▣ 업무 연속성 계획(BCP, Business Continuity Planning)
각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획
외부 환경 측면 | 정부 규제 및 준거성: 의무적 비상대응 계획 구축(전자금융거래법 등) 평판 리스크: 시스템 중단시 발생하는 기업 이미지 실추 |
내부 환경 측면 | 비즈니스 복잡도 증가: 복구 시간에 따른 급속한 비용증가 역할 분배 필요성: 재해발생시 조직 및 개인의 업무 정의 필요 |
정보 시스템 측면 | 정보 시스템에 대한 의존도 증가로 정보시스템 연속성 요구 증대 금융기관의 경우 BCP가 없는 경우 수익 감소율 25~50% |
▶ 수립 절차 5단계편집
- 프로젝트 계획: 목표 및 범위 설정
- 업무 영향 분석(BIA): RTO(목표 복구 시간), RPO(목표 복구 지점), 복구 우선순위 결정
- 업무영향도 : 업무의존도, 충격요인(재무적, 운영적), 외부환경(외부규제 대응)
- 복구 전략 선정: 전략별 비용 분석, 전략 도출
- BCP 계획 개발: BCP 조직 구성 및 조직별 계획 수립
- 유지보수: 교육, 모의훈련 및 유지보수 수행
RSO | Recovery Scope Objective : 복구요구대상 계정계, 정보계, 대외계 원격지 단순데이터 백업 재해대비시스템 복구를 위한 백업 |
RTO | Recovery Time Objective : 복구요구시간, 목표 복구 시간 특정백업시점 데이터 복구 전일마감데이터 백업 시점 재해발생시점 데이터 복구 재해발생 시 비즈니스 가동까지 소요되는 시간 RTO가 낮을수록 재해에 대한 내성은 감소되나 비즈니스 운영비용 증가 |
RPO | Recovery Point Objective : 복구요구지점, 목표 복구 지점 재해 발생 시 데이터 손실을 수용할 수 있는 시간 운영 중단이 발생할 경우 데이터 손실에 근거하여 데이터를 복구하기 위해 수용할 수 있는 최소한의 시간 |
RCO | Recovery Communication Objective 네트워크 복구수준(본사 <-> 지점, 회사 <->고객 : 의사소통방안) 지역 모점, 주요 영업점, 전 영업점 |
BCO | Backup Center Objective 자체 2nd 센터에 재해복구시스템 구축 자체 2nd 센서에 전문업체와 재해복구시스템 구축 공조 재해복구시스템 구축전문업체에 위탁 |
재해 예방(Disaster Prevention) | 업무 영향 분석(BIA) 재해/재난 분류, 취약성 발견, 발생 빈도와 예상 손실액 추정 내/외부적, 사회적 요인에 따른 원인 분류 리스크로 인한 비즈니스 영향력 평가, 우선순위 선정 주요 프로세스의 복구 시간 설정 리스크를 최소화할 수 있는 전략 대안 시스템 선정 |
대응 및 복구(Response & Recovery) | 재해/재난으로 인한 인적/물적 자원 긴급 조치와 비즈니스 프로세스 복구 대응 및 복구 시나리오 작성 대응계획 : 비상시 행동요령, 연락처, 설비, 조직구성, 조직분류, 체계 구성 복구계획 : 피해집계 체계, 구제 계획, 복구업무 우선순위, 표준절차, 보고체계 구축, 대외 협력 체계 구축 등 |
유지보수(Maintenance) | 재난 발생에 따른 피해 유형분석, 지속적으로 영속성 있는 계획을 수립하기 위한 평간, 분석, 보완 재해계획의 지속적인 업데이트 |
모의훈련(Simulation) | 비상계획에 따른 훈련과 학습 내용 평가 및 피드백 시나리오에 따른 훈련 실시, 긴급 사태에 대한 숙련된 대응책 반복 |
■ 재해복구시스템 백업처리능력
Mirror Site | 주센터와 동일한 수준의 정보기술 자원을 원격지에 구축 Active-Active 상태로 실시간 동시 서비스 제공 RPO 0, RTO 0 복구소요시간 : 즉시 |
Hot Site | 주센터와 동일한 수준의 정보기술 자원을 원격지에 구축하여 Standby상태로 유지 Active Standby 주센터 재해시 원격지 시스템을 Active상태로 전환하여 서비스 제공 데이터는 동기적 또는 비동기적 방식의 실시간 미러링을 통하여 최신상태로 유지 서버의 서비스가 기동중에 백업을 수행하며 주 시스템 장애시 데이터 손실 없음 복구소요시간 : 수시간 이내 |
Warm Site | 중요성이 높은 정보기술 자원만 부분적으로 재해복구센터에 보유 데이터는 주기적(약수시간~1일)으로 백업 서버의 서비스 기동중에 특정 주기적으로 백업 수행. 백업 서버는 대기중 장애시 선행 백업 이후 데이터 변경사항 손실 가능성 있음 복구소요시간 : 수일-수주 |
Cold Site | 데이터만 원격지에 보관하고, 이의서비스를 위한 정보자원은 확보하지 않으나 장소 등 최소한으로만 확보 재해시 데이터를 근간으로 필요한 정보자원을 조달하여 정보시스템의 복구개시 주센터의 데이터는 주기적(수일~수주)으로 원격지에 백업, 구축 비용 가장 저렴 오프라인 백업, 서비스 기동을 중지하고 백업 수행 복구소요시간 : 수주 - 수개월 |
2018년 118번
정답 : 3번
업무 연속성 계획(BCP, Business Continuity Planning)
각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획
업무 영향 분석(BIA): RTO(목표 복구 시간), RPO(목표 복구 지점), 복구 우선순위 결정
2011년 106번
정답 : 1번
라. 프로젝트의 범위설정 및 기획
다. 사업영향평가
가. 복구전략 개발
마. 복구계획 수립
나. 프로젝트의 수행 테스트 및 유지보수
프로젝트 계획: 목표 및 범위 설정
업무 영향 분석(BIA): RTO(목표 복구 시간), RPO(목표 복구 대상), 복구 우선순위 결정
복구 전략 선정: 전략별 비용 분석, 전략 도출
BCP 계획 개발: BCP 조직 구성 및 조직별 계획 수립
유지보수: 교육, 모의훈련 및 유지보수 수행
2011년 109번
정답 : 5번
Mirror Site | 주센터와 동일한 수준의 정보기술 자원을 원격지에 구축 Active-Active 상태로 실시간 동시 서비스 제공 복구소요시간 : 즉시 |
Hot Site | 주센터와 동일한 수준의 정보기술 자원을 원격지에 구축하여 Standby상태로 유지 Active Standby 주센터 재해시 원격지 시스템을 Active상태로 전환하여 서비스 제공 데이터는 동기적 또는 비동기적 방식의 실시간 미러링을 통하여 최신상태로 유지 복구소요시간 : 수시간 이내 |
Warm Site | 중요성이 높은 정보기술 자원만 부분적으로 재해복구센터에 보유 데이텅는 주기적(약수시간~1일)으로 백업 복구소요시간 : 수일-수주 |
Cold Site | 데이터만 원격지에 보관하고, 이의서비스를 위한 정보자원은 확보하지 않으나 장소 등 최소한으로만 확보 재해시 데이터를 근간으로 필요한 정보자원을 조달하여 정보시스템의 복구개시 주센터의 데이터는 주기적(수일~수주)으로 원격지에 백업 복구소요시간 : 수주 - 수개월 |
2013년 88번
정답 : 4번
정보시스템 백업지침(2005.12)에서 출제
2014년 117번
정답 : 1번
Cold Site | 데이터만 원격지에 보관하고, 이의서비스를 위한 정보자원은 확보하지 않으나 장소 등 최소한으로만 확보 재해시 데이터를 근간으로 필요한 정보자원을 조달하여 정보시스템의 복구개시 주센터의 데이터는 주기적(수일~수주)으로 원격지에 백업, 구축 비용 가장 저렴 복구소요시간 : 수주 - 수개월 |
'보안' 카테고리의 다른 글
타원곡선 알고리즘(ECC, Elliptic Curve Cryptography) (0) | 2021.11.24 |
---|---|
OTP_동기식, 시간(이벤트) 동기화, 비동기식, 도전 응답 방식, S/Key 방식 (0) | 2021.11.23 |
보안솔루션_SIEM, IPS, MDM, NAC, MDM 침입차단, 어플리케이션 프록시, 패킷, 상태검사, 모바일, IDS, NAT (0) | 2021.10.28 |
정보보호 인증 및 표준_ISMS-P, CC, TCSEC, PIMS, ISO 27002, ISO 27004, ISO 27014, 개인정보, PIMS, PIPL, ISO 27018, 정보보호관리체계 (0) | 2021.10.28 |
SSO(Single Sign-On), SAML, OAuth, 커버로스 (0) | 2021.10.28 |