[CISA 이론 정리 - 2장] 09 IT 조직 및 BCP/DRP 감사 항목

1. IT 조직 감사

(1) 위험 징후 식별

① IT/IS 서비스에 대한 사용자 부서의 태도, 예산/일정 초과, 과도한 변경 및 이직율, 낮은 숙련성 및 성능, 지나치게 많은 예외 사항 등 부정적 지표를 고려한다.

② 감사의 목적과 중요성에 따라 적절한 담당자를 배정해야 한다.

③ 특히 IT 거버넌스 감사의 경우 감사 참여 인력의 직급, 경험, 숙련성이 높아야 한다. 

(2) 관련 문서 검토

① 중요한 정책과 절차들이 문서화되어 있는지 파악하고 내용이 적절한지 평가한다.

예) IT 전략, 계획, 예산, 보안 정책, 조직도, 직무 기술서, IT 운영 위원회 보고서, 인사 관리 절차, 운영자 매뉴얼, 사용자 지침서, 품질 관리 절차 등

② 문서화되지 않았다면 실제로 적용되는 원칙과 절차가 무엇인지 파악하고 정리한다.

③ IT 거버넌스 프레임워크 및 ISP 방법론이 존재하며 좋은 실무를 반영하는지를 평가한다.

④ 계약서/SLA가 문서화되고 법적 요건을 갖추었으며 필요 조항들을 포함하는지 평가한다.

(3) 준거성 테스트

① IT 거버넌스 및 ISP 절차가 조직의 표준 또는 좋은 실무 관행을 따르는지 테스트한다.

② 각종 결의 사항을 이행하기 위한 계획들을 수립하였고 실제로 실행하는지 테스트한다.

③ 문서의 내용이 주기적으로 교육/강제/갱신되는지 확인한다.

④ 중요한 정책/절차/지침/표준이 제대로 준수되는지 테스트한다.

⑤ 입찰 과정이 공정하고 정책/법규를 준수하며 적절히 문서화되는지 테스트한다.

⑥ 각종 계약서/SLA의 조항들이 실제로 준수되고 있는지 테스트한다.

(4) 실증 테스트

① 품질 측정 지표, 성과 측정 지표, 사용자 만족도 지표, 헬프 데스크에 접수된 고충 처리 현황 등을 검토하고 IT 조직이 올바로 관리되는지 테스트한다.

② 인사 관리, 재무 관리, 회계 관리 등의 실무에 오류/부정이 존재하지 않는지 테스트한다.

2. BCP/DRP 감사 항목

(1) 전체적 이해

① BCP/DRP 수립 프로젝트의 동기, 목적, 범위, 팀 구성 등을 파악한다.

② 과거에 수행한 BCP/DRP 감사 보고서를 읽어 보고 특이 사항을 파악한다.

③ 최근의 법규, 비즈니스, 기술 환경 상의 변화를 검토하고 중요한 시사점들을 파악한다.

(2) 관련 문서 검토

① BCP/DRP 수립 표준 방법론이 존재하는지 파악하고 내용이 적정한지 평가한다.

② BIA 수행 표준 방법론이 존재하는지 파악하고 내용이 적정한지 평가한다.

③ MTD/RTO/RPO 산정 기준을 파악하고 내용이 적정한지 평가한다.

④ BCP/DRP 내용을 검토하여 적절히 문서화되고 필요한 내용을 포함하는지 평가한다.

⑤ 대체 처리 시설의 위치, 가용성 수준, 백업 주기 및 방법이 적정한지 평가한다.

⑥ 각종 사고 및 재해 대응 팀의 구성이 적정하며 요구 자격이 명시되었는지 평가한다.

⑦ 훈련/교육/테스트/유지보수 계획을 검토하고 시행 주기 및 방법이 적정한지 평가한다.

(3) 준거성 테스트

① BCP/DRP 수립 과정에서 조직의 표준 방법론이 준수되는지 테스트한다.

② 각종 사고 및 재해 대응 팀이 계획에 따라 구성되고 요구 자격을 만족하는지 테스트한다.

③ BCP/DRP 사본을 적절히 배포하고 있으며 계획에 따라 훈련/교육/테스트/유지보수가 주기적으로 시행되며 문서 갱신에 반영되는지 테스트한다.

④ 규정된 백업 절차에 따라 데이터가 주기적으로 백업되는지 테스트한다.

(4) 실증 테스트

① 대체 처리 시설의 구성을 파악하여 일차 처리 시설과 호환되는지 평가하고 용량은 충분한지 테스트한다.

② 격지 저장소의 백업 내용이 최신의 상태이며 접근 가능한지 테스트한다.

③ MTD/RTO/RPO가 적절히 산정되었는지 테스트한다.

④ 대체 처리 시설 및 격지 저장소에 대한 환경 통제 및 접근 통제가 적정한지 테스트한다.

⑤ 보험 가입 및 보상 범위가 적정한지 테스트한다.