정보시스템 감사 & 감리 A to Z

개발자로 시작하여 정보시스템 감사사CISA 자격 취득 후 오래 경력의 끝을 정보시스템 감리로 바라보고 있습니다. 정보시스템 감사와 감리의 차이점에 대해서 이야기 하고자 합니다. 정보시스템 감사와 정보시스템 감리는 조직의 정보시스템을 관리하고 평가하는 데 사용되는 두 가지 주요 접근 방식입니다. 그러나 이 둘은 목적, 범위, 접근 방식 및 결과물 등에서 중요한 차이가 있습니다. [1] 목적 및 범위 정보시스템 감사(Audit): 정보시스템 감사의 주요 목적은 정보시스템과 관련된 내부 통제 시스템의 효과성과 적절성을 평가하고 확인하는 것입니다. 주로 회계 및 재무 정보시스템, 정보 보안 시스템, 내부 통제 시스템 등과 관련된 범위를 가지고 있습니다. 감사는 보통 외부 감사인이나 내부 감사인에 의해 수행되며,..

정보시스템 감사도 일반적 감사 업무에서 사용하는 체크리스트와 템플릿을 사용하며 또한 감사결과를 문서화 및 보고하기 위한 도구를 사용합니다. 체크리스트 및 템플릿 정보시스템 감사를 위한 도구 중에는 체크리스트 및 템플릿이 매우 중요한 역할을 합니다. 이 도구들은 감사 과정에서 필요한 단계를 체계적으로 수행하고, 감사자가 빠뜨릴 수 있는 사항을 방지하기 위해 활용됩니다. 아래에서 체크리스트 및 템플릿이 어떻게 사용되는지, 그리고 그 중요성에 대해 상세히 알아보도록 하겠습니다. 체크리스트 (Checklists): 체크리스트는 감사 과정에서 수행해야 할 작업이나 검토해야 할 사항들을 명시한 목록입니다. 감사자는 이 체크리스트를 따라가며 각 항목을 확인하고, 누락된 사항이 있는지 확인합니다. 예를 들어, 시스템 ..

정보시스템 감사를 위해 다양한 측면에서 활용되며, 조직이 보다 효율적으로 리스크를 식별하고 관리할 수 있도록 사용하는 시스템에 대해서 알아 보려고 합니다. [1] 자산 평가 도구 (Asset Evaluation Tool) : 자산 평가 도구는 감사 대상의 자산을 식별하고 가치를 평가합니다. 자산은 정보시스템에서 데이터, 하드웨어, 소프트웨어, 네트워크, 사람 및 프로세스와 같은 것들을 포함합니다. 주요 자산을 식별하고 그 가치를 측정하여 잠재적인 위협에 대비하는 데 사용됩니다. 자산 목록 및 인벤토리 관리 하는 시스템으로 SolarWinds, ServiceNow, 또는 Lansweeper와 같은 시스템이 있습니다. 또한 자산 평가와 보안 취약성 스캐닝이 동시에 가능한 Nessus, Qualys, 또는 O..

기술적 검토 및 테스트/ 보고서 작성과 개선 제안 1) 기술적 검토 및 테스트 : - 기술적인 측면에서 시스템을 검토하고 테스트해야 합니다. - 보안 취약점, 시스템 성능, 데이터 무결성 등을 확인하여 시스템의 안전성과 성능을 평가합니다. 정보시스템 감사에서 기술적 검토와 시스템 테스트는 시스템의 안정성과 보안성을 확인하는 데 중요한 단계입니다. 아래와 같은 검토 단계를 통해 확인 할수 있습니다. 기술적 검토에 대해 알아보겠습니다. - 네트워크 구조 분석 : 정보시스템의 네트워크 구조를 분석하여 네트워크의 토폴로지, 장비 구성, 방화벽 및 인트라넷/인터넷 연결 등을 평가합니다. - 시스템 아키텍처 검토 : 시스템의 아키텍처를 검토하여 하드웨어와 소프트웨어의 구성 요소, 데이터베이스 설계, 사용된 기술 스..

기준 및 규정 준수 확인 / 프로세스 및 제어 평가 1) 기준 및 규정 준수 확인 : 관련된 기준과 규정을 준수하는지 확인해야 합니다. 예를 들어, 정보보호 규정, 데이터 보호 법률 등이 해당됩니다. 감사자는 이러한 기준을 기반으로 시스템의 적법성과 안전성을 평가합니다. 정보시스템 감사에서 기준 및 규정 준수 확인은 해당 시스템이 적용 가능한 법적, 규제적, 그리고 기업 내부의 정책 및 규정을 준수하는지를 확인하는 과정입니다. 아래 예시를 통해 설명해드리겠습니다. 기준 및 규정 확인 절차는 아래와 같습니다. - 법적 준수 확인 : 정보시스템 감사에서는 해당 국가의 법률 및 규제 요구 사항을 준수하는지를 확인합니다. 예를 들어, 개인정보 보호법, 데이터 보안 규정 등이 해당될 수 있습니다. - 산업 규정 ..

정보시스템 감사는 조직의 정보기술(IT) 시스템이 안전하고 효율적으로 운영되고 있는지 확인하는 프로세스입니다. 이를 위해서는 효과적인 감사 전략과 최적화 방법이 필요합니다. 목표설정과 범위확정 / 위험평가와 우선순위 설정 1) 목표 설정과 범위 확정 : 정보시스템 감사의 목표는 기업의 정보시스템의 효율성, 안정성, 보안성, 무결성 등을 평가하고 개선 방향을 제시하는 것입니다. 예를 들어, 한 기업의 정보시스템 감사 목표는 다음과 같이 설정될 수 있습니다. - 정보시스템의 운영 및 관리 절차가 적절히 수립되어 있는지 확인 - 시스템의 보안 위협으로부터의 적절한 방어 메커니즘이 구현되어 있는지 평가 - 데이터의 무결성과 일관성을 보장하기 위한 관리 및 백업 절차를 검토 이러한 목표들은 감사의 범위를 결정하고..

개인정보 보호와 법규 준수를 중점 정보시스템 감사 1) 프라이버시 기술의 진화: - 프라이버시 기술은 더 나은 개인정보 보호를 위해 계속해서 발전하고 있습니다. 익명화 기술, 암호화 기술, 식별 정보의 마스킹 및 가명 처리 기술 등이 개발되어, 개인정보를 보호하면서도 필요한 비즈니스 프로세스를 유지할 수 있도록 도와줍니다. 2) AI를 활용한 개인정보 분류 및 감지: - 인공지능(AI) 및 기계학습 기술은 대량의 데이터에서 개인정보를 식별하고 분류하는 데 사용됩니다. AI 기술은 개인정보를 자동으로 감지하고, 데이터 속성을 이해하여 규정 준수를 강화하는 데 도움이 됩니다. 3) 블록체인을 통한 투명성 강화: - 블록체인 기술은 데이터의 변경을 불가능하게 하고, 투명성을 제공하여 개인정보 처리의 과정을 추..

사물인터넷(IoT) 중점 정보시스템 감사 1) 보안 강화와 위협 대응: - IoT 장치는 수많은 보안 취약성을 가지고 있기 때문에, 감사에서는 이러한 취약성에 대응하고 보안을 강화하는 것이 중요합니다. 또한 IoT 환경에서 발생할 수 있는 다양한 사이버 위협에 대한 대응 계획이 마련되어야 합니다. 2) 장치 식별 및 관리: - 많은 종류의 IoT 장치들이 사용되기 때문에, 감사에서는 모든 장치를 식별하고 관리하는 데 중점을 둡니다. 정기적인 장치 감사와 인벤토리 관리가 필요하며, 불필요한 또는 보안에 취약한 장치들을 식별하여 관리해야 합니다. 3) 데이터 프라이버시와 규정 준수: - IoT는 대량의 데이터를 생성하므로, 이 데이터의 수집, 저장, 처리에 대한 프라이버시 문제가 더 중요해지고 있습니다. 감..

블록체인 기술을 활용한 정보시스템 감사 1) 데이터 무결성 강화: 블록체인은 블록이 연결된 체인 형태로 데이터를 저장하며, 한 블록의 데이터가 변경되면 이전 블록부터 모든 블록까지 변경 내역이 반영됩니다. 이로써 데이터의 무결성이 강화되어 변조나 위조가 어려워집니다. 감사자는 블록체인을 통해 기록된 데이터가 변동되지 않았는지 쉽게 확인할 수 있습니다. 2) 분산원장의 신뢰성: 블록체인은 분산원장을 사용하여 모든 참여자에게 동일한 복사본을 제공합니다. 이는 신뢰성 있는 원장을 유지하고 중앙 집중식 시스템의 단일 지점 장애를 방지합니다. 감사자는 신뢰성 있는 데이터를 기반으로 감사를 수행할 수 있습니다. 3) 투명성과 추적성: 블록체인은 모든 거래와 이벤트의 기록을 누구나 열람할 수 있는 투명한 형태로 저장..

빅데이터 및 분석을 활용한 정보시스템 감사 1) 더 큰 범위의 데이터 분석: 빅데이터 기술은 대규모 및 다양한 데이터를 효과적으로 수집, 저장 및 처리할 수 있습니다. 이를 통해 감사자는 더 많은 데이터를 분석하여 조직의 전반적인 상태 및 리스크를 평가할 수 있습니다. 2) 실시간 감사 및 모니터링: 빅데이터 분석은 실시간으로 데이터를 처리하고 이를 기반으로 실시간으로 감사 및 모니터링을 수행하는 데 도움이 됩니다. 이로 인해 감사자는 이상 징후나 비정상적인 행동을 빠르게 감지하고 조치를 취할 수 있습니다. 3) 패턴 및 트렌드 식별: 빅데이터 분석은 데이터에서 패턴이나 트렌드를 식별하는 데 강력한 도구입니다. 감사자는 비즈니스 프로세스에서의 변화나 특이점을 신속하게 파악하고 이에 대한 조치를 취할 수 ..