본문 바로가기
카테고리 없음

기업 재해복구 전략수립의 필요성 및 수립절차

by ℥ℨℳµ 2022. 9. 26.
반응형

기업 재해복구 전략수립은 기업 내 핵심 프로세스 파악 및 영향도 분석을 통해 진행하며 세부적인 RTO, RPO 목표를 수립합니다. 이 문서에서는 IT 시스템 재해복구 전략 수립의 절차와 세부사항 들에 대해 정리해보겠습니다.

기업 재해복구 전략수립

필요성

기업의 유형에 따라 업무 및 프로세스의 중단에 따른 영향도가 커질 수 있습니다. 따라서 재해 발생시 BIA (Business Impact Analysis) 영향도 분석을 통한 재해 복구전략의 수립의 중요성이 커지고 있습니다. 기업의 재해복구 전략을 수립하기 위한 세부적인 절차를 알아보겠습니다.

재해복구 전략수립 절차

1. 업무 영향도 분석

업무 영향도 분석이란 재해가 발생하기전 미리 기업에서 가장 중요한 업무 및 프로세스가 무엇인지 판별하고 복구시 예상 시간을 사전에 예측해보는 것입니다. 이는 재해 발생시 최대한 빠른 시간내로 핵심 프로세스의 가동을 위해 필요한 복구시스템의 구축을 위해 필요합니다.

  • 기업 내 주요 업무 Process를 판별
  • 재해의 발생 가능성과 업무중단 예상시간 도출
  • 재해로 업무가 중단될 경우의 손실 예측
  • 업무 프로세스의 중요도에 따른 우선순위, 복구범위 예측
  • 주요 업무 절차의 복원 및 우선순위 결정

업무 영향도 분석을 마치면 다음의 사항들에 대해 알 수 있습니다.

  • 기업 내 주요 업무 프로세스
  • 재해시 업무중단 손실의 예측
  • 주요 업무의 Recovery Time 및 Recovery Point의 예측

2. 업무 프로세스 식별

기업 내 주요 업무는 다음 그림과 같이 계층적인 경우가 많습니다. 업무 프로세스 식별을 위해 아래와 같이 각 그룹별로 구분하고 이에 대한 하위 프로세스를 구분합니다. 

기업 업무프로세스의 계층적 구성

식별된 Process 중에 기업의 핵심서비스에 관련된 프로세스를 구분하고, 이 프로세스 간의 상호 연관성도 분석해야 합니다. 상호 연관성 분석 방법에는 선후관계, 참조관계로 구분할 수 있습니다.

선후 프로세스 관계

시간전으로 선행, 후행되는 각 프로세스간의 관계로 선행이 중단되면 반드시 후행도 수행할 수 없게되는 구조입니다.

참조 프로세스 관계

프로세스 간에 의존성을 가지는 관계로 A 프로세스가 B 프로세스의 결과물을 참조하여 진행해야 하는 경우입니다.

3. 재해 발생가능성 및 손실평가

IT 시스템에서 발생 가능성이 가장 높은 재해는 ‘정전’입니다. 이외에도 하드웨어나 시스템의 오류로 인한 경우가 있으며, 발생 가능성은 상대적으로 낮지만 최근 포항제철의 침수 피해와 같이 홍수나 폭풍에 의한 자연재해의 경우가 있습니다. 재해에 따른 손실의 영향도를 평가하는 방법으로는 크게 정량적, 정성적 방법이 있습니다.

정량적 영향

매출이나 수입의 감소 그리고 업무의 지연에 따른 처리시간의 증가 등 계측이 가능한 손실을 의미합니다.

정성적 영향

서비스 중단이나 지연으로 인한 고객의 이탈이나 안좋은 평가로 인한 미래의 손실 그리고 데이터 유출시 대외적인 신인도와 같이 무형의 손실을 의미합니다.

4. 복구범위 결정

재해 발생가능성에 따라 손실의 평가가 정해졌다면 가장 Critical 한 손실 가능성에 대해 우선적으로 복구할 수 있도록 우선순위를 부여합니다. 복구 우선순위에는 프로세스간 상관관계도 검토해야 합니다. 가령 B의 업무 우선순위가 가장 중요하고 높지만, A 프로세스가 선행되어야 하는 것이라면 A를 복구하고 B를 복구하는 것이 맞습니다.

5. 복구시간(RTO), 복구목표(RPO) 설정

복구시간과 복구목표 그래프의 설명

복구목표시간(RTO)

재정적인 영향을 고려하여 최대로 허용하는 업무 중단시간을 의미합니다. RTO 복구시간을 초과하게 되면 재정적인 영향도와 함께 정성적, 정량적인 손실이 기하급수적으로 커지므로 이 시간내로 복구하는 것이 중요합니다.

복구목표시점(RPO)

업무를 계속적으로 수행하기 위해 손실대 데이터에 대한 손실 허용량을 정하는 것입니다. RTO와 RPO는 기업내 손실평가도 중요하지만 사업의 유형에 따라 정책과 법률로서 권고하는 사항도 있습니다. 가령, BS7799, ISO17799, ISSA 등의 국제 표준에 의해 업무 연속성 계획에 대한 지침이 있음로 함께 참고하는 것이 좋겠습니다.

이상으로 IT 시스템 재해복구 전략수립의 필요성 및 세부 수립절차에 대해서 정리해보았습니다.

 

반응형

댓글

티스토리툴바