9. 응용 통제(Application Control): For 데이터 정확성/완전성/일관성 및 거래 승인
(1) 입력 통제
1) 입력 승인(Input Authorization): 원시 문서에 대한 통제 - 원시(source) 문서 서명 요구
- 원시 문서 레이아웃 설계
- 원시 문서 양식에 선택 가능 옵션을 제한(Like 타당성 체크)
- 온라인 거래인 경우를 통해 전자서명 강력한 인증 및 접근 통제 구출 - 입력 단말기 식별번호 부여를 통해 책임 추적성 확보
2) 배치 통제 및 비교(Bach Controls and Balancing)
- 데이터 통제 그룹의 배치 통제 합계 계산
① 문서 합계: 접수된 원시 문서의 전체 개수로서 거래 합계라고도 함
② 항목 합계: 각 거래 또는 문서에 포함된 처리 대상 상품 또는 품목의 총 개수
③ 금액 합계: 모든 거래를 처리할 경우 지출 또는 수입되는 금액의 전체 합계
④ 해시(Hash) 합계: 원시 문서에 사전 부여한 일련 번호 또는 거래 식별 번호의 합계
** 배치 헤더: 입력배치의 완전성 확인 방법
- 키 검증(Key Verification): 하나의 문서를 서로 다른 직원이 각각 입력한 다음 비교
3) 입력 통제 기법
- 온라인 거래 입력 시 시스템이 자동으로 거래 일지(Transaction log)를 작성
- 사용자 매뉴얼과 컴퓨터 화면에서 입력 시 주의 사항을 확인할 수 있게 인터페이스 구축
- 온라인 전송을 통한 입력 시 책임 추적성을 위해 전송 일지(Transmittal log)를 작성
- 배치 입력의 경우 예상 시점이 지나도 문서가 제출되지 않으면 능동적으로 문의
- 입력 완료된 문서는 소인(Cancellation stamp)을 하거나 구멍을 뚫어 중복 입력 위험 제거
- 입력 완료한 문서는 일정 기간 입력 부서에 보관하다가 폐기하거나 사용자에게 반환하여 중복 입력 위험 제거
(2) 데이터의 확인/편집: 가능한 원래 부서와 가까운 곳에서 수행(궁극적 책임: 데이터 소유자)
** 입력자가 데이터의 확인/편집을 수행해서는 안됨
** 입력자(운영자)가 제출한 거래에 대해 정보처리프로그램이 가장 먼저 수행하는 절차
1) 확인(Validation): 데이터가 특정한 무결성 기준에 부합하는지 검토-> 무결성 체크 기법(편집통제 기법: 예방 통제의 일종)
- 키 검증(Key Verification): 특정 데이터를 두 번 입력하게 하여 입력 오류를 예방
- 배치 헤더 및 트레일러 ** 완전성만 확인
- 패리티(Parity) 체크: 전송 메시지로부터 계산한 송수신 오류 검증용 비트를 체크
** 완전성만 확인: 전송과정에서 변화가 없었음을 증명
- 순서(Sequence, 시퀀스) 체크: 일련 번호 또는 식별 번호가 누락 또는 중복되는지 확인 ** 완전성만 확인
- 합리성(Reasonableness) 체크: 데이터 값이 일반적으로 관찰되는 값인지 확인 ** 무결성 확인에 한계가 존재
- 한도(Limit) 체크: 데이터 값이 상한선이나 하한선을 넘지 않는지 확인 ** 무결성 확인에 한계가 존재
- 범위(Range) 체크: 데이터 값이 특정한 상한선과 하한선 사이인지 확인 ** 무결성 확인에 한계가 존재
- 타당성(Validity) 체크: 선택 가능한 옵션들을 중에서 입력 값을 고르게 함
- 테이블 검색(Table Lookup): 입력 가능한 값을 테이블에서 검색하여 선택하게 함
- 존재성(Existence) 체크: 데이터 값이 실존하는 실체에 부여된 값인지를 확인
- 체크 디지트(Check Digit): 일련 번호나 식별 번호 끝 자리에 오류(잘못 입력, 순서 변동) 검출 기능을 삽입(정확성)
- 중복순환검사(CRC: Cyclic Redundancy Check): 패킷에 추가된 비트열을 삽입하여 오류 검출 (패리티 체크: 추가된 비트) ** 완전성과 무결성을 동시에 확인
- 논리적 상관 관계 체크: 데이터 값들 간 일반적인 상관 관계가 유지되는지 확인
- 완전성(Completeness) 체크: 필수 입력 필드가 누락되면 오류 메시지 발생 ** 완전성만 확인
- 중복성(Duplication) 체크: 특정 실체가 이미 존재하지 않는지 확인 ** 완전성만 확인
2) 편집(Editing): 확인 결과 오류가 있어 보이는 데이터를 수정
(3) 처리 통제
1) 정의: 처리 과정에서 누적 데이터의 정확성과 완전성이 보존되는지 검증
2) 사용 기법(입력 과정에서 사용되는 기법을 처리 과정에서 활용가능)
- 실행 간 합계(Run to Run Total): 처리 단계마다 데이터 합계를 계산, 지속적 검증
** 수작업 재계산 or 응용에 프로그래밍하여 재계산 기능 내장
- 예외 보고서(Exception Report): 잠재적 오류를 포함하고 있는 것으로 보이는 거래나 데이터를 식별하여 보고
- 파일 합계 조정(File Total Reconciliation): 파일 합계를 주기적으로 계산하고 비교하여 차이를 조정
** 패리티 체크 보다 무결성 확인이 더 확실함
- 트레일러 레코드: 처리의 완전성 보증
- 원자성(Atomicity)의 원칙: All or Nothing -> 데이터 무결성 유지
(4) 데이터 파일 통제
1) 정의: 오직 승인받은 처리에 의해서만 데이터 파일이 변경되도록 하기 위해 인증 절차, 암호화 등의 적절한 보안이 적용
2) 기법
- 패리티 체크(Parity Check): 데이터 전송 오류를 적발할 때 사용, 송수신 오류 검증용 비트를 체크(완전성만 확인)
- 거래 일지(Transaction Log): 오류 검증/복구를 위해 입력/처리한 거래를 기록
- 파일 갱신 및 유지 보수 승인: 갱신 및 보수 시 승인을 받고 사후 추적과 검토를 위해 감사 증적을 유지
- 사전/사후 이미지 보고서: 처리 중에 변경된 거래들을 변경 전의 값과 함께 보고
① 거래 처리 추적 기능
② 데이터베이스 관리시스템 재시작 및 복구절차 검토 시 확인 대상-> 데이터 백업 및 트랜잭션 로그 생성
③ 데이터베이스 사전 이미지 덤프를 사용한 복구: 마지막 트랜잭션 전에서 복구를 해야함
- 오류 보고의 유지 및 처리: 거래를 개시하지 않은 제3 자가 오류를 검토하고 수정
- 원시 문서 보관: 원시 문서는 데이터의 검증/재작성/검색을 위해 일정 기간 보관
- 내/외부 라벨 부착: 저장 매체에 외부(물리적) 및 내부(전자적) 라벨 부착
- 일대일 체크: 수령한 각각의 문서는 처리된 문서 목록과 일일이 대조
- 미리 기록한 입력: 특정 필드는 오류를 줄이기 위해 입력 용지에 미리 인쇄
(5) 출력 통제(For 책임추적성)
1) 물리적 접근 통제
- 아무나 출력물에 접근할 수 없도록 출력 장소에 대한 적절한 접근 통제 실시 - 출력 스풀 파일에 접근하거나 출력 우선 순위를 함부로 변경할 수 없어야 함
** 스풀: 인쇄기 대기 열
- 중요하거나 유통 가치가 있는 출력 양식 역시 안전한 장소에 보관 - 양식에 찍는 직인, 서명을 각인한 스탬프 등도 안전하게 보관
2) 오류의 발견과 수정
- 처리 중 발생한 오류를 정리한 오류 보고서는 관련 부서에 시기적절히 전달 - 오류 내용을 적절히 검토 후 해결
- 응용 처리 후 생성되는 출력물은 통제 합계와 정기적으로 비교(Balancing)
- 만약 비교 과정에서 차이를 식별하면 차이의 원인을 찾아 조정(Reconciliation)
3) 처리 및 출력 과정에서의 배치 합계 비교
- 데이터를 컴퓨터로 처리 및 출력하는 과정에서 다시 배치 통제 합계를 계산
- 다음 입력 단계에서 계산한 배치 통제 합계와 일치하는지 비교 후 배치 처리 및 출력 과정에서 오류가 있었는지 검증
4) 출력물 배포
- 출력 보고서를 배포할 때는 적절히 승인
- 출력 보고서는 인수 인계 일시와 함께 인수 서명을 받은 후 전달->출력 보고서 관리와 관련한 책임 추적성이 확립
5) 보존 및 폐기
- 출력물은 법규를 반영하여 보존 정책을 수립하고 이에 따라 일정 기간 보관
- 폐기되는 출력물에도 함부로 접근할 수 없도록 통제
-끝-
-Domain 3끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
댓글