◆현대정보기술 정보서비스사업본부장 이영희
최근 들어 정보시스템에 의존하는 기업의 업무비중이 높아지면서 이를 중단없이 안전하게 운영할 수 있는 방안에 대한 관심이 부쩍 늘고 있다. 특히 각종 재난·재해가 발생하더라도 기업의 업무를 중단 없이 처리할 수 있는 시스템의 구축은 기업의 존폐와도 관련이 깊을 정도다. 더욱이 금융기관이라면 일시적인 업무의 중단이라도 회사의 신용저하와 직결돼 치명적인 손실을 입을 수 있다.
이에 따라 이같은 위험을 사전에 방지하고 안정된 전산시스템을 운영하기 위해서는 기업의 비즈니스 또는 정보시스템에 대한 24시간 상시운영체제(BCP)를 수립, 운영해야 한다. BCP에 대한 수립 및 운영관리를 위해서는 아래의 단계별 고려사항을 참조하여 작업을 완성할 수 있다.
◇단계1. 프로젝트의 시작=관리자의 지원을 얻어 주어진 예산과 시간 내에 프로젝트를 구성하고 관리하는 일을 포함하는 BCP에 대한 필요성을 수립한다.
◇단계2. 위험 평가 및 제어=예측할 수 없는 사건이 발생, 시설이나 조직의 전반적인 부분을 파괴하거나 피해를 끼치게 되는 사건이나 환경들을 결정하고, 잠재적인 손실을 최소화하거나 방지하는 제어가 필요한 단계다. 이 단계는 위험을 완화하기 위한 제어들은 투자를 정의하기 위한 비용효과분석자료를 제공한다.
◇단계 3. 업무영향 평가=질적 또는 양적으로 조직이나 기술에 영향을 미치는 파괴, 재해의 시나리오로부터 도출되는 영향을 평가한다. 또 중요업무에 대한 수립과 그들의 복구 우선순위 및 복구목표 시간이 지정될 수 있는 상호관계를 수립한다.
◇단계4. 업무연속전략 개발=복구목표 시간 이내에 업무와 정보의 복구를 위한 대체 업무 복구운영 전략 선택의 결정이 필요하다.
◇단계5. 비상사태 대응 및 운영=비상사태가 발생된 동안에 지휘통제소로 사용될 비상운영센터의 설립과 운영을 포함해 사건발생 상황에 따른 안정화된 대응을 위한 절차의 개발과 이행이 필요하다.
◇단계 6. 업무연속계획의 개발과 이행=업무목표 시간 이내에 복구를 제공하는 업무연속계획을 설계하고 개발 및 이행하는 단계다.
◇단계 7. 인식 및 훈련=재해를 인식할 수 있는 프로그램을 마련해 준비하고 업무연속성계획을 개발하는 한편 이행·관리·수행하기 위해 필요한 기술을 향상시킨다.
◇단계 8. 업무연속계획의 관리 및 훈련=사전에 계획하고 그 계획을 훈련, 훈련된 결과를 통해 평가하고 문서화하는 과정이다. 조직의 전략적인 추진방향에 따라 현재의 업무연속성 능력을 관리하는 절차를 개발하고 계획을 문서화한다. 또 그 계획서가 적절한 표준에 의해 효과적으로 작성됐거나 테스트가 명료하고 정확한 방법으로 이루어지고 있는지 점검한다.
◇단계9. 공공기관 연락체계 구축 및 비상시 연락체계=비상사태 동안에 대중매체를 통해 처리하는 계획을 개발하고 실행·평가·훈련해야 한다. 또 비상사태 동안 고용인과 그들의 가족, 중요 고객, 중요한 공급업체, 주주들과의 연락체계를 개발하고 평가 및 훈련할 수 있는 계획서도 필요하다.
◇단계 10. 공공기관과의 조화=지역공공기관과 상호 협력·대응하고 복원작업을 수행할 수 있는 활용 가능한 정책이나 절차들을 수립해야 한다.