업무 연속성 5단계 방법론 -Business Continuity Plan- 영산대학교 사이버 경찰학과. 10081188 김재확
Business Continuity Plan 업무연속성 정의 Business Continuity Plan 주요 비즈니스 기능의 중단 상황을 목표 수준이나 변경 수준으로 제한하면서 조직이 상황에 대처할 수 있는 절차 및 편재 업무연속성 전략 프로세스&시스템 업무 프로세스 업무 시스템 기술 업무 연속성 인프라 추진계획 업무연속성 체계 구축 계획 조직 프로세스 담당자
업무연속성 5단계 방법론 프로젝트의 범위 설정 및 기획 (Scope and plan Initiation) 정보시스템의 지원서비스를 조사하여 다음 활동 단계를 수해하기 위한 프로젝트 계획을 수립하는 단계로 범위, 조직, 시간, 인원 등을 정의 함. 사업영향 평가 (Business Impact Assessment) 사업중단 사태 발생 시 기업에 미칠 수 있는 재정적 손실에 대한 영향 도를 평가하는 단계 복구전략 개발 (Developing Recovery Strategy) BIA단계에서 수집된 정보를 활용하여 Time Critical한 사업기능을 지원하는데 필요한 복구자원을 추정하며 가능한 복구방안들에 대한 평가와 이에 따른 예상비용에 대한 자료를 경영자 층에 제시하는 단계 복구계획 수립 (Recovery Plan Development) 사업을 지속하기 위해 실제 복구계획을 수립하는 단계로 명시적인 문서화가 반드시 요구되며 경영재산 목록정보와 상세한 복구 팀 행동계획이 포함 됨. 프로젝트 수행 및 테스트 유지보수 테스트와 유지보수 활동 현황을 포함하여 향후에 수행할 테스트 및 유지보수 관리절차를 수립 함.
BCP 개요 - 업무현황 분석 - 재해 위험 요인 현황 분석 - 업무 중요도 분석 - 업무복구순위 결정 - 재해의 정의 Analysis Strategy Management Guideline Define - 업무현황 분석 - 재해 위험 요인 현황 분석 - 업무 중요도 분석 - 업무복구순위 결정 - 재해의 정의 - 데이터 복구 목표 수준 (RPO) - 복구 목표 시간 (RTO) - 재해복구시스템 운영 형태? - 재해복구시스템 기술 형태? - 재해복구시스템 구축 계획? - 재해복구체제 관리 조직 - 재해복구시스템 운영조직 - 재해복구시스템 테스트 가이드라인
BCP의 특징 기존 전산장애 복구를 칭하던 DRS,BRS의 개념 을 넘어 시스템 환경 유지를 통해 비즈니스 및 각 종 업무의 연속성을 보장함 장애에 대한 사전분석 후 1 Prevention (예방책) 2 Deterrent (억제책) 3 Detect (탐지책) 4 Recovery (복구책) 5 Resumption (재개책)
BCP 체계 범위의 확장 비즈니스에 대한 분석을 통한 정의 IT 재해복구목표에 의한 전략 수립 업무연속성관리 조직, 프로세스 수립 DR 시스템과 연계된 조직, 절차 수립 연계성 정의를 통한 업무연속성 인프라 구축
[System Infra, Virus, Hacking] 업무 중단 위협 요소 자연재해 외부의 위협 전산 및 기술적 재해 지역적 위협 사업환경 위기 파업 홍수,지진,화재 재해 영향 업무 중단 고객 Service 중단 신뢰도 하락 정부 및 공공기관 요구사항 대응 불가 자산 손실, 파산 위험시설(원자력) 테러 Computer 장애 [System Infra, Virus, Hacking]
BCP 전략적 접근 방식 인력 관리 체계 개선 위기 관리 프로세스 개선 Infrastructure 개선 Human Resource Process 인력 관리 체계 개선 위기 관리 프로세스 개선 Infrastructure 개선
BCP 수립 방법론 절차 복구전략수립 (RS) 복구용량산정 (RC) 솔루션 연구/개발 (ESS) 업무영향분석 (BIA) 설계 구현 분석 솔루션 연구/개발 (ESS) 업무영향분석 (BIA) 설치 및 실행 계획 (IP) 환경분석 (EA) IT 재해복구 계획서 (ITRP) 위험요인분석 (RA)
EA (Environment Analysis) 사용 방법론 환경 분석 분석 대상 시스템 네트워크 인프라 지원 분석 방법 인터뷰/설문조사/세미나를 필요 시 혼용 자체개발 Tool 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 현재 사용 중인 자원 파악 온라인 Transactions의 Write I/O 파악 솔루션 구현을 위한 I/O 분산 계획 작성
RA (Risk Analysis) 사용 방법론 위험 요인 분석 분석 대상 지리적 위치 보안 설비 재해 방지 설비 인프라 분석 방법 인터뷰/설문조사/세미나를 필요 시 혼용 시스템 보안 현황 분석 Tool 사용 Risk Assessment Tool 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 현 위치 재해 가능성 평가 설비 빛 인력에 의한 재해 가능성 평가 재해 영향 평가 재해 예방 방안 개발
BIA (Business Impact Analysis) 사용 방법론 업무 영향 분석 분석 대상 현재 수행중인 업무 주요 업무 프로그램 주요 업무를 위한 자원 업무 흐름도 (연관성) 분석 방법 인터뷰/설문조사/세미나를 필요 시 혼용 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 재해복구시간 목표, 재해복구시점 목표 정의 주요 업무 선정 및 복구 우선순위 파악 업무 상호간 연관성 파악 재해복구와 관련한 업무 복구절차 파악/분석
RC (Recovery Capabilities) 사용 방법론 복구 용량 산정 분석 대상 시스템 용량 (Server, Disk, etc..) Network 자원 인프라 (전기, 통신회선..) 보안 및 인력 분석 방법 인터뷰/설문조사/세미나를 필요 시 혼용 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 복구대상 업무 관련 용량 파악/분석 복구업무 시스템을 위한 설비 용량 파악 네트워크 복구관련 자원 파악/분석
RS (Recovery Strategy) 사용 방법론 복구 전략 수립 분석 대상 업무 중요도 업무 연관성 재해 시 복구 우선 순위 분석 방법 환경분석, 업무영향분석, 복구용량 산정 등을 통해 정의된 재해 복구 목표 사용 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 정의된 분야별 재해복구목표 검토 중장기 재해복구센터 구축 계획 수립
ESS (Enterprise Solution Study) 사용 방법론 솔루션 연구/개발 분석 대상 복구 전략 복구 대상 업무 시스템 네트워크 분석 방법 인터뷰/설문조사/세미나를 필요 시 혼용 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 선정 솔루션 구현 마스터 플랜 작성 구체적인 구현 계획 수립
IP (Implementation Plan) 사용 방법론 설치 및 실행 계획 분석 대상 복구 네트워크 회선 복구 하드웨어 장비 운영 인력 분석 방법 인터뷰/설문조사/세미나를 필요 시 혼용 절차 분석 방법 별 데이터 수집 수집된 데이터 검증 및 확인 데이터 분석 분석 내용 네트워크 필요 회선 용량 산정 네트워크 회선 설치 일정 계획 정상 작동 테스트 계획
DRS/BRS /BCP의 비교 DRS (Disaster Recovery System) - 장애 복구 전략 BRS (Business Recovery System) - 재해 발생 후 대처방법을 계획 BCP (Business Continuity Planning) - 장애 예방 전략 - 재해 복구 뿐 아니라 사전에 예방하는 데 초점
복구 관련 시간대 시간구분 RPO(Recovery Point Objective) 용인할 수 데이터 유실 량 -> 손실되어도 무방 RTO(Recovery Time Objective) 업무 처리 능력을 복구하기 위한 목표시점 MTO(Maximum Tolerable Downtime) 조직이 업무 처리 중단으로 인한 영향을 감내 할 수 있는 시간
테스트 및 유지보수 관련 고려사향 영역 구분 개념 및 업무 프로젝트의 실행 및 관리 프로젝트를 위한 TFT의 조직 프로젝트를 위한 지원 체계의 획득 프로젝트의 효율적인 관리로 일정 만족 위험도 평가 및 관리 잠재적인 손실 요소의 도출 손실 요소의 관리 가능성 확인 위험 요소의 평가 위험 수준 별 관리 기준 도입 사업 영향도 분석 위험도 분석을 통한 손실 요소의 비즈니스 영향도 분석 기업 내부의 주요 기능 연계성 확인 상호 연관 관계에 의한 우선 순위 도출 BC 전략 개발 우선순위에 따른 재해 복구 절차 개발 사업의 영향 도를 감안하여 효율적인 BC 솔루션의 선정 위기 대처 및 수행 절차 위기 관리 프로세스의 개선 위기 시 장애 대응을 위한 조직 관리 체계 생성
테스트 및 유지보수 관련 고려사향 영역 구분 개념 및 업무 BC 계획 수립 및 적용 적합한 솔루션의 선정 및 적용 개발된 위기 관리 절차 적용 위기 사항 인지 및 대처 훈련 BCP를 개발,구현,유지,실행에 필요한 기술을 강화하고 기업내의 경각심을 일으킬 수 있는 프로그램 준비 BC 전략의 관리 및 연습 재해 시를 대비한 모의 훈련 시나리오 생성 모의 훈련 수행 훈련 수행 결과 평가 계획의 효율성 검증 및 절차의 조정 지속적인 BC능력 보유를 위한 절차 개발 대외 협력 관리 체계 위기 상황 시 Media를 활용, 개발,조율,평가,연습한다. 위기상황 시 임직원과 그 가족, 고객, 공급선, 경영진에 필요하고, 적절한 상황전파를 위한 계획을 연습 인허가 체계 관리 상황발생시 대응과정에서 인허가 사항이 필요한 부분에 대한 적절한 절차와 정책을 결정한다.
출처 정부통합전산센터(National Computing and Information Agency) www.ncia.go.kr 미국 연방금융회사 검사 위원회(Federal Financial Institutions Examination Council) www.ffiec.gov IBM(International Business Machines) www.ibm. com
Thank you
업무연속성 5단계 방법론 문제