7. IT 운영 실무
(1) 컴퓨터 운영
1) 운영자 (사용자 X)
- 컴퓨터를 사용하여 실제 작업, 매크로, 프로그램을 실행
- 비정상 종료 후(비정상 작업 종료 보고서), 컴퓨터 응용을 다시 시작(작업 재실행 보고서)
- 파일 백업 촉진, 작업 일정을 감시
- 재해 복구 계획 테스트에 참여
2) 입출력 통제 기능 = 데이터 통제 기능: 입력 무결성/출력형식 적절성/배포 적절성
(2) IT 운영 관리
1) 자원 할당
2) 표준/절차 수립
(3) IT 서비스 관리: 사전에 합의한 서비스 수준을 만족하는 것을 보장
1) 비정상 작업 종료 보고서, 작업 재실행 보고서, 운영자 문제점 보고서, 출력물 배포 보고서 등을 사용
2) SLA(서비스 수준 협약): 아웃소싱 환경은 물론 인소싱 환경에서도 작성 -> 성과측정지표가 가장 중요
3) 사용자들이 IT 서비스의 품질에 만족하는지 주기적으로 평가하고 문제를 조기에 처리
4) EA(전사적 아키텍처)를 정의/구현 -> 일관성 있고 체계적인 IT 서비스 구현 가능
(4) 작업 회계, 작업 일정 수립, 자원 사용 감시
1) 작업 회계(Job Accounting):
- 자원의 사용 주체 및 사용량을 측정
- 자원 이용도 정보를 통해 비용 청구
- 시스템 성능 최적화에 사용 예) 파라미터 조정
2) 작업 일정 수립(Job Scheduling): 작업의 처리 일정/순서 및 프로그램 실행 조건들을 정의
3) 자원 사용 감시: 자원이 효율적으로 사용 감시
(5) 사고 및 문제점 관리: 비정상적인 상황을 탐지하고 신속하게 대응하고 문제를 해결하기 위한 절차
1) 오류 로그: 오류의 발생 일시/코드/내용/원인/이관 일자/현재 상황 담당자 등의 정보가 포함
2) 오류 로그는 누구도 수정 권한을 가져서는 안 됨
3) 사고 및 문제점들의 탐지/대응/해결 과정은 철저히 문서화 및 보고
(6) 데이터 관리
1) 데이터 품질 관리: 데이터 수명 주기(Data life cycle) 전체에 걸쳐 유지
- 본질적 품질(Intrinsic Quality): 실제 또는 참 값과 일치하는 정도
- 상황적 품질(Contextual Quality): 데이터의 작업 활용도, 지혜롭고 명확한 데이터 표현, 정보 활용 상황의 적합도
- 보안/접근 가능성(Security/Accessibility): 정보를 사용/확보할 수 있는 정도
2) 데이터 관리(Data management) [BY 데이터 관리자(DA: Data Administrator): 데이터의 논리적 아키텍처를 설계/관리]
3) 데이터베이스 관리(Database administration) [BY 데이터베이스 관리자(DBA: Database Administrator)]
- 데이터의 논리적 아키텍처에 근거하여 DB의 물리적 구조를 정의
- 튜닝(Tuning): DB 성능을 최적화하는 과정
- DB 접근 통제 및 무결성 통제 대책을 수립/실행
4) 데이터 웨어하우스 구축
- 특징
① 주체지향성(객체X)
② 통합성
③ 시계열성
④ 비휘발성
- 구축 초기 감사인 고려 사항
① 데이터 원천의 신용/정확성
② 추출/변환의 정확성
③ 데이터 수탁책임(Stewardship): 데이터 소유권은 고려할 필요 없음
(7) 품질 보증
1) QA(Quality Assurance): 표준 준수 및 문서화 상태의 적절성을 검증 (과정 품질)
2) QC(Quality Control) 품질이 충분히 보장되는 지 확인(결과 품질)
(8) 보안 관리: 정책 준수 감시 및 주기적 검토 후 적절한 조치 시행/보안 의식 교육 프로그램을 개발 및 시행
(9) 프로그램 변경 통제
1) 추적방법: 목적 코드에서 출발
2) 소스코드 라이브러리와 목적코드 라이브러리 일치화 보증: 원시코드와 목적코드의 길이/날짜/시간스탬프 검토
3) 패치 관리(Patch management): 기능/성능/보안 개선 -> 공개된 취약점 악용 예방에 가장 좋은 방법
4) 릴리스 관리(Release management): 체계적인 일정 계획과 복귀 계획(Fallback plan)이 필요
(10) 지원 및 헬프 데스크: 사용자들이 접하는 문제들을 문서화하고 해결책을 제시
1) 시스템과 사용자의 상호작용 증가
2) 지표 별 의미
- 통화 건수 대비 해결된 통화량의 백분율: 운영지표
- 통화 유기율: 직원 부족의 가능성
3) IS 감사인 감사 절차
- 사업 목적 파악 및 위험 평가
- 콜 센터 운영 절차 평가 예) Escalation 절차
(11) IT 자산 관리: IT 자산 관리의 출발점은 자산의 완전한 목록을 작성하고 정보를 수집 -> 적절한 비용 편익 분석
(12) 하드웨어 통제: 장비가 정확하게 작동(명령어 실행)하고 있는지 보증
8. 가용성 및 연속성 확보 전략
(1) 복구 등급 결정(분류기준: 재해의 내성)
1) 핵심(Critical): 수작업으로 처리할 수 없기 때문에 가장 먼저 복구해야 하는 것
= 전산화된 시스템 = 반드시 자동 감사 증적 저장 기능 필요한 시스템
2) 중요(Vital): 짧은 기간(Brief period) 동안만 수작업으로 처리 가능한 것
3) 민감(Sensitive): 상당 기간(Extended period) 동안 수작업으로 처리 가능한 것
4) 비 핵심(Non-critical): 상당 기간(Extended period) 동안 어려움이나 중단 비용 수반 없이 수작업으로 처리할 수 있는 것
(2) 장애 관리 전략: Fail Tolerant(장애 감내 또는 고장 감내) 설계 -> 핵심기능 중단 방지 -> 사업손실 최소화
-> 구성분을 중복하여 장애 시에도 시스템 기능이 유지, 장애의 단일 지점(SPOF: Single Point of Failure)을 제거
(3) 하드웨어/소프트웨어의 가용성
1) 가용성의 하부 속성
- 가용성: 신뢰성과 유지보수성으로 구성
- 신뢰성: 오류나 중단 없이 기능이 일관성 있게 지속되는 특성
- 유지보수성: 오류나 중단을 신속하게 교정하거나 기능을 수정할 수 있는 능력
** 상용 규격품(COTS, Commercial Off The Shelf): 유지보수성이 높아짐
2) 가용성 측정 지표
- MTBF(Mean Time Between Failures): 장애와 장애 사이의 평균 시간으로서 신뢰성 지표, 값이 클수록 신뢰성이 높음
** MTBF = 총 가동 시간 ÷ 해당 기간 동안의 고장 건 수
- MTTR(Mean Time To Repair): 고장 수리 평균 시간으로서 유지보수성 지표, 값이 작을수록 유지보수성이 높음
** MTTR = 총 수리 시간 ÷ 해당 기간 동안의 고장 건 수
- MTTF(Mean Time To Failure): 수리가 완료된 이후 다음 고장이 발생할 때까지의 평균 시간, 값이 클수록 신뢰성이 높음
** MTTF = MTBF – MTTR
(4) 대체 처리 시설(요구 상황은 충분히 광범위하여야 하며, 서비스 공급 목표(SDO)설정 필요, 지리적 위치가 가장 중요)
1) 상호 지원 협약(Mutual Aid Agreement, Reciprocal Agreement)
- 분산된 여러 지점을 갖춘 조직 및 특수한 정보 처리 환경 요구 조직에 적합
- 비용이 가장 저렴하지만 이행의 강제력 부족, 용량 부족, 호환성 제약, 정규업무시간 활용 어려움 등의 문제
2) 상용 회원제 서비스(Commercial subscription services): 제공 대역폭과 그것을 초과하지 않는 동시 사용자 수 제한 필요
** 상용 회원제 서비스는 서비스 제공업체의 정책에 따라 이용에 제약 존재 가능
** 제공하는 장소를 오프사이트라고 함 (오프사이트 저장소와 구분 주의)
- 핫 사이트(Hot site): 장소+장비/응용(메인프레임 포함)+DB
** 모든 메인프레임이 있을 필요 X: 제외된 메인프레임의 영향을 IS 감사인은 확인하여야 함
① 장점: 신속하게 대체 처리를 재개
② 단점: 임대 비용이 비싸고, 최신성/보안을 엄격히 유지해야 함
- 웜 사이트(Warm site): 장소+장비/응용(메인프레임 불포함)
- 콜드 사이트(Cold site): 장소
① 장점: 최소한의 비용으로 대체 시설을 임대
② 단점: 대체 처리를 재개하는 데 걸리는 시간이 김
3) 미러링 사이트(Mirroring site) = 중복 사이트(Redundant site): 그림자 파일 처리(Shadow File Processing)
- 정의: 시스템 간에 호환성을 갖추고 있으며 DB도 실시간으로 동기화되는 복수의 일차 처리 시설
- 장점: 대체 처리를 가장 신속하게 재개할 수 있고 대체 처리와 관련한 고유한 필요를 충족(RPO = 0)
- 단점: 하지만 구축/운영/유지보수 및 보안/호환성 유지에 소요되는 노력과 비용이 매우 높음
4) 기타 개념
- 서비스 뷰로(Service Bureau): 대용량의 컴퓨팅 자원을 활용하여 여러 고객사에 정보 처리 서비스를 제공하는 벤더
** IS 감사인은 뷰로의 BCP 테스트 과정에 참여하여 검토하여야 함
- 복수의 처리 센터(Multiple Processing Centers): 정보 처리 시설을 분산시켜 복수로 운영하여 정보 처리 지속성 향상
① Active-Passive(Standby)방식: 일시적 운영중단발생
② Active-Active 방식: 운영중단 발생 X
- 모바일 사이트: 대형 트럭이나 트레일러에 장비를 싣고 재해 현장이 투입
- 조립식 건물: 모듈화 된 조립식 건물로 대체 처리 시설을 구축
- Network 관점
① 다중경로 탐색: 분기(Split) 혹은 중복(Duplicate) 케이블 설비를 사용하여 트래픽 경로를 탐색
② 대체경로 탐색: 이차회선을 설치하여 일차회선에 피해를 받았을 때 LAN을 보호하는 것
** FDDI(Fiber Distributed-Data Interface): 광섬유로 만든 두개 링 사용 -> 대체경로 탐색과 관련
-끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
댓글