검수요청.png검수요청.png

"비즈니스 연속성"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
 
(사용자 3명의 중간 판 25개는 보이지 않습니다)
1번째 줄: 1번째 줄:
'''비즈니스 연속성'''(BC, Business Continuity)이란 '비즈니스 회복성'이라고도 하며, 광범위한 형태의 데이터 보호를 지칭한다. '재해복구'의 경우와 마찬가지로 데이터와 IT 서비스의 복원을 포함하지만, 재해 중 비즈니스 운영을 지속하기 위한 프로세스와 절차도 포함한다.
+
'''비즈니스 연속성'''(BC, Business Continuity)은 화재나 홍수 같은 자연재해나, 사이버 범죄자의 악의적 공격 등으로 긴급 사태가 발생한 상황에서 비즈니스 기능을 유지하거나, 빨리 재개시키는 것을 의미한다. 비즈니스 연속성 계획은 이런 긴급 사태에 직면해 조직이 따라야 할 절차와 지시 사항 등을 규정하고 있다. 이는 비즈니스 프로세스, 자산, 인적 자원(HR), 비즈니스 파트너 등을 포괄한다.
  
 
== 개요 ==
 
== 개요 ==
 +
비즈니스 연속성은 재해, 재난 같은 자연재해로 인해 정상적인 운용이 어려운 데이터 [[백업]]과 같은 단순 복구뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무 기능을 지속하는 환경을 조성해 기업 가치를 극대화하는 것을 말한다. 기업이 운영하는 시스템에 대한 평가 및 비즈니스 프로세스를 파악하고 재해 백업 시스템 운용 체계를 마련하여 재해로 인한 업무 손실을 최소화하는 컨설팅 기능을 포함한 개념으로 ‘컨설팅→시스템 구축→시스템 관리’의 3단계로 이뤄진다. 재난 직후, 제조, 영업, 지원 기능을 다시 가동해 기업이 계속 수익을 창출하도록 만들 방법이 있는지, 토네이도로 고객 서비스 부서가 있는 건물이 붕괴하였다고 가정했을 때 고객 서비스 담당자들이 고객의 전화를 처리할 수 있는지, 이를 위해 일시적으로 집이나 다른 장소에서 일하게 되는지, 비즈니스 연속성 계획은 이런 종류의 문제를 다룬다. 비즈니스 영향 분석(BIA, Business impact analysis)도 비즈니스 연속성 계획의 일부이다. 비즈니스 영향 분석은 비즈니스 기능이 갑자기 상실되었을 때의 영향을 통상 비용으로 정량화한다. 이런 분석은 비즈니스 연속성 계획의 비핵심 활동을 아웃소싱할지 평가하는 데 도움을 준다. 물론 여기에도 고유의 위험이 따른다. 비즈니스 영향 분석은 전체 조직의 프로세스를 조사하고, 가장 중요한 부분을 결정할 수 있도록 도움을 준다.<ref name="네이버 지식백과">업무 연속성 계획 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=859869&cid=42346&categoryId=42346</ref><ref name="한국비씨피솔루션">〈[http://www.krbcp.com/resource/read2.jsp?reqPageNo=1&no=619 '어떠한 재난에도 비즈니스는 계속돼야 한다' BCP 수립 방법]〉, 《한국비씨피솔루션즈》, 2017-09-11</ref>
 +
 +
== 특징 ==
 +
=== 기능 ===
 +
비즈니스 연속성의 필요성 및 중요성은 기업 내에서도 느낄 수 있다. 중소기업이나 대기업 모두 경쟁력을 유지하기 위해 노력한다. 확보한 고객을 유지하면서, 고객 기반을 확대하는 것은 매우 중요하다. 이때 긴급 상황이 발생한 직후는 이런 역량을 테스트하기 가장 좋을 때다. [[IT]] 복구는 대부분 기업에서 아주 중요하기 때문에, 이용할 수 있는 DR 솔루션이 아주 많다. 그리고 IT가 이런 솔루션을 이행할 것이다. 기업의 미래는 사람과 프로세스에 달려 있다. 어떤 사고이든 효과적으로 극복할 수 있는 역량을 갖춰야 한다. 이는 회사의 평판과 시장 가치에 긍정적인 영향을 가져온다. 또 고객 신뢰도를 높일 수 있다. 엑스페리안(Experian)의 글로벌 비즈니스 연속성 책임자인 로렌 오도넬은 "현재 소비자와 규제 당국의 '안전'에 대한 기대가 상승하는 추세다. 기업과 기관은 비즈니스 내부 프로세스, 이런 프로세스를 상실했을 때의 장기적인 영향을 이해해야 한다. 재무, 법무, 평판, 규제 측면에서 이런 상실이 발생할 수 있다. 규제 당국이 조직의 '사업 면허'를 폐지하거나, (사전 또는 나중에) 조건을 부과할 경우 시장 가치와 소비자 신뢰도에 부정적인 영향이 초래될 수 있다. 이런 프로세스가 어느 정도 중단되는 것을 가정한 상태에서 복구(복원) 전략을 수립해야 한다"고 강조했다.<ref name="한국비씨피솔루션"></ref>
 +
 +
비즈니스 연속성은 회사가 계속해서 문제를 해결하기 위해 수행하는 계획 또는 일련의 단계를 말한다. 이러한 계획은 회사가 재난으로부터 복구해야 하거나 미래의 비즈니스 운영을 유지하기 위해 새로운 관리를 시행해야 할 때 시행된다. 계획을 세우는 데 필요한 단계는 회의를 시작하고 비즈니스 분석을 수행하며 계획을 개발하는 것이다. 회사가 비즈니스 연속성 계획을 완료해야 하는 정해진 기간은 없다. 그러나 대부분은 실행 가능한 계획을 완전히 설계하는 데 몇 주가 걸릴 수 있다. 회사는 정상적인 비즈니스 운영 중에 발생하는 모든 문제에 대비해야 한다. 자연재해는 경고 없이 여러 번 겪을 수 있는 가장 큰 문제 중 하나다. 회사는 종종 운영에 영향을 줄 수 있는 잠재적인 자연재해 목록을 작성해야 한다. 그런 다음 회사가 자연재해를 겪는 중과 후에 자원의 공급을 유지하고 직원을 보호하며 물리적 시설을 재건축 또는 수리하는 방법을 결정해야 한다. 자연재해마다 다른 계획이 필요하게 된다. 수명은 종종 비즈니스 연속성 계획의 여러 단계에서 비롯된다. 소유주와 경영진은 회사가 현재 관리팀보다 더 오래가는 방법에 대한 계획을 제공할 수 있어야 한다. 이 계획은 회사가 현재 소유자와 관리자가 회사를 운영 할 다음 개인으로 책임을 전환하는 방법을 간략하게 설명한다. 회사가 여러 비즈니스 환경을 통해 변화함에 따라 비즈니스 프로세스에 대한 계획 및 단계는 지속해서 검토 중이다. 비즈니스 연속성 계획을 시작하려면 현재 소유자, 임원 및 관리자 간의 회의가 필요하다. 이 시작을 통해 연속성 계획에 무엇이 포함되어야 하는지 검토해야 한다. 이 초기 단계는 데이터 수집 및 중요한 검토 수행에 관련된 것이다. 회사는 비즈니스의 각 부서 또는 활동 그룹에 대한 계획을 세분화한다. 따라서 비즈니스의 모든 사람의 요구에 맞는 세부 계획이 마련되어 있어야 한다.<ref name="netinbag.com">〈[https://www.netinbag.com/ko/business/what-is-business-continuity-planning.html 비즈니스 연속성 계획이란 무엇입니까?]〉, 《netinbag.com》</ref>
 +
 +
=== 구성 요소 ===
 +
비즈니스 연속성을 위해 수립되는 계획을 비즈니스 연속성 계획(BCP, Business Continuity Plan)이라고 한다. 또 계획 수립부터 도입, 운용, 검토하는 지속적인 개선을 포함한 포괄적이고 통합적인 관리를 비즈니스 연속성 관리(BCM, Business Continuity Management)라고 한다. 국제표준화기구(ISO, International Organization for Standardization)에서는 ISO 22301을 발표·제정하여 BCM 표준 프레임워크를 제시하고 있다. 따라서 ISO 22301 발표 이후에는 BCP보다는 BCM이라는 용어가 더 일반화되고 있다.<ref name="단폴신사">단폴신사, 〈[https://blog.naver.com/newjin90/221834234625 (기획) ISO22301: BCM(업무연속성관리), 비상계획 표준 프레임워크]〉, 《네이버 블로그》, 2020-03-02</ref><ref>바우파파, 〈[https://baupapa.tistory.com/132 비즈니스 연속성 개념]〉, 《티스토리》, 2016-10-31</ref>
 +
 +
====계획====
 +
계획이 효과가 있을지 알 수 있는 유일한 방법은 테스트밖에 없다. 로렌 오도넬은 "실제 사고가 진짜 테스트, 효과가 있는지 확인하는 가장 좋은 경로가 될 것이다. 하지만 통제 및 관리에 기반을 둔 테스트가 훨씬 더 편안하다. 또 부족한 부분을 파악해 개선할 기회를 제공한다"고 말했다. 로렌 오도넬은 "계획이 철저하고, 의도한 목적에 부합하는지 파악하기 위해, 엄격히 테스트해야 한다"고 강조했다. 그는 '끝장'을 내는 것을 시도해보라고 권고했다. 그는 "쉬운 시나리오를 적용하지 않아야 한다. 확실하면서, 도전적인 시나리오를 적용해야 한다. 그래야만 개선할 수 있다. 또 측정하고 확대할 수 있는 목표를 수립해야 한다. '최소한'만 추구하면 실제 사고 발생 시 믿을 수 없는 미흡한 계획이 수립된다"고 말했다.
 +
 +
매년 2~4차례 비즈니스 연속성 계획(BCP, Business Continuity Plan)을 테스트하는 기업과 기관이 많다. 마지막 테스트 후 IT 변경 사항, 비즈니스 프로세스의 수, 핵심 인력의 이동 횟수, 조직의 형태와 업종에 따라 테스트 빈도가 달라진다. 테스트에는 도상 훈련, 체계적인 리허설, 시뮬레이션이 많이 사용된다. 테스트 팀은 복구 프로세스 코디네이터, 각 기능(직능 부서)의 구성원들로 구성된다. 도상 훈련은 통상 회의실에서 실시된다. 팀원들이 계획을 숙고하고, 부족한 부분을 찾는다. 모든 비즈니스 부서가 이 자리에 참석해야 한다. 체계적인 리허설의 경우, 팀원 각자가 계획에서 자신이 맡은 부분을 리허설한다. 이를 통해 [[취약점]]을 찾는다. 특정 재난 상황을 염두에 두고 리허설을 하는 경우가 많다. 일부 조직은 이런 체계적인 리허설에 훈련과 재난 상황에서의 역할을 포함하고 있다. 취약점을 개선해야 한다. 그리고 새로 개정한 계획을 전원에게 배포해야 한다. 여기에 더해, 매년 한 차례 이상 긴급 탈출 훈련을 전면적으로 실시하는 것이 좋다. 이는 신체적으로 제약이 있는 직원들을 대피시키기 위한 수단이 필요한지 판단하는 데 도움을 준다. 마지막으로 재난 시뮬레이션 테스트는 많은 인원이 참여하며, 매년 한 차례 이상 수행해야 한다. 이 테스트의 경우, 실제 재난을 시뮬레이션한 환경을 조성해야 한다. 재난에 필요한 장비, 물품, 사람(비즈니스 파트너 및 벤더)도 필요하다. 시뮬레이션은 핵심 비즈니스 기능을 수행할 수 있는지 판단하는 것이다. 비즈니스 연속성 계획 테스트의 각 단계 동안, 테스트 팀에 신입 직원 일부를 포함해야 한다. '신선한 눈'으로 기존 팀원들이 간과했을 수 있는 부족한 부분과 정보를 찾을 수 있기 때문이다.
 +
 +
비즈니스 연속성 계획을 수립해 처음 테스트할 때 큰 노력을 쏟아붓는다. 그러나 이후 계획을 방치하는 조직, 더 중요한 과업에 주의를 기울이는 조직이 있다. 전자의 경우, 계획이 정체되어 정작 필요할 때 무용지물이 된다. 기술은 발전하고 있으며, 기존 직원은 퇴사하고, 신입 직원이 입사한다. 따라서 계획을 업데이트하는 것이 아주 중요하다. 매년 한 차례 이상 핵심 인력을 소집해 계획을 검토하고, 수정해야 할 부분이 있는지 논의해야 한다. 이런 검토에 앞서, 직원들로부터 피드백을 수렴해 계획에 반영한다. 지사같이 멀리 떨어진 사업장을 포함, 모든 부서와 사업 부문에 계획 검토를 요청해야 한다. 불행히도 실제 재난에 직면해 계획을 실행해야 하는 경우, 터득한 교훈을 반영해야 한다. 도상 훈련이나 체계적인 리허설과 병행해 계획을 평가하는 조직들이 많다. 비즈니스 계획은 5단계의 절차를 걸친다.
 +
 +
# 프로젝트 계획 : 목표 및 범위 설정
 +
# 업무 영향 분석(BIA) : 복구시간목표(RTO), 복구시점목표(RPO), 복구 우선순위 결정
 +
# 복구 전략 선정 : 전략별 비용 분석, 전략 도출
 +
# 비즈니스 연속성 계획 개발 : 비즈니스 연속성 계획 조직 구성 및 조직별 계획 수립
 +
# 유지보수 : 교육, 모의훈련 및 유지보수 수행
 +
 +
:{|class=wikitable width=800
 +
|+비즈니스 연속성 계획 구성 요소
 +
!align=center|구성
 +
!align=center|세부 내용
 +
|-
 +
|align=left|재해 예방
 +
|align=left|
 +
* 업무 영향 분석<br/>
 +
* 재해/재난 분류, 취약성 발견, 발생 빈도와 예상 손실액 추정<br/>
 +
* 내/외부적, 사회적 요인에 따른 원인 분류<br/>
 +
* 위험성으로 인한 비즈니스 영향력 평가, 우선순위 선정<br/>
 +
* 주요 프로세스의 복구 시간 설정<br/>
 +
* 위험을 최소화할 수 있는 전략 대안 시스템 선정
 +
|-
 +
|align=left|대응 및 복구
 +
|align=left|
 +
* 재해/재난으로 인한 인적/물적 자원 긴급 조치와 비즈니스 프로세스 복구<br/>
 +
* 대응 및 복구 시나리오 작성<br/>
 +
* 대응계획: 비상시 행동요령, 연락처, 설비, 조직구성, 조직분류, 체계 구성<br/>
 +
* 복구계획: 피해집계 체계, 구제 계획, 복구업무 우선순위, 표준절차, 보고체계 구축, 대외 협력 체계 구축 등
 +
|-
 +
|align=left|유지보수
 +
|align=left|
 +
* 재난 발생에 따른 피해 유형 분석, 지속해서 영속성 있는 계획을 수립하기 위한 평간, 분석, 보완<br/>
 +
* 재해 계획의 지속적인 업데이트
 +
|-
 +
|align=left|모의훈련
 +
|align=left|
 +
* 비상계획에 따른 훈련과 학습 내용 평가 및 피드백<br/>
 +
* 시나리오에 따른 훈련 실시, 긴급 사태에 대한 숙련된 대응책 반복
 +
|-
 +
|}<ref name="한국비씨피솔루션"></ref><ref name="IT위키">비즈니스 연속성 계획 IT위키- http://itwiki.kr/w/%EC%97%85%EB%AC%B4_%EC%97%B0%EC%86%8D%EC%84%B1_%EA%B3%84%ED%9A%8D </ref>
 +
 +
====관리====
 +
비즈니스 연속성 관리(BCM, Business Continuity Management)란 조직을 위협하는 잠재영향을 파악하고, 주요 이해관계자의 이익, 조직의 평판, 브랜드 및 가치 창출 활동을 효과적으로 보호하는 데 필요한 대응 및 복원역량 확보를 가능하게 해주는 체계 제공의 통합 경영 프로세스이다. 비즈니스 연속성 관리 단계는 먼저 비즈니스 영향 분석을 해 자사의 업무 프로세스가 안고 있는 리스크를 파악한다. 다음 손해를 최소한으로 막고, 혹은 사회적 책임을 다하기 위해 최소한 계속해야 할 액션이 뭔지 결정하고 그에 따라 비즈니스 연속성 관리를 책정한다. 비즈니스 연속성 관리가 되면 직원 및 사업 동반자 등에 대한 교육 훈련을 시행한다. 비즈니스 환경은 끊임없이 변화하기 때문에, 비즈니스 연속성의 실효성을 유지하기 위해서는 정기적인 비즈니스 연속성 관리의 검토가 필수적이다. 검토는 다시 비즈니스 영향 분석 외에도 타사의 사례 훈련 피드백이 효과적이다. 일반적으로 비즈니스 연속성 관리는 재난 상황에서도 IT 기반의 업무가 중단없이 제공될 수 있도록 체계를 구축하는 것이다. 화재, 지진, 정전, 테러 등 주요 재난 유형에 대한 대응 절차를 상세 규정한 것이 비즈니스 연속성 계획이며, 각종 재난 상황에 대비한 주기적인 모의훈련을 시행하는 것이 좋다. 비즈니스 연속성 관리를 위한 조직 내 프로그램과 정책은 다음과 같다.
 +
 +
* 비즈니스 연속성 관리 도입을 위한 프로그램을 마련한다.
 +
* 비즈니스 연속성 관리 프로그램의 마련이 회사 전체의 목표와 전략과 일치해야 한다.
 +
* 비즈니스 연속성 관리 관련 직원의 역할과 책임이 각자의 성과목표와 업무기술서에 적절히 반영한다.
 +
* 외부 법률, 규제, 산업관행ㆍ표준 준수를 가능하게 하는 프로세스ㆍ체계 존재해야 한다.
 +
* 내부 정책, 지침, 산업관행ㆍ표준 준수를 가능하게 하는 프로세스ㆍ체계가 존재해야 한다.
 +
* 비즈니스 연속성 관리에 영향을 미치는 규준, 정책, 지침의 변경에 대한 즉각적인 확인과 적용을 가능하게 하는 프로세스ㆍ체계가 존재해야 한다.
 +
* 비즈니스 연속성 관리 프로그램에 대한 상황, 내용은 조직 내 이해관계자에 주기적으로 의사소통을 해야 한다.
 +
 +
비즈니스 연속성 관리를 위한 조직 내 정책은 비즈니스 연속성 관리 정책 또는 최고 경영진의 선언문 수준이 수립한다. 경영진의 성과목표에 비즈니스 연속성 관리의 운영책임이 명시한다. 이사회나 경영진은 비즈니스 연속성 관리 구현에 궁극적이고 최종적인 책임을 져야 한다. 이사회는 비즈니스 연속성 관리 구현, 운영에 대한 책임과 역할을 부여하기 위해 위원회 또는 책임자를 선임해야 한다. 경영진은 비즈니스 연속성 관리 운영책임을 맡은 직원과의 명확한 보고체계를 확보하고 집중화된 비즈니스 연속성 관리 조직ㆍ기능이 존재하여 비즈니스 연속성 관리 지침과 일련의 활동이 조직 전체에 파급, 적용되게 한다.<ref>바우파파, 〈[https://baupapa.tistory.com/133 BCM - business continuity management 정의]〉, 《티스토리》, 2016-10-31</ref><ref name="두리아"> 두리아, 〈[http://blog.daum.net/duria226/category/%EA%B3%B5%EB%B6%80%ED%95%A9%EC%8B%9C%EB%8B%A4./%EC%A0%95%EB%B3%B4%EA%B8%B0%EC%88%A0%28IT%29%EC%97%B0%EA%B5%AC?page=4 비즈니스 연속성 관리 (BCM, Business Continuity Management)]〉, 《다음 블로그》, 2012-07-07</ref>
 +
 +
=== 위협 요소 ===
 +
* '''사람의 실수''' : 시스템에서 논리적 손상을 일으키거나 시스템을 사용 불가 상태로 만드는 경우가 많다. 전원 케이블에 발이 걸리거나 사소한 사건 하나가 전체 스토리지 시스템 다운으로 이어질 수 있다. 생산성 손실을 방지하기 위해서는 가장 발생할 가능성이 큰 사람의 실수 유형을 예측하고 이를 신속하게 해결하기 위한 절차를 마련하는 것이 중요하다.
 +
 +
* '''악의적 공격''' : 우발적인 실수는 흔히 일어나지만, 의도적인 행동 역시 점차 확산하고 있다. 예를 들어 불만을 품은 직원 또는 전 직원이 IT 시스템을 공격해 다운시킬 수 있다. 바이러스 역시 마찬가지다. 사이버 테러는 더욱 큰 우려 사항이다. 오늘날 대부분의 조직은 악의적 행동으로부터 재해가 발생할 수 있음을 인지하고 이를 방지하기 위한 예측 비즈니스 연속성을 구현하고 있다. 최신 데이터 보호, 백업 및 복구 솔루션을 사용하면 이러한 공격을 차단하고 시스템의 정상 가동을 유지할 수 있다.
 +
 +
* '''데이터 손상''' : 손상된 하드웨어 또는 소프트웨어 구성 요소로 인해 데이터베이스에서 손상된 데이터의 읽기, 쓰기가 수행될 때 발생한다. 데이터 손상의 형태는 다양하다. 광범위한 경우도 있고 한 구역에 국한되는 경우도 있다. 그에 따라 데이터 손상 사고의 영향도 달라진다. 단일 데이터베이스 블록 내의 손상은 몇 명의 사용자에게 영향을 미치는 정도지만 데이터베이스의 상당 부분에서 손상이 발생하는 경우 데이터베이스를 아예 사용할 수 없게 되기도 한다. 기업 조직은 데이터 손상 문제를 공개하기를 꺼리지만, IT 전문가라면 대부분 어느 형태로든 데이터 손상을 경험한 적이 있을 것이다. 이러한 데이터 손상은 하드웨어 장애 또는 사람의 실수로 인해 발생할 수 있다. 견고한 데이터 백업 및 복구 계획을 선제적으로 가동하면 데이터 손상을 사전에 방지할 수 있다.
 +
 +
* '''스토리지 장애''' : 데이터베이스 콘텐츠의 일부 또는 전체가 저장된 스토리지가 가동 중단되거나 더는 접근할 수 없게 되어 사용 불능 상태가 될 때 발생한다. 많은 기업이 완전한 스토리지 장애를 경험했는데, 그 원인은 대부분 의도치 않은 사람의 부주의함이다. 예를 들어 한 조직에서는 어느 직원이 한 무더기의 디스크 드라이브를 벽에 기대 쌓다가 스위치를 건드려 끄는 바람에 시스템 장애가 발생했다. 이러한 문제는 추적하기가 어렵다. 다른 예시로, [[샌]](SAN, storage area network)에 대한 의존도가 높은 또 다른 기업은 소음을 줄이기 위해 데이터 센터에 카펫을 깔기로 했다. 얼핏 별문제 없어 보이는 결정이었지만 이후 승인을 받은 담당 직원이 데이터 센터를 방문하여 샌을 확인하기 위해 랙 베이에 손을 댄 순간 정전기가 발생하면서 컨트롤러 장비 회로가 단락되어 전체 샌이 다운되었다. 문제의 원인은 카펫 위를 다니면서 축적된 정전 하였지만 이를 몰랐던 회사는 새 컨트롤러를 구매했다. 새 컨트롤러를 가동한 이후 다른 누군가가 또 랙에 손을 댔고 이 컨트롤러 역시 단락으로 고장 났다. 예측 비즈니스 연속성 솔루션은 인프라 최적화와 데이터 보호에 초점을 맞춘다. IT 시스템의 주요 구성 요소에 장애가 발생하여 IT 팀이 시스템 장애의 원인을 조사하고 문제를 해결하는 동안 핵심 애플리케이션과 데이터가 영향을 받지 않고 사용자가 생산성을 유지하도록 해야 한다.
 +
 +
* '''정전 또는 네트워크 장애''' : 정전은 비즈니스에 큰 타격을 입힐 수 있다. 정전은 시스템 다운 타임의 원인 중 최상위권에 속한다. 비즈니스 중심의 [[재해복구]] 계획에는 랜 복구 단계는 물론 예비 랜 네트워크 인프라가 포함되어야 한다. 네트워크 장애 역시 예기치 않은 다운 타임의 흔한 원인이다. 네트워크 스위치 하나의 손실이 조직에서 많은 시간을 소비하는 대규모 가동 중단으로 이어질 수 있다.
 +
 +
* '''자연재해''' : 비즈니스 연속성을 위협하는 일반적인 재해 유형에는 속하지 않지만, 허리케인과 지진 역시 실제로 발생한다. IT 조직은 자연재해의 영향을 최소화하고 비즈니스 연속성을 유지하기 위한 견고한 복구 전략을 미리 수립해 두어야 한다.<ref name="퀘스트소프트웨어"> 퀘스트소프트웨어, 〈[http://blog.naver.com/quest_kor/221382481129 비즈니스 연속성의 가장 큰 위협 요소 6가지]〉, 《네이버 블로그》, 2018-10-22</ref>
 +
 +
===비즈니스 연속성 관리 시스템===
 +
비즈니스 연속성 관리 시스템(BCMS, Business Continuity Management System)은 조직의 중요한 업무가 갑작스러운 재해, 재난 등의 사태로 인해 중단될 경우 이른 시일 안에 복구가 가능하게 전력과 계획을 수립하고 실행하는 총체적 활동을 의미한다. 2000년 8월 12일 러시아 핵잠수함 쿠르스크호 침몰 사건, 2001년 9·11테러로 인한 전 세계적인 혼란, 2011년 태국 홍수로 인한 혼다자동차의 완성차 전량 폐기 등 각종 테러와 자연재해로 인한 위험요인이 증가하면서 이에 대비하는 사회안전 분야에서의 표준화 요구가 높아졌다. 이에 국제표준화기구는 사업의 중단을 초래할 수 있는 사고가 발생했을 때 조직이 효과적으로 대응하고, 사전에 계획한 대로 제품과 서비스 공급을 지속할 수 있도록 필요사항을 규정한 ISO 22301 국제표준을 제정하였다.
 +
 +
ISO 22301은 조직이 중단적 사고에 대한 대처, 손실 가능성의 축소, 각종 대응 및 사업의 원상회복을 위해 문서화된 경영시스템을 수립하고, 이 시스템을 실행, 운영, 모니터링 및 지속적인 개선 활동을 하기 위한 요구사항을 규정하고 있다. ISO 22301은 모든 산업 분야 및 활동에 적용할 수 있으며 조직의 각종 위협에 대한 영향을 파악하고, 효과적인 대응 능력 및 조직 회복능력을 구축하는 프레임워크를 제공한다. 이 표준을 통하여 기업들은 경영상의 취약점을 파악하고, 회복 탄력적인 조직을 만들어 변화하는 환경에 쉽게 적응하고, 위험이 발생할 경우에 대응할 수 있는 계획을 세울 수 있다. 또한 이러한 과정에서 기업들은 비즈니스 운영상에서 발생할 수 있는 문제들에 대한 준비가 되어있는지 확인할 수 있다.
 +
 +
비즈니스 연속성 관리 시스템은 고객 만족도 향상, 시장 내 경쟁우위 확보, 법규 및 요구 사항 준수, 국제적 인정, 기업 신뢰도 상승, 비즈니스 회복 탄력성 확보 등의 이점을 가지고 있다. 이외에도 리스크 관리 능력을 향상해 위기 상황에서도 대규모 손상을 방지하고, 빠른 회복 탄력성을 가지고 기업 평판을 유지할 수 있다. 또한 인정받은 분야에 대한 독립적인 검증을 통하여, 궁극적으로 당사의 브랜드 가치를 향상하는 효과가 있다.<ref name="한국표준협회">〈[http://ksa.or.kr/img/2017/ISO22301.pdf ISO 22301 비즈니스연속성경영시스템(BCMS)]〉, 《한국표준협회》</ref><ref name="한국인정지원센터">〈[http://kabkorpg.hk-test.co.kr/page/s0203_2_11.php 인증제도]〉, 《한국인정지원센터》</ref><ref name="DNV GL BA KOREA"> DNV GL BA KOREA, 〈[https://m.blog.naver.com/dnvglbakr/221747014257 (DNV GL BCMS)비즈니스연속성 관리 표준 ISO 22301 란?]〉, 《네이버 블로그》, 2019-12-23</ref>
 +
 +
== 전망 ==
 +
2020년 전 세계로 확산한 코로나 19와 같은 범유행 전염병 확산 같은 팬더믹과 지진, 홍수 등 자연재해의 강도가 강해지고 예측이 어려워지면서, 관련된 기업은 물론 거래회사, 협력회사까지를 포함한 비즈니스 연속성 계획 대책 수립의 중요성이 증대하고 있다. 이미 미국은 90% 이상, 일본은 50% 이상의 기업들이 자연재해, 테러 등에 대비한 비즈니스 연속성 계획을 구축했거나 구축하고 있다. 하지만 우리나라는 은행과 기업 내 시스템 부문 중심으로 유사시 백업 체제 확보 등 비즈니스 연속성 계획 관점의 대응 전략을 수립하고 있을 뿐, 기업 전 부문에 걸친 대응이 소홀한 편이다. 비즈니스 연속성에서 연속성이 말하고 있는 의미는 제품 및 서비스가 중단 없이 제공되는 것을 의미하는 것이 아니다. 중단되더라도 IT 고객이나 고객의 업무를 약속한 시각 내에 다시 사용할 수 있도록 보장해주는 것이다. 하지만 고객들은 기업에 닥친 재해에 관심이 없고 오로지 제품이나 서비스가 언제 다시 공급될 것인가에만 관심이 있다. 즉, IT기업은 장애나 재해가 발생했을 때를 대비해서 평소에 얼마나 잘 준비했고, 긴급 상황에 잘 대응할 수 있는 능력을 갖추고 있다는 것을 고객들에게 알려야만 하는 것이다. 기업들은 비즈니스 연속성을 고객에게 잘 보이기 위한 수단으로 보고 있다. IT는 나날이 성장하고 있고 그에 따라 IT기업들도 늘어나고 있다. 비즈니스 연속성은 IT기업들에 있어서 선택이 아닌 필수적인 요소가 되었고 이것을 잘 활용하면 어떠한 상황이 발생했을 때 준비했던 것을 활용해서 침착하게 대응할 수 있다.<ref name="단폴신사"></ref><ref> 최영석 기자, 〈[https://zdnet.co.kr/view/?no=20120402101553&from=pc (칼럼)비즈니스 연속성으로 본 IT재해복구의 한계]〉, 《지디넷코리아》, 2012-04-02</ref>
  
 
{{각주}}
 
{{각주}}
  
 
== 참고자료 ==
 
== 참고자료 ==
 +
* 업무 연속성 계획 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=859869&cid=42346&categoryId=42346
 +
* 비즈니스 연속성 계획 IT위키- http://itwiki.kr/w/%EC%97%85%EB%AC%B4_%EC%97%B0%EC%86%8D%EC%84%B1_%EA%B3%84%ED%9A%8D
 +
* 〈[http://ksa.or.kr/img/2017/ISO22301.pdf ISO 22301 비즈니스연속성경영시스템(BCMS)]〉, 《한국표준협회》
 +
* 〈[http://kabkorpg.hk-test.co.kr/page/s0203_2_11.php 인증제도]〉, 《한국인정지원센터》
 +
* 〈[https://www.netinbag.com/ko/business/what-is-business-continuity-planning.html 비즈니스 연속성 계획이란 무엇입니까?]〉, 《netinbag.com》
 +
* 최영석 기자, 〈[https://zdnet.co.kr/view/?no=20120402101553&from=pc (칼럼)비즈니스 연속성으로 본 IT재해복구의 한계]〉, 《지디넷코리아》, 2012-04-02
 +
* 두리아, 〈[http://blog.daum.net/duria226/category/%EA%B3%B5%EB%B6%80%ED%95%A9%EC%8B%9C%EB%8B%A4./%EC%A0%95%EB%B3%B4%EA%B8%B0%EC%88%A0%28IT%29%EC%97%B0%EA%B5%AC?page=4 비즈니스 연속성 관리 (BCM, Business Continuity Management)]〉, 《다음 블로그》, 2012-07-07
 +
* 바우파파,〈[https://baupapa.tistory.com/132 비즈니스 연속성 개념]〉, 《티스토리》, 2016-10-31
 +
* 바우파파, 〈[https://baupapa.tistory.com/133 BCM - business continuity management 정의]〉, 《티스토리》, 2016-10-31
 +
* 〈[http://www.krbcp.com/resource/read2.jsp?reqPageNo=1&no=619 '어떠한 재난에도 비즈니스는 계속돼야 한다' BCP 수립 방법]〉, 《한국비씨피솔루션즈》, 2017-09-11
 +
* 퀘스트소프트웨어, 〈[http://blog.naver.com/quest_kor/221382481129 비즈니스 연속성의 가장 큰 위협 요소 6가지]〉, 《네이버 블로그》, 2018-10-22
 +
* DNV GL BA KOREA, 〈[https://m.blog.naver.com/dnvglbakr/221747014257 (DNV GL BCMS)비즈니스연속성 관리 표준 ISO 22301 란?]〉, 《네이버 블로그》, 2019-12-23
 +
*단폴신사, 〈[https://blog.naver.com/newjin90/221834234625 (기획) ISO22301: BCM(업무연속성관리), 비상계획 표준 프레임워크]〉, 《네이버 블로그》, 2020-03-02
  
 
== 같이 보기 ==
 
== 같이 보기 ==
 +
* [[재해복구]]
 +
* [[백업]]
 +
* [[기업]]
  
 
{{하드웨어|검토 필요}}
 
{{하드웨어|검토 필요}}

2020년 8월 6일 (목) 15:40 기준 최신판

비즈니스 연속성(BC, Business Continuity)은 화재나 홍수 같은 자연재해나, 사이버 범죄자의 악의적 공격 등으로 긴급 사태가 발생한 상황에서 비즈니스 기능을 유지하거나, 빨리 재개시키는 것을 의미한다. 비즈니스 연속성 계획은 이런 긴급 사태에 직면해 조직이 따라야 할 절차와 지시 사항 등을 규정하고 있다. 이는 비즈니스 프로세스, 자산, 인적 자원(HR), 비즈니스 파트너 등을 포괄한다.

개요[편집]

비즈니스 연속성은 재해, 재난 같은 자연재해로 인해 정상적인 운용이 어려운 데이터 백업과 같은 단순 복구뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무 기능을 지속하는 환경을 조성해 기업 가치를 극대화하는 것을 말한다. 기업이 운영하는 시스템에 대한 평가 및 비즈니스 프로세스를 파악하고 재해 백업 시스템 운용 체계를 마련하여 재해로 인한 업무 손실을 최소화하는 컨설팅 기능을 포함한 개념으로 ‘컨설팅→시스템 구축→시스템 관리’의 3단계로 이뤄진다. 재난 직후, 제조, 영업, 지원 기능을 다시 가동해 기업이 계속 수익을 창출하도록 만들 방법이 있는지, 토네이도로 고객 서비스 부서가 있는 건물이 붕괴하였다고 가정했을 때 고객 서비스 담당자들이 고객의 전화를 처리할 수 있는지, 이를 위해 일시적으로 집이나 다른 장소에서 일하게 되는지, 비즈니스 연속성 계획은 이런 종류의 문제를 다룬다. 비즈니스 영향 분석(BIA, Business impact analysis)도 비즈니스 연속성 계획의 일부이다. 비즈니스 영향 분석은 비즈니스 기능이 갑자기 상실되었을 때의 영향을 통상 비용으로 정량화한다. 이런 분석은 비즈니스 연속성 계획의 비핵심 활동을 아웃소싱할지 평가하는 데 도움을 준다. 물론 여기에도 고유의 위험이 따른다. 비즈니스 영향 분석은 전체 조직의 프로세스를 조사하고, 가장 중요한 부분을 결정할 수 있도록 도움을 준다.[1][2]

특징[편집]

기능[편집]

비즈니스 연속성의 필요성 및 중요성은 기업 내에서도 느낄 수 있다. 중소기업이나 대기업 모두 경쟁력을 유지하기 위해 노력한다. 확보한 고객을 유지하면서, 고객 기반을 확대하는 것은 매우 중요하다. 이때 긴급 상황이 발생한 직후는 이런 역량을 테스트하기 가장 좋을 때다. IT 복구는 대부분 기업에서 아주 중요하기 때문에, 이용할 수 있는 DR 솔루션이 아주 많다. 그리고 IT가 이런 솔루션을 이행할 것이다. 기업의 미래는 사람과 프로세스에 달려 있다. 어떤 사고이든 효과적으로 극복할 수 있는 역량을 갖춰야 한다. 이는 회사의 평판과 시장 가치에 긍정적인 영향을 가져온다. 또 고객 신뢰도를 높일 수 있다. 엑스페리안(Experian)의 글로벌 비즈니스 연속성 책임자인 로렌 오도넬은 "현재 소비자와 규제 당국의 '안전'에 대한 기대가 상승하는 추세다. 기업과 기관은 비즈니스 내부 프로세스, 이런 프로세스를 상실했을 때의 장기적인 영향을 이해해야 한다. 재무, 법무, 평판, 규제 측면에서 이런 상실이 발생할 수 있다. 규제 당국이 조직의 '사업 면허'를 폐지하거나, (사전 또는 나중에) 조건을 부과할 경우 시장 가치와 소비자 신뢰도에 부정적인 영향이 초래될 수 있다. 이런 프로세스가 어느 정도 중단되는 것을 가정한 상태에서 복구(복원) 전략을 수립해야 한다"고 강조했다.[2]

비즈니스 연속성은 회사가 계속해서 문제를 해결하기 위해 수행하는 계획 또는 일련의 단계를 말한다. 이러한 계획은 회사가 재난으로부터 복구해야 하거나 미래의 비즈니스 운영을 유지하기 위해 새로운 관리를 시행해야 할 때 시행된다. 계획을 세우는 데 필요한 단계는 회의를 시작하고 비즈니스 분석을 수행하며 계획을 개발하는 것이다. 회사가 비즈니스 연속성 계획을 완료해야 하는 정해진 기간은 없다. 그러나 대부분은 실행 가능한 계획을 완전히 설계하는 데 몇 주가 걸릴 수 있다. 회사는 정상적인 비즈니스 운영 중에 발생하는 모든 문제에 대비해야 한다. 자연재해는 경고 없이 여러 번 겪을 수 있는 가장 큰 문제 중 하나다. 회사는 종종 운영에 영향을 줄 수 있는 잠재적인 자연재해 목록을 작성해야 한다. 그런 다음 회사가 자연재해를 겪는 중과 후에 자원의 공급을 유지하고 직원을 보호하며 물리적 시설을 재건축 또는 수리하는 방법을 결정해야 한다. 자연재해마다 다른 계획이 필요하게 된다. 수명은 종종 비즈니스 연속성 계획의 여러 단계에서 비롯된다. 소유주와 경영진은 회사가 현재 관리팀보다 더 오래가는 방법에 대한 계획을 제공할 수 있어야 한다. 이 계획은 회사가 현재 소유자와 관리자가 회사를 운영 할 다음 개인으로 책임을 전환하는 방법을 간략하게 설명한다. 회사가 여러 비즈니스 환경을 통해 변화함에 따라 비즈니스 프로세스에 대한 계획 및 단계는 지속해서 검토 중이다. 비즈니스 연속성 계획을 시작하려면 현재 소유자, 임원 및 관리자 간의 회의가 필요하다. 이 시작을 통해 연속성 계획에 무엇이 포함되어야 하는지 검토해야 한다. 이 초기 단계는 데이터 수집 및 중요한 검토 수행에 관련된 것이다. 회사는 비즈니스의 각 부서 또는 활동 그룹에 대한 계획을 세분화한다. 따라서 비즈니스의 모든 사람의 요구에 맞는 세부 계획이 마련되어 있어야 한다.[3]

구성 요소[편집]

비즈니스 연속성을 위해 수립되는 계획을 비즈니스 연속성 계획(BCP, Business Continuity Plan)이라고 한다. 또 계획 수립부터 도입, 운용, 검토하는 지속적인 개선을 포함한 포괄적이고 통합적인 관리를 비즈니스 연속성 관리(BCM, Business Continuity Management)라고 한다. 국제표준화기구(ISO, International Organization for Standardization)에서는 ISO 22301을 발표·제정하여 BCM 표준 프레임워크를 제시하고 있다. 따라서 ISO 22301 발표 이후에는 BCP보다는 BCM이라는 용어가 더 일반화되고 있다.[4][5]

계획[편집]

계획이 효과가 있을지 알 수 있는 유일한 방법은 테스트밖에 없다. 로렌 오도넬은 "실제 사고가 진짜 테스트, 효과가 있는지 확인하는 가장 좋은 경로가 될 것이다. 하지만 통제 및 관리에 기반을 둔 테스트가 훨씬 더 편안하다. 또 부족한 부분을 파악해 개선할 기회를 제공한다"고 말했다. 로렌 오도넬은 "계획이 철저하고, 의도한 목적에 부합하는지 파악하기 위해, 엄격히 테스트해야 한다"고 강조했다. 그는 '끝장'을 내는 것을 시도해보라고 권고했다. 그는 "쉬운 시나리오를 적용하지 않아야 한다. 확실하면서, 도전적인 시나리오를 적용해야 한다. 그래야만 개선할 수 있다. 또 측정하고 확대할 수 있는 목표를 수립해야 한다. '최소한'만 추구하면 실제 사고 발생 시 믿을 수 없는 미흡한 계획이 수립된다"고 말했다.

매년 2~4차례 비즈니스 연속성 계획(BCP, Business Continuity Plan)을 테스트하는 기업과 기관이 많다. 마지막 테스트 후 IT 변경 사항, 비즈니스 프로세스의 수, 핵심 인력의 이동 횟수, 조직의 형태와 업종에 따라 테스트 빈도가 달라진다. 테스트에는 도상 훈련, 체계적인 리허설, 시뮬레이션이 많이 사용된다. 테스트 팀은 복구 프로세스 코디네이터, 각 기능(직능 부서)의 구성원들로 구성된다. 도상 훈련은 통상 회의실에서 실시된다. 팀원들이 계획을 숙고하고, 부족한 부분을 찾는다. 모든 비즈니스 부서가 이 자리에 참석해야 한다. 체계적인 리허설의 경우, 팀원 각자가 계획에서 자신이 맡은 부분을 리허설한다. 이를 통해 취약점을 찾는다. 특정 재난 상황을 염두에 두고 리허설을 하는 경우가 많다. 일부 조직은 이런 체계적인 리허설에 훈련과 재난 상황에서의 역할을 포함하고 있다. 취약점을 개선해야 한다. 그리고 새로 개정한 계획을 전원에게 배포해야 한다. 여기에 더해, 매년 한 차례 이상 긴급 탈출 훈련을 전면적으로 실시하는 것이 좋다. 이는 신체적으로 제약이 있는 직원들을 대피시키기 위한 수단이 필요한지 판단하는 데 도움을 준다. 마지막으로 재난 시뮬레이션 테스트는 많은 인원이 참여하며, 매년 한 차례 이상 수행해야 한다. 이 테스트의 경우, 실제 재난을 시뮬레이션한 환경을 조성해야 한다. 재난에 필요한 장비, 물품, 사람(비즈니스 파트너 및 벤더)도 필요하다. 시뮬레이션은 핵심 비즈니스 기능을 수행할 수 있는지 판단하는 것이다. 비즈니스 연속성 계획 테스트의 각 단계 동안, 테스트 팀에 신입 직원 일부를 포함해야 한다. '신선한 눈'으로 기존 팀원들이 간과했을 수 있는 부족한 부분과 정보를 찾을 수 있기 때문이다.

비즈니스 연속성 계획을 수립해 처음 테스트할 때 큰 노력을 쏟아붓는다. 그러나 이후 계획을 방치하는 조직, 더 중요한 과업에 주의를 기울이는 조직이 있다. 전자의 경우, 계획이 정체되어 정작 필요할 때 무용지물이 된다. 기술은 발전하고 있으며, 기존 직원은 퇴사하고, 신입 직원이 입사한다. 따라서 계획을 업데이트하는 것이 아주 중요하다. 매년 한 차례 이상 핵심 인력을 소집해 계획을 검토하고, 수정해야 할 부분이 있는지 논의해야 한다. 이런 검토에 앞서, 직원들로부터 피드백을 수렴해 계획에 반영한다. 지사같이 멀리 떨어진 사업장을 포함, 모든 부서와 사업 부문에 계획 검토를 요청해야 한다. 불행히도 실제 재난에 직면해 계획을 실행해야 하는 경우, 터득한 교훈을 반영해야 한다. 도상 훈련이나 체계적인 리허설과 병행해 계획을 평가하는 조직들이 많다. 비즈니스 계획은 5단계의 절차를 걸친다.

  1. 프로젝트 계획 : 목표 및 범위 설정
  2. 업무 영향 분석(BIA) : 복구시간목표(RTO), 복구시점목표(RPO), 복구 우선순위 결정
  3. 복구 전략 선정 : 전략별 비용 분석, 전략 도출
  4. 비즈니스 연속성 계획 개발 : 비즈니스 연속성 계획 조직 구성 및 조직별 계획 수립
  5. 유지보수 : 교육, 모의훈련 및 유지보수 수행
비즈니스 연속성 계획 구성 요소
구성 세부 내용
재해 예방
  • 업무 영향 분석
  • 재해/재난 분류, 취약성 발견, 발생 빈도와 예상 손실액 추정
  • 내/외부적, 사회적 요인에 따른 원인 분류
  • 위험성으로 인한 비즈니스 영향력 평가, 우선순위 선정
  • 주요 프로세스의 복구 시간 설정
  • 위험을 최소화할 수 있는 전략 대안 시스템 선정
대응 및 복구
  • 재해/재난으로 인한 인적/물적 자원 긴급 조치와 비즈니스 프로세스 복구
  • 대응 및 복구 시나리오 작성
  • 대응계획: 비상시 행동요령, 연락처, 설비, 조직구성, 조직분류, 체계 구성
  • 복구계획: 피해집계 체계, 구제 계획, 복구업무 우선순위, 표준절차, 보고체계 구축, 대외 협력 체계 구축 등
유지보수
  • 재난 발생에 따른 피해 유형 분석, 지속해서 영속성 있는 계획을 수립하기 위한 평간, 분석, 보완
  • 재해 계획의 지속적인 업데이트
모의훈련
  • 비상계획에 따른 훈련과 학습 내용 평가 및 피드백
  • 시나리오에 따른 훈련 실시, 긴급 사태에 대한 숙련된 대응책 반복
[2][6]

관리[편집]

비즈니스 연속성 관리(BCM, Business Continuity Management)란 조직을 위협하는 잠재영향을 파악하고, 주요 이해관계자의 이익, 조직의 평판, 브랜드 및 가치 창출 활동을 효과적으로 보호하는 데 필요한 대응 및 복원역량 확보를 가능하게 해주는 체계 제공의 통합 경영 프로세스이다. 비즈니스 연속성 관리 단계는 먼저 비즈니스 영향 분석을 해 자사의 업무 프로세스가 안고 있는 리스크를 파악한다. 다음 손해를 최소한으로 막고, 혹은 사회적 책임을 다하기 위해 최소한 계속해야 할 액션이 뭔지 결정하고 그에 따라 비즈니스 연속성 관리를 책정한다. 비즈니스 연속성 관리가 되면 직원 및 사업 동반자 등에 대한 교육 훈련을 시행한다. 비즈니스 환경은 끊임없이 변화하기 때문에, 비즈니스 연속성의 실효성을 유지하기 위해서는 정기적인 비즈니스 연속성 관리의 검토가 필수적이다. 검토는 다시 비즈니스 영향 분석 외에도 타사의 사례 훈련 피드백이 효과적이다. 일반적으로 비즈니스 연속성 관리는 재난 상황에서도 IT 기반의 업무가 중단없이 제공될 수 있도록 체계를 구축하는 것이다. 화재, 지진, 정전, 테러 등 주요 재난 유형에 대한 대응 절차를 상세 규정한 것이 비즈니스 연속성 계획이며, 각종 재난 상황에 대비한 주기적인 모의훈련을 시행하는 것이 좋다. 비즈니스 연속성 관리를 위한 조직 내 프로그램과 정책은 다음과 같다.

  • 비즈니스 연속성 관리 도입을 위한 프로그램을 마련한다.
  • 비즈니스 연속성 관리 프로그램의 마련이 회사 전체의 목표와 전략과 일치해야 한다.
  • 비즈니스 연속성 관리 관련 직원의 역할과 책임이 각자의 성과목표와 업무기술서에 적절히 반영한다.
  • 외부 법률, 규제, 산업관행ㆍ표준 준수를 가능하게 하는 프로세스ㆍ체계 존재해야 한다.
  • 내부 정책, 지침, 산업관행ㆍ표준 준수를 가능하게 하는 프로세스ㆍ체계가 존재해야 한다.
  • 비즈니스 연속성 관리에 영향을 미치는 규준, 정책, 지침의 변경에 대한 즉각적인 확인과 적용을 가능하게 하는 프로세스ㆍ체계가 존재해야 한다.
  • 비즈니스 연속성 관리 프로그램에 대한 상황, 내용은 조직 내 이해관계자에 주기적으로 의사소통을 해야 한다.

비즈니스 연속성 관리를 위한 조직 내 정책은 비즈니스 연속성 관리 정책 또는 최고 경영진의 선언문 수준이 수립한다. 경영진의 성과목표에 비즈니스 연속성 관리의 운영책임이 명시한다. 이사회나 경영진은 비즈니스 연속성 관리 구현에 궁극적이고 최종적인 책임을 져야 한다. 이사회는 비즈니스 연속성 관리 구현, 운영에 대한 책임과 역할을 부여하기 위해 위원회 또는 책임자를 선임해야 한다. 경영진은 비즈니스 연속성 관리 운영책임을 맡은 직원과의 명확한 보고체계를 확보하고 집중화된 비즈니스 연속성 관리 조직ㆍ기능이 존재하여 비즈니스 연속성 관리 지침과 일련의 활동이 조직 전체에 파급, 적용되게 한다.[7][8]

위협 요소[편집]

  • 사람의 실수 : 시스템에서 논리적 손상을 일으키거나 시스템을 사용 불가 상태로 만드는 경우가 많다. 전원 케이블에 발이 걸리거나 사소한 사건 하나가 전체 스토리지 시스템 다운으로 이어질 수 있다. 생산성 손실을 방지하기 위해서는 가장 발생할 가능성이 큰 사람의 실수 유형을 예측하고 이를 신속하게 해결하기 위한 절차를 마련하는 것이 중요하다.
  • 악의적 공격 : 우발적인 실수는 흔히 일어나지만, 의도적인 행동 역시 점차 확산하고 있다. 예를 들어 불만을 품은 직원 또는 전 직원이 IT 시스템을 공격해 다운시킬 수 있다. 바이러스 역시 마찬가지다. 사이버 테러는 더욱 큰 우려 사항이다. 오늘날 대부분의 조직은 악의적 행동으로부터 재해가 발생할 수 있음을 인지하고 이를 방지하기 위한 예측 비즈니스 연속성을 구현하고 있다. 최신 데이터 보호, 백업 및 복구 솔루션을 사용하면 이러한 공격을 차단하고 시스템의 정상 가동을 유지할 수 있다.
  • 데이터 손상 : 손상된 하드웨어 또는 소프트웨어 구성 요소로 인해 데이터베이스에서 손상된 데이터의 읽기, 쓰기가 수행될 때 발생한다. 데이터 손상의 형태는 다양하다. 광범위한 경우도 있고 한 구역에 국한되는 경우도 있다. 그에 따라 데이터 손상 사고의 영향도 달라진다. 단일 데이터베이스 블록 내의 손상은 몇 명의 사용자에게 영향을 미치는 정도지만 데이터베이스의 상당 부분에서 손상이 발생하는 경우 데이터베이스를 아예 사용할 수 없게 되기도 한다. 기업 조직은 데이터 손상 문제를 공개하기를 꺼리지만, IT 전문가라면 대부분 어느 형태로든 데이터 손상을 경험한 적이 있을 것이다. 이러한 데이터 손상은 하드웨어 장애 또는 사람의 실수로 인해 발생할 수 있다. 견고한 데이터 백업 및 복구 계획을 선제적으로 가동하면 데이터 손상을 사전에 방지할 수 있다.
  • 스토리지 장애 : 데이터베이스 콘텐츠의 일부 또는 전체가 저장된 스토리지가 가동 중단되거나 더는 접근할 수 없게 되어 사용 불능 상태가 될 때 발생한다. 많은 기업이 완전한 스토리지 장애를 경험했는데, 그 원인은 대부분 의도치 않은 사람의 부주의함이다. 예를 들어 한 조직에서는 어느 직원이 한 무더기의 디스크 드라이브를 벽에 기대 쌓다가 스위치를 건드려 끄는 바람에 시스템 장애가 발생했다. 이러한 문제는 추적하기가 어렵다. 다른 예시로, (SAN, storage area network)에 대한 의존도가 높은 또 다른 기업은 소음을 줄이기 위해 데이터 센터에 카펫을 깔기로 했다. 얼핏 별문제 없어 보이는 결정이었지만 이후 승인을 받은 담당 직원이 데이터 센터를 방문하여 샌을 확인하기 위해 랙 베이에 손을 댄 순간 정전기가 발생하면서 컨트롤러 장비 회로가 단락되어 전체 샌이 다운되었다. 문제의 원인은 카펫 위를 다니면서 축적된 정전 하였지만 이를 몰랐던 회사는 새 컨트롤러를 구매했다. 새 컨트롤러를 가동한 이후 다른 누군가가 또 랙에 손을 댔고 이 컨트롤러 역시 단락으로 고장 났다. 예측 비즈니스 연속성 솔루션은 인프라 최적화와 데이터 보호에 초점을 맞춘다. IT 시스템의 주요 구성 요소에 장애가 발생하여 IT 팀이 시스템 장애의 원인을 조사하고 문제를 해결하는 동안 핵심 애플리케이션과 데이터가 영향을 받지 않고 사용자가 생산성을 유지하도록 해야 한다.
  • 정전 또는 네트워크 장애 : 정전은 비즈니스에 큰 타격을 입힐 수 있다. 정전은 시스템 다운 타임의 원인 중 최상위권에 속한다. 비즈니스 중심의 재해복구 계획에는 랜 복구 단계는 물론 예비 랜 네트워크 인프라가 포함되어야 한다. 네트워크 장애 역시 예기치 않은 다운 타임의 흔한 원인이다. 네트워크 스위치 하나의 손실이 조직에서 많은 시간을 소비하는 대규모 가동 중단으로 이어질 수 있다.
  • 자연재해 : 비즈니스 연속성을 위협하는 일반적인 재해 유형에는 속하지 않지만, 허리케인과 지진 역시 실제로 발생한다. IT 조직은 자연재해의 영향을 최소화하고 비즈니스 연속성을 유지하기 위한 견고한 복구 전략을 미리 수립해 두어야 한다.[9]

비즈니스 연속성 관리 시스템[편집]

비즈니스 연속성 관리 시스템(BCMS, Business Continuity Management System)은 조직의 중요한 업무가 갑작스러운 재해, 재난 등의 사태로 인해 중단될 경우 이른 시일 안에 복구가 가능하게 전력과 계획을 수립하고 실행하는 총체적 활동을 의미한다. 2000년 8월 12일 러시아 핵잠수함 쿠르스크호 침몰 사건, 2001년 9·11테러로 인한 전 세계적인 혼란, 2011년 태국 홍수로 인한 혼다자동차의 완성차 전량 폐기 등 각종 테러와 자연재해로 인한 위험요인이 증가하면서 이에 대비하는 사회안전 분야에서의 표준화 요구가 높아졌다. 이에 국제표준화기구는 사업의 중단을 초래할 수 있는 사고가 발생했을 때 조직이 효과적으로 대응하고, 사전에 계획한 대로 제품과 서비스 공급을 지속할 수 있도록 필요사항을 규정한 ISO 22301 국제표준을 제정하였다.

ISO 22301은 조직이 중단적 사고에 대한 대처, 손실 가능성의 축소, 각종 대응 및 사업의 원상회복을 위해 문서화된 경영시스템을 수립하고, 이 시스템을 실행, 운영, 모니터링 및 지속적인 개선 활동을 하기 위한 요구사항을 규정하고 있다. ISO 22301은 모든 산업 분야 및 활동에 적용할 수 있으며 조직의 각종 위협에 대한 영향을 파악하고, 효과적인 대응 능력 및 조직 회복능력을 구축하는 프레임워크를 제공한다. 이 표준을 통하여 기업들은 경영상의 취약점을 파악하고, 회복 탄력적인 조직을 만들어 변화하는 환경에 쉽게 적응하고, 위험이 발생할 경우에 대응할 수 있는 계획을 세울 수 있다. 또한 이러한 과정에서 기업들은 비즈니스 운영상에서 발생할 수 있는 문제들에 대한 준비가 되어있는지 확인할 수 있다.

비즈니스 연속성 관리 시스템은 고객 만족도 향상, 시장 내 경쟁우위 확보, 법규 및 요구 사항 준수, 국제적 인정, 기업 신뢰도 상승, 비즈니스 회복 탄력성 확보 등의 이점을 가지고 있다. 이외에도 리스크 관리 능력을 향상해 위기 상황에서도 대규모 손상을 방지하고, 빠른 회복 탄력성을 가지고 기업 평판을 유지할 수 있다. 또한 인정받은 분야에 대한 독립적인 검증을 통하여, 궁극적으로 당사의 브랜드 가치를 향상하는 효과가 있다.[10][11][12]

전망[편집]

2020년 전 세계로 확산한 코로나 19와 같은 범유행 전염병 확산 같은 팬더믹과 지진, 홍수 등 자연재해의 강도가 강해지고 예측이 어려워지면서, 관련된 기업은 물론 거래회사, 협력회사까지를 포함한 비즈니스 연속성 계획 대책 수립의 중요성이 증대하고 있다. 이미 미국은 90% 이상, 일본은 50% 이상의 기업들이 자연재해, 테러 등에 대비한 비즈니스 연속성 계획을 구축했거나 구축하고 있다. 하지만 우리나라는 은행과 기업 내 시스템 부문 중심으로 유사시 백업 체제 확보 등 비즈니스 연속성 계획 관점의 대응 전략을 수립하고 있을 뿐, 기업 전 부문에 걸친 대응이 소홀한 편이다. 비즈니스 연속성에서 연속성이 말하고 있는 의미는 제품 및 서비스가 중단 없이 제공되는 것을 의미하는 것이 아니다. 중단되더라도 IT 고객이나 고객의 업무를 약속한 시각 내에 다시 사용할 수 있도록 보장해주는 것이다. 하지만 고객들은 기업에 닥친 재해에 관심이 없고 오로지 제품이나 서비스가 언제 다시 공급될 것인가에만 관심이 있다. 즉, IT기업은 장애나 재해가 발생했을 때를 대비해서 평소에 얼마나 잘 준비했고, 긴급 상황에 잘 대응할 수 있는 능력을 갖추고 있다는 것을 고객들에게 알려야만 하는 것이다. 기업들은 비즈니스 연속성을 고객에게 잘 보이기 위한 수단으로 보고 있다. IT는 나날이 성장하고 있고 그에 따라 IT기업들도 늘어나고 있다. 비즈니스 연속성은 IT기업들에 있어서 선택이 아닌 필수적인 요소가 되었고 이것을 잘 활용하면 어떠한 상황이 발생했을 때 준비했던 것을 활용해서 침착하게 대응할 수 있다.[4][13]

각주[편집]

  1. 업무 연속성 계획 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=859869&cid=42346&categoryId=42346
  2. 2.0 2.1 2.2 '어떠한 재난에도 비즈니스는 계속돼야 한다' BCP 수립 방법〉, 《한국비씨피솔루션즈》, 2017-09-11
  3. 비즈니스 연속성 계획이란 무엇입니까?〉, 《netinbag.com》
  4. 4.0 4.1 단폴신사, 〈(기획) ISO22301: BCM(업무연속성관리), 비상계획 표준 프레임워크〉, 《네이버 블로그》, 2020-03-02
  5. 바우파파, 〈비즈니스 연속성 개념〉, 《티스토리》, 2016-10-31
  6. 비즈니스 연속성 계획 IT위키- http://itwiki.kr/w/%EC%97%85%EB%AC%B4_%EC%97%B0%EC%86%8D%EC%84%B1_%EA%B3%84%ED%9A%8D
  7. 바우파파, 〈BCM - business continuity management 정의〉, 《티스토리》, 2016-10-31
  8. 두리아, 〈비즈니스 연속성 관리 (BCM, Business Continuity Management)〉, 《다음 블로그》, 2012-07-07
  9. 퀘스트소프트웨어, 〈비즈니스 연속성의 가장 큰 위협 요소 6가지〉, 《네이버 블로그》, 2018-10-22
  10. ISO 22301 비즈니스연속성경영시스템(BCMS)〉, 《한국표준협회》
  11. 인증제도〉, 《한국인정지원센터》
  12. DNV GL BA KOREA, 〈(DNV GL BCMS)비즈니스연속성 관리 표준 ISO 22301 란?〉, 《네이버 블로그》, 2019-12-23
  13. 최영석 기자, 〈(칼럼)비즈니스 연속성으로 본 IT재해복구의 한계〉, 《지디넷코리아》, 2012-04-02

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 비즈니스 연속성 문서는 하드웨어에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.