조직에 재해 복구 계획이 필요하지 않을 수 있습니다. 안
조직에는 중요한 처리 영역이나 시스템이 없을 수 있으며
긴 중단을 견뎌냅니다.
DRP는 가장 중요한 비즈니스 기능을 지원하는 데 필요한 시스템과 관련되어 있음을 기억하십시오.
DRP 계획은 재난이 발생했을 때 취해야 할 조치를 다루지만 DRP 계획은
질문의 핵심 작업에는 다음과 같은 계획을 사용하기 전에 발생하는 단계도 포함됩니다.
계획, 교육, 훈련, 물류 등의 개발.
효과적이기 위해 계획은 재해 조치 이전, 도중 및 이후를 확실히 포괄해야 합니다.
중견기업에 대한 계획을 세우는 데 몇 년이 걸릴 수 있습니다.
계획이 실제 재해 시나리오에서 실제로 사용되기 전에 발생해야 합니다. 계획
최악의 상황과 최선의 희망.
다른 모든 진술은 사실입니다.
클레멘트의 참고 사항:
아래는 이 질문과 매우 일치하는 계획이 법적으로 필요한 사람에 대한 훌륭한 기사입니다.
모든 회사에 계획이 필요합니까? 법적 답변은 NO입니다. 일부 기업, 업계에서는
법률이나 규정에 따라 계획을 세워야 합니다. 다음과 같은 공백 진술: 모두
회사는 정확하지 않을 계획이 있어야 합니다. 아래 기사는 미국에만 해당되지만
유사한 법률이 다른 많은 국가에도 존재할 것입니다.
유틸리티, 전력 등과 같은 일부 회사는 다음과 같이 정의된 경우 계획이 필요할 수도 있습니다.
정부의 중요 기반 시설. IT의 법적 측면은 항상 매우 복잡하고 다양합니다.
다른 나라. 법률을 준수하도록 항상 변호사와 상의하십시오 :-)
아래 세부 정보를 읽으십시오.
법적으로 누가 계획을 세워야 합니까?
위의 주의 사항과 함께 재해 복구 계획을 세워야 하는 의무가 있는 몇 가지 일반법을 살펴보겠습니다. 나는 그 요구 사항에 대한 근거를 포함시키려고 노력할 것입니다. 여기에는 그렇게 해야 한다는 묵시적 의무가 있으며 두 은행과 금융 기관이 반드시 계획을 가지고 있어야 합니다.
연방 금융 기관 심사 위원회(위원회)는 1978년 금융 기관 규제 및 금리 통제법(FIRA), 공법 95-630의 타이틀 X에 따라 1979년 3월 10일에 설립되었습니다. 1989년 1989년 금융 기관 개혁, 회복 및 집행법(FIRREA)의 XI장에 따라 심사 위원회(위원회)가 설립되었습니다.
위원회는 FRB(연방준비제도이사회), FDIC(연방예금보험공사), National 신용 조합 관리국(NCUA), 통화 감사국(OCC) 및 중고품 감독국(OTS) 금융 기관 감독의 획일성을 촉진하기 위한 권고 사항을 제시합니다. 즉, 모든 은행, 저축 및 대출, 신용 조합 및 기타 금융 기관은 이사회에서 채택한 원칙에 따라 관리됩니다.
2003년 3월에 위원회는 금융 기관 및 서비스 제공업체의 위험 관리 프로세스를 평가할 때 심사관에게 지침과 심사 절차를 제공하기 위해 고안된 비즈니스 연속성 계획 핸드북을 발표했습니다. 증권 중개인은 반드시 계획을 세워야 합니다
NASD(National Association of Securities Dealers)는 모든 회원이 비즈니스 연속성 계획을 갖도록 요구하는 규칙을 채택했습니다. NASD는 5,100개 이상의 중개 회사, 약 130,800개의 지점 및 658,770명 이상의 등록된 증권 대리인의 활동을 감독합니다.
2004년 6월 14일부로 이 규칙은 모든 NASD 회원사에 적용됩니다. 규칙 3510에 명시된 요구 사항은 다음으로 시작됩니다.
3510. 사업 연속성 계획. (a) 각 회원은 비상 사태 또는 중대한 사업 중단과 관련된 절차를 식별하는 서면 사업 연속성 계획을 작성하고 유지해야 합니다. 그러한 절차는 회원이 고객에 대한 기존 의무를 충족할 수 있도록 합리적으로 설계되어야 합니다. 또한 이러한 절차는 다른 브로커-딜러 및 상대방과의 기존 관계를 다루어야 합니다. NASD 직원에게 요청 시 비즈니스 연속성 계획을 즉시 제공해야 합니다.
참고 규칙은 브로커, 딜러 및 그 대리인과 같이 증권을 거래하는 모든 회사에 적용되며 상장 회사 자체에는 적용되지 않습니다. 전기 시설에는 계획이 필요합니다
현재 전력망과 관련된 재해 복구 기능이 변경되고 있습니다. 2005년 이전에는 FERC(Federal Energy Regulatory Commission)가 유틸리티 간의 자원 봉사 활동만 조정할 수 있었습니다. 이는 2005년 에너지 정책법(16 USC 824o)의 타이틀 XII 채택으로 변경되었습니다. 이 새로운 법률은 FERC가 ERO(Electric Reliability Organization)를 설립할 수 있는 권한을 부여합니다.
ERO는 미국의 "대량 전력 시스템의 모든 사용자, 소유자 및 운영자"에 대한 신뢰성 표준을 채택하고 시행할 수 있는 능력을 갖게 됩니다. 현재 FERC는 ERO 생성을 위한 규정을 마무리 짓고 있다. ERO가 생성되면 신뢰성 표준을 설정하는 프로세스가 시작됩니다.
ERO가 특히 허리케인 카트리나와 같은 광범위한 재해 후에 서비스 복원 및 재해 복구를 위한 표준을 채택할 것이라고 가정하는 것은 매우 안전합니다. 통신 유틸리티에는 계획이 있어야 하지만 그렇지 않을 수도 있습니다.
통신 유틸리티는 주간 서비스에 대해서는 연방 통신 위원회(FCC)에 의해, 주 내 서비스에 대해서는 주 공공 유틸리티 위원회(PUC)에 의해 연방 수준에서 관리됩니다.
FCC는 NRIC(네트워크 안정성 및 상호 운용성 위원회)를 만들었습니다. NRIC의 역할은 "최적의 신뢰성, 보안, 상호 운용성 및 공용 통신 네트워크 및 인터넷에 대한 액세스 가능성을 보장"하기 위해 FCC 및 통신 산업에 대한 권장 사항을 개발하는 것입니다. NRIC 회원은 통신 사업자, 위성, 케이블 텔레비전, 무선 및 컴퓨터 산업, 무역 협회, 노동 및 소비자 대표, 제조업체, 연구 기관, 정부 관련 조직을 비롯한 통신 서비스 및 제품의 제공자 및 사용자의 고위 대표입니다.
통신 사업자가 재해 복구 계획을 가지고 있어야 한다는 명시적인 조항은 없습니다. 그러나 재해 복구에 대한 이 시리즈의 기사에서 자주 언급했듯이 통신 시설은 테러의 표적이 되고 있습니다. 나는 그 점에 대해 마음을 바꾸지 않았으며 주의를 촉구한다.
또한 조직에 손실을 초래하는 재해가 발생한 경우 전화 회사의 책임이 무엇인지 고려할 수도 있습니다. 세 단어로: 별로입니다. 다음은 책임과 관련하여 대부분의 전화 회사 요금에 사용되는 설명입니다.
중과실 또는 고의적인 위법 행위에 대한 전화 회사의 책임은(있는 경우) 이 요금으로 제한되지 않습니다. 고객 또는 타인의 기타 청구 또는 소송과 관련하여 본 계약에 따라 서비스를 제공하는 과정에서 발생하는 실수, 누락, 중단, 지연 또는 오류 또는 전송 결함으로 인해 발생하는 손해에 대해 전화 회사의 책임은 다음과 같습니다. 모든 전송 또는 서비스의 오류, 누락, 중단, 지연, 오류 또는 결함이 발생하고 계속되는 서비스 기간 동안 고객에 대한 비례 요금에 해당하는 금액을 초과할 수 없습니다. (출처, 주요 항공사 일반환율)
모든 의료 제공자는 재해 복구 계획이 필요합니다
HIPAA는 1996년 Health Insurance Portability and Accountability Act, Public Law 104-191의 약어로 1986년 국세청 코드를 수정했습니다. Kennedy-Kassebaum 법이라고도 하는 이 법에는 제목 II라는 섹션이 포함되어 있습니다. 행정 간소화, "전자 데이터 교환을 표준화하여 의료 제공의 효율성을 높이고 표준을 설정하고 시행함으로써 의료 데이터의 기밀성 및 보안을 보호"해야 합니다.
이 법안은 보건복지부(Department of Health and Human Services, HHS)가 과거, 현재 또는 미래의 "개인적으로 식별 가능한 건강 정보"의 기밀성과 무결성을 보호하는 보안 표준을 보장하는 새로운 규칙을 발표할 것을 요구했습니다.
최종 보안 규칙은 2003년 2월 20일 HHS에서 발표되었으며 전자적으로 보관되거나 전송되고 개인과 관련된 모든 건강 정보에 대해 균일한 보호 수준을 제공합니다.
보안 규칙은 해당 대상이 생성, 수신, 유지 또는 전송하는 모든 ePHI(전자 보호 건강 정보)의 기밀성, 무결성 및 가용성을 보장하도록 해당 대상에 요구합니다. 또한 엔터티는 ePHI의 보안 또는 무결성에 대해 합리적으로 예상되는 위협이나 위험으로부터 보호하고, 개인 정보 보호 규칙에서 허용하거나 요구하지 않는 이러한 정보의 합리적으로 예상되는 사용 또는 공개로부터 보호하고, 직원의 규정 준수를 보장해야 합니다.
필요한 보호 조치에는 적절한 정책 및 절차의 적용, ePHI에 대한 물리적 액세스 보호, 네트워크, 컴퓨터 및 기타 전자 장치를 보호하기 위한 기술적 보안 조치가 마련되어 있는지 확인하는 것이 포함됩니다. 직원 10인 이상 회사
미국 노동부는 산업안전보건법(Occupational Safety and Health Act)의 일부로 작업장 안전과 관련하여 수많은 규칙과 규정을 채택했습니다. 예를 들어, 29 USC 654는 구체적으로 다음을 요구합니다.
(ㅏ)
각 고용주:
(1)
직원에게 사망이나 심각한 신체적 상해를 일으키거나 일으킬 가능성이 있는 알려진 위험 요소가 없는 고용 및 고용 장소를 각 직원에게 제공해야 합니다.
(2)
이 법에 따라 공포된 산업 안전 보건 기준을 준수해야 합니다.
(비)
각 직원은 자신의 행동과 행동에 적용되는 산업 안전 및 보건 기준과 이 법에 따라 발행된 모든 규칙, 규정 및 명령을 준수해야 합니다.
변호사를 위한 기타 고려 사항 또는 값비싼 연구 주제(미안, 에디!)
1977년 해외부패방지법(Foreign Corrupt Practices Act of 1977) 국세청(IRS) 납세자 정보 보호법 식품의약국(FDA) 의무 요건 국토안보 및 테러 방지 전염병(조류 독감) 예방 ISO 9000 인증 요건 라디오 및 TV 방송사 계약 의무 고객 문서 보호 및 보유법 개인 신원 도용...등!
귀하의 비즈니스 및 업계의 특정 요구 사항에 대해서는 법무 부서에 확인해야 한다고 말하는 것으로 충분합니다!
이 기사, 곧 출간될 책, 점점 늘어나는 변호사 농담에 통찰력 있는 공헌을 한 좋은 친구 Eddie M. Pope에게 감사드립니다. 복구 계획의 법적 측면에 대한 자세한 정보가 필요한 경우 Eddie는 저희 회사로 연락하거나 mailto:[email protected]으로 이메일을 보낼 수 있습니다. (물론 Eddie는 법적 조언을 줄 수 없지만 올바른 방향을 알려줄 수는 있습니다.)
이 기사가 우리가 계획하고 행운을 빌어야 하는 법적 이유의 복잡한 현실을 더 잘 이해하는 데 도움이 되기를 바랍니다.
http://www.informit.com/articles/article.aspx?p=777896에서 원본 기사를 참조하십시오.
http://www.informit.com/articles/article.aspx?p=677910&seqNum=1에서 주제에 대한 다른 흥미로운 기사를 참조하십시오.
이 질문에 사용된 참조:
KRUTZ, Ronald L. & VINES, Russel D., CISSP 준비 가이드:
컴퓨터 보안, John Wiley & Sons, 2001, 8장: 비즈니스 연속성 계획 및
재해 복구 계획(281페이지).

직무 순환은 개인 간의 활동 공모의 위험을 줄입니다. 공모를 통해 개인적 이득을 얻을 수 있는 민감한 정보나 시스템을 취급하는 개인이 있는 회사는 직무 분리와 직무 순환을 통합함으로써 이익을 얻을 수 있습니다. 위치를 바꾸면 개인이 정상적인 운영 절차를 벗어나서 수행하는 활동이 드러날 수 있으며, 이는 오류 또는 사기 행위를 강조 표시할 수 있습니다.
직무 순환은 피험자가 다른 작업으로 이동하기 전에 해당 작업을 수행하도록 할당된 시간을 제한하여 (민감한) 작업을 수행하는 피험자와 관련된 위험을 줄이는 방법입니다.
다음은 오답입니다. 키 에스크로는 키를 여러 부서에서 제어할 조각으로 분할하여 보관 중인 키를 보호하는 것과 관련이 있습니다. 키 에스크로는 정보를 해독하는 데 필요한 개인 키 또는 키의 복사본을 제3자가 유지 관리하도록 하는 프로세스입니다. 또한 키 에스크로는 암호화된 정보가 개인이 아닌 조직에 속하기 때문에 대부분의 조직에서 암호화를 사용하는 데 필수 사항으로 간주되어야 합니다. 그러나 종종 개인의 키가 정보를 암호화하는 데 사용됩니다.
업무 분리는 중요한 업무의 다른 부분에 대한 책임을 개별 개인에게 할당하여 한 사람이 시스템에 미칠 수 있는 영향을 제한함으로써 오류 및 불규칙성을 방지하거나 감지하는 기본 제어입니다. 한 개인이 특정 프로세스의 모든 단계를 실행할 수 있는 능력이 없어야 합니다. 이는 개인이 시스템에 데이터를 수정, 삭제 또는 추가할 수 있는 더 많은 액세스 및 기능을 가질 수 있는 중요한 비즈니스 영역에서 특히 중요합니다. 업무를 분리하지 않으면 다른 사람의 개입 없이 개인이 회사에서 돈을 횡령할 수 있습니다.
알아야 할 필요 원칙은 개인이 기밀 정보 또는 기타 민감한 정보에 액세스할 수 있어야 할 뿐만 아니라 할당된 직무를 수행하기 위해 해당 정보에 대한 요구 사항이 있어야 한다고 지정합니다. 일반 또는 제한된 사용자 계정이 대부분의 사용자에게 할당됩니다. 최소 권한 원칙에 따라 엄격하게 요구되는 권한으로만 제한되어야 합니다. 알아야 할 사항의 원칙에 따라 특정 개체에 대한 액세스를 제한해야 합니다.
최소 권한의 원칙은 시스템의 각 주체에게 승인된 작업을 수행하는 데 필요한 가장 제한적인 권한 집합(또는 가장 낮은 허가)을 부여해야 한다는 것입니다. 최소 권한은 사용자에게 작업 기능을 수행하는 데 필요한 액세스 권한만 부여하는 것을 말합니다. 일부 직원은 직무에 따라 다른 직원보다 더 많은 액세스 권한이 필요합니다. 예를 들어, 메인프레임 시스템에서 데이터 입력을 수행하는 개인은 인터넷 액세스가 필요하지 않거나 시스템에 입력하는 정보에 대한 보고서를 실행할 수 없습니다. 반대로, 감독자는 보고서를 실행할 필요가 있지만 데이터베이스의 정보를 변경할 수 있는 기능을 제공해서는 안 됩니다.
이 질문에 사용된 참조: Hernandez CISSP, Steven(2012-12-21). 공식(ISC)2 CISSP CBK 가이드, 제3판((ISC)2 Press)(Kindle Locations 10628-10631). Auerbach 간행물. 킨들 에디션. 및 Hernandez CISSP, Steven(2012-12-21). 공식(ISC)2 CISSP CBK 가이드, 제3판((ISC)2 Press)(Kindle Locations 10635-10638). Auerbach 간행물. 킨들 에디션. 및 Hernandez CISSP, Steven(2012-12-21). 공식(ISC)2 CISSP CBK 가이드, 제3판
((ISC)2 Press) (Kindle Locations 10693-10697). Auerbach 간행물. 킨들 에디션.
그리고
에르난데스 CISSP, 스티븐 (2012-12-21). 공식(ISC)2 CISSP CBK 가이드, 제3판
((ISC)2 Press) (Kindle Locations 16338-16341). Auerbach 간행물. 킨들 에디션.

이것은 피해자 시스템에 다른 연결을 여는 데 필요한 리소스가 더 이상 없을 때까지 수십 번만 발생하면 됩니다. 이렇게 하면 합법적인 컴퓨터에서 피해자 컴퓨터에 연결할 수 없게 되어 피해자 컴퓨터의 다른 시스템 서비스가 거부됩니다." 페이지 735 Shon Harris CISSP All-In-One Exam Guide