2.12.1 재해·재난 대비 안전조치

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

 

2.12 재해 복구	2.12.1 재해·재난 대비 안전조치
	2.12.2 재해 복구 시험 및 개선

---

---

재해 유형 식별, 핵심 업무 및 시스템 식별,

BIA, BCP/DRP, RTO · RPO,

유형3(십대견공 백소단) 해당

핵심 키워드 

 

IT 재해 유형 식별 및 핵심 업무 및 시스템 식별
복구 목표시간, 복구 목표시점 정의
RTO, RPO, 재해 복구체계 구축

 

연관 두음

 

---

 

인증기준

 

자연재해, 통신 · 전력 장애, 해킹 등
조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고,
유형별 예상 피해규모 및 영향을 분석하여야 한다.
또한 복구 목표시간, 복구 목표시점을 정의하고
복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다.

 

주요 확인사항

 

* 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고,
  유형별 피해규모 및 업무에 미치는 영향을 분석하여
  핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가?

* 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른
  복구 목표시간, 복구 목표시점을 정의하고 있는가?

* 재해·재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록
  복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등
  재해 복구 계획을 수립· 이행하고 있는가?

 

관련 법규 

 

세부 설명

 

□ 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고,

   유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하여야 한다.

 

 

□ 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하여야 한다.

 

▶ IT 서비스 및 시스템 중단시점부터 복구되어 정상가동될 때까지의

    복구 목표시간(RTO : Recovery Time Objective)과

    데이터가 복구되어야 하는 복구 목표시점(RPO : Recovery Point Objective)을 정의

 

□ 재해 · 재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록

   복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획을 수립 · 이행하여야 한다.

 

결함사례

 

사례 1 :
IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등
중요한 내용이 누락되어 있는 경우

사례 2 :
비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위하여
백업센터를 구축하여 운영하고 있으나,
관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아
재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우

사례 3 :
서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며,
이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우

사례 4 :
재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한
복구 우선순위, 복구 목표시간, 복구 목표시점 등이 정의되어 있지 않은 경우

사례 5 :
현실적 대책 없이 복구 목표시간을 과도 또는 과소하게 설정하고 있거나,
복구 목표시점과 백업정책(대상, 주기 등)이 적절히 연계되지 않아
복구 효과성을 보장할 수 없는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)