항목 : 2.12.2 재해 복구 시험 및 개선
■ 인증기준 : 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다.
■ 주요 확인사항
- 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립· 이행하고 있는가?
- 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토·보완하고 있는가?
금융분야 추가확인사항
■ 관련 법규
- 전자금융감독규정 제23조(비상대책 등의 수립・운용) 제3항, 제10항, 제24조(비상대응훈련 실시) 제1항
■ 세부 설명
① 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립·이행하여야 한다.
- 시험계획에 따라 정기적인 시험을 실시하여 복구 전략 및 대책이 효과적인지, 비상시 복구 조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검
금융분야 추가확인사항
- 재해복구센터를 운영하는 금융회사는 매년 1회 이상 재해복구센터로 실제 전환하는 재해복구전환훈련을 실시하여 "업무지속성 확보방안"이 실제 효과가 있는지, 비상시 복구조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검하고 최신상태로 유지・관리
- 재해복구전환훈련은 비상대응훈련에 포함하여 실시 가능
- 전자금융보조업자에게 협조 요청 가능
※ 비상대응훈련 : 금융회사 또는 전자금융업자는 위기대응행동매뉴얼 또는 비상대책에 따라 연 1회 이상 실시하여야 하는 훈련
② 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토·보완하여야 한다.
- IT 재해 복구 계획에 대한 공식적인 변화관리 절차 마련
- 재해 복구 시험 결과와 정보시스템 환경변화 등을 고려하여 복구 계획을 정기적으로 검토·보완
■ 증적예시
- IT 재해 복구 절차서
- IT 재해 복구 시험 계획서
- IT 재해 복구 시험 결과서
■ 결함사례
- 재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
- 재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우
- 재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람