티스토리 뷰

ISMS-P | CPPG

[ISMS-P인증기준] 2.12.1 재해·재난 대비 안전조치

아이티안 2026. 3. 2. 20:45

항목

2. 보호대책 요구사항

  - 2.12. 재해 복구

  - 2.12.1 재해·재난 대비 안전조치

 

인증기준

자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다.

ISMS-P 인증기준 - 2.12.1 재해·재난 대비 안전조치
2.12.1 재해·재난 대비 안전조치

 

세부설명

■ 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고, 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하여야 한다.

 

- 자연재해, 해킹, 통신장애 등 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형 식별

- 다음 사항을 고려하여 재해 유형별 조직의 핵심 서비스(업무) 중단 시 피해규모 및 영향을 분석하여 핵심 IT 서비스 및 시스템을 식별

‧ 매출감소, 계약위약금 지급 등 재무적 측면

‧ 손해배상 소송 등 법적 측면

‧ 대외 이미지 하락, 경쟁력 손상 등 정성적 측면

 

■ 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하여야 한다.

- IT 서비스 및 시스템 중단시점부터 복구되어 정상가동될 때까지의 복구 목표시간(RTO : Recovery Time Objective)과 데이터가 복구되어야 하는 복구 목표시점(RPO : Recovery Point Objective)을 정의

 

 

■ 재해·재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획을 수립·이행하여야 한다.

 

- IT 재해 발생 시 사전 정의한 서비스 및 시스템 복구 목표시간 및 복구 목표시점을 달성할 수 있도록 비용효과적인 복구전략 및 대책 수립

 

- IT 재해 발생 시 신속한 복구가 가능하도록 다음 내용을 포함한 IT 재해 복구 체계 구축

‧ 재해 시 복구조직 및 역할 정의 : IT 재해 발생 시 복구를 위한 관련부서 및 담당자 역할과 책임 부여

‧ 비상연락체계 : 조직 내 관련 부서 담당자, 유지보수 업체 등 복구 조직상 연락체계 구축

‧ 복구 전략 및 대책 수립방법론 : 업무영향분석, 복구 목표시간 및 복구 목표시점 정의, 핵심 IT 서비스 및 시스템 식별 등

‧ 복구 순서 정의 : 복구 목표 시간별로 정보시스템의 복구 순서 정의

‧ 복구 절차 : 재해 발생, 복구 완료, 사후관리 단계 포함

 

- 개인정보처리자의 경우 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 함(개인정보의 안전성 확보조치 기준 제11조)

 

결함사례

‧ 사례 1 : IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우

 

‧ 사례 2 : 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위하여 백업센터를 구축하여 운영하고 있으나, 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우

 

‧ 사례 3 : 서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며, 이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우

 

‧ 사례 4 : 재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간, 복구 목표시점 등이 정의되어 있지 않은 경우

 

‧ 사례 5 : 현실적 대책 없이 복구 목표시간을 과도 또는 과소하게 설정하고 있거나, 복구 목표시점과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."

 

'ISMS-P | CPPG' 카테고리의 다른 글

[ISMS-P인증기준] 3.1.1 개인정보 수집·이용  (0) 2026.03.06
[ISMS-P인증기준] 2.12.2 재해 복구 시험 및 개선  (0) 2026.03.04
[ISMS-P인증기준] 2.11.5 사고 대응 및 복구  (0) 2026.02.27
[ISMS-P인증기준] 2.11.4 사고 대응 훈련 및 개선  (0) 2026.02.25
[ISMS-P인증기준] 2.11.3 이상행위 분석 및 모니터링  (0) 2026.02.23
댓글
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday