주요사항

백업/복구 정책(대상,주기,방법,절차) 수립·이행, 정기적 복구 테스트, 소산 보관

인증기준

정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

확인사항

  • 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하고 있는가?
  • 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
  • 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?

가상자산 사업자 확인사항

  • 개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해·재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산하고 있는가?
    - 클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산하여야 함

결함사례

  • 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
  • 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
  • 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
  • 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우