Transcript 정보시스템의 효율성
정보체계론 제15장 정보체계 통제 1. 정보체계 통제의 정의 2. 시스템 통제의 유형 3. 정보체계 감사 1. 정보체계 통제의 정의 정보체계 기능의 정상적 수행에 지장을 주는 불법적 행위와 재해 등을 방지하기 위한 관리적 행위 1. 시스템 통제의 정의 • 시스템 기능의 정상적 수행에 지장을 주는 불법적 인 행위나 착오, 재해 등을 방지하거나 그 피해를 최소화하기 위한 관리적 행위 • 정보체계의 구축과 운영에 따른 위협요인에 대하 여 정보자산을 보호하기 위한 대비책 • 시스템 통제의 목적 – – – – 정보시스템의 효과성(effectiveness) 정보시스템의 효율성(efficiency) 정보시스템의 안전성(security) 법규, 기준, 표준의 준거성(compliance) 시스템 통제의 내용 • 오류발생 가능성이 있는 모든 부분을 대상 으로 공식화된 통제절차를 마련한다. • 시스템 설계때부터 통제를 고려하여 감사 궤적 (audit trail)을 마련한다. • 통제를 위해서는 시스템에 대한 문서화가 필수적이다. 2. 시스템 통제의 유형 • 통제의 범위 – 일반통제 (General Control): 정보시스템의 전반적 조 직이나 절차; 전산운영 통제, 시스템 개발통제 – 응용통제 (Application Control): 특정응용시스템의 입 력, 처리, 출력 통제 • 통제의 구현방법 – 논리적 통제 (Logical Control) : 검토및 승인 – 기술적 통제 (Technical Control): Parity Check • 통제 시점 – 예방통제(Preventive Control):직무분장, 교차훈련, 표 준개발 방법론 – 검출통제(Detective Control):복식 비교, 한계치 비교 – 교정통제(Corrective Control):처리과정의 기록유지, 감사추적, Backup and Recovery 1) 일반적 통제 (1) (2) (3) (4) 관리적 통제 시스템개발에 대한 통제 하드웨어와 소프트웨어에 대한 통제 시스템 접근에 대한 통제 (1) 관리적 통제 • 일반적 통제의 관리적 통제는 시스템 기본계획, 역할의 명확한 분담, 인력의 선발.훈련 및 배치, 문서화된 시스템과 절차, 그리고 예산 및 사용자 관리시스템 등의 통제를 말한다. ① 시스템 기본계획: ISP, 장기계획, 중기계획, 단기계획에 대한 통제 ② 역할의 분담: 어떤 사람이 해야 하는 일과 할 수 없는 일을 명확히 규 정 ③ 시스템 인력의 선발과 교육훈련: 다양한 시스템 기능의 유형별로 적 절한 능력과 자질을 갖춘 사람을 선발하도록 통제 ④ 문서화된 시스템절차: 통제의 기준을 위해 시스템과 절차를 문서화한 다. ⑤ 예산 및 사용자 관리시스템: 사용자의 불만사항이라든가 새로운 요구 사항을 파악할 수 있는 의사소통창구와 같은 시스템 사용자와의 관계 를 적절하게 유지.관리하는 것도 시스템 통제의 대상이다. (2) 시스템 개발에 대한 통제 • 시스템개발에 대한 통제는 시스템개발주기와 관련한 통제, 시스템 문서화에 대 한 통제, 그리고 프로그램 변경에 대 한 통제 등이다. ① 시스템개발 수명주기와 관련한 통제: 시스템개발 수명주 기의 전과정에 걸쳐 사용자와 일반관리자가 시스템 설계 내용을 검토하고 수정할 기회가 제공되어야 한다. ② 문서화에 대한 통제: 시스템 개발 각 부문에 대한 문서화 가 이루어져야 한다. ③ 프로그램변경에 대한 통제: 부정방지의 목적과 함께 적절 한 절차를 거치지 않은 프로그램 변경은 통제되어야 한다. (3) H/W와 S/W에 대한 통제 • 하드웨어와 소프트웨어에는 구입할 때부터 통제 기능이 내장되어 있어서 자동적으로 작동한다. ① 하드웨어에 대한 통제: 패리티 통제, 중복검사, 타당성 검사 (validity check), 기록-판독 검사 (write-read check), 예방보수 (preventive maintenance), 반향검사 (echo check) 등 ② 시스템 소프트웨어에 대한 통제: 암호기능, 파일 처리시 머리표지(header label)와 꼬리표지(tailer label)를 자동적으로 만드는 기능, (4) 시스템 접근에 대한 통제 • 시스템 이용에 대한 통제이다. • 프로그램 관련문서에 대한 통제: 부정방지 의 차원에서 프로그램 관련문서는 매우 엄 격히 통제되어야 한다. • 프로그램과 데이터에 대한 접근을 통제한 다. 2) 응용통제 • 응용 시스템에 대한 통제이다. (1) 입력에 대한 통제: 정확한 자료 입력 (GIGO) - 입력이 정당한 입력인가 ? - 컴퓨터가 판독할 수 있는 형태로 정확이 변환되었는가 ? - 데이타 편집은 제대로 되었는가 ? - 오류의 가능성은 없는가 ? (2) 처리과정에 대한 통제: 처리와 갱신 확인 - 자료입력이 완벽하게 잘 되었다 할지라도 그 처리과정에 서 오류가 발생 할 수 있다. (3) 출력에 대한 통제: 처리결과의 완전성과 배포 - 처리결과의 정확성을 검사하고 그 배포를 통제한다. 3. 정보체계 감사 • 정보체계 감사는 시스템 통제의 한 방법으로 정 보체계의 상태를 점검 통제한다. • 시스템 관련 재정적 자료와 회계기록을 정기적 으로 점검한다. • 조직 내부인사의 내부감사와 외부인사의 외부 감사가 있다. • 정보체계 감사의 대상은 정보체계 운영부서, 정 보체계 변경관리 절차, 데이터 보안, 응용시스템 통제, 사용자 통제 등이다. 정보체계 감사의 정의 • 정보시스템을 대상으로 하여 기획, 개발, 운용, 관 리의 각 단계별 또는 전과정에 걸쳐 합리성, 타당 성, 신뢰성, 안전성, 효율성 등을 독립적이고 객관 적인 방법으로 조사하고 감독하며 개선사향을 조 언하고 대안을 제시하는 행위 및 절차 • 독립적이고 기술적 적격성을 보유한 감리인이 객 관적 입장에서 정보시스템 분석, 점검, 평가. 정보체계 감사의 필요성 • 정보시스템의 복잡도 증가와 의존도 심화 • 정보화 역기능에 의한 컴퓨터 범죄행위의 급증 및 지능화 • 정보시스템에 대한 신뢰성 확보를 위한 평 가, 검토의 필요성 • 위험분석 결여로 인하여 실패 가능성 증가 • 문제점 파악을 통한 품질 개선 활동 필요 정보체계 감사의 내용 1.시스템 통제가 잘 이루어지고 있는가? 2.통제가 되지 않는 분야는 어디인가? 3.통제가 필요하지 않는 분야는 어디인가? 4.통제가 적절히 이루어지고 있는가? 5.통제는 효과적인가? 6.시스템 산출물은 올바른가? 7.담당자들의 업무가 명확히 구분되어 있는가? 8.모든 절차가 통제과정의 기준을 준수하고 있는 가? 9.통제가 이루어지지 않을 경우 보고하거나 수정 하는 절차가 있는가? 정보체계 감사의 유형 • Auditing around the computer: 특정 투입에 대한 산출물이 정확한가? • Auditing through the computer: 투입, 산출, 처리가 정확히 이루어지는가? • Auditing with the computer: 사용자 데이터, 감사 소프트웨어, 사용자와 감 사의 하드웨어의 결합으로 감사 시스템 감사 기법 및 도구 • 일반 감사기법 및 도구 – 문서의 검토 – 실물 확인과 관찰 – 면담 및 내부통제 질문서 • 컴퓨터를 이용한 감사기법 – 범용 감사 소프트웨어(GAS: Generalized Audit SW): 자료접근, 레코드 선택, 비교, 재계산 그리고 보고와 같은 일반적인 프로세 스에 사용될 수 있는 다목적의 감사 소프트웨어 – 시험자료법 (Test Data): 실제 데이터 또는 IS 감사인이 생성한 데 이터로 시스템을 시험해 본다. – 통합자료처리법(ITF: Integrated Test Facility): 실제 운영 시스템 에서 테스트 데이터를 처리하는 것. 보통 가공의 실체(부서, 고객, 제품)에 대한 데이터를 운영 시스템에서 처리한다. 처리의 정확성 을 확인하기 위하여 출력 보고서를 검증한다. – 병행 시뮬레이션법(Parallel Simulation): 감사인이 감사의견에 중 요한 응용 프로세스를 복제한 프로그램을 작성하고, 이 프로그램 의 결과를 해당 응용 시스템이 산출한 결과와 비교하여 차이를 밝 혀낸다. – 스냅샷(Snapshot): 메모리의 현재 상태를 저장한 것 (시스템 다운 시 복구를 위해 주기적으로 저장된다.) 시스템 감사의 대상 • 사업감사 – 개발사업의 감사 • 운영감사 – 운영준비 단계에 대한 점검 • 운영계획 및 절차 • 운영시험 • 시스템 및 업무이행 – 운영실행 단계에 대한 점검 • 운영관리 • 데이터 관리 • 소프트웨어 관리 • 하드웨어 관리 • 네트워크 관리 • 건물 및 설비 관리 시스템 감사 패러다임의 변화 • 신뢰성 보증 • 적절성 보증까지 • 정기적 감사 • 재무 항목 • 전체적 사용자 • 지속적 감사, JIT 감사 • 포괄적 영역으로 • 개인 사용자 그룹 요점정리 • 정보체계 통제: 정보체계 기능의 정상적 수행에 지장을 주는 불 법적 행위와 재해 등을 방지하기 위한 관리적 행위 • 시스템 통제 = 일반통제 + 응용 통제 • 일반적 통제: 관리통제, 시스템 개발 통제, H/W와 S/W에 대한 통제, 시스템 접근에 대한 통제 • 응용통제: 입력통제, 처리통제, 출력통제 • 정보체계 감사: 정보체계의 상태를 점검 통제 • 정보체계 감사의 대상: 정보체계 운영부서, 정보체계 변경관리 절차, 데이터 보안, 응용시스템, 사용자 통제 • 감사기법: GAS, Test Data, ITF, 병행 시뮬레이션, 스냅샷 • 시스템 감사 패러다임의 변화 1. 뉴 • 정보에.