Home » ISMS 인증기준 – 정보보호대책 (IT재해복구)

ISMS 인증기준 – 정보보호대책 (IT재해복구)

13.1 체계 구축

13.1.1 IT 재해복구 체계 구축

자연재앙, 해킹, 통신장애, 전력중단 등의 요인으로 인해 IT 시스템 중단 또는 파손 등 피해가 발생할 경우를 대비하여 비상 시 복구조직, 비상연락체계, 복구절차 등 IT 재해복구 체계를 구축하여야 한다.

  • 다음과 같은 내용을 포함하는 IT 재해복구 체계를 구축하고 있는가?
    • 재해 시 복구조직 및 역할 정의
    • 비상연락체게
    • 복구순서 정의
    • 복구전략 및 대책
    • 복구 절차 및 방법 등
  • IT 재해복구체계 구축 시 다음 내용이 포함되어야 함.
    • 재해 시 복구조직 및 역할 정의: IT재해 발생 시 복구를 위한 관련부서 및 담당자 역할과 책임 부여
    • 비상연락체계: 조직 내 관련 부서 담당자, 유지보수 업체 등 복구조직상 연락체계 구축
    • 복구전략 및 대책 수립방법론: 업무영향분석, 복구목표시간 및 복구시점 정의, 핵심 IT서비스 및 시스템 식별 등
    • 복구순서정의: 복구목표시간별로 정보시스템의 복구순서 정의
    • 복구절차: 재해발생, 복구완료, 사후관리 단계 포함

13.2 대책 구현

13.2.1 영향분석에 따른 복구대책 수립

조직의 핵심 서비스 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 IT 서비스 및 시스템 복구목표시간, 복구시점을 정의하고 적절한 복구전략 및 대책을 수립 ∙ 이행하여야 한다.

  • 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 위험요인을 식별하고 위험요인에 따른 피해규모 및 업무에 미치는 영향을 고려하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가?
  • IT 재해 위험요인은 다음과 같다.
    • 자연재해: 화재, 홍수, 지진, 태풍 등
    • 외부요인: 해킹, 통신장애, 전력 수급 중단 등
    • 내부요인: 시스템 결함, 기계적 오류, 사용자 실수, 의도적/악의적 운영, 핵심 운영자 근무 이탈(사망, 병가, 휴가, 이직 등), 환경설정 오류
  • 피해규모 산정 시 다음을 고려한다.
    • 매출감소, 계약위약금 지급 등 재무적 측면
    • 손해배상 소송 등 법적 측면
    • 대외 이미지 하락
  • 핵심 IT 서비스 및 시스템의 복구목표시간, 복구시점을 정의하고 있는가?
    • 복구목표시간(RTO: Recovery Time Objective)는 중단 시점부터 복구되어 정상가동 될 때까지의 시간
    • 복구시점(RPO: Recovery Point Objective)는 데이터가 복구되어야 하는 복구시점
  • 정의한 복구목표시간 및 복구시점을 달성할 수 있는 적절한 복구전략 및 대책을 수립하고 있는가?

13.2.2 시험 및 유지관리

IT 서비스 복구전략 및 대책에 따라 효과적인 복구가 가능한 지 시험을 실시하고 시험계획에는 시나리오, 일정, 방법, 절차 등을 포함하여야 한다. 또한 시험결과, IT 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다.

  • 수립된 IT 재해 복구 대책의 실효성을 판단하기 위하여 다음과 같은 내용이 포함된 시험계획을 수립 ∙ 수행하고 있는가?
    • 일정 (일시 및 장소)
    • 참여인원
    • 범위
    • 방법 (예 : 시나리오 기반)
    • 절차 등
  • 시험결과, IT 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토∙보완하고 있는가?