ISMS(정보보호관리체계) 인증 기준 2.9.3 백업 및 복구관리

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.3 백업 및 복구관리

항목		상세내용
2.9.3	백업 및 복구관리	정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립•이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.
주요 확인사항		ㆍ백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립•이행하고 있는가? ㆍ백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가? ㆍ중요정보가 저장된 백업매체의 경우 재해•재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치 의무) ㆍ개인정보의 안전성 확보조치 기준 제11조(재해ㆍ재난 대비 안전조치)

 

● 중요사안

- 백업 주기, 방법 등 백업 복구절차에 관련된 매뉴얼을 수립 및 운영하여야 한다.
  > 백업담당자 및 책임자, 백업대상별 백업 주기 및 보존기한, 백업방법 및 절차, 백업매체 관리, 백업 복구 절차, 복구 테스트 계획, 백업관리대장 관리 등 포함
- 매체 라벨링, 보관장소, 접근통제 방법 등 백업매체 소산관리에 관련된 사항을 매뉴얼에 명시하여야 한다.
- 백업대상에 내부관리용 시스템 등 누락되지 않도록 자산 분류 시 확인하고 백업 대상 리스트를 주기적으로 갱신하여 관리하여야 한다.
- 백업 결과 보고서 및 삭제 보고서를 주기적으로 확인 및 보고하고, 재해복구 훈련 등을 통해 복구 가능여부를 확인할 수 있는 프로세스를 마련하여야 한다.
  > 백업 데이터에 대한 무결성 확인을 위해 리스토어하여 가동해보는 것이 좋다.
  > 복구 훈련을 통해 복구기간을 산정하여야 한다. 특히, 데이터베이스의 경우는 리스토어 기간과 리커버리 시간을 고려하여야 한다.
- 법적 기준에 따라 지침 및 절차를 마련하여야 한다.

 

● 운영현황

- 정보시스템 유형별로 백업 및 복구절차를 수립하고 있음
  > 메인/DR 센터 운영
  > 데이터동기화솔루션 운영
- 정보시스템 로그, 데이터를 주기적으로 백업하고 있으며 정기적인 복구 테스트를 수행하고 있음
- 중요정보를 저장한 백업매체는 물리적으로 분리된 별도의 공간에 소산 보관하고 관리대장을 유지하고 있음

 

● 기록(증적자료)

- 백업 및 복구 절차서
- 백업 및 복구 지침 문서
- 복구테스트 결과
- 소산백업 현황 및 관리대장

 

● 주요 결함사례

- 백업 대상, 주기 방법, 절차 등이 포함된 백업 절차 및 기준이 수립되어 있지 않은 경우
- 내부 규정에 따라 별도로 백업하여 관리하도록 명시된 시스템 중에서 일부 시스템(정보보호시스템, 네트워크장비의 설정 파일 및 로그)에 대한 백업이 수행되고 있지 않은 경우
- 내부 규정에는 주기적으로 백업 매체에 대한 복구 테스트를 수행하도록 정하고 있으나 관련 복구 테스트를 수행하고 있지 않은 경우
- 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
- 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부시스템(정보보호시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
- 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 관련 테스트 절차를 수립•이행하지 않은 경우