CISA/1. IS 감사 프로세스 크램 2017. 9. 4. 09:24
1. IT 조직 감사(1) 위험 징후 식별① IT/IS 서비스에 대한 사용자 부서의 태도, 예산/일정 초과, 과도한 변경 및 이직율, 낮은 숙련성 및 성능, 지나치게 많은 예외 사항 등 부정적 지표를 고려한다.② 감사의 목적과 중요성에 따라 적절한 담당자를 배정해야 한다.③ 특히 IT 거버넌스 감사의 경우 감사 참여 인력의 직급, 경험, 숙련성이 높아야 한다. (2) 관련 문서 검토① 중요한 정책과 절차들이 문서화되어 있는지 파악하고 내용이 적절한지 평가한다.예) IT 전략, 계획, 예산, 보안 정책, 조직도, 직무 기술서, IT 운영 위원회 보고서, 인사 관리 절차, 운영자 매뉴얼, 사용자 지침서, 품질 관리 절차 등② 문서화되지 않았다면 실제로 적용되는 원칙과 절차가 무엇인지 파악하고 정리한다.③ I..
CISA/2. IT 거버넌스 및 관리 크램 2017. 9. 3. 12:01
2. 기업 거버넌스(조직 거버넌스)(1) 이사회, CEO, 고위 경영진(senior management)① 조직의 창립자 또는 주주들은 이사(director)들을 선출하여 조직 경영을 위탁한다.② 선출된 의장(chairman) 및 이사들이 이사회(BOD: Board of Directors)를 구성한다.③ BOD는 CEO(Chief Executive Officer)와 고위 경영진의 선임/성과 평가/해임 등을 결정한다.④ BOD는 CEO와 고위 경영진 또는 CXO(COO, CFO, CTO, CRO, CIO, CISO 등)가 경영 및 통제 책임을 성실히 이행하는지 감시한다.⑤ CEO와 고위 경영진의 도움을 받아 기업의 비전을 달성하고 성과를 증명한다.⑥ CEO와 고위 경영진이 건실한 통제/보안 시스템을 설계하..