Global IT Standardization IT Service Improvement Research & …pds12.egloos.com/.../21/02/ControlPractices_and_CobiT.pdf · 2008-10-21 · 단기4341년10월9일 1 COBIT Control Practices

단기 4341년 10월 9일 1

COBIT COBIT COBIT COBIT Control Practices & COBIT Control Practices & COBIT Control Practices & COBIT Control Practices & COBIT 이해하기이해하기이해하기이해하기_1_1_1_1편편편편

www.ssgt.co.kr

IT Service Improvement

Global IT Standardization

Research & Development

Audit

&

Consulting

2008.10.202008.10.202008.10.202008.10.20

IT Risk Management

IT Audit Services

ISACA GRA Korea ISACA GRA Korea ISACA GRA Korea ISACA GRA Korea 조희준조희준조희준조희준

CISA, CISM, CISA, CISM, CISA, CISM, CISA, CISM, CGEIT, COBIT, CGEIT, COBIT, CGEIT, COBIT, CGEIT, COBIT, CISSPCISSPCISSPCISSPPMP, ITIL, ITPMP, ITIL, ITPMP, ITIL, ITPMP, ITIL, IT----EAP, IS Auditor EAP, IS Auditor EAP, IS Auditor EAP, IS Auditor

단기 4341년 10월 9일 2

1. COBIT1. COBIT이이 어렵다고요어렵다고요??

2. COBIT 4.1 2. COBIT 4.1 직접활용직접활용 해보기해보기

3. 3. 잠깐잠깐 정리정리--Val IT2.0Val IT2.0

4. Control Practice4. Control Practice의의 활용활용

순서순서순서순서

단기 4341년 10월 9일 3

1. COBIT1. COBIT1. COBIT1. COBIT1. COBIT1. COBIT1. COBIT1. COBIT이이이이이이이이 어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요????????

-ITGI가 정의한 IT Governance의 정의를 보면

경영진경영진경영진경영진 및및및및 이사회의이사회의이사회의이사회의 책임으로써책임으로써책임으로써책임으로써

리더십리더십리더십리더십, , , , 조직조직조직조직 구조구조구조구조, , , , 프로세스로프로세스로프로세스로프로세스로 구성되어구성되어구성되어구성되어 있으며

ITITITIT가가가가 조직의조직의조직의조직의 전략과전략과전략과전략과 목표를목표를목표를목표를 유지유지유지유지 및및및및 확대하는데확대하는데확대하는데확대하는데 그그그그 목적이목적이목적이목적이 있다

라고 되어있죠.

-이런 위의 IT Governance을 유지 및 확대, 실행 하기 위해서는 구체적 도구가

필요하겠죠,

즉, 프레임워크 (Framework)이죠, 그 프레임워크가 바로 COBIT 이죠.

-그럼 이제 COBIT이 어떻게 구성되었는가를 볼까요?

단기 4341년 10월 9일 4

COBIT COBIT COBIT COBIT COBIT COBIT COBIT COBIT 의의의의의의의의 구성요소를구성요소를구성요소를구성요소를구성요소를구성요소를구성요소를구성요소를 보기보기보기보기보기보기보기보기 전에전에전에전에전에전에전에전에 IT GovernanceIT GovernanceIT GovernanceIT GovernanceIT GovernanceIT GovernanceIT GovernanceIT Governance를를를를를를를를 지원하는지원하는지원하는지원하는지원하는지원하는지원하는지원하는 COBITCOBITCOBITCOBITCOBITCOBITCOBITCOBIT은은은은은은은은 어디에어디에어디에어디에어디에어디에어디에어디에 초점을초점을초점을초점을초점을초점을초점을초점을

맞추어야맞추어야맞추어야맞추어야맞추어야맞추어야맞추어야맞추어야 할까요할까요할까요할까요할까요할까요할까요할까요????????

-당연히 IT Governance의 중점영역을

먼저 보면 되겠죠, 이렇게 생겼죠.

-옆의 그림을 다시 써보면

-IT Governance중점영역에 맞춰 COBIT을 그리면 다음과 같이 되죠 - 다음페이지

COBITCOBITCOBITCOBITCOBITCOBITCOBITCOBIT이이이이이이이이 어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요어렵다고요????????

단기 4341년 10월 9일 5


COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1

이 그림은 전체를 이해하시면 되요

사업

(IT목표)IT 프로세스

수행지표 성과지표 성숙도모델

핵심활동 통제성과테스트

통제실무

통제 목적

~에 의해 측정 ~에 의해 감사

~을 기초

~로 구현

통제설계테스트

책임과 책임추적성 차트

요구사항 정보

~으로 세분화

~에 의해 수행 수행 성과 성숙도

~에 의해 통제

~에 의해 감사

~을 유래

단기 4341년 10월 9일 6


COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 원문원문원문원문원문원문원문원문

단기 4341년 10월 9일 7


COBIT 4.0COBIT 4.0COBIT 4.0COBIT 4.0COBIT 4.0COBIT 4.0COBIT 4.0COBIT 4.0

이 그림은 전체를 이해하시면 되요

사업

(IT목표)IT 프로세스

핵심수행지표 핵심목표지표 성숙도모델

활동목표 감사지침 통제실무

통제 목적

요구사항 정보

~에 의해 측정

수행결과

성숙도

~으로 효과/효율을 가지게 ~에 의해 감사 ~으로 변환~로 구현

~에 의해 통제

Control ObjectivesControl ObjectivesControl ObjectivesControl Objectives

Control PracticesControl PracticesControl PracticesControl Practices

단기 4341년 10월 9일 8


중역 및 이사회

수행성과 측정?다른 업계와 어떻게 비교할건가?

지속적 향상은 어떻게?

사업 및 기술 경영진

IT

거버넌스프레임워크

란?

IT 거버넌스프레임워크를어떻게 평가할

것인가?

기업에서그것을 어떻게

구현할것인가?

거버넌스, 보증, 통제 및보안 실무자

IT 거버넌스에 대한이사회 보고, 2판

관리 지침

COBIT & Val IT

프레임워크

통제 목적

핵심 관리실무

IT 보증 가이드IT 거버넌스

구현 가이드,2판

책임

성숙도모델

COBIT 통제실무

단기 4341년 10월 9일 9


단기 4341년 10월 9일 10


1111회차회차회차회차, 6, 6, 6, 6월월월월

2222회차회차회차회차, 7, 7, 7, 7월월월월

3,43,43,43,4회차회차회차회차, , , , 8,98,98,98,9월월월월

COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1

5555회차회차회차회차, 10, 10, 10, 10월월월월

단기 4341년 10월 9일 11


사업의사업의사업의사업의 요구사항요구사항요구사항요구사항

IT IT IT IT 자원자원자원자원

IT IT IT IT 프로세스프로세스프로세스프로세스

기업의기업의기업의기업의 정보정보정보정보

단기 4341년 10월 9일 12


-이 큐빅은 IT는 사업의 요구사항에

부합하거나 사업목적에 연계해서

그것을 성취하기 위해 IT 자원을

잘 활용하며

무언가 구체적인 것을 참고 해야죠?

그것이 IT 프로세스 이지요

단기 4341년 10월 9일 13


무결성

응용프로그램

가용성

준수성

정보신뢰성

응용프로그램

효과성

효율성

기밀성응용프로그램

응용프로그램

정보

인프라

인력

사업사업사업사업((((업무업무업무업무))))의의의의 요구사항요구사항요구사항요구사항 은 우측처럼 7개이지요

IT IT IT IT 자원자원자원자원 은 4개이지요

IT IT IT IT 프로세스프로세스프로세스프로세스 는 아래 그림처럼 구성되어있죠

4개의 업무영역Domains

응용프로그램

34개의 프로세스Processes

318개의 활동/작업Activities/Tasks

단기 4341년 10월 9일 14


1) Plan and Organization (PO) 1) Plan and Organization (PO) 1) Plan and Organization (PO) 1) Plan and Organization (PO) 계획수립계획수립계획수립계획수립 및및및및 조직화조직화조직화조직화

10101010개개개개

2) Acquire and Implement (AI) 2) Acquire and Implement (AI) 2) Acquire and Implement (AI) 2) Acquire and Implement (AI) 도입도입도입도입 및및및및 구축구축구축구축

7777개개개개

3) Deliver and Support (DS) 3) Deliver and Support (DS) 3) Deliver and Support (DS) 3) Deliver and Support (DS) 운영운영운영운영과정과정과정과정 및및및및 지원지원지원지원

13131313개개개개

4) Monitor and Evaluate (ME) 4) Monitor and Evaluate (ME) 4) Monitor and Evaluate (ME) 4) Monitor and Evaluate (ME) 감시감시감시감시 및및및및 성과평가성과평가성과평가성과평가

4444개개개개

계획수립계획수립계획수립계획수립 및및및및조직화조직화조직화조직화

도입도입도입도입 및및및및 구축구축구축구축

운영과정운영과정운영과정운영과정 및및및및지원지원지원지원

감시감시감시감시 및및및및 성과성과성과성과평가평가평가평가

7 7 7 7 개개개개

10101010개개개개

13131313개개개개

4444개개개개

단기 4341년 10월 9일 15


단기 4341년 10월 9일 16


단기 4341년 10월 9일 17


COBITCOBITCOBITCOBITCOBITCOBITCOBITCOBIT을을을을을을을을 동종업계는동종업계는동종업계는동종업계는동종업계는동종업계는동종업계는동종업계는 어떻게어떻게어떻게어떻게어떻게어떻게어떻게어떻게 하고하고하고하고하고하고하고하고 있는지있는지있는지있는지있는지있는지있는지있는지? ? ? ? ? ? ? ? 우리조직은우리조직은우리조직은우리조직은우리조직은우리조직은우리조직은우리조직은 그들과그들과그들과그들과그들과그들과그들과그들과 비교하여비교하여비교하여비교하여비교하여비교하여비교하여비교하여 어떤어떤어떤어떤어떤어떤어떤어떤 상태상태상태상태상태상태상태상태((((((((위치위치위치위치위치위치위치위치))))))))

인지인지인지인지인지인지인지인지? ? ? ? ? ? ? ?

식별하기식별하기식별하기식별하기식별하기식별하기식별하기식별하기 위해위해위해위해위해위해위해위해 성숙도모델이성숙도모델이성숙도모델이성숙도모델이성숙도모델이성숙도모델이성숙도모델이성숙도모델이 등장하지요등장하지요등장하지요등장하지요등장하지요등장하지요등장하지요등장하지요

부존재부존재부존재부존재

0

초기초기초기초기

1

반복반복반복반복

2

정의정의정의정의

3

관리관리관리관리

4

최적최적최적최적

5

기호기호기호기호

기업의 현재 상태

국제 표준 지침

산업의 모범 실무

기업의 전략

0 부존재— 관리 프로세스가 전혀 적용되지 않았다1 초기 — 프로세스가 임시적이며 조직적이지 않다2 반복 — 프로세스가 규칙적인 형태를 갖는다3 정의 — 프로세스가 문서화되고 소통되었다4 관리 — 프로세스가 모니터되고 측정되었다5 최적화— 실무가 최적화되고 자동화되었다

수준수준수준수준

단기 4341년 10월 9일 18

COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 직접활용직접활용직접활용직접활용직접활용직접활용직접활용직접활용 해보기해보기해보기해보기해보기해보기해보기해보기

COBIT 4.1의 활용기준은 34343434개의개의개의개의 프로세스가프로세스가프로세스가프로세스가 기준기준기준기준 이예요.

34343434개별로개별로개별로개별로 4 4 4 4 페이지가페이지가페이지가페이지가 하나의하나의하나의하나의 쌍으로쌍으로쌍으로쌍으로 구성되어 있어요.

1) Process Description 상위통제목적

2) Control Objective 세부통제목적

3) Management Guideline

관리지침

4) Maturity Model

성숙도모델

1) 상위통제목적

2) 세부통제목적

1 개의개의개의개의 프로세스프로세스프로세스프로세스3)

관리지침

4)

성숙도모델

단기 4341년 10월 9일 19


Business Requirement (Information Criteria) 7개중에 Primary /Secondary로 어디에 속하는지 알려주죠.

4개의 도메인 중 어느 도메인인가를

표시해주고,

상위통제목적상위통제목적상위통제목적상위통제목적첫첫첫첫 페이지페이지페이지페이지 윗면윗면윗면윗면

단기 4341년 10월 9일 20


IT Governance 의 중점영역 중에서도Primary /Secondary로 어디에 속하는지 알려주며

4개의 IT Resource 중에서 어느 것을 직접 사용해야 하는지도표시해주죠

첫첫첫첫 페이지페이지페이지페이지 아랫면아랫면아랫면아랫면

단기 4341년 10월 9일 21


IT IT IT IT 보안계획에보안계획에보안계획에보안계획에 사업의사업의사업의사업의 요구사요구사요구사요구사항항항항, , , , 위험위험위험위험, , , , 준거를준거를준거를준거를 포함시키며포함시키며포함시키며포함시키며,,,,,,,,,,,,

세부통제목적세부통제목적세부통제목적세부통제목적두두두두 번째번째번째번째 페이지페이지페이지페이지

단기 4341년 10월 9일 22


시스템의시스템의시스템의시스템의 보안성보안성보안성보안성 확보확보확보확보

PO9. PO9. PO9. PO9. 위험평가로위험평가로위험평가로위험평가로부터부터부터부터 입력물입력물입력물입력물

AI6. AI6. AI6. AI6. 요구되는요구되는요구되는요구되는 보안변경으로보안변경으로보안변경으로보안변경으로출력물출력물출력물출력물

관리지침관리지침관리지침관리지침세세세세 번째번째번째번째 페이지페이지페이지페이지 윗면윗면윗면윗면

단기 4341년 10월 9일 23


사용자권한을사용자권한을사용자권한을사용자권한을 주기적으로주기적으로주기적으로주기적으로 검토검토검토검토하고하고하고하고 평가한다평가한다평가한다평가한다

CIOCIOCIOCIO는는는는 통보하고통보하고통보하고통보하고 사용자는사용자는사용자는사용자는 자기부서내의자기부서내의자기부서내의자기부서내의사용자권한을사용자권한을사용자권한을사용자권한을 결제결제결제결제,,,,책임지며책임지며책임지며책임지며,,,,,,,,,,,,,,,,

세세세세 번째번째번째번째 페이지페이지페이지페이지 중간중간중간중간

단기 4341년 10월 9일 24


정보의정보의정보의정보의 무결성을무결성을무결성을무결성을 유지하며유지하며유지하며유지하며… 비비비비 인가된인가된인가된인가된 정보의정보의정보의정보의 접근을접근을접근을접근을차단하며차단하며차단하며차단하며…

사용자사용자사용자사용자 식별과식별과식별과식별과 인증을인증을인증을인증을 관리하며관리하며관리하며관리하며,,,,,,,,

시도되거나시도되거나시도되거나시도되거나 실제실제실제실제 접근위반의접근위반의접근위반의접근위반의숫자숫자숫자숫자,,,,,,,,,,,, 접근권한의접근권한의접근권한의접근권한의 재설정이나재설정이나재설정이나재설정이나

변경횟수변경횟수변경횟수변경횟수........

사용자사용자사용자사용자 권한을권한을권한을권한을 변경변경변경변경, , , , 제거하제거하제거하제거하는데는데는데는데 걸리는걸리는걸리는걸리는 시간시간시간시간,,,,,,,,

~~~~측정측정측정측정 ~~~~요인요인요인요인, , , , 동인동인동인동인

KGIKGIKGIKGI

KPIKPIKPIKPI

세세세세 번째번째번째번째 페이지페이지페이지페이지 아래아래아래아래

단기 4341년 10월 9일 25


시스템의시스템의시스템의시스템의 보안성보안성보안성보안성 확보확보확보확보

조직에서는조직에서는조직에서는조직에서는 ITITITIT보안의보안의보안의보안의 필요성은필요성은필요성은필요성은 느끼지만느끼지만느끼지만느끼지만 인식인식인식인식((((교육교육교육교육))))은은은은 주로주로주로주로 개인차원개인차원개인차원개인차원에서에서에서에서 다루어다루어다루어다루어 지며지며지며지며, , , , 예방이예방이예방이예방이 아닌아닌아닌아닌 사후관리사후관리사후관리사후관리 차원에서차원에서차원에서차원에서,,,,,,,,,,,,,,,,,,,,,,,,

초기초기초기초기

성숙도모델성숙도모델성숙도모델성숙도모델네네네네 번째번째번째번째 페이지페이지페이지페이지

단기 4341년 10월 9일 26

잠깐잠깐잠깐잠깐잠깐잠깐잠깐잠깐 정리정리정리정리정리정리정리정리--------Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0

전략전략전략전략

체계체계체계체계,,,,아키텍처아키텍처아키텍처아키텍처

가치가치가치가치

제공제공제공제공,,,,수행수행수행수행

단기 4341년 10월 9일 27

잠깐잠깐잠깐잠깐잠깐잠깐잠깐잠깐 정리정리정리정리정리정리정리정리--------Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0Val IT2.0

전략전략전략전략

체계체계체계체계,,,,아키텍처아키텍처아키텍처아키텍처

가치가치가치가치

제공제공제공제공,,,,수행수행수행수행

COBIT COBIT COBIT COBIT

방법방법방법방법 실행실행실행실행

단기 4341년 10월 9일 28

잠깐잠깐잠깐잠깐잠깐잠깐잠깐잠깐 정리정리정리정리정리정리정리정리

자자자자자자자자 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 에에에에에에에에 대해대해대해대해대해대해대해대해 전반적이전반적이전반적이전반적이전반적이전반적이전반적이전반적이 이해가이해가이해가이해가이해가이해가이해가이해가 끝났어요끝났어요끝났어요끝났어요끝났어요끝났어요끝났어요끝났어요........

자자자자자자자자, , , , , , , , 이제는이제는이제는이제는이제는이제는이제는이제는 Control Practice Control Practice Control Practice Control Practice Control Practice Control Practice Control Practice Control Practice 입니다입니다입니다입니다입니다입니다입니다입니다........

단기 4341년 10월 9일 29

Control PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl Practice의의의의의의의의 활용활용활용활용활용활용활용활용

중역 및 이사회

성과 측정활동 목표

성숙도 모델

사업 및 기술 경영진

IT 통제프레임워크

란무엇인가?

IT 통제프레임워크를어떻게 평가할

것인가?

기업에서그것을 어떻게

구현할것인가?

거버넌스, 보증, 통제 및보안 실무자

IT 거버넌스에 대한이사회 보고, 2판

관리 지침

통제 프레임워크

통제 목적

통제 실무

IT 보증 가이드

SOX IT 통제 목적

IT 거버넌스구현 가이드

COBIT Quickstart

COBIT 보안 베이스라인

관행(Practices)책임

단기 4341년 10월 9일 30


단기 4341년 10월 9일 31


단기 4341년 10월 9일 32


Control ObjectControl ObjectControl ObjectControl ObjectControl ObjectControl ObjectControl ObjectControl Object가가가가가가가가 (What) ((What) ((What) ((What) ((What) ((What) ((What) ((What) (무엇무엇무엇무엇무엇무엇무엇무엇))))))))

Control PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl Practice는는는는는는는는

그그그그그그그그 목적을목적을목적을목적을목적을목적을목적을목적을 ((((((((How, Why)How, Why)How, Why)How, Why)How, Why)How, Why)How, Why)How, Why)

단기 4341년 10월 9일 33


그래서그래서그래서그래서그래서그래서그래서그래서 책책책책책책책책 구성을구성을구성을구성을구성을구성을구성을구성을 보면보면보면보면보면보면보면보면 ????????

세부통제목적

단기 4341년 10월 9일 34



위험 동인(요인)가치 동인(요인)

단기 4341년 10월 9일 35



통제실무

단기 4341년 10월 9일 36


전체의전체의전체의전체의전체의전체의전체의전체의 책책책책책책책책 구성을구성을구성을구성을구성을구성을구성을구성을 보면보면보면보면보면보면보면보면 ????????

Process Control Process Control Process Control Process Control Process Control Process Control Process Control Process Control

Plan and Organization (PO) Plan and Organization (PO) Plan and Organization (PO) Plan and Organization (PO) Plan and Organization (PO) Plan and Organization (PO) Plan and Organization (PO) Plan and Organization (PO)

Acquire and Implement (AI)Acquire and Implement (AI)Acquire and Implement (AI)Acquire and Implement (AI)Acquire and Implement (AI)Acquire and Implement (AI)Acquire and Implement (AI)Acquire and Implement (AI)

Deliver and Support (DS)Deliver and Support (DS)Deliver and Support (DS)Deliver and Support (DS)Deliver and Support (DS)Deliver and Support (DS)Deliver and Support (DS)Deliver and Support (DS)

Monitor and Evaluate (ME)Monitor and Evaluate (ME)Monitor and Evaluate (ME)Monitor and Evaluate (ME)Monitor and Evaluate (ME)Monitor and Evaluate (ME)Monitor and Evaluate (ME)Monitor and Evaluate (ME)

Application ControlApplication ControlApplication ControlApplication ControlApplication ControlApplication ControlApplication ControlApplication Control

단기 4341년 10월 9일 37


Process Control Process Control Process Control Process Control Process Control Process Control Process Control Process Control 구성을구성을구성을구성을구성을구성을구성을구성을 보면보면보면보면보면보면보면보면 ????????

단기 4341년 10월 9일 38


Application Control Application Control Application Control Application Control Application Control Application Control Application Control Application Control 구성을구성을구성을구성을구성을구성을구성을구성을 보면보면보면보면보면보면보면보면 ????????

단기 4341년 10월 9일 39


자자자자자자자자, , , , , , , , 이제이제이제이제이제이제이제이제 여러분들이여러분들이여러분들이여러분들이여러분들이여러분들이여러분들이여러분들이 Control PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl PracticeControl Practice를를를를를를를를 직접직접직접직접직접직접직접직접 업무에업무에업무에업무에업무에업무에업무에업무에 사용하실사용하실사용하실사용하실사용하실사용하실사용하실사용하실 차례예요차례예요차례예요차례예요차례예요차례예요차례예요차례예요........

물론물론물론물론물론물론물론물론 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 COBIT 4.1 과과과과과과과과 Val IT 2.0 Val IT 2.0 Val IT 2.0 Val IT 2.0 Val IT 2.0 Val IT 2.0 Val IT 2.0 Val IT 2.0 도도도도도도도도 포함해서죠포함해서죠포함해서죠포함해서죠포함해서죠포함해서죠포함해서죠포함해서죠

[email protected]@[email protected]@korea.com

단기 4341년 10월 9일 40

www.ssgt.co.kr

IT Service Improvement

Global IT Standardization

Research & Development

Audit

&

Consulting

IT Risk Management

IT Audit Services

ISACA GRA Korea ISACA GRA Korea ISACA GRA Korea ISACA GRA Korea 조희준조희준조희준조희준

Thanks for listening.Thanks for listening.Thanks for listening.Thanks for listening.

Documents

Global IT Standardization IT Service Improvement Research & …pds12.egloos.com/.../21/02/ControlPractices_and_CobiT.pdf · 2008-10-21 · 단기4341년10월9일 1 COBIT Control Practices