ISMS(정보보호관리체계) 인증 기준 2.9.2 성능 및 장애관리

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.2 성능 및 장애관리

항목		상세내용
2.9.2	성능 및 장애관리	정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생시 효과적으로 대응하기 위한 탐지•기록•분석•복구•보고 등의 절차를 수립•관리하여야 한다.
주요 확인사항		ㆍ정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립•이행하고 있는가? ㆍ정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립•이행하고 있는가? ㆍ정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립•이행하고 있는가? ㆍ장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 장애조치내역을 기록하여 관리하고 있는가? ㆍ심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?
관련 법규		ㆍ 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제25조

 

● 중요사안

- 서비스 및 업무에 따른 대상 분류, 모니터링 수행을 위한 모니터링 절차를 마련하여야 한다.
- 메모리, 저장장치의 임계치 초과시 증설 등의 조치계획을 수립하고 이행하여야 한다.
- 장애 유형별 조치 기록 및 재발방지 대책을 수립해야 한다.
- 장애 발생을 인지하고 장애 유형별로 대응할 수 있도록 절차를 수립하고 관련 부서와 공유하여야 한다.
- 장애 발생 시 단계별 심각도에 따른 장애관리 절차를 수립하여야 한다.
- 장애 발생 시 절차에 따라 대응할 수 있도록 훈련하고, 장애 대응절차에 따라 장애 유형별로 관련 담당자에게 주기적으로 교육하여야 한다.
- 클라우드 서비스 제공자의 경우에는 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 기준에 따라 장애시 통지 등 기준에 따라 업무 절차를 수립하여야 한다.

 

● 운영현황

- 정보시스테의 성능관리 및 유지보수 관련 정책을 수립하고 있음
- 매월 장애방지회의를 통해 정보시스템 성능 및 용량에 대한 점검결과를 공유하고, 필요시 대책을 수립하고 있음
- 장애 유형 및 등급(심각도)을 정의하고, 장애에 대한 조기대응, 의사결정, 복구 및 사후처리에 관한 절차를 수립하고 있음
- 서비스 가용을 상시 모니터링하고 유사 시 서비스 트래픽을 재해복구센터로 전환하는 등의 절차를 이행하고 있음
- 장애발생 시 일시, 원인, 영향, 조치사항, 사후장애발생 방안을 포함하여 보고서를 작성하고 책임자에게 보고하고 있음

 

● 기록(증적자료)

- 성능 및 용량 모니터링 절차
- 장애대응 절차서
- 장애조치보고서
- 업무 연속성 계획서
- 비상연락망
- 재발방지 대책서

 

● 주요 결함사례

- 지침 및 절차에 따라 장애관리를 운영하고 있으나, 확인 결과 동일원인, 동일 유형의 장애가 발생되고 있으나 이에 대한 원인분석 및 재발방지 대책에 대한 증빙 확인이 불가한 경우
- 성능 및 용량 관리를 위한 대상별 요구사항(임계치)을 정의하고 있지 않거나 정기 점검 보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우
- 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립•이행이 이루어지고 있지 않은 경우
- 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내•외부 환경변화가 적절히 반영되어 있지 않은 경우
- 장애처리절차와 장애유형별 조치방법 간에 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족해 신속•정확한 체계적인 대응이 어려운 경우