[CISA 요약정리] Domain 1. IS 감사 프로세스 | 1장. 조직과 보증 & 2장. 통제 목적과 통제 절차

1장. 조직과 보증
    (1) 조직과 IT
         1) 조직(Organization) : 목적 달성을 위해 활동하며, 활동을 통해 자원을 소비.

목적 <-(달성)- 활동 <-(소비)- 자원

         2) 비즈니스 : 조직이 본연의 목적을 추구하는 과정에서 수행하는 다양한 거래활동을 통칭
         3) 사업부(Business Unit) : 특정 조직에 속하면서도 독자적으로 비즈니스를 수행하는 하위조직
         4) 기업(Corporate, Enterprise) : 여러 사업부들을 거느린 대규모 비즈니스 조직
         5) 정보 및 관련 기술(Information and related Technology) : 정보의 양방향적 속성 보유

판매자 -(재화/서비스 및 정보)-> 구매자
구매자 <-(금전/급부 및 정보)- 구매자

    (2) 절대적 보증과 합리적 보증
          1) 보증(Assurance)과 독립성(Independence)

보증 : 특정 대상에 대한 신뢰와 확신은 높이고 불신과 두려움은 낮추는 서비스

          2) 보증 오류 : IS감사에 있어 2종 오류(위음성 오류)인 경우 사회적 손실이 더 큼.

          3) 절대적(Absolute) 보증과 합리적(Reasonable) 보증 : 감사는 대개 합리적 보증

절대적 보증 - 보증 오류의 가능성을 인정하지 않는 보증
합리적 보증 - 보증 오류의 가능성을 어느정도 인정하는 보증

 

 

2장. 통제 목적과 통제 절차
    (1) 내부 통제(Internal Control)와 IT 통제 : 효과적 운영과 합리적 보증 제공의 궁극적 책임은 경영진에게 있음.

내부통제 - 조직이 비즈니스 목적 달성과 위험 관리에 사용하는 모든 요소들을 통칭하는 것

   

    (2) 통제 목적(Control Objective) -> COBIT의 '정보' 7가지 기준과 동일
          가치 극대화 :
          1. 효과성(Effectiveness) : IT의 궁극적인 목적 달성
          2. 효율성(Efficiency) : 자원 및 시간의 투입에 비해 산출이 높음
          정보보안 :
          3. 기밀성(Confidentiality) : 정보의 무단 공개, 프라이버시 침해가 없음
          4. 무결성(Integrity) : 정보가 정확하고 완전하며 일관성이 있음
          5. 가용성(Availability) : 원하는 서비스를 적시에 제공함
          사회적 책임 :
          6. 준법(Compliance) : 관련 법규 및 내부 규정을 적절히 준수함
          7. 신뢰성(Reliability) : 정보가 사실이며 객관적이고 검증 가능함

    (3) 통제 절차(Control Procedure) : 통제 절차의 적합한 설계 + 통제 절차의 효과적 운영으로 통제 목적을 달성

    (4) 통제 유형
          시점에 따라 구분되는 통제
          1. 예방 통제(Preventive Control) - 부적절한 사건/상황이 일어나지 않도록 사전에 조치되는 통제
          예) 업무분장(직무분리), 접근통제(계정생성, 권한부여, 패스워드 등), 정책/지침, 백신 등.
          2. 적발 통제(Detective Control) - 부적절한 사건/상황이 일어나면 적시에 식별/보고하는 통제
          예) 모니터링 통제(권한 모니터링, 로그 모니터링, 배치 모니터링 등), 침입탐지시스템, 화재경보기, 강제휴가 등
          3. 교정 통제(Corrective Control) - 적발된 사건/상황에 대응하여 피해/손실의 확산을 막는 통제
          예) 스프링쿨러, 비상조치, CCTV, 징계 등
          4. 복구 통제(Recovery Control) - 부적절한 사건/상황으로 인해 발생할 피해를 극복하는 통제 (넓은 의미에서 복구통제를 교정통제에 포함하기도 함.)
          예) 데이터 백업, BCP/DRP, 체크포인트, 재시작 등

          구현방법에 따라 구분되는 통제
          1. 관리적 통제(Administrative Control) - 바람직한 행동 요령 및 지침/정책/절차를 제공하는 통제
          예) 정책, 교육 등
          2. 기술적 통제(Technological Control) - 자동화된 메커니즘을 사용하며 논리적(Logical) 통제라고도 함
          예) 생체 인식 시스템, 방화벽, SSO 등
          3. 물리적 통제(Physical Control) - 통제 대책의 물리적 성질을 이용한 통제
          예) 담장, 자물쇠, 조명, 출입카드 등

          전체적인 통제를 강화하는 통제
          1. 보완 통제(Compensating Control) - 기존의 통제 약점을 완화하기 위해 추가로 구현한 통제(약+강)
          예) 직무 분리 미흡 시, 적정인원인지 주기적으로 모니터링하여 상위권자 승인을 받는 통제 등
          2. 중복 통제(Overlapping Control) - 통제의 강도를 높이기 위해 같은 목적의 통제를 병행하는 통제(강+강)
          예) 신입 사원 신원조회 + Refer Check 등

          적용되는 범위에 따라 구분되는 통제
          1. 일반 통제(General Control) - 조직의 모든 영역에 적용되며, 조직 차원의 통제라고도 함
          예) 내부회계통제, 운영통제, 관리통제, 조직 보안정책 등
          2. IS특화 통제(IS Specific Control) - IS 자산과 직접적으로 관련이 있으며 IS 통제라고도 함
          IT 일반 통제(ITGC, GITC - IT General Control, General IT Control) : IS 관련 활동 전반에 영향을 미치는 통제( 예           - IT 시스템 접근통제, 프로그램 변경, 컴퓨터 운영, 프로그램 개발 등)
          응용 통제(ITAC - IT Application Control) : 특정 응용 시스템의 입력/처리/출력에 대한 통제( 예 - 입력 데이터 확인/편집, 배치 통제 합계, 보고서 통제 등)

          기타 통제분류 용어
          1. 하드웨어 통제(Hardware Control) : 컴퓨터 하드웨어를 대상으로 하는 통제
          2. 소프트웨어 통제(Software Control) : 소프트웨어에 내장되어 운영되는 통제
          3. 환경 통제(Environmental Control) : IPF(정보 처리 시설)의 기술적 성능에 영향에 주는 환경 요인들에 대한 통제
          4. 지시 통제(Directive Control) : 관리적 통제와 유사한 의미 예) 정책, 절차, 교육 등
          5. 억제 통제(Deterrent Control) : 위반 의지/욕구를 억제 예) 담장, 출입 금지 문구, CCTV, 감시 절차 등
          6. 경계 통제 : 컴퓨터 사용자와 컴퓨터 자체 사이에 인터페이스를 구축

-끝-

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link : https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록