 -COBIT 은 2011 년 IT 거버넌스의개념을포함한버전 5.0 으로발표되었고다음을포함함 1 통제목표 : 최소한의적절한통제의높은수준과상세한일반적진술서 2 통제프랙티스 : 통제목표를위한실용적인근거와실행가이드방법 3 감사가이드라인 : 이해를얻고, 각통제를평가하고, 준거성을평가하고, 충족되지않는통제의위험을구체화하는방법에대한각통제영역을위한지침 4 관리진가이드라인 : 성숙도모델, 메트릭스, 중요성공요소를이용하여 IT 프로세스성과를평가하고개선하는방법에대한지침 * IS 기준, 감사와통제전문인을위한가이드라인과도구와기법의더상세한내용 :www.isaca.org 에서확인가능 3.2 2010 by Prentice Hall
2) ISACA 윤리강령 - ISACA 는또한구성원들, CISA 와 CISM(Certified Information Security Manager) 이다음을하게될것을요구하는자신의윤리강령을가지고있음 -> IS 에대한적합한기준, 절차, 통제의실행을지원하고준거성을촉진함 -> 전문적인기준과베스트프랙티스와일치하게상당한주의 (due diligence) 와전문가적주의를가지고그들의직무를수행함 -> 행위와성격의높은기준을유지하고전문가로비신뢰적인행위에관여하지않으며, 적법하고정직한방법으로이해관계자의이익에부합함 -> 법적인권한에의해공개가요구되지않는다면그들의직무과정에서획득한정보의프라이버시와기밀성을유지함, 그런정보는개인적편익을위해이용되지않을것이고부적합한당사자에게공개되지않을것임 -> 그들각각의분야에서역량을유지하고전문적인역량을가지고완성하리라합리적으로기대할수있는그런활동들만착수하는데동의할것임 -> 수행된일의결과물을적합한당사자에게알려줌, 즉그들에게알려진모든중대한사실들을공표하게됨 -> IS 보안과통제에대한이해를향상시키기위한이해관계자에대한전문적인교육을지원함 - 이러한전문가윤리강령 (Code of Professional Ethics) 을따르는데실패는구성원또는자격소지자의행위에대한조사를초래할수있고궁극적으로징계조치를수반할수있음 * 전문적인윤리강령의더상세한사항은 www.isaca.org 에서확인가능 3.3 2010 by Prentice Hall
3) COSO: 내부통제기준 -1992 년에미국공인회계사협회 (AICPA), 내부감사자협회, 미국회계협회, 관리회계사협회, 재무임원협회는함께준비한내부통제 - 통합된프레임워크 (Internal Control-An Integrated Framework) 로이름붙여진연구를발표 - 이문서는기업이나정부실체 (entity) 의기본적인목표를확인함 -> 이것은운영의경제와효율성, 자산의보호, 요구된결과물의달성, 재무적관리보고서의신뢰성, 법과규제의준거성을포함 - 내부통제 : 폭넓게정의된프로세스로, 사람들에의해유효화된, 모든기업들이다음과같이추구하는세가지목표의달성과관련된합리적인보증을제공하도록설계되었고, COSO(Committee of Sponsoring Organizations) 에의해정의되었음 -> 즉, ⅰ) 성과목표의달성과상실에대한자산의보호를포함하는운영의경제성과효율성 ⅱ) 신뢰할수있는재무데이터, 운영데이터와보고서 ⅲ) 법과규제들에대한준거성 -> 이러한목표를달성하기위해 COSO 는경영진을지원할다섯가지요소들을정의함 -> 경영진을지원할다섯가지요소 : 건전한통제환경, 건전한위험평가프로세스, 건전한운영통제활동, 건전한정보와소통시스템, 효과적인모니터링 (p. 92) 3.4 2010 by Prentice Hall
4) BS 7799, ISO 17799, ISO 27001, ISO 27002 : IT 보안 - 영국표준 7799, 국제표준화기구 17799 및 27002 : 전자상거래가도입될때, 보안과통제와 관련된보증의어느정도가거래하는파트너들의시스템내어느끝단에서실행되는가를보장함으로써, 기업들을지원하기위해개발됨 -> 이런기준들은 IS 보안을다음과같은 10 가지주요영역으로나누게됨 - 보안정책 - 보안조직 - 자산분류와통제 - 인적보안 - 물리적환경적보안 - 컴퓨터와네트워크관리 - 시스템접근통제 - 시스템개발과유지보수 - 비즈니스연속성계획 (BCP) - 준거성 (compliance) -> 이런영역각각내에, 주요한통제들은명령적인것으로간주되고, 조직에의해유지될수있는위험의수준에따라추가적인통제는운영적인것으로간주됨 -> 상세한기준은안전한조직을제공하는데필요한것을설명하지만, 최소한그기준들은다음의존재를필요로함 - 문서화된 IS 보안정책 - 정보보안을위한책임의할당 - 정보보안위험과통제상에적합하게훈련된사용자들 - 보안관련문제들의보고를위한피드백메커니즘 - 완전히테스트되고유효한비즈니스연속성계획 - 적합한데이터보호입법화를가진준거성을보장하기위한통제 - 법인의법령에근거한요구사항과부합하는기록의안전을보장하는통제 - 바이러스와스파이웨어와같은악의적소프트웨어를예방하고적발하는통제 - 검토절차 3.5 2010 by Prentice Hall
5) NIST -2002 년연방정보보안관리법 (FISMA; Federal Information Security Management Act) 의규정으로, 기관들이명령적인연방정보처리표준 (FIPS) 과부합하는것을보장하는법령이제공됨 - 표준과기술국가협회 (NIST; National Institute of Standards and Technology) : 기술측정과표준을다루는연방기술기관 -> NIST 의한분과인컴퓨터보안자원센터 (CSRC; Computer Security Resource Center) 는여러개의보안표준뿐만아니라 IT 보안에대한핸드북을산출하여지원해왔음 -> NIST 핸드북은 BS 7799 와 ISO 17799(27002) 에바로유사한근거를포함하지만, 컴퓨터보안요소들, 역할과책임, 공통의위협들과같은주제에대해더욱상세하게다룸 < 표 8-3> 통제의유형 통제관리통제운영통제기술적통제 내용 - 컴퓨터보안정책 - 컴퓨터보안프로그램관리 - 컴퓨터보안위험관리 - 보증 (assurance) - 컴퓨터시스템생명주기에서보안과계획 - 인력 / 사용자문제 - 비상상황과재난을위한대비 - 컴퓨터보안인시던트 (incident) 취급 - 인식, 훈련, 교육 - 컴퓨터지원과운영에서보안고려사항 - 물리적환경적보안 - 식별과인증 - 논리적접근통제 - 감사증적 - 암호화 3.6 2010 by Prentice Hall
5) NIST( 계속 ) -NIST 핸드북은또한컴퓨터시스템내위험을평가하고완화하는실제적실행에대한부분을포함함 - 또다른표준인연방정보와정보시스템을위한최소한의보안요구사항 (Minimum Security Requirements for Federal Information and Information Systems) : 17 개보안관련영역에서연방정보와 IS 를위한최소한의보안요구사항들을특정함 -> 연방기관들은그안에정의된대로최소한의보안요구사항들을충족하도록요구됨 -> 모든그런표준들은 www.csrc.nist.gov 에서 NIST 로부터이용가능 6) BSI Baselines - 영국표준기관 (BSI; British Standards Institution) 정보보안을위한기저통제 (Baseline Controls for Information Security) :IS 를위한중간수준보호를제공하기위한최소한의통제집합을기술하고다음사항을포함함 1IT 보안관리 : IT 보안프로세스, IT 보안프로세스내책임과권한부여 2 일반적요소들을위한 IT 기저보호 : 조직, 기반시설, 사무실, 가정작업실, 서버기반네트워크, 데이터전달시스템, 통신, 다른 IT 요소들 - 기준 ( 표준 ) 이결정적이라고판단되지않아야함 -> 시간에따라새로운기준들이만들어지고오래된것들은갱신되며, IS 감사자는국제적으로인정된기준에서최신개발사항에뒤떨어지지않도록하는것이또한일부직업적요구사항임 3.7 2010 by Prentice Hall
정보시스템감사프로세스 9 장. 내부통제 (IC) 개념 - 기업거버넌스개념소개 - 통제기준 (COCO), 후원조직위원회 (COSO), 사베인옥슬리법, 최근입법 - 통제의구조화 - 통제분류 - COBIT에주의를둠 3.8 2010 by Prentice Hall
1. 내부통제 - 정확히통제가무엇인가? 혼란이있음 - 통제 : 설정된목표와목적이달성될가능성을향상시키기위한경영진에의해취해진행동으로정의될수있음 -> 경영진의계획, 조직화, 지휘로부터발생되고, 많은변수들 ( 예, 관리통제, 내부통제, 기타 ) 이일반적조건내에구성될수있음 - 조직이다음과같이진술된목표를향해작동되도록보장하기위해관리통제가의도됨 -> 기업의목적과목표는기업의도 ( 시장점유율이이번해에 10% 증가할것이다 ) 의진술임 -> 관리목표는기업목표가얼마나충족될것인가를정의함 ( 시장점유율은고객의현재와미래필요와욕구를결정하기위해, 데이터저장소 (warehouse) 내정보를레버리지하여증가될것임 ). -> 내부통제는관리목표를보장하는프로그램이타당하게기획되고실행됨을보장함 ( 주기적인점검이데이터저장소내포함된데이터의무결성에대해이루어질것이고, 마케팅은정보필요를충족하기위해데이터마이닝도구의완전한사용으로훈련될것임 ). - 통제책임은분명히경영진의일이고계획, 조직화, 지휘를수반함 -> 계획 (planning): 자원을활용하는선호된방법들을선택하는것뿐만아니라목적과목표의설정을의미 -> 조직화 (organizing): 요구된자원의수집과목적이달성되는방법으로조정하는것을포함 -> 경영프로세스를지휘하는 (directing) 것 : 주기적으로계획된성과와실제를비교하는것뿐만아니라권한부여, 교육 (instructing), 성과모니터링을포함 3.9 2010 by Prentice Hall
1. 내부통제 -IS 관리내에통제책임 : 시스템이의도된대로기능하고데이터무결성이유지되고, 기밀성이유지되고, 시스템이요구된대로요구시점에활용가능하고, 데이터정확성과완전성이유지되고, 접근이권한이있는경우에만주어짐을보장하는것을포함함 -> 경영결정은전략적, 전술적, 운영적인것으로분류되고, 어느수준이든모든결정은결정이이루어지는기반을제공하도록설계된 IS 에의해영향을받음 -> IS 감사 : 내부통제라는시스템이의도된대로, 효과적으로기능하는것을보장해야함 -> 필요한통제의수준은전체목표 (objectives) 에의해영향받을것임 - 기업목표 (corporate objectives) 와목적 : 기업의도의진술이고대개매우광범위함 - 관리목표 (management objectives) : 기업목표가어떻게충족되어지는가를정의하고대개훨씬더상세화됨 -> 내부통제는관리목표들을보장하는프로그램들이타당하게기획되고실행되는것을보장하도록설계됨 -> 운영목표 (operating objectives): 일반적인매일매일활동을규정하는동인들이고자체적으로충돌할수있고, 그들끼리의충돌을발견할수있음 * 예를들어 ) 기밀성에대한필요와데이터활용가능성에대한필요, 데이터처리의효율성과효과성사이에충돌이있음 -> 운영목표의우선권이통제의개선을지휘하고통제의최종전체적인시스템에영향을주게될것임 - 조직이높은보안환경에서운영되는것을가정하면, 통제목표는정보의항구적인상실이정보의누설보다선호될수있음 - 더낮은보완환경에서는가용성이주요한관심이될것이고, 기밀성의상실은비교적작은문제일수있음 -> 내부통제구조의본질과방향을정하는것 : 이러한위험프로필의평가이고그래서 IS 감사가작동함 3.10 2010 by Prentice Hall
1. 내부통제 1) 비용 / 편익고려사항 - 목표 : 목표를달성하려고시도하는비용을고려해야함 -> 가능한한빨리 는 에러 0 이품질의모든측면들을커버하는강력한내부통제를시사하는데반해, 속도를위해다른어떤통제도전무함을함의 - 통제 : 실용적이고, 유용하고, 운영과통제목적양자와호환할수있어야하고, 비용과편익사이에늘상충관계가있음 -> 자금, 인력, 컴퓨팅파워, 시간의견지에서모든통제가자원을소모하기때문에, 통제는늘비용과편익 사이에상충관계를함의함 (1 백만원의가능한상실을예방하기위해 2 백만원을소비 -> 가치있다고할수는없음 ) 2) 내부통제목표 상세한수준에서개괄적인내부통제목표들은다음사항을수반 - 정보의신뢰성과무결성 : 만약경영진이 IS 내에보유되고처리된정보의신뢰성과무결성을신뢰할수없다면, 모든정보는의심스러운것으로간주되어야하고어떤경우에이것은 IS 의상실보다조직에더욱해가될수있음 - 정책, 계획, 절차, 법, 규제들의준거성 : 법과규제는외부적으로부과되고지켜져야함, 불충분한 IS 는조직이국가의법을부주의하게어기도록하여벌금, 형벌, 사무원의구속이라는상실의결과초래가능 -> 조직의내부정책, 계획, 절차들은계획적, 체계적, 질서있는운영을보장하도록설계됨 -> 때때로관리자는그런정책, 계획, 절차의충분성 (adequacy) 을평가하도록요구될수있음 ( 비즈니스의본질이변화되거나위험이재평가되어야하거나통제목표의우선순위가다시매겨져야하기때문 ) 3.11 2010 by Prentice Hall
1. 내부통제 2) 내부통제목표 ( 계속 ) - 자산의보호 : 자산의상실은전형적으로조직이직면할수있는가장시각적인위험들중의하나이고대개이런것들은문잠금, 금고, 보안요원과같은가장시각적인통제들의실행을이끎 -> IS 의존적인조직에서자산통제는이중관리 (dual custody), 직무의분리, 컴퓨터인증기법과같은비가시적인것들을또한포함 -> 일부조직은보유한정보를대차대조표상에기업자산으로선언하는위치에있을것임, 그럼에도불구하고, 기업정보저장소는적합하게레버리지되면조직이요구할수있는가장큰자산일수있음 -> 많은조직의경우에, 컴퓨터시스템들내에보유된재무기록들은예를들어, 재고의총가치가컴퓨터시스템이재고가치가뭐라고얘기하든지공통적으로취해진다는점에서정말로실제자산임, 유사하게, 채권자와채무자평가는적합한컴퓨터시스템내에보유된정보에대개기반을둠 - 운영의효과성과효율성 : 효과성 : 설정된목표의달성을포함하고모든운영과통제들의궁극적인초점이어야함, 최초설계시점에서, 많은 IS 는기업목표를달성하는데초점이맞춰짐 -> 시간에따라이러한목표는변화하고 IS 는그런목표를달성하는데생산적이지못하게됨 -> 컴퓨터시스템은그러므로기업의전략적방향과의도와일치하도록계속적인모니터링을요구함 -> 효율성 : 부족한자원 활용의최적화도구로분류되고, 낮은자원활용의축소뿐만아니라낭비의감소를포함, 많은조직에서 IS 는격언 닭잡는데소잡는칼을쓰는 것이되어왔고, 사무자동화의경우에만본다면, 효율성을향상시키는대신에그것을감소하는데사용되어왔음 - 위와같은통제목표들을명심하고, 경영진은위의모든목표들을달성할가능성을향상시키도록내부통제라는시스템을구조화할수있음 3.12 2010 by Prentice Hall