K-ISMS 인증기준 - 13. IT재해복구






13.1 체계 구축



13.1.1 IT 재해복구 체계 구축

자연재앙, 해킹, 통신장애, 전력중단 등의 요인으로 인해 IT 시스템 중단 또는 파손 등 피해가 발생할 경우를 대비하여 비상 시 복구조직, 비상연락체계, 복구절차 등 IT 재해복구 체계를 구축하여야 한다.  



13.1.1.1 다음과 같은 내용을 포함하는 IT 재해복구 체계를 구축하고 있는가?


- 재해 시 복구조직 및 역할 정의

- 비상연락체게

- 복구순서 정의 

- 복구전략 및 대책

- 복구 절차 및 방법 등  

 ㅇ IT 재해 발생 시 신속한 복구가 가능하도록 다음과 같은 내용을 포함하여 IT 재해복구 체계를 구축하여야 한다.


- 재해 시 복구조직 및 역할 정의 :  IT 재해 발생 시 복구를 위한 관련부서 및 담당자 역할과 책임 부여

- 비상연락체계 : 조직 내 관련 부서 담당자, 유지보수 업체 등 복구 조직상 연락체계 구축

- 복구전략 및 대책 수립방법론 : 업무영향분석, 복구목표시간 및 복구시점 정의, 핵심 IT 서비스 및 시스템 식별 등

- 복구순서정의 : 복구목표시간별로 정보시스템의 복구순서 정의

- 복구절차 : 재해발생, 복구완료, 사후관리 단계 포함   







13.2 대책 구현


13.2.1 영향분석에 따른 복구대책 수립

조직의 핵심 서비스 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 IT 서비스 및 시스템 복구목표시간, 복구시점을 정의하고 적절한 복구전략 및 대책을 수립 ∙ 이행하여야 한다.



13.1.2.1 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 위험요인을 식별하고 위험요인에 따른 피해규모 및 업무에 미치는 영향을 고려하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가?  

 ㅇ IT 재해복구는 각종 재해 및 위험요인으로 인한 IT 서비스 중단 시 정상 기능으로 복구하는 모든 절차와 행위를 말한다. IT 서비스 중단을 초래할 수 있는 IT 재해 위험요인은 다음과 같다. 


- 자연재해 : 화재, 홍수, 지진, 태풍 등

- 외부요인 : 해킹, 통신장애, 전력 수급 중단 등

- 내부요인 : 시스템 결함, 기계적 오류, 사용자 실수, 의도적∙악의적 운영, 핵심 운영자 근무 이탈(사망, 병가, 휴가, 이직 등), 환경설정 오류 등


ㅇ IT 재해 발생으로 조직의 핵심 서비스(업무) 중단 시 피해규모 및 영향을 분석하여 핵심 IT 서비스 및 시스템을 식별하여야 한다. 피해규모 및 업무영향분석 시 다음사항을 고려할 수 있다. 


- 매출감소, 계약위약금 지급 등 재무적 측면

- 손해배상 소송 등 법적 측면

- 대외 이미지 하락 등 


13.1.2.2 핵심 IT 서비스 및 시스템의 복구목표시간, 복구시점을 정의하고 있는가?

 ㅇ IT 서비스 및 시스템 중단시점부터 복구되어 정상가동 될 때까지의 복구목표시간(RTO : Recovery Time Objective)과 데이터가 복구되어야 하는 복구시점(RPO : Recovery Point Objective)을 정의하여야 한다.


13.1.2.3 정의한 복구목표시간 및 복구시점을 달성할 수 있는 적절한 복구전략 및 대책을 수립하고 있는가?

ㅇ IT 재해발생 시 사전 정의한 서비스 및 시스템 복구목표시간 및 복구시점을 달성할 수 있도록 비용효과적인 복구전략 및 대책을 수립하여야 하며 실제로 IT 재해발생 시에는 사전 마련한 복구전략 및 대책에 따라 신속하게 복구를 하여야 한다.



13.2.2 시험 및 유지관리

IT 서비스 복구전략 및 대책에 따라 효과적인 복구가 가능한 지 시험을 실시하고 시험계획에는 시나리오, 일정, 방법, 절차 등을 포함하여야 한다. 또한 시험결과, IT 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다.  



13.2.2.1 수립된 IT 재해 복구 대책의 실효성을 판단하기 위하여 다음과 같은 내용이 포함된 시험계획을 수립 ∙ 수행하고 있는가?


- 일정 (일시 및 장소)

- 참여인원

- 범위

- 방법 (예 : 시나리오 기반)

- 절차 등

 ㅇ IT 서비스 및 시스템 복구전략 및 대책이 복구 목표를 달성하기에 효과적인 지 여부를 확인하기 위하여 시험 시나리오, 일정, 방법, 절차 등을 포함하는 시험계획을 수립하여야 한다.

또한 시험계획에 따라 정기적인 시험을 실시하여 복구전략 및 대책이 효과를 발휘하는지, 비상시 복구조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검하여야 한다. 


13.2.2.2 시험결과, IT 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토∙보완하고 있는가?

 ㅇ 시험 결과, IT 환경 변화, 법률 등에 따른 변화 등 조직 내외의 변화를 반영하지 못한 복구전략 및 대책은 실효성이 떨어질 수 있으므로, 공식적인 변화관리 절차를 마련하고, 이에 따라 현실을 반영, 보완하도록 하여야 한다.


 

K-ISMS 인증기준 - 12. 침해사고 관리






12.1 절차 및 체계



12.1.1 침해사고 대응절차 수립

DDoS 등 침해사고 유형별 중요도 분류, 유형별 보고 대응․복구 절차, 비상연락체계, 훈련 시나리오 등을 포함한 침해사고 대응 절차를 수립하여야 한다.  


12.1.1.1 침해사고대응절차가 수립되어 있고 대응절차에는 다음과 같은 사항을 포함하고 있는가?


- 침해사고의 정의 및 범위 (중요도 및 유형 포함)

- 침해사고 선포절차 및 방법

- 비상연락체계

- 침해사고 발생시 기록, 보고절차

- 침해사고 신고 및 통지 절차 (관계기관, 이용자 등)

- 침해사고 보고서 작성

- 침해사고 대응 및 복구 절차

- 침해사고 복구조직의 구성 및 책임, 역할

- 침해사고 복구장비 및 자원조달

- 침해사고 대응 및 복구 훈련, 훈련 시나리오

- 외부 전문가나 전문기관의 활용방안

- 기타 보안사고 예방 및 복구를 위하여 필요한 사항

ㅇ 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생시 보고 및 대응 절차, 사고 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립하여야 한다.



12.1.2 침해사고 대응체계 구축

침해사고 대응이 신속하게 이루어질 수 있도록 중앙 집중적인 대응체계를 구축하고 외부기관 및 전문가들과의 협조체계를 수립하여야 한다.


12.1.2.1 침해사고를 모니터링 하고 신속하게 대응할 수 있도록 모니터링 및 대응 방법, 절차, 대응 조직 및 인력, 보고 및 승인 방법 등을 포함한 중앙집중적인 대응체계를 수립하고 있는가?

 ㅇ 침해사고를 효과적으로 모니터링하고 신속하게 대응하기 위해서는 중앙집중적인 대응체계를 수립하여야 한다.


12.1.2.2 침해사고가 유형 및 중요도에 따라 분류되어 있고 이에 따른 보고체계를 정의하고 있는가?

 ㅇ 침해사고를 유형 및 중요도에 따라 분류하고 분류에 따른 보고체계를 정의하여야 한다.


12.1.2.3 외부관제시스템 등 외부 기관을 통해 침해사고 대응체계를 구축 ∙ 운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?

 ㅇ 침해사고 대응체계를 외부 기관을 통해 구축한 경우 수립된 침해사고 대응절차 및 체계를 계약서에 반영하여야 한다.

12.1.2.4 침해사고의 모니터링, 대응 및 처리와 관련된 외부전문가, 전문업체, 전문기관(KISA) 등과의 협조체계를 수립하고 있는가?

 ㅇ 침해사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가, 전문업체, 전문기관(KISA) 등과의 연락 및 협조체계를 수립하여야 한다.









12.2 대응 및 복구


12.2.1 침해사고 훈련

침해사고 대응 절차를 임직원들이 숙지할 수 있도록 시나리오에 따른 모의훈련을 실시하여야 한다.

12.2.1.1 침해사고 대응절차에 관한 모의훈련계획을 수립하고 이에 따라 주기적으로 훈련을 실시하고 있는가?

 ㅇ 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 주기적으로 침해사고 대응 훈련을 수행하여야 한다.



12.2.2 침해사고 보고

침해사고 징후 또는 사고 발생을 인지한 때에는 침해사고 유형별 보고절차에 따라 신속히 보고하고 법적 통지 및 신고 의무를 준수하여야 한다.


12.2.2.1 침해사고의 징후 또는 침해사고 발생을 인지한 경우 정의된 침해사고 보고절차에 따라 신속하게 보고가 이루어지고 있는가?

 ㅇ 하드웨어 및 소프트웨어상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 신속하게 보고하여야 한다.


12.2.2.2 침해사고보고서에는 사고 날짜, 사고 내용 등 필요 내용을 모두 포함하고 있는가?  

 ㅇ 침해사고 발생시 침해사고보고서가 작성되어야 하고, 보고서에는 다음과 같은 사항이 포함하여야 한다.


- 침해사고 발생일시

- 보고자와 보고일시

- 사고내용 (발견사항, 피해내용 등) 

- 사고대응 경과 내용

- 사고대응까지의 소요시간 등 


12.2.2.3 침해사고가 조직에 미치는 영향이 심각할 경우 최고경영층까지 신속하게 보고하고 있는가?

 ㅇ 조직의 유 ∙ 무형 자산에 심각한 영향을 끼칠 수 있는 침해사고가 발견되거나 발생한 경우 최고경영층까지 보고하여야 한다.


12.2.2.4 침해사고 발생 시 관련 법률 및 규정에 따라 신고, 통지하는 절차를 따르고 있는가?  

 ㅇ 침해사고 발생 시 법률이나 규정 등에 따라 관계기관에 신고하여야 하며 개인정보와 관련한 침해사고는 이용자(정보주체)에게 신속하게 통지하여야 한다.


※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등)

- 개인정보보호법 제34조(개인정보 유출 통지 등)  



12.2.3 침해사고 처리 및 복구

침해사고 대응절차에 따라 처리와 복구를 신속하게 수행하여야 한다.


12.2.3.1 침해사고가 발생한 경우 절차에 따라 처리 및 복구를 수행하고 그 기록을 남기고 있는가?


- 처리 및 복구 일시

- 담당자

- 처리 및 복구 방법

- 처리 및 복구 수행 경과 내용 (예 : 시작부터 종료까지 시간순으로 작성)

 ㅇ 침해사고 처리와 복구는 수립된 절차에 따라 수행하여야 하며 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하여야 한다.









12.3 사후관리



12.3.1 침해사고 분석 및 공유

침해사고가 처리되고 종결된 후 이에 대한 분석을 수행하고 그 결과를 보고하여야 한다. 또한 사고에 대한 정보와 발견된 취약점들을 관련 조직 및 임직원들과  공유하여야 한다.


12.3.1.1 침해사고가 종결된 후 사고의 원인을 분석하고 그 결과를 보고하고 있는가?

 ㅇ 침해사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며 그 결과가 보고되어야 한다.


12.3.1.2 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하고 있는가?

 ㅇ 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하여야 한다.



12.3.2 재발방지

침해사고로부터 얻은 정보를 활용하여, 유사 사고가 반복되지 않도록 재발방지 대책을 수립하고 이를 위해 필요한 경우 정책, 절차, 조직 등의 대응체계를 변경하여야 한다.


12.3.2.1 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?  

 ㅇ 침해사고 분석을 통해 얻어진 정보를 활용하여 유사사고가 반복되지 않도록 하는 재발방지 대책을 수립하여야 한다.


ㅇ 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호정책 및 절차 등의 사고대응체계에 대한 변경을 수행하여야 한다. 




+ Recent posts