2.9.2 성능 및 장애관리

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.9 시스템 및 서비스 운영관리	2.9.1 변경관리
	2.9.2 성능 및 장애관리
	2.9.3 백업 및 복구관리
	2.9.4 로그 및 접속기록 관리
	2.9.5 로그 및 접속기록 점검
	2.9.6 시간 동기화
	2.9.7 정보자산의 재사용 및 폐기

---

---

가용성 보장위한 성능 · 용량 요구사항(임계치) 정의

모니터링, 장애 대응 절차 수립 · 관리 

장애조치내역 기록 관리, 원인분석 · 재발방지 대책 마련

핵심 키워드 

 

성능 및 용량 모니터링 절차 수립 · 이행
임계치 초과 시 대응절차 수립 · 이행
장애 대응 절차 수립 · 이행
장애 조치내역 기록 및 관리
장애원인 분석 및 재발방지 대책 마련

 

연관 두음

 

---

 

인증기준

 

정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고
현황을 지속적으로 모니터링하여야 하며,
장애 발생 시 효과적으로 대응하기 위한
탐지 · 기록 · 분석 · 복구 · 보고 등의 절차를 수립 · 관리하여야 한다.

 

주요 확인사항

 

* 정보시스템의 가용성 보장을 위하여
  성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립 · 이행하고 있는가?

* 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한
  대응절차를 수립 · 이행하고 있는가?

* 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립 · 이행하고 있는가?

* 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통하여
  장애조치내역을 기록하여 관리하고 있는가?

* 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?

 

세부 설명

 

□ 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있도록

   다음 사항을 포함한 절차를 수립 · 이행하여야 한다.

 

▶ 성능 및 용량관리 대상 식별 기준 :

    서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 보안시스템을 식별하여 대상에 포함

▶ 정보시스템별 성능 및 용량 요구사항(임계치) 정의 :

    정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치 결정

▶ 모니터링 방법 :

    성능 및 용량 임계치 초과 여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립(예 : 알람 등)

▶ 모니터링 결과 기록, 분석, 보고

▶ 성능 및 용량 관리 담당자 및 책임자 지정 등

 

□ 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립 · 이행하여야 한다.

 

□ 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 다음 항목을 포함하여 수립 · 이행하여야 한다.

 

□ 장애 발생 시 절차에 따라 조치하고, 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하여야 한다.

 

□ 심각도가 높은 장애의 경우 원인분석을 통하여 재발방지 대책을 마련하여야 한다.

 

결함사례

 

사례 1 :
성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나
정기 점검 보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우

사례 2 :
성능 또는 용량 기준을 초과하였으나
관련 검토 및 후속조치방안 수립 · 이행이 이루어지고 있지 않은 경우

사례 3 :
전산장비 장애대응절차를 수립하고 있으나
네트워크 구성 및 외주업체 변경 등의 내 · 외부 환경변화가 적절히 반영되어 있지 않은 경우

사례 4 :
장애처리절차와 장애유형별 조치방법 간 일관성이 없거나
예상소요시간 산정에 대한 근거가 부족하여 신속 · 정확하고 체계적인 대응이 어려운 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)