ISACA
Advancing IT, Audit, Governance, Risk, Privacy & Cybersecurity | ISACA
ISACA is a global association that provides IT professionals with knowledge, credentials, training and community in audit, governance, risk, privacy and cybersecurity.
www.isaca.org
ISACA Korea Chapter - (사)한국정보시스템감사통제협회
(사)한국정보시스템감사통제협회
isaca.or.kr
(막상 글을 쓰자니 의외로 ISACA를 설명하기가 쉽지 않다. 협회 활동이나 지식에 대한 정보가 오래된 것일 수도 있어 조심스럽게 적어본다)
ISACA는 한국1 에서 "국제정보시스템감사통제협회" 정도로 호칭하는 듯 하다. 맞다면 맞기는 한데, 몇 해 전부터는 조금 다르다고도 할 수 있다.
www.isaca.org/why-isaca/about-us/history
History of ISACA | Global Business & Technology Community | ISACA
ISACA has become a pace-setting global organization for information governance, control, security and audit professionals. Check out our company history!
www.isaca.org
... Previously known as the Information Systems Audit and Control Association®, ISACA now goes only by its acronym to reflect the broad range of IT governance professionals we serve. ...
예전에는 "Information Systems Audit and Control Association"이라는 명칭의 약어였지만, 이제 ISACA는 ISACA라는 말인데, 명칭이야 어쨌든 협회에 대한 정보는 상기한 공식 웹사이트의 "About Us" 페이지에 잘 설명되어 있다. "Overview" 내용을 한번 더 옮겨본다(밑줄은 직접 넣었다).
ISACA got its start in 1967 by a small group of individuals with similar jobs auditing controls in computer systems that were becoming more critical to their organizations’ operations. This group saw the need for a centralized source of information and guidance in the field and formalized in 1969, incorporating as the EDP Auditors Association. In 1976 the association formed an education foundation to undertake large-scale research efforts to expand the knowledge and value of the IT governance and control field. Previously known as the Information Systems Audit and Control Association®, ISACA now goes only by its acronym to reflect the broad range of IT governance professionals we serve.
Today, ISACA’s constituency of more than 165,000 strong worldwide is characterized by its diversity. These professionals live and work in more than 180 countries and cover a variety of professional IT-related positions in the disciplines of IS/IT audit, risk, security and governance as well as educators, consultants and regulators. Some are new to their careers, others are at middle management levels, and still others are in the most senior ranks. They work in nearly all industry categories, including financial and banking, public accounting, government and the public sector, utilities and manufacturing. This diversity enables members to learn from each other and exchange widely divergent viewpoints on a variety of professional topics.
Explore milestones, achievements and successes spanning ISACA’s rich 50+ year history.
키워드만 챙겨보면 IS/IT audit, IT governance, risk, control, centralized source, 180 countries, 50+ year, 정도가 될 것 같다. (마찬가지로 "명칭" 이야기지만, "IT Governance"는 나중에 "Enterprise Governance of IT"라고 변경되었던 것 같은데, 아마 관련 서적을 다시 찾아보면 확인할 수 있을 것 같다)
COBIT | Control Objectives for Information Technologies | ISACA
Created by ISACA, COBIT allows practitioners to govern and manage IT holistically, incorporating all end-to-end business and IT functional areas of responsibility.
www.isaca.org
협회의 핵심 지식은 "COBIT"이라고 볼 수 있다. "Control Objectives for Information and Related Technologies"의 약어(였던 관계로 초기에는 "CobiT" 정도로 기재하던 때가 있었는데 COBIT 4였는지 5였는지 그 때 부터 모두 upper-case로 기재했던 것 같다). COBIT 말고도 핵심 지식은 몇 가지 더 있겠지만, COBIT만 해도 방대한 이야기라, 나중에 천천히 풀어보면 좋을 것 같다.
역설적이지만 CISA(Certified Information Systems Auditor) 자격증을 언급하지 않고서는 ISACA를 설명하기가 쉽지 않다. 한국에서 IT 자격증에 관심이 있는 사람이라면 들어보지 않을 수 없는 자격증. Lyzeum도 빠질 수 없지 않나. 국제 공인 자격증 중에서는 가장 잘 자리잡은(?) 자격증이 아닐까 싶다. 개인적으로는 CISA 자격의 위상(그보다는 취득을 고민하는 사람에게 하는 조언)에 대해 이야기 할 때 "정보통신망 이용촉진 및 정보보호 등에 관한 법률" 시행령 제36조의5제3항2 과 당해 조항에서 규정하고 있는 "[별표 2] 정보보호 기술인력의 자격 기준"을 예로 들고는 한다. 해당 대통령령에서 인정되고 있는 자격 중 국제공인자격증은 "CISA"와 "CISSP" 뿐이다(유관 협회와 이해관계자들의 노력도 있었을 것이라 생각한다). 개인적인 생각을 덧붙이자면 자격증을 취득했다고 해서 IT 감사를 바로 수행할 수 있다는 것으로 이해할 수 있을지는 잘 모르겠지만, IT라는 광범위한 주제에 관한 "assurance"를 논하는 자격 제도라는 점에서 CISA가 특정한 범위와 충분한 깊이의 지식을 다루고 있다고 생각한다. 다만 예전에는 (정보통신망법을 언급한 것과 상충되는 말인지 모르겠지만) 주로 "보안" 자격증의 일부처럼 취급되고는 했었는데 지금도 그런지는 잘 모르겠다.
ISACA의 특징 중 하나는 "vendor-neutral" 하다는 점이다. 적절한 예가 맞을지 확신할 수는 없지만, 예를 들어 AWS(Amazon Web Services) 경우 AWS에서 관리하는 knowledge는 vendor인 AWS의 제품과 서비스에 국한될 수 있다. 즉, Microsoft Azure와 같이 시장을 공유하고 있는 여타의 vendor에서는 적용되지 않는 knowledge가 있을 수 있고, 나아가, 만약 해당 vendor가 시장에서 유효하지 않은 상황이 발생할 경우 그 knowledge는 빛을 잃을 수 있다. certification 관점에서도 그렇다. 이 때 벤더 중립적인 ISACA의 지식은 비교적 practical 하지 않을 수 있지만 그 가치가 지속될 수 있는 힘을 가질 수 있다고 생각한다. 일장일단이 있는 법이겠지만, ISACA는 그러한 자세를 견지하는 것으로 이해하고 있다.
ISACA Korea Chapter 또한 주목할 만한 조직이다. 여타 유사 협회와 비교했을 때도 그 활동이 활발한 편이라 생각한다. 그런데 포스팅 시작하면서 공식 홈페이지 링크 걸 때 보니까 SSL 없는 것 같던데 보완할 필요가 있지 않을까 싶습니다. 보이지 않는 곳에서 연구와 활동을 이어가는 분들이 많다(오래 전 어물쩍 간사 활동을 했던 입장에서 송구한 마음입니다. 진심으로 감사했습니다).
"Membership" 경우 CISA 자격 발급 및 유지에 필수적인 조건 중 하나이고, annual membership fee에 local chapter fee가 기본적으로 포함된다. 다만 한국에서는 CISA 시험 합격자 대비 회원 수가 많지 않다고 들었던 기억이 있다. 아마 시험 접수나 최초 자격 발급 이후에는 membership에 대한 필요성을 느끼지 못하기 때문에 그렇지 않을까 싶다(적은 비용이 아니기도 하다). membership에 대해서는 개인별로 의견이 다를 수 있겠지만, 자격증 유지를 떠나서 발행물 할인 및 (일부) 무료 제공 등의 혜택이 분명히 있기도 하다.
가장 좋아하는 membership 혜택은 아무래도 Journal 이다. 격월 발행하며 우편으로 발송해준다. 얇은 책자 수준이지만 ISACA Journal 특유의 디자인을 좋아해서 아껴보고 있다. Korea Chapter도 협회지가 있었는데 정기적으로 받은 기억은 없다(드물게 받아보았는데 발행한 사실이 없는건지 배송이 누락된건지는 모르겠다).
www.isaca.org/resources/isaca-journal
ISACA Journal | Information Technology & Systems Resources
See what the IT/IS industry is saying about the hottest topics and issues. Members can also earn CPE credit hours by taking a short quiz at the end!
www.isaca.org
일부는 다시 돌아보고, 일부는 새로 배워보려 한다.
끝.