2.12.1 재해, 재난대비 안전조치

2. 보호대책 요구사항 > 2.12 재해복구 > 2.12.1 재해, 재난대비 안전조치

항목		상세내용
2.12.1	재해, 재난대비 안전조치	자연재해, 통신•전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다.
주요 확인사항		ㆍ조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가? ㆍ핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하고 있는가? ㆍ재해 및 재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획을 수립‧이행하고 있는가?
관련 법규

 

● 중요사안

- 조직의 비상조치 계획서를 기반으로 영향성, 역할별 부여하여 수립한다.
- 재해복구에 필요한 조직, 복구 절차, 비상연락망 등으로 구성된 재해복구 체계를 마련해야 한다.
- 재해 상항 시 업무가 받게되는 영향, 업무를 지원하는 각 IT 서비스와 관련 IT 자원이 받는 영향을 평가하고 그에 따라 재해복구에 대한 요구사항 및 복구우선순위를 정의하여야 한다.

 

● 운영현황

- 재해 및 재난대비 서비스(업무) 연속성을 대응하기 위한 업무연속성관리지침을 수립하고 있음
  > 비상대응조직 구성
  > IT 재해 정의(재해의 요인, 등급)
  > 비상대응절차
  > 비상대응훈련(목적, 방법, 절차)
- IT 재해를 분류하고 등급을 선정하며 재해발생 시 백업 및 복구 우선순위 자산을 식별하고 있음
- 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구목표시간(RTO), 복구목표시점(RPO)을 정의하고 있음
- 메인/DR 센터를 운영하여 비상 발생 시 즉각 전환 조치하고 있음

 

● 기록(증적자료)

- 업무연속성관리지침 문서
- IT 재해 복구 지침, 절차
- IT 재해 복구 계획(RTO, RPO 정의서)
- 비상연락망

 

● 주요 결함사례

- IT 재해 시 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등에 관한 내용 중 일부가 누락되어 있는 경우
- 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업 센터를 구축하여 운영하고 있으나 관련 전책에 백업센터를 활용한 재해복구 절차 등이 수립되어있지 않아 재해복구 시험 및 복구가 효과적으로 진행되기 어려운 경우
- 재해보구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구우선순위, 복구목표시간, 복구목표시점 등이 정의되어 있지 않거나 적절한 복구대책을 마련하고 있지 않은 경우
- 현실적 대책 없이 복구목표시간을 과도하게 또는 과소하게 설정하고 있거나 데이터 복구목표시점과 백업정책이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우
- 비즈니스에 영향을 줄 수 있는 주요 정보시스템에 대하여 식별되어 있지 않은 경우