ISMS-P 인증 기준 2.9.3.백업 및 복구관리: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.9.3.백업 및 복구관리
!2.9.3.백업 및 복구관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
|정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립‧이행하고 있는가?
*백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립‧이행하고 있는가?
* 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
*백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
* 중요정보가 저장된 백업매체의 경우 재해‧재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
*중요정보가 저장된 백업매체의 경우 재해‧재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 백업 및 복구절차 수립과 이행 ====
재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기,방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.
 
*백업대상 선정기준 수립
*백업담당자 및 책임자 지정
*백업대상별 백업 주기 및 보존기한 정의
*백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
*백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)
*백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
*백업관리대장 관리 등<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 주요 백업 대상(예시)(대상 정보 및 정보시스템의 중요도를 고려하여 선정)'''
 
*중요정보(개인정보, 기밀정보 등)
*중요 데이터베이스
*각종 로그(정보시스템 감사로그, 이벤트 로그, 보안시스템 이벤트 로그 등)
*환경설정 파일 등</div>
 
==== 정기적 복구테스트 실시 ====
백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.
 
*복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
*복구테스트 시나리오 수립
*복구테스트 실시 및 결과 보고
*복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행
 
==== 물리적으로 먼 거리로 소산 백업 ====
중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.
 
*중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리
**소산일자(반출, 반입 등)
*소산 백업매체 및 백업정보 내용
*소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
*소산장소에 대하여 다음과 같은 보안대책 마련
**화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)
*소산장소 및 매체에 대한 접근통제 등
 
==증거 자료==
 
*백업 및 복구 절차
*복구테스트 결과
*소산백업 현황
 
==결함 사례==
 
*백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
*백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
*상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
*상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기,방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 백업대상 선정기준 수립
** 백업담당자 및 책임자 지정
** 백업대상별 백업 주기 및 보존기한 정의
** 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
** 백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)
** 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
** 백업관리대장 관리 등
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 주요 백업 대상(예시)(대상 정보 및 정보시스템의 중요도를 고려하여 선정)
* 중요정보(개인정보, 기밀정보 등)
* 중요 데이터베이스
* 각종 로그(정보시스템 감사로그, 이벤트 로그, 보안시스템 이벤트 로그 등)
* 환경설정 파일 등</div>
* 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.
** 복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
** 복구테스트 시나리오 수립
** 복구테스트 실시 및 결과 보고
** 복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행
* 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.
** 중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리
*** 소산일자(반출, 반입 등)
** 소산 백업매체 및 백업정보 내용
** 소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
** 소산장소에 대하여 다음과 같은 보안대책 마련
*** 화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)
** 소산장소 및 매체에 대한 접근통제 등
== 증거 자료 ==
* 백업 및 복구 절차
* 복구테스트 결과
* 소산백업 현황
== 결함 사례 ==
* 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
* 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
* 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
* 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 12:42, 26 June 2022


개요

항목 2.9.3.백업 및 복구관리
인증기준 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
주요 확인사항
  • 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립‧이행하고 있는가?
  • 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
  • 중요정보가 저장된 백업매체의 경우 재해‧재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?

세부 설명

백업 및 복구절차 수립과 이행

재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기,방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.

  • 백업대상 선정기준 수립
  • 백업담당자 및 책임자 지정
  • 백업대상별 백업 주기 및 보존기한 정의
  • 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
  • 백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)
  • 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
  • 백업관리대장 관리 등

※ 주요 백업 대상(예시)(대상 정보 및 정보시스템의 중요도를 고려하여 선정)

  • 중요정보(개인정보, 기밀정보 등)
  • 중요 데이터베이스
  • 각종 로그(정보시스템 감사로그, 이벤트 로그, 보안시스템 이벤트 로그 등)
  • 환경설정 파일 등

정기적 복구테스트 실시

백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.

  • 복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
  • 복구테스트 시나리오 수립
  • 복구테스트 실시 및 결과 보고
  • 복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행

물리적으로 먼 거리로 소산 백업

중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.

  • 중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리
    • 소산일자(반출, 반입 등)
  • 소산 백업매체 및 백업정보 내용
  • 소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
  • 소산장소에 대하여 다음과 같은 보안대책 마련
    • 화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)
  • 소산장소 및 매체에 대한 접근통제 등

증거 자료

  • 백업 및 복구 절차
  • 복구테스트 결과
  • 소산백업 현황

결함 사례

  • 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
  • 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
  • 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
  • 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)