
IT 감사 3/e [정보자산 보호를 위한 통제기반 IT 감사]
- 원서명IT Auditing, 3rd Edition: Using Controls to Protect Information Assets (ISBN 9781260453225)
- 지은이마이크 케게레이스(Mike Kegerreis), 마이크 실러(Mike Schiller), 크리스 데이비스(Chris Davis)
- 옮긴이지현미, 최영곤
- ISBN : 9791161755106
- 50,000원
- 2021년 03월 31일 펴냄
- 페이퍼백 | 872쪽 | 188*235mm
책 소개
요약
미국 IT업계의 최고 베테랑이 쓴 책으로, 최신 IT용어 및 관련 개념을 포괄적으로 소개한다. 공인회계사 시험을 준비하는 수험생, IT부서 실무자, IT감사인이라면 최신 IT감사 기법(클라우드 컴퓨팅ㆍ사이버보안ㆍ빅데이터ㆍ데이터베이스ㆍ데이터센터 등 관련 통제, 감사 기술과 더불어 글로벌 IT기업ㆍ제품의 역사)과 IT 인접 분야와의 융합 지식을 익힐 수 있다. IT감사실의 효율적인 조직 구축 방법, 감사인의 처세술, IT 관련 글로벌 규제 법규, 리스크 관리, 체크리스트, 프레임워크(COBIT 등)도 소개한다.
이 책의 목표
조직 내 IT감사부서의 구축과 IT감사실시를 이해하기 쉽게 설명한 핸드북이다. 기업에서 실제 IT감사업무를 매일 수행하는 사람들에게 생생한 실용적 지침서로 볼 수 있도록 집필했다. IT감사실시 방법을 안내하고 감사인이 회사에 기여할 가치를 극대화할 수 있도록 돕는다.
이 책의 구성
세 부분으로 구성돼 있다. 1부, ‘감사 개요’에서는 IT감사 프로세스, 효과적인 IT감사팀의 구축과 유지 방법, IT감사 기능의 가치극대화 방법을 이해하는 데 도움이 된다. 2부, ‘감사 기법’에서는 특정 시스템이나 프로세스 감사에 필요한 특정 구성 요소나 감사 단계를 이해하는 데 도움이 된다. 마지막으로 3부에서는 감사 기능의 범위를 관장하는 프레임워크, 표준, 법규, 위험을 다룬다.
이 책의 1부는 IT감사업무의 수행방법에 대한 실용적인 지침을 제시한다. 이러한 지침을 적용하면 IT감사 기능이 회사 IT 환경에서 필수적이고 훌륭한 요소로 간주될 수 있게 될 것이다. 이 지침은 수년간의 경험과 모범 사례에서 도출한 것이다. 경험이 아주 많은 IT감사인들조차도 유용한 도구와 기법들이 해당 장별로 다수 수록돼 있음을 알게 될 것이다.
일반적인 IT 주제, 프로세스, 기술에 대한 감사를 철저히 수행할 수 있게 돕는다.
이 책의 2부는 해야 할 일이 무엇인지뿐만 아니라 그것을 행하는 이유(why)와 방법(how)에 대한 실용적이고 상세한 조언을 독자에게 제시하고 있다. IT감사 자원이 감사인에게 해당 업무의 실시 이유나 정확한 단계별 수행방법의 이해를 위해 충분한 정보를 제공하지 않지만, 자원의 분량은 지나치게 많을 수 있다. 이런 경우 해당 자원은 총알 지향식 체크리스트를 제시하는 것과 같다. 저자들의 목표는 그러한 간극을 메우는 데 있다.
마지막으로 이 책은 현재 IT감사 전문직에 강력한 영향을 주고 있는 제반 법규를 비롯해 IT감사표준과 프레임워크를 제공한다.
3부는 COBIT, ITIL, ISO 27001과 같은 표준 및 프레임워크와 사베인스-옥슬리법(Sarbanes-Oxley), HIPAA, PCI와 같은 법규에 중점을 둔다. 이 절의 또 다른 목표는 대부분의 법규에서 요구하는 위험평가와 관리에 대한 신비적 요소의 제거다.
시스템 강화, 세부 침투테스트를 위한 지식과 자원들은 다른 서적을 이용해서도 충분히 입수할 수 있다. 그런 내용은 이 책의 초점이 아니다. 감사 경험에서 보건대 내부자 관점에서 내부통제 품질에 대한 자문 요청을 더 자주 받아왔다. 따라서 이 책의 감사 단계들은 대부분 모든 구성 파일, 문서, 정보에 감사인이 완전히 접근할 수 있다는 가정하에 작성돼 있다. 이 책은 해커용 안내서는 아니다. 감사인이 회사 IT 시스템, 프로세스의 내부통제와 보안을 평가, 판단하는 방법에 관해 다룬 안내서다.
목차
목차
- 1부. 감사 개요
- 1장. 내부IT감사기능의 효율적 구축
- 내부감사부서의 임무(우리가 여기에 있는 이유?)
- 독립성: 위대한 신화
- 공식감사 이외의 가치 추가
- 경영자문감사
- 경영자문감사를 위한 4가지 방법
- 조기참여
- 비공식감사
- 지식 공유
- 자체평가
- 계속감사
- 공식감사 이외의 가치 창출에 대한 최종 생각
- 관계의 구축: 협력 파트너가 될 것인가? 치안 경찰이 될 것인가?
- 협력 파트너십 구축을 위한 학습
- IT감사팀의 역할
- 애플리케이션 감사인(또는 통합 감사인)
- 데이터 추출과 분석 전문가
- IT감사인
- 효과적인 IT감사팀의 구성과 유지
- 경력직 IT감사인
- IT전문가
- 경력 IT감사인과 IT전문가: 최종 생각
- 공동 소싱
- 전문지식의 유지
- 학습의 원천
- 외부감사인과 내부인증기능의 관계
- 요약
- 2장. 감사업무의 진행과정
- 내부통제
- 내부통제의 유형
- 내부통제의 예
- 감사대상의 결정
- 감사 모집단의 정의
- 감사 모집단의 순위 정하기
- 감사대상의 결정: 최종 생각
- 감사의 진행 단계
- 계획수립
- 감사 현장업무의 실시와 문서화
- 문제점의 발견과 타당성 검증
- 해법의 개발
- 보고서 초안 작성과 발행
- 문제점의 추적
- 기준
- 요약
- 2부. 감사 기법
- 3장. 전사적 수준 통제
- 배경지식
- 전사적 수준 통제 감사를 위한 테스트 단계
- 지식 베이스
- 종합 체크리스트
- 4장. 사이버보안 프로그램
- 배경지식
- 사이버보안 프로그램 감사단계
- 지식 베이스
- 종합 체크리스트
- 5장. 데이터센터와 재해복구
- 배경지식
- 데이터센터 감사의 기본사항
- 물리적 보안과 환경관리
- 시스템과 사이트 복구
- 데이터센터 운영
- 재해대비
- 데이터센터 감사를 위한 테스트 단계
- 주변과 외부의 위험 요소
- 물리적 접근통제
- 환경관리
- 전력과 전기
- 화재진압
- 데이터센터 운영
- 시스템 복원력
- 데이터 백업과 복원
- 재해복구계획
- 지식 베이스
- 종합 체크리스트
- 6장. 네트워킹 장치
- 배경지식
- 네트워크 감사의 요점
- 프로토콜
- OSI 모델
- 라우터와 스위치
- LAN, VLAN, WAN, WLAN
- 방화벽
- 스위치, 라우터, 방화벽의 감사
- 네트워크 장비에 대한 일반적 감사단계
- 추가 스위치 통제: 계층 2
- 추가 라우터 통제: 계층 3
- 추가 방화벽 통제
- 무선 네트워크 장비에 대한 추가 통제
- 도구와 기술
- 지식 베이스
- 종합 체크리스트
- 7장. 윈도우 서버
- 배경지식
- 윈도우 감사 기본 사항
- 커맨드라인
- 기본적인 커맨드라인 도구
- 공통적인 명령
- 서버 관리 도구
- 감사의 실시
- 윈도우 감사를 위한 테스트 단계
- 초기 단계
- 계정관리
- 사용 권한관리
- 네트워크 보안과 통제
- 보안 모니터링과 기타의 일반통제
- 도구와 기술
- 지식 베이스
- 종합 체크리스트
- 8장. 유닉스와 리눅스 운영체제
- 배경지식
- 유닉스와 리눅스 감사 기본 사항
- 주요 개념
- 파일 시스템 레이아웃과 내비게이션
- 파일 시스템의 사용 권한
- 사용자와 인증
- 네트워크 서비스
- 유닉스와 리눅스 감사를 위한 테스트 단계
- 계정관리
- 사용 권한관리
- 네트워크 보안과 통제
- 보안 모니터링과 기타 일반통제
- 도구와 기술
- 네트워크 취약점 스캐너
- NMAP
- 악성코드 탐지 도구
- 패스워드 강도의 유효성 검증 도구
- 호스트 기반 취약점 스캐너
- Shell/Awk/etc
- 지식 베이스
- 종합 체크리스트
- 9장. 웹 서버와 웹 애플리케이션
- 배경지식
- 웹 감사의 기본 사항
- 다중 구성 요소에 대한 일회 감사
- 1부: 호스트 운영체제 감사를 위한 테스트 단계
- 2부: 웹 서버 감사를 위한 테스트 단계
- 3부: 웹 애플리케이션 감사를 위한 테스트 단계
- 웹 애플리케이션에 대한 추가적 감사단계
- 도구와 기술
- 지식 베이스
- 종합 체크리스트
- 10장.데이터베이스
- 배경지식
- 데이터베이스 감사의 기본 사항
- 일반적인 데이터베이스 공급업체
- 데이터베이스 구성 요소
- NoSQL 데이터베이스 시스템
- 데이터베이스 감사를 위한 테스트 단계
- 초기 단계
- 운영체제 보안
- 계정관리
- 사용 권한관리
- 데이터 암호화
- 보안 로그 모니터링과 관리
- 도구와 기술
- 감사 도구
- 모니터링 도구
- 암호화 도구
- 지식 베이스
- 종합 체크리스트
- 11장. 빅데이터와 데이터 리포지터리
- 배경지식
- 빅데이터와 데이터 리포지터리 감사의 기본 사항
- 빅데이터와 데이터 리포지터리 감사를 위한 테스트 단계
- 지식 베이스
- 종합 체크리스트
- 12장. 스토리지
- 배경지식
- 스토리지 감사 기본 사항
- 주요 스토리지 구성 요소
- 스토리지 핵심 개념
- 스토리지 감사를 위한 테스트 단계
- 초기 단계
- 계정관리
- 스토리지 관리
- 암호화와 권한관리
- 보안 모니터링과 기타의 일반통제
- 지식 베이스
- 종합 체크리스트
- 13장. 가상화 환경
- 배경지식
- 상용과 오픈소스 프로젝트
- 가상화 감사 기본 사항
- 가상화 감사를 위한 테스트 단계
- 초기 단계
- 계정관리와 자원의 설치/제거
- 가상 환경의 관리
- 보안 모니터링과 추가적인 보안통제
- 지식 베이스
- 하이퍼바이저
- 도구
- 종합 체크리스트
- 14장.최종 사용자 컴퓨팅 기기
- 배경지식
- 1부: 윈도우와 맥 클라이언트 시스템 감사
- 윈도우와 맥 감사 기본 사항
- 윈도우와 맥 클라이언트 시스템 감사를 위한 테스트 단계
- 도구와 기술
- 지식 베이스
- 2부: 모바일 장치 감사
- 모바일 장치 감사 기본 사항
- 모바일 장치 감사를 위한 테스트 단계
- 추가 고려 사항
- 도구와 기술
- 지식 베이스
- 종합 체크리스트
- 15장. 애플리케이션
- 배경지식
- 애플리케이션 감사의 기본 사항
- 애플리케이션 감사를 위한 테스트 단계
- 입력통제
- 인터페이스 통제
- 감사증적과 보안 모니터링
- 계정관리
- 사용 권한관리
- 소프트웨어 변경통제
- 백업과 복구
- 데이터 보존, 분류, 사용자 참여
- 운영체제, 데이터베이스, 기타 인프라 통제
- 종합 체크리스트
- 16장. 클라우드 컴퓨팅과 아웃소싱 운영
- 배경지식
- 클라우드 컴퓨팅, 아웃소싱 운영 감사의 기본 사항
- IT 시스템, 소프트웨어, 인프라 아웃소싱
- IT 서비스 아웃소싱
- IT 서비스 아웃소싱의 기타 고려 사항
- 제3자 보고서와 증명
- 아웃소싱 운영, 클라우드 컴퓨팅 감사를 위한 테스트 단계
- 초기 단계
- 공급업체의 선정과 계약
- 계정관리와 데이터보안
- 운영과 거버넌스
- 법적 고려 사항과 법규 준수
- 도구와 기술
- 지식 베이스
- 종합 체크리스트
- 17장. 회사 프로젝트
- 배경지식
- 프로젝트 감사의 기본 사항
- 높은 수준의 프로젝트 감사목표
- 프로젝트 감사의 기본 접근법
- 워터폴과 애자일 소프트웨어 개발 방법론
- 프로젝트 감사의 7가지 주요 부분
- 회사 프로젝트 감사를 위한 테스트 단계
- 프로젝트 전반 관리
- 프로젝트 시작, 요구사항의 수집과 초기 설계
- 상세 설계와 시스템 개발
- 테스트
- 구현 활동
- 교육훈련
- 프로젝트 마무리
- 지식 베이스
- 종합 체크리스트
- 18장. 신기술과 기타 기술
- 배경지식
- 신기술과 기타 기술 감사의 기본 사항
- 범용 프레임워크
- 모범 실무
- 신기술과 기타 기술 감사를 위한 테스트 단계
- 초기 단계
- 계정관리
- 사용 권한관리
- 네트워크 보안과 통제
- 보안 모니터링, 기타 일반통제
- 종합 체크리스트
- 3부 프레임워크, 표준, 규제 법규, 위험관리
- 19장. 프레임워크와 표준
- 내부IT통제, 프레임워크, 표준의 소개
- COSO
- COSO의 내부통제 정의
- 내부통제의 주요 개념
- 내부통제 통합 프레임워크
- 전사적 위험관리 통합 프레임워크
- 내부통제와 기업 위험관리 간행물 사이의 관계
- IT지배구조
- IT지배구조 성숙도 모델
- COBIT
- ITIL
- ITIL 개념
- ISO 27001
- ISO 27001 개념
- NIST 사이버보안 프레임워크
- NSA INFOSEC 평가 방법론
- NSA INFOSEC 평가 방법론 개념
- 사전 평가 국면
- 현장 활동 국면
- 평가 후 국면
- 프레임워크와 표준의 동향
- 지식 베이스
- 20장. 규제 법규
- 내부통제 관련 입법 소개
- 법규의 IT감사에 대한 영향
- 기업재무 규제의 역사
- 2002년 제정된 사베인스-옥슬리법
- 사베인스-옥슬리법이 상장기업에 미치는 영향
- SOX법의 핵심 포인트
- IT부서에 대한 SOX법의 영향
- 여러 위치에 있는 회사의 SOX법 고려 사항
- SOX법 규정 준수에 대한 제3자 서비스의 영향
- SOX법 규정 준수에 필요한 특정 IT통제
- SOX법 준거가 회사에 미치는 재무적 영향
- 그램-리치-브라일리법
- GLBA 요구사항
- 연방금융기관검사협의회
- 일반데이터보호규정
- 기타 프라이버시 규정
- 캘리포니아 보안침해 정보법(SB 1386)
- 캘리포니아 소비자 프라이버시법
- 캐나다 개인정보보호 및 전자문서법
- 프라이버시 법규의 동향
- 병원 진료기록정보 보호법
- HIPAA 개인정보보호와 보안 규칙
- 하이테크법
- 적용 대상에 대한 HIPAA의 영향
- EU와 바젤 II
- 바젤 II 자본협약
- 결제 카드업계 데이터보안 표준
- 결제 카드 산업에 대한 PCI의 영향
- 기타 규제 법규의 동향
- 지식 베이스
- 21장. 위험관리
- 위험관리의 이익
- 경영진의 시각에서 본 위험관리
- 정량적 위험분석과 정성적 위험분석
- 정량적 위험분석
- 위험의 구성 요소
- 실제 적용 예
- 위험에 대한 대책
- 부정확성의 일반적 원인
- 정량적 위험분석의 실무
- 정성적 위험분석
- IT 위험관리 순환 사이클
- 국면 1: 정보자산의 식별
- 국면 2: 위협의 정량화와 정성화
- 국면 3: 취약점 평가
- 국면 4: 통제 결함의 개선
- 국면 5: 잔여위험관리
- 제3자 위험
- 위험의 식별
- 위험평가
- 개선책
- 모니터링과 보고
- 수식의 요약
- 지식 베이스