정보시스템 감사 프로세스 - 비지니스 프로세스 응용과 통제

정보시스템 감사 프로세스 - 비지니스 프로세스 응용과 통제

1. 전자상거래 

(1) 의의 및 유형

- 전자상거래란 네트워크 상에서 자동화된 절차를 통해 수행하는 비지니스 거래이다.

전자 상거래 유형		제품/서비스의 수요자
		개인(C)	기업(B)	정부(G)
제품/서비스의 수요자	개인(C)	C2C	C2B	C2G
	기업(B)	B2C	B2B	B2G
	정부(G)	G2C	G2B	G2G

(2) 전자상거래의 구조

1. 단일층구조(싱글티어)는 단일 컴퓨터상에서 운영되는 클라이언트 기반 응용시스템이다.
2. 이층 구조(투티어)는 클라이언트와 서버로 구성된다.
3. 삼층구조(쓰리티어)는 다음과 같이 구성된다.
   
   • 표현층(프레젠테이션 티어)는 웹페이지나 운영체제의 그래픽 사용자 인터페이스와 같이 접근할 수있는 정보를 보여준다.
   • 응용층(애플리케이션 티어: 비지니스 업무/응용)은 상세한 처리를 수행하는 응용 기능을 통제한다.
   • 데이터층(데이터 티어)은 데이터베이스 서버, 파일공유, 영속적인 메커니즘이 함축되어 있고 데이터에 접하는 데이터 접속으로 구성되어 있다.

*확장성 생성 언어(XML)은 전자상거래 상에서 웹이나 어떤 곳이든 매우 다양한 데이터를 교환하는 중요한 수단(호환성)

(3) 전자상거래의 위험

- 기밀성/ 무결성/ 가용성/ 인증과 부인방지/ 강화된 고객능력(소비자의 간편 접근으로 인한 기업경쟁 심화)

(4) 전자상거래상의 요구사항

1. 비지니스 사례 구축하기(IT가 조력자 역활)
2. 명확한 비지니스 목적 개발
3. 기술을 사용하여 먼저 비용절감
4. 4C의 고객(customer), 비용(cost), 경쟁자(compet-itors), 역량(capabilities)에 대한 비지니스 사례 구축
5. 최상위 관리층의 헌신
6. 비지니스 프로세스의 개편: 기술을 이용한 비지니스 프로세스의 근본적 개편과 독창성으로 새로운 가치 창출
7. 기존 시스템과 연계: 전사적 애플리케이션 통합(EAI) 적용하여 조직은 온라인 인터페이스를 구축하고 고객 서비스와 주문 처리를 위해 기존 데이터베이스 및 시스템과 연결하는 인터페이스를 만들어야 한다.

1. EDI

(1) 의의

- EDI는 으료비 청구 및 기록, 구매주문서, 청구서, 제품 출시계획 같은 전통적인 종이서류 교환을 대체하였다.

- EDI 시스템 소프트웨어는 애플리케이션 처리위해 시작되거나 종료되는 트랜잭션의 전송, 변환, 저장을 하며, 비지니스의 필요성과 활동에 기반하여 수행하는 기능을 가진 애플리케이션 시스템이다.

(2) EDI프로세스 기능

1. 통신처리기: 전화선 라인, 공중 스위치망, 다중 전용망, 부가가치망(VAN)들 사이에서 제공하는 컴퓨터화된 메시지 교환과 저장능력이 있다.
   부가가치망은 소프트웨어 구성을 돕고, 통신 연결을 개성하고, 데이터 및 컴퓨터 보안, 감사 및 트랜잭션 추적, 손실된 데이터 복그, 서비스 신뢰성 및 가용성 확인 등을 제공한다.
2. EDI 인터페이스: EDI변환기(거래 당사자의 고유포맷 사이에서 데이터 변환), 애플리케이션 인터페이스(전자 트랜잭션 애플리케이션 쪽으로 송수신하면서 데이터 매핑을 수행)
3. 애플리케이션 시스템: 새로운 EDI 인터페이스 통제가 개발되더라도, 현재의 애플리케이션 통제는 변경이 없다면 이에 영향을 받지 않고 사용될 수 있다.

(3) EDI 위험

1. 전자거래에 대한 무단 접근.
2. 애플리케이션 통제가 수립되기 이전 또는 이후에 트랜잭션의 삭제나 조작
3. EDI 전송 손실 혹은 복제
4. 제 3자가 소유한 상태에서 EDI 트랜잭션의 기밀성 손상 및 부적절한 분배

(4) EDI 통제

1. 전송 오류를 방지하기 위해 메시지 포맷과 내용이 유효하다는 것을 나타내는 표준을 설정
2. 통제는 수행중인 트랜잭션, 파일과 보관용 데이터의 조작을 막기 위해 설정되어야 하며, 레코드를 변경하려는 시도는 관리적 검토와 관심사항으로 시스템적으로 기록되어야 한다.
3. 승인된 당사자에게만(부인방지) 메시지 받았는지, 전송은 적절하게 승인되었는지 확인하는 절차 수립
4. 거래 당사자 사이에 전용선 라인 구축
5. 거래 당사자 상호간에 합의한 방법으로 암호화
6. 전자서명은 문서의 송신처와 수신처를 확인하기 위해 전송문서에 포함
7. 메시지 인증 코드는 전송된 어떤 내용을 수신했는지 보장하기 위해 포함

(4-1) 수신(인바운드) 트랜잭션 수령

- 통제는 모든 수신(인바운드) 트랜잭션은 정확하고 완벽하게 수신되고(통신단계), 변환되고(변환단계), 애플리케이션에 전달되며(애플리케이션 인터페이스 단계), 오직 한번 처리되었다는 것을 보장해야 한다.

데이터 검증 편집 및 제어(오류 검출 기법)
합리성검사	입력 데이터가 미리 정의된 합리적인 한계 또는 발생률과 일치하여야 한다.
범위검사	특정필드가 정해진 범위를 벗어나는지 검사
필드검사	특정 데이터의 유형을 체크
재무검사	기록된 정보 필드들의 달러 금액 총합
해쉬합계	컴퓨터 시스템에서 처리되는 데이터 항목들의 해시값을 모두 합산한 값으로, 데이터 처리 후에 데이터의 값들을 다시 계산하고 해시 합계와 비교하여 오류 검출
자체검사수 (Self-Check Digit)	부정확한 번호나 ID(주민번호, 계좌, 신용카드) 검출 시 사용
순서검사	기록된 순서 검증
부호(Sign)검사	적절한 부호의 검증(근무시간은 항상 양수)
유효성(Validity)검사	사전 정확한 값 또는 승인된 값과 비교하여 유효성 체크(급여레코드의 주민번호와 인사부서의 주민번호 일치 비교)
중복(Redunancy) 검사	전송된 데이터를 검사하기 위해 추가적인 데이터 전송(ID분실시 해당 ID가 맞는지 회원등록시 선택한 질문의 답 전송)
완전성 검사	파일은 항상 0이나 공백이 아닌 데이터를 포함해야한다.
에코검사	온라인 시스템에서 전송된 입력값을 재전송하여 기전송된 데이터의 무결성 체크
거래로그	입력활동을 기록하여 입력일자, 입력시간, 사용자 ID, 터미널 번호와 같은 상세 레코드를 작성하여 감사추적 자료로 사용한다.
패리티 페크	전송한 데이터 블록 안에 한 개 이상 에러 점검용 레코드나 메시지를 넣어 총 글자 수를 세거나, 비트패턴을 검사한다. 숫자나 패턴이 미리 정산 기준과 맞지 않으면 수신 장비는 수신한 레코드를 무시하고 사용자에게 재전송하라고 요청한다.
순환중복검사 (CRC)	CRC값을 데이터에 붙여 전송되며, 수신측은 동일 방법으로 수신된 CRC 값과 비교하는 에러 발견 기법, 단일 비트 오류 뿐만 아니라 대부분의 복수 비트 오류를 검출한다.
체크섬	일정 크기의 데이터 합을 일정 수로 나눈 나머지를 사용 (무결성)

오류 정정 기법

해밍코드: 데이터비트에 몇 개의 체크비트가 추가된 코드로 에러비트 위치 파악 및 오류 정정 가능하다.

 

(4-2) 발송(아웃바운드) 트랜잭션

- 발송 EDI 메시지는 승인과 함께 시작되고, 오직 사전에 승인된 트랜잭션 유형만 포함되어야 하며 유효한 거래 파트너에게만 전송된다는 목적을 가지고 있다.