ISMS-P 인증 기준 2.12.2.재해 복구 시험 및 개선
From IT Wiki
- 영역: 2.보호대책 요구사항
- 분류: 2.12.재해복구
개요[edit | edit source]
항목 | 2.12.2.재해 복구 시험 및 개선 |
---|---|
인증기준 | 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
- 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립·이행하여야 한다.
- 시험계획에 따라 정기적인 시험을 실시하여 복구 전략 및 대책이 효과적인지, 비상시 복구 조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검
※ IT 재해 복구 시험계획에 포함되어야 할 사항(예시)
- 재해 복구 시험 일정(일시 및 장소)
- 참여인원
- 범위
- 방법 및 시나리오
- 절차 등
- 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토·보완하여야 한다.
- IT 재해 복구 계획에 대한 공식적인 변화관리 절차 마련
- 재해 복구 시험 결과와 정보시스템 환경변화 등을 고려하여 복구 계획을 정기적으로 검토·보완
증거 자료[edit | edit source]
- IT 재해 복구 절차서
- IT 재해 복구 시험 계획서
- IT 재해 복구 시험 결과서
결함 사례[edit | edit source]
- 재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
- 재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우
- 재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)