[CISA 이론 정리 - 2장] 05 IS 조직 구조 및 책임

1. 정보 처리 방식

(1) 배치(Batch) 처리 방식

① 일정 분량의 거래가 모이거나 일정 주기에 이르면 수집된 거래를 한 번에 일괄 처리한다.

사용자

• 거래 데이터를 원시 문서(source document)에 기입 제출한다.

• 제출한 거래 데이터의 무결성을 확인(validation)할 책임이 있다.

데이터 통제 그룹(입출력 통제 그룹)

• 원시 문서를 배치 등록부에 기입하고 통제 합계를 구한다.

• 배치 파일이 처리되면 출력 보고서를 사용자들에게 배포한다.

키 펀처(Key Puncher)

• 원시 문서의 데이터를 전산 데이터로 변환(conversion)한다.

• 변환된 데이터의 무결성은 키 검증 기법으로 확인한다.

운영자

• 입력된 거래 데이터의 처리 결과를 데이터 통제 그룹에 전달한다.

(2) 메모 갱신(Memo Updating)/메모 포스팅(Memo Posting) 방식

① 데이터 입력은 온라인으로 하지만 실제 처리와 마스터 파일 갱신은 배치 방식으로 한다.

② 입력된 거래는 처리되기 전까지는 내용을 수정하거나 취소할 수 있다.

(3) OLRT(Online Real Time) 방식

① 사용자가 온라인 인터페이스를 통해 직접 거래 데이터 입력, 처리 요청, 결과 수령을 한다.

② 입력 데이터의 무결성 보증은 자동화된 확인/편집 루틴에 의존한다.

(4) 정보 처리 방식 구분

2. 일반적인 IT 직무 구성

(1) 하청업체 관리

① 하청업체의 서비스를 감시하고 경영진에 보고한다.

② 하청업체와 연락하고 쟁점 해결을 위한 방향을 제시한다.

③ 아웃소싱 계약 변경을 검토하며 승인을 받는다.

(2) 운영 관리

① 전산실 내 서버,메인프레임, 주변 장치 등을 관리한다.

② 오프라인 배치 처리의 경우 데이터 통제 그룹이 데이터의 입/출력을 전담하기도 한다.

(3) 매체 관리

① 착탈이 가능한 저장 매체에 보관된 모든 프로그램/데이터 파일을 관리한다.

② 이를 위해 매체 관리 소프트웨어를 사용하기도 한다.

(4) 데이터 입력(Data input)

① 데이터 입력 방법에는 크게 데이터 등록(entry)과 데이터 포착(capture)이 있다.

② 데이터 등록은 컴퓨터 인터페이스를 통해 입력 필드에 데이터를 입력하는 방법이다.

③ 데이터 포착은 다양한 데이터 원천에서 데이터를 곧바로 입력한다.

④ 예를 들어, EDI 문서 입력,바코드 스캔, 이미지 스캔 등은 데이터 포착에 해당한다.

⑤ 한편, 원격 터미널을 통해 포착한 데이터를 SCADA(Supervisory Control and Data Acquisition)라고 하는 중앙 시스템으로 직접 입력할 수도 있다.

⑥ 발전소나 대규모 공장에서는 센서들을 통해 포착된 다양한 데이터가 SCADA를 통해 직접 입력된다.

(5) 시스템 관리 및 네트워크 관리

① 일부 조직에서는 시스템 관리자를 시스템 프로그래머라고 부르기도 한다.

② 다양한 형태의 네트워크(LAN, 무선 LAN, WAN, PAN, SAN 등) 관리가 포함될 수도있다.

③ 네트워크 관리 담당자를 별도로 둘 수도있다.

(6) 보안 관리

① 승인 받은 사용자 ID와 패스워드, IT자원에 대한 접근 규칙 등을 관리한다.

② 보안 위반을 감시하고 적절한 조치를 취한다.

③ 보안 정책을 주기적으로 검토하고 개선을 권고한다.

④ 보안 의식 교육 프로그램을 개발하고 감시한다.

⑤ 보안 아키텍처를 테스트하여 보안 강도를 평가하고 잠재적 위협을 찾는다.

보안 관리 담당자는 시스템 개발이나 운영 업무를 수행할 수 없다.

(7) 품질 보증

① 소프트웨어 개발 및 운영 과정에서의 품질을 보증한다.

② QA(Quality Assurance): IT부서가 일정한 품질 공정을 따르는지를 점검한다.

③ QC(Quality Control): 완성된 시스템의 무결성(integrity)을 점검한다.

④ QA와 QC는 보증 대상으로부터 독립적이어야 하며 자신이 수행한 업무를 점검해서는 안 된다.

(8) 데이터 관리(Data management)/데이터베이스 관리(Database administration)

① 데이터 관리 담당자는 데이터 아키텍처 및 데이터 자체를 관리한다.

② 데이터베이스 관리 담당자는 DB 시스템의 물리적 구조를 정의하고 성능 최적화(또는 튜닝, tuning)를 담당한다.

③ 또한 데이터베이스에 접근 통제 및 무결성 통제를 실행한다.

④ 데이터를 직접 접근할 수 있기 때문에 철저한 직무 분리와 사후 감시가 필요하다.

(9) 시스템 분석

① 사용자의 요구/필요를 체계적으로 문서화하고 이를 근거로 시스템을 설계한다.

② 이 설계 문서를 사양서(specification)라고 하며 프로그래머들은 사양서를 근거로 소프트웨어를 개발한다.

③ 시스템 분석과 응용 개발/유지보수 업무는 겸임할 수 있다.

(10) 응용 개발/유지보수

① 시스템 분석 담당자가 작성한 사양서를 토대로 프로그램 코드를 작성하고 오류 수정, 즉 디버깅(debugging)을 수행한다.

② 시스템 분석과 응용 개발/유지보수는 운영 업무를 수행해서는 안 된다.

③ QA/QC 업무 담당자는 시스템 분석이나 응용 개발/유지보수 업무를 수행할 수 없다.

(11) 기반구조 개발/유지보수

① 운영 체제를 포함하여 시스템 소프트웨어를 개발하고 유지보수한다.

② 접근 범위가 넓은 직무이므로 철저한 감시와 통제가 필요하다.

(12) 헬프 데스크(= 서비스 데스크, 콜 센터)

① 사용자들이 직면하는 기술적 문제나 애로 사항을 대응한다.

② 바로 해결할 수 없는 사안은 적절한 담당자에게 이관(escalation)해야 한다.

③ 일부 헬프 데스크에서는 특별 개발된 소프트웨어를 사용하기도 한다.