I. 기업 비즈니스 연속성 보장 체계, BCM의 개요
가. BCM(Business Continuity Management)의 정의
- 업무중단으로부터 발생할 수 있는 중대한 위험을 최소화하는 것을 목적으로 하는 절차로, 평상시 중대한 업무중단 발생을 예방하고 업무장단 발생시에는 핵심영업을 유지하거나 복구하는 일련의 활동 및 체계
나. BCM의 등장배경
|
구분 |
설명 |
|
기술적 측면 |
- 재해 대비 시스템 복구 기능이 정보시스템 필수 요소로 인식 - 시스템 안정성에 대한 법적 규제 추세 |
|
내부환경 측면 |
시스템 중지로 인한 영업손실에 대한 기회비용 발생 방지 |
|
외부환경 측면 |
시스템 중지로 인한 기업이미지 실추 예방 |
II. BCM 프레임워크 및 구성요소
가. BCM의 프레임워크
나. BCM의 구성요소
|
구성요소 |
설명 |
|
재해 예방 (Disaster Prevention) |
- 위험요소에 대한 정량적/정성적 분석을 통해 재해 발생 전 대응, 처리 |
|
대응 및 복구 (Response & Recovery) |
- BIA (Business Impact Analysis)를 통해 파급효과 분석, 대응방안 수립 - 복구 관련 지표 목표 설정: RTO, RPO, RSO, RCO |
|
운영체계 (Maintenance) |
- 건물/시설/IT시스템/데이터 대상 복구 운영 형태 선정 - 상호계약형, 공동이용형, 위탁운영형, 자영운영형 중 선택 |
|
모의 훈련 (Simulation) |
- 수립된 계획을 주기적으로 테스트하여 미비점 파악 및 보완 - 복구 목표 수준(RTO, RPO) 실제 훈련 적용 |
III. BCM의 구축절차 및 운영절차
가. BCM의 구축절차
|
구 분 |
PLAN |
DO |
CHECK |
ACT |
|
단 계 |
정책수립 |
실행 및 운영 |
모니터링 및 검토 |
유지관리 및 개선 |
|
활 동 |
- 목표/목적 식별 - 정책수립 - 주요 생산품/서비스 식별 - 조직/자원 할당 - 담당자 교육 - 문서/기록 통제 |
- BIA (사업영향분석) - RA (리스크 평가) - 사업재개 전략수립 - IMP (사고관리계획) - BCP (사업복구계획) - 모의훈련 |
- 내부감사 - 경영진 검토 |
- 예방조치 - 시정조치 - 개선사항 식별 |
|
성과물 |
- 정책서 - BCM 목표 - 조직 및 R&R - 교육자료 |
- BIA 결과 - RA 결과 - BC 전략 - IMP & BCP - 훈련보고서 |
- 감사 보고서 - 검토 보고서 - 내부감사 결과 |
- 시정계획서 - 반영서 |
|
구성도 |
 |
|||
나. BCM의 운영절차
|
구성요소 |
내 용 |
|
BCM 프로그램관리 |
책임할당, 비즈니스 연속성 구축 및 지속적 관리 |
|
조직의 이해 |
BIA/핵심활동 정의, 요구사항 결정, 위험평가/조치방안 결정 |
|
BCM 전략결정 |
연속성 전략결정, 최대 중단 허용시간, 지원활동 결정 |
|
BCM 대응개발 |
인시던트 관리팀 구성, 관리계획, 미디어 관리 방안, BCP 구현 |
|
훈련/유지관리 및 검토 |
훈련과 검토, 유효성 검토 |
|
조직문화로 BCM 내재화 |
BCM 인식 제고, 직원 교육 |
 |
|
IV. BCM 인증제도 ISO 22301의 목적 및 주요내용
가. ISO 22301의 정의
- 기업 비즈니스 연속성 제공을 위한 BCP, IT부문의 DRS를 포함한 비즈니스 연속성 관리를 위한 국제표준
나. ISO 22301의 목적 및 대상
|
구 분 |
설 명 |
|
목 적 |
- 조직 및 이해관계자들의 요구사항에 맞는 BCM 설계 - 조직의 업무 연속성 요구사항 및 의무에 부합하는 관리능력 평가 |
|
대 상 |
- 기업 내 전사 프로세스 및 고객/협력업체, 법규요구사항, 재무, 노무, IT자산 가용성 전체 - 기업 내부감사, 경영검토 및 지속적 개선, 경영 프로세스의 공통 요구사항 |
다. ISO 22301의 주요내용
|
주요 내용 |
|
|
조직상황 |
- BCM을 위한 조직의 역할, 이해관계자 요구사항, 관리대상 범위 정의 |
|
경영진 |
- 경영진의 책임과 권한, 업무 연속성 관련 방침 정의 |
|
계획수립 |
- 업무 연속성 목적 정의 및 재해예방계획 / 대응 및 복구 계획 / 운영계획 / 모의훈련계획 수립 |
|
지 원 |
- 기업 자원 관리, BCM 수행능력 구축, - 내외부 커뮤니케이션, 전략/정책/계획의 문서화 |
|
운 영 |
- 운영계획 수립 및 통제관리, 업무영향분석 및 위험평가 - 복구 및 모의훈련을 통한 복구목표지표 기준 실행능력 검증 |
|
성과평가 |
- 감시, 측정, 분석 및 평가, 내부감사 |
|
개 선 |
- 부적합 대상 시정조치, 지속적 개선 |
라. ISO 22301 효과
- 조직 내외부의 리스크 및 재해 등 발생 가능한 사고로 인한 비즈니스 중단의 방지
- 미래의 리스크를 식별하고 사전연습을 통한 사고의 예방과 대응력 강화
- 고객에게 자사의 조직 회복력을 입증하여 조직의 브랜드 차별화 실현
- 허용 가능한 중단기간을 설정하고, 최단시간 내에 비즈니스 연속성 목표를 달성
- 이해관계자와 사회로부터 신뢰받는 지속 가능한 조직 구축
V. BCM 구축 시 고려사항 및 전략
가. BCMS(Business Continuity Management Systems) 구축 시 고려 사항
- 실행 가능한 BCM 체계 도입 및 체계를 수립하고 적용 범위 확대 및 운영 활동을 통해 성숙도 증대
- BCM 관리대상 명확화, 기존 체계와의 통합 및 일관성 유지, 업무중단 RISK 분석 및 지속 모니터링
나. BCMS 구축 전략
- 위기에 신속대응하기 위한 신속 대응 조직 구성, 재해 발생 시 대체 사업 장소 확보
- 영업 연속 정책서, 연속성 계획, 위기 관리계획, 업무복구계획 등 위기 대응/복구 계획서 수립 확보
- 정기적인 모의훈련 실시 : 재해 선포 후 대체 사업장에서 핵심 업무복구과정의 점검
'정보관리기술사&컴퓨터응용시스템기술사 > IT경영전략' 카테고리의 다른 글
| 신경망(Neural Network) 분석 - 인간두뇌 세포를 모방한 의사결정 및 상황판단 기술 (0) | 2020.12.01 |
|---|---|
| 대중의 의견 분석 및 평가 기법, 오피니어 마이닝(Opinion Mining) (0) | 2020.11.30 |
| 비즈니스 연속성 확보를 위한 재해복구체계의 목표지표, RTO, RPO, RSO, RCO (0) | 2020.11.26 |
| 비즈니스 연속성 관리의 국제표준, ISO 22301 (0) | 2020.11.26 |
| ITSM을 위한 Best Practice 모음집, ITIL 4.0 (IT Infrastructure Library) (0) | 2020.11.26 |
댓글