CISA 기출 문제

Domain

[D1*1] 내부 통제가 확실하다고 판단될 때 감사인이 취할 수 있는 감사 절차는 무엇인가 ?

A. 준거성 테스트를 하지 않고 실증 테스트도 약화한다 .

B. 준거성 테스트를 하지 않고 실증 테스트만 강화한다 .

C. 준거성 테스트를 수행하고 실증 테스트를 약화한다 .

D. 준거성 테스트를 수행하고 실증 테스트도 강화한다 .

답 C. 본 문제의 답안은 다소 단순화되어 있지만 , 정답을 고르는 것은 그다지 어렵지 않다 . 내부 통제를 평가한 결과 통제가 효과적으로 설계되었다고 판단될 경우 , 감사인이 다음으로 취해야 할 절차는 통제가 규정대로 운영되고 있는지 테스트하는 것이다 . 이러한 준거성 테스트를 수행한 결과 통제 절차가 적절히 적용되고 있다면 실증 테스트는 약화시킬 수 있다 .

 

[D1*2] 내부 통제가 효과적으로 설계되지 않았으며 적절한 보완 통제도 없다고 판단될 때 감사인이 취할 수 있는 감사 절차는 무엇인가 ?

A. 준거성 테스트를 하지 않고 실증 테스트도 약화한다 .

B. 준거성 테스트를 하지 않고 실증 테스트만 강화한다 .

C. 준거성 테스트를 수행하고 실증 테스트를 약화한다 .

D. 준거성 테스트를 수행하고 실증 테스트도 강화한다 .

답 B. 통제 평가 결과 내부 통제 설계가 적절하지 않다고 판단된다면 , 감사인은 보완 통제가 있는지를 판단해야 한다 . 적절한 보완 통제가 있다면 준거성 테스트를 수행하고 그 결과에 따라 실증 테스트의 성격 (nature) 과 시점 (timing) 과 범위 (scope) 를 결정하게 된다 . 그러나 , 적절한 보완 통제가 없다면 준거성 테스트는 수행하지 않으며 , 곧바로 심도 깊은 실증 테스트를 수행하게 된다 .

 

[D1*3] 다음 중 기업 지배 (corporate governance) 감사와 관련한 설명으로서 옳지 않은 것은 ?

A. 기업 지배에 대한 보고를 위해서는 조직의 최상위 수준에서 감사를 수행해야 한다 .

B. 특정 부서에만 국한하여 감사를 수행해야만 감사가 효과적으로 진행될 수 있다 .

C. 감사 계약서 혹은 감사 헌장에는 감사의 범위에 정보시스템과 기술에 대한 기업 지배가 포함된다는 점을 명기해야 한다 .

D. 감사 계약서 혹은 감사 헌장에는 도출된 현안들을 보고할 체계가 명시되어야 한다 .

답 B. “ 기업 지배 ” 란 “ 기업을 지시하고 통제하는 시스템 ” 으로서 이사회 (BOD: Board of Directors) 가 이에 대한 책임을 가진다 . 기업 지배라는 용어는 내부 통제와 유사한 의미를 가지지만 일반적으로 보다 상위의 개념으로 사용된다 . 기업 지배에 대한 감사는 조직의 최상위 수준에서 수행되며 여러 부서에 걸쳐 수행되게 된다 (A). 그리고 감사 헌장이나 감사 계약서에 정보시스템과 기술에 대한 기업 지배가 포함된다는 점 (C) 과 감사 과정에서 도출된 현안들이 어떠한 보고 체계에 따라 보고될 것인지를 명시해야 한다 (D).

 

[D1*4] 당신은 IS 감사인으로서 기업 지배 (corporate governance) 에 대한 감사에 참여해야 한다 . 다음의 설명 중 옳지 않은 것은 무엇인가 ?

A. 기업 지배 구조에 대한 전반적인 정보를 얻기 위해서는 기업이 채택하고 있는 통제 프레임웍과 기업의 IS 전략이 무엇인지 파악해야 한다 .

B. IS 감사인은 이사회의 이사들과 효과적으로 면담하고 그들에게 보고할 수 있을 만큼의 직급과 경험을 갖춘 사람이 감사에 참여할 수 있도록 주의해야 한다 .

C. 기업 지배 감사의 범위는 먼저 어떠한 업무 프로세스를 대상으로 하며 어떤 IT 자원들을 포함하느냐에 따라 결정된다 .

D. 기업 지배 감사의 목적은 감사 헌장이나 감사 계약서에 선언적으로 명기되어야 할 사항으로서 감사가 착수되기 전에 구체적으로 도출되어 있어야 한다 .

답 D. 감사 목적은 감사 보고서에 포함되어야 할 내용 , 감사 의뢰인의 요구 및 보고서가 제출되는 기관의 범위에 따라 결정된다 . 그러므로 , 감사 목적을 감사 헌장이나 감사 계약서에 기술할 수는 없다 .

 

[D1*5] 다음 중 감사 자원을 효율적으로 활용하기 위한 방안이 아닌 것은 무엇인가 ?

A. 중요한 감사 계약에 대해서만 일정 관리를 한다 .

B. 분석적 검토 절차를 효과적으로 활용한다 .

C. 적절한 샘플링 기법을 활용한다 .

D. 중요성 개념 및 위험 기반 감사 접근법을 채택한다 .

답 A. 중요한 감사 업무에 더 많은 자원을 투여하는 것은 분명히 자원을 효율적으로 활용하는 방안이다 . 그러나 그렇다고 해서 중요성이 떨어진다고 해서 일정 관리 자체를 누락해서는 안 된다 . 한편 , 유능한 감사인일 수록 분석적 검토를 효과적으로 활용한다는 말이 있다 . 분석적 검토 절차는 상세 테스트와 조사를 해야 할 부문을 식별할 수 있게 해 주기 때문에 자원을 효율적으로 활용하는데 도움을 준다 (B). 샘플링 기법 역시 한정된 감사 자원을 효율적으로 활용하는데 도움을 준다 (C). 또한 위험이 큰 자산에 더 많은 자원을 투입하고 중요하지 않은 사실에 대해 지나치게 관심을 두지 않은 것 역시 감사 자원 활용의 효율성과 관련이 있다 (D).

 

Domain

[D2*1] 5 명만으로 구성된 IS 부서에서 운영자가 DBA, 보안 관리 , 응용 프로그래밍의 업무까지 맡고 있을 때 감사자가 권고해야 할 사항은 ?

A. 추가 인원을 채용해서 기능을 분리해야 한다 .

B. 운영자에 의한 변경이 반드시 승인 절차를 거치고 추적되도록 해야 한다 .

C. 운영자가 응용을 수정할 수 있는 권한을 제한해야 한다 .

D. DBA 의 역할만은 운영자와 분리해야 한다 .

답 B. 조직이 업무 분장의 원칙을 위배하는 것은 업무의 효율성을 위한 것인 경우도 있지만 조직 자원의 부족 때문일 수도 있다 . 이 문제에서는 IS 부서의 인원이 5 명이라고 설명함으로써 , 업무 분장이 철저히 이루어지고 있지 않은 이유가 후자 부족 때문이라는 점을 암시하고 있다 . 이러한 상황에서는 감사인도 엄격한 업무 분장을 무리하게 요구할 수 없으며 (A), 결과적으로 큰 차이가 없는 수정안을 제안하는 것도 의미가 없다 (C, D). 대신 업무 분장의 미흡으로 인한 통제 약점을 보완할 수 있는 보완 통제를 권고하는 것이 바람직하다 . 업무 분장의 목적이 승인받지 받지 않은 프로그램 변경이나 데이터의 조작을 막기 위한 것이므로 , 운영자에 의한 모든 변경 사항들을 사전에 승인하고 그 내용을 추적할 수 있는 방안을 수립하도록 권고하는 것이 이 문제에서는 최선책이다 .

 

[D2*2] 다음 중 IS 전략 계획서에 일반적으로 포함될 내용은 무엇인가 ?

A. 프로젝트에 대한 설명

B. IS 개발 일정

C. 조직의 사명과 목표

D. IS 예산

답 C. IS 전략을 수립할 때에는 조직의 전략을 참조해야 한다 . 조직의 사명과 목표가 무엇이며 조직의 전략을 지원하기 위한 IT 이니셔티브를 식별하는 것이 필요하다 . 이러한 내용들이 바로 IS 전략 즉 IT 전략에 포함되어야 한다 . A, B, D 의 사항들은 IS 운영 계획에 일반적으로 포함되어야 할 내용이다 .

 

[D2*3] “( 주 ) 주시오 ” 는 주요 IS 서비스를 외주 용역 업체인 “( 주 ) 주리라 ” 로부터 공급받고 있다 . 해당 IS 서비스의 지속성을 유지 관리해야 할 궁극적인 책임은 누구에게 있는가 ?

A. ( 주 ) 주리라의 경영진

B. ( 주 ) 주리라의 영업 부장

C. ( 주 ) 주시오의 경영진

D. ( 주 ) 주시오의 IS 부장

답 C. 외주 용역의 지속성 확보를 위해 법적 불확실성과 영업 지속성의 개념 측면에서 외주업체의 경영 위험을 판단해야 할 책임은 ( 주 ) 주시오의 경영진에게 있다 . 그는 외주 용역 업체의 경영 위험을 평가하고 필요한 경우 에스크로 (escrow) 계약을 체결해야 한다 .

 

[D2*4] 외주 용역 업체를 선정한 후 , 계약서에 서명하기 바로 직전에 자사에 유리하도록 하기 위해 밟을 수 있는 과정은 ?

A. 계약 조건과 가격을 협상한다 .

B. 대체 공급 업체의 공급 가격과 조건을 조사한다 .

C. 법률 고문으로 하여금 계약서 초안을 작성하게 한다 .

D. 계약서에 누락된 사항이 없는지 확인한다 .

답 A. 이 문제에서는 외주 용역 업체가 이미 선정되었고 계약서도 이미 작성된 상태이다 . 단지 이제 서명만 하면 된다 . 이러한 상황에서 자사에 유리하게 계약을 체결하기 위해서는 부수적인 계약 조건이나 가격을 협상하는 것이다 . 단 , 계약의 골격 자체를 변경해야만 하는 사항에 대한 협상은 여기에 포함되지는 않는다 . 대체 공급 업체에 대한 조건은 외주 용역 업체를 선정하는 과정에서 이미 검토가 되었어야 한다 (B). 법률 고문이 계약서의 초안을 작성하는 것도 이미 이루어진 프로세스이다 (C). 계약서에 누락된 사항이 없는지를 확인하는 것은 계약 전에 충분히 검토해야 할 사항이기는 하지만 , 반드시 계약을 유리하게 체결하기 위한 것만은 아니다 .

 

[D2*5] 다음은 업무 분장 및 역할 정의에 대한 설명이다 . 올바르지 않은 것은 ?

A. LAN 관리자는 LAN 에 대한 기술적인 통제만을 한다 .

B. 보안 관리자는 보안 위반 사항을 감시하고 교정 조치를 수행한다 .

C. 시스템 프로그래머는 운영 체제를 포함하여 시스템 소프트웨어를 유지 관리한다 .

D. 헬프 데스크 관리자는 시스템 성능을 감시하고 개선하며 통제한다 .

답 A. LAN 관리자는 LAN 에 대한 기술적 통제뿐만이 아니라 행정적 통제도 하게 된다 . 다시 말해 , 전송 링크가 올바로 기능을 발휘하며 , 시스템 백업이 이루어지고 있는가 하는 기술적인 측면뿐만이 아니라 , 소프트웨어와 하드웨어의 구매가 승인을 받아 적절히 설치되고 있는 지와 같은 행정적인 부면도 확인해야 한다 .

 

[D2*6] ( 주 ) 쪼맨한은 IS 인력 부족으로 인해 운영자에게 다른 역할을 겸임하게 하려고 한다 . 가장 무방한 역할은 무엇인가 ?

A. 어플리케이션 프로그래머

B. 데이터베이스 관리자

C. 테이프 라이브러리안

D. 시스템 프로그래머

답 C. 본 문제에서 운영자가 겸임해도 무방한 역할은 테이프 라이브러리안이다 .

<7-9> 한 IS 감사인이 ( 주 ) 나가자의 IS 부서에 대한 BPR 수행 결과를 감사한 후 , 다음과 같은 평가를 내렸다 . 먼저 조직내의 목표 의식이 없다 . 업무 분장은 잘 되어 있는 편이지만 몇몇 경우에는 약점이 발견되었는데 , 예를 들어 , 운영자가 프로그래밍 기능을 겸임하고 있다 . 또한 시스템 관리 방안도 효율적이지 못하다 .

 

[D2*7] 이와 같은 상황에서 가장 근본적이며 선행적인 해결책은 무엇인가 ?

A. 인센티브 제도를 수행한다 .

B. 인사 개편을 통해 업무 분장상의 약점을 개선한다 .

C. IS 전략 계획을 수립한다 .

D. 외부 용역을 통해 시스템 관리의 효율성을 향상시킨다 .

답 C. 이러한 상황에서는 당연히 (1) IS 부서의 목표 의식을 제고하고 (2) 업무 분장의 약점을 보완하며 (3) 시스템 관리의 효율성을 향상시킬 수 있는 방안들이 수립되어야 한다 . 그러나 (2) 와 (3) 은 전술적 혹은 운영적인 차원에서 해결 가능하다 (B, D). 보다 근본적이고 선행적인 조치는 IS 부서의 목표 의식을 제고하는 것인데 이는 전략적인 접근이 필요하다 . 사실 나머지 문제들의 해결 방향도 궁극적으로는 IS 전략과 일관성이 있어야 하기 때문이다 . A 의 인센티브 제도는 단기적인 효과를 얻어낼 수 있을지는 모르지만 근본적인 문제는 해결되지 않는다 .

 

[D2*8] 전술한 상황을 방치하였을 때 , ( 주 ) 나가자에 발생할 수 있는 단기적인 문제점은 무엇인가 ?

A. 기업 수익의 감소

B. IS 직원 이직율의 증가

C. IS 서비스의 실패

D. IS 서비스의 중단

답 C. 이 문제는 BPR 의 결과가 부적절하였을 때 어떠한 단기적인 문제점이 발생할 수 있는지를 묻고 있다 . 이 문제는 특정한 사실 하나에만 근거하여 대답할 수 없으며 , 발견된 약점들을 복합적으로 고려하여 가장 보편 타당한 답을 선택해야 할 것으로 보인다 . BPR 이 일차적으로 IS 부서에 대해 수행된 것이므로 단기적인 영향은 IS 부서에 국한하여 예상하는 것이 논리적일 것이다 . 목표 의식의 부재는 IS 서비스가 기업의 목표를 지원하지 못하는 문제를 낳을 것이고 , 업무 분장의 부적절성과 시스템 관리의 비효율은 IS 서비스의 효과와 효율의 저하를 가져 올 것이다 . 이러한 상황을 가장 잘 묘사한 것은 C 이다 . 기업 수익의 감소는 발생할 수도 있겠지만 , 다소 논리가 비약되었으며 파급 효과가 지나치게 전사적이다 (A). 이직율의 증가는 예상할 수 있는 현상들 중에서는 국지적인 것이다 (B). IS 서비스의 중단은 장기적으로 발생 가능한 문제점이다 (D).

 

[D2*9] 전술한 상황을 방치하였을 때 , ( 주 ) 나가자에 발생할 수 있는 장기적인 문제점은 무엇인가 ?

A. 사업 연속성의 심각한 위협

B. IS 직원 이직율의 증가

C. IS 서비스의 실패

D. IS 서비스의 중단

답 D. IS 서비스의 실패가 장기화되면 결국 IS 서비스 자체가 무용화될 것이다 . 그러므로 D 가 가장 합리적인 대답이다 . 나머지도 발생 가능한 현상들이지만 B 와 C 는 D 에 포함된다 . A 의 상황도 예상할 수는 있지만 , 이러한 문제점은 ( 주 ) 나가자가 IS 서비스에 의존하는 정도가 얼마나 되느냐에 따라 발생 가능성이 달라진다 . 또한 IS 서비스가 중단되었는데도 여전히 문제를 방치한다면 발생하게될 가장 극단적인 상황이다 . 그렇게 본다면 D 가 가장 합리적으로 예상할 수 있는 장기적인 문제점이다 .

 

[D2*10] 다음 중 BPR 에 대한 설명으로서 옳지 않은 것은 ?

A. BPR 의 프로젝트의 핵심 성공 요인은 검토 대상 영역을 명확히 정의하고 프로젝트 계획을 개발하는데 있다 .

B. IS 감사인은 사라진 프로세스의 통제가 아니라 새로 수립된 업무 프로세스에 대한 핵심 통제에 관심을 가져야 된다 .

C. 새로운 프로세스를 실행하고 모니터하며 이를 지속적으로 향상시킬 책임은 경영진에게 있다 .

D. BPR 이 성공하기 위해서는 검토 대상 프로세스를 정확히 이해한 후 이를 재설계하는데 있다 .

 

답 B. BPR 프로젝트에서 일반적으로 나타나는 현상은 존재하던 통제 절차가 사라지고 새로운 통제 절차가 수립되는 것이다 . 이때 IS 감사인은 새로 수립된 통제 절차를 평가하는 것은 물론이고 사라진 통제 절차에 대한 영향을 평가해야 한다 . 필수적인 통제 절차가 제거되었을 경우 보완 통제가 있는지 확인해야 하며 , 잠재적인 위험성을 경영진에게 보고해야 한다 .

[D2*11] ISO 9000 인증을 받은 업체에 대한 감사를 요청받았다 . 다음 중 감사를 수행할 때 가장 올바른 접근 방법은 무엇인가 ?

A. IS 개발 과정에 ISO 9000 의 품질관리 표준을 적용되고 있는가 ?

B. ISO 9000 이 제시하고 있는 SDLC 표준에 따라 시스템이 개발되고 있는가 ?

C. 사용자의 관점에서 시스템의 품질이 평가되고 있는가 ?

D. SDLC 전 과정에서 품질 특성별로 품질 평가가 이루어지고 있는가 ?

답 A. 제품의 품질을 확보하기 위한 품질관리 접근법에는 두 가지가 있다 . 하나는 제품 개발 과정에 대한 보증 (ISO 9000) 에 초점을 맞추는 방법과 최종 제품의 품질을 평가 (ISO 9126) 하는 방법이다 . ISO 9000 은 품질 관리 시스템에 대한 국제적인 표준으로서 SDLC 전 과정에서 이 프로그램이 적용되었는지를 IS 감사인은 검토해야 한다 . ISO 9000 은 표준 개발 방법론을 제시하지는 않는다 (B). 나머지 C 와 D 는 ISO 9126 의 접근법이다 .

 

[D2*12] 다음 중 겸임해도 무방한 역할의 조합은 무엇인가 ?

A. 보안 관리와 IS 감사

B. 시스템 개발과 시스템 운영

C. 시스템 개발과 품질 보증

D. 품질 보증과 보안 관리

답 D. 겸임 가능한 역할은 찾는 것보다는 겸임 불가능한 역할을 찾는 것이 일반적으로 보다 명확하다 . 이 문제도 겸임해서는 안 되는 역할을 지워나가는 방식으로 답을 찾아야 한다 . 먼저 IS 감사인은 개발은 물론 유지보수 업무로부터 독립적이어야 하므로 A 는 답이 아니다 . 시스템 개발과 운영은 상극의 역할로서 업무 분장이 잘못된 전형적인 경우이다 (B). 품질 보증은 시스템 개발 과정으로부터 독립적이어야 하므로 C 도 답이 아니다 . 결국 남는 것은 품질 보증과 보안 관리인데 , 이 두 기능은 개발 프로세스 및 운영 업무를 직접적으로 담당하고 있지 않기 때문에 겸임해도 무방하다 .

 

[D2*13] 다음 중 겸임해도 무방한 역할의 조합은 무엇인가 ?

A. DBA 와 응용 프로그래밍

B. 시스템 개발과 유지보수

C. 시스템 분석과 시스템 운영

D. 응용 프로그래밍과 시스템 프로그래밍

답 B. 이 문제도 겸임해서는 안 되는 역할을 지워나간다면 , 먼저 DBA 는 시스템 개발에 참여해서 안 된다 (A). 시스템 분석은 응용 프로그래밍 기능과 거의 동일한 업무 분장의 원칙이 적용된다 . 그러므로 시스템 운영의 역할을 겸할 수 없다 (C). 응용 프로그래밍과 시스템 프로그래밍은 서로 양립할 수 없는 역할들이다 (D). 시스템 개발과 유지보수는 시스템 분석가와 프로그래머가 일반적으로 수행해야 하는 역할이다 .

 

[D2*14] IS 조직 운영의 효과성과 효율성을 측정하는 방법으로서 유사 정보 처리 설비 환경에 있는 타 조직과의 성과 수준과 비교하는 접근법을 무엇이라고 하는가 ?

A. 목표 달성도 평가

B. 예실 분석

C. 사용자 및 종업원 만족도 평가

D. 벤치마킹

답 D. 국제 표준이나 타 업계의 성과와 비교 평가하여 조직성과의 목표치를 설정하고 이를 관리하는 접근법은 벤치마킹기법이다 .

 

Domain

[D3*1] 수신지에서 수신된 전송 데이터를 다시 발신지로 보낸 후 , 그 내용을 원시 데이터와 비교하여 통신 회선의 오류를 탐지하는 통제는 무엇인가 ?

A. Read-after-write

B. 패리티 체크

C. 에코 체크

D. 중복성 체크

답 C. 에코 체크에 대한 정의이다 . Read-after-write 는 특정한 데이터를 write 한 후 , 다시 read 하여 그 내용이 원래 write 한 내용과 동일한지를 검토하여 하드웨어를 점검하는 하드웨어 통제이다 (A).

 

[D3*2] 데이터를 전송하면서 “ 중복성 체크 비트들 (redundancy check bits)” 을 추가함으로써 달성할 수 있는 통제 목적은 ?

A. 전송 오류를 탐지한다 .

B. 전송 오류를 교정한다 .

C. 입력 오류를 탐지한다 .

D. 입력 오류를 교정한다 .

답 A. 중복성 체크 (Redundancy check) 는 순환 중복성 체크 (CRC: cyclic redundancy check) 라고도 불리는 기법이다 . 이 기법은 프레임이라 불리는 데이터 블록을 보호하는데 사용된다 . 이 기법을 사용하면 트랜스미터는 각각의 프레임에 FCS(Frame Check Sequence) 라고 불리는 가외의 비트 열을 추가시킨다 . FCS 에는 트랜스미터가 프레임에 오류가 있는지 탐지하는데 도움을 주는 중복 정보들이 담겨 있다 . CRC 는 (1) 오류 탐지율이 높고 (2) 오버헤드가 적으며 (3) 알고리즘 구현이 용이하기 때문에 , 데이터 통신상의 오류를 탐지하는데 널리 사용되는 기법이다 .

 

[D3*3] 다음 중 데이터베이스를 재조직 (reorganization) 하는 목적으로서 적절한 것은 ?

A. 복구 및 재시작 절차

B. 연결 및 검색 속도의 향상

C. 인덱스의 재구성

D. 데이터 무결성의 유지

답 B. 데이터베이스 재조직은 윈도우즈 프로그램에서 “ 하드디스크 조각 모음 ” 기능과 유사하다 . 재조직은 사용 중인 레코드들 사이에 사용하지 않는 공간을 지운다 . 재조직은 물리적 순서를 논리적 순서와 같거나 거의 같도록 하는 방법으로 레코드를 배열할 수 있다 . 이는 데이터베이스의 연결 (connection) 및 검색 속도를 향상시켜 준다 .

 

[D3*4] 이미지 처리 시스템에서 스캔한 이미지의 저장소로 적합한 것은 ?

A. Sequential tape device

B. Hard disk

C. WORM(Write Once, Read Many) drive

D. RAM(Random Access Memory)

답 C. 이미지 정보는 광학 디스크 저장장치 (optical disk storage) 에 저장하는 것이 저장이나 검색의 효율을 극대화시키는 방법이다 . 광학 디스크 저장장치의 표준은 크게 WORM(Write Once, Read Many) 와 MO(Magneto-Optical) 이 있다 .

 

[D3*5] 한 기업에서는 사원들이 인트라넷에 연결하여 업무를 수행하고 있다 . 최근에 들어서 바이러스에 문제가 대두되고 있는데 바이러스 확산을 방지하는 방법으로서 가장 적절한 것은 ?

A. 사용자들이 게시판에 업로드하는 것을 막고 공유 자원을 사용하지 않는다 .

B. 메일 또는 파일의 업로드할 때 이를 미리 검사한다 .

C. 모든 하드디스크를 정기적으로 검사한다 .

D. 바이러스 방지 소프트웨어를 공유 서버에 설치한다 .

답 D. 바이러스 방지 소프트웨어를 공유 서버에 설치하는 것이 가장 좋다 . 게시판에 프로그램이나 데이터를 업로드하는 것을 막는 것이 바이러스 확산을 방지할 수는 있지만 이는 인트라넷 사용 목적과 배치된다 (A). 바이러스 파일을 업로드하는 것은 고의적인 행위이므로 , 업로드할 때 메일이나 파일을 검사하게 하는 것은 무의미한 통제절차이다 (B). 하드디스크에 대한 정기적인 검사는 바이러스가 이미 유포된 이후에야 바이러스를 탐지하게 될 수 있다 (C).

 

[D3*6] 방화벽을 통해 예방할 수 없는 것은 ?

A. 주소 기반 텔넷 (telnet) 접근

B. 내부 사용자의 외부 IP 스푸핑

C. 주소 기반 FTP 접근

D. 서버의 서비스 거부

답 B. 방화벽은 시큐어 네트워크에 대한 외부인의 공격은 예방할 수 있지만 , 시큐어 네트워크 내부에 있는 사용자의 범죄나 공격은 예방할 수 없다 . 이는 강력한 인증 절차를 통해 예방할 수 있다 .

 

[D3*7] 백본 네트워크 (Backbone network) 의 핵심 통제 대상은 다음 중 무엇인가 ?

A. Hub

B. Switch

C. Bridge

D. Backbone cable

답 B. 백본 네트워크는 데이터를 초고속으로 전송하는 인터넷의 중추로서 교환 (switch) 이 중요한 통제 대상이다 . 허브 (A) 는 LAN 에 포함된 장비들간의 연결에 중요하며 , 브리지 (C) 는 LAN 과 LAN 을 연결하는데 중요하다 . 하지만 , 백본 네트워크와 직접 연결되지는 않는다 . 백본 케이블 역시 중요하지만 , 물리적인 공격을 받지 않는 이상 , 교환 기능보다는 보다 안정적이다 (D).

 

[D3*8] Anonymous FTP 의 경우 발생할 수 있는 위험이 아닌 것은 ?

A. 히든 디렉토리와 같은 영역 (area) 에 자료를 자유로이 저장하고 검색할 수 있다 .

B. 로그온 ID 나 패스워드가 없는 사람들도 자유로이 데이터를 전송받을 수 있다 .

C. 침입자가 승인 받지 않은 프로세스를 실행 수 있도록 서버의 구성을 변조할 수 있다 .

D. 불법 소프트웨어의 배포 창구로 오용됨에 따라 서비스 거부가 발생할 수 있다 .

답 B. 미리 부여받은 계정 없이도 “guest" 로 등록하여 데이터를 전송 받는 Anonymous FTP 의 원래의 목적이다 .

 

[D3*9] 다음 중 비동기 전송 방식 (ATM) 에 대한 설명으로서 틀린 것은 ?

A. 일정한 길이의 패킷을 사용한다 .

B. 대역폭에 대한 증가하는 수요를 충족시켜 준다 .

C. 광역 통신으로부터 데스크탑까지 모두 유용하다 .

D. ATM 은 데이터 전송 품질을 보증한다 .

답 C. ATM 기술은 광역 통신망 , 전사 및 지역 망 등에 유용하다 . ATM 을 데스크탑에 적용하기에는 아직 적절하지 않은 상태이다 .

 

[D3*10] 전송 데이터와 저장 데이터를 암호화함으로써 공통적으로 예방할 수 있는 공격으로서 가장 적절한 것은 ?

A. 조작 (manipulation)

B. 삭제 (deletion)

C. 가로채기 (interception)

D. 보기 (viewing)

답 A. 암호화는 승인받지 않은 조작으로부터 데이터를 보호한다 . 가로채기에 대한 예방는 전송 데이터를 암호화함으로써 얻는 효익이다 (C). 보는 것의 방지는 저장 데이터를 암호화함으로써 얻어진다 (D). 데이터는 암호화되더라도 삭제시킬 수 있다 (B).

 

[D3*11] 대칭 크립토시스템에 대한 설명으로서 틀린 것은 ?

A. 대표적으로 DES(Dasta Encryption Standards) 가 있다 .

B. 동일한 키로 암호화하고 복호화한다 .

C. 암호화의 강도는 사용된 키의 비트 수와 비례한다 .

D. 비대칭 크립토시스템보다 계산이 비효율적이다 .

답 D. 대칭 크립토시스템이 비대칭 크립토시스템보다 계산이 효율적이다 .

 

[D3*12] 비대칭 크립토시스템에 대한 설명으로서 옳지 않은 것은 ?

A. 송신자가 전용키를 쓰고 수신자가 공용키를 쓰면 인증이다 .

B. 송신자가 공용키를 쓰고 수신자가 전용키를 쓰면 기밀이 유지된다 .

C. 대칭 크립토시스템보다 계산이 복잡하고 비용이 많이 든다 .

D. 공용키는 정해진 시간에 전자 메일로 일괄 배포하는 것이 보안에 필수적이다 .

답 D. 공용키는 믿을 만한 제 3 자나 인증 기관을 통해 배포하는 것이 안전하다 . 전자적으로 배포하는 것은 대단히 위험하다 .

 

[D3*13] 한 사용자가 개인 용도로 컴퓨터 기기를 사용하는 것을 적발하였을 때 , IS 감사인이 취해야 할 조치는 무엇인가 ?

A. 감사 관리자와 의논한 뒤 , 해당 직원의 직속 상관에게 보고한다 .

B. 감사 관리자와 의논한 뒤 , 해당 직원의 총 책임자에게 보고한다 .

C. 해당 직원의 직속 상관에게 보고하여 징계를 받게 한다 .

D. 해당 직원의 총 책임자에게 보고하여 징계를 받게 한다 .

답 A. 한 사용자가 개인 용도로 컴퓨터 기기를 사용하는 것은 상황에 따라 심각한 절도 행위가 될 수도 있다 . 만약 그러한 발견 사항이 중요하다고 판단되어 회사에 이를 보고해야 한다면 , 감사인은 먼저 자신의 감사 관리자와 의논하는 것이 필요하다 . 그리고 , 이에 대해 보고할 때에도 관련 직원의 직속 상관에게 보고해야 한다 . 심지어 부정이나 사기 행위가 발견되었다 하더라도 직속 상관에게 먼저 보고하는 것이 필요하다 .

 

[D3*14] 도청의 위험이 가장 없는 전송 매체는 ?

A. 위성 통신

B. 동축 케이블

C. 꼬임 쌍선

D. 광 케이블

답 D. 광 케이블은 도청하기가 가장 어렵다 .

 

Domain

[D4-1] 인터넷 방화벽에 대한 설명으로 옳지 않은 것은 ?

A. 방화벽은 보안 정책을 강화할 수 있다 .

B. 방화벽은 인터넷 활동을 기록할 수 있다 .

C. 방화벽은 조직의 보안 노출을 제한시킬 수 있다 .

D. 방화벽은 컴퓨터 바이러스로부터 보호할 수 있다 .

답 D. 방화벽 ( 또는 안전한 게이트웨이 ) 은 네트워크 외부의 PC 바이러스로부터 보호할 수 없다 . 이는 너무 많은 형태의 바이러스가 있고 , 바이러스가 데이터 안에 자신을 숨기는 방법도 너무 많기 때문이다 . 바이러스 문제를 다루는 가장 실용적인 방법은 호스트 기반의 바이러스 방지 소프트웨어를 사용하고 , 바이러스 손상에 주의를 하고 이에 예방조치를 하도록 사용자를 교육시키는 것이다 . 방화벽은 오직 승인된 서비스만 통과시키고 설정된 규칙내에 있는 것만 허락함으로써 사이트의 보안 정책을 수행한다 (A). 모든 트래픽이 방화벽을 통하여 지나가기 때문에 방화벽은 시스템 및 네트워크의 사용과 오용에 대한 정보를 수집하는 좋은 장소가 된다 . 유일한 접속점으로서 , 방화벽은 보호된 네트워크와 외부 네트워크 사이에 무엇이 발생했는지를 기록할 수 있다 (B). 방화벽은 네트워크의 한 부분을 다른 부분으로부터 분리시키고 , 문제점도 다른 곳으로부터 분리시키기 위하여 사용된다 . 이것은 조직의 보안 노출을 제한한다 (C).

 

[D4*2] 생산 공장의 근로자들이 사용해야 하는 “ 근무 시간 집계표 (time card)” 와 “ 출퇴근 기록 티켓 (job time ticket)” 에 대한 설명으로서 맞지 않은 것은 다음 중 무엇인가 ?

A. 임금 지급은 job time tickets 에 근거하여 수행된다 .

B. 근로자는 하나나 그 이상의 job time tickets 을 작성한다 .

C. 근로자마다 하나의 time card 만이 작성된다 .

D. Job time tickets 의 근무시간과 time card 의 근무시간은 조정되어야 한다 .

답 A. 임금 지급은 time card 에 근거하여 수행된다 . Job time ticket 은 근로자가 자신이 수행한 업무에 따라 작업 시작 시간과 종료 시간에 대한 증빙 기록을 제공한다 . 그리고 근로자의 근무 시간은 별도로 time card 에 집계된다 . CISA 문제는 국제적으로 표준화된 업무 프로세스나 영미권의 실무 현황을 가정하여 출제되고 있기 때문에 국내 응시자들에게는 다소 괴리가 느껴지기도 한다 . 특히 회계 정보시스템에 대한 통제는 일부 수작업 환경을 가정하기도 하기 때문에 더욱 혼동될 수 있다 .

 

[D4*3] 임금 지급 절차가 올바로 수행되고 있는지에 대한 확인방법이 아닌 것은 ?

A. Job time tickets 와 time cards 의 근무시간을 서로 비교한다 .

B. 임금 계산 부서가 근로자별로 설정한 임금 지급율이 정확한지 시험한다 .

C. Time card 를 샘플링하여 근무 시간에 맞게 급여 계산이 이루어졌는지 검사한다 .

D. 세율과 임금액을 사용하여 원천 징수 금액이 정확하게 적용되었는지 계산해 본다 .

답 B. 임금 지급율은 인사 부서에서 결정한다 . 임금 계산과 지급에는 크게 네 가지 활동이 관련된다 . (1) 근로자는 자신의 근무 시간을 매일매일 보고 혹은 기록한다 . (2) 인사 부서는 근로자 각각의 시간 당 임금 지급율을 유지관리한다 . (3) 임금 계산 부서는 근무 시간과 시간당 임금 지급율을 토대로 근무자별 임금을 계산한다 . (4) 임금 지급 부서는 임금 계산액을 근거로 임금을 지급한다 . 그러므로 감사 절차는 (1) time card 와 job time tickets 의 비교 (A) (2) 인사 시스템에 저장되어 있는 임금 지급율의 정확성 시험 (3) 샘플링 기법을 통한 임금 계산액의 정확성 (C, D) (4) 임급 수령에 대한 근로자의 확인 서명에 대한 검사 등이 포함될 수 있다 .

 

[D4*4] 매출 채권과 고객 데이터 테이블을 마케팅부 , 영업부 , 경리부 및 회계부에서 공유하고 있다 . 이때 신용 한도액 필드의 소유자로 가장 적절한 사람은 ?

A. 마케팅부 담당 매니저

B. 영업부 담당 매니저

C. 경리부 담당 매니저

D. 회계부 담당 매니저

답 C. 신용 판매는 회사의 현금 흐름과 중요한 관계가 있으므로 경리부 담당 매니저가 소유자가 되어야 한다 . 경리부에서는 고객의 신용 한도에 따라 신용 판매 여부와 금액을 결정해야 한다 . 한편 , 영업부와 마케팅부서는 판매를 증대하는 것이 주목적이다 . 그러므로 부실 채권화의 위험을 무릅쓰면서 매출 실적으로 증가시키고자 할 것이므로 신용 한도액 필드의 소유자가 되어서는 안 된다 (A, B). 회계부는 경제적 사건을 인식하고 화폐 단위로 이를 측정하는 역할한다 (D).

 

[D4*5] 카드 입력 시스템에서 최초의 키 펀치 오류로 근로자의 임금 $ 230.00 을 $ 23.00 으로 잘못 입력하였다 . 통제 절차가 효과적이라면 이러한 오류는 가장 먼저 발견해야 하는 것은 ?

A. 한도 체크

B. 프로그램된 통제 합계

C. 임금 지급 부서

D. 키 검증 (key verification)

답 D. 키 펀치 입력 시스템을 사용하는 경우 최초 키 펀치 다음에 수행하는 것은 키 검증이다 . 키 검증은 동일 직원 혹은 타 직원이 거래를 재입력하여 최초 입력 수치가 정확한지 확인하는 프로세스이다 .

 

[D4*6] 여름 철 전력 사용량의 증가로 정전이 한번 발생하면 대개 1 시간 내지 8 시간까지 지속되는 경우가 있다 . 이때 가장 적합한 대책은 무엇인가 ?

A. 발전기

B. 중복 전원 설비

C. 무중단 전원 장치 (UPS)

D. 과전압 방지 장치

답 C. UPS 는 짧게는 수분에서 길게는 며칠동안도 전력을 공급해 줄 수 있다 . UPS 는 배터리나 발전기로 구성되어 있으며 과전압 방지 기능까지도 포함하고 있다 . 발전기는 정전의 시점을 몰라도 되는 경우에 배터리와 함께 사용될 수는 있으나 단독으로 사용될 경우에는 의미가 없다 (A). 중복 전원 설비는 발전소의 사정으로 인해 정전이 되는 경우에는 도움이 되지 않는다 (B). 과전압 방지 장치는 전압의 변동으로 인한 손상을 방지하기 위한 것이지 안정적인 전력 공급 자체를 확보해 주는 것은 아니다 (D).

 

[D4*7] 세무 관리 시스템이 다양한 세율을 관리하고 있다 . 모든 세율이 정확하게 입력되었음을 보장할 수 있는 통제 절차는 ?

A. 입력 부서가 데이터를 수작업으로 검증한다 .

B. 타당성 체크를 통해 입력되는 세율의 정확성을 통제한다 .

C. 입력된 세율을 정확성을 독립적으로 검토한다 .

D. 합리성 체크를 통해 입력되는 세율의 정확성을 통제한다 .

 

답 C. 세율은 대단히 중요한 데이터이다 . 이러한 데이터는 입력 부서와 독립적인 부서에서 별도로 검토하여 정확성을 보장하는 것이 필요하다 . 입력 부서 역시 검증해야 하지만 그것으로는 부족하다 (A). 타당성 체크와 합리성 체크는 입력 데이터의 정확성을 보장하기 위한 효과적인 통제이기는 하지만 하나의 모든 부정확한 데이터를 걸러 내는 것은 아니다 (B, D).

 

[D4*8] EDI 통신에서 트랜잭션을 수신 받은 사업자가 전송 데이터의 완전성을 확인할 수 있는 방법은 ?

A. 거래 상대방과 정기적으로 송수신 내역을 검증한다 .

B. 송신지의 EDI 트랜잭션 수와 수신지의 트랜잭션의 수를 대조한다 .

C. Trailer 에 count 를 내장시킨다 .

D. 수신된 트랜잭션을 다시 송신지에 보내어 확인한다 .

답 C. Trailer 에 count 를 내장하는 것은 EDI 전송상의 완전성을 위한 통제이다 .

 

[D4*8] 매일 밤 본사의 중앙 컴퓨터에서 각각의 현금 입출금기 (ATM) 에 다이얼 - 업으로 연결하여 조정을 수행한다 . 전송 내역의 완전성을 검증하기 위해 가장 적절한 활동은 무엇인가 ?

A. ATM 의 입출금 합계와 호스트 전송 로그를 비교한다 .

B. ATM 의 입출금 합계와 호스트 이체 내역을 비교한다 .

C. ATM 의 일일 거래 내역과 호스트 전송 로그를 비교한다 .

D. ATM 의 일일 거래 내역과 호스트 이체 내역을 비교한다 .

답 D. ATM 거래 내역에 대한 조정은 매일매일 수행하는 것 바람직하다 . 이러한 조정에 대상은 ATM 의 거래 내역과 호스트의 이체한 내역이다 .

 

[D4*9] 어떤 회사에서 각종 보안관련 대책을 세우고 실행하였다 . 다음 중 감사인이 판단할 때 , 경영진의 보안 의식이 고취되었다는 증거로 볼 수 없는 것은 ?

A. 보안 절차의 이해

B. 고액의 보험 가입

C. 보안 정책의 수립

D. 보안 절차의 수립

답 B. 경영진은 보안을 위한 정책과 절차를 수립하고 이에 대한 교육을 수행하여 보안 의식과 이해를 제고해야 한다 . 만약의 경우를 대비한 보험의 가입은 복구 및 재개를 위한 중요한 마련이지만 보안 의식이 고취되었다고 보기에는 가장 힘든 사항이다 .

 

[D4*10] 다음의 인증 절차 중에서 가장 안전한 방법은 ?

A. 패스워드를 주기적으로 변경하고 노출되지 않도록 신중하게 관리한다 .

B. 로그 - 인 시도 횟수를 제한하고 , 이를 넘을 경우 접속을 끊어버린다 .

C. 실패한 로그 - 인 시도에 대한 로그를 기록한다 .

D. 스마트 카드를 이용하여 인증한다 .

답 D. 스마트 카드는 컴퓨터 시스템이 암호화해서 송신한 패스워드를 복호화한다 . 사용자는 이러한 일회용 패스워드 (one-time password) 를 사용하여 로그 - 온을 하게 된다 . 패스워드는 인증을 최소한의 통제 절차이지만 노출이나 추측의 위험이 높다 (A). 로그 - 인 시도의 횟수를 제한하고 (B) 실패한 로그 - 인 시도에 대해 기록을 유지하는 것은 (C) 은 패스워드 통제를 보강해 주기는 하지만 패스워드 통제의 한계를 완전해 극복해 주지는 못한다 .

 

[D4*11] 원격 접근을 할 때 패스워드 노출을 방지하는 방법은 ?

A. 패스워드를 주기적으로 변경한다 .

B. 물리적 접근 통제를 실행한다 .

C. 원격 모뎀 접근을 제한하고 스마트 카드를 사용한다 .

D. 콜 - 백 절차를 수행한다 .

답 C. 본 문제에서 원격 접근에 대한 보안의 최상의 절차는 원격 모뎀 접근을 제한하고 스마트 카드를 사용하는 것이다 . 패스워드의 변경이 주기적으로 변경되어도 패스워드 노출 위험은 여전히 잔존한다 (A). 물리적 접근 통제는 원격 접근을 통제와는 다소 무관하다 (B). 콜 - 백 절차는 자동 착신 전환 (automatic callback forwarding) 으로 우회 당할 수 있다 (D).

 

[D4*12] 다음 중 가장 강력한 물리적 접근 통제는 ?

A. 금속 열쇠와 자물쇠

B. 카드 키

C. 번호 조합

D. 바이오메트릭

답 D. 인체의 고유한 특성에 근거한 물리적 접근 통제가 가장 강력하다 .

 

[D4*13] 응용 시스템 통제의 기능성을 검토하고자 할 때 올바른 감사 절차는 ?

A. 일반 통제를 감사한 후 응용 통제를 검토한다 .

B. 응용 통제를 감사한 후 일반 통제를 검토한다 .

C. 응용 통제에 대한 실증 테스트를 수행하고 일반 통제를 검토한다 .

D. 응용 통제에 대한 준거성 감사를 실시하고 응용프로그램에 대해 검토한다 .

답 A. 응용 시스템에 대한 감사는 일반 통제를 감사가 선행된 후 응용 통제에 대한 시험이 이루어지는 것이 일반적이다 . 일반 통제는 응용 시스템의 입력 / 처리 / 출력 활동에 포함되지 않은 주변의 물리적 접근 통제 , 기능의 분리 및 환경 통제 등을 검토하는 것이다 . 응용 통제에 대한 검토 혹은 감사는 일반적인 감사 절차를 따라 수행되는 것이 일반적이다 . 그러므로 (1) 전반적 이해 (2) 통제 평가 (3) 준거성 테스트 (4) 실증 테스트의 순서가 되어야 한다 .

 

[D4*14] 다음 중 접근 통제를 위한 명명 관례가 적용되기에 일반적으로 적절하지 않은 것은 ?

A. 프로그램 설계 문서

B. 데이터 소유자

C. 프로그램 소유자

D. 터미널

답 A. 접근 통제를 위한 명명 관례는 최종 사용자가 접근하여 사용할 수 있는 IS 자원들에 대한 것이므로 사용자가 참조할 필요가 없는 프로그램 설계 문서에는 적용되지 않는다 .

 

[D4*15] 다음 중 싱글 사인 - 온 기법의 단점으로서 거리가 가장 먼 것은 ?

A. 하나의 로그 - 온 ID 와 패스워드가 노출되면 인증된 모든 자원이 노출된다 .

B. 정기적으로 패스워드를 변경해야만 하는 불편함이 따른다 .

C. 하나의 전용 인증 서버가 고장 난다면 네트워크 로그 - 온이 불가능해진다 .

D. 전체 하드웨어 플랫폼이나 운영 체제와 호환성이 있어야만 완전한 기능을 발휘한다 .

답 B. 정기적으로 패스워드를 변경해야 하는 것은 모든 인증 기법에 요구되는 것이지 비단 싱글 사인 - 온에만 발생하는 것이 아니다 .

 

[D4*16] 다음 중 하나 밖에 없는 싱글 사인 - 온 인증 전용 서버가 고장이나 서비스 거부 공격으로 인해 장애가 있을 경우를 대비하기 위한 방안으로서 적절한 것은 무엇인가 ?

A. 모든 로그 - 온 ID 와 패스워드는 반드시 암호화하여 저장한다 .

B. 일회용 패스워드 및 도전 - 응답 토근 방식을 사용한다 .

C. 바이오메트릭 인증 기법을 병행한다 .

D. 원하는 서버에 직접 로그 - 온할 수 있게 하는 대체 수단을 강구한다 .

답 D. 인증 서버가 인증 서비스를 제대로 제공하지 못한다면 , 사용자가 원하는 서버들에 직접 접근하여 인증을 받을 수 있는 대체 로그 - 온 절차가 준비되어 있어야 한다 . 나머지 A, B, C 는 로그 - 온 ID 와 패스워드의 노출될 위험을 대비하기 위한 보완 통제들이다 .

 

[D4*17] 인터넷 상의 서버 입장에서 보안에 가장 취약한 부분은 ?

A. Applet

B. CGI

C. HTML

D. Socket

답 B. CGI(Common Gateway Interface) 외부 프로그램과 웹서버 (HTTP Server) 간의 연결 역할을 하기 위한 규약 혹은 CGI 를 수행하는 프로그램을 말한다 . CGI 가 취약한 경우 웹 서버의 보안에는 심각한 위협이 발생한다 . 애플릿은 응용 프로그램을 의미하는 애플리케이션에서 파생한 것으로 웹 페이지에 포함되는 작고 독립된 응용 프로그램을 가리킨다 (A). HTML(HyperText Markup Language) 는 WWW 에서 정보를 표현하기 위한 웹 페이지를 작성하기 위해 사용되는 언어의 이름을 말한다 (C). Socket 은 논리적인 ‘port’ 의 의미로 통신망에서 프로그램이 인터넷의 다른 컴퓨터에서 실행하는 다른 프로그램에 연결되기 위해 사용하는 두 프로그램 사이의 통신을 위하여 사용되는 자원이다 (D).

 

[D4*18] 인터넷상의 사용자 입장에서 가장 심각한 위협은 ?

A. IP 주소에 근거한 브라우저 접속

B. HTML

C. Applet

D. CGI

답 C. 애플릿은 웹 브라우저 내에 자바 처리 기능이 있어야 사용할 수 있으며 , 보안상 이유로 인해 여기서 사용하는 자바 프로그램은 여러 가지 제약이 있다 .

 

 

Domain

[D5*1] 임계 경로 방법 (CPM: Critical Path Method) 에서 임계 경로 (CP) 에 대한 설명으로서 맞는 것은 ?

A. CP 의 여유 시간은 다른 경로의 여유 시간보다 크다 .

B. CP 의 활동 시간의 합이 다른 경로의 활동 시간의 합보다 크다 .

C. CP 의 여유 시간이 다른 경로의 활동 시간의 합보다 크다 .

D. CP 의 활동 시간의 합이 다른 경로의 여유 시간보다 크다 .

답 B. CP 는 다른 어떠한 경로보다 활동 시간 (activity time) 의 합이 가장 크다 . 한편 CP 의 여유 시간은 0 이므로 다른 경로의 여유 시간보다 작다 (A). 활동 시간의 합과 여유 시간의 크기를 서로 비교하는 것은 무의미하다 (C, D).

 

[D5*2] 다음 중 CPM 을 통해 추정하고자 하는 가장 중요한 목적은 ?

A. 각 활동을 수행하는 방법

B. 전체 활동을 완료하는데 필요한 인력

C. 전체 활동의 완료하는데 필요한 최단 시간

D. 전체 활동의 완료하는데 필요한 최장 시간

답 C. CPM 은 활동간의 선행 관계와 각 활동을 수행하는데 필요한 시간을 추정하고 , 이를 토대로 전체 활동을 완료하기 위한 최단 시간을 계산할 수 있게 해 준다 .

 

[D5*3] PERT 를 사용하기 위해서 가장 기본적으로 확보되어야 할 사항은 ?

A. 구성 활동과 선후 관계

B. 각 활동의 소요 시간 혹은 자원의 추정치

C. 각 활동의 완료된 후의 결과

D. 각 활동이 착수되기 위한 사건

답 A. PERT 는 네트워크 이론을 사용하여 프로젝트의 계획하고 통제하는 기법이다 . PERT 를 설계하기 위해서 가장 먼저 식별해야 할 사항은 프로젝트를 수행하는데 필요한 모든 활동과 각 활동간의 선후 관계이다 . 각 활동의 시작과 끝에 발생하는 사건 및 각 활동을 완료하는데 소요되는 자원량 등은 그 이후에 식별된다 (B, C, D).

 

[D5*4] 다음 중 프로덕션 환경으로 프로그램 이관을 수행할 책임을 수행하기에 가장 적합한 기능은 ?

A. 어플리케이션 프로그래머

B. 시스템 프로그래머

C. 시스템 분석가

D. 품질 보증

답 D. 이관 업무는 프로그램 개발 조직과 무관한 기능에서 수행하는 것이 필요하다 . 품질 보증 , 운영자 , 변경 관리 그룹에서 이러한 역할을 수행할 수 있다 .

 

[D5*5] 회귀 테스트를 사용하기에 가장 적합한 단계는 ?

A. 변경 관리

B. 시스템 테스트

C. 단위 테스트

D. 통합 테스트

답 A. 회귀 테스트는 일반적으로 유지관리 단계에서 기존 프로그램에 변경이 일어났을 경우에 수행되는 시험을 지칭한다 .

 

[D5*6] 시스템에 많은 변경이 일어난 경우 어떤 시험을 수행해야 하는가 ?

A. 회귀 테스트

B. 시스템 테스트

C. 단위 테스트

D. 통합 테스트

답 A. 시스템에 많은 변경이 일어난 경우 전체 시스템을 대상으로 한 회귀 시험이 수행되어야 한다 .

 

[D5*7] 프로토타이핑으로 시스템을 개발하고 있다 . 절대적인 인력 부족으로 개발 완료 일까지 일정 지연이 예상되는 경우 품질을 유지하면서 가장 타당한 해결책으로서 감사인이 권고할 수 있는 의견은 ?

A. 인센티브를 제공하여 팀원을 독려해야 한다 .

B. 추가 인원을 배정 / 투입하여 생산성을 향상시켜야 한다 .

C. CASE 도구 등을 이용하여 생산성을 향상시켜야 한다 .

D. 주요 기능만 기일까지 완성해야 한다 .

답 D. 납기 지연이 예상되는 경우에는 핵심 기능만을 일차적으로 구현하는 것이 적정 품질과 최소 필요 기능을 확보하기 위한 가장 효과적인 접근법이다 . 추가 개발 여부는 그 이후에 다시 결정하는 것이 바람직하다 . 인센티브의 제공은 어느 정도 팀원의 사기와 동기를 제고해 줄 수는 있어도 반드시 일정이 단축될 수 있음을 보장해 주지는 못한다 (A). 추가 인력의 투입은 오히려 신규 인원에 대한 교육 및 의사소통상의 오류로 인해 일정 지연을 낳을 수 있다 (B). CASE 도구가 생산성을 일부 향상 시켜 줄 수 있는 것은 사실이지만 , 사용 교육이 필요하기 때문에 프로젝트 도중에 도입하기에는 적절하지 않다 (C).

 

[D5*8] 다음 중 시스템 개발 자원의 성과를 향상하고자 할 때 권할 만한 것은 ?

A. 프로토타이핑 기법

B. CASE Tool

C. 엔드 유저 컴퓨팅 (EUC)

D. 시험 데이터 생성기

답 B. CASE 는 분석 및 설계를 위한 모델링 , 코드 생성 , 문서 작성 등에 활용될 수 있다 . CASE 를 사용하면 더 빨리 더 좋은 품질의 시스템을 개발하는데 도움이 된다 . 프로토타이핑 기법은 사용자 요구사항을 더 잘 파악하게 해 주기는 하지만 , 개발 자원의 성과 향상을 주목적으로 하고 있지 않다 (A). EUC 는 시스템의 개발과 변경의 권한을 최종 사용자에게 이양하여 프로그램 개발의 적체 현상을 완화하기 위한 것이지 개발의 생산성 자체를 향상시켜 주지는 못한다 (C). 시험 데이터 생성기는 테스트 단계에서 제한된 범위에서만 업무 효율을 향상시켜 줄 수는 있다 .

 

[D5*9] IS 감사인의 시간적 제약으로 인해 IS 감사인이 한정된 태스크에만 할당된다고 할 때 통제 기능의 효율성을 평가하기 위해 가장 적합한 감사인 참여 단계는 ?

A. 프로젝트 개시

B. 프로그램 개발

C. 단위 테스트

D. 사용자 인수 테스트

답 D. 프로그램 설계 단계에서 IS 감사인이 투입되어 구현하고자 하는 통제 절차의 적절성을 평가하는 것이 가장 중요하다 . 그러나 , 본 문제에서 제시된 상황에서는 사용자 인수 테스트가 가장 적절하다 . 모든 기능들이 이미 구현되었으므로 통제에 대한 평가를 수행하는 것도 가장 용이한 단계이다 .

 

[D5*10] 패키지 S/W 를 설치할 때 가장 일반적으로 발생하는 위험은 ?

A. 소프트웨어가 여러 가지 다양한 버전으로 존재한다 .

B. 목적 코드와 소스 코드의 버전이 일치하지 않는다 .

C. 구성 매개변수 (parameter) 를 잘못 설정하였다 .

D. 프로그램 자체에 오류가 있다 .

답 C. 패키지 소프트웨어를 설치할 때 가장 큰 위험은 매개변수 설정이 잘못되는 경우이다 . 나머지 사항은 시스템을 자체 개발하는 경우에 주로 발생하는 위험이다 .

 

[D5*11] 승인을 받아 실행 중인 프로그램에 대한 변경 통제를 테스트하기 위하여 IS 감사인이 프로그램을 샘플링하려고 한다 . 모집단은 무엇이 되겠는가 ?

A. 테스트 라이브러리 리스트

B. 소스 프로그램 리스트

C. 프로그램 변경 요청서

D. 프로덕션 라이브러리 리스트

답 D. 프로덕션 라이브러리에는 승인받은 실행 프로그램들만 있어야 한다 . 그러므로 프로덕션 라이브러리 리스트에 있는 프로그램을 대상으로 샘플리을 수행하면 된다 . 테스트 라이브러의 프로그램은 유지보수 단계에서의 변경 통제 대상이 아니다 (A). 소스 프로그램 리스트는 대상이 너무 많아 시험의 효율성을 저하시킨다 (B). 프로그램 변경 요청서는 프로그램 변경 이전에 작성되는 것이므로 어떤 프로그램은 변경이 완료되지 않았을 것이다 (C).

 

[D5*12] 객체 지향 기법과 비교할 때 절차적 기법이 가지고 있지 않은 특성은 ?

A. 모듈화

B. 모델링

C. 비절차 언어

D. 상속

답 D. 상속 (inheritance) 은 클래스가 가지고 있는 일반적인 특성을 그대로 이어 받는 것으로서 객체 지향 기법의 개념이다 . 재사용을 위한 모듈화 , 모델링을 통한 분석 및 설계 , 비절차 언어는 객체 지향 기법과 절차적 기법의 공통적인 특성이다 .

 

[D5*13] 에스크로우 에이전트가 패키지 구입자에게 소스 코드를 제공해야 하는 가능성이 가장 높은 경우는 ?

A. 패키지 구입 회사가 많은 돈을 지급하는 경우

B. 프로그램 소유권이 타사로 이전된 경우

C. 구입 회사의 정책 변화로 새로운 기능을 추가해야 하는 경우

D. 에스크로우 에이전트의 계약 위반 사항이 발생한 경우

답 B. 소프트웨어 개발 회사가 도산하면 더 이상 제품을 갱신하거나 고객사의 필요에 맞게 커스토마이징 해 줄 수가 없다 . 이런 경우 , 거액을 지불하고 라이센스를 구입한 회사의 입장에서는 당연히 소스 코드를 제공해 줄 것을 요구하게 된다 . 그러나 지적 소유권 문제 때문에 개발 회사도 소스 코드를 함부로 제공하려 하지 않을 것이다 . 이러한 딜레마를 해결하기 위하여 소프트웨어의 소스 코드와 기타 문서를 보관하고 있다가 유사시에 구입자에게 이를 제공하는 서비스가 등장하게 되었다 . 그것이 바로 소프트웨어에 대한 에스크로우 서비스이다 . 그리고 이러한 서비스를 하는 제 3 의 조직을 에스크로우 에이전트라고 한다 . 에스크로우 에이전트가 소스 코드를 구입자에게 제공하는 것은 개발회사가 더 이상 제품을 지원해 주지 못하는 경우이다 . 에스크로우 에이전트는 구입자는 물론 개발자에게 대한 의무도 있으므로 구입 회사가 많은 돈을 지급한다 하더라도 함부로 소스 코드를 제공할 수는 없다 (A). 새로운 기능의 추가가 필요하다 하더라도 개발회사가 건재하다면 당연히 비용을 지불하고 소프트웨어를 변경해야 한다 (C). 에스크로우 에이전트가 계약을 위반하더라도 개발회사가 계약을 위반하지 않았다면 소스 코드를 함부로 공개할 수는 없다 (D).

 

[D5*14] 에스크로우 서비스 계약에 대한 감사를 할 때 , 가장 관심을 적게 가져도 되는 것은 ?

A. 개발 회사의 작업 절차나 문서화가 잘 되어 있지 않다 .

B. 개발 업체의 인력이 충분하지 않다 .

C. 에스크로우 에이전트는 소프트웨어를 목적 코드 형태로 저장하여 관리한다 .

D. 개발업체의 컴파일러와 디버거가 오래되었다 .

답 D. 개발 회사의 컴파일러나 디버거가 오래되었다 하더라도 이를 보관하고만 있다면 위험은 비교적 적다 . 개발 회사의 작업 절차와 문서화가 적절하지 않다면 소스 코드를 제공받는다 하더라도 소프트웨어를 신속하게 변경하는 것이 불가능하다 (A). 개발 업체의 인력이 충분하지 않다면 소프트웨어 유지보수와 관련된 제반 문서의 구비와 그 품질을 보장하기 힘들 것이다 (B). 목적 코드를 소스 코드로 완벽하게 변환해 주는 도구의 지원이 아직은 충분하지 않으므로 프로그램 변경을 위해서는 소스 코드를 제공받아야 한다 (C).

 

[D5*15] 에스크로우 에이전트가 일반적으로 보관 및 관리해야 하는 사항이 아닌 것은 ?

A. 고객사의 백업 데이터 파일

B. 제 3 자 (Third party) 소프트웨어 및 컴파일러

C. 메뉴와 서브루틴 라이브러리

D. 주요 제품의 프로그래머들의 이름과 주소

답 A. 고객사의 백업 데이터 파일을 고객사가 적절한 백업 사이트에 보관해야 한다 . 보기에서 제시된 것 외에도 에스크로우 에이전트는 소스 코드와 매뉴얼도 보관하고 있어야 한다 .

 

[D5*16] 프로그램 변경 통제를 위한 절차로 보기에 가장 힘든 것은 ?

A. 프로그램 변경 통제 절차를 설계하고 이에 대한 평가를 수행한다 .

B. 라이브러리 통제 소프트웨어를 도입하고 주기적으로 모니터한다 .

C. 사용자들의 변경 요청은 반드시 문서화하여 보관하도록 한다 .

D. 운영자는 주기적으로 소스 코드와 목적 코드 비교를 수행한다 .

답 D. 운영자는 소스 코드에 접근해서는 안 되며 , 코드 비교는 IS 감사인과 같은 독립적인 기능에서 수행하는 것이 바람직하다 .

 

[D5*17] 전사적 차원에서 추진되는 대규모 ERP(Enterprise Resource Planning) 프로젝트를 위한 IS 운영 위원회 (steering committee) 의 위원장으로서 가장 적합한 사람은 누구인가 ?

A. 사용자 부서의 매니저

B. IS 부서의 디렉터

C. 프로젝트 매니저

D. 임원급 경영진

답 D. 운영 위원회의 위원장은 부서간 이해 관계를 조정하고 유권적인 판단을 내릴 수 있을 정도의 직급을 가지고 있어야 한다 .

 

[D5*18] 전사적 차원에서 추진되는 대규모 ERP(Enterprise Resource Planning) 프로젝트를 위한 IS 운영 위원회 (steering committee) 의 위원장으로서 가장 적합한 사람은 누구인가 ?

A. 사용자 부서의 매니저

B. IS 부서의 디렉터

C. 프로젝트 매니저

D. 임원급 경영진

답 D. 운영 위원회의 위원장은 부서간 이해 관계를 조정하고 유권적인 판단을 내릴 수 있을 정도의 직급을 가지고 있어야 한다 .

 

[D5*19] 프로덕션 프로그램의 코드를 비교하기 위하여 감사 소프트웨어를 이용하는 감사 기법은 프로그램의 어떤 특성을 시험하고자 하는 것인가 ?

A. 논리

B. 변경

C. 효율성

D. 계산능력

답 B. 감사 소프트웨어를 생산 프로그램의 비교에 사용하는 것은 변경 통제를 시험하는 감사 기법이다 .

 

[D5*20] 다음 중 IS 감사인의 독립성을 손상시킬 것으로 생각되는 것은 ?

A. 정상적인 사업 과정에서 개인적 거래가 발생한 정보 시스템에 대한 감사를 수행한다 .

B. 응용 개발 검토를 수행한 후 통제 및 다른 시스템의 향상을 위하여 권고한다 .

C. 프로젝트 팀원으로 응용 시스템을 설계하고 구현한다 .

D. 응용 개발 검토 수행을 위한 절차를 결정한다 .

답 C. 응용 시스템의 개발에서 , 프로젝트 팀은 ( 통제의 설계와 구현을 포함한 ) 시스템 개발 프로세스를 적용할 책임이 있다 . IS 감사인은 프로젝트 팀으로부터 독립적이어야 한다 . IS 감사인은 응용 개발에 대한 검토 절차를 독립적으로 결정해야 한다 (D). IS 감사인은 감사인의 독립성을 손상시키지 않으면서 통제와 다른 시스템의 향상을 권고할 수 있다 (B). 정상적인 사업 과정에서 개인적 거래가 발생한 정보 시스템에 대한 감사의 수행은 독립성의 손상으로 간주되지 않는다 (A).