재해 복구 및 비즈니스 연속성 감사

Disaster recovery and business continuity auditing

조직의 IT 운영을 위한 정보 기술 의존도가 높아짐에 따라, 비즈니스 연속성 계획은 전체 조직을 포괄하고 재해 복구는 IT에 초점을 맞춘다.

조직의 비즈니스 연속성재해 복구 계획을 다루는 문서에 대한 감사는 문서화가 완료되었으며 중요한 잘못된 표현을 포함하지 않는다는 제3자의 검증을 이해당사자에게 제공한다.

완전성의 결여는 2차적인 효과를 간과하는 결과를 초래할 수 있다. 예를 들어, 가정 내 작업량이 대폭 증가하여 복구 사이트 통신 용량이 과부하되고 처음 48시간 이내에 중요하지 않았던 격주 급여가 현재 정부 및 아마도 노동조합의 재구성에 의해 복잡하고 복구에 있어 인식된 문제를 야기하고 있다.기계 장치를 [1]달다

개요

종종 함께 사용되는 비즈니스 연속성과 재해 복구라는 용어는 매우 다르다.비즈니스 연속성(Business Continuity)[2]은 재해 발생 후에도 중요한 기능과 비즈니스 프로세스를 지속할 수 있는 기업의 능력을 말하는 반면, 재해 복구는 특히 비즈니스의 정보 기술(IT)과 데이터 중심 기능을 지칭하며, 비즈니스 연속성의 서브셋이다.

측정지표

주요 목적은 운영 및/또는 컴퓨터 서비스의 전부 또는 일부가 사용 불가능한 경우 조직을 보호하는 것이다.

MI에 대한 RPORTO의 연대를 보여주는 DR 계획.

재해 복구 중 다운타임 및 데이터 손실 최소화는 다음 두 가지 개념으로 측정된다.

  • RTO(복구 시간 목표), 시스템이 완전히 가동되어 실행될 때까지의 시간
  • RPO(복구 시점 목표) - 백업 복사본의 지정 시점 복원을 지정하여 파일을 복구할 수 있는 기능을 측정한 값.

감사자의 역할

감사인은 심사하고 평가한다.

  • BCP 및 DR 계획에 명시된 절차는 실제 실행과 일치한다.
  • 조직 내의 특정 개인은 재해 복구 담당자, 재해 복구 연락 담당자, DR 코디네이터 또는 기타 유사한 직함으로 불릴 수 있으며, 팀 구성원이 할당된 작업을 완료할 수 있는 능력을 분석하는 기술, 교육, 경험 및 능력을 가지고 있다.
  • 한 명 이상의 개인이 재해 복구 연습 중에 특정 기능을 수행할 수 있는 교육을 받는다.시험과 직원들의 문의는 이 목표를 달성하는데 도움을 줄 수 있다.

문서화

이러한 효율성을 극대화하기 위해 재해 복구 계획은 자주 업데이트될 때 가장 효과적이며 다음과 같이 해야 한다.

  • 모든 비즈니스 분석 프로세스의 필수적인 부분이다.
  • 주요 기업 인수 시마다, 신제품 출시 시마다, 그리고 새로운 시스템 개발 이정표마다 재방문된다.

조직은 적절한 기록을 보유할 필요가 있다.감사인은 기록물, 청구서, 계약서 등을 검토하여 기록물이 보관되고 있는지 확인한다.그러한 기록 중 하나는 조직의 하드웨어 및 소프트웨어 공급업체의 현재 목록이다.이러한 목록은 변화하는 비즈니스 관행을 반영하여 정기적으로 업데이트된다.그것의 복사본은 사이트 안팎에 저장되어 있으며, 필요한 사람들이 이용 가능하거나 접근할 수 있도록 되어 있다.감사인은 이 목적을 달성하기 위해 사용한 절차를 시험하고 그 효과를 결정한다.

재해 복구 계획

재해 복구 계획(DRP)은 조직의 재해 복구 프로세스를 실행하고 재해 발생 시 비즈니스 IT 인프라를 복구 및 보호하기 위한 문서화된 프로세스 또는 절차 모음입니다.[3]그것은 "재난 이전, 중, 후에 취해야 할 일관된 조치에 대한 포괄적 진술"[4]이다.그 재난은 자연적이거나 환경적이거나 인공적일 수 있다.인간이 만든 재난은 의도적인 것(예: 테러리스트의 행위)이거나 의도하지 않은 것(즉, 인간이 만든 댐의 파손과 같은 우발적인 것)일 수 있다.

계획 유형

일률적인 계획은 없지만 다음과 같은 세 가지 기본 전략이 있다.[5][3][5]

  1. 적절한 백업, 서지 보호기 및 생성기 보유 등 예방
  2. 새로운 (신규) 위협을 발견할 수 있는 일상적인 검사의 부산물인 탐지
  3. 수정[6]

후자에는 적절한 보험 증권의 확보와 "배운" 브레인스토밍 세션 개최 등이 포함될 수 있다.[3][7]

비즈니스 연속성 계획과의 관계

재해 복구는 비즈니스 연속성의 하위 집합이다.재해 발생 후 데이터 복구가 가능하도록 DRP가 정책, 도구 및 절차를 포괄하는 경우, BCP(비즈니스 연속성 계획)는 잠재적인 파괴적 사건에 관계없이 비즈니스의 모든 측면을 유지하는 것을 포함한다.이와 같이 비즈니스 연속성 계획은 데이터 침해 또는 기타 재해 사건이 발생할 경우 위협 방지, 탐지, 복구 및 운영 재개뿐만 아니라 DRP를 포함하는 종합적인 조직 전략이다.[8]따라서 BCP는 다음의 다섯 가지 구성요소 계획으로 구성된다.[9]

  • 사업재개 계획
  • 승객 비상 계획
  • 운영 계획의 연속성
  • 인시던트 관리 계획
  • 재해 복구 계획

첫 번째 세 가지 요소(비즈니스 재개, 입주자 비상, 운영 계획의 연속성)는 IT 인프라를 다루지 않는다.그 사고 관리 계획은 IT인프라에 대처하는가 했으나와 절차 한 조직의 IT시스템에 대해 사이버 공격에 대처하기 위해 구조를 확립하고, 그것은 일반적으로, IT관심의 유일한 바이트 제어 프로토콜 요소로 그 재난 복구 계획은 남겨두고 재난 복구 계획 활성화를 위한 동인을 나타내지 않(IMP).[9]

혜택들

모든 보험 플랜과 마찬가지로 적절한 계획에서 얻을 수 있는 혜택은 다음과 같다.[4]

  • 지연 위험 최소화
  • 대기 시스템의 신뢰성 보장
  • 계획 테스트 표준 제공
  • 재해 발생 시 의사 결정 최소화
  • 잠재적 법적 책임 감소
  • 불필요하게 스트레스를 받는 작업 환경 감소

계획 및 테스트 방법론

Disaster Recovery Journal의 제프리 월드에 따르면, 재해 복구 계획 개발에 관련된 모든 프로세스는 다음 10단계로 구성된다.[4]

  • 위험 평가 수행:기획위원회는 가능한 재해의 범위를 포함하는 리스크 분석과 비즈니스 영향 분석(BIA)을 준비한다.조직의 각 기능 영역을 분석하여 잠재적 결과를 결정한다.전통적으로 불은 가장 큰 위협이 되어왔다.철저한 계획은 본관 파괴와 같은 "최악의 사례" 상황을 제공한다.
  • 처리운영에 대한 우선순위 설정: 각 부서의 중요 니즈를 평가하고 우선순위를 정한다.선정된 대안에 대한 서면 합의서를 작성하며, 기간, 종료 조건, 시스템 시험, 비용, 모든 특별 보안 절차, 시스템 변경 통보 절차, 운영 시간, 처리에 필요한 특정 하드웨어 및 기타 장비, 인력 요건, 정의 등을 명시한다.e 비상사태를 구성하는 상황, 서비스 연장 협상 프로세스, 호환성 보장, 가용성, 비필수 자원 요구사항, 우선순위 및 기타 계약상 문제.
  • 데이터 수집 중:여기에는 다양한 목록(직원 백업 위치 목록, 중요 전화 번호 목록, 마스터 콜 목록, 마스터 공급업체 목록, 알림 체크리스트), 인벤토리(통신 장비, 문서, 사무 장비, 양식, 보험 정책, 작업 그룹 및 데이터 센터 컴퓨터 하드웨어, 마이크로컴퓨터 하드웨어 및 소프트웨어, 사무소 수)가 포함된다.pply, 외부 저장 위치 장비, 전화기 등), 유통 기록부, 소프트웨어 및 데이터 파일 백업/보관 일정, 임시 위치 사양, 기타 모든 목록, 자재, 재고 및 문서화.데이터 수집 프로세스를 용이하게 하기 위해 사전 포맷된 양식을 사용하는 경우가 많다.
  • 서면 계획 구성 및 문서화
  • 테스트 기준절차 개발: 테스트 이유:
    • 백업 시설 및 절차의 타당성 및 호환성 결정
    • 계획에서 수정이 필요한 영역 식별.
    • 팀 관리자 및 팀 구성원에게 교육 제공.
    • 조직의 복구 능력 입증
    • 재해 복구 계획의 유지 관리 및 업데이트에 대한 동기 부여
  • 계획 테스트:계획의 초기 "건식 실행"은 구조화된 보행시선 시험을 실시함으로써 수행된다.실제 시험 주행을 수행해야 한다.문제가 해결되다.

초기 테스트는 업무 중단을 최소화하기 위해 부분 및 정상 업무 시간 후에 계획할 수 있다.후속 테스트는 정상 업무 시간 동안 실시된다.

시험 유형에는 체크리스트 시험, 시뮬레이션 시험, 병렬 시험 및 완전한 중단 시험이 포함된다.

주의사항/논쟁

비용이 많이 들기 때문에 여러 가지 계획이 비평가들이 없는 것은 아니다.Dell은 BCP/DR 계획과 관련하여 자주 발생하는 5가지 "일반적인 실수"를 확인했다.[10]

  • 매입 부족:경영진이 DR 계획을 "또 하나의 가짜 지진 훈련"으로 보거나 CEO가 DR 계획 및 준비를 우선순위로 설정하지 못한 경우
  • 불완전한 RTORPO: 각각의 중요한 비즈니스 프로세스 또는 데이터 블록을 포함하지 못함잔물결은 재난의 영향을 확대할 수 있다.급여는 처음에는 업무상 중요한 것이 아닐 수 있지만, 며칠 동안 그대로 두면, 초기 문제보다 더 중요해질 수 있다.
  • 시스템 근시:세 번째 실패 지점은 더 큰 비즈니스 연속성 요구를 고려하지 않고 DR에만 집중하는 것이다.재해로 인해 기업 사무공간이 상실되면 즉각적인 원격근무자 풀로 인해 기업의 VPN이 하루아침에 과부하되고, 눈 깜짝할 사이에 IT 지원요원이 과부하되고, 심각한 병목현상이 초래되고, 전화 접속 PBX 시스템과의 독점이 발생할 수 있다.
  • 허술한 보안:재해가 발생하면 조직의 데이터와 비즈니스 프로세스가 취약해진다.이와 같이, 재해 복구 계획의 RTO에 수반되는 원시 속도보다 보안이 더 중요할 수 있다.가장 중요한 고려사항은 새로운 VPN에서 오프사이트 백업 서비스로부터의 연결에 이르는 새로운 데이터 파이프라인의 보안이다.
    • 재해 발생 시 사후 포렌식 계획
    • 분실된 핸드헬드 장치를 원격으로 잠그거나 지우기

결정 및 전략

  • 사이트 지정: 핫 사이트 vs 콜드 사이트.핫 사이트는 운영을 재개할 수 있는 완전한 장비를 갖추고 있지만 콜드 사이트는 그러한 기능을 가지고 있지 않다.따뜻한 사이트는 일부 작업을 재개할 수 있지만 모든 작업을 재개할 수는 없다.
비용 편익 분석이 필요하다.
  • 때때로 시험과 시험을 통해 계획의 실행 가능성과 효과를 검증한다.감사인은 계획에서 가정된 수준에서 조직의 운영이 지속될 수 있는 확률과 현장에서 실제로 운영을 설립할 수 있는 기업의 능력을 조사한다.
  • 감사인은 종이 및 종이 없는 문서와 실제 신체 관찰을 통해 이를 확인할 수 있다.스토리지 사이트의 보안도 확인된다.
  • 데이터 백업:백업 프로세스에 대한 감사는 (a) 효과적인지, (b) 관련 직원이 실제로 구현하고 있는지 여부를 결정한다.[11][12]
재해 복구 계획에는 복사되지 않은 데이터를 가장 잘 복구하는 방법에 대한 정보도 포함되어 있다.이 프로세스 중에 데이터가 손상, 변경 또는 파괴되지 않도록 하기 위해 제어 및 보호를 시행한다.
  • 훈련: 계획이 얼마나 효과적인지, 그리고 어떤 변화가 필요한지 결정하기 위해 주기적으로 시행되는 연습 훈련.감사관의 1차적인 관심사는 이러한 훈련이 적절하게 수행되고 있는지 그리고 이러한 훈련 동안에 발견된 문제들이 해결되었는지 확인하는 것이다.
  • 주기적인 교육교차 교육을 포함한 주요 인력 백업.

기타 고려사항

보험발행

감사는 회사의 보험에 대한 검토 및 기타 연구를 통해 회사의 보험(특히 재산·손해보험)의 적정성을 판단한다.감사관이 검증해야 할 사항으로는 정책의 범위(명시된 제외사항 포함)를 들 수 있으며, 커버리지의 양이 조직의 요구를 충분히 커버할 수 있으며, 정책이 최신이고 시행 중이라는 점을 들 수 있다.감사원은 또 독립된 등급평가기관이 부여한 등급에 대한 검토를 통해 보험회사나 보험회사가 재해가 발생했을 때 손실을 보전할 수 있는 재정적 생존력을 갖추고 있음을 확인한다.

효과적인 DR 계획은 다른 기업에 대한 기업의 책임의 정도와 큰 재난에도 불구하고 그러한 약속을 이행할 수 있는 능력을 고려한다.좋은 DR 감사에는 기존 MOA에 대한 검토와 재해나 기타 비정상적인 상황에 대한 수행 부족에 대한 조직의 법적 책임이 최소화되도록 하기 위한 계약이 포함될 것이다.기업에 대한 지원의 확립과 회생 지원과 관련된 합의도 요약되어 있다.이 분야를 평가하는 데 사용되는 기법으로는 계획의 타당성 검토, 계획의 모든 요소를 고려하는지의 여부 결정, 문서화 및 외부 연구를 통한 계약 및 합의의 타당성 검증 등이 있다.

통신 문제

감사인은 계획을 수립하여 경영진과 복구팀 모두 효과적인 통신 하드웨어, 비즈니스 파트너 및 주요 고객과 같은 내부 통신 및 외부 문제에 대한 연락처 정보를 보유하는지 검증해야 한다.

감사 기법에는 다음이 포함된다.

  • 절차의 테스트, 직원 인터뷰, 다른 회사의 계획 및 업계 표준과 비교,
  • 회사 매뉴얼 및 기타 서면 절차 검토
  • 비상 전화 번호가 나열되어 있고 재난 발생 시 쉽게 접근할 수 있다는 직접적인 관찰

응급절차

24시간 재해 복구 작업 중에 직원을 유지하는 절차는 모든 양호한 재해 복구 계획에 포함된다.식품과 물의 비축 절차, 심폐소생술/응급처치 능력, 가족 비상사태에 대처하는 능력이 명확하게 작성되고 시험된다.이는 일반적으로 회사가 좋은 교육 프로그램과 명확한 직무 책임 정의를 통해 달성할 수 있다.계획의 준비능력에 대한 검토는 종종 인사조회, 직접적인 신체관찰, 훈련기록 및 인증서의 검토와 같은 업무를 포함한다.

환경문제

감사인은 전력 장애 또는 IT가 아닌 다른 상황의 가능성을 고려한 절차를 검토해야 한다.

참고 항목

참조

  1. ^ "Are External Auditors Concerned about Cyber Risk disclosure" (PDF).
  2. ^ Susan Snedaker (2013). Business continuity and disaster recovery planning for IT professionals (2 ed.). Burlington: Elsevier Science. ISBN 9780124114517.
  3. ^ a b c Bill Abram (14 June 2012). "5 Tips to Build an Effective Disaster Recovery Plan". Small Business Computing. Retrieved 9 August 2012.
  4. ^ a b c Wold, Geoffrey H. (1997). "Disaster Recovery Planning Process". Disaster Recovery Journal. Adapted from Volume 5 #1. Disaster Recovery World. Archived from the original on 15 August 2012. Retrieved 8 August 2012.
  5. ^ a b "Disaster Recovery Planning - Step by Step Guide". Michigan State University. Archived from the original on 8 March 2014. Retrieved 9 May 2014.
  6. ^ "Backup Disaster Recovery". Email Archiving and Remote Backup. 2010. Archived from the original on 22 January 2013. Retrieved 9 May 2014.
  7. ^ "Disaster Recovery & Business Continuity Plans". Stone Crossing Solutions. 2012. Archived from the original on 23 August 2012. Retrieved 9 August 2012.
  8. ^ Radtke, Stefan. "Business Continuity and Disaster Recovery: How to Leverage the Cloud". Qumulo. Retrieved 8 October 2021.
  9. ^ a b Chad Bahan. (June 2003). "The Disaster Recovery Plan". Retrieved 24 August 2012.
  10. ^ Cormac Foster; Dell Corporation (25 October 2010). "Five Mistakes That Can Kill a Disaster Recovery Plan". Archived from the original on 2013-01-16. Retrieved 8 August 2012.
  11. ^ Constance Gustke (October 7, 2015). "Hurricane Joaquin Highlights the Importance of Plans to Keep Operating". The New York Times.
  12. ^ Berman, Alan. : 성공적인 비즈니스 연속성 계획 수립.Business Insurance Magazine, 2015년 3월 9일.http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
  • Messier, Jr., W. F. (2011). Auditing & Assurance Services: A Systematic Approach (8th ed.). New York: McGraw-Hill/Irwin. ISBN 9780077520151.
  • Gallegos, F.; Senft, S.; Davis, A. L. (2012). Information Technology Control and Audit (4th ed.). Boca Raton, FL: Auerbach Publications. ISBN 9781439893203.