I. 기업 비즈니스 연속성 보장을 위한 사업영향평가, BIA의 개요
가. BIA(Business Impact Analysis)의 정의
재해 발생 시 기업의 비즈니스에 영향을 미치는 업무를 선정하고,
업무중단에 대한 정량적/정성적 분석을 통해 복구우선순위를 도출하는 BCP의 핵심적인 분석절차
나. BIA의 목적
|
구분 |
설명 |
|
핵심 우선순위 결정 (Critical Periodization) |
영향도가 가장 큰 업무를 우선 복구하여 피해 최소화 |
|
중단시간 산정 (Downtime Estimate) |
최대 허용 가능한 중단시간을 산정하여 서비스 연속성 보장 |
|
요구자원 산정 (Resource Requirements) |
업무별 자원 요구사항을 파악, 원활한 재해복구 지원 |
II. BIA 수행절차 및 분석방법
가. BIA의 수행절차
- 재무적, 비재무적 지표에 따른 손실 정도를 산정하고, 이를 기반으로 복구 순위 도출
나. BIA 단계별 프로세스 설명
|
단계 |
항목 |
설명 |
|
1 |
정성적, 정량적 평가도출 |
전산시스템 재해 발생 시 파급 영향을 정성적/정량적으로 분석할 수 있는 12개 분석항목 도출 |
|
2 |
인터뷰 및 설문 실시 |
담당자 시범 인터뷰를 통해 정성적 영향 7개 항목과 정량적 영향 4개 항목에 대해 사전 평가 |
|
3 |
평가 항목 간 가중치 결정 |
Safety의 AHP(Analytic Hierarchy Process) 분석 기법을 사용하여 가중치 부여 |
|
4 |
종합 점수 산정 |
가중치 부여 후, 각각의 항목에 점수 부여->결과 합산->각 어플리케이션 별 종합 점수 산정 |
|
5 |
종합 점수 별 그룹핑 |
종합점수를 내림차순으로 정렬 -> RTO(Recovery Time Objectives) 기준으로 1,2,3 그룹으로 구분 |
다. BIA의 관점 별 분석방법
|
1. 분석관점 |
2. 관점 별 수준 |
3. 최종 등급 판정 |
|
– 재무적 영향도 측면 |
① 미미함(Negligible) |
① 부분/국지적 |
- BIA를 통해 산출된 최종등급에 따라 적정수준의 복구 목표 및 DR(Disaster Recovery) 센터 구축을 수행
라. BIA를 통한 주요 도출 지표
|
지표 |
설명 |
사례 |
|
RTO |
업무 재개 위한 필요 시간 |
2시간, 7일, 1개월 |
|
RPO |
핵심 업무 복구 수준(백업) |
특정 백업 시점 |
|
RSO |
네트워크 복구 수준 |
주요 영업점, 전 영업점 |
|
RCO |
복구 대상 핵심 업무 |
계정계, 정보계, 대외계 |
|
BCO |
백업 센터 구축 목표 |
DR센터 시스템 구축 |
※ BCO(Backup Center Objective)
마. BIA 결과 기반 복구목표 산정 및 DR 센터 구성방안
|
최종 등급 |
RTO / RPO |
DR센터 |
대상 사례 |
|
① 부분/국지적 |
8H / 10D |
Cold |
검증계, 테스트 |
|
② 일반/제한 |
6H / 7D |
Warm |
백업, 파일 서버 |
|
③ 중요/대형 |
2H / 12H |
Hot |
정보계, 경영정보 |
|
④ 광범위/전파 |
0H / 4H |
Mirror |
계정계, 온라인금융 |
III. BIA의 수행결과에 따른 복구 목표 산정 및 DR 센터 구성방안
|
BIA 최종등급 |
복구목표 |
DR센터 |
대상 시스템 사례 |
|
1. 부분/국지적 |
RTO=8H, RPO=10D |
Cold Site |
테스트, 검증계시스템 |
|
2. 일반/제한 |
RTO=6H, RPO=7D |
Warm Site |
파일서버 |
|
3. 중요/대형 |
RTO=2H, RPO=12H |
Hot Site |
경영정보시스템 |
|
4. 광범위/전파 |
RTO=4H, RPO=4H |
Mirror Site |
온라인 쇼핑몰 홈페이지 |
IV. BIA와 RA(위험평가, Risk Assessment) 비교
|
구분 |
업무영향분석(BIA) |
위험평가(RA) |
|
정의 |
- 업무중단(Disruption)으로 인한 영향을 파악하고, 이를 토대로 “업무단위”를 분류하고 우선 순위화하는 활동 |
- 기업이 지속적인 비즈니스를 수행하는 데에 있어 잠재적인 “위험”을 식별하는 활동 |
|
주요 수행내용 |
- 단위업무식별및분류 - 복구목표시간(RTO)의정의 - 복구에필요한자원의식별및정의 |
- 리스크식별및분류 - 리스크평가 - 리스크완화방안도출 |
|
연계 |
- 복구전략 및 대안을 설계하기 위한 정보 제공 |
- 위기대응계획과연계 |
'정보관리기술사&컴퓨터응용시스템기술사 > IT경영전략' 카테고리의 다른 글
| 비즈니스 연속성 관리의 국제표준, ISO 22301 (0) | 2020.11.26 |
|---|---|
| ITSM을 위한 Best Practice 모음집, ITIL 4.0 (IT Infrastructure Library) (0) | 2020.11.26 |
| SLA(Service Level Agreement) (0) | 2020.11.23 |
| IT서비스 수준 관리를 위한 프레임워크, ITSM (0) | 2020.11.23 |
| IT 경영전략 핵심 키워드 정리 - ITSM, Data Mining 총론 (0) | 2020.11.22 |
댓글