StudioEgo's Thoughts, seasonⅡ

개발자(Developer)와 감사자(Auditor)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS정의

정보시스템 감사를 하는 감사자(Auditor)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS의 정의는 아래 미국 정보시스템 감사통제협회 ISACA(Information Systems Audit and Control Association)에서 내놓은 2014 CISA(Certified Information Systems Auditor) 리뷰 매뉴얼책을 참조하였습니다.

---

2014 CISA Review Manual(한글판)

저자

ISACA 지음

출판사

한국정보시스템감사통제협회 | 2014-02-01 출간

카테고리

컴퓨터/IT

책소개

『2014 CISA Review Manual(한글판)』은 국제정...

---

미국 정보시스템 감사통제협회 ISACA(Information Systems Audit and Control Association)의 CISA(Certified Information Systems Auditor) 매뉴얼에서 나오는 클라우드와 IaaS, PaaS, SaaS정의

클라우드 컴퓨팅

클라우드에 대해 기본적인 정의를 내린 두 기관은 NIST(National Institute of Standards and Technology)와 클라우드 보안 연합(Cloud Security Alliance)이다. 두 단체 모두 클라우드를 설정이 가능한 컴퓨팅 자원(네트워크, 서버, 스토리지, 애플리케이션 시스템 및 서비스)의 공유 저장소에 필요할 때 즉시 이용가능한 편리한 네트워크 접근을 가능하게 하는 하나의 모델로서 정의하고 있다. 클라우드에서는 이러한 자원들이 최소의 관리노력 또는 서비스 제공자와의 최소의 상호작용으로 신속하게 보급될 수 있다. 클라우드에서 제공하는 서비스를 설명하는 또 다른 방법으로서 공공서비스에 비유를 들 수 있다. 전기, 가스, 수도 사용에 대해 기업이 비용을 지불하는 것처럼 사용량에 따라 IT서비스에 대해서 비용을 지불할 수 있는 선택권이 생긴 것으로 이해할 수 있다.

정보시스템 개발을 하는 개발자(Developer)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS의 정의는 아래 "생생 IT 토크 - 프로그래머들의 클라우드 이야기"의 내용을 참조하였습니다

"생생 IT 토크 : 프로그래머들의 클라우드 이야기" - http://www.hanbit.co.kr/ebook/look.html?isbn=9788968486920

정보시스템 개발을 하는 개발자(Developer)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS, BaaS의 정의

클라우드

네트워크를 도식화하여 표현할 때 사용하던 구름 모양의 아이콘에서 유래된 것으로, 구름과 같은 무형의 공간에서 컴퓨터로 할 수 있는 업무들이 가능하도록 설계한 것을 뜻한다. 또한 클라우드 서비스란 컴퓨팅의 기능을 네트워크를 통해 제공하는 것으로 네트워크에 접속할 수 있는 단말만 있으면 컴퓨터를 보유하고 있는 것과 같은 효과가 있다.

위의 감사자와 개발자가 생각하는 클라우드, IaaS, PaaS, SaaS정의를 견주어 보면 약간의 시각의 차이가 있음을 알수 있습니다.

감사자(Auditor)의 경우는 회사 조직의 전략과 목표, 그리고 외부 위협 및 위험 대처에 대하여 감사를 하다보니 고려사항에 법적 책임과 소유권, 서비스 장애 등의 대책까지 고려를 해야합니다. 결국에는 기업 측면에서 바라보게 되구요

개발자(Developer)의 경우는 클라우드, IaaS, PaaS, SaaS를 구현하기 때문에 구체적인 정의 및 작동과 기능적인 측면에서 접근하는 시각이 있습니다. 구체적인 동작 기능 측면에서 바라보게 됩니다.

개발자와 감사자 모두 시스템을 보는데에, 감사자가 기능을 중시하나 기업 거버넌스와 IT거버넌스에 맞게 해석한다면, 개발자는 말그대로 개발하는 입장이기 때문에 구체적인 동작, 기능 측면에서 해석하게 됩니다.

이번에 CISA(Certified Information Systems Auditor)시험을보고 나서 개발자가 생각하는 것과 감사인이 생각하는 것이 다르다는 것을 느꼈습니다. 그 느낌을 클라우드 개념 정리할때 위의 내용처럼 확실하게 구분할 수 있게 되더군요.

개발자도 개발자의 시각에서만 바라보지 말고, 사용자 그리고 감사자의 시각으로 어떻게 보는지 알아야겠다는 생각을 CISA시험을 통해 느낍니다.

2014년 6월 14일 토요일

고려대학교 우당교양관 입구.

고려대학교 우당교양관에서 CISA(Certified Information Systems Auditor)자격증 시험을 봤습니다.

작년 9월달 CISA시험을 연세대학교 백양관에서 봤었다만, 올해 6월달  고려대학교 우당교양관에서 CISA시험을 보았습니다. (쉽게 말해서, 시험보고 떨어져서, 올해에 재시험을 본것이죠)

작년 9월달에 CISA시험을 보고 떨어진 이후, 올해초부터 6월까지 저도 남들처럼 L모 학원다니면서 준비를 하였구요.

작년 9월달에 본 CISA시험이 왜 떨어졌는지 진지하게 생각을 해봤습니다.

1. 독학하면서 이론만 줄창 팠고,이론을 이해하는 대신 암기만 했다. 복습을 많이 하지 않았다.

2. 친구를 통해 L모 학원의 기출문제집을 1번만 보고 암기만 했다

3. 개발자의 시각으로만 문제를 푸려고 했다. (CISA는 정보시스템감사인 자격을 묻는 시험이기 때문에 개발을 아는 감사인의 시각으로 문제를 풀어야 합니다)

작년 9월달에 CISA시험을 보면서 뭔가 시험이 쉽네 하며 금방 풀고 나갔던것도 시험 떨어진 원인일지도?

작년의 실패를 경험삼아, 올해는 이 자격증을 따야겠다는 목표가 확실한 상태에서, 공부하는데 큰 돈을 들여 투자를 하였고 언젠간 결실을 맺게 될것으로 생각합니다. (시험 합격 발표는 아마  7월말~8월초사이에 나올듯 합니다.)

CISA를 공부하면서 개발자가 아닌 감사인, 경영인, 이사진의 관점에서 어떤 내용을 알아야 하고, 어떻게 설득하고 등등을 느꼈습니다.

 그리고 감사의 방법과 정치,행정에서 사용하는 거버넌스(Governance)라는 용어를 IT에 도입한 IT거버넌스, 정보시스템 설계, 개발, 운영, 보안등등을 두루두루 배우며, 내가 부족한 것이 무엇인지를 알게 되었습니다

회사에서 프로젝트를 위한 제안서를 쓰고 RFP를 받고 어떻게 제안서 쓰는지, 수주 받은 프로젝트를 어떻게 개발하고, 개발이 끝나면 운영하더라 이런 식의 프로세스를 입사후 몇차례 이해를 하니 작년과 다르게 올해에 시험대비하는데 수월하게 대비를 하였습니다.

CISA시험은 5개의 파트(도메인)로 나눠집니다

1. IT 감사

2. IT 거버넌스

3. 정보시스템의 획득, 개발 구현

4. 정보시스템의 운용과 유지보수 그리고 지원

5. 정보자산의 보호

개발자들은 도메인 3,4,5가 쉬운반면에, 도메인 1,2는 경영과목이나 감사 과목을 듣지 않은 이상 이해하는게 어렵습니다.

개발자출신이라면 도메인 1,2 부분을 집중적으로 공부하셔야 부담감이 덜할것이구요, 도메인 5 정보 자산의 보호의 경우 시험에서 많은 비중을 차지하는데 보안 과목을 들어봤으면 쉽게 푸실것입니다.

참고로 시험장에서 L모사 기출문제지를 들고 공부하는 사람들 많습니다. 시험문제가 꼬아서 내기 때문에 시험문제 암기한다고 해서 답을 찍을수 없을겁니다. CISA시험은 감사인의 입장에서 이해하는 것이 먼저입니다. 감사인의 입장을 이해 못하면 답을 맞출수 없구요. 맞는 답이 여러가지 있어도 포괄적인 내용을 찍어야 답입니다.

개발자 입장에선 이것도 답이 되고 저것도 답이되는 문제가 많다보니 화가날수 있지만, 포괄적으로 보는 시각을 얼른 키워야 시험 합격할 수 있을 것입니다.

그리고 CISA시험의 한국어 버전은 오역이 많다보니 영어문장을 한국어로 어떻게 해석하는지 그 능력도... -_-;; (번역 품질이 썩좋진 않습니다.)

올해 CISA시험을 보는데에 작년과 다르게 시험문제를 꼼꼼하게 푸느라 시험 200문제에 대한 마킹을 1시간 이상 투자한 것 같군요 -_-;;

시험이 L모 학원 문제풀이집에 나온 것과 유사한것이 너무 많이 나와서 의심하며 풀었긴 한데 (시험문제를 비슷하게 내도 시험 주관하는 미국 ISACA협회에서 시험문제를 조금 다르게 비비 꼬아서 내기 때문에+번역 품질이 좋지 않기 때문) 뭐 어렵지 않게 풀었긴합니다.

CISA시험에 대해 후기를 주절주절 썼지만, 중요한 것은 "감사인의 입장에서 생각해보기" 이걸 이해하면 시험 통과는 어렵지 않을 것 같습니다.

아직 시험 통과를 하지 않았지만, 좋은 결과가 나왔으면 합니다. ㅎㅎ

ps. CISA 시험 끝내니깐 그동안 정신력으로 버틴 체력이 딸린지라 탈진했습니다.ㅠㅠ

ps2. 이제는 CISSP시험에 도전하려고 합니다. 직장인 환급과정으로 L모학원 CISA수업 듣고 환급받았으니 이번엔 재직자 계좌제로 L모학원 CISSP수업 듣고 환급 받을려고 합니다.

ps3. CISA시험과 CISSP시험 내용이 40%정도 겹친다고 하니 공부하는데엔 지장이 없을듯 하나, 이제는 체력부족으로 체력단련하면서 공부하려고 합니다 -_-;;

ps4. 20대 마지막 여름은 공부하느라 정신 없을듯 하네요.

2014년 5월 5일~5월 6일간 6월 14일에 보는 CISA(Certified Information Systems Auditor, 국제 정보시스템감사사) 자격증 시험 공부를 하러 하러 학원에 갔었다.

학원에 도착하여 공부하려니 주위에 공부하는 분들이 대부분 40~50대 아저씨들.

주위에서 20대는 나밖에 없었고, 간혹 30대 누님들이 보일뿐, 40~50대 아저씨들 공부하는 과목들을 보면 다양했다 CISA, CISSP, 정보시스템감리사 등등

40~50대 아저씨들이 왜 이렇게 연휴에도 열심히 공부하지 생각을 해보니, 직장인으로서의 수명을 연장하려고 저렇게 열심히 공부하시는구나를 느겼음.

아 나도 열심히 공부해야겠다고 생각했음.