CobiTCobiTCobiTCobiTCobiTCobiTCobiTCobiTControl PracticesControl PracticesControl PracticesControl PracticesControl PracticesControl PracticesControl PracticesControl Practices

20082008년년 1010월월 2020일일

김선배김선배 CISA/PMPCISA/PMPISACA GRA Korea ISACA GRA Korea

Val IT and slides copyright © 2006 IT Governance Institute. Used with permission.

2222 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

통제

통제

통제

통제

수단

수단

수단

수단

수수수수행행행행

IT프로세스

통제목표의 필요성(Control Objectives)

비즈니스 목표

IT목표

핵심 활동

통제실무

통제목표어떻게어떻게어떻게어떻게 구현하지구현하지구현하지구현하지??

• IT전략과 비즈니스 전략의 연계• IT투자, 비용 � 비즈니스 가치• IT관련 위험은 비즈니스 위험• IT리소스의 효율적 관리• 역할과 책임 정의• 성과 측정• 외부 규제법

RACI

핵심

성과

지표

핵심

목표

지표

성숙

도

3333 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

CobiTCobiTCobiTCobiT의의의의 영역영역영역영역 및및및및 관련된관련된관련된관련된 ITITITIT프로세스프로세스프로세스프로세스

비즈니스 목표

정보기준

효과성효율성기밀성무결성가용성준거성신뢰성

IT자원

응용정보인프라인력

감시 및 평가

PO1 IT전략계획의 정의PO2 정보아키텍쳐 정의PO3 기술방향 결정PO4 IT프로세스,조직 및 관계 정의PO5 IT투자 관리PO6 경영 목적 및 방향의 의사소통PO7 IT인적자원 관리PO8 품질관리PO9 IT위험의 평가 및 관리PO10 프로젝트 관리

DS1 서비스 수준의 정의 및 관리DS2 제3자 서비스 관리DS3 성능 및 용량관리DS4 지속적인 서비스 보장DS5 시스템 보안 보장DS6 비용의 파악과 할당DS7 사용자 교육 및 훈련DS8 서비스 데스크 및

사고(incident) 관리DS9 형상 관리DS10 문제(problem) 관리DS11 데이터 관리DS12 물리적 환경 관리DS13 운영 관리

ME1 IT성과의 감시와 평가ME2 내부 통제의 감시와 평가ME3 외부 요구사항 규정준수 보장ME4 IT거버넌스 제공

AI1 자동화된 솔루션 파악AI2 응용소프트웨어 구매 및 관리AI3 기술인프라의 구매 및 관리AI4 운영 및 사용의 가동AI5 IT자원의 조달AI6 변화관리AI7 솔루션 및 변경의 설치와 승인

기획 및 조직

구매 및 실행배포 및 지원

각 IT프로세스에대한 가장

효과적인 통제수단CobiT

비즈니스 목표충족을 위한 정보

통제 기준

4444 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

통제목표의 구현(Control Practices)

IT거버넌스 프레임워크

CobiT 4.1

ValIT

Key Management Practices

통제목표 구현방법

IT GovernanceImplementation

Guide

CobiTControl Practices

IT거버넌스 평가방법

IT Assurance Guide

5555 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

책의 구성통제목표

통제실무

비즈니스효과

해소될위험

6666 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

DELIVER & SUPPORT

프로세스: DS5 시스템의 보안을 보장하라

정보의 무결성을 관리하고 IT자산을 보호하려는 요구는 보안관리보안관리보안관리보안관리 프로세스를프로세스를프로세스를프로세스를 필요필요필요필요로한다. 이 프로세스는 IT보안의 역할과역할과역할과역할과 책임책임책임책임, , , , 정책정책정책정책, , , , 표준표준표준표준 및및및및 절차를절차를절차를절차를 설정하고설정하고설정하고설정하고 관리관리관리관리함을포함한다. 또한 보안관리는 보안모니터링과보안모니터링과보안모니터링과보안모니터링과 주기적인주기적인주기적인주기적인 테스트의테스트의테스트의테스트의 수행수행수행수행 및 식별된 보안약점이나 사고에 대한 교정조치교정조치교정조치교정조치를 행하는 것을 포함한다. 효과적인 보안 관리는 모든IT자산을 보호하여 보안취약점과 사고에 따른 비즈니스 영향을 최소화하는 것이다

정보지표

• 기밀성(P)

• 무결성 (P)

• 가용성(S)

• 준거성(S)

• 신뢰성(S)

자원지표

• Applications

• Information

• Infrastructure

• People

7777 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

핵심 IT목표는

• 정보의 무결성 관리, 인프라스트럭처 처리,보안취약점과 사고 영향 최소화

핵심 프로세스 목표는

• IT보안 정책, 계획과 절차를 정의하고 보안 취약점과 사고를 감시, 탐지, 보고하고해결하는 것

주요 활동 목표는

• 보안의 필요사항, 취약점 및 위협에 대한 이해

• 표준화된 방식으로 사용자 식별과 인증권한 관리

• 정기적으로 보안을 테스트함

주요 측정치

• 조직의 이미지를 훼손한 사고의 횟수

• 보안 요구사항을 충족하지 못한 시스템의 수

• 직무 분리 위반 횟수

8888 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

DS5.1 IT보안 관리

DS5.2 IT보안 기획

DS5.3 신원 관리

DS5.4 사용자 계정 관리

DS5.5 보안 시험,감독 및 감시

DS5.6 보안 사고 정의

DS5.7 보안관련 기술의 보호

통제 목표

DS5.8 암호키 관리

DS5.9 악의적인 소프트웨어 예방, 탐지 및 교정

DS5.10 네트워크 보안

DS5.11 민감한 데이터의 교환

9999 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

잠재적 보안사고의 특성 정의와 의사소통 -> 사고&문제 관리프로세스에의한 적절한 분류와 대처

통제 목표 : DS5.6 보안 사고의 정의

가치동인 :사전보안사고 탐지정의되고 문서화된 수준으로 보안위반 보고보안사고에 대한 인지된 의사소통방식

위험동인 :미탐지 보안위반공격대응에 관한 정보부족보안위반에 관한 분류되지 않음

통제 실무1.보안사고가 어떻게 고려되어야 할 지 기술. 2.사고에 상응하는 조치를 취하기 위해 영향수준 문서화. 3.위와 같은 정보를 관련된 사람에게 배포 및 의사소통4.보안사고와 적절한 향후 조치들이 원인분석을 포함하여 기존의 “사고&문제 관리 프로세스”

준수보장.5.보안사고와 관련된 정보의 기밀성을 보호하기 위한 방법 정의

10101010 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

프로세스 상호관계(I/O)

PO2:정보아키텍처;

할당된 데이타분류

PO3:기술표준

PO9:위험 평가

AI2:응용 보안통제 규격

DS1:OLAs

보안인식에 대한훈련 필요성 : DS7

보안사고 정의 : DS8

프로세스성능보고 :ME1

보안 변경 : AI6

보안위협과취약점:PO9

IT보안 기획과정책: DS11

11111111 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

주요 활동들과 연관된 책임부여(RACI 차트)

12121212 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

목표와 측정지표(KPI, KGI)

13131313 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Let’s Go for it !!

프로세스: DS5 시스템의 보안을 보장하라

프로세스의 성숙도 평가

0 부재:보안 인식 부재. 책임소재 없음

1 초기/임시:개인차원의 보안인식.즉흥적 조치.책임소재 불분명

2 반복가능하나 직관적:보안정책 있으나 부적절한 숙련과 도구. 사업영역 밖의 IT보안

3 정의된:경영진의 보안인식. IT보안정책 및 절차.즉흥적 비공식적인 보안교육 및 테스트

4 관리되고 측정가능한:

명확한 IT보안 책임소재.

지속적인 위험과 영향평가 수행.

표준화된 기준과 강제성. 정기적이고 전사차원의 IT보안교육

5 최적화된:IT보안의 융합(사업목표,개발의 설계,조직의 책임의식), 자동화된 사고대응,시스템화된취약점분석 및 개선활동

14141414 / / / / 18181818신시개천 5906 년10월 20일

CobiTCobiT Control PracticesControl Practices

Further Guidance?

• IT Governance Implementation Guide :Using CobiT and Val IT

• IT Assurance Guide using CobiT

• ITIL for service delivery

• ISO/IEC 17799

• PMBOK or PRINCE2