CISA 자격증과 업무활용방안

 

 

CISA 자격증 시험에 합격하였다.

과장님의 추천으로 알게된 CISA 자격증은 현재 나의 업무에 어떻게 활용할 수 있을지 정리해보고자 한다.

(회사에 제출하는 외부교육수료보고서에 작성할 내용이라 겸사겸사..)

 

난 현재 중견기업의 IT전략기획팀으로 일하고 있다.

IT전략기획의 역할은 회사마다 너무 상이한 것으로 알고 있지만..

현재 우리팀의 직무는 크게 나누면 아래와 같이 정리를 해볼 수가 있다.

 

1. 조직관리 (IT거버넌스, 자원관리[IT인적자원,IT교육] 등..)

2. 예산관리 (IT사업, 프로젝트에 따른 IT예산 컨트롤 등..)

3. 구매관리 (IT자원(SW, HW, 외주인력 구매,계약 등..)

 

이중에서 올해 나는 조직관리 업무를 주로 맡고 있는 상황이다.

 

그러면 CISA에서 다루고 있는 분야는 어떤 것일까?

 

1. 정보시스템 감사 프로세스

2. IT거버넌스 관리

3. 정보시스템 획득, 개발 및 구현

4. 정보시스템 운영, 유지보수 및 서비스 관리

5. 정보자산의 보호

 

우리팀의 업무를 위해서는, 위의 5가지 도메인에 대한 지식이 모두 업무활용에 가능한 상황이다.

각 도메인 별로 정리해보자.

 

1. 정보시스템 감사

현재 우리 회사에서는 IT내부감사팀이 없는 상황이지만..

IT프로젝트 진행, 운영관리 업무를 진행하다 보면 시스템 개발자, 시스템 및 인프라 운영자, 기획자들과 같이 다양한 role을 가진 구성원들이 협업하여 업무를 이행하는데, 이 때 간과해서는 안되는 것이 IS 감사 표준에 맞추어야 한다는 것이다.

 

사실 내부 감사 프로세스에 대해서는 각 업무별로 다양한 기준이 존재할 수 있고 감사 시기와 회사의 사정에 따라 기준이 달라지는 부분도 있다. 하지만 공통적으로 변해서는 안되는 것이 있다. 회사가 비즈니스 목표에 도달 할 수있도록 IT 정보자산을 활용, 통제, 보호해야한다는 것이다.

 

감사업무를 현재 업무에 바로 적용할 수는 없지만, 감사인이라면 이 업무를 진행할 때, 어떤 프로세스로 진행하며 어떤 감사증적을 남겨놓을까 라는 생각을 항상 하며 업무를 진행하도록 할 것이다.

 

2. IT거버넌스 관리

현재 나의 업무와 가장 밀접한 부분이다.

비즈니스 목표를 달성하기 위한 IT의 목표를 설정하고 그에 따른 IT전략을 수립하는 것(IT거버넌스)을 우리 팀의 메인업무로 봐야하기 때문이다. 

 

즉, 조직의 목표, 전략을 지원하기 위해 IT 조직구조와 프로세스를 마련해야하는 것이다.

 

1) IT전략 수립

- IT전략의 개발, 승인, 구현 및 유지보수 프로세스가 전사 조직 목표의 방향성과 일치하는지 판단해야한다.

- ISP 수립을 통하여, IT조직의 사업, 프로젝트, 운영의 기준이 될 계획을 수립해야한다.

  앞으로 우리팀이 수행해야할 하나의 가장 크고 중요한 미션이 될 것이다.

- IT 정책, 표준, 절차를 명시화하여 업무 프로세스의 표준을 공고히 해야한다.

  이를 위해 현재 IT본부 규정수립을 위해 업무를 진행중이다. 현재까지 IT조직규정, IT실무위원회 규정, IT자원구매계약규정,절차,  IT직무교육규정의 초안을 만들었으며, 추가적으로 고도화할 예정이다.

 

2) 자원관리

- IT자원의 종류는 S/W, H/W, Data(보안) 그리고 인적자원으로 구분을 할 수가 있다.

  IT전략기획팀은 이 자원들을 전사목표(IT목표)에 효과적으로 달성할 수 있도록 지원하고 이를 위한 프로세스를 관리해    야한다. 각 분야의 자원관리는 도메인3,4,5에 있는 내용들을 더하여 체크해야한다.

- 특히 이중에서 정규직 인적자원관리를 위해 IT인적자원 대쉬보드, IT본부 R&R 체계를 본부의 직책자들이 볼수 있도록    개선 및 신설하였으며, 이를 통해 본부의 정규직 인적자원에 대한 효율적인 관리를 할 수 있도록 하였다.

  향후에도 이런 자원관리가 가능할수 있는 프로세스를 생각해보려고 한다.

 

이외에도 위험관리, 성과측정(KPI), BCP,DRP에 대한 내용도 우리팀의 업무의 부분이라고 볼수있지만,

3가지 부분은 주로 부서장님들이나, 타팀이 주로 신경쓰는 부분이긴 하다..

 

IT거버넌스라는 영역에 대해서 공부하면 공부할수록 우리팀이 해야할 미션들이 많은것을 볼수가 있었다.

 

 

3.정보시스템 획득, 개발 및 구현

이 도메인에서는 우리팀의 IT구매계약 업무에 대해서 체계적으로 배울수가 있었다.

IT전략기획팀이 생기기전, 모든 구매계약업무는 각 팀에서 진행하여 통합관리가 되지 않는 상황이였는데,

우리팀이 새로 생기면서 이 구매계약 업무들에 대해서 체계적인 관리가 진행되는 중이다.

 

IT프로젝트에 대한 사업타당성을 판단하면서 이 사업이, 직접 개발이 가능한 건인지, 아니면 IT 구매가 필요한 건인지 판단해야하며, 이 과정중 IT구매의 절차로 넘어가게 되면, 각 업체에 RFI를 요청한 후, RFP를 전송해야한다.

 

RFP에 대한 답변을 회신받으면 공급업체를 선정하기 위한 절차들을 진행해야하는 데, 이런 모든 과정들을

우리 팀에서 통합관리를 해야하는 것이다. 수업을 듣고, 시험공부를 하면서 느낀점은 우리팀이 신설되면서 이제까지 잘못되었던 과정들이 바로잡히고 있다는 생각이 들었고 프로세스에 대한 개선이 진행되었다는 것을 알수가 있었다.

 

하지만, 구매계약의 과정에서 좀더 개선될 부분을 생각해보고 이행하는 것 또한 우리팀의 숙제.

 

 

4.운영,유지보수,서비스관리

 

IT인프라분야에 대한 지식을 배울수 있는 도메인이다.

IT 인프라에 대한 부분과 운영, 유지보수, DRP에대한 부분에 대한 내용들에 대해서 나오기 때문에,

IT인프라에 대한 구매계약, 예산관리에 대한 업무에 도움이 될 것이다.

 

이전 직장이 인프라관련 업무가 상당부분 연관성이 있기 때문에, 공부할 때 도움이 많이 되었었다.

 

 

5.정보 자산의 보호

 

이 부분은 정보보호팀의 업무에 대한 내용들이 주로 들어가있다.

정보 자산에 대한 정보보호와 조직의 정책, 절차, 통제 요소들이 정보자산의 기밀성, 무결성, 가용성이 있도록 업무 프로세스를 수립하는 데에 활용할 수 있을 것으로 보인다. 

 

아무래도 도메인4,5는 각각 인프라팀과 정보보호팀과의 업무 협업시의 효율성을 증진 시킬 수 있는 요소들에 대한 역량을 쌓는 지식이라고 생각이 든다.

 

 

--------------------------------------------------------

 

업무활용방안에 대해서 생각나는대로 글로 적어보았다.

CISA라는 자격증을 공부하며 가장 좋았던 부분은.. 내가 어떤 업무를 하는 사람이고,

어떤 부분을 중요시 여겨야하는지에 대해 포커스를 설정하게 해준 고맙고 감사한 선생님같은 자격증이다.

 

이 자격증을 공부하면서 한단계 성장할 수 있었고, 이제 다음 단계를 위한 역량을 준비해보고자 한다.