1.통제 목적
자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해 규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다.
2.주요 확인사항
- 조직의 핵심 서비시(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가?
- 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하고 있는가?
- 재해 및 재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구절차 등 재해 복구 계획을 수립·이행하고 있는가?
3.결함 사례
1)IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우
2)비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업센터를 구축하여 운영하고 있으나 관련 정책에 백업센터를 활용한 재해복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우
3)서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며 이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우
4)재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간(RTO) 복구 목표시점(RPO) 등이 정의되어 있지 않은 경우
5)현실적 대책 없이 복구 목표시간(RTO)을 과도 또는 과소하게 설정하고 있거나 복구 목표시점(RPO)과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 3.1.1 개인정보 수집 제한 (0) | 2021.03.11 |
|---|---|
| 2.12.2 재해 복구 시험 및 개선 (0) | 2021.03.11 |
| 2.11.5 사고 대응 및 복구 (0) | 2021.03.04 |
| 2.11.4 사고 대응 훈련 및 개선 (0) | 2021.03.04 |
| 2.11.3 이상행위 분석 및 모니터링 (0) | 2021.03.04 |