BCP

출제정보

출제정보

토픽 이름		BCP
분류		MG> BCP / BCM
키워드(암기)		프로젝트계획점검 > 업무영향분석 및 위험평가(BIA,RA) > 전략수립 > BCP설계 및 개발 > 모의훈련 및 대응 > 유지관리 유효성, 적합성, 적절성, 품질  DR(S), BR, BIA, RTO, RPO
암기법(해당경우)		계분(업)전설모유, 유적절품

 

기출문제

번호	기출문제/예상문제		회차
1	5. 비즈니스 연속성 계획(BCP : Business Continuity Plan)의 구성방안과 검사방안에 대하여 설명하시오		114.관리.2
2	5. 비즈니스 연속성 확보와 관련된 다음 사항에 대해 기술하시오. 가. BCP 의 개념 및 수립절차 나. 결함허용 시스템(FTS)과 고가용성(HA) 다. 후향복구(Backward recovery)와 전향복구(Forward recovery)의 비교		ITPE FR_2023.01
3	3. 최근 기업의 ESG경영와 함께 ecoBCP(Business Continuity Plan)에 대해 중요성이 부각되고 있다. 이와 관련해서 BCP의 개념 및 수립 절차에 대하여 설명하고, 수립 절차 중 중요 활동인 BIA(Business Impact Analysis) 대하여 설명하시오.		ITPE FR_2021.07
4	태풍, 산불 등 자연재해로 인해 IT시스템의 업무연속성에 대한 관심이 증가 하고 있다. 업무연속성계획(BCP, Business Continuos Plan)과 클라우드를 활용한 DRaaS(Disaster Recovery as a Service)에 대해 설명하시오.		ITPE_2022.11
5	6. 코로나19가 팬데믹으로 선언된 이후 기업내 BCP(Business Continuity Plan) 중요성이 부각되고 있다. BCP의 개념 및 수립 절차에 대하여 설명하고 수립 절차 중 중요 활동인 BIA(Business Impact Analysis)와 RA(Risk Assessment)에 대하여 설명하시오.		ITPE_2020.10
6	BCP(Business Continuous Planning)에서 RTO(Recovery Time Objective)와 RPO(Recovery Point Objective)에 대하여 설명하시오.		101.컴시응.1
7	최근 공공기관 지방이전에 따라 각 기관의 정보자원에 대한 지방이전 수요가 늘어나고 있다. A기관은 이전 시 BCP(Business Continuous Planning) 기반하에 업무의 지속성을 유지할 수 있는 이전전략을 수립하고자 한다. 다음 각 항목에 대하여 설명하시오. 1) BCP의 개념 및 도입 시 고려사항 2) IT 자원 우선순위 도출 방안 3) 우선순위에 따른 이전전략 4) IT자원이전 후 안정화 방안		101.컴시응.2
8	BCP(Business Continuity Plan)와 DRS(Disaster Recovery System)를 비교하시오.		86.조직.2
9	업무연속성계획(BCP, Business Continuity Planning) 수립을 검토하고 있다.    가. 이를 효율적으로 수행하기 위한 프로세스와 프레임워크를 제시하시오.    나. 프레임 워크내의 주요계획(재해예방, 대응 및 복구, 유지보수, 모의훈련)에 대하여 기술하시오.		80.관리.2

- BCP는 기업이 예상치 못한 재난, 위기, 또는 장애 상황에서도 핵심 비즈니스 기능을 지속할 수 있도록 준비하는 체계적 접근 방식 - BCP는 재해 복구 계획(DRP)과는 다르지만, 이를 포함하여 보다 광범위한 비즈니스 연속성 확보를 목표로 함 - BCP는 조직의 모든 주요 기능과 서비스가 중단 없이 운영될 수 있도록 하는 전략과 절차를 정의합니다

I. 기업 비즈니스 연속성 보장 체계, BCP의 개요

가. BCP(Business Continuity Planning)의 정의 

- 지진, 홍수, 천재지변 재해발생 시, 시스템의 복구, 데이터 복원 등과 같은 단순 복구차원을 포함하여, 기업 비즈니스 연속성을 보장할 수 있는 체계. 

- 21세기 기업에 있어서 Business Continuity에 대한 대응 전략과 구체적인 방안의 사전 수립과 비용 효율적인 솔루션의 도입은 기본 요소로 인정됨. 여기에는 기업의 연속성 보장을 위한 모든 요소인 IT, People, Media & Communication 등이 그 대상이 되어야 함 

- 갑작스런 재난, 재해가 발생하더라도 비즈니스를 중단 없이 지속적으로 수행할 수 있도록 모든 프로세스 플랜을 수립하는 예방적인 차원의 개념 

- 24시간 비즈니스 운영체제 구축을 의미함 

- 갑작스런 재난, 재해 발생 시 시스템 복구, 데이터 복구를 포함하여 기업 비즈니스 연속성을 보장할 수

 있는 24시간 비즈니스 운영체제

 

나.   BCP (Business Continuous Planning)의 필요성

(정보)기술적 측면	-재해대비 시스템 복구 기능은 정보시스템의 필수 요소로 인식되어야 함 -기업 IT 시스템 안정성에 대한 법적 규제 추세
외부환경 측면	-고객정보 보호와 업무연속성 확보로 안전장치 마련 -시스템 중단 시 발생하는 기업이미지 실추 예방
내부환경 측면	-시스템 중지로 인한 영업손실에 대한 기회비용 발생 방지 -재해 발생시 조직 및 개인의 업무정의 필요

 

II. BCP 프레임워크내의 주요 계획

가.   BCP 프레임워크

- 운영환경에서 위험요소 파악 및 업무영향도 분석(BIA)를 통해 복구계획 수립

- BCP 프레임워크 내의 주요 계획은 다양한 요소를 포함하며, 각 요소는 특정 목표를 달성하기 위한 구체적인 전략과 정책으로 구성

 

구분	구성요소
Input (투입 요소)	업무 연속성 전략
	위험 관리 정책
업무 연속성 계획 (Business Continuity Plan)	비상 대응 계획
	업무 복구 계획
	재해 복구 계획
Output (출력 요소)	업무 재개 (Business Resumption)
	재해 복구 (Disaster Recovery)

구분	구성요소
Input (투입 요소)	업무 연속성 전략
	위험 관리 정책
업무 연속성 계획 (Business Continuity Plan)	비상 대응 계획
	업무 복구 계획
	재해 복구 계획
Output (출력 요소)	업무 재개 (Business Resumption)
	재해 복구 (Disaster Recovery)

 

나.   BCP 프레임워크 내 주요 계획

주요계획	세부내용 및 계획사항
재해예방 (Disaster Prevention)	- 재해(Disaster)가 발생하기 전에 재해발생요인을 사전에 대응, 처리 - 위기관리(Crisis Mgt)를 통한 사전에 위기를 정성적, 정량적 분석을 통하여 예방함
대응 및 복구 (Response & Recovery)	- 재해에 대하여 정성적, 정량적 평가항목을 도출 - BIA(Business Impact Analysis)를 통한 파급효과를 분석하고 대응방안 수립 - Contingency Plan을 통한 복구수립
유지보수(maintenance)	- 운영형태별 센터유형을 선택 - 상호계약형, 공동이용형, 위탁운영형, 자영운영형 중에 센터 선택 - TCO 및 ROI분석을 통한 효율화 필요 - DR거리에 따른 Annual Charge고려 필요
모의훈련(Simulation)	- 수립된 계획의 주기적인 테스트(최소 연 1회)를 통한 미비점 파악 및 보완 - 복구목표시간(RTO), 목표수준(RPO) 실제 훈련적용

 

III. BCP 구성요소 및 DRP의 비교 

BCP (Business Continuity Planning)와 DRP (Disaster Recovery Planning)는 기업이 위기 상황에서도 업무를 지속하고 복구할 수 있도록 하는 계획입니다.두 계획은 상호 보완적이지만, 초점과 범위가 다릅니다. BCP는 전체적인 업무 연속성에 중점을 두고, DRP는 정보시스템과 IT 인프라의 복구에 중점을 둡니다.

 

가. BCP 구성요소 

구분	설명
DR(S)	- Disaster Recovery Service; 정보시스템에 대한 비상 대비체제유지와 각 업무 조직별 비상사태에 대비한 복구계획 수립을 통한 업무 연속성을 유지할 수 있는 체제.  - 최소한의 재난 대비 - BCP의 최소 요소
BR	- Business Recovery; 핵심업무 프로세스 복구 - 기업의 연속성을 위한 중요업무 등을 복구하기 위한 개념 - BCP의 부분 개념
BIA	- Business Impact Analysis; 업무 영향 분석: 복구 우선 순위 파악 - RPO, RTO를 사전에 파악하고 솔루션 및 DR Center로의 이동 및 Distance를 고려함
Backup	- 백업 데이터의 송수신 및 보관 - 데이터 복제의 주기 및 방법, 보관 데이터의 정합성 유지 - 변경된 데이터의 구조 및 어플리케이션 등의 반영 - ILM, Log-shipping처리, Storage 복제 솔루션 연동
Planning	- 업무 및 데이터의 중요도 분류 및 선정  - IMP(Incident Mangagement Plan), DRP 등의 작성을 통한 Disaster 시에 혼선 방지

구분	설명
DR(S)	Disaster Recovery Service (DRS) < 정보 시스템에 대한 비상 대비 체제 유지 > : 데이터 백업 및 복구 시스템: 데이터 손실을 방지하기 위해 정기적인 데이터 백업과 이를 신속히 복구할 수 있는 시스템을 마련합니다. 이중화 시스템 구축: 주요 시스템의 가용성을 보장하기 위해 이중화 시스템을 구축합니다. 대체 사이트 준비: 주 사이트에 문제가 발생할 경우를 대비하여 대체 사이트를 마련해 두고, 필요시 신속하게 전환할 수 있도록 합니다. 비상 대응 팀 구성: 비상 상황에 신속히 대응할 수 있는 팀을 구성하고, 각 팀원의 역할과 책임을 명확히 합니다. < 각 업무 조직별 비상사태에 대비한 복구 계획 수립 > 업무 영향 분석 (Business Impact Analysis, BIA): 비상사태가 각 업무에 미치는 영향을 분석하여, 우선 복구가 필요한 업무와 시스템을 식별합니다. 복구 우선 순위 설정: 각 업무와 시스템의 중요도에 따라 복구 우선 순위를 설정합니다. 복구 절차 문서화: 각 업무 조직별로 구체적인 복구 절차를 문서화하여, 비상사태 발생 시 신속히 복구 작업을 시작할 수 있도록 합니다. 연락망 확보: 비상사태 발생 시 신속한 의사소통을 위해 주요 이해관계자의 연락망을 확보하고 최신 상태로 유지합니다. < 최소한의 재난 대비 > 핵심 자원 식별: 비즈니스 연속성을 유지하기 위해 필요한 최소한의 핵심 자원을 식별합니다. 기본 대응 계획 수립: 각종 재난 상황에서의 기본적인 대응 계획을 수립합니다. 간단한 훈련 및 테스트: 최소한의 훈련과 테스트를 통해 계획의 실행 가능성을 검증합니다. 정기적 검토 및 업데이트: 비즈니스 환경의 변화에 따라 최소 요소들을 정기적으로 검토하고 업데이트합니다. < BCP의 최소 요소> 위험 평가 및 비즈니스 영향 분석 (Risk Assessment and Business Impact Analysis, BIA): 예상되는 위험을 평가하고, 그 위험이 비즈니스에 미치는 영향을 분석합니다. 비즈니스 연속성 전략 (Business Continuity Strategies): 비즈니스 연속성을 유지하기 위해 필요한 전략을 수립합니다. 비즈니스 연속성 계획 문서화 (Plan Documentation): 비즈니스 연속성 계획을 문서화하여, 위기 상황 발생 시 신속히 대응할 수 있도록 합니다. 훈련 및 테스트 (Training and Testing): 직원들이 계획을 이해하고 실행할 수 있도록 교육하며, 정기적으로 계획의 실행 가능성을 테스트합니다. 계획 유지 및 업데이트 (Plan Maintenance and Updates): 비즈니스 연속성 계획을 정기적으로 검토하고 최신 상태로 유지합니다.
BR	- BCP (Business Continuity Planning)의 구성 요소 중 하나로서 BR (Business Recovery)는 핵심 업무 프로세스를 복구하는 데 중점을 둔 개념입니다. - 이는 기업의 연속성을 보장하기 위해 중요한 업무를 신속하게 복구하는 계획을 포함 - BR은 BCP의 부분 개념으로, 기업이 재난 상황에서도 최소한의 운영을 지속할 수 있도록 합니다. BR (Business Recovery) 구성요소 < 핵심업무 프로세스 복구 > 핵심 업무 식별: 기업의 연속성을 위해 필수적인 핵심 업무와 프로세스를 식별합니다. 우선 순위 설정: 각 업무의 중요도를 평가하여 복구 우선 순위를 설정합니다. 복구 목표 시간 (Recovery Time Objective, RTO): 각 업무의 복구 목표 시간을 설정하여, 해당 시간 내에 업무를 복구할 수 있도록 계획합니다. 복구 자원 및 인력 배치: 복구에 필요한 자원과 인력을 배치하여, 비상 상황에서도 신속히 대응할 수 있도록 합니다.  < 중요업무 복구 계획 수립 > 비즈니스 영향 분석 (Business Impact Analysis, BIA): 재난이 각 업무에 미치는 영향을 분석하여, 복구가 필요한 업무를 우선적으로 결정합니다. 복구 절차 문서화: 각 중요업무의 복구 절차를 상세히 문서화하여, 재난 상황에서 참조할 수 있도록 합니다. 대체 업무 장소 준비: 주 업무 장소에 문제가 발생할 경우를 대비하여 대체 업무 장소를 준비합니다. 비상 연락망 구축: 주요 인력 및 이해관계자와의 신속한 의사소통을 위해 비상 연락망을 구축합니다. 복구 테스트 및 훈련 모의 훈련: 실제 재난 상황을 가정한 모의 훈련을 정기적으로 실시하여, 복구 계획의 실효성을 검증합니다. 복구 계획 테스트: 복구 계획이 실제로 유효한지 테스트하고, 발견된 문제점을 개선합니다. 피드백 반영 및 업데이트: 훈련과 테스트 결과를 바탕으로 복구 계획을 지속적으로 업데이트하고 개선합니다. 정기적 검토 및 업데이트 계획 정기 검토: 비즈니스 환경과 내부 프로세스의 변화를 반영하여 복구 계획을 정기적으로 검토합니다. 업데이트 및 개선: 최신 정보를 반영하여 복구 계획을 업데이트하고, 필요시 개선합니다. 요약 BR (Business Recovery)는 BCP의 중요한 부분 개념으로, 재난 상황에서 기업의 핵심 업무 프로세스를 복구하는 데 중점을 둡니다. 이를 통해 기업의 연속성을 보장하고, 중요한 업무를 신속히 복구하여 비즈니스 운영이 중단되지 않도록 합니다. 핵심 업무의 식별, 우선 순위 설정, 복구 목표 시간 설정, 복구 자원 및 인력 배치, 복구 절차 문서화, 모의 훈련 및 테스트, 정기적 검토 및 업데이트 등이 BR의 주요 구성 요소입니다.
BIA	- BCP(Business Continuity Planning)에서 BIA(Business Impact Analysis, 업무 영향 분석)는 핵심적인 구성 요소 - BIA는 비즈니스 연속성 계획의 기초를 제공하며, 재난이나 비상사태가 비즈니스에 미치는 영향을 평가하고, 복구 우선순위를 결정하는 데 중점을 둡니다.  < 업무 영향 분석: 복구 우선 순위 파악 > 업무 기능 식별: 조직 내 모든 주요 업무 기능을 식별합니다. 영향 평가: 각 업무 기능이 중단될 경우 조직에 미치는 재정적, 운영적, 평판적 영향을 평가합니다. 우선순위 설정: 영향 평가 결과를 바탕으로 복구 우선순위를 설정합니다. 이는 가장 중요한 비즈니스 기능부터 신속히 복구할 수 있도록 돕습니다. < RPO와 RTO 사전 파악 > RPO (Recovery Point Objective): 데이터 복구 시점 목표로, 재난 발생 시점과 복구 시점 사이에 허용 가능한 최대 데이터 손실 시간을 의미합니다. RPO를 파악함으로써 데이터 백업 주기와 복구 전략을 수립합니다. RTO (Recovery Time Objective): 복구 시간 목표로, 재난 발생 후 비즈니스 기능이 복구되기까지의 최대 허용 시간을 의미합니다. RTO를 파악함으로써 각 업무 기능의 복구 시간 목표를 설정하고, 이를 달성하기 위한 구체적인 계획을 마련합니다. < 솔루션 및 DR Center로의 이동 및 거리 고려 > 솔루션 식별: RPO와 RTO 목표를 달성하기 위해 필요한 기술적 및 운영적 솔루션을 식별합니다. 이는 데이터 백업 솔루션, 시스템 이중화, 클라우드 서비스 등을 포함할 수 있습니다. DR Center (Disaster Recovery Center) 고려: DR 센터의 위치와 이동 거리를 고려하여, 재난 발생 시 신속하고 효율적인 복구가 가능하도록 계획합니다. 거리와 이동 시간: DR 센터와 주요 업무 장소 간의 거리와 이동 시간을 평가하여, 복구 작업이 원활히 이루어질 수 있도록 합니다. 접근성: DR 센터의 접근성을 고려하여, 비상 상황에서도 필요한 인력과 자원이 쉽게 이동할 수 있도록 합니다. DR 센터 설계: DR 센터의 인프라와 설계를 검토하여, RPO와 RTO 목표를 달성할 수 있는지 확인합니다. 요약 BIA는 비즈니스 연속성 계획에서 필수적인 단계로, 각 업무 기능의 중요도를 평가하고 복구 우선순위를 설정하는 데 중점을 둡니다. RPO와 RTO를 사전에 파악함으로써 데이터 손실 허용 범위와 복구 시간 목표를 설정하고, 이에 맞춘 솔루션과 DR 센터의 위치 및 접근성을 고려하여 효율적인 복구 계획을 수립합니다. 이러한 과정은 비즈니스가 재난 상황에서도 신속히 복구되고 지속될 수 있도록 보장합니다.
Backup	백업은 BCP (Business Continuity Planning)에서 중요한 구성 요소로, 데이터의 안전한 보관과 신속한 복구를 보장하는 데 필수적인 역할을 합니다.  < 백업 데이터의 송수신 및 보관 > 데이터 송수신 보안: 암호화: 백업 데이터를 송수신할 때 암호화를 통해 보안성을 확보합니다. 전송 프로토콜: 안전한 전송을 위해 SSL/TLS 등의 보안 프로토콜을 사용합니다. 데이터 보관: 오프사이트 백업: 재해 시 주 데이터 센터의 데이터 손실을 방지하기 위해 다른 지리적 위치에 백업 데이터를 보관합니다. 클라우드 백업: 클라우드 스토리지를 이용하여 데이터의 가용성과 확장성을 높입니다. 물리적 보안: 백업 데이터가 저장된 장소의 물리적 보안을 강화합니다. < 데이터 복제의 주기 및 방법, 보관 데이터의 정합성 유지 > 데이터 복제 주기: 주기적 백업: 업무 연속성 요구 사항에 따라 일일, 주간, 월간 등의 주기로 데이터를 백업합니다. 실시간 또는 준실시간 복제: 중요 데이터는 실시간 또는 짧은 주기로 복제하여 데이터 손실을 최소화합니다. 백업 방법: 전체 백업: 모든 데이터를 주기적으로 백업합니다. 증분 백업: 마지막 전체 백업 이후 변경된 데이터만 백업합니다. 차등 백업: 마지막 전체 백업 이후 변경된 데이터 중 마지막 증분 백업 이후의 데이터를 백업합니다. 정합성 유지: 백업 데이터 검증: 백업된 데이터의 무결성과 정합성을 주기적으로 검증합니다. 로그 검토: 백업 및 복구 로그를 검토하여 문제 발생 시 신속히 대응할 수 있도록 합니다. < 변경된 데이터의 구조 및 어플리케이션 등의 반영 > 구조 변경 반영: 스키마 변경 관리: 데이터베이스 스키마가 변경될 때, 백업 절차도 이에 맞게 업데이트합니다. 메타데이터 관리: 변경된 데이터 구조에 대한 메타데이터를 관리하고 백업합니다. 어플리케이션 변경 반영: 애플리케이션 백업: 데이터뿐만 아니라 애플리케이션의 변경 사항도 정기적으로 백업합니다. 버전 관리: 애플리케이션의 버전을 관리하여 필요한 경우 이전 버전으로 롤백할 수 있도록 합니다. < ILM, Log-shipping 처리, Storage 복제 솔루션 연동 > ILM (Information Lifecycle Management): 데이터 수명 주기 관리: 데이터의 생성부터 삭제까지의 수명 주기를 관리하여 불필요한 데이터의 보관을 최소화합니다. 자동화: 데이터의 수명 주기를 자동화하여 효율성을 높입니다. Log-shipping 처리: 로그 전달: 트랜잭션 로그를 다른 서버로 주기적으로 전달하여 데이터베이스의 상태를 동기화합니다. 로그 복구: 로그를 이용해 데이터베이스를 특정 시점으로 복구할 수 있습니다. Storage 복제 솔루션 연동: 스토리지 레벨 복제: 스토리지 자체에서 제공하는 복제 기능을 사용하여 데이터를 복제합니다. SAN/NAS 복제: 스토리지 네트워크를 이용해 데이터 복제를 수행합니다. 요약 BCP의 백업 구성 요소는 데이터의 송수신 및 보관, 복제 주기 및 방법, 데이터 정합성 유지, 구조 및 애플리케이션 변경 반영, ILM, Log-shipping 처리, Storage 복제 솔루션 연동 등을 포함합니다. 이러한 요소들은 데이터를 안전하게 보관하고, 필요 시 신속히 복구할 수 있도록 하여 업무 연속성을 보장합니다.
Planning	- 이 단계에서는 특히 업무 및 데이터의 중요도를 분류하고 선정하며, 혼선을 방지하기 위해 다양한 계획들을 작성합니다. < 업무 및 데이터의 중요도 분류 및 선정 > 비즈니스 영향 분석 (Business Impact Analysis, BIA): 각 업무 프로세스와 데이터가 비즈니스에 미치는 영향을 분석합니다. 업무 중단 시 발생할 수 있는 재정적 손실, 법적 문제, 평판 손상을 평가합니다. 중요도 분류 (Criticality Classification): 업무와 데이터를 중요도에 따라 분류합니다. 중요도에 따라 RTO (Recovery Time Objective, 복구 목표 시간)와 RPO (Recovery Point Objective, 복구 시점 목표)를 설정합니다. 중요도 높은 업무와 데이터는 더 빠른 복구가 필요하며, 이에 따라 우선 순위를 부여합니다. < INCIDENT MANAGEMENT PLAN (IMP) 및 DISASTER RECOVERY PLAN (DRP) 작성 > Incident Management Plan (IMP): 사건 대응 팀 구성: 비상 상황 발생 시 신속히 대응할 수 있는 팀을 구성합니다. 사건 대응 절차: 비상사태 발생 시 초기 대응부터 상황 종료까지의 절차를 상세히 문서화합니다. 커뮤니케이션 계획: 비상 상황에서의 내부 및 외부 커뮤니케이션 계획을 수립합니다. 주요 이해관계자와의 연락망을 유지하고, 상황에 따라 필요한 정보를 신속히 전달합니다. 훈련 및 테스트: 정기적으로 훈련과 모의 훈련을 실시하여 IMP의 실행 가능성을 검증하고, 필요한 경우 개선합니다. Disaster Recovery Plan (DRP): 데이터 백업 및 복구 계획: 정기적인 데이터 백업 절차와 복구 방법을 문서화합니다. 시스템 복구 절차: 주요 시스템과 IT 인프라의 복구 절차를 상세히 문서화하여, 비상사태 발생 시 신속한 복구가 가능하도록 합니다. 대체 사이트 준비: 주요 시스템이 다운될 경우를 대비하여 대체 사이트를 준비하고, 필요한 경우 신속히 전환할 수 있도록 합니다. 테스트 및 검토: 정기적으로 DRP를 테스트하여 실행 가능성을 검증하고, 실제 상황에서 얻은 피드백을 반영하여 계획을 업데이트합니다. 요약 BCP의 계획 수립 단계에서는 업무 및 데이터의 중요도를 분류하고 선정하며, 혼선을 방지하기 위한 다양한 계획들을 작성합니다. 이 단계는 비즈니스 영향 분석을 통해 각 업무와 데이터의 중요도를 평가하고, Incident Management Plan (IMP)과 Disaster Recovery Plan (DRP)을 작성하여 비상사태 발생 시 신속하고 효율적으로 대응할 수 있도록 준비하는 데 중점을 둡니다. 이러한 준비 과정은 비즈니스 연속성을 유지하고, 재난 상황에서도 빠른 복구를 가능하게 합니다.

 

나.   BCP 구축 절차

번호	성공요소	세부내용
1	BCP 착수	- 기업의 현황 분석을 위한 착수 진행
2	위험요소 분석	- BCP를 위한 위험 개념 정립 / 업무 특성에 따른 위험 요인 파악
3	업무영향 분석	- BIA를 통해 위험의 영향을 측정 - 업무 중요도에 따른 복구 등급 결정(Periority 선정)
4	비즈니스 연속성 위한 전략개발	- DR Center 및 백업 센터 구축 전략을 수립
5	재해시 대응 및 운영 방안 마련	- 위험 및 영향 분석과 정보 동향 분석 자료를 바탕으로 대응방안, 운영 방안 강구
6	BCP개발	- 백업센터 운영 유형(운영 형태별, 기술 형태별) 개발 - 운영형태 : 독자구축, 상호이용형, 공동이용형, 외부 위탁형 선정 - 기술형태 : Mirror, Hot, Warm, Cold Site 선정 및 개발 - 업무 우선 순위에 따라 혼합 기술 형태 가능
7	재해대응훈련 및 교육	- DRP 작성 : Disaster Recovery Plan으로 이동수단, 이동인원, Action 리스트, 스크립트 사전 작성 - SOP(Standard Operation Procedure), IMP 작성 위 문서는 대외 매체에 대한 공지 등까지 포함하는 문서여야 함 - Simulation Test 진행 : 개선 작업 진행 / 관련자 교육 진행
8	BCP 구현(릴리즈)	- DR Center 구축 완료
9	운영	- DR Center, Human Resource 운영
10	관계당국과 협력	- IT Compliance 적용 및 지침 준수 적용

번호	성공요소	세부내용
1	BCP 착수	< 기업의 현황 분석을 위한 착수 진행 > 현재 운영 상태 및 비즈니스 환경을 분석합니다. 기존 위험 관리 및 비상 대응 절차를 검토합니다. BCP 프로젝트의 목표와 범위를 설정합니다.
2	위험요소 분석	< BCP를 위한 위험 개념 정립 > 위험의 정의와 범위를 설정합니다. 다양한 재난 유형(자연 재해, 인적 재해, 기술적 재해 등)을 식별합니다. < 업무 특성에 따른 위험 요인 파악 > 각 업무에 영향을 미칠 수 있는 구체적인 위험 요소를 파악합니다. 각 위험 요소의 발생 가능성과 잠재적 영향을 평가합니다.
3	업무영향 분석	< BIA를 통해 위험의 영향을 측정 > 각 업무의 중단이 비즈니스에 미치는 영향을 분석합니다. 재정적 손실, 법적 영향, 평판 손상 등을 평가합니다. < 업무 중요도에 따른 복구 등급 결정(Periority 선정) > 각 업무의 중요도를 기준으로 복구 우선순위를 설정합니다. RTO(복구 목표 시간)와 RPO(복구 시점 목표)를 정의합니다.
4	비즈니스 연속성 위한 전략개발	< DR Center 및 백업 센터 구축 전략을 수립 > 데이터 백업 및 복구 계획을 수립합니다. 대체 업무 장소와 시스템 복구 센터를 구축합니다.
5	재해시 대응 및 운영 방안 마련	< 위험 및 영향 분석과 정보 동향 분석 자료를 바탕으로 대응방안, 운영 방안 강구 > 비상사태 발생 시 대응 절차를 수립합니다. 운영 방안에는 주요 업무 지속 방안, 인력 배치 계획 등이 포함됩니다.
6	BCP개발	< 백업센터 운영 유형(운영 형태별, 기술 형태별) 개발 > < 운영형태 : 독자구축, 상호이용형, 공동이용형, 외부 위탁형 선정 > 운영 형태별: 독자구축형, 상호이용형, 공동이용형, 외부 위탁형을 선택합니다. < 기술형태 : Mirror, Hot, Warm, Cold Site 선정 및 개발 > 기술 형태별: Mirror Site, Hot Site, Warm Site, Cold Site를 선정하고 개발합니다. <업무 우선 순위에 따라 혼합 기술 형태 가능> 업무 우선 순위에 따라 혼합 기술 형태를 고려할 수 있습니다.
7	재해대응훈련 및 교육	<DRP작성: Disaster Recovery Plan으로이동수단,이동인원, Action리스트,스크립트사전작성> 이동수단, 이동인원, Action 리스트, 스크립트를 사전 작성합니다. < SOP(Standard Operation Procedure), IMP 작성 위 문서는 대외 매체에 대한 공지 등까지 포함하는 문서여야 함 > 표준 운영 절차와 Incident Management Plan을 작성합니다. 대외 매체에 대한 공지 등도 포함합니다. < Simulation Test 진행 : 개선 작업 진행 / 관련자 교육 진행 > 모의 훈련을 통해 계획의 실행 가능성을 검증합니다. 개선 작업을 진행하고 관련자 교육을 실시합니다.
8	BCP 구현(릴리즈)	< DR Center 구축 완료 > DR Center와 백업 시스템을 완전히 구축합니다. 계획된 절차에 따라 시스템과 프로세스를 구현합니.
9	운영	< DR Center, Human Resource 운영 > DR Center를 지속적으로 운영하며, 인력을 관리합니다. 정기적으로 테스트와 점검을 실시하여 운영 상태를 유지합니다.
10	관계당국과 협력	< IT Compliance 적용 및 지침 준수 적용 > 관련 법규와 규정을 준수하며, 관계 당국과 협력 체계를 유지합니다. 정기적으로 컴플라이언스 상태를 점검하고 보고합니다.

 

다. BCP와 DRP의 비교 

구분	BCP	DRP
목적	- Business Continuity Planning - BCP는 심각한 중단 상황에서  복구가 진행되는 동안에 필수적인 사업을 유지하기 위한 절차를 제공	- Disaster Recovery Planning - 정보시스템 인프라와 사업 운영에 필수적인  정보자산의 복구를 촉진하기 위한 상세한 절차를 제공
범위	실제의 업무 프로세스와 업무 프로세스 를 지원하기 위한 IT 영역에 집중	- IT 중심적이고 장기간 효과를 지속하는 중대한 중단에 국한  - 따라서 IT 서비스의 우선순위 선정이 중요함
실행 주체	각 Business Unit을 중심으로 수행	- 각 업무 부서와는 별도로 정보 시스템 부서를 중심으로 수행
대상	업무는 물론 사람, 물리적 사무공간, 중 요 문서 등을 포함하여 사전에 준비하 기 어려운 수많은 항목이 대상	- 명확하게 범위를 설정 - 정보시스템(IT 운영팀)을 중심으로 운영시설을  사업단위 중심으로 수행 - 최소한의 Data Backup에서부터 실시간 데이터  저장 및 운영 Server, Storage, Network device, DWDM까지 대상

구분	BCP	DRP
목적	목적: 전사적인 업무 연속성을 보장하고, 위기 상황에서도 비즈니스 기능이 지속될 수 있도록 함. 포커스: 모든 비즈니스 기능과 프로세스가 중단 없이 지속되도록 하는 것.	목적: IT 시스템 및 데이터 복구를 통해 정보시스템의 연속성을 보장함. 포커스: 데이터 백업, 시스템 복구, IT 인프라의 정상화에 중점.
범위	범위: 전사적 범위로, 모든 비즈니스 기능과 프로세스를 포함. 인력, 시설, 물류, 고객 서비스, 공급망 등 다양한 비즈니스 측면을 포괄. 예시: 생산 중단 시 대체 생산 계획, 인력 부족 시 대체 인력 확보, 공급망 문제 발생 시 대체 공급처 확보 등.	범위: IT 시스템과 데이터에 한정됨. 데이터 센터, 서버, 네트워크, 애플리케이션 등의 기술적 복구에 초점. 예시: 데이터 손실 복구, 서버 재가동, 네트워크 복구, 대체 데이터 센터로의 전환 등.
실행 주체	실행 주체: 최고 경영진, 비즈니스 운영팀, 인사팀, 재무팀, IT팀 등 다양한 부서가 협력하여 실행. 조직적 접근: 전사적인 협력이 필요하며, 각 부서가 역할을 나누어 계획을 실행.	실행 주체: 주로 IT 부서 및 기술 전문가들이 주도하여 실행. 기술적 접근: IT 인프라와 관련된 복구 계획을 수립하고 실행
대상	대상: 전체 비즈니스 프로세스와 기능, 모든 부서 및 업무. 구성 요소: 비즈니스 영향 분석, 연속성 전략, 복구 전략, 훈련 및 테스트, 계획 유지 등.	대상: IT 시스템, 데이터, 애플리케이션, 네트워크 인프라. 구성 요소: 데이터 백업 및 복구, 시스템 복구 절차, 대체 데이터 센터, 기술적 복구 훈련 등.
요약 BCP는 비즈니스의 전반적인 연속성을 보장하기 위한 포괄적인 계획으로, 모든 비즈니스 기능과 프로세스를 포함하며, 전사적 범위에서 최고 경영진부터 각 부서가 협력하여 실행합니다. DRP는 IT 시스템과 데이터의 복구에 중점을 둔 계획으로, IT 부서와 기술 전문가들이 주로 실행하며, 기술적 인프라의 복구와 관련된 사항을 다룹니다. 이 두 계획은 상호 보완적이며, 기업이 위기 상황에서도 비즈니스 연속성을 유지하고, 신속히 복구할 수 있도록 하는 데 필수적인 역할을 합니다.

 

다. BCP와 BRS, DRP의 비교 

구분	BCP	BRS	DRS
목적	종합 복구 계획	비즈니스 복구	재해 복구
범위	정책, 프로세스, 업무지원 시스템	프로세스, 업무지원 시스템	업무지원 시스템
내용	비즈니스 연속성	신속한 업무 복구	신속한 시스템 복구
담당	전사측면	사업부 전체	시스템 운영담당
산출물	재해복구계획, 업무복구계획 대체 프로세스 계획, 업무비상계획	업무복구계획	재해복구계획

 

IV.    BCP 프로젝트 성공에 대한 제언

가.   BCP 고려사항

성공요소	세부내용
CEO의 적극적 인식 제고	- BCP Project는 CEO의 지속적인 관심과 지원이 없으면 실패할 확률이 높음. - BCP 프로젝트 시작 전에 CEO에게 적극적인 관심을 요청 - 투자 개념이 아닌 기업의 연속성에 초점을 맞추어져야 함.
COO의 주도	- 누가 추진 주체가 될 것인지가 매우 중요 - 전자 비즈니스 전반의 연속성을 보장하는 전사 BCP의 경우 BCP와 관련된 계약, 인력 관리, 건물관리, 대체업무, 비상 보고체계, 총무 등이 사실 모두 COO영역이므로 COO가 타당 - IT측면에 초점이 맞춰진 IT BCP의 경우 CIO가 타당
이해관계자가 참여하는 TFT구성	- 다른 대형 프로젝트와 달리 전사 임직원이 적극적으로 참가하여 TFT는 전 사업부의 관련자들이 모두 모여 구성 - 이상적인 TFT구성은 IT부서, 리스크 관리부서, COO조직이 기본적으로 참여하고 추가적으로 현업 각 부서에서 빠짐없이 참가하는 것
프로젝트 범위 명확화	- BCP의 물리적, 논리적 대상과 명확한 범위를 확정 Ex)은행: 본점만 범위에 넣을 것인지 Call Center, IT센터까지 넣을 것인지 결정
BCP에 대한 사전 교육 실시	- BCP프로젝트 추진을 위한 기본적인 지식, 교육 사전 진행 - 전사적인 인원의 적극적인 참여의지 필요

 

나.   BCP 기대 효과

24시간 365일 비즈니스 운영 보장	- 고객서비스의 지속성, 신뢰도 제고 - 안전한 기업으로서의 마케팅 효과
신속한 데이터 복구 및 업무 복귀	- 기업의 경쟁력 제고 - 재해 복구 비용의 최소화 - 재해/장애 예방에 의한 수익의 증가

 

https://yooha9621.tistory.com/25