섹션: 위험, 대응 및 복구
설명/참조:
조직에 재해 복구 계획이 필요하지 않을 수 있습니다. 조직에는 중요한 처리 영역이나 시스템이 없을 수 있으며 장기간의 중단을 견딜 수 있습니다.
DRP는 가장 중요한 비즈니스 기능을 지원하는 데 필요한 시스템과 관련되어 있음을 기억하십시오.
DRP 계획은 재난 발생 시 취해야 할 조치를 다루지만 문제의 핵심인 DRP 계획에는 계획 개발, 교육, 훈련, 물류 등과 같은 계획을 사용하기 전에 발생하는 단계도 포함됩니다. .
효과적이기 위해 계획은 재해 조치 이전, 도중 및 이후를 확실히 포괄해야 합니다.
중간 규모 회사를 위한 계획을 개발하는 데 몇 년이 걸릴 수 있습니다. 계획이 실제 재해 시나리오에서 실제로 사용되기 전에 일어나야 할 많은 일이 있습니다. 최악의 경우를 대비하고 최선의 것을 희망하십시오.
다른 모든 진술은 사실입니다.
클레멘트의 참고 사항:
아래는 이 질문과 매우 일치하는 계획이 법적으로 필요한 사람에 대한 훌륭한 기사입니다. 모든 회사에 계획이 필요합니까? 법적 답변은 NO입니다. 일부 회사, 산업은 법률 또는 규정에 따라 계획이 있어야 합니다. 다음과 같은 공백 진술: 모든 회사는 반드시 계획이 있어야 합니다. 정확하지 않습니다. 아래 기사는 미국에만 해당되지만 유사한 법률이 다른 많은 국가에도 존재할 것입니다.
유틸리티, 전력 등과 같은 일부 회사는 정부에서 Critical Infrastructure로 정의한 경우 계획이 필요할 수도 있습니다. IT의 법적 측면은 항상 매우 복잡하며 국가마다 다릅니다.
법률을 준수하도록 항상 변호사와 상의하십시오 :-) 아래 세부 정보를 읽으십시오.
법적으로 누가 계획을 세워야 합니까?
위의 주의 사항과 함께 재해 복구 계획을 세워야 하는 의무가 있는 몇 가지 일반법을 살펴보겠습니다. 나는 그 요구 사항에 대한 근거를 포함시키려고 노력할 것입니다. 묵시적 의무가 있는 경우, 그리고 두 은행과 금융 기관 간의 차이점은 무엇입니까? 1979년 10월 10일, 1978년 금융 기관 규제 및 이자율 통제법(FIRA) Title X, Public Law 95-
630. 1989년, 1989년 금융 기관 개혁, 회복 및 집행법(FIRREA) Title XI에 따라 심사 위원회(위원회)가 설립되었습니다.
위원회는 FRB(연방준비제도이사회), FDIC(연방예금보험공사), National 신용 조합 관리국(NCUA), 통화 감사국(OCC) 및 중고품 감독국(OTS) 금융기관 감독의 획일성을 촉진하기 위한 권고사항을 제시한다. 즉, 모든 은행, 저축 및 대출, 신용 조합 및 기타 금융 기관은 이사회에서 채택한 원칙에 따라 관리됩니다.
2003년 3월에 위원회는 금융 기관 및 서비스 제공업체의 위험 관리 프로세스를 평가할 때 심사관에게 지침 및 심사 절차를 제공하기 위해 고안된 비즈니스 연속성 계획 핸드북을 발표했습니다.
증권 중개인은 반드시 계획을 세워야 합니다
NASD(National Association of Securities Dealers)는 모든 회원이 비즈니스 연속성 계획을 갖도록 요구하는 규칙을 채택했습니다. NASD는 5,100개 이상의 중개 회사, 약 130,800개의 지점 및 658,770명 이상의 등록된 증권 대리인의 활동을 감독합니다.
2004년 6월 14일부로 이 규칙은 모든 NASD 회원사에 적용됩니다. 규칙에 명시된 요구 사항
3510, 다음으로 시작하십시오.
3510. 비즈니스 연속성 계획. (a) 각 회원은 비상 사태 또는 중대한 사업 중단과 관련된 절차를 식별하는 서면 사업 연속성 계획을 작성하고 유지해야 합니다. 그러한 절차는 회원이 고객에 대한 기존 의무를 충족할 수 있도록 합리적으로 설계되어야 합니다. 또한, 그러한 절차는 다른 브로커-딜러 및 거래 상대방과의 회원의 기존 관계를 다루어야 합니다.
비즈니스 연속성 계획은 NASD 직원에게 요청 시 즉시 제공되어야 합니다.
노트:
이 규칙은 브로커, 딜러 및 그 대리인과 같이 증권을 거래하는 모든 회사에 적용되며 상장 회사 자체에는 적용되지 않습니다.
전기 유틸리티에는 계획이 필요합니다
현재 전력망과 관련된 재해 복구 기능이 변경되고 있습니다. 2005년 이전에는 FERC(Federal Energy Regulatory Commission)가 유틸리티 간의 자원 봉사 활동만 조정할 수 있었습니다.
이것은 2005년 에너지 정책법의 타이틀 XII(16 USC 824o)의 채택으로 변경되었습니다. 이 새로운 법률은 FERC가 ERO(Electric Reliability Organization)를 만들 수 있도록 승인합니다.
ERO는 미국의 "벌크 전력 시스템의 모든 사용자, 소유자 및 운영자"에 대한 신뢰성 표준을 채택하고 시행할 수 있는 능력을 갖게 됩니다. 현재 FERC는 ERO 생성을 위한 규정을 마무리 짓고 있다. ERO가 생성되면 신뢰성 표준을 설정하는 프로세스가 시작됩니다.
ERO가 특히 허리케인 카트리나와 같은 광범위한 재해 후에 서비스 복원 및 재해 복구를 위한 표준을 채택할 것이라고 가정하는 것이 매우 안전합니다.
통신 유틸리티에는 계획이 있어야 하지만 그렇지 않을 수도 있습니다.
통신 유틸리티는 주간 서비스에 대해서는 연방 통신 위원회(FCC)에 의해, 주 내 서비스에 대해서는 주 공공 유틸리티 위원회(PUC)에 의해 연방 수준에서 관리됩니다.
FCC는 NRIC(네트워크 안정성 및 상호 운용성 위원회)를 만들었습니다. NRIC의 역할은 "공공 통신 네트워크와 인터넷의 최적의 신뢰성, 보안, 상호 운용성 및 상호 연결성 및 액세스 가능성을 보장"하기 위해 FCC 및 통신 산업에 대한 권장 사항을 개발하는 것입니다. NRIC 회원은 통신 사업자, 위성, 케이블 텔레비전, 무선 및 컴퓨터 산업, 무역 협회, 노동 및 소비자 대표, 제조업체, 연구 기관, 정부 관련 조직을 포함한 통신 서비스 및 제품의 제공자 및 사용자의 고위 대표입니다.
통신 사업자가 재해 복구 계획을 가지고 있어야 한다는 명시적인 조항은 없습니다. 그러나 재해 복구에 대한 이 시리즈의 기사에서 자주 언급했듯이 통신 시설은 테러의 표적이 되고 있습니다. 나는 그 점에 대해 마음을 바꾸지 않았으며 주의를 촉구한다.
또한 조직에 손실을 초래하는 재해가 발생한 경우 전화 회사의 책임이 무엇인지 고려할 수도 있습니다. 세 단어로: 별로입니다. 다음은 책임과 관련하여 대부분의 전화 회사 요금에 사용되는 설명입니다.
중과실 또는 고의적 위법 행위에 대한 전화 회사의 책임은 이 요금제에 의해 제한되지 않습니다. 고객 또는 타인에 의한 기타 청구 또는 소송과 관련하여 본 계약에 따라 서비스를 제공하는 과정에서 발생하는 실수, 누락, 중단, 지연 또는 오류 또는 전송 결함으로 인해 발생하는 손해에 대해 전화 회사의 책임은 다음과 같습니다. 전송 또는 서비스의 오류, 누락, 중단, 지연, 오류 또는 결함이 발생하고 계속되는 서비스 기간 동안 고객에 대한 비례 요금에 해당하는 금액을 초과할 수 없습니다. (출처, 주요 항공사에 대한 일반 교환 관세) 모든 의료 제공자는 재해 복구 계획이 필요합니다 HIPAA는 1996년 건강 보험 이동성 및 책임법(Health Insurance Portability and Accountability Act)의 약어입니다. 1986년 국세청 코드를 수정한 공법 104-191. Kennedy-Kassebaum 법이라고도 하는 이 법에는 행정 간소화라는 제목의 Title II 섹션이 포함되어 있습니다. , 그리고 표준을 설정하고 시행함으로써 건강 데이터의 기밀성과 보안을 보호합니다." 이 법안은 보건복지부(Department of Health and Human Services, HHS)가 과거, 현재 또는 미래에 "개인적으로 식별 가능한 건강 정보"의 기밀성과 무결성을 보호하는 보안 표준을 보장하는 새로운 규칙을 발표할 것을 요구했습니다. "전자 데이터 교환을 표준화하여 의료 제공의 효율성을 높이고 표준을 설정하고 시행함으로써 의료 데이터의 기밀성 및 보안을 보호합니다." 이 법안은 보건복지부(Department of Health and Human Services, HHS)가 과거, 현재 또는 미래에 "개인적으로 식별 가능한 건강 정보"의 기밀성과 무결성을 보호하는 보안 표준을 보장하는 새로운 규칙을 발표할 것을 요구했습니다. "전자 데이터 교환을 표준화하여 의료 제공의 효율성을 높이고 표준을 설정하고 시행함으로써 의료 데이터의 기밀성 및 보안을 보호합니다." 이 법안은 보건복지부(Department of Health and Human Services, HHS)가 과거, 현재 또는 미래에 "개인적으로 식별 가능한 건강 정보"의 기밀성과 무결성을 보호하는 보안 표준을 보장하는 새로운 규칙을 발표할 것을 요구했습니다.
최종 보안 규칙은 2003년 2월 20일 HHS에서 발표되었으며 전자적으로 보관되거나 전송되고 개인과 관련된 모든 건강 정보에 대해 균일한 수준의 보호를 제공합니다.
보안 규칙은 해당 주체가 생성, 수신, 유지 또는 전송하는 모든 ePHI(전자 보호 건강 정보)의 기밀성, 무결성 및 가용성을 보장하도록 해당 주체에 요구합니다.
또한 엔터티는 ePHI의 보안 또는 무결성에 대한 합리적으로 예상되는 위협이나 위험으로부터 보호하고, 개인 정보 보호 규칙에서 허용하거나 요구하지 않는 그러한 정보의 합리적으로 예상되는 사용 또는 공개로부터 보호하고, 직원의 규정 준수를 보장해야 합니다.
필요한 보호 조치에는 적절한 정책 및 절차의 적용, ePHI에 대한 물리적 액세스 보호, 네트워크, 컴퓨터 및 기타 전자 장치를 보호하기 위한 기술적 보안 조치가 마련되어 있는지 확인하는 것이 포함됩니다.
직원이 10명 이상인 회사
미국 노동부는 산업안전보건법(Occupational Safety and Health Act)의 일부로 작업장 안전과 관련하여 수많은 규칙과 규정을 채택했습니다. 예를 들어, 29 USC 654는 구체적으로 다음을 요구합니다.
(a) 각 고용주:
(1) 직원에게 사망이나 심각한 신체적 상해를 일으키거나 일으킬 가능성이 있는 인정된 위험이 없는 고용 및 고용 장소를 각 직원에게 제공해야 합니다. (2) 이 법에 따라 공포된 산업안전보건기준을 준수하여야 한다.
(b) 각 직원은 자신의 행동과 행동에 적용되는 산업 안전 및 보건 기준과 이 법에 따라 발행된 모든 규칙, 규정 및 명령을 준수해야 합니다.
변호사를 위한 기타 고려 사항 또는 비용이 많이 드는 연구 질문(죄송합니다, Eddie!) 1977년 해외부패방지법 국세청(IRS) 납세자 정보 보호를 위한 법률 식품의약국(FDA) 의무 요건 국토 안보 및 테러 방지 대유행(조류 독감) ) 예방 라디오 및 TV 방송사에 대한 ISO 9000 인증 요구 사항 고객에 대한 계약 의무 문서 보호 및 보유 법률 개인 신원 도용...등!
귀하의 비즈니스 및 업계의 특정 요구 사항에 대해 법무 부서에 확인해야 한다고 말하는 것으로 충분합니다!
이 기사, 곧 출간될 책, 점점 늘어나는 변호사 농담에 대한 통찰력 있는 공헌에 대해 제 좋은 친구인 Eddie M. Pope에게 감사드립니다. 복구 계획의 법적 측면에 대한 자세한 정보를 원하는 경우 Eddie가 저희 회사로 연락하거나 mailto:
[email protected]으로 이메일을 보낼 수 있습니다. (Eddie는 물론 법적 조언을 줄 수 없지만 올바른 방향을 알려줄 수는 있습니다.) 이 기사가 우리가 계획하고 행운을 빌어야 하는 법적 이유의 복잡한 현실을 더 잘 이해하는 데 도움이 되기를 바랍니다. 기사: http://www.informit.com/articles/article.aspx?p=777896 이 주제에 대한 또 다른 흥미로운 기사: http://www.informit.com/articles/article.aspx?
p=677910&seqNum=1
이 질문에 사용된 참조:
KRUTZ, Ronald L. & VINES, Russel D., CISSP Prep Guide: Mastering the Ten Domains of Computer Security, John Wiley & Sons, 2001, 8장: 비즈니스 연속성 계획 및 재해 복구 계획(281페이지).
