영업연속성관리 준비 방법론 - BS 25999 표준과 그 활용을 중심으로 – 27 Oct 06 영업연속성관리 준비 방법론 - BS 25999 표준과 그 활용을 중심으로 – by 전민구 차장, 기획실, BSI KOREA
목 차 BSI 소개 Introduction to BSI BCM 추진동인 Drivers for doing business continuity BCM 국제동향 Where we are in BCM BCM 관련현황 Where we are going 표준 활용방안 How standards can help BS 25999 핵심사항 BS 25999 and Key Content 결론 Conclusion
BSI [British Standards Institute] 1901년 세계 최초로 국가규격 제정기관으로 설립 1929년 영국 황실로부터 ROYAL CHARTER (황실 기구)로 인가 1998년 한국지사 설립 현재 전세계 100여 개국 2,100여명의 전문인력 활동 영국 국가규격(BS), 유럽규격(EN) 및 국제규격(ISO) 제정 제품 시험 및 인증 Management System 인증 업무를 수행 기후변화유엔사무국(UNFCCC) 공식인정 CDM 운영기관 한국 산업자원부 기술표준원 및 한국표준협회의 통합 기능에 해당 BSI가 제공(제정)한 ISO 규격 BS 5750:1979 → ISO 9001:1987 (품질 경영) BS 7750:1992 → ISO 14001:1996 (환경 경영) BS 8800:1996 → OHSAS 18001:1999 (안전보건 경영) BS 7799-1:1999 ISO/IEC 17799:2000 / ISO 27001:2005 (정보 보호) BS 15000 → ISO/IEC 20000:2005 (IT 서비스 관리) BS 25999 (영업연속성관리) → ISO?
BSI in Numbers 1901년 세계 최초의 국가표준 제정기관으로 설립 (NSB) 1929 년 영국황실로부터 Royal Charter 인가 2005년 英 비즈니스 슈퍼브랜드 위원회(BSC)로부터 슈퍼브랜드 지정 5조/년 연간 영국경제 기여효과 환산치 – 영국통상산업부(DTI) 보고서 100이상 국가 사무소 2,100 임직원 46,000 전세계 BSI 경영시스템 인증기업 18,000 구독 회원 수 2,000 연간 국가규격 발행 수 23,000 현, 영국 국가표준 2,500 표준제정 위원회 수 23,000 표준제정 위원회 회원 수 13,000 현, 표준개발 프로젝트 수 240 국제기구 기술위원회/간사국 지위 보유 수
BCM 추진 동인 [Drivers] 영업연속성 개념에 대한 이해 및 중요성에 대한 인식 증대 시민비상대처 (Civil Contingencies) / 국토 안전 (Homeland Security) 기업지배구조 및 컴플라이언스 의제 보험 업계 이슈 공급망 및 아웃소싱 관리 문제 고객 요구 임직원의 주의 의무 (Staff duty of care) 기업 가치 및 명성의 보호 주주 요구 시민 비상 대처법(Civil Contingency Act): 영국 2004년 제정. 영국 지방정부는 지역 기업이 영업연속성(Business Continuity) 관리를 위한 계획을 수립할 때 지원하도록 의무화 the Department of Homeland Security: 미국 국토안전부(미국 본토의 안전문제를 관장하는 연방정부의 초대형 부서; 9。11 테러를 겪은 뒤 2003년 신설). 소방방재청 재해영향관리팀 강병화 팀장 컬럼> 2006. 3 우리나라도 이제는 선진국가에서 적용하고 있는「재난관리표준」을 기업에 도입하여 기업스스로가 자율적으로 재해경감활동을 할 수 있도록 하되 재해경감 활동이 우수한 기업에 대해서는 세제혜택, 방재회계적용, 가산점 부여, 보험금 할인, 융자혜택 확대 등 정부지원을 제도화하여야 할 것으로 본다. 이에 따른 구체적인 개선방안으로는, 첫째, 자연재해로부터 안정적인 기업 운영을 위하여 재난관리 표준을 제정하고 기업이 활용할 수 있도록 보급하고, 둘째, 기업은 국가가 제정한 재난관리 표준에 따라 재해를 경감할 수 있는 활동계획을 수립하고 이행토록 추진하여야 할 것이다. 셋째, 기업의 자율적인 재해경감활동을 촉진하고, 재해경감 우수기업의 차별화된 지원을 위하여 인증제도를 도입해야 하며, 넷째, 정부에서는 세제 지원, 설비 자금 지원, 자금지원 우대 등 기업의 재해경감활동 지원방안을 마련해야 할 것이다. 마지막으로는 기업의 재해경감 활동에 관한 연구 및 정보교류의 활성화를 위한 비영리특수법인인 「기업재해 경감협회」을 설립하는 방안 등 기업의 재해경감 활동의 기반을 조성하는 것도 서둘러야 할 것이다. 이제, 우리나라 국가재난관리 총괄기관으로서 소방방재청이 개청한지도 1주년이 지난 시점에서 명실상부한 재난에 강한 튼튼한 국가를 만들기에 앞서 재난에 안전하고 강한 기업을 만들어야 하는 것도 우리청의 당면한 과제가 아닌가 생각해 본다. 홍익대 전성인 경제학 교수 자본시장통합법 관련 패널 토론에서 2006.9 "집합투자업자(자산운용업자)에 대해서는 단순히 선관주의 의무(duty of care)만 부과할 경우 (투자자 손실이 발생하더라도)경영상 판단에 따른 것이라 주장하면 처벌이 어렵다"며 "보다 강한 충실의무(fiduciary duty)를 부과하면 충성의무(duty of loyalty)가 포함돼 경영상 판단이라는 핑계를 댈 수 없다"고 설명했다.
Source: Knight & Pretty, 1998 주가 변동 조사 사례 영업연속성에 대한 긍정적 접근 수행 기업 Recoverers 15 10 5 관리 역량 및 대응책 확보 이해관계자 커뮤니케이션 단순 보험만으로는 부적절 관련 계획이 실행되어야 함 Time (250 days) 주가 변동률 -5 -10 -15 -20 기타 기업 Non-recoverers Source: Knight & Pretty, 1998
BCM 국제동향 대기업을 중심으로 최선의 실천모델 (Best Practice)에 대한 합의점이 도출되고 있음 BCM이 조직의 총체적 위험 관리 (Risk Management) 프로파일의 한 영역으로 인식 사업중단관련 보험금의 총액 저감에 활용될 수 있음
BCM 추진의 혜택 Source: BS 25999-1
BCM 관련현황 일시적 경영의 패션이 아닌 비즈니스 관리 프로세스의 필수 영역으로 자리매김함 현재 의견수렴 초안인 BS 25999-1과 같이 최선의 실천모델(Best Practice)에 대해 보다 폭 넓은 합의 기반으로써 새로운 형태의 국제 표준이 제정, 활용됨 더 이상 IT에 특화된 영역이 아닌 모든 사업 단위에서 통합 활용될 것임 심사 및 제3자 인증 표준으로 발전 중 (BS 25999-2) 아직은 전사차원의 비중 있는 의제로 관리되지 못하는 것이 현실 – 개선방향은?
표준의 활용방안 모든 이해관계자(관련 논의에 참여하는 정부, 기업, 무역연합, NGO 및 소비자)에 의해 완전히 합의된 사항으로 특정 이해관계자에 국한되지 않음 정기적으로 업데이트되어 정황 변화를 수용함 최선의 실천모델을 바탕으로 제정되어 효과적이고 공통된 추진 방법론으로 활용될 수 있음 (경영 전략수립 지침, 컨설팅 방법론 등) 필요한 경우, 심사 및 인증을 통해 표준에 대한 준수성을 대내외적으로 공표, 활용할 수 있음 이해관계자(주주, 정부, 감독 및 평가기관, 시민사회, 언론 등)가 기업 경영에 대한 권고 및 요구사항으로 활용함
표준 발전의 피라미드 구조 마케팅 잠재성 고객 인지도 위험 관리 신뢰성 CONTROL CONSENSUS 합 의 통 제 Marketing Potential Consumer Awareness Risk Management Credibility 마케팅 잠재성 고객 인지도 위험 관리 신뢰성 ISO European Standard National Standard Publically Available Specification Private Standard Company Codes of Practice Company Codes of Practice Private Standard Publicly Available Specification National Standard European Standard ISO CONTROL CONSENSUS 합 의 통 제 BS 25999 PAS 56
Good Practice Guidelines BCM 표준화 단계 및 향후 예상 2002 Good Practice Guidelines 2003 Nov 2006 DPC Best Practice BCI PAS 56 BS 25999-1 KS ISO BS 25999-2 ? ? Q3 2007 (estimated) Certification Note: BS 25999-1 발행 시 PAS 56은 철회됨
BCM 표준 및 인증에 대한 수요 Source: http://www.continuityforum.org/ Date: 18 October 2006
BCM 표준화에 대한 관심도 2006년 8월 31일까지 BS 25999-1 초안 배포 (DPC) 및 의견수렴 수행 결과 Over 5,000 copies downloaded (other standards less than 250) Over 70 set of comments About 300 pages of comments
BS 25999 핵심사항 2개 파트로 구성: BCM 핵심 프로세스, 원칙 및 용어를 확립 BS 25999-1:2006 Code of Practice for BCM (Should) BS 25999-2:2007 Specification for BCM (Shall) – 1st Quarter 2007 BCM 핵심 프로세스, 원칙 및 용어를 확립 모든 규모의 조직이 BCM을 이해하고, 개발, 실행할 수 있는 기반을 제공 BCM에 대한 최선의 실천모델과 그 전과정을 기반으로 한 종합적인 통제방안을 제공
in the Organization's Culture auditing and self-assessment The BCM Lifecycle A Embedding BCM in the Organization's Culture P D C A Understanding the organization P BCM Programme Management Exercising, maintenance, auditing and self-assessment Determining BCM Options C Developing and Implementing a BCM Response D
BS 25999-1 주요항목 제1항 ~ 재4항 제5항 ~ 재6항
BS 25999-1 주요항목 제7항 ~ 재11항
2 Terms and definition 2.1 activity 2.2 benchmarking 2.3 business continuity 2.4 business continuity management (BCM) 2.5 business continuity lifecycle 2.6 business continuity management programme 2.7 business continuity plan (BCP) 2.8 business continuity strategy 2.9 business impact analysis 2.10 business interruption 2.11 cost-benefit analysis 2.12 disruption 2.13 exercising 2.14 impact 2.15 incident 2.16 incident management plan 2.17 invocation 2.18 material 2.19 maximum tolerable period of disruption 2.20 organization 2.21products and services 2.22 project management 2.23 recovery time objective 2.24 resilience 2.25 risk 2.26 risk appetite 2.27 risk assessment 2.28 risk management 2.29 senior management 2.30 stakeholders 2.31 threat 표준의 용어 정의는 관련한 모든 이해관계자가 합의한 사항으로 BCM 관련 공통의 언어로 정착됨
5 The business continuity management system 5.3 Development of a business continuity policy Scope of BCM within the organization BCM Principles, guidelines and minimum standards for the organization Referencing any relevant standards, regulations or policies that should be included or can be benchmarked
6 Programme Management 6.2 Assign responsibilities (Governance) 6.3 Project management 6.4 Ongoing management 6.5 BCMS documentation
7 Understanding Organization 7.2 Analyzing the impact of disruption Business Impact Analysis Establish maximum tolerable period of disruption 7.3 Identification of critical activities 7.4 Estimating recovery requirements 7.5 Review of the business impact analysis 7.6 Evaluating threats to organizational activates (Risk Assessment) 7.7 Sign-off
7 Understanding Organization Business Impact Analysis (template)
7 Understanding Organization Business Impact Analysis (template)
7 Understanding Organization Business Impact Analysis (template)
7 Understanding Organization Risk Assessment (template) Department: INSERT NAME Head of Department accepting ownership: INSERT NAME Deadline: No. Risk Area Risk / Incident Topic Mitigation Recommendation – Brief Commentary Impact Potential for: 1 NOTE: coloured impact boxes in next column are examples only Moderate 2 Major 3 Minor 4 5 6 7 8
8 Determining BCM options 8.2 Product and service strategy options 8.3 Continuity options 8.4 Sign-off < BCM Options >
9. Developing and implementing a BCM response 9.2 Content of plans Purpose and scope Roles and responsibilities Invocation/ mobilization procedures Documentation owner and maintainer 9.3 Incident management plans 9.4 Business continuity plans
9. Developing and implementing a BCM response Business Continuity Plans (sample)
9. Developing and implementing a BCM response Business Continuity Plan / Incident Management Plan (sample)
10. Exercising, maintenance, auditing and self-assessment of BCM arrangements 10.2 Exercise programme 10.3 Exercises 10.4 Outsourced activities 10.5 BCM Maintenance 10.6 Audit 10.7 Self-assessment
11. Embedding BCM in the organization's culture 11.2 Training 11.3 Awareness
BSI Value Positioning BEYOND REGISTRATION License to Operate CSR & Sustainability Corporate Governance Licence to Trade P D C A P BEYOND REGISTRATION Sustainability Management A D P C A D Business Continuity: BS 25999 P C Increasing Stakeholders Involvement A D Information Security: ISO 27001 IT Service: ISO 20000 P C A D BSI - Adding-Value P C OHSAS 18001: Health & Safety Management A D C ISO 14001: Environmental Management ISO 9000: Quality Management Increasing Aspects Covered
Conclusion 기업 최고 경영진의 지배구조 책임이 가중됨에 따라 영업연속성은 경영진의 핵심 논의사항으로써 다루어져야 한다는 인식되고 확산되고 있음 전세계에서 베스트 프랙티스를 근간으로 한 공통된 표준의 필요성이 급격히 부각함 BCM 준비를 위한 실행지침이 여타 모든 기업 경영시스템의 모태인가 되는 영국표준(BS 25999-1)으로 2006년 내 발행 예정 BS 25999-2는 영업연속성을 위한 관리시스템 구축을 위한 세부 요구사항을 정의하는 표준으로 2007년 발행 예정 BS 25999-2는 제3자 심사 혹은 인증을 위한 요구사항을 정의할 것임 이를 통해 조직은 표준 대비 자사의 성과를 평가할 수 있게 됨 내 외부 이해관계자에게 자사가 영업연속성을 비중 있게 다루고 있음을 알릴 수 있게 됨 BS 25999 제정은 글로벌 베스트 프랙티스가 합의된 표준으로 발행되었다는 것이며 이는 기업 이사회 및 경영진의 관심과 지원을 얻을 수 있는 좋은 기회가 될 것임 BS 25999를 근간으로 BCM을 수립함으로써 보다 적극적으로 대응할 수 있게 되며 동시에 BCM에 대한 글로벌 표준 준수성을 공표하는 대내외적 성과를 가져올 것임
Contact Us 전 민 구 [MG Jun] 차 장 [Senior Manager] BSI Korea Name: 전 민 구 [MG Jun] Title: 차 장 [Senior Manager] Company: BSI Korea Telephone: +82-2-777-4123 Email: mingu.jun@bsi-global.com Links: http://www.bsi-korea.com http://www.bsi-global.com