BCP(Business Continuity Planning)/DRP(Disaster Recovery Planning)

BCP(비지니스 연속성 계획)

재난 발생 시 비즈니스 연속성을 유지하려는 방법을 정의하는 문서로서 재해, 재난에도 정상적인 운영이 가능하도록 데이터 백업 및 단순 복구뿐만 아니라 고객 서비스 지속성 보장, 핵심 업무 기능을 지속하는 환경 조성을 목적으로 한다. 

BCP 개발을 위해서는 기업이 운영하고 있는 시스템의 파악과 함께 비즈니스 영향 평가(BIA)가 선행되어야 한다. 

 

BCP는 업무의 중단상황과 이후의 비즈니스 운여의 연속성을 위한 계획 및 핵심 비즈니스 활동들이 가능한 빨리 유지되거나 복구되는 것을 보장한다. 또한 가장 핵심적인 비즈니스 기능들의 우선순위화된 재개에 초점을 맞춘다. 

 

BCP와 보안 정책

BCP는 보안 정책과 프로그램의 일부가 되어야 한다. 그렇지 않으면 홀로 떨어져 경원시된다. 

BCP의 수립과 유지관리에서 가장 중요한 것은 바로 경영진의 지원이다. 

 

BCP 4단계 접근방법론

1. 프로젝트의 법위설정 및 기획

2. 사업영향평가

3. 사업연속성 계획 개발 

4. 계획 승인 및 실행

 

BCP 5단계 접근방법론

1. 프로젝트의 범위설정 및 기획

2. 사업영향 평가

3. 복구전략개발

4. 복구계획수립

5. 프로젝트의 수행테스트 및 유지 보수 

 

BCP 6단계 접근방법론

1. 사업상 중대 업무 규정

2. 사업상 중대 업무를 지원하는 자원의 중요도 규정

3. 발생가능 재난에 대한 예상

4. 재난 대책 수립

5. 재난 대책 수행

6. 대책 테스트 및 수정

 

DRP(재난 복구 계획)

천재지변이나 해킹 등 각종 재난·재해로 인해 데이터센터 등 기업의 IT 인프라에 장애가 발생하여 제 기능을 수행하지 못 하게 되었을 때 이를 대체하거나 복구하여 제 기능을 수행할 수 있도록 하는 시스템이다. 

비상사태 발생 후 대체 사이트에서의 목표 시스템, 응용프로그램, 컴퓨터 설비의 운영 재개와 같은 IT중심의 계획을 말함.

 

BCP와DRP의 비교 

BCP는 심각한 실패나 재해로 인해 사업활동이나 프로세스가 중단되는 것에 대항하기 위해 명확하고 상세히 기술된 계획을 개발하는 것에 초점을 둔다. 

 

DRP는 심각한 실패나 재해의 영향으로 인해 핵심 정보시스템과 데이터가 중단되는 것에 대항하기 위해 명확하고 상세히 기술된 계획을 개발하는 것에 초점을 둔다. 

 

BCP와DRP의 공통점

일부 예방적 기능이 있으나 교정통제로 분류됨. 

위험회피가 아니라 위험수용이다.

목적은 조직의 가용성 확보

대상은 통제를 가하고도 남아 있는 잔여위험이다.

어떤 조직에서든 대외비로 관리한다. 

 

BCP와DRP 수립 시의 이점

1. 위험감소

2. 업무절차 개선

3. 향상된 조직적 성숙

4. 가용성 및 신뢰성 향상

5. 시장 지위 향상 

 

사업영향분석(BIA, Business Impact Analysis) 

사업영향분석: 비지니스에 업무 중단이 미치는 영향에 대한 정성적 분석, 정량적 분석, 기능적 분석을 실시한다. 

이때 BIA는 발생 가능한 모든 재해를 고려하고 잠재적인 손실을 추정, 재난을 분류하여 우선순위를 부여하고 실행 가능한 대안을 개발해야 한다. 

 

BIA 주요 활동.

1. 인터뷰나 문서로부터 데이터 수집 

2. 비지니스 기능, 행위, 처리를 문서화 및 비즈니스 체계를 개발

3. 자원 요구사항 식별: 핵심 프로세스에 필요한 자원 식별

4. 최대 허용 중단 시간(MTD) 산정

5. 기능별로 분류 도표와 중요도 수준, 우선순위 결정