[CISA 요약정리] Domain 2. IT 거버넌스 및 관리 | 5장. IS 조직 구조 및 책임 & 6장. IS 부서에서의 직무분리 -Domain 2 끝-

5장. IS 조직 구조 및 책임

    (1) 배치(Batch) 처리 방식 : 일정 분량의 거래가 모이거나 일정 주기에 이르면 수집된 거래를 한 번에 일괄 처리

         1) 과정

             - 사용자 : 거래 데이터의 무결성을 확인(Validation)한 후 원시 문서(Source document)에 기입/제출

             - 키 펀처(Key Puncher) : 원시 문서의 데이터를 전산 데이터로 변환(Conversion) 후 변환 데이터 무결성 확인

             - 운영자 : 입력된 거래 데이터의 처리 결과를 데이터 통제 그룹에 전달

             - 데이터 통제 그룹(입출력 통제 그룹) : 배치 파일을 처리하여 통제합계를 구한 후, 출력보고서를 사용자들에게 배포

                ** 데이터 통제 그룹은 오류를 발견하고 교정할 것을 요청하지만, 직접 교정의 주체가 되어서는 안됨

            2) 방식

                - 메모 갱신(Memo Updating)/메모 포스팅(Memo Posting) : 처리 전 내용 수정/취소 가능

                - OLRT(Online Real Time) : 사용자가 직접 데이터 처리(직무분리를 방해), 자동화 확인/편집 루틴을 통해 무결성 검증

 

    (2) 일반적인 IT 직무 구성

          1) 하청업체 관리(아웃소서 관리)

          2) 운영 관리

          3) 매체 관리 : 매체관리 소프트웨어 활용

          4) 데이터 입력(Data Input) : 등록(Entry)와 포착(Capture) [사용자 부서]

          5) 시스템 관리 및 네트워크 관리 [시스템 관리자(시스템 프로그래머) 및 네트워크 관리 담당자]

          6) 보안 관리 [보안 담당자]

              - 사용자 ID 와 패스워드, IT 자원에 대한 접근 규칙 등을 관리

                ** 보안 정책을 관리해서는 안됨 (보안 정책은 이사회 혹은 고위 경영진 Level)

                ** 보안 정책의 효과성은 보안 메커니즘에 우선함 -> 보안정책 수립 후 정보보안 프로그램 개발

              - 보안 위반을 감시하고 적절한 조치를 취함(보고 등)

              - 보안 정책을 주기적으로 검토하고 개선을 권고(직접 개선 X)

                 ** 궁극적 보안책임 : 데이터 및 시스템 소유자

              - 보안 의식 교육 프로그램 개발/감시

              - 시스템 개발 후 시스템 보안을 확인할 책임

              - 보안 관리 담당자는 시스템 개발이나 운영 업무를 수행할 수 없음

          7) 품질 보증 [QA(Quality Assurance) 및 QC(Quality Control)]

               ** IS 감사인은 품질 관리 프로세스 검토 시, 최우선으로 채택된 평가기준을 확인

               ** 지속적이고 측정가능한 품질 개선(지속적인 개선 목표가 모니터링)이 되는지 감사증거를 수집하여야 함

               - QA(Quality Assurance) : IT 부서가 일정한 품질 공정을 따르는 지 점검 (과정 품질)

               - QC(Quality Control) : 완성된 시스템의 무결성(Integrity)을 점검 (결과 품질)

               - QA 와 QC는 보증 대상으로부터 독립적이어야 하며 자신이 수행한 업무를 점검해서는 안됨

           8) 데이터 관리(Data management)/데이터베이스 관리(Database administration) [DA 및 DBA]

               - 데이터 관리 담당자 : 데이터 아키텍처 및 데이터 자체를 관리

               - 데이터베이스 관리 담당자

                 ① DB 시스템의 물리적 구조를 정의

                 ② 백업과 복구를 정의하고 시행

                 ③ 성능 최적화(또는 튜닝, tuning)

                 ④ 접근 통제 및 무결성 통제의 실행 -> 테이블 링크/참조 검사(Table link/Reference Checks)

                      ** 접근 승인 주체 : 데이터 소유자

               - 데이터를 직접 접근할 수 있기 때문에 철저한 직무 분리와 사후 감시가 필요

            9) 시스템 분석 : 시스템 설계 후 사양서(Specification) 작성 및 개발 업무 배부 [시스템 분석가]

                ** 시스템 분석과 응용 개발/유지보수 업무는 겸임 가능

            10) 응용 개발/유지보수 [프로그래머, 시스템 개발 관리자]

                  - 시스템 분석 담당자가 작성한 사양서를 토대로 프로그램 코드를 작성하고 오류 수정, 즉 디버깅(Debugging)을 수행

                  - 사용자 명세서(User specifications) 작성

                  - 시스템 분석과 응용 개발/유지보수는 운영 업무 수행 불가

                  - QA/QC 업무 담당자는 시스템 분석이나 응용 개발/유지보수 업무를 수행할 수 없음

             11) 기반구조 개발/유지보수 [기술지원관리자]

                   - 운영 체제를 포함하여 시스템 소프트웨어를 개발하고 유지보수 -> [시스템 프로그래머]를 통제

                      ** 시스템 개발 관리자 : 기존 시스템 유지, 관리/신 시스템 구현 -> [프로그래머]를 통제 - 접근 범위가 넓은 직무이므로 철저한 감시와 통제가 필요

             12) 헬프 데스크(= 서비스 데스크, 콜 센터) [최종 사용자 지원 관리자]

                   - 사용자들이 직면하는 기술적 문제나 애로 사항을 대응

                   - 바로 해결할 수 없는 사안은 적절한 담당자에게 이관(Escalation)

 

 

6장. IS 부서에서의 직무 분리

    (1) 직무 분리의 일반 원칙

          1) 의의 : 직무 분리(Separation of duties, Segregation of functions)는 조직 통제의 핵심

          2) 직무분리의 3가지 원칙

               - 자산의 보관(Custody) : 데이터 소유자(Data owner)는 소관 데이터를 보호하고 무결성을 유지할 책임 부여

               - 거래의 승인(Authorization) : 프로세스 소유자(Process owner)는 특정 거래를 승인할 권한 부여

                  ① 데이터 생성/기록/정정과 분리되어야 함

                  ② 중요성이 낮고 반복되는 거래라면 일괄 승인 절차 필요(미승인은 안됨)

                  ③ 입력 데이터의 무결성을 확인하고 거래처리 결과를 검토할 책임 부여

               - 거래의 기록(Record)

                  ① 거래분개장(Transaction entry) : 거래파일(Transaction file)=거래로그(Transaction log)=거래저널(Transaction journal)

                  ② 총계정 원장(General ledger) : 마스터 파일

                  ③ WORM(Write Once Read Many) 드라이브 기록 : 1 회 기록만 가능하고 수정/삭제는 불가능한 광학 디스크

                  ④ Record를 복사하여 안전한 장소에 보관 or 안전한 제3 장소에 실시간으로 기록

                       예) 원격 저널링(Remote journaling)

 

    (2) IS 부서에서의 직무 분리 원칙

          1) 사용자 부서와 IT 부서의 직무 분리

               - 전통적인 정보 처리 환경인 오프라인 배치(Offline batch) 환경: 사용자 부서와 IT 부서는 분리

                  ** 온라인 배치(Online batch) 처리 방식 : 메모 업데이팅(Memo updating) 또는 메모 포스팅(Memo posting)

               - EUC(End User Computing)와 OLRT 환경 : 데이터 보호와 백업은 상당 부분 사용자가 수행 (직무 분리 방해)

           2) 개발과 운영의 직무 분리 : 시스템 개발과 운영(입력/처리/출력)은 철저히 분리해야 함

           3) 입출력과 처리의 분리

               - 배치 처리 환경 : 데이터 입출력 업무를 처리 업무와 분리

                 예) 데이터 입출력은 데이터 통제 그룹이, 데이터 처리는 운영자가 수행

               - OLRT 환경 : 사용자가 직접 데이터를 입력/처리/출력

            4) 직무 분리 완화에 따른 보완 통제 : 직무 분리는 예방 통제이며 적발 통제나 교정 통제보다 선호

               - 감사 증적(Audit trails)및 거래 로그 -> 감독자 검토 및 주기적 감사

                  ** 주기적 검토가 이루어지지 않는 감사 증적 및 거래 로그는 적절한 보완 통제가 아님

                  ** 로그 순환: 주기 별 로그 압축 -> 로그파일 사이즈 관리 -> DB 공간 활용(무결성 유지와 상관없음, For 가용성 유지)

                  ** 로그 순환 빈도와 로그 저장 기간 결정 시 최우선 고려 사항 : 법과 규제사항

               - 예외 보고와 차이 수정

                  ** 소프트웨어 품질관리 프로세스 감사 시 최우선 과제 : 조직에 의해서 채택된 모든 표준 요청(준거 기준)

                  ** 품질관리 시스템 감사 시 중점사항 : 지속적이고 측정 가능한 품질 개선 목표 모니터링

 

-끝-

-Domain 2끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록