Domain 4. 정보시스템 운영 및 사업 연속성
1. 컴퓨터 하드웨어
(1) 컴퓨터 하드웨어의 종류
1) 컴퓨터의 종류
- 메인프레임: 멀티 테스킹과 멀티 프로세싱이 가능 (핫 사이트와 웜 사이트를 나누는 기준)
- 미니컴퓨터: 중간 규모의 업무를 처리하지만 메인프레임과 기능은 동일, 통신 링크/LAN에서의 서버 역할
- 마이크로 컴퓨터: 일반 사무용 및 가정용으로 사용되는 가장 낮은 사양의 컴퓨터, 일반적인 개인용 컴퓨터(PC)
- 기타: 랩탑 컴퓨터, 태블릿 PC, PDA(Personal Digital Assistant), BYOD(Bring Your Own Devices) 등
2) 백엔드 장비
- 프론트엔드: 시스템 중 사용자와 직접 상호 작용하는 부분
- 백엔드: 이면에서 정보 처리를 수행하는 부분으로서 서버와 전용장치(Appliance)로 구성
① 서버: 클라이언트의 업무 처리에 직접적인 도움을 주는 서비스를 제공, 큰 규모 예) 응용 서버, DB 서버, 프린터 서버, 파일 서버, 웹 서버, 프록시 서버 등
② 전용장치: 서버 또는 네트워크의 기능을 지원하는 부수적 서비스를 제공, 작은 규모 But 특화 및 효율성 예) 라우터, 스위치, 로드 밸런서(L7 스위치), VPN, 방화벽, IDS, IPS 등
(2) 컴퓨터 주변 장치
1) 입력장치
- 데이터 등록(Entry): 사용자 인터페이스에 표시된 데이터 필드에 데이터 값을 직접 기입
- 데이터 포착(Capture): 센서나 스캐너 등 데이터 등록 이외의 방법으로 데이터 값을 획득
** RFID(Radio Frequency Identification) 태그: 불법도청/추적 용이 -> 도청, 프라이버시 문제, 정보 오용의 위험
** 능동적 RFID: 도청 문제 해결 But 배터리 방전으로 인한 수명 제한 및 재충전 문제 존재
2) 저장장치: 프로그램 파일 및 데이터 파일을 저장하는 데 사용 - 종류
① 광학 디스크(광저장매체): CD, DVD, 블루레이 등 WORM->이미지 저장소로 적합
② 자기 디스크: 직접 임의접근방식 가능 -> 직접 접근식 저장 장치(DASD: Direct Access Storage Device)
③ 자기 테이프: 순차적 접근방식 사용 -> 순차 접근식 저장 장치(SASD: Sequential Access Storage Device)
④ USB: 핫 스왑(Hot swap) 기능을 사용 -> 플러그 앤 플레이(PnP: Plug and play) 기능 향상
⑤ 광저장매체, SSD: 덮어쓰기 및 자성제거 불가 -> 오직 파괴를 통한 파기 필수 - 휘발성 순위: 캐시/레지스터 > RAM > 하드디스크/광학디스크
- 클라이언트-서버 환경 저장 매체
① NAS(Network Attached Storage): 부서차원의 공유 저장소
② SAN(Storage Area Network): 전사적 빅 데이터 솔루션 -> e-Business에 있어 높은 가용성과 오유 허용 제공 - 플래시 메모리(=비휘발성 메모리) 예) 부팅가능 USB 드라이브: 로그 없는 대량 파일 복사
3) 출력장치: 모니터, 프린터, 플로터, COM(마이크로 필름 출력장치), 스피커 등
** 여러 사용자가 공용으로 접근할 수 있는 프린터의 경우 물리적 보호와 통제가 필요 (스풀 통제)
(3) 하드웨어 구입
1) 하드웨어 요구 사항 분석
- 명세서(Specification) 작성: 활용 목적과 용도, 기능, 용량, 보안 요구 사항
- RFI(Request For Information)를 참고: 벤더에게 정보를 요청할 때 사용하는 문서
- 타당성 조사
- 개념 검증(POC: Proof of Concepts) 후 확정: 채택된 IT 기반구조가 기능 및 보안 요구 사항을 충족하는지 검증
- IT 기반구조 전략
① 하드웨어 아키텍쳐
② 시스템 소프트웨어: 하드웨어와의 안정성 추구 -> 플랫폼 다양성 최소화
③ 네트워크 아키텍쳐
** 프로그램 아키텍쳐: 응용 아키텍쳐
2) 제안 요청서(RFP: Request for Proposal) 작성
- 정의: 벤더가 어떤 조건으로 하드웨어 제품을 공급해 줄 수 있는지 문의하는 문서
- RFP의 신뢰성을 높이는 방법: 제안서 내용이 계약서에 포함될 것임을 명시 및 공급자 선정 기준/방법 작성
- 유사 개념: ITT(Invitation To Tender), RFB(Request For Bid) -> 요구사항 보다 가격이 주요 사항일 때
3) 제안서 작성
- 제안 설명회 개최(기업): 제안서(Proposal) 또는 견적서(Bid) 작성 요령을 설명하는 모임
- 제안서 작성(벤더): 벤더들은 RFP 와 설명회 내용에 맞추어 제안서를 작성하여 제출
4) 제안서 평가
- 1차 평가: 기본적인 조건에 따라 결격 사유(취약한 재정, 부당 거래 이력, 필수적 요구사항)가 있는 업체들을 탈락
- 추가 평가: 평가 항목별로 배정된 만점과 가중치에 따라 평가 점수를 산정(상세 비용/효과 조사)
5) 협상 및 계약 체결
- SLRs(Service Level Requirements, 서비스 수준 요구사항) 초안 작성
- 기업 정책의 준거성 검토: 계약 조건을 협상 -> 서비스 수준에 따른 처벌 규정 또한 논의
- SLA(Service Level Agreements, 계약서) 작성: 가장 유리한 조건을 제시한 업체와 계약
6) 설치/테스트/구현: 파라미터 디폴트 값 수정 필수
(4) 하드웨어 관리
1) 하드웨어 유지보수 계획
- 하자(Corrective) 보수: 시스템 납품 전에 발견하지 못한 오류를 수정
- 예방(Preventive) 보수: 시스템의 원활한 운영을 위해 주기적으로 점검 -> 다운타임 감소(가용성 보고서에서 확인)
- 적응(Adaptive) 보수: 정보 처리 환경에 맞춰 시스템을 조정
- 개선(Perfective) 보수: 기능 향상 및 추가를 통해 성능을 개선
2) 하드웨어 감시: 하드웨어의 사용의 효과성과 효율성을 감시하기 위해 다음과 같은 보고서들을 사용
- 자산/장비(Fleet)관리 보고서: 하드웨어 목록, 관리 및 유지보수 현황 파악
- 하드웨어 오류 보고서: 하드웨어의 기계적, 전기적 오류와 장애를 보고
- 가용성 보고서(Availability Report): 컴퓨터의 중단 시간(Down time) 및 가용 시간을 보고
** 가용 시간 = 총 정보 처리 시간 - 시스템 중단 시간
- 이용 보고서(Utilization Report): 이용도 및 용량의 적정성 판단 지표를 제공 -> 용량 관리 및 성장 계획 수립 시 참조
3) 용량 관리 및 성장 계획: IS 관리자는 용량의 이용률을 최소 연 단위로 감시하고 적절한 용량 계획을 수립하여야 함
** 회사 기술 진부화 시 선택 방안: 용량 및 성장 계획/아웃소싱
- 자원의 평균 이용률(Utilization):
** 유휴(Idle) 용량: 최대 가용 용량 중 특정 시점에서 사용하지 않는 여유분
- 적정 평균 이용률: 85~95% 사이
4) 파일 관리 구조: 파일을 관리하고 접근하는 구조
- 순차 접근 방식(Sequential Access): 자기테이프 방식 -> 사용 빈도가 낮은 다량의 데이터 백업에 주로 사용
- 색인 접근 방식(Indexed Access): 키를 기준으로 레코드를 정렬하고 이를 참조하여 검색
** 색인(Index): 레코드의 키와 위치 정보를 종합한 목록 파일
- 직접 임의 접근 방식(Direct Random Access): 자기디스크 방식 -> 인덱스 없이 레코드 키로 레코드를 직접 접근/검색 ** 레코드의 키(Key): 레코드를 식별/정렬하기 위한 식별자
2. 정보시스템 소프트웨어
(1) 시스템 소프트웨어 및 관련 개념
1) 운영 체제(OS: Operating System): 운영체제 변경통제 -> OS 무결성이 손상되지 않도록 관리
- 매개변수(Parameter) 설정 중요: 시스템 통제옵션/시스템 디렉토리
- 시스템 부팅 과정(IPL 과정, 초기 프로그램 로드 절차) 시 승인 절차 필요
- IPL 과정 변경 시 매개변수(파라미터) 검토 필요
- 특정 컴퓨터에 설치하여 사용하려는 모든 소프트웨어는 OS 와의 호환성을 가져야 함
- 패치 시: 정보자산 소유자의 승인을 득하여야 함
2) 유틸리티 프로그램: OS 가 아니면서 시스템의 유지보수 및 처리 작업의 정상적 진행을 보조 -> 통제 위험 존재
- 민감한 기능을 제공(범위 통제)
- 원격 접근 가능
- Log 미생성 활동 가능
3) 네트워크 감시 및 관리 소프트웨어: 네트워크를 통제/관리하는 데 필요한 기능을 수행 -> 정보 생성
** 네트워크 운영 체제(NOS: Network Operating System): 자원 공유와 네트워크 관리 기능을 강화한 OS -> 원격 서비스의 가용성과 사용편의성 중요 예) 온라인 네트워크 문서화의 가능성
4) 데이터베이스 관리 시스템(DBMS): APP/필드/레코드 수준 통제(네트워크 수준 통제X -> 접근 통제 소프트웨어) - 자료 구조가 응용 시스템에 의존하지 않도록 독립성 부여
- 거래 처리의 성능 향상
- 데이터의 일관성/무결성을 향상 - 데이터 보안을 강화
- DD(데이터 사전)/DS(디렉터리 시스템): 스키마에 포함된 모든 데이터 항목의 원천과 형태를 정의
① 프로그래밍 방법 표준화 기여
② DB 유지 관리 개선: 시스템 장애 후 데이터 손실/복구 노력 최소화
5) 접근 통제 소프트웨어(ACS)
- 네트워크 수준 통제 가능: 낮은 수준 통제도 가능
- 가장 강력한 접근 통제: 시스템 수준(보안 핵심에 가장 근접)에서 DB 접근이 가능하다면 증적 없는 DB 변경 가능
- 핵심 기능: 승인 통제
- 접근로그: 보안관리자조차 삭제 권한을 가지면 안됨
6) 프로그램 라이브러리 관리 시스템: 소프트웨어 재고 목록 관리 지원(소스코드 통제)
- 프로그램 버전 관리를 통한 무결성 확보
- 라이브러리 정보의 갱신(편집/백업) 및 보고(증적 생성)
- 타 시스템 소프트웨어(운영체계/Job Scheduling/접근통제)와의 인터페이스 기능 수행
7) 버전관리시스템(VCS, Version Control System)
- 변경 내용 추적
- 공동(동시) 개발
- 이전 버전으로의 롤백 기능 - 분리 기능(Branch)
8) 저장 매체 관리 시스템(=테이프 및 디스크 관리 시스템)
- TMS(Tape Management System)나 DMS(Disk Management System)
- 온라인테이프/디스크관리시스템=자동화된 TMS/DMS: 물리적 통제 X
- 관리만이 아니라, IT 매체의 적절한 폐기 필요 -> 폐기 증적을 남겨야 함 예) 비디오 녹화
- 자성제거(Degaussing)를 통한 데이터 위생 처리
- 재사용될 휴대용 저장장치: 덮어쓰기(Overwrite)를 통해 민감한 데이터 제거(자성이나 파괴는 재사용 불가)
- 광저장매체, SSD: 덮어쓰기 및 자성제거가 불가능, 파괴(Zero bit formatting)가 유일한 데이터 위생 처리 방법
9) 작업 스케줄링 소프트웨어
- 목적: 운영자의 다수 배치작업 효율적 처리할 수 있도록 효율성 검토를 통해 수행 순서와 일정 수립
- 설치책임자: 시스템 프로그래머 (운영자가 아님을 주의)
10) 데이터 통신 소프트웨어: 송신기(Transmitter), 채널(Channel), 수신기(Receiver)로 구성
11) 성능 감시 소프트웨어: 선별적 검토를 통해 시스템의 과부화를 막을 수 있음
(2) 라이선싱
1) 라이선스 위반 위험: 지적 재산권 침해로 인해 소송이나 벌금 및 처벌
2) 라이선스 위반 예방 방법
- 지적재산권 보호를 위한 정책을 수립/배포/교육 -> 주기적 감사 수행(최선 정책은 항상 예방적/탐지적 측면에서 접근)
- 저작권 위반 금지 규정에 대한 동의서 작성 지시
- 소프트웨어 통제를 중앙집권화하고 분배와 설치를 자동화
- 사용자 PC를 디스크가 없는(Diskless) 워크스테이션으로 제한 -> 예방 통제 - 주기적 검색 -> 적발 통제
- 사용자 PC에서 USB 사용 제한
- LAN에 사용자 측정(Metering) 소프트웨어 사용: 동시 사용자 수 통제
3) 소프트웨어 및 콘텐트 제작업체: 디지털 저작권 관리(DRM) 솔루션을 사용
4) 무료 라이선싱 종류
- 오픈 소스(Open source): 사용/복사/재배포가 모두 허용 - 프리웨어(Freeware): 사용은 무료이지만 재배포는 금지
- 쉐어웨어(Shareware): 일정 기간 동안만 무료 사용이며 그 후에는 유료, 시험판 또는 평가판이라고도 함
(3) EUC(End User Computing) = 호스트 처리환경
1) 장점: 실무에서 필요한 소프트웨어의 신속 조달
2) 단점: 통제 부족 -> 클라이언트 데이터 통합이 주요 과제
(4) 데이터베이스 관련 개념
1) DB(Database): 레코드(Record)의 집합, 레코드는 속성(Attribute) 또는 필드(Field)의 집합
2) 파일(File): 특정 목적에 부합하는 처리 대상 레코드들만 선별하여 모은 것
3) 뷰(View): DB 또는 파일 중에서 관심 있는 속성/필드만 모든 것
4) 키(Key): 특정 레코드를 고유하게 식별할 때 주로 사용하는 속성이나 필드
5) 일차키(Primary key, 주 키): 주로 또는 가장 먼저 사용되는 키
6) 이차키(Secondary key): 일차키만으로 레코드를 고유하게 식별할 수 없을 경우 보조적으로 사용하는 키
7) 외래키(Foreign key): 특정 레코드의 키로 사용되는 다른 레코드의 키
8) 참조 무결성(Referential integrity): 특정 레코드의 주 키와 이 키를 외래키로 사용하는 레코드 사이의 것 ** 참조 무결성 제한(Referential Integrity Constraint): 주키 변동 시 트리거를 통한 외래키의 자동 갱신 보장
9) 레코드들 간의 논리적 관계에 따른 분류
- 계층형 DB(Hierarchy-DB= Tree DB): Pointer는 상위 노드에서 하위 노드로만 지정 - 망형 DB(Network-DB): 복잡한 대신 안정적인 경우 사용
- 관계형 DB(Relation-DB): 데이터의 완전성/일관성(무결성) 필요 -> 정규화(Normalization) 요구: 데이터 이상현상 제거 ** 무결성: 개체 무결성/참조 무결성/도메인 무결성
① APP을 데이터로부터 독립
② 데이터의 무결성이 증가하지만, 운영상 비효율 발생
③ 열과 행의 테이블 구조로 모형화
④ 하나의 레코드에 하나의 키: 중복 레코드 없음(운영상 비효율 발생)
⑤ 구조의 변경/이해/다른 모델로부터 변경이 용이
⑥ 복수의 테이블 결합: Join 기능 활용
- 객체지향형 DB(Object Oriented-DB)
10) 역정규화(Denormalization, 비정규화): 성능 개선을 위해 정규화를 완화하는 행위 -> 중복 증가로 무결성 손상(비일관성)
11) 메타데이터(Metadata): 데이터베이스를 정의할 때 요구되는 데이터 요소
12) 스키마(schema): 메타데이터로 표현한 데이터베이스의 구조(세가지 스키마 모두 필요)
- 외부 스키마(DBMS View, 서브스키마): 특정 사용자 또는 특정 응용이 필요한 부분만 보여주는 것(DB의 논리적 일부분) ** Read Only: 변경불가 -> 예방통제
- 개념 스키마: 전사적 DB의 논리적 구조로서 외부 스키마와 내부 스키마를 매핑 - 내부 스키마: 저장 매체에 실제 저장되는 물리적 구조와 접근 경로를 표현
13) DB의 환경 별 구분
- 분산화된 환경 DB: 무결성 낮음 -> 데이터 복제 및 정합성 검토 필요 - 중앙집중 환경 DB: 무결성 높음 But 가용성이 낮음
14) DB 관리 및 통제
- 데이터 정의(데이터 명) 표준화
- 백업
- 접근 통제
- 갱신 통제: 가장 큰 통제 위험은 갱신 시점의 비일치화는 데이터 불완전성 유발(중복성이 아님을 주의)
- 동시성 통제: 다른 사람 작업 시 데이터 락(Lock) 및 타임스탬프 -> 데이터 무결성 확보(성능 = 가용성과 관계 X)
- 무결성 통제
- Tunning: Hash Indexing을 통한 성능 개선
- 재조직화(Reorganization): 데이터 접근 시간을 줄이기 위한 방법
** DB 가용성 통제 기법: Tunning, 재조직화, 백업, RAID, 체크포인트, 파티셔닝 등
-끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
댓글