1) 보안 : BS 7799, ISO 17799, ISO 27001, ISO 27002
- 영국 표준 BS 7799, ISO 17799 : 전자 상거래 시스템 내에 보안과 통제를 보장함으로써, 기업을 지원하기 위해 개발됨, 그 표준 안에 기술된 10가지 영역은 더 높은 위험 조직들 안에 명령적인 특징과 추가적인 통제로 주요 통제의 도입을 촉진함
- ISO 27001 : 국제 표준인 정보 보호 관리 체계(ISMS: Information Security Management System) 인증으로 국제표준화기구(ISO)에서 제정한 국제 정보 보호 관리 체계 국제 규격 -> 현재 정보 보호 분야에서 가장 권위 있는 국제 인증 규격으로 지난 2005년 10월 영국 표준인
BS 7799를 기반으로 만들어진 ISO 17799를 새로운 국제 표준인 ISO 27001로 승격
-> 위험 관리와 보안 정책 자산 분류 등 11개 분야 133개 항목에 대한 규격을 담고 있음 -> 이것은 다시 2007년에 ISO 27002로 수정됨 : 정보보안 관리에 대한 모범사례를 추천함
3. 다른 표준들
2) 서비스 관리 : ITIL(IT Infrastructure Library)(www.itil.org)
- IT 서비스 관리에 모범사례를 정의하려는 의도를 가짐 : OGC(Office of Government Commerce)에 의해 개발
-> 발행물, 자격요건과 국제적 사용자 집단에 의해 지원됨, 전략적 비즈니스 가치를 전달하기 위해 높은 품질의 IT 서비스를 전달하는 필요를 제시하도록 의도된 IT의 관리에 탑다운, 비즈니스 지향 접근임
-> IT 서비스 관리는 IT 조직이 직면하는 사람, 프로세스, 기술 문제 상에 초점을 둠
-> ITIL 자체는 공공부문과 민간 부문 양쪽으로부터 도출된 일관성 있는 모범사례 집합을 제공하여, IT 서비스 관리를 위한 프레임워크를 개발하도록 조직을 지원하도록 시도함
-> 세부적으로 개발된 실행과 평가 도구 + 포괄적인 자격요건 계획과 공인된 훈련 조직을 제공
3) 프로젝트 관리 : PRINCE(Projects in Controlled Environments)
- 성공적인 프로젝트의 실행을 위한 모든 본질적인 요소를 통해 사용자를 안내하는 폭넓게 이용되는 프로젝트 관리 방법
- 최초 IT 프로젝트 관리를 위한 영국정부 표준으로 CCTA(Central Computer and Telecommunications Agency)에 의해 1989년에 개발
- 도입 이래로, PRINCE는 공적·사적 두 부분에 폭넓게 이용되었고, 비 IT 프로젝트와 IT 내부 양쪽의 프로젝트 관리를 위해 넓게 인정받는 표준
- 존재하는 사용자들의 요구사항을 포함하고, 다양한 프로젝트 관리를 위한 일반적, 모범 사례 접근에 의한 방법을 향상하기 위해 설계됨
3. 다른 표준들
4) 통제의 기준 : CoCo (Criteria of Control)
- 캐나다 공인 회계사 협회에 의해 후원됨, COSO를 실제적, 실행할 수 있는 활동으로 바꾸도록 의도했고, 다음의 세 가지 주요 통제 목적을 정의
① 운영의 효과성과 효율성 ② 내부와 외부 보고의 신뢰성
③ 응용할 수 있는 법규, 규제와 내부 정책에의 준거성
- CoCo 프로임워크 내에 통제 : 표(CoCo의 통제항목)를 포함해서 정의됨
- CoCo는 다음 사항을 통해 위험의 취급을 촉진함 : 위험의 회피, 발생하는 위험의 가능성을 축소, 위험 발생 시 영향을 줄임, 제3자(외부업체)에게 위험을 전가, 위험을 수용하거나 유지함 - 이것은 9장 내부통제에서 다루게 될 다섯 가지 권장(감독)·예방·적발·교정·보완 통제라는 기본
통제를 선택하는 것으로부터 관찰됨
3. 다른 표준들
항목 내용
목적
(Purpose) 조직의 방향에 대한 이해를 촉진하는 기준을 정의함. 비전과 전략, 위험과 기회, 계획, 정 책개발, 성과 목표와 지표의 이용과 같은 기법을 활용한다.
서약
(Commitment) 조직의 정체성과 가치에 믿음을 촉진하는 기준을 정의함. 이것은 진실성, 인적 자원 정책, 책임성과 법적 책임, 권한, 상호 신뢰를 포함하는 윤리적 가치에 영향을 준다.
역량
(Capability) 조직의 역량을 제시하는 기준을 정의함. 이것은 지식과 역량, 기술과 도구, 정보, 적합한 통신 프로세스의 이용, 조정, 통제 활동을 포함한다.
모니터링과 학습 (Monitoring &
Learning)
조직의 전개를 촉진할 기준을 정의함. 이것은 내부와 외부 환경을 모니터링, 성과를 모니 터링, 가정에 도전함, 정보 요구와 IS를 재평가함, 후속 절차의 실행, 통제의 전반적 효과 성을 평가하는 것을 포함한다.
정보시스템 감사 프로세스
5 장. 감사와 기술
정보시스템 감사 프로세스
5 장. 감사와 기술
- 5장 : 기술과 감사의 기초를 다룸
-> 전문용어에 대한 지식과 의미 + 비즈니스에서 사용 중인 기술에 대한 이해 -> 정보기술(IT) 환경 내 통제의 구성요소를 다루고 주요 참여자가 누구이고,
환경 내에서 그들의 역할이 무엇인가?
-> 배치와 온라인 시스템, 데이터베이스관리시스템(DBMS)에 대해서 살펴봄
1) 컴퓨팅 용어
- 하드웨어 : 중앙처리장치(CPU), 주변장치, 메모리(메모리의 종류 표 5-1)
메인프레임 컴퓨터, 미니컴퓨터, 마이크로컴퓨터, LAN, WAN(넓은 규모 지역에 걸쳐 퍼져있는 컴퓨터들의 집합내지 연결로 광역망이라고 함, 도시와 도시, 국가와 국가간 연결을 포함)
- 저장 : 비트, 바이트, 디스크, 디스켓, 광학디스크, 테이프, 메모리 - 입력(input) : 카드, 종이테이프, 키보드, 마우스, 스캐너, 바코드, 음성 - 출력(output) : 종이, 컴퓨터, 스크린, 마이크로필름, 마그네틱 매체, 음성
- 통신(communications) : 터미널, 모뎀, 다중화기(multiplexer; 비싼 통신선의 활용을 극대화하기 위해 다양한 장치로 부 터 신호들을 묶어주는 것으로 먹스(mux)라고 불림), 케이블, 광섬유(fiber optics), 마이크로웨이브(송신기로부터 수신기까지 고전력 신호를 보내는 것 을 포함, 직접적인 가시거리(line-of-sight, Los) 기반에서 작동하지만 케이블링이 필요 없어서 도심 내 두 빌딩의 연결이나 강으로 단절된 건물의 통신에 사용됨)
1. 기술과 감사
1) 컴퓨팅 용어
-
통제(control) :
컴퓨터 시스템 내에 통제는 전체 아키텍처 내 다양한 지점에서 발휘됨, 각 단계에서, 컴퓨터 시스템이 사용자들의 욕구를 충족하기 위해 수행하는 방법을 다양하게 할 기회가 존재함-> 운영 체제 : 컴퓨터의 기본적 운영을 통제하는 프로그램들의 집합, 모든 다른 소프트웨어는 운영 체제의 방향 하에 돌아가고, 모든 작업을 위한 서비스를 여기에 의존함
-> 애플리케이션 : 컴퓨터의 요구된 비즈니스 기능들을 수행, 운영 체제의 직접 적인 통제 하에 돌아 가지만, 많은 강력한 통제 요소 자체를 포함
-> 파라미터 : 프로그램들이 대개 운영하는 방법을 조정하는 사용자가 정의한 변수
-> 실행명령(Run Instructions) : 컴퓨터 운영자들이 작업 중에 컴퓨터를 실행하도록 하고, 기계 질문에 반응이 입력되도록 명령하는 명령어
-> 직무통제어(JCL; Job Control Language) : 컴퓨터에 배치 프로그래밍 언어의 형태로 명령어를 줌으로써, 작업 수행 프로세스를 자동화하는 도구 -> 인적 요소 : 궁극적으로 통제는 컴퓨터를 사용, 운영, 프로그램, 관리하는 사람에 의해 수행됨
- 사람(people) : 통제는 사람에 의해 실행되고, 감사자는 컴퓨터 시스템의 개발과 처리에 관련된 개인들의 역할과 책임을 이해해야 함
-> 운영자(operator) : 일상적 기반 하에 컴퓨터를 운영함
-> 프로그래머 : 컴퓨터 상에 운영하는 애플리케이션 프로그램을 만듦
-> 시스템 설계자 : 응용시스템의 전체 구조를 설계하고 요구된 프로그램을 특정함
-> 시스템 분석가 : 정보시스템(IS)이 무슨 공헌을 할 수 있는지를 결정하기 위해 비즈니스 구조, 애플리케이션, 절차를 분석함, 또한 새로운 시스템의 아웃라인 비즈니스 상세사항을 설계함
1. 기술과 감사
1) 컴퓨팅 용어
- 사람(people) : 통제는 사람에 의해 실행되고, 감사자는 컴퓨터 시스템의 개발과 처리에 관련된 개인들의 역할과 책임을 이해해야 함
-> 시스템 프로그래머 : 운영시스템과 프로그래머, 관련된 시스템 소프트웨어 구성 요소의 활성화를 책임짐
-> 데이터 분석가 : 데이터의 접근과 데이터의 형태를 통제하는 시스템 소프트웨어인 DBMS를 유지하는 책임을 짐
-> 네트워크 분석가 : 가용성(availability) 즉, 네트워크상에 성취되는 성과 표준과 보안을 보장 하는 것을 책임짐
-> 관리 : 기업 목표가 성취되도록 하기 위해 계획, 조직화, 지휘 및 통제를 수행 -
Data :
데이터는 필드~레코드~파일~디스크와 같이 구성함1. 기술과 감사
2. 배치와 온라인시스템
1) 배치(일괄) 대 온라인
- 상업적 컴퓨팅의 초기인 1960년대 후반 무렵, 대부분의 처리는 단지 배치 기반 상에 발생 -> 모든 입력이 중앙 집중적으로 수집되어 문서들의 ‘batches’ 안에 함께 입력되었다는 것을 의미 -> 기록된 형태로부터 카드나 연속적인 종이테이프 안으로 천공된 구멍으로 데이터를 변환하려는
중앙 집중화된 데이터 준비 기능을 이용하여 일어나게 됨
-> 이 프로세스는 에러에 대단히 약했고 입력 매체는 부서지기 쉬웠음
-> 나중의 배치 시스템에서 데이터는 파일 상에 터미널을 통해 입력되었고, 그것은 배치(일괄) 모드로 나중에 처리됨
-> 이런 형태의 시스템에서, 주요 통제 목표는 캡처의 정확성과 완전성
- 많은 고도로 효과적인 통제 : 배치 데이터의 데이터 캡처의 완전성, 완전한 모든 배치들의 캡처, 입력 데이터 배치의 정확한 캡처를 보장하기 위해 설계되고 실행됨
-> 이런 통제들은 나중에 컴퓨터가 산출한 정보와 비교를 위해, 그리고 운영자가 카드의 배치 안에 데이터를 입력하거나 입력 거래들의 배치를 포함하는 파일 상에 직접 입력한, 이중 키스트로크 입증을 위해 배치 헤더 문서들의 수작업 준비를 포함
-> 이 데이터는 독립적인 데이터 캡처 인력과 정확성과 완전성을 보장하기 위해 비교된 시스템에 의해 재입력됨
- 온라인 시스템의 도래 : 위 통제들은 더 이상 적합한 것으로 간주되지 않았기 때문에 사라져감, 온라인 환경 내에 많은 경우에 매우 작은 대안적 통제가 실행되었고, 종종 감사자는 데이터 입력의 정확성과 완전성을 둘러싸고 있는 통제의 정확성과 관련해서 대규모 가정이 이루어진 것을 발견할 것임
2. 배치와 온라인시스템
1) 배치(일괄) 대 온라인
- 오늘날 시스템 : 캡처와 처리는 작은 배치 요소를 가지고 온라인, 실시간 데이터 캡처를 이용하여 대개 발생, 입력은 전형적으로 즉각적인 업데이트를 가진 터미널을 통해서임 - 배치 모드 : 밤샘 보고서 생성이 일반적, 터미널들은 로컬이나 원격이고, 원격 터미널들은
다이얼업이나 전용선으로 연결되어 있을 것
-> 터미널 자체는 다양한 형태일 것이지만, 주요 통제 목표는 가용성(availability), 보안성(security), 기밀성(confidentiality), 정확성(accuracy)을 유지하는 것
- 컴퓨터들 : 신호가 켜지거나 꺼지는 디지털 형태로 통신함
- 전화 케이블 : 신호가 파형 커브(진폭변조나 AM)의 높이를 변화시키거나 신호의 주파수(주파수 변조나 FM)를 변경시킴으로써 조절되는 아날로그 모드로 작동
- 통신
-> 트래픽이 단 한 방향인
단방향(simplex) 모드로
운영될 수 있음-> 이것은 어떤 회선이 어딘가 도달하고 다시 응답을 얻기 위해 완전한 원을 이루어야 한다는 것을 의미, 이런 형태의 회선은 값이 싸지만 여러 가지로 취약하며, TV나 라디오 방송이 예-> 반이중(half-duplex) 통신 : 양 방향을 허용하지만 한 번에 한 방향만 통신이 허용, 군사용 무선 전화기에서 이용된 신호의 형태이며, 또한 팩스가 전형적인 예 ->
전이중(duplex) 통신 :
동시에 양 방향 통신을 포함, 컴퓨터 시스템들은 전형적으로 반이중방식통신을 이용함
2. 배치와 온라인시스템
1) 배치(일괄) 대 온라인
- 감사자에게 관심 있는 다른 통신 개념
-> 직렬(serial) 전송 : 데이터의 최소 요소인 문자 하나를 구성하는 각 비트를 전송로 한 개를 이용 하여 차례로 전송하는 방식, 전송로 설치비용이 적게 들고 설치방법이 간단-> 장거리 통신에 사용
->
병렬(parallel) 전송 :
문자 하나를 구성하는 각 비트를 전송선로 7~8개를 이용해 동시에 전송하는 방식, 전송속도가 빠르고 단말기와 연결이 용이, 컴퓨터와 하드디스크 연결이나 컴퓨터와 측정 장비 연결 시에 주로 이용->
동기 통신 :
문자(글자)들의 긴 집단에 대해 블록이나 프레임으로 고속 전송과 접수를 함, 동기식 전송에는 문자 동기방식, 비트 동기방식, 프레임 동기방식이 있음->
비동기 통신 :
동기식 전송을 하지 않는다는 의미가 아니라, 블록 단위가 아닌 문자 단위로 동기 정보를 부여해서 보내는 방식, 느리고 불규칙한 전송, 시작 과 끝 비트를 가지고 한 번에 한 문자씩 비트열을 순차적으로 전송하며 시작-정지 전송이라고도 함->
암호화 :
해독될 수 없도록 읽을 수 없는 형태로 데이터의 파장을 바꿈->
프로토콜 :
네트워크 내에 메시지 전송을 위한 규칙의 집합이나 약속을 의미 -네트워크 자체는 다양한 형태
-> 전화 시스템과 같은 공중 교환망(PSTNs)인 사설망, 서비스 제공자가 단지 점대 점 연결을 제공하기 위해 추가적인 서비스를 덧붙이는 부가가치망(VANs), 연결이 사적이고 가까운 거리인 근거리통신망(LAN) 포함 -> 네트워크와 관련된 상당한 물리적 거리가 있는 곳에서는 광역통신망(WAN) 이용
-> 인터넷 : 내부 감사자에게 활용, 우려 증가-> 인터넷은 느슨하게 함께 연결된 세계의 컴퓨터들의 집합이고, 정보의 원천일 뿐만 아니라 외부 위험의 기원이기도 함
2. 배치와 온라인시스템
1) 배치(일괄) 대 온라인
- 네트워크는 개별 직접 링크를 가진 점 대 점으로 구성될 것
-> 대안적 구성 : 단일 라인을 공유하는 다중의 터미널들을 가진 다 지점(multi-drop) 회선 방식인 버스구조일 수 있음-> 여기서 단말기와 컴퓨터의 통신선로를 구성하는 방법에는 폴링, 선택, 경쟁 -> 링 네트워크 : 어떤 중앙 컴퓨터를 가지고 있지 않고 각 장치는 네트워크 상에 노드(node)로 분류됨이 있음 -> 성형 망 : 모든 통신을 조정하는 단일의 중앙 컴퓨터를 가짐, 중앙 컴퓨터 장애 시 모든 연결 단말기
가 통신할 수 없다는 단점을 가짐
-> 그물(메쉬)(mesh)망 : 이러한 단점을 극복한 방법임 -
온라인 시스템이 존재하는 곳에서 가능사항
->
온라인 질의 :
원격 사용자가 데이터를 직접 검색하도록 함, 이 경우에 주된 관심은 정보의 기밀성 (confidentiality)이어야 함->
온라인 데이터 입력 :
데이터의 원격 입력을 허용하고 데이터의 최신 처리를 허용함, 이 경우에 주된 관심은 정확성(accuracy)과 완전성(completeness) 뿐만 아니라 거래 인증(transaction authenticity)일 것이다.->
온라인 업데이트 :
온라인 데이터 입력과 유사하지만 거래의 즉각적인 효과를 가짐, 여기서기본적인 관심은 동시성 통제(concurrency control)(동시에 동일 기록을 두 사용자들이 업데이트 하는 것의 방지)와 가용성(availability)임
