BCP( Business Continuity Planning) 는
각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획
IT 서비스 중단을 초래할 수 있는 IT 재해 유형(예시)
·자연재해 : 화재, 홍수, 지진, 태풍 등
·외부요인 : 해킹, 통신장애, 정전 등
·내부요인 : 시스템 결함, 기계적 오류, 사용자 실수, 의도적·악의적 운영, 핵심 운영자 근무 이탈
(사망, 병가, 휴가, 이직 등), 환경설정 오류 등
1. BCP의 필요성
1) 외부 환경 측면
- 정부 규제 및 준거성: 의무적 비상대응 계획 구축(전자금융거래법 등)
- 평판 리스크: 시스템 중단시 발생하는 기업 이미지 실추
2) 내부 환경 측면
- 비즈니스 복잡도 증가: 복구 시간에 따른 급속한 비용증가
- 역할 분배 필요성: 재해발생시 조직 및 개인의 업무 정의 필요
3) 정보 시스템 측면
- 정보 시스템에 대한 의존도 증가로 정보시스템 연속성 요구 증대
- 금융기관의 경우 BCP가 없는 경우 수익 감소율 25~50%
2. BCP 수립 절차 5단계
| 1. 프로젝트 계획 | 목표 및 범위 설정 |
| 2. 업무 영향 분석(BIA) | RTO, RPO, 복구 우선순위 결정 |
| 3. 복구 전략 선정 | 전략별 비용 분석, 전략 도출 |
| 4. BCP 계획 개발 | BCP 조직 구성 및 조직별 계획 수립 |
| 5. 유지보수 | 교육, 모의훈련 및 유지보수 수행 |
* BIA : 각종 재난·재해로부터 정보시스템 중단을 가정하여 시간흐름에 따른 영향도 조사하여 복구우선순위를 정의하고,
업무를 재개하기 위한 최소 필요자원을 도출하는 업무 연속성 계획의 핵심 절차
1) 구성 활동
- 업무 프로세스의 식별
- 영향 시나리오(impact scenario)의 정의
- 잠재적 업무 영향(potential business impact)의 측정
- 업무 복구 목표(RTO, RPO, MTPD)의 정의
- 최소 요구 사항에 대한 평가
* RTO(Recovery Time Object) 는 서비스가 재개될 때까지 걸리는 복구 목표 시간입니다.
2) 분류
| 구분 | 설명 |
| 전략적 BIA | 주요 제품 및 서비스 |
| 전술적 BIA | 내‧외부의 프로세스 분석 |
| 수행적 BIA | 프로세스 내의 단위업무분석 |
Disaster Recovery 는 재해 복구이며, 구성은 다음과 같습니다.
| RTO | ||
| 미러 사이트(Mirror Site) | 업무 환경과 거의 동일한 환경으로 동기화되고 있거나, 함께 보조적으로 운영된다. | 0 또는 수분 이내 |
| 핫 사이트(Hot Site) | - 재난 발생으로 영향을 받는 업무 기능을 즉시 복구할 수 있도록 전산센터와 동일한 모든 설비와 자원을 보유하고 있음 - 재해복구센터에 주 센터와 동일한 수준의 시스템을 대기상태. - 실시간 데이터 복제를 통하여 최신의 데이터 상태를 유지 - 재해 발생 시 재해복구센터의 시스템을 활성화 상태로 전환하여 복구 |
4시간 이내 |
| 웜 사이트(Warm Site) | 부분적으로 설비를 가지고 있는 백업 사이트로서, 대개 디스크 드라이브, 테이프 드라이브와 같이 가격이 저렴한 주변기기를 가지고 있으나, 주 컴퓨터는 가지고 있지 않다. | 수 일 이내 |
| 콜드 사이트(Cold Site) | 재난 발생시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로서 전기, 냉방, 공간 정도만 마련되어 있으며 별다른 전산 장비는 가지고 있지 않다. | 수 주 ~ 1개월 |
'ISMS-P' 카테고리의 다른 글
| 망분리에 대해 알아보도록 하겠습니다. (0) | 2022.12.22 |
|---|---|
| 위험 관리(Risk Management)에 대해 알아보겠습니다. (0) | 2022.12.06 |
| 패스워드의 중요성 (0) | 2022.12.02 |
| 정보보호(Information Security) 란 ? (0) | 2022.11.23 |
| 개인정보 유형별 정리 (0) | 2022.11.23 |