[개론 - Chap.2] '위험기반 감리와 입증 서비스' CobiT 및 사례에 대해서 알아보자

😭 2011년도 자료니 참고만 하세요.

세월이 많이 지나서 법도 개정되었을 수 있습니다.

 

정보시스템 감리의 도입 배경

교육 로드맵

📌 정보시스템 감리기준 - 제2020-1호(2020.1.6)

[정보] 정보시스템 감리기준 - 제2020-1호(2020.1.6.)

 

위험의 이해

1993년도 CISA 모의 시험

다음중 위험의 크기가 가장 큰 것은?
1. 화재
2. 해킹
3. 시스템 정지
4. 조작 오류

 

위협(threat) : 해악을 미칠 수 있는 사건이나 행위
노출(exposure) : 일어나기를 원치 않는 결과나 결말
위험(risk) : 원치 않는 사건이나 행위가 발생할 가능성 혹은 확률

 

📌 위험이란? 위험(危險)에 관한 정의는 여러 가지가 있지만, 일반적으로 손해의 가능성을 의미하는 개념이다. 가치를 잃거나 얻을 수 있는 잠재성을 의미하기도 한다. 리스크(risk)라고도 한다.

위험 - 위키백과, 우리 모두의 백과사전

위험관리 - 위키백과, 우리 모두의 백과사전

 

📌 위험 평가 : 위험을 얼마나 자주 일어나는지 5가지(1~5)로 나누고, 한번 일어날 때 얼마나 위험한지에 대해 5가지(A~E)로 나누어 옆 표에 기록한다.

 

✔ 이 위험이 초록색에 들어가면, 더이상 위험 관리할 필요가 없다는 것이고, 노란색/붉은색 영역에 들어가면 위험관리를 통해 이 위험이 초록색 범위의 위험으로 위험도를 내리도록 조치를 취해야 한다.

 

위험 평가 예시

 

위험기반 감리

위험의 예시

✔ 통제는 부정적인 결과를 줄이거나 발생빈도를 줄임으로서 노출 위험 (exposure)을 감소시키는 것이다.
✔ 통제의 강도는 관련되는 위험의 크기에 따라 결정된다.

 

 

위협의 유형

위협 구분	상세
인간에 의한 위협	- 데이터 입력 요원 - 전산기 운영 요원 - 주변장치 운영 요원 - 시스템 프로그래머 - 라이브러리언 - 응용업무 프로그래머 - 단말기 유지보수 요원 - 전산기 유지보수 요원 - 정보통신 엔지니어 - 운영 관리자 - 데이터베이스 관리자 - 현업부서 사용자 - 현업부서 관리자 및 책임자 - 해커 - 산업스파이 - 적대 세력 요원
절차상의 위협	- 절차나 규정에 대한 이해 미비 - 절차의 오용 - 경영전략이나 지침에 반하는 절차나 규정 - 절차나 규정의 의도적인 위반 - 절차응용의 일관성 결여
조직상의 위협	- 정보화로 인한 책임과 권한의 집중화 - 책임과 권한의 불명확 - 불합리한 업무분장 - 특정 업무에 대한 부서간의 마찰 - 원활하지 못한 부서간 의사소통 - 특정부서나 업무에 대한 통제 부재 - 정보시스템에 대한 책임소재의 불명확 - 부적절한 인사관리 등
자연재해 및 환경에 의한 위협	- 번개, 태풍, 지진 - 홍수, 누수 - 화재 - 정전기 - 물리적 파괴 - 먼지 - 기타 오염물질
응용업무시스템 위협	- 프로그램의 논리 오류나 데이터 유실 가능성 - 사용자의 실수로 입력 양식의 어떤 항목이 기록 안됨 - 컴퓨터 처리시 틀린 화일의 사용 - 데이터 준비나 입력절차를 사용자가 이해하지 못함 - 데이터 준비 및 입력 지침서가 잘못되어 있음 - 숫자나 문자의 순서가 바뀌어 오류 데이터가 입력됨 - 데이터 변환이나 입력 지침서가 잘못되어 있음 - 시스템 테스트나 인수 테스트가 부적절하게 시행됨 - 법률이나 조직의 정책,규정,지침에 위반되는 데이터 처리 - 데이터 및 응용업무시스템에 대한 불법적인 접근
기술상의 위협	- 하드웨어 결함 - 소프트웨어 결함 - 정보기술의 부적절한 적용 - 기타 부대장비의 결함

정보시스템감리 개론

요약 : 소프트웨어어 qa, , 소프트웨어 테스트 자동화, 자동화 소프트웨어, pm 교육, 비즈니스 소프트웨어, 소프트웨어 공학 프로젝트, audit, auditer, 웹 qa, 앱 qa