간편한 참조 요약
제2장은 IT 거버넌스에 대한 필요성을 기술하고 있다. 정보시스템 감사인은 IT 에 대한 기업 거버넌스 상의 요구사항들을 달성하기 위해 조직잉 조직구조, 정책, 책임추적 매커니즘과 모니터링 업무를 조직 내 수립하여 운영하고 있는지에 대해서 이해하고 이헤 대한 확신을 제공할 수 있어야 한다. IT 거버넌스 지식은 정보시스템 감사인이 통제 실무와 관리/감독 메커니즘에 대한 평가 토대를 형성한다.
CISA 수험생들은 다음의 내용에 대해 잘 이해해야 한다. 개념 정의 관점에서 이러한 개념들을 이해하는 거승로는 충분하지 않다는 것을 명심해야 한다.
이번 장에서 다루는 주된 주제들의 예는 다음과 같다.
- 기업 거버넌스의 목표는 가치를 증대시키기 위해 주어진 기회를 활용하는 것과 규제 요건 및 사회적 책임이라는 제약 하에서 조직의 운용이라는 상충되는 목표를 해결하는 것이다. IT 에 거버넌스가 적용될 경우 IT 거버넌스는 IT 모굪와 기업의 목표를 연계하는 것을 도와준다. IT 거버넌스는 비즈니스 가치제공과 IT 위험 관리 2가지 현안과 관련있다. 첫째, IT 가 비즈니스에 가치를 전달하기 위해 IT 는 비즈니스와 전략적 연계를 통해 추진되어야 한다. 둘째 IT 위험이 관리되기 위해서 기업 내에 최종 책임 뿐만아니라 위험 거버넌스 및 관리 방법이 마련되어 있어야 한다. IT 거버넌스는 이사회와 최고 경영진의 수행책임이며, 최고 경영진을 위한 핵심 IT 거버넌스 실무에는 IT 전략위원회, 위험관리 프로세스, IT 균형성과표가 포함된다.
- IT 거버넌스는 정보기술이 조직의 전략 및 목표달성에 기여하도록 하는 것이다. 이에는 조직에 효율적이며 효과적으로 IT 기능을 제공하는 기능적 IT 거버넌스도 포함한다. 효과적인 IT 전략계획은 IT에 대한 조직의 요구사항과 IT 기능을 제공하는 것을 포함한다. 효과적인 IT 전략계획은 IT에 대한 조직의 요구사항과 IT 기능을 제공하는 것을 포함한다. IT 전략은 IT 운영위원회에 의해 관리되고 정보 보호정책을 포함한 정책 및 절차에 의해 통제한다. 조직이 계획 수립 프로세스를 얼마나 중요하게 생각하며, 전반적인 비즈니스 전략 수립에 IT 경영진이 어느정도 참여하는지, 조직의 정책을 외부업체가 준수하도록 적용할 수 있는지에 대해서 판단하기 위해 IS 감사인은 조직의 전략, 정책 그리고 절차를 평가하여야 한다.
- IT 전략위원회는 IT 가치, 위험, 성과를 모니터링 하고, IT전략의 의사결정을 지원학 위해 이사회에 정보를 제공한다. 정보시스템 감사인은 IT 의사결정, 지시, 성과를 위한 이사회 통제의 적절성을 보증하기 위해 IT 거버넌스의 효과성을 평가해야 한다.
- IT 거버넌스의 핵심 측면은 정보보호에 대한 거버넌스이다. 정보는 조직의 가장 가치있는 자산이며, 이것이 생성, 수신, 운용, 처리, 전송, 저장 및 폐기 될때 어떤식으로든 적절히 보호되어야한다. 정보 보호는 사람, 기술 또는 거래 상대방, 고객, 외주업체와의 관계 포함하는가 여부에 상관없이 모든 정보의 물리적, 전기적 처리 프로세스를 포함한다. 정보보호 거버넌스는 정보보호 위험이 적절히 관리되고, 기업 정보 지원이 책임 하에 사용되고 있도록 해준다.
- 정보보호 거버넌스는 정보보호 전략, 정책, 조직 구조를 통해 지원되고 실행되어야 한다. 정보보호 거버넌스는 정책과 규정위반에 대한 징계를 승인할 수 있도록 이사회와 경영진의 책임이어야 한다. 정보보호의 권한은 정보보호 최고책임자(CSO) 에게 위임될 수 있다.
- IT 거버넌스는 조직에 미치는 IT위험을 최소화 하는 것을 포함한다. 위험 관리는 조직의 목표를 달성하고 정보자원이 조직에 갖고 있는 가치를 바탕으로 수용할 수 있는 수준(예, 진여위험)으로 위험을 줄이기 위해 어떤 조치(보호 또는 통제를 취할 것인지 결정하는데 있어 조직이 사용하는 정보자원에 대한 취약점과 위협을 식별하는 프로세스이다. 이 프로세느는 저직의 위험에 대한 성향을 이해하고 그 이후 IT자원에 대한 위험 노출을 판단하는 것으로 시작한다. 이를 통해서 위험관리 전략과 책임이 결정된다. 위험의 종류와 비즈니스에 미치는 심각성에 따라 위험은 회피, 경감, 전가, 수용 또는 거부될 수 있다. 위험발생의 결과는 "영향"이라고 부르며, 이러한 영향은 재무, 법률, 평판, 효율성의 손실로 나타난다.
- 위험은 정성적 분석(상/중/하로 위험을 정의), 준정성적 분석(수치 척도에 따라 위험을 정의) 또는 정량적 분석(재무적 수치를 포함하여 위험에 대해 몇개의 수치를 적용하고 위험의 발생가능성과 영향을 계산)으로 측정된다. 위험이 식별괸 후에는 현재의 통제 또는 새로운 통제들이 설계되고 강도와 발생가능성 관점에서 효과성이 측정된다. 통제에는 예방통제, 적발통제, 교정통제; 수작업 통제와 자동통제; 공식적인(예 문서화된) 통제와 임시통제가 있다. 아울러 보완통제가 존재한다. 경영진은 어떤 영역이 통제가 더 필요하고, 통제로 인한 이익이 비용보다 높은 지를 판단하는데 잔여위험의 개념을 이용할 수 있다. IT 위험관리의 전체 프로세스는 운영, 프로젝트 그리고 전략적 수준을 포함한 조긱에서 다양한 수준에서 관리될 필요가 있으며, IT 비즈니스 관리 실무의 한 부분이 되어야 한다. 위험분석 및 위험 괄리 계획은 환경 및 조직변화를 정기적으로 검토해야 한다.
- IT 부서의 효과성과 전략 및 자원 이용을 개괄적으로 보여주는 핵심 관리 프로세스에는 인적자원관리, 변경관리, 재무관리, 품질관리, 정보보호관리, 성과관리 등이 있다. 정보시스템 환경에 대한 경영진의 통제 및 거버넌스 조직구조를 검토함으로써 평가 될 수 있다. 조직도는 부서들의 계층구조, 권한 및 구체적인 역할과 책임에 대한 명확한 정의를 제공해야 한다. 조직 구조는 IT 부서 내의 각 영역별 역할을 정의하고 IT 부서내에서 적절한 직무분리(SoD)를 명시해야 한다.
- 직무분리의 목적은 프로세스를 수행하는 실무자와 관리자들 사이에 작업과 권한을 분리하여 부정과 오류를 방지하는 것이다. 구체적으로, 분리되어야 하는 직무에는 자산의 관리, 거래의 승인 및 기록등이 포함된다. 복합적인 역할이 요구될 경우, 보완통제가 기술되어야 하며, 조직에 적합하도록 적용되어야 한다. 새로운 역할의 반영 도는 기존의 역할이 변경되는 경우, 부적합한 역할이 반영되지 않음을 보증하는 것이 중요하다. 역할은 '기능확장(function creep)'에 디비함을 보증하기 위해 정기적으로 검토되어야 한다. 본 장에서는 조직 내 비즈니스 연속성 계획(BCP) 와 재해 복구계획(DRP)의 필요성에 대해 다루고 있다. 대부분의 조직은 IT 인프라, 핵심 시스템, 관련 데이터를 복구하기 위한 어느 정도의 재해복구계획(DRP)를 보유하고 있다. 그러나, 많은 조직이 IT 가동 중단기간 동안 핵심 비즈니스 기능을 운영할 것인지에 대한 계획을 고려하고 있지 못하다. CISA 수험생은 DRP 와 BCP의 구성요소, DRP와 BCP의 연계, DRP와 BCP를 조직의 위험 성향과 허용치와 연계의 중요성에 대해서 알고 있어야 한다.
요약하면 정보시스템 감사인은 IT에대한 경영진의 거버넌스를 판단하기 위해 IT 부서의 구조 뿐만 아니라 IT전략, 예산, 정책 및 절차, 접근 권한의 구분과 관련한 정보보호에 대한 통제와 이에대한 문서화를 포함하여 모든 IT 비즈니스 관리 실무를 평가하여야 한다. 왜냐하면 각각의 이들 구성요소들이 IT가 비즈니스에 가치를 제공하고 IT 위험을 관리하도록 하는데 조직이 얼마나 효과적인지르 보여주기 때문이다.
'CISA' 카테고리의 다른 글
2.6 IT 투자와 자원 배분 실무 (0) | 2019.04.20 |
---|---|
2.4 정보시스템 전략 (0) | 2019.04.20 |
2.4 운영위원회 책무에 대한 분석 (0) | 2019.04.19 |
2.3 IT 거버넌스 (0) | 2019.04.19 |
2.2 기업 거버넌스 (0) | 2019.04.19 |