기사

비즈니스 연속성의 정의와 비즈니스 연속성 계획(BCP)

비즈니스 연속성의 정의

비즈니스 연속성이란 재해, 비상 상황 또는 기타 예기치 못한 사건으로 인해 심각한 중단이 발생할 경우 조직이 필수적인 운영을 유지할 수 있도록 사전에 계획하고 준비하는 것을 가리킵니다. 비즈니스 연속성을 위한 계획과 준비에는 모든 사람, 프로세스, 기술, 지원 프레임워크가 포함됩니다.

비즈니스 연속성 계획(BCP)의 범위에는 내부 기능뿐만 아니라 파트너와 기타 서비스 공급자의 기능도 포함됩니다. 효과적인 비즈니스 연속성 작업은 지속적인 과정이며, 계속해서 변화하는 환경을 반영하기 위해 계획을 개선하고 조정해야 합니다.

비즈니스 연속성 계획의 목적은 조직의 복원력을 최적화할 수 있는 사전 예방적 조치를 취하는 것입니다. 비즈니스 연속성에는 운영을 최대한 빨리 재개하기 위한 복구 전략과 계획뿐만 아니라 위험 관리 요소도 포함됩니다.

비즈니스 연속성 위험 평가 및 계획은 잠재적 손실과 그로 인한 영향에 대한 평가로 구성되어 있으며, 이는 복구 방식과 우선순위를 정하는 기준이 됩니다.

비즈니스 연속성은 다양한 분야에 대한 요구 사항을 식별하고 계획을 수립하는 것이며, 여기에는 다음이 포함됩니다.

고객, 공급업체, 기타 제3자에게 필요한 정보 및 이들과 소통하는 방법
고객에게 제품과 서비스를 제공하는 방법
복구 작업을 주도할 팀의 역할과 책임
프로세스 의존성과 문서화를 고려하여 운영을 복원하는 데 필요한 복구 활동의 순서와 시점
다양한 비상 상황에서 직원을 지원하는 방법
복구를 촉진하는 데 필요한 기술과 해당 기술을 활용하는 방법
주요 사업장을 사용할 수 없을 경우 마련할 임시 사업장의 위치

비즈니스 연속성 트리거 한눈에 보기
비즈니스 연속성 계획(BCP)의 실행을 유발하는 상황의 예시는 다음과 같습니다. –사이버 공격 –데이터 유출 -장비 고장 -화재 -보건 비상사태 및 팬데믹 -법적 문제 -자연 재해 -정전 –규정 준수 문제 -갑작스러운 직원 퇴사 –공급망 차질 -테러

비즈니스 연속성이 중요한 이유

비즈니스 연속성은 중대한 운영 중단 사태를 최대한 손실 없이 무사히 극복하고자 하는 모든 조직에 중요합니다. 현명한 기업은 비즈니스 연속성이 실제로 운영 중단과 재개를 가르는 결정적인 요소가 될 수 있다는 점을 이해하기 때문에 비즈니스 연속성을 최우선으로 여깁니다.

비상 상황이 발생하기 전에 비즈니스 연속성 전략과 계획을 수립해 두면 다음에도 도움이 됩니다.

경쟁 우위 유지
고객, 직원, 타사 파트너, 공급업체와의 관계 유지
법적 문제 또는 규제 컴플라이언스 문제 유발 방지
조직의 소중한 시간과 비용 절감

비즈니스 연속성에 포함되는 사항

비즈니스 연속성은 조직마다 다르지만 다음 세 가지 핵심 원칙을 포함합니다.

비상 대책
복구
복원력

비즈니스 연속성에는 조직이 예상치 못한 파괴적인 상황에 대비하기 위해 다음과 같이 사전 예방적으로 취하는 조치가 포함되어 있습니다.

명확하고 포괄적인 지침
- 비즈니스 연속성 계획이 실행되어야 할 시점
- 잠재적 사고(즉, 캘리포니아의 지진이나 텍사스의 토네이도 등 현실적으로 발생할 수 있는 상황)가 발생했을 때 대응할 구체적인 방법을 비롯하여 조직이 운영을 유지하거나 재개하기 위해 수행해야 할 사항
- 연락해야 할 사람과 연락처 정보
비즈니스 연속성 계획(BCP) 실행에 대해 정의된 수준
- 대응 수준 정의(예: 낮은 우선순위부터 심각한 수준까지)
- 영역 우선순위 및 대응 수준 지정
- 예상 복구 시간 목표 및 복구 지점 목표 설정
투명한 협업 프로세스
- 경영진의 감독하에 계획 수립
- 조직 내 다양한 그룹의 의견 수렴
- 각 분야(예: IT, 커뮤니케이션, 영업)의 직무 리더가 포함된 특정 팀에 의해 실행되는 비즈니스 연속성 계획

세 가지 핵심 원칙(비상 대책, 복구, 복원력) 각각에 대한 세부적인 조치를 포함하여 세심하게 수립된 비즈니스 연속성 계획은 복구를 촉진하고 피해와 비용을 최소화합니다.

적절한 조치를 포함하지 않을 경우 다운타임이 연장되고 이에 따른 부정적인 결과가 발생할 수 있습니다.

비즈니스 연속성 관리란?

비즈니스 연속성 관리는 다음과 같이 계획 수립 및 대응 조치의 실행을 감독하는 것을 가리킵니다.

우선순위를 반영한 계획 수립
사고 발생 시에도 조직의 가장 중요한 기능이 유지되도록 보장
비즈니스 영향 분석 보고서에 명시된 중요도에 따라 다양한 비즈니스 기능의 우선순위 지정

비즈니스 연속성 관리는 다음과 같은 다양한 사고 대응 카테고리가 포함된 포괄적인 용어입니다.

위기 상황에서의 소통
위기 관리
재해 복구
비상 상황 대응

비즈니스 연속성 계획(BCP)이란?

비즈니스 연속성 계획(BCP)은 예상치 못한 중단 사고에 대응하기 위한 문서입니다. 이 문서는 사고 발생 후 조치해야 할 사항에 대해 구체적인 지시와 지침을 제공합니다. 비즈니스 연속성 계획은 조직이 위기 상황에서도 가능한 한 중단 없이 운영을 지속하고, 서비스 제공에 필요한 최소 기준을 충족할 수 있도록 합니다.

일반적으로 사용되는 비즈니스 연속성 프레임워크
ISO 22301:2019 보안 및 복원력(비즈니스 연속성 관리 시스템) 요구 사항 프레임워크는 비즈니스 연속성 시스템의 법적 및 규제 관련 인증에 널리 사용됩니다. ISO:22301의 권장 사항은 의도적으로 일반적인 내용으로 작성되었으므로 조직의 유형, 규모, 성격에 관계없이 모든 조직이 활용할 수 있습니다. 권장 사항의 적용은 조직의 운영 복잡성에 따라 결정됩니다. ISO 22301에 따르면 비즈니스 연속성 계획은 ‘조직이 운영 중단 후 사전 정의된 운영 수준으로 회복할 수 있도록 대응, 복구, 재개, 복원을 돕는 문서화된 절차’로 정의됩니다.

일반적으로 사용되는 비즈니스 연속성 프레임워크

ISO 22301:2019 보안 및 복원력(비즈니스 연속성 관리 시스템) 요구 사항 프레임워크는 비즈니스 연속성 시스템의 법적 및 규제 관련 인증에 널리 사용됩니다. ISO:22301의 권장 사항은 의도적으로 일반적인 내용으로 작성되었으므로 조직의 유형, 규모, 성격에 관계없이 모든 조직이 활용할 수 있습니다. 권장 사항의 적용은 조직의 운영 복잡성에 따라 결정됩니다.

ISO 22301에 따르면 비즈니스 연속성 계획은 ‘조직이 운영 중단 후 사전 정의된 운영 수준으로 회복할 수 있도록 대응, 복구, 재개, 복원을 돕는 문서화된 절차’로 정의됩니다.

비즈니스 연속성 계획(BCP)의 이점

비즈니스 연속성 계획(BCP)의 이점과 결과는 주로 계획에 기여하는 리소스 수에 따라 결정됩니다. 여기에는 인력, 비용, 시간, 시스템이 포함됩니다.

적절하게 투자했을 때 조직이 기대할 수 있는 비즈니스 연속성 계획의 이점은 일반적인 조직적 이점부터 특정 사고 대응 및 복구 관련 이점에 이르기까지 다양합니다.

일반적인 조직적 이점

법적 및 규제 컴플라이언스 관련 요건 준수
비즈니스 연속성 계획을 수립하면 조직이 법적 및 규제 관련 의무를 충족하는 데 도움이 됩니다. 비즈니스 연속성 계획 수립을 요구하는 기관 및 규정은 다음과 같습니다.

모든 중앙 은행
미국 연방에너지규제위원회(FERC)
미국 연방금융기관감독위원회(FFIEC)
미국 금융산업규제기구(FINRA)
영국 금융감독청(FSA)
일반데이터보호규정(GDPR)
1996년 미국 건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA)
미국 의료기관 인증 공동위원회(JCAHO)
북미전력안정성회사(NERC)
은행을 위한 국제 규제 프레임워크(BASEL III)

조직의 운영 인프라와 프로세스를 더 명확하게 파악
비즈니스 연속성 계획을 수립할 경우 조직이 직원과 그들의 역할뿐만 아니라 핵심 시스템과 데이터의 유형과 위치를 비롯하여 운영 인프라와 프로세스의 모든 측면을 검토하고 문서화해야 합니다. 이 정보는 전략 수립과 조직 개발 및 계획의 다른 분야에도 도움이 됩니다.

비즈니스 연속성 계획(BCP)의 중요성에 대한 인식 제고
비즈니스 연속성 계획을 수립하는 과정에는 조직 전반의 직원이 참여하게 되며, 이를 통해 다양한 위험 요소와 그 예방 및 복구에 대한 각자의 역할이 부각됩니다. 탄탄한 비즈니스 연속성 계획을 수립한 조직에서는 위험 관리에 대한 인식과 책임감이 높아집니다.

비즈니스 연속성 계획(BCP)에 대한 공급업체 요구 사항 충족
많은 고객은 필수 제품과 서비스를 제공하는 조직이 비즈니스 연속성 계획을 수립할 것을 요구합니다. 그리고 이러한 요구 사항에는 신중하게 고려한 프로세스를 통해서만 달성할 수 있는 세부 사항이 점점 더 많이 포함되고 있습니다.

비즈니스 연속성 계획을 수립하는 데 시간을 투자하면 신규 고객 온보딩을 간소화할 수 있습니다. 또한 이러한 계획을 통해 주요 사고 발생 후 고객에게 미치는 영향을 최소화하면서 신속하게 복구할 수 있는 역량을 입증하여 경쟁 우위를 유지할 수 있습니다.

보험 적용 범위 최적화
비즈니스 연속성 계획을 수립하면 조직의 위험을 정확하게 식별, 정량화하고 감소시켜 보험 적용 범위를 최적화할 수 있습니다. 비즈니스 영향 분석(BIA)은 보험 대상 위험을 유발하는 사고 발생 시 손익과 보상받아야 하는 비용을 파악하는 데 사용됩니다. 이를 통해 조직은 위험을 식별하고 완화할 수 있을 뿐만 아니라 보험이 필요한 영역과 규모를 효과적으로 판단할 수 있습니다.

평판 보호
비즈니스 연속성 계획을 수립하면 조직이 대외적인 평판과 직원들의 신뢰를 유지할 수 있습니다. 어떤 사고든 대비해 두면 고객 서비스 제공 시 발생할 수 있는 사이버 공격 등의 위험으로부터 조직을 보호하고, 다운타임을 최소화하며, 복구 비용을 절감하는 데 도움이 됩니다.

사고 대응 및 복구의 이점

적합한 복구 시스템이 구축되어 즉시 가동할 수 있는지 확인
비즈니스 연속성 계획을 수립하면 사고 발생 후 운영을 복구하는 데 필요한 시스템을 구축하고 즉시 가동하도록 할 수 있습니다. 이를 통해 데이터 백업부터 미러링된 프로덕션 시스템까지 운영의 기술 구성 요소를 설정하고 문서화해두지 않으면 잃게 되는 중요한 시간을 단축할 수 있습니다.

고객에게 서비스 또는 제품을 공급하도록 보장
사전 예방적 비즈니스 연속성 계획의 주요 목표는 심각한 중단 발생 시에도 조직이 고객에게 제품 또는 서비스를 적시에 제공할 수 있는 역량을 유지하도록 하는 것입니다. 운영 중단부터 심각한 재해까지 다양한 문제에 대해 즉시 실행 가능한 적절한 대응책을 갖추면 고객에게 미치는 영향을 최소화하면서 신속하게 운영을 재개할 수 있습니다.

사전에 비즈니스 연속성 프로세스 단계 파악
비즈니스 연속성 계획을 수립하면 중요한 대응 단계가 명확하게 문서화되어 모든 사람이 쉽게 이해할 수 있습니다. 시간을 들여 사전 예방적 비즈니스 연속성 계획을 수립하면 잠재적으로 혼란스러운 시기에 무엇을 해야 할지 분명히 알게 됩니다. 팀은 비즈니스 연속성 계획을 준수하여 어떤 조치를 언제 취할지 파악하고 제공된 추정치를 기반으로 예상 복구 시간을 알 수 있습니다.

직원에게 필요한 지원 제공
비즈니스 연속성 계획의 중요한 이점은 다양한 유형의 사고 발생 시 직원에게 무엇이 필요한지 판단하는 데 도움이 된다는 점입니다.

직원의 생산성을 유지하는 것은 비즈니스 연속성을 확보하고 정상적인 운영을 신속하게 재개하는 데 매우 중요합니다.

직원을 위한 비즈니스 연속성 지원은 대응 계획과 관련된 정보를 이용할 수 있도록 하는 것부터 일상 업무를 수행하는 데 사용할 수 있는 대체 시스템을 제공하는 것까지 다양한 방식으로 도움이 됩니다.

비즈니스 연속성 계획(BCP) 수립

효과적인 비즈니스 연속성 계획(BCP)에는 다음과 같이 여러 가지 특징이 있습니다.

포괄적
비즈니스 연속성 계획에서는 최대한 많은 잠재적 사고나 중단 시나리오뿐만 아니라 사고와 대응에 영향을 미칠 수 있는 요소도 고려해야 합니다.
조정 가능
비즈니스 연속성 계획을 수립할 때 발생 가능한 모든 사고를 예상할 수는 없으므로 다양하고 변화하는 시나리오에 맞춰 쉽게 조정할 수 있는 방식으로 계획을 수립해야 합니다.
현실적
발생 가능성이 매우 낮은 시나리오에 대한 비즈니스 연속성 계획 섹션을 개발하는 데 너무 많은 시간을 들이지 않도록 하세요.
효율적
계획을 구현하는 담당자는 비즈니스 연속성 계획의 구성 요소를 효율적으로 실행할 수 있어야 합니다. 이렇게 하려면 계획이 명확하고 간결해야 하며 신속한 실행에 필요한 세부 사항(예: 주요 연락처 전화번호)을 제공해야 합니다.

비즈니스 연속성 계획 수립의 첫 번째 단계는 비즈니스 영향 분석(BIA)과 위험 평가를 실시하여 작업을 지시하고 우선순위를 지정하는 데 도움이 되는 주요 정보를 수집하는 것입니다.

비즈니스 연속성을 위한 비즈니스 영향 분석	비즈니스 연속성을 위한 위험 평가
-잠재적인 취약점 파악 -재해가 다양한 부서에 미치는 영향을 강조 -가장 중요한 기능과 시스템 파악 -데이터를 제공하여 경영진과의 소통을 촉진하고 경영진의 지원 확보 -필수적인 데이터 정의 -다양한 시스템 및 기능에 대해 허용되는 다운타임 설정 -복구 지점 목표 결정	-사이버 공격, 공공 서비스 중단, 자연 재해, 기술 장애 등 조직에 대한 모든 잠재적 위협 파악 -위험 완화 전략 및 구현 지시 -위험이 고객에게 어떤 영향을 미칠 수 있는지 평가 -평판에 대한 잠재적 손상 추정 -위험 발생 가능성 판단

영향을 미치는 주요 비즈니스 영역을 파악하고 복구에 미치는 중요도에 따라 우선순위를 지정해야 합니다. 이러한 우선순위를 이해하면, 조직은 우선순위 항목뿐만 아니라 모든 종속 요소까지 고려한 효과적인 신속 대응 전략과 전술을 수립하고, 이를 복구 계획에 반영할 수 있습니다.

고려해야 할 사항은 다음과 같습니다.

데이터 및 정보
인프라
인력
프로세스
리소스
기술

비즈니스에 미치는 영향을 평가하는 작업은 효과적인 대응 계획을 수립하는 데 도움이 됩니다.

비즈니스 연속성 계획은 비즈니스에 미치는 영향의 모든 측면을 고려하고 사고 발생 시 이를 피하거나 완화하기 위해 준비하는 방법에 대한 구체적인 지침을 제공합니다.

여기에는 필요한 조치, 구현 담당자, 관련 리소스(예: 장비 또는 작업 공간), 타임라인에 대한 설명이 포함됩니다. 이러한 타임라인에는 각 단계에서 소요되는 시간뿐만 아니라 각 영역에서 허용되는 다운타임에 대한 설명도 포함됩니다.

비즈니스 연속성 계획의 핵심 섹션에는 다음이 포함되어야 합니다.

목적, 범위, 사용자
비즈니스 연속성 계획을 수립하는 이유, 주요 목표, 포함되는 영역, 대상자
참조 문서
비즈니스 연속성 정책, 비즈니스 영향 분석, 비즈니스 연속성 전략, 재해 복구 계획, 위험 평가 포함
가정
비즈니스 연속성 계획이 효과를 발휘하기 위한 전제 조건
역할 및 책임
사고 대응에 필요한 주요 인력과 이들이 해야 할 일, 전반적인 작업과 특정 영역을 담당하는 직원
소통
- 전반적인 소통 전략
- 내부 소통 담당자, 고객, 파트너, 관리 기관, 법 집행 기관, 언론을 비롯하여 사고 후속 조치를 위한 연락처 정보
- 사전 작성된 이메일 초안, 보도 자료, 소셜 미디어 게시물
계획 활성화 및 비활성화
비즈니스 연속성 계획을 활성화해야 하는 시나리오와 계획을 비활성화하기 위해 필요한 조건
사고 대응
사고 발생 후 피해를 최소화하기 위해 취해야 할 첫 번째 단계
운영 유지 계획
주요 프로세스 및 시스템이 작동 상태를 유지하거나 최대한 신속하게 정상화될 수 있도록 조직이 취해야 하는 단계(복구 활동 순서 포함)
필요한 리소스
복구에 필요한 모든 리소스(예: 직원, 타사 서비스, 시설, 인프라, 데이터, 장비) 목록, 해당 리소스의 위치 및 확보 방법

탁월한 비즈니스 연속성에 꼭 필요한 테스트

비즈니스 연속성 계획(BCP)이 간단하든 복잡하든 상관없이, 뛰어난 비즈니스 연속성을 갖추려면 테스트를 거쳐야 합니다. 모든 구성 요소는 실행 가능성, 효과, 효율성을 위해 철저히 검토하고 테스트해야 합니다.

비즈니스 연속성 계획은 이론적인 것이 아니며, 일반적인 시기에 수립했을 때 효과적이라고 여겼던 정책과 절차를 실제로 실행했을 때 원하는 결과를 얻지 못하는 경우도 많습니다. 해당 계획이 재해 대응에 적합한지 확인하는 유일한 방법은 실제 훈련과 모의 훈련을 수행하여 결함을 찾고 수정하는 것입니다.

날짜: 2025년 9월 24일읽는 시간: 5분

사이버 보안생산성 및 효율성

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청 문의하기