CISA
CISA(Cerfied Information Setems Auditior)는국제공인정보시스템감사사로서 전산화된
정보를 감사할 수 있는 전문가를 말한다. 가장 효과적인 정보 시스템 감사, 통제 및 보안
실무를 적용할 수 있고, 정보 기술 환경에서 특수한 요구들을 인식하고 있는 공인된 전문
가를 말한다.
■ 취득 후 진출분야 선진국의 경우 미국과 유럽의 경우 CISA를 공인회계사와 동일한 수
준에서 정보시스템 감사를 하는 전문가로 인정하고 있으며, 일본은 CISA와 1986년부터
정보처리시술자 시험합격자를 같이 인정하고 있다. 국내의 경우 최근들어 국내기업들도
IT(Information Technology)에 대해 많은 관심을 가지고 있다. 따라서 아직은 CISA 가
대중적인 인식을 가지진 못하고 있지만 머지 않아 공인회계사 만큼의 인기를 얻을
것으로 본다.
현재 국내에는 180여명의 CISA가 있는 것으로 알려져 있다. CISA로 인정되면, 전문적이
고 체계적인수많은 이익을 얻을 수 있다. CISA 자격은 정보시스템 감사의 전문기술을 증명하고, 뛰어난 조직원으로 일할 수 있음을 나타낸다.
이 전문적 기술은 정보 기술의 변화하는 속성상 대단히 가치가 있으며, 가장 효과적인
정보 시스템 감사, 통제 및 보안 실무를 적용할 수 있고, 정보 기술 환경에서 특수한
요구들을 인식하고 있는 공인된 전문가를 고용할 필요가 있을 때 굉장히 유용하다.
응시자격
필기시험에 응시할 때 학력제한은 없다.
그러나 필기시험에 합격한 후 CISA 공인을 받기 위해서는 시험 합격시점을 기준으로
정보시스템 감사, 통제 및 보안 분야에서최소한 5년의 경력이 있어야 한다.
시험 합격시점을 기준으로 경력이부족하더라도, 앞으로 5년 이내에 경력을 충족시켜
공인 신청을 하면 CISA에 임명될 수 있다. 즉 시험 통과 날짜로부터 5년 내에 경력이
충족되지 않으면 필기시험 합격 효용이 상실되므로, CISA 공인을 받기 위해서는 시험에
재응시해야 한다.
정보시스템 감사, 통제, 보호 분야의 경력이 5년에 미치지 못하더라도, 다음의 경력으로
대치할 수 있다.
예를 들어, 4년제 대졸자이면서 회계감사나 정보처리분야의 실무경력이 있는 사람이라면
3년의 경력이 인정되므로, 정보시스템 감사, 통제, 보안 경력이 2년만 있으면 CISA 자격
이부여된다.
- 1년 이상의 정보시스템 운영, 프로그래밍 경력 또는 1년의 회계감사 경력은 정보시스템
감사, 통제, 보안 경력 1년으로 인정한다.(1년 이상은 인정되지 않는다)
-전문대학 졸업자는 1년, 학사자격자는 2년의 정보시스템 감사,통제,보안 경력으로
인정한다.
- 관련분야(전산과학, 회계, 정보처리감사 등)에서의 대학 전임강사 경력은
2년마다 정보시스템감사, 통제, 보안 경력 1년으로 인정한다.
이 모든 경력은 시험응시일 전 10년 이내 또는 최초의 합격일로부터 5년 이내의 것으로
해야 하며 고용주에게 개별적으로 경력확인서를 발급 받아 제출하는 방법으로 경력을 입증한다.
■ 검정방법
시험범위 : 1 process + 6 contents (2001년도부터 변경된 시험범위 적용)
시험언어 : 한글, 영어, 독어, 불어, 스페인어, 헤브루어, 네덜란드어, 이태리어, 일본어
중에서 선택
출제형식 : 객관식 200문제. 4지선단
시험시간 : 4시간
■ 합격기준
비례점수 방식으로 계산하여 75점 이상이면 합격.
(최하점을 0점, 최고점을 99점으로 계산하여 75%이상)
■ 시험과목
CISA시험은 별도의 과목이 지정되어 있지 않으며 다음과 같은 5개 도메인으로 구성된다.
시험의 출제 유형은 이론에 그치지 않고 실무경험을 통해 배울 수 있는 지식과 기술, 지식
과 실무경험의 기술을 포괄적으로 응용하는 문제들이 두루 나온다.
각 도메인에 표시된 퍼센트는 총 200문항 중에 해당 도메인에서 출제되는 문제의 비율이
다. CISA시험은 전세계적으로 실시되는 국제자격시험이기 때문에 개개인의 인식이나
경험이 세계적인 위치나 환경과 일치하지 않을 수도 있다는 점을 인식해야 한다.
도메인 1(8%)
정보시스템 감사 표준과 실무, 정보 시스템 보안, 통제 실무(Information Systems Audit
Standards and Practices and Information Systems Security and Control
Practices) 일반적으로 받아들여지는 정보시스템 감사 표준, 규정, 실무와 정보시스템
보안, 통제 실무
도메인 2 (15%)
정보 시스템 조직과 관리(InformationSystems Organization and Management), 정보
시스템(IS)의 전략, 정책, 절차, 관리 실무, 조직 구조에 대한 분석·평가
도메인 3 (22%)
정보 시스템 프로세스(Information Systems Process), 하드웨어, 소프트웨어 플랫폼, 네트워크, 원거리 통신 하부구조 운용 실무, IS 자원 사용, 비즈니스 프로세스에 대한
분석과 평가
도메인 4(29%)
정보 시스템 무결성, 기밀성, 가용성(Information Systems Integrity, Confidentiality, and
Availability), 논리적, 물리적, 환경적, 데이터 가용성, 처리 및 균형 통제, 사업 연속성
계획, 테스트 절차에 대한 분석과 평가
도메인 5(26%)
정보 시스템(IS) 소프트웨어 개발, 구입, 유지보수(Information Systems Software
Development,Acquisition, and maintenance)에 대한 분석과 평가
■ 공인후의 자격유지
CISA 등록 후에는 계속적인 교육을 받아야 CISA 자격을 유지할 수 있다.
매년 최소 20 시간, 3년간 최소 120시간 이상의 계속 교육(CPE) 필요하다.
국제 정보시스템 감사 통제 협회(ISACA)의 CISA들은 자격을 계속 유지하기 위하여 매년
감사통제분야에서 활동한 결과를 인정받아야 한다.
인정되는 할동을 시간으로 계산하는데 이것을 color=#8a213a>CPE
(Continuing Professional Education)color=#8a213a> 시간이라고 한다.
CPE 시간은 국내외에서 교육을 받는 방법 외에도 논문, 출판, 강연, 협회활동에 참여
등 다양한 방법으로 충족할 수 있으며, CISA 자격을 받게 되면 CPE를 획득하기 위한
자세한 안내 책자를 받게 된다.
CISSP
가.CISSP(Certified Information System Security Professional)
미국 컴퓨터보안위원회(CSI), 캐나다 정보처리협회(CIPS) 등 미국과 캐나다의
보안관련 단체들이 1989년에 컨소시엄을 형성하여 설립한 참여한 ISC2
(International Information Systems Security Certification Consortium)의
국제적인 정보보호 전문가 자격증. 현재 국제적으로 공인되는 정보보호에 관한
자격증 제도로는 CISA(Certified Information System Auditor)와
CISSP(Certified Information System Security Professional)이 있으며 CISA는
1987년도에 우리나라에 도입되었으나 CISSP은 2000년도에 국내에 처음으로 도입된
제도로써 전세계적으로 널리 확산되고 있는 제도임.
시험 안내
가.시험안내
1. 응시자격?:정보보호와 관련된 업무경력 3년이상
(10개 도메인중 하나이상의 도메인경력 총 3년 이상)
2. 총 문항수 : 250문제 (언어: 영어+한글)
3. 문제 유형 : 객관식(Multiple Choice)
4. 시험 비용 : $499
5. 시험 시간 : 6시간
6. 시험 일정 : 정확한 시험일정 확인은 (http://www.isc2.org/cgi/exam_schedule.cgi)
7. 합격 점수 : 평균 70점 이상
8. 합격률 : 세계 평균 합격률은 30% 정도
9. 합격 발표 : 시험일로부터 약 10주 후에, 시험 성적표가 수험생에게 우편 배달
나.취득후 진출분야 및 혜택
▲ 국가사회의 중요한 정보시스템과 정보자산 보호를 위한 전문가 필요
▲ 지식정보사회의 중요정보 거래에 대한 품질보증 전문가 필요
▲ 날이갈수록 지능화, 악성화, 국제화 되고 있는 사이버범죄 억제를 위한 전문가 필요
▲ IT 및 정보보호 전문성의 사회적 국가적 공인으로 전문인력 배양을 촉진
▲ 국가의 경쟁력 확보를 위한 국제 공인정보보호 전문가 육성 필요
▲ 자격증 취득자의 폭넓은 직업선택과 승진등의 기회확대
시험 구성 영역
▲ 시스템 접근통제 및 방법론 ( Access Control Systems & Methodology )
▲ 통신망 및 네트워크 보안 (Telecommunications, Network & Internet Security )
▲ 보안 관리 ( Security Management Practices )
▲ 물리적 보안 ( Physical Security )
▲ 응용프로그램 및 시스템 개발 ( Applications & Systems Development )
▲ 암호학 ( Cryptography )
▲ 보안 아키텍쳐 및 모델 (Security Architecture & Models )
▲ 시스템 운영 보안 ( Operations Security )
▲ 사업지속계획 및 비상복구계획 ( Business Continuity Planning )
▲ 관련 법률·사고조사기법·윤리 ( Law, Investigation & Ethics )
CISSP 현황
현재 미국을 중심으로 세계 33개 국 에서 활동 중인 CISSP는 4000여명에 이르고 있고
국내에서도 1995년 첫 CISSP 취득자를 필두로 점점 더 많은 CISSP들이 배출되고 있다.
정보시스템과 정보자산 보호를 위한 전문가는 이제 세계 어디, 어느 분야에서나 반드시
필요한 인재로 자리잡게 됐다. 날이 갈수록 지능화·악성화·국제화하고 있는 사이버