그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.3 백업 및 복구관리)

_그사람 2023. 3. 2. 07:46

항목 : 2.9.3 백업 및 복구관리

 

■ 인증기준 : 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관 장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

 

■ 주요 확인사항

  • 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하고 있는가?
  • 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가? 
  • 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?

■ 관련 법규

  • 개인정보 보호법 제29조(안전조치 의무) 
  • 개인정보의 안전성 확보조치 기준 제12조(재해·재난 대비 안전조치)

금융분야 추가확인사항

  • 전자금융감독규정 제13조(전산자료 보호대책) 제1항제8호, 제14조(정보처리시스템 보호대책) 제8호, 제15조(해킹 등 방지대책) 제1항제6호
  • 전자금융감독규정 제13조(전산자료 보호대책) 제1항제9호

 

 

 세부 설명

① 재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.

  • 백업대상 선정기준 수립
  • 백업담당자 및 책임자 지정 
  • 백업대상별 백업 주기 및 보존기한 정의 
  • 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
  • 백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등) 
  • 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요 
  • 백업관리대장 관리 등

금융분야 추가확인사항

  • 중요도에 따른 전산자료 및 정보처리시스템의 운영체제, 설정내용 등 정기적으로 백업하고 원격 안전지역에 소산하고 백업자료는 1년 이상 기록・관리

② 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.

  • 복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
  • 복구테스트 시나리오 수립
  • 복구테스트 실시 및 결과 보고
  • 복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행

③ 중요정보가 저장된 백업매체의 경우 재해・재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.

  • 중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리

       - 소산일자(반출, 반입 등)

       - 소산 백업매체 및 백업정보 내용

  • 소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
  • 소산장소에 대하여 다음과 같은 보안대책 마련

       - 화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)

       - 소산장소 및 매체에 대한 접근통제 등

 

 

 

 

 증적예시

  • 백업 및 복구 절차 
  • 복구테스트 결과 
  • 소산백업 현황

 

 결함사례

  1. 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우 
  2. 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우 
  3. 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
  4. 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람

저작자표시 비영리 변경금지 (새창열림)

'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.5 로그 및 접속기록 점검)  (0) 2023.03.03
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.4 로그 및 접속기록 관리)  (0) 2023.03.02
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.2 성능 및 장애관리)  (0) 2023.02.28
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.1 변경관리)  (2) 2023.02.27
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.6 운영환경 이관)  (0) 2023.02.24

'그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)'의 다른글

  • 현재글ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.3 백업 및 복구관리)

관련글

티스토리툴바