제1장 총칙
제1조 (목적)
본 지침은 「한신대학교 재해·재난 대비 개인정보처리시스템 위기대응 지침(이하 “대응지침”이라 한다)」지진, 화재 등 재해·재난 대응의 중요성이 높아짐에 따라 정보처리시스템의 위기대응체계 및 개인정보처리시스템의 신속한 복구와 원활한 업무처리 재개를 목적으로 한다.
제2조 (관련 법률)
개인정보보호법 제29조, 시행령 제30조, 개인정보의 안전성확보 조치 고지 제12조 1항
제3조 (적용범위)
본 지침의 적용범위는 내부관리계획의 적용 범위를 따른다.
제4조 (용어 정의)
① 재해·재난 : 태풍, 홍수, 지진, 낙뢰 등 이상적인 자연현상 또는 붕괴, 폭발등으로 사회적 혼란을 유발할 수 있는 사고
② 개인정보처리시스템 위기 : 개인정보처리시스템이 재해·재난으로 인한 장애로 인해 개인정보가 유출, 손실, 훼손 되거나 서비스 제공이 중단 가능한 시간을 초과하는 경우
③ 백업 : 잘못되거나 부주의한 조작으로 인하여 데이터가 손실될 것에 대비하여 미리 남겨둔 복사 본
④ 재해복구시스템 : 재해·재난 발생 시 데이터를 보존하고 자동 복구 하는 장치
⑤ 재해복구시스템 복구 수준 : 본원 또는 IDC에서 기관을 위해 정의한 재해복구서비스의 복구 수준
제2장 위기대응 절차
제5조(절차 개요)
개인정보처리시스템의 위기 발생 시 예방, 대응, 복구 및 복원으로 이루어지는 3가지 단계로 정의함.

제6조 (단계별 정의)
① 1단계 : 예방
1. 위기상황이 발생하기 전 예상되는 문제들을 미리 보완하고 대비
2. 위기대응 조직, 위기, 복구목표 등 위기대응 체계 검토
3. 주기적 백업 실시 및 위기대응 훈련 실시를 통해 위기대응 준비
4. 실제 발생 가능한 사고에 대한 정기적 점검
② 2단계 : 대응
1. 재해·재난으로 위기상황이 발생하여 위기대응 체계에 따라 대응 실시
2. 위기대응 조직을 소집하고 위기 정의하여 위기상황 선포
3. 비상연락체계를 가동하고 위기대응 조직의 역할에 따라 대응 실시
③ 3단계 : 복구 및 복원
1. 복구목표에 따라 우선순위가 높은 업무부터 복구 및 복원 실시
2. 복구 및 복원이 완료되면 위기상황의 종료를 선언하고 위기대응 시 이슈사항을 위기대응 체계에 반영하여 개선
3. 위기상황으로 인한 피해를 수습하고 위기내용 학습
4. 사후 처리 및 위기대응 매뉴얼 지속 관리
제3장 위기대응 체계
제7조 (개인정보처리시스템 구성)
① 홈페이지 및 시스템
② 전산망 : 인터넷망 및 내부 업무 전산망
시스템명 | 관련 홈페이지 |
---|---|
클라우드 한신종합정보 시스템 | hsctis.hs.ac.k |
③ 개인정보처리시스템의 변경 사항은 ‘별지 제1호(개인정보처리시스템 구성 현황)’에 기록하여 유지 관리해야 함
제8조 (위기대응 조직 구성)
① 조직 구성도

② 역할 및 책임
구분 | 역할 및 책임 |
---|---|
위기대응 총괄책임자 [사무처장(CPO)] |
위기대응 대응 업무 총괄 위기 선포 및 위기 대응 조직 구성원에게 업무를 지시 위기대응 상황 종료 선언 및 사후 조치 승인 |
위기대응 총괄책임자 [사무부처장] |
위기상황 발생 시 대응 및 종료 후 사후 조치 총괄 |
개인정보보호 담당자 [총무팀] |
위기 상황 보고 및 전파 유관 기관과 연락망 가동 및 정보공유 평상 시 위기대응 계획 수립 및 검토 |
부서 실무담당자 [개인정보처리 담당자] |
담당 개인정보처리시스템 현황 확인 및 복구 관할 정보주체 및 개인정보취급자들에게 정보공유 |
정보보안 담당자 [정보시스템팀] |
위기대응 진행상황 전파 정보시스템 내 장비에 대한 기술적 복구 및 운용 |
③ 부서 실무담당자(개인정보처리 담당자)는 역할의 적절성을 주기적으로 검토 및 갱신하고 조직의 인력 변동 시 각각의 역할이 누락 없이 인수인계 되도록 해야 함
제9조 (재해·재난에 따른 파급효과 및 초기 대응)
① 위기의 정의
재해·재난으로 인한 개인정보처리시스템 위기는 아래와 같이 손실, 유출 및 훼손, 중단으로 구분됨
영역 | 위기 | 재해·재난 발생 시 파급효과 | 초기대응방안 |
---|---|---|---|
개인정보 | 유출 | 재해·재난으로 인해 개인정보가 유출된 경우 | 개인정보 침해사고 대응절차의 ‘[붙임 4] 긴급 대응 조치 방법’의 개인정보 유출에 따라 대응 |
손실 및 훼손 | 재해·재난으로 인해 개인정보가 유출되지는 않았으나 전부 또는 일부가 사용할 수 없게 된 경우 | 손실 범위 확인 (25%, 50%, 75%) 긴급 복구 진행 |
|
서비스 | 중단 | 재해·재난으로 인해 개인정보 자체는 안전하게 보관되고 있지만 서버 또는 네트워크의 장애 등으로 인해 서비스가 제공되지 못하는 경우 | 장애 위치 확인 긴급 절체로 서비스 제공 장애 복구 진행 |
② 위기 등급 분류
위기 등급의 분류는 ‘사이버위기대응 및 재난복구 매뉴얼’ ‘1.자산별 복구 순위 2. 심각도의 정의’에 개인정보 손실 및 훼손 범위
(25%, 50%, 75%)를 반영
심각도 | 시스템 중요도 | 심각도 상태 |
---|---|---|
심각도1 | 1등급 | 시스템 전체 혹은 일부의 사용불가 |
1등급 | 75% 이상의 사용자의 어플리케이션 접속 불가능 75% 이상의 개인정보 손실 및 훼손 |
|
심각도2 | 1등급 | 즉각적이지는 않지만 중요한 시스템의 핵심부분이 기능적으로 정확히 동작하지 않으며, 그로 인하여 일부 비즈니스에 영향을 끼치는 상태 |
2등급 | 시스템 전체 혹은 일부의 사용불가 50% 이상의 사용자의 어플리케이션 접속 불가능 75% 이상의 개인정보 손실 및 훼손 |
|
심각도3 | 2등급 | 즉각적이지는 않지만 중요한 시스템의 핵심부분이 기능적으로 정확히 동작하지 않으며, 그로 인하여 일부 비즈니스에 영향을 미치는 상태 |
3등급 | 시스템 전체 혹은 일부의 사용불가 | |
3등급 | 25% 이상의 사용자의 어플리케이션 접속 불가능 25% 이상의 개인정보 손실 및 훼손 |
③ 위기 등급에 따른 대응
심각도 | 대응 수준 |
---|---|
심각도1 | 발생 즉시 CPO에게 보고 CPO가 공식적인 위기 상황 선포 및 대응 총괄 필요시 외부 전문가 포함 위기대응팀 구성 위기 종료 후 사후 조치 계획 수립 및 이행 |
심각도2 | 정보시스템팀 수준에서 대응, 필요한 경우 CPO에게 보고 위기대응팀 구성 위기 종료 후 CPO에게 공식 보고 |
심각도3 | 개인정보보호 담당자 수준에서 대응 해당 개인정보처리 담당자로 위기대응팀 구성 위기 종료 후 정보화관리부 부장에게 보고 |
제10조 (복구목표의 설정)
① 복구목표의 설정
1. 개인정보처리시스템의 복구 순위는 ‘(별지 제1호) 개인정보처리시스템 구성 현황의 중요도 등급을 따름
2. 전산실 장비는 ‘사이버위기대응 매뉴얼’의 ‘Ⅳ 사이버위기 관리활동 2. 사이버침해사고 대응절차’의 ‘라. 피해복구절차 2.우선순위결정 및 장애복구목표시간’ 우선순위를 따름
② 복구목표시간 (RTO : Recovery Time Objective)
1. 업무 중단 시점부터 업무를 복구하기 위한 목표 시간
2. 개인정보처리시스템의 책임자는 업무 영향도를 고려하여 담당 시스템의 복구 목표 시간을 조정
3. 개인정보보호담당자는 업무 영향도를 고려하여 기관 전산 장비의 복구목표 시간을 조정
4. 별도로 조정되지 않은 경우 ‘사이버위기대응 매뉴얼’의 ‘Ⅳ 사이버위기관리활동 2. 사이버침해사고 대응절차’의 ‘라. 피해복구절차 2.우선순위결정 및 장애복구목표시간’ 우선순위를 따름
③ 복구목표시점 (RPO : Recovery Point Objective)
1. 업무를 계속적으로 수행하기 위해 손실된 데이터에 대한 유실 허용시점
2. 개인정보처리시스템의 책임자는 업무 영향도를 고려하여 담당 시스템의 복구목표 시점을 정의
제11조 (백업 및 복구 방안)
① 개인정보 및 전산실 장비 백업 방안
1. 소관분야 업무시스템담당자는 개인정보처리시스템 및 모든 전산 장비에 대해 복구목표시점을 주기적으로 Backup 수행
2. 백업은 전산실 및 IDC의 백업서버 및 별도 저장장치에 보관
3. ‘별지 제2호(백업 관리대장)’의 관리대장을 전산실에 비치하여 백업 후 기록
4. 전산실 및 IDC 운영자는 백업을 수행하고 백업 대장을 관리하고 월단위로 시스템 담당자에게 보고
② 개인정보 복구 방안
1. 개별 개인정보처리시스템 담당자는 담당 개인정보처리시스템 내 개인정보의 손실 범위를 확인하고 개인정보보호 담당자에게 복구를 요청
2. 개별 개인정보처리시스템 담당자는 개인정보처리시스템 내 개인정보의 복구를 확인하고 결과를 보고
3. 개별 개인정보처리시스템 담당자는 개인정보보호 담당자와 협업하여 전체 복구 완료를 확인하고 결과를 CPO에게 보고
③ 서비스 복구 방안
1. 개별 개인정보처리시스템 담당자는 담당 개인정보서비스가 중단된 경우 개인정보보호 담당자에게 보고
2. 개인정보보호 담당자는 전산실 및 IDC 담당자와 협업하여 장애 위치를 확인(필요 시 협의 하여 비상가동 및 장애 복구)
제12조 (위기대응 훈련)
① 위기대응 훈련 원칙
1.개인정보처리시스템의 위기가 발생하는 경우 피해를 최소화하고 신속하게 복구하기 위해 주기적으로 위기대응 훈련을 실시해야 함
2. 평시 서비스 운영 중에 재해·재난 복구시스템이 정상 작동되는지 확인해야 하며 위기상황 발생 시와 동일하게 위기대응 조직의 역할을 수행해야 함
3. 위기대응 훈련 시에는 다음의 사항을 유의하여 실시해야 함
- 실제 발생 가능한 사고에 대한 위기 시나리오를 통한 정기적 점검
- 재난·재해 복구시스템의 정상 작동
- 위기대응 조직 구성원별 역할 숙지
- 복구목표의 달성
- 실 데이터의 안정성 보존
- 비상 연락망 정상 가동상황
- 위기대응 체계 운용 시 이슈사항
4. 위기대응 훈련 종료 후 훈련 시 도출된 미흡사항 및 이슈사항을 위기대응 체계에 반영하여 개선함으로써 사후처리 및 지속관리에 활용
② 위기대응 훈련
1. 내부전산실의 재해복구를 위한 모의훈련을 수행함
2. 재해복구 모의훈련은 년 1회 실시함
3. 모의훈련은 4가지 유형 중에서 매년 연초에 계획을 수립하여 수행함
- 체크리스트(Checklist) 훈련: 재해복구를 위한 계획서를 검토하는 것으로 시스템 구성 변경 발생시, 다른 부서와의 기능적 공유 확인 등의 사유에 따른 확인 및 자체적인 평가를 위해 수행함
- 역할수행(Role Play) 훈련: 재해 상황별 시나리오에 의해 관련 담당자들의 역할과 행동절차를 수행하는 훈련으로 시스템 환경, 인력운영 등의 이유로 모의전환 또는 실전환 훈련을 실시하기 어려운 경우에 수행함
- 모의전환 훈련: 모의전환 훈련은 전산실의 장비가 파손되어 교체한다는 시나리오를 기반으로 기존의 서비스를 유지하면서 별도의 네트워크를 구축하여 기존의 환경을 이관함. 실제 단계별로 전환 수행이 적절히 이루어지는지, 두 네트워크간 환경파일의 정합성이 보장되는지 등의 절차와 기능을 검토함
4. 모의훈련 절차
순서 | 훈련방법 | 수행내용 | 주관자 |
---|---|---|---|
1 | 사전준비 | 업무영향도 파악 일정 및 방법 협의 관련 상세 작업계획 작성 및 승인 |
개인정보 보호담당자 |
2 | 재해선언 | 재해선포 및 통보 | CPO |
3 | 재해복구 가동 | 재해복구 가동작업 실시함 | 정보보안담당자-정보시스템팀 |
4 | 업무테스트 | 자체테스트 실시, 정상유무 판단 | 개인정보처리 담당자 |
5 | 정상여부 모니터링 | 재해복구 업무 수행여부 모니터링 | 개인정보처리 담당자 |
6 | 재해복구 중단 | 재해복구 가동 중지 | 정보보안담당자-정보시스템팀 |
7 | 업무복귀 | 복귀 작업 실시 | 전체 |
8 | 결과정리 | 일정, 절차, 훈련결과 정리 미진사항 확인 및 조치 |
개인정보 보호담당자 |
제13조 (비상연락망 구성)
① 개인정보처리시스템 담당자는 위기대응 조직원, 유관 기관, 관련 업체 등으로 이뤄진 ‘별지 제3호(비상연락망)’에 기록관리 해야 함
② 개인정보처리시스템 담당자는 비상연락망을 주기적으로 검토하고 평상시에도 연락체계를 활용하여 정보를 공유해야 함
③ 위기상황 발생 시 위기상황 종료 시까지 비상연락망을 가동하여 신속한 대응을 지원해야 함
부 칙(2020.07.15)
(1) (시행일) 이 규칙은 2020년 7월 15일부터 시행한다.
(2) (시행일) 이 규칙은 2021년 6월 21일부터 시행한다.
(3) (시행일) 이 규칙은 2022년 8월 18일부터 시행한다.
(4) (시행일) 이 규칙은 2023년 8월 25일부터 시행한다.
(5) (시행일) 이 규칙은 2023년 9월 1일부터 시행한다.
재해재난 대비 개인정보처리시스템 위기대응지침
- 재해재난 대비 개인정보처리시스템 위기대응지침(2024.02.07)
- pdf 다운로드