ISMS-P 인증 기준 2.9.2.성능 및 장애관리: Difference between revisions
From IT위키
(Imported from text file) |
No edit summary |
||
| Line 3: | Line 3: | ||
* '''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]] | * '''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]] | ||
== 개요 == | == 개요 == | ||
{| class="wikitable | |||
{| class="wikitable | |||
!항목 | !항목 | ||
!2.9.2.성능 및 장애관리 | !2.9.2.성능 및 장애관리 | ||
| Line 12: | Line 13: | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 | * 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립·이행하고 있는가? | ||
* 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 | * 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립·이행하고 있는가? | ||
* 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 | * 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립·이행하고 있는가? | ||
* 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 | * 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하고 있는가? | ||
* 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가? | * 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | == 세부 설명 == | ||
=== 모니터링 절차 수립·이행 === | |||
정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있도록 다음 사항을 포함한 절차를 수립·이행하여야 한다. | |||
* 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 보안시스템을 식별하여 대상에 포함 | |||
* 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치 결정 | |||
* 모니터링 방법 : 성능 및 용량 임계치 초과 여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립(예 : 알람 등) | |||
* 모니터링 결과 기록, 분석, 보고 | |||
* 성능 및 용량 관리 담당자 및 책임자 지정 등 | |||
=== 임계치 초과 시 대응 절차 수립·이행 === | |||
정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립·이행하여야 한다. | |||
* 정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치 방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립·이행 | |||
=== 장애 대응 절차 수립·이행 === | |||
정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 다음 항목을 포함하여 수립·이행하여야 한다. | |||
* 장애유형 및 심각도 정의 | |||
* 장애유형 및 심각도별 보고 절차 | |||
* 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용 | |||
* 장애 대응 및 복구에 관한 책임과 역할 정의 | |||
* 장애기록 및 분석 | |||
* 대고객 서비스인 경우 고객 안내 절차 | |||
* 비상연락체계(유지보수업체, 정보시스템 제조사) 등 | |||
=== 장애 조치 내역 기록 === | |||
장애 발생 시 절차에 따라 조치하고, 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하여야 한다. | |||
<div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | <div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | ||
'''※ 장애조치보고서에 포함되어야 할 사항(예시)''' | |||
* 장애일시 | * 장애일시 | ||
* 장애심각도(예: 상, 중, 하) | * 장애심각도(예: 상, 중, 하) | ||
| Line 44: | Line 55: | ||
* 장애내용(장애로 인한 피해 또는 영향 포함) | * 장애내용(장애로 인한 피해 또는 영향 포함) | ||
* 장애원인, 조치내용, 복구내용, 재발방지대책 등</div> | * 장애원인, 조치내용, 복구내용, 재발방지대책 등</div> | ||
=== 재발 방지 대책 === | |||
심각도가 높은 장애의 경우 원인분석을 통하여 재발방지 대책을 마련하여야 한다. | |||
* 일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립·이행하여야 함. | |||
== 증거 자료 == | == 증거 자료 == | ||
* 성능 및 용량 모니터링 절차 | * 성능 및 용량 모니터링 절차 | ||
| Line 51: | Line 65: | ||
* 장애대응 절차 | * 장애대응 절차 | ||
* 장애조치보고서 | * 장애조치보고서 | ||
== 결함 사례 == | == 결함 사례 == | ||
* 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 | * 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우 | ||
* 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립·이행이 이루어지고 있지 않은 경우 | * 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립·이행이 이루어지고 있지 않은 경우 | ||
* 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내·외부 환경변화가 적절히 반영되어 있지 않은 경우 | * 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내·외부 환경변화가 적절히 반영되어 있지 않은 경우 | ||
* 장애처리절차와 장애유형별 조치방법 간 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속·정확하고 체계적인 대응이 어려운 경우 | * 장애처리절차와 장애유형별 조치방법 간 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속·정확하고 체계적인 대응이 어려운 경우 | ||
== 같이 보기 == | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | * [[정보보호 및 개인정보보호관리체계 인증]] | ||
* [[ISMS-P 인증 기준]] | * [[ISMS-P 인증 기준]] | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | * [[ISMS-P 인증 기준 세부 점검 항목]] | ||
== 참고 문헌 == | == 참고 문헌 == | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) | ||
Latest revision as of 18:25, 28 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.9.시스템 및 서비스 운영관리
개요[edit | edit source]
| 항목 | 2.9.2.성능 및 장애관리 |
|---|---|
| 인증기준 | 정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지·기록·분석·복구·보고 등의 절차를 수립·관리하여야 한다. |
| 주요 확인사항 |
|
세부 설명[edit | edit source]
모니터링 절차 수립·이행[edit | edit source]
정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있도록 다음 사항을 포함한 절차를 수립·이행하여야 한다.
- 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 보안시스템을 식별하여 대상에 포함
- 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치 결정
- 모니터링 방법 : 성능 및 용량 임계치 초과 여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립(예 : 알람 등)
- 모니터링 결과 기록, 분석, 보고
- 성능 및 용량 관리 담당자 및 책임자 지정 등
임계치 초과 시 대응 절차 수립·이행[edit | edit source]
정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립·이행하여야 한다.
- 정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치 방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립·이행
장애 대응 절차 수립·이행[edit | edit source]
정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 다음 항목을 포함하여 수립·이행하여야 한다.
- 장애유형 및 심각도 정의
- 장애유형 및 심각도별 보고 절차
- 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용
- 장애 대응 및 복구에 관한 책임과 역할 정의
- 장애기록 및 분석
- 대고객 서비스인 경우 고객 안내 절차
- 비상연락체계(유지보수업체, 정보시스템 제조사) 등
장애 조치 내역 기록[edit | edit source]
장애 발생 시 절차에 따라 조치하고, 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하여야 한다.
※ 장애조치보고서에 포함되어야 할 사항(예시)
- 장애일시
- 장애심각도(예: 상, 중, 하)
- 담당자, 책임자명(유지보수업체 포함)
- 장애내용(장애로 인한 피해 또는 영향 포함)
- 장애원인, 조치내용, 복구내용, 재발방지대책 등
재발 방지 대책[edit | edit source]
심각도가 높은 장애의 경우 원인분석을 통하여 재발방지 대책을 마련하여야 한다.
- 일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립·이행하여야 함.
증거 자료[edit | edit source]
- 성능 및 용량 모니터링 절차
- 성능 및 용량 모니터링 증적(내부보고 결과 등)
- 장애대응 절차
- 장애조치보고서
결함 사례[edit | edit source]
- 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우
- 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립·이행이 이루어지고 있지 않은 경우
- 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내·외부 환경변화가 적절히 반영되어 있지 않은 경우
- 장애처리절차와 장애유형별 조치방법 간 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속·정확하고 체계적인 대응이 어려운 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
