반응형
ISMS-P 인증
2.9. 시스템 및 서비스 운영관리
2.9.1.변경관리
2.9.2.성능 및 장애관리
2.9.3.백업 및 복구관리
2.9.4.로그 및 접속기록 관리
2.9.5.로그 및 접속기록 점검
2.9.6.시간 동기화
2.9.7.정보자산의 재사용 및 폐기
ISMS-P 간편인증(7의2)
2.8. 시스템 및 서비스 운영관리
2.8.1. 변경관리
2.8.2. 백업 및 복구관리
2.8.3. 로그 및 접속기록 관리
ISMS-P 간편인증(7의3)
2.9. 시스템 및 서비스 운영관리
2.9.1. 변경관리
2.9.2. 백업 및 복구관리
2.9.3. 로그 및 접속기록 관리
(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업
개요
인증기준
정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
주요확인사항
* 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립‧이행하고 있는가?
* 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
* 중요정보가 저장된 백업매체의 경우 재해‧재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가
관련법규
*개인정보 보호법 제29조(안전조치 의무)
* 개인정보의 안전성 확보조치 기준 제11조(재해·재난 대비 안전조치)
세부 설명
1. 백업 및 복구절차 수립과 이행
재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기,방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.
* 백업대상 선정기준 수립
* 백업담당자 및 책임자 지정
* 백업대상별 백업 주기 및 보존기한 정의
* 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
* 백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)
* 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
* 백업관리대장 관리 등
※ 주요 백업 대상(예시)(대상 정보 및 정보시스템의 중요도를 고려하여 선정)
* 중요정보(개인정보, 기밀정보 등)
* 중요 데이터베이스
* 각종 로그(정보시스템 감사로그, 이벤트 로그, 보안시스템 이벤트 로그 등)
* 환경설정 파일 등
2. 정기적 복구테스트 실시
백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.
* 복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)
* 복구테스트 시나리오 수립
* 복구테스트 실시 및 결과 보고
* 복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행
3. 물리적으로 먼 거리로 소산 백업
중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.
* 중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리
- 소산일자(반출, 반입 등)
* 소산 백업매체 및 백업정보 내용
* 소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검
* 소산장소에 대하여 다음과 같은 보안대책 마련
- 화재, 홍수와 같은 자연재해에 대한 대책
* 소산장소 및 매체에 대한 접근통제 등
증거자료
* 백업 및 복구 절차
* 복구테스트 결과
* 소산백업 현황
결함사례
* 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
* 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
* 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
* 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우
참고 문헌
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)
반응형
'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글
| ISMS-P 인증 기준, 로그 및 접속기록 점검 (1) | 2025.03.31 |
|---|---|
| ISMS-P 인증 기준, 로그 및 접속기록 관리 (0) | 2025.03.28 |
| ISMS-P 인증 기준, 성능 및 장애관리 (1) | 2025.03.26 |
| ISMS-P 인증 기준, 변경관리 (0) | 2025.03.25 |
| ISMS-P 인증 기준, 운영환경 이관 (0) | 2025.03.24 |