정보기술감사

Information technology audit

정보 기술 감사 또는 정보 시스템 감사(Information Technology, IT) 인프라 및 비즈니스 애플리케이션 내의 관리 통제에 대한 심사다. 취득한 증거의 평가는 정보시스템이 자산을 보호하고, 데이터 무결성을 유지하며, 조직의 목표나 목적을 달성하기 위해 효과적으로 운영되고 있는지를 결정한다. 이러한 검토는 재무제표 감사, 내부 감사 또는 다른 형태의 증명 참여와 함께 수행될 수 있다.

IT 감사는 ADP 감사(Automatic Data Processing Audit)와 컴퓨터 감사라고도 한다.

이전에는 전자 데이터 처리 감사(EDP 감사)라고 불렸다.

목적

IT 감사는 재무제표 감사와 다르다. 재무감사의 목적은 재무제표가 모든 중요한 측면에서 기업의 재무상태, 영업결과, 현금흐름을 표준회계 실무에 적합하게 공정하게 표시하는지를 평가하는 것이지만, IT감사의 목적은 시스템의 내부통제 설계와 효과성을 평가하는 것이다. 여기에는 효율성 및 보안 프로토콜, 개발 프로세스, IT 거버넌스 또는 감독이 포함되며 이에 국한되지는 않는다. 제어장치 설치는 필요하지만 적절한 보안을 제공하기에 충분하지 않다. 보안 책임자는 통제장치가 의도한 대로 설치되었는지, 효과적인지, 또는 보안에 위반이 발생했는지, 그리고 그러한 경우, 향후 위반을 방지하기 위해 어떤 조치를 취할 수 있는지를 고려해야 한다. 이러한 조사는 독립적이고 편견이 없는 관찰자들이 대답해야 한다. 이러한 관찰자들은 정보 시스템 감사 업무를 수행하고 있다. 정보시스템(IS) 환경에서 감사는 정보시스템, 그 입력, 출력 및 처리에 대한 심사다. [1]

IT 감사의 주요 기능은 조직의 정보를 보호하는 시스템을 평가하는 것이다. 구체적으로, 정보 기술 감사는 조직의 정보 자산 보호 능력을 평가하고 인가된 당사자에게 정보를 적절히 분배하는 데 이용된다.[2] IT 감사는 다음 사항을 평가하는 것을 목적으로 한다.

조직의 컴퓨터 시스템이 필요할 때 항상 비즈니스에 사용 가능한가? (이용가능성이라고 알려져 있다) 시스템의 정보는 인가된 사용자에게만 공개될 것인가? (보안과 기밀로 알려져 있다) 시스템에서 제공하는 정보가 항상 정확하고 신뢰할 수 있으며 시기적절할 것인가? (청렴도를 측정한다) 이러한 방식으로 감사에서는 기업의 귀중한 자산(그 정보)에 대한 리스크를 평가하고 그러한 리스크를 최소화하는 방법을 확립하기를 희망한다.

IT 감사 유형

다양한 당국이 다양한 유형의 IT 감사를 구별하기 위해 서로 다른 분류법을 만들어냈다. Goodman & Rawydles는 IT 감사를 수행하기 위한 세 가지 특정한 체계적 접근법이 있다고 말한다.[3]

  • 기술 혁신 프로세스 감사. 이 감사는 기존 프로젝트와 신규 프로젝트에 대한 위험 프로파일을 작성한다. 감사는 기업이 선택한 기술에 대한 기업의 경험의 길이와 깊이를 평가하고, 관련 시장, 각 프로젝트의 조직, 이 프로젝트나 제품, 조직, 산업 구조를 다루는 산업 부분의 구조를 평가한다.
  • 혁신적인 비교 감사. 이번 감사는 경쟁사 대비 감사 대상 기업의 혁신적 역량을 분석한 것이다. 이를 위해서는 실제 신제품 생산 실적뿐만 아니라 기업의 연구개발 시설도 검토해야 한다.
  • 기술 포지션 감사: 이 감사는 기업이 현재 보유하고 있는 기술과 추가해야 할 기술을 검토한다. 기술은 「기반」, 「키」, 「페이싱」, 「신흥」으로 특징지어진다.

다른 이들은 5가지 감사 범주를 가진 IT 감사의 범위를 설명한다.

  • 시스템애플리케이션: 시스템과 응용프로그램이 적절하고 효율적이며 시스템 활동의 모든 수준에서 유효하고, 신뢰할 수 있고, 시기적절하며, 안전한 입력, 처리 및 출력을 보장하기 위해 적절히 제어되는지 검증하기 위한 감사. 시스템 및 프로세스 보증 감사는 비즈니스 프로세스 중심의 비즈니스 IT 시스템에 초점을 맞춘 하위 유형을 형성한다. 그러한 감사는 재무감사인을 보조하는 목적을 가지고 있다.[4]
  • 정보 처리 시설: 정상적이고 잠재적으로 파괴적인 상황에서 적시에, 정확하고 효율적인 애플리케이션 처리를 보장하기 위해 처리 설비가 통제되고 있는지 검증하는 감사.
  • 시스템 개발: 개발 중인 시스템이 조직의 목적을 충족하는지 검증하고, 시스템 개발에 대해 일반적으로 인정되는 표준에 따라 시스템이 개발되는지 확인하기 위한 감사.
  • IT엔터프라이즈 아키텍처 관리: IT 관리가 정보처리에 대한 통제되고 효율적인 환경을 보장하기 위한 조직구조와 절차를 개발했는지 검증하기 위한 감사.
  • 클라이언트/서버, 통신, 인트라넷 엑스트라넷: 통신 통제가 클라이언트(컴퓨터 수신 서비스), 서버, 클라이언트와 서버를 연결하는 네트워크에 있는지 확인하기 위한 감사.

그리고 일부에서는 모든 IT 감사를 "일반 통제 검토" 감사 또는 "응용 프로그램 통제 검토" 감사 중 하나로 묶는다.

정보보증 영역의 다수의[who?] IT 감사 전문가는 특히 IT 영역에서 수행할 감사 유형에 관계없이 세 가지 기본적인 유형의 통제가 있다고 생각한다. 많은 프레임워크와 표준은 관련된 제어의 유형을 정의하기 위한 노력의 일환으로 제어장치를 "보안 제어", "접근 제어", "IA 제어"라고 부르며 다른 분야 또는 영역으로 세분화하려고 한다. 보다 근본적인 수준에서 이러한 제어는 보호/예방 제어, 탐정 제어 및 반응/수정 제어의 세 가지 유형의 기본 제어로 구성되는 것으로 보일 수 있다.

IS에는 내부 및 외부 감사라는 두 가지 유형의 감사와 감사가 있다. IS 감사는 통상 회계 내부 감사에 포함되며 기업 내부 감사인이 자주 맡는다. 외부감사인은 정보시스템의 입력, 처리, 출력뿐만 아니라 내부감사의 결과를 검토한다. 정보시스템 외부감사는 ISACA, 정보시스템감사통제협회, 미국, ICAI(인도 공인회계사협회)가 인증한 CISA 등 인증정보시스템 감사인이 주로 수행하고, 기타 ISAU의 공인기관에서 인증한다.dit. Delete --> (주로 공인회계사(CPA) 회사에 의해 수행되는 전반적인 외부 감사의 일부.[1] ) IS 감사는 정보 시스템의 모든 잠재적 위험과 통제를 고려한다. 운영, 데이터, 무결성, 소프트웨어 애플리케이션, 보안, 개인 정보 보호, 예산 및 지출, 비용 제어, 생산성 등의 문제에 초점을 맞춘다. 정보시스템감사통제협회와 같이 감사인의 업무를 지원하기 위한 가이드라인이 제공된다.[1]

IT 감사 프로세스

다음은 정보 기술 감사 프로세스를 수행하는 기본 단계다.[5]

  1. 계획
  2. 제어 공부 및 평가
  3. 제어 테스트 및 평가
  4. 보고
  5. 후속 조치

정보 보안

주요 기사: 정보보안 감사

정보 보안 감사는 모든 IT 감사의 필수적인 부분이며 종종 IT 감사의 주요 목적으로 이해된다. 광범위한 감사 정보 보안에는 데이터 센터(데이터 센터의 물리적 보안과 데이터베이스, 서버 및 네트워크 인프라 구성요소의 논리적 보안),[6] 네트워크애플리케이션 보안과 같은 주제가 포함된다. 대부분의 기술 영역과 마찬가지로, 이러한 주제는 항상 진화하고 있으며, IT 감사인은 시스템 회사의 시스템과 환경 및 추구에 대한 지식과 이해를 지속적으로 확장해야 한다.

IT 감사 내역

주요 기사: 정보 기술 감사 이력

IT 감사라는 개념은 1960년대 중반에 형성되었다. 그 이후, IT 감사는 기술 진보와 비즈니스에 기술의 편입에 의해 수많은 변화를 겪었다.

현재 IT 의존적인 기업 중에는 예를 들어 사업 운영을 위해 정보기술에 의존하는 기업이 많다. 통신 회사 또는 은행 회사. 다른 유형의 비즈니스의 경우, IT는 종이 요청 양식을 사용하는 대신 워크플로우를 적용하는 것, 보다 신뢰할 수 있는 수동 제어 대신 애플리케이션 제어를 사용하는 것, 또는 ERP 애플리케이션을 구현하는 것 등 회사의 큰 부분을 담당한다. 이에 따라 IT감사의 중요성은 지속적으로 높아지고 있다. IT 감사의 가장 중요한 역할 중 하나는 재무 감사를 지원하거나 SOX와 같이 발표된 특정 규정을 지원하기 위해 중요한 시스템에 대해 감사하는 것이다.

IT 감사의 원칙

다음의 감사 원칙은 반영되어야 한다.[7]

  • 적시성: 프로세스와 프로그래밍이 결함 및 약점에 대한 잠재적 민감성과 관련하여 지속적으로 검사될 때에만, 발견된 강도의 분석의 지속성 또는 유사한 애플리케이션과의 비교 기능 분석에 의해 업데이트된 프레임을 계속 검사할 수 있다.
  • 소스 개방성: 암호화된 프로그램에 대한 감사에서 오픈 소스의 처리를 어떻게 이해해야 하는지에 대한 명시적인 참조가 필요하다. 예를 들어, IM 서버를 오픈 소스로 간주하지 않고 오픈 소스 애플리케이션을 제공하는 프로그램은 중요한 것으로 간주되어야 한다. 감사자는 암호화된 애플리케이션 내에서 오픈 소스 본성의 필요성에 대한 패러다임에 대한 자신의 입장을 취해야 한다.
  • 정교함: 감사 프로세스는 특정 최소 표준을 지향해야 한다. 최근의 소프트웨어 암호화 감사 프로세스는 품질, 범위 및 효과 면에서 크게 다르고 또한 미디어 수신 경험에서도 종종 다른 인식을 가지고 있다. 한편으로 특별한 지식이 필요하며, 프로그래밍 코드를 읽고 또 다른 한편으로 암호화 절차에 대한 지식을 가질 수 있기 때문에, 많은 사용자들은 공식적인 확인의 가장 짧은 문구를 신뢰하기도 한다. 따라서 품질, 규모 및 효과에 대한 감사자로서의 개별적인 약속은 자신을 위해 반사적으로 평가되어야 하며 감사 내에 문서화되어야 한다.


  • 재무 컨텍스트: 소프트웨어가 상업적으로 개발되었는지 여부와 감사에서 상업적으로 자금을 지원받았는지를 명확히 하기 위해 추가적인 투명성이 필요하다(감사 비용 지불). 개인 취미/커뮤니티 프로젝트인지, 아니면 상업 기업이 배후에 있는지 차이를 만든다.
  • 학습 관점의 과학적 참조: 각 감사는 조사 결과를 맥락 안에서 상세히 기술해야 하며, 또한 진행 과정과 개발 요구를 건설적으로 강조해야 한다. 감사인은 프로그램의 모체가 아니라 PDCA 학습동아리(PDCA = Plan-Do-Check-Act)의 일부로 간주될 경우 최소한 멘토 역할을 한다. 탐지된 취약성에 대한 설명 옆에 혁신적인 기회와 잠재력 개발에 대한 설명도 있어야 한다.
  • 인쇄물 포함: 독자는 한 번의 검토 결과에만 의존할 것이 아니라 관리 시스템의 루프(예: PDCA, 위 참조)에 따라 판단해야 하며, 개발 팀이나 검토자가 추가 분석을 수행할 준비가 되어 있으며, 개발 및 검토 과정에서도 학습에 개방되어 있고 다른 사람의 메모를 고려할 수 있도록 해야 한다. 감사의 각 경우에 참고자 목록이 동반되어야 한다.
  • 사용자 설명서 및 설명서 포함: 매뉴얼과 기술서류가 있는지, 그리고 이를 확대했는지에 대한 추가 점검이 이루어져야 한다.
  • 혁신에 대한 참조사항 식별: 오프라인 및 온라인 연락처로 메시지를 보내는 애플리케이션, 즉 GoldBug의 경우와 마찬가지로 하나의 애플리케이션에서 채팅과 전자 메일을 고려하는 애플리케이션은 높은 우선순위로 테스트되어야 한다(전자 메일 기능 외에 존재감 채팅의 기준). 감사인은 또한 혁신에 대한 참조를 강조해야 하며 추가적인 연구 개발 요구를 뒷받침해야 한다.

암호 애플리케이션에 대한 감사 원칙 목록은 기술 분석 방법 외에 고려해야 할 특히 핵심 가치를 설명한다.

신흥 이슈

또한 감사 기관에 따라 수행이 필요한 다양한 표준 위원회가 새로운 감사를 부과하고 있는데, 이는 IT에 영향을 미치고 IT 부서가 준수로 간주될 수 있도록 특정 기능 및 통제를 적절하게 수행하고 있는지 확인하는 것이다. 그러한 감사의 예로는 SSAE 16, ISAE 3402ISO27001:2013이 있다.

웹 존재 감사

기업 방화벽(예: 소셜 미디어 관리 시스템과 같은 클라우드 기반 툴의 확산과 함께 기업의 소셜 미디어 채택)을 넘어 기업의 IT 존재감이 확대되면서 웹 존재감 감사를 IT/IS 감사에 통합하는 중요성이 높아졌다. 이러한 감사의 목적은 회사가 다음을 위해 필요한 조치를 취하고 있음을 확인하는 것을 포함한다.

  • 승인되지 않은 도구 사용 제한(예: "섀도 IT")
  • 평판 훼손을 최소화하다
  • 규제 준수를 유지하다
  • 정보 유출을 막다
  • 제3자 리스크를 완화하다
  • 지배구조의 위험을[8][9] 최소화하다.

과거에는 부서 또는 사용자 개발 도구의 사용이 논란이 되어왔다. 그러나 데이터 분석 툴, 대시보드 및 통계 패키지의 광범위한 가용성으로 인해 사용자는 IT 리소스가 겉보기에는 끝이 없어 보이는 보고서 요청을 이행할 때까지 더 이상 줄을 설 필요가 없다. IT의 임무는 비즈니스 그룹과 협력하여 가능한 한 쉽게 허가된 액세스와 보고를 하는 것이다. 간단한 예를 이용하기 위해서는 순수한 관계형 테이블이 의미 있는 방식으로 연결되도록 사용자가 직접 데이터 매칭을 할 필요가 없어야 한다. IT는 사용자가 데이터 웨어하우스 유형의 파일을 사용할 수 있도록 하여 분석 작업을 단순화해야 한다. 예를 들어, 일부 조직은 정기적으로 창고를 새로 고치고 Tableau와 같은 패키지로 쉽게 업로드하고 대시보드 작성에 사용할 수 있는 "플랫" 테이블을 쉽게 만들 것이다.

엔터프라이즈 통신 감사

VOIP 네트워크와 BYOD와 같은 이슈와 현대적인 기업 전화 시스템의 기능 증가는 중요한 전화 인프라가 잘못 구성될 위험의 증가를 야기하여 기업은 통신 사기의 가능성이나 시스템 안정성의 저하에 대해 개방성을 갖게 된다. 은행, 금융기관 및 컨택트 센터는 일반적으로 통신 시스템 전반에 걸쳐 시행될 정책을 수립한다. 통신 시스템이 정책을 준수하고 있다는 감사 작업은 전문 통신 감사인에게 맡겨진다. 이러한 감사는 회사의 통신 시스템을 다음과 같이 보장한다.

  • 명문화된 방침을 고수하다
  • 해킹이나 날조 위험을 최소화하기 위해 고안된 정책을 따르다.
  • 규제 준수를 유지하다
  • 통행료 사기를 예방하거나 최소화하다
  • 제3자 리스크를 완화하다
  • 지배구조의 위험을[10][11] 최소화하다.

기업 통신 감사는 음성 감사라고도 불리지만,[12] 통신 인프라가 점점 데이터 지향적이고 데이터 의존적이 되면서 용어가 점점 더 퇴색되고 있다. "전화 감사"[13]라는 용어도 더 이상 사용되지 않는 것은 현대의 통신 인프라, 특히 고객을 대할 때, 전화만으로 이루어지는 것이 아니라 복수의 채널에 걸쳐서 상호작용이 이루어지는 옴니 채널이기 때문이다.[14] 기업 통신 감사에 골머리를 앓고 있는 주요 문제 중 하나는 산업 정의 표준이나 정부 승인 표준의 부족이다. IT 감사는 NISTPCI와 같은 조직이 공표한 표준과 정책을 준수하는 것에 기초하여 구축되지만, 기업 통신 감사에 대한 그러한 표준이 없는 것은 이러한 감사가 산업 표준이 아닌 조직의 내부 표준과 정책에 기초해야 함을 의미한다. 그 결과 기업 통신 감사는 여전히 수작업으로 수행되며, 무작위 샘플링 검사를 한다. 엔터프라이즈 통신을 위한 정책 감사 자동화 도구는 최근에야 사용할 수 있게 되었다.[15]

참고 항목

컴퓨터 포렌식

운영

잡다한

부조리 및 불법행위

참조

  1. ^ a b c 레이너, R. 켈리, 케이시 G. 세젤스키. 정보 시스템 소개. 제3판 뉴저지 주 호보켄: Wiley ;, 2011. 인쇄하다
  2. ^ Gantz, Stephen D. (2014). The basics of IT audit : purposes, processes, and practical information. 2014: Syngress, an imprint of Elsevier.CS1 maint: 위치(링크)
  3. ^ Richard A. Goodman; Michael W. Lawless (1994). Technology and strategy: conceptual models and diagnostics. Oxford University Press US. ISBN 978-0-19-507949-4. Retrieved May 9, 2010.
  4. ^ K. Julisch 등, 설계 컴플라이언스 감사인과 IT 설계자 간의 의견 수렴 컴퓨터 & 보안, 엘스비어. 2011년 9월 10월 6-7권 30권.
  5. ^ Davis, Robert E. (2005). IT Auditing: An Adaptive Process. Mission Viejo: Pleier Corporation. ISBN 978-0974302997. Archived from the original on 2013-05-21. Retrieved 2010-11-02.
  6. ^ "Advanced System, Network and Perimeter Auditing".
  7. ^ 추가 핵심 감사 원칙에 대한 참조: Adams, David / Maier, Ann-Kathrin(2016): 앞에서 SEVEN 연구, 오픈 소스 crypto-messengers 비교할 것-또는:종합 기밀성 검토 및;감사 GoldBug의, 암호화 E-Mail-Client&인스턴트 메신저, 설명, 시험과 GoldBug 필수적인 들판과 시내 8개 주요 internati의 평가의 방법론에 근거한 응용 프로그램의 20여가지 기능의 분석 검토를 고정한다.에onal그림 38개와 표 87개를 포함한 IT 보안 조사용 dit 매뉴얼, URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - 영어/독일어, 버전 1.1, 305페이지, 2016년 6월(ISBN: DNB 110368003X - 2016B14779)
  8. ^ Juergens, Michael. "Social Media Risks Create an Expanded Role for Internal Audit". Wall Street Journal. Retrieved 10 August 2015.
  9. ^ "Social Media Audit/Assurance Program". ISACA. ISACA. Retrieved 10 August 2015.
  10. ^ Lingo, Steve. "A Communications Audit: The First Step on the Way to Unified Communications". The XO Blog. Retrieved 17 Jan 2016.
  11. ^ "Telephone System Audit Service". 1st Communications Services. 1st Communications Services.
  12. ^ "Voice Audit". www.securelogix.com. Retrieved 2016-01-20.
  13. ^ "IP Telephony Design and Audit Guidelines" (PDF). www.eurotelecom.ro. Archived from the original (PDF) on 2014-03-27.
  14. ^ "What is omnichannel? - Definition from WhatIs.com". SearchCIO. Retrieved 2016-01-20.
  15. ^ "Assertion". SmarterHi Communications. Retrieved 2016-01-21.

외부 링크