Information Systems Control Audit 7 Shin Soo Jung

Information Systems Control & Audit(7) Shin, Soo. Jung Based on Ron’s book

Chapter 8 Operations Management Controls

(1) Introduction Operation Management is responsible for the daily running of HW & SW facilities so that (1) production application systems can accomplish their work (2) development staff can design, implement, and maintain application system. (1) Many operations tasks were automated (2) Operation functions function became increasingly decentralized (3) Conflicting pressure emerged with respect to operations efficiently (4) Many organizations began to outsource their operation functions Computer operation control Capacity planning & Performance monitoring Helpdesk/technical support control Communication network control Data preparation & entry control Documentation & program library control File library control Production control

(2) Computer operation 3 types of controls (1) Those that prescribe the functions that either human operators or automated operations facilities must perform (2) Those that prescribe how jobs are to be scheduled on HW/SW platform. (3) Those that prescribe how HW is to be maintained in good operating order. (1) Operations controls (1) To support the execution of programs on computer start & stop programs according to a run schedule Load tape & removable disks onto drivers Load forms onto a printer Backup… -> AOF(automated operations facilities) (2) Standard procedure 필요(documentation)-> training (3) Auditors AOF의 authenticity, accuracy, completeness 파악 Decentralized operation의 감사는 복잡해짐 Operating system log 분석 중요

(2) Computer operation (2) Scheduling controls (1) To ensure that computers are used only for authorized purposes and that consumption of system resources is sufficient. (2) 큰 컴퓨터의 경우 이러한 scheduling은 중요함 (3) Auditors Production schedule의 enforcement가 존재하는지 파악 사용자가 application에 만족하는지, 여러 자원들이 높은 사용률을 보이는지 테스트 함 – efficiency 파악 (3) Maintenance controls (1) Preventive : MF에 적합, HW의 위치가 멀거나, 시스템이 중요한 경우 적합 (2) Remedial (3) Auditors Effective & efficient What maintenance activity? , how? Adequacy 확인

(3) Network operation (1) WAN (1) (2) (3) - Network control terminal: 라인과 프로세스의 시작과 정지, 네트웍 활동의 모니터링, 통계, 큐길 이의 재세팅, 백업, 시스템 상태의 질문, 데이터 조사 Control의 필요성: 훈련되고, 좋은 경력이 있는 직원, 임무의 분리 및 회전, 오퍼레이터에 따른 제 한된 권한, 네트웍 SW의 감사증적, 주기적 검토, 여러네트웍 터미날 사용시 적절한 분리, 문서화 된 표준 및 프로토콜, 오퍼레이터의 작업에 대한 주기적인 검토 Auditor control의 reliability의 파악 Operator의 활동관찰, 보고서 검토, 로그 파악 (2) LAN (1) 파일서버관리 (2) Control : 디스크 용량, 네트웍의 사용활동 및 패턴, 손상된 데이터의 레벨, 바이러스 방지 (3) Auditors control의 reliability의 파악 Operator의 활동관찰, 보고서 검토, 로그 파악 파일서버의 위치의 안전성, 접근권한 파악

(4) Data preparation & entry (1) (2) (3) (4) Keying task 가 잘 설계되었는지 파악 Keyboard operator에 대한 훈련, 적절한 환경 데이터 입력기구(ex ATM)에 대한 주기적인 유지보수 백업확인-source documentation (5) - Auditor 현재 데이터 입력은 사용자들에게 분산되어 있으므로 감사하기 어려움 데이터 준비와 입력에 대한 조직의 standard가 있는지 파악 Standard에 따라 준행되는지 파악

(5) Production control 5 functions Receipt & dispatch of input and output Job scheduling Management of SLA with users Transfer pricing/chargeout control Acquisition of computer consumables (1) Input/Output control (1) 어떤 상황(외부조직, 원거리 사용자 등)에서는 입력이 처리를 위해 operations function에 제출 될 수 있음. – production control personnel은 허가된 자로 부터 입력이 받아들여졌는지, 입력 의 로그, 안전한 보관, 처리를 위한 적절한 submission 등을 확인하는 책임이 있음. (2) 어떤 상황(외부조직, 원거리 사용자 등)에서는 출력의 책임이 production control personnel에 있을 수도 있음. – 출력이 제시간에 준비되었는지, 출력에 대한 품질검사, 출력물의 안전한 보관 및 전송 등에 대한 책임이 있음.

(5) Production control (2) Job scheduling control (1) (2) (3) - Job이 운영요원이나 자동화된 운영기구들을 사용할 경우 production control section에서 운영 스케줄을 수립하고, 각 작업에 필요한 JCL을 준비하고 테스트하는 책임을 가짐 Job control file: 언제 job내의 프로그램들이 실행되는가, 프로그램 실행순서, 필요한 데이타파 일, 사용되는 프린터, 프로그램에 할당된 우선순위, 비정상종료에 대한 절차 등을 정의하는 JCL 을 포함 Auditors JCF가 표준에 의해 준비되고 문서화되며, 허가되지 않은 접근에 subject되지 않는지 파악 Job들이 Job schedule에 따라 준수되어 실행되었는지 job의 log들을 검토 허가되지 않은 job의 수행, 허가되지 않은 rerun 파악 JCF의 백업 (3) Management of SLA (1) (2) (3) - SLA: turnaround, response time, the level of maintenance support, the costs, the penalties The production control section- SLA의 관리 책임, SLA가 최신의 것이며 문서화되고, 안전한 곳에 보관되도록 관리하며 사용자와 운영자가 이러한 Agreement에 부합되도록 함. 불평들은 운 영자나 개발자에게 직접가지 않도록 하며 control section에서 다룸 Auditors production control section이 SLA를 잘 관리하는지 파악 어떤 방식으로 불편들과 분쟁이 해결되는지 평가

(5) Production control (4) Transfer pricing/chargeout control (1) (2) (3) - 운영이 chargeout을 사용한다면 production control section은 사용자에게 billing하고 영수하 며, 지불되지 않은 계정을 follow-up해야 함-chargeout system이 허가되며, 정확하며, 완전하 며, 사용자에게 이해될 만한것인지 확인 Charge의 레벨이 기준에서 deviate되는 상황등을 관찰하고 보고해야 함. Auditor 사용자 인터뷰: 서비스레벨에 대한 만족평가, control section인터뷰: 수행하는 임무, 문서화 파 악 로그, 절차, 문서화 파악 (5) Acquisition of consumables (1) (2) - The production control section- 구입과 관리의 책임, 충분한 양, 가격, 품질 유지 Auditors 구입과 인벤토리 활동파악

(6) File library 조직의 machine-readable storage media 관리- 마그네틱 테잎, 카트리지, optical disk Storage media must be kept in a secure facilities It must be used only for authorized purpose It must be maintained in good working order It must be suitably located, and transit to and from the facility must be controlled (1) Storage of storage media (1) (2) (3) - Storage room – access control… Automated library system Auditor 미디어가 안전하게 보관되었는지 (on-site & off-site) ALS존재시 정확성 점검

(6) File library (2) Use of storage media (1) (2) (3) (4) (5) (6) (7) MF환경: 파일 라이브라리안이 허가된 프로덕션 스케쥴에 따라 removable storage media를 관 리함. removable strage media의 기록 유지 Microcomputer환경: 데이터의 중요성에 따라 달라짐. Off-site의 인력-허가된 절차에 따라서 백업파일을 생성하고 받아야 함. 하나의 storage medium에 여러파일저장시 주의 폐기시 주의 Auditor - 라이브라리안과 인터뷰, 관찰, 로그검토 –적절한 control이 이루어지는지 평가 (3) Maintenance & disposal of media (1) (2) 노후시 폐기- 폐기시 주의 외부장소로 보내기전 주요데이타 삭제 등의 조치 (4) Location of storage media (1) (2) MF: 운영관리자는 백업이 계획대로 이루어지는지 확인, 파일라이브라리안은 백업이 적절한 시 간에 안전하게 off-site에 옮겨지는지 확인 Microcomputer: 라이브라리안이 없는경우 표준이 만들어지고 사용자들로 이 표준을 준수하 게 해야 함.

(7) Documentation & program library Documentation 관리의 어려움 (1) 문서화의 책임이 조직전체에 분산됨 (2) 문서화가 여러형태오 여러장소에 보관됨 (3) 문서의 다양성으로 인해 문서화가 최신화되는 것을 유지하고 허가된 사용자에게만 접근하도 록 하는 것이 어려움 (4) (5) (6) (7) (8) (9) Documentation librarian의 기능 문서가 안전하게 보관되도록 함 허가된 사람만이 문서에 접근하도록 함 문서화가 최신의 것으로 유지되도록 함 적절한 백업이 이루어지도록 함 획득된 소프트웨어에 대한 inventory관리의 책임도 맡을 수 있음. – 소프트웨어의 구입, 분배, 사용의 기록을 유지하고, 사용자로 하여금 라이선싱 협약에 따르도록 함 (10) Auditor (11) - 인터뷰, 관찰, 문서검토등을 통해 라이브라리안의 활동을 평가함

(8) Help desk/ Technical Support 임무 사용자로 하여금 HW, SW를 employ하는 것을 지원함 문제해결을 지원함으로써 프로덕션 시스템을 위한 기술적인 지원을 제공함 효과적이고 효율적인 기능을 위해 유능하고 신뢰할만한 인력 Help desk활동을 지원하기 위한 인벤토리, 로깅, 레포팅 기능을 가진 problem management system이 필요 Auditor 사용자의 만족도, 인력의 응답방식 관찰, 리뷰로그 등을 통해 사용자의 질문에 대한 적절하고 정확하고, 완전한 응대를 파악

(9) Capacity planning & performance monitoring 성능평가 통계기반 불법적인 행동이 발생했는지 점검 사용자 필요의 관점에서 시스템의 성능이 acceptable한지 판단 더 이상의 HW, SW가 필요한지 판단 Auditor 성능을 적절히 모니터하는지, 통계에 근거하여 HW/SW를 구입하는지, 사용자는 부족한 성능 으로 인해 불만을 가지는지 등을 파악

(10) Management of outsourced operations 4 Types of controls in monitoring of outsourcing contracts (1) Ongoing evaluation of the financial viability of the outsourcing vendor financial statement의 주기적인 점검 (2) Ensuring compliance with the outsourcing contract’s terms & conditions 계약전 서로의 책임, 의무, 품질, 시간목표, 비용, 비밀요구조건, 오우너쉽, 절차 등을 합의함 계약후에는 계약대로 준수되는지를 모니터해야 함. (3) Ensuring the ongoing reliability of controls in the outsourcing vendor’s operation 통제의 이행에 대한 제 3자의 감사보고서 제출 고객으로 부터의 감사수행 Follow-up (4) Maintaining procedures for disaster recovery with the outsourcing vendor 아웃 소싱 계약서에는 벤더에 대한 재해복구대책의 존재와 작동에 대해 명시해야 함. 이러한 대 책은 주기적으로 평가되어야 함. Client는 벤더의 재해발생시의 재해복구절차를 개발해야 하고, 벤더의 계획이 실패할 경우의 대책을 수립해야 함. 기업의 보안관리자는 아웃소싱 계약에 따른 재해복구 통제의 설계및 이행을 책임져야 함. 운영 관리자는 이러한 대책의 운영과 모니터링을 책임짐. 수정사항발생시 보안관리자에게 공지