ISMS-P 인증 기준 2.12.2.재해 복구 시험 및 개선

IT 위키


개요[편집 | 원본 편집]

항목 2.12.2.재해 복구 시험 및 개선
인증기준 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다.
주요 확인사항
  • 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립‧이행하고 있는가?
  • 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토‧보완하고 있는가?

세부 설명[편집 | 원본 편집]

  • 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립·이행하여야 한다.
    • 시험계획에 따라 정기적인 시험을 실시하여 복구 전략 및 대책이 효과적인지, 비상시 복구 조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검

※ IT 재해 복구 시험계획에 포함되어야 할 사항(예시)

  • 재해 복구 시험 일정(일시 및 장소)
  • 참여인원
  • 범위
  • 방법 및 시나리오
  • 절차 등
  • 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토·보완하여야 한다.
    • IT 재해 복구 계획에 대한 공식적인 변화관리 절차 마련
    • 재해 복구 시험 결과와 정보시스템 환경변화 등을 고려하여 복구 계획을 정기적으로 검토·보완

증거 자료[편집 | 원본 편집]

  • IT 재해 복구 절차서
  • IT 재해 복구 시험 계획서
  • IT 재해 복구 시험 결과서

결함 사례[편집 | 원본 편집]

  • 재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
  • 재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우
  • 재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우

같이 보기[편집 | 원본 편집]

참고 문헌[편집 | 원본 편집]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)