정보보안 감사

정보보안 감사란 조직의 정보보안 수준에 대한 감사를 말한다. 정보보안의 광범위한 감사 범위 내에 여러 유형의 감사, 다른 감사에 대한 여러 가지 목적 등이 있다. 가장 일반적으로 감사를 받고 있는 통제장치는 기술, 물리적, 관리적으로 분류될 수 있다. 감사 정보 보안은 데이터 센터의 물리적 보안 감사에서 데이터베이스의 논리적 보안 감사까지 주제를 다루며, 이러한 영역을 감사하기 위한 주요 구성 요소와 다른 방법을 강조한다.

정보보안에 관한 정보기술(IT) 측면을 중심으로 할 때, 정보보안에 관한 감사의 일환으로 볼 수 있다. 그 다음에 흔히 정보기술 보안 감사 또는 컴퓨터 보안 감사라고 한다. 그러나 정보보안은 IT보다 훨씬 더 많이 포괄한다.

감사 프로세스

감사계획 및 준비

감사인은 데이터센터 검토를 실시하기 전에 회사와 회사의 중요한 비즈니스 활동에 대해 충분한 교육을 받아야 한다. 데이터 센터의 목적은 중요한 정보와 프로세스의 보안과 무결성을 유지하면서 데이터 센터 활동을 비즈니스의 목표에 맞추어 조정하는 것이다. 고객의 목표가 달성되고 있는지 여부를 적절히 판단하기 위해, 심사자는 검토를 실시하기 전에 다음 사항을 수행해야 한다.

IT 관리자와 만나 가능한 관심 영역 파악
현재 IT 조직도 검토
데이터 센터 직원의 직무 설명 검토
데이터 센터 내에서 운영되는 모든 운영 체제, 소프트웨어 애플리케이션 및 데이터 센터 장비 조사
회사의 IT 정책 및 절차 검토
회사의 IT 예산 및 시스템 계획 문서 평가
데이터 센터의 재해 복구 계획 검토

감사 목표 설정

기업 데이터 센터에 대한 검토를 실시하는 다음 단계는 감사인이 데이터 센터 감사 목표를 정립할 때 이루어진다. 감사인은 운영 환경에서 감사 위험을 잠재적으로 식별하고 그러한 위험을 완화하는 통제장치를 평가하는 데이터 센터 절차 및 활동과 관련된 여러 요소를 고려한다. 철저한 테스트와 분석을 거쳐 감사인은 데이터센터가 적절한 통제력을 유지하고 효율적이고 효과적으로 운영되고 있는지를 적절하게 판단할 수 있다.

다음은 감사인이 검토해야 할 목표 목록이다.

시스템 및 교차 기능 교육을 포함한 인사 절차 및 책임
변경 관리 프로세스가 수립되고 IT 및 관리 인력이 그 뒤를 잇는다.
다운타임을 최소화하고 중요한 데이터의 손실을 방지하기 위한 적절한 백업 절차 마련
데이터 센터에는 데이터 센터에 대한 무단 액세스를 방지하기 위한 적절한 물리적 보안 제어 기능이 있다.
화재 및 홍수로부터 장비가 보호되도록 하기 위한 적절한 환경 제어 장치가 마련되어 있음

검토 수행

다음 단계는 데이터 센터 감사 목표를 충족하기 위한 증거를 수집하는 것이다. 여기에는 데이터 센터 위치로 이동하고 프로세스와 데이터 센터 내에서의 관찰이 포함된다. 사전 결정된 감사 목표를 충족하기 위해 다음과 같은 검토 절차를 수행해야 한다.

데이터 센터 직원 – 모든 데이터 센터 직원은 데이터 센터에 액세스할 수 있는 권한을 부여받아야 한다(키 카드, 로그인 ID, 보안 암호 등). 데이터 센터 직원은 데이터 센터 장비에 대해 적절한 교육을 받고 업무를 적절하게 수행해야 한다. 공급업체 서비스 담당자는 데이터 센터 장비에 대한 작업을 수행할 때 감독을 받는다. 감사관은 데이터센터 직원의 목적을 달성하기 위해 관찰하고 인터뷰해야 한다.
장비 – 감사자는 모든 데이터 센터 장비가 적절하고 효과적으로 작동하는지 확인해야 한다. 장비 활용 보고서, 손상 및 기능성에 대한 장비 검사, 시스템 다운타임 기록 및 장비 성능 측정은 모두 감사관이 데이터 센터 장비의 상태를 결정하는 데 도움이 된다. 또한, 감사인은 예방적 유지관리 정책이 시행되고 있는지 여부를 결정하기 위해 직원들을 인터뷰해야 한다.
정책 및 절차 – 모든 데이터 센터 정책 및 절차를 문서화하고 데이터 센터에 배치해야 한다. 중요한 문서화된 절차에는 데이터 센터 직원의 직무 책임, 백업 정책, 보안 정책, 직원 해고 정책, 시스템 운영 절차 및 운영 체제 개요가 포함된다.
물리적 보안/환경 통제 – 감사인은 고객의 데이터 센터의 보안을 평가해야 한다. 물리적 보안에는 경호원, 잠긴 우리, 맨트랩, 단일 출입구, 볼트다운 장비, 컴퓨터 감시 시스템 등이 포함된다. 또한 데이터 센터 장비의 보안을 보장하기 위해 환경적 통제를 실시해야 한다. 여기에는 에어컨 장치, 높은 바닥, 가습기 및 무정전 전원 공급 장치가 포함된다.
백업 절차 – 감사인은 시스템 장애 시 고객이 백업 절차를 수립했는지 확인해야 한다. 고객은 시스템 장애 시 즉시 운영을 계속할 수 있는 별도의 위치에 백업 데이터 센터를 유지할 수 있다.

검토보고서 발행

데이터센터 검토보고서는 감사인의 조사결과를 요약하고, 표준검토서와 형식이 유사해야 한다. 검토 보고서는 감사인의 질의 및 절차가 완료된 날짜로 작성되어야 한다. 검토에 수반되는 내용을 명시하고 검토가 제3자에게 "제한된 보장"만을 제공한다는 점을 설명해야 한다.

감사를 수행하는 사람

일반적으로 컴퓨터 보안 감사는 다음에 의해 수행된다.

연방 또는 주 규제 기관 - 공인 회계사, CISA. 연방 OTS, OCC, DOJ 등
기업 내부 감사 - 공인 회계사, CISA, 공인 인터넷 감사 전문가(CIAP)^[1]
외부 감사인 - 기술 감사와 관련된 분야에 전문화됨.
컨설턴트 - 조직에서 전문 기술이 부족한 경우 기술 감사 아웃소싱

감사된 시스템

네트워크 취약성

가로채기: 네트워크를 통해 전송되고 있는 데이터는 데이터를 유해한 용도로 사용할 수 있는 의도하지 않은 제3자에 의해 가로채기에 취약하다.
가용성: 네트워크는 폭 넓게 확장되어 많은 사람들이 회사 정보에 접근하기 위해 의존하는 수백 또는 수천 마일을 가로지르고 있으며, 연결이 끊기면 사업 중단을 야기할 수 있다.
액세스/입력 지점: 네트워크는 원치 않는 액세스에 취약하다. 네트워크의 취약점은 침입자에게 그러한 정보를 이용할 수 있게 할 수 있다. 또한 바이러스와 트로이 목마의 진입점을 제공할 수 있다.^[2]

컨트롤

가로채기 제어: 통신 연결이 종료되고 네트워크 배선 및 배포가 위치한 곳을 포함하여 데이터 센터와 사무실에서 물리적 접근 제어를 통해 감청을 부분적으로 억제할 수 있다. 암호화는 무선 네트워크 보안에도 도움이 된다.
가용성 제어: 이를 위한 최선의 제어는 뛰어난 네트워크 아키텍처와 모니터링을 갖는 것이다. 네트워크는 모든 자원과 액세스 지점 사이에 중복 경로를 가져야 하며, 데이터나 시간의 손실 없이 트래픽을 사용 가능한 경로로 전환하기 위한 자동 라우팅이 있어야 한다.
접근/진입 지점 제어: 대부분의 네트워크 제어장치는 네트워크가 외부 네트워크와 연결되는 지점에 배치된다. 이러한 제어장치는 네트워크를 통과하는 트래픽을 제한한다. 여기에는 방화벽, 침입 탐지 시스템 및 바이러스 백신 소프트웨어가 포함될 수 있다.

감사자는 네트워크와 네트워크 취약점을 더 잘 이해하기 위해 특정한 질문을 해야 한다. 감사인은 우선 네트워크의 범위와 네트워크의 구조 방식을 평가해야 한다. 네트워크 다이어그램은 이 과정에서 감사자를 도울 수 있다. 감사자가 물어봐야 할 다음 질문은 이 네트워크가 어떤 중요한 정보를 보호해야 하는가에 관한 것이다. 기업 시스템, 메일 서버, 웹 서버, 그리고 고객이 접속하는 호스트 애플리케이션과 같은 것들은 전형적으로 집중적인 영역이다. 누가 어떤 부분에 접근할 수 있는지 아는 것도 중요하다. 고객과 공급업체는 네트워크의 시스템에 액세스할 수 있는가? 직원들이 가정에서 정보에 접근할 수 있는가? 마지막으로, 감사인은 네트워크가 외부 네트워크에 어떻게 연결되고 어떻게 보호되는지 평가해야 한다. 대부분의 네트워크는 적어도 인터넷에 연결되어 있어 취약점이 될 수 있다. 이는 네트워크 보호에 있어 중요한 질문이다.

암호화 및 IT 감사

감사인은 클라이언트가 자신의 조직에 대해 암호화 정책을 시행할 필요성을 평가할 때, 고객의 위험과 데이터 가치에 대한 분석을 실시해야 한다. 복수의 외부 사용자, 전자상거래 애플리케이션, 민감한 고객/종업원 정보를 보유한 기업은 데이터 수집 프로세스의 적절한 단계에서 정확한 데이터를 암호화하는 것을 목적으로 하는 경직된 암호화 정책을 유지해야 한다.

감사인은 고객의 암호화 정책과 절차를 지속적으로 평가해야 한다. 전자상거래 시스템과 무선 네트워크에 크게 의존하는 기업은 전송 중 중요한 정보의 도난과 손실에 극도로 취약하다. 전송되는 모든 데이터가 보호되도록 정책과 절차를 문서화하고 수행해야 한다.

감사인은 데이터 암호화 관리 프로세스에 대한 관리 권한이 있는지 확인해야 한다. 키에 대한 접근은 이중 제어가 필요하며, 키는 두 개의 별도 구성요소로 구성되어야 하며 프로그래머나 외부 사용자가 접근할 수 없는 컴퓨터에서 유지되어야 한다. 더욱이 경영진은 암호화 정책이 원하는 수준에서 데이터 보호를 보장하고 데이터 암호화 비용이 정보 자체의 가치를 초과하지 않는지 검증해야 한다. 광범위한 시간 동안 유지 관리해야 하는 모든 데이터는 암호화하여 원격으로 전송해야 한다. 암호화된 모든 민감한 정보가 그 위치에 도착하여 적절하게 저장되도록 보장하는 절차가 마련되어야 한다. 마지막으로, 감사인은 암호화 시스템이 강력하고 공격성이 없으며 모든 국내 및 국제법규를 준수하는지 경영진으로부터 검증을 받아야 한다.

논리적 보안 감사

어떤 시스템에 대한 감사에서 첫 번째 단계는 그것의 구성 요소와 구조를 이해하는 것이다. 논리적 보안을 감사할 때 감사인은 어떤 보안 통제장치가 있는지, 그리고 어떻게 작동하는지 조사해야 한다. 특히 논리적 보안을 감사할 때 핵심 사항은 다음과 같다.

암호: 모든 회사는 비밀번호와 직원들의 사용에 관한 정책을 작성해야 한다. 비밀번호는 공유되지 않아야 하며 직원들은 의무적으로 스케줄 변경을 해야 한다. 직원은 자신의 직무 기능과 일치하는 사용자 권한을 가져야 한다. 또한 적절한 로그온/로그오프 절차를 숙지해야 한다. 또한 보안 토큰, 컴퓨터 프로그램 또는 네트워크의 인증된 사용자가 신원 확인을 돕기 위해 휴대하는 소형 장치도 유용하다. 암호키와 생체 인식 데이터도 저장할 수 있다. 가장 많이 사용되는 유형의 보안 토큰(RSA의 Secur)ID)는 매분마다 바뀌는 숫자를 표시한다. 사용자는 토큰에 개인 식별 번호와 번호를 입력하여 인증된다.
종료 절차: 나이든 직원이 네트워크에 더 이상 액세스할 수 없도록 적절한 종료 절차. 이것은 비밀번호와 코드를 변경함으로써 이루어질 수 있다. 또한 유통되고 있는 모든 신분증과 배지를 문서화하여 설명해야 한다.
특수 사용자 계정: 특수 사용자 계정 및 기타 특권 계정을 모니터링하고 적절한 통제를 갖추어야 한다.
원격 액세스: 원격 액세스는 종종 침입자가 시스템에 들어갈 수 있는 지점이다. 원격 액세스에 사용되는 논리적 보안 도구는 매우 엄격해야 한다. 원격 액세스가 기록되어야 한다.

네트워크 보안에 사용되는 특정 도구

네트워크 보안은 방화벽 및 프록시 서버, 암호화, 논리적 보안 및 액세스 제어, 안티바이러스 소프트웨어, 로그 관리 등의 감사 시스템 등 다양한 툴에 의해 달성된다.

방화벽은 네트워크 보안의 매우 기본적인 부분이다. 그것들은 종종 사설 로컬 네트워크와 인터넷 사이에 배치된다. 방화벽은 그것을 인증하고, 모니터링하고, 기록하고, 보고할 수 있는 트래픽의 흐름을 제공한다. 일부 다른 유형의 방화벽에는 네트워크 계층 방화벽, 선별된 서브넷 방화벽, 패킷 필터 방화벽, 동적 패킷 필터링 방화벽, 하이브리드 방화벽, 투명 방화벽 및 애플리케이션 수준 방화벽이 포함된다.

암호화 프로세스에는 일반 텍스트를 암호문이라고 알려진 읽을 수 없는 일련의 문자로 변환하는 작업이 포함된다. 암호화된 텍스트를 도난당하거나 전송 중에 얻으면 내용을 볼 수 없게 된다. 이것은 안전한 전송을 보장하며 중요한 정보를 송수신하는 회사들에게 매우 유용하다. 암호화된 정보가 의도된 수신자에게 도착하면 암호 해독 프로세스를 배치하여 암호문을 일반 텍스트로 복원한다.

프록시 서버는 클라이언트 워크스테이션의 실제 주소를 숨기고 방화벽 역할도 할 수 있다. 프록시 서버 방화벽에는 인증을 강제하기 위한 특수 소프트웨어가 있다. 프록시 서버 방화벽은 사용자 요청에 대한 중간 관리자 역할을 한다.

McAfee 및 Symantec 소프트웨어와 같은 바이러스 백신 소프트웨어 프로그램은 악의적인 콘텐츠를 찾아 폐기한다. 이러한 바이러스 방지 프로그램은 알려진 컴퓨터 바이러스에 대한 최신 정보를 제공하기 위해 라이브 업데이트를 실행한다.

논리적 보안에는 사용자 ID 및 암호 액세스, 인증, 액세스 권한 및 권한 수준을 포함한 조직의 시스템에 대한 소프트웨어 안전장치가 포함된다. 이러한 조치는 인가된 사용자만이 네트워크나 워크스테이션에서 작업을 수행하거나 정보에 접근할 수 있도록 하기 위함이다.

감사 시스템, 조직의 네트워크를 통해 수행되는 작업 추적 및 기록 로그 관리 솔루션은 분석 및 포렌식 작업을 위해 이기종 시스템에서 감사 추적을 중앙에서 수집하는 데 종종 사용된다. 로그 관리는 네트워크 접속을 시도할 수 있는 무허가 사용자를 추적하고 식별하는 데 탁월하며, 네트워크상에서 허가된 사용자가 액세스하고 있는 사항과 사용자 당국의 변경사항을 파악하는 데 매우 적합하다. 감시와 같은 창 세션 내에서 사용자 활동을 기록하고 인덱싱하는 소프트웨어IT는 터미널 서비스, Citrix 및 기타 원격 액세스 소프트웨어를 통해 원격으로 연결되었을 때 사용자 활동에 대한 포괄적인 감사 추적을 제공한다.^[3]

2006년 Nmap 사용자 3243명을 대상으로 한 '불안함'에 따르면,Org,^[4] Nessus, Wireshark 및 Snort는 최고의 네트워크 보안 툴이었다. 같은 조사에 따르면 백트랙 라이브 CD는 최고 등급의 정보보안 감사 및 침투 테스트 배포판이다. 네서스는 리눅스, BSD, Solaris에 대해 1200개 이상의 보안 검사를 수행하는 원격 보안 스캐너다. 와이어샤크는 유닉스와 윈도용 네트워크 프로토콜을 분석하며, 스노트는 마이크로소프트 윈도도 지원하는 침입 탐지 시스템이다. 네서스, 와이어샤크, 스노트는 무료다. 네트워크 보안을 위해 인기 있는 다른 제품으로는 옴니가드, 가디언, 랭귀드가 있다. 옴니구아드는 또한 바이러스 방어를 제공하는 가디언과 마찬가지로 방화벽이다. LANGuard는 네트워크 감사, 침입 탐지 및 네트워크 관리를 제공한다. 로그 관리의 경우, SenSage 등의 벤더의 솔루션은 정부 기관과 규제가 심한 업종의 선택이다.

행동감사

취약성은 종종 조직의 IT 시스템의 기술적 약점과 관련이 없고 오히려 조직 내의 개별적인 행동과 관련이 있다. 간단한 예로 컴퓨터를 잠그지 않은 채 방치하거나 피싱 공격에 취약한 사용자가 있다. 이에 따라 철저한 InfoSec 감사는 외부인은 물론 일반 직원의 관점에서 감사인이 최대한 많은 시스템에 접근하려고 시도하는 침투 검사를 자주 포함하게 된다.^[5]

시스템 및 프로세스 보증 감사는 IT 인프라 및 애플리케이션/정보 보안 감사의 요소를 결합하고, 완성도, 정확도, 유효성(V) 및 제한된 액세스(CAVR)와 같은 범주의 다양한 제어를 사용한다.^[6]

애플리케이션 보안 감사

애플리케이션 보안

Application Security는 다음과 같은 세 가지 주요 기능을 중심으로 한다.

프로그래밍
처리.
접근

프로그래밍에 있어서는 핵심 시스템의 개발 및 업데이트를 위해 서버와 메인프레임 주변에 적절한 물리적 및 비밀번호 보호가 존재하는지 확인하는 것이 중요하다. 전자 배지와 배지 리더, 보안요원, 초크 포인트, 보안카메라 등 데이터 센터나 사무실에서 물리적인 접근 보안을 갖추는 것은 애플리케이션과 데이터의 보안을 보장하기 위해 매우 중요하다. 그러면 시스템 변경에 대한 보안이 필요하다. 이들은 대개 적절한 보안 접근과 관련하여 변경해야 하며, 개발에서 시험으로 그리고 최종적으로 생산으로 프로그래밍 변경을 끌어내기 위해 적절한 허가 절차를 갖추어야 한다.

가공과 함께, 위·오류 데이터의 입력, 불완전한 처리, 중복 거래, 시기적절하지 않은 처리 등 몇 가지 다른 측면에 대한 절차와 모니터링이 이루어지는 것이 중요하다. 입력을 무작위로 검토하거나 모든 처리가 적절한 승인을 받도록 하는 것이 이를 보장하는 방법이다. 불완전한 처리를 확인할 수 있어야 하며, 오류가 발생한 경우 이를 완료하거나 시스템에서 삭제할 수 있는 적절한 절차가 마련되어 있는지 확인하는 것이 중요하다. 중복 항목을 식별하고 수정하는 절차도 있어야 한다. 마지막으로, 적시에 처리되지 않는 처리에 대해서는 관련 데이터를 역추적하여 지연이 어디에서 발생하는지 확인하고 이 지연이 제어 우려를 발생시키는지 여부를 식별해야 한다.

마지막으로, 접근, 무단 접근에 대한 네트워크 보안을 유지하는 것이 몇 가지 출처로부터 위협이 올 수 있기 때문에 기업에게 주요 초점 중 하나라는 것을 깨닫는 것이 중요하다. 첫째, 내부 무단 접속이 가능하다. 정기적으로 변경해야 하는 시스템 액세스 암호를 확보하고, 액세스와 변경을 추적할 수 있는 방법이 있어 누가 무엇을 변경했는지 파악할 수 있는 것이 매우 중요하다. 모든 활동을 기록해야 한다. 두번째로 신경 써야 할 분야는 사람들이 인터넷을 통해 외부에서 자신의 시스템에 접속하는 원격 접속이다. 온라인 데이터 변경에 대한 방화벽 및 암호 보호 설정은 인증되지 않은 원격 액세스로부터 보호하기 위한 핵심이다. 접속 통제의 약점을 파악하는 한 가지 방법은 해커를 끌어들여 건물에 진입해 내부 단말기를 이용하거나 원격 접속을 통해 외부에서 해킹을 함으로써 자신의 시스템을 차단하려고 시도하는 것이다.

직무 분리

송금과 송금을 다루는 기능이 있을 때는 사기를 최소화하고 바라건대 예방하기 위해 직무가 분리되도록 하는 것이 매우 중요하다. 시스템 관점에서 직무의 적절한 분리(SoD)를 보장하는 주요 방법 중 하나는 개인의 접근 허가를 검토하는 것이다. SAP와 같은 특정 시스템은 SoD 테스트를 수행할 수 있는 기능을 제공한다고 주장하지만 기본적으로 제공되는 기능은 매우 시간이 많이 소요되는 쿼리를 구축해야 하며 트랜잭션을 통해 사용자에게 할당된 객체 또는 필드 값을 거의 또는 전혀 사용하지 않고 트랜잭션 레벨에만 제한되어 오일이 발생하는 경우가 많다.좋은 결과 SAP와 같은 복잡한 시스템의 경우 SoD 충돌 및 기타 유형의 시스템 활동을 평가하고 분석하기 위해 특별히 개발된 툴을 사용하는 것이 선호되는 경우가 많다. 다른 시스템이나 다중 시스템 포맷의 경우 어떤 사용자가 시스템에 대한 슈퍼유저 액세스를 가질 수 있는지 모니터링하여 시스템의 모든 측면에 무제한으로 액세스할 수 있는지 확인하십시오. 또한, 직무의 적절한 분리가 침해된 지점을 강조하는 모든 기능에 대한 매트릭스를 개발하면 각 직원이 이용할 수 있는 접근을 교차 점검하여 잠재적인 물질적 약점을 식별하는 데 도움이 될 것이다. 이것은 생산에 있어서와 마찬가지로 개발 기능에서 더욱 중요하다. 프로그램을 개발하는 사람들이 프로그램을 생산에 끌어들이도록 허가받은 사람이 아니라는 것을 확실히 하는 것은 허가받지 않은 프로그램이 사기 행각을 벌이기 위해 사용될 수 있는 생산 환경으로 들어가는 것을 막는 데 핵심이다.

요약

대체로, 애플리케이션 보안과 업무 분리의 두 개념은 모두 연결되어 있으며, 두 개념 모두 동일한 목표를 가지고 있으며, 기업의 데이터의 무결성을 보호하고 부정 행위를 방지한다. 응용 프로그램 보안의 경우, 물리적 및 전자적 보안 수단을 적절히 갖추어 하드웨어와 소프트웨어에 대한 무단 액세스를 방지하는 것과 관련이 있다. 직무의 분리와 함께, 그것은 주로 사기로 이어질 수 있는 중복이 없도록 하는 개인의 시스템에 대한 접근과 처리 및 확인에 대한 물리적 검토다.

정보보안 책임자(ISO)

정보보호책임자(ISO)는 비교적 새로운 직책으로서, 정보기술과 네트워크 통신의 혼란스러운 성장 여파로 대처해야 할 조직에서 등장하고 있다. ISO의 역할은 그들이 다루기 위해 만들어진 문제가 명확하게 정의되지 않았기 때문에 매우 모호했다. ISO의 역할은 보안 환경의 역학을 따르고 조직의 위험 상태를 균형 있게 유지하는 것 중 하나가 되었다.^[7]

참고 항목

참조

^ 공인 인터넷 감사 전문가(CIAP), 국제 컴퓨터 감사 교육 협회(ICAEA), http://www.iacae.org/English/Certification/CIAP.php
^ "Cyber Security Guide". 2020년 12월 2일 수요일
^ "Record and replay secure remote access of outsource providers and remote employees". ObserveIT. Archived from the original on 2009-07-09. Retrieved 2008-11-23.
^ Lyon, Gordon (2006). "Top 100 Network Security Tools". SecTools.org. Retrieved 2006-08-24.
^ "10 Pieces of Advice That Will Help You Protect Your Data". 360ict. Retrieved 24 June 2016.
^ K. Julisch 등, 설계 준수 - 감사자와 IT 설계자 간의 갈등 해소 컴퓨터 & 보안 30(6-7): 410-426(2011)
^ 정책 컴플라이언스에 대한 보안 감사. albany.edu

참고 문헌 목록

Gallegos, Frederick; Senft, Sandra; Manson, Daniel P.; Gonzales, Carol (2004). Technology Control and Audit (2nd ed.). Auerbach Publications. ISBN 0-8493-2032-1.

외부 링크

[1] 공인 인터넷 감사 전문가(CIAP), 국제 컴퓨터 감사 교육 협회(ICAEA), http://www.iacae.org/English/Certification/CIAP.php

[2] "Cyber Security Guide". 2020년 12월 2일 수요일

[3] "Record and replay secure remote access of outsource providers and remote employees". ObserveIT. Archived from the original on 2009-07-09. Retrieved 2008-11-23.

[4] Lyon, Gordon (2006). "Top 100 Network Security Tools". SecTools.org. Retrieved 2006-08-24.

[5] "10 Pieces of Advice That Will Help You Protect Your Data". 360ict. Retrieved 24 June 2016.

[6] K. Julisch 등, 설계 준수 - 감사자와 IT 설계자 간의 갈등 해소 컴퓨터 & 보안 30(6-7): 410-426(2011)

[7] 정책 컴플라이언스에 대한 보안 감사. albany.edu

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Search