[CISA 이론 정리 - 3장] 10 시스템 개발, 구입 및 유지 보수 감사 항목

1. 프로젝트 관리

• 계약서 및 내부 승인 문서의 내용은 적정하며 문서화 역시 적절한가?

• 프로젝트 관리자 및 프로젝트 관리 팀이 적절히 구성되었는가?

• 투입 인력이 충분하며 필요한 스킬 세트를 갖추었는가?

• 프로젝트 투입 인력 팀원 간 역할 배정과 직무 분리가 적절히 이루어졌는가?

• 프로젝트 방법론이 적절히 선정되고 프로젝트에 맞게 조정되었는가?

• 프로젝트 수명 주기, 단계별 태스크 및 산출물, 산출물 인수 기준 등이 적절한가?

• PMO(Project Management Office)에서 제공하는 템플릿, 정책, 절차를 반영하는가?

• 프로젝트 관리 계획서가 적절히 작성되고 승인 받았는가?

• 범위/일정/예산 기준선을 확인하고 합리적이고 달성 가능하며 낭비 요소가 없는가?

• 일정/예산을 고려하지 않는 범위 증가, 즉 범위 변형(scope creep) 예방 관리하는가?

• 납기/예산을 준수하며 심각한 차이에 대해 시기적절하고 비용 효과적인 대응하는가?

• CASE 도구를 사용할 경우 적절히 배포하고 사용 교육을 제공하는가?

• 개발 환경이 적절히 구현되었고 물리적 논리적 보안이 적절한가?

• 적절한 품질 관리 계획과 품질 표준을 수립하며 프로젝트 팀원들에게 전달하는가?

• 품질 보증 팀이 독립적으로 활동하며 자유롭게 검토 의견을 제시할 수 있는가?

• 계량화된 품질 측정 지표를 정의하고 있으며 실제로 사용하는가?

• 단계별로 품질 보증과 품질 검토 활동을 수행하고 실무자들은 검토 의견을 반영하는가?

• 지속적으로 위험을 식별/분석/감시하며 비용 효율적인 대응 방안을 제시/시행하는가?

• 모든 중요한 변경에 대한 비용 편익 분석과 영향 평가를 수행하고 문서화하는가?

• 변경/형상 관리 기준선을 적절히 설정하며 형상 관리를 적절히 수행하는가?

• 주요 이해관계자들을 식별/분석/감시하며 비용 효과적인 관계 관리를 하는가?

• 주요 이해관계자들이 요구 사항 분석에 참여하며 그들의 의견을 적절히 반영하는가?

• 중요 변경과 프로젝트 성과 정보를 시기적절하게 주요 이해관계자에게 전달하는가?

• 이해관계자들 간 주요 쟁점들을 기록하고 해결 담당자를 지정하여 조치를 취하는가?

• 단계마다 고객들이 인도물을 검수/인수하며 후속 단계 진행의 타당성을 판단하는가?

• 비용 증빙, 승인 기록, 필요 문서들을 철저히 작성/보관하여 분쟁의 소지를 예방하는가?

• 향후 다른 프로젝트트에 활용할 수 있도록 프로젝트 성과 정보와 교훈점을 적절히 문서화하는가?

2. 타당성 검토

• 궁극적으로 달성하고자 하는 전략적 목적이 분명하게 제시되어 있는가?

• 비용 효과 분석에 사용된 각종 가정 및 모델이 논리적이고 현실적인가?

• 자료 분석 기법과 결과가 합리적이며 최종 결론을 적절히 뒷받침하는가?

• 해결책과 이로부터 얻고자 하는 기대 이익을 구체적이고 분명하게 제시하는가?

• 해결책의 적절한 원천들을 식별/검토하고 객관적 기준에 따라 선택했는가?

3. 요구 사항 정의

• 사용자 부서의 관리자가 요구 사항 정의 과정에 적극 참여하고 의견을 제시했는가?

• 요구 사항을 빠짐 없이 식별하고 요구 사항의 원천과 근거를 명확하게 문서화하였는가?

• 기능 요구 사항에 더해 보안 및 통제를 위한 요구 사항도 분석하였는가?

• 예를 들어 지속적 감사 도구가 필요할 경우 해당 내용도 요구 사항에 포함했는가?

• 요구 사항이 합리적이고 상호 양립할 수 있는가?

• 상위 수준에서 데이터 및 프로세스 분석 모델이 적절히 작성되는가?

4. 소프트웨어 구입

• 타당성 검토로부터 구매 결정에 이르기까지 객관적/일관적인 기준을 사용했는가?

• RFP는 필요한 사항들을 분명하고 완전하게 포함하고 있는가?

• 합리적/객관적인 업체 선정 기준을 수립하여 입찰 참여 기업에 공정하게 제공했는가?

• 입찰에 참여하는 기업들을 공정하게 대우하였으며 제안서를 객관적으로 평가하였는가?

• 기업의 재정 능력 및 재난 복구 능력 등을 고려하여 업체를 선정했는가?

• 최종 협상 과정은 효과적이었고 공정하면서도 최대한 유리한 조건을 도출했는가?

• 계약서에 최종 서명하기 전에 법률 및 관련 전문가들의 검토와 의견 수렴을 했는가?

• 선정한 업체와 적절히 계약서를 작성하고 SLA도 수립하여 상호 서명했는가?

• 다음의 내용들이 계약서와 SLA에 포함되어 있으며 내용이 적절한가?

(제품의 범위/수량/납품 시기/가격, 제공되는 문서, 유지 보수 관련 합의 사항, 저작권 및 에스크로 조항, 백업용으로 원본 복사 허용 여부, 설치 시 지원 및 사용자 교육 등)

5. 상세 설계

• 프로그램 모듈 구성이 업무 활동의 범위를 누락과 중복 없이 지원하는가?

• 시스템의 계층적 구성은 기술적/실무적으로 타당하며 일반적 설계 기준과 부합하는가?

• 사용자 인터페이스(UI: User Interface)는 직관적이고 사용하기 쉬우며 필요한 기능과 데이터를 모두 포함하는가?

• 데이터베이스 설계 과정에 적절한 전문가 및 실무 담당자가 참여하였는가?

• 프로그램 사양서에는 모듈이 수행해야 할 연산 및 관련 무결성 규칙이 기술되어 있는가?

• 응용 통제, 자동화된 감사 증적 생성 모듈 등 다양한 통제 대책을 설계에 포함했는가?

• 개발된 IS에 대한 테스트 계획을 적절히 수립하였는가?

• 기존 데이터를 새로운 시스템에 입력/변환하기 위한 방법 및 프로그램을 개발했는가?

• 사용자 교육 및 프로그램 이관(migration)을 위한 계획을 수립했는가?

• 각종 테스트 계획은 내용이 완전하고 효과적이며 효율적으로 수립되었는가?

• 개발 대상 IS를 백업하고 복구하기 위한 방안을 수립했는가?

• 사용자 경영진이 설계 결과를 승인하였고 변경 통제 기준선이 설정되었는가?

• 입력/처리/출력의 무결성을 보증하는 응용 통제가 적절히 설계되었는가?

6. 프로그래밍

• 개발 환경에 대한 적절한 물리/논리적 접근 통제를 하는가?

• 개발 완료한 모듈들을 주기적으로 백업하는가?

• 프로그래머는 적절한 단위 테스트를 수행하는가?

• 표준 준수와 문서화에 대한 품질 보증이 이루어지는가?

• 보안 전문가가 보안 요구 사항 준수에 대한 검토를 수행하였는가?

• 주요 변경에 대한 검토와 승인 및 문서화를 수행하는가?

• 개발된 시스템에 응용 통제 절차가 적절히 내장되어 있는가?

7. 테스트

• 테스트 목적에 맞는 테스트 환경, 사례, 데이터, 판단 조건 등을 준비하였는가?

• 테스트 계획에 따라 빠짐 없이 테스트를 수행했는가?

• 적절한 테스트 주체와 관련 책임자들이 참여하였는가?

• 발견된 미비 사항은 적절히 조치를 하는가?

• 중요한 변경이나 조처를 취한 다음에는 동일한 조건에서 다시 테스트했는가?

• 테스트 결과는 관리자들에 의해 승인 받았는가?

8. 구현

• 구현에 앞서 사용자들이 충분한 인수 테스트를 수행하였는가?

• 상호 합의한 인수 기준에 따라 인수 여부를 결정하고 결과를 문서화하였는가?

• 새로운 시스템의 이관 방법은 업무 연속성 및 효과적인 변화 관리 정책과 부합하는가?

• 이관 과정에서 차질이나 업무 중단이 발생하는 상황을 대응하기 위한 방안이 있는가?

• 데이터 변환이 정확하고 완전하게 이루어졌는가?

• 사용자 교육과 후속 지원이 효과적으로 이루어졌는가?

• 최종 승인 받은 버전이 사용자들에게 배포되며 설치되었는가?

9. 사후 검토

• 시스템 안정화까지 충분한 시간을 허용하였는가?

• 발견된 문제들의 영향과 원인을 철저히 분석하고 대책을 수립하여 시기적절하게 조치했는가?

• 안정화 기간 동안 중요한 변경들을 검토/승인하고 이해관계자들에게 전달했는가?

• 시스템의 전략/전술/운영 목적과 요구 사항들이 적절히 달성되었는가?

• 사용자들은 해당 시스템을 의도한 용도에 맞게 충분히 활용하고 있는가?

• 내장 감사 모듈을 적절히 작동하는가?

• 응용 시스템의 무결성 통제, 즉 응용 통제 대책이 일관성 있게 작동하는가?

• 입력/출력 데이터를 비교해 본 결과 처리 무결성을 확인할 수 있는가?