BCP Flashcards
BCP
[리드] 재난, 재해로 인한 피해복구 계획
[정의] 비즈니스 연속성/탄력성 보장, BS25999, 전략적 재해대응, 예방체계수립 유지계획
[구성절차] (계업전설모유)
1. 계획수립: BCP 착수 계획 수립. BCP 수행 계획서
2. 업무영향 분석 및 위험평가 : 현황/위험/업무 영향도 분석, 지표산정
- 위험분석 : RA (Risk Assessment) - 위험정의, 업무별 요인파악
- 업무영향도 분석 : BIA - MBCO/MTPD, RTO/RPO/RCO/RSO
3. 전략수립 : 복구 목표시간 따른 DRP 수립 (Framework - DR(재해복구) / BR(업무복구) / BR(업무재개) / CP(비상계획))
4. 설계/구축 : DRS 구축 계획
- DRC 구축(Mirror/Warm/Hot/Cold) ② 운영방식 (독자/상호/공동/위탁) ③ BCP 조직 구성
5. 모의훈련 및 대응 : SOP(Standard Operation Guideline) 작성/교육, 훈련
6. 유지관리 : 모니터링, 내부감사, BCP Release, 문서화, 지속관리, ISO22301
[검사 목표] 유효성(수행가능 현실적 계획 검사), 적합성(단위/통합계획 적합여부), 적절성(전사/단위 biz 계획 적절성 검사), 품질(BCP 프로세스/산출물 품질평가)
[BCMS 표준 모델(BIA, BCP 에서 활용)]
1. 요구사항 분석: ISO 22301(요구사항 검증) 2.정의및 평가: ISO 22313(주요가이드 참조) 3.구현 및 검증: ISO 22317(기술 적용)
BIA
[정의] 비즈니스 중단 시 기업에 미치는 재무적/비재무적 손실 영향을 평가하는 BCP 핵심 절차
[필요성] 핵심 우선순위 결정, 중단시간 산정, 요구자원 산정
[구성도] Input(업무중단 발생가능성, 업무영향도/자원사용률) ▷ BIA ▷ Output(중요도 리스트, 복구우선순위/RTO,RPO)
[프로세스] (대손(복)우필)
1. 대상 선정 : 현황분석자료 > 분석대상 업무선정
2. 손실정도 산정 : 인터뷰/설문조사 > 결과분석 > 업무별 손실평가
3. 복구 우선순위 산정 : 업무별 손실산정 > 복구 우선순위 > 복구 목표시간 도출
4. 복구 필요자원 산정 : 필요자원 분류 > 자원별 소요량 파악
BCM
[리드] 비즈니스 연속성 보장 경영
[정의] 핵심업무와 기능을 계획된 수준으로 지속할 수 있도록 전사적인 정책 및 절차를 수립하여 이행하는 총제적인 관리시스템
[특징] 복원능력, 모의훈련, 업무중단관리
* BCP,DRS, BS25999
[구성요소] BCM 프로그램 관리, 조직의 이해, BCM 전략의 결정, BCM 대응 개발과 관리, 훈련/유지관리, 조직문화로 BCM 내재화
수행절차 1.재난경감 활동(평시) 2.비상대응 활동(위기발생) 3.업무재개 활동 4.복원 활동
RTO/RPO
- RTO : (재정적 영향) 재해로 서비스가 중단되었을 때, 서비스를 복구하는 데까지 필요한 최대 허용 시간
- RPO : (데이터 손실) 재해로 중단된 서비스를 복구시, 유실을 감내할 수 있는 데이터의 손실 허용 시점
- RCO : 네크워크복구 시간목표(네트워크 복구 수준)
- RSO : 재해 시 목표 복구 범위의 선정 (정보계, 대외계, 인사관리 시스템)
- BCO : 백업센터 목표(백업 센터에 재해복구 시스템 구축), 독자, 공동, 상호 구축
[RTO 우선순위 계산 절차]
1. 상대적 중요도 > 2. 시간구간 Max Severity > 3. 시간구간 Weight > 4. Scoring > 5. 우선순위결정
ISO 22301
[리드] BCM 인증제도 국제표준
[정의] 재해, 재난 테러 등 예기치 못한 위기로 업무 중단 위험이 발생한 경우 최단 시간 내 핵심업무를 복구하기 위한 BCM의 국제표준
[구성요소] (PDCA) Plan(계획 수립), Do(실행 및 운영), Check(모니터링 및 검토), Act(유지 및 개선)
[국제표준] ISO 27001(정보보호체계 ISMS 국제표준, 연속성관리 대한 통제항목 제공), BS 25999(BCM Lifecycle 6단계로 나누어 지속적,주기적인 활동 강조)
DRP
[정의] 재해발생시 정해진 업무복구 순서에 따라 체계적으로 복구할 수 있도록 수립한 절차와 문서의 집합
[구성요소]
- DRS 문서 : HA, FT, DWDM, SAN, NAS 구성
- 복구 계획서 : BIA 반영, 복구 순서, 복구 R&R, 복구 절차,
- 훈련 계획서 : 훈련 시나리오, 정상화 방법
[테스트 유형]
- Checklist, 구조적 점검, 시뮬레이션, 병렬 테스트, 전체 테스트(시스템 중단)
DRS
[정의] 정보시스템에 대한 비상 대비체계 유지와 비상사태에 대비한 복구계획 수립을 통한 업무 연속성 유지 가능 시스템
[기술요소] HA, FT, IP-SAN, DWDM
[재해 복구 구축 절차]
1.업무영향 분석 2.재해복구 전략 수립. 3.시스템전략 및 복구계획 수립. 4.운영 및 모의훈련
[DR 센터 유형]
- 복구 시간별 : Mirror(주센터와 동일, Active-Active방식, RTO=RPO=0), Hot(실시간 미러링, Active-Standby, RTO<=4H, RPO=0), Warm(중요데이터 주기적 백업, RTO,RPO < 수일,수주), Cold(최소한의 데이터 확보, 단순 백업, RTO,RPO < 수주,수개월)
- 운영 형태별 : 상호 계약, 공동 운영, 외부 위탁, 독자 구축
* DRS 구축 비용 부담으로 중소기업을 위한 클라우드 기반 백업 및 DRaaS 제안
MTTF MTBF MTTR
[MTTF] Mean Time To Failure - 고장 수리 후 다음 고장 발생까지의 시간
[MTBF] Mean Time Between Failure - 고장에서 다음 고장까지의 시간
[MTTR] Mean Time To Repair - 고장 후 수리까지의 복구 시간
* 시스템의 가용율과 신뢰도를 측정하는 기준(SLA 측면 포함), 정확한 측정을 통해 제품평가, 선정, 설계 반영
[가용률] 전체 운영시간에서 고장없이 운영되는 시간의 비율
- 가용률(%) = (MTTF) / (MTTF + MTTR) * 100 = MTTF/MTBF * 100
