ISMS-P 인증 기준 2.12.2.재해 복구 시험 및 개선: 두 판 사이의 차이
IT위키
Maintenance script (토론 | 기여) (Imported from text file) |
편집 요약 없음 |
||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.12.재해복구|2.12.재해복구]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.12.재해복구|2.12.재해복구]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.12.2.재해 복구 시험 및 개선 | !2.12.2.재해 복구 시험 및 개선 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다. | |재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립‧이행하고 있는가? | *수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립‧이행하고 있는가? | ||
* 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토‧보완하고 있는가? | *시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토‧보완하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
*수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립·이행하여야 한다. | |||
**시험계획에 따라 정기적인 시험을 실시하여 복구 전략 및 대책이 효과적인지, 비상시 복구 조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검 | |||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | |||
'''※ IT 재해 복구 시험계획에 포함되어야 할 사항(예시)''' | |||
*재해 복구 시험 일정(일시 및 장소) | |||
*참여인원 | |||
*범위 | |||
*방법 및 시나리오 | |||
*절차 등</div> | |||
*시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토·보완하여야 한다. | |||
**IT 재해 복구 계획에 대한 공식적인 변화관리 절차 마련 | |||
**재해 복구 시험 결과와 정보시스템 환경변화 등을 고려하여 복구 계획을 정기적으로 검토·보완 | |||
==증거 자료== | |||
*IT 재해 복구 절차서 | |||
*IT 재해 복구 시험 계획서 | |||
*IT 재해 복구 시험 결과서 | |||
==결함 사례== | |||
*재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우 | |||
*재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우 | |||
*재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |
2022년 5월 26일 (목) 10:58 기준 최신판
- 영역: 2.보호대책 요구사항
- 분류: 2.12.재해복구
개요[편집 | 원본 편집]
항목 | 2.12.2.재해 복구 시험 및 개선 |
---|---|
인증기준 | 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다. |
주요 확인사항 |
|
세부 설명[편집 | 원본 편집]
- 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립·이행하여야 한다.
- 시험계획에 따라 정기적인 시험을 실시하여 복구 전략 및 대책이 효과적인지, 비상시 복구 조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검
※ IT 재해 복구 시험계획에 포함되어야 할 사항(예시)
- 재해 복구 시험 일정(일시 및 장소)
- 참여인원
- 범위
- 방법 및 시나리오
- 절차 등
- 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토·보완하여야 한다.
- IT 재해 복구 계획에 대한 공식적인 변화관리 절차 마련
- 재해 복구 시험 결과와 정보시스템 환경변화 등을 고려하여 복구 계획을 정기적으로 검토·보완
증거 자료[편집 | 원본 편집]
- IT 재해 복구 절차서
- IT 재해 복구 시험 계획서
- IT 재해 복구 시험 결과서
결함 사례[편집 | 원본 편집]
- 재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
- 재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우
- 재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)