Q:보안과 관련된 자격증에 대해서 알고 싶습니다.
A:정보시스템 감사 및 통제협회(ISACA:Information Systems Audlt and Control Association)에서 인증하는 CISA(Certified Information System Auditor)는 보안의 중요성과 정보시스템 감사의 필요성이 대두되면서 탄생한 자격증으로 정보시스템을 감사하는 데 필요한 지식을 인증받게 됩니다. 미국에서는 AICPA와 동등한 자격증으로 취급되고 있습니다. 미국과 유럽의 경우는 CISA를 정보시스템 감사를 하는 전문가로 인정하고 있으며, 공인회계사(CPA)와 동일한 수준의 위상을 지니고 있습니다. 일본은 86년부터 CISA와 정보처리기술자 시험 합격자를 같이 인정하고 있다. 동남아 국가에서도 CISA의 활동이 활발한 상황입니다.
우리나라에서도 감사원, 금융감독원, 국방관련 부서, 한국정보보호센터, 한국전산원 등의 정부부처 및 공공기관, 회계법인, IT 전문업체, 컨설팅 전문업체, 산업계, 학계, 금융계, 언론계 등 사회 각계각층에서 수많은 CISA들이 정보시스템 감사·통제 분야의 전문가로서 폭넓게 활약하고 있습니다.
CISA 프로그램은 뛰어난 기술과 판단력을 증명하는 정보시스템 감사·통제·보안 직종에 종사하는 개인을 평가하고 증명하기 위해 설계됐습니다.
CISA 자격을 받기 위해서는 다음 사항을 충족해야 합니다.
첫째, CISA 시험에 합격해야 합니다. 둘째, CISA 시험 수험자 가이드에 포함되고 응시자에게 제공된 ISACA의 직업윤리강령을 준수해야 합니다. 셋째, 5개 도메인에 관련된 정보시스템 감사·통제·보호 분야에서 최소한 5년의 경력이 있어야 합니다. 이것은 다음의 경력으로 대체할 수도 있습니다.
1년 이상의 정보시스템 운용과 프로그래밍 경력 또는 회계감사 경력은 정보 시스템 감사·통제·보안 경력 1년으로 인정, 전문대학 또는 대졸 학력(60학점 또는 120학점과 동등)은 각각 1년 또는 2년의 정보시스템 감사·통제·보안 경력으로 인정, 관련 분야(전산과학·회계·정보처리감사 등)에서의 대학 전임강사 이상의 경력은 2년당 정보시스템 감사·통제·보안 경력 1년으로 대체될 수 있습니다.
CISA 자격(증) 신청은 시험 합격 후 5년 이내에 해야 하며, 경력은 자격 신청일 기준으로 과거 10년 이내 또는 최초 시험의 합격일로부터 5년 이내의 경력이어야 합니다. 만약 시험 합격 날짜로부터 5년 내에 CISA 신청을 하지 않으면 시험을 다시 치러야만 합니다. 많은 사람들이 경력이 충족되기도 전에 CISA 시험을 보는데 이것은 가능한 일이고 권장할 만합니다. 비록 모든 요구조건이 만족될 때까지 CISA자격은 받지 못하지만 CISA 시험 응시 자체에는 자격제한이 없기 때문입니다.
2000년과 2001년 시험영역을 비교해보면 가장 주목해야 할 부분이 보안관련입니다. 최근 들어 바이러스나 해킹으로 인한 천문학적인 피해가 속출하고 있으며, 정보의 공유와 정보의 보호가 미묘하게 각각의 패러다임을 구축하면서 보안의 중요성은 IT산업의 성장과 함께 영원한 숙제로 남을 것입니다.
2000년 CISA 시험에서는 보안관련 문제들이 새로운 테마로 주목받기 시작했고 2001년 리뷰 매뉴얼(review manual)에서도 상당부분 보안관련 내용을 다룰 것입니다.