HOME > Detail View

Detail View

IT 감사 : 정보자산 보호를 위한 통제기반 IT 감사 (Loan 2 times)

Material type
단행본
Personal Author
Kegerreis, Mike Schiller, Mike, 저 Davis, Chris (Christopher Michael), 저 지현미, 역 최영곤, 역
Title Statement
IT 감사 : 정보자산 보호를 위한 통제기반 IT 감사 / 마이크 케게레이스, 마이크 실러, 크리스 데이비스 지음 ; 지현미, 최영곤 옮김
Publication, Distribution, etc
서울 :   에이콘,   2021  
Physical Medium
871 p. : 삽화 ; 24 cm
Varied Title
IT auditing : using controls to protect information assets (3rd ed.)
ISBN
9791161755106
Bibliography, Etc. Note
참고문헌과 색인수록
Subject Added Entry-Topical Term
Electronic data processing --Auditing Information auditing Computer security Computer networks --Security measures
000 00000cam c2200205 c 4500
001 000046089397
005 20210813102829
007 ta
008 210812s2021 ulka b 001c kor
020 ▼a 9791161755106 ▼g 93000
035 ▼a (KERIS)BIB000015858057
040 ▼a 221016 ▼c 221016 ▼d 211006 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2021z3
100 1 ▼a Kegerreis, Mike
245 1 0 ▼a IT 감사 : ▼b 정보자산 보호를 위한 통제기반 IT 감사 / ▼d 마이크 케게레이스, ▼e 마이크 실러, ▼e 크리스 데이비스 지음 ; ▼e 지현미, ▼e 최영곤 옮김
246 1 9 ▼a IT auditing : ▼b using controls to protect information assets ▼g (3rd ed.)
260 ▼a 서울 : ▼b 에이콘, ▼c 2021
300 ▼a 871 p. : ▼b 삽화 ; ▼c 24 cm
504 ▼a 참고문헌과 색인수록
650 0 ▼a Electronic data processing ▼x Auditing
650 0 ▼a Information auditing
650 0 ▼a Computer security
650 0 ▼a Computer networks ▼x Security measures
700 1 ▼a Schiller, Mike, ▼e
700 1 ▼a Davis, Chris ▼q (Christopher Michael), ▼e
700 1 ▼a 지현미, ▼e
700 1 ▼a 최영곤, ▼e
900 1 0 ▼a 케게레이스, 마이크, ▼e
900 1 0 ▼a 마이크, 실러, ▼e
900 1 0 ▼a 데이비스, 크리스, ▼e
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2021z3 Accession No. 121257936 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

미국 IT업계의 최고 베테랑이 쓴 책으로, 최신 IT용어 및 관련 개념을 포괄적으로 소개한다. 공인회계사 시험을 준비하는 수험생, IT부서 실무자, IT감사인이라면 최신 IT감사 기법(클라우드 컴퓨팅ㆍ사이버보안ㆍ빅데이터ㆍ데이터베이스ㆍ데이터센터 등 관련 통제, 감사 기술과 더불어 글로벌 IT기업ㆍ제품의 역사)과 IT 인접 분야와의 융합 지식을 익힐 수 있다. IT감사실의 효율적인 조직 구축 방법, 감사인의 처세술, IT 관련 글로벌 규제 법규, 리스크 관리, 체크리스트, 프레임워크(COBIT 등)도 소개한다.

★ 이 책의 목표 ★

조직 내 IT감사부서의 구축과 IT감사실시를 이해하기 쉽게 설명한 핸드북이다. 기업에서 실제 IT감사업무를 매일 수행하는 사람들에게 생생한 실용적 지침서로 볼 수 있도록 집필했다.
IT감사실시 방법을 안내하고 감사인이 회사에 기여할 가치를 극대화할 수 있도록 도우며, 일반적인 IT 주제, 프로세스, 기술에 대한 감사를 철저히 수행할 수 있도록 알려준다. 그리고 현재 IT감사 전문직에 강력한 영향을 주고 있는 제반 법규를 비롯해 IT감사표준과 프레임워크를 제공한다.

★ 이 책의 구성 ★

세 부분으로 구성돼 있다. 1부, '감사 개요'에서는 IT감사 프로세스, 효과적인 IT감사팀의 구축과 유지 방법, IT감사 기능의 가치극대화 방법을 이해하는 데 도움이 된다. 2부, '감사 기법'에서는 특정 시스템이나 프로세스 감사에 필요한 특정 구성 요소나 감사 단계를 이해하는 데 도움이 된다. 마지막으로 3부에서는 감사 기능의 범위를 관장하는 프레임워크, 표준, 법규, 위험을 다룬다.
이 책의 1부는 IT감사업무의 수행방법에 대한 실용적인 지침을 제시한다. 이러한 지침을 적용하면 IT감사 기능이 회사 IT 환경에서 필수적이고 훌륭한 요소로 간주될 수 있게 될 것이다. 이 지침은 수년간의 경험과 모범 사례에서 도출한 것이다. 경험이 아주 많은 IT감사인들조차도 유용한 도구와 기법들이 해당 장별로 다수 수록돼 있음을 알게 될 것이다.
일반적인 IT 주제, 프로세스, 기술에 대한 감사를 철저히 수행할 수 있게 돕는다.
이 책의 2부는 해야 할 일이 무엇인지뿐만 아니라 그것을 행하는 이유(why)와 방법(how)에 대한 실용적이고 상세한 조언을 독자에게 제시하고 있다. IT감사 자원이 감사인에게 해당 업무의 실시 이유나 정확한 단계별 수행방법의 이해를 위해 충분한 정보를 제공하지 않지만, 자원의 분량은 지나치게 많을 수 있다. 이런 경우 해당 자원은 총알 지향식 체크리스트를 제시하는 것과 같다. 저자들의 목표는 그러한 간극을 메우는 데 있다.
마지막으로 이 책은 현재 IT감사 전문직에 강력한 영향을 주고 있는 제반 법규를 비롯해 IT감사표준과 프레임워크를 제공한다.
3부는 COBIT, ITIL, ISO 27001과 같은 표준 및 프레임워크와 사베인스-옥슬리법(Sarbanes-Oxley), HIPAA, PCI와 같은 법규에 중점을 둔다. 이 절의 또 다른 목표는 대부분의 법규에서 요구하는 위험평가와 관리에 대한 신비적 요소의 제거다.
시스템 강화, 세부 침투테스트를 위한 지식과 자원들은 다른 서적을 이용해서도 충분히 입수할 수 있다. 그런 내용은 이 책의 초점이 아니다. 감사 경험에서 보건대 내부자 관점에서 내부통제 품질에 대한 자문 요청을 더 자주 받아왔다. 따라서 이 책의 감사 단계들은 대부분 모든 구성 파일, 문서, 정보에 감사인이 완전히 접근할 수 있다는 가정하에 작성돼 있다. 이 책은 해커용 안내서는 아니다. 감사인이 회사 IT 시스템, 프로세스의 내부통제와 보안을 평가, 판단하는 방법에 관해 다룬 안내서다.


Information Provided By: : Aladin

Author Introduction

크리스 데이비스(지은이)

안전하고 유연한 하이브리드 클라우드 인프라 구축을 원하는 고객을 대상으로 Caveonix를 통해 제품 전략, 아키텍처 전략을 추진하고 있다. 전 세계 기업과 정부기관을 대상으로 한 인증 커리큘럼, 위험 관리, 감사, 하드웨어 보안 설계, 고급 컴퓨터 포렌식 분석, 정보보안 분야에서 교육 훈련과 강연 활동을 해왔다. 오라클, 아마존, VMware, VCE, 크리티컬 스타트(Critical Start), 애큐데이터 시스템즈(Accudata Systems), 포스카웃 테크놀러지(ForeScout Technologies), 텍사스 인스트루먼트에서 근무한 경력이 있다. 토마스 에디슨(Thomas Edison)에서 원자력공학기술 학사 학위, 오스틴에 있는 텍사스 대학교(University of Texas)에서 경영학 석사 학위를 취득했다. 정보보안, 법의학, 감사 분야의 책을 다수 저술했으며, 이 분야의 기여 저자로도 참여했다. 그중 일부는 다음과 같다. 『Hacking Exposed Computer Forensics 1/e & 2/e』(McGraw-Hill), 『Anti-Hacker Tool Kit 2/e & 3/e』(McGraw-Hill), 『Computer Security Handbook 5/e & 6/e』(Wiley).

마이크 실러(지은이)

CISA 자격 보유자로서 텍사스 인스트루먼트의 최고 정보보안책임자(CISO)다. 텍사스 인스트루먼트와 사브레(Sabre)의 IT감사 책임자를 비롯해 IT감사 분야에서 15년 이상의 경력이 있다. CACS, 인포섹 월드, ASUG(Americas 'SAP Users' Group)와 같은 콘퍼런스에서 연사로, 남부 감리교 대학교(Southern Methodist University)에서 IT감사 과목의 강사로 활동했다. 이 책의 3개 판 모두에 저술팀의 일원으로 빠짐없이 참여했다. 텍사스 A&M 대학교를 졸업했다.

마이크 케게레이스(지은이)

CISSP 자격이 있는 보안 전문가로서의 11년을 포함해 20년이 넘는 IT 경력이 있다. 텍사스 A&M 대학교를 졸업한 후 소프트웨어 개발자로 12년을 보냈다. 그 후 정보보안 분야로 전향했다. 또한 SANS 과정과 인증 개발에 참여하고, 인포섹 월드(InfoSec World), 캠프(CAMP) IT, 댈러스의 텍사스 대학교와 댈러스 IIA 슈퍼 콘퍼런스(Super Conference) 등에서 강연했다. 한때 웨스트 텍사스(West Texas) 유전 시스템의 휴먼 인터페이스를 개발한 적도 있다. 평생 골프 팬으로, 시간이 날 때마다 라운드를 즐긴다. 가장 좋아하는 골프 코스는 TPC 라스베이거스다. 현재 텍사스 인스트루먼트(Texas Instruments)의 수석 보안 아키텍트다.

최영곤(옮긴이)

계명대학교 경영대학 회계세무학부 회계학 전공 소속의 명예교수로, 한국 공인회계사(KICPA)다. 계명대학교에서 33여 년 동안 재무회계, 회계감사, 회계정보시스템, 법규(회사법, 행정법, 세법) 등의 과목을 강의했다. 집필한 저서와 역서 중 일부는 다음과 같다. 『통계적 표본 회계감사론』(법문사, 1983), 『기초적 감사개념에 관한 보고서』(계명대 출판부, 1992), 『디지털정보의 보안』(박영사, 2000), 『정보시스템』(탑북스, 2012), 『기업정보자원의 보호론』(범한, 2012), 『투자구매협상의 심리』(탑북스, 2011), 『포렌식 탐정의 화이트칼라 범죄제거전략』(교육과학사, 2016), 『리스크기반 ISA회계감사』(삼영사, 2019), 『세법요론 제3판』(세학사, 2019) 등이 있다. 연세대학교에서 경영학(학사, 석사, 박사)과 서울대학교 행정대학원에서 행정학(석사) 과정을 이수했고, 행정고시는 제19회다. 9년에 걸친 공직(경제과학심의회의, 체신부, 감사원) 활동 후 교직으로 전향했다. 음향시스템(CREDENZA(8-30) phonograph와 Turntable을 통한 SP와 LP의 구동) 이용 관련 취미활동은 미국 University of Rhode Island 교환교수로 체류 중 시작하고, 지금도 계속 중이다.

지현미(옮긴이)

계명대학교 경영대학 회계세무학부 회계학 전공 교수로, 한국 및 미국 공인회계사(KICPA, AICPA)며, 국내 회계법인과 금융감독원에서 회계 및 감사업무를 수행한 경력이 있다. 계명대학교에서는 재무회계, 회계감사, 재무제표 분석 등의 과목을 가르치고 있다. 전공 관련 학회, 콘퍼런스, 웨비나 형태의 세미나 등에서 연사나 토론자로 꾸준히 활동하고 있다. 또한 각종 공공기구(기획재정부 국가회계제도심의위원회, 대구광역시 남북교류협력위원회, 대구지방법원 민사조정위원회 등)의 위원과 학회(한국회계학회 회계저널 편집위원장, 한국경영학회 이사) 구성원으로 대외 활동 중이다. 성균관대학교에서 경영학(학사, 석사, 박사) 학위를 취득했다. 집필한 책 중 일부는 다음과 같다. 『지금 당장 국제회계기준(IFRS) 공부하라』(한빛비즈, 2010), 『생활 속 회계탐구』(삼영사, 2013), 『New ISA를 반영한 알기 쉬운 회계감사』(삼영사, 2015), 『원칙 중심 K-IFRS 교육: 개념체계 기반 접근법(회계윤리와 종합사례)』(한국회계기준원, 2016), 『포렌식 탐정의 화이트칼라 범죄 제거전략』(교육과학사, 2016), 『IFRS 재무제표분석 제5판』(삼영사, 2018), 『리스크 기반 ISA 회계감사』(삼영사, 2019) 등이 있다.

Information Provided By: : Aladin

Table of Contents

1부. 감사 개요

1장. 내부IT감사기능의 효율적 구축
__내부감사부서의 임무(우리가 여기에 있는 이유?)
__독립성: 위대한 신화
__공식감사 이외의 가치 추가
__경영자문감사
__경영자문감사를 위한 4가지 방법
__조기참여
__비공식감사
__지식 공유
__자체평가
__계속감사
__공식감사 이외의 가치 창출에 대한 최종 생각
__관계의 구축: 협력 파트너가 될 것인가? 치안 경찰이 될 것인가?
__협력 파트너십 구축을 위한 학습
__IT감사팀의 역할
__애플리케이션 감사인(또는 통합 감사인)
__데이터 추출과 분석 전문가
__IT감사인
__효과적인 IT감사팀의 구성과 유지
__경력직 IT감사인
__IT전문가
__경력 IT감사인과 IT전문가: 최종 생각
__공동 소싱
__전문지식의 유지
__학습의 원천
__외부감사인과 내부인증기능의 관계
__요약


2장. 감사업무의 진행과정
__내부통제
__내부통제의 유형
__내부통제의 예
__감사대상의 결정
__감사 모집단의 정의
__감사 모집단의 순위 정하기
__감사대상의 결정: 최종 생각
__감사의 진행 단계
__계획수립
__감사 현장업무의 실시와 문서화
__문제점의 발견과 타당성 검증
__해법의 개발
__보고서 초안 작성과 발행
__문제점의 추적
__기준
__요약


2부. 감사 기법

3장. 전사적 수준 통제
__배경지식
__전사적 수준 통제 감사를 위한 테스트 단계
__지식 베이스
__종합 체크리스트


4장. 사이버보안 프로그램
__배경지식
__사이버보안 프로그램 감사단계
__지식 베이스
__종합 체크리스트


5장. 데이터센터와 재해복구
__배경지식
__데이터센터 감사의 기본사항
__물리적 보안과 환경관리
__시스템과 사이트 복구
__데이터센터 운영
__재해대비
__데이터센터 감사를 위한 테스트 단계
__주변과 외부의 위험 요소
__물리적 접근통제
__환경관리
__전력과 전기
__화재진압
__데이터센터 운영
__시스템 복원력
__데이터 백업과 복원
__재해복구계획
__지식 베이스
__종합 체크리스트


6장. 네트워킹 장치
__배경지식
__네트워크 감사의 요점
__프로토콜
__OSI 모델
__라우터와 스위치
__LAN, VLAN, WAN, WLAN
__방화벽
__스위치, 라우터, 방화벽의 감사
__네트워크 장비에 대한 일반적 감사단계
__추가 스위치 통제: 계층 2
__추가 라우터 통제: 계층 3
__추가 방화벽 통제
__무선 네트워크 장비에 대한 추가 통제
__도구와 기술
__지식 베이스
__종합 체크리스트


7장. 윈도우 서버
__배경지식
__윈도우 감사 기본 사항
__커맨드라인
__기본적인 커맨드라인 도구
__공통적인 명령
__서버 관리 도구
__감사의 실시
__윈도우 감사를 위한 테스트 단계
__초기 단계
__계정관리
__사용 권한관리
__네트워크 보안과 통제
__보안 모니터링과 기타의 일반통제
__도구와 기술
__지식 베이스
__종합 체크리스트


8장. 유닉스와 리눅스 운영체제
__배경지식
__유닉스와 리눅스 감사 기본 사항
__주요 개념
__파일 시스템 레이아웃과 내비게이션
__파일 시스템의 사용 권한
__사용자와 인증
__네트워크 서비스
__유닉스와 리눅스 감사를 위한 테스트 단계
__계정관리
__사용 권한관리
__네트워크 보안과 통제
__보안 모니터링과 기타 일반통제
__도구와 기술
__네트워크 취약점 스캐너
__NMAP
__악성코드 탐지 도구
__패스워드 강도의 유효성 검증 도구
__호스트 기반 취약점 스캐너
__Shell/Awk/etc
__지식 베이스
__종합 체크리스트


9장. 웹 서버와 웹 애플리케이션
__배경지식
__웹 감사의 기본 사항
__다중 구성 요소에 대한 일회 감사
__1부: 호스트 운영체제 감사를 위한 테스트 단계
__2부: 웹 서버 감사를 위한 테스트 단계
__3부: 웹 애플리케이션 감사를 위한 테스트 단계
__웹 애플리케이션에 대한 추가적 감사단계
__도구와 기술
__지식 베이스
__종합 체크리스트


10장. 데이터베이스
__배경지식
__데이터베이스 감사의 기본 사항
__일반적인 데이터베이스 공급업체
__데이터베이스 구성 요소
__NoSQL 데이터베이스 시스템
__데이터베이스 감사를 위한 테스트 단계
__초기 단계
__운영체제 보안
__계정관리
__사용 권한관리
__데이터 암호화
__보안 로그 모니터링과 관리
__도구와 기술
__감사 도구
__모니터링 도구
__암호화 도구
__지식 베이스
__종합 체크리스트


11장. 빅데이터와 데이터 리포지터리
__배경지식
__빅데이터와 데이터 리포지터리 감사의 기본 사항
__빅데이터와 데이터 리포지터리 감사를 위한 테스트 단계
__지식 베이스
__종합 체크리스트


12장. 스토리지
__배경지식
__스토리지 감사 기본 사항
__주요 스토리지 구성 요소
__스토리지 핵심 개념
__스토리지 감사를 위한 테스트 단계
__초기 단계
__계정관리
__스토리지 관리
__암호화와 권한관리
__보안 모니터링과 기타의 일반통제
__지식 베이스
__종합 체크리스트


13장. 가상화 환경
__배경지식
__상용과 오픈소스 프로젝트
__가상화 감사 기본 사항
__가상화 감사를 위한 테스트 단계
__초기 단계
__계정관리와 자원의 설치/제거
__가상 환경의 관리
__보안 모니터링과 추가적인 보안통제
__지식 베이스
__하이퍼바이저
__도구
__종합 체크리스트


14장. 최종 사용자 컴퓨팅 기기
__배경지식
__1부: 윈도우와 맥 클라이언트 시스템 감사
__윈도우와 맥 감사 기본 사항
__윈도우와 맥 클라이언트 시스템 감사를 위한 테스트 단계
__도구와 기술
__지식 베이스
__2부: 모바일 장치 감사
__모바일 장치 감사 기본 사항
__모바일 장치 감사를 위한 테스트 단계
__추가 고려 사항
__도구와 기술
__지식 베이스
__종합 체크리스트


15장. 애플리케이션
__배경지식
__애플리케이션 감사의 기본 사항
__애플리케이션 감사를 위한 테스트 단계
__입력통제
__인터페이스 통제
__감사증적과 보안 모니터링
__계정관리
__사용 권한관리
__소프트웨어 변경통제
__백업과 복구
__데이터 보존, 분류, 사용자 참여
__운영체제, 데이터베이스, 기타 인프라 통제
__종합 체크리스트


16장. 클라우드 컴퓨팅과 아웃소싱 운영
__배경지식
__클라우드 컴퓨팅, 아웃소싱 운영 감사의 기본 사항
__IT 시스템, 소프트웨어, 인프라 아웃소싱
__IT 서비스 아웃소싱
__IT 서비스 아웃소싱의 기타 고려 사항
__제3자 보고서와 증명
__아웃소싱 운영, 클라우드 컴퓨팅 감사를 위한 테스트 단계
__초기 단계
__공급업체의 선정과 계약
__계정관리와 데이터보안
__운영과 거버넌스
__법적 고려 사항과 법규 준수
__도구와 기술
__지식 베이스
__종합 체크리스트


17장. 회사 프로젝트
__배경지식
__프로젝트 감사의 기본 사항
__높은 수준의 프로젝트 감사목표
__프로젝트 감사의 기본 접근법
__워터폴과 애자일 소프트웨어 개발 방법론
__프로젝트 감사의 7가지 주요 부분
__회사 프로젝트 감사를 위한 테스트 단계
__프로젝트 전반 관리
__프로젝트 시작, 요구사항의 수집과 초기 설계
__상세 설계와 시스템 개발
__테스트
__구현 활동
__교육훈련
__프로젝트 마무리
__지식 베이스
__종합 체크리스트


18장. 신기술과 기타 기술
__배경지식
__신기술과 기타 기술 감사의 기본 사항
__범용 프레임워크
__모범 실무
__신기술과 기타 기술 감사를 위한 테스트 단계
__초기 단계
__계정관리
__사용 권한관리
__네트워크 보안과 통제
__보안 모니터링, 기타 일반통제
__종합 체크리스트



3부. 프레임워크, 표준, 규제 법규, 위험관리

19장. 프레임워크와 표준
__내부IT통제, 프레임워크, 표준의 소개
__COSO
__COSO의 내부통제 정의
__내부통제의 주요 개념
__내부통제 통합 프레임워크
__전사적 위험관리 통합 프레임워크
__내부통제와 기업 위험관리 간행물 사이의 관계
__IT지배구조
__IT지배구조 성숙도 모델
__COBIT
__ITIL
__ITIL 개념
__ISO 27001
__ISO 27001 개념
__NIST 사이버보안 프레임워크
__NSA INFOSEC 평가 방법론
__NSA INFOSEC 평가 방법론 개념
__사전 평가 국면
__현장 활동 국면
__평가 후 국면
__프레임워크와 표준의 동향
__지식 베이스


20장. 규제 법규
__내부통제 관련 입법 소개
__법규의 IT감사에 대한 영향
__기업재무 규제의 역사
__2002년 제정된 사베인스-옥슬리법
__사베인스-옥슬리법이 상장기업에 미치는 영향
__SOX법의 핵심 포인트
__IT부서에 대한 SOX법의 영향
__여러 위치에 있는 회사의 SOX법 고려 사항
__SOX법 규정 준수에 대한 제3자 서비스의 영향
__SOX법 규정 준수에 필요한 특정 IT통제
__SOX법 준거가 회사에 미치는 재무적 영향
__그램-리치-브라일리법
__GLBA 요구사항
__연방금융기관검사협의회
__일반데이터보호규정
__기타 프라이버시 규정
__캘리포니아 보안침해 정보법(SB 1386)
__캘리포니아 소비자 프라이버시법
__캐나다 개인정보보호 및 전자문서법
__프라이버시 법규의 동향
__병원 진료기록정보 보호법
__HIPAA 개인정보보호와 보안 규칙
__하이테크법
__적용 대상에 대한 HIPAA의 영향
__EU와 바젤 II
__바젤 II 자본협약
__결제 카드업계 데이터보안 표준
__결제 카드 산업에 대한 PCI의 영향
__기타 규제 법규의 동향
__지식 베이스


21장. 위험관리
__위험관리의 이익
__경영진의 시각에서 본 위험관리
__정량적 위험분석과 정성적 위험분석
__정량적 위험분석
__위험의 구성 요소
__실제 적용 예
__위험에 대한 대책
__부정확성의 일반적 원인
__정량적 위험분석의 실무
__정성적 위험분석
__IT 위험관리 순환 사이클
__국면 1: 정보자산의 식별
__국면 2: 위협의 정량화와 정성화
__국면 3: 취약점 평가
__국면 4: 통제 결함의 개선
__국면 5: 잔여위험관리
__제3자 위험
__위험의 식별
__위험평가
__개선책
__모니터링과 보고
__수식의 요약
__지식 베이스

New Arrivals Books in Related Fields

Ramamurthy, Bina (2021)