slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
행정학과 정철현 교수 PowerPoint Presentation
Download Presentation
행정학과 정철현 교수

Loading in 2 Seconds...

play fullscreen
1 / 22

행정학과 정철현 교수 - PowerPoint PPT Presentation


  • 197 Views
  • Uploaded on

정보체계론. 행정학과 정철현 교수. 제 15 장 정보체계 통제. 정보체계 통제의 정의 시스템 통제의 유형 정보체계 감사. 1. 정보체계 통제의 정의. 정보체계 기능의 정상적 수행에 지장을 주는 불법적 행위와 재해 등을 방지하기 위한 관리적 행위. 1. 시스템 통제의 정의. 시스템 기능의 정상적 수행에 지장을 주는 불법적인 행위나 착오 , 재해 등을 방지하거나 그 피해를 최소화하기 위한 관리적 행위 정보체계의 구축과 운영에 따른 위협요인에 대하여 정보자산을 보호하기 위한 대비책 시스템 통제의 목적

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '행정학과 정철현 교수' - latika


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

정보체계론

행정학과 정철현 교수

slide2

제15장 정보체계 통제

  • 정보체계 통제의 정의
  • 시스템 통제의 유형
  • 정보체계 감사
slide3

1. 정보체계 통제의 정의

정보체계 기능의 정상적 수행에 지장을 주는

불법적 행위와 재해 등을 방지하기 위한 관리적 행위

slide4

1. 시스템 통제의 정의

  • 시스템 기능의 정상적 수행에 지장을 주는 불법적인 행위나 착오, 재해 등을 방지하거나 그 피해를 최소화하기 위한 관리적 행위
  • 정보체계의 구축과 운영에 따른 위협요인에 대하여 정보자산을 보호하기 위한 대비책
  • 시스템 통제의 목적
    • 정보시스템의 효과성(effectiveness)
    • 정보시스템의 효율성(efficiency)
    • 정보시스템의 안전성(security)
    • 법규, 기준, 표준의 준거성(compliance)
slide5

시스템 통제의 내용

  • 오류발생 가능성이 있는 모든 부분을 대상으로 공식화된 통제절차를 마련한다.
  • 시스템 설계때부터 통제를 고려하여 감사궤적 (audit trail)을 마련한다.
  • 통제를 위해서는 시스템에 대한 문서화가 필수적이다.
slide6

2. 시스템 통제의 유형

  • 통제의 범위
    • 일반통제 (General Control): 정보시스템의 전반적 조직이나 절차; 전산운영 통제, 시스템 개발통제
    • 응용통제 (Application Control): 특정응용시스템의 입력, 처리, 출력 통제
  • 통제의 구현방법
    • 논리적 통제 (Logical Control) : 검토및 승인
    • 기술적 통제 (Technical Control): Parity Check
  • 통제 시점
    • 예방통제(Preventive Control):직무분장, 교차훈련, 표준개발 방법론
    • 검출통제(Detective Control):복식 비교, 한계치 비교
    • 교정통제(Corrective Control):처리과정의 기록유지, 감사추적, Backup and Recovery
slide7

1) 일반적 통제

(1) 관리적 통제

(2) 시스템개발에 대한 통제

(3) 하드웨어와 소프트웨어에 대한 통제

(4) 시스템 접근에 대한 통제

slide8

(1) 관리적 통제

  • 일반적 통제의 관리적 통제는 시스템 기본계획, 역할의 명확한 분담, 인력의 선발.훈련 및 배치, 문서화된 시스템과 절차, 그리고 예산 및 사용자 관리시스템 등의 통제를 말한다.

① 시스템 기본계획: ISP, 장기계획, 중기계획, 단기계획에 대한 통제

② 역할의 분담: 어떤 사람이 해야 하는 일과 할 수 없는 일을 명확히 규정

③ 시스템 인력의 선발과 교육훈련: 다양한 시스템 기능의 유형별로 적절한 능력과 자질을 갖춘 사람을 선발하도록 통제

④ 문서화된 시스템절차: 통제의 기준을 위해 시스템과 절차를 문서화한다.

⑤ 예산 및 사용자 관리시스템: 사용자의 불만사항이라든가 새로운 요구사항을 파악할 수 있는 의사소통창구와 같은 시스템 사용자와의 관계를 적절하게 유지.관리하는 것도 시스템 통제의 대상이다.

slide9

(2) 시스템 개발에 대한 통제

  • 시스템개발에 대한 통제는 시스템개발주기와 관련한 통제, 시스템 문서화에 대 한 통제, 그리고 프로그램 변경에 대한 통제 등이다.

① 시스템개발 수명주기와 관련한 통제: 시스템개발 수명주기의 전과정에 걸쳐 사용자와 일반관리자가 시스템 설계 내용을 검토하고 수정할 기회가 제공되어야 한다.

② 문서화에 대한 통제: 시스템 개발 각 부문에 대한 문서화가 이루어져야 한다.

③ 프로그램변경에 대한 통제: 부정방지의 목적과 함께 적절한 절차를 거치지 않은 프로그램 변경은 통제되어야 한다.

slide10

(3) H/W와 S/W에 대한 통제

  • 하드웨어와 소프트웨어에는 구입할 때부터 통제기능이 내장되어 있어서 자동적으로 작동한다.

① 하드웨어에 대한 통제: 패리티 통제, 중복검사, 타당성 검사 (validity check), 기록-판독 검사 (write-read check), 예방보수 (preventive maintenance), 반향검사 (echo check) 등

② 시스템 소프트웨어에 대한 통제: 암호기능, 파일처리시 머리표지(header label)와 꼬리표지(tailer label)를 자동적으로 만드는 기능,

slide11

(4) 시스템 접근에 대한 통제

  • 시스템 이용에 대한 통제이다.
  • 프로그램 관련문서에 대한 통제: 부정방지의 차원에서 프로그램 관련문서는 매우 엄격히 통제되어야 한다.
  • 프로그램과 데이터에 대한 접근을 통제한다.
slide12

2) 응용통제

  • 응용 시스템에 대한 통제이다.

(1) 입력에 대한 통제: 정확한 자료 입력 (GIGO)

  • 입력이 정당한 입력인가 ?
  • 컴퓨터가 판독할 수 있는 형태로 정확이 변환되었는가 ?
  • 데이타 편집은 제대로 되었는가 ?
  • 오류의 가능성은 없는가 ?

(2) 처리과정에 대한 통제: 처리와 갱신 확인

- 자료입력이 완벽하게 잘 되었다 할지라도 그 처리과정에서 오류가 발생 할 수 있다.

(3) 출력에 대한 통제: 처리결과의 완전성과 배포

- 처리결과의 정확성을 검사하고 그 배포를 통제한다.

slide13

3. 정보체계 감사

  • 정보체계 감사는 시스템 통제의 한 방법으로 정보체계의 상태를 점검 통제한다.
  • 시스템 관련 재정적 자료와 회계기록을 정기적으로 점검한다.
  • 조직 내부인사의 내부감사와 외부인사의 외부감사가 있다.
  • 정보체계 감사의 대상은 정보체계 운영부서, 정보체계 변경관리 절차, 데이터 보안, 응용시스템 통제, 사용자 통제 등이다.
slide14

정보체계 감사의 정의

  • 정보시스템을 대상으로 하여 기획, 개발, 운용, 관리의 각 단계별 또는 전과정에 걸쳐 합리성, 타당성, 신뢰성, 안전성, 효율성 등을 독립적이고 객관적인 방법으로 조사하고 감독하며 개선사향을 조언하고 대안을 제시하는 행위 및 절차
  • 독립적이고 기술적 적격성을 보유한 감리인이 객관적 입장에서 정보시스템 분석, 점검, 평가.
slide15

정보체계 감사의 필요성

  • 정보시스템의 복잡도 증가와 의존도 심화
  • 정보화 역기능에 의한 컴퓨터 범죄행위의 급증 및 지능화
  • 정보시스템에 대한 신뢰성 확보를 위한 평가, 검토의 필요성
  • 위험분석 결여로 인하여 실패 가능성 증가
  • 문제점 파악을 통한 품질 개선 활동 필요
slide16

정보체계 감사의 내용

  • 시스템 통제가 잘 이루어지고 있는가?
  • 통제가 되지 않는 분야는 어디인가?
  • 통제가 필요하지 않는 분야는 어디인가?
  • 통제가 적절히 이루어지고 있는가?
  • 통제는 효과적인가?
  • 시스템 산출물은 올바른가?
  • 담당자들의 업무가 명확히 구분되어 있는가?
  • 모든 절차가 통제과정의 기준을 준수하고 있는가?
  • 통제가 이루어지지 않을 경우 보고하거나 수정하는 절차가 있는가?
slide17

정보체계 감사의 유형

  • Auditing around the computer: 특정 투입에 대한 산출물이 정확한가?
  • Auditing through the computer: 투입, 산출, 처리가 정확히 이루어지는가?
  • Auditing with the computer: 사용자 데이터, 감사 소프트웨어, 사용자와 감사의 하드웨어의 결합으로 감사
slide18

시스템 감사 기법 및 도구

  • 일반 감사기법 및 도구
    • 문서의 검토
    • 실물 확인과 관찰
    • 면담 및 내부통제 질문서
  • 컴퓨터를 이용한 감사기법
    • 범용 감사 소프트웨어(GAS: Generalized Audit SW): 자료접근, 레코드 선택, 비교, 재계산 그리고 보고와 같은 일반적인 프로세스에 사용될 수 있는 다목적의 감사 소프트웨어
    • 시험자료법 (Test Data): 실제 데이터 또는 IS 감사인이 생성한 데이터로 시스템을 시험해 본다.
    • 통합자료처리법(ITF: Integrated Test Facility): 실제 운영 시스템에서 테스트 데이터를 처리하는 것. 보통 가공의 실체(부서, 고객, 제품)에 대한 데이터를 운영 시스템에서 처리한다. 처리의 정확성을 확인하기 위하여 출력 보고서를 검증한다.
    • 병행 시뮬레이션법(Parallel Simulation): 감사인이 감사의견에 중요한 응용 프로세스를 복제한 프로그램을 작성하고, 이 프로그램의 결과를 해당 응용 시스템이 산출한 결과와 비교하여 차이를 밝혀낸다.
    • 스냅샷(Snapshot): 메모리의 현재 상태를 저장한 것 (시스템 다운시 복구를 위해 주기적으로 저장된다.)
slide19

시스템 감사의 대상

  • 사업감사
    • 개발사업의 감사
  • 운영감사
    • 운영준비 단계에 대한 점검
      • 운영계획 및 절차
      • 운영시험
      • 시스템 및 업무이행
    • 운영실행 단계에 대한 점검
      • 운영관리
      • 데이터 관리
      • 소프트웨어 관리
      • 하드웨어 관리
      • 네트워크 관리
      • 건물 및 설비 관리
slide20

시스템 감사 패러다임의 변화

  • 신뢰성 보증
  • 정기적 감사
  • 재무 항목
  • 전체적 사용자
  • 적절성 보증까지
  • 지속적 감사, JIT 감사
  • 포괄적 영역으로
  • 개인 사용자 그룹
slide21

요점정리

  • 정보체계 통제: 정보체계 기능의 정상적 수행에 지장을 주는 불법적 행위와 재해 등을 방지하기 위한 관리적 행위
  • 시스템 통제 = 일반통제 + 응용 통제
  • 일반적 통제: 관리통제, 시스템 개발 통제, H/W와 S/W에 대한 통제, 시스템 접근에 대한 통제
  • 응용통제: 입력통제, 처리통제, 출력통제
  • 정보체계 감사: 정보체계의 상태를 점검 통제
  • 정보체계 감사의 대상: 정보체계 운영부서, 정보체계 변경관리 절차, 데이터 보안, 응용시스템, 사용자 통제
  • 감사기법: GAS, Test Data, ITF, 병행 시뮬레이션, 스냅샷
  • 시스템 감사 패러다임의 변화
slide22

1. 뉴

  • 정보에.