[CISA 이론 정리 - 4장] 10 기반구조 및 운영 감사 항목

1. 기반구조 검토 항목

(1) 개발 및 획득 프로세스

① 하드웨어 개발/획득 계획은 비즈니스 요구 사항 및 EA(전사적 아키텍처)와 연계되는가?

② 비용 편익 및 타당성을 분석하고 하드웨어 및 소프트웨어 선정 절차를 준수하는가?

③ 장단기 IS 계획과 일치하며 평가 기준 및 선정 결과에 부합하는 제품을 도입했는가?

(2) IT 자산 관리

① 모든 하드웨어에 적절한 라벨(또는 태그)를 부착하고 소프트웨어 재고를 파악하는가?

② 각각의 자산 항목에 소유자를 지정하고 자산의 위치와 구성을 파악하는가?

③ 계약 및 SLA가 적절히 문서화되고 준수되는가?

(3) 용량/가용성, 사용율/성능, 사고/문제 감시

① 용량/성능 관련 지표를 지속적으로 감시하고 적절한 개선/유지 계획을 수립하는가?

② 예방적 유지보수의 주기가 적정하며 중요한 업무 및 운영에 방해가 되지 않는가?

③ 기반 구조 관련 장애, 비정상적 동작/종료 등을 감시하고 원인을 해결하는가?

(4) 변경 및 패치 관리

① 하드웨어/소프트웨어 변경에 대한 승인을 받으며 변경 일정을 적절히 공지하는가?

② 시스템 패치를 패치를 관리하고 소프트웨어 버전을 최신으로 유지하는가?

③ 적절한 테스트 및 인수 과정을 거치며 버전/릴리스/형상 등이 관리되는가?

(5) 보안 관리

① 마스터 콘솔을 포함하여 기반 구조에 대한 물리적/논리적 접근을 적절히 통제하는가?

② 접근 권한 부여는 문서화하며 승인 받지 않은 접근 시도를 문서화하고 조치하는가?

③ 벤더가 설정한 기본 패스워드를 시스템 설치 시에 적절히 변경하는가?

2. 데이터베이스 검토 항목

(1) DB의 구조의 분석 및 설계

① 논리적 스키마와 물리적 스키마 그리고 실제 DB 구조 사이에 일관성 있는가?

② 주키(Primary key, 특정 레코드를 고유하게 식별하는 데 쓰이는 속성 값)와 외래키(foreign key, 특정 레코드의 주키에 포함된 다른 레코드의 주키) 설정이 적절하며 누락이 없는가?

③ 무결성 통제가 적절히 정의되며 역정규화를 할 경우 적절한 근거가 있는가?

④ 접근 시간을 절감하기 위해 색인(index)을 설정하며 설정된 색인은 정확한가?

(2) 데이터베이스 무결성 통제 및 보안

① 데이터를 내보내거나(export) 가져올(import) 때 기밀성/무결성이 보장되는가?

② 적절한 백업 및 재해 복구 절차가 존재하며 필요한 기술적 통제가 적용되는가?

③ DBMS 및 데이터 사전에 대한 무결성이 유지되는가?

④ 참조 무결성 규칙이 존재하며 준수되는가?

⑤ 패스워드 설정 및 변경 절차가 적정한가?

3. 네트워크 검토 항목

(1) 물리적 및 환경 통제

① 네트워크 장비와 배선은 물리적으로 안전하며 적절한 라벨(또는 태그)을 부착했는가?

② 온도, 습도, 먼지, 화재, 전력 품질 저하 등에 대한 적절한 관리가 이루어지는가?

③ 백업 매체의 보호 및 전력 공급 요구 사항의 충족 등이 이루어지는가?

(2) 논리적 보안 통제

① 패스워드가 유일하며 정기적을 변경되며 일방향 암호화되어 저장되는가?

② 네트워크 관리자의 원격 접근이 금지되며 활동 로그가 생성되는가?

③ 네트워크 보안 정책 및 절차는 네트워크 운영 환경에 적합한가?

④ 승인 받지 않은 네트워크 접근이 적절히 차단되며 접근 시도에 대한 조치를 취하는가?

⑤ 네트워크 사용자들은 네트워크 보안 정책을 숙지하고 준수하는가?

4. IS 운영 검토

(1) 직원 검토

① 효율적인 운영이 가능하도록 적절한 정책과 표준이 제시/준수되고 있는가?

② 직원들은 필요한 자격과 능력을 갖추고 있으며 적절한 감독과 감시가 받는가?

③ 적절한 직무 분리 및 업무 승인과 감독이 이루어지는가?

(2) 운영자

① 운영 매뉴얼은 올바른 시작/종료 절차, 오류 시 대처 요령, 제한된 활동 등을 설명하는가?

② 파일 및 문서 라이브러리에 대한 접근 권한은 운영자에게만 주어지는가?

③ 유틸리티 및 접근 통제 우회 기능의 사용이 제한되는가?

④ 소스 코드와 목적 코드 및 생산 데이터에 대한 접근이 제한되는가?

(3) 라이브러리 접근

① 오직 승인 받은 직원만 라이브러리 시설에 접근하는가?

② 라이브러리안은 하드웨어에 접근할 수 없으며 테이프 관리 시스템만 접근하는가?

③ 데이터 및 저장 매체의 반출/반입에 관한 로그를 작성하는가?

(4) 작업 일정 수립(Job scheduling)

① 작업 요청에 대한 승인 기록이 유지되며 승인된 작업만 수행되는가?

② 작업 수행 일정, 입력 및 처리 시한, 데이터 준비 및 처리 시간 등이 SLA에 부합하는가?

③ 작업 일정은 작업의 우선 순위에 맞게 수립되며 실제로 준수되는가?

(5) 문제 관리

① 사고 및 문제를 시기적절하게 탐지/교정하기 위한 감시 절차가 존재하며 준수되는가?

② 사고 및 문제의 기록, 평가, 해결, 이관, 사후 검토, 문서화 절차는 적절하며 준수되는가?

③ 해결이 지연되고 있는 문제가 없으며 재발 방지 대책이 수립되는가?

(6) 기타

① 오프라인 저장 장치 및 파일 처리 절차가 적절히 수립되고 준수되는가?

② 데이터 입력의 승인, 무결성 검토 및 오류 수정 등의 절차가 이행되는가?

③ 무인 운영에 대한 접근 통제 및 적절한 비상 대응 계획이 존재하는가?