2017.07.19

'어떠한 재난에도 비즈니스는 계속돼야 한다' BCP 수립 방법

Kim Lindros, Ed Tittel | CIO

재난(아주 큰 문제)이 닥칠 것이라고 미리 연락을 받는 경우는 드물다. 더 나아가, 어느 정도 '리드 타임(선행 기간)'이 주어져도, 여러 다양한 문제가 발생할 수 있다. 사고는 저마다 고유하고, 예상 못 한 방향으로 전개되기 때문이다.



여기에 비즈니스 연속성 계획이 역할을 한다. 조직이 성공적으로 재난을 극복하도록 만들기 위해, 비즈니스 연속성 계획 수행을 책임진 모든 사람의 손에게 검증됐으며, 최신 상황을 반영한 계획을 쥐여줘야 한다. 계획이 미흡하면 사고나 재해복구에 필요 이상의 시간이 걸리는 데 그치지 않는다. 영원히 사업을 못 하게 될 수도 있다.

비즈니스 연속성이란?
비즈니스 연속성(BC)이란 화재나 홍수, 사이버 범죄자의 악의적 공격 등으로 재난이 발생한 상황에서 비즈니스 기능을 유지하거나, 빨리 재개시키는 것을 의미한다. 비즈니스 연속성 계획은 이런 재난에 직면해 조직이 따라야 할 절차와 지시 사항 등을 규정하고 있다. 이는 비즈니스 프로세스, 자산, 인적 자원(HR), 비즈니스 파트너 등을 포괄한다.

재해복구(긴급 복구, DR) 계획과 비즈니스 연속성 계획이 같다고 생각하는 사람들이 많다. 그러나 다르다. DR 계획은 주로 위기 후의 IT인프라 및 복구에 초점을 맞춘다. 따라서 비즈니스 연속성 계획이 전사적인 연속성을 다룬다는 점에서, 이의 일부에 불과하다.

재난 직후, 제조, 영업, 지원 기능을 다시 가동해 기업이 계속 수익을 창출하도록 만들 방법이 있는가? 토네이도로 고객 서비스 부서가 있는 건물이 붕괴됐다고 가정하자. 이 경우, 고객 서비스 담당자들이 고객의 전화를 처리할 수 있는가? 이를 위해 일시적으로 집이나 다른 장소에서 일하게 될까? BC 계획은 이런 종류의 문제를 다룬다.

비즈니스 영향 분석(BIA, Business impact analysis)도 BC 계획의 일부이다. BIA는 비즈니스 기능이 갑자기 상실되었을 때의 영향을 통상 비용으로 정량화한다. 이런 분석은 BC 계획의 비핵심 활동을 아웃소싱 할지 평가하는 데 도움을 준다. 물론 여기에도 고유의 위험이 따른다. BIA는 전체 조직의 프로세스를 조사하고, 가장 중요한 부분을 결정할 수 있도록 도움을 준다.

비즈니스 연속성 계획이 중요한 이유
중소기업이나 대기업 모두 경쟁력을 유지하기 위해 노력한다. 현재 보유한 고객을 유지하면서, 고객 기반을 확대하는 것이 아주 중요하다. 그런데 '안 좋은 일'이 발생한 직후는 이런 역량을 테스트하기 가장 좋을 때다.

IT 복구는 대부분 기업에서 아주 중요하기 때문에, 이용할 수 있는 DR 솔루션이 아주 많다. 그리고 IT가 이런 솔루션을 이행할 것이다. 그러나 나머지 비즈니스 기능은 어떻게 해야 할까? 기업의 미래는 사람과 프로세스에 달려 있다. 어떤 사고이든 효과적으로 극복할 수 있는 역량을 갖춰야 한다. 이는 회사의 평판과 시장 가치에 긍정적인 영향을 가져온다. 또 고객 신뢰도를 높일 수 있다.

엑스페리안(Experian)의 글로벌 비즈니스 연속성 책임자인 로레인 오도넬은 "현재 소비자와 규제 당국의 '안전'에 대한 기대가 상승하는 추세다. 기업과 기관은 비즈니스 내부 프로세스, 이런 프로세스를 상실했을 때의 장기적인 영향을 이해해야 한다. 재무, 법무, 평판, 규제 측면에서 이런 상실이 발생할 수 있다. 규제 당국이 조직의 '사업 면허'를 폐지하거나, (사전 또는 나중에)조건을 부과할 경우 시장 가치와 소비자 신뢰도에 부정적인 영향이 초래될 수 있다. 이런 프로세스가 어느 정도 중단되는 것을 가정한 상태에서 복구(복원) 전략을 수립해야 한다"고 강조했다.

비즈니스 연속성 계획 '해부'
조직에 BC 계획이 없을 때, 가장 먼저 할 일은 비즈니스 프로세스를 평가하고, 취약한 프로세스를 찾고, 이런 프로세스들이 하루 또는 며칠, 몇 주 동안 중지될 경우의 잠재적인 피해를 규명해야 한다. 여기까지 BIA다.

다음에 할 일은 계획을 고도화하는 것이다. 통상 6단계로 구성돼 있다.

1. 계획의 범위를 정한다.
2. 핵심 비즈니스 영역을 정한다.
3. 핵심 기능(직능)을 정한다.
4. 다양한 비즈니스 영역과 기능 간 상호 관계를 정한다.
5. 핵심 기능별로 허용할 수 있는 '다운타임(중단 또는 중지)'을 결정한다.
6. 운영을 계속하기 위한 계획을 수립한다.

비즈니스 연속성 계획 수립에 가장 많이 사용되는 도구 중 하나는 체크리스트다. 여기에는 물품과 장비, 데이터 백업 위치 및 장소, 계획 적용 장소, 책임자, 비상사태 대응 인력과 핵심 인력의 연락처 정보, 백업 장소 공급자에 대한 내용이 포함되어 있다.

DR 계획은 비즈니스 연속성 계획의 일부라는 점을 명심해야 한다. 따라서 비즈니스 연속성 계획 수립 프로세스의 일환으로 DR 계획을 개발해야 한다. 이미 DR 계획을 했다 해도, 모든 요구 사항이 반영됐다고 생각해서는 안 된다. 오도넬은 "복구 시간을 규정하고, 이것이 기대와 일치하도록 만들어야 한다"고 강조했다.

계획을 수립하면서, 재난 상황을 성공적으로 극복한 경험이 있는 조직 내 핵심 인물들을 인터뷰하는 것이 좋다. 이 사람들은 통상 '워 스토리'와 재난 극복에 도움을 준 기법과 단계적 방법, 기발한 아이디어를 즐겨 공유한다. 이들의 통찰력은 우수한 계획 수립에 값진 역할을 한다.




2017.07.19

'어떠한 재난에도 비즈니스는 계속돼야 한다' BCP 수립 방법

Kim Lindros, Ed Tittel | CIO

재난(아주 큰 문제)이 닥칠 것이라고 미리 연락을 받는 경우는 드물다. 더 나아가, 어느 정도 '리드 타임(선행 기간)'이 주어져도, 여러 다양한 문제가 발생할 수 있다. 사고는 저마다 고유하고, 예상 못 한 방향으로 전개되기 때문이다.



여기에 비즈니스 연속성 계획이 역할을 한다. 조직이 성공적으로 재난을 극복하도록 만들기 위해, 비즈니스 연속성 계획 수행을 책임진 모든 사람의 손에게 검증됐으며, 최신 상황을 반영한 계획을 쥐여줘야 한다. 계획이 미흡하면 사고나 재해복구에 필요 이상의 시간이 걸리는 데 그치지 않는다. 영원히 사업을 못 하게 될 수도 있다.

비즈니스 연속성이란?
비즈니스 연속성(BC)이란 화재나 홍수, 사이버 범죄자의 악의적 공격 등으로 재난이 발생한 상황에서 비즈니스 기능을 유지하거나, 빨리 재개시키는 것을 의미한다. 비즈니스 연속성 계획은 이런 재난에 직면해 조직이 따라야 할 절차와 지시 사항 등을 규정하고 있다. 이는 비즈니스 프로세스, 자산, 인적 자원(HR), 비즈니스 파트너 등을 포괄한다.

재해복구(긴급 복구, DR) 계획과 비즈니스 연속성 계획이 같다고 생각하는 사람들이 많다. 그러나 다르다. DR 계획은 주로 위기 후의 IT인프라 및 복구에 초점을 맞춘다. 따라서 비즈니스 연속성 계획이 전사적인 연속성을 다룬다는 점에서, 이의 일부에 불과하다.

재난 직후, 제조, 영업, 지원 기능을 다시 가동해 기업이 계속 수익을 창출하도록 만들 방법이 있는가? 토네이도로 고객 서비스 부서가 있는 건물이 붕괴됐다고 가정하자. 이 경우, 고객 서비스 담당자들이 고객의 전화를 처리할 수 있는가? 이를 위해 일시적으로 집이나 다른 장소에서 일하게 될까? BC 계획은 이런 종류의 문제를 다룬다.

비즈니스 영향 분석(BIA, Business impact analysis)도 BC 계획의 일부이다. BIA는 비즈니스 기능이 갑자기 상실되었을 때의 영향을 통상 비용으로 정량화한다. 이런 분석은 BC 계획의 비핵심 활동을 아웃소싱 할지 평가하는 데 도움을 준다. 물론 여기에도 고유의 위험이 따른다. BIA는 전체 조직의 프로세스를 조사하고, 가장 중요한 부분을 결정할 수 있도록 도움을 준다.

비즈니스 연속성 계획이 중요한 이유
중소기업이나 대기업 모두 경쟁력을 유지하기 위해 노력한다. 현재 보유한 고객을 유지하면서, 고객 기반을 확대하는 것이 아주 중요하다. 그런데 '안 좋은 일'이 발생한 직후는 이런 역량을 테스트하기 가장 좋을 때다.

IT 복구는 대부분 기업에서 아주 중요하기 때문에, 이용할 수 있는 DR 솔루션이 아주 많다. 그리고 IT가 이런 솔루션을 이행할 것이다. 그러나 나머지 비즈니스 기능은 어떻게 해야 할까? 기업의 미래는 사람과 프로세스에 달려 있다. 어떤 사고이든 효과적으로 극복할 수 있는 역량을 갖춰야 한다. 이는 회사의 평판과 시장 가치에 긍정적인 영향을 가져온다. 또 고객 신뢰도를 높일 수 있다.

엑스페리안(Experian)의 글로벌 비즈니스 연속성 책임자인 로레인 오도넬은 "현재 소비자와 규제 당국의 '안전'에 대한 기대가 상승하는 추세다. 기업과 기관은 비즈니스 내부 프로세스, 이런 프로세스를 상실했을 때의 장기적인 영향을 이해해야 한다. 재무, 법무, 평판, 규제 측면에서 이런 상실이 발생할 수 있다. 규제 당국이 조직의 '사업 면허'를 폐지하거나, (사전 또는 나중에)조건을 부과할 경우 시장 가치와 소비자 신뢰도에 부정적인 영향이 초래될 수 있다. 이런 프로세스가 어느 정도 중단되는 것을 가정한 상태에서 복구(복원) 전략을 수립해야 한다"고 강조했다.

비즈니스 연속성 계획 '해부'
조직에 BC 계획이 없을 때, 가장 먼저 할 일은 비즈니스 프로세스를 평가하고, 취약한 프로세스를 찾고, 이런 프로세스들이 하루 또는 며칠, 몇 주 동안 중지될 경우의 잠재적인 피해를 규명해야 한다. 여기까지 BIA다.

다음에 할 일은 계획을 고도화하는 것이다. 통상 6단계로 구성돼 있다.

1. 계획의 범위를 정한다.
2. 핵심 비즈니스 영역을 정한다.
3. 핵심 기능(직능)을 정한다.
4. 다양한 비즈니스 영역과 기능 간 상호 관계를 정한다.
5. 핵심 기능별로 허용할 수 있는 '다운타임(중단 또는 중지)'을 결정한다.
6. 운영을 계속하기 위한 계획을 수립한다.

비즈니스 연속성 계획 수립에 가장 많이 사용되는 도구 중 하나는 체크리스트다. 여기에는 물품과 장비, 데이터 백업 위치 및 장소, 계획 적용 장소, 책임자, 비상사태 대응 인력과 핵심 인력의 연락처 정보, 백업 장소 공급자에 대한 내용이 포함되어 있다.

DR 계획은 비즈니스 연속성 계획의 일부라는 점을 명심해야 한다. 따라서 비즈니스 연속성 계획 수립 프로세스의 일환으로 DR 계획을 개발해야 한다. 이미 DR 계획을 했다 해도, 모든 요구 사항이 반영됐다고 생각해서는 안 된다. 오도넬은 "복구 시간을 규정하고, 이것이 기대와 일치하도록 만들어야 한다"고 강조했다.

계획을 수립하면서, 재난 상황을 성공적으로 극복한 경험이 있는 조직 내 핵심 인물들을 인터뷰하는 것이 좋다. 이 사람들은 통상 '워 스토리'와 재난 극복에 도움을 준 기법과 단계적 방법, 기발한 아이디어를 즐겨 공유한다. 이들의 통찰력은 우수한 계획 수립에 값진 역할을 한다.


X