CISA/1. IS 감사 프로세스 크램 2016. 3. 17. 02:13
3) 위험 대응 방안(1) 위험 대응 전략의 유형위험 대응 전략은 다음과 같은 유형들이 있다. 회피(Avoidance)∙ 애초에 위험이 발생할 수 있는 상황이나 가능성을 제거함 ∙ 일부 영역에서만 가능하며 전체 위험을 제거할 수는 없음∙ 예) 자산 매각, 설계 변경, 물리적 위치 및 구조 변경 등 절감(Reduction)∙ 위험의 발생 가능성이나 예상 손실을 낮추기 위한 대책을 적용함∙ 대부분의 위험 관리 대책 유형은 위험 절감에 해당함∙ 예) 직무 분리, 접근 통제 시스템, 암호화, 방화벽 등 전가(Transference)∙ 일정한 수수료(premium)를 지불하고 다른 개체에 위험을 이전함∙ 불공정 거래 또는 착취의 소지가 없도록 유의해야 함∙ 예) 보험 가입, 계약 시 위험 책임 전가 조항 등 용인..
CISA/1. IS 감사 프로세스 크램 2016. 3. 17. 01:58
1) 위험(Risk)의 의의(1) 위험의 일반적 특성위험은 크게 목적과 자산 관점에서 정의할 수 있다.목적 관점: 목적(Objectives) 달성에 부정적 영향을 주는 사건(event)이 발생할 가능성자산 관점: 위협이 자산의 취약점을 악용해(exploit) 손실(loss)을 끼칠 가능성IT 위험 관리에서는 위험을 주로 자산 관점에서 접근하며 일부 목적 관점을 가미한다.일부 위험은 긍정적 영향을 주기도 하는 데 이를 투기적(speculative) 위험이라고 한다.하지만 일반적인 프레임워크에서 위험은 부정적 영향만 주는 순(pure) 위험이다. (2) 위험의 기본 요소위험을 정의하는 5가지 요소는 다음과 같이 구분할 수 있다.위험의 기본 요소 = 자산 × 위협 × 취약점위험의 크기 = 영향 × 가능성 IT..
CISA/1. IS 감사 프로세스 크램 2016. 3. 11. 12:14
2) IT 통제 모형(1) COBIT 5.0 구조COBIT(Control Objective for Information and related Technology)은 ISACA(Information Systems Audit and Control Association)이 제정한 IT 거버넌스, 관리, 통제 및 감사를 위한 모형으로서 5.0이 최신 버전이다.COBIT 5.0은 IT 목표를 기업 목표 및 성공 요인(enabler) 목표와 연결한다. 다양한 차원의 목표 그리고 목표 간 연관 관계를 다음과 같이 모형화할 수 있다. (2) IT 거버넌스 및 경영의 성공 요인원칙/정책/프레임워크• 원칙/정책/프레임워크는 IT 거버넌스와 관리의 기본 규칙을 규정하며 조직의 문화와 윤리적 가치를 반영해야 한다.• 원칙(P..
CISA/1. IS 감사 프로세스 크램 2016. 3. 8. 17:07
1) 내부 통제 모형(1) COSOCOSO란 Committee of Sponsoring Organizations of the Treadway Commission의 약자로서 1985년 AAA, AICPA, FEI, IMA, IIA가 공동으로 설립하여 운영하는 단체의 이름이다.American Accounting Association (AAA)American Institute of Certified Public Accountants (AICPA)Financial Executives International (FEI)Institute of Management Accountants (IMA)The Institute of Internal Auditors (IIA)COSO는 건실한 내부 통제 시스템의 구축 및 운영 ..