ISMS-P 인증 기준 2.9.3.백업 및 복구관리 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
*'''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.9.3.백업 및 복구관리
!2.9.3.백업 및 복구관리
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
|정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립‧이행하고 있는가?
* 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립‧이행하고 있는가?
*백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
* 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
*중요정보가 저장된 백업매체의 경우 재해‧재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
* 중요정보가 저장된 백업매체의 경우 재해‧재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
**(가상자산사업자)  개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해‧재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산하고 있는가?
***클라우드를 이용하여 서비스하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산하여야 함
|-
|'''관련법규'''
|
*개인정보 보호법 제29조(안전조치 의무)
*개인정보의 안전성 확보조치 기준 제11조(재해·재난 대비 안전조치)
|}
|}
==세부 설명==
== 세부 설명 ==
 
==== 백업 및 복구절차 수립과 이행 ====
재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기,방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.
 
*백업대상 선정기준 수립
*백업담당자 및 책임자 지정
*백업대상별 백업 주기 및 보존기한 정의
*백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
*백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)
*백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
*백업관리대장 관리 등
<blockquote>'''※ 주요 백업 대상(예시)(대상 정보 및 정보시스템의 중요도를 고려하여 선정)'''
 
*중요정보(개인정보, 기밀정보 등)
*중요 데이터베이스
*각종 로그(정보시스템 감사로그, 이벤트 로그, 보안시스템 이벤트 로그 등)
*환경설정 파일 등
</blockquote>
 
==== 정기적 복구테스트 실시 ====
백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.
 
*복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
*복구테스트 시나리오 수립
*복구테스트 실시 및 결과 보고
*복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행
 
==== 물리적으로 먼 거리로 소산 백업 ====
중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.
 
*중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리
**소산일자(반출, 반입 등)
*소산 백업매체 및 백업정보 내용
*소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
*소산장소에 대하여 다음과 같은 보안대책 마련
**화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)
*소산장소 및 매체에 대한 접근통제 등
 
==증거 자료==
 
*백업 및 복구 절차
*복구테스트 결과
*소산백업 현황
 
==결함 사례==
 
*백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
*백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
*상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
*상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
* 재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기,방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.
** 백업대상 선정기준 수립
** 백업담당자 및 책임자 지정
** 백업대상별 백업 주기 및 보존기한 정의
** 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
** 백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)
** 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
** 백업관리대장 관리 등
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 주요 백업 대상(예시)(대상 정보 및 정보시스템의 중요도를 고려하여 선정)
* 중요정보(개인정보, 기밀정보 등)
* 중요 데이터베이스
* 각종 로그(정보시스템 감사로그, 이벤트 로그, 보안시스템 이벤트 로그 등)
* 환경설정 파일 등</div>
* 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.
** 복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
** 복구테스트 시나리오 수립
** 복구테스트 실시 및 결과 보고
** 복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행
* 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.
** 중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리
*** 소산일자(반출, 반입 등)
** 소산 백업매체 및 백업정보 내용
** 소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
** 소산장소에 대하여 다음과 같은 보안대책 마련
*** 화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)
** 소산장소 및 매체에 대한 접근통제 등
== 증거 자료 ==
* 백업 및 복구 절차
* 복구테스트 결과
* 소산백업 현황
== 결함 사례 ==
* 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
* 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
* 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
* 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.9.3.백업_및_복구관리"