ISMS-P 인증심사원 - BCP/DRP

1. BCP/DRP

 

(1) 업무연속성관리(BCM)의 정의

 

o 업무지속성 계획은 각종 재해나 재난의 발생을 대비하여 핵심 시스템의 가용성과 신뢰성을   회복하고 업무의 연속성을 유지하기 위한 일련의 업무지속성 계획과 절차를 말한다.

 

o 업무지속성 계획은 단순한 데이터의 복구나 원상회복뿐만 아니라 업무 지속성을 보장하고 그로 인한 조직의 신뢰도를 유지하고 나아가 전체적인 신뢰성 유지와 가치를 최대화하는 방법이다.

 

o 업무 연속성 계획의 계획, 수립, 시험 및 보수 등을 포함하는 관리행위를 의미한다. 주요 통제 목표는 목표복구 시간과 목표복구 대상이며 전사적인 차원에서 이루어지는 관리 활동이다.

o 업무지속성 계획 범위는 조직의 특성 및 요구사항에 따라 결정된다. 예를 들어 조직은 조직 내 핵심 업무 프로세스와 가장 큰 위험을 중점으로 하여 분석한 후, 핵심 프로세스 중에서 가장 취약한 부분에 집중하는 식으로 범위를 축소할 수 있다.

 

o 업무지속성 계획 범위 결정 요인

- 대상 업무 프로세스

- 주요 구성 요소(정보, 시스템, 직원)

- 해당 위험

 

(2) 업무연속성관리 단계

구분	설명
시작 단계	업무지속성관리에 관한 정책을 수립하는 단계로서 수립된 업무지속성계획이 조직의 업무나 기술 관련 정책과 적절히 통합되는 것을 보장하고 업무지속성관리에 관한 제반 사항을 준비하는 프로세스이다.
전략수립 단계	재해가 업무에 미치는 잠재적인 영향 및 위험을 평가하고 위험감소 및 업무 프로세스 복구를 위한 여러 옵션들을 파악하고 평가하여 업무지속성관리를 위한 비용 효과적인 전략을 수립하는 프로세스이다.
구현 단계	업무지속성전략에서 수립한 위험감소 조치 및 재해복구를 위한 설비를 구현하며 필요한 업무 복구를 위한 계획 및 절차를 작성하고 초기 시험을 수행하는 프로세스로 구성된다.
운영 관리 단계	수립된 업무지속성전략, 계획 및 절차를 계속적으로 테스트, 검토 및 유지보수하며 이에 대한 적절한 교육 및 훈련 프로그램을 운영하는 프로세스로 구성되어 있다.

 

(3) 업무연속성계획(BCP) 정의

 

o 각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 사업의 연속성을 유지하기 위한 일련의 사업지속성계획과 절차를 말한다.

 

o 업무연속성계획은 단순한 데이터의 복구나 신뢰도를 유지하며 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차이다.

 

※ 업무영향평가(BIA: Business Impact Assessment)

 업무영향평가(BIA)는 여러 가지 재해나 재난 그리고 위협에 따르는 영향(Impact)에 대하여 경영진들의 이해를 돕고 이를 근거로 MTD(Maximum Tolerable Downtime)를 계산하여 기업 내 업무 단위의 중요도와 의존도에 따라 우선순위를 계산하는 것이다.

각 업무 부문은 BCP(Business Continuity Planning)의 개발, 테스트 및 유지보수에 나름대로 참여하지만, 실제로 초기에 임직원들과 광범위한 상호작용이 일어나는 것은 업무영향평가(BIA: Business Impact Assessment) 단계라 할 수 있다. 또한 BCP의 실질적인 성공 여부는 BIA로부터 시작된다고 해도 과언이 아니다.

 

※ MTD(Maximum Tolerable Downtime)

 MTD(Maximum Tolerable Downtime)은 조직의 최고 경영층이 명시한 주요 지원 서비스의 중단으로 인한 업무의 영향에 대해 허용할 수 있는 최대의 시간을 말한다. 국내에서는 현재 중요   업무의 경우 2시간 정도로 MTD를 결정하는 것이 보통이다. 만약 MTD가 미리 결정되어 있지   않아 문서화되어 있지 않을 경우 최고경영진의 부재 중 재해/재난 발생 시 중간관리자들이 복구절차 및 영향에 대해 방향을 잡지 못하여 재해복구가 신속히 처리되지 못할 위험이 있을 수 있다.

 

(4) 업무연속성계획(BCP)의 접근 5단계 방법론

구분	설명
프로젝트의 범위 및 설정 및 기획	조직의 독특한 사업경영과 정보시스템의 지원서비스들을 조사해서 다음 활동 단계로 나아가기 위한 프로젝트 계획을 수립하는 단계. 이 단계에서는 명확한 범위, 조직, 시간, 인원 등을 정의하여야 한다. 또한 프로젝트의 근본 취지나 요구사항들이 조직전체 및 BCP의 개발에 가장 중요한 역할을 수행할 부서나 직원들에게 명료하게 전달하여야 한다.
사업영향평가(BIA)	컴퓨터나 통신서비스의 심각한 중단사태에 따라 각 사업단위가 받게 될 재정적 손실의 영향도를 파악한다.
복구전략 개발	BIA단계에서 수집된 정보를 활용하여 time-critical한 사업기능을 지원하는데 필요한 복구자원을 추정한다. 또한 여러 가지 가능한 복구방안들에 대한 평가와 이에 따른 예상비용에 대한 자료를 경영자 층에 제시하는 것도 이 단계에서 해야 할 일이다.
복구계획 수립	사업을 지속하기 위한 실제 복구 계획을 수립하는 단계이다. 효과적인 복구과정을 수행하기 위해 명시적인 문서화가 반드시 요구되며 여기에는 경영 재산 목록 정보와 상세한 복구팀 행동계획이 포함된다.
프로젝트의 수행 테스트 및 유지보수	마지막 단계로 테스트와 유지보수 활동 현황을 포함하여 향후에 수행할 엄격한 테스트 및 유지보수 관리 절차를 수립한다.

 

(5) 업무연속성계획(BCP)의 접근 6단계 방법론

구분	설명
사업상 중대업무  규정	조직의 중요한 사업단위를 식별하고 우선순위를 수립한다.
사업상 중대업무를 지원하는 자원의 중요도 결정	사업단위의 중요도가 1단계에서 정해졌다면, 그 사업단위를 지원하는 자원을 식별하는 것이 중요한데, 자원을 식별, 분석할 때는 그 자원의 기능을 잘  아는 사람이 하는 것이 바람직하며, 자원도 사업단위처럼 중요도에 따라   자원의 기능을 잘 아는 사람이 하는 것이 바람직하며 자원도 사업단위처럼 중요도에 따라 우선 순위를 정하는 것이 좋다. 자원은 사람, 처리장비, 컴퓨터 관련서비스, 자동화 어플리케이션과 데이터, 물리적인 인프라, 문서 등 6가지로 분류한다.
발생 가능한 재난에 대한 예상
재난대책 수립	필요한 자원을 복구하는 방법을 계획한다. 또한 발생된 재난과 위험을 최소화하거나 아니면 방지하는데 그 목적이 있다. 이 때 고려해야 할 점은 비용인데, 위험을 방지하는데 드는 비용이 실제 사업을 지속하는 비용보다 더 많이 소요되는 경우 그 방지책은 쓸모가 없는 것이므로 비용대비 효과를 고려하여 대책을 수립하여야 한다. * 재난대책계획수립 o 비상응답체제: 재산상 손상을 최소화하고 생명을 보호하기 위해서 취해지는 초기 활동 o 복구: 중요한 사업기능들을 계속적으로 지원하기 위해서 취해지는 일련의 활동 o 재개: 모든 사업기능들을 정상적인 운영환경으로 복귀하는 일련의 활동
재난대책수행	수립된 재난대책계획에 따라 적절한 준비와 수행, 문서화 그리고 직원들에 대한 훈련과정
테스트 및 수정	비상대책계획은 계획의 결점발견과 수행의 원활함을 도모하기 위하여 정기적으로 테스트 수정하는 과정을 말함

 

※ 업무지속성 계획 수립 시 핵심 고려 사항

고려 요소	내용
RSO (Recovery Scope Objective)	재해복구에 적용될 업무의 범위를 결정
RTO (Recovery Time Objective)	선택된 업무별 목표 복구시간(예, 2, 4, 8, 24시간)
RPO (Recovery Point Objective)	재해 발생 시 복구되어야 할 시점/데이터를 결정(예, 재해 발생 시점의 최근 데이터, 전일 마감 데이터, 특정 백업시점의 데이터)
RCO (Recovery Communications Objective)	통신 또는 네트워크 복구 수준(핵심 업무용 네트워크, 영업점/지점 간의 네트워크, 유관기관 처리업무의 네트워크, 전사적 네트워크)
BCO (Backup Center Objective)	Mirror, Hot, Warm, Cool site 형태의 요구사항 만족

 ※ 업무지속성 계획 관리 단계

구분	설명
개시	업무지속성 관리에 관한 정책 수립 단계로 업무지속성 관리의 범위를 구체화하고 업무지속성 관리를 위한 제반 사항(인적, 물적 자원)을 준비한다.
전략 수립	업무 영향 분석 및 위험 평가, 위험 감소 등의 여러 요소를 파악한 후 업무지속성 관리를 위한 효율적인 전략을 수립하는 단계이다. 전략 수립 단계는 크게 다음 프로세스로 구성된다. o 업무영향평가(BIA) - 조직 내 업무 프로세스 파악, 잠재적인 위험과 영향 분석, 업무복구 목표의 정의 등 o 위험평가 - 자산, 취약성, 위협의 식별 및 분석을 통한 위험 평가 o 업무지속성 전략 수립 - 위험 감소 대책 파악 및 평가 등의 전략 정의
구현	업무지속성 관리를 위한 프로그램을 수립하는 단계로 전략 수립 단계에서 수립한 위험 감소 조치 및 설비 등을 구현하고, 필요한 계획 및 절차를 수립하며, 초기 시험을 수행하는 단계이다.
운영 관리	업무지속성 전략 및 절차 등을 계속적으로 시험, 검토, 유지 보수하는 단계로, 교육 및 훈련 절차가 포함된다.

 

 (6) 재난복구계획(DRP)

 

o 재난 정의 - 정보시스템의 재난에 대한 개념을 NIST에서는 ‘컴퓨터 운영 붕괴로 조직의 정상적 기능이 파괴되는 비상사태’라고 정의했으며, Owen은 ‘생명, 재산, 자산, 그리고 정상적인 운영   능력에 대한 위험’ 이라고 정의했다. 즉, 재난이란 정보시스템 자산에 대해 위협이 매우 파괴적인 경우 그 결과로써 발생하는 손실을 말한다.

 

o 재난 분류 - 인간 오류에 의한 재난 / 의도적인 재난 / 자연 재난

 

o 재난 수준

구분	설명
수준 I	한 장소에서만 발생되었고 내부자원에 의해 처리될 수 있다. 정상적인 업무에 영향이 적은 것으로 작은 수재, 건물 내 부분적인 정전, 설비 고장 등에 의한 사건이 이에 해당된다.
수준 II	여러 장소에서 발생되었고 내부자원에 의해 처리될 수 있다. 일시적으로 정상적인 업무에 영향을 끼치는 것으로 화재, 작은 지진, 특정 지역의 정전 등에 의한 사건이 이에 해당한다.
수준 III	지역적인 재난에 의해 발생된 것으로 외부 도움 및 지원이 있어야 복구가 가능하다. 정상적인 업무가 며칠 또는 수 주일이 걸릴 수 있는 것으로 큰 지진, 홍수, 태풍 등에 의해 발생한 사건이 이에 해당한다.

 

(가) 재난복구 계획 정의 - 업무지속성 계획(BCP)라고도 불리며, 한 조직이 잠재적인 재난에 대해 어떻게 대처할 것인지를 기술한 내용을 일컫는다. 여기서 재난이란 정상적인 기능의 수행이 불가능하게 만드는 사건(지진, 해일, 태풍, 폭발 등)을 말하며, 재난복구 계획이란 재난의 피해를 최소화하고 그 조직이 중요 기능을 그대로 유지하거나 또는 신속히 재개할 수 있도록 취해진 예방조치들로 구성된다.

 

(나) 재난복구 계획과 업무지속성 계획과 차이 - 업무지속성 계획은 중요한 업무의 기능들을 비상시에 대비하여 자산의 우선순위를 평가한다거나 대체 장소를 선택하는 등 재해나 재난 시에 원상 복귀하고자 미리 평가 계획하는 단계인 반면에 재난복구 계획은 실제 재해나 재난이 발생 동안 그리고 재해 발생 후에 조직원들이 취해야 하는 절차나 계획 등을 말한다. 특히 재난복구 계획에서는 복구 절차를 포함한다는 점이 업무지속성 계획과의 큰 차이라고 할 수 있다.

 

(다) 재난복구 계획 주요 목적 - 재난복구 계획은 실시간에 정보보호(정보의 기밀성, 무결성, 가용성)를 확보하는 것으로, 재난 발생 시 준비된 대체 장소에서 기업의 시스템을 운영하고, 재해 완료 시 기업의 원래 장소로 옮겨와 정상적인 업무처리를 하는 것이다.

 

(라) 재난복구 계획 영역 - Jackson은 재난복구 계획의 영역을 크게 자료처리, 음성 및 자료통신, 최종 사용자, 주요시설, 부대시설 5가지로 구분하였으며, Corby는 크게 하드웨어, 운영체제, 응용소프트웨어, 통신, 사람, 공급품, 보고서/문서, 자료처리 및 사무실 시설 등 8가지로 구분하였다.

 

(마) 재난복구 계획 주요 요소

 

o Owen은 재난복구 계획의 주요 요소를 다음 5가지로 정의했다.

- 위험 관리자는 최악의 시나리오에 대한 계획을 세우고 이에 대한 훈련을 해야 한다.

- 재난 발생 즉시 생명, 재산, 자산 등을 보호하기 위한 자원을 신속히 조달할 수 있는 긴급 대책을 마련해야 한다.

- 업무 재개를 위한 업무지속성 계획을 마련해야 한다.

- 보험 또는 재난복구서비스 공급업자에 의해서 재난에 의해 영향을 받은 정보시스템을 수리하고 교체하고 재건하는 과정인 복구는 필수적이다.

- 재난 발생 이전의 상태와 마찬가지로 조직 내 모든 자원이 활용되는 정상적인 운영의 재개이다.

 

o 정보시스템의 재해나 재난 발생에 대비하여, 실제상황이 발생했을 때 취해야 할 행동절차를 미리 준비하는 것을 말한다.

 

o 재난복구계획의 목적은 다음과 같다.

1) 정보의 비밀성, 무결성, 가용성, 인증성 등 확보

2) 핵심적인 기업업무의 연속성 유지

3) 테스트와 시뮬레이션을 통하여 DRP의 신뢰성을 유지

4) 재난 발생 시에 의사결정 시간을 최소화하여 복구시간을 단축

5) 시스템 운영중단 요인을 식별

6) 생존에 대한 계획을 마련

7) 재난 복구 방법 구축

 

(7) 백업 센터 유형 구분

구분	설명
중복 시스템 운영 Mirror Site	전산센터와 동일한 시스템을 하나 더 설치하여 운영하는 것 주 센터와 동일한 백업센터를 구축하여 평상시에도 동일한 데이터를 처리하며 주 센터 재해 발생 즉시 업무 대행 가능
핫 사이트 Hot Site	재난 발생으로 영향을 받는 업무 기능을 즉시 복구할 수 있도록 전산 센터와 동일한 모든 설비와 자원을 보유하고 있는 거의 안전한 시설로서 수 시간 안에 가동이 이루어 질 수 있다. 외부에 주 전산센터와 동일한 장비를 갖추고 재해 발생 시 최단시간 내에 가능한 상태를 유지
웜 사이트 Warm Site	부분적으로 설비를 가지고 있는 백업 사이트로서 대개 디스크 드라이브, 테이프 드라이브와 같이 가격이 저렴한 선택적인 주변기기를 가지고 있으나 주 컴퓨터는 가지고 있지 않다. 주 전산센터의 일부 장비만 백업센터에 설치하여 주요 업무에 대해서만 복구하며, 장애 시 기타 필요장비의 추가도입으로 Hot Site로 전환 가능
콜드 사이트 Cold Site	재난 발생 시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로 별 다른 장비는 가지고 있지 않다. 시스템을 사용할 수 있도록 전원 시설, 통신 설비 등을 갖추어 높고 주 전산센터 재해 시 장비들을 설치하여 시스템 가동
백업 서비스	일부 응용 서비스는 통신 라인을 통하여 그 응용 서비스를 제공하는 기관에서 업무처리를 대행 받을 수 있다.
상호 백업 협정	서로 비슷한 시스템을 가지고 있는 회사들끼리 재난 발생 시 서로를 백업해주기로 협정
수작업	시스템 복구 설비를 갖추지 못한 경우에는 새로운 컴퓨터가 설치될 때까지 사람이 업무를 대행

 

o 금융기관에 적용되는 금융감독원의 권고 사항으로 백업 센터의 유형별로 재해 발생 시 복구 시간 및 각 장/단점에 대해 요약하였다. 재해 발생 시 Mirror, Hot, Warm, Cold 순으로 장애에 대한 대처와 복구 능력이 높음을 알 수 있다.

※ 백업센터 유형 별 복구 방안

유형	복구 시간	특징	내용	장점	단점/고려사항
Mirror Site	2시간 이내	즉시 복구 가능	주 센터와 동일한 시스템 이중화	즉시 업무대행 가능, 재해 발생 시점까지 데이터 유실 없음	막대한 구축비용, 평상시 운영방한 검토 필요
Hot site	24시간 이내	1일 이내 복구	DB 원장의 이중화	Log 이중화 및 DB 변경내역의 실시간 반영	데이터의 최신성 유지 가능
Warm site	1~2일	구축비용 절감(Hot Site 전환 가능)	원장 변경 내역 주기적 반영	구축비용 저렴	비상 시 시스템(H/W, S/W) 확보절차 필요, 데이터 복구 절차가 복잡
Cold site	없음	최소의 비용	DB 원장 테이프 소산	주 전산센터 재해 시 H/W와 SW 설치 후 시스템 가동	최소 비용

  

(8) 재난복구 대책

 

(가) 재난복구 대책 변화

구분	설명
1) 1960 년대	조직 내 일부 관리자만이 컴퓨터를 사용함으로써 재난복구 계획의 필요성이 그리 강조되지 않았으며 단순히 메인프레임 복구가 주 고려 대상이었다. 그 당시 대부분의 재난은 화재, 태풍 등의 자연 재해가 주원인이었다.
2) 1970 년대	데이터 가용성 확보를 위해 데이터 백업에 대한 인식이 확산되었다.
3) 1980 년대	조직 내 전산센터에 대한 재난복구 계획에 대한 인식이 확산되어 재난복구 계획과 관련된 도구가 나타났다.
4) 1990 년대	정보기술과 네트워크 통신 기술의 발달로 인해, 분산 시스템 환경으로 변화하고 모든 사용자가 자신의 컴퓨터에서 자산에 대한 접근, 이용이 가능 하면서, 정보시스템에 대한 조직의 의존도가 높아졌다. 그리고 지속적인 업무지속성은조직의 생존과 경쟁에 중요한 요소로 자리 잡으면서 재난복구 대책은 이제 조직 관리에서 반드시 필요한 것으로 인식 된다.

 

(나) 전형적인 복구 대책

o 복구 대책들은 항상 중요한 업무 프로세스를 지원할 수 있어야 한다.

o 이러한 복구 대책들에는 다음과 같은 요소들에 대한 복구가 포함되어있어야 한다.

- 사람과 설비

- 정보기술 시스템, 네트워크와 자료

- 전력, 통신, 우편 등과 같은 중요한 서비스

- 서류 기록, 관련 자료와 같은 중요한 자산

o 금융감독원에서 정리한 비상사태 유형에 대한 설명이다.

 

※ 비상사태 유형

유형	사례	대책
자연 재해	테러, 화재, 지진, 홍수 등	° 이중화, 백업 및 소산, 재해 복구 센터
인적 재해	담당자 사고로 인한 유고, 파업, 태업 등	° 재난 순위별 대응 계획(Action Plan) 절차(백업 및 대체 요원)
기술적 재해	H/W, S/W 장애, 통신망, 전력 장애 등	° 전산 기기의 이중화, 프로그램 변경 통제 강화 ° 재해복구센터 구축을 통한 기기, 프로그램 이중화 ° 통신망 이중화, 전력 UPS, 자체 발전 설비 구축

 

(9) 업무영향평가

 

(가) 업무영향분석 - 조직을 계속 운영하기 위해서는 잠재적인 재해를 인지하고, 주요 기능의 중지를 최소화시킬 수 있는 계획을 개발하고, 성공적으로 운영을 복구시킬 수 있어야 한다. 업무복구계획의 주요 목적은 운영의 전부 혹은 일부 그리고 컴퓨터서비스가 작동하지 않을 때, 조직을 보호하는 것이다. 그러므로 조직의 모든 기능적 분야에 대해서 다양한 재해위협과 관련된 잠재적인 위험과 영향이 분석되어야 한다.

 

(나) 업무영향분석 목적

1) 핵심 업무를 파악하는 것

2) 핵심 업무의 정지로 인해 조직에 발생되는 잠재적인 손해 혹은 손실 파악

 

(다) 업무영향분석 시 고려사항

1) 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실

2) 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 검증되는 정도

3) 업무가 최소한의 수준으로 계속 운영되는데 필요한 최소한의 직원, 시설, 서비스

4) 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간

5) 전체 업무를 운영하는데 필요한 직원, 시설, 서비스를 충분히 복구하는데 소요되는 시간

 

(라) 업무영향분석의 구성요소

1) 업무 프로세서의 식별   2) 영향시나리오의 정의   3) 잠재적 업무영향에 대한 측정

4) 업무복구 목표의 정의   5) 최소한의 요구사항에 대한 평가

 

(마) 업무 프로세스의 식별

 

o 업무 프로세스(business process)란 공통 목표를 추구하는 특정 조직에서의 업무활동의 집합이다. 업무 프로세스는 단일 업무기능 혹은 여러 업무기능에 의해서 처리된다.

 

o 업무 프로세스는 정보기술, 인력자원, 사무서비스 등과 같은 여러 업무지원 기능에 의존되어 있다. 업무 프로세스는 간혹 독립적으로 운영되기도 하지만, 기술이 발전함에 따라 통합되어가고 있다. 업무지속성관리는 중요한 업무프로세스의 지속성을 유지하는데 초점을 두고 있기 때문에, 업무 영향분석의 목적을 위해서 업무프로세서들을 파악하는 것이 중요한 첫 단계의 작업이다.

 

o 각 업무 프로세스별로 업무영향분석이 수행될 것이다.

 

o 업무 프로세스를 파악하는데 다음과 같은 자료가 필요하다.

- 전략적 혹은 업무계획 문서

- 업무 프로세스 재설계(Business process re-engineering)에 의한 산출물

- 조직적 정보모형(organizational information models)

 

o 업무 프로세스가 식별된 후에는 어떠한 프로세스 혹은 프로세스의 집단이 업무 영향분석의   대상이 되는지를 결정해야 하는데 이를 위해서는 다음과 같은 사항을 고려해야 한다.

- 업무 영향분석의 범위

- 경영층의 중요 업무 프로세스에 대한 초기 인식

- 업무 프로세스간의 통합 및 상호의존성 정도

o 업무영향분석의 목적은 업무 중단으로 인한 영향을 평가하는 것이다. 업무 프로세스는 서로 밀접하게 통합되었거나 서로 의존되어 있을 경우에는, 업무 프로세스들은 업무 영향분석의   목적을 위해서 함께 고려되어야 한다.

 

(바) 영향 시나리오의 정의

 

o 잠재적 업무영향은 각 프로세스의 영향 시나리오에 대해서 측정된다.

 

o 영향분석은 중요한 업무 프로세스들에 관한 시나리오에 의한 위험비용을 결정하는 방법으로서, 업무 혹은 서비스중단(disruption)의 영향을 파악하는 것이다.

 

o 영향 시나리오는 잠재적인 영향이 시간이 경과함에 따라 어떻게 변화하는 가를 파악하기 위해 여러 시간 간격을 고려하여 분석되어야 한다. 즉 주문처리 서비스가 하루, 이틀, 일주일, 또는 한 달 동안 중단되었을 경우의 영향을 파악해야 한다.

 

o 각 업무 프로세스에 대한 영향 시나리오와 시간 간격은 분석 대상에 포함되어 있는 위험에   따라 달라질 것이다. 잠재적 업무영향을 다음과 같은 시간 간격에 따라서 측정하면, 업무영향이 시간에 따라서 어떻게 변화하는지 나타나게 된다.

 

o 15분 이하, 1시간, 3시간, 12시간, 1일, 2일, 1주, 2주, 1달, 2달 이상 영향 시나리오와 시간 간격을 가능한 각 프로세스별로 파악한 후에, 경영층과 잠재적 업무 영향을 측정하기 위한 토론 및 인터뷰가 실행되어야 한다.

 

(사) 잠재적 업무영향에 대한 측정

 

o 업무영향 시나리오를 파악한 후에, 업무 프로세스를 책임지는 관리자들과의 인터뷰에 의해서 업무영향을 측정하게 된다. 각 업무 프로세스에 대한 잠재적 업무 영향은 각 영향 시나리오와 시간 간격 별로 측정된다. 업무영향의 영역에는 재무적(financial or hard)영역과 비재무적(non-financial or soft)혹은 운영적 영역이 있다. 재무적 영향은 화폐가치로 측정할 수 있으나, 비재무적 영향은 화폐가치로 측정할 수가 없다.

구분	설명
재무적 영향	매출감소 혹은 장기적 시장 지분 감소, 이자증가, 계약위약금 혹은 법의 침해, 영업권 혹은 신용(goodwill or credibility)손실, 기타 추가비용
운영적 영향	공공의 부정적 이미지, 주주들의 신뢰감 추락, 종업원들의 사기 저하, 개인의 안전에 대한 위험, 약속했던 서비스 수준 달성 실패, 법규 위반 또한, 재무적 영향을 평가하는 데는 다음과 같은 경우도 고려해야 한다. 영향 시나리오와 관련된 재무적 영향은 한계(marginal) 재무적 영향이다. 추가 작업 비용등과 같은 형태의 재무적 영향이라면, 이것은 개별적으로 기록한 후에 전체 재무적 영향을 평가하는데 결합시켜야 한다. 운영적 혹은 비재무적 영향도 측정되어야 하지만, 주관적으로 측정되는 경우가 대부분이다. 보안 관리에서 사용되는 일반적인 위험평가방법은 재무적 및 운영적 영향을 기록하고 비교하는데 유용한 지침과 척도를 제공하고 있다.

 

[팁] 업무지속성 계획과 재난복구 계획 간의 관계

o 재난복구 계획은 업무지속성 계획과 달리 위험 감소나 가용성 관리와 같은 전산 환경 업무   전반에 걸쳐진 이슈에 대해 다루고 있지 않으며 단지 재난 및 재해 복구에 치중되어 있다. 따라서 범위 측면에서 재난복구 계획은 업무지속성 계획의 일부분에 포함될 수 있다. 즉, 업무지속성 계획의 관리는 전산 환경 업무 전반에 걸쳐 이루어지므로, 재난복구 계획보다 관리 범위가 전체적이고 포괄적이다.

 

 업무연속성 유지관리

 

(1) 업무연속성계획 시험

 

o 초기시험은 전반적인 업무지속성관리 프로세스의 중요한 부분이며 선택한 전략, 재해복구대책, 업무복구계획 그리고 절차가 실제상황에서 유용하다는 것을 보장하는 유일한 방법이다.

o 초기 시험은 전략이 효과적으로 구현되었다는 것을 체크하기 위해서 그리고 계획이 공식적으로 발표되기 전에 필요한 수정을 허용하기 위한 구현 단계의 마지막 활동이다.

o 초기 시험에 이어서 시험 유형(검토회, 기술부문 시험, 업무부문 시험, 전체 시험)의 적절한 혼합을 통한 지속적인 시험 프로그램을 구축해야 한다. 전체 시험은 업무중단과 그와 관련된 위험으로 인하여 거의 선택되지 않을 것이다.

o 그러므로 일반적인 시험 프로그램은 기술부문과 업무부문의 모든 시험으로 구성될 가능성이 높다. 구조적 검토회는 시험뿐만 아니라 팀 구성원의 재해복구에 대한 인식을 높이는 이중적인 효과를 가진다. 시험 빈도는 얼마나 빠르게 조직, 채택된 복구 전략과 목표가 변화하는가에 달려있다.

o 가장 중요한 업무 프로세스를 위한 재해복구대책은 적어도 일 년에 한번은 시험할 필요성이 있다. 시험 자체가 업무에 중요 방해 요인이 되지 않는다는 것을 보장하기 위해 신중하게 시험 계획을 작성할 필요가 있다. 또한 시험의 진행 프로세스는 변경 요구사항을 파악하고 실행되는지 여부를 보장하기 위해 면밀히 감시 및 검토되어야 한다.

o 초기 시험프로세스는 다음의 활동으로 구성된다.

- 시험 목표의 개발

- 시험 유형 결정

- 시험 시나리오 구축

- 시험 계획 개발

- 시험 실행

- 시험 결과의 문서화 발간

 

 (가) 시험목표개발

 

o 초기 시험의 전형적인 목표는 다음과 같다.

1) 업무복구전략들에 대한 실질적인 평가

2) 업무복구계획에서 세부적으로 기술된 작업과 절차가 복구 목표를 달성하기 위해 필요한 실제 작업과 절차와 일치하는지에 대한 보장

3) 전략, 계획, 절차에 변경을 위해 필요한 요구사항 파악

4) 재해복구대책과 계획이 실제로 가동되었을 경우 제대로 작동할 것이라는 것을 보장

 

(나) 시험 유형의 결정

o 업무복구 시험은 일반적으로 4가지 형태로 분류된다.

구분	설명
구조적 검토회 (Walk throughs)	팀이나 혹은 팀들이 여러 시나리오를 가정하면서 논리적인 토론을 거쳐 재해복구계획의 타당성이나 실증성을 검증하는 방법으로 종이를 이용하여 하는 방식
기술적 구성요소 시험	전략과 계획에서 명시된 기술적 구성요소를 시험하는 것으로 예를 들면 다음 과 같다. o 외부에서 이루어진 재해 복구 계약의 실행 여부 시험 o 예비 공간에 비상접근 가능 여부 시험 o 예비 공간에 전화 서비스 설치 가능 여부 시험
업무 구성요소 시험	업무 프로세스나 기능이 복구되는지 여부를 시험하는 것으로 이는 반드시 관련 있는 업무종사자가 포함되어야만 한다.
모든 구성요소를 포함한 시험

  

(다) 시험 시나리오 구축

 

o 모든 시험은 충분한 현실성을 가지고 구축된 시험 시나리오를 이용하여야만 한다. 시험 시나리오의 예는 다음과 같다.

1) 빌딩의 3층에서 7층까지의 불로 인하여 무기한 빌딩으로의 접근이 불가능하다. 사고는 밤에 발생하였고 피해 직원은 없다.

2) 평일에 빌딩 밖에서 화학약품 유출사고가 발생 하였다. 반경 1마일 이내는 24시간 동안 대피하여야만 하고 직원 몇 명이 병원으로 후송되었다.

3) 중요 서비스 제공자가 부도를 냈다.

4) 가까운 전화국에서 폭탄이 터져 모든 서비스가 열흘 동안 중단되었다.

 

(라) 시험 계획 개발

 

o 부적절하게 계획된 시험은 오히려 조직에 중요 방해요인이 되는 위험요인이 될 수 있다. 주의 깊게 시험의 성격과 시기를 결정해야만 한다.

 

o 시험계획 준비를 위해 고려할 사항은 다음과 같다.

1) 시험팀의 파악: 초기 시험 기간 동안 시험팀은 복구계획은 준비한 팀이어야 한다.

2) 시험을 위해 재정될 수 있는 시간

3) 시험을 위해 이용될 수 있는 자원(직원, 공간, 사무기구, 컴퓨터 시스템과 네트워크 그리고 통신설비)의 정도

4) 재정적인 한계

5) 시험으로 인해 허용될 수 있는 업무중단의 정도

 

(마) 시험의 실행

 

o 시험계획과 목표와 일치되게 시험이 진행되는가를 평가하기 위해서는 시험 프로세스를 감시할 필요가 있다. 감시는 일반적으로 시험을 담당하는 구성원이 작성하는 시험일지와 시험 감독관이 작성하는 기록을 통해서 이루어진다.

 

o 시험일지를 통해 다음의 사항들을 감독한다.

1) 사건의 신고 접수 기간

2) 업무 복구 목표가 성취되는 시간

3) 계획의 실행 가능성에 의문을 제기하는 사건

4) 제 3자와의 접촉 내용과 시간

5) 시험에 영향을 미치는 실제 사건의 세부적인 사항

6) 시험이 종결되는 시간

 

(바) 시험결과의 문서화와 발표

 

o 여러 시험 수행 후, 그 결과는 문서화되고 발간하여 재해복구전략과 재해복구 대책, 위험감소 대책, 업무복구계획과 절차에 필요한 수정을 할 수 있도록 준비한다.

 

(2) 업무연속성계획의 유지관리

 

o 업무연속성을 위한 효과적인 유지관리는 매우 중요하다. 업무연속성 관리 생명주기에서 유지관리단계에 도달하면 대부분의 조직은 이미 전 단계를 거치면서 많은 시간과 재정적 자원을 투자하였다. 즉, 전략구축과 구현을 통해 업무연속성관리에 대한 이해와 경각심이 제고되었고 복구대책 구현을 위한 많은 투자가 진행되었다.

 

o 그러나 모든 조직이 지속적으로 변화하므로 이에 대한 적절한 관리구조나 프로세스 등을 통한 대응이 미흡할 경우, 재해복구 전략과 계획은 곧 쓸모없는 것이 될 것이다. 유지관리 단계에서는 다음과 같은 단계가 포함된다.

- 시험

- 교육과 경각심 제고

- 훈련

- 변경관리

- 보증

 

(가) 시험

 

(나) 교육과 경각심 제고

 

o 업무연속성 정책, 전략과 계획에 대한 교육과 경각심 제고는 조직 내 업무연속성관리 노력을 위해서는 필수 성공요인이다.

o 교육과 경각심 제고의 목적은 업무 연속성관리가 관리활동의 일상적인 한 부분이 됨으로써 모든 주요 업무활동에 업무연속성이 고려되는 상황에 도달하도록 하는 것이다.

o 이는 업무연속성관리를 위한 효과적인 정책과 관리구조를 구축함으로써 이루어질 수 있다.

 

o 시험과 더불어 교육과 경각심 제고 프로그램은 다음과 같은 목표를 가진다.

1) 재해나 다른 중요한 사건에 대응하는 방식을 직원들에게 이해시킨다.

2) 업무연속성전략이나 계획에 영향을 줄 수 있는 변경인 이슈를 파악하고 실행한다.

3) 팀원이나 대리인이 그들의 책임과 취해야 할 행동에 대해 인식할 수 있다.

  교육방법의 예는 다음과 같다.

    경계 필요성과 비상 절차를 모든 직원에게 브리핑

    핵심 직원에게 복구설비가 구비되어 있음을 전시

    업무연속성관리의 개괄적인 내용을 전달하기 위해 조직의 사보 사용

    정규 진행보고서를 이사회나 기타 위원회에 보고

 

(다) 훈련

 

o 교육 및 경각심 제고와 더불어 직원들에게 복구전략의 특정 요소에 대한 훈련이 필요하다.

 

o 다음은 훈련이 필요한 부분이다.

1) 비상시 사용되는 대체 프로세스나 시스템

2) 비상시 컴퓨터 시스템이나 네트워크의 재구성 방법

3) 자동 시스템이 복구될 때까지 사용되는 수작업 방식

 

(라) 검토와 변경통제

 

o 재해복구대책, 위험감소대책, 그리고 업무복구계획은 구현 당시의 업무의 요구 사항을 반영하고 있다. 따라서 요구사항이 시간이 경과함에 따라 변경될 수 있으므로 재해복구 전략과 계획이 현실을 반영하여 효과적이기 위해서는 검토와 변경 통제를 포함하는 변경관리 프로세스가 필요하다. 변경의 유형은 다음의 두 범주로서 구분될 수 있다.

구분	설명
유지보수를 통한 변경	이러한 변경은 업무연속성계획의 현실성을 유지하는데 필요한 것이고 근본적으로 복구 목표나 업무 지속성 전략에 영향을 주는 것은 아니다. 예를 들면, 직원의 퇴사나 타부서 배치, 시스템 구성의 소규모 변화 등
검토를 통한 변경	이러한 변경은 근본적으로 복구목표나 전략에 영향을 줄 수 있다. 예를 들면, 새로운 업무 프로세서의 도입, 시스템의 대폭적인 변화, 자산의 처분이나 구매 등으로 인한 변화

 

(마) 변경관리 프로세스

o 변경관리의 접근방법은 변경의 유형에 따라 다르나 변경관리 프로세스는 다음과 같은 활동으로 구성된다.

- 변경 전략 결정

- 변경 요구사항 파악

- 변경 실행

- 계획과 절차 갱신

 

구분	설명
변경 전략 결정	효과적인 변경관리를 위해서는 재해복구전력과 계획에 대한 명확한 소유권을 규정하는 것이 가장 기본적인 요구사항이다. 일반적인 소유권의 분류는 다음과 같다. o 업무연속성전략과 마스터플랜은 복구 관리자에게 소유권이 있고 또는 복구 관리자를 대행하는 업무지속성 관리자에게 소유권이 있다. o 모든 다른 계획은 관련된 팀 리더에게 소유권이 있다. 유지보수를 통한 변경인 경우에는 해당 계획 소유자에 의해 그 계획이 변경되면 변경된 내용 계획을 소지하고 있는 자에게 배포한다. 만약 해당 계획의 변경이 다른 계획에도 영향을 준다면 해당 계획 소유자는 관련 계획 소유자에게 사실을 알린다. 검토를 통한 변경인 경우에는 해당 계획 소유자나 중앙통제 팀원 또는 업무 복구 팀원에 의해 변경 필요성이 제기되면 이를 업무지속성 관리자에게 통보한다. 업무지속성 관리자는 변경 내용을 검토하고 변경이 복구 목표, 재해복구대책, 위험감소대책, 그리고 업무복구계획에 미치는 영향을 평가한 후 필요한 변경을 실현하는 활동을 조화/통제한다.
변경 요구 사항 파악	변경 전략은 계획 소유자나 다른 구성원에 의해 인식되는 변경 필요성에 의해 결정된다. 변경을 위한 요구사항이 인식되는 것을 보장하기 위해 각각의 업무영역 내에서 변경 절차를 구비한다. 다음과 같은 이유로 해서 계획에 대한 변경이 이루어질 수 있다. o 업무 변경 혹은 운영상의 변경 o 사무공간의 변경 o 컴퓨터 시스템과 네트워크의 변경 o 통신(전화, 팩스 등)변경 o 서비스 제공자 변경
변경 실행	변경의 실행은 유지보수를 통한 변경인 경우에는 계획 소유자에 의해 실시되고 검토를 통한 변경인 경우에는 업무연속성 관리자에 의해 실시된다. 검토를 통한 변경인 경우, 업무연속성 관리자는 다음과 같은 활동을 조사/통제해야 한다. o 변경을 통한 업무의 잠재적인 영향(업무방해)을 받게 된다면 변경에 따른 영향 분석을 수행하고 직원, 시스템, 통신을 위한 최소한의 요구사항 확인 o 변경의 결과로 인하여 복구 목표의 수정이 필요한지 여부를 검토 o 변경이 업무에 대한 잠재적인 위협 및 취약성을 변경시킬지 여부를 결정 o 복구목표를 변함없이 달성하기 위해 기존의 복구전략과 재해복구대책이 수정될 필요가 있는지를 결정 o 현재의 위험감소대책이 변경으로 인한 위험수준의 변화에 충분히 대처할 수 있는지 결정 o 제안된 변경을 검토하고 중앙통제 팀으로부터 합의를 도출하고 필요하면, 최고 경영층/이사회로부터 승인을 획득 일단 재해복구 대책과 위험감소 대책이 구현되었고 업무연속성계획이 갱신되었다면 다음의 사항을 보장할 수 있어야 한다. o 변경된 계획에 대해 구조적 검토와 시험의 실행 o 시험 프로그램을 필요에 따라 수정 o 경각심 재고, 교육과 보증 프로그램을 필요에 따라 수정 유지보수를 통한 변경인 경우는 개별 계획소유자에 의해 실시된다. 변경을 실시하기 위해서는 다음과 같은 행동 중에 전부 혹은 일부를 포함할 수 있다. o 작업 리스트에서 필요한 변경 실시 o 작업 리스트가 변경됨으로써 참고자료/지원절차가 변경될 필요성이 있는지 결정 o 변경이 다른 업무복구계획에 반영될 필요가 있는지 결정 o 변경의 세부사항을 복사하여 업무연속성 관리자에게 전달
계획과 절차 배포	계획과 절차가 갱신된 후에 모든 팀원에게 배포해야 한다. 변경의 정도에 따라 이전 계획과 절차의 일부분을 교체하거나 아니면 완전한 새로운 버전이 될 수도 있다. 모든 갱신은 구 버전을 파기하는 절차와 신 버전 계획의 보관에 관한 지침을 포함하는 엄격한 버전 통제 하에 수행되어야 한다.

 

(바) 보증

 

o 업무연속성 관리 생명주기의 마지막 단계는 업무연속성 관리 결과물에 대한 품질에 대해 상위 경영층이 만족하는지에 대한 보증과 운영관리 프로세스에서도 만족스럽게 작용하고 있는지 여부에 대한 보증의 획득을 포함한다.

o 업무연속성관리 결과물은 경영층의 검토를 통해 승인을 얻어야 한다. 만약 승인을 받았다면 차기 재검토 일자를 내포하고 있는 인증서를 발급하여 결과물 작성자에게 전달할 수 있다.