[CISA 요약정리] Domain 1. IS 감사 프로세스 | 3장. 통제모형 & 4장. 위험관리

3장. 통제모형

    (1) 내부 통제 모형(General Control)

         1) COSO Framework(Committee of Sponsoring Organizations of the Treadway Commission)

         2) 내부 통제의 정의 : 운영/보고/준법과 관련한 비즈니스 목적이 달성될 것이라는 합리적 보증 제공을 위한 절차

         3) 내부 통제의 목적

             운영(Operations) : 효과성과 효율성

             보고(Reporting) : 신뢰성/적시성/투명성

             준법(Compliance) : 법률/외부규정/내부정책 준수

          4) 내부 통제의 요소

              통제활동(Control Activities)

              위험평가(Risk Assessment)

              정보 및 의사소통(Information & Communication)

              감시활동(Monitoring Activities)

              통제환경(Conrol Environment)

     

      (2) IT 통제 모형(IT Specific Control)

               1. COBIT 5.0 구조

               2. IT 거버넌스 및 경영의 성공 요인(7가지)

                  - 원칙/정책/프레임워크

                    ① 원칙(Principle) : 조직의 핵심 가치를 간명하게 정의

                    ② 정책(Policy): 원칙을 적용하는 방법 구체화

                  - 프로세스(4가지 도메인) 

                    ① 계획 및 조직 (파급IS통제)

                    ② 획득 및 구현 (IS상세통제)

                    ③ 제공 및 지원 (IS상세통제)

                    ④ 모니터링 및 평가 (파급IS통제)

                  - 조직 구조

                  - 문화/윤리/행동

                  - 정보 

                    ① 정보의 순환 사이클 : 데이터-정보-지식-가치

                    ② 정보의 7가지 기준 : 효과성/효율성/기밀성/무결성/가용성/신뢰성/준거성 (=통제목적 7가지와 동일) - 서비스/기반구조/응용 - 사람/스킬/숙련성

       (3) 프로세스 성숙도 평가(Process Maturity Evaluation) - BSC(Balanced Score Card) 개념을 적용하여 측정

            ** IT거버넌스 성숙모형(Domain 2)와 능력 성숙 모델(Domain3)과 유사한 개념

                   

4장. 위험관리

    (1) 위험(Risk)의 의의

        1) 위험의 기본 요소 : 자산 x 위협 x 취약점

        2) 위험의 크기 : 영향 x 가능성

        3) 위험의 종류

           - 고유위험(Inherent Risk)

           - 완화위험(Mitigated Risk)

           - 잔여위험(Residual Risk)

              ① 잔여 위험 = 고유 위험 – 완화된 위험

              ② 잔여 위험을 완전히 제거하는 것은 사실상 불가능하며, 비경제적임

              ③ 대부분의 위험 관리 접근법에서는 위험을 일정 수준까지 낮추는 것을 목표로 함

            - 용인 가능 위험 수준(ARL : Acceptable Risk Level) 또는 위험 허용도(Tolerance) : 고위업무관리진이 결정

              ** 다음 4가지를 고려하여 잔여위험을 수용함

                 ① 조작의 정책

                 ② 위험의 식별 및 측정: 식별 및 측정이 어려울수록 잔여위험 수용에 대한 거부감 증가

                 ③ 위험 평가 접근 방법: 방법이 불확실할수록 잔여위험 수용에 대한 거부감 증가

                 ④ 구현의 비용 대비 효과성

    (2) 위험 대응 방안

         1) 위험 대응 전략의 유형

            - 회피(Avoidance)=제거

            - 절감(Reduction)=완화

            - 전가(Transference)

            - 용인(Acceptance)

            - 감시(Monitoring)

         2) 위험 관리 절차

             - 위험 평가(Risk assessment)

               ① 자산 식별 및 분류: 제일 우선순위(IT 자산 목록 작성)

               ② 위험 식별: 위협과 취약점을 파악

               ③ 현행 대책 파악 : 기존 통제를 식별하고 평가

               ④ 추가 대책 추천

             - 위험 완화(Risk mitigation) : 추천 대책 중 비용타당한 대책을 실행

               ① 비용 편익 분석 : 위험 관리대책을 도입하는 데 필요한 비용 계산

               ② 대책 구현 : 선정된 위험관리대책을 구현

             - 위험 재평가(Risk reevaluation) : 지속적으로 위험감시, 위험관리대책 유지관리

                ** IT 위험 관리 성공하려면 일회성 활동이 아닌 지속적 과정이 되어야 함

 

-끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록