ISMS-P 인증 기준, 성능 및 장애관리

 

ISMS-P 인증 

2.9. 시스템 및 서비스 운영관리

2.9.1.변경관리
2.9.2.성능 및 장애관리
2.9.3.백업 및 복구관리
2.9.4.로그 및 접속기록 관리
2.9.5.로그 및 접속기록 점검
2.9.6.시간 동기화
2.9.7.정보자산의 재사용 및 폐기

 

ISMS-P 간편인증(7의2)

2.8. 시스템 및 서비스 운영관리

2.8.1. 변경관리

2.8.2. 백업 및 복구관리

2.8.3. 로그 및 접속기록 관리

 

ISMS-P 간편인증(7의3) 

2.9. 시스템 및 서비스 운영관리

2.9.1. 변경관리

2.9.2. 백업 및 복구관리

2.9.3. 로그 및 접속기록 관리

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지·기록·분석·복구·보고 등의 절차를 수립·관리하여야 한다.

 

주요확인사항

* 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립·이행하고 있는가?
* 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립·이행하고 있는가?
* 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립·이행하고 있는가?
* 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하고 있는가?
* 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?

세부 설명

1. 모니터링 절차 수립·이행
정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있도록 다음 사항을 포함한 절차를 수립·이행하여야 한다.

* 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 보안시스템을 식별하여 대상에 포함
* 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치 결정
* 모니터링 방법 : 성능 및 용량 임계치 초과 여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립(예 : 알람 등)
* 모니터링 결과 기록, 분석, 보고
* 성능 및 용량 관리 담당자 및 책임자 지정 등

2.2 임계치 초과 시 대응 절차 수립·이행
정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립·이행하여야 한다.

정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치 방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립·이행

 

2.3 장애 대응 절차 수립·이행
정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 다음 항목을 포함하여 수립·이행하여야 한다.

* 장애유형 및 심각도 정의
* 장애유형 및 심각도별 보고 절차
* 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용
* 장애 대응 및 복구에 관한 책임과 역할 정의
* 장애기록 및 분석
* 대고객 서비스인 경우 고객 안내 절차
* 비상연락체계(유지보수업체, 정보시스템 제조사) 등

 

2.4 장애 조치 내역 기록
장애 발생 시 절차에 따라 조치하고, 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하여야 한다.

※ 장애조치보고서에 포함되어야 할 사항(예시)

* 장애일시
* 장애심각도(예: 상, 중, 하)
* 담당자, 책임자명(유지보수업체 포함)
* 장애내용(장애로 인한 피해 또는 영향 포함)
* 장애원인, 조치내용, 복구내용, 재발방지대책 등

2.5 재발 방지 대책
심각도가 높은 장애의 경우 원인분석을 통하여 재발방지 대책을 마련하여야 한다.

일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립·이행하여야 함.

증거자료

* 성능 및 용량 모니터링 절차
* 성능 및 용량 모니터링 증적(내부보고 결과 등)
* 장애대응 절차
* 장애조치보고서

결함사례

* 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우
* 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립·이행이 이루어지고 있지 않은 경우
* 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내·외부 환경변화가 적절히 반영되어 있지 않은 경우
* 장애처리절차와 장애유형별 조치방법 간 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속·정확하고 체계적인 대응이 어려운 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB