[ISMS-P인증기준] 2.9.3 백업 및 복구관리

항목

---

2. 보호대책 요구사항

- 2.9. 시스템 및 서비스 운영관리

- 2.9.3 백업 및 복구관리

 

인증기준

---

정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

2.9.3 백업 및 복구관리

 

세부설명

---

■ 재해·재난, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하여야 한다.

 

- 백업대상 선정기준 수립

- 백업담당자 및 책임자 지정

- 백업대상별 백업 주기 및 보존기한 정의

- 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등

- 백업매체 관리(예 : 라벨링, 보관장소, 접근통제 등)

- 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해 복구 측면에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요

- 백업관리대장 관리 등

 

■ 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하여야 한다.

 

- 복구테스트 계획(복구테스트 주기 및 시점, 담당자, 방법 등)

- 복구테스트 시나리오 수립

- 복구테스트 실시 및 결과 보고

- 복구테스트 결과 문제점 발견 시 개선계획 수립 및 이행

 

 

■ 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하여야 한다.

 

- 중요정보가 저장된 백업매체는 운영 중인 정보시스템 또는 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리

‧ 소산일자(반출, 반입 등)

‧ 소산 백업매체 및 백업정보 내용

 

- 소산이 적절히 이루어지고 있는지 여부에 대하여 주기적으로 점검

 

- 소산장소에 대하여 다음과 같은 보안대책 마련

‧ 화재, 홍수와 같은 자연재해에 대한 대책(예 : 내화금고, 방염처리 등)

‧ 소산장소 및 매체에 대한 접근통제 등

 

결함사례

---

‧ 사례 1 : 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우

 

‧ 사례 2 : 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우

 

‧ 사례 3 : 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우

 

‧ 사례 4 : 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."